关于浅谈网络安全论文有哪些
以下是我为大家带来的网络安全相关的论文三篇,希望大家满意。欢迎阅读!!!
浅谈网络安全论文一:
一、网络安全概述
网络安全是指网络上的信息和资源不被非授权用户使用。网络安全设计内容众多,如合理的安全策略和安全机制。网络安全技术包括访问控制和口令、加密、数字签名、包过滤以及防火墙。网络安全,特别是信息安全,强调的是网络中信息或数据的完整性、可用性及保密性。完整性是指保护信息不被非授权用户修改或破坏。可用性是指避免拒绝授权访问或拒绝服务。保密性是指保护信息不被泄漏给非授权用户。
网络安全产品有以下特点:一是网络安全来源于安全策略与技术的多样化;二是网络的安全机制与技术要不断地变化;三是建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
二、网络安全存在的威胁因素
目前网络存在的威胁主要有以下方面:
第一,非授权访问,即没有预先经过同意,就使用网络或计算机资源。
第二,信息遗漏或丢失,即敏感数据在有意或无意中被泄漏出去或丢失。
第三,破坏数据完整性,即以非法方式窃得对数据得使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者得响应;恶意添加,修改数据,以干扰用户得正常使用。
三、网络安全技术
(一)防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。根据防火墙所采用的技术不同,我们可以将它分为3种基本类型:包过滤型、网络地址转换-NAT、代理型。
1、包过滤型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有 经验 的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2、网络地址转化-NAT。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3、代理型。代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
(二)加密技术
与防火墙配合使用的还有数据加密技术。目前各国除了从法律上、管理上加强数据的安全保护之外,从技术上分别在软件和硬件两方面采取 措施 推动数据加密技术和物理防范技术不断发展。按作用不同,数据加密技术分为数据传输、数据存储、数据完整性的鉴别和密钥管理技术4种。数据传输加密技术是对传输中的数据流加密,常用的 方法 有线路加密和端一端加密两种;数据存储加密技术目的是防止存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、格限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。数据完整性鉴别技术目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对本验证对象输入的特征值是否符合预先设定的参数。实现对数据的安全保护。密钥管理技术是为了数据使用的方便,往往是保密和窃密的主要对象。密钥的媒体有磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节的保密措施。
(三)PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
1、认证机构。CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明-证书,任何相信该CA的人,按照第3方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。
2、注册机构。RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
3、策略管理。在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA和RA的系统实现中。同时,这些策略应该符合密码学和 系统安全 的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4、密钥备份和恢复。为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
5、证书管理与撤消系统。证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
(四)网络防病毒技术
在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术。
预防病毒技术,即通过自身的常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控和读写控制。
检测病毒技术,即通过对计算机病毒的特征进行判断的技术,如自身校验、关键字、文件长度的变化等。
消毒技术,即通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文的软件。
网络反病毒技术的具体实现方法包括对网路服务器中的文件进行频繁的扫描和监测;在工作站上用防毒芯片和对网络目录及文件设置访问权限等。
四、安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。对我国而言,网络安全的发展趋势将是逐步具备自主研制网络设备的能力,自发研制关键芯片,采用自己的 操作系统 和数据库,以及使用国产的网管软件。我国计算机安全的关键在于要有自主的知识产权和关键技术,从根本上摆脱对国外技术的依赖。
网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
浅谈网络安全论文二:
网络做为一个传播信息的媒介,是为人们提供方便,快捷的共享资源而设立的,由于要使人们轻松的使用网络,它的复杂程度,不能太高,所以在网络上对安全的考虑就不能太多,因此网络自产生以来黑客等许多问题一直存在得不到有效解决。网络之所以容易被入侵,是由于网络自身的性质所决定的,而如果不重视网络的安全性,轻者个人的信息泄露,电脑使用不便,重者会给公司或个人造成很大的损失。非法侵入,造成保密资料泄露,财务报表,各种资料被任意地修改,使所在单位和公司蒙受重大的损失。黑客恶意攻击,使网络瘫痪,数据失效,使整个网络处于停顿,所造成的损失比侵入帐户的损失还大。所以作为网络使用者有必要了解一下网络入侵者的攻击手段以保护自己电脑的安全。
网络入侵者的攻击手段可大致分为以下几种:
(1)社会攻击。这是最简单,最阴险,也是最让人容易忽视的方法,入侵者在用户无意识的情况下将密码窃得,以正当身份进入网络系统。
(2)拒绝服务。目的是阻止你的用户使用系统,而为侵入提供机会。
(3)物理攻击。使用各种手段进入系统的物理接口或修改你的机器网络。
(4)强制攻击。入侵者,对口令一次次的精测重测试。
(5)预测攻击。根据所掌握的系统和用户的资料辅助进行攻击。
(6)利用操作系统和软件瑕疵进行攻击。
针对以上入侵者行为,电脑软件的开发者们采取了一些解决方法,如:
(1)帐户管理和登陆:根据用户的不同情况,将相同的帐户分成同组,按最小权限原则,确定组的权限,而不用单个帐户进行管理。使用配置文件脚本文件等,设置用户的工作环境。根据用户的工作环境,尽量将用户固定在固定的位置上进行登录,并用 其它 的硬件设置进行验证机器。防止非法用户从其他地方入侵,并可设置登录脚本对用户身份进行多重验证,确定登录次数。对传输的信息进行加密,防止帐户被截获,破译。
(2)存取控制:确保唯有正确的用户才能存取特定的数据,其他人虽然是合法用户但由于权限限制不能存取。将共享资源和敏感资源放在不同的服务器上,之间用防火墙分开,并施以不同的权限,让不同的用户访问不同的资源。
(3)连接完善:维护用户的正确连接,防止不正确的用户连接,通过电缆和所有有关的硬件安全保密事况。使用登录日志,对登录的情况进行记录以使查询,检查非法入侵者,对入侵者情况进行 总结 通报。
(4)备份和恢复:定期对资源进行普通,副本,差异,增量等备份,防止数据意外丢失。
当然,以上方法是为广大的电脑用户共同设置的,并不能完全将入侵者挡在门外。对于每一个使用电脑的普通个体来说应该大体了解自己电脑上的这些功能,使用这些功能来保护自己的电脑。比如当我们登陆网站使用邮箱、下载资料、QQ视频聊天时,必须要输入自己的账号和密码,为防止被盗,我们不要怕麻烦养成定期更改的习惯,尽量不使用自己的名字或生日、多使用些特殊词,最好随机产生(电脑会显示安全性强度帮助你比较)。对于不同的网站,要使用不同口令,以防止被黑客破译。只要涉及输入账户和密码,尽量在单位和家里上网不要去网吧;浏览正规网站,不要轻易安装和运行从那些不知名的网站(特别是不可靠的FTP站点)下载的软件和来历不明的软件。有些程序可能是木马程序,如果你一旦安装了这些程序,它们就会在你不知情的情况下更改你的系统或者连接到远程的服务器。这样,黑客就可以很容易进入你的电脑。不要轻易打开电子邮件中的附件,更不要轻易打开你不熟悉不认识的陌生人发来的邮件,要时刻保持警惕性,不要轻易相信熟人发来的E-mail就一定没有黑客程序,不要在网络上随意公布或者留下您的电子邮件地址,去转信站申请一个转信信箱,因为只有它是不怕炸的,对于邮件附件要先用防病毒软件和专业清除木马的工具进行扫描后方可使用。在使用聊天软件的时候,最好设置为隐藏用户,以免别有用心者使用一些专用软件查看到你的IP地址,尽量不和陌生人交谈。使用移动硬盘,U盘等经常备份防止数据丢失;买正版杀毒软件,定期电脑杀毒等。很多常用的程序和操作系统的内核都会发现漏洞,某些漏洞会让入侵者很容易进入到你的系统,这些漏洞会以很快的速度在黑客中传开。因此,用户一定要小心防范。软件的开发商会把补丁公布,以便用户补救这些漏洞。总之,注意 电脑安全 就是保护我们自己。
浅谈网络安全论文三:
如今社会效率极高之重要原因是使用了计算机网络,而享受高效率的同时也越发对网络存在着依赖性。这也就使得我们对网络安全性的要求越来越高。
国际标准化组织将“计算机网络安全”定义为:为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件数据不因偶然和人为恶意等原因而遭到破环、更改和泄漏。也就是所谓的物理安全和逻辑安全。如果计算机在网络中不能正常运作,很可能是出现了安全漏洞。鉴于出现漏洞原因的不同,下面就做以简单讨论。
笼统来讲,计算机安全隐患分为人为和非人为两大类。例如操作系统自身具有的安全隐患即属于非人为因素。虽然非人为因素的安全隐患我们避免不了,可人为因素有时候可能会给我们带来更大的威胁。“黑客”就是阐述由于人为因素造成网络安全问题的最典型的名词。
下面就几种常见的网络安全问题及应对策略和相关技术做以简单讨论:
(一)网络安全问题方面
网络环境中,由于网络系统的快速度、大规模以及用户群体的集中活跃和网络系统本身在稳定性和可扩展性方面的局限性等原因都可能激起安全问题的爆发。同时还会遇到因为通讯协议而产生的安全问题。目前,局域网中最常用的通信协议主要是TCP/IP协议。
1、TCP/IP协议的安全问题
在广泛采用TCP/IP协议的网络环境中异种网络之间的相互通信造就了其开放性。这也意味着TCP/IP协议本身存在着安全风险。由于TCP作为大量重要应用程序的传输层协议,因此它的安全性问题会给网络带来严重的后果。
2、路由器等网络设备的安全问题
网络内外部之间的通信必须依赖路由器这个关键设备,因为所有的网络攻击也都经过此设备。有时攻击是利用路由器本身的设计缺陷进行的,而有时就通过对路由器设置的篡改直接展开了。
3、网络结构的安全问题
一般用户在进行网络通信时采用的是网间网技术支持,而属于不同网络之间的主机进行通信时都有网络风暴的问题,相互传送的数据都会经过多台机器的重重转发。在这种“开放性”的环境中,“黑客”可对通信网络中任意节点进行侦测,截取相应未加密的数据包。例如常见的有对网络电子邮件的破解等。
(二)网络安全应对策略问题
1、建立入网访问模块和网络的权限控制模块,为网络提供第一层访问控制并针对网络非法操作提出安全保护措施。
2、实行档案信息加密制度并建立网络智能型日志系统,做好数据的__,使日志系统具备综合性数据记录功能和自动份类检索能力。
3、建立备份和恢复机制,避免因一些硬件设备的损坏或操作系统出现异常等原因而引起麻烦或损失。
4、建立网络安全管理制度,加强网络的安全管理,指定有关 规章制度 。
5、对网络进行分段并划分VLAN,使非法用户和敏感的网络资源相互隔离,并克服以太网广播问题。
(三)网络安全相关技术
网络安全技术是一个十分复杂的系统工程。网络安全的保障来源于安全策略和技术的多样化及其快速的更新。从技术上来说,网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件无法确保信息网络的安全性。目前成熟的网络安全技术主要有:防火墙技术、防病毒技术、数据加密技术等。
1、防火墙技术
所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。它是内部网路与外部网络之间的第一道安全屏障。在选择防火墙时,虽然无法考量其设计的合理性,但我们可以选择一个通过多加权威认证机构测试的产品来保证其安全性。目前的防火墙产品有包过滤路由器、应用层网关(代理服务器)、屏蔽主机防火墙等。最常用的要数代理服务器了。
2、防病毒技术
目前数据安全的头号大敌就是计算机病毒。它具有传播性、隐蔽性、破坏性和潜伏性等共性。我们常用的杀毒软件有驱逐舰网络版杀毒软件、趋势网络版杀毒软件、卡巴斯基网络版杀毒软件等。网络防病毒软件主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源感染,网络防病毒软件会立刻检测到并加以删除。
3、访问控制和数据加密技术
访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等。
数据加密:加密是保护数据安全的重要手段。加密技术可分为对称密钥密码体制和非对称密钥密码体制。非对称密钥密码技术的应用比较广泛,可以进行数据加密、身份鉴别、访问控制、数字签名、数据完整性验证、版权保护等。
除此之外,我们也要自我建立网上行为管理系统,控制P2P,BT等下载,防范恶意代码,间谍软件;控制管理及时通讯工具的使用及其附件管理;防范网站或品牌被钓鱼或恶意代码攻击并发出警告;提供网页服务器的安全漏洞和风险分析,提供数据库及时的更新等。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施。所以计算机网络安全不是仅有很好的网络安全设计方案就能解决一切问题,还必须由很好的网络安全的组织机构和管理制度来保证。我们只有依靠杀毒软件、防火墙和漏洞检测等设备保护的同时注重树立人的安全意识,并在安全管理人员的帮助下才能真正享受到网络带来的便利。
一、概述
1 什么是NAT
在传统的标准的TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发,路由器并不会对转发的数据包进行修改,更为确切的说,除了将源MAC地址换成自己的MAC地址以外,路由器不会对转发的数据包做任何修改。NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的ip地址、源端口、目的端口进行改写的操作。
2 为什么要进行NAT
我们来看看再什么情况下我们需要做NAT。
假设有一家ISP提供园区Internet接入服务,为了方便管理,该ISP分配给园区用户的IP地址都是伪IP,但是部分用户要求建立自己的WWW服务器对外发布信息,这时候我们就可以通过NAT来提供这种服务了。我们可以在防火墙的外部网卡上绑定多个合法IP地址,然后通过NAT技术使发给其中某一个IP地址的包转发至内部某一用户的WWW服务器上,然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。
再比如使用拨号上网的网吧,因为只有一个合法的IP地址,必须采用某种手段让其他机器也可以上网,通常是采用代理服务器的方式,但是代理服务器,尤其是应用层代理服务器,只能支持有限的协议,如果过了一段时间后又有新的服务出来,则只能等待代理服务器支持该新应用的升级版本。如果采用NAT来解决这个问题,
因为是在应用层以下进行处理,NAT不但可以获得很高的访问速度,而且可以无缝的支持任何新的服务或应用。
还有一个方面的应用就是重定向,也就是当接收到一个包后,不是转发这个包,而是将其重定向到系统上的某一个应用程序。最常见的应用就是和squid配合使用成为透明代理,在对http流量进行缓存的同时,可以提供对Internet的无缝访问。
3 NAT的类型
在linux24的NAT-HOWTO中,作者从原理的角度将NAT分成了两种类型,即源NAT(SNAT)和目的NAT(DNAT),顾名思义,所谓SNAT就是改变转发数据包的源地址,所谓DNAT就是改变转发数据包的目的地址。
二、原理
在“用iptales实现包过虑型防火墙”一文中我们说过,netfilter是Linux 核心中一个通用架构,它提供了一系列的"表"(tables),每个表由若干"链"(chains)组成,而每条链中可以有一条或数条规则(rule)组成。并且系统缺省的表是"filter"。但是在使用NAT的时候,我们所使用的表不再是"filter",而是"nat"表,所以我们必须使用"-t nat"选项来显式地指明这一点。因为系统缺省的表是"filter",所以在使用filter功能时,我们没有必要显式的指明"-t filter"。
同filter表一样,nat表也有三条缺省的"链"(chains),这三条链也是规则的容器,它们分别是:
PREROUTING:可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT;
POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则。
OUTPUT:定义对本地产生的数据包的目的NAT规则。
三、操作语法
如前所述,在使用iptables的NAT功能时,我们必须在每一条规则中使用"-t nat"显示的指明使用nat表。然后使用以下的选项:
1 对规则的操作
加入(append) 一个新规则到一个链 (-A)的最后。
在链内某个位置插入(insert) 一个新规则(-I),通常是插在最前面。
在链内某个位置替换(replace) 一条规则 (-R)。
在链内某个位置删除(delete) 一条规则 (-D)。
删除(delete) 链内第一条规则 (-D)。
2 指定源地址和目的地址
通过--source/--src/-s来指定源地址(这里的/表示或者的意思,下同),通过--destination/--dst/-s来指定目的地址。可以使用以下四中方法来指定ip地址:
a 使用完整的域名,如“wwwlinuxaidcomcn”;
b 使用ip地址,如“19216811”;
c 用xxxx/xxxx指定一个网络地址,如“19216810/2552552550”;
d 用xxxx/x指定一个网络地址,如“19216810/24”这里的24表明了子网掩码的有效位数,这是 UNIX环境中通常使用的表示方法。
缺省的子网掩码数是32,也就是说指定19216811等效于19216811/32。
3 指定网络接口
可以使用--in-interface/-i或--out-interface/-o来指定网络接口。从NAT的原理可以看出,对于PREROUTING链,我们只能用-i指定进来的网络接口;而对于POSTROUTING和OUTPUT我们只能用-o指定出去的网络接口。
4 指定协议及端口
可以通过--protocol/-p选项来指定协议,如果是udp和tcp协议,还可--source-port/--sport和 --destination-port/--dport来指明端口。
四、准备工作
1 编译内核,编译时选中以下选项,具体可参看“用iptales实现包过虑型防火墙”一文:
Full NAT
MASQUERADE target support
REDIRECT target support
2 要使用NAT表时,必须首先载入相关模块:
modprobe ip_tables
modprobe ip_nat_ftp
iptable_nat 模块会在运行时自动载入。
五、使用实例
1 源NAT(SNAT)
比如,更改所有来自19216810/24的数据包的源ip地址为1234:
iptables -t nat -A POSTROUTING -s 19216810/24 -o eth0 -j SNAT --to 1234
这里需要注意的是,系统在路由及过虑等处理直到数据包要被送出时才进行SNAT。
有一种SNAT的特殊情况是ip欺骗,也就是所谓的Masquerading,通常建议在使用拨号上网的时候使用,或者说在合法ip地址不固定的情况下使用。比如
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
可以看出,这时候我们没有必要显式的指定源ip地址等信息。
2 目的SNAT(DNAT)
比如,更改所有来自19216810/24的数据包的目的ip地址为1234:
iptables -t nat -A PREROUTING -s 19216810/24 -i eth1 -j DNAT --to 1234
这里需要注意的是,系统是先进行DNAT,然后才进行路由及过虑等操作。
有一种DNAT的特殊情况是重定向,也就是所谓的Redirection,这时候就相当于将符合条件的数据包的目的ip地址改为数据包进入系统时的网络接口的ip地址。通常是在与squid配置形成透明代理时使用,假设squid的监听端口是3128,我 们可以通过以下语句来将来自19216810/24,目的端口为80的数据包重定向到squid监听
端口:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 19216810/24 --dport 80
-j REDIRECT --to-port 3128
六、综合例子
1 使用拨号带动局域网上网
小型企业、网吧等多使用拨号网络上网,通常可能使用代理,但是考虑到成本、对协议的支持等因素,建议使用ip欺骗方式带动区域网上网。
成功升级内核后安装iptables,然后执行以下脚本:
#载入相关模块
modprobe ip_tables
modprobe ip_nat_ftp
#进行ip伪装
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
2 ip映射
假设有一家ISP提供园区Internet接入服务,为了方便管理,该ISP分配给园区用户的IP地址都是伪IP,但是部分用户要求建立自己的WWW服务器对外发布信息。我们可以再防火墙的外部网卡上绑定多个合法IP地址,然后通过ip映射使发给其中某一 个IP地址的包转发至内部某一用户的WWW服务器上,然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。
我们假设以下情景:
该ISP分配给A单位www服务器的ip为:
伪ip:1921681100
真实ip:202110123100
该ISP分配给B单位www服务器的ip为:
伪ip:1921681200
真实ip:202110123200
linux防火墙的ip地址分别为:
内网接口eth1:19216811
外网接口eth0:2021101231
然后我们将分配给A、B单位的真实ip绑定到防火墙的外网接口,以root权限执行以下命令:
ifconfig eth0 add 202110123100 netmask 2552552550
ifconfig eth0 add 202110123200 netmask 2552552550
成功升级内核后安装iptables,然后执行以下脚本:
#载入相关模块
modprobe ip_tables
modprobe ip_nat_ftp
首先,对防火墙接收到的目的ip为202110123100和202110123200的所有数据包进行目的NAT(DNAT):
iptables -A PREROUTING -i eth0 -d 202110123100 -j DNAT --to 1921681100
iptables -A PREROUTING -i eth0 -d 202110123200 -j DNAT --to 1921681200
其次,对防火墙接收到的源ip地址为1921681100和1921681200的数据包进行源NAT(SNAT):
iptables -A POSTROUTING -o eth0 -s 1921681100 -j SNAT --to 202110123100
iptables -A POSTROUTING -o eth0 -s 1921681200 -j SNAT --to 202110123200
这样,所有目的ip为202110123100和202110123200的数据包都将分别被转发给1921681100和1921681200;而所有来自1921681100和1921681200的数据包都将分 别被伪装成由202110123100和202110123200,从而也就实现了ip映射。
转载
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。如图
简单的说,NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将内部地址替换成公用地址,从而在外部公网(internet)上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法,您可以只申请一个合法IP地址,就把整个局域网中的计算机接入Internet中。这时,NAT屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的,而内部网计算机用户通常不会意识到NAT的存在。如图2所示。这里提到的内部地址,是指在内部网络中分配给节点的私有IP地址,这个地址只能在内部网络中使用,不能被路由(一种网络技术,可以实现不同路径转发)。虽然内部地址可以随机挑选,但是通常使用的是下面的地址:10000~10255255255,1721600~17216255255,19216800~192168255255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址,是指合法的IP地址,它是由NIC(网络信息中心)或者ISP(网络服务提供商)分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻址的地址。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能,网络管理员只需在路由器的IOS中设置NAT功能,就可以实现对内部网络的屏蔽。再比如防火墙将WEB Server的内部地址19216811映射为外部地址202962311,外部访问202962311地址实际上就是访问访问19216811。另外资金有限的小型企业来说,现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。
NAT技术类型
NAT有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT(Port-Level NAT)。
其中静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,三种NAT方案各有利弊。
动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。
网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
在Internet中使用NAPT时,所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet。实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。这样,ISP甚至不需要支持NAPT,就可以做到多个内部IP地址共用一个外部IP地址上Internet,虽然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用NAPT还是很值得的。
在IP地址规划时,我们已经知道IP地址包括公网和专用(私有)两种类型,公网IP地址又称为可全局路由的IP地址,是在Internet中使用的IP地址,目前对企业来说主要是ISP提供的一个或几个C类地址;而专用(私有)IP地址则包括A、B和C类三种,另外就是Microsoft Windows的APIPA预留的(16925400 -- 169254255255)网段地址;下面就和大家谈谈这些IP地址的在企业局域网的分配方式。
一、可全局路由(公网)的IP地址的分配方式
毫无疑问,Internet网络中的每一台计算机都需要一个IP地址,然而,在目前IP地址资源非常紧缺的情况下,想从Internet接入商那里获取足够的IP地址简直是不可能的。假如每个企业用户只能获得1-10个公网IP地址,即使是拥有几百台计算机的局域网,因此应该考虑如何合理利用有限的IP地址了。
1、静态分配IP地址
也就是给每台计算机分配一个固定的公网IP地址。如果网络中每台计算机都采用静态的分配方案,那么很可能是IP地址不够用。所以一般只在下面两种情况下才采用这种方案:
IP地址数量大于网络中的计算机数量。
网络中存在特殊的计算机,如作为路由器的计算机、服务器等等。
2、动态分配IP地址
如果网络中有很多台计算机,且又不是所有的计算机都同时使用,那么不妨采用动态分配IP地址的方式。
什么是动态分配IP地址呢?打个比方说,公司一共有10台计算机,而须要使用计算机的却有15个人,显然每人一台计算机是不可能的。那么我们就考虑,如果他们不在同一时间使用,可不可以采取这种策略:把所有的计算机集中起来管理,等到有人提出使用请求的时候,分配其中的任意一台计算机给他,而他用完之后就把使用权收回,这样既可以保证所有的人都有机会使用计算机,又不会造成计算机的“浪费”。
IP地址的动态分配原理和上面所举的例子一样,只要同时打开的计算机数量少于或等于可供分配的IP地址,那么,每台计算机就会自动获取一个IP地址,并实现与Internet的连接。当然,如果打开的计算机数量太多,那么,后面的计算机就无法获得IP地址。但是动态分配IP地址也不是随时适用的,当网络内的计算机的数量达到上百台之多时,几个动态IP地址显然不够用,那怎么办呢?这就要采用下面的方法来解决。
3、采用NAT(Network Address Translation,网络地址转换)方式
既然不接入Internet的网络可以任意使用专用IP地址,那么能不能有这样一个方案,即在网络内部使用专用IP地址,连接到Internet的时候使用公网IP地址,同时在公网地址与私有地址之间有一个对应的转换关系呢正是基于这种想法,产生了NAT(网络地址转换)。
它可以将专用IP地址(如10xxx)转换为一个可全局路由的IPv4地址。也就是说,对于一个局域网而言,无论其中有多少台计算机,只需要有一个可全局路由的IP地址即可。这种方式既节约了IP地址,又能同时满足多个用户的上网需求,它就是组网的首选了。
NAT有3种类型,即静态NAT(Static NAT)、NAT池(pooled NAT)和端口NAT(PAT)。 如下图1、图2和图3所示。其中,静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
图1
而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络中。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
图2
图3
根据不同的需要,各种NAT方案都会有利有弊。下面以使用NAT池为例来做进一步说明。
使用NAT池,可以从未注册的地址空间中提供被外部访问的服务,也可以从内部网络访问外部网络,而不需要重新配置内部网络中的每台机器的IP地址。
采用NAT池意味着可以在内部网中定义很多的内部用户,通过动态分配的办法,共享很少的几个外部IP地址。而静态NAT则只能形成一一对应的固定映射方式。应引起注意的是,NAT池中动态分配的外部IP地址全部被占用后,后续的NAT的IP地址转换申请将会失败。但是,目前许多带有NAT功能的路由器有超时配置功能,可以根据连接的时间来进行调配以缓解IP地址缺少所造成的问题。
除了路由器、ADSL或电缆调制解调器网关等硬件设备外,Windows XP/2000/Me/98系统中的“Internet连接共享”也可以实现NAT,还能广泛地适用于各种类型的Internet接入方式。
4、代理服务器分配
NAT地址转换方式虽然好,但也有其自身的缺陷。简单地说,就是只能简单地进行IP地址转换,而无法实现文件缓存,从而降低了Internet访问流量,无法实现快速的Internet访问。
代理服务器与NAT的工作原理不太一样,它并不只是简单地做地址转换,而是代理网络内的计算机访问Internet,并把访问的结果返回给当初提出该请求的用户,同时,把访问的结果保存在缓存中。当网络用户发出下一Internet请求时,服务器将首先检查缓存中是否保存有该页面的内容,如果有,立即从缓存中调出并返还给请求者;如果没有,则向Internet发送请求,并再次将访问结果保存起来,以备其他用户访问之需。
除此之外,代理服务器还具有部分网络防火墙的功能:可以对外隐藏网络内的计算机,提高网络安全性;可以限制某些计算机对Internet的访问;在带宽较窄的情况下限制Internet流量;可以禁止对某些网站的访问等。
如此看来,代理服务器要比单纯的NAT更适合大中型网络的Internet共享接入。不过,采用代理服务器的缺点也是有的,那就是还需要额外添置一台服务器,另外,代理服务器的设置也比较复杂。但考虑到单位内部的具体应用情况,使用代理服务器是最恰当不过的了。
二、专用(私有)IP地址的分配方式
可全局路由的IP地址的分配方案算是确定了,它既解决了IP地址不足的问题,同时又提升了Internet访问速度。接下来,就应该着手处理专用IP地址的分配了。
首先,要考虑选用哪一段专用IP地址。小型企业可以选择“19216800”地址段,大中型企业则可以选择“1721600”或”10000”地址段。
如果我们根据网络中计算机的数量来决定需采用的IP地址,这个方案肯定是行不通的。因为这样做会受到将来网络状况变化的限制,假如不久后企业决定又要购进一批计算机,整个网络就可能因为选取的IP地址不合适而导致重新设计。
其实网络的划分并不是很复杂,只要考虑到在可预见的将来的网络情况就可以了,同时要注重它的通用性及其稳定性。
其次,就是IP地址的分配方式了。假如企业的服务器操作系统采用的是Windows NT/2000/2003 Server系统, 客户器采用Windows 98/me/2000/XP系统;Windows为TCP/IP客户端提供了3种配置IP地址的方法,用于满足Windows用户对网络的不同需求。具体采用哪种IP地址分配方式,可由网络管理员根据网络规模和网络应用等具体情况而定。
1、手工分配
手工设置IP地址也是经常使用的一种分配方式。在以手工方式进行设置时,需要为网络中的每一台计算机分别设置4项IP地址信息(IP地址、子网掩码、默认网关和DNS服务器地址)。所以,在通常情况下,被用于设置网络服务器、计算机数量较少的小型网络(比如几台到十几台的小型网络),或者用于分配数量较少公用IP地址。
手工设置的IP地址为静态IP地址,在没有重新配置之前,计算机将一直拥有该IP地址。因此,既可以据此访问网络内的某台计算机,也可以据此判断计算机是否已经开机并接入网络。不过,默认网关和DNS地址必须是计算机所在的网段中的IP地址,而不能填写其他网段中的IP地址。
在Windows 98/me/2000/XP系统下,手工设置一台计算机的IP地址。具体的配置方法如下,在完成网卡驱动程序的安装之后,重新启动计算机进入系统,用鼠标右键单击桌面上的“网上邻居”图标,选择属性,这时可以发现在其中已经自动安装好了TCP/IP协议,选择并单击它下面的“属性”按钮,这时会弹出TCP/IP属性的对话框,在“IP地址”选项卡里,把“自动获取IP地址”改为“指定IP地址”,这时原本灰色的不能填写的IP地址和子网掩码就可以由自己来指定了。
2、DHCP分配
为了使TCP/IP协议更加易于管理,微软和几家厂商共同建立了一个Internet标准----动态主机配置协议(Dynamic Host configuration Protocol,DHCP),由它提供自动的TCP/IP配置。DHCP服务器为其客户端提供IP地址、子网掩码和默认网关地址等各种配置。
网络中的计算机可以通过DHCP服务器自动获取IP地址信息。DHCP服务器维护着一个容纳有许多IP地址的地址池,并根据计算机的请求而出租。DHCP是Windows默认采用的地址分配方式。
默认情况下,Windows 98/me/2000/XP系统都使用DHCP来进行IP地址的分配,所以,如果仍然选择DHCP来分配和管理IP地址,网管工作将会减轻很多,而且可以很方便地配置客户机。我们所要做的就是维护好一台DHCP服务器即可。
3、自动专用IP寻址
自动专用IP寻址(APIPA,Automatic Private IP Addressing)可以为没有DHCP服务器的单网段网络提供自动配置TCP/IP协议的功能。默认情况下,运行Windows 98/Me/2000/XP的计算机首先尝试与网络中的DHCP服务器进行联系,以便从DHCP服务器上获得自己的IP地址等信息,并对TCP/IP协议进行配置。如果无法建立与DHCP服务器的连接,则计算机改为使用APIPA自动寻址方式,并自动配置TCP/IP协议。
使用APIPA时,Windows将在16925401--169254255254的范围内自动获得一个IP地址,子网掩码为25525500,并以此配置建立网络连接,直到找到DHCP服务器为止。
因为APIPA范围内指定的IP地址是由网络编号机构(IANA)所保留的,这个范围内的任何IP地址都不用于Internet。因此,APIPA仅用于不连接到Internet的单网段的网络,如小型公司、家庭、办公室等。
值得注意的是,APIPA分配的IP地址只适用于一个子网的网络。如果网络需要与其他的私有网通讯,或者需接入Internet时,就不能使用APIPA这种分配方式了
0条评论