Mi az a hálózati címfordítás?
A hálózati címfordítás (NAT) az a folyamat, amelynek során egy hálózati eszköz, általában egy tűzfal, nyilvános címet rendel egy számítógéphez (vagy számítógépcsoporthoz) egy magánhálózaton belül. A NAT fő felhasználási területe az, hogy korlátozza a nyilvános IP-címek számát, amelyet egy szervezetnek vagy vállalatnak használnia kell, mind gazdaságossági, mind biztonsági okokból.
A hálózati fordítás leggyakoribb formája egy nagy magánhálózat, amely egy privát tartományba tartozó címeket használ (10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, vagy 192.168.0 0-192.168.255.255.255). A privát címzési séma jól működik olyan számítógépek esetében, amelyeknek csak a hálózaton belüli erőforrásokhoz kell hozzáférniük, mint például a fájlkiszolgálókhoz és nyomtatókhoz hozzáférést igénylő munkaállomások. A magánhálózaton belüli útválasztók gond nélkül továbbíthatják a forgalmat a magáncímek között. A hálózaton kívüli erőforrások, például az internet eléréséhez azonban ezeknek a számítógépeknek nyilvános címmel kell rendelkezniük ahhoz, hogy a kéréseikre adott válaszok visszaérkezzenek hozzájuk. Itt jön a képbe a NAT.
A hálózati címfordítást (NAT) igénylő internetes kérések meglehetősen összetettek, de olyan gyorsan történnek, hogy a végfelhasználó ritkán veszi észre, hogy ez megtörtént. Egy hálózaton belüli munkaállomás kérést intéz egy interneten lévő számítógéphez. A hálózaton belüli útválasztók felismerik, hogy a kérés nem a hálózaton belüli erőforráshoz szól, ezért a kérést a tűzfalhoz küldik. A tűzfal látja a belső IP-címmel rendelkező számítógép kérését. Ezután ugyanezt a kérést az internetre küldi a saját nyilvános címével, és az internetes erőforrás válaszát visszaküldi a magánhálózaton belüli számítógépnek. Az internetes erőforrás szempontjából a tűzfal címére küld információt. A munkaállomás szempontjából úgy tűnik, hogy a kommunikáció közvetlenül az interneten lévő oldallal történik. Ha a NAT-ot ilyen módon használják, akkor a magánhálózaton belül az internethez hozzáférő összes felhasználónak ugyanaz a nyilvános IP-címe van, amikor az internetet használják. Ez azt jelenti, hogy csak egy nyilvános címre van szükség több száz vagy akár több ezer felhasználó számára.
A legtöbb modern tűzfal állapotfüggő – azaz képes a belső munkaállomás és az internetes erőforrás közötti kapcsolatot létrehozni. Nyomon tudják követni a kapcsolat részleteit, például a portokat, a csomagok sorrendjét és az érintett IP-címeket. Ezt nevezik a kapcsolat állapotának nyomon követésének. Ily módon képesek nyomon követni a munkaállomás és a tűzfal, valamint a tűzfal és az internet közötti kommunikációból álló munkamenetet. Amikor a munkamenet véget ér, a tűzfal elveti a kapcsolatra vonatkozó összes információt.
A hálózati címfordításnak (NAT) más felhasználási területei is vannak azon túl, hogy egyszerűen lehetővé teszi a belső IP-címekkel rendelkező munkaállomások számára az internet elérését. Nagy hálózatokban egyes kiszolgálók webkiszolgálóként működhetnek, és igénylik az internetről való hozzáférést. Ezek a kiszolgálók nyilvános IP-címeket kapnak a tűzfalon, így a nyilvánosság csak ezen az IP-címen keresztül férhet hozzá a kiszolgálókhoz. A biztonság további szintjeként azonban a tűzfal közvetítő szerepet tölt be a külvilág és a védett belső hálózat között. További szabályok adhatók hozzá, beleértve azt is, hogy mely portok érhetők el az adott IP-címen. A NAT ilyen módon történő használata lehetővé teszi a hálózati mérnökök számára, hogy a belső hálózati forgalmat hatékonyabban irányítsák ugyanazon erőforrásokhoz, és több porthoz engedélyezzék a hozzáférést, miközben a tűzfalnál korlátozzák a hozzáférést. Emellett lehetővé teszi a hálózat és a külvilág közötti kommunikáció részletes naplózását is.
A NAT emellett arra is használható, hogy szelektív hozzáférést engedélyezzen a hálózaton kívülre is. A NAT segítségével a munkaállomásokhoz vagy más, a hálózaton kívüli különleges hozzáférést igénylő számítógépekhez speciális külső IP-címeket lehet rendelni, lehetővé téve számukra az egyedi nyilvános IP-címet igénylő számítógépekkel és alkalmazásokkal való kommunikációt. A tűzfal itt is közvetítőként működik, és mindkét irányban ellenőrizheti a munkamenetet, korlátozhatja a port-hozzáférést és a protokollokat.