IPSec和NAT工作模式的沖突和解決辦法

字號(hào):

現(xiàn)在,網(wǎng)絡(luò)安全和網(wǎng)絡(luò)地址轉(zhuǎn)換的應(yīng)用已經(jīng)十分廣泛。單就其中任何一種技術(shù)來說,都是很不錯(cuò)的。如何將兩個(gè)好技術(shù)共用但又使它們相安無事,是很多人正在思考的問題。
    網(wǎng)絡(luò)安全I(xiàn)Psec(IP Security)和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(Net Address Translation)應(yīng)用已經(jīng)十分廣泛了,但是要使它們運(yùn)行在一起,卻不是一件容易的事。從IP的角度來看,NAT對(duì)IP的低層進(jìn)行了修改,對(duì)IP是一種背叛;而從應(yīng)用的角度來看,網(wǎng)絡(luò)管理人員必須要處理網(wǎng)絡(luò)地址的問題,NAT使用戶可以采取多種方式把自己的網(wǎng)絡(luò)和主機(jī)對(duì)外部公共網(wǎng)絡(luò)隱藏起來,是一種好的工具,現(xiàn)在,無論是大企業(yè)還是中小企業(yè)都在使用它。與NAT類似,IPsec也是一種好工具,它使用戶可以安全地通過Internet聯(lián)接到遠(yuǎn)程終端。然而,由于IPsec協(xié)議架構(gòu)本身以及缺乏支持IPsec的NAT設(shè)備,當(dāng)IPsec和NAT在一起運(yùn)行時(shí)就會(huì)出現(xiàn)很多問題。解決這些問題最簡(jiǎn)單的辦法,就是再增加一個(gè)路由器來運(yùn)行NAT和虛擬專用網(wǎng)VPN??墒?,對(duì)于多數(shù)情況來說并沒有多余的路由器來執(zhí)行這一功能,因此,要解決兩者共存的問題,就必須對(duì)IPsec和NAT有一定的了解。
    NAT的基本原理和類型
    NAT能解決令人頭痛的IP地址緊缺的問題,而且能使得內(nèi)外網(wǎng)絡(luò)隔離,提供一定的網(wǎng)絡(luò)安全保障。它解決問題的辦法是:在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址,通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用,其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。
    NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT設(shè)備維護(hù)一個(gè)狀態(tài)表,用來把非法的IP地址映射到合法的IP地址上去。每個(gè)包在NAT設(shè)備中都被翻譯成正確的IP地址,發(fā)往下一級(jí),這意味著給處理器帶來了一定的負(fù)擔(dān)。但對(duì)于一般的網(wǎng)絡(luò)來說,這種負(fù)擔(dān)是微不足道的。
    NAT有三種類型:靜態(tài)NAT、動(dòng)態(tài)地址NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。其中靜態(tài)NAT設(shè)置起來最為簡(jiǎn)單,內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址,采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要,三種NAT方案各有利弊。
    動(dòng)態(tài)地址NAT只是轉(zhuǎn)換IP地址,它為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址,主要應(yīng)用于撥號(hào),對(duì)于頻繁的遠(yuǎn)程聯(lián)接也可以采用動(dòng)態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后,動(dòng)態(tài)地址NAT就會(huì)分配給他一個(gè)IP地址,用戶斷開時(shí),這個(gè)IP地址就會(huì)被釋放而留待以后使用。
    網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Network Address Port Translation)是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中,它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT與動(dòng)態(tài)地址NAT不同,它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上,同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。
    在Internet中使用NAPT時(shí),所有不同的TCP和UDP信息流看起來好像來源于同一個(gè)IP地址。這個(gè)優(yōu)點(diǎn)在小型辦公室內(nèi)非常實(shí)用,通過從ISP處申請(qǐng)的一個(gè)IP地址,將多個(gè)連接通過NAPT接入Internet。實(shí)際上,許多SOHO遠(yuǎn)程訪問設(shè)備支持基于PPP的動(dòng)態(tài)IP地址。這樣,ISP甚至不需要支持NAPT,就可以做到多個(gè)內(nèi)部IP地址共用一個(gè)外部IP地址上Internet,雖然這樣會(huì)導(dǎo)致信道的一定擁塞,但考慮到節(jié)省的ISP上網(wǎng)費(fèi)用和易管理的特點(diǎn),用NAPT還是很值得的。