信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 教案 項(xiàng)目7 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）

教案《信息安全技術(shù)》第頁ADDINCNKISM.UserStyle授課周次與課時(shí)：第7周第25-28課時(shí)累計(jì)28課時(shí)課程名稱：信息安全技術(shù)授課課題：網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）教學(xué)目標(biāo)：了解NAT的技術(shù)原理了解NAT幾種應(yīng)用方式掌握防火墻的NAT配置教學(xué)要點(diǎn)：1.教學(xué)重點(diǎn)：掌握NAT幾種應(yīng)用方式2.教學(xué)難點(diǎn)：學(xué)會(huì)防火墻的NAT配置思政目標(biāo)：加強(qiáng)學(xué)生對(duì)網(wǎng)絡(luò)空間的認(rèn)識(shí)，共建符合人民利益的網(wǎng)絡(luò)空間；愛國主義，通過學(xué)生對(duì)雪人計(jì)劃的提出和實(shí)施，增強(qiáng)學(xué)生的愛國主義意識(shí)；科技強(qiáng)國，通過學(xué)生對(duì)雪人計(jì)劃的中國貢獻(xiàn)，增強(qiáng)學(xué)生科技強(qiáng)國的精神；課型：理實(shí)一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】網(wǎng)絡(luò)空間是億萬民眾共同的精神家園。網(wǎng)絡(luò)空間天朗氣清、生態(tài)良好，符合人民利益;網(wǎng)絡(luò)空間烏煙瘴氣、生態(tài)惡化，不符合人民利益。誰都不愿生活在充滿虛假、詐騙、攻擊、謾罵、恐怖、色情、暴力的網(wǎng)絡(luò)空間。思政主題：科技強(qiáng)國、愛國主義2014年，美國政府宣布，2015年9月30日后，其商務(wù)部下屬的國家通信與信息管理局（NTIA）與國際互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（ICANN）將不再續(xù)簽外包合作協(xié)議。在此背景下，由我國下一代互聯(lián)網(wǎng)工程中心領(lǐng)銜發(fā)起，聯(lián)合WIDE機(jī)構(gòu)（現(xiàn)國際互聯(lián)網(wǎng)M根運(yùn)營者）等共同創(chuàng)立了“雪人計(jì)劃（YetiDNSProject）”項(xiàng)目，并于2015年6月23日正式對(duì)外發(fā)布。該項(xiàng)目是基于全新技術(shù)架構(gòu)的全球下一代互聯(lián)網(wǎng)(IPv6)根服務(wù)器測(cè)試和運(yùn)營實(shí)驗(yàn)項(xiàng)目，旨在打破現(xiàn)有的根服務(wù)器困局，為下一代互聯(lián)網(wǎng)提供更多的根服務(wù)器解決方案。2017年11月28日，“雪人計(jì)劃”已在全球完成25臺(tái)IPv6（互聯(lián)網(wǎng)協(xié)議第六版）根服務(wù)器架設(shè)，中國部署了其中的4臺(tái)，由1臺(tái)主根服務(wù)器和3臺(tái)輔根服務(wù)器組成，打破了中國過去沒有根服務(wù)器的困境。但就目前來說，IPv4地址的缺乏問題對(duì)我國網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展帶來了巨大的影響，NAT技術(shù)的應(yīng)用給我們帶來了解決辦法?！拘抡n講授】一、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)概述1、NAT產(chǎn)生背景早在上世紀(jì)90年代初，有關(guān)RFC文檔就提出IP地址耗盡的可能性。基于TCP/IP協(xié)議的Web應(yīng)用使互聯(lián)網(wǎng)迅速擴(kuò)張，IPv4地址申請(qǐng)量越來越大?；ヂ?lián)網(wǎng)可持續(xù)發(fā)展的問題日益嚴(yán)重。中國的運(yùn)營商每年向ICANN申請(qǐng)的IP地址數(shù)量為全球最多。曾經(jīng)有專家預(yù)言，根據(jù)互聯(lián)網(wǎng)的發(fā)展速度，到2011年左右，全球可用的IPv4地址資源將全部耗盡。那么必須使用一些技術(shù)手段來延長IPv4的壽命。而技術(shù)的發(fā)展確實(shí)有效延緩了IPv4地址的衰竭，專家預(yù)言的地址耗盡的情況并未出現(xiàn)。其中廣泛使用的技術(shù)包括無類域間路由（CIDR，ClasslessInter-DomainRouting）、可變長子網(wǎng)掩碼（VLSM，VariableLengthSubnetMask）和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，NetworkAddressTranslation）。2、為什么需要NAT私網(wǎng)地址出現(xiàn)的目的是為了實(shí)現(xiàn)地址的復(fù)用，提高IP地址資源的利用率，為了滿足一些實(shí)驗(yàn)室、公司或其他組織的獨(dú)立于Internet之外的私有網(wǎng)絡(luò)的需求，RFCA（RequestsForComment）1918為私有使用留出了三個(gè)IP地址段。具體如下：A類IP地址中的～55（/8）B類IP地址中的～55（/12）C類IP地址中的～55（/16）因此，使用私網(wǎng)地址和外網(wǎng)進(jìn)行通信，必須使用NAT技術(shù)進(jìn)行地址轉(zhuǎn)換，以保證通信正常。3、NAT技術(shù)的基本原理NAT是將IP數(shù)據(jù)報(bào)文報(bào)頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過程，主要用于實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)（私有IP地址）訪問外部網(wǎng)絡(luò)（公有IP地址）的功能。從實(shí)現(xiàn)上來說，一般的NAT轉(zhuǎn)換設(shè)備（實(shí)現(xiàn)NAT功能的網(wǎng)絡(luò)設(shè)備）都維護(hù)著一張地址轉(zhuǎn)換表，所有經(jīng)過NAT轉(zhuǎn)換設(shè)備并且需要進(jìn)行地址轉(zhuǎn)換的報(bào)文，都會(huì)通過這個(gè)表做相應(yīng)的修改。地址轉(zhuǎn)換的機(jī)制分為如下兩個(gè)部分：內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口轉(zhuǎn)換為NAT轉(zhuǎn)換設(shè)備外部網(wǎng)絡(luò)地址和端口。外部網(wǎng)絡(luò)地址和端口轉(zhuǎn)換為NAT轉(zhuǎn)換設(shè)備內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口。NAT技術(shù)也就是在<私有地址+端口>與<公有地址+端口>之間進(jìn)行相互轉(zhuǎn)換。NAT轉(zhuǎn)換設(shè)備處于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處。內(nèi)部的PC與外部服務(wù)器的交互報(bào)文全部通過該NAT轉(zhuǎn)換設(shè)備。常見的NAT轉(zhuǎn)換設(shè)備有路由器、防火墻等。4、NAT分類① 源NAT（SourceNAT）：用來使多個(gè)私網(wǎng)用戶能夠同時(shí)訪問Internet。② 服務(wù)器映射：用來使外網(wǎng)用戶能夠訪問私網(wǎng)服務(wù)器。③ 目的NAT（DestinationNAT）：用來使手機(jī)上網(wǎng)的業(yè)務(wù)流量送往正確的WAP網(wǎng)關(guān)。5、NAT的優(yōu)點(diǎn)和缺點(diǎn)（1）NAT的優(yōu)點(diǎn)可以使一個(gè)局域網(wǎng)中的多臺(tái)主機(jī)使用少數(shù)的合法地址訪問外部的資源，也可以設(shè)定內(nèi)部的WWW、FTP、Telnet等服務(wù)提供給外部網(wǎng)絡(luò)使用，解決了IP地址日益短缺的問題。對(duì)于內(nèi)外網(wǎng)絡(luò)用戶，感覺不到IP地址轉(zhuǎn)換的過程，整個(gè)過程對(duì)于用戶來說是透明的。對(duì)內(nèi)網(wǎng)用戶提供隱私保護(hù)，外網(wǎng)用戶不能直接獲得內(nèi)網(wǎng)用戶的IP地址、服務(wù)等信息，具有一定的安全性。通過配置多個(gè)相同的內(nèi)部服務(wù)器的方式可以減小單個(gè)服務(wù)器在大流量時(shí)承擔(dān)的壓力，實(shí)現(xiàn)服務(wù)器負(fù)載均衡。（2）NAT的不足由于需要對(duì)數(shù)據(jù)報(bào)文進(jìn)行IP地址的轉(zhuǎn)換，涉及IP地址的數(shù)據(jù)報(bào)文的報(bào)頭不能被加密。在應(yīng)用協(xié)議中，如果報(bào)文中有地址或端口需要轉(zhuǎn)換，則報(bào)文不能被加密。例如，不能使用加密的FTP連接，否則FTP的port命令不能被正確轉(zhuǎn)換。網(wǎng)絡(luò)監(jiān)管變得更加困難。例如，如果一個(gè)黑客從內(nèi)網(wǎng)攻擊公網(wǎng)上的一臺(tái)服務(wù)器，那么要想追蹤這個(gè)攻擊者很難。因?yàn)樵趫?bào)文經(jīng)過NAT轉(zhuǎn)換設(shè)備的時(shí)候，地址經(jīng)過了轉(zhuǎn)換，不能確定哪臺(tái)才是黑客的主機(jī)。二、源NAT技術(shù)1、NAT地址池（1）創(chuàng)建NAT地址池命令 nataddress-guoupaddress-group-name section[section-id|section-name]start-addressend-address nat-mode{pat|no-pat}在WEB界面配置地址池（見圖11-3）地址池特性2、NAT轉(zhuǎn)換方式不帶端口轉(zhuǎn)換不帶端口轉(zhuǎn)換的地址池方式通過配置NAT地址池來實(shí)現(xiàn)，NAT地址池中可以包含多個(gè)公網(wǎng)地址。轉(zhuǎn)換時(shí)只轉(zhuǎn)換地址，不轉(zhuǎn)換端口，實(shí)現(xiàn)私網(wǎng)地址到公網(wǎng)地址一對(duì)一的轉(zhuǎn)換。如果地址池中的地址已經(jīng)全部分配出去，則剩余內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)時(shí)不會(huì)進(jìn)行NAT轉(zhuǎn)換，直到地址池中有空閑地址時(shí)才會(huì)進(jìn)行NAT轉(zhuǎn)換。（2）帶端口轉(zhuǎn)換此方式下，由于地址轉(zhuǎn)換的同時(shí)還進(jìn)行端口的轉(zhuǎn)換，可以實(shí)現(xiàn)多個(gè)私網(wǎng)用戶共同使用一個(gè)公網(wǎng)IP地址上網(wǎng)，防火墻根據(jù)端口區(qū)分不同用戶，所以可以支持同時(shí)上網(wǎng)的用戶數(shù)量更多。（3）出接口地址方式（EasyIP）出接口地址方式也稱為EasyIP，即直接使用接口的公網(wǎng)地址作為轉(zhuǎn)換后的地址，不需要配置NAT地址池。轉(zhuǎn)換時(shí)會(huì)同時(shí)轉(zhuǎn)換地址和端口，即可實(shí)現(xiàn)多個(gè)私網(wǎng)地址共用外網(wǎng)接口的公網(wǎng)地址的需求。3、配置源NAT策略命令視圖Web視圖4、NATALG現(xiàn)在的防火墻產(chǎn)品主要采用了“狀態(tài)檢測(cè)”機(jī)制來進(jìn)行包過濾?！盃顟B(tài)檢測(cè)”機(jī)制以流量為單位來對(duì)報(bào)文進(jìn)行檢測(cè)和轉(zhuǎn)發(fā)，即對(duì)一條流量的第一個(gè)報(bào)文進(jìn)行包過濾規(guī)則檢查，并將判斷結(jié)果作為該條流量的“狀態(tài)”記錄下來。對(duì)于該流量的后續(xù)報(bào)文都直接根據(jù)這個(gè)“狀態(tài)”來判斷是轉(zhuǎn)發(fā)（或進(jìn)行內(nèi)容安全檢測(cè)）還是丟棄。這個(gè)“狀態(tài)”就是我們平常所述的會(huì)話表項(xiàng)。這種機(jī)制迅速提升了防火墻產(chǎn)品的檢測(cè)速率和轉(zhuǎn)發(fā)效率，已經(jīng)成為目前主流的包過濾機(jī)制。4、防火墻的查詢和創(chuàng)建會(huì)話為什么需要NATALGNATALG（ApplicationLevelGateway，應(yīng)用級(jí)網(wǎng)關(guān)）是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理，可以完成應(yīng)用層數(shù)據(jù)中所攜帶的地址及端口號(hào)的轉(zhuǎn)換。NATALG實(shí)現(xiàn)原理NAT與ServerMap表USG設(shè)備引入了Server-map表，Server-map基于三元組，用于存放一種映射關(guān)系，這種映射關(guān)系可以是控制數(shù)據(jù)協(xié)商出來的數(shù)據(jù)連接關(guān)系，也可以是配置NAT中的地址映射關(guān)系，使得外部網(wǎng)絡(luò)能透過設(shè)備主動(dòng)訪問內(nèi)部網(wǎng)絡(luò)。三、服務(wù)器映射及目的NAT技術(shù)1、NATServer內(nèi)部服務(wù)器內(nèi)部服務(wù)器（NATServer）功能是指使用一個(gè)公網(wǎng)地址來代表內(nèi)部服務(wù)器的對(duì)外地址。NATServer特性使用NAT可以靈活地添加內(nèi)部服務(wù)器。例如：可以使用等公網(wǎng)地址作為Web服務(wù)器的外部地址，甚至還可以使用:8080這樣的IP地址加端口號(hào)的方式作為Web的外部地址。外部用戶訪問內(nèi)部服務(wù)器時(shí)，有如下兩部分操作：防火墻將外部用戶的請(qǐng)求報(bào)文的目的地址轉(zhuǎn)換成內(nèi)部服務(wù)器的私有地址；防火墻將內(nèi)部服務(wù)器的回應(yīng)報(bào)文的源地址（私網(wǎng)地址）轉(zhuǎn)換成公網(wǎng)地址。NATServer配置（SLI）（WEB）NATServer是最常用的基于目的地址的NAT。當(dāng)內(nèi)網(wǎng)部署了一臺(tái)服務(wù)器，其真實(shí)IP是私網(wǎng)地址，但是希望公網(wǎng)用戶可以通過一個(gè)公網(wǎng)地址來訪問該服務(wù)器，這時(shí)可以配置NATServer，使設(shè)備將公網(wǎng)用戶訪問該公網(wǎng)地址的報(bào)文自動(dòng)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)器。（WEB方式）2、目的NAT在移動(dòng)終端訪問無線網(wǎng)絡(luò)時(shí)，如果其缺省WAP網(wǎng)關(guān)地址與所在地運(yùn)營商的WAP網(wǎng)關(guān)地址不一致時(shí)，可以在終端與WAP網(wǎng)關(guān)中間部署一臺(tái)設(shè)備，并配置目的NAT功能，使設(shè)備自動(dòng)將終端發(fā)往錯(cuò)誤WAP網(wǎng)關(guān)地址的報(bào)文自動(dòng)轉(zhuǎn)發(fā)給正確的WAP網(wǎng)關(guān)。目的NAT配置命令四、11.4 雙向NAT技術(shù)1、雙向NAT技術(shù)概述常規(guī)地址轉(zhuǎn)換技術(shù)只轉(zhuǎn)換報(bào)文的源地址或目的地址，而雙向地址轉(zhuǎn)換（BidirectionalNAT）技術(shù)可以將報(bào)文的源地址和目的地址同時(shí)轉(zhuǎn)換，該技術(shù)應(yīng)用于內(nèi)部網(wǎng)絡(luò)主機(jī)地址與公網(wǎng)上主機(jī)地址重疊的情況。雙向NAT技術(shù)可以分為兩種應(yīng)用場景：域間雙向NAT（NATServer+源NAT）域內(nèi)雙向NAT2、多通道協(xié)議技術(shù)2、域間雙向NAT技術(shù)為了簡化配置服務(wù)器至公網(wǎng)的路由，可在NATServer基礎(chǔ)上，增加源NAT配置。當(dāng)配置NATServer時(shí)，服務(wù)器需要配置到公網(wǎng)地址的路由才可正常發(fā)送回應(yīng)報(bào)文。如果要簡化配置，避免配置到公網(wǎng)地址的路由，則可以對(duì)外網(wǎng)用戶的源IP地址也進(jìn)行轉(zhuǎn)換，轉(zhuǎn)換后的源IP地址與服務(wù)器的私網(wǎng)地址在同一網(wǎng)段。這樣內(nèi)部服務(wù)器會(huì)缺省將回應(yīng)報(bào)文發(fā)給網(wǎng)關(guān)，即設(shè)備本身，由設(shè)備來轉(zhuǎn)發(fā)回應(yīng)報(bào)文。4、域內(nèi)雙向NAT技術(shù)3、端口識(shí)別對(duì)多通道協(xié)議的支持端口識(shí)別，也稱端口映射，是防火墻用來識(shí)別使用非標(biāo)準(zhǔn)端口的應(yīng)用層協(xié)議報(bào)文。端口映射支持的應(yīng)用層協(xié)議包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、SIP、SQLNET。6、分片緩存分片緩存配置相關(guān)命令：配置分片緩存老化時(shí)間命令Firewallsessionaging-timefragmentinterval(1-40000)；開啟/關(guān)閉分片報(bào)文直接轉(zhuǎn)發(fā)功能命令Firewallfragment-forwardenable/disable；7、長連接長連接相關(guān)命令：配置長連接老化時(shí)間Firewalllong-linkaging-timetime；開啟長連接功能Firewallinterzonezone-name1zone-name2；lonk-linkacl-number{inbound|outbound}；【學(xué)生練習(xí)】綜合實(shí)驗(yàn)：基于IP地址的轉(zhuǎn)發(fā)策略實(shí)驗(yàn)?zāi)康模赫莆栈贗P地址控制訪問的配置方法實(shí)驗(yàn)拓?fù)鋱D，如圖10-37所示：圖10-37實(shí)驗(yàn)拓?fù)鋱D實(shí)驗(yàn)步驟（CLI）步驟一：配置各個(gè)接口的IP地址并加入相應(yīng)的安全區(qū)域。<SRG>system-view配置防火墻各接口的IP地址，命令如下：[USG]interfaceGigabitEthernet0/0/0[USG-GigabitEthernet0/0/0]ipaddress24[USG-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/1[USG-GigabitEthernet0/0/1]ipaddress24[USG-GigabitEthernet0/0/1]quit將防火墻的G0/0/0接口加入trust區(qū)域[SRG]firewallzonetrust[USG-zone-trust]addinterfaceGigabitEthernet0/0/0[USG-zone-trust]quit將防火墻的0/0/1接口加入untrust區(qū)域[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG-zone-untrust]quit步驟二：配置名稱為ip_deny的地址集，將幾個(gè)不允許通過防火墻的IP地址加入地址集。創(chuàng)建名稱為ip_deny的地址集[USG]ipaddress-setip_denytypeobject將不允許通過防火墻的IP地址加入ip_deny地址集[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]quit步驟三：創(chuàng)建不允許通過防火墻IP地址的轉(zhuǎn)發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_deny[USG-policy-security-rule-policy_deny]source-addressaddress-setip_deny[USG-policy-security-rule-policy_deny]actiondeny[USG-policy-security-rule-policy_deny]quit步驟四：創(chuàng)建允許其他屬于/24這個(gè)網(wǎng)段的IP地址通過防火墻的轉(zhuǎn)發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_permit[USG-policy-security-rule-policy_permit]source-address24[USG-policy-security-rule-policy_permit]actionpermit[USG-policy-security-rule-policy_permit]quit步驟五：測(cè)試不同IP地址通過防火墻的情況。Trust區(qū)域三臺(tái)PC分別用ping命令測(cè)試與untrust區(qū)域的www服務(wù)器的連通情況，應(yīng)該只有PC3的可以ping通服務(wù)器。實(shí)驗(yàn)步驟（Web）步驟一：配置各個(gè)接口的IP地址，并加入相應(yīng)的安全區(qū)域，如圖10-38所示。選擇“網(wǎng)絡(luò)>接口>GE1/0/0”，配置接口IP地址，并加入到Trust區(qū)域。圖1