IPSec与NAT共存.docVIP

IPSec与NAT共存 日期：2004-9-9????浏览次数： 5728 IPSec与NAT共存 网络安全和网络地址转换的应用已经十分广泛，单就其中任何一种技术来说，都是很不错的。但是，如何将两个好技术共用又使它们可以和平共处，是很多人正在思考和试图解决的问题。 问题何在？ 网络安全IPSec（IP Security）和网络地址转换NAT（Net Address Translation）应用已经十分广泛了，但是要使它们运行在一起，却不是一件 容易的事。 从IP技术的角度来看，NAT对IP的低层进行了修改，对IP是一种“背叛”；而从应用的角度来看，网络管理人员必须要处理网络地址的问题，NAT使用户可以采取多种方式把自己的网络和主机对外部公共网络隐藏起来，是一种好的工具。现在，无论是大企业还是中小企业，都在使用NAT。 与NAT类似，IPSec也是一种好工具，它使用户可以安全地通过Internet连接到远程终端。然而，由于IPSec协议架构本身以及缺乏支持IPSec的NAT设备等因素的影响，当IPSec和NAT在一起运行时就会出现很多问题。解决这些问题最简单的办法，就是再增加一个路由器来运行NAT和虚拟专用网VPN。 可是，对于多数情况来说，并没有多余的路由器来执行这一功能。 “IP的背叛者”NAT 尽管NAT是“IP的背叛者”，但它能解决令人头痛的IP地址紧缺问题，而且能使内外网络隔离，并提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，即把IP包内的地址域用合法的IP地址来替换。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。 NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。根据不同的需要，三种NAT方案各有利弊。 三种NAT类型 静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。 动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程连接也可以采用动态NAT。当远程用户连接上之后，动态地址NAT就会分配给其一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。 网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。 在Internet中使用NAPT时，所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址上Internet。虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理等特点，采用NAPT还是很值得的。 “跨国安全卫士”IPSec IPSec是一个能在Internet上保证通道安全的开放标准。在不同的国家中，跨国企业面临不同的密码长度进出口限制。IPSec能使网络用户和开发商采用各不相同的加密算法和关键字长，从而解决令跨国机构头痛的安全问题。 IPSec生成一个标准平台，来开发安全网络和两台机器之间的电子隧道。通过IPSec的安全隧道，在数据包可以传送的网络中生成像电路那样的连接。IPSec在远地用户之间和在本地网中生成这样的隧道，它也把每个数据包封在一个新的包中，该新包中包含了建立、维持和不再需要时拆掉隧道所必需的信息。 对需要在很多设备之间安全连接的大型网络而言，为确保数据安全，IPSec是一个理想的方法。 部署了IPSec的用户能确保其网络基础设施的安全，而不会影响各台计算机上的应用程序。此套协议是用做对网络基础设施的纯软件升级。这既允许实现安全性，又没有花什么钱对每台计算机进行改造。最重要的是，IPSec允许不同的网络设备、PC机和其他计算系统之间实现互通。 IPSec有两种模式—─传输模式和隧道模式。传输模式只能应用于主机对主机的IPSec虚拟专用网VPN中; 隧道模式主要应用于主机到网关的远程接入的情况。 IPSec协议的两个要点