ネットワーク アドレス変換とは

ネットワーク アドレス変換 (NAT) とは、ネットワーク デバイス (通常はファイアウォール) がプライベート ネットワーク内のコンピューター (またはコンピューターのグループ) にパブリック アドレスを割り当てる処理のことです。

ネットワーク変換の最も一般的な形態は、プライベート範囲 (10.0.0.0 ~ 10.255.255, 172.16.0.0 ~ 172.31.255, または 192.168.0 ~ 192.168.255.255) のアドレスを使用して、大きなプライベート ネットワークを使用することです。 プライベートアドレス方式は、ファイルサーバーやプリンターにアクセスする必要があるワークステーションのように、ネットワーク内のリソースにのみアクセスする必要があるコンピューターに適しています。 プライベートネットワーク内のルーターは、プライベートアドレス間のトラフィックを問題なくルーティングできます。 しかし、インターネットのようなネットワーク外のリソースにアクセスするには、これらのコンピューターが要求に対する応答を返すためにパブリックアドレスを持つ必要があります。

ネットワーク アドレス変換 (NAT) を必要とするインターネット要求は非常に複雑ですが、非常に迅速に発生するので、エンド ユーザーはそれが発生したことにほとんど気づきません。 ネットワーク内のワークステーションは、インターネット上のコンピューターに要求を出します。 ネットワーク内のルーターは、そのリクエストがネットワーク内のリソースに対するものでないことを認識し、リクエストをファイアウォールに送ります。 ファイアウォールは、内部IPを持つコンピューターからのリクエストを見ます。 そして、自分のパブリックアドレスを使ってインターネットに同じリクエストを出し、インターネットのリソースからプライベートネットワーク内のコンピューターにレスポンスを返します。 インターネット上のリソースから見れば、ファイアウォールのアドレスに情報を送っていることになる。 ワークステーションから見ると、インターネット上のサイトと直接通信しているように見える。 このようにNATを使うと、プライベートネットワーク内のユーザーがインターネットにアクセスするとき、すべてのユーザーが同じパブリックIPアドレスを持つことになる。

最近のほとんどのファイアウォールはステートフルです。つまり、内部のワークステーションとインターネット リソース間の接続をセットアップすることができます。 つまり、内部のワークステーションとインターネット リソースの間の接続を設定することができます。ポート、パケット順序、関係する IP アドレスなど、接続の詳細を追跡することができます。 これは、接続の状態を追跡することと呼ばれる。 このようにして、ワークステーションとファイアウォール、およびファイアウォールとインターネットの間の通信からなるセッションを追跡することができる。 セッションが終了すると、ファイアウォールは接続に関するすべての情報を破棄します。

ネットワーク アドレス変換 (NAT) には、単に内部の IP アドレスを持つワークステーションがインターネットにアクセスできるようにするだけでなく、他の用途もあります。 大規模なネットワークでは、一部のサーバーが Web サーバーとして動作し、インターネットからのアクセスを必要とする場合があります。 このようなサーバーには、ファイアウォール上でパブリックIPアドレスが割り当てられ、一般ユーザーはそのIPアドレスを通じてのみサーバーにアクセスできるようになる。 しかし、セキュリティの追加レイヤーとして、ファイアウォールは外部世界と保護された内部ネットワークとの仲介役として機能する。 さらに、そのIPアドレスでアクセス可能なポートなどのルールを追加することも可能だ。 このようにNATを利用することで、ネットワークエンジニアは、ファイアウォールでアクセスを制限しながら、内部ネットワークのトラフィックを同じリソースに効率的にルーティングし、より多くのポートへのアクセスを許可することができます。

さらに、NAT は、ネットワークの外部への選択的なアクセスも許可するために使用することができます。 ネットワーク外部への特別なアクセスを必要とするワークステーションやその他のコンピューターは、NAT を使用して特定の外部 IP を割り当てられ、固有のパブリック IP アドレスを必要とするコンピューターやアプリケーションと通信できるようになります。 この場合も、ファイアウォールは仲介役として機能し、ポート アクセスやプロトコルを制限して、双方向のセッションを制御することができます。