网络地址转换简称NAT.NAT 技术主要是为了解决网络公开地址不足而出现的。网络地址转换..

软考在线 | 计算机技术与软件专业技术资格（水平）考试 | [请选择科目]

[ 成为 VIP会员 ] 登录 | 注册

我的

购物车

件

科目切换

联系我们

| [请选择科目]

VIP：有效提升20分！真题历年真题 (可免费开通)/ 百科全书/ 机考模拟平台/ 最难真题榜/ 自测/ 攻打黄金十二宫/ 真题检索/ 真题下载/ 真题词库

知识必会知识榜/ 最难知识榜/ 知识点查询/ 文档学习计划/ 精华笔记/ 试题文档纸质图书《百科全书》HOT！！/ / 首页/ 2025年上半年专区/ 手机版/

免费智能真题库 > 历年试卷 > 信息安全工程师 > 2022年下半年信息安全工程师上午试卷综合知识

第32题

知识点：网络地址转换技术 IP地址地址映射端口实现方式网络地址转换

关键词： IP地址地址映射端口网络地址网络章/节：防火墙类型与实现技术

网络地址转换简称NAT.NAT 技术主要是为了解决网络公开地址不足而出现的。网络地址转换的实现方式中，把内部地址映射到外部网络的一个IP地址的不同端口的实现方式被称为()。

A. 静态NAT

B. NAT池

C. 端口NAT

D. 应用服务代理

确定并查看答案解析知识点讲解

我要标记有奖找茬上一题下一题

更多>

第23题 2017年上半年

69%

以下关于NAT的说法中，错误的是（）。

第8题 2024年下半年

包过滤技术防火墙在过滤数据包时，一般不关心（63）。

第36题 2021年下半年

33%

包过滤是在IP层实现的防火墙技术，根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。..


知识点讲解
· 网络地址转换技术 · IP地址 · 地址映射 · 端口 · 实现方式 · 网络地址转换

网络地址转换技术

NAT是Network Address Translation的英文缩写，中文含义是“网络地址转换”。NAT技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网IP地址和大量主机之间的矛盾。但NAT技术用在网络安全应用方面，则能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高了内部网络的安全性。基于NAT技术的防火墙上配置有合法的公共IP地址集，当内部某一用户访问外网时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。实现网络地址转换的方式主要有：静态NAT（StaticNAT）、NAT池（pooledNAT）和端口NAT（PAT）三种类型。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而NAT池则是在外部网络中配置合法地址集，采用动态分配的方法映射到内部网络。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。目前，许多路由器产品都具有NAT功能。开源操作系统Linux自带的IPtables防火墙支持地址转换技术。

IP地址

Internet地址是按名字来描述的，这种地址表示方式易于理解和记忆。实际上，Internet中的主机地址是用IP地址来唯一标识的。这是因为Internet中所使用的网络协议是TCP/IP协议，故每个主机必须用IP地址来标识。

每个IP地址都由4个小于256的数字组成，数字之间用“.”分开。Internet的IP地址共有32位，4个字节。它表示时有两种格式：二进制格式和十进制格式。二进制格式是计算机所认识的格式，十进制格式是由二进制格式“翻译”过去的，主要是为了便于使用和掌握。例如，十进制IP地址129.102.4.11的表示方法与二进制的表示方法10000001011001100000010000001011相同，显然表示成带点的十进制格式则方便得多。

域名和IP地址是一一对应的，域名易于记忆，便于使用，因此得到比较普遍的使用。当用户和Internet上的某台计算机交换信息时，只需要使用域名，网络则会自动地将其转换成IP地址，找到该台计算机。

Internet中的地址可分为5类：A类、B类、C类、D类和E类。各类的地址分配方案如下图所示。在IP地址中，全0代表的是网络，全1代表的是广播。

各类地址分配方案

A类网络地址占有1个字节（8位），定义最高位为0来标识此类地址，余下7位为真正的网络地址，支持1~126个网络。后面的3个字节（24位）为主机地址，共提供2²⁴-2个端点的寻址。A类网络地址第一个字节的十进制值为000~127。

B类网络地址占有2个字节，使用最高两位为10来标识此类地址，其余14位为真正的网络地址，主机地址占后面的2个字节（16位），所以B类全部的地址有（2¹⁴-2）×（2¹⁶-2）=16 382×65 534个。B类网络地址第一个字节的十进制值为128~191。

C类网络地址占有3个字节，它是最通用的Internet地址。使用最高三位为110来标识此类地址，其余21位为真正的网络地址，因此C类地址支持2²¹-2个网络。主机地址占最后1个字节，每个网络可多达2⁸-2个主机。C类网络地址第一个字节的十进制值为192~223。

D类地址是相当新的。它的识别头是1110，用于组播，例如用于路由器修改。D类网络地址第一个字节的十进制值为224~239。

E类地址为实验保留，其识别头是1111。E类网络地址第一个字节的十进制值为240~255。

网络软件和路由器使用子网掩码（Subnet Mask）来识别报文是仅存放在网络内部还是被路由转发到其他地方。在一个字段内，1的出现表明一个字段包含所有或部分网络地址，0表明主机地址位置。例如，最常用的C类地址使用前三个8位来识别网络，最后一个8位识别主机。因此，子网掩码是255.255.255.0。

子网地址掩码是相对特别的IP地址而言的，如果脱离了IP地址就毫无意义。它的出现一般是跟着一个特定的IP地址，用来为计算这个IP地址中的网络号部分和主机号部分提供依据。换句话说，就是在写一个IP地址后，再指明哪些是网络号部分，哪些是主机号部分。子网掩码的格式与IP地址相同，所有对应网络号的部分用1填上，所有对应主机号的部分用0填上。

A类、B类、C类IP地址类默认的子网掩码如下表所示。

带点十进制符号表示的默认子网掩码

如果需要将网络进行子网划分，此时子网掩码可能不同于以上默认的子网掩码。例如，138.96.58.0是一个8位子网化的B类网络ID。基于B类的主机ID的8位被用来表示子网化的网络，对于网络138.96.39.0，其子网掩码应为255.255.255.0。

例如，一个B类地址172.16.3.4，为了直观地告诉大家前16位是网络号，后16位是主机号，就可以附上子网掩码255.255.0.0（11111111111111110000000000000000）。

假定某单位申请的B类地址为179.143.XXX.XXX。如果希望把它划分为14（至少占二进制的4位）个虚拟的网络，则需要占4位主机位，子网使用掩码为255.255.240.0~255.255.255.0来建立子网。每个LAN可有2¹²-2个主机，且各子网可具有相同的主机地址。

假设一个组织有几个相对大的子网，每个子网包括了25台左右的计算机；而又有一些相对较小的子网，每个子网大概只有几台计算机。这种情况下，可以将一个C类地址分成6个子网（每个子网可以包含30台计算机），这样解决了很大的问题。但是出现了一个新的情况，那就是大的子网基本上完全利用了IP地址范围，但是小的子网却造成了许多IP地址的浪费。为了解决这个新的难题，避免任何的IP浪费，就出现了允许应用不同大小的子网掩码来对IP地址空间进行子网划分的解决方案。这种新的方案就叫作可变长子网掩码（VLSM）。

VLSM用一个十分直观的方法来表示，那就是在IP地址后面加上“/网络号及子网络号编址位数”。例如，193.168.125.0/27就表示前27位表示网络号。

例如，给定135.41.0.0/16的基于类的网络ID，所需的配置是为将来使用保留一半的地址，其余的生成15个子网，达到2000台主机。

由于要为将来使用保留一半的地址，完成了135.41.0.0的基于类的网络ID的1-位子网化，生成两个子网135.41.0.0/17和135.41.128.0/17，子网135.41.128.0/17被选作为将来使用所保留的地址部分；135.41.0.0/17被继续生成子网。

为达到划分2000台主机的15个子网的要求，需要将135.41.128.0/17的子网化的网络ID的4-位子网化。这就产生了16个子网（135.41.128.0/21，135.41.136.0/21，…，135.41.240.0/21，135.41.248.0/21），允许每个子网有2046台主机。最初的15个子网化的网络ID（135.41.128.0/21~135.41.240.0/21）被选定为网络ID，从而实现了要求。

现在的IP协议的版本号为4，所以也称之为IPv4，为了方便网络管理员阅读和理解，使用了4个十进制数中间加小数点“.”来表示。但随着因特网的膨胀，IPv4不论从地址空间上，还是协议的可用性上都无法满足因特网的新要求。因此出现了一个新的IP协议IPv6，它使用了8个十六进制数中间加小数点“.”来表示。IPv6将原来的32位地址扩展成为128位地址，彻底解决了地址缺乏的问题。

地址映射

如前所述，当一个任务被加载到内存后，它的各个连续的逻辑页面，被分散地存放在若干个不连续的物理页面当中。在这种情形下，为了保证程序能够正确地运行，需要把程序中使用的逻辑地址转换为内存访问时的物理地址，也就是地址映射。

那么如何将一个逻辑地址映射为相应的物理地址呢？在页式存储管理当中，连续的逻辑地址空间被划分为一个个的逻辑页面，这些逻辑页面被装入到不同的物理页面当中。也就是说，系统是以页面为单位来进行处理的，而不是以一个个的字节为单位。因此，地址映射的基本思路是：

.逻辑地址分析：对于给定的一个逻辑地址，找到它所在的逻辑页面，以及它在页面内的偏移地址；

.页表查找：根据逻辑页面号，从页表中找到它所对应的物理页面号；

.物理地址合成：根据物理页面号及页内偏移地址，确定最终的物理地址。

逻辑地址分析

由于页面的大小一般都是2的整数次幂，因此，人们可以很方便地进行逻辑地址的分析。具体来说，对于给定的一个逻辑地址，可以直接把它的高位部分作为逻辑页面号，把它的低位部分作为页内偏移地址。例如，假设页面的大小是4KB，即2¹²，逻辑地址为32位。那么在一个逻辑地址当中，最低的12位就是页内偏移地址，而剩下的20位就是逻辑页面号。

下图是逻辑地址分析的一个例子，在这个例子中，逻辑地址用十六进制形式表示。假设页面的大小为1KB，逻辑地址为0x3BAD。在这种情形下，首先把这个十六进制的地址展开为二进制的形式。然后，由于页面的大小为1KB，即2的10次方，所以这个逻辑地址的最低10位，就表示页内偏移地址，而剩下的最高6位，就表示逻辑页面号。因此，该地址的逻辑页面号是0x0E，页内偏移地址是0x03AD。

逻辑地址分析的例子

如果逻辑地址不是用十六进制，而是用十进制的形式来表示，那么有两种做法：一是先把它转换为十六进制的形式，然后重复刚才的步骤。二是采用如下的计算方法：

逻辑页面号=逻辑地址／页面大小

页内偏移量=逻辑地址%页面大小

用页面大小去除逻辑地址，得到的商就是逻辑页面号；得到的余数就是页内偏移地址。例如，假设页面的大小为2KB，现在要计算逻辑地址7145的逻辑页面号和页内偏移地址。用2048去除7145，得到的商是3，余数是1001。所以这个逻辑地址的逻辑页面号是3，页内偏移地址是1001。实际上，这个算法和刚才的十六进制的方法是完全等价的。从二进制运算的角度来看，一个是右移操作，一个是除法操作。把一个整数右移N位等价于把它除以2^N。

页表查找

对于给定的一个逻辑地址，如果知道其逻辑页面号，就可以去查找页表，从中找到相应的物理页面号。

在具体实现上，页表通常是保存在内核的地址空间中，因为它是操作系统的一个数据结构。另外，为了能够访问页表的内容，在硬件上要增加一对寄存器。一个是页表基地址寄存器，用来指向页表的起始地址；另一个是页表长度寄存器，用来指示页表的大小，即对于当前任务，它总共包含有多少个页面。操作系统在进行任务切换的时候，会去更新这两个寄存器当中的内容。

物理地址合成

对于给定的一个逻辑地址，如果已经知道了它所对应的物理页面号和页内偏移地址，可以采用简单的叠加算法，计算出最终的物理地址。假设物理页面号为f，页内偏移地址为offset，每个页面的大小为2ⁿ，那么相应的物理地址为：f×2ⁿ+offset。

下图是页式存储管理当中的地址映射机制，也是以上各个步骤的一个综合。假设在程序的运行过程中，需要去访问某个内存单元，因此就给出了这个内存单元的逻辑地址。如前所述，这个逻辑地址由两部分组成，一是逻辑页面号，二是页内偏移地址。这个分析工作是由硬件自动来完成的，对用户是透明的。在页表基地址寄存器当中，存放的是当前任务的页表首地址。将这个首地址与逻辑页面号相加，就找到相应的页表项。里面存放的是这个逻辑页面所对应的物理页面号。将这个物理页面号取出来，与页内偏移地址进行组合，从而得到最终的物理地址。然后就可以用这个物理地址去访问内存。

页式存储管理中的地址映射

现有的这种地址映射方案，虽然能够实现从逻辑地址到物理地址的转换，但它有一个很大的问题。当程序运行时需要去访问某个内存单元，例如，去读写内存当中的一个数据，或是去内存取一条指令，需要访问2次内存。第一次是去访问页表，取出物理页面号；第二次才是真正去访问数据或指令。也就是说，内存的访问效率只有50%。这样，就会降低获取数据的存取速度，进而影响到整个系统的使用效率。为了解决这个问题，人们又引入了快表的概念。它的基本思路来源于对程序运行过程的一个观察结果。对于绝大多数的程序，它们在运行时倾向于集中地访问一小部分的页面。因此，对于它们的页表来说，在一定时间内，只有一小部分的页表项会被经常地访问，而其他的页表项则很少使用。根据这个观察结果，人们在MMU中增加了一种特殊的快速查找硬件：TLB（Translation Lookaside Buffer），或者叫关联存储器，用来存放那些最常用的页表项。这种硬件设备能够把逻辑页面号直接映射为相应的物理页面号，不需要再去访问内存当中的页表，这样就缩短了页表的查找时间。

在TLB方式下，地址映射的过程略有不同。当一个逻辑地址到来时，它首先会到TLB当中去查找，看这个逻辑页面号所在的页表项是否包含在TLB当中，这个查找的速度是非常快的，因为它是以并行的方式进行。如果能够找到的话，就直接从TLB中把相应的物理页面号取出来，与页内偏移地址拼接成最终的物理地址。如果在TLB中没有找到该逻辑页面，那只能采用通常的地址映射方法，去访问内存当中的页表。接下来，硬件还会在TLB当中寻找一个空闲单元，如果没有空闲单元，就把某一个页表项驱逐出来，然后把刚刚访问过的这个页表项添加到TLB当中。这样，如果下次再来访问这个页面，就可以在TLB中找到它。

页式存储管理方案的优点是：

（1）没有外碎片，而且内碎片的大小不会超过页面的大小。这是因为系统是以页面来作为内存分配的基本单位，每一个页面都能够用上，不会浪费。只是在任务的某一些页面当中，可能没有装满，里面有一些内碎片。

（2）程序不必连续存放，它可以分散地存放在内存的不同位置，从而提高了内存利用率。

（3）便于管理。

页式存储管理方案的缺点主要有：

（1）程序必须全部装入内存，才能够运行。如果一个程序的规模大于当前的空闲空间的总和，那么它就无法运行。

（2）操作系统必须为每一个任务都维护一张页表，开销比较大。简单的页表结构已经不能满足要求，必须设计出更为复杂的结构，如多级页表结构、哈希页表结构、反置页表等。

端口

在TCP/IP网络中，传输层的所有服务都包含端口号，它们可以唯一区分每个数据包包含哪些应用协议。端口系统利用这种信息来区分包中的数据，尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型，并把它交给合适的高层软件。

端口号和设备IP地址的组合通常称作插口（socket）。任何TCP/IP实现所提供的服务都用知名的1～1023之间的端口号。这些知名端口号由Internet号分配机构（Internet Assigned Numbers Authority, IANA）来管理。例如，SMTP所用的TCP端口号是25，POP3所用的TCP端口号是110，DNS所用的UDP端口号为53，WWW服务使用的TCP端口号为80。FTP在客户与服务器的内部建立两条TCP连接，一条是控制连接，端口号为21；另一条是数据连接，端口号为20。

256～1023之间的端口号通常由UNIX系统占用，以提供一些特定的UNIX服务。也就是说，提供一些只有UNIX系统才有的而其他操作系统可能不提供的服务。

在实际应用中，用户可以改变服务器上各种服务的保留端口号，但要注意，在需要服务的客户端也要改为同一端口号。

实现方式

IPSec可以在端系统或者安全网关中实现，也可以在现有的IP实现中集成IPSec，这种方法需要能够修改现有IP实现的源码;BITS（Bump In The Stack）实现方式是在已有的IP协议栈中实现IPSec，使之存在于IP协议和网络驱动器之间;BITW（Bump In The Wire）实现方式是在外部的加密机中实现IPSec，从而在两个路由器或两个主机之间形成安全隧道。

IPSec的一个重要实现方式是基于VPN（Visual Private Network）的加密机制，由IPSec构成的加密IP隧道，提供了不同介质和地域网间的安全透明连接。

网络地址转换

NAT的全称是Network Address Translation，它通过一种把内部私有IP地址翻译成合法的正式网络IP地址技术，允许整体机构以一个公用IP地址出现在Internet上。

NAT的工作原理如下图所示。

NAT工作原理

从上图中可以看出，采用NAT共享Internet连接时，各主机在局域网内部通信时，使用内部私有IP地址，而当内部主机要和外部网络进行通信时，就由NAT服务器将内部私有IP地址转换成公用IP地址。此时内部网络对于外部网络来说是不可见的，而且内部计算机用户也意识不到NAT服务器的存在。NAT技术很好地解决了公共IP地址紧缺的问题，但也存在一些缺点，满足不了一些网络应用的要求。

NAT有三种类型：静态NAT（Static NAT）、动态地址NAT（Pooled NAT）和地址复用PAT（Port Address Translation）。

静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

动态地址NAT则只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号。对于频繁的远程连接也可以采用动态NAT。当连接上远程用户之后，动态地址NAT就会分配给它一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。

地址复用PAT能使多个内部地址映射到同一个合法的IP地址上，所以也可称作"多对一"NAT。通过使用PAT可以让成百上千个私有IP地址节点使用一个合法的IP地址访问Internet。PAT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。PAT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备指定的TCP端口号。当NAT服务器接收到外部网络返回的应答信息时，会根据地址中的TCP端口号判断将数据包转发到网络中发起该访问请求的主机。

下面介绍如何在Windows Server 2003中配置NAT，具体步骤如下。

（1）单击"开始"按钮，在"管理工具"中选择"路由和远程访问"命令，打开如下图所示的"路由和远程访问"窗口。

"路由和远程访问"窗口

（2）在左窗格中右击服务器名，在弹出的快捷菜单中选择"配置并启用路由和远程访问"命令，如下图所示，打开安装向导，如下图所示。

启动配置命令

"路由和远程访问服务器安装向导"对话框

（3）单击"下一步"按钮，在如下图所示的"配置"界面中，选中"网络地址转换"单选按钮。

"配置"界面

（4）单击"下一步"按钮，打开如下图所示的"NAT Internet连接"界面，此处要为NAT选择一个Internet接口。若使用的是固定连接，则选中"使用此公共接口连接到Internet"单选按钮，并在下面的列表中选中此连接。若使用的是拨号连接到Internet，则选中"创建一个新的到Internet的请求拨号接口"单选按钮。这里我们选中"使用此公共接口连接到Internet"单选按钮。

"NAT Internet连接"界面

（5）单击"下一步"按钮，在打开的如下图所示的界面中单击"完成"按钮，向导开始配置并启动路由和远程访问服务，配置后的控制台界面如下图所示。

"正在完成路由和远程访问服务器安装向导"界面

配置NAT后的"路由和远程访问"控制台

题号导航 2022年下半年信息安全工程师上午试卷综合知识

本试卷我的完整做题情况



	第32题在手机中做本题

在线人数

共计 15444人在线

Dcl-2008-h..	charles201..	yaohaibo03..	wtr999@126..	delisi@126..	wanghaifen..
755252398@..	511710065@..	zhangxin29..	sunweimin@..	shl751014@..	jxncfengti..
mengqixian..	zhongqiang..	younglaw01..	wu_di999@s..	tuchf@icca..	lxf@aiai.e..
xljiang@wh..	6fw1@163.c..	azyzb@126...	5442627_fs..	chenzx0629..	hesht2006@..
samuel.xu@..	wodexiajia..	zuiyu1986@..	bfmso.luji..	pamela.081..	zywang998@..
yanmin158@..	wangxingju..	nokia3230a..	eileen525@..	674856747@..	jjfwolong@..
chenglang1..	ccxzhj@163..	apple_3124..	lxxhhss@ya..	sunyanan20..	hahupaint@..

本网站所有产品设计（包括造型，颜色，图案，观感，文字，产品，内容），功能及其展示形式，均已受版权或产权保护。
任何公司及个人不得以任何方式复制部分或全部，违者将依法追究责任，特此声明。
本站部分内容来自互联网或由会员上传，版权归原作者所有。如有问题，请及时联系我们。

京B2-20210865 | 京ICP备2020040059号-5 |