### [NAT 网关（Network Address Translation Gateway，网络地址转换网关）](https://www.jiyueip.com/topic/1881)

**Published:** 2026-03-05T11:26:49

**Author:** 斑斓

**Excerpt:** NAT 网关（Network Address Translation Gateway，网络地址转换网关） 是云计算网络架构中的一个关键组件，主要用于解决私有网络内的资源访问互联网的问题，同时保障这些资源的安全性。 简单来说，它的作用是让没有

NAT 网关（Network Address Translation Gateway，网络地址转换网关） 是云计算网络架构中的一个关键组件，主要用于解决私有网络内的资源访问互联网的问题，同时保障这些资源的安全性。

简单来说，它的作用是让没有公网 IP 的云服务器（如位于私有子网的数据库、后端应用）能够安全地访问互联网，但阻止互联网主动发起对这些云服务器的连接。

![](https://img.jiyueip.com/wp-content/uploads/2026/03/20260305192544114.png)

### **1\. 核心功能：单向访问**

NAT 网关主要提供SNAT（源地址转换）功能：

-   出向流量（内 →→ 外）：当 VPC 内的云服务器（ECS/EC2）需要访问互联网（例如下载软件包、调用外部 API、更新系统补丁）时，流量会经过 NAT 网关。NAT 网关会将数据包的“源 IP 地址”（私网 IP）替换为 NAT 网关自己的“公网 IP”，然后发给互联网。
    
-   入向流量（外 →→ 内）：互联网返回的响应数据包到达 NAT 网关后，网关会根据记录将“目的 IP”还原为云服务器的私网 IP，并转发给服务器。
    
-   关键限制：互联网无法主动发起连接访问 NAT 网关背后的服务器。因为没有公网 IP 直接绑定在服务器上，且 NAT 网关默认不处理未经请求的入站流量。这天然形成了一道防火墙。
    

### **2\. 为什么要用 NAT 网关？（应用场景）**

想象您有一个典型的三层架构：

-   Web 层：需要被用户访问，所以放在公有子网，绑定公网 IP 或通过负载均衡暴露。
    
-   应用层/数据库层：存储敏感数据或运行核心逻辑，绝对不能直接被互联网访问，所以放在私有子网，只有私网 IP。
    

问题：如果私有子网的服务器需要去互联网下载一个安全补丁，或者调用微信/支付宝的支付接口，怎么办？

-   方案 A（不安全）：给每台服务器绑定公网 IP。 →→ 风险极大，黑客可以直接扫描攻击这些服务器。
    
-   方案 B（推荐）：在私有子网的路由表中配置，将所有指向互联网的流量发给 NAT 网关。 →→ 安全，服务器可以上网，但外界连不上服务器。
    

### **3\. NAT 网关 vs 其他方案**

![](https://img.jiyueip.com/wp-content/uploads/2026/03/20260305192552382.png)

### **4\. 通俗类比**

把 VPC 比作一个封闭的小区：

-   云服务器是小区里的住户（只有门牌号/私网 IP，没有直接对外的电话线）。
    
-   互联网是小区外面的世界。
    
-   NAT 网关就是小区的传达室/门卫。
    
    -   住户想出去（访问互联网）：告诉门卫“我要去超市”，门卫用自己的对外电话帮住户联系，超市回电时打给门卫，门卫再转接给住户。超市只知道门卫的电话，不知道住户的具体门牌号。
        
    -   外人想进来（互联网访问住户）：外人直接打门卫电话想找某个住户，门卫（如果没有预先约定）会直接拒绝：“我们小区不允许外人直接闯入住户家里”。
        

### **5\. 主流云厂商产品**

-   阿里云：NAT 网关（支持 SNAT 和 DNAT，DNAT 可用于端口映射，但主要用途仍是 SNAT）。
    
-   AWS：NAT Gateway（高度托管，按小时和流量收费）。
    
-   腾讯云：NAT 网关。
    
-   华为云：NAT 网关。
    

### **6.示例架构**

#### **6.1 NAT 网关 – 公网访问**

公网 NAT 网关可以将 VPC 内的私网 IPv4 地址转换为 EIP，实现多服务器共享EIP访问公网。

![](https://img.jiyueip.com/wp-content/uploads/2026/03/20260305192618822.png)

![](https://img.jiyueip.com/wp-content/uploads/2026/03/20260305192625258.png)

#### **6.1 NAT 网关 – 私网访问**

 NAT 网关可以将 VPC 内的私网 IPv4 地址转换为 NAT IP，解决地址冲突网络的互访或满足使用指定地址访问的诉求。

##### **私网冲突解决**

网段重叠的 VPC 无法互连，可以使用 VPC NAT 网关对冲突的私网地址进行转换。

![](https://img.jiyueip.com/wp-content/uploads/2026/03/20260305192636593.png)

##### **指定地址访问**

金融证券等受监管行业，云上业务使用 VPC NAT 网关，确保通过固定的、指定的私网IP地址访问本地IDC。

![](https://img.jiyueip.com/wp-content/uploads/2026/03/20260305192643786.png)

### **总结**

NAT 网关是构建安全云架构的标配。如果您有服务器部署在私有子网中，且这些服务器需要访问互联网（下载、更新、调用第三方 API），但不需要被互联网访问，那么 NAT 网关是最佳选择。它既满足了联网需求，又最大程度地收敛了攻击面。



---