NAT与基本防火墙.ppt

《NAT与基本防火墙.ppt》由会员分享，可在线阅读，更多相关《NAT与基本防火墙.ppt（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第10章章 NAT与基本防火墙与基本防火墙本章主要介绍NAT和基本防火墙的使用lNAT（Network Address Translation，网络地址转换）可以让网络内的多台计算机只要共享一个公共IP地址，就可以同时连接到Internetl而基本防火墙（Basic firewall）可以增加网络的安全性，减少非法用户通过Internet入侵内部网络的机会。10.1 NAT的特色与原理Windows Server 2003的NAT有以下特色：l支持多人同时通过NAT来上网，而只需使用一个public IPl支持内部多个局域网同时通过NAT上网l支持DHCP功能，用来自动分配IP地址给局域网内

2、的计算机l支持DNS代理的功能，用来替局域网内的计算机查询IP地址l支持TCP/UDP端口映射的功能，让外界的用户可以访问内部的网站、邮件服务器等l支持多个public IP与地址映射的功能，以便让外界的特殊应用软件可以通过NAT来与网络内部的应用程序通信10.1.1 NAT的网络结构图实例NAT服务器具备路由器功能，因此扮演NAT角色的计算机至少需要两个网络接口，分别用来连接Internet和内部局域网，常见的有以下几种结构：l利用固定ADSL来连接Internetl利用非固定ADSL来连接Internet之一，遇上一种结构的区别就是，其中一个接口需要进行PPPoE请求拨号l利用非固定ADS

3、L来连接Internet之二，只需要一个网络接口，但安全性和效率都比较差l利用Cable Modem来连接Internetl利用调制解调器来连接Internet10.1.2 NAT的IP地址lNAT服务器的每一个网络接口都必须要有一个IP地址，且不同接口的IP地址有不同的设置：l若是连接到Internet的网络接口，则它的IP地址必须是public IPl若是连接到内部局域网的网络接口，则它的IP地址必须是private IP，常用的private IP网段有、10.1.3 NAT的工作原理lNAT运行的基本过程，就是执行IP地址与端口的转换工作，通过下表介绍工作原理（计算机通过NAT服务器访

4、问Web服务器的过程）：来源IP地址来源端口变更后的来源IP地址变更后的来源端口192.168.0.102222203.12.23.348061.11.22.333333203.12.23.3480192.168.0.10222261.11.22.333333203.12.23.348061.11.22.333333203.12.23.3480192.168.0.10222210.2 NAT架设实例演示10.2.1 固定ADSL的NAT设置步骤一：步骤二：步骤三：如果系统没有检测到网络上有DHCP或DNS系统时，将会打开下面的对话框。步骤四：10.3 DHCP分配器与DNS代理10.4 内部网

5、络的开放与防火墙Windows Server 2003的NAT服务器具备以下功能：l基本防火墙 可用来加强内部网络的安全性lTCP/UDP端口映射 让外界的用户可以访问内部的网站、邮件服务器等l多个public IP与地址映射 让外界特殊的应用程序可以通过NAT来与内部的应用程序通信10.4.1 NAT网络接口与防火墙在“NAT/基本防火墙”中打开外网接口的属性（注：只有对外连接的公用接口才可启用基本防火墙），如下图：上图中有三个选项：l专用接口连接到专用网络 若此接口用来连接到内部局域网，选择此项l公用接口连接到Internet 若此接口用来连接到Internet，选择此项，并可以选择是否启

6、用NAT与基本防火墙功能l仅基本防火墙 表示此接口只提供基本防火墙的功能，不提供NAT功能Windows Server 2003的基本防火墙同时具备“静态数据包筛选”和“动态数据包筛选”的双重功能：l静态数据包筛选 通过“入站筛选器”和“出站筛选器”按钮来设置l动态数据包筛选 即所谓的“状态数据包检测（Stateful Packet Inspection，SPI）”，它不接受从Internet主动传送进来的数据包，只接受响应内部计算机请求的数据包。10.4.2 端口映射由于内部网络中的服务器使用的是private IP，因此在默认情况下不允许外部计算机访问内部的计算机，但我们可以通过TCP/U

7、DP端口映射的功能解决这一问题。它的原理就是让NAT在接收到外部计算机的数据后，通过数据包中包含的端口号来决定此数据应该转发到内网中的那一台计算机上。设置方法：按照上面两张图设置完成后，当外部传送给NAT的数据包，如果是80端口的TCP数据包，则NAT会将其转送IP地址为的服务器，并且有端口为80的软件来处理。注：此功能适合于对外接口采用固定IP的结构。10.4.3 地址映射对某些应用程序而言，只开放部分端口可能不能保证它的正常工作，这是我们可以采用地址映射的方式来解决这个问题。它的工作原理是将一个public IP映射到内网的某台计算机，以后所有从外部传送给此public IP的数据包，无论

8、其目的端口为何，都会被NAT服务器传送给此计算机。注：要求有多个public IP。地址池的设置地址映射的设置若要开放外面的计算机主动与内部计算机通信，则必须选取“允许将会话传入到此地址”，但此时若没有做任何数据包筛选的设置，则此计算机将处于不设防状态。10.5 Internet连接共享（ICS）它是NAT的简易版本，只需要一个public IP，但使用比较缺乏弹性，如：l只支持一个内部局域网通过它访问Internetl无法将DHCP功能停用，也无法改变设置lDHCP只能指派Network ID为的IP地址l只支持一个public IP，无“地址映射”功能配置方法：选择连接Internet的网

9、络接口，打开它的“属性”，选择“高级”标签。注意：上图完成后，对内部局域网的网络接口的IP地址默认会被设置为，可比较下面两幅图。启用ICS前 启用ICS前后10.6 IPSec跨越NAT的问题若在使用NAT时，也采用了IPSec，就可能会产生问题，因为NAT会改变数据包的包头，而IPSec却不允许变更数据包的包头。IPSec有“传输模式”和“隧道模式”两种，它的安全措施也有以下两种：lAH（Authentication Header）AH会将所传送的信息签名，但不会将信息加密。lESP（Encapsulation Security Protocol）ESP也会将所传送的信息签名，同时还会将信息

10、加密。所以两种传输模式和两种安全措施可组成四种不同的数据包格式。IPSec与NAT配合使用时的问题：lAH传输与隧道模式 这两种模式下，IPSec都会将整个数据包签名，也就是不允许修改数据包的任何信息，因此NAT若改变数据包内的IP地址或TCP/UDP端口，IPSec都会将此数据包视为无效。lESP传输与隧道模式 ESP传输模式的原始IP包头，或ESP隧道模式 的新隧道模式都还保留原状，并没有被IPSec签名或加密，但TCP/UDP端口却被加密，因而无法读取。l解决的方法：Windows Server 2003支持将ESP模式的IPSec数据包，封装到UDP包头内的功能。数据包内的原始包头与UDP包头都没有被加密与签名，因此NAT可以改变其IP地址与UDP端口。注：利用IPSec通信的计算机都必须支持这种“UDP-ESP”的数据包，也就是能够识别UDP目的端口为500，其后跟着8个0这种各式的数据包。结论：为了让IPSec数据包能够跨越NAT，应该使用ESP安全措施。