Трансляция сетевых адресов — Network Address Translation или просто NAT — это специальный процесс, когда сетевое устройство, обычно маршрутизатор или брандмауэр, назначает общедоступный внешний адрес компьютеру (или группе компьютеров) внутри частной сети. Основное использование NAT:
1 — ограничение количества внешних (белых) IP-адресов, которые будет использовать организация или компания. Это нужно и в плане безопасности и в плане экономии средств. Каждый белый IP стоит денег.
2 — организация прямого доступа из внешней сети к компьютеру в локальной сети.
Наиболее распространенная форма сетевого перевода включает большую частную сеть, использующую адреса в частном диапазоне (от 10.0.0.0 до 10.255.255.255, 172.16.0.0 до 172.31.255.255 или 192.168.0 от 0 до 192.168.255.255). Частная схема адресации хорошо работает для компьютеров, которым требуется только доступ к ресурсам внутри сети, например, к рабочим станциям, требующим доступа к файловым серверам и принтерам. Маршрутизаторы внутри частной сети могут без проблем трафиковать трафик между частными адресами. Однако для доступа к ресурсам за пределами сети, таким как Интернет, эти компьютеры должны иметь общедоступный адрес, чтобы ответы на их запросы возвращались к ним. Именно здесь вступает в действие NAT.
Интернет-запросы, требующие преобразования сетевых адресов (NAT), довольно сложны, но происходят так быстро, что конечный пользователь редко знает, что это произошло. Рабочая станция внутри сети делает запрос на компьютер в Интернете. Маршрутизаторы в сети признают, что запрос не для ресурса внутри сети, поэтому они отправляют запрос на брандмауэр. Брандмауэр видит запрос с компьютера с внутренним IP-адресом. Затем он делает тот же запрос в Интернете, используя свой собственный общий адрес, и возвращает ответ от интернет-ресурса на компьютер внутри частной сети. С точки зрения ресурса в Интернете он отправляет информацию по адресу брандмауэра. С точки зрения рабочей станции, похоже, что связь напрямую связана с сайтом в Интернете. Когда NAT используется таким образом, все пользователи внутри частной сети, имеющие доступ к Интернету, имеют один и тот же публичный IP-адрес при использовании Интернета. Это означает, что для сотен или даже тысяч пользователей требуется только один общедоступный адрес.
Большинство современных брандмауэров имеют статус состояния, то есть они могут установить соединение между внутренней рабочей станцией и интернет-ресурсом. Они могут отслеживать детали соединения, такие как порты, порядок пакетов и IP-адреса. Это называется отслеживанием состояния соединения. Таким образом, они могут отслеживать сеанс, состоящий из связи между рабочей станцией и брандмауэром, а также брандмауэром с Интернетом. Когда сеанс завершается, брандмауэр отбрасывает всю информацию о соединении.
Существуют другие виды использования трансляции сетевых адресов (NAT), за исключением того, что позволяют рабочим станциям с внутренними IP-адресами получать доступ к Интернету. В крупных сетях некоторые серверы могут выступать в роли веб-серверов и требуют доступа из Интернета. Этим серверам назначаются общедоступные IP-адреса на брандмауэре, что позволяет публике получать доступ к серверам только через этот IP-адрес. Однако в качестве дополнительного уровня безопасности брандмауэр выступает в качестве посредника между внешним миром и защищенной внутренней сетью. Могут быть добавлены дополнительные правила, в том числе, какие порты могут быть доступны на этом IP-адресе. Использование NAT таким образом позволяет сетевым инженерам более эффективно маршрутизировать внутренний сетевой трафик на одни и те же ресурсы и разрешать доступ к большему количеству портов, ограничивая доступ к брандмауэру.
Кроме того, NAT может использоваться для обеспечения избирательного доступа к внешней сети. Рабочим станциям или другим компьютерам, которым требуется специальный доступ вне сети, могут быть назначены определенные внешние IP-адреса с использованием NAT, что позволяет им взаимодействовать с компьютерами и приложениями, для которых требуется уникальный публичный IP-адрес. Опять же, брандмауэр действует как посредник и может контролировать сеанс в обоих направлениях, ограничивая доступ к портам и протоколы.
NAT — очень важный аспект безопасности брандмауэра. Он сохраняет количество общедоступных адресов, используемых в организации, и позволяет более строго контролировать доступ к ресурсам с обеих сторон брандмауэра.
