NAT(Network Address Translation)

사설 IP주소를 공인 IP주소로 바꿔주는 주소 변환 방식

Static NAT

공인 IP주소와 내부 IP 주소를 1:! 매핑

1. 하나의 내부 IP주소와 하나의 외부 IP주소를 1:1로 미리 지정

2. 외부 주소로 들어온 요청을 미리 지정된 내부주소로 변환하여 내부로 전달

 

사용목적:

사설 대역의 서버가 역할이 많아 포트 포워딩 작업이 많이 필요한 경우

 

해당 사설 서버의 IP를 공인 IP로 맵핑하기 위한 경우

 

Dynamic NAT

'공인 IP 그룹'과 '사설 IP 그룹'을 생성하여 동적으로 Mapping 하는 방식

-NAT를 수행하는 Device에는 NAT Table이 형성되고, NAT Table은 어떤 사설 ip 주소가 어떤 공인 ip 주소로 변환되었는지 매핑 정보를 갖고 있음

-외부에서 응답 트래픽이 돌아오는 경우 NAT Table 정보를 확인하여 원래 출발지 장비에게 전달하는 것이 가능

-NAT Table이 평상시에는 존재하지 않음. 내부에서 외부로 통신하는 경우 임시적으로 생성되는 정보이고, 외부에서 내부로 먼저 접근하는 것은 불가능

- 공인 ip 주소보다 내부 네트워크의 실제 Host 수가 적을 경우 사용

 

PAT or NAPT(Port Address Translation)

:1개의 공인 ip와 다수의 사설 ip 매핑

변환된 ip 주소로는 사내망 호스트들을 구분할 수 없기 때문에 포트번호를 부여하여 구분한다.

 

VIP(Virtual IP)

외부에 노출되는 대표 ip에 운영되고 있는 내부 서버 ip를 여러 개 맵핑 시키는 방식

1(외부 대표 IP): N(내부 IP)

ex)

1.1.1.5:80을 목적지로 하는 HTTP 패킷은 10.1.5.10의 웹서버에 매핑될 수 있고,

1.1.1.5:21을 목적지로 하는 FTP 패킷은 10.1.5.20의 FTP 서버에 매핑 될 수 있으며,

1.1.1.5:25를 목적지로 가지는 SMTP 패킷은 10.1.5.30의 SMTP 서버에 매핑될 수 있다.

 

외부에서 접근하고 확인할 수 있는 목적지 IP 주소(1.1.1.15)는 동일하고 포트만 다르다. 여기서 목적지 대상이 되는 포트번호는 보안장치가 트래픽을 전달할 호스트를 결정한다.

 

MIP(Mapped IP)

MIP는 하나의 외부 IP주소를 내부 IP 주소로 간접적으로 1:1 연결하는 방식이다. 외부 IP인 Public IP와 내부 IP인 Private IP를 1:1로 맵핑하므로 Mapped IP로 불린다.

1(외부 IP 및 포트) : 1(내부 IP 주소 및 포트)

 

대개는 내부서버와 같이 숨겨진 자원을 공개된 IP로 연결하는 데 사용된다.

보안장치는 MIP로 들어오는 트래픽을 연결된 주소가 있는 호스트로 전달하는 역할을 한다.

 

Policy-based NAT-dst(DIP: Dynamic IP)

정책기반으로 NAT Destination IP Address를 변경하는 방식

하나의 목적지 ip 범위를 특정한 ip로 대체해주거나 (N:1) 또는 목적지 IP범위를 또 다른 대역으로 대체하는 (N:M) 형태이다.

 

Policy-based NAT의 경우는, 내부에서 외부로 내보내는 IP 주소를 설정한다.

 

[내부 Trust Zone -> 외부 Untrust Zone]

 

Policy-based NAT에서는 대체하고자 하는 ip대역의 범위(Dynamic IP Address Pool)가 정해져있어서 DIP 방식이라고도 한다.

 DIP는 나가거나 들어오는 IP 패킷의 원본 IP 주소(요청을 보내는 Source IP)에서 NAT를 수행할 때 장치가 동적으로 주소를 사용할 수 있는 IP 주소의 범위를 의미한다.