第三部分
TCP/IP网络互连第 8章 虚拟专用网( VPN)
和网络地址转换( NAT)
内容摘要虚拟专用网的概念虚拟专用网的应用网络地址转换 NAT的概念
NAT与访问控制的应用
NAT与其他技术比较
8.1 虚拟专用网
8.2 网络地址转换
8.3 综合应用
8.1 虚拟专用网虚拟专用网,之所以称之为虚拟因为它不是一个物理的存在的网络。两个不同的物理网络之间的连接由通道来建立。而专用网,是因为为了提供传输的机密性,将虚拟的通信信道进行加密。
1.VPN的分类根据应用的类型,VPN可分为远程访问虚拟网( Access VPN)、内部虚拟网( Intranet VPN)和扩展虚拟网
( Extranet VPN)三种类型。这三种
VPN分别对应于传统的远程访问网络、
机构或企业内部的 Intranet和以机构或企业网络为基础构建的 Extranet。
2,VPN使用的协议
VPN使用两种隧道协议:点到点隧道协议( PPTP)和第二层隧道协议
( L2TP)。
3,VPN的身份验证方法
VPN进行身份验证的几种方法。
CHAP,MS-CHAP,MS-CHAP v2
和 EAP。在 Windows系统中,对于采用智能卡进行身份验证,将采用 EAP验证方法;对于通过密码进行身份验证,将采用 CHAP,MS-CHAP或 MS-CHAP v2
验证方法。
4,IP安全加密 IPSec
( 1) IPSec的几个基本功能数据机密性( Data confidentiality)
IPSec传送者在将数据发送并穿越网络之前就加密数据包;
数据完整性( Data integrity)
IPSec接收者在收到 IPSec传送者发送来的数据时,可以验证数据包以确保数据在传送过程中未被改动;
数据源验证( Data origin
authentication)
IPSec接收者可以验证发送
IPSec数据包的源头。此服务依附于数据完整性服务。
反重播( Anti-replay)
IPSec接收者可以检测并拒收重播数据包。
( 2) IPSec的基本概念两种传送模式( Transport Mode)
加密算法密钥交换算法验证算法
IKE( Internet Key Exchange,
Internet密钥交换)
SA( Security Association,安全联盟)
( 3) IPSec会话的五个主要过程定义要进行安全传输数据;
IKE-1:通过协商 IKE SA来验证
IPSec对端体,并建立起一个可以在 IKE-
2协商 IPSec SA的安全通道;
IKE-2,IKE协商 IPSec SA的参数并在对端体之间建立起匹配的 IPSec SA;
数据传输,IPSec通道被正确地建立起来,数据在 IPSec对端体之间进行安全传输;
IPSec通道被终止。
8.1.1VPN的应用
8.2 网络地址转换网络地址转换( NAT)用于将一个地址段映射到另一个地址段的标准方法。
NAT允许一个机构的内部网络通过
Internet上注册的合法地址接入 Internet
网络。由于 IPv4的地址日趋紧张,尽管可以实用 IPv6,但是近期内 NAT仍然作为解决 Internet地址空间不足问题的方案之一。
使用 NAT的几种情况:
连接到 internet,但却没有足够的合法地址分配给内部主机。
更改到一个需要重新分配地址的 ISP。
有相同的 IP地址的两个网络。
支持负载均衡。
8.2.2 访问控制和 NAT
无论在那个厂家的路由器或防火墙设备,NAT都和访问控制列表共同作用于网络的控制。 NAT的几个地址概念:
1.内部本地地址
2.内部全局地址
3.外部本地地址
4.外部全局地址
8.2.3 NAT和访问控制的应用
NAT技术的应用,大致分为 3种地址翻译方式。即静态地址转换、动态地址转换、复用动态地址转换。
静态地址转换静态地址转换将内部本地地址与内部合法地址进行一对一地转换,且需要指定与哪个合法地址进行转换。如果内部网络有 WWW服务器或 FTP服务器等可以为外部用户提供服务,则这些服务器的 IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。静态地址转换基本步骤如下:
步骤 1、在内部本地地址与内部全局地址之间建立静态地址转换。在全局设置状态下输入:
ip nat inside source static 内部本地地址 内部全局地址例如,ip nat inside source static
192.168.11.201 202.112.11.231
步骤 2、指定连接内部网络的内部端口,在连接内网的端口设置状态下输入:
ip nat inside
步骤 3、指定连接外部网络的外部端口,在连接外网的端口设置状态下输入:
ip nat outside
注:可以根据实际需要定义多个内部端口及多个外部端口。
动态地址转换动态地址转换也是将内部本地地址与内部全局地址一对一地转换,但是动态地址转换是从内部全局地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。基本步骤如下:
步骤 1、建立一个全局地址池
ip nat pool wyx 起始地址 结束地址 掩码例如,ip nat pool wyx 202.112.11.225
202.112.11.230 netmask 255.255.255.240
步骤 2、定义一个标准访问列表
access-list 10 permit 地址 通配符
any
例如,access-list 10 permit
192.168.11.0 0.0.0.255 any
步骤 3、定义内部地址和内部全局地址池之间的转换
ip nat inside source list 10 pool
wyx
步骤 4、分别定义内部端口和外部端口(同上)
在连接内网端口设置:
ip nat inside
在连接外网端口设定:
ip nat outside
复用动态地址转换( PAT)
复用动态地址转换也是动态地址转换的一种形式,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量 IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。基本步骤如下:
步骤 1、建立一个全局地址池
ip nat pool wyx 起始地址 结束地址 掩码例如,ip nat pool wyx
202.112.11.225 202.112.11.225 netmask
255.255.255.240
步骤 2、定义一个标准访问列表
access-list 10 permit 地址 通配符
any
例如,access-list 10 permit
192.168.11.0 0.0.0.255 any
步骤 3、定义内部地址和内部全局地址池之间的转换
ip nat inside source list 10 pool
wyx overload
步骤 4、定义内部端口和外部端口
(同上)
在连接内网端口设置:
ip nat inside
在连接外网端口设定:
ip nat outside
8.2.4 NAT与其他技术的比较
1.与代理服务器的比较用户经常把 NAT和代理服务器相混淆。 NAT设备对源机器和目标机器都是透明的。
代理服务器工作在 OSI模型的第 4层传输层,NAT则是工作在第 3层网络层。
但是 NAT占用路由器的 CPU资源,
隐藏了 IP地址,跟踪起来比较困难,不利于管理员对内部用户对外部访问的跟踪管理和审计工作。
2.与防火墙比较防火墙是基于网络层的安全系统,
它在网络之间执行访问控制策略。一般的防火墙都具有 NAT功能,或者能和
NAT配合使用。是选用单纯的 NAT技术还是带 NAT技术的防火墙,要从几个方面考虑:
网络需要何种访问控制策略,是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,还是为了访问提供一种计量和审计的方法;
网络需要何种程度的监视、冗余度以及控制水平;
网络的经费状况。一个高端完整的防火墙系统是十分昂贵的。是否采用防火墙需要在易用性、安全性和预算之间做出决策。
3.安全中的不安全
NAT的安全问题可以从以下几个方面进行讨论:
NAT只对地址进行转换而不进行其他操作,因此,在建立了与外部网络的连接时,NAT不会阻止任何从外部返回的恶意破坏信息。
虽然 NAT隐藏了端到端的 IP地址,
但它并不隐藏主机信息。例如您通过
NAT设备访问 Windows Streaming Media
服务器,您会发现服务器记录的不仅是您的主机名,还有您的内部 IP地址和操作系统。
Internet上的恶意攻击通常针对机器的“公用端口”,如 HTTP的 80端口、
FTP的 21端口和 POP的 110端口等。虽然
NAT可以屏蔽不向外部网络开放的端口,
但针对面向公用端口的攻击,它是无能为力的。
许多 NAT设备都不记录从外部网络到内部网络的连接,这会使您受到来自外部网络的攻击,但由于没有记录可以追查,您根本无法发觉自己受到过什么攻击。
8.3 综合应用
8.3.1VPN
8.3.2NAT
TCP/IP网络互连第 8章 虚拟专用网( VPN)
和网络地址转换( NAT)
内容摘要虚拟专用网的概念虚拟专用网的应用网络地址转换 NAT的概念
NAT与访问控制的应用
NAT与其他技术比较
8.1 虚拟专用网
8.2 网络地址转换
8.3 综合应用
8.1 虚拟专用网虚拟专用网,之所以称之为虚拟因为它不是一个物理的存在的网络。两个不同的物理网络之间的连接由通道来建立。而专用网,是因为为了提供传输的机密性,将虚拟的通信信道进行加密。
1.VPN的分类根据应用的类型,VPN可分为远程访问虚拟网( Access VPN)、内部虚拟网( Intranet VPN)和扩展虚拟网
( Extranet VPN)三种类型。这三种
VPN分别对应于传统的远程访问网络、
机构或企业内部的 Intranet和以机构或企业网络为基础构建的 Extranet。
2,VPN使用的协议
VPN使用两种隧道协议:点到点隧道协议( PPTP)和第二层隧道协议
( L2TP)。
3,VPN的身份验证方法
VPN进行身份验证的几种方法。
CHAP,MS-CHAP,MS-CHAP v2
和 EAP。在 Windows系统中,对于采用智能卡进行身份验证,将采用 EAP验证方法;对于通过密码进行身份验证,将采用 CHAP,MS-CHAP或 MS-CHAP v2
验证方法。
4,IP安全加密 IPSec
( 1) IPSec的几个基本功能数据机密性( Data confidentiality)
IPSec传送者在将数据发送并穿越网络之前就加密数据包;
数据完整性( Data integrity)
IPSec接收者在收到 IPSec传送者发送来的数据时,可以验证数据包以确保数据在传送过程中未被改动;
数据源验证( Data origin
authentication)
IPSec接收者可以验证发送
IPSec数据包的源头。此服务依附于数据完整性服务。
反重播( Anti-replay)
IPSec接收者可以检测并拒收重播数据包。
( 2) IPSec的基本概念两种传送模式( Transport Mode)
加密算法密钥交换算法验证算法
IKE( Internet Key Exchange,
Internet密钥交换)
SA( Security Association,安全联盟)
( 3) IPSec会话的五个主要过程定义要进行安全传输数据;
IKE-1:通过协商 IKE SA来验证
IPSec对端体,并建立起一个可以在 IKE-
2协商 IPSec SA的安全通道;
IKE-2,IKE协商 IPSec SA的参数并在对端体之间建立起匹配的 IPSec SA;
数据传输,IPSec通道被正确地建立起来,数据在 IPSec对端体之间进行安全传输;
IPSec通道被终止。
8.1.1VPN的应用
8.2 网络地址转换网络地址转换( NAT)用于将一个地址段映射到另一个地址段的标准方法。
NAT允许一个机构的内部网络通过
Internet上注册的合法地址接入 Internet
网络。由于 IPv4的地址日趋紧张,尽管可以实用 IPv6,但是近期内 NAT仍然作为解决 Internet地址空间不足问题的方案之一。
使用 NAT的几种情况:
连接到 internet,但却没有足够的合法地址分配给内部主机。
更改到一个需要重新分配地址的 ISP。
有相同的 IP地址的两个网络。
支持负载均衡。
8.2.2 访问控制和 NAT
无论在那个厂家的路由器或防火墙设备,NAT都和访问控制列表共同作用于网络的控制。 NAT的几个地址概念:
1.内部本地地址
2.内部全局地址
3.外部本地地址
4.外部全局地址
8.2.3 NAT和访问控制的应用
NAT技术的应用,大致分为 3种地址翻译方式。即静态地址转换、动态地址转换、复用动态地址转换。
静态地址转换静态地址转换将内部本地地址与内部合法地址进行一对一地转换,且需要指定与哪个合法地址进行转换。如果内部网络有 WWW服务器或 FTP服务器等可以为外部用户提供服务,则这些服务器的 IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。静态地址转换基本步骤如下:
步骤 1、在内部本地地址与内部全局地址之间建立静态地址转换。在全局设置状态下输入:
ip nat inside source static 内部本地地址 内部全局地址例如,ip nat inside source static
192.168.11.201 202.112.11.231
步骤 2、指定连接内部网络的内部端口,在连接内网的端口设置状态下输入:
ip nat inside
步骤 3、指定连接外部网络的外部端口,在连接外网的端口设置状态下输入:
ip nat outside
注:可以根据实际需要定义多个内部端口及多个外部端口。
动态地址转换动态地址转换也是将内部本地地址与内部全局地址一对一地转换,但是动态地址转换是从内部全局地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。基本步骤如下:
步骤 1、建立一个全局地址池
ip nat pool wyx 起始地址 结束地址 掩码例如,ip nat pool wyx 202.112.11.225
202.112.11.230 netmask 255.255.255.240
步骤 2、定义一个标准访问列表
access-list 10 permit 地址 通配符
any
例如,access-list 10 permit
192.168.11.0 0.0.0.255 any
步骤 3、定义内部地址和内部全局地址池之间的转换
ip nat inside source list 10 pool
wyx
步骤 4、分别定义内部端口和外部端口(同上)
在连接内网端口设置:
ip nat inside
在连接外网端口设定:
ip nat outside
复用动态地址转换( PAT)
复用动态地址转换也是动态地址转换的一种形式,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量 IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。基本步骤如下:
步骤 1、建立一个全局地址池
ip nat pool wyx 起始地址 结束地址 掩码例如,ip nat pool wyx
202.112.11.225 202.112.11.225 netmask
255.255.255.240
步骤 2、定义一个标准访问列表
access-list 10 permit 地址 通配符
any
例如,access-list 10 permit
192.168.11.0 0.0.0.255 any
步骤 3、定义内部地址和内部全局地址池之间的转换
ip nat inside source list 10 pool
wyx overload
步骤 4、定义内部端口和外部端口
(同上)
在连接内网端口设置:
ip nat inside
在连接外网端口设定:
ip nat outside
8.2.4 NAT与其他技术的比较
1.与代理服务器的比较用户经常把 NAT和代理服务器相混淆。 NAT设备对源机器和目标机器都是透明的。
代理服务器工作在 OSI模型的第 4层传输层,NAT则是工作在第 3层网络层。
但是 NAT占用路由器的 CPU资源,
隐藏了 IP地址,跟踪起来比较困难,不利于管理员对内部用户对外部访问的跟踪管理和审计工作。
2.与防火墙比较防火墙是基于网络层的安全系统,
它在网络之间执行访问控制策略。一般的防火墙都具有 NAT功能,或者能和
NAT配合使用。是选用单纯的 NAT技术还是带 NAT技术的防火墙,要从几个方面考虑:
网络需要何种访问控制策略,是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,还是为了访问提供一种计量和审计的方法;
网络需要何种程度的监视、冗余度以及控制水平;
网络的经费状况。一个高端完整的防火墙系统是十分昂贵的。是否采用防火墙需要在易用性、安全性和预算之间做出决策。
3.安全中的不安全
NAT的安全问题可以从以下几个方面进行讨论:
NAT只对地址进行转换而不进行其他操作,因此,在建立了与外部网络的连接时,NAT不会阻止任何从外部返回的恶意破坏信息。
虽然 NAT隐藏了端到端的 IP地址,
但它并不隐藏主机信息。例如您通过
NAT设备访问 Windows Streaming Media
服务器,您会发现服务器记录的不仅是您的主机名,还有您的内部 IP地址和操作系统。
Internet上的恶意攻击通常针对机器的“公用端口”,如 HTTP的 80端口、
FTP的 21端口和 POP的 110端口等。虽然
NAT可以屏蔽不向外部网络开放的端口,
但针对面向公用端口的攻击,它是无能为力的。
许多 NAT设备都不记录从外部网络到内部网络的连接,这会使您受到来自外部网络的攻击,但由于没有记录可以追查,您根本无法发觉自己受到过什么攻击。
8.3 综合应用
8.3.1VPN
8.3.2NAT