首页 文学文摘 时政新闻 科技科普 经济法律 健康生活 管理财经 教育教学 文化艺术 社科历史
电子技术与软件工程

首页>科技科普>电子技术与软件工程> 2015年第10期

网络地址转换技术(NAT)的应用

作者:孙媛 来源:电子技术与软件工程

随着网络技术的迅猛发展,为解决网络地址日益短缺,局域网内计算机不能拥有合法的IP地址,内部网络完全暴露在网络中等问题,出现了一种网络地址转换(NAT)技术,本文介绍了网络地址转换(NAT)技术的定义原理及安全策略。

【关键词】NAT 静态转换NAT 动态地址NAT

随着网络技术的迅猛发展,网络地址日益短缺,局域网内计算机不能拥有合法的IP地址,内部网络完全暴露在网络中,为了解决这些问题,出现了一种网络地址转换(NAT)技术,它可以留出部分IP地址供专用网络重复使用,可以有效的解决公网地址不足。那么怎样应用网络地址转换(NAT)技术呢?

1 网络地址转换技术的定义

NAT是Network Address Translation的简写,中文意思是“网络地址转换”,它是一个IETF(国际互联网工程任务组,一个公开性质的大型民间国际团体)标准,可以将一个内部网络转换为一个公有IP地址出现在网络上。这样外界就无法直接访问内部网络设备,从而保护内部网络的安全。同时,它也变相的扩展了网络地址,合理安排网络中的公有地址和私有IP地址的使用。

2 NAT技术的基本原理

NAT技术特别有效的解决IP地址紧缺的问题,而且可以做到内部网络和外部网络的隔离,从而保障了网络的安全。当以内部网络的私有地址向外部网络(Internet)发送数据包的时候,NAT通过修改IP包头将内部私有IP地址转换成合法的公有IP地址,一次也就不需要大幅度修改内部网络的私有地址的分配,这样就满足内网设备和外网通信的需求。由于内部IP地址被NAT替换成了公网IP地址,设备对于外网用户来说就显得“不透明”,可以保证设备安全性。另外内部私有地址和外部公有地址是相互对应的,使得我们可以只使用少量的公网IP地址实现私有地址网络内所有计算机与外部网络的通信需求。NAT功能大多会被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个用来把非法的IP地址映射到合法的IP地址上去的状态表。

3 NAT技术的类型

NAT技术常见的三种类型:静态转换NAT(Static NAT)、动态转换NAT(Pooled NAT)、网络地址端口转换NAPT(PAT)。

3.1 静态转换NAT

将每个拥有内部地址的计算机都映射成外部网络中的一个合法的IP地址,其中的IP地址是一对一的一成不变的,由管理员指定私有IP地址和公有IP地址的对应关系,实现了外部网络对内部网络中特定设备的访问,这样就可以将中小型的内部网络隐藏在一个合法的IP地址后面。

3.2 动态地址NAT

在外部网络中定义了一些合法地址,它们是采用动态分配的方法将地址映射到内部网络,IP地址是随机的,不是一一对应的。所有被允许授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。当然必须指定的内部地址和外部地址,才能进行转换。动态地址NAT只是转换IP地址,为每个内部的IP地址分配一个临时的外部IP地址。

3.3 网络地址端口NAT

可以将一个中小型的网络隐藏在一个合法的IP地址后面,普遍应用于接入设备中。不同与动态地址NAT是它将内部地址映射到外部网络中一个加上了由NAT设备选定的TCP端口号的单独的IP地址上。这样可以达到一个公有地址对应多个私有地址的一对多的转换。内部网络的计算机可共享一个合法的外部IP地址是实现对外部网络的访问,不同内部主机产生的流量用不同的随机端口进行标示。同时,又可隐藏网络内部网络,避免来自外界攻击。

4 应用NAT技术的安全策略

4.1 应用NAT技术的安全问题

应用了NAT技术,可以将内网数据包中的地址更改成统一的对外地址信息,外网是直接与NAT通信,不是与专用网络的主机通信。这个对外地址背后可能连接着成百上千甚至上万拥有专用地址的主机,这是存在缺陷的。在网络协议和应用中是需要端对端的网络,需要数据包不加修改的从源地址发送到目的地址。在IP安全架构不能跨NAT设备使用,因为原始IP 源地址的原始包头采用了数字签名。若改变源地址的话,数字签名就会失效。另外当需要对两个或多个专用网络进行重组合并和收购时,因为NAT系统不能多层嵌套,从而造成路由困扰。

4.2 应用NAT技术的安全策略

在许多网络中,NAT机制都是在防火墙上实现的。它的目的是实现防火墙提供对网络访问与地址转换的双重控制功能,那么NAT技术在系统中我们应采用以下几个策略:

4.2.1 网络地址转换模块

网络地址转换模块是NAT技术核心部分,只有它与网络层有关,可对其直接进行修改。本部分可细分为包交换、数据包头替换、规则处理、连接记录与真实地址分配及传输层过滤等几大子模块组成。

4.2.2 集中访问控制模块

本模块可细分为请求认证和连接中继两个子模块。请求认证子模块主要负责和认证交换各种身份鉴别信息,并根据合法的用户权限进行后续的连接。连接中继子模块主要是为用户建立起一条无中继的连接通道,可以向内部服务器传送鉴别过的用户身份信息,完成相关服务协议中所需的鉴别流程。

4.2.3 临时访问端口表

对于流入的数据包,防火墙只让那些访问控制表许可的或者临时端口使用表(包含内部主机使用的临时端口、协议类型和内部主机地址等信息的由网关根据接收的数据包动态生成的)登记的数据包通过。

4.2.4 认证与访问控制系统

它包括用户鉴别和访问控制两大模块,可以对用户的身份鉴别以及安全策略的控制。用户鉴别模块采用一次性口令认证技术实现远程和当地用户的身份鉴别,保护和限制用户的访问。根据系统环境的不同需求采用Telnet和WEB两种实现方式。访问控制模块是基于自主型访问控制策略(DAC),采用访问控制列表(ACL)的方式,按照用户(组)、地址(组)、服务类型、服务时间等访问控制因素决定用户的访问授权。

4.2.5 网络安全监控系统

它负责对接受进入系统的信息进行分析和归类。对可能出现的入侵及时告警,监控系统还会及时断开非法访问和非法用户的访问连接,并追踪检查。

4.2.6 基于WEB的防火墙管理系统

主要负责地址转换系统各模块的系统配置和监控。采用基于WEB的管理模式,因管理系统涉及到用户账户等敏感数据信息,我们采用JAVA APPLET技术代替CGI技术,在信息传递过程中采用加密等安全技术保证用户信息的安全性。

作者单位

大连财经学院 辽宁省大连市 116622

热门推荐
电子杂志 更多 +