解決爭端 讓IPsec與NAT兩技術和平共處

字號:

現(xiàn)在,網(wǎng)絡安全和網(wǎng)絡地址轉(zhuǎn)換的應用已經(jīng)十分廣泛。單就其中任何一種技術來說,都是很不錯的。如何將兩個好技術共用但又使它們相安無事,是很多人正在思考的問題。
    網(wǎng)絡安全IPsec(IP Security)和網(wǎng)絡地址轉(zhuǎn)換NAT(Net Address Translation)應用已經(jīng)十分廣泛了,但是要使它們運行在一起,卻不是一件容易的事。從IP的角度來看,NAT對IP的低層進行了修改,對IP是一種背叛;而從應用的角度來看,網(wǎng)絡管理人員必須要處理網(wǎng)絡地址的問題,NAT使用戶可以采取多種方式把自己的網(wǎng)絡和主機對外部公共網(wǎng)絡隱藏起來,是一種好的工具,現(xiàn)在,無論是大企業(yè)還是中小企業(yè)都在使用它。與NAT類似,IPsec也是一種好工具,它使用戶可以安全地通過Internet聯(lián)接到遠程終端。然而,由于IPsec協(xié)議架構本身以及缺乏支持IPsec的NAT設備,當IPsec和NAT在一起運行時就會出現(xiàn)很多問題。解決這些問題最簡單的辦法,就是再增加一個路由器來運行NAT和虛擬專用網(wǎng)VPN??墒?,對于多數(shù)情況來說并沒有多余的路由器來執(zhí)行這一功能,因此,要解決兩者共存的問題,就必須對IPsec和NAT有一定的了解。
    NAT的基本原理和類型
    NAT能解決令人頭痛的IP地址緊缺的問題,而且能使得內(nèi)外網(wǎng)絡隔離,提供一定的網(wǎng)絡安全保障。它解決問題的辦法是:在內(nèi)部網(wǎng)絡中使用內(nèi)部地址,通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用,其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。
    NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。NAT設備維護一個狀態(tài)表,用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設備中都被翻譯成正確的IP地址,發(fā)往下一級,這意味著給處理器帶來了一定的負擔。但對于一般的網(wǎng)絡來說,這種負擔是微不足道的。
    NAT有三種類型:靜態(tài)NAT、動態(tài)地址NAT、網(wǎng)絡地址端口轉(zhuǎn)換NAPT。其中靜態(tài)NAT設置起來最為簡單,內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址。而動態(tài)地址NAT則是在外部網(wǎng)絡中定義了一系列的合法地址,采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。根據(jù)不同的需要,三種NAT方案各有利弊。
    動態(tài)地址NAT只是轉(zhuǎn)換IP地址,它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址,主要應用于撥號,對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。當遠程用戶聯(lián)接上之后,動態(tài)地址NAT就會分配給他一個IP地址,用戶斷開時,這個IP地址就會被釋放而留待以后使用。
    網(wǎng)絡地址端口轉(zhuǎn)換NAPT(Network Address Port Translation)是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應用于接入設備中,它可以將中小型的網(wǎng)絡隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不同,它將內(nèi)部連接映射到外部網(wǎng)絡中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設備選定的TCP端口號。
    在Internet中使用NAPT時,所有不同的TCP和UDP信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內(nèi)非常實用,通過從ISP處申請的一個IP地址,將多個連接通過NAPT接入Internet。實際上,許多SOHO遠程訪問設備支持基于PPP的動態(tài)IP地址。這樣,ISP甚至不需要支持NAPT,就可以做到多個內(nèi)部IP地址共用一個外部IP地址上Internet,雖然這樣會導致信道的一定擁塞,但考慮到節(jié)省的ISP上網(wǎng)費用和易管理的特點,用NAPT還是很值得的。
    IPsec的工作模式
    IPsec是一個能在Internet上保證通道安全的開放標準。在不同的國度中,跨國企業(yè)面臨不同的密碼長度進出口限制。IPSec能使網(wǎng)絡用戶和開發(fā)商采用各自不同的加密算法和關鍵字長,從而解決令跨國機構頭痛的安全問題。
    IPsec生成一個標準平臺,來開發(fā)安絡和兩臺機器之間的電子隧道。通過IPsec的安全隧道,在數(shù)據(jù)包可以傳送的網(wǎng)絡中生成像電路那樣的連接。IPsec在遠地用戶之間和在本地網(wǎng)中生成這樣的隧道,它也把每個數(shù)據(jù)包包封在一個新的包中,該新包包含了建立、維持和不再需要時拆掉隧道所必需的信息。
    經(jīng)常利用IPsec來確保數(shù)據(jù)網(wǎng)絡的安全。通過使用數(shù)字證明和自動認證設備,來驗證兩個來回發(fā)送信息的用戶身份。對需要在很多設備之間安全連接的大型網(wǎng)絡中確保數(shù)據(jù)安全,IPsec是一個理想的方法。
    部署了IPsec的用戶能確保其網(wǎng)絡基礎設施的安全,而不會影響各臺計算機上的應用程序。此套協(xié)議是用作對網(wǎng)絡基礎設施的純軟件升級。這既允許實現(xiàn)安全性,又沒有花什么錢對每臺計算機進行改造。最重要的是,IPsec允許不同的網(wǎng)絡設備、PC機和其他計算系統(tǒng)之間實現(xiàn)互通。