如何让IPSec及NAT及平共处.docVIP

如何让IPSec及NAT及平共处【摘要】随着互联网的普及,人们生活便利的同时伴随而来的是信息安全的问题和IPv4地址面临枯竭。解决问题的方法IPSec与NAT之间又存在很大的兼容性问题。本文从IPSec与NAT的原理入手,论述了二者的兼容醒问题及解决的方法。 【关键词】互联网 IPSecNAT 【中图分类号】TP393.4 【文献标识码】A 【文章编号】1009-9646(2008)08(b)-0160-01 Abstract:Along with Internet popularization, the people live are the information security question and the IPv4 address which convenient at the same time follows comes faced with the depletion.Solves between question method IPSec and NAT has the very big compatible problem.This article from IPSec and the NAT principle obtaining, elaborated the two to awake compatibly the question and the solution method. Key words: InternetIPSec NAT 随着互联网的普及,人们对互联网的依存度越来越高,以现在奥运为例,互联网已经成为人们获取奥运信息的最重要方式之一。但随之而来的是两个愈来愈严重的两个问题:网络信息安全面临各种各样的挑战和IP地址(IPv4)面临枯竭。 虽然IPv6的使用能较大的缓解这两个问题的压力,但处在这个IPv4向IPv6的过渡时期,我们必须要有一定的方法来解决问题。一个办法是IPSec(网络协议安全),它可以使用户安全的接入互联网;另一个办法是NAT,它一方面可以缓解IP地址枯竭问题,另一方面可以对外隐藏内部网络,提高安全性。下面让我们先简单了解一下它们。 1 IPSec IPSec协议是一种端到端的、确保基于IP通讯的数据安全性的机制。它不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,主要包括:鉴定报头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload),密钥管理协议IKE(Internet Key Exchange)协议和用于网络验证级加密的一些算法等。它支持对数据加密,同时确保数据的完整性。它提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可有效抵御网络攻击,同时保持易用性。它在IPv4中是一项可选支持的服务,在IPv6中是一项必须支持的服务。 基本工作原理是:发送方在数据传输前对数据加密,数据以密文方式传输,到达目的节点后由接收端实施解密,而掌握加解密方法的只有数据流的发送端和接收端。不采用数据加密时, IPSec使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性; IPSec使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。IPSec协议下, 只有发送方与接受方知道秘密密钥.如果验证数据有效,接受方就可以知道数据来自发送方,并且在传输过程中没有受到破坏。它的特点是对数据的加密以数据包而不是数据流为单位,不仅灵活,也有助于进一步提高安全性。 IPSec有两种模式:传输模式和隧道模式。传输模式只对IP分组应用IPSec协议,对IP报头不进行任何修改,它只能应用于主机对主机的IPSec虚拟专用网VPN中。隧道模式中IPSec将原有的IP分组封装成带有新的IP报头的IPSec分组,这样原有的IP分组就被有效地隐藏起来了。 2 NAT NAT(Network Address Translation)最初的设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题(私有IP地址只能内部使用,不能在互联网主干网上使用)。具体做法是通过将专用网络地址(如企业内部网Intranet)转换为公用地址(如互联网Internet)。这样通过在内部使用非注册的IP地址,并将它们转换为一小部分外部注册的IP地址,从而节省了目前越来越缺乏的地址空间(IPv4)。同事,这样也隐藏了内部网络结构,降低了内部网络受到攻击的风险。正是这种内部主机地址隐藏的特性使网络地址翻译技术成为了防火墙实现中经常采用的核心技术之一。