Vad är nätverksadressöversättning?
Nätverksadressöversättning (NAT) är en process där en nätverksenhet, vanligtvis en brandvägg, tilldelar en offentlig adress till en dator (eller grupp av datorer) i ett privat nätverk. NAT används främst för att begränsa antalet offentliga IP-adresser som en organisation eller ett företag måste använda, av både ekonomiska och säkerhetsmässiga skäl.
Den vanligaste formen av nätverksöversättning innebär att ett stort privat nätverk använder adresser i ett privat intervall (10.0.0.0.0 till 10.255.255.255.255, 172.16.0.0 till 172.31.255.255 eller 192.168.0 0 till 192.168.255.255). Det privata adresseringsschemat fungerar bra för datorer som endast behöver få tillgång till resurser inom nätverket, t.ex. arbetsstationer som behöver tillgång till filservrar och skrivare. Routrar i det privata nätverket kan utan problem dirigera trafik mellan privata adresser. Men för att få tillgång till resurser utanför nätverket, t.ex. Internet, måste dessa datorer ha en offentlig adress för att svaren på deras förfrågningar ska kunna skickas tillbaka till dem. Det är här NAT kommer in i bilden.
Internetförfrågningar som kräver NAT (Network Address Translation) är ganska komplexa men sker så snabbt att slutanvändaren sällan vet att det har skett. En arbetsstation i ett nätverk gör en begäran till en dator på Internet. Routrar inom nätverket känner igen att begäran inte gäller en resurs inom nätverket, så de skickar begäran till brandväggen. Brandväggen ser begäran från datorn med den interna IP-adressen. Den gör sedan samma begäran till Internet med hjälp av sin egen offentliga adress och returnerar svaret från Internetresursen till datorn i det privata nätverket. Ur resursens perspektiv på Internet skickar den information till brandväggens adress. Ur arbetsstationens perspektiv verkar det som om kommunikationen sker direkt med webbplatsen på Internet. När NAT används på detta sätt har alla användare i det privata nätverket som har tillgång till Internet samma offentliga IP-adress när de använder Internet. Det innebär att endast en offentlig adress behövs för hundratals eller till och med tusentals användare.
De flesta moderna brandväggar är stateful – det vill säga att de kan upprätta anslutningen mellan den interna arbetsstationen och Internetresursen. De kan hålla reda på detaljerna i anslutningen, som portar, paketordning och de inblandade IP-adresserna. Detta kallas för att hålla reda på anslutningens tillstånd. På så sätt kan de hålla reda på sessionen som består av kommunikation mellan arbetsstationen och brandväggen, och brandväggen med Internet. När sessionen avslutas kastar brandväggen all information om anslutningen.
Det finns andra användningsområden för NAT (Network Address Translation) än att bara låta arbetsstationer med interna IP-adresser få tillgång till Internet. I stora nätverk kan vissa servrar fungera som webbservrar och kräva åtkomst från Internet. Dessa servrar tilldelas offentliga IP-adresser i brandväggen, så att allmänheten endast kan få tillgång till servrarna via den IP-adressen. Som ett ytterligare säkerhetslager fungerar brandväggen dock som mellanhand mellan omvärlden och det skyddade interna nätverket. Ytterligare regler kan läggas till, bland annat vilka portar som kan nås från den IP-adressen. Genom att använda NAT på det här sättet kan nätverksingenjörer effektivare dirigera intern nätverkstrafik till samma resurser och tillåta åtkomst till fler portar, samtidigt som de begränsar åtkomsten vid brandväggen. Det möjliggör också en detaljerad loggning av kommunikationen mellan nätverket och omvärlden.
Det går dessutom att använda NAT för att tillåta selektiv åtkomst även till utsidan av nätverket. Arbetsstationer eller andra datorer som kräver särskild åtkomst utanför nätverket kan tilldelas specifika externa IP-adresser med hjälp av NAT, så att de kan kommunicera med datorer och program som kräver en unik offentlig IP-adress. Återigen fungerar brandväggen som mellanhand och kan kontrollera sessionen i båda riktningarna genom att begränsa portåtkomst och protokoll.