鄭洪霞

?

基于NAT的IP尋址方式在信息安全中的應(yīng)用研究

鄭洪霞

河南省經(jīng)濟管理學(xué)校，河南 南陽 473004

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）不僅解決了lP尋址地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機，實現(xiàn)了內(nèi)部網(wǎng)絡(luò)信息的安全。

網(wǎng)絡(luò)地址轉(zhuǎn)換；靜態(tài)轉(zhuǎn)換；動態(tài)轉(zhuǎn)換；端口多路復(fù)用；信息安全

隨著Internet的快速發(fā)展，上網(wǎng)人數(shù)急劇增長，IPV4地址即將耗盡。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translation）是一種過渡性的解決手段，屬于接入廣域網(wǎng)（WAN）技術(shù)，這種技術(shù)可以暫時解決IP地址耗盡的問題。我們知道支撐Internet運轉(zhuǎn)的關(guān)鍵是IP尋址技術(shù)，在局域網(wǎng)內(nèi)部可以適用IP保留地址，通過NAT地址轉(zhuǎn)換，在訪問外部網(wǎng)絡(luò)時再將保留地址轉(zhuǎn)為真實地址，保持了Internet上的地址唯一性，也解決了lP地址不足的問題，而且NAT 之內(nèi)的 PC 聯(lián)機到 Internet時，它所顯示的 IP 是 NAT 主機的公共 IP，所以 內(nèi)部網(wǎng)絡(luò)客戶端的 PC 當然就具有一定程度的安全了，外界在進行 portscan（端口掃描） 的時候，就偵測不到源客戶端的 PC，有效地避免了來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護了網(wǎng)絡(luò)內(nèi)部的計算機，實現(xiàn)了內(nèi)部網(wǎng)絡(luò)信息的安全。[1]對于一個企業(yè)其網(wǎng)絡(luò)主要用于內(nèi)部服務(wù)而僅有時用于外部訪問，這種配置應(yīng)用是很適用的。

1 NAT的類型

NAT有3種類型：靜態(tài)NAT、動態(tài)NAT和端口地址轉(zhuǎn)換。

靜態(tài)轉(zhuǎn)換是最容易實現(xiàn)的一種NAT技術(shù)，在靜態(tài)NAT中，內(nèi)部網(wǎng)絡(luò)的每個主機IP地址都被永久映射成外部網(wǎng)絡(luò)中的某個合法地址，內(nèi)部地址與全局地址一一對應(yīng)。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器）的訪問。[2]

動態(tài)NAT將可用的全局地址集定義成NAT池（NAT pool），采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。動態(tài)地址轉(zhuǎn)換也是將全局地址與內(nèi)部地址進行一對一的轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從外部合法地址池中動態(tài)地選擇一個未使用的地址對內(nèi)部地址進行轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。

端口地址轉(zhuǎn)換（Port Address Translation,PAT）是動態(tài)轉(zhuǎn)換的一種變形，它可以是多個內(nèi)部節(jié)點共享一個全局IP地址，而使用源和目的的TCP/UDP的端口號來區(qū)分NAT表中的轉(zhuǎn)換條目及內(nèi)部地址。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自Internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。

2 NAT的具體實現(xiàn)

NAT需要在局域網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個有效的外部全球IP地址。這樣，所有使用保留地址的主機在和外界通信時，都要在NAT路由器上將其保留地址轉(zhuǎn)換成全球IP地址，才能和因特網(wǎng)進行連接。

在數(shù)據(jù)包的發(fā)送過程中，NAT路由器將局域網(wǎng)的保留地址轉(zhuǎn)換為公網(wǎng)IP地址池中可用IP地址，并將此轉(zhuǎn)換條目記錄在地址轉(zhuǎn)換表中。

當有返程數(shù)據(jù)包到達路由器時，它將檢查此數(shù)據(jù)包的目標IP，并按照地址轉(zhuǎn)換表進行反向的IP地址轉(zhuǎn)換，然后發(fā)送給主機。

在配置網(wǎng)絡(luò)地址轉(zhuǎn)換的過程之前，首先必須搞清楚內(nèi)部接口和外部接口，以及在哪個外部接口上啟用NAT。通常情況下，連接到用戶內(nèi)部網(wǎng)絡(luò)的接口是NAT內(nèi)部接口，而連接到外部網(wǎng)絡(luò)（如Internet）的接口是NAT外部接口。

2.1 靜態(tài)NAT配置

在如圖1所示的網(wǎng)絡(luò)中，假設(shè)內(nèi)部網(wǎng)絡(luò)主機A使用的lP地址為192.168.1.1，路由器局域網(wǎng)端（即默認網(wǎng)關(guān)）的IP地址為192.168.1.254，子網(wǎng)掩碼為255.255.255.0?？捎糜谵D(zhuǎn)換的IP地址為210.31.235.1，路由器在廣域網(wǎng)中的IP地址為12.0.0.1，子網(wǎng)掩碼為255.255.255.252。要求將內(nèi)部網(wǎng)址192.168.200.1一對一轉(zhuǎn)換為合法IP地址210.31.235.1。對于圖中的情形來說，靜態(tài)NAT的配置可以分為以下幾個步驟：

圖1 靜態(tài)NAT示例

第1步，設(shè)置外部端口。

interface serial1/0 //進入串口serial1/0

ip address 12.0.0.1 255.255.255.252 //設(shè)置接口IP地址

ip nat outside //設(shè)置接口為外部接口

第2步，設(shè)置內(nèi)部端口。

interface fastethernet0/0 //進入接口faste thernet0/0

ip address 192.168.1.1 255.255.255.0 //設(shè)置接口IP地址

ip nat inside //設(shè)置接口為內(nèi)部接口

第3步，在內(nèi)部本地與內(nèi)部合法地址之間建立靜態(tài)地址的一對一轉(zhuǎn)換。

ip nat inside source static 192.168.1.1 210.31.235.1

若局域網(wǎng)主機多的話，分別按照第3步進行轉(zhuǎn)換。

以上靜態(tài)地址轉(zhuǎn)換配置完畢。

2.2 動態(tài)NAT配置

對于內(nèi)部網(wǎng)絡(luò)的普通主機來說，由于可獲得的Internet可路由地址有限，我們只能進行動態(tài)NAT配置。

圖2 公網(wǎng)IP地址池

3 結(jié)語

總之，NAT使得多個內(nèi)部IP地址可以共享一個或多個全局IP地址，就能獲得互聯(lián)網(wǎng)接入的能力，有效地緩解了地址不足的問題，從而節(jié)約了全局地址的使用。同時NAT技術(shù)能透明地對所用保留地址做轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時適用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，并且內(nèi)部主機不直接使用全局地址，所以NAT隱藏了端到端的IP地址，使得對數(shù)據(jù)包路徑的跟蹤變得比較困難，在一定程度上減少了被攻擊的風險，極大地增強了網(wǎng)絡(luò)的安全性。

[1]楊海鷹，余建坤，謝健，等.信息系統(tǒng)安全評價指標體系的評價因素集研究[J].全國商情（理論研究），2011（24）：12.

[2]祝詠升，周澤巖，張彥，等.鐵路信息系統(tǒng)安全測評服務(wù)體系的研究[J].信息系統(tǒng)工程，2011（12）：23.

Research on the application of IP addressing mode based on NAT in information security

Zheng Hongxia

Henan provincial economic management school, Nanyang, Henan 473004

Network address conversion （NAT） not only solve the problem of IP address shortage, but also can effectively avoid the attack from the external network, hide and protect the internal network of the computer, realize the internal network information security.

network address translation; static conversion; dynamic switching; port multiplexing; information security

TP393.08

A

1009-6434(2016)6-0150-02