如何應用NAT位址轉移

前言：随着Internet技術的不斷以指數級速度增長，珍貴的網絡位址配置設定給專用網絡終于被視作是一種對寶貴的虛拟房地産的浪費。是以出現了網絡位址轉換(NAT)标準，就是将某些IP位址留出來供專用網絡重複使用。本文将詳細告訴你如何正确應用網絡位址轉換NAT技術。

　　一、NAT技術的定義

　　NAT英文全稱是Network Address Translation，稱是網絡位址轉換，它是一個IETF标準，允許一個機構以一個位址出現在Internet上。NAT将每個區域網路節點的位址轉換成一個IP位址，反之亦然。它也可以應用到防火牆技術裡，把個别IP位址隐藏起來不被外界發現，使外界無法直接通路内部網絡裝置，同時，它還幫助網絡可以超越位址的限制，合理地安排網絡中的公有Internet 位址和私有IP位址的使用。

　　二、NAT技術的基本原理和類型

　　1、NAT技術基本原理

　　NAT技術能幫助解決令人頭痛的IP位址緊缺的問題，而且能使得内外網絡隔離，提供一定的網絡安全保障。它解決問題的辦法是：在内部網絡中使用内部位址，通過NAT把内部位址翻譯成合法的IP位址在Internet上使用，其具體的做法是把IP包内的位址域用合法的IP位址來替換。 NAT功能通常被內建到路由器、防火牆、ISDN路由器或者單獨的NAT裝置中。NAT裝置維護一個狀态表，用來把非法的IP位址映射到合法的IP位址上去。每個包在NAT裝置中都被翻譯成正确的IP位址，發往下一級，這意味着給處理器帶來了一定的負擔。但對于一般的網絡來說，這種負擔是微不足道的。

　　2、NAT技術的類型

　　NAT有三種類型：靜态NAT(Static NAT)、動态位址NAT(Pooled NAT)、網絡位址端口轉換NAPT（Port－Level NAT）。其中靜态NAT設定起來最為簡單和最容易實作的一種，内部網絡中的每個主機都被永久映射成外部網絡中的某個合法的位址。而動态位址NAT則是在外部網絡中定義了一系列的合法位址，采用動态配置設定的方法映射到内部網絡。NAPT則是把内部位址映射到外部網絡的一個IP位址的不同端口上。根據不同的需要，三種NAT方案各有利弊。

　　動态位址NAT隻是轉換IP位址，它為每一個内部的IP位址配置設定一個臨時的外部IP位址，主要應用于撥号，對于頻繁的遠端聯接也可以采用動态NAT。當遠端使用者聯接上之後，動态位址NAT就會配置設定給他一個IP位址，使用者斷開時，這個IP位址就會被釋放而留待以後使用。

　　網絡位址端口轉換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉換方式。NAPT普遍應用于接入裝置中，它可以将中小型的網絡隐藏在一個合法的IP位址後面。NAPT與動态位址NAT不同，它将内部連接配接映射到外部網絡中的一個單獨的IP位址上，同時在該位址上加上一個由NAT裝置標明的TCP端口号。

　　　 在Internet中使用NAPT時，所有不同的TCP和UDP資訊流看起來好像來源于同一個IP位址。這個優點在小型辦公室内非常實用，通過從ISP處申請的一個IP位址，将多個連接配接通過NAPT接入Internet。實際上，許多SOHO遠端通路裝置支援基于PPP的動态IP位址。這樣，ISP甚至不需要支援NAPT，就可以做到多個内部IP位址共用一個外部IP位址上Internet，雖然這樣會導緻信道的一定擁塞，但考慮到節省的ISP上網費用和易管理的特點，用NAPT還是很值得的。

　　三、在Internet中使用NAT技術

　　NAT技術可以讓你區域網路中的所有機器經由一台通往Internet的server 線出去，而且隻需要注冊該server的一個IP就夠了。 在以往沒有NAT技術以前，我們必須在server上安裝sockd，并且所有的clients都必須要支援sockd，才能夠經過server的sockd連線出去。這種方式最大的問題是，通常隻有telnet/ftp/www-browser支援sockd，其它的程式都不能使用；而且使用sockd的速度稍慢。是以我們使用網絡位址轉換NAT技術，這樣client不需要做任何的更動，隻需要把gateway設到該server上就可以了，而且所有的程式(例如kali/kahn等等) 都可以使用。最簡單的NAT裝置有兩條網絡連接配接：一條連接配接到Internet，一條連接配接到專用網絡。專用網絡中使用私有IP位址（有時也被稱做Network 10位址，位址使用留做專用的從10.0.0.0開始的位址）的主機，通過直接向NAT裝置發送資料包連接配接到Internet上。與普通路由器不同NAT裝置實際上對標頭進行修改，将專用網絡的源位址變為NAT裝置自己的Internet位址，而普通路由器僅在将資料包轉發到目的地前讀取源位址和目的位址。

　　四、應用NAT技術的安全政策

　　1、應用NAT技術的安全問題

　　在使用NAT時，Internet上的主機表面上看起來直接與NAT裝置通信，而非與專用網絡中實際的主機通信。輸入的資料包被發送到NAT裝置的IP位址上，并且NAT裝置将目的標頭位址由自己的Internet位址變為真正的目的主機的專用網絡位址。而結果是，理論上一個全球唯一IP位址後面可以連接配接幾百台、幾千台乃至幾百萬台擁有專用位址的主機。但是，這實際上存在着缺陷。例如，許多Internet協定和應用依賴于真正的端到端網絡，在這種網絡上，資料包完全不加修改地從源位址發送到目的位址。比如，IP安全架構不能跨NAT裝置使用，因為包含原始IP 源位址的原始標頭采用了數字簽名。如果改變源位址的話，數字簽名将不再有效。 NAT還向我們提出了管理上的挑戰。盡管NAT 對于一個缺少足夠的全球唯一Internet位址的組織、分支機構或者部門來說是一種不錯的解決方案，但是當重組、 合并或收購需要對兩個或更多的專用網絡進行整合時，它就變成了一種嚴重的問題。甚至在組織結構穩定的情況下，NAT系統不能多層嵌套，進而造成路由噩夢。

　　2、應用NAT技術的安全政策

　　當我們改變網絡的IP位址時，都要仔細考慮這樣做會給網絡中已有的安全機制帶來什麼樣的影響。如，防火牆根據IP報頭中包含的TCP端口号、信宿位址、信源位址以及其它一些資訊來決定是否讓該資料包通過。可以依NAT裝置所處位置來改變防火牆過濾規則，這是因為NAT改變了信源或信宿位址。如果一個NAT裝置，如一台内部路由器，被置于受防火牆保護的一側，将不得不改變負責控制NAT裝置身後網絡流量的所有安全規則。在許多網絡中，NAT機制都是在防火牆上實作的。它的目的是使防火牆能夠提供對網絡通路與位址轉換的雙重控制功能。除非可以嚴格地限定哪一種網絡連接配接可以被進行NAT轉換，否則不要将NAT裝置置于防火牆之外。任何一個淘氣的黑客，隻要他能夠使NAT誤以為他的連接配接請求是被允許的，都可以以一個授權使用者的身份對你的網絡進行通路。如果企業正在邁向網絡技術的前沿，并正在使用IP安全協定（IPSec）來構造一個虛拟專用網（×××）時，錯誤地放置NAT裝置會毀了計劃。原則上，NAT裝置應該被置于×××受保護的一側，因為NAT需要改動IP報頭中的位址域，而在IPSec報頭中該域是無法被改變的，這使可以準确地獲知原始封包是發自哪一台工作站的。如果IP位址被改變了，那麼IPSec的安全機制也就失效了，因為既然信源位址都可以被改動，那麼封包内容就更不用說了。那麼NAT技術在系統中我們應采用以下幾個政策：

　　①網絡位址轉換子產品

　　NAT技術子產品是本系統核心部分，而且隻有本子產品與網絡層有關，是以，這一部分應和Unix系統本身的網絡層處理部分緊密結合在一起，或對其直接進行修改。本子產品進一步可細分為包交換子子產品、資料標頭替換子子產品、規則處理子子產品、連接配接記錄子子產品與真實位址配置設定子子產品及傳輸層過濾子子產品。

　　②集中通路控制子產品

　　集中通路控制子產品可進一步細分為請求認證子子產品和連接配接中繼子子產品。請求認證子子產品主要負責和認證與通路控制系統通過一種可信的安全機制交換各種身份鑒别資訊，識别出合法的使用者，并根據使用者預先被賦予的權限決定後續的連接配接形式。連接配接中繼子子產品的主要功能是為使用者建立起一條最終的無中繼的連接配接通道，并在需要的情況下向内部伺服器傳送鑒别過的使用者身份資訊，以完成相關服務協定中所需的鑒别流程。

　　③臨時通路端口表

　　為了區分資料包的服務對象和防止攻擊者對内部主機發起的連接配接進行非授權的利用，網關把内部主機使用的臨時端口、協定類型和内部主機位址登記在臨時端口使用表中。由于網關不知道内部主機可能要使用的臨時端口，故臨時端口使用表是由網關根據接收的資料包動态生成的。對于入向的資料包，防火牆隻讓那些通路控制表許可的或者臨時端口使用表登記的資料包通過。

　　④認證與通路控制系統

　　認證與通路控制系統包括使用者鑒别子產品和通路控制子產品，實作使用者的身份鑒别和安全政策的控制。其中使用者鑒别子產品采用一次性密碼（One-Time Password）認證技術中Challenge/Response機制實作遠端和當地使用者的身份鑒别，保護合法使用者的有效通路和限制非法使用者的通路。它采用Telnet和WEB兩種實作方式，滿足不同系統環境下使用者的應用需求。通路控制子產品是基于自主型通路控制政策（DAC），采用ACL的方式，按照使用者（組）、位址（組）、服務類型、服務時間等通路控制因素決定對使用者是否授權通路。

　　⑤網絡安全監控系統

　　監控與入侵檢測系統作為系統端的監控程序，負責接受進入系統的所有資訊，并對資訊包進行分析和歸類，對可能出現的入侵及時發出報警資訊；同時如發現有合法使用者的非法通路和非法使用者的通路，監控系統将及時斷開通路連接配接，并進行追蹤檢查。

　　⑥基于WEB的防火牆管理系統

　　管理系統主要負責網絡位址轉換子產品、集中通路控制子產品、認證與通路控制系統、監控系統等子產品的系統配置和監控。它采用基于WEB的管理模式，由于管理系統所涉及到的資訊大部分是關于使用者帳号等敏感資料資訊，故應充分保證資訊的安全性，我們采用JAVA APPLET技術代替CGI技術，在資訊傳遞過程中采用加密等安全技術保證使用者資訊的安全性。

　　結尾：盡管NAT技術可以給我們帶來各種好處，例如無需為網絡重分IP位址、減少ISP帳号花費以及提供更完善的負載平衡功能等，NAT技術對一些管理和安全機制的潛在威脅仍在，看你如何正确應用好網絡位址轉換NAT技術.

　　

　　作者:徐炳廉