基于NAT的IP寻址方式在信息安全中的应用研究

郑洪霞



基于NAT的IP寻址方式在信息安全中的应用研究

郑洪霞

河南省经济管理学校，河南 南阳 473004

网络地址转换（NAT）不仅解决了lP寻址地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机，实现了内部网络信息的安全。

网络地址转换；静态转换；动态转换；端口多路复用；信息安全

随着Internet的快速发展，上网人数急剧增长，IPV4地址即将耗尽。网络地址转换（NAT，Network Address Translation）是一种过渡性的解决手段，属于接入广域网（WAN）技术，这种技术可以暂时解决IP地址耗尽的问题。我们知道支撑Internet运转的关键是IP寻址技术，在局域网内部可以适用IP保留地址，通过NAT地址转换，在访问外部网络时再将保留地址转为真实地址，保持了Internet上的地址唯一性，也解决了lP地址不足的问题，而且NAT 之内的 PC 联机到 Internet时，它所显示的 IP 是 NAT 主机的公共 IP，所以 内部网络客户端的 PC 当然就具有一定程度的安全了，外界在进行 portscan（端口扫描） 的时候，就侦测不到源客户端的 PC，有效地避免了来自网络外部的攻击，隐藏并保护了网络内部的计算机，实现了内部网络信息的安全。[1]对于一个企业其网络主要用于内部服务而仅有时用于外部访问，这种配置应用是很适用的。

1 NAT的类型

NAT有3种类型：静态NAT、动态NAT和端口地址转换。

静态转换是最容易实现的一种NAT技术，在静态NAT中，内部网络的每个主机IP地址都被永久映射成外部网络中的某个合法地址，内部地址与全局地址一一对应。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。[2]

动态NAT将可用的全局地址集定义成NAT池（NAT pool），采用动态分配的方法映射到内部网络。动态地址转换也是将全局地址与内部地址进行一对一的转换，但是动态地址转换是从外部合法地址池中动态地选择一个未使用的地址对内部地址进行转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

端口地址转换（Port Address Translation,PAT）是动态转换的一种变形，它可以是多个内部节点共享一个全局IP地址，而使用源和目的的TCP/UDP的端口号来区分NAT表中的转换条目及内部地址。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

2 NAT的具体实现

NAT需要在局域网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。这样，所有使用保留地址的主机在和外界通信时，都要在NAT路由器上将其保留地址转换成全球IP地址，才能和因特网进行连接。

在数据包的发送过程中，NAT路由器将局域网的保留地址转换为公网IP地址池中可用IP地址，并将此转换条目记录在地址转换表中。

当有返程数据包到达路由器时，它将检查此数据包的目标IP，并按照地址转换表进行反向的IP地址转换，然后发送给主机。

在配置网络地址转换的过程之前，首先必须搞清楚内部接口和外部接口，以及在哪个外部接口上启用NAT。通常情况下，连接到用户内部网络的接口是NAT内部接口，而连接到外部网络（如Internet）的接口是NAT外部接口。

2.1 静态NAT配置

在如图1所示的网络中，假设内部网络主机A使用的lP地址为192.168.1.1，路由器局域网端（即默认网关）的IP地址为192.168.1.254，子网掩码为255.255.255.0。可用于转换的IP地址为210.31.235.1，路由器在广域网中的IP地址为12.0.0.1，子网掩码为255.255.255.252。要求将内部网址192.168.200.1一对一转换为合法IP地址210.31.235.1。对于图中的情形来说，静态NAT的配置可以分为以下几个步骤：

图1 静态NAT示例

第1步，设置外部端口。

interface serial1/0 //进入串口serial1/0

ip address 12.0.0.1 255.255.255.252 //设置接口IP地址

ip nat outside //设置接口为外部接口

第2步，设置内部端口。

interface fastethernet0/0 //进入接口faste thernet0/0

ip address 192.168.1.1 255.255.255.0 //设置接口IP地址

ip nat inside //设置接口为内部接口

第3步，在内部本地与内部合法地址之间建立静态地址的一对一转换。

ip nat inside source static 192.168.1.1 210.31.235.1

若局域网主机多的话，分别按照第3步进行转换。

以上静态地址转换配置完毕。

2.2 动态NAT配置

对于内部网络的普通主机来说，由于可获得的Internet可路由地址有限，我们只能进行动态NAT配置。

图2 公网IP地址池

3 结语

总之，NAT使得多个内部IP地址可以共享一个或多个全局IP地址，就能获得互联网接入的能力，有效地缓解了地址不足的问题，从而节约了全局地址的使用。同时NAT技术能透明地对所用保留地址做转换，使外部网络无法了解内部网络的内部结构，同时适用NAT的网络，与外部网络的连接只能由内部网络发起，并且内部主机不直接使用全局地址，所以NAT隐藏了端到端的IP地址，使得对数据包路径的跟踪变得比较困难，在一定程度上减少了被攻击的风险，极大地增强了网络的安全性。

[1]杨海鹰，余建坤，谢健，等.信息系统安全评价指标体系的评价因素集研究[J].全国商情（理论研究），2011（24）：12.

[2]祝咏升，周泽岩，张彦，等.铁路信息系统安全测评服务体系的研究[J].信息系统工程，2011（12）：23.

Research on the application of IP addressing mode based on NAT in information security

Zheng Hongxia

Henan provincial economic management school, Nanyang, Henan 473004

Network address conversion （NAT） not only solve the problem of IP address shortage, but also can effectively avoid the attack from the external network, hide and protect the internal network of the computer, realize the internal network information security.

network address translation; static conversion; dynamic switching; port multiplexing; information security

TP393.08

A

1009-6434(2016)6-0150-02