基于网络地址转换的网络安全技术研究.pdf

第2卷第3期 信息工程大学学报 V01．2No．3 2001年9月 ofIrdbnnationEn Joumal university S8p．2001 ginee打“g 基于网络地址转换的网络安全技术研究 张建伟1，张梅峰1，宋 玉2 l郑州轻工业学院计算机科学与工程系，河南郑州4洲2；2郑州大学计算机科学系，河南弗州4卯∞2) 摘要：本文主要阐述了Jnle功el网络中厨络地址转换(NAT)拉术产生的背嚣，NAT技术的主要 内客与内部转换机制，及其适于实现的系坑平台与环境，hAT的实现模块包台哪些子模块与各 部分的功能，进一步分析了NAT的关键实现技术，总结了NAT技术与其它网络安奎技术相}匕 较的优点。 关键词：防火墙；网关；内部网；网络地址转换；访问控制 中围分类号：TP31 文献标识码：A 文章编号：1671一0673{2001)03一0043—04 这一技术并未得到广泛认可．因为它的功能极其有 l 引言 限，当内部网中与外部嗣联系的主机数量稍有增 多，网关的TcP连接控制部分就难以应付了．而且 NAT(NelworkAddr鹄sTr蚰slator)技术是IrIIemeI 内部主机对外映射成不同的网关代P端口，这对 网络应用中一项非常实用的技术。以往主要被应 于客户端而言并没有什么关系，但对于提供服务的 用在并行处理的动态负载均衡以及高可靠性系统 主机而言，就会出现服务端口不符台标准TcP规 的容错备份的实现上。最初，NAT技术是紧随 范的问题。正是因为这些原因，NAT的出现迅速取 IrIterD0main 代了lP地址掩盖技术。 cIDR(classlessR舢Ii咏)技术的出现而 出现的，两者的主要目的都是为了解决当时传统 IP网络地址紧张的问题，由于离IPy6协议的应用 2网络地址转换技术(NAT) 为时尚远，在一段时问以内，还只能通过对现有协 议中的地址空间做更有效的利用，方可延长网络地 如L所述，NAT技术的应用环境，是一个有唯 址分配的紧张问题。而cIDR技术通过允许用任一出f，的桩网络，这样才能保迁所有的通信都必须 意长度子网掩码来划分网段，大大提高对已注册地 经过使用NAT技术的网关，地址的转换不发生歧 址的有效利用率，NAT技术则是一个有唯一出口的 义，它通过地址复用，提高已注册地址的有救利用 桩网络(刚BNETwORK)中，通过地址复用来提高率。NAT技术中具体的IP地址复用方法是：在内 对已注册地址的有效利用率，这两者都为解决这一 部网中使用私有的虚拟地址，即由IrIlemet地址分 IP 问题提供了有效的手段。 配委员会(IANA)所保留的几段Pdva【eNetw。rk 在实现NAT技术之前，已经出现了一种类似 地址。以下是预留的蹦va|eNetwork地址范围：lO． 的技术——IP地址掩盖(1P O．0．0～10．255．255．255：172．160．0～172．31． Masqueradi“g)，它是在 外部网与内部网中某一台主机进行通信时，将内部 255255；192．1680．0～192168．255．255。由于 的这台主