前言：隨著Internet技術的不斷以指數(shù)級速度增長，珍貴的網(wǎng)絡地址分配給專用網(wǎng)絡終于被視作是一種對寶貴的虛擬房地產(chǎn)的浪費。因此出現(xiàn)了網(wǎng)絡地址轉換(NAT)標準，就是將某些IP地址留出來供專用網(wǎng)絡重復使用。本文將詳細告訴你如何正確應用網(wǎng)絡地址轉換NAT技術。
　　一、NAT技術的定義
　　NAT英文全稱是Network Address Translation，稱是網(wǎng)絡地址轉換，它是一個IETF標準，允許一個機構以一個地址出現(xiàn)在Internet上。NAT將每個局域網(wǎng)節(jié)點的地址轉換成一個IP地址，反之亦然。它也可以應用到防火墻技術里，把個別IP地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內部網(wǎng)絡設備，同時，它還幫助網(wǎng)絡可以超越地址的限制，合理地安排網(wǎng)絡中的公有Internet 地址和私有IP地址的使用。
　　二、NAT技術的基本原理和類型
　　1、NAT技術基本原理
　　NAT技術能幫助解決令人頭痛的IP地址緊缺的問題，而且能使得內外網(wǎng)絡隔離，提供一定的網(wǎng)絡安全保障。它解決問題的辦法是：在內部網(wǎng)絡中使用內部地址，通過NAT把內部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內的地址域用合法的IP地址來替換。 NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。NAT設備維護一個狀態(tài)表，用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設備中都被翻譯成正確的IP地址，發(fā)往下一級，這意味著給處理器帶來了一定的負擔。但對于一般的網(wǎng)絡來說，這種負擔是微不足道的。
　　2、NAT技術的類型
　　NAT有三種類型：靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡地址端口轉換NAPT（Port－Level NAT）。其中靜態(tài)NAT設置起來最為簡單和最容易實現(xiàn)的一種，內部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址。而動態(tài)地址NAT則是在外部網(wǎng)絡中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內部網(wǎng)絡。NAPT則是把內部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。
　　動態(tài)地址NAT只是轉換IP地址，它為每一個內部的IP地址分配一個臨時的外部IP地址，主要應用于撥號，對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。當遠程用戶聯(lián)接上之后，動態(tài)地址NAT就會分配給他一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。
　　網(wǎng)絡地址端口轉換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉換方式。NAPT普遍應用于接入設備中，它可以將中小型的網(wǎng)絡隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不同，它將內部連接映射到外部網(wǎng)絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號。
　　　 在Internet中使用NAPT時，所有不同的TCP和UDP信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內非常實用，通過從ISP處申請的一個IP地址，將多個連接通過NAPT接入Internet。實際上，許多SOHO遠程訪問設備支持基于PPP的動態(tài)IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個內部IP地址共用一個外部IP地址上Internet，雖然這樣會導致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費用和易管理的特點，用NAPT還是很值得的。
　　三、在Internet中使用NAT技術
　　NAT技術可以讓你區(qū)域網(wǎng)路中的所有機器經(jīng)由一臺通往Internet的server 線出去，而且只需要注冊該server的一個IP就夠了。 在以往沒有NAT技術以前，我們必須在server上安裝sockd，并且所有的clients都必須要支援sockd，才能夠經(jīng)過server的sockd連線出去。這種方式最大的問題是，通常只有telnet/ftp/www-browser支援sockd，其它的程式都不能使用；而且使用sockd的速度稍慢。因此我們使用網(wǎng)絡地址轉換NAT技術，這樣client不需要做任何的更動，只需要把gateway設到該server上就可以了，而且所有的程式(例如kali/kahn等等) 都可以使用。最簡單的NAT設備有兩條網(wǎng)絡連接：一條連接到Internet，一條連接到專用網(wǎng)絡。專用網(wǎng)絡中使用私有IP地址（有時也被稱做Network 10地址，地址使用留做專用的從10.0.0.0開始的地址）的主機，通過直接向NAT設備發(fā)送數(shù)據(jù)包連接到Internet上。與普通路由器不同NAT設備實際上對包頭進行修改，將專用網(wǎng)絡的源地址變?yōu)镹AT設備自己的Internet地址，而普通路由器僅在將數(shù)據(jù)包轉發(fā)到目的地前讀取源地址和目的地址。
　　四、應用NAT技術的安全策略
　　1、應用NAT技術的安全問題
　　在使用NAT時，Internet上的主機表面上看起來直接與NAT設備通信，而非與專用網(wǎng)絡中實際的主機通信。輸入的數(shù)據(jù)包被發(fā)送到NAT設備的IP地址上，并且NAT設備將目的包頭地址由自己的Internet地址變?yōu)檎嬲哪康闹鳈C的專用網(wǎng)絡地址。而結果是，理論上一個全球唯一IP地址后面可以連接幾百臺、幾千臺乃至幾百萬臺擁有專用地址的主機。但是，這實際上存在著缺陷。例如，許多Internet協(xié)議和應用依賴于真正的端到端網(wǎng)絡，在這種網(wǎng)絡上，數(shù)據(jù)包完全不加修改地從源地址發(fā)送到目的地址。比如，IP安全架構不能跨NAT設備使用，因為包含原始IP 源地址的原始包頭采用了數(shù)字簽名。如果改變源地址的話，數(shù)字簽名將不再有效。 NAT還向我們提出了管理上的挑戰(zhàn)。盡管NAT 對于一個缺少足夠的全球唯一Internet地址的組織、分支機構或者部門來說是一種不錯的解決方案，但是當重組、 合并或收購需要對兩個或更多的專用網(wǎng)絡進行整合時，它就變成了一種嚴重的問題。甚至在組織結構穩(wěn)定的情況下，NAT系統(tǒng)不能多層嵌套，從而造成路由噩夢。
　　2、應用NAT技術的安全策略
　　當我們改變網(wǎng)絡的IP地址時，都要仔細考慮這樣做會給網(wǎng)絡中已有的安全機制帶來什么樣的影響。如，防火墻根據(jù)IP報頭中包含的TCP端口號、信宿地址、信源地址以及其它一些信息來決定是否讓該數(shù)據(jù)包通過?？梢砸繬AT設備所處位置來改變防火墻過濾規(guī)則，這是因為NAT改變了信源或信宿地址。如果一個NAT設備，如一臺內部路由器，被置于受防火墻保護的一側，將不得不改變負責控制NAT設備身后網(wǎng)絡流量的所有安全規(guī)則。在許多網(wǎng)絡中，NAT機制都是在防火墻上實現(xiàn)的。它的目的是使防火墻能夠提供對網(wǎng)絡訪問與地址轉換的雙重控制功能。除非可以嚴格地限定哪一種網(wǎng)絡連接可以被進行NAT轉換，否則不要將NAT設備置于防火墻之外。任何一個淘氣的黑客，只要他能夠使NAT誤以為他的連接請求是被允許的，都可以以一個授權用戶的身份對你的網(wǎng)絡進行訪問。如果企業(yè)正在邁向網(wǎng)絡技術的前沿，并正在使用IP安全協(xié)議（IPSec）來構造一個虛擬專用網(wǎng)（VPN）時，錯誤地放置NAT設備會毀了計劃。原則上，NAT設備應該被置于VPN受保護的一側，因為NAT需要改動IP報頭中的地址域，而在IPSec報頭中該域是無法被改變的，這使可以準確地獲知原始報文是發(fā)自哪一臺工作站的。如果IP地址被改變了，那么IPSec的安全機制也就失效了，因為既然信源地址都可以被改動，那么報文內容就更不用說了。那么NAT技術在系統(tǒng)中我們應采用以下幾個策略：
　　①網(wǎng)絡地址轉換模塊
　　NAT技術模塊是本系統(tǒng)核心部分，而且只有本模塊與網(wǎng)絡層有關，因此，這一部分應和Unix系統(tǒng)本身的網(wǎng)絡層處理部分緊密結合在一起，或對其直接進行修改。本模塊進一步可細分為包交換子模塊、數(shù)據(jù)包頭替換子模塊、規(guī)則處理子模塊、連接記錄子模塊與真實地址分配子模塊及傳輸層過濾子模塊。
　?、诩性L問控制模塊
　　集中訪問控制模塊可進一步細分為請求認證子模塊和連接中繼子模塊。請求認證子模塊主要負責和認證與訪問控制系統(tǒng)通過一種可信的安全機制交換各種身份鑒別信息，識別出合法的用戶，并根據(jù)用戶預先被賦予的權限決定后續(xù)的連接形式。連接中繼子模塊的主要功能是為用戶建立起一條最終的無中繼的連接通道，并在需要的情況下向內部服務器傳送鑒別過的用戶身份信息，以完成相關服務協(xié)議中所需的鑒別流程。
　　③臨時訪問端口表
　　為了區(qū)分數(shù)據(jù)包的服務對象和防止攻擊者對內部主機發(fā)起的連接進行非授權的利用，網(wǎng)關把內部主機使用的臨時端口、協(xié)議類型和內部主機地址登記在臨時端口使用表中。由于網(wǎng)關不知道內部主機可能要使用的臨時端口，故臨時端口使用表是由網(wǎng)關根據(jù)接收的數(shù)據(jù)包動態(tài)生成的。對于入向的數(shù)據(jù)包，防火墻只讓那些訪問控制表許可的或者臨時端口使用表登記的數(shù)據(jù)包通過。
　?、苷J證與訪問控制系統(tǒng)
　　認證與訪問控制系統(tǒng)包括用戶鑒別模塊和訪問控制模塊，實現(xiàn)用戶的身份鑒別和安全策略的控制。其中用戶鑒別模塊采用一次性口令（One-Time Password）認證技術中Challenge/Response機制實現(xiàn)遠程和當?shù)赜脩舻纳矸蓁b別，保護合法用戶的有效訪問和限制非法用戶的訪問。它采用Telnet和WEB兩種實現(xiàn)方式，滿足不同系統(tǒng)環(huán)境下用戶的應用需求。訪問控制模塊是基于自主型訪問控制策略（DAC），采用ACL的方式，按照用戶（組）、地址（組）、服務類型、服務時間等訪問控制因素決定對用戶是否授權訪問。
　　⑤網(wǎng)絡安全監(jiān)控系統(tǒng)
　　監(jiān)控與入侵檢測系統(tǒng)作為系統(tǒng)端的監(jiān)控進程，負責接受進入系統(tǒng)的所有信息，并對信息包進行分析和歸類，對可能出現(xiàn)的入侵及時發(fā)出報警信息；同時如發(fā)現(xiàn)有合法用戶的非法訪問和非法用戶的訪問，監(jiān)控系統(tǒng)將及時斷開訪問連接，并進行追蹤檢查。
　?、藁赪EB的防火墻管理系統(tǒng)
　　管理系統(tǒng)主要負責網(wǎng)絡地址轉換模塊、集中訪問控制模塊、認證與訪問控制系統(tǒng)、監(jiān)控系統(tǒng)等模塊的系統(tǒng)配置和監(jiān)控。它采用基于WEB的管理模式，由于管理系統(tǒng)所涉及到的信息大部分是關于用戶帳號等敏感數(shù)據(jù)信息，故應充分保證信息的安全性，我們采用JAVA APPLET技術代替CGI技術，在信息傳遞過程中采用加密等安全技術保證用戶信息的安全性。
　　結尾：盡管NAT技術可以給我們帶來各種好處，例如無需為網(wǎng)絡重分IP地址、減少ISP帳號花費以及提供更完善的負載平衡功能等，NAT技術對一些管理和安全機制的潛在威脅仍在，看你如何正確應用好網(wǎng)絡地址轉換NAT技術.