基于nat技术的路由安全问题的探讨.docVIP

基于NAT技术的路由安全问题的探讨 摘要：NAT（网络地址转换）技术是目前计算机网络方向的一项重要的安全技术，采用此技术可以解决IP地址紧缺的问题，同时，也能将内部网络和外部网络隔离，为网络提供一定的安全保障。本文阐述了地址转换技术的概念、基本类型、基本原理及环境配置；探讨了路由器的安全与可靠的问题；并进一步探讨NAT技术应用在路由器上，解决路由安全问题的表现，采用了NAT技术功能中的NAPT（网络地址端口转换）技术，提供了将私有网络地址接入公共网络的网络方案和实现的方法，并针对国内目前中小企业网络的特点，结合NAT技术解决了其网络管理和网络安全问题，给出了一个将NAT技术应用于公司网络的实例。 关键词：网络地址转换；路由器；内外端口 1 引言 随着Internet的迅速发展，中国的网民也越来越多，连接到Internet的主机数量呈几何趋势增长。IPV4协议32位的地址空间的设计已不能满足众多用户的需要，所以IP地址短缺的问题就成为当下亟待解决的一个难题，为此人们提出了很多解决的方案，但目前比较成熟的是NAT技术，英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF（Internet Engineering Task Force, Internet工程任务组）标准，允许一个整体机构以一个公用IP地址出现在Internet上。 网络为人们提供了极大的便利。但随着网络应用的日益普及，网络安全成为必需面对的一个实际问题。网络安全包括两层含义：其一是内部局域网的安全，其二是外部数据交换的安全。路由器作为内部网络和外部网络之间通信的关键设备，有必要提供充分的安全保护功能[3]。NAT技术提供了一种完全将私有网和公共网隔离的方法，逐渐成为一项网络安全技术，得到了广泛的应用和认可。本文主要是通过研究NAT技术的工作原理及其特点，分析并列举出目前有关路由安全的问题，并结合实例，阐述了基于NAT技术在路由安全方面得到的应用。 2 NAT技术的定义 NAT(Network Address Translation,网络地址转换)是一个IETF（工程任务组）标准，用于将一个地址域映射到另一个地址域的标准方法。NAT将每个局域网节点的内部私有地址转换成一个公网上合法的IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet地址和私有IP地址的使用[1]。 ? 3 NAT技术的原理及环境 3.1 NAT技术的基本原理 NAT技术是用于将一个地址域映射或翻译到另一个地址域的标准方法。NAT 技术使得采用保留地址或非注册地址的网络可以通过注册的地址连接到外部世界，NAT功能通常被集成到路由器、防火墙、ISDN（综合业务数字网）路由器或者单独的NAT设备中，位于内部网络和外部网络中的NAT设备在发送数据包之前，负责把内部非注册地址翻译成注册地址，其中在路由器的实现方式如图1所示。内部本地地址（Inside local address）是分配给内部网络中的计算机的内部IP地址，内部合法地址（Inside global address）是对外进行IP通信时，代表一个或多个内部本地地址的合法IP，内部机器在向外界发送的IP地址都会被替换成合法被注册的正确IP地址，虽然这样处理会给处理器带来一定的负担，但对于一般网络来说这种负担都属于可接受范围。s 图1 NAT技术在路由器中的实现方式 现代企业一般在两种情况下使用NAT技术，一种是利用NAT将内部网络与外部Internet隔离开，使外部网络用户无法获悉企业内部的网络结构，从而外部用户无法获知通过NAT设置的内部IP地址。另一种是因为企业申请的合法外网IP地址太少无法满足内部网络用户的要求，通过NAT的功能实现多个用户同时公用一个合法IP与外部进行通信。 3.2 NAT环境配置 由图1可以看出，网内的用户一般通过交换机构建局域网，然后通过路由与外网进行数据交换，设置NAT功能的路由器至少要一个内部端口（inside）以及一个外部端口(outside)，路由器负责在NAT表中登记内网用户的IP信息。内部端口连接的网络用户可自由分配内部的IP地址，内部端口可以为任意一个路由器端口。外部端口连接的是外部网络，如Internet等，外部端口可以为路由器上的任意端口。设置路由器的ISO应支持NAT功能，其IOS一般采用11以上版本[2]。 4 NAT的基本类型 4.1静态转换(Static NAT) 静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有Em