NAT隱藏了內網結構，在保證路由器安全的情況下，網路只能“看到”路由器的對外地址，因此一定程度上可以防止外部攻擊內部主機和伺服器。

    NAT地址轉換，廣泛應用在家庭網路中。光貓PPPOE撥號之後獲取一個網路地址，家庭內網終端透過埠複用的方式，共享一個網路地址訪問網際網路。

    NAT地址轉換的核心是一張對映表，（源ip，源port，對映ip，對映port）,簡單的說就是，家庭內網的不同終端的ip地址對映到一個公網地址的不同埠，如下圖所示的例子。

    NAT實現地址轉換的同時，隱藏了內網結構，網路只能看到光貓PPPOE撥號獲取的網路IP地址，內網是不可見的。

    這裡假設光貓撥號後獲取的IP地址是100.65.100.100。內網的一臺終端192.168.1.100訪問網路，經過光貓時，對映到100.65.100.100：1234，那麼網路看到的是100.65.100.100:1234,而不是192.168.1.100。

    NAT對內網的保護，僅限於路由器安全的情況，如果路由器被“攻破”，那麼家庭內網就沒有安全可言了。

    總之，NAT透過埠對映的方式，多個內網終端共享一個公網IP地址的方式訪問網際網路。內網對於網路是不可見的，一定程度上保護了內網安全。

下面某些大V不懂能不能不要瞎答呢，每次百度一下答案不是誤導群眾嗎？你連樓主的意思都沒理解清楚，而且連NAT的基本的五元組都答錯了，誤導什麼呢？我來回答一下樓主的問題。首先，樓主說的沒錯，NAT防止外部主機攻擊內部主機的最基本原理，就是NAT的不可逆的特性。

首先，我們理解一下什麼是NAT，NAT就是訪問網路服務時，源IP地址和源埠的轉換過程。因此NAT是對IP地址和TCP/UDP埠的轉換

我們訪問網路上的服務時，標識我們的網路流量一般有5個關鍵要素，既：源IP、源埠、協議、目的IP、目的埠，這些我們稱之為五元組。也就是我們透過網頁訪問某個網站時，我們實際流量是這樣的

源IP就是我們PC機或者手機獲取的IP，目的IP就是網頁IP，TCP就是使用的網路協議（你可以理解為一種網路技術）、源埠，就是我們PC機使用的TCP埠，目的埠就是網頁使用的埠。也就是我們透過網頁的IP+TCP+網頁的埠，就可以標識我們的訪問目標了。

但是有一種情況需要解決，就是我們PC機或者手機使用私網地址訪問網路服務。私網地址就是我們網路不認識的地址，按照上面的原則，私網地址發出的網路流量在網路會被丟棄的。但是這時候我們只有一個公網地址，但是卻讓更多的人使用網路服務，怎麼辦呢？那就是做NAT，NAT會把多個私網的源IP和源埠，與公網的源IP和多和源埠做一個對映，那麼私網的使用者就可以訪問網路服務了

所謂對映就是直接在訪問網路服務流量時，把私網IP和埠替換成公網IP和埠，所有NAT裝置都有一個替換過程

例如我們家有3個電腦和2個手機要訪問新浪，我們獲得的公網地址是111.100.2.112，百度的網頁服務地址和埠分別是180.97.33.107，我們的家庭NAT上實際儲存了下表中的資訊

這些資訊叫NAT Session，也就是NAT會話表，我們訪問網路時，NAT裝置裡有一堆這種會話表，這是NAT轉換的基本原理，也是NAT更加安全的保證

由於網路流量的私網IP和埠在NAT裝置已經替換成公網IP和埠，那麼在運營商網路只存在NAT轉換後的流量，因此所有的網路使用者只能看到使用者轉換後的公網IP，也就是使用者的私網IP是隱藏起來的，這是第一個安全的措施

但是這不意味著我們內部的私網伺服器就是安全的。NAT裝置做了2個事情來保證我們的私網裝置安排

特性1：使用者的流量必須和NAT Session中的資訊對應，才可能讓流量透過。舉個例子，下面是一個Session，如果NAT做了嚴格五元組檢查，NAT裝置中只有匹配Session表的正反兩條流量可以透過。如下圖，分別是192.168.0.100（1234）訪問180.97.33.107（80）的TCP流量和180.97.33.107（80）訪問192.168.0.100（1234）TCP流量可以，其他流量都要丟棄。

NAT裝置會檢查網路流量和NAT Sesion的對應資訊，不存在NAT session對應的流量全部丟棄。也就是非法攻擊流量如果匹配不上NAT Session，就會被丟棄

特性2：NAT的不可逆特性。什麼叫NAT不可逆？這個又和NAT Session有關。我們剛才說了，必須匹配NAT Session的正反兩條流量才能透過NAT裝置。那麼NAT Session是怎麼建立的？NAT Session必須由私網使用者建立。也就是第一個私網使用者訪問公網的資料才能建立起Session，例如TCP就是由私網訪問公網的第一個TCP SYN包觸發建立NAT Session。

因此不可逆特性就保證了，一般無法從公網（網際網路）主動訪問私網，因為公網主動訪問私網，無法觸發NAT Session的建立，沒有NAT Session的流量都會丟棄。這也就保證了從公網來的攻擊流量無法到達私網PC機，私網PC機會更安全

這就是做了NAT的裝置更加安全的原因，當然這種安全也是相對的。比如NAT裝置的對應規則可能會寬鬆一點等等，這樣會給部分攻擊者可乘之機。但是不可逆和NAT Session規則的匹配特性，的確可以讓我們的主機更安全一些

NAT用於緩解IPv4地址短缺的問題。隱藏了內部網路結構。但它並不是一種攻擊防禦手段，依然可以透過反彈連線等方式穿越NAT，攻擊內部網路

上網的每一個裝置都需要一個IP地址，確切的說是一個公網的IP地址，因為私網IP地址比如說192.168開頭的地址不會被網際網路的路由裝置所路由。而我們目前使用的公網IPV4地址在幾年前已經全部分配完畢，不會再有新的公網IPv4地址。

在上述的過程中可以看出，閘道器需要把私網IP轉換公網IP包括埠號，這個埠號對於外部來說是一個隨機的，資料包在出去之前轉換好，並且做一個對映記錄關係狀態，這樣資料包回來以後才能正確轉發，如果從網際網路上訪問內部裝置，即便是資料能到達閘道器，但是由於閘道器並沒有相應的對映記錄，閘道器也會丟棄該資料包。這樣網際網路上的電腦就無法連線或者攻擊處於內部的主機。只能由內部的主機主動先連線外部主機。

正確的答案是因為nat破壞了端到端的連線。

第一，這句話是什麼意思呢？

因為ipv4地址不夠用，所以使用了nat技術。

nat技術有一個侷限，就是破壞了端到端的通訊。

意思就是你在網際網路上不能訪問，你在路由器後面的那個裝置。

第二，nat是做什麼目的？

因為在網際網路上通訊，大家必須用公網IP。

什麼是公網IP？

你可以這樣理解，比如說我在我家的小名叫做狗剩，

但是如果我要出門上街，我就不能叫狗剩，我就必須得有一個身份證和自己的名字，這個身份證的地址必須是唯一的，這就好比公網IP地址一樣。

什麼是私網IP？

但是狗剩這個名字是我的私網IP地址。

用nat的目的就是把私網IP和公網IP做轉換。

那我出門從狗剩變成了一個有身份證的人，這個過程就是nat轉換。

第三，為什麼nat破壞了端到端的通訊？

因為你在網際網路上無法和對方的私網ip地址直接通訊。

也就是說如果我的小名叫狗剩，那麼社會上估計有10萬個人小名都叫狗剩，那麼如果你要跟狗剩通訊的話，你就沒辦法溝通了，因為你並不知道哪個人是你想通訊的狗剩。

技術上講，我家裡的電腦是192.168.1.100 ，你從網際網路是沒有辦法訪問我的這個地址。因為我這個地址是私有地址，這個地址全世界的家庭內網或是辦公室內網都有可能用這個地址，所以你要訪問這個地址，網際網路的路由器就煞筆了，不知道怎麼去

攻擊前做到引誘也能實現，NAT下只能內網主機主動訪問網路主機，反過來是不行的，網路主機是公開的，但網路主機無法知道內網主機的資訊，就無法實現主動攻擊，如果透過其它途徑讓內網主機感染木馬，讓木馬主動連線網路主機，就具備攻擊的條件了。