随着计算机网络迅速发展,目前有许多的企业或单位同时拥有自己的内部网和Internet网。其实如果不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址,而内部计算机却可以随时访问这两个网络中的资源。
配置NAT的重要性
当我们尝试着改变网络的IP地址时,考虑这样做会给网络中已有的安全机制带来什么样的影响。比如:防火墙根据IP报头中包含的TCP端口号、信宿地址、信源地址以及其它一些信息来决定是否让该数据包通过。任何一个淘气的黑客,只要他能够使NAT误以为他的连接请求是被允许的,都可以以一个授权用户的身份对你的网络进行访问。如果企业正在迈向网络技术的前沿,并正在使用IP安全协议(IPSec)来构造一个虚拟专用网(VPN)时,错误地放置NAT设备会毁了计划。由此可见,对于这样网络环境,正确配置NAT地址转换非常有必要。
NAT定义
NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。NAT主要的处理方式是通过修改UDP或TCP报文头部地址信息实现地址的转换。
NAT设置分类
根据NAT设置类型,大致可以分为静态地址转换、动态地址转换、复用动态地址转换。
一、静态地址转换:静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。静态地址转换基本配置步骤:
(1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:ip nat inside source static 内部本地地址 内部合法地址。
(2)、指定连接网络的内部端口 在端口设置状态下输入: ip nat inside。
(3)、指定连接外部网络的外部端口 在端口设置状态下输入:ip nat outside。
可以根据实际需要,定义多个内部端口及多个外部端口。我们也可以通过一个实例,来观察如何配置NAT的设置(在Windows 2003 Server系统环境下)。
首先需要安装两块网卡,分别配置两个网段地址(内网网卡配10.1.153.1;外网网卡配222.210.213.109)。通过“控制面板”或者“管理工具”进入“路由和远程访问”。如果原先没有启用配置过路由(如果原先已经启用了静态路由等其他功能,建议先禁用服务)访问,进入配置向导,按照向导,选择“Internat连接服务”→ “设置有网络地址转换(NAT)路由协议的路由器”→ “使用选择的Internat连接”,下面的列表框里显示了两个连接(见图1左窗口,本地连接和本地连接2),选择配置了外网IP的那个连接(比如配置了公网IP的连接),再点击下一步就完成了。打开本机树,您会看到四个子项(见图1):路由接口、IP路由选择、远程访问策略、远程访问记录。 图1
第一项显示本机路由接口,不需配置,第三四项提供远程访问服务(比如远程拨入)。展开第二项可看到常规、静态路由、IGMP、网络地址转换(NAT)四个小子项;可根据需求配置静态路由;如果不需要IGMP(组播)功能,建议删除。展开网络地址转换,可以看到两个连接,打开配置了外网地址的连接,如图2所示。图2
常规中的选项不用改变,就用默认即可。地址池是您所拥有的外网地址,比如您有从222.210.213.109到222.210.213.114五个地址(这里是示例,实际情况可能并不合理,因为至少应该留一个做网关地址,以便到达其他网段)。下面的保留公用地址,是为了一对一的静态地址转换用的。
二、动态地址转换:动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。动态地址转换基本配置步骤:
(1)、在全局设置模式下,定义内部合法地址池、ip nat pool 地址池名称、起始IP地址、终止IP地址、子网掩码,其中地址池名称可以任意设定。
(2)、在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。
(3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
(4)、指定与内部网络相连的内部端口在端口设置状态下:ip nat inside
(5)、指定与外部网络相连的外部端口:Ip nat outside
三、复用动态地址转换适用的环境:复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。当多个用户同时使用一个IP地址,外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机。
总结
在网络发展的今天,不管使用那种地址转换,都是为了更好地保护好自己最宝贵的资源,同时又能吸取别人先进的经验。对网络安全来说,也是一种严峻的考验。应用好网络地址转换NAT技术,可以让网络管理机制和网络安全机制都能够达到理想中的效果。
