Wie funktioniert NAT?
NAT funktioniert, indem es eine Firewall fungieren als Vermittler für den Datenverkehr, der in das geschützte Netzwerk ein- und ausgeht. Eingehender Datenverkehr wird an eine öffentlich zugängliche IP-Adresse weitergeleitet, die in der Firewall in eine interne IP-Adresse übersetzt wird, bevor der Datenverkehr an sein Ziel weitergeleitet wird. Die Quelladressen des ausgehenden Datenverkehrs werden auf ähnliche Weise von privaten, internen IP-Adressen auf öffentliche, externe IP-Adressen aktualisiert.
Die Technologie funktioniert ähnlich wie die Telefonsysteme vieler Unternehmen. Das Unternehmen veröffentlicht eine einzige, öffentliche Rufnummer für externe Anrufer. Sobald ein Kunde diese Nummer anruft, wird er basierend auf den Details seiner Anfrage an ein bestimmtes internes Telefon weitergeleitet.
Bedeutung von NAT
NAT hat einige verschiedene Vorteile, aber einer der bedeutendsten ist, dass es die Skalierbarkeit des IPv4-Adressierungsschemas dramatisch erhöht hat. Das IPv4-System verfügt über weniger als 4,3 Milliarden mögliche Adressen und es sind über 20 Milliarden Geräte mit dem Internet verbunden.
Bei einer Eins-zu-Eins-Zuordnung von IP-Adressen zu Gerät wäre der Pool verfügbarer Adressen des IPv4-Protokolls schon vor Jahren erschöpft gewesen, was einen Wechsel zu IPv6 erforderlich gemacht hätte. Mit NAT können jedoch viele mit dem Internet verbundene Geräte dieselbe öffentliche IPv4-Adresse verwenden, wodurch der IPv4-Standard an die Nachfrage angepasst werden kann.
Arten der Netzwerkadressübersetzung
NAT kann auf verschiedene Arten implementiert werden, darunter:
- Statisches NAT: Statisches NAT ordnet eine interne IP-Adresse eins zu eins einer externen zu. Dies trägt nicht zur Skalierbarkeit von IPv4 bei, macht aber ein System von außerhalb des Netzwerks erreichbar, ohne interne Adressierungsschemata zu stören.
- Dynamisches NAT: Mit Dynamic NAT verfügt eine Firewall über einen Pool externer IP-Adressen, die sie bei Bedarf internen Computern zuweist. Wie bei Static NAT wird hierdurch eine Eins-zu-eins-Zuordnung zwischen internen und externen IP-Adressen erstellt; Diese Zuordnungen sind jedoch nicht dauerhaft.
- Portadressenübersetzung (PAT): PAT wird verwendet, um Viele-zu-Eins-Zuordnungen zwischen internen und externen IP-Adressen zu erstellen. Die Firewall verwendet für mehrere Systeme dieselbe IP-Adresse, weist jedoch jedem einen anderen TCP- oder UDP-Port zu. Da einer einzelnen IP-Adresse 65.535 Ports zugeordnet sein können, ermöglicht PAT, dass eine einzelne externe IP-Adresse Tausende von Geräten in einem privaten Netzwerk repräsentiert. PAT ist die Anwendung von NAT, die die Skalierung von IPv4-Adressen ermöglicht.
NAT-Konfiguration
Die Details eines NAT Firewall-Konfiguration hängen von der Art des NAT ab, das von einer Organisation verwendet wird. Statisches NAT und PAT können beispielsweise eine einzige externe IP-Adresse haben, während dynamisches NAT mehrere hat.
Für alle NAT-Konfigurationen kann eine Organisation private IP-Adressen innerhalb ihres lokalen Netzwerks (LANs) verwenden. Die IPv4-Bereiche 10.0.0.0/8, 172.16. 0,0/12 und 192,168. 0.0/16 sind nur für den internen Gebrauch bestimmt. Geräten im LAN einer Organisation kann eine dieser Adressen zugewiesen werden, diese Adressen können jedoch nicht außerhalb des Netzwerks der Organisation geroutet werden.
Der Übersetzungsprozess von der internen, privaten Adresse zur externen, öffentlichen Adresse hängt vom verwendeten NAT-Schema ab. In allen Fällen muss der Datenverkehr eine Firewall passieren, die die Übersetzung durchführt. Diese Firewall kann die Header eingehender und ausgehender Pakete basierend auf internen Nachschlagetabellen neu schreiben, zwischen IP-Adressen konvertieren oder Datenverkehr einem bestimmten Port an einer gemeinsam genutzten Adresse zuweisen.
Wie verbessert die Netzwerk-Adressübersetzung die Sicherheit?
NAT verbessert nicht nur die Skalierbarkeit von IPv4, sondern bietet auch erhebliche Sicherheitsvorteile. Diese beinhalten:
- Grenzdurchsetzung: Mit NAT sind die privaten IP-Adressen, die innerhalb des Unternehmens-LAN verwendet werden, nicht von außen routbar. Dies erzwingt Netzwerkgrenzen und zwingt den Datenverkehr dazu, durch die Netzwerk-Firewall zu fließen, da externe Systeme nicht wissen, mit welchem Computer sie Kontakt aufnehmen sollen, selbst wenn sie die Firewall umgehen könnten. Indem man den Verkehr zwingt, durch a zu fließen Firewall der nächsten Generation (NGFW) stellt NAT sicher, dass der gesamte ein- und ausgehende Datenverkehr überprüft werden kann, bevor er an sein Ziel weitergeleitet wird.
- Verbesserte Privatsphäre: NAT macht die interne Netzwerkstruktur einer Organisation von außerhalb des Netzwerks undurchsichtig. Externe Systeme sehen eine einzelne IP-Adresse oder eine Reihe sich häufig ändernder IP-Adressen, was es schwierig macht, eine Karte des internen Netzwerks einer Organisation für spätere Angriffe zu erstellen.
NAT im Check Point NGFW
NAT kann dazu beitragen, die Sicherheit eines Unternehmens zu erhöhen, indem es den gesamten Datenverkehr dazu zwingt, eine Netzwerk-Firewall zu passieren. Dies bietet jedoch nur dann Sicherheitsvorteile, wenn diese Firewall bösartigen Netzwerkverkehr erkennen und blockieren kann. Um mehr darüber zu erfahren, worauf Sie bei einer NGFW achten sollten, lesen Sie hier buyer’s guide.
Check Point NGFWs bieten leistungsstarke NAT-Funktionalität sowie Bedrohungspräventionsfunktionen der Enterprise-Klasse. Sie sind herzlich eingeladen, die Check Point Firewall in Aktion zu sehen Melden Sie sich für eine kostenlose Demo an.
Feedback