信息安全基礎知識筆記05防火牆網絡地址轉換技術NAT(上)

 

信息安全基礎知識筆記05防火牆網絡地址轉換技術NAT(上)

 

　　在之前的筆記中，我們已經介紹過網絡地址轉換技術（NAT）的實現原理，以及在路由器上的詳細配置方法，所以本節筆記不再贅述。具體可以根據以下鏈接查看：

　　網絡基礎知識筆記08：NAT網絡地址轉換(上)

　　https://www.cnblogs.com/zylSec/p/14720345.html

　　網絡基礎知識筆記08：NAT網絡地址轉換(下)

　　https://www.cnblogs.com/zylSec/p/14727992.html

　　本節筆記主要介紹在防火牆配置NAT實驗的詳細步驟（命令行和Web界面兩種方式），以及在簡單復習NAT原理和分類的基礎上，再擴展一些防火牆配置NAT技術小知識。

 

 

　　NAT技術的基本原理

　　NAT技術通過對IP報文頭中的源地址或目的地址進行轉換，可以使大量的私網IP地址通過共享少量的公網IP地址來訪問公網。

 　　

　　NAT是將IP數據報文報頭中的IP地址轉換為另一個IP地址的過程，主要用於實現內部網絡（私有IP地址）訪問外部網絡（公有IP地址）的功能。從實現上來說，一般的NAT轉換設備（實現NAT功能的網絡設備）都維護着一張地址轉換表，所有經過NAT轉換設備並且需要進行地址轉換的報文，都會通過這個表做相應的修改。

　　地址轉換的機制分為如下兩個部分：

　　① 內部網絡主機的IP地址和端口轉換為NAT轉換設備外部網絡地址和端口。

　　② 外部網絡地址和端口轉換為NAT轉換設備內部網絡主機的IP地址和端口。

　　也就是<私有地址+端口>與<公有地址+端口>之間相互轉換。

　　NAT轉換設備處於內部網絡和外部網絡的連接處。內部的PC與外部服務器的交互報文全部通過該NAT轉換設備。常見的NAT轉換設備有路由器、防火牆等。

 

 

　　NAT分類

　　根據應用場景的不同，NAT可以分為以下三類：

　　源NAT（Source NAT）：用來使多個私網用戶能夠同時訪問Internet。

　　① 地址池方式：采用地址池中的公網地址為私網用戶進行地址轉換，適合大量的私網用戶訪問Internet的場景。

　　② 出接口地址方式（Easy IP）：內網主機直接借用公網接口的IP地址訪問Internet，特別適用於公網接口IP地址是動態獲取的情況。

 

　　服務器映射：用來使外網用戶能夠訪問私網服務器。

　　③ 靜態映射（NAT Server）：公網地址和私網地址一對一進行映射，用在公網用戶訪問私網內部服務器的場景。

 　　

 

　　源NAT地址池方式

　　基於源IP地址的NAT是指對發起連接的IP報文頭中的源地址進行轉換。它可以實現內部用戶訪問外部網絡的目的。通過將內部主機的私有地址轉換為公有地址，使一個局域網中的多台主機使用少數的合法地址訪問外部資源，有效的隱藏了內部局域網的主機IP地址，起到了安全保護的作用。

 

　　（1）基本概念

　　源NAT地址池方式分為不帶端口轉換和帶端口轉換兩種方式。

 　　

　　① 不帶端口轉換

　　不帶端口轉換的地址池方式通過配置NAT地址池來實現，NAT地址池中可以包含多個公網地址。轉換時只轉換地址，不轉換端口，實現私網地址到公網地址一對一的轉換。

 　　

　　如果地址池中的地址已經全部分配出去，則剩余內網主機訪問外網時不會進行NAT轉換，直到地址池中有空閑地址時才會進行NAT轉換。

 　　

 

　　② 帶端口轉換

　　帶端口轉換的地址池方式通過配置NAT地址池來實現，NAT地址池中可以包含一個或多個公網地址。轉換時同時轉換地址和端口，即可實現多個私網地址共用一個或多個公網地址的需求。

 　　

　　此方式下，由於地址轉換的同時還進行端口的轉換，可以實現多個私網用戶共同使用一個公網IP地址上網，防火牆根據端口區分不同用戶，所以可以支持同時上網的用戶數量更多。

　　這是一種利用第四層信息來擴展第三層地址的技術，一個IP地址有65535個端口可以使用。理論上來說，一個地址可以為其他65535個地址提供NAT轉換，防火牆還能將來自不同內部地址的數據報文映射到同一公有地址的不同端口號上，因而仍然能夠共享同一地址，對比一對一或多對多地址轉換。這樣極大的提升了地址空間，增加了IP地址的利用率。 因此帶端口轉換是最常用的一種地址轉換方式。

 　　

 

 

　　（2）配置方法（命令行界面）

 　　

　　如上圖所示。現有Untrust區域一台路由器AR1，Trust區域一台主機PCA，DMZ區域一台主機PC B，后面的實驗中使用的拓撲與本拓撲基本一致。

 　　

　　Step 1：網絡接口，區域，設備IP，安全策略等基本配置步驟省略，模擬外網（Untrust區域）的路由器只配置接口IP。下面只貼出防火牆FW_A的部分配置。

 　　

 　　

 　　

 

 

 

 

　　Step 2：配置域間訪問規則。

　　首先配置源NAT地址池。為內網用戶分配的NAT地址池應該為外網地址網段，其用於對internet資源進行訪問。

 　　

　　然后配置源NAT策略。將剛配置的NAT地址池應用到NAT策略中。

 　　

　　配置完成后，trust區域的源IP地址為192.168.0.0/24訪問untrust區域時，會根據配置的NAT地址池為其分配相應的公網IP地址。

 　　

 

　　（2）配置方法（Web界面）

　　Step 1：通過預先設置的登錄防火牆IP (https://192.168.50.10:8443)進入Web配置界面。

 　　

 

　　Step 2：點擊“策略”，在顯示出的左邊面板點擊“NAT策略”=》“NAT策略”，在NAT策略中點擊“新建”，依此新建一條NAT策略。

 　　

 

 

 

　　Step 3：按下圖填寫NAT策略內容，與命令行方式的配置基本一致。

 　　

　　源地址轉換的方式選擇“地址池中的地址”，另外還需要配置源轉換地址池。

 　　

 

 

 

　　Step 4：點擊“新建地址池”。按下圖輸入地址池配置信息。需要注意的是，配置地址池時還能選擇是否使用端口地址轉換（即PAT），在地址轉換時同時轉換端口號。

 　　

　　最后點擊“確定”，新建NAT策略完成。

 

　　（4）實驗結果驗證

　　測試結果如下：使用內網PC（192.168.0.2）訪問外網連路由器AR1（202.169.10.2）。

 　　

　　發現可以ping通。接着我們可以使用抓包軟件wireshark對防火牆untrust區域的接口（即公網接口）進行抓包，可以看到內網的地址已經通過NAT轉換為公網的地址，並與公網的設備成功互訪。

　　

 

 

 

 

　　出接口方式（Easy IP）

　　（1）基本概念

　　出接口地址方式也稱為Easy IP，即直接使用接口的公網地址作為轉換后的地址，不需要配置NAT地址池。轉換時同時轉換地址和端口，即可實現多個私網地址共用外網接口的公網地址的需求。

　　 

　　Easy IP也屬於源NAT轉換的方式之一，相比根據地址池轉換，根據出接口方式更為簡單，不同的內網地址通過使用不同的端口號進行區分。

 

　　（2）配置方式（命令行界面）

　　出接口方式（Easy IP）的配置方式與源NAT地址池方式大致相同，區別在於創建NAT策略的最后一步應用時，應指定轉換方式為easy-ip。

 　　

 

　　（3）配置方式（Web界面）

　　出接口方式（Easy IP）的配置方式與源NAT地址池方式大致相同，只需要將源地址轉換勾選為“出接口地址”即可，其他不變，非常簡單。

 　　

 

　　（4）實驗結果驗證

　　測試結果如下：使用內網PC（192.168.0.2）訪問外網連路由器AR1（202.169.10.2）。

 　　

　　發現可以ping通。接着我們可以使用抓包軟件wireshark對防火牆untrust區域的接口（即公網接口）進行抓包，可以發現內網的IP是根據防火牆連接外網的接口IP地址進行轉換，而訪問公網設備的。

 　　

　　查看防火牆的會話表，可以發現相同的實驗結果。ICMP協議每次通過不同的端口測試對端設備的聯通性，到達防火牆后被NAT技術轉換為出接口IP地址，按照不同的端口號進行區分。