第4章网络地址转换.docVIP

第4章网络地址转换 下载 第4章网络地址转换 本章内容 ? 什么是N AT，它是如何工作的。 ? 通过示例讲述如何实现N AT。 ? NAT如何应用于网络安全。 ? 什么时候恰当地使用N AT。 4.1 概述 这章讲述的是网络地址转换（ N AT）。从最简单的方式来看， N AT就是要通过某些设备来 转换网络层（第三层）地址，这些设备包括路由器、防火墙等。理论上讲，其他的第三层协议， 如A p p l e Ta l k或I P X协议，或其他层协议（如第二层协议）都能被转换。实际上，目前一般仅用 于第三层的I P地址转换。由于这是一本有关T C P / I P的书籍，所以本章仅讨论I P问题。 我们将通过示例来说明仅转换第三层的地址是不够的，运输层（第四层）及更高层上的信 息也可能被影响。所以我们这里的讨论也包括T C P、U D P以及应用层（第七层）协议。我们不 仅要讨论什么是N AT、N AT是如何工作的，还要讨论它的问题和缺陷。 尽管这一章不是讲述网络安全的，然而N AT的问题时常与一些安全应用有很密切的关系。 在某些情况下， N AT的一些特殊类型对安全应用的非常有用，许多安全包中都包含有商业N AT 的实现。这也就是说，本章我们将讲述一些与N AT相关的安全问题，尽管N AT本身并不需要安 全技术。 4.2 在路由器或防火墙的后面 在早期的防火墙解决方案中，经常会使用到N AT。这些早期的防火墙几乎都是基于代理的。 一个很好的示例是F i r e Wa l l To o l K i t ( F W T K )软件。代理存在于防火墙内部，它负责为客户提供 一些信息，例如，We b页面。客户计算机向代理请求一个特定的We b页面（要给出U R L），并等 待应答。此时，代理将会找到We b页，并将它返回给客户。 这个代理具体是什么？首先，代理的管理员经常要编制一些内容列表，这些内容是不允许 客户访问的。例如，如果在一个公司中有一个We b代理，那么代理管理员也许会禁止公司内部 计算机对w w w. p l a y b o y. c o m的访问。其次，代理还能够完成一些高速缓存和其他优化工作。如 果每天有5 0个人访问w w w. s y n g r e s s . c o m，代理就能够将这个We b页的拷贝下来。当一个客户请 求这个We b页面时，代理所做的所有工作就是检查这个页面是否发生了一些变化。如果没有发 生变化，则代理只传送它已存储的拷贝，这样客户就能够更快地看到这些页面。 一般来说，对于这种类型的代理配置，主要是阻止客户直接从I n t e r n e t上查看某些We b页面。 如果它们想要查看某些页面的话，则必须使用这个代理。这个工作通常是通过路由器上的包过 滤功能来实现的。简单的来说，路由器被配置成仅允许代理访问在I n t e r n e t上的We b页面，而不 允许其他机器访问I n t e r n e t上的We b页面。 这种设计的结果就是内部的客户只能与代理进行通信，而不能同在I n t e r n e t上的其他主机进 行通信。代理需要接收内部客户的请求，然后完成这个请求。这也就意味着在I n t e r n e t上的其 他主机也不能直接同内部主机进行通信，甚至不能直接应答。所以，防火墙管理员通过配置路 由器或防火墙能够隔断内部和外部机器间的通信。这种方法将强制所有的通信都通过代理来完 成。现在，如果配置正确的话，能够与外部通信的唯一机器是代理，这会大大减少受到外部直 接攻击的机器数量。代理的管理员应尽可能谨慎，以保证代理机器尽可能安全。图4 - 1是有关 这方面的逻辑示意图。 图4-1 通过代理检索Web页面 第4章认网络地址转换部分71 下载 客户机向代理服务器发送Web页面请求 代理请求来自于Web服务器的页面 Web服务器发送Web页面 代理将页面送给客户 Web服务器 过滤路由器 代理内部客户机 Web服务器 过滤路由器 代理内部客户机 Web服务器 过滤路由器 代理内部客户机 Web服务器 过滤路由器 代理内部客户机 为了达到我们讨论的目的，这个过程已经被大大地简化。但要注意下面的原则：内部和外 部的清楚划分以及它们之间的交接点。它们之间的交接点有时也被叫做阻塞点。在我们的图中， 阻塞点就是代理和过滤路由器的组合。 这是一种最简单的防火墙结构。当你要设计一个真正的防火墙时，还需要了解许多本章以 外问题，例如： ? 代理软件是否支持所有所需的协议。 ? 如何在路由器上配置分组过滤。 ? 在客户端的We b浏览器软件如何与代理进行通信。 ? 代理如何知道哪个机器在内部，哪个机器在外部。 本章讨论的重点不是代理防火墙的结构，而是讨论它的影响。我们已经知道，从这个网络 到I n