防火墻的基本配置：NAT規則配置介紹NAT設備的NAT功能結語

發布時間：2023-07-03 17:27:47 作者：網友整理

NAT

網絡地址轉換（Network Address Translation）簡稱為NAT，是將IP數據包包頭中的IP地址轉換為另一個IP地址。當IP數據包通過設備時，設備會把IP數據包的源IP地址和/或者目的IP地址進行轉換。在實際應用中，NAT主要用于私有網絡訪問外部網絡或外部網絡訪問私有網絡的情況。

NAT的基本轉換過程

設備執行NAT功能時，處于公有網絡和私有網絡的連接處。下圖描述了NAT的基本轉換過程：

如上圖所示，設備處于私有網絡和公有網絡的連接處。當內部PC（10.1.1.2）向外部服務器（202.1.1.2）發送一個IP包時，IP包將通過設備。設備查看包頭內容，發現該IP包是發向公有網絡的，然后它將IP包1的源地址10.1.1.2換成一個可以在Internet上選路的公有地址202.1.1.1，并將該IP包發送到外部服務器，與此同時，設備還在網絡地址轉換表中記錄這一映射。外部服務器給內部PC發送IP包1的應答報文（其初始目的地址為202.1.1.1），到達設備后，設備再次查看包頭內容，然后查找當前網絡地址轉換表的記錄，用內部PC的私有地址10.1.1.2替換目的地址。這個過程中，設備對PC和Server來說是透明的。對外部服務器來說，它認為內部PC的地址就是202.1.1.1，并不知道10.1.1.2這個地址。因此，NAT“隱藏”了企業的私有網絡。

設備的NAT功能

設備的NAT功能將內部網絡主機的IP地址和端口替換為設備外部網絡的地址和端口，以及將設備的外部網絡地址和端口轉換為內部網絡主機的IP地址和端口。也就是“私有地址+端口”與“公有地址+端口”之間的轉換。

設備通過創建并執行NAT規則來實現NAT功能。NAT規則有兩類，分別為源NAT規則（SNAT Rule）和目的NAT規則（DNAT Rule）。SNAT轉換源IP地址，從而隱藏內部IP地址或者分享有限的IP地址；DNAT轉換目的IP地址，通常是將受設備保護的內部服務器（如WWW服務器或者SMTP服務器）的IP地址轉換成公網IP地址。