进一步理解NAT和PAT(NAPT)

这篇文章由 在 星期五, 17 十二月, 2010 发表。

Network Address Translation (NAT)

  防火墙一般包括一个不安全的区域(外网)和一个安全的区域(内网)两个网络接口。网络地址转换 (NAT)是把公网可路由的外网IP转换成内网不可路由的IP的一种协议。这使得攻击者难以连接到被防火墙保护的主机。当提供NAT的防火墙从被保护的主机收到一个请求,防火墙会从IP数据报中剥去不可路由的内网IP地址,并替换上去可以在互联网上路由的公网IP地址。所以,外部的主机无法以内网IP直接连接到构建在一个封闭式保护内的主机。

NAT with Overload (Port Address Translation)

  当一个外网IP地址的多个不同端口被多个主机使用,NAT通常作为NAT with Overload使用。这样防火墙就可以让多个主机使用不同的端口,却只使用一个外网地址。TCP/IP支持多达64,000个端口,意味着这么多台主机可以共享这一个外网IP地址。这种情况有时也叫做Proxy Address Translation 或者 Port Address Translation。

 原文来自:http://www.inetdaemon.com/tutorials/security/devices/firewalls/network_address_translation.shtml


Leave a Reply