網路位址轉譯

資訊與網路安全技術：第十章防火牆上一頁

10-12 網路位址轉譯

『網路位址轉譯』（Network Address Translator, NAT）是屬於防火牆的一種設施，它主要的功能是做內部網路位址和外部網路位址之間的轉譯，一般企業將它作為合法 IP 位址和私有位址之間的轉譯功能。目前 IP 位址漸漸不足，因此對外網路位址不可能分配太多，便利用 NAT 來建構私有網路空間。一般 ISP 公司為了克服 IP 位址不足的問題，都給予客戶動態 IP 位址，我們也可以透過 NAT 將動態 IP 轉譯成私有網路空間。

NAT 的基本原理是多個連線共用一個 IP 位址來往外傳送封包，既然我們瞭解 IP 連線是由『IP 位址 + TCP 傳輸埠口』所構成，因此對內的每一個 IP 位址對應到一個 IP 連線（IP + TCP Port），並且在主機內維護一只對照表，便可達到 NAT 的功能。我們用圖 10-24 來說明 NAT 的運作程序，其中主機 A 作為 NAT 主機，外部網路位址是 168.15.0.50，而轉譯內部網路 165.15.2.0/24，NAT 主機的內部位址是 165.15.2.62。假設內部主機 B（165.15.3.30）連結到外部主機 M（147.15.3.12）的 Telnet Server（Port 23）；另外主機 C（165.15.2.34）連結到 Web Server（180.3.2.67:80）。我們來觀察主機 B 連線的轉譯運作，首先主機 B 連結（165.15.2.30:4520）到 NAT 主機上的某一傳輸埠口（165.15.2.62:1458），並將其填入內部對照表，由 NAT 主機的內部位址（165.15.2.62:1458）轉換到外部位址（168.15.0.50:3045），也將其填入 NAT 轉譯表內。再由 NAT 主機要求連線到主機 M的 Web Server，連線成功後將其填入外部對照表。因此由主機 B 到主機 M 之間的連線，就利用 NAT 主機內三個對照表建立而成，如果由主機 M 下載資料到主機 B之間連線運作就經由： 147.15.3.12:23 到 168.15.0.50:3045，再轉送到 165.15.2.62:1458，最後再轉送到 165.15.2.30:4520。同樣的道理，上傳資料也是經由這條連線傳送。對外部網路而言，連線是經由 168.15.0.50 的位址通訊，外部網路無法知道內部網路的 IP 位址，如此便可達到內部網路主機的隱密性，因此，也稱之為『IP 偽裝』（IP Masquerade）。主機 C 連結到主機 K 的運作程序亦相同，不再另述。

圖 10-24 NAT 運作原理

當內部網路位址透過 NAT 轉換之後，內部網路位址有可能流露於外，一般為了分辨是合法位址或內部虛擬位址，都將私有位址的範圍設定在：（RFC 1918）

Class A：10.0.0.0 ~ 10.255.255.255，IP Mask：255.0.0.0。
Class B：172.16.0.0 ~ 172.31.255.255，IP Mask：255.240.0.0。
Class C：192.168.0.0 ~ 192.168.255.255，IP Mask：255.255.255.0。

當外部路由器接收到一個目的位址為上述範圍內的封包，便將它拋棄不予轉送。

翻轉工作室：粘添壽

資訊與網路安全技術

第一章安全性資訊系統簡介
第二章傳統秘密鑰匙系統
第三章現代公開鑰匙系統
第四章雜湊與亂數演算法
第五章密碼系統的實習環境
第六章訊息確認
第七章數位簽章與數位憑證
第八章安全性網頁系統
第九章安全性電子郵件
第十章防火牆
- 10-1 私有網路安全簡介
- 10-2 防火牆簡介
- 10-3 防火牆架構
- 10-4 封包過濾器
- 10-5 IP 封包過濾器
- 10-6 IP/TCP 封包過濾器
- 10-7 TCP 過濾範例：telnet
- 10-8 IP/UDP 封包過濾器
- 10-9 IP/ICMP 封包過濾器
- 10-10 ICMP 過濾範例：traceroute
- 10-11 代理系統
- 10-12 網路位址轉譯

翻轉電子書系列：