四、应用NAT技术的安全策略

    1、应用NAT技术的安全问题

    在使用NAT时，Internet上的主机表面上看起来直接与NAT设备通信，而非与专用网络中实际的主机通信。输入的数据包被发送到NAT设备的IP地址上，并且NAT设备将目的包头地址由自己的Internet地址变为真正的目的主机的专用网络地址。而结果是，理论上一个全球优异IP地址后面可以连接几百台、几千台乃至几百万台拥有专用地址的主机。但是，这实际上存在着缺陷。例如，许多Internet协议和应用依赖于真正的端到端网络，在这种网络上，数据包完全不加修改地从源地址发送到目的地址。比如，IP安全架构不能跨NAT设备使用，因为包含原始IP 源地址的原始包头采用了数字签名。如果改变源地址的话，数字签名将不再有效。 NAT还向我们提出了管理上的挑战。尽管NAT 对于一个缺少足够的全球优异Internet地址的组织、分支机构或者部门来说是一种不错的解决方案，但是当重组、 合并或收购需要对两个或更多的专用网络进行整合时，它就变成了一种严重的问题。甚至在组织结构稳定的情况下，NAT系统不能多层嵌套，从而造成路由噩梦。

    2、应用NAT技术的安全策略

    当我们改变网络的IP地址时，都要仔细考虑这样做会给网络中已有的安全机制带来什么样的影响。如，防火墙根据IP报头中包含的TCP端口号、信宿地址、信源地址以及其它一些信息来决定是否让该数据包通过。可以依NAT设备所处位置来改变防火墙过滤规则，这是因为NAT改变了信源或信宿地址。如果一个NAT设备，如一台内部路由器，被置于受防火墙保护的一侧，将不得不改变负责控制NAT设备身后网络流量的所有安全规则。在许多网络中，NAT机制都是在防火墙上实现的。它的目的是使防火墙能够提供对网络访问与地址转换的双重控制功能。除非可以严格地限定哪一种网络连接可以被进行NAT转换，否则不要将NAT设备置于防火墙之外。任何一个淘气的黑客，只要他能够使NAT误以为他的连接请求是被允许的，都可以以一个授权用户的身份对你的网络进行访问。如果企业正在迈向网络技术的前沿，并正在使用IP安全协议（IPSec）来构造一个虚拟专用网（VPN）时，错误地放置NAT设备会毁了计划。原则上，NAT设备应该被置于VPN受保护的一侧，因为NAT需要改动IP报头中的地址域，而在IPSec报头中该域是无法被改变的，这使可以准确地获知原始报文是发自哪一台工作站的。如果IP地址被改变了，那么IPSec的安全机制也就失效了，因为既然信源地址都可以被改动，那么报文内容就更不用说了。那么NAT技术在系统中我们应采用以下几个策略：

    ①网络地址转换模块

    NAT技术模块是本系统核心部分，而且只有本模块与网络层有关，因此，这一部分应和Unix系统本身的网络层处理部分紧密结合在一起，或对其直接进行修改。本模块进一步可细分为包交换子模块、数据包头替换子模块、规则处理子模块、连接记录子模块与真实地址分配子模块及传输层过滤子模块。

    ②集中访问控制模块

    集中访问控制模块可进一步细分为请求认证子模块和连接中继子模块。请求认证子模块主要负责和认证与访问控制系统通过一种可信的安全机制交换各种身份鉴别信息，识别出合法的用户，并根据用户预先被赋予的权限决定后续的连接形式。连接中继子模块的主要功能是为用户建立起一条最终的无中继的连接通道，并在需要的情况下向内部服务器传送鉴别过的用户身份信息，以完成相关服务协议中所需的鉴别流程。

    ③临时访问端口表

    为了区分数据包的服务对象和防止攻击者对内部主机发起的连接进行非授权的利用，网关把内部主机使用的临时端口、协议类型和内部主机地址登记在临时端口使用表中。由于网关不知道内部主机可能要使用的临时端口，故临时端口使用表是由网关根据接收的数据包动态生成的。对于入向的数据包，防火墙只让那些访问控制表许可的或者临时端口使用表登记的数据包通过。

    ④认证与访问控制系统

    认证与访问控制系统包括用户鉴别模块和访问控制模块，实现用户的身份鉴别和安全策略的控制。其中用户鉴别模块采用一次性口令（One-Time Password）认证技术中Challenge/Response机制实现远程和当地用户的身份鉴别，保护合法用户的有效访问和限制非法用户的访问。它采用Telnet和WEB两种实现方式，满足不同系统环境下用户的应用需求。访问控制模块是基于自主型访问控制策略（DAC），采用ACL的方式，按照用户（组）、地址（组）、服务类型、服务时间等访问控制因素决定对用户是否授权访问。

    ⑤网络安全监控系统

    监控与入侵检测系统作为系统端的监控进程，负责接受进入系统的所有信息，并对信息包进行分析和归类，对可能出现的入侵及时发出报警信息；同时如发现有合法用户的非法访问和非法用户的访问，监控系统将及时断开访问连接，并进行追踪检查。

    ⑥基于WEB的防火墙管理系统

    管理系统主要负责网络地址转换模块、集中访问控制模块、认证与访问控制系统、监控系统等模块的系统配置和监控。它采用基于WEB的管理模式，由于管理系统所涉及到的信息大部分是关于用户帐号等敏感数据信息，故应充分保证信息的安全性，我们采用JAVA APPLET技术代替CGI技术，在信息传递过程中采用加密等安全技术保证用户信息的安全性。

    结尾：尽管NAT技术可以给我们带来各种好处，例如无需为网络重分IP地址、减少ISP帐号花费以及提供更完善的负载平衡功能等，NAT技术对一些管理和安全机制的潜在威胁仍在，看你如何正确应用好网络地址转换NAT技术.