商业源码 NAT功能的用途是什么?有没有实例举一下?
NAT------网络地址转换,是通过将专用的网络地址(企业内部网Intranet)转换为公用地址(如互联网Internet),从而对外隐藏了内部管理的IP地址。这样,通过在内部使用非注册的 IP 地址,并将它们转换为一小部分外部注册的 IP 地址,从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间(即IPV4)。同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
NAT功能通常被集成到路由器、防火墙、单独的NAT设备中,当然,现在比较流行的操作系统或其他软件(主要是代理软件,如WINROUTE),大多也有着NAT的功能。NAT设备(或软件)维护一个状态表,用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。每个包在NAT设备(或软件)中都被翻译成正确的IP地址发往下一级。与普通路由器不同的是,NAT设备实际上对包头进行修改,将内部网络的源地址变为NAT设备自己的外部网络地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。
NAT分为三种类型:表态NAT(staticNAT)、NAT池(pooledNAT)和商品NAT(PAT)。其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络,端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
/
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
说到20,我来加一个小插曲。我们都知道FTP对应的端口应该是21,为什么又冒出来一个20呢?其实,我们们进行FTP文件传输中,客户端首先连接到FTP服务器的21端口,进行用户的认证,认证成功后,当我们要传输文件时,服务器会开一个端口为20来进行传输数据文件,也就是说,端口20才是真正传输所用到的端口,端口21只用于FTP的登陆认证。我们平常下载文件时,会遇到下载到99%时,文件不完成,不能成功的下载。其实是因为文件下载完毕后,还要在21端口再行进行用户认证,而我们下载文件的时间如果过长,客户机与服务器的21端口的连接会被服务器认为是超时连接而中断掉,就是这个原因。解决方法就是设置21端口的响应时间。
/
利用WINDOWS 2000 Server 进行NAT设置
WINDOWS 20000 SERVER FAMILY强大的网络功能,说起来真是VERY GOOD。她集成很多网络功能,比如说DHCP、DNS、SNMP、路由……,进行NAT的设置,我们只需要一个WINDOWS 2000 SERVER就足够了,不必借助于其他的软件。
说干就干,我们以中文版的WINDOWS 2000 SERVER为例,在NAT服务器上加两块网卡,一块是与内部网络相连(如IP:192168035),另一块则是与外部网络相连(如IP:88888888),在配置之前,要保证NAT服务器与内部私有网络及外部公用网络的数据传输没有故障。具体配置如下:
打开“开始——>程序——>管理工具——>路由和远程访问”,出现一个对话框,左侧有一个“服务器状态”,一个“BDWSER(本地)”(不一定是BDWSER,其实就应该是你的机器名),点“BDWSER(本地)”,然后点“操作——>配置并启用路由和远程访问”,会弹出一个的对话框,下一步,会出现如图二的对话框,选择“Internet连接服务器”,下一步,
如图三,选择“设置有网络地址转换(NAT)路由协议的路由器”,下一步
如图四,选择“使用选择的Internet连接——>本地连接2”,这里要注意一点,“本地连接2”即为服务器的外部连接,如本例中域名为5imaxnet地址为88888888;而“本地连接”而是服务器与内部网络的连接。然后“下一步——>完成”,此时“路由和远程访问”会自动启动,我们稍侯等待“路由和远程访问”的启动。
通过以上的配置,我们就可以利用NAT将内部地址转发到外部地址,也就相当于本机(WINDOWS 2000 SERVER)可以通过NAT代理内部的机器共享上网了。如果NAT服务器使用了DHCP,那么客户机只要自动获取IP即可;如果没有设置,客户机要指定IP:1921680,子网掩码:2552552550,网关:192168035,DNS:2029722468(使用本地ISP提供DNS服务器地址即可)。接下来,我们应该来配置外部端口到内部端口的映射(如图一中的88888888:80——>1921680102:80),使得外部访问者访问http://www5imaxnet相应的HTTP服务时,NAT主机会将服务的请求自动转换到内部网络所提供相应服务的主机上,反之,内部主机服务的反馈信息经由NAT主机转换发送到外部访问者。
在“路由和远程访问”对话框的左侧,打开“BDWSER(本地)——>IP路由选择——>网络地址转换(NAT)”,这时在“路由和远程访问”对话框的右侧窗口应该有二个接口,外部网络和内部网络(如图五)。
在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。 在“特殊端口”选项卡上,在“协议”中,单击“TCP”或“UDP”(根据不同的服务选择不同的协议,如HTTP服务为TCP,TFTP服务为UDP,但此例中并未涉及到UDP协议),然后单击“添加”。 在“传入端口”中,键入传入公用通信的端口号(如图六中的“传入端口80)。在“传出端口”中,键入专用网络资源的端口号(如图六中的“传出端口80”)。在“专用地址”中,键入专用网络资源的专用地址(如图六中的“专用地址1921680102”,即图一所示主机C:1921680102)。单击“确定”,添加完毕。同样,FTP和MAIL的服务添加的端口为20,21,25和110。
以上的例子是仅使用单个公用IP进行NAT的转换,如果是使用多个公用IP,那么我们在配置映射端口之前,要进行NAT地址池的设置。在详细信息窗格中,右键单击要配置的接口(即外部网络接口,本地连接2),然后单击“属性”。在“地址池”选项卡上,单击“添加”,并执行下列操作之一:
如果正在使用以 IP 地址和子网掩码表示的 IP 地址范围,则在“起始地址”中键入起始 IP 地址,然后在“掩码”中键入子网掩码。
如果正在使用不能以 IP 地址和子网掩码表示的 IP 地址范围,在“起始地址”中键入起始 IP 地址,然后在“结束地址”中键入结束 IP 地址。
在设置端口映射时(即特殊端口),请单击“在此地址池项上”,然后键入传入公用通信的公用 IP 地址,其他的设置与上述的设置方法相访。
到了这里,我们的全部工作——利用NAT主机代理内部网络共享Interent和内部网络到NAT主机的端口映射——就完成了。为了安全起见,我们最好在NAT主机的接入处加一个防火墙或设置NAT主机的“IP安全机制(IPSEC)”和“TCP/IP筛选”。“IP安全机制”和“TCP/IP筛选”的设置就在外部网络的TCP/IP协议中的安全选项中,参考WINDOWS 2000的帮助文件进行设置就可以,我们在这里就不再赘述了。
NAT的小结
当然,使用NAT进行端口映射,用NAT代理软件同样可以做到(比如说WINROUTE),而且相应的设置比较简单,一般只要默认安装上后,在软件中进行简单设置就可以了。手都写累了,有机会我们以后再谈。
利用NAT保护内部网络,特别是软件的NAT,适用于小、中型的网络,而大型的网络一般要使用硬件(如路由),因为NAT服务也要消耗NAT服务器的资源的。在大型的网络中,使用路由来做NAT,要做相应的安全设置,一般参考路由手册及CISCO ISO安全模型即可。
NAT的使用,使内部网络相应于外部网络不可见化,入侵者要先侵入NAT服务器(或NAT设备),然后利用NAT做跳板,进一步侵入内部网络。这样,对于入侵者就有一定的难度,如果NAT服务器与内部服务器使用不同的操作系统,那么入侵者需要对这两个操作系统都要熟悉才可以做到的,这对于一般的入侵者来说,入侵行为无疑是提高了一个台阶。文章到此结束,本文的意图不仅仅只是一个步骤,而是希望大家以此为一个基点,利用现有的技术,组建出更安全的网络。
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
说到20,我来加一个小插曲。我们都知道FTP对应的端口应该是21,为什么又冒出来一个20呢?其实,我们们进行FTP文件传输中,客户端首先连接到FTP服务器的21端口,进行用户的认证,认证成功后,当我们要传输文件时,服务器会开一个端口为20来进行传输数据文件,也就是说,端口20才是真正传输所用到的端口,端口21只用于FTP的登陆认证。我们平常下载文件时,会遇到下载到99%时,文件不完成,不能成功的下载。其实是因为文件下载完毕后,还要在21端口再行进行用户认证,而我们下载文件的时间如果过长,客户机与服务器的21端口的连接会被服务器认为是超时连接而中断掉,就是这个原因。解决方法就是设置21端口的响应时间。
/
利用WINDOWS 2000 Server 进行NAT设置
WINDOWS 20000 SERVER FAMILY强大的网络功能,说起来真是VERY GOOD。她集成很多网络功能,比如说DHCP、DNS、SNMP、路由……,进行NAT的设置,我们只需要一个WINDOWS 2000 SERVER就足够了,不必借助于其他的软件。
说干就干,我们以中文版的WINDOWS 2000 SERVER为例,在NAT服务器上加两块网卡,一块是与内部网络相连(如IP:192168035),另一块则是与外部网络相连(如IP:88888888),在配置之前,要保证NAT服务器与内部私有网络及外部公用网络的数据传输没有故障。具体配置如下:
打开“开始——>程序——>管理工具——>路由和远程访问”,出现一个对话框,左侧有一个“服务器状态”,一个“BDWSER(本地)”(不一定是BDWSER,其实就应该是你的机器名),点“BDWSER(本地)”,然后点“操作——>配置并启用路由和远程访问”,会弹出一个的对话框,下一步,会出现如图二的对话框,选择“Internet连接服务器”,下一步,
如图三,选择“设置有网络地址转换(NAT)路由协议的路由器”,下一步
如图四,选择“使用选择的Internet连接——>本地连接2”,这里要注意一点,“本地连接2”即为服务器的外部连接,如本例中域名为5imaxnet地址为88888888;而“本地连接”而是服务器与内部网络的连接。然后“下一步——>完成”,此时“路由和远程访问”会自动启动,我们稍侯等待“路由和远程访问”的启动。
通过以上的配置,我们就可以利用NAT将内部地址转发到外部地址,也就相当于本机(WINDOWS 2000 SERVER)可以通过NAT代理内部的机器共享上网了。如果NAT服务器使用了DHCP,那么客户机只要自动获取IP即可;如果没有设置,客户机要指定IP:1921680,子网掩码:2552552550,网关:192168035,DNS:2029722468(使用本地ISP提供DNS服务器地址即可)。接下来,我们应该来配置外部端口到内部端口的映射(如图一中的88888888:80——>1921680102:80),使得外部访问者访问http://www5imaxnet相应的HTTP服务时,NAT主机会将服务的请求自动转换到内部网络所提供相应服务的主机上,反之,内部主机服务的反馈信息经由NAT主机转换发送到外部访问者。
在“路由和远程访问”对话框的左侧,打开“BDWSER(本地)——>IP路由选择——>网络地址转换(NAT)”,这时在“路由和远程访问”对话框的右侧窗口应该有二个接口,外部网络和内部网络(如图五)。
在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。 在“特殊端口”选项卡上,在“协议”中,单击“TCP”或“UDP”(根据不同的服务选择不同的协议,如HTTP服务为TCP,TFTP服务为UDP,但此例中并未涉及到UDP协议),然后单击“添加”。 在“传入端口”中,键入传入公用通信的端口号(如图六中的“传入端口80)。在“传出端口”中,键入专用网络资源的端口号(如图六中的“传出端口80”)。在“专用地址”中,键入专用网络资源的专用地址(如图六中的“专用地址1921680102”,即图一所示主机C:1921680102)。单击“确定”,添加完毕。同样,FTP和MAIL的服务添加的端口为20,21,25和110。
以上的例子是仅使用单个公用IP进行NAT的转换,如果是使用多个公用IP,那么我们在配置映射端口之前,要进行NAT地址池的设置。在详细信息窗格中,右键单击要配置的接口(即外部网络接口,本地连接2),然后单击“属性”。在“地址池”选项卡上,单击“添加”,并执行下列操作之一:
如果正在使用以 IP 地址和子网掩码表示的 IP 地址范围,则在“起始地址”中键入起始 IP 地址,然后在“掩码”中键入子网掩码。
如果正在使用不能以 IP 地址和子网掩码表示的 IP 地址范围,在“起始地址”中键入起始 IP 地址,然后在“结束地址”中键入结束 IP 地址。
在设置端口映射时(即特殊端口),请单击“在此地址池项上”,然后键入传入公用通信的公用 IP 地址,其他的设置与上述的设置方法相访。
到了这里,我们的全部工作——利用NAT主机代理内部网络共享Interent和内部网络到NAT主机的端口映射——就完成了。为了安全起见,我们最好在NAT主机的接入处加一个防火墙或设置NAT主机的“IP安全机制(IPSEC)”和“TCP/IP筛选”。“IP安全机制”和“TCP/IP筛选”的设置就在外部网络的TCP/IP协议中的安全选项中,参考WINDOWS 2000的帮助文件进行设置就可以,我们在这里就不再赘述了。
NAT的小结
当然,使用NAT进行端口映射,用NAT代理软件同样可以做到(比如说WINROUTE),而且相应的设置比较简单,一般只要默认安装上后,在软件中进行简单设置就可以了。手都写累了,有机会我们以后再谈。
利用NAT保护内部网络,特别是软件的NAT,适用于小、中型的网络,而大型的网络一般要使用硬件(如路由),因为NAT服务也要消耗NAT服务器的资源的。在大型的网络中,使用路由来做NAT,要做相应的安全设置,一般参考路由手册及CISCO ISO安全模型即可。
NAT的使用,使内部网络相应于外部网络不可见化,入侵者要先侵入NAT服务器(或NAT设备),然后利用NAT做跳板,进一步侵入内部网络。这样,对于入侵者就有一定的难度,如果NAT服务器与内部服务器使用不同的操作系统,那么入侵者需要对这两个操作系统都要熟悉才可以做到的,这对于一般的入侵者来说,入侵行为无疑是提高了一个台阶。文章到此结束,本文的意图不仅仅只是一个步骤,而是希望大家以此为一个基点,利用现有的技术,组建出更安全的网络
参考资料:
NAT端口地址转换可以访问内网,跟ACL限制关系不大,两个职能不同。一个是访问控制,一个是解决地址转换。
1 静态地址转换+端口复用地址转换
现在很多时候,网络中的服务器既为网络内部的客户提供网络服务,又同时为Internet中的用户提供访问服务。因此,如果采用端口复用地址转换或动态地址转换,将由于无法确定服务器的IP地址,而导致Internet用户无法实现对网络内部服务器的访问。此时,就应当采用静态地址转换+端口复用地址转换的NAT方式。也就是说,对服务器采用静态地址转换,以确保服务器拥有固定的合法IP地址。而对普通的客户计算机则采用端口复用地址转换,使所有用户都享有访问Internet的权力。
2 TCP/UDP端口NAT映射
如果ISP提供的合法IP地址的数量较多,我们自然可以采用静态地址转换+端口复用动态地址转换的方式得以完美实现。但如果ISP只提供4个IP地址,其中2个作为网络号和广播地址而不可使用,1个IP地址要用于路由器定义为默认网关, 那么将只剩下1个IP地址可用。当然我们也可以利用这个仅存的一个IP地址采用端口复用地址转换技术,从而实现整个局域网的Internet接入。但是由于服务器也采用动态端口,因此,Internet中的计算机将无法访问到网络内部的服务器。有没有好的解决问题的方案呢?这就是TCP/UDP端口NAT映射。
我们知道,不同应用程序使用的TCP/UDP的端口是不同的,比如,Web服务使用80,FTP服务使用21,SMTP服务使用25,POP3服务使用110,等等。因此,可以将不同的TCP端口绑定至不同的内部IP地址,从而只使用一个合法的IP地址,即可在允许内部所有服务器被Internet访问的同时,实现内部所有主机对Internet访问。
首先到network→Services里,点击添加新建一个端口。名称:TCP8000,类型TCP,端口范围8000-8000
然后在SonicWALL右上角你可以看到一个三角形的按钮,叫Wizards ,点击那个按钮。
在弹出的页面中选择Public Server Wizard ,点击next,Server Type选择other,Services 就选择你刚才建立的TCP8000,点击下一步,Server Name就是你在防火墙上看到服务器的名字(以后可以在防火墙规则以及NAT规则里看到这个),随便起个自己认识的就行,Server Private IP Address就是你服务器的内网IP(19216835),点击下一步之后,会出现Server Public IP Address,这个如果你是ADSL拨号的就不用管(如果是固定IP的话就填你的外网IP,不过这里一般防火墙会帮你自动填入),直接点击下一步,之后就会出来确认信息,点击apply应用设置即可。
等向导弹出结束按钮,按close退出即可。至此,完成服务器19216835的8000端口发布。
0条评论