NAT技术潜在的管理和安全的威胁

　　在NAT应用中，从外网表面上看来是直接与NAT设备通信。当内部网络的数据包被发送到NAT设备的IP地址上，NAT设备将目的数据包头地址由自己的一个合法IP地址变成真正的目的主机的内部网络地址。理论上实现起来没有问题，但是实际中存在一些缺陷。然而NAT对多个专用网络的合并和组合时，NAT系统不支持多层嵌套，从网络管理方面加大了难度。

　　许多Internet协议和应用依赖于真正的端到端网络，数据包要求在没有修改情况下从源地址发往目的地址。像IP安全架构不能跨NAT设备使用，由于IP源地址发出的数据包采用了数字签名，如果改变源地址数字签名就会失效。在数据加密和数字签名上存在着安全隐患。NAT技术能够隐藏内部网络，但是攻击者获得对NAT设备的控制，并认为是内部连接的请求而被允许，它可以任意授权身份对网络进行访问，这时候网络将变得非常脆弱。

　　NAT设备的放置位置也是影响内部网络安全的一个问题。由于NAT会改变信源和信宿地址，如NAT设备和防火墙的位置，放在防火墙保护的一侧，防火墙将不得不负责NAT设备的安全规则，同时对内部的信源或信宿地址也不能确定。如果放在防火墙的另一侧，外部网络攻击者有可能伪装成内部的合法授权用户对网络的访问或攻击。在使用IP安全协议的虚拟专用网中对NAT设备的放置位置也是一个考验，如果放在虚拟专用网的保护一侧，NAT需要改动IP报头的地址，然而IP安全协议中的报头源地址是不能改变的，改变了将不能确定源报头的出处，失去了IP安全协议中的安全机制。NAT技术的管理与网络的安全是密切相关的，由于NAT设备小的疏忽而造成网络安全威胁。

    总结

　　NAT技术无可否认是在IPv4地址资源的短缺时候起到了缓解作用；在减少用户申请ISP服务的花费和提供比较完善的负载平衡功能等方面带来了不少好处。但是在IPv4地址在以后几年将会枯竭，NAT技术不能改变IP地址空间不足的本质。然而在安全机制上也潜在着威胁，在配置和管理上也是一个挑战。如果要从根本上解决IP地址资源的问题，IPv6才是最根本之路。在IPv4转换到IPv6的过程中，NAT技术确实是一个不错的选择，相对其他的方案优势也非常明显。