网络安全预警系统中穿越防火墙NAT技术的实现.docVIP

精品论文 参考文献 网络安全预警系统中穿越防火墙NAT技术的实现 李娟娟1 赵 景2 （许昌职业技术学院 河南 许昌 461000） 中图分类号：TN711 文献标识码：A 文章编号：41-1413（2012）01-0000-01 摘 要：网络带给人们的便利之一就是信息资源共享，然而，与之俱来的是来自各方的网络安全问题。网络安全预警系统针对大规模的网络进行预警，但传统的系统存在对未知的攻击缺乏有效的检测方法、对安全问题的检测通常处于被动阶段.本文主要介绍NAT技术的特点及网络安全预警系统中穿越防火墙/NAT技术的实现方法，使网络信息传递更安全、更快速、更准确。 关键词：网络安全预警 NAT 防火墙/NAT的穿越 0 网络安全预警系统 0.1 功能及体系结构 网络安全预警系统主要具有评估不同攻击者造成的信息战威胁、提供信息战攻击的指示和报警、预测攻击者的行为路径等功能。 目前的网络安全预警系统通常采用多层式结构，以入侵检测系统作为中心，对受保护的网络进行安全预警。该类系统通常由嗅探器模块、安全管理中心、远程管理系统服务器、远程终端管理器组成。嗅探器模块按一定策略检测网络流量，对非法的流量进行记录以便审计，并按照安全策略进行响应；安全管理中心管理嗅探器运行，并生成及加载嗅探器需要的安全策略，接受嗅探器的检测信息，生成审计结果；远程管理系统服务器负责监听控制信息，接收控制信息传递给安全管理中心，为实现远程管理实现条件；远程终端管理器为用户提供远程管理界面。 0.2 局限性 但是随着目前网络安全形势的日渐严峻，传统的网络安全预警系统逐渐显示出以下几方面的不足： (1)目前的网络安全预警系统主要以入侵检测系统的检测结果作为预警信息的主要来源。由于入侵检测系统检测的被动性，使得预警自身就存在被动性，无法积极对受保护的网络实施预警。另外对于所保护系统产生威胁的根源—受保护系统自身的漏洞重视不够，从而当面对新的攻击时往往束手无策，处于极度被动的局面。 (2)新的攻击手段层出不穷，而作为中心的入侵检测系统在新的攻击面前显得力不从心。虽然目前也出现了一些启发式的检测方法，但是由于误报率或者漏报率比较高，在实际使用时也不太理想。 (3)预警信息传送的时效性。目前令人可喜的是用户己经注意到了安全问题，所以采用了一些安全部件如防火墙、入侵检测系统等对网络进行保护，但是同时也为预警信息的传送带了问题，即如何穿越防火墙/NAT进行信息的实时、有效传送就是一个关键的问题。 (4)传统的网络预警系统中着重在预警，相应的响应很少或者没有。 1 NAT技术 1.1 概念 NAT，即Networ Address Translation，可译为网络地址转换或网络地址翻译。它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备。同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet地址和私有IP地址的使用。 1.2 分类 1.2.1 静态NAT（Static NAT） 即静态转换静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问，并使该设备在外部用户看来变得“不透明”。 1.2.2 动态地址NAT（Pooled NAT） 即动态转换动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对并不是一一对应的，而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。每个地址的租用时间都有限制。 这样，当ISP提供的合法IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。 1.2.3 网络地址端口转换NAPT（Port－Level NAT） 即端口多路复用通过使用端口多路复用，可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下，内部网络的所有主机均可共享一个合法外部IP地址