当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 使用网络地址转换 增强网络安全

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 使用网络地址转换 增强网络安全


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 35 ::
收藏到网摘: n/a

如果你所管理的网络有足够的IP地址来覆盖主机和服务器,那么你很可能不会需要配置网络地址转换(Network Address Translation即NAT)。NAT允许在私有网络和因特网之间放置单个设备以扮演代理角色,由此使用单个的可路由的IP地址来代表多台计算机。

但NAT并不是仅仅用来弥补IP地址不足的问题的。它同样可以用来增强网络的安全性,并为管理提供方便。如果你还没有部署NAT,现在或许是到了重新考虑这一决定的时候了。

在决定部署NAT之前,理解NAT工作原理非常重要,你还需要熟悉你可能会需要配置的不同种类的NAT。

NAT vs 代理服务器
人们有时会把NAT同代理服务器搞混淆。然而,二者之间存在着巨大的差异。NAT对源计算机和目的计算机来说都是透明的。而代理服务器并不透明。你必须在源计算机上进行配置,使其能够连接到代理服务器上。

此外,目的计算机需要向代理服务器发送网络请求,后者则将通信连接转发到发起请求的计算机上。代理服务器通常在第四层(运输层)或OSI参考模型中的更高层次上工作,而NAT则是一种第三层(网络层)的协议。

现在你已经理解到了NAT和代理服务器之间的差异,现在让我们来看看四种类型的NAT。

静态
就像是一个向网络内部的映射一样,静态NAT将未注册/不可路由的内部网络IP地址映射为已注册/可路由的IP地址,这是一种一对一的策略。在内部网络的网络设备需要从外部进行访问的时候这是必须的。

例如:你的邮件服务器拥有一个10.0.1.5 IP地址(这一地址在因特网上是无法路由的)。你的NAT设备将会把它转化为202.0.1.5(一个可路由的IP地址)。

动态
动态NAT(Dynamic NAT)可以将一个为注册的IP地址映射为一个已注册IP地址,不同的是这一已注册IP地址是从一个已注册IP地址池中提取出来的。动态的NAT同样提供了一种一对一的映射策略。但这种映射地址将随着每次连接时已注册IP地址池的不同而改变。

例如:一台内部网络客户机拥有IP地址10.0.1.150。该地址试图连接外部网络,你的NAT设备将把它转化到从202.0.1.50到202.0.1.100这一地址范围中第一个可用地址上去。

过载
同端口地址转换(Port Address Translation即PAT)、单地址NAT,或是端口级复用NAT一样,过载(Overloading)也是一种动态的NAT。这种方式将多个未注册的IP地址映射到一个已注册的IP地址上,具体方法时在传输网络请求时,NAT设备将使用源端口替换。

例如:你的NAT设备将所有的内部网络设备转换到单个可路由IP地址上,不过它会在数据向各自的目的IP地址发送之前为每一个源会话(source session)指定一个不同的端口。

重叠
当内部IP地址可路由,但是需要在另一网络上使用的时候使用重叠NAT(Overlapping NAT)。NAT设备可以在转发通信前将这些地址转换到一个单独的可路由地址。

企业可以在内部客户端位于网络中某个不同物理位置,但又需要使用相同可路由地址的情况下使用这种类型的NAT。通常你需要结合动态DNS来使用重叠NAT。

例如:你的NAT设备将一个IP地址为202.0.1.50(可路由地址,并且被一个位于物理位置不同的不同用户所使用)映射到202.0.2.50到202.0.2.100范围中的某个地址。

最终需要考虑的问题
不要担心在网络中配置NAT会降低网络性能。一条地址转换表项在路由器中仅仅占用了大约160个字节,而一台只有2MB DRAM的路由器可以同步处理13,107条地址转换。

这对于小型网络来说已经足够了。此外,需要记住,如果在实施中遇到了麻烦,为路由器添加内存可能有助于问题的解决。

在部署NAT时,绝大部分的企业都更倾向于使用动态NAT方法。这可以在内部网络和因特网之间创建一个第三层防火墙。

通过这种方式,因特网上的计算机就无法连接到内部网络中的客户机了,除非内部网络客户机主动发起通信。防止可能存在危险的网络对内部网络客户机发起连接,这是保障网络安全的很好选择。