NAT 最初被认为是 ICANN 于 2011 年宣布的应对 IPv4 耗尽的解决方案,许多年前,当 IP 地址首次出现时,很多人认为 IPv4 将提供足够多的 IP 地址来覆盖连接到网络的每个设备。
但随着互联网的发展,IPv4提供的超过40亿个网络地址已经用完,如此庞大的互联网用户已经没有足够的地址,这就是为什么NAT作为解决方案问世并受到全球关注的原因互联网服务提供商,在这篇文章中,我们将探讨什么是 NAT 以及 NAT 防火墙可以做什么来维护网络安全。
NAT(网络地址转换)是将一个或多个本地私有IP地址转换为一个全球公网IP地址的过程,通过该地址可以允许多个本地设备和主机访问Internet。
NAT 在路由器或防火墙上工作以保护私有网络,本地网络中的所有设备都有不同的私有IP地址,而它们使用的公共IP地址可以是相同的,一般来说,如果你用谷歌搜索“我的 IP 是什么”,你会找到本地主机使用的确切公共 IP 地址。
每次在 Internet 上发出请求,都会有无数的数据包来回发送,NAT 防火墙用于确保本地网络安全并保护本地设备上的数据。
当数据包穿越内部网络外时,NAT 防火墙会将该私有 IP 地址转换为公共 IP 地址,当来自外网的数据包被发回时,NAT 防火墙将阻止不需要或恶意的数据,以防止黑客通过未经授权的连接潜入您的本地网络。
对于运营商IP城域网、移动网络等大规模互联网应用场景,用户规模大、并发访问密度高、对带宽质量敏感度高,对NAT设备的性能要求更高。
如何正确监控用户的上网行为是一个普遍关注的问题,为此,很多互联网服务提供商都希望NAT能够提供准确的监控手段,以确保安全可靠的上网服务。但是,动态端口的使用和传统的基于五元组的访问控制使得识别应用程序和进行有效监控变得相当困难。
有些厂商的防火墙支持交叉检测,他们可以通过对其特征、用户行为等相关信息进行有效分析,准确识别最常用的应用程序,并采取多种监控手段实现精准的访问控制,包括:
互联网运营往往具有多链路、大并发、高负载、应用类型复杂等特点。有些厂商的防火墙集成了各种技术,提供智能链路选择和负载均衡的解决方案,包括:
NAT 的能力是有限的,一旦访问次数超过容量,系统将无法处理并丢弃这些数据包。单个应用的并发性越来越高,这就需要更大的NAT容量。
有些厂商防火墙独有的端口复用功能,将单个IP地址可NAT的并发会话数最多增加16倍,极大地解除了地址资源有限的访问阻塞,此外,防火墙具有会话限制功能,可以限制每个访问用户的会话数,从而防止过多的异常会话占用NAT容量,影响他人访问互联网。
IPv6作为IPv4地址资源枯竭的解决方案,近年来得到了很大的发展。一些互联网提供商和大学已经建立了与 IPv6 相关的网络。但不可否认,IPv4到IPv6的过渡必须是一个渐进的过程。
因此,路由器、防火墙等支持IPv4协议的关键设备需要提供优秀的IPv6过渡解决方案。
……