网络地址转换技术

网络地址转换技术

  目的是解决私有IP地址无法连上互联网的问题
  如：内部用户往往使用的是私有IP地址，但是这些私有IP地址是无法访问互联网的，这个私有IP地址是无法访问互联网上的资源的。所以内部网络的私有IP地址必须要转换为外网的公有IP地址。
  网络地址转换（NAT：Network Address Translation）是一种将一个或多个IP地址转换为另外一个IP或多个地址的技术。 一般来说，NAT技术主要是将主机的内部私有IP地址转换为外部合法的IP地址，从而解决IP地址资源缺乏提供了一种技术手段。

  内部用户使用的是10网络的私有IP地址，这个IP经过IP地址转换以后变成了202的公有IP地，就可以连接互联网了。

  内部使用的私有IP必须转换成合法IP地址

• 实现了NAT功能的设备叫做NAT设备。
• NAT功能也通常被集成到路由器、防火墙等安全设备中。
• 为了实现NAT转换，NAT设备需要在本地维护一个NAT映射表，用来配置或记录非法的IP地址到合法的IP地址之间的映射关系。当内部数据包通过NAT设备时，NAT设备通过查询转换表，将IP包中的内部IP地址替换为外部IP地址。同样，当收到外部数据包时，将IP地址替换为原来的IP地址。

  在这样的一个拓扑结构中，网络地址转换设备是由路由器来充当的，路由器在本地就保存了一个NAT的映射表。在每台内部的主机都会有一个端口，这个端口可以对应于一个地址上。网络地址映射表可以根据端口的信息来确定内部网络主机的地址。

常规网络地址转换所依赖的转换

• IP 报头中的 IP 地址。
• TCP 报头中的 TCP 端口号。
• UDP 报头中的 UDP 端口号。

网络地址转换类型

• 静态NAT（Static NAT)
• 动态NAT (Dynamic NAT)
• 端口转换NAT (Port level NAT)

网络地址转换的作用

• 解决了IP地址资源不足的问题
    通过网络地址转换技术允许内部的网络地址通过公有的网络IP地址连接互联网。
• 隐藏
    把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备

网络地址转换所带来的影响
  由于NAT转换需要对IP包进行处理，因此对NAT设备和网络延迟有一定影响。如果NAT功能用专用硬件设备完成，对于一般的网络来说，这种影响非常小。由于NAT破坏了网络的透明性，因此使得很多使用私有IP地址的主机之间无法直接通信。NAT穿越可以解决对等计算中节点之间无法直接通信的问题

静态网络地址转换技术

静态NAT

• 内部每个非法IP地址被固定地映射为外部的某个合法IP地址。
• 非法IP地址和合法IP地址地绑定是事先配置好的。
  内部网络中的每个主机都被永久映射成外部网络的某个合法的地址。
  静态NAT的特点
    静态NAT的特点是，一个内部IP地址对于一个外部IP地址，是“一对一”的关系。
  
    如图，每一个私有的IP地址都会唯一的转换为一个外部的公有IP地址，并且这个转换时永久的是固定的是之前就配置好的。

出站数据包处理过程
  事前配置好的IP池，即公有IP地址的集合，比如一个内部的用户是由私有网络地址（192.168.0.4）进行上网的时候，外出的数据经过网络地址转换之后，会将内部的IP地址转换为外部的唯一的公有IP地址（X.X.X.1）。当外出的数据包到达网络地址转换设备的时候，就会将私有的地址转换为公有的地址，再将数据包发送到外部网络中。

入站数据包处理过程
  内部用户连接外部用户时，会在网络地址转换设备上会有一个映射表，即公有IP地址和私有IP地址的映射表，当外部数据到达网络地址转换设备之后，网络地址转换设备会查询静态的映射表，之后会将目的地址转换为映射表中的私有地址，并将相应的数据包发送给内部数据。

静态转换的执行过程
 （1）管理员配置NAT映射表，确定内部IP地址和外部IP地址的映射关系。
 （2）当内部主机的数据包到达NAT设备时，NAT设备查询NAT映射表，找到该IP包中源IP地址所对应的转换地址。
 （3）将IP包中的源IP地址替换为转换地址后发送到互联网上的目的主机。
 （4）当外部主机的数据包到达NAT设备时，依据该数据包中的目的IP地址查询NAT映射表，找到该IP包中目的IP地址所对应的内部地址。
 （5）将IP包中的目的IP地址替换为对应的内部地址后发送给内部网络中的目的主机。

静态转换的优点
 （1）实现简单，管理也容易。
 （2）由于内部IP地址和外部IP地址是一对一的固定映射关系，也可以实现外部网络对内部网络中某些特定服务器的访问

静态转换的缺点
 （1）由于内部主机被固定映射到预定的IP地址，特定的某个私有IP地址只转换为特定外部公有IP地址，因攻击者可以通过观测转换后的IP包，了解内部网络的状态信息
 （2）当内部网络使用了动态主机配置协议时（DHCP： Dynamic Host Configuration Protocol），静态NAT无法为特定主机提供地址转换服务。

动态网络地址转换技术

动态NAT

• 内部每个非法IP地址被临时地映射为外部的某个合法IP地址
• 非法IP地址和合法IP地址的绑定是动态变化的

动态NAT的特点
  动态NAT的特点是，一个内部IP地址可能在不同的时间对应不同的外部IP地址，而同一个外部IP地址在不同的时间也可能对应不同的内部IP地址，是“多对多”的关系。

 如图，内部不同的用户可以转换为不同的外部IP地址，并且转换的关系可以根据时间来变化。

出站数据包处理过程

  动态NAT和静态NAT一样，都有一个IP池（外部可有IP地址列表），当内部（192.168.0.4）的数据到达网络地址转换设备的时候，网络地址转换设备会对IP池进行查询，是否会有可用的IP，如果有，则将这个IP地址（x.x.x.1）分配各内部的主机。之后会将映射关系建立一个临时表，同时，网络地址转换设备会对内部用户的数据包进行修改，会将目的IP地址分配为公有的IP地址，再将修改后的数据包发往互联网中。

入站数据包处理过程

  根据前面出站的过程，我们了解到，会在网络地址转换设备中建立一个临时表。当外部（x.x.x.1）数据到达网络地址转换设备时，网络地址转换设备会根据数据包中的目的IP地址去查询临时表去找到其对应的内部IP地址（192.168.0.4），同时将目的IP地址修改为私有IP地址并转发给内部网络用户。经过一段时间之后，临时映射表会被删除，即将公有IP地址归还到IP池中。

动态NAT的数据包处理全过程
 （1）管理员配置可用的外部IP地址资源池。
 （2）当内部主机的数据包到达NAT设备时，NAT设备从可用的IP资源池中随机分配一个IP地址给该内部主机，并将该主机内部IP地址和分配的IP地址的映射关系写入NAT映射表。
 （3）将收到的IP包中的源IP地址替换为该转换地址后发送到互联网上的目的主机。
 （4）当外部主机的数据包到达NAT设备时， 依据该数据包中的目的IP地址，查询NAT映射表，找到该IP包中目的IP地址所对应的内部地址
 （5）将收到的IP包中的目的IP地址替换为该内部地址后发送给内部网络中的目的主机。

动态NAT的优点
 （1）内部IP地址和外部IP地址之间的映射动态变换，可以很好地隐藏内部网络的信息。
 （2）动态NAT也非常适合于需要频繁建立网络连接的应用（如拨号服务），即在接入是动态分配IP地址，而在用户断开连接是回收IP地址，从而提高了IP地址的有效使用率。

动态NAT的缺点
 （1）由于内部和外部IP地址的映射动态变化，因此对于需要利用IP地址进行安全管理（如访问控制）的应用带来了困难。
 （2）由于动态NAT一般采用“先来先得”的原则分配IP，因此当有紧急业务需要使用IP地址时，可能会由于其他应用已经占有了所有IP地址而不能满足请求。

端口转换网络地址转换技术

  不论是静态网络地址转换还是动态网络地址转换，都需要管理员提前分配IP值，基于端口的网络地址转换技术就是用少量外部IP地址为外部实行服务。

什么叫端口
 在TCP/IP协议中，端口是用来区分服务的方法。 比如，端口号为80，往往对应WEB服务。

端口转换NAT（NATP）
  端口转换NAT是将内部主机的IP地址映射为外部IP地址和一个特定端口号的技术。
  NAPT与动态NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP或UDP端口号。它可以使用一个外部地址为多个内部主机地址提供服务。还可以将中小型的网络隐藏在一个合法的IP地址后面。

端口转换实例
  例如，外网地202.112.14.2这个外网地址，每个主机含有65535个端口可以使用，其1025~65535的端口（一般来说1024以下端口保留）可以对应192.168.0.0/16的地址块，即多个内网IP地址复用同一个IP地址来访问Internet。
  当内部主机的数据包通过NAT设备时，NAT设备为其随机分配一个端口号IP地址，即将该内部主机视为NAT对外提供的一种服务，根据端口号，虽然IP地址相同，但也可以区分不同的主机。

端口转换NAT的特点
  端口转换NAT的特点是，一个内部IP地址与一个外部IP地址的一个端口对应，即一个IP地址的多个端口对应内部的一个IP地址，是“一对多”的关系。

  例如，在这样的网络拓扑结构中，虽然对外是提供的一个IP地址，但是这个对外的IP地址加上端口号和多个主机建立映射关系。

出站数据包处理过程

  当内部（192.168.0.4）的数据到达网络地址转换设备时，网络设备会根据内部主机所使用的协议以及内部的IP地址为其随机分配一个端口号。这种分配关系也会在本地存储起来，表明外部的IP地址加上端口与那一台内部主机之间建立了映射。
 同时网络地址转换设备会将这个数据包中的目的地址改为（x.x.x.80），端口号为临时分配的端口号，修改结束之后，设备会将这个数据包发送到互联网。经过一段时间之后，这种映射关系会被系统清除。

入站数据包处理过程

  当外部数据到达网络地址转换设备的时候，网络设备会根据目的端口以及目的IP地址进行查寻内部IP地址的相关信息。同时网络地址转换设备会将目的IP地址和目的端口修改为所查询到的端口和IP地址，再将相应的包发送给内部的网络用户。

端口转换NAT的全过程
 （1）管理员配置外部IP地址，有可能IP地址只有一个。
 （2）当内部主机的数据包到达NAT设备时，NAT设备为该主机分配外部可用IP地址和一个随机分配一个未使用的端口号，并将内部主机所使用的传输层协议、内部主机的地址、分配的外部IP地址及端口号之间的映射关系将写入本地的NAT映射表。
 （3）将收到的IP包中的源IP地址和源端口替换为转换后的IP地址和端口后发送到互联网上的目的主机。
 （4）当外部主机的数据包到达NAT设备时， 依据该数据包中的目的IP地址、目的端口以及传输层协议，查询NAT映射表，找到对应的内部地址和端口。
 （5）将收到的IP包中的目的IP地址和目的端口替换为该内部地址和端口后发送给内部网络中的目的主机。

端口映射NAT是否一定要随机分配端口号？
  在端口转换中有一个特殊的情况，叫做 端口映射。网络转换设备在分配端口的时候，不是随机分配，而是根据收到内部用户数据包中的源端口来分配外出数据包所对应的端口。即映射方式的好处在于内部主机可以通过固定端口向外部用户提供特定服务
  例如，内网提供WEB服务的服务器IP地址为192.168.1.1：80（服务端口80）， 因为这是一个私有的IP地址，外部用户是无法连接到这个地址上来的，所以可以为此固定的分配一个80的端口。
  NAT设备进行端口映射后，会将私有的IP地址替换为公有的IP地址。假如映射为201.115.14.181:80，即建立了固定的端口映射表192.168.1.1:80<——>202.115.14.181:80。 外网用户可以通过http:// 202.115.14.181的方式即可访问到192.168.1.1提供的WEB服务。 实际上是http:// 202.115.14.181:80，http协议默认将使用80端口。

优点
 （1）可以将中小型的网络隐藏在一个合法的IP地址后面，可以减少上网费用，而不仅节约了IP资源，而且也起到了很好的网络隐藏作用。
 （2）由于端口转换不需要人工干预，通过动态地址分配，实现IP地址的映射，因此也具有易管理的优点。
 （3）借助于端口转换中特殊的端口映射方法，也可以实现局域网内部机器向外提供特定网络服务的功能。

缺点
 （1）由于所有内部主机使用一个IP地址，因此当主机数量较多时，可能会导致通信信道的拥塞，降低访问互联网的速度。
 （2）由于实现复杂，而且需要处理传输层协议，NAT设备的处理性能会有所下降。
 （3）当采用端口映射的方式时，也为攻击者通过观测特殊的端口信息来发现内部网络信息提供了机会。

网络地址转换与隔离

  网络地址转换与网络安全之间的关系并没有多大，而这个技术却对网络安全有着十分大的影响。通过网络地址隔离技术可以将内部网络相关信息隔离而发挥隐藏的作用。可以将内部网络中重要的或者特殊的IP地址隐藏起来不被外部攻击者发现，也使得外部攻击者无法直接访问到内部主机。

 网络技地址转换技术可以提供详细的安全审计功能，所有进出网络的数据均被发送到网络技地址转换设备的IP地址上 ，网络技地址转换设备提供了完备的网络通信日志功能，便于在攻击事件发生后进行安全审计 。
通过这样的方式，攻击发生以后，可以检查网络地址转换设备可以去发现攻击者的信息。

网络地址转换对网络安全的影响
  网络地址转换技术破坏了端到端的网络通信，使得两台主机之间无法建立联系，理论上一个合法的IP地址后面可以连接成百上千的主机。在端到端安全服务中，数据包需要从源端完全不加修改的通过互联网发送到目的端。
  例如，在IP层的安全解决方案IPSec中，由于原始的IP包头进行数字签名、加密安全保护，但经过NAT设备时如果进行了IP地址修改，目的端在安全验证时就会发生错误。

• NAT技术给安全管理带来了一定的困难性
    NAT 对于一个缺少足够的全球唯一IP地址的组织或者部门来说是一种不错的解决方案，但是当这些组织或部门因为某种原因（如重组、 合并等）需要对已有网络和网络安全方案进行重新整合或修改时，如果内部网络比较大，需要修改网络的拓扑结构时，NAT技术则变成了一个严重的问题。
    例如，如何划分网络、网络安全策略的调整以及网络路由的修改等，均变得比较复杂。

• NAT技术给攻击溯源带来的了挑战
    攻击溯源中要求唯一一台主机中的IP地址进行定位，但是由于使用的网络地址转换技术，主机的地址映射到外部IP地址的时候，有可能会发送动态性的改变，从而不能够攻击溯源。
    如果互联网上每台主机均有一个唯一的IP地址，则当攻击发生后可以快速、有效地知道攻击者的信息（如地址、主机信息等）。
    当众多主机通过NAT技术接入互联网以后，安全监管系统（如网络取证）所采集到的IP地址实际是NAT设备配置的全局地址，因此无法直接定位和确定真正的攻击者。

网络地址转换技术与防火墙的关系
  在具体设置网络拓扑的时候，一般将网络地址转换设备防在防火墙之后，即内部网络和防火墙之间。

  由于网络地址转换设备会动态的修改内部IP地址和外部IP地址之间的映射关系，那么防火墙的过滤规则就应该相应的做出改变。
  同样，我们可以将网络地址转换设备放在防火墙之外，即位于外部网络与防火墙之间。

  这种网络拓扑中，由于网络地址转换设备会动态的修改网络数据包的IP信息，从而使得过防火墙的过滤规则失效，所以攻击者可以刻意的修改相应的信息，欺骗网络地址转换设备，从而破坏防火墙的实施。
  所以在多数情况下，网络地址转换设备和防火墙是集成在一起的，这种结构是一种较好的方案。

  所以二者之间有着十分密集的关系。

NAT影响防火墙系统的设计和部署
  防火墙根据IP报头中包含的TCP端口号、源IP、目的IP以及其它一些信息来制定过滤规则，并以此来决定是否让该数据包通过。
  如果一个NAT设备，被置于受防火墙保护的一侧，必须修改防火墙规则，如果将NAT设备置于防火墙之外（即防火墙和外部网络之间），外部攻击者就可能欺骗NAT而攻击内部网络。

NAT影响VPN的设计和部署
  网络地址转换技术与VPN之间也有密切的关系

• 虚拟专网（VPN：Virtual Private Network）是常用的安全保护技术。
• 构建VPN最简单的方法是使用IP安全协议（IPSec），由于IPSec会修改IP头的信息，因此如果错误地放置NAT设备，会影响整个网络安全防御系统的设计。

  原则上，由于NAT需要改动IP报头中的IP地址等信息，因此NAT设备应该被置于VPN受保护的一侧，从而避免与防火墙一样的情况出现。

对NAT的评价
  NAT是一把双刃剑，NAT解决了IPv4中IP地址紧张的问题，但NAT破坏了网络的透明性。NAT对解决安全问题没有太大帮助，但它影响安全方案的设计和部署。