基于UDP 防火墙穿透技术应用研究.docVIP

基于UDP 防火墙穿透技术应用研究 　　摘要：该文主要研究防火墙的穿透技术，通过使用寻址服务器和中转服务器来对各种NAT的类型进行穿透研究，并利用UDP打通的通道建立数学模型，分析如何检测防火墙及NAT类型，通信过程如何建立，此过程中中转服务器充当的作用。 　　关键词：防火墙穿透；NAT；网络通信；P2P；客户端/服务器模式 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2014）10-2226-03 　　Abstract： This paper studies the firewall penetrating technology， sets up a mathematical model using the UDP channel. Besides， it discusses how to detect the type of firewall and NAT， how to create the communication process， and the role of transit server in the communicate process. 　　Key words： Firewall penetrating；NAT；Network communication；P2P；Client /Server mode 　　在安全问题越发敏感的今天，越来越多的用户开始注意到信息安全的重要性，除了安装相应的杀毒软件，防火墙则是作为保护网络安全的第一屏障。一般的防火墙会依照特定的规则，允许或是限制传输的数据通过。当然，该文不考虑企业级别的防火墙，因为通过一些禁用协议、端口，甚至基于应用层的控制，会使我们的穿透无从谈起，此处，我们只讨论它的NAT特性。在我们研究的问题中，需要实现在P2P环境的，不同网段的用户自由通信，而且这种通讯往往需要外网用户请求内网建立连接，然而，防火墙通常会认为此连接是不受信的，通信在此就会被阻断，该文研究的穿透就此而来。 　　1 UDP 穿透防火墙简介 　　1.1 使用UDP 穿透防火墙的原因 　　防火墙在内外网之间建立了一道屏障，用于保护内网的用户免受外部用户的攻击，防火墙的安全策略之一，就是阻止外部不受信的用户访问内部网络，尤其是对TCP的连接敏感，往往会被阻断，并且TCP三次握手的建立是不对称的，所以使用TCP穿透防火墙很困难，想要成功，往往决定与NAT对各种TCP包的序列的响应，该文选用UDP来进行穿透。在P2P通信的过程中，外网用户通常需要发起通信，如何使用UDP报文来实现真正意义上的P2P通信就显得更加有必要。 　　1.2 使用UDP 穿透防火墙的技术简介 　　STUN（Session Traversal Utilities for NAT，NAT会话传输应用程序）是一种以client/server模式设计的协议，它允许位于NAT（或多层NAT）后的客户端找出自己的公网地址，查出自己位于哪种类型的NAT以及由NAT为本地使用的端口所绑定公网端口。这些信息被用来在两个同时处于NAT设备之后的PC之间建立UDP通信，而且不需要改造现有NAT。该协议由RFC 5389定义[1]。 　　通信中，一旦终端得知公网端的UDP端口，通信就可以开始了。如果NAT是完全圆锥型的，那么双方中的任何一方都可以发起通信；如果NAT是IP限制圆锥型或端口限制圆锥型，双方必须一起开始传输。该文中的边界设备会提供一个STUN服务器，Laptop端自带此类的客户端。客户端会向STUN服务器发送请求，接受到请求之后，服务器会向STUN客户端报告NAT路由器的公网IP地址以及NAT为允许流量传回内网的端口，可以认为打通了一个临时的UDP通道[2]，图1是STUN的工作流程。 　　优点： 　　1） STUN服务器的部署位置灵活，且不需要对现有网络进行改造，易实现； 　　2） 协议简单，在多层NAT的网络环境下也可以使用 　　限制： 　　1） 不能检测对称型ANT； 　　2） 不能处理同一NAT下的检测 　　在该文中，采用STUN技术和中转服务器来弥补单一STUN技术的不足，实现穿透。 　　2 UDP穿透防火墙的建模 　　2.1 数学模型的建立 　　2.1.1 “STUN+中转服务器”模型 　　该文中所采用的NAT穿透方案，是将STUN技术和中转服务器联合实现的。为了分析得比较清楚，我们把防火墙和NAT逻辑分离，用等效模型来分析穿透的特征，由于是搭建的实验环境，可以认为通信成功建立的概率是100%，将穿透模型细分，则可以描述为以下的六类： 　　1） 通信双方均无防火墙且非严格NAT； 　　2） 一方无防火墙且非严格NAT，另一方有防火墙且非严格NAT； 　　3） 一方无防火墙且非严格NAT，另一方