網路位址轉譯(Network Address Translation, NAT)可以改變封包的傳送端 IP 位址與接收端 IP 位址,減少真實 IP 的使用量,也可以將私有 IP(內部 IP)改變成真實 IP(外部 IP)再傳送到網際網路,只需要向網際網路服務供應商,例如:中華電信(2412-TW)申請一個真實 IP,就可以將公司內部所有的電腦連接到網際網路了,因此 NAT 伺服器是最重要的防火牆成員,也是一種「封包過濾器(Packet filter)」。
NAT 伺服器的原理
NAT 伺服器的連接方式如<圖一>所示,一端連接私有網路(內部網路),由企業內部網管人員自行設定私有 IP,可以自由設定但是不可以重覆,不需要支付費用,而且可以減少真實 IP 的使用量;一端連接外部網路(網際網路),由企業向網際網路服務供應商(例如:中華電信)申請真實 IP,必須支付費用。
假設台大電機系的網管人員將網路切割為內部與外部,內部網路的網址設定為 192.168.1.1、192.168.1.2、192.168.1.3;而外部網路的網址為 140.112.66.88,則 NAT 伺服器的功能就是更改封包表頭的傳送端 IP 位址與接收端 IP 位址。
➤傳送封包:假設私有網路(內部網路)的電腦 A 要傳送封包到網際網路(外部網路),所以將封包表頭內的傳送端 IP 位址設定為 192.168.1.1,如<圖一(a)>所示。
➤轉送封包:NAT 伺服器將封包表頭的傳送端 IP 位址改成 140.112.66.88 再傳送到網際網路(外部網路),並且記錄這個封包來自電腦 A,如<圖一(b)>所示。
➤接收封包:網際網路(外部網路)要傳送封包到電腦 A,但是封包表頭的接收端 IP 位址設定為 140.112.66.88,因此先由 NAT 伺服器接收進來,如<圖一(c)>所示。
➤轉送封包:NAT 伺服器將封包表頭的接收端 IP 位址改成 192.168.1.1 再傳送到私有網路(內部網路)的電腦 A,如<圖一(d)>所示。
圖一、NAT 伺服器的功能
NAT 伺服器的功能
➤封包偽裝(IP masquerade):可以將私有 IP(內部IP)改變成真實 IP(外部 IP)再傳送到網際網路,使網路上的人無法得知私有網路的 IP 分配情形而增加網路安全性。
➤封包過濾:可以攔截網際網路進入私有網路的封包,阻擋怪客(Cracker)的攻擊,所以 NAT 伺服器是最重要的防火牆成員,也是一種「封包過濾器(Packet filter)」。
➤平衡負載:通常使用在網頁伺服器(Web server),一般公司的網頁伺服器同時可能會有數千人連線上來,如果只使用一台主機,一定無法負荷這麼多電腦的連線,我們可以在入口處加裝一台 NAT 伺服器,改變網際網路(外部網路)進入私有網路(內部網路)封包表頭的接收端 IP 位址,使進入的封包分散到不同的主機上,可以減輕單一主機的負擔,也可以增加網路安全性,如<圖二>所示。
圖二、NAT 伺服器可以平衡負載
【名詞解釋】
➤網際網路服務供應商(Internet Service Provider, ISP):是指專門提供一般用戶連接到網際網路的公司,例如:中華電信(HiNet)、台灣固網、東森(2614-TW)寬頻電信(亞太固網)等公司,其實就是提供固網(固定網路)服務的公司。
➤駭客(Hacker)與怪客(Cracker):天生就對電腦軟體或網路原理學習能力很強,但是「不會」惡意侵入別人電腦或散佈電腦病毒的人,稱為「駭客(Hacker)」;天生就對電腦軟體或網路原理學習能力很強,而且「會」惡意侵入別人的電腦或散佈電腦病毒的人,稱為「怪客(Cracker)」。所以「駭客」是稱讚別人的用語;「怪客」是責備別人的用語,這兩個名詞都是由英文翻譯而來,常常被一般人誤用,下回別再用錯了唷!
【請注意】上述內容經過適當簡化以適合大眾閱讀,與產業現狀可能會有差異,若您是這個領域的專家想要提供意見,請自行聯絡作者;若有產業與技術問題請參與社群討論。
《知識力》授權轉載
【延伸閱讀】