网络地址转换技术（NAT）的应用.docVIP

网络地址转换技术（NAT）的应用 　　随着网络技术的迅猛发展，为解决网络地址日益短缺，局域网内计算机不能拥有合法的IP地址，内部网络完全暴露在网络中等问题，出现了一种网络地址转换（NAT）技术，本文介绍了网络地址转换（NAT）技术的定义原理及安全策略。 　　【关键词】NAT 静态转换NAT 动态地址NAT 　　随着网络技术的迅猛发展，网络地址日益短缺，局域网内计算机不能拥有合法的IP地址，内部网络完全暴露在网络中，为了解决这些问题，出现了一种网络地址转换（NAT）技术，它可以留出部分IP地址供专用网络重复使用，可以有效的解决公网地址不足。那么怎样应用网络地址转换（NAT）技术呢？ 　　1 网络地址转换技术的定义 　　NAT是Network Address Translation的简写，中文意思是“网络地址转换”，它是一个IETF（国际互联网工程任务组，一个公开性质的大型民间国际团体）标准，可以将一个内部网络转换为一个公有IP地址出现在网络上。这样外界就无法直接访问内部网络设备，从而保护内部网络的安全。同时，它也变相的扩展了网络地址，合理安排网络中的公有地址和私有IP地址的使用。 　　2 NAT技术的基本原理 　　NAT技术特别有效的解决IP地址紧缺的问题，而且可以做到内部网络和外部网络的隔离，从而保障了网络的安全。当以内部网络的私有地址向外部网络（Internet）发送数据包的时候，NAT通过修改IP包头将内部私有IP地址转换成合法的公有IP地址，一次也就不需要大幅度修改内部网络的私有地址的分配，这样就满足内网设备和外网通信的需求。由于内部IP地址被NAT替换成了公网IP地址，设备对于外网用户来说就显得“不透明”，可以保证设备安全性。另外内部私有地址和外部公有地址是相互对应的，使得我们可以只使用少量的公网IP地址实现私有地址网络内所有计算机与外部网络的通信需求。NAT功能大多会被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个用来把非法的IP地址映射到合法的IP地址上去的状态表。 　　3 NAT技术的类型 　　NAT技术常见的三种类型：静态转换NAT（Static NAT）、动态转换NAT（Pooled NAT）、网络地址端口转换NAPT（PAT）。 　　3.1 静态转换NAT 　　将每个拥有内部地址的计算机都映射成外部网络中的一个合法的IP地址，其中的IP地址是一对一的一成不变的，由管理员指定私有IP地址和公有IP地址的对应关系，实现了外部网络对内部网络中特定设备的访问，这样就可以将中小型的内部网络隐藏在一个合法的IP地址后面。 　　3.2 动态地址NAT 　　在外部网络中定义了一些合法地址，它们是采用动态分配的方法将地址映射到内部网络，IP地址是随机的，不是一一对应的。所有被允许授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。当然必须指定的内部地址和外部地址，才能进行转换。动态地址NAT只是转换IP地址，为每个内部的IP地址分配一个临时的外部IP地址。 　　3.3 网络地址端口NAT 　　可以将一个中小型的网络隐藏在一个合法的IP地址后面，普遍应用于接入设备中。不同与动态地址NAT是它将内部地址映射到外部网络中一个加上了由NAT设备选定的TCP端口号的单独的IP地址上。这样可以达到一个公有地址对应多个私有地址的一对多的转换。内部网络的计算机可共享一个合法的外部IP地址是实现对外部网络的访问，不同内部主机产生的流量用不同的随机端口进行标示。同时，又可隐藏网络内部网络，避免来自外界攻击。 　　4 应用NAT技术的安全策略 　　4.1 应用NAT技术的安全问题 　　应用了NAT技术，可以将内网数据包中的地址更改成统一的对外地址信息，外网是直接与NAT通信，不是与专用网络的主机通信。这个对外地址背后可能连接着成百上千甚至上万拥有专用地址的主机，这是存在缺陷的。在网络协议和应用中是需要端对端的网络，需要数据包不加修改的从源地址发送到目的地址。在IP安全架构不能跨NAT设备使用，因为原始IP 源地址的原始包头采用了数字签名。若改变源地址的话，数字签名就会失效。另外当需要对两个或多个专用网络进行重组合并和收购时，因为NAT系统不能多层嵌套，从而造成路由困扰。 　　4.2 应用NAT技术的安全策略 　　在许多网络中，NAT机制都是在防火墙上实现的。它的目的是实现防火墙提供对网络访问与地址转换的双重控制功能，那么NAT技术在系统中我们应采用以下几个策略： 　　4.2.1 网络地址转换模块 　　网络地址转换模块是NAT技术核心部分，只有它与网络层有关，可对其直接进行修改。本部分可细分为包交换、数据包头替换、规则处理、连接记录与真实地址分配及传输层过