第五章 防火墙动态地址转换v1.docx
《第五章 防火墙动态地址转换v1.docx》由会员分享,可在线阅读,更多相关《第五章 防火墙动态地址转换v1.docx(23页珍藏版)》请在冰豆网上搜索。
第五章防火墙动态地址转换v1
第五章防火墙动态地址转换v1.0
幻灯片1
幻灯片2
幻灯片3
幻灯片4
幻灯片5
早在上世纪90年代初,有关RFC文档就提出IP地址耗尽的可能性。
基于TCP/IP协议的Web应用使互联网迅速扩张,IPv4地址申请量越来越大。
互联网可持续发展的问题日益严重。
中国的运营商每年向ICANN申请的IP地址数量为全球最多。
曾经有专家预言,根据互联网的发展速度,到2010年左右,全球可用的IPv4地址资源将全部耗尽。
IPv6的提出,就是为了从根本上解决IPv4地址不够用的问题。
IPv6地址集将地址位数从IPv4的32位扩展到了128位。
对于网络应用来说,这样的地址空间几乎是无限大。
因此IPv6技术可以从根本上解决地址短缺的问题。
但是,IPv6面临着技术不成熟、更新代价巨大等尖锐问题,要想替换现有成熟且广泛应用的IPv4网络,还有很长一段路要走。
既然不能立即过渡到IPv6网络,那么必须使用一些技术手段来延长IPv4的寿命。
而技术的发展确实有效延缓了IPv4地址的衰竭,专家预言的地址耗尽的情况并未出现。
其中广泛使用的技术包括无类域间路由(CIDR,ClasslessInter-DomainRouting)、可变长子网掩码(VLSM,VariableLengthSubnetMask)和网络地址转换(NAT,NetworkAddressTranslation)。
幻灯片6
内网使用私网地址,外网使用公网地址,如果没有NAT将私网地址转换为公网地址,会造成通信混乱,最直接的后果就是无法通信。
使用私网地址和外网进行通信,必须使用NAT技术进行地址转换,保证通信正常。
幻灯片7
NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。
从实现上来说,一般的NAT转换设备(实现NAT功能的网络设备)都维护着一张地址转换表,所有经过NAT转换设备并且需要进行地址转换的报文,都会通过这个表做相应的修改。
地址转换的机制分为如下两个部分:
1.内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和端口。
2.外部网络地址和端口转换为NAT转换设备内部网络主机的IP地址和端口。
也就是<私有地址+端口>与<公有地址+端口>之间的转换。
NAT转换设备处于内部网络和外部网络的连接处。
内部的PC与外部服务器的交互报文全部通过该NAT转换设备。
常见的NAT转换设备有路由器、防火墙等。
幻灯片8
NAT技术除了可以实现地址复用,节约宝贵IP地址资源的优点外,还有其他一些优点,NAT技术的发展,也不断吸收先进的理念,总的来说,NAT的优点和不足如下:
NAT的优点
可以使一个局域网中的多台主机使用少数的合法地址访问外部的资源,也可以设定内部的WWW、FTP、Telnet等服务提供给外部网络使用,解决了IP地址日益短缺的问题。
对于内外网络用户,感觉不到IP地址转换的过程,整个过程对于用户来说是透明的。
对内网用户提供隐私保护,外网用户不能直接获得内网用户的IP地址、服务等信息,具有一定的安全性。
通过配置多个相同的内部服务器的方式可以减小单个服务器在大流量时承担的压力,实现服务器负载均衡。
NAT的不足
由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报文的报头不能被加密。
在应用协议中,如果报文中有地址或端口需要转换,则报文不能被加密。
例如,不能使用加密的FTP连接,否则FTP的port命令不能被正确转换。
网络监管变得更加困难。
例如,如果一个黑客从内网攻击公网上的一台服务器,那么要想追踪这个攻击者很难。
因为在报文经过NAT转换设备的时候,地址经过了转换,不能确定哪台才是黑客的主机。
从实现上来说,业界的路由器、防火墙一般都能实现NAT的功能,NAT几乎成为了一个网络设备主流配置之一。
下面就结合华为赛门铁克防火墙介绍NAT的实现机制。
幻灯片9
幻灯片10
幻灯片11
防火墙设备引入了一个安全概念—区域,这是防火墙区别于路由器的主要特征。
区域是一个或多个接口的组合,具有相应的安全级别。
在防火墙上,由Trust区域向Untrust域和DMZ域主动发起连接时,NAT检测相应的数据连接是否需要进行NAT转换。
如果要进行NAT转换,在IP转发的出口处完成,报文的源地址(私有地址)被转换成公网地址。
在IP层的入口处,NAT对回复报文进行还原,报文的目的地址(公网地址)被还原成内网地址。
在实际应用中,用户可能希望某些内部的主机具有访问Internet的权利,而某些主机没有。
即当NAT进程查看数据包报头内容时,如果发现源IP地址是为那些不允许访问外部网络的内部主机所拥有的,将不进行NAT转换。
这就是一个对地址转换进行控制的问题。
华为赛门铁克防火墙利用访问控制列表(ACL,AccessControlList)限制地址转换。
只有满足访问控制列表条件的数据报文才可以进行地址转换。
这可以有效地控制地址转换的使用范围,使特定主机能够有权访问Internet。
NAT在实际中涉及到多种应用,比如内部服务器、双向NAT、应用层网关等。
在不同的应用场景,采用不同的方案。
幻灯片12
outbound方向NAT是最基础的NAT应用,也是使用最为广泛的应用方式。
根据其地址转换方式,可以分为一对一、多对多和多对一转换方式。
幻灯片13
一对一地址转换
一般情况下NAT转换设备出接口的IP地址为NAT转换后的源地址。
所有内部网络的主机访问外部网络时,只能使用这个公有IP地址。
这种情况只允许最多一台内部主机访问外部网络,称为“一对一地址转换”。
如果需要实现多个用户访问外部网络,那么必须设置多个公网IP地址,为每个用户进行“一对一”的地址转换。
因为现实中公网地址数目远远小于私网地址,所以采用静态地址转换的方式将造成多数用户不能上网。
因此,这种技术在实际应用中很少使用。
幻灯片14
多对多地址转换
NAT的一种变形,允许NAT转换设备拥有多个公有IP地址,实现了并发性。
当第一个内部主机访问外部网络时,防火墙选择第一个公有地址作为其公网IP地址。
当另一内部主机访问外部网络时,防火墙选择第二个公有地址作为其公网IP地址。
以此类推,从而满足多台内部主机访问外部网络的请求。
这种NAT转换称为“多对多地址转换”。
因为所有内部主机并不会同时访问外部网络,所以公有IP地址数目的确定,应根据网络高峰期可能访问外部网络的内部主机数目的统计值来确定。
防火墙是通过定义地址池(IPPool)来实现多对多地址转换,同时利用访问控制列表来对地址转换进行控制。
地址池是地址转换的一些公有IP地址的集合。
用户应根据自己拥有的合法公网IP地址数目、内部网络主机数目以及实际应用情况,配置恰当的地址池。
地址转换的过程中,将会从地址池中挑选一个地址做为转换后的源地址。
幻灯片15
多对一地址转换
除多对多的NAT转换方式外,网络地址端口转换(NAPT,NetworkAddressPortTranslation)也能实现并发的地址转换。
它允许多个内部地址使用一个公有地址访问Internet,也可称之为“多对一地址转换”。
NAPT将来自不同内部地址的数据报文映射到同一公有地址的不同端口号上,因而仍然能够共享同一地址。
对比一对一或多对多地址转换,可大大减少地址池中公有地址的数目。
幻灯片16
幻灯片17
内部服务器
NAT隐藏了内部网络的结构,具有“屏蔽”内部主机的作用。
但是在实际应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一台WWW的服务器,或是一台FTP服务器,而外部主机根本没有指向内部地址的路由,因此无法正常访问。
这时可以使用内部服务器(NatServer)功能来实现这个功能应用。
使用NAT可以灵活地添加内部服务器。
例如:
可以使用123.2.2.5等公网地址作为Web服务器的外部地址,向外提供WWW服务。
使用123.2.2.8等公网地址作为FTP服务器的外部地址,甚至还可以使用123.2.2.5:
8080这样的IP地址加端口号的方式作为Web的外部地址。
外部用户访问内部服务器时,有如下两部分操作:
1.防火墙将外部用户的请求报文的目的地址转换成内部服务器的私有地址。
2.防火墙将内部服务器的回应报文的源地址(私网地址)转换成公网地址。
防火墙支持基于安全区域的内部服务器。
例如,当需要对处于多个网段的外部用户提供访问服务时,防火墙结合安全区域配置内部服务器可以为一个内部服务器配置多个公网地址。
通过配置防火墙的不同级别的安全区域对应不同网段的外部网络,并根据不同安全区域配置同一个内部服务器对外的不同的公网地址,使处于不同网段的外部网络访问同一个内部服务器时,可以访问对应配置的公网地址,实现不同网段的外部网络直接访问内部服务器的功能。
幻灯片18
幻灯片19
流量从防火墙上的低优先级区域流到高优先级区域称为inbound,从高优先级区域流到低优先级成为outbound。
一般来说,内网属于高优先级区域,外网属于低优先级区域。
当低优先级安全区域的外网用户访问内部服务器的公网地址时,会将报文的目的地址转换为内部服务器的私网地址,但内部服务器需要配置到该公网地址的路由。
如果要避免配置到公网地址的路由,则可以配置从低优先级安全区域到高优先级安全区域方向的NAT,即inbound方向的NAT。
同一个安全区域内的访问需要作NAT,则需要配置域内NAT功能。
幻灯片20
inbound方向NAT
外网用户访问DMZ区域的内网FTP服务器,在配置内部服务器的同时,可以配置Inbound方向的NAT,隐藏内网服务器的实际IP地址。
Inbound方向NAT地址转换如下:
1.防火墙将外部用户的请求报文的目的地址转换成FTP服务器的实际私网地址,源地址转换成用户对外公布的IP地址(私网地址)。
2.防火墙将FTP服务器回应报文的源地址(私网地址)转换成对外公布的公网地址,目的地址(私网地址)转换为外部用户的公网地址。
inbound方向的NAT与outbound方向的NAT原理一样,只不过inbound方向NAT是将外网的IP地址转换为内网IP地址。
允许外部用户访问的内部服务器通常置于防火墙的DMZ区。
正常情况下不允许这个区域中的设备主动向外发起连接。
幻灯片21
域内NAT
当FTP服务器和用户均在Trust区域,用户访问FTP服务器的对外的公网IP地址,这样用户与FTP服务器之间所有的交互报文都要经过防火墙,这种方式的NAT成为域内NAT。
这时需要同时配置内部服务器和域内NAT。
域内NAT地址转换的过程中,涉及的IP地址转换如下:
1.防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址。
2.防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。
幻灯片22
幻灯片23