CCNA基础 NAT网络地址转换

在计算机网络中，网络地址转换（Network Address Translation，缩写为NAT），也叫做网络掩蔽或者IP掩蔽（IP masquerading），是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。根据规范，路由器是不能这样工作的，但它的确是一个方便并得到了广泛应用的技术。当然，NAT也让主机之间的通信变得复杂，导致通信效率的降低。

一、列举操作系统环境中防火墙

网络层防火墙可视为一种 IP 数据包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许匹配特定规则的数据包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能应用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要数据包不匹配任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用数据包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

1-1、Windows 下 Firewall

1-2、Linux 下 iptables

二、关于进出站以及源目标认识

找了很多资料，都没有很简单的对进出站进行解释。以下为博主自己对进出站理解：

2-1、进站以及出站点

• 假设你是守卫。前面是一条桥，后面是座城堡。
• 关于”inside“入站策略：守卫需要操作桥上来的人。（这就是入站策略。“它是被动的”）
• 关于”outside“出站策略：守卫需要操作城堡出来的人。（这就是出站策略。“它是主动的”）

注意：守卫守护的城堡里面的人，也是需要活动的。

Windows的守卫（firewall）通常比较”通情达理“，Linux的守卫（iptables）是个严厉的家伙。

2-2、源地址与目标地址认识

• 假设你还是守卫。
• 关于”source“源地址：对守卫来说，城堡里面的人。
• 关于“destination”目的地址：对守卫来说，郊外远方的人。

2-3、综合讲解FireWall

FireWall 需要对流量出口和流量入口进行安全防护。

它可以阻止“内部”（城堡）的不当行为，同时可以阻止“外部”（敌人）未知的恶意行为。

三、思科路由器 NAT 服务

（相等关系）ip nat inside source static 192.168.1.22 123.123.123.123

宏观来看：”route“（守卫）将“inside“（城堡），”source“（源地址）”NAT“ 转换相等成了 123.123.123.123。

简单来说：”route“ 把 ”inside接口“ 内部地址”192.168.1.22“ 与 源地址”123.123.123.123“ 画等号。

四、OSI 七层协议详细介绍 （系统位于应用层、网络位于网络层）