TCP穿透NAT与防火墙的特点与测评.pdfVIP

Characterization and Measurement of TCP Traversal through NATs and Firewalls TCP 穿透NAT 和防火墙的特点与测评 Saikat Guha Paul Francis Cornell University Ithaca, NY 14853 {saikat, francis}@ [翻译]Bruce Mioo brucemiao@ [摘要]近些年，标准化社区已经开发出一些 UDP 穿透 NAT/ 防火墙的技术（也就是，在 NAT 之后的主机之间建立UDP 流）。然而，由于TCP 连接建立的不对称特点，TCP 的NAT 穿 透要困难的多。最近，研究者们提出了多种 TCP 穿透NAT 的途径，然而，这些方法中，成功 的都依赖于NAT 对各种TCP （和TCMP ）包的序列如何响应的。本文对TCP 穿透主流商用NAT 产品的主要技术进行了首次深入、广泛的研究。我们开发了一套公开、有效的软件测试套件用 来测定NAT 对各种独立探测以及完整的TCP 连接建立的响应。我们在实验室测试了16 个NAT 产品，在公网上测试了93 个家用NAT 产品。根据这些测试结果，如同NAT 产品的市场宣传那 样，我们评估了家用网络中NAT 穿透成功的可能性。本文的另外一个出发点，就是可以给TCP 穿透NAT 协议的设计和NAT/ 防火墙行为的标准化工作给与指导，包括IPv6 过渡期间IPv4 与 IPv6 之间穿透NAT 的鉴定。 1 绪论 1 NAT和防火墙通过阻止外部主机主动连接一个受保护的内网 主机的方式破坏了IP连通性 模型。如果两个终端都被他们各自的NAT或防火墙保护着，由于发起连接的终端在另一终端的 2 NAT 之外，通常的TCP连接是不能建立的，除非各自的防火墙安全策略允许这样的连接。例如， 防火墙策略是这样的：内部主机可以发起TCP连接，而且两个主机都希望发起连接。近来的研 究工作已经集中在不使用代理或隧道来建立TCP连接。通过在NAT上设置必要的连接状态，并 仔细、巧妙地交换TCP包的方式来建立TCP连接，确实很轻巧。然而，并不是公网上的所有NAT 都用同样的方式响应，所以，造成这些方式在很多情况下失败。理解NAT 的这种行为，测定他 们对Internet 中普遍连通性的原始目标的偏移有多少，对于把他们干净利索地集成到这种架构中 是至关重要的。 今天的Internet 架构于TCP/IP 设计之初的环境已经大不相同。防火墙和NAT 经常是的建立 一个连接成为不可能，即使连接没有违反任何安全策略。例如，通过隐藏在一个NAT 后面或配 置他们的防火墙阻止外入的SYN 包，Alice 和Bob 可能都不允许未授权的连接。然而，当Alice 和 Bob 都同意建立连接的时候，如果不重新配置他们的 NAT ，他们也没有办法建立了，因为 Alice 的SYN 包会被Bob 的NAT 阻止，Bob 的SYN 包也会被Alice 的NAT 阻止。虽然如此， 但NAT 和防火墙已经成为网络架构中的永久一部分了，而且，很长一段时间内，仍将会是。即 使IPv6 已经在全球展开，但在过渡期间，IPv4 与IPv6 之间的NAT 仍将是必须的，而且，为了 安全，IPv6 防火墙仍将是必须的。因此，使得NAT 后面的同意连接的主机之间能够彼此通讯的 机制，是必须的。 通过STUN，已经解决了UDP 方式的穿透问题。使用STUN，Alice 发送一个UDP 包给Bob ， 尽管这个包被Bob 的NAT 阻止，但却使Alice 的NAT 创建了一个本地状态，该状态允许Bob 的回应包到达Alice 而不被Alice 的NAT 阻止。然后，Bob 发送一个UDP 包给Alice ，Alice 的 NAT 认为这个包是第一个包的网络流的一部份，所以路由它通过；同样，Bob 的NAT 把第二个 包（Bob 发给Alice 的包）当作一个连接发起，因此创建本地状态并路由Alice 的回应包。流行 的VoIP 应用程序Skype 就是使用的这种方式。不幸的是，建立TCP 连接要比这复杂的多。一 旦 Alice