网络地址转换在网络安全中的具体应用

核心提示： 当人们考察IP包过滤防火墙时，意识到其发挥的功能过于单一，网络地址转换在网络安全中的具体应用(4)，它仅仅是根据IP包中源及目的地址来判定一个包是否可以通过，而这二个地址是很容易披篡改和伪造的，对其它进程的响应也慢到无法忍受的地步甚至死机，这种攻击在传统的防火墙技术中几乎无法克服，一旦网络

当人们考察IP包过滤防火墙时，意识到其发挥的功能过于单一，它仅仅是根据IP包中源及目的地址来判定一个包是否可以通过。而这二个地址是很容易披篡改和伪造的，一旦网络的结构暴露给外界后，就很难抵御IP层的攻击行为。改进IP包过滤功能的一个有效途径就是改变这种确定性的过滤规则。采用网络路由中网络地址转换技术、通过在网关上对进出口IP包源与目的地址的转换，完全可以实现过滤规则的动态化，使得外部网中的主机或使用者难以了解和掌握与自己通信的对方的真实网络地址。因为外部网所接收到的数据包中的地址都已被网关改写过了，反映到外部网中就是一个虚拟的主机。这样，一方面通过在网络层(IP层)将内部网与外部网隔离开，使得内部网的拓扑结构、域名及地址信息对外成为不可见或不确定信息，从而保证了内部网中主机的隐蔽性．使绝大多数攻击性的试探失去所需的网络条件；另一方面，以此为基础能非常有效地控制各种出入数据包，不仅能大大提高IP包过滤的灵活性，更重要的是为提高网关系统转发报文的效率提供了一个安全的平台。同时在很大程度上还保证了网络通信的透明性。NAT技术的引入，为传统IP层中的安全技术增加了新的特性，改变了只能按照地址匹配算法进行简单的过滤控制这一状况。 NAT只能安装在网关系统上，而这也正是普通防火墙系统通常所处的位置。因此NAT技术的应用很自然地就被集成在防火墙系统内，成为众多的安全防护手段之一。

2.2 基于NAT技术的防火墙的特点

与其它网络安全技术相比，NAT技术的实现比较安全。它完全局于一种系统底层的功能，不像PROXY等基于应用的方式，其安全性依赖于系统对于应用程序所提供的安全服务水平。在多用户的操作系统中这种安全性一般都难以达到理想条件，由于NAT技术的实现与运行平台十分有关，往往需要直接改动系统本身，再加上商业利益等因素决定了它的实现方式都是不公开的，所以很难被其他人所研究，不会在短时间内发现严重的安全漏洞。另外，NAT技术对网络运作的影响也十分有限，它对TCP／IP协议基本上提供了透明的服务，对网络应用则毫无影响。如果没有被告知，通信双方完全感觉不到NAT网关的存在。而SOCKS或PROXY技术则要求先安装适当的客户端软件，使用者还要了解网关的一些有关信息，以配置客户端软件所需用的参数，否则无法使用。与应用型的安全技术相比，NAT技术还有形式简洁的优点。它仅仅是修改过往的数据包个别信息，与网关两侧的网络环境相适应，无需像PROXY技术那样，要充分了解某一协议内部的各种功能和细节，针对每一种功能提供相关的服务。这些对比都表明NAT技术用于网络安全是具有很大优越性。另外，由于NAT技术所特有的地址转换能力，使得基于这一技术实现的防火墙的安全性也比其它类型的防火墙有很大的提高。

首先，防火墙在完成中继系统功能的同时，还完全屏蔽了内部子网的各种重要的协议信息，包括IP地址、城名分配情况、路由信息、内部网拓扑结构等重要数据。这就使得外部网的攻击无从发起，这种安全保障的强度是一般防火墙技术所无法比拟的。另外．由于NAT技术的地址转换机制．它对各种网络攻击方法还有独到的防护能力。下面主要就TCP SYN报文掩没(TCP SYN-FLOODING)这种特殊的服务失效型(Denia1 of Service)网络攻击方式对其作一说明。

一般说来，SYN FLOOING属于传输层的一种攻击手段，它借用了TCP协议体系中的一些漏洞，使主机上网络协议的实现软件发生崩溃造成服务失效。主要方法是在TCP连接建立的过程中．利用初始化时的3次握手机制需要主机上的网络实现部分为其留出必要的状态信息和接收与发送的数据缓存这一前提。因此，当1台主机恶意地向另1台主机连续地只发送SYN报文(即3次握手中的第1个报文)而不发送相应的响应报文(即3次握手中的第3个报文)时，出于早期设计者对网络传输可靠性的担心，网络协议的实现软件会一直保留这一连续请求的状态直至超时。然而，大多数早期系统的超时时间都被错误地设置成一个过大的值，这就造成缓冲区迅速被用尽，而系统却无法实施适当的干预。于是系统不仅对外的网络响应完全丧失，很多系统还会造成内部资源耗尽，对其它进程的响应也慢到无法忍受的地步甚至死机。这种攻击在传统的防火墙技术中几乎无法克服。因为它利用的是T。