信息安全技術（HCIA-Security）（微課版）（第2版） 教案 項目7 網(wǎng)絡地址轉換技術（NAT）

教案《信息安全技術》第頁ADDINCNKISM.UserStyle授課周次與課時：第7周第25-28課時累計28課時課程名稱：信息安全技術授課課題：網(wǎng)絡地址轉換技術（NAT）教學目標：了解NAT的技術原理了解NAT幾種應用方式掌握防火墻的NAT配置教學要點：1.教學重點：掌握NAT幾種應用方式2.教學難點：學會防火墻的NAT配置思政目標：加強學生對網(wǎng)絡空間的認識，共建符合人民利益的網(wǎng)絡空間；愛國主義，通過學生對雪人計劃的提出和實施，增強學生的愛國主義意識；科技強國，通過學生對雪人計劃的中國貢獻，增強學生科技強國的精神；課型：理實一體課教學與學法（教具）：多媒體教學過程：【課程思政/溫故知新】網(wǎng)絡空間是億萬民眾共同的精神家園。網(wǎng)絡空間天朗氣清、生態(tài)良好，符合人民利益;網(wǎng)絡空間烏煙瘴氣、生態(tài)惡化，不符合人民利益。誰都不愿生活在充滿虛假、詐騙、攻擊、謾罵、恐怖、色情、暴力的網(wǎng)絡空間。思政主題：科技強國、愛國主義2014年，美國政府宣布，2015年9月30日后，其商務部下屬的國家通信與信息管理局（NTIA）與國際互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構（ICANN）將不再續(xù)簽外包合作協(xié)議。在此背景下，由我國下一代互聯(lián)網(wǎng)工程中心領銜發(fā)起，聯(lián)合WIDE機構（現(xiàn)國際互聯(lián)網(wǎng)M根運營者）等共同創(chuàng)立了“雪人計劃（YetiDNSProject）”項目，并于2015年6月23日正式對外發(fā)布。該項目是基于全新技術架構的全球下一代互聯(lián)網(wǎng)(IPv6)根服務器測試和運營實驗項目，旨在打破現(xiàn)有的根服務器困局，為下一代互聯(lián)網(wǎng)提供更多的根服務器解決方案。2017年11月28日，“雪人計劃”已在全球完成25臺IPv6（互聯(lián)網(wǎng)協(xié)議第六版）根服務器架設，中國部署了其中的4臺，由1臺主根服務器和3臺輔根服務器組成，打破了中國過去沒有根服務器的困境。但就目前來說，IPv4地址的缺乏問題對我國網(wǎng)絡經(jīng)濟的發(fā)展帶來了巨大的影響，NAT技術的應用給我們帶來了解決辦法。【新課講授】一、網(wǎng)絡地址轉換技術概述1、NAT產(chǎn)生背景早在上世紀90年代初，有關RFC文檔就提出IP地址耗盡的可能性?；赥CP/IP協(xié)議的Web應用使互聯(lián)網(wǎng)迅速擴張，IPv4地址申請量越來越大?；ヂ?lián)網(wǎng)可持續(xù)發(fā)展的問題日益嚴重。中國的運營商每年向ICANN申請的IP地址數(shù)量為全球最多。曾經(jīng)有專家預言，根據(jù)互聯(lián)網(wǎng)的發(fā)展速度，到2011年左右，全球可用的IPv4地址資源將全部耗盡。那么必須使用一些技術手段來延長IPv4的壽命。而技術的發(fā)展確實有效延緩了IPv4地址的衰竭，專家預言的地址耗盡的情況并未出現(xiàn)。其中廣泛使用的技術包括無類域間路由（CIDR，ClasslessInter-DomainRouting）、可變長子網(wǎng)掩碼（VLSM，VariableLengthSubnetMask）和網(wǎng)絡地址轉換（NAT，NetworkAddressTranslation）。2、為什么需要NAT私網(wǎng)地址出現(xiàn)的目的是為了實現(xiàn)地址的復用，提高IP地址資源的利用率，為了滿足一些實驗室、公司或其他組織的獨立于Internet之外的私有網(wǎng)絡的需求，RFCA（RequestsForComment）1918為私有使用留出了三個IP地址段。具體如下：A類IP地址中的～55（/8）B類IP地址中的～55（/12）C類IP地址中的～55（/16）因此，使用私網(wǎng)地址和外網(wǎng)進行通信，必須使用NAT技術進行地址轉換，以保證通信正常。3、NAT技術的基本原理NAT是將IP數(shù)據(jù)報文報頭中的IP地址轉換為另一個IP地址的過程，主要用于實現(xiàn)內(nèi)部網(wǎng)絡（私有IP地址）訪問外部網(wǎng)絡（公有IP地址）的功能。從實現(xiàn)上來說，一般的NAT轉換設備（實現(xiàn)NAT功能的網(wǎng)絡設備）都維護著一張地址轉換表，所有經(jīng)過NAT轉換設備并且需要進行地址轉換的報文，都會通過這個表做相應的修改。地址轉換的機制分為如下兩個部分：內(nèi)部網(wǎng)絡主機的IP地址和端口轉換為NAT轉換設備外部網(wǎng)絡地址和端口。外部網(wǎng)絡地址和端口轉換為NAT轉換設備內(nèi)部網(wǎng)絡主機的IP地址和端口。NAT技術也就是在<私有地址+端口>與<公有地址+端口>之間進行相互轉換。NAT轉換設備處于內(nèi)部網(wǎng)絡和外部網(wǎng)絡的連接處。內(nèi)部的PC與外部服務器的交互報文全部通過該NAT轉換設備。常見的NAT轉換設備有路由器、防火墻等。4、NAT分類① 源NAT（SourceNAT）：用來使多個私網(wǎng)用戶能夠同時訪問Internet。② 服務器映射：用來使外網(wǎng)用戶能夠訪問私網(wǎng)服務器。③ 目的NAT（DestinationNAT）：用來使手機上網(wǎng)的業(yè)務流量送往正確的WAP網(wǎng)關。5、NAT的優(yōu)點和缺點（1）NAT的優(yōu)點可以使一個局域網(wǎng)中的多臺主機使用少數(shù)的合法地址訪問外部的資源，也可以設定內(nèi)部的WWW、FTP、Telnet等服務提供給外部網(wǎng)絡使用，解決了IP地址日益短缺的問題。對于內(nèi)外網(wǎng)絡用戶，感覺不到IP地址轉換的過程，整個過程對于用戶來說是透明的。對內(nèi)網(wǎng)用戶提供隱私保護，外網(wǎng)用戶不能直接獲得內(nèi)網(wǎng)用戶的IP地址、服務等信息，具有一定的安全性。通過配置多個相同的內(nèi)部服務器的方式可以減小單個服務器在大流量時承擔的壓力，實現(xiàn)服務器負載均衡。（2）NAT的不足由于需要對數(shù)據(jù)報文進行IP地址的轉換，涉及IP地址的數(shù)據(jù)報文的報頭不能被加密。在應用協(xié)議中，如果報文中有地址或端口需要轉換，則報文不能被加密。例如，不能使用加密的FTP連接，否則FTP的port命令不能被正確轉換。網(wǎng)絡監(jiān)管變得更加困難。例如，如果一個黑客從內(nèi)網(wǎng)攻擊公網(wǎng)上的一臺服務器，那么要想追蹤這個攻擊者很難。因為在報文經(jīng)過NAT轉換設備的時候，地址經(jīng)過了轉換，不能確定哪臺才是黑客的主機。二、源NAT技術1、NAT地址池（1）創(chuàng)建NAT地址池命令 nataddress-guoupaddress-group-name section[section-id|section-name]start-addressend-address nat-mode{pat|no-pat}在WEB界面配置地址池（見圖11-3）地址池特性2、NAT轉換方式不帶端口轉換不帶端口轉換的地址池方式通過配置NAT地址池來實現(xiàn)，NAT地址池中可以包含多個公網(wǎng)地址。轉換時只轉換地址，不轉換端口，實現(xiàn)私網(wǎng)地址到公網(wǎng)地址一對一的轉換。如果地址池中的地址已經(jīng)全部分配出去，則剩余內(nèi)網(wǎng)主機訪問外網(wǎng)時不會進行NAT轉換，直到地址池中有空閑地址時才會進行NAT轉換。（2）帶端口轉換此方式下，由于地址轉換的同時還進行端口的轉換，可以實現(xiàn)多個私網(wǎng)用戶共同使用一個公網(wǎng)IP地址上網(wǎng)，防火墻根據(jù)端口區(qū)分不同用戶，所以可以支持同時上網(wǎng)的用戶數(shù)量更多。（3）出接口地址方式（EasyIP）出接口地址方式也稱為EasyIP，即直接使用接口的公網(wǎng)地址作為轉換后的地址，不需要配置NAT地址池。轉換時會同時轉換地址和端口，即可實現(xiàn)多個私網(wǎng)地址共用外網(wǎng)接口的公網(wǎng)地址的需求。3、配置源NAT策略命令視圖Web視圖4、NATALG現(xiàn)在的防火墻產(chǎn)品主要采用了“狀態(tài)檢測”機制來進行包過濾?！盃顟B(tài)檢測”機制以流量為單位來對報文進行檢測和轉發(fā)，即對一條流量的第一個報文進行包過濾規(guī)則檢查，并將判斷結果作為該條流量的“狀態(tài)”記錄下來。對于該流量的后續(xù)報文都直接根據(jù)這個“狀態(tài)”來判斷是轉發(fā)（或進行內(nèi)容安全檢測）還是丟棄。這個“狀態(tài)”就是我們平常所述的會話表項。這種機制迅速提升了防火墻產(chǎn)品的檢測速率和轉發(fā)效率，已經(jīng)成為目前主流的包過濾機制。4、防火墻的查詢和創(chuàng)建會話為什么需要NATALGNATALG（ApplicationLevelGateway，應用級網(wǎng)關）是特定的應用協(xié)議的轉換代理，可以完成應用層數(shù)據(jù)中所攜帶的地址及端口號的轉換。NATALG實現(xiàn)原理NAT與ServerMap表USG設備引入了Server-map表，Server-map基于三元組，用于存放一種映射關系，這種映射關系可以是控制數(shù)據(jù)協(xié)商出來的數(shù)據(jù)連接關系，也可以是配置NAT中的地址映射關系，使得外部網(wǎng)絡能透過設備主動訪問內(nèi)部網(wǎng)絡。三、服務器映射及目的NAT技術1、NATServer內(nèi)部服務器內(nèi)部服務器（NATServer）功能是指使用一個公網(wǎng)地址來代表內(nèi)部服務器的對外地址。NATServer特性使用NAT可以靈活地添加內(nèi)部服務器。例如：可以使用等公網(wǎng)地址作為Web服務器的外部地址，甚至還可以使用:8080這樣的IP地址加端口號的方式作為Web的外部地址。外部用戶訪問內(nèi)部服務器時，有如下兩部分操作：防火墻將外部用戶的請求報文的目的地址轉換成內(nèi)部服務器的私有地址；防火墻將內(nèi)部服務器的回應報文的源地址（私網(wǎng)地址）轉換成公網(wǎng)地址。NATServer配置（SLI）（WEB）NATServer是最常用的基于目的地址的NAT。當內(nèi)網(wǎng)部署了一臺服務器，其真實IP是私網(wǎng)地址，但是希望公網(wǎng)用戶可以通過一個公網(wǎng)地址來訪問該服務器，這時可以配置NATServer，使設備將公網(wǎng)用戶訪問該公網(wǎng)地址的報文自動轉發(fā)給內(nèi)網(wǎng)服務器。（WEB方式）2、目的NAT在移動終端訪問無線網(wǎng)絡時，如果其缺省WAP網(wǎng)關地址與所在地運營商的WAP網(wǎng)關地址不一致時，可以在終端與WAP網(wǎng)關中間部署一臺設備，并配置目的NAT功能，使設備自動將終端發(fā)往錯誤WAP網(wǎng)關地址的報文自動轉發(fā)給正確的WAP網(wǎng)關。目的NAT配置命令四、11.4 雙向NAT技術1、雙向NAT技術概述常規(guī)地址轉換技術只轉換報文的源地址或目的地址，而雙向地址轉換（BidirectionalNAT）技術可以將報文的源地址和目的地址同時轉換，該技術應用于內(nèi)部網(wǎng)絡主機地址與公網(wǎng)上主機地址重疊的情況。雙向NAT技術可以分為兩種應用場景：域間雙向NAT（NATServer+源NAT）域內(nèi)雙向NAT2、多通道協(xié)議技術2、域間雙向NAT技術為了簡化配置服務器至公網(wǎng)的路由，可在NATServer基礎上，增加源NAT配置。當配置NATServer時，服務器需要配置到公網(wǎng)地址的路由才可正常發(fā)送回應報文。如果要簡化配置，避免配置到公網(wǎng)地址的路由，則可以對外網(wǎng)用戶的源IP地址也進行轉換，轉換后的源IP地址與服務器的私網(wǎng)地址在同一網(wǎng)段。這樣內(nèi)部服務器會缺省將回應報文發(fā)給網(wǎng)關，即設備本身，由設備來轉發(fā)回應報文。4、域內(nèi)雙向NAT技術3、端口識別對多通道協(xié)議的支持端口識別，也稱端口映射，是防火墻用來識別使用非標準端口的應用層協(xié)議報文。端口映射支持的應用層協(xié)議包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、SIP、SQLNET。6、分片緩存分片緩存配置相關命令：配置分片緩存老化時間命令Firewallsessionaging-timefragmentinterval(1-40000)；開啟/關閉分片報文直接轉發(fā)功能命令Firewallfragment-forwardenable/disable；7、長連接長連接相關命令：配置長連接老化時間Firewalllong-linkaging-timetime；開啟長連接功能Firewallinterzonezone-name1zone-name2；lonk-linkacl-number{inbound|outbound}；【學生練習】綜合實驗：基于IP地址的轉發(fā)策略實驗目的：掌握基于IP地址控制訪問的配置方法實驗拓撲圖，如圖10-37所示：圖10-37實驗拓撲圖實驗步驟（CLI）步驟一：配置各個接口的IP地址并加入相應的安全區(qū)域。<SRG>system-view配置防火墻各接口的IP地址，命令如下：[USG]interfaceGigabitEthernet0/0/0[USG-GigabitEthernet0/0/0]ipaddress24[USG-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/1[USG-GigabitEthernet0/0/1]ipaddress24[USG-GigabitEthernet0/0/1]quit將防火墻的G0/0/0接口加入trust區(qū)域[SRG]firewallzonetrust[USG-zone-trust]addinterfaceGigabitEthernet0/0/0[USG-zone-trust]quit將防火墻的0/0/1接口加入untrust區(qū)域[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG-zone-untrust]quit步驟二：配置名稱為ip_deny的地址集，將幾個不允許通過防火墻的IP地址加入地址集。創(chuàng)建名稱為ip_deny的地址集[USG]ipaddress-setip_denytypeobject將不允許通過防火墻的IP地址加入ip_deny地址集[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]quit步驟三：創(chuàng)建不允許通過防火墻IP地址的轉發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_deny[USG-policy-security-rule-policy_deny]source-addressaddress-setip_deny[USG-policy-security-rule-policy_deny]actiondeny[USG-policy-security-rule-policy_deny]quit步驟四：創(chuàng)建允許其他屬于/24這個網(wǎng)段的IP地址通過防火墻的轉發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_permit[USG-policy-security-rule-policy_permit]source-address24[USG-policy-security-rule-policy_permit]actionpermit[USG-policy-security-rule-policy_permit]quit步驟五：測試不同IP地址通過防火墻的情況。Trust區(qū)域三臺PC分別用ping命令測試與untrust區(qū)域的www服務器的連通情況，應該只有PC3的可以ping通服務器。實驗步驟（Web）步驟一：配置各個接口的IP地址，并加入相應的安全區(qū)域，如圖10-38所示。選擇“網(wǎng)絡>接口>GE1/0/0”，配置接口IP地址，并加入到Trust區(qū)域。圖1