Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

NAT的原理及其注意事项{转}

[复制链接]
lsq726 发表于 2004-11-23 10:26:47 | 显示全部楼层 |阅读模式
NAT的原理及其注意事项
                  


                    IP地址耗尽促成了CIDR
                  地址。而同时根据RFC 1631
                  internet子网中使用相同的
                  的开发,但CIDR开发的主要目的
                  (IP Network Address Transla
                  IP,用来减少注册IP地址的使用
                  是为了有效的使用现有的internet
                  tor)开发的NAT却可以在多重的
                  。

                    NAT技术使得一个私有
                  outside网络中的NAT路由器
                  的主机不可能同时于外部网
                  网络可以通过internet注册IP连
                  在发送数据包之前,负责把内部
                  络通信,所以只有一部分内部地
                  接到外部世界,位于inside网络和
                  IP翻译成外部合法地址。内部网络
                  址需要翻译。

                    NAT的翻译可以采取静
                  translation)两种。静态
                  需要翻译,翻译时采用哪个
                  态翻译(static translation)
                  翻译将内部地址和外部地址一对
                  地址pool时,就使用了动态翻译
                  和动态翻译(dynamic
                  一对应。当NAT需要确认哪个地址
                  。采用port

                    multiplexing技术,或改变外出数据
                  部地址,这就是PAT(port address tran
                  的源port技术可以将多个内部IP地址影射到同一个外
                  slator)。

                    当影射一个外部IP到内部地址时,可
                  时,内部主机基于round-robin机制,将
                  load distributiong只有在影射外部地址
                  以利用TCP的load distribution技术。使用这个特征
                  外部进来的新连接定向到不同的主机上去。注意:
                  到内部的时候才有效。


                    NAT使用的几种情况:                                                  
                        
                    a,连接到internet,但却没有足够的合法地址分配给内部主机。            
                    b,更改到一个需要重新分配地址的ISP。                                      
                    c,有相同的IP地址的两个internat合并。                              
                    d,想支持负载均衡(主机)。                                               
                     

                    采用NAT后,一个最主
                  要的改变就是你失去了端对端IP
                  的traceability,也就是说,从此

                    你不能再经过NAT使用ping和tracero
                  常运行,潜在的不易被观察到的缺点就是
                  ute,其次就是曾经的一些IP对IP的程序不再可以正
                  增加了网络延时。


                    NAT可以支持大部分IP
                  协议,但有几个协议需要注意,
                  首先tftp,rlogin,rsh,rcp和ip

                    multicast都被NAT支持
                  ,其次就是bootp,snmp和路由
                  表更新全部给拒绝了。


                    NAT的几个相关概念:                                                  
                        
                    Inside Local IP addr
                  ess: 指定于内部网络的主机地
                  址,全局唯一,但为私有地址。

                    Inside Global IP address: 代表一
                  个或更多内部IP到外部世界的合法IP。

                    Outside Global IP address: 外部网络主机的合法IP。
                    Outside Local IP address: 外部网
                  络的主机地址,看起来是内部网络的,私有地址。

                    Simple Translation E
                  ntry: 影射IP到另一个地址的En
                  try。

                    Extended Translation
                  Entry:影射IP地址和端口到另
                  一个pair的Entry。

                    采用NAT,可以实现以下几个功能:                                            

                    a,Translation inside local addresses      
                    b,Overloading inside global addresses   
                    c,TCP load distribution                                
                    d,Handing overlapping networks                  
                    下面我们一一叙述它们的工作原理。                                             
                  

                    a,内部地址翻译(Translation ins
                  ide local addresses):

                    这是比较通用的一种方法,将内部IP一对一的翻译成外部地址。                    
                    在内部主机连接到外部
                  ,因为是NAT是静态配置的
                  局部IP(源地址)更换成内
                  全局地址来响应,NAT接受
                  发过去。
                  网络时,当第一个数据包到达NA
                  ,故可以查询出来(simply ent
                  部全局地址,再转发出去。外部
                  到外部回来的数据包,再根据NA

                  T路由器时,router检查它的NAT表
                  ry),然后router将数据包的内部
                  主机接受到数据包用接受到的内部
                  T表把地址翻译成内部局部IP,转


                    b,内部全局地址复用
                  (overloading inside glogal
                  addresses)

                    使用地址和端口pair将多个内部地址
                  部地址翻译一样,NAT router同样也负责
                  overloading,router将复用同样的内部
                  ,这样查询出来的是extended entry。
                  影射到比较少的外部地址。这也是所谓的PAT。和内
                  查表和翻译内部IP地址,唯一的区别就是由于使用了
                  全局IP地址,并存储足够的信息以区分它和其他地址


                    NAT router和外部主机
                  router到内部主机通讯时,
                  的通讯采用翻译过的内部全局地
                  同样要查NAT表。
                  址,故同一般的通信没有差别,



                    c,TCP负载重分配(TCP load distr
                  翻译,所以那种以为WEB server一定要放
                  ibuting)和以上两种操作不同,这是NAT由外到内的
                  置到

                    NAT外部的说法是错误的。                                                
                     
                    工作原理:外部主机向
                  的请求并依据NAT表建立与
                  址,并转发数据包到内部主
                  和端口查询数据表,根据查
                  虚拟主机(定义为内部全局地址
                  内部主机的连接,把内部全局地
                  机,内部主机接受包并作出响应
                  询到的外部地址和端口做出响应
                  )通讯,NAT router接受外部主机
                  址(目的地址)翻译成内部局部地
                  。NAT router再使用内部局部地址
                  。

                    此时,如果同一主机再
                  连接,并转发数据。
                  做第二个连接,NAT router将根

                  据NAT表将建立与另一虚拟主机的



                    d,处理重叠网络。                                                   
                          
                    这种方法主要用于两个intranet的互
                  实现要求DNS server的支持(用于区别两
                  连,同样给我们处理两个重叠网络提供了方法。它的
                  个不同的主机)。

                    1,主机A要求向主机C建立连接,先象DNS server做地址查询。         
                    2,NAT router截获DNS
                  simply entry把重叠的外部
                  的响应,如果地址有重叠,将翻
                  全局地址(目的地址)翻译成外
                  译返回的地址。它将创建一个
                  部局部地址。

                    3,路由器转发DNS响应到主机A,它
                  部地址。
                  已经把主机C的地址(外部全局地址)翻译成外部局


                    4,当路由器接受到主机C的数据包时
                  的转换,主机A将由内部局部地址(源地
                  (目的地址)翻译成外部局部地址。
                  ,它将建立内部局部、全局,外部全局、局部地址间
                  址)翻译成内部全局地址,主机C将由外部全局地址


                    5,主机C接受数据包并继续通讯。
 楼主| lsq726 发表于 2004-11-23 10:28:12 | 显示全部楼层
前言:随着Internet技
                  被视作是一种对宝贵的虚拟
                  IP地址留出来供专用网络重
                  术的不断以指数级速度增长,珍
                  房地产的浪费。因此出现了网络
                  复使用。本文将详细告诉你如何
                  贵的网络地址分配给专用网络终于
                  地址转换(NAT)标准,就是将某些
                  正确应用网络地址转换NAT技术。

                    一、NAT技术的定义                                                   
                        
                    NAT英文全称是Network
                  允许一个机构以一个地址出
                  ,反之亦然。它也可以应用
                  法直接访问内部网络设备,
                  有Internet 地址和私有IP
                  Address Translation,称是网
                  现在Internet上。NAT将每个局
                  到防火墙技术里,把个别IP地址
                  同时,它还帮助网络可以超越地
                  地址的使用。
                  络地址转换,它是一个IETF标准,
                  域网节点的地址转换成一个IP地址
                  隐藏起来不被外界发现,使外界无
                  址的限制,合理地安排网络中的公


                    二、NAT技术的基本原理和类型                                             
                  
                    1、NAT技术基本原理                                                  
                       
                    NAT技术能帮助解决令
                  的网络安全保障。它解决问
                  译成合法的IP地址在Intern
                  换。 NAT功能通常被集成到
                  一个状态表,用来把非法的
                  正确的IP地址,发往下一级
                  这种负担是微不足道的。
                  人头痛的IP地址紧缺的问题,而
                  题的办法是:在内部网络中使用
                  et上使用,其具体的做法是把IP
                  路由器、防火墙、ISDN路由器或
                  IP地址映射到合法的IP地址上去
                  ,这意味着给处理器带来了一定

                  且能使得内外网络隔离,提供一定
                  内部地址,通过NAT把内部地址翻
                  包内的地址域用合法的IP地址来替
                  者单独的NAT设备中。NAT设备维护
                  。每个包在NAT设备中都被翻译成
                  的负担。但对于一般的网络来说,


                    2、NAT技术的类型                                                   
                        
                    NAT有三种类型:静态NAT(Static NA
                  NAPT(Port-Level NAT)。其中静态NAT
                  的每个主机都被永久映射成外部网络中的
                  定义了一系列的合法地址,采用动态分配
                  外部网络的一个IP地址的不同端口上。根
                  T)、动态地址NAT(Pooled NAT)、网络地址端口转换
                  设置起来最为简单和最容易实现的一种,内部网络中
                  某个合法的地址。而动态地址NAT则是在外部网络中
                  的方法映射到内部网络。NAPT则是把内部地址映射到
                  据不同的需要,三种NAT方案各有利弊。

                    动态地址NAT只是转换IP地址,它为
                  要应用于拨号,对于频繁的远程联接也可
                  NAT就会分配给他一个IP地址,用户断开
                  每一个内部的IP地址分配一个临时的外部IP地址,主
                  以采用动态NAT。当远程用户联接上之后,动态地址
                  时,这个IP地址就会被释放而留待以后使用。

                    网络地址端口转换NAPT
                  换方式。NAPT普遍应用于接
                  NAPT与动态地址NAT不同,
                  地址上加上一个由NAT设备
                  (Network Address Port Trans
                  入设备中,它可以将中小型的网
                  它将内部连接映射到外部网络中
                  选定的TCP端口号。
                  lation)是人们比较熟悉的一种转
                  络隐藏在一个合法的IP地址后面。
                  的一个单独的IP地址上,同时在该


                      在Internet中使用NAPT时,所有
                  址。这个优点在小型办公室内非常实用,
                  NAPT接入Internet。实际上,许多SOHO远
                  至不需要支持NAPT,就可以做到多个内部
                  导致信道的一定拥塞,但考虑到节省的IS
                  不同的TCP和UDP信息流看起来好像来源于同一个IP地
                  通过从ISP处申请的一个IP地址,将多个连接通过
                  程访问设备支持基于PPP的动态IP地址。这样,ISP甚
                  IP地址共用一个外部IP地址上Internet,虽然这样会
                  P上网费用和易管理的特点,用NAPT还是很值得的。

                    三、在Internet中使用NAT技术                                       
                    NAT技术可以让你区域
                  只需要注册该server的一个
                  sockd,并且所有的clients
                  方式最大的问题是,通常只
                  而且使用sockd的速度稍慢
                  的更动,只需要把gateway
                  都可以使用。最简单的NAT
                  。专用网络中使用私有IP地
                  10.0.0.0开始的地址)的主
                  由器不同NAT设备实际上对
                  地址,而普通路由器仅在将
                  网路中的所有机器经由一台通往
                  IP就够了。 在以往没有NAT技术
                  都必须要支援sockd,才能够经
                  有telnet/ftp/www-browser支援
                  。因此我们使用网络地址转换NA
                  设到该server上就可以了,而且
                  设备有两条网络连接:一条连接
                  址(有时也被称做Network 10地
                  机,通过直接向NAT设备发送数
                  包头进行修改,将专用网络的源
                  数据包转发到目的地前读取源地
                  Internet的server 线出去,而且
                  以前,我们必须在server上安装
                  过server的sockd连线出去。这种
                  sockd,其它的程式都不能使用;
                  T技术,这样client不需要做任何
                  所有的程式(例如kali/kahn等等)
                  到Internet,一条连接到专用网络
                  址,地址使用留做专用的从
                  据包连接到Internet上。与普通路
                  地址变为NAT设备自己的Internet
                  址和目的地址。

                    四、应用NAT技术的安全策略                                               
                    
                    1、应用NAT技术的安全问题                                               
                    
                    在使用NAT时,Interne
                  际的主机通信。输入的数据
                  自己的Internet地址变为真
                  地址后面可以连接几百台、
                  缺陷。例如,许多Internet
                  不加修改地从源地址发送到
                  IP 源地址的原始包头采用
                  向我们提出了管理上的挑战
                  支机构或者部门来说是一种
                  专用网络进行整合时,它就
                  不能多层嵌套,从而造成路
                  t上的主机表面上看起来直接与N
                  包被发送到NAT设备的IP地址上
                  正的目的主机的专用网络地址。
                  几千台乃至几百万台拥有专用地
                  协议和应用依赖于真正的端到端
                  目的地址。比如,IP安全架构不
                  了数字签名。如果改变源地址的
                  。尽管NAT 对于一个缺少足够的
                  不错的解决方案,但是当重组、
                  变成了一种严重的问题。甚至在
                  由噩梦。
                  AT设备通信,而非与专用网络中实
                  ,并且NAT设备将目的包头地址由
                  而结果是,理论上一个全球唯一IP
                  址的主机。但是,这实际上存在着
                  网络,在这种网络上,数据包完全
                  能跨NAT设备使用,因为包含原始
                  话,数字签名将不再有效。 NAT还
                  全球唯一Internet地址的组织、分
                  合并或收购需要对两个或更多的
                  组织结构稳定的情况下,NAT系统


                    2、应用NAT技术的安全策略                                               
                    
                    当我们改变网络的IP地
                  的影响。如,防火墙根据IP
                  来决定是否让该数据包通过
                  改变了信源或信宿地址。如
                  ,将不得不改变负责控制NA
                  是在防火墙上实现的。它的
                  除非可以严格地限定哪一种
                  外。任何一个淘气的黑客,
                  授权用户的身份对你的网络
                  协议(IPSec)来构造一个
                  ,NAT设备应该被置于VPN受
                  中该域是无法被改变的,这
                  改变了,那么IPSec的安全
                  就更不用说了。那么NAT技
                  址时,都要仔细考虑这样做会给
                  报头中包含的TCP端口号、信宿
                  。可以依NAT设备所处位置来改
                  果一个NAT设备,如一台内部路
                  T设备身后网络流量的所有安全
                  目的是使防火墙能够提供对网络
                  网络连接可以被进行NAT转换,
                  只要他能够使NAT误以为他的连
                  进行访问。如果企业正在迈向网
                  虚拟专用网(VPN)时,错误地
                  保护的一侧,因为NAT需要改动I
                  使可以准确地获知原始报文是发
                  机制也就失效了,因为既然信源
                  术在系统中我们应采用以下几个
                  网络中已有的安全机制带来什么样
                  地址、信源地址以及其它一些信息
                  变防火墙过滤规则,这是因为NAT
                  由器,被置于受防火墙保护的一侧
                  规则。在许多网络中,NAT机制都
                  访问与地址转换的双重控制功能。
                  否则不要将NAT设备置于防火墙之
                  接请求是被允许的,都可以以一个
                  络技术的前沿,并正在使用IP安全
                  放置NAT设备会毁了计划。原则上
                  P报头中的地址域,而在IPSec报头
                  自哪一台工作站的。如果IP地址被
                  地址都可以被改动,那么报文内容
                  策略:

                    ①网络地址转换模块                                                   
                        
                    NAT技术模块是本系统核心部分,而
                  Unix系统本身的网络层处理部分紧密结合
                  为包交换子模块、数据包头替换子模块、
                  模块及传输层过滤子模块。
                  且只有本模块与网络层有关,因此,这一部分应和
                  在一起,或对其直接进行修改。本模块进一步可细分
                  规则处理子模块、连接记录子模块与真实地址分配子


                    ②集中访问控制模块                                                   
                        
                    集中访问控制模块可进一步细分为请
                  要负责和认证与访问控制系统通过一种可
                  用户,并根据用户预先被赋予的权限决定
                  户建立起一条最终的无中继的连接通道,
                  份信息,以完成相关服务协议中所需的鉴
                  求认证子模块和连接中继子模块。请求认证子模块主
                  信的安全机制交换各种身份鉴别信息,识别出合法的
                  后续的连接形式。连接中继子模块的主要功能是为用
                  并在需要的情况下向内部服务器传送鉴别过的用户身
                  别流程。

                    ③临时访问端口表                                                     
                          
                    为了区分数据包的服务
                  把内部主机使用的临时端口
                  知道内部主机可能要使用的
                  的。对于入向的数据包,防
                  通过。
                  对象和防止攻击者对内部主机发
                  、协议类型和内部主机地址登记
                  临时端口,故临时端口使用表是
                  火墙只让那些访问控制表许可的

                  起的连接进行非授权的利用,网关
                  在临时端口使用表中。由于网关不
                  由网关根据接收的数据包动态生成
                  或者临时端口使用表登记的数据包


                    ④认证与访问控制系统                                                   
                        
                    认证与访问控制系统包
                  的控制。其中用户鉴别模块
                  Challenge/Response机制实
                  法用户的访问。它采用Teln
                  问控制模块是基于自主型访
                  )、服务类型、服务时间等
                  括用户鉴别模块和访问控制模块
                  采用一次性口令(One-Time Pas
                  现远程和当地用户的身份鉴别,
                  et和WEB两种实现方式,满足不
                  问控制策略(DAC),采用ACL的
                  访问控制因素决定对用户是否授
                  ,实现用户的身份鉴别和安全策略
                  sword)认证技术中
                  保护合法用户的有效访问和限制非
                  同系统环境下用户的应用需求。访
                  方式,按照用户(组)、地址(组
                  权访问。

                    ⑤网络安全监控系统                                                   
                        
                    监控与入侵检测系统作为系统端的监
                  进行分析和归类,对可能出现的入侵及时
                  非法用户的访问,监控系统将及时断开访
                  控进程,负责接受进入系统的所有信息,并对信息包
                  发出报警信息;同时如发现有合法用户的非法访问和
                  问连接,并进行追踪检查。

                    ⑥基于WEB的防火墙管理系统                                               
                    
                    管理系统主要负责网络
                  统等模块的系统配置和监控
                  分是关于用户帐号等敏感数
                  代替CGI技术,在信息传递
                  地址转换模块、集中访问控制模
                  。它采用基于WEB的管理模式,
                  据信息,故应充分保证信息的安
                  过程中采用加密等安全技术保证
                  块、认证与访问控制系统、监控系
                  由于管理系统所涉及到的信息大部
                  全性,我们采用JAVA APPLET技术
                  用户信息的安全性。

                    结尾:尽管NAT技术可
                  号花费以及提供更完善的负
                  看你如何正确应用好网络地
                  以给我们带来各种好处,例如无
                  载平衡功能等,NAT技术对一些
                  址转换NAT技术.
                  需为网络重分IP地址、减少ISP帐
                  管理和安全机制的潜在威胁仍在,



                    作者:徐炳廉
回复

使用道具 举报

 楼主| lsq726 发表于 2004-11-23 10:29:20 | 显示全部楼层
NAT的实现过程
                  



                    NAT的出现是为了解决I
                  的合法ip仅仅为16个,或者
                  想,我做个路由不就O K了
                  来,因为你的上一级路由是
                  P地址枯竭的问题,如果一个公
                  更少,那么公司的内部网络就不
                  ,可是内部网络一般使用保留IP
                  不会把目标地址为保留IP的包送
                  司申请连接Internet,可能分配到
                  能全部上网了,可能有些人会这样
                  ,这些IP能够路由出去,却不能回
                  到你的路由器的。


                    NAT的实现过程是这样的:                                                
                     
                    通常在一个firewall或
                  法IP,一个接LAN,为保留I
                  者router上起NAT,firewall有
                  P。
                  两个NIC,一个接Internet,为合


                    LAN的用户的defualt g
                  NAT处会进行一个转换,通
                  时NAT在自己的连接表中添
                  ateway指向NAT的内部(LAN)接
                  常会把这些包的源IP地址转换成
                  加一条记录,以便这个包的应答
                  口,所有从LAN通过NAT出去的包在
                  NAT的外部接口的合法I P地址,同
                  包回来时知道应该送到哪里。

                    改了源IP地址的包送到Internet,他
                  包后,通过查看自己的连接表的记录,更
                  的应答包肯定能够回到NAT的外部接口,NAT接到应答
                  改应答包的目标I P,然后送到发出请求的工作站。


                    NAT通常和一些firewall产品绑定在一起,比如cisco的PIX。
回复

使用道具 举报

 楼主| lsq726 发表于 2004-11-23 10:30:31 | 显示全部楼层
IPsec与NAT和平共处的解决之道
                  

                    现在,网络安全和网络
                  很不错的。如何将两个好技
                  地址转换的应用已经十分广泛。
                  术共用但又使它们相安无事,是
                  单就其中任何一种技术来说,都是
                  很多人正在思考的问题。


                      网络安全IPsec(IP
                  用已经十分广泛了,但是要
                  对IP的低层进行了修改,对
                  络地址的问题,NAT使用户
                  是一种好的工具,现在,无
                  好工具,它使用户可以安全
                  以及缺乏支持IPsec的NAT设
                  最简单的办法,就是再增加
                  说并没有多余的路由器来执
                  有一定的了解。
                  Security)和网络地址转换NAT
                  使它们运行在一起,却不是一件
                  IP是一种背叛;而从应用的角度
                  可以采取多种方式把自己的网络
                  论是大企业还是中小企业都在使
                  地通过Internet联接到远程终端
                  备,当IPsec和NAT在一起运行时
                  一个路由器来运行NAT和虚拟专
                  行这一功能,因此,要解决两者

                  (Net Address Translation)应
                  容易的事。从IP的角度来看,NAT
                  来看,网络管理人员必须要处理网
                  和主机对外部公共网络隐藏起来,
                  用它。与NAT类似,IPsec也是一种
                  。然而,由于IPsec协议架构本身
                  就会出现很多问题。解决这些问题
                  用网VPN。可是,对于多数情况来
                  共存的问题,就必须对IPsec和NAT



                      ■NAT的基本原理和类型                                               

                      NAT能解决令人头
                  络安全保障。它解决问题的
                  合法的IP地址在Internet上

                  痛的IP地址紧缺的问题,而且能
                  办法是:在内部网络中使用内部
                  使用,其具体的做法是把IP包内

                  使得内外网络隔离,提供一定的网
                  地址,通过NAT把内部地址翻译成
                  的地址域用合法的IP地址来替换。



                      NAT功能通常被集成到路由器、
                  维护一个状态表,用来把非法的IP地址映
                  译成正确的IP地址,发往下一级,这意味
                  说,这种负担是微不足道的。
                  防火墙、ISDN路由器或者单独的NAT设备中。NAT设备
                  射到合法的IP地址上去。每个包在NAT设备中都被翻
                  着给处理器带来了一定的负担。但对于一般的网络来



                      NAT有三种类型:静态NAT、动态
                  起来最为简单,内部网络中的每个主机都
                  地址NAT则是在外部网络中定义了一系列
                  NAPT则是把内部地址映射到外部网络的一
                  方案各有利弊。
                  地址NAT、网络地址端口转换NAPT。其中静态NAT设置
                  被永久映射成外部网络中的某个合法的地址。而动态
                  的合法地址,采用动态分配的方法映射到内部网络。
                  个IP地址的不同端口上。根据不同的需要,三种NAT



                      动态地址NAT只是
                  ,主要应用于拨号,对于频
                  地址NAT就会分配给他一个I
                  转换IP地址,它为每一个内部的
                  繁的远程联接也可以采用动态NA
                  P地址,用户断开时,这个IP地
                  IP地址分配一个临时的外部IP地址
                  T。当远程用户联接上之后,动态
                  址就会被释放而留待以后使用。


                      网络地址端口转换NAPT(Networ
                  种转换方式。NAPT普遍应用于接入设备中
                  面。NAPT与动态地址NAT不同,它将内部
                  在该地址上加上一个由NAT设备选定的TCP
                  k Address Port Translation)是人们比较熟悉的一
                  ,它可以将中小型的网络隐藏在一个合法的IP地址后
                  连接映射到外部网络中的一个单独的IP地址上,同时
                  端口号。


                      在Internet中使用
                  址。这个优点在小型办公室
                  NAPT接入Internet。实际上
                  至不需要支持NAPT,就可以
                  导致信道的一定拥塞,但考
                  (如图示)
                  NAPT时,所有不同的TCP和UDP信
                  内非常实用,通过从ISP处申请
                  ,许多SOHO远程访问设备支持基
                  做到多个内部IP地址共用一个外
                  虑到节省的ISP上网费用和易管

                  息流看起来好像来源于同一个IP地
                  的一个IP地址,将多个连接通过
                  于PPP的动态IP地址。这样,ISP甚
                  部IP地址上Internet,虽然这样会
                  理的特点,用NAPT还是很值得的。



                      ■IPsec的工作模式                                                
                  
                      IPsec是一个能在I
                  面临不同的密码长度进出口
                  键字长,从而解决令跨国机
                  nternet上保证通道安全的开放
                  限制。IPSec能使网络用户和开
                  构头痛的安全问题。
                  标准。在不同的国度中,跨国企业
                  发商采用各自不同的加密算法和关



                      IPsec生成一个标
                  的安全隧道,在数据包可以
                  本地网中生成这样的隧道,
                  和不再需要时拆掉隧道所必
                  准平台,来开发安全网络和两台
                  传送的网络中生成像电路那样的
                  它也把每个数据包包封在一个新
                  需的信息。
                  机器之间的电子隧道。通过IPsec
                  连接。IPsec在远地用户之间和在
                  的包中,该新包包含了建立、维持



                      经常利用IPsec来确保数据网络
                  两个来回发送信息的用户身份。对需要在
                  IPsec是一个理想的方法。
                  的安全。通过使用数字证明和自动认证设备,来验证
                  很多设备之间安全连接的大型网络中确保数据安全,



                      部署了IPsec的用户能确保其网
                  程序。此套协议是用作对网络基础设施的
                  对每台计算机进行改造。最重要的是,IP
                  实现互通。
                  络基础设施的安全,而不会影响各台计算机上的应用
                  纯软件升级。这既允许实现安全性,又没有花什么钱
                  sec允许不同的网络设备、PC机和其他计算系统之间



                      IPsec有两种模式
                  对IP报头不进行任何修改,
                  IPsec将原有的IP分组封装
                  藏起来了。隧道主要应用于
                  —─传输模式和隧道模式。传输
                  它只能应用于主机对主机的IPse
                  成带有新的IP报头的IPsec分组
                  主机到网关的远程接入的情况。
                  模式只对IP分组应用IPsec协议,
                  c虚拟专用网VPN中。隧道模式中
                  ,这样原有的IP分组就被有效地隐



                      IPsec协议中有两
                  装安全载荷ESP(Encapsula
                  点是我们所关心的:鉴定报头AH
                  tion Security Payload)。
                  (Authentication Header)和封



                      鉴定报头AH可与很多各不相同的
                  的地址这些标明发送设备的字段是否在路
                  弃。通过这种方式AH就为数据的完整性和
                  算法一起工作。AH应用得很少,它要校验源地址和目
                  由过程中被改变过,如果校验没通过,分组就会被抛
                  原始性提供了鉴定。


                      封装安全载荷(ES
                  恶意网客破坏,可靠性保证
                  后面。注意两种可选择的IP
                  只被接收端处理。ESP编码
                  常灵活,可以在两种加密算
                  方式。现在,可选择算法包
                  P)信头提供集成功能和IP数据
                  使用密码技术的安全。对IPv4和
                  信头,段到段信头在每个段被路
                  只有在不被任何IP信头扰乱的情
                  法下工作。建立IPSec的两个或
                  括Triple-DES、RC5、IDEA、CA
                  的可靠性。集成保证了数据没有被
                  IPv6,ESP信头都列在其它IP信头
                  由器等立即系统处理,而终端信头
                  况下才能正确发送包。ESP协议非
                  者更多系统之间可以使用其他转换
                  ST、BLOWFISH和RC4。


                      ■NAT和IPsec之间的“矛盾”                                    
                      NAT和AH IPsec无
                  组的任何改变都会被AH标识
                  IPsec流量处理的时候,IPs
                  能和NAPT一起工作,因为在
                  被认为是破坏。在隧道模式
                  地址的转换,而此时静态NA
                  协议没有影响。
                  法一起运行,因为根据定义,NA
                  所破坏。当两个IPsec边界点之
                  ec和NAT同样无法协同工作;另
                  这种传输模式下,端口号受到ES
                  的ESP情况下,TCP/UDP报头是不
                  T和ESP IPsec可以一起工作,因

                  T会改变IP分组的IP地址,而IP分
                  间采用了NAPT功能但没有设置
                  外,在传输模式下,ESP IPsec不
                  P的保护,端口号的任何改变都会
                  可见的,因此不能被用于进行内外
                  为只有IP地址要进行转换,对高层



                      ■解决争端,和平共处                                                
                    
                      为了解决ESP IPsec和NAPT共用
                  法是专门用一个工作站来运行IKE,以处
                  过NAPT。客户端可以一开始通过端口号50
                  分组传送到指定的主机,同时使NAPT设备
                  工作,必须保证内部网络和外部网络之间
                  来进行协商,IKE采用UDP的500端口,所
                  IPsec流量,我们需要使用SPI。每个SA都
                  交换SPI。NAPT设备将这一对SPI数字映射
                  要映射到一个内部IP地址,因为NAPT设备
                  的问题,设备生产商提出了多种解决方法。简单的办
                  理所有的IPsec分组,但这样只允许一个IPsec VPN通
                  0传送数据进行协商,将所有进入到NAPT设备的IPsec
                  将所需的IPsec数据送回到客户端。为了使NAPT正常
                  转换的源端口号是惟一的。因此,我们可以使用IKE
                  以不需要任何的特殊处理。为了在两个主机之间传送
                  有SPI,在VPN安装过程中进行IKE协商时,它们互相
                  到NAT内的相关的VPN终端。IPsec 客户端选择的SPI
                  要通过它来确定将流入的流量传送到哪里。


                      几点值得注意:1
                  来初始化IPsec VPN;2.必
                  。ESP用SPI、目的地址和协
                  址来确定IPsec客户端,它
                  的预先设定或者与密码来进
                  .这种解决争端的方法只适用于
                  须要设置IPsec网关,用NAPT网
                  议号来查找IPsec分组所属的SA
                  必须使用这个地址进行协商;3
                  行处理的,因此必须设置IPsec
                  位于NAPT设备之外的IPsec 客户端
                  关给出的某个IP地址进行IKE协商
                  ,因为IPsec网关只是通过NAPT地
                  .许多IKE鉴定是通过IP地址相关
                  网关与NAPT IP地址之间的协商。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-23 11:49 , Processed in 0.043734 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表