What is Network Address Translation (NAT)?

NATの仕組み

NATは、 ファイアウォール 保護されたネットワークに出入りするトラフィックの仲介役として機能します。 受信トラフィックは公開されている IP アドレスに転送され、トラフィックが宛先に送信される前に、ファイアウォールの内部 IP アドレスに変換されます。 送信トラフィックの送信元アドレスも同様に、プライベートな内部 IP アドレスからパブリックな外部 IP アドレスに更新されます。

このテクノロジーは、多くの組織の電話システムと同様に機能します。 この会社は、外部発信者用に 1 つの公開番号を公開しています。 顧客がこの番号に電話をかけると、要求の詳細に基づいて特定の内部電話に転送されます。

ネットワーク アドレス変換の種類

NAT は、次のようないくつかの方法で実装できます。

• スタティック NAT: スタティック NAT は、内部 IP アドレスを外部 IP アドレスに 1 対 1 でマッピングします。 これは IPv4 のスケーラビリティには役立ちませんが、内部のアドレッシング スキームを中断することなく、ネットワークの外部からシステムに到達できるようにします。
• ダイナミック NAT: 動的 NAT では、ファイアウォールには外部 IP アドレスのプールがあり、必要に応じて内部コンピュータに割り当てられます。 スタティック NAT と同様に、内部 IP アドレスと外部 IP アドレスの間に 1 対 1 のマッピングが作成されます。ただし、これらのマッピングは永続的ではありません。
• ポート アドレス変換(PAT): PAT は、内部 IP アドレスと外部 IP アドレスの間に多対 1 のマッピングを作成するために使用されます。 ファイアウォールは、複数のシステムに同じIPアドレスを使用しますが、それぞれに異なるTCPまたはUDPポートを割り当てます。 1 つの IP アドレスに 65,535 個のポートを関連付けることができるため、PAT では 1 つの外部 IP アドレスでプライベート ネットワーク上の数千のデバイスを表すことができます。 PAT は、IPv4 アドレスの拡張を可能にする NAT のアプリケーションです。

ネットワークアドレス変換はセキュリティをどのように向上させるのか?

NAT は、IPv4 のスケーラビリティを向上させるだけでなく、セキュリティ上の大きな利点ももたらします。 これらには以下が含まれます:

• 境界の強制: NAT では、企業 LAN 内で使用されるプライベート IP アドレスは、外部からルーティングできません。 これにより、ネットワーク境界が適用され、外部システムはファイアウォールをバイパスできる機能を持っていたとしても、どのコンピューターに接続すればよいかわからないため、トラフィックはネットワーク ファイアウォールを通過するようになります。 トラフィックが 次世代ファイアウォール (NGFW)の場合、NAT は、宛先にルーティングされる前に、すべてのインバウンドおよびアウトバウンド トラフィックを検査できるようにします。
• プライバシーの向上: NAT は、組織の内部ネットワーク構造をネットワークの外部から不透明にします。 外部システムは、単一のIPアドレスまたは頻繁に変更される一連のIPアドレスを認識するため、後の攻撃で使用する組織の内部ネットワークのマップを作成することは困難です。