IPv4扩充之NAT技术

例如：假如你做了一个目的NAT映射，36.78.12.3 ---------------192.168.10.100 ，那么互联网用户访问36.78.12.3，就相当于访问了192.168.10.100的内网服务器，而且，操作系统漏洞那么多，别人一扫描，暴露了很多端口，然后探测系统版本，中间件版本，，数据库版本，如此等等。当然，有人也许会说，那你在防火墙上做访问控制不就好了，这样做不就增加了工作量，增加了防火墙的负担了嘛，因此，目的端口NAT，是省事省心的安全简便的做法。而且，当运营商分配的IP地址较少时，你的内网对外发布的服务较多时，可以使用一个公网ip的不通端口来NAT不用的服务，如下所示：

如此等等。但为了服务安全，建议是服务尽量分离，因为某项服务的故障可能会影响其他服务，因此较为分散的服务是一种比较好的方式。

3.双向NAT

原理图如下：

Client 1 : A 202.1.1.2 --------------------> B server 1.1.1.1

转换为

C：172.16.1.100 --------------> D server 172.16.1.2

这种双向转换，是将源ip及目的ip全部替换掉

源 202.1.1.2-------------访问---------> 目的 1.1.1.1

转换为

源 172.16.1.100 -------访问---------> 目的 172.16.1.2

表面上A---访问--->B ,实际上C----访问----->D

在服务提供方做，隐藏内部网络，只对外提供1.1.1.1即可，有人也许会问，那做目的NAT不就可以了嘛，为什么还要把源地址都要转换掉，我想可能是内部网络机密性较高，或者没有做目的NAT而是内部应用服务，不允许任意访问，而只允许172.16.1.100或者被转换的源地址访问吧。(此处感觉有点像VPN，从外部跳到内网访问内部服务器的感觉)。

4.总结：

NAT技术不可否认是在ipv4地址资源的短缺时候起到了缓解作用;在减少用户申请ISP服务的花费和提供比较完善的负载平衡功能等方面带来了不少好处。但是在ipv4地址在以后几年将会枯竭，NAT技术不能改变ip地址空间不足的本质。然而在安全机制上也潜在着威胁，在配置和管理上也是一个挑战。如果要从根本上解决ip地址资源的问题，ipv6才是最根本之路。在ipv4转换到ipv6的过程中，NAT技术确实是一个不错的选择，相对其他的方案优势也非常明显。

【编辑推荐】

1. 你知道IPv4，但是新的IPv6，你有了解多少
2. 瞻博网络AE Natarajan: 打造一个合作、互联、安全的网络世界
3. IPV4与IPV6的头部PK
4. IPv6的前世今生和IPv4的对比
5. 什么是公网IP和内网IP？NAT转换又是什么鬼？

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!