收藏
下载资源

【2017年整理】NAT和DMZ的介绍

上传人:爱****1 文档编号:990980 上传时间:2017-05-24 格式:DOCX 页数:12 大小:263.08KB
返回 下载 相关 举报
【2017年整理】NAT和DMZ的介绍_第1页
第1页 / 共12页
【2017年整理】NAT和DMZ的介绍_第2页
第2页 / 共12页
【2017年整理】NAT和DMZ的介绍_第3页
第3页 / 共12页
【2017年整理】NAT和DMZ的介绍_第4页
第4页 / 共12页
【2017年整理】NAT和DMZ的介绍_第5页
第5页 / 共12页
点击查看更多>>
资源描述

《【2017年整理】NAT和DMZ的介绍》由会员分享,可在线阅读,更多相关《【2017年整理】NAT和DMZ的介绍(12页珍藏版)》请在金锄头文库上搜索。

1、什么是 NATNAT网络地址转换,是通过将专用网络地址(如企业内部网 Intranet)转换为公用地址(如互联网 Internet) ,从而对外隐藏了内部管理的 IP 地址。这样,通过在内部使用非注册的 IP 地址,并将它们转换为一小部分外部注册的 IP 地址,从而减少了 IP 地址注册的费用以及节省了目前越来越缺乏的地址空间(即 IPV4) 。同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。 NAT 功能通常被集成到路由器、防火墙、单独的 NAT 设备中,当然,现在比较流行的操作系统或其他软件(主要是代理软件,如 WINROUTE),大多也有着 NAT 的功能。NAT 设备(

2、或软件)维护一个状态表,用来把内部网络的私有 IP 地址映射到外部网络的合法 IP地址上去。每个包在 NAT 设备(或软件)中都被翻译成正确的 IP 地址发往下一级。与普通路由器不同的是,NAT 设备实际上对包头进行修改,将内部网络的源地址变为 NAT 设备自己的外部网络地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。NAT 分为三种类型:静态 NAT(staticNAT)、NAT 池(pooledNAT)和端口 NAT(PAT)。其中静态 NAT 将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,而NAT 池则是在外部网络中定义了一系列的合法地址,采用动态分配

3、的方法映射到内部网络,端口 NAT 则是把内部地址映射到外部网络的一个 IP 地址的不同端口上。废话说了不少,让我们转入正题,看一下如何利用 NAT 保护内部网络。使用网络地址转换 NAT,使得外部网络对内部网络的不可视,从而降低了外部网络对内部网络攻击的风险性。在我们将内部网络的服务使用端口映射到 NAT 设备(或是软件)上时,NAT 设备看起来就像一样对外提供服务器一台服务器一样(如图一)。这样对于攻击者来讲,具有一定的难度,首先他要攻破 NAT 设备,再根据 NAT 设备连接到内部网络进行破坏。图一由图一我们可以看出,内部网络中的 A、B 和 C 提供相应的 MAIL、FTP 和 HTT

4、P 服务。我们利用 NAT 将所提供服务机器的对应的服务端口 25、110、20、21 和 80 映射到 NAT 服务器上(IP:88.88.88.88,域名: 上,其中端口及服务对应如下:SMTP25POP3110FTP20,21HTTP80说到 20,我来加一个小插曲。我们都知道 FTP 对应的端口应该是 21,为什么又冒出来一个 20 呢?其实,我们们进行 FTP 文件传输中,客户端首先连接到 FTP 服务器的 21 端口,进行用户的认证,认证成功后,当我们要传输文件时,服务器会开一个端口为 20 来进行传输数据文件,也就是说,端口 20 才是真正传输所用到的端口,端口 21 只用于 F

5、TP 的登陆认证。我们平常下载文件时,会遇到下载到 99%时,文件不完成,不能成功的下载。其实是因为文件下载完毕后,还要在 21 端口再行进行用户认证,而我们下载文件的时间如果过长,客户机与服务器的 21 端口的连接会被服务器认为是超时连接而中断掉,就是这个原因。解决方法就是设置 21 端口的响应时间。话题扯远了(别拿柿子、鸡蛋扔我啊),我们继续我们的 NAT 吧。由图一为例,当外部访问者访问 http:/ 时,NAT 会自动把请求提交到内部的192.168.0.102 的 80 端口上,反之也一样,我们所收到的信息也是内部的 192.168.0.102通过 NAT 来传输给外部访问者的。同样

6、 FTP 及 MAIL 的服务也是如此。其中的 NAT 既可以用操作系统和代理软件,又可以用路由器及 NAT 设备。下面我们用软件的方法来具体实现具体的 NAT 设置。使用 WINDOWS 2000 SERVER 进行 NAT 的设置WINDOWS 20000 SERVER FAMILY 强大的网络功能,说起来真是 VERY GOOD。她集成很多网络功能,比如说 DHCP、DNS、SNMP、路由,进行 NAT 的设置,我们只需要一个WINDOWS 2000 SERVER 就足够了,不必借助于其他的软件。说干就干,我们以中文版的 WINDOWS 2000 SERVER 为例,在 NAT 服务器上

7、加两块网卡,一块是与内部网络相连(如 IP:192.168.0.35),另一块则是与外部网络相连(如IP:88.88.88.88),在配置之前,要保证 NAT 服务器与内部私有网络及外部公用网络的数据传输没有故障。具体配置如下:打开“开始程序管理工具路由和远程访问”,出现一个对话框,左侧有一个“服务器状态”,一个“BDWSER(本地)”(不一定是 BDWSER,其实就应该是你的机器名),点“BDWSER(本地)”,然后点“操作配置并启用路由和远程访问”,会弹出一个的对话框,下一步,会出现如图二的对话框,选择“Internet 连接服务器”,下一步,图二如图三,选择“设置有网络地址转换(NAT)

8、路由协议的路由器”,下一步图三如图四,选择“使用选择的 Internet 连接本地连接 2”,这里要注意一点,“本地连接 2”即为服务器的外部连接,如本例中域名为 地址为 88.88.88.88;而“本地连接”而是服务器与内部网络的连接。然后“下一步完成”,此时“路由和远程访问”会自动启动,我们稍侯等待“路由和远程访问”的启动。图四通过以上的配置,我们就可以利用 NAT 将内部地址转发到外部地址,也就相当于本机(WINDOWS 2000 SERVER)可以通过 NAT 代理内部的机器共享上网了。如果 NAT 服务器使用了 DHCP,那么客户机只要自动获取 IP 即可;如果没有设置,客户机要指

9、定IP:192.168.0.*,子网掩码:255.255.255.0,网关:192.168.0.35,DNS:202.97.224.68(使用本地 ISP 提供 DNS 服务器地址即可)。接下来,我们应该来配置外部端口到内部端口的映射(如图一中的 88.88.88.88:80192.168.0.102:80),使得外部访问者访问 http:/ 相应的 HTTP 服务时,NAT 主机会将服务的请求自动转换到内部网络所提供相应服务的主机上,反之,内部主机服务的反馈信息经由 NAT 主机转换发送到外部访问者。在“路由和远程访问”对话框的左侧,打开“BDWSER(本地)IP 路由选择网络地址转换(NA

10、T)”,这时在“路由和远程访问”对话框的右侧窗口应该有二个接口,外部网络和内部网络(如图五)。图五在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。 在“特殊端口”选项卡上,在“协议”中,单击“TCP”或“UDP”(根据不同的服务选择不同的协议,如 HTTP 服务为 TCP,TFTP 服务为 UDP,但此例中并未涉及到 UDP 协议) ,然后单击“添加”。 在“传入端口”中,键入传入公用通信的端口号(如图六中的“传入端口 80) 。在“传出端口”中,键入专用网络资源的端口号(如图六中的“传出端口 80”) 。在“专用地址”中,键入专用网络资源的专用地址(如图六中的“专用地址 192.1

11、68.0.102”,即图一所示主机 C:192.168.0.102) 。单击“ 确定” ,添加完毕。同样,FTP 和 MAIL 的服务添加的端口为 20,21,25 和 110。图六以上的例子是仅使用单个公用 IP 进行 NAT 的转换,如果是使用多个公用 IP,那么我们在配置映射端口之前,要进行 NAT 地址池的设置。在详细信息窗格中,右键单击要配置的接口(即外部网络接口,本地连接 2) ,然后单击“属性”。在“地址池”选项卡上,单击“添加”,并执行下列操作之一:如果正在使用以 IP 地址和子网掩码表示的 IP 地址范围,则在“起始地址”中键入起始 IP 地址,然后在“掩码”中键入子网掩码。

12、 如果正在使用不能以 IP 地址和子网掩码表示的 IP 地址范围,在“起始地址”中键入起始 IP 地址,然后在“结束地址”中键入结束 IP 地址。在设置端口映射时(即特殊端口) ,请单击“在此地址池项上”,然后键入传入公用通信的公用 IP 地址,其他的设置与上述的设置方法相访。到了这里,我们的全部工作利用 NAT 主机代理内部网络共享 Interent 和内部网络到 NAT 主机的端口映射 就完成了。为了安全起见,我们最好在 NAT 主机的接入处加一个防火墙或设置 NAT 主机的 “IP 安全机制(IPSEC) ”和“TCP/IP 筛选” 。 “IP 安全机制”和“TCP/IP 筛选 ”的设置

13、就在外部网络的 TCP/IP 协议中的安全选项中,参考 WINDOWS 2000 的帮助文件进行设置就可以,我们在这里就不再赘述了。NAT 的小结当然,使用 NAT 进行端口映射,用 NAT 代理软件同样可以做到(比如说 WINROUTE),而且相应的设置比较简单,一般只要默认安装上后,在软件中进行简单设置就可以了。手都写累了,有机会我们以后再谈。利用 NAT 保护内部网络,特别是软件的 NAT,适用于小、中型的网络,而大型的网络一般要使用硬件(如路由),因为 NAT 服务也要消耗 NAT 服务器的资源的。在大型的网络中,使用路由来做 NAT,要做相应的安全设置,一般参考路由手册及 CISCO

14、 ISO 安全模型即可。NAT 的使用,使内部网络相应于外部网络不可见化,入侵者要先侵入 NAT 服务器(或NAT 设备),然后利用 NAT 做跳板,进一步侵入内部网络。这样,对于入侵者就有一定的难度,如果 NAT 服务器与内部服务器使用不同的操作系统,那么入侵者需要对这两个操作系统都要熟悉才可以做到的,这对于一般的入侵者来说,入侵行为无疑是提高了一个台阶。文章到此结束,本文的意图不仅仅只是一个步骤,而是希望大家以此为一个基点,利用现有的技术,组建出更安全的网络。由于写作上的失误及本人水平有限,本文难免会出现纰漏,希望大家指正。注意:本人已经在杂志上发表,所以请大家不要随意转载,只供参考。沧水

15、 mifor at 163 dot comDMZ 是 英 文 “demilitarized zone”的 缩 写 , 中 文 名 称 为 “隔 离 区 ”, 也 称 “非 军 事 化 区 ”。 它 是 为 了 解 决 安 装 防 火 墙 后 外 部 网 络 不 能 访 问 内 部 网 络 服 务 器 的 问 题 , 而 设 立 的 一 个非 安 全 系 统 与 安 全 系 统 之 间 的 缓 冲 区 , 这 个 缓 冲 区 位 于 企 业 内 部 网 络 和 外 部 网 络 之 间 的小 网 络 区 域 内 , 在 这 个 小 网 络 区 域 内 可 以 放 置 一 些 必 须 公 开 的 服

16、 务 器 设 施 , 如 企 业Web 服 务 器 、 FTP 服 务 器 和 论 坛 等 。 另 一 方 面 , 通 过 这 样 一 个 DMZ 区 域 , 更 加 有效 地 保 护 了 内 部 网 络 , 因 为 这 种 网 络 部 署 , 比 起 一 般 的 防 火 墙 方 案 , 对 攻 击 者 来 说 又 多了 一 道 关 卡 。网 络 设 备 开 发 商 , 利 用 这 一 技 术 , 开 发 出 了 相 应 的 防 火 墙 解 决 方 案 。 称 “非 军 事区 结 构 模 式 ”。 DMZ 通 常 是 一 个 过 滤 的 子 网 , DMZ 在 内 部 网 络 和 外 部 网 络 之 间 构 造 了一 个 安 全 地 带 。DMZ 防 火 墙 方 案 为 要 保 护 的 内 部 网 络 增 加 了 一 道 安 全 防 线 , 通 常 认 为 是 非

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号