3-5 网络地址转换技术（5）（网络地址转换与网络隔离）.pdf

计算机系统与网络安全技术 网络隔离技术 网络地址转换与网络隔离 NAT与网络隔离 NAT技术可以对内部网络起到隔离与隐藏作用 可以将内部网络中重要的或者特殊的IP地址隐藏起来 不被外部攻击者发现 也使得外部攻击者无法直接访问到内部主机 网络隔离技术 网络地址转换与网络隔离 NAT与网络隔离 NAT技术可以提供详细的安全审计功能 所有进出网络的数据均被发送到NAT设备的IP地址上 NAT设备提供了完备的网络通信日志功能，便于在攻击 事件发生后进行安全审计 网络隔离技术 网络地址转换与网络隔离 NAT对网络安全的影响 NAT技术破坏了端到端的网络通信 理论上一个合法的IP地址后面可以连接成百上千的主机 在端到端安全服务中，数据包需要从源端完全不加修改 的通过互联网发送到目的端。 例如，在IP层的安全解决方案IPSec中，由于原始的IP包头进行数字签 名、加密安全保护，但经过NAT设备时如果进行了IP地址修改，目的端 在安全验证时就会发生错误。 网络隔离技术 网络地址转换与网络隔离 NAT对网络安全的影响 NAT技术给安全管理带来了一定的困难性 NAT 对于一个缺少足够的全球唯一IP地址的组织或者 部门来说是一种不错的解决方案 但是当这些组织或部门因为某种原因（如重组、 合并 等）需要对已有网络和网络安全方案进行重新整合或 修改时，NAT技术则变成了一个严重的问题。 例如，如何划分网络、网络安全策略的调整以及网络路由的修改等，均变 得比较复杂。 网络隔离技术 网络地址转换与网络隔离 NAT对网络安全的影响 NAT技术给攻击溯源带来的了挑战  如果互联网上每台主机均有一个唯一的IP地址，则当攻击发生后 可以快速、有效地知道攻击者的信息（如地址、主机信息等）。  当众多主机通过NAT技术接入互联网以后，安全监管系统（如网络 取证）所采集到的IP地址实际是NAT设备配置的全局地址，因此无 法直接定位和确定真正的攻击者。 网络隔离技术 网络地址转换与网络隔离 NAT与防火墙 Private IP Public IP Intranet Internet NAT 防火墙规则必须修改 网络隔离技术 网络地址转换与网络隔离 NAT与防火墙 Private IP Public IP Intranet Internet NAT 攻击者可以欺骗NAT 网络隔离技术 网络地址转换与网络隔离 NA