在局域网中IPSec与NAT冲突的解决方法.pdfVIP

饭是技术 2007年(第 簋)第3期j 在局域网中IPSec与NAT冲突的解凑 聱 霍 静 (天水师范学院数理与信息科学学院，甘肃 天水 741001) 攮耍：IPSec主要是通过对整个IP报文进行加密和认证，防止 对于II)报文，IPSec有两种方式进行处理后进行传输，分别 外部对IP头信息的访问来提供安全服务，而NAT要访问或者修 是“传输模式”和“隧道模式”，AH和ESP协议都可 以用于这两种 改IP报文的头信息。局域网内用户如何让IPSec、NAT协调工 模式。在传输模式中，AH和ESP是对传送头进行保护，仅对．IP 作，本文提出了一种解决方案，该方案主要是在数据报文应用完 报文的传输层进行认证或者加密，适用于一个主机到另外—个主 IPSec协议之后增加一个外部头，这个外部头可以方便NAT处理 机的虚拟专用网 PN)；在隧道模式中，要对整个 IP摄文进行处 又不与IPSec产生冲突，实现了两者的协调工作。 理，AH和ESP对整个IP头进行保护，通过在原始璃报文中加入 关键调：IPSec NAT AH ESP 一 个新的IP头来对整个报文进行认证或加密，原始IP头是发送 数据的主机创建的，而新的 头是提供服务的It,See协议雠 0 引言 的，新的IP头包含有目的网关的地址。 当前互联网正在以其极其惊人的速度发展着，它在人们的生 在IPSec起作用之前，需要传输数据的两个主机提前协商好 活中起着非常重要的作用，然而伴随而来的安全问题也越来越不 一 些参数，比如加密方法、算法类型、密钥、如何封装等，这由h- 可忽视。病毒、外界攻击常常毁坏我们的重要文件，甚至使系统崩 ternet密钥交换IKE(Intemet Key Exchange)来进行这个参数协 溃，造成不可挽回的损失，因此我们或多或少都采取了一些防范 商，协商的过程就是动态创建一个安全联盟SA(Security Atmocia- 措施，比如安装防火墙。 tion)的过程。 防火墙是目前使用最多的一种安全解决方案之一，但这还不 1．2 NAT的工作原理 能达到足够安全的地步。目前有一种安全解决方案IPSec(Inter- NAT是为了适应IP地址越来越紧缺而产生的一种协议，它 net Protocol Sccu~ty)协议，也越来越趋于完善，所以很多用户都在 可以让多个使用内部地址的主机共同使用一个外部地址与外界 使用防火墙的同时，加上了IPSec作为另外一道安全屏障。 交互，也就是数据包中的私有 地址修改可路由的全局 地址 但在使用IPSec协议时。需要解决一些问题。在一个局域网 后发送出去，这样可以隐蔽内部地址信息，是对内网的一种fit~,o 内，除了防火墙和IPSec安全协议作为保护措施外，还有另外一 NAT有两种基本的工作方式，第一种方式是把一个私有地址转换 个用于保护局域网地址信息的协议 一网络地址转换NAT(Net— 成一个全局地址，这种转换可以事先设定好私有地址和全局地址 work Address Translation)，即如何让防火墙、IPsec协议、NAT协议 的一一对应关系，也可以在需要的时候，根据调度规则从存有全 痹的问题。 局地址的地址池中临时分配，进行动态转换。第二种方式是将私 本文提出了IPSecy与NAT冲突的一种解决方法。基本思路 有地址和TCP／UDP端口号转换成一个全局地址，其中TCPFODP 是在应用完IPSec协议后，把NAT必须访问的信息做成一个外部 端口号就可用于主机的唯一标识符号，这种方式允许多个私有地 头插入数据包，这样就可以让IPSec和NAT和谐工作了。 址对应一个全局地址。是一对多的关系。