除了在连接和隐藏方面的应用,NAT设备能实现负载平衡。DNS系列服务器群中多个IP地址公用一个域名,由于IP客户端会缓冲DNS/IP地址解析,从而使其后续申请延迟达到同一个IP地址,在一定程度上减弱了DNS系列服务器的作用。而基于NAT的负载平衡方案,可以有效的避免这类问题。NAT设备是把需要负载的平衡的多个IP地址翻译成一个公用的IP地址,每个TCP连接被NAT送到一个IP地址,使后续的TCP连接被NAT送到下一个IP地址来实现真正的负载平衡。除此之外,NAT技术能够在用户更改ISP时避免了对内部网络进行重新编址,同时减少用户网络接入的费用等问题。
NAT技术潜在的管理和安全的威胁
在NAT应用中,从外网表面上看来是直接与NAT设备通信。当内部网络的数据包被发送到NAT设备的IP地址上,NAT设备将目的数据包头地址由自己的一个合法IP地址变成真正的目的主机的内部网络地址。理论上实现起来没有问题,但是实际中存在一些缺陷。然而NAT对多个专用网络的合并和组合时,NAT系统不支持多层嵌套,从网络管理方面加大了难度。
许多Internet协议和应用依赖于真正的端到端网络,数据包要求在没有修改情况下从源地址发往目的地址。像IP安全架构不能跨NAT设备使用,由于IP源地址发出的数据包采用了数字签名,如果改变源地址数字签名就会失效。在数据加密和数字签名上存在着安全隐患。NAT技术能够隐藏内部网络,但是攻击者获得对NAT设备的控制,并认为是内部连接的请求而被允许,它可以任意授权身份对网络进行访问,这时候网络将变得非常脆弱。
NAT设备的放置位置也是影响内部网络安全的一个问题。由于NAT会改变信源和信宿地址,如NAT设备和防火墙的位置,放在防火墙保护的一侧,防火墙将不得不负责NAT设备的安全规则,同时对内部的信源或信宿地址也不能确定。如果放在防火墙的另一侧,外部网络攻击者有可能伪装成内部的合法授权用户对网络的访问或攻击。在使用IP安全协议的虚拟专用网中对NAT设备的放置位置也是一个考验,如果放在虚拟专用网的保护一侧,NAT需要改动IP报头的地址,然而IP安全协议中的报头源地址是不能改变的,改变了将不能确定源报头的出处,失去了IP安全协议中的安全机制。NAT技术的管理与网络的安全是密切相关的,由于NAT设备小的疏忽而造成网络安全威胁。
总结
NAT技术无可否认是在IPv4地址资源的短缺时候起到了缓解作用;在减少用户申请ISP服务的花费和提供比较完善的负载平衡功能等方面带来了不少好处。但是在IPv4地址在以后几年将会枯竭,NAT技术不能改变IP地址空间不足的本质。然而在安全机制上也潜在着威胁,在配置和管理上也是一个挑战。如果要从根本上解决IP地址资源的问题,IPv6才是最根本之路。在IPv4转换到IPv6的过程中,NAT技术确实是一个不错的选择,相对其他的方案优势也非常明显。