nat内部服务器和安全策略 nat端口

NAT 的路由器如何保护其内部的计算机系统

NAT 的路由器会将内部的主机与外界的网络隔离起来，把内部的IP地址映射到一个公网进而连接到互联网上。进而起到了保护内部的计算机系统的作用。

从网站建设到定制行业解决方案，为提供成都网站制作、成都网站建设、外贸营销网站建设服务体系，各种行业企业客户提供网站建设解决方案，助力业务快速发展。成都创新互联将不断加快创新步伐，提供优质的建站服务。

NAT网络的优点是能够节省有限的公网IP地址，处理地址重叠，增强网络的灵活性，最主要的是可以隐藏自己的真实地址，避免恶意网络的攻击，强化了网络的安全性。

NAT网络的缺点，在路由器中配置NAT无形中增加了路由器的工作量，导致了网络延迟增加，配置和维护的工作量也比较大。

扩展资料：

NAT的工作原理

借助于NAT，私有（保留）地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。

NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP头中已经修改过的源IP地址。否则，在报文数据部分嵌入IP地址的应用程序就不能正常工作。

NAT的实现方式

NAT的实现方式有三种：即静态转换Static Nat、动态转换Dynamic Nat、端口多路复用OverLoad。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。

只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

端口多路复用是指改变外出数据包的源端口并进行端口转换，即端口地址转换，采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

参考资料来源：百度百科-nat

如何正确应用网络地址转换(NAT)技术

NAT英文全称是Network Address Translation，称是网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。 二、NAT技术的基本原理和类型 1、NAT技术基本原理 NAT技术能帮助解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。 2、NAT技术的类型 NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port－Level NAT）。其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。 动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。 网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。 在Internet中使用NAPT时，所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址上Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。 三、在Internet中使用NAT技术 NAT技术可以让你区域网路中的所有机器经由一台通往Internet的server 线出去，而且只需要注册该server的一个IP就够了。 在以往没有NAT技术以前，我们必须在server上安装sockd，并且所有的clients都必须要支援sockd，才能够经过server的sockd连线出去。这种方式最大的问题是，通常只有telnet/ftp/www-browser支援sockd，其它的程式都不能使用；而且使用sockd的速度稍慢。因此我们使用网络地址转换NAT技术，这样client不需要做任何的更动，只需要把gateway设到该server上就可以了，而且所有的程式(例如kali/kahn等等) 都可以使用。最简单的NAT设备有两条网络连接：一条连接到Internet，一条连接到专用网络。专用网络中使用私有IP地址（有时也被称做Network 10地址，地址使用留做专用的从10.0.0.0开始的地址）的主机，通过直接向NAT设备发送数据包连接到Internet上。与普通路由器不同NAT设备实际上对包头进行修改，将专用网络的源地址变为NAT设备自己的Internet地址，而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。 四、应用NAT技术的安全策略 1、应用NAT技术的安全问题 在使用NAT时，Internet上的主机表面上看起来直接与NAT设备通信，而非与专用网络中实际的主机通信。输入的数据包被发送到NAT设备的IP地址上，并且NAT设备将目的包头地址由自己的Internet地址变为真正的目的主机的专用网络地址。而结果是，理论上一个全球唯一IP地址后面可以连接几百台、几千台乃至几百万台拥有专用地址的主机。但是，这实际上存在着缺陷。例如，许多Internet协议和应用依赖于真正的端到端网络，在这种网络上，数据包完全不加修改地从源地址发送到目的地址。比如，IP安全架构不能跨NAT设备使用，因为包含原始IP 源地址的原始包头采用了数字签名。如果改变源地址的话，数字签名将不再有效。 NAT还向我们提出了管理上的挑战。尽管NAT 对于一个缺少足够的全球唯一Internet地址的组织、分支机构或者部门来说是一种不错的解决方案，但是当重组、 合并或收购需要对两个或更多的专用网络进行整合时，它就变成了一种严重的问题。甚至在组织结构稳定的情况下，NAT系统不能多层嵌套，从而造成路由噩梦。 2、应用NAT技术的安全策略 当我们改变网络的IP地址时，都要仔细考虑这样做会给网络中已有的安全机制带来什么样的影响。如，防火墙根据IP报头中包含的TCP端口号、信宿地址、信源地址以及其它一些信息来决定是否让该数据包通过。可以依NAT设备所处位置来改变防火墙过滤规则，这是因为NAT改变了信源或信宿地址。如果一个NAT设备，如一台内部路由器，被置于受防火墙保护的一侧，将不得不改变负责控制NAT设备身后网络流量的所有安全规则。在许多网络中，NAT机制都是在防火墙上实现的。它的目的是使防火墙能够提供对网络访问与地址转换的双重控制功能。除非可以严格地限定哪一种网络连接可以被进行NAT转换，否则不要将NAT设备置于防火墙之外。任何一个淘气的黑客，只要他能够使NAT误以为他的连接请求是被允许的，都可以以一个授权用户的身份对你的网络进行访问。如果企业正在迈向网络技术的前沿，并正在使用IP安全协议（IPSec）来构造一个虚拟专用网（VPN）时，错误地放置NAT设备会毁了计划。原则上，NAT设备应该被置于VPN受保护的一侧，因为NAT需要改动IP报头中的地址域，而在IPSec报头中该域是无法被改变的，这使可以准确地获知原始报文是发自哪一台工作站的。如果IP地址被改变了，那么IPSec的安全机制也就失效了，因为既然信源地址都可以被改动，那么报文内容就更不用说了。那么NAT技术在系统中我们应采用以下几个策略： ①网络地址转换模块 NAT技术模块是本系统核心部分，而且只有本模块与网络层有关，因此，这一部分应和Unix系统本身的网络层处理部分紧密结合在一起，或对其直接进行修改。本模块进一步可细分为包交换子模块、数据包头替换子模块、规则处理子模块、连接记录子模块与真实地址分配子模块及传输层过滤子模块。②集中访问控制模块 集中访问控制模块可进一步细分为请求认证子模块和连接中继子模块。请求认证子模块主要负责和认证与访问控制系统通过一种可信的安全机制交换各种身份鉴别信息，识别出合法的用户，并根据用户预先被赋予的权限决定后续的连接形式。连接中继子模块的主要功能是为用户建立起一条最终的无中继的连接通道，并在需要的情况下向内部服务器传送鉴别过的用户身份信息，以完成相关服务协议中所需的鉴别流程。 ③临时访问端口表 为了区分数据包的服务对象和防止攻击者对内部主机发起的连接进行非授权的利用，网关把内部主机使用的临时端口、协议类型和内部主机地址登记在临时端口使用表中。由于网关不知道内部主机可能要使用的临时端口，故临时端口使用表是由网关根据接收的数据包动态生成的。对于入向的数据包，防火墙只让那些访问控制表许可的或者临时端口使用表登记的数据包通过。 ④认证与访问控制系统 认证与访问控制系统包括用户鉴别模块和访问控制模块，实现用户的身份鉴别和安全策略的控制。

nat和目的nat的区别？

源nat和目的nat的区别如下：

第一种说法

①源NAT：就是把内网主机的IP变换成为网关的互联网IP，这样内网主机可以上网

host_inside------NAT-----Internet---网站/QQ/游戏服务器

②目的NAT：是在网关的NAT服务器上做端口映射，将网关的互联网端口映射给内网IP。

在IP地址有限的情况下，将内网主机的服务发布到互联网上，比如内网有个主机做网站

host_outside----Internet---NAT:80------Host_inside:80

或者内网有个Linux主机需要远程管理，可以映射非标准端口

host_outside----Internet---NAT:62222------Host_inside:22

第二种说法

③源NAT：地址转换是内网用户要访问外网时，内网地址转换为公网地址，然后才可以访问互联网上的资源的

④目的NAT：地址转换是外网地址要访问内网服务器时，内网服务器地址映射为外网地址，而外网用户通过访问该映射的外网地址就可以访问内网服务器了，这样可以保护内部服务器的安全

扩展资料

NAT在1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址，但现在又想和因特网上的主机通信(并不需要加密)时，可使用NAT方法。

这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。这样，所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。

NAT不仅能解决IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

1.宽带分享：这是 NAT 主机的最大功能。

2.安全防护：NAT 之内的 PC 联机到 Internet 上面时，他所显示的 IP 是 NAT 主机的公共 IP，所以 Client 端的 PC 当然就具有一定程度的安全了，外界在进行 portscan（端口扫描） 的时候，就侦测不到源Client 端的 PC 。

参考资料来源：百度百科-nat