访问控制列表和地址转换原理.ppt

第二章 NAT的基本工作原理 NAT基本工作原理（以出口NAT为例） 在IP层的出口处调用NAT Page * 第二章 NAT的基本工作原理 在IP层的入口出调用NAT Page * 透明的地址分配 静态的地址分配指一个特定的主机使用固定的地址访问外部的网络。 动态的地址分配是指NAT在一些地址中挑选一个地址，做为内部网络的主机访问外部网络的IP地址。无论是那种，地址的分配应该对用户来说是透明的。 第二章 NAT的基本工作原理 Page * NAT的基本工作方式： NAT－一对一的地址转换 PAT－多对一的地址转换 NPAT－多对多的地址转换 第二章 NAT的基本工作原理 Page * 第二章 NAT的基本工作原理 NAT方式 Page * NAT方式 在出方向上转换IP报文头中的源IP地址，而不对端口进行转换。 在私有网络地址和外部网络地址之间建立一对一映射，实现比较简单 只转换IP报文头中的IP地址，所以适用于所有IP报文转换 第二章 NAT的基本工作原理 Page * PAT方式 ( 0: 1001 - 6: 23) (00:12964 - 6: 23) (6: 23 - 00:12964) (6: 23 - 0: 1001) 第二章 NAT的基本工作原理 Page * PAT方式 PAT（Port Address Translation）方式的地址转换利用了TCP/UDP协议的端口号，进行地址转换。 PAT方式的地址转换是采用了“地址＋端口”的映射方式，因此可以使内部局域网的许多主机共享一个IP地址访问Internet。在私有网络地址和外部网络地址之间建立多对一映射。 不同的内部网地址，转换时采用相同的公网地址，并依靠不同的端口号来区分每一个内部网主机。 第二章 NAT的基本工作原理 Page * NPAT方式 ( 0: 1001 - 6: 23) (00:12964 - 6: 23) (6: 23 - 00:12964) (6: 23 - 0: 1001) 第二章 NAT的基本工作原理 Page * NPAT方式 NPAT（Nat Port Address Translation）方式的地址转换也是利用了TCP/UDP协议的端口号，进行地址转换。 私网地址和公网地址之间建立了多对多的映射关系。 NPAT方式也是采用“地址＋端口”的映射关系，因此可以使内部局域网的多个主机共享多个IP地址访问Internet。 第二章 NAT的基本工作原理 Page * 第二章 NAT的基本工作原理 利用ACL控制地址转换 Page * 第二章 NAT的基本工作原理 支持多个方向上负载分担应用 Page * 地址转换的优点： 地址转换可以使内部网络用户方便的访问Internet。 地址转换可以使内部局域网的许多主机共享一个IP地址上网。 地址转换可以屏蔽内部网络的用户，提高内部网络的安全性。 地址转换同样可以提供给外部网络WWW、FTP、Telnet服务。 NAT基本工作原理小结 Page * 地址转换的缺点： 地址转换对于报文内容中含有有用的地址信息的情况很难处理。 地址转换不能处理IP报头加密的情况。 地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。 影响报文转发的效率。 无法确定源地址。 因为同样的内部地址在不同时刻的外部地址是不一样的，所以如果从内部网络攻击外部网络，将造成定位攻击源的困难。 NAT基本工作原理小结 Page * NAT地址转换的改进 为满足公安部以及一些企事业单位的需求，对NAT流（FLOW）信息进行日志记录，通过日志信息了解NAT转换前的地址信息。 用户日志只在NAT的出方向进行日志记录，根据报文的源IP地址、转换后的源IP地址、目的IP地址、源端口、转换后的源端口、目的端口、协议号等7元组来标识一条流，并生成该NAT流的日志记录。 根据这些日志信息进行分析查询，可以方便