网络地址转换NAT技术及在CISCO PIX防火墙中应用

2007年 (第 35卷)第 6期 信息技术 圆鲳四啦翦囱 酸 密 @0 @⑨ 0 翰 国0庖嗣 陈兰兰 (江西财经职业技术学院，江西 九江 332700) 摘要：本文主要介绍防火墙 ASA特性、网络地址转换技术概 念、原理及分类，并分析 了NAT技术与防火墙结合的合理性， NAW技术在防火墙中的实现及其基于NAT技术的防火墙的特 点。 关键词 ：网络地址转换 NAT 内部网络 外部网络 TCP SYN报文掩没 1 防火墙 ASA特性 1．1 PIx防火墙ASA特性 PE(防火墙采用 自适应安全算法 ASA (Adaptive Security A1一 gorithm)，使防火墙的接口具有不同的安全级别，且这 安全级别 遵循一定的 规则 编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf ，这个规则决定着数据流能否通过防火墙。 1．1．1安全级 别的规则 允许数据通过具有较高安全级别的接 口进入 PIX，并通过具 有较低安全级别的接 口流出PIX，但不允许数据通过具有较低安 全级别的接口流向具有较高安全级别的接 口，数据不能通过 PIX，除非有静态翻译和管道或访问控制列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 明确允许。 可见 PIX是任意两／＼接口就形成了一个虚拟的防火墙。 1．1．2安全级 别的范}目 安全级别的范’封从 0到 100，安全级别越高表示信任度越 高，如安全级别 100，表示该接口是最被信任的接 口；安全级别 0， 则是信任最低的接口安全级别。 1．2安全级别的应用 根据防火墙的物理特性和ASA自适应算法特性，我们可以 将防火墙与内部区域即企业网络连接的接口安全级别设为最高 100，这样企业的内部网络就具有非常高的安全性，在没有给予访 问者明确的许可权限，访问者是无法访问内部网络的。同时，将防 火墙与外部区域连接的接口安全级别设为最高0，外部的设备只 有对它们进行了特殊的配置情况下 ，才被允许通过 PIX进行访 问。对于与停火区DMZ相连的接口，可将安全级别设在 1 99之 间，从内部被信任的环境中隔离出来，使来自不被信任环境中用 户能够访问DMZ。 2 网络地址转换 NAT技术在 PIX防火墙中的应用 PIX防火墙采用自适应算法技术，只允许所有由内向外的访 问，而不允许由外向内的访问。然而在某些情况下，内部网络需要 外部获取内部网络信息，根据这个需求 ，我们可以采用网络地址 静态翻译(又称转换)和管道或动态翻译技术应用到防火墙中，来 允许数据通过PIX防火墙进行访问。为何采用上述技术，先来了 解网络地址翻译技术概念、原理、类型及其与防火墙的结合的合 理性。 2．1网络地址转换NAT技术概念、基本原理及其类型 2．1．1网络地址转 换 NAT技 术 NAT英文全称是“Network Address Translation”，中文意思是 “网络地址转换”，它是一个 IETF(Intemet工程任务组 ) 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，允许 — 个整体机构以一个公用 IP地址出现在 Intemet上。顾名思义 ， 它是一种把内部私有网络地址翻译成全局网络 IP地址的技术。 2．1．2 NAT技术的基本原理 NAT就是在局域网内部网络中使用内部地址，而当内部节点 要与外部网络进行通讯时，就在网关处f即TCP／IP协议栈的IP层 (网络层)，也是防火墙处的位置 ，这也是 NAT技术应用到防火墙 中原因之一1，将内部地址替换成全局地址，从而在外部公网(in- temet)上正常使用。NAT可以使多台计算机共享 Intemet连接，这 一 功能很好地解决了公共 IP地址紧缺的问题。这里提到的内部 地址，是指在内部网络中分配给节点的私有IP地址，这个地址只 能在内部网络中使用，不能被路由(一种网络技术，可以实现不同 路径转发)。虽然内部地址可以随机挑选，但是通常使用的是下面 的 地 址 ：10．0．0．0—10．255．255．255、172．16．0．0—172．16．255．255、 192．168．0．0 192．168．255．255。NAT将这些无法在互联网上使用 的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全 局地址，是指合法 的 IP地址，它是由 NIC(网络信息中心 )或者 ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局 部地址 ，是全球统一的可寻址的地址。 2．1．3 NAT技术 的类型 NAT有两种类型：静态地址 NAT(Static NAT)、动态地址 NAT (Pooled NAT) (1)静态 NAT(Static NAT)：一个私网 IP地址和一个公用 IP 地址之间创建一条静态的映射。具体语法如：#static(inside，叫t- side)211．9．12．3 10．2．24．2 netmask 255．255．255．255表示 内网 IP 10．2．24．2主机在访问外网时，IP地址被静态翻译为 211．9．12．3。但 如果要允许数据由外网流向内网，必须采取其他方法 ，以绕过防 火墙的ASA的阻拦。我们可以在PIX防火墙使用conduit管道命 令。conduit管道命令允许或拒绝从防火墙外部的连接访问内部网 络主机上的TCP、UDP和其他协议服务，它用来为防火墙的ASA 产生例外。具体语法如：#conduit permit tcp 21 1．9．12．3 eq www any 此命令表示任何外网主机对于全局地址21 1．9．12．3进行 www访 问。如图 1： 叶 一 图 1． (2)动态地址翻译用来将一段 部地址范围翻译成一段全局 地址范围，或者一个全局地址。 ①将一段内部地址范围翻译成一段全局地址范围，称为网络 地址翻译 NAT。这种翻译只是转移}II'地址，它为每一个内部的II' 地址分配—个临时的外部IP地址，主要应用于拨号。当远程用户 连接上之后 ，动态地址 NAT就会分 配给它一个 II'地址，用户断 开时，这个II'地址就会被释放丽f留待以后使用。对于采用NAT 翻译，通常将 nat和gl0bal命令联合使用。Nat命令用来定义内部 主机，global命令定义全局地址池 具体语法如：Firewall(coniig) #nat(inside)1 0．0．0．0 0．0．0．0 0 0；FirewMl(con_fig)#global(inside)1 192．186．1．10-192．186．1．254 netmask 255．255．255．0此命令语法表 示 所 有 内 部 地 址 都 被 翻 译 ， 全 局 地 址 池 是 从 192．186．1．10-192．186．1．254。如 !机 10．2．12．10是通 过 PIX向外 19 维普资讯 http://www.cqvip.com 信息技术 2007年(第 35卷)第 6期 网发起 的第一条连接的主机 ，则它被翻译成全局地址 192．186．1．10。 ②将一段内部地址范围翻译成一个全局地址范围，称为网络 地址端口转换PAT(Ne 0rkAddressPortTranslation)，这是人们比 较熟悉的一种转换方式。它可以将中小型的网络隐藏在—个合法 的 地址后面。PAT与NAT不同，它将内部连接映射到外部网 络中的一个单独的 地址上，同时在该地址上加上一个由NAT 设备选定的TCP端口号。对于采用PAT翻译，通常也将nat和 global命令联合使用。Nat命令用来定义内部主机，global命令定 义一个全局地址。具体语法如：Firewall(config)#nat(inside)1 172．16．3．0 255．255．255．0 0 0，Firewall(config)#global (inside)1 178．8．8．8 netrnask 255．255．255．0，此命令语法表示当连接到Inter- net时，内部地址 172．16．3．0／24都被翻译为同一个全局地址 178．8．8．8，同时分配到一个大于 1024的、唯一的源端口号，标示 着发送数据的那台内网主机，以便b~d,b网回流的数据能找到该台 一 图 2 3 NAT技术集成到 PIX防火墙的合理性 (1)NAT设备维护—个状态表，用来把非法的IP地址映射到 合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP 地址，发往下一级，这意味着给处理器带来了一定的负担。若集成 到路由器中，因路由器本身要进行数据包路由及转发，再运行 NAT，会导致路由器 CPU利用率过高，影响整个网络性能。而防 火墙自身具有是非常低的服务功能，除了专门的防火墙嵌入系统 外，再没有其它应用程序在防火墙上运行。因此，将NAT技术集 成到防火墙中是非常合理、实用的。如 NAT技术集成到CISCO公 司的 PIX系列的 Firewall。 (2)NAT只能安装在网关系统上，而这也正是普通防火墙系 统通常所处的位置．因此 NA。r技术的应用很 自然地就被集成在防 火墙系统内威为众多的安全防护手段之一。 (3)防火墙采用自适应算法ASA来设置不同接口具有不同 的安全级别，使数据只能从安全级别高的接口流向安全级别低的 接口。若要允许数据通过具有较低安全级别的接口流向具有较高 安全级别的接口，来通过P?X，必须采用静态翻译NAT和管道或 动态翻译。 4 网络地址转换 NAT技术应用到 PIX防火墙中的特 点 节约 地址 NAT翻译能将内部网络地址(多达64000个)翻译为一个全 局 IP地址，这意味着通过这种方法，可以只申请一个合法 IP地 址，就把整个局域网中的计算机接入Intemet中，同时，内部使用 的私有 地址在其他p 部网络可以重复使用，这样不仅降低了 网络成本也大大缓解了目前紧张的IP资源。 提高了安全性 (1)防火墙采用自适应算法ASA来设置不同接口具有不同 的安全级别，使数据只能从安全级别高的接口流向安全级别低的 接口，即外网没有人能够访问公司的内部网络，除非是内网给予 访问者许可权限允许他访问。这样防火墙就犹如—个安全屏障．． 使内部网络置于一个相对安全的位置。 (2)NAT技术集成到防火墙中，由于 NAT技术所特有的地址 转换能力，使得基于这一技术实现的防火墙的安全性比其它类型 的防火墙高。 ①首先，防火墙在完成中继系统功能的同时，还完全屏蔽了内 部子网的各种重要的协议信息，包括 IP地址、路由信息、内部网拓 扑结构等重要数据。这就使得外部网的攻击无从发起，这种安全 保障的强度是一般防火墙技术所无法比拟的。 ②其次，由于NAT技术的地址转换机制，它对各种网络攻击 方法还有独到的防护能力。下面主要就 TCP SYN报文掩没<-I℃P sYN—FLOODING)这种特殊的服务失效型(Denial ofService)网络 攻击方式对其作一 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 。 在一般情况下，一个 TCP连接的建立需要经过三次握手的 过程，即建立发起者向目标计算机发送一个 TCPSYN报文，目标 计算机收到这个 SYN报文后，在内存中创建TCP连接控制块 (TCB)，然后 向发起者回送一个 TCPACK报文 ，等待发起者的回 应 ，发起者收到 TCPACK报文后 ，再回应一个 ACK报文 ，这样 TCP连接就建立起来了。利用这个过程，一些恶意的攻击者可以 进行所谓的TCP SYN报文掩没服务失效型攻击：即攻击者向目 标计算机发送一个TCP SYN报文，目标计算机收到这个报文后， 建立 TCP连接控制结构(TCB)，并回应一个 ACK，等待发起者的 回应，而发起者则不向目标计算机回应 ACK报文 ，这样导致 目标 计算机一致处于等待状态。可以看出，目标计算机如果接收到大 量的TCP SYN报文，而没有收到发起者的第三次 ACK回应，会 一 直等待 ，处于这样尴尬状态的半连接如果 很多，则会把 目标计 算机的资源(TCB控制结构，TCB，一般情况下是有限的)耗尽，而 不能响应正常的TCP连接请求。这类攻击借用TCP协议体系中 的这个漏洞，使主机上网络协议的实现软件发生崩溃造成服务失 效。这种攻击在传统的防火墙技术中几乎无 法克服．因为它利用 的是 TCP协议 自身的缺陷，正常的软件实现是不会考虑到这一情 况的。若采用 NAT技术则可以使这种攻击方法失去意义。因为外 部主机在对内部主机实施这一攻击手段时，仍需给出攻击目标的 IP地址，才可能对其连续不断地发送攻击的报文。然而这些报文 在通过集成了NAT技术的防火墙时IP地址都需作转换，原来发 送给一个外部 IP地址的报文经过防火墙的转换作用，分别被动态 地转发到不同的内部IP地址的主机上去了。这就大大延缓了各 主机中TCP协议实现软件在处理这类报文时的超时时间限制，使 它可以从容地应付这类报文，不会因此而出现响应丢失或死机的 故障。 5 总结 将网络地址转换NAT技术和CISCO PIX防火墙两者优点结 合起来，即能节约IP地址，又能增强网络的安全性，这种结合方 法在网络可以广泛采用。 参考文献： 【1】Todd I_am啪lc．CCNA学习指南(中文~)(e40-sm)．电子．r-_,lk出版社． 【2】David W．chapⅡml Jr、Afldy Fox，CISCO安全PIX 防火墙}人民邮电 出版社． 【3】Cisco NetworkingAcademyProgram．思科网络技术学院教程．人民邮 电出版社． (上接 131页)灰浆和其它杂物进入管中。混凝土养护7d后，进行 声测检查。检查方法是相I}缶两个声测管逐对检查 ，直至测完。 4 结束语 20 由于吸取了第一个承台的混凝土质量事故的教训，改进了施 工工艺，严格控制原 材料 关于××同志的政审材料调查表环保先进个人材料国家普通话测试材料农民专业合作社注销四查四问剖析材料 粒径规格，试验人员现场检验混合料级 配和自动上水计量检测，派专人监督混凝土振捣，不得漏振。通过 声测检查，其余承台的混凝土质量都很好。 维普资讯 http://www.cqvip.com