NAT技術(shù)原理及在民航氣象網(wǎng)絡(luò)中的具體運(yùn)用

摘 要：網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）是計(jì)算機(jī)網(wǎng)絡(luò)常用的安全技術(shù)之一，其使用環(huán)境通常是多個(gè)不同網(wǎng)段（不同安全級(jí)別）的網(wǎng)絡(luò)，比如外網(wǎng)主機(jī)（低安全級(jí)別）對(duì)內(nèi)網(wǎng)服務(wù)器（受保護(hù)的主機(jī)，高安全級(jí)別）的訪問，就可通過NAT進(jìn)行地址的轉(zhuǎn)換實(shí)現(xiàn)訪問，在安全方面具有一定的防范作用，從而實(shí)現(xiàn)企業(yè)特定的安全策略。

關(guān)鍵詞：NAT技術(shù)；外網(wǎng)主機(jī)；內(nèi)網(wǎng)服務(wù)器；運(yùn)用；配置

中圖分類號(hào)：TP393.08

1 NAT技術(shù)的原理與重要性

1.1 NAT技術(shù)的原理

作為一個(gè)IEIF標(biāo)準(zhǔn)，NAT技術(shù)可通過某個(gè)或多個(gè)在Internet注冊(cè)的IP地址將一個(gè)私有地址的內(nèi)部網(wǎng)連接到Internet上，在公網(wǎng)和私網(wǎng)之間扮演代理的角色，使得一個(gè)私有地址的網(wǎng)絡(luò)中的主機(jī)以合法地址出現(xiàn)在Internet上，從而在Internet上實(shí)現(xiàn)正常的使用。運(yùn)用這種技術(shù)的情況下，盡可能少地運(yùn)用了合法公網(wǎng)IP地址就將局域網(wǎng)中的主機(jī)介入了Internet，這樣做達(dá)到了有效節(jié)省IP地址的目的，位于Inside網(wǎng)絡(luò)和Outside網(wǎng)絡(luò)邊界上的NAT路由器在發(fā)送數(shù)據(jù)前，及時(shí)地實(shí)現(xiàn)了內(nèi)部私有IP地址的翻譯，形成了合法的IP地址。

1.2 NAT技術(shù)的重要性

在民航氣象網(wǎng)絡(luò)中，使用CiscoPIX515E硬件防火墻來實(shí)現(xiàn)NAT技術(shù)。因不涉及Internet的訪問，我們可以將受保的核心網(wǎng)絡(luò)理解為內(nèi)部網(wǎng)絡(luò)，而將不同氣象用戶所組成網(wǎng)絡(luò)理解為外部網(wǎng)絡(luò)，同時(shí)根據(jù)用戶網(wǎng)絡(luò)特點(diǎn)及不同的業(yè)務(wù)需求，為不同的用戶網(wǎng)絡(luò)設(shè)定不同的安全級(jí)別。在各網(wǎng)絡(luò)間通過運(yùn)用NAT技術(shù)來實(shí)現(xiàn)安全策略，保護(hù)數(shù)據(jù)的私密性，控制網(wǎng)絡(luò)訪問，從而達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。其次，利用NAT技術(shù)能有效避免來自網(wǎng)絡(luò)外部的攻擊，使得外部網(wǎng)絡(luò)不能夠訪問內(nèi)部網(wǎng)絡(luò)主機(jī)，實(shí)現(xiàn)了對(duì)內(nèi)部計(jì)算機(jī)的隱藏和保護(hù)，只有在經(jīng)過NAT轉(zhuǎn)換及滿足預(yù)先設(shè)定好的安全策略的情況下才可以連接到內(nèi)部網(wǎng)絡(luò)主機(jī)，有效的對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)了內(nèi)部網(wǎng)絡(luò)，滿足了網(wǎng)絡(luò)環(huán)境的安全性需求[1]。

2 NAT技術(shù)在民航西北氣象中心的使用

2.1 概述

在實(shí)際業(yè)務(wù)環(huán)境中，由防火墻隔離的各個(gè)網(wǎng)絡(luò)之間均有特定網(wǎng)絡(luò)訪問需求。通過分析，可以得出主要訪問為內(nèi)到外（高安全級(jí)別到低安全級(jí)別）和外到內(nèi)（低安全級(jí)別到高安全級(jí)別）這兩種訪問方式。以下通過具體配置來詳細(xì)說明如何在這兩個(gè)方向上實(shí)現(xiàn)NAT技術(shù)。

2.2 實(shí)施步驟[2]

2.2.1 初始化防火墻Pix

分配給每個(gè)防火墻接口一個(gè)名字，劃分開安全級(jí)別

pix515e（config）# nameif ethernet0 outside security0

pix515e（config）# nameif ethernet1 inside security100

pix515e（config）# nameif ethernet2 dmz security50

pix515e（config）# nameif ethernet3 621 security30

給每個(gè)接口分配IP地址

pix515e（config）# ip address outside 10.36.28.1 255.255.255.0

pix515e（config）# ip address inside 172.25.2.1 255.255.255.0

pix515e（config）# ip address dmz 172.25.5.1 255.255.255.0

pix515e（config）# ip address 621 172.25.11.1 255.255.255.0

2.2.2 運(yùn)用NAT技術(shù)實(shí)現(xiàn)高安全級(jí)別接口上的主機(jī)對(duì)低安全級(jí)別接口上主機(jī)的訪問

（1）操作命令：

pix515e（config）# nat （inside） 10 172.25.2.0 255.255.255.0

pix515e（config）# nat （dmz） 10 172.25.5.0 255.255.255.0

pix515e（config）# global （outside） 10 interface

pix515e（config）# global （dmz） 10 172.25.5.10-172.25.5.20 netmask 255.255.255.0

（2）第一個(gè)nat命令允許在安全級(jí)別為100的內(nèi)部接口上的主機(jī)，進(jìn)行對(duì)比特級(jí)別低接口上的主機(jī)連接。第一個(gè)命令中，主要有外部接口（outside）上的主機(jī)和非軍事區(qū)（DMZ）上的主機(jī)等低安全級(jí)別接口。在第二個(gè)nat命令中，讓安全級(jí)別為50的DMZ上的主機(jī)，實(shí)現(xiàn)對(duì)安全級(jí)別比它低的接口上主機(jī)的連接，這其中只包含外部接口（outside）。

（3）基于全局地址池和nat（inside）命令都使用nat_id為10的情況，應(yīng)當(dāng)對(duì)172.25.2.0網(wǎng)絡(luò)上的主機(jī)地址進(jìn)行轉(zhuǎn)換，繼而轉(zhuǎn)換成為任意地址池中的地址。當(dāng)inside用戶訪問DMZ上的主機(jī)時(shí)，其源地址被進(jìn)行了轉(zhuǎn)換，成了global（dmz）命令定義的172.25.5.10-172.25.5.20范圍中的某一個(gè)地址。在主機(jī)訪問outside時(shí)，其源地址也被進(jìn)行了轉(zhuǎn)換，成為了global（outside）命令定義的outside接口IP地址以及一個(gè)源端口大于1024的結(jié)合（PAT），共同組成了其新的源地址。

（4）通過以上配置，可以實(shí)現(xiàn)內(nèi)部（高安全級(jí)別區(qū)域）主機(jī)發(fā)起的對(duì)外部（低安全級(jí)別區(qū)域）主機(jī)的訪問。在訪問時(shí)，內(nèi)部主機(jī)地址通過NAT轉(zhuǎn)換成外部的地址，從而達(dá)到對(duì)外部隱藏內(nèi)部地址的目的。

3 配置PIX防火墻允許外部的用戶可以防問DMZ區(qū)的Web服務(wù)器

在DMZ區(qū)域內(nèi)設(shè)置一臺(tái)Web服務(wù)器（172.25.5.100），通過配置靜態(tài)內(nèi)部轉(zhuǎn)換、ACL和端口重定向來實(shí)現(xiàn)外部特定主機(jī)（10.36.28.100）對(duì)這臺(tái)Web服務(wù)器的防問。

具體操作命令

static （dmz，outside） 10.36.28.2 172.25.5.100 netmask 255.255.255.255

access-list outside_access_in permit tcp host 10.36.28.100 host 10.36.28.2 eq WWW

access-group outside_access_in in interface outside

static靜態(tài)地址轉(zhuǎn)換命令，將DMZ內(nèi)的服務(wù)器172.25.5.100靜態(tài)轉(zhuǎn)換成outside區(qū)域的IP為10.36.28.2的地址；

access-list擴(kuò)展訪問控制列表限制outside區(qū)域內(nèi)特定主機(jī)10.36.28.100可以訪問10.36.28.2上提供的WWW服務(wù)。實(shí)際上通過靜態(tài)NAT命令，外部主機(jī)實(shí)際上訪問的是DMZ內(nèi)的主機(jī)172.25.5.100。從而實(shí)現(xiàn)了DMZ對(duì)outside的地址隱藏，從而達(dá)到保護(hù)內(nèi)部主機(jī)的目的。

4 結(jié)束語

隨著信息安全技術(shù)的發(fā)展，NAT技術(shù)作為最基本的網(wǎng)絡(luò)安全技術(shù)，已經(jīng)得到了廣泛的應(yīng)用。通過在防火墻或者路由器上配置NAT映射，可實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離，有效地避免外來網(wǎng)絡(luò)的攻擊，使得內(nèi)部網(wǎng)絡(luò)得到了很好地保護(hù)。通過在網(wǎng)絡(luò)設(shè)備上使用NAT技術(shù)，使得相關(guān)的外部用戶可以有控制訪問公司的內(nèi)部提供的多種網(wǎng)絡(luò)服務(wù)。實(shí)際應(yīng)用中，可能外網(wǎng)主機(jī)需要對(duì)內(nèi)部網(wǎng)絡(luò)多臺(tái)服務(wù)器進(jìn)行訪問，這時(shí)，可選擇將內(nèi)網(wǎng)服務(wù)器的IP地址加入到內(nèi)網(wǎng)服務(wù)器地址池中，并根據(jù)設(shè)置的端口號(hào)的不同來實(shí)現(xiàn)對(duì)應(yīng)內(nèi)網(wǎng)服務(wù)器的訪問。

參考文獻(xiàn)：

[1]鄭偉.基于防火墻的網(wǎng)絡(luò)安全技術(shù)的研究[D].吉林大學(xué)，2012.

[2]陳磊.基于IPv4網(wǎng)絡(luò)內(nèi)網(wǎng)穿越技術(shù)的研究與實(shí)現(xiàn)[D].電子科技大學(xué)，2012.

作者單位：民航西北地區(qū)空中交通管理局，西安 710068