NAT技术及其在防火墙中的应用.pdf

前言 随着因特网的飞速发展，每年连入的主机数都要翻 用一个IP地址进行外部世界的访问提供了基础。实际上， 倍。由于开始设计因特网的时侯并没有考虑到这么大的规 虽然UDP是无连接的，但我们可以将它作为虚连接来看 模，所以分组的地址选择了32位，它可以使分组的格式 待。 很好的对齐，但随着连入网络的网络越来越多，因特网面 NAT网关上运行的TcP／IP网关软件与常规的网关 临着B类地址耗尽，路由表爆炸和整个地址耗尽的危机。 软件并不相同。通常常规路由器只是机械的根据IP包中 addreSs NAT(Ne向orktranSlation)技术和(cIDR)无类域的目的IP地址以及路由表将IP数据报从一个网络转发给 问路由就是为解决这些问题而开发的一种直接的解决方 案，它可以使因特网得到足够的喘息时间来等待新一代IP 之间中继IP数据报并非凭借目的IP地址，它的中继是面 协议的出台。由于NAT技术提供了一种掩饰网络内部本 向连接的。如下图所示： 质的一种方法，即NAT通过一个外部地址来响应外部世 界的寻址，从而在防火墙中得到了广泛的应用。 NAT技术的工作原理 网络地址翻译(NAT)的基本功能就是用一个或几个 IP地址来实现一个局域网络上的所有主机都可以访问 Intemet。NAT技术可以为TCP、UDP以及Icmp的部 分信息进行透明中继，下面就以TCP为主要对象讨论其 工作原理。 TcP是建立在所谓的连接抽象(connection 假设在局域网LAN abStraction)之上的，它所对应的对象不是TcP的一个单 独的端口而是一条虚电路连接，也就是说TCP是使用连 网关，网关处理所有网络内外之间的TCP／IP连接。NAT 接而不是使用协议端口号作为基本的抽象概念。在TCP 网关具有内网端口和外网端口，两个端口各被分配一个 IP地址，其中外网端口的IP地址是合法的全球唯一的IP 中连接是用一对端点来标识的。TCP把端口(endpoint) 定义为一对整数，即(host，port)，这样我们可以将一条 address：source地址，比如设为192．168．1．1。当内部网络中的一台主机例 TCP连接用一个四元组(source port： destinationaddress：destination port)来定义，这样的 一个连接抽象允许多个连接共享一个端点，例如：两条连 定主机A与此次连接分配的TCP端口为1030，此时主机 接(191．168．1．1：1184：192．168．1．3：80)、(192．168．1，2：1184： 192．168．1．3：80)共享同一个端口(192．168．1．3：80)，但这样并 不会引起岐义。从而可以看出这种基于连接的抽象为利 发向NAT网关，当NAT接受到数据包后，会动态的分 万方数据 58 配一个未用TCP端口，例如：1330，然后修改数据包中系统扩展性不是很好。而NAT技术则工作在网络中较低 的地址为(D=202．202．202：80，s=200．200．200．200：1330)，计 的层次，逻辑上是工作在IP层，给用户连接Intemet提 算数据包的校验和后发向Intemet。我们可以看到此数据供了更大的透明性，其工作则更象一个路由器而并非一个 包中已经不含任何私有地址的信息。NAT已记录下这对 代理网关，同时也使得网络应用的扩展，并不需要给每种 映射：(D=202．202．202．202：80，S=192．168．1．2：1030)一 新的应用都开发一种代理服务。由于NAT技术并没有工 (D=202．202．202：80，s=200．200．200．200：1330)。以后当NAT作在应用层(代理网关工作在应用层，它理解提供服务的 接受到这一对主机间的任何一个IP分组时，NAT网关会每一种协议细节)，NAT