网络地址转换在网络安全中的具体应用

核心提示： 10．0．0．0 一一 10．255．255．255172．16．0．0 一一 172．31．255．255192．168．0．0 一一 192．168．255．255由于这部分地址的路由信息被禁止出现在Internet骨干网络中，所以如果在Internet中使用这些地址是不会被任何路由器

10．0．0．0 一一 10．255．255．255

172．16．0．0 一一 172．31．255．255

192．168．0．0 一一 192．168．255．255

由于这部分地址的路由信息被禁止出现在Internet骨干网络中，所以如果在Internet中使用这些地址是不会被任何路由器正确转发的，因而也就不会因大家都使用这些地址而相互之间发生冲突。在边界路由器中设置一定的地址转换关系表并维持一个注册的真实IP地址池(IP Pool)，通过路由器中的转换功能将内部的虚拟地址映射为相应的注册地址，使得内部主机可以与外部主机间透明地进行通信。

NAT技术员一般的形式为:NAT网关依据一定的规则，对所有进出的数据包进行源与目的地址识别，并将由内向外的数据包中源地址替换成一个真实地址(注册过的合法地址)，而将由外向内的数据包中的目的地址替换成相应的虚地址(内部用的非注册地址)。NAT网关对地址的转换过程实例如下:

实例环境:内部网使用虚拟地址空间为10．0．0．0-10．255．255．255，对外拥有注册真实IP地址为202．119．1．0-202．119．1．255，内部主机IHl、IH2地址分别设为10．0．1．1和10．0．2．2，另一外部网主机OH1地址为202．112．196．7．网络拓扑结构如图1所示。

当内部网主机IH1与外部网主机OHl建立联系时，由于网关对外将其映射为一注册的真实地址202．119．1。23，所以它的IP包头中的IP地址在网关处被转换成这一地址。于是会产生图2所示的IP数据包:

(1)图2(a)为IH1发出的IP包。

(2)经过网关后被转换为图2(b)的形式。