網絡地址轉換在網絡安全中的應用

　　文章摘要: 　　　Internet網絡中網絡地址轉換技術產生的背景、主要內容、內部轉換機制、在網絡安全中的應用以及與其它網絡安全技術相比的優點。並介紹了基於網絡地址轉換技術的防火牆的特點和網絡地址轉換技術的最新發展。　　關鍵詞:防火牆 網關 內部岡 網絡地址轉換 訪問控制　　　　　　網絡地址轉換NAT[Network Address Trans1ator)技術是Internet網絡應用中一項非常實用的技術.以往主要被應用在並行處理的動態負載均衡以及高可靠性系統的容錯備份的實現上.最初,NAT技術是緊隨CIDR(C1assless Inter Domnin Routing)技術的出現而出現的.二者的主要目的都是為了解決當時傳統1P網絡地址緊張的問題.CIDR技術通過允許用任意長度子網掩碼來劃分網段,大大提高了對已注冊地址的有效利用率.NAT技術則是一個有唯一出口的樁網絡(STUB NETW0RK),通過地址復用來提高對已注冊地址的有效利用率,這二者都為解決這一問題提供了有效的手段.　　　　　　事實上,在實現NAT技術之前,已經出現了一種類似的技術一一IP地址掩蓋(IP Masquerading).它是在外部網與內部網中某一台主機進行通信時,將內部的這台主機所使用的IP地址映射為網關上的一個特定的TCP端口,使得每次外部網主機訪問網關上的某一端口時,其連接中的所有IP包都被轉發給這一內部主機.這樣整個內部網在與外部進行通信時,再無需任何IP地址了,只需網關對外具有一個IP地址,而不同的內部網主機對外的不同連接使用網關上的不同TCP端口即可.但IP地址掩蓋技術並末得到廣泛認可,因為它的功能極其有限,當內部網中與外部網聯系的主機數量稍有增多時,網關的TCP連接控制部分就難以應付了,而且內部主祝對外映射成不同的網關TCP端口.這對於客戶消並沒有什麼關系,但對於提供服務的主機,就會出現服務端口不符合標淮TCP規范的問題.而NAT技術的出現迅速地取代了IP地址掩蓋技術.　　1 網絡地址轉換技術(HAT)　　　如上所述,NAT技術的應用環境是一個有唯一出口的樁網絡,這樣才能保證所有的通信都必須經過NAT技術的網關,地址的轉換不發生歧義.它通過地址復用來提高對已注冊地址的有效利用率.NAT技術中具體的IP地址復用方法是:在內部網中使用私有的虛擬地址,即由Internet地址分配委員會(IANA)所保留的幾段Private Network IP地址.以下是預留的Private Network地址范圍:　　10．0．0．0 一一 10．255．255．255　　172．16．0．0 一一 172．31．255．255　　192．168．0．0 一一 192．168．255．255　　　由於這部分地址的路由信息被禁止出現在Internet骨干網絡中,所以如果在Internet中使用這些地址是不會被任何路由器正確轉發的,因而也就不會因大家都使用這些地址而相互之間發生沖突.在邊界路由器中設置一定的地址轉換關系表並維持一個注冊的真實IP地址池(IP Pool),通過路由器中的轉換功能將內部的虛擬地址映射為相應的注冊地址,使得內部主機可以與外部主機間透明地進行通信.　　　NAT技術員一般的形式為:NAT網關依據一定的規則,對所有進出的數據包進行源與目的地址識別,並將由內向外的數據包中源地址替換成一個真實地址(注冊過的合法地址),而將由外向內的數據包中的目的地址替換成相應的虛地址(內部用的非注冊地址).NAT網關對地址的轉換過程實例如下:　　　實例環境:內部網使用虛擬地址空間為10.0.0.0-10．255．255.255,對外擁有注冊真實IP地址為202．119．1．0-202．119．1．255,內部主機IHl、IH2地址分別設為10．0．1．1和10．0．2．2,另一外部網主機OH1地址為202．112．196．7.網絡拓撲結構如圖1所示.　　　　　當內部網主機IH1與外部網主機OHl建立聯系時,由於網關對外將其映射為一注冊的真實地址202．119．1.23,所以它的IP包頭中的IP地址在網關處被轉換成這一地址.於是會產生圖2所示的IP數據包:　　　(1)圖2(a)為IH1發出的IP包.　　　(2)經過網關後被轉換為圖2(b)的形式.　　 　　　(3)圖2(c)為其返回的IP包形式.　　　(4)進入網關後轉換為圖2N)的形式.　　　在以上的包傳輸過程中,內部的虛擬地址10．0．1．1與外部的真實地址202．119．1．23之間構成一一對應關系,經過網關時須進行必要的轉換工作,這正是NAT技術名稱的由來.其它內部主機與外部主機連接過程與之類似,但內部主機(IHl,IH2)之間的連接直接使用虛擬地址而不需要經過網關的轉換.　　　本例的轉換形式只是一種特定的NAT轉換(向轉換形式).從網關的出入方向看,NAT有入向轉(inbound)、出向轉換(outbound)和雙向轉換(bi-directional)3種形式.絕大多數應用都屬於入向轉換形式,其它2種形式極少用到.因為目前的網絡通信基本上都是在與Internet之間發生.Internet的地址空間極其龐大,無法再做有效的地址變換(考慮IPv6的情況除外),因而外部地址一般不會在網關處進行變換.從轉換對應關系的角度來看,NAT還可分為靜態轉換和動態轉換二類.所謂靜態轉換就是在網關上預先設置好虛擬地址與實際地址的一一對應關系,在工作時不作實時更改；而動態轉換則無需預先設置,直接由網關在運行時根據網絡連接和地址空間的使用情況自行決定地址對應關系.　　2 基於HAT技術的網絡防火牆　　2.1 HAT技術的應用　　　NAT技術在網絡安全領域的應用主要集中在大型的商業性防火牆產品中.具有代表性的產品有Checkpoint公司的Firewal1、IBM公司的Secure Network Gateway.　　　NAT技術的最初應用是以普通網關的形式出現的.當時功能還很簡單,僅僅用於研究實驗.之後少數路由器廠商推出了專用的NAT路由器,在功能和設備性能上都有了很大的提高.隨著NAT技術的應用越來越廣泛,其自身的技術特點在網絡安全領域也逐漸顯示出其獨特的應用價值.　　　當人們考察IP包過濾防火牆時,意識到其發揮的功能過於單一,它僅僅是根據IP包中源及目的地址來判定一個包是否可以通過.而這二個地址是很容易披篡改和偽造的,一旦網絡的結構暴露給外界後,就很難抵御IP層的攻擊行為.改進IP包過濾功能的一個有效途徑就是改變這種確定性的過濾規則.采用網絡路由中網絡地址轉換技術、通過在網關上對進出口IP包源與目的地址的轉換,完全可以實現過濾規則的動態化,使得外部網中的主機或使用者難以了解和掌握與自己通信的對方的真實網絡地址.因為外部網所接收到的數據包中的地址都已被網關改寫過了,反映到外部網中就是一個虛擬的主機.這樣,一方面通過在網絡層(IP層)將內部網與外部網隔離開,使得內部網的拓撲結構、域名及地址信息對外成為不可見或不確定信息,從而保證了內部網中主機的隱蔽性．使絕大多數攻擊性的試探失去所需的網絡條件；另一方面,以此為基礎能非常有效地控制各種出入數據包,不僅能大大提高IP包過濾的靈活性,更重要的是為提高網關系統轉發報文的效率提供了一個安全的平台.同時在很大程度上還保證了網絡通信的透明性.NAT技術的引入,為傳統IP層中的安全技術增加了新的特性,改變了只能按照地址匹配算法進行簡單的過濾控制這一狀況. NAT只能安裝在網關系統上,而這也正是普通防火牆系統通常所處的位置.因此NAT技術的應用很自然地就被集成在防火牆系統內,成為眾多的安全防護手段之一. 　　2.2 基於NAT技術的防火牆的特點 　　　與其它網絡安全技術相比,NAT技術的實現比較安全.它完全局於一種系統底層的功能,不像PROXY等基於應用的方式,其安全性依賴於系統對於應用程序所提供的安全服務水平.在多用戶的操作系統中這種安全性一般都難以達到理想條件,由於NAT技術的實現與運行平台十分有關,往往需要直接改動系統本身,再加上商業利益等因素決定了它的實現方式都是不公開的,所以很難被其他人所研究,不會在短時間內發現嚴重的安全漏洞.另外,NAT技術對網絡運作的影響也十分有限,它對TCP／IP協議基本上提供了透明的服務,對網絡應用則毫無影響.如果沒有被告知,通信雙方完全感覺不到NAT網關的存在.而SOCKS或PROXY技術則要求先安裝適當的客戶端軟件,使用者還要了解網關的一些有關信息,以配置客戶端軟件所需用的參數,否則無法使用.與應用型的安全技術相比,NAT技術還有形式簡潔的優點.它僅僅是修改過往的數據包個別信息,與網關兩側的網絡環境相適應,無需像PROXY技術那樣,要充分了解某一協議內部的各種功能和細節,針對每一種功能提供相關的服務.這些對比都表明NAT技術用於網絡安全是具有很大優越性.另外,由於NAT技術所特有的地址轉換能力,使得基於這一技術實現的防火牆的安全性也比其它類型的防火牆有很大的提高.　　　首先,防火牆在完成中繼系統功能的同時,還完全屏蔽了內部子網的各種重要的協議信息,包括IP地址、城名分配情況、路由信息、內部網拓撲結構等重要數據.這就使得外部網的攻擊無從發起,這種安全保障的強度是一般防火牆技術所無法比擬的.另外．由於NAT技術的地址轉換機制．它對各種網絡攻擊方法還有獨到的防護能力.下面主要就TCP SYN報文掩沒(TCP SYN-FLOODING)這種特殊的服務失效型(Denia1 of Service)網絡攻擊方式對其作一說明.　　　一般說來,SYN FLOOING屬於傳輸層的一種攻擊手段,它借用了TCP協議體系中的一些漏洞,使主機上網絡協議的實現軟件發生崩潰造成服務失效.主要方法是在TCP連接建立的過程中．利用初始化時的3次握手機制需要主機上的網絡實現部分為其留出必要的狀態信息和接收與發送的數據緩存這一前提.因此,當1台主機惡意地向另1台主機連續地只發送SYN報文(即3次握手中的第1個報文)而不發送相應的響應報文(即3次握手中的第3個報文)時,出於早期設計者對網絡傳輸可靠性的擔心,網絡協議的實現軟件會一直保留這一連續請求的狀態直至超時.然而,大多數早期系統的超時時間都被錯誤地設置成一個過大的值,這就造成緩沖區迅速被用盡,而系統卻無法實施適當的干預.於是系統不僅對外的網絡響應完全喪失,很多系統還會造成內部資源耗盡,對其它進程的響應也慢到無法忍受的地步甚至死機.這種攻擊在傳統的防火牆技術中幾乎無法克服.因為它利用的是T ，