网络地址转换在网络安全中的具体应用

核心提示： (3)图2(c)为其返回的IP包形式，(4)进入网关后转换为图2N)的形式，网络地址转换在网络安全中的具体应用(3)，在以上的包传输过程中，内部的虚拟地址10．0．1．1与外部的真实地址202．119．1．23之间构成一一对应关系，在功能和设备性能上都有了很大的提高，随着NAT技术的应用越

(3)图2(c)为其返回的IP包形式。

(4)进入网关后转换为图2N)的形式。

在以上的包传输过程中，内部的虚拟地址10．0．1．1与外部的真实地址202．119．1．23之间构成一一对应关系，经过网关时须进行必要的转换工作，这正是NAT技术名称的由来。其它内部主机与外部主机连接过程与之类似，但内部主机(IHl，IH2)之间的连接直接使用虚拟地址而不需要经过网关的转换。

本例的转换形式只是一种特定的NAT转换(向转换形式)。从网关的出入方向看，NAT有入向转(inbound)、出向转换(outbound)和双向转换(bi-directional)3种形式。绝大多数应用都属于入向转换形式，其它2种形式极少用到。因为目前的网络通信基本上都是在与Internet之间发生。Internet的地址空间极其庞大，无法再做有效的地址变换(考虑IPv6的情况除外)，因而外部地址一般不会在网关处进行变换。从转换对应关系的角度来看，NAT还可分为静态转换和动态转换二类。所谓静态转换就是在网关上预先设置好虚拟地址与实际地址的一一对应关系，在工作时不作实时更改；而动态转换则无需预先设置，直接由网关在运行时根据网络连接和地址空间的使用情况自行决定地址对应关系。

2 基于HAT技术的网络防火墙

2.1 HAT技术的应用

NAT技术在网络安全领域的应用主要集中在大型的商业性防火墙产品中。具有代表性的产品有Checkpoint公司的Firewal1、IBM公司的Secure Network Gateway。

NAT技术的最初应用是以普通网关的形式出现的。当时功能还很简单，仅仅用于研究实验。之后少数路由器厂商推出了专用的NAT路由器，在功能和设备性能上都有了很大的提高。随着NAT技术的应用越来越广泛，其自身的技术特点在网络安全领域也逐渐显示出其独特的应用价值。