基于NAT的IP尋址方式在信息安全中的應用研究

鄭洪霞

?

基于NAT的IP尋址方式在信息安全中的應用研究

鄭洪霞

河南省經濟管理學校，河南 南陽 473004

網絡地址轉換（NAT）不僅解決了lP尋址地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機，實現了內部網絡信息的安全。

網絡地址轉換；靜態轉換；動態轉換；端口多路復用；信息安全

隨著Internet的快速發展，上網人數急劇增長，IPV4地址即將耗盡。網絡地址轉換（NAT，Network Address Translation）是一種過渡性的解決手段，屬于接入廣域網（WAN）技術，這種技術可以暫時解決IP地址耗盡的問題。我們知道支撐Internet運轉的關鍵是IP尋址技術，在局域網內部可以適用IP保留地址，通過NAT地址轉換，在訪問外部網絡時再將保留地址轉為真實地址，保持了Internet上的地址唯一性，也解決了lP地址不足的問題，而且NAT 之內的 PC 聯機到 Internet時，它所顯示的 IP 是 NAT 主機的公共 IP，所以 內部網絡客戶端的 PC 當然就具有一定程度的安全了，外界在進行 portscan（端口掃描） 的時候，就偵測不到源客戶端的 PC，有效地避免了來自網絡外部的攻擊，隱藏并保護了網絡內部的計算機，實現了內部網絡信息的安全。[1]對于一個企業其網絡主要用于內部服務而僅有時用于外部訪問，這種配置應用是很適用的。

1 NAT的類型

NAT有3種類型：靜態NAT、動態NAT和端口地址轉換。

靜態轉換是最容易實現的一種NAT技術，在靜態NAT中，內部網絡的每個主機IP地址都被永久映射成外部網絡中的某個合法地址，內部地址與全局地址一一對應。借助于靜態轉換，可以實現外部網絡對內部網絡中某些特定設備（如服務器）的訪問。[2]

動態NAT將可用的全局地址集定義成NAT池（NAT pool），采用動態分配的方法映射到內部網絡。動態地址轉換也是將全局地址與內部地址進行一對一的轉換，但是動態地址轉換是從外部合法地址池中動態地選擇一個未使用的地址對內部地址進行轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時。可以采用動態轉換的方式。

端口地址轉換（Port Address Translation,PAT）是動態轉換的一種變形，它可以是多個內部節點共享一個全局IP地址，而使用源和目的的TCP/UDP的端口號來區分NAT表中的轉換條目及內部地址。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自Internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式。

2 NAT的具體實現

NAT需要在局域網連接到因特網的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個有效的外部全球IP地址。這樣，所有使用保留地址的主機在和外界通信時，都要在NAT路由器上將其保留地址轉換成全球IP地址，才能和因特網進行連接。

在數據包的發送過程中，NAT路由器將局域網的保留地址轉換為公網IP地址池中可用IP地址，并將此轉換條目記錄在地址轉換表中。

當有返程數據包到達路由器時，它將檢查此數據包的目標IP，并按照地址轉換表進行反向的IP地址轉換，然后發送給主機。

在配置網絡地址轉換的過程之前，首先必須搞清楚內部接口和外部接口，以及在哪個外部接口上啟用NAT。通常情況下，連接到用戶內部網絡的接口是NAT內部接口，而連接到外部網絡（如Internet）的接口是NAT外部接口。

2.1 靜態NAT配置

在如圖1所示的網絡中，假設內部網絡主機A使用的lP地址為192.168.1.1，路由器局域網端（即默認網關）的IP地址為192.168.1.254，子網掩碼為255.255.255.0。可用于轉換的IP地址為210.31.235.1，路由器在廣域網中的IP地址為12.0.0.1，子網掩碼為255.255.255.252。要求將內部網址192.168.200.1一對一轉換為合法IP地址210.31.235.1。對于圖中的情形來說，靜態NAT的配置可以分為以下幾個步驟：

圖1 靜態NAT示例

第1步，設置外部端口。

interface serial1/0 //進入串口serial1/0

ip address 12.0.0.1 255.255.255.252 //設置接口IP地址

ip nat outside //設置接口為外部接口

第2步，設置內部端口。

interface fastethernet0/0 //進入接口faste thernet0/0

ip address 192.168.1.1 255.255.255.0 //設置接口IP地址

ip nat inside //設置接口為內部接口

第3步，在內部本地與內部合法地址之間建立靜態地址的一對一轉換。

ip nat inside source static 192.168.1.1 210.31.235.1

若局域網主機多的話，分別按照第3步進行轉換。

以上靜態地址轉換配置完畢。

2.2 動態NAT配置

對于內部網絡的普通主機來說，由于可獲得的Internet可路由地址有限，我們只能進行動態NAT配置。

圖2 公網IP地址池

3 結語

總之，NAT使得多個內部IP地址可以共享一個或多個全局IP地址，就能獲得互聯網接入的能力，有效地緩解了地址不足的問題，從而節約了全局地址的使用。同時NAT技術能透明地對所用保留地址做轉換，使外部網絡無法了解內部網絡的內部結構，同時適用NAT的網絡，與外部網絡的連接只能由內部網絡發起，并且內部主機不直接使用全局地址，所以NAT隱藏了端到端的IP地址，使得對數據包路徑的跟蹤變得比較困難，在一定程度上減少了被攻擊的風險，極大地增強了網絡的安全性。

[1]楊海鷹，余建坤，謝健，等.信息系統安全評價指標體系的評價因素集研究[J].全國商情（理論研究），2011（24）：12.

[2]祝詠升，周澤巖，張彥，等.鐵路信息系統安全測評服務體系的研究[J].信息系統工程，2011（12）：23.

Research on the application of IP addressing mode based on NAT in information security

Zheng Hongxia

Henan provincial economic management school, Nanyang, Henan 473004

Network address conversion （NAT） not only solve the problem of IP address shortage, but also can effectively avoid the attack from the external network, hide and protect the internal network of the computer, realize the internal network information security.

network address translation; static conversion; dynamic switching; port multiplexing; information security

TP393.08

A

1009-6434(2016)6-0150-02