CCNA基础 NAT网络地址转换
在计算机网络中,网络地址转换(Network Address Translation,缩写为NAT),也叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。根据规范,路由器是不能这样工作的,但它的确是一个方便并得到了广泛应用的技术。当然,NAT也让主机之间的通信变得复杂,导致通信效率的降低。
一、列举操作系统环境中防火墙
网络层防火墙可视为一种 IP 数据包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许匹配特定规则的数据包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能应用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要数据包不匹配任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用数据包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
1-1、Windows 下 Firewall
1-2、Linux 下 iptables
二、关于进出站以及源目标认识
找了很多资料,都没有很简单的对进出站进行解释。以下为博主自己对进出站理解:
2-1、进站以及出站点
- 假设你是守卫。前面是一条桥,后面是座城堡。
- 关于”inside“入站策略:守卫需要操作桥上来的人。(这就是入站策略。“它是被动的”)
- 关于”outside“出站策略:守卫需要操作城堡出来的人。(这就是出站策略。“它是主动的”)
注意:守卫守护的城堡里面的人,也是需要活动的。
Windows的守卫(firewall)通常比较”通情达理“,Linux的守卫(iptables)是个严厉的家伙。
2-2、源地址与目标地址认识
- 假设你还是守卫。
- 关于”source“源地址:对守卫来说,城堡里面的人。
- 关于“destination”目的地址:对守卫来说,郊外远方的人。
2-3、综合讲解FireWall
FireWall 需要对流量出口和流量入口进行安全防护。
它可以阻止“内部”(城堡)的不当行为,同时可以阻止“外部”(敌人)未知的恶意行为。
三、思科路由器 NAT 服务
(相等关系)ip nat inside source static 192.168.1.22 123.123.123.123
宏观来看:”route“(守卫)将“inside“(城堡),”source“(源地址)”NAT“ 转换相等成了 123.123.123.123。
简单来说:”route“ 把 ”inside接口“ 内部地址”192.168.1.22“ 与 源地址”123.123.123.123“ 画等号。
四、OSI 七层协议详细介绍 (系统位于应用层、网络位于网络层)
693
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
