网络地址转换.docx

The document was prepared on January 2, 2021
网络地址转换
下载
第4章 网络地址转换
本章内容
什么是NAT，它是如何工作的。
通过示例讲述如何实现NAT。
NAT如何应用于网络安全。
什么时候恰当地使用NAT。
概述
这章讲述的是网络地址转换（ NAT）。从最简单的方式来看， NAT就是要通过某些设备来
转换网络层（第三层）地址，这些设备包括路由器、防火墙等。理论上讲，其他的第三层协议，
如AppleTalk或IPX协议，或其他层协议（如第二层协议）都能被转换。实际上，目前一般仅用
于第三层的IP地址转换。由于这是一本有关TCP/IP的书籍，所以本章仅讨论IP问题。
我们将通过示例来说明仅转换第三层的地址是不够的，运输层（第四层）及更高层上的信
息也可能被影响。所以我们这里的讨论也包括 TCP、UDP以及应用层（第七层）协议。我们不
仅要讨论什么是NAT、NAT是如何工作的，还要讨论它的问题和缺陷。
尽管这一章不是讲述网络安全的，然而 NAT的问题时常与一些安全应用有很密切的关系。
在某些情况下，NAT的一些特殊类型对安全应用的非常有用，许多安全包中都包含有商业 NAT
的实现。这也就是说，本章我们将讲述一些与 NAT相关的安全问题，尽管NAT本身并不需要安
全技术。
在路由器或防火墙的后面
在早期的防火墙解决方案中，经常会使用到 NAT。这些早期的防火墙几乎都是基于代理的。
一个很好的示例是FireWallToolKit(FWTK)软件。代理存在于防火墙内部，它负责为客户提供
一些信息，例如，Web页面。客户计算机向代理请求一个特定的 Web页面（要给出URL），并等
待应答。此时，代理将会找到Web页，并将它返回给客户。
这个代理具体是什么首先，代理的管理员经常要编制一些内容列表，这些内容是不允许
客户访问的。例如，如果在一个公司中有一个 Web代理，那么代理管理员也许会禁止公司内部
计算机对的访问。其次，代理还能够完成一些高速缓存和其他优化工作。如
果每天有50个人访问，代理就能够将这个Web页的拷贝下来。当一个客户请
求这个Web页面时，代理所做的所有工作就是检查这个页面是否发生了一些变化。如果没有发
下载
第4章认网络地址转换部
分71
生变化，则代理只传送它已存储的拷贝，这样客户就能够更快地看到这些页面。
一般来说，对于这种类型的代理配置，主要是阻止客户直接从 Internet上查看某些Web页面。
如果它们想要查看某些页面的话，则必须使用这个代理。这个工作通常是通过路由器上的包过
滤功能来实现的。简单的来说，路由器被配置成仅允许代理访问在 Internet上的Web页面，而不
允许其他机器访问Internet上的Web页面。
这种设计的结果就是内部的客户只能与代理进行通信，而不能同在 Internet上的其他主机进
行通信。代理需要接收内部客户的请求，然后完成这个请求。这也就意味着在 Internet上的其
他主机也不能直接同内部主机进行通信，甚至不能直接应答。所以，防火墙管理员通过配置路
由器或防火墙能够隔断内部和外部机器间的通信。这种方法将强制所有的通信都通过代理来完
成。现在，如果配置正确的话，能够与外部通信的唯一机器是代理，这会大大减少受到外部直
接攻击的机器数量。代理的管理员应尽可能谨慎，以保证代理机器尽可能安全。图 4-1是有关
这方面的逻辑示意图。
客户机向代理服务器发送Web页面请求
过滤路由器
Web服务器 代理 内部客户机
代理请求来自于Web服务器的页面
过滤路由器
Web服务器
代理 内部客户机
Web服务器发送Web页面
过滤路由器
Web服务器
代理 内部客户机
代理将页面送给客户
过滤路由器
Web服务器 代理 内部客户机
图4-1 通过代理检索Web页面
72
部分IP地址管理与子网划分
下载
为了达到我们讨论的目的，这个过程已经被大大地简化。但要注意下面的原则：内部和外
部的清楚划分以及它们之间的交接点。它们之间的交接点有时也被叫做阻塞点。在我们的图中，
阻塞点就是代理和过滤路由器的组合。
这是一种最简单的防火墙结构。当你要设计一个真正的防火墙时，还需要了解许多本章以
外问题，例如：
代理软件是否支持所有所需的协议。
如何在路由器上配置分组过滤。
在客户端的Web浏览器软件如何与代理进行通信。
代理如何知道哪个机器在内部，哪个机器在外部。
本章讨论的重点不是代理防火墙的结构，而是讨论它的影响。我们已经知道，从这个网络