前言:隨著Internet技術(shù)的不斷以指數(shù)級速度增長,珍貴的網(wǎng)絡(luò)地址分配給專用網(wǎng)絡(luò)終于被視作是一種對寶貴的虛擬房地產(chǎn)的浪費。因此出現(xiàn)了網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)標準,就是將某些IP地址留出來供專用網(wǎng)絡(luò)重復(fù)使用。本文將詳細告訴你如何正確應(yīng)用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)。
一、NAT技術(shù)的定義
NAT英文全稱是Network Address Translation,稱是網(wǎng)絡(luò)地址轉(zhuǎn)換,它是一個IETF標準,允許一個機構(gòu)以一個地址出現(xiàn)在Internet上。NAT將每個局域網(wǎng)節(jié)點的地址轉(zhuǎn)換成一個IP地址,反之亦然。它也可以應(yīng)用到防火墻技術(shù)里,把個別IP地址隱藏起來不被外界發(fā)現(xiàn),使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備,同時,它還幫助網(wǎng)絡(luò)可以超越地址的限制,合理地安排網(wǎng)絡(luò)中的公有Internet 地址和私有IP地址的使用。
二、NAT技術(shù)的基本原理和類型
1、NAT技術(shù)基本原理
NAT技術(shù)能幫助解決令人頭痛的IP地址緊缺的問題,而且能使得內(nèi)外網(wǎng)絡(luò)隔離,提供一定的網(wǎng)絡(luò)安全保障。它解決問題的辦法是:在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址,通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用,其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。 NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。NAT設(shè)備維護一個狀態(tài)表,用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設(shè)備中都被翻譯成正確的IP地址,發(fā)往下一級,這意味著給處理器帶來了一定的負擔(dān)。但對于一般的網(wǎng)絡(luò)來說,這種負擔(dān)是微不足道的。
2、NAT技術(shù)的類型
NAT有三種類型:靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)。其中靜態(tài)NAT設(shè)置起來最為簡單和最容易實現(xiàn)的一種,內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。而動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址,采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。根據(jù)不同的需要,三種NAT方案各有利弊。
動態(tài)地址NAT只是轉(zhuǎn)換IP地址,它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址,主要應(yīng)用于撥號,對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。當(dāng)遠程用戶聯(lián)接上之后,動態(tài)地址NAT就會分配給他一個IP地址,用戶斷開時,這個IP地址就會被釋放而留待以后使用。
網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Network Address Port Translation)是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中,它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不同,它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。
在Internet中使用NAPT時,所有不同的TCP和UDP信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內(nèi)非常實用,通過從ISP處申請的一個IP地址,將多個連接通過NAPT接入Internet。實際上,許多SOHO遠程訪問設(shè)備支持基于PPP的動態(tài)IP地址。這樣,ISP甚至不需要支持NAPT,就可以做到多個內(nèi)部IP地址共用一個外部IP地址上Internet,雖然這樣會導(dǎo)致信道的一定擁塞,但考慮到節(jié)省的ISP上網(wǎng)費用和易管理的特點,用NAPT還是很值得的。
三、在Internet中使用NAT技術(shù)
NAT技術(shù)可以讓你區(qū)域網(wǎng)路中的所有機器經(jīng)由一臺通往Internet的server 線出去,而且只需要注冊該server的一個IP就夠了。 在以往沒有NAT技術(shù)以前,我們必須在server上安裝sockd,并且所有的clients都必須要支援sockd,才能夠經(jīng)過server的sockd連線出去。這種方式最大的問題是,通常只有telnet/ftp/www-browser支援sockd,其它的程式都不能使用;而且使用sockd的速度稍慢。因此我們使用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù),這樣client不需要做任何的更動,只需要把gateway設(shè)到該server上就可以了,而且所有的程式(例如kali/kahn等等) 都可以使用。最簡單的NAT設(shè)備有兩條網(wǎng)絡(luò)連接:一條連接到Internet,一條連接到專用網(wǎng)絡(luò)。專用網(wǎng)絡(luò)中使用私有IP地址(有時也被稱做Network 10地址,地址使用留做專用的從10.0.0.0開始的地址)的主機,通過直接向NAT設(shè)備發(fā)送數(shù)據(jù)包連接到Internet上。與普通路由器不同NAT設(shè)備實際上對包頭進行修改,將專用網(wǎng)絡(luò)的源地址變?yōu)镹AT設(shè)備自己的Internet地址,而普通路由器僅在將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地前讀取源地址和目的地址。
四、應(yīng)用NAT技術(shù)的安全策略
1、應(yīng)用NAT技術(shù)的安全問題
在使用NAT時,Internet上的主機表面上看起來直接與NAT設(shè)備通信,而非與專用網(wǎng)絡(luò)中實際的主機通信。輸入的數(shù)據(jù)包被發(fā)送到NAT設(shè)備的IP地址上,并且NAT設(shè)備將目的包頭地址由自己的Internet地址變?yōu)檎嬲哪康闹鳈C的專用網(wǎng)絡(luò)地址。而結(jié)果是,理論上一個全球唯一IP地址后面可以連接幾百臺、幾千臺乃至幾百萬臺擁有專用地址的主機。但是,這實際上存在著缺陷。例如,許多Internet協(xié)議和應(yīng)用依賴于真正的端到端網(wǎng)絡(luò),在這種網(wǎng)絡(luò)上,數(shù)據(jù)包完全不加修改地從源地址發(fā)送到目的地址。比如,IP安全架構(gòu)不能跨NAT設(shè)備使用,因為包含原始IP 源地址的原始包頭采用了數(shù)字簽名。如果改變源地址的話,數(shù)字簽名將不再有效。 NAT還向我們提出了管理上的挑戰(zhàn)。盡管NAT 對于一個缺少足夠的全球唯一Internet地址的組織、分支機構(gòu)或者部門來說是一種不錯的解決方案,但是當(dāng)重組、 合并或收購需要對兩個或更多的專用網(wǎng)絡(luò)進行整合時,它就變成了一種嚴重的問題。甚至在組織結(jié)構(gòu)穩(wěn)定的情況下,NAT系統(tǒng)不能多層嵌套,從而造成路由噩夢。
2、應(yīng)用NAT技術(shù)的安全策略
當(dāng)我們改變網(wǎng)絡(luò)的IP地址時,都要仔細考慮這樣做會給網(wǎng)絡(luò)中已有的安全機制帶來什么樣的影響。如,防火墻根據(jù)IP報頭中包含的TCP端口號、信宿地址、信源地址以及其它一些信息來決定是否讓該數(shù)據(jù)包通過。可以依NAT設(shè)備所處位置來改變防火墻過濾規(guī)則,這是因為NAT改變了信源或信宿地址。如果一個NAT設(shè)備,如一臺內(nèi)部路由器,被置于受防火墻保護的一側(cè),將不得不改變負責(zé)控制NAT設(shè)備身后網(wǎng)絡(luò)流量的所有安全規(guī)則。在許多網(wǎng)絡(luò)中,NAT機制都是在防火墻上實現(xiàn)的。它的目的是使防火墻能夠提供對網(wǎng)絡(luò)訪問與地址轉(zhuǎn)換的雙重控制功能。除非可以嚴格地限定哪一種網(wǎng)絡(luò)連接可以被進行NAT轉(zhuǎn)換,否則不要將NAT設(shè)備置于防火墻之外。任何一個淘氣的黑客,只要他能夠使NAT誤以為他的連接請求是被允許的,都可以以一個授權(quán)用戶的身份對你的網(wǎng)絡(luò)進行訪問。如果企業(yè)正在邁向網(wǎng)絡(luò)技術(shù)的前沿,并正在使用IP安全協(xié)議(IPSec)來構(gòu)造一個虛擬專用網(wǎng)(VPN)時,錯誤地放置NAT設(shè)備會毀了計劃。原則上,NAT設(shè)備應(yīng)該被置于VPN受保護的一側(cè),因為NAT需要改動IP報頭中的地址域,而在IPSec報頭中該域是無法被改變的,這使可以準確地獲知原始報文是發(fā)自哪一臺工作站的。如果IP地址被改變了,那么IPSec的安全機制也就失效了,因為既然信源地址都可以被改動,那么報文內(nèi)容就更不用說了。那么NAT技術(shù)在系統(tǒng)中我們應(yīng)采用以下幾個策略:
①網(wǎng)絡(luò)地址轉(zhuǎn)換模塊
NAT技術(shù)模塊是本系統(tǒng)核心部分,而且只有本模塊與網(wǎng)絡(luò)層有關(guān),因此,這一部分應(yīng)和Unix系統(tǒng)本身的網(wǎng)絡(luò)層處理部分緊密結(jié)合在一起,或?qū)ζ渲苯舆M行修改。本模塊進一步可細分為包交換子模塊、數(shù)據(jù)包頭替換子模塊、規(guī)則處理子模塊、連接記錄子模塊與真實地址分配子模塊及傳輸層過濾子模塊。
②集中訪問控制模塊
集中訪問控制模塊可進一步細分為請求認證子模塊和連接中繼子模塊。請求認證子模塊主要負責(zé)和認證與訪問控制系統(tǒng)通過一種可信的安全機制交換各種身份鑒別信息,識別出合法的用戶,并根據(jù)用戶預(yù)先被賦予的權(quán)限決定后續(xù)的連接形式。連接中繼子模塊的主要功能是為用戶建立起一條最終的無中繼的連接通道,并在需要的情況下向內(nèi)部服務(wù)器傳送鑒別過的用戶身份信息,以完成相關(guān)服務(wù)協(xié)議中所需的鑒別流程。
③臨時訪問端口表
為了區(qū)分數(shù)據(jù)包的服務(wù)對象和防止攻擊者對內(nèi)部主機發(fā)起的連接進行非授權(quán)的利用,網(wǎng)關(guān)把內(nèi)部主機使用的臨時端口、協(xié)議類型和內(nèi)部主機地址登記在臨時端口使用表中。由于網(wǎng)關(guān)不知道內(nèi)部主機可能要使用的臨時端口,故臨時端口使用表是由網(wǎng)關(guān)根據(jù)接收的數(shù)據(jù)包動態(tài)生成的。對于入向的數(shù)據(jù)包,防火墻只讓那些訪問控制表許可的或者臨時端口使用表登記的數(shù)據(jù)包通過。
④認證與訪問控制系統(tǒng)
認證與訪問控制系統(tǒng)包括用戶鑒別模塊和訪問控制模塊,實現(xiàn)用戶的身份鑒別和安全策略的控制。其中用戶鑒別模塊采用一次性口令(One-Time Password)認證技術(shù)中Challenge/Response機制實現(xiàn)遠程和當(dāng)?shù)赜脩舻纳矸蓁b別,保護合法用戶的有效訪問和限制非法用戶的訪問。它采用Telnet和WEB兩種實現(xiàn)方式,滿足不同系統(tǒng)環(huán)境下用戶的應(yīng)用需求。訪問控制模塊是基于自主型訪問控制策略(DAC),采用ACL的方式,按照用戶(組)、地址(組)、服務(wù)類型、服務(wù)時間等訪問控制因素決定對用戶是否授權(quán)訪問。
⑤網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)
監(jiān)控與入侵檢測系統(tǒng)作為系統(tǒng)端的監(jiān)控進程,負責(zé)接受進入系統(tǒng)的所有信息,并對信息包進行分析和歸類,對可能出現(xiàn)的入侵及時發(fā)出報警信息;同時如發(fā)現(xiàn)有合法用戶的非法訪問和非法用戶的訪問,監(jiān)控系統(tǒng)將及時斷開訪問連接,并進行追蹤檢查。
⑥基于WEB的防火墻管理系統(tǒng)
管理系統(tǒng)主要負責(zé)網(wǎng)絡(luò)地址轉(zhuǎn)換模塊、集中訪問控制模塊、認證與訪問控制系統(tǒng)、監(jiān)控系統(tǒng)等模塊的系統(tǒng)配置和監(jiān)控。它采用基于WEB的管理模式,由于管理系統(tǒng)所涉及到的信息大部分是關(guān)于用戶帳號等敏感數(shù)據(jù)信息,故應(yīng)充分保證信息的安全性,我們采用JAVA APPLET技術(shù)代替CGI技術(shù),在信息傳遞過程中采用加密等安全技術(shù)保證用戶信息的安全性。
結(jié)尾:盡管NAT技術(shù)可以給我們帶來各種好處,例如無需為網(wǎng)絡(luò)重分IP地址、減少ISP帳號花費以及提供更完善的負載平衡功能等,NAT技術(shù)對一些管理和安全機制的潛在威脅仍在,看你如何正確應(yīng)用好網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù).
