2024年6月5日发(作者:夫螺)
什么是NAT
NAT
——网络地址转换,是
通过将专用网络地址(
如企业内部网Intr
anet)转换为公用
地
址(如互联网Int
ernet),从而对
外隐藏了内部管理的
IP 地址。这样,通
过在内部使用非注
册的
IP 地址,并将它
们转换为一小部分外部
注册的 IP 地址,
从而减少了IP 地址
注册的
费用以及节省了
目前越来越缺乏的地址
空间(即IPV4)。
同时,这也隐藏了内部
网络结构,
从而降低了
内部网络受到攻击的风
险。
NAT功能通
常被集成到路由器、防
火墙、单独的NAT设
备中,当然,现在比较
流行的操
作系统或其他
软件(主要是代理软件
,如WINROUTE
),大多也有着NAT
的功能。NAT设备(
或软件)维护一个状态
表,用来把内部网络的
私有IP地址映射到外
部网络的合法IP地址
上
去。每个包在NAT
设备(或软件)中都被
翻译成正确的IP地址
发往下一级。与普通路
由器
不同的是,NAT
设备实际上对包头进行
修改,将内部网络的源
地址变为NAT设备自
己的外部
网络地址,而
普通路由器仅在将数据
包转发到目的地前读取
源地址和目的地址。
NAT分为三种类型:
静态NAT(stat
icNAT)、NAT
池(pooledNA
T)和端口NAT(P
AT)。
其中静态NA
T将内部网络中的每个
主机都被永久映射成外
部网络中的某个合法的
地址,而
NAT池则是
在外部网络中定义了一
系列的合法地址,采用
动态分配的方法映射到
内部网络,
端口NAT
则是把内部地址映射到
外部网络的一个IP地
址的不同端口上。
废话说了不少,让我
们转入正题,看一下如
何利用NAT保护内部
网络。
使用网络地址
转换NAT,使得外部
网络对内部网络的不可
视,从而降低了外部网
络对内
部网络攻击的风
险性。
在我们将内部
网络的服务使用端口映
射到NAT设备(或是
软件)上时,NAT设
备看起来
就像一样对外
提供服务器一台服务器
一样(如图一)。这样
对于攻击者来讲,具有
一定的难
度,首先他要
攻破NAT设备,再根
据NAT设备连接到内
部网络进行破坏。
图一
由图一我们可以
看出,内部网络中的A
、B和C提供相应的M
AIL、FTP和HT
TP服务。我
们利用N
AT将所提供服务机器
的对应的服务端口25
、110、20、21
和80映射到NAT服
务器
上(IP:88.
88.88.88,域
名:
t上,其中端口及服务
对应如下:
SMTP
<->25
POP3
<->110
FTP
<->20,21
H
TTP<->80
说
到20,我来加一个小
插曲。我们都知道FT
P对应的端口应该是2
1,为什么又冒出来
一
个20呢?其实,我们
们进行FTP文件传输
中,客户端首先连接到
FTP服务器的21端
口,
进行用户的认证,
认证成功后,当我们要
传输文件时,服务器会
开一个端口为20来进
行传
输数据文件,也就
是说,端口20才是真
正传输所用到的端口,
端口21只用于FTP
的登陆认
证。我们平常
下载文件时,会遇到下
载到99%时,文件不
完成,不能成功的下载
。其实是因
为文件下载
完毕后,还要在21端
口再行进行用户认证,
而我们下载文件的时间
如果过长,
客户机与服
务器的21端口的连接
会被服务器认为是超时
连接而中断掉,就是这
个原因。解
决方法就是
设置21端口的响应时
间。
话题扯远了(别
拿柿子、鸡蛋„„扔我
啊),我们继续我们的
NAT吧。由图一为例
,当
外部访问者访问h
ttp://www.
时
,NAT会自动把请求
提交到内部的192.
168.0.102
的
80端口上,反之也一
样,我们所收到的信息
也是内部的192.1
68.0.102通过
NAT来传输给
外部访
问者的。同样FTP及
MAIL的服务也是如
此。
其中的NAT既
可以用操作系统和代理
软件,又可以用路由器
及NAT设备。下面我
们用软
件的方法来具体
实现具体的NAT设置
。
使用WINDOW
S 2000 SER
VER进行NAT的设
置
WINDOWS
20000 SERV
ER FAMILY强
大的网络功能,说起来
真是VERY GOO
D。她集成很多
网络功
能,比如说DHCP、
DNS、SNMP、路
由„„,进行NAT的
设置,我们只需要一个
WINDOWS
20
00 SERVER就
足够了,不必借助于其
他的软件。
说干就干
,我们以中文版的WI
NDOWS 2000
SERVER为例,
在NAT服务器上加两
块网卡,
一块是与内部
网络相连(如IP:1
92.168.0.3
5),另一块则是与外
部网络相连(如
IP:
88.88.88.8
8),在配置之前,要
保证NAT服务器与内
部私有网络及外部公用
网络的数
据传输没有故
障。具体配置如下:
打开“开始——>程序
——>管理工具——>
路由和远程访问”,出
现一个对话框,左侧
有
一个“服务器状态”,
一个“BDWSER(
本地)”(不一定是B
DWSER,其实就应
该是你的
机器名),点
“BDWSER(本地
)”,然后点“操作—
—>配置并启用路由和
远程访问”,会
弹出一
个的对话框,下一步,
会出现如图二的对话框
,选择“Intern
et连接服务器”,下
一
步,
图二
如图
三,选择“设置有网络
地址转换(NAT)路
由协议的路由器”,下
一步
2024年6月5日发(作者:夫螺)
什么是NAT
NAT
——网络地址转换,是
通过将专用网络地址(
如企业内部网Intr
anet)转换为公用
地
址(如互联网Int
ernet),从而对
外隐藏了内部管理的
IP 地址。这样,通
过在内部使用非注
册的
IP 地址,并将它
们转换为一小部分外部
注册的 IP 地址,
从而减少了IP 地址
注册的
费用以及节省了
目前越来越缺乏的地址
空间(即IPV4)。
同时,这也隐藏了内部
网络结构,
从而降低了
内部网络受到攻击的风
险。
NAT功能通
常被集成到路由器、防
火墙、单独的NAT设
备中,当然,现在比较
流行的操
作系统或其他
软件(主要是代理软件
,如WINROUTE
),大多也有着NAT
的功能。NAT设备(
或软件)维护一个状态
表,用来把内部网络的
私有IP地址映射到外
部网络的合法IP地址
上
去。每个包在NAT
设备(或软件)中都被
翻译成正确的IP地址
发往下一级。与普通路
由器
不同的是,NAT
设备实际上对包头进行
修改,将内部网络的源
地址变为NAT设备自
己的外部
网络地址,而
普通路由器仅在将数据
包转发到目的地前读取
源地址和目的地址。
NAT分为三种类型:
静态NAT(stat
icNAT)、NAT
池(pooledNA
T)和端口NAT(P
AT)。
其中静态NA
T将内部网络中的每个
主机都被永久映射成外
部网络中的某个合法的
地址,而
NAT池则是
在外部网络中定义了一
系列的合法地址,采用
动态分配的方法映射到
内部网络,
端口NAT
则是把内部地址映射到
外部网络的一个IP地
址的不同端口上。
废话说了不少,让我
们转入正题,看一下如
何利用NAT保护内部
网络。
使用网络地址
转换NAT,使得外部
网络对内部网络的不可
视,从而降低了外部网
络对内
部网络攻击的风
险性。
在我们将内部
网络的服务使用端口映
射到NAT设备(或是
软件)上时,NAT设
备看起来
就像一样对外
提供服务器一台服务器
一样(如图一)。这样
对于攻击者来讲,具有
一定的难
度,首先他要
攻破NAT设备,再根
据NAT设备连接到内
部网络进行破坏。
图一
由图一我们可以
看出,内部网络中的A
、B和C提供相应的M
AIL、FTP和HT
TP服务。我
们利用N
AT将所提供服务机器
的对应的服务端口25
、110、20、21
和80映射到NAT服
务器
上(IP:88.
88.88.88,域
名:
t上,其中端口及服务
对应如下:
SMTP
<->25
POP3
<->110
FTP
<->20,21
H
TTP<->80
说
到20,我来加一个小
插曲。我们都知道FT
P对应的端口应该是2
1,为什么又冒出来
一
个20呢?其实,我们
们进行FTP文件传输
中,客户端首先连接到
FTP服务器的21端
口,
进行用户的认证,
认证成功后,当我们要
传输文件时,服务器会
开一个端口为20来进
行传
输数据文件,也就
是说,端口20才是真
正传输所用到的端口,
端口21只用于FTP
的登陆认
证。我们平常
下载文件时,会遇到下
载到99%时,文件不
完成,不能成功的下载
。其实是因
为文件下载
完毕后,还要在21端
口再行进行用户认证,
而我们下载文件的时间
如果过长,
客户机与服
务器的21端口的连接
会被服务器认为是超时
连接而中断掉,就是这
个原因。解
决方法就是
设置21端口的响应时
间。
话题扯远了(别
拿柿子、鸡蛋„„扔我
啊),我们继续我们的
NAT吧。由图一为例
,当
外部访问者访问h
ttp://www.
时
,NAT会自动把请求
提交到内部的192.
168.0.102
的
80端口上,反之也一
样,我们所收到的信息
也是内部的192.1
68.0.102通过
NAT来传输给
外部访
问者的。同样FTP及
MAIL的服务也是如
此。
其中的NAT既
可以用操作系统和代理
软件,又可以用路由器
及NAT设备。下面我
们用软
件的方法来具体
实现具体的NAT设置
。
使用WINDOW
S 2000 SER
VER进行NAT的设
置
WINDOWS
20000 SERV
ER FAMILY强
大的网络功能,说起来
真是VERY GOO
D。她集成很多
网络功
能,比如说DHCP、
DNS、SNMP、路
由„„,进行NAT的
设置,我们只需要一个
WINDOWS
20
00 SERVER就
足够了,不必借助于其
他的软件。
说干就干
,我们以中文版的WI
NDOWS 2000
SERVER为例,
在NAT服务器上加两
块网卡,
一块是与内部
网络相连(如IP:1
92.168.0.3
5),另一块则是与外
部网络相连(如
IP:
88.88.88.8
8),在配置之前,要
保证NAT服务器与内
部私有网络及外部公用
网络的数
据传输没有故
障。具体配置如下:
打开“开始——>程序
——>管理工具——>
路由和远程访问”,出
现一个对话框,左侧
有
一个“服务器状态”,
一个“BDWSER(
本地)”(不一定是B
DWSER,其实就应
该是你的
机器名),点
“BDWSER(本地
)”,然后点“操作—
—>配置并启用路由和
远程访问”,会
弹出一
个的对话框,下一步,
会出现如图二的对话框
,选择“Intern
et连接服务器”,下
一
步,
图二
如图
三,选择“设置有网络
地址转换(NAT)路
由协议的路由器”,下
一步