如何让IPSec与NAT和平共处

来源 :高校教育研究 | 被引量 : 0次 | 上传用户:xdlclub
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘要】随着互联网的普及,人们生活便利的同时伴随而来的是信息安全的问题和IPv4地址面临枯竭。解决问题的方法IPSec与NAT之间又存在很大的兼容性问题。本文从IPSec与NAT的原理入手,论述了二者的兼容醒问题及解决的方法。
  【關键词】互联网 IPSecNAT
  【中图分类号】TP393.4 【文献标识码】A 【文章编号】1009-9646(2008)08(b)-0160-01
  Abstract:Along with Internet popularization, the people live are the information security question and the IPv4 address which convenient at the same time follows comes faced with the depletion.Solves between question method IPSec and NAT has the very big compatible problem.This article from IPSec and the NAT principle obtaining, elaborated the two to awake compatibly the question and the solution method.
  Key words: InternetIPSec NAT
  
  随着互联网的普及,人们对互联网的依存度越来越高,以现在奥运为例,互联网已经成为人们获取奥运信息的最重要方式之一。但随之而来的是两个愈来愈严重的两个问题:网络信息安全面临各种各样的挑战和IP地址(IPv4)面临枯竭。
  虽然IPv6的使用能较大的缓解这两个问题的压力,但处在这个IPv4向IPv6的过渡时期,我们必须要有一定的方法来解决问题。一个办法是IPSec(网络协议安全),它可以使用户安全的接入互联网;另一个办法是NAT,它一方面可以缓解IP地址枯竭问题,另一方面可以对外隐藏内部网络,提高安全性。下面让我们先简单了解一下它们。
  
  1 IPSec
  IPSec协议是一种端到端的、确保基于IP通讯的数据安全性的机制。它不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,主要包括:鉴定报头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload),密钥管理协议IKE(Internet Key Exchange)协议和用于网络验证级加密的一些算法等。它支持对数据加密,同时确保数据的完整性。它提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可有效抵御网络攻击,同时保持易用性。它在IPv4中是一项可选支持的服务,在IPv6中是一项必须支持的服务。
  基本工作原理是:发送方在数据传输前对数据加密,数据以密文方式传输,到达目的节点后由接收端实施解密,而掌握加解密方法的只有数据流的发送端和接收端。不采用数据加密时, IPSec使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性; IPSec使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。IPSec协议下, 只有发送方与接受方知道秘密密钥.如果验证数据有效,接受方就可以知道数据来自发送方,并且在传输过程中没有受到破坏。它的特点是对数据的加密以数据包而不是数据流为单位,不仅灵活,也有助于进一步提高安全性。
  IPSec有两种模式:传输模式和隧道模式。传输模式只对IP分组应用IPSec协议,对IP报头不进行任何修改,它只能应用于主机对主机的IPSec虚拟专用网VPN中。隧道模式中IPSec将原有的IP分组封装成带有新的IP报头的IPSec分组,这样原有的IP分组就被有效地隐藏起来了。
  
  2 NAT
  NAT(Network Address Translation)最初的设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题(私有IP地址只能内部使用,不能在互联网主干网上使用)。具体做法是通过将专用网络地址(如企业内部网Intranet)转换为公用地址(如互联网Internet)。这样通过在内部使用非注册的IP地址,并将它们转换为一小部分外部注册的IP地址,从而节省了目前越来越缺乏的地址空间(IPv4)。同事,这样也隐藏了内部网络结构,降低了内部网络受到攻击的风险。正是这种内部主机地址隐藏的特性使网络地址翻译技术成为了防火墙实现中经常采用的核心技术之一。
  NAT功能通常有软硬两种方法实现。硬件方法是被集成到路由器、防火墙、单独的NAT设备中;软件方法是由网络操作系统和其他代理软件(如WINROUTE)来实现。NAT设备(或软件)维护一个状态表,用来实现内部网络的私有IP地址到外部网络的合法IP地址的映射。
  NAT 分为三种类型:静态NAT(static NAT)、NAT池(pooled NAT)和端口NAT(Port-Level NAT)。其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,这种映射是一对一的,主要作用是隐藏内部地址空间。
  NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络,这样内部地址与外部地址就形成了多对多的动态映射。这种情况主要用于拨号网络,当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。这种映射是多对多的,既可以节省地址,又可以隐藏内部地址空间。
  端口NAT是人们最熟悉和常用的一种转换方式,将多个内部地址映射为一个合法公网地址,但以不同的协议端口号与不同的内部地址相对应,也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换。当位于内部网络中的主机通过NAT设备向外部主机发起会话请求时,NAT设备就会查询NAT表,看是否有相关会话记录,如果有相关记录,就会将内部IP地址及端口同时进行转换,再转发出去;如果没有相关记录,进行IP地址和端口转换的同时,还会在NAT表增加一条该会话的记录。外部主机接收到数据包后,用接受到的合法公网地址及端口作为目的IP地址及端口来响应,NAT设备接收到外部回来的数据包,再根据NAT表中的记录把目的地址及端口转换成对应的内部 IP地址及端口,转发给该内部主机。在Internet中使用NAPT时,所有不同的TCP和UDP信息流从外部看起来源于同一个IP地址,既节省了地址空间,又隐藏了内部网络结构。这个优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet。实际上,许多远程访问设备支持基于PPP的动态IP地址。这样,ISP甚至不需要支持NAPT,就可以做到多个内部IP地址共用一个外部IP地址上Internet。
  经过上面的描述,我们会发现:NAT的核心是改变IP地址(NAPT还要改变端口),而IPSec的核心是保护IP头中的IP地址,防止篡改破坏。那么在NAT与IPSec共用的时候会出现几个兼容性问题:
  (1)端口问题。NAT技术我们最常用的是NAPT,NAPT需要改变端口,而改变了端口的数据包是肯定会被接收端的IPSec丢弃的。另外IKE协商时UDP使用的端口号一般固定为500,也是无法共用。
  (2)IP地址问题。NAT最基本的是IP地址转换,而IPSec的AH封装要提供包括IP地址在内的完整性保护,IP地址的改变会导致AH包无效。
  (3)校验和问题。在传输模式中,不管上层协议是TCP还是UDP,都会由一个内容涉及到IP地址的校验和字段,不管是我们前面提到的IP地址改变还是端口改变都会导致校验和发生变化,从而导致IP包被对方丢弃。
  那么我们如何解决这个问题使IPSec与NAT和平共处,鱼与熊掌兼得呢?
  我们注意到在隧道模式的ESP情况下,TCP/UDP报头使不可见的,那么IP地址的转换对高层协议没有影响,也就是说静态NAT可以和ESP IPSec一起工作。
  当然我们最关心的还是NAPT与IPSec的共处,而这个问题的关键在于IKE使用了一个固定的端口号500。一个简单的方法是专门用一个工作站运行IKE以处理所有的IPSec分组,只允许一个IPSec VPN通过。这种情况要保证内外部网络之间转换的源端口号是唯一的,以保证NAPT正常工作。
  另外一个思路是在IPSec中通过IKE自动协商来完成SA的管理,IKE协商与UDP封装两种办法配合使用来完成IPSec穿越NAT。步骤为:首先在IKE协商的前两条消息中加入Vendor ID载荷来确定通信路径和远程主机是否支持NAT穿越;另外在原来的传输模式和隧道模式基础上添加UDP封装隧道模式和UDP封装传输模式;然后在SA协商成功后,利用协商好的安全参数,使用UDP封装,发送ESP数据包,成功穿越NAT实现通信。
其他文献
【摘要】知识迁移普遍存在于各种学习过程中,学生对知识的学习和掌握的过程就是知识迁移过程。迁移过程是通过一系列的认知活动进行的,这些认知活动相互联系、相互制约,构成一个有机整体。研究迁移的内部过程,寻找迁移的主要因素,有助于教学中促进学生知识的正迁移。   【关键词】教学 情境 知识迁移   【中图分类号】G641 【文献标识码】A 【文章编号】1009-9646(2008)08(b)-0144-0
期刊
【摘要】目前移动IPv6基本的功能性问题已经解决,但是协议本身仍然存在安全性问题。本文分析了移动IPv6面临的安全风险,对移动IPv6中提供的两种安全性方法--IPsec和路由返回过程进行了阐述,并对IPsec协议和路由返回过程中的安全问题进行了讨论。   【关键词】移动IPv6 IPsec 密钥交换(IKE) 路由返回过程   【中图分类号】TN911.6 【文献标识码】A 【文章编号】1009
期刊
【摘要】德国林岛诺贝尔奖得主大会是诺贝尔奖得主与全球优秀科学工作者、博士研究生和青年科学家交流及探讨科学问题的盛会。2007年会议的主题是生理医学,笔者有幸成为中国代表团中的一员参加了这次盛会,会后在德国进行了为期一周的学术访问和文化交流。本文就此次德国之行所得到的启示与思考进行总结。   【关键词】诺贝尔奖得主大会 科学素质 教育 启示   【中图分类号】G40-03 【文献标识码】A 【文章编
期刊
【摘要】介绍了乳液核预乳化、壳预乳化、种子制备和乳液制备的基本过程,讨论了软硬单体配比、乳化剂用量、引发剂用量等因素对乳液性能的影响。其中引发剂用量为0.2046g,乳化剂用量为1.37g,缓冲剂用量为1.8g,苯乙烯用量为15ml,丙烯酸用量为2.5ml,甲基丙烯酸甲酯用量为10ml,丙烯酸丁酯用量为22.5ml。   【关键词】高弹性苯丙乳液 自生种子法 壳核共聚 苯丙乳液   【中图分类号】
期刊
【摘要】模具制造有许多新知识新技术,本文简要做一介绍。其中包括:不断发展的工程技术,新型注塑工艺,微型注塑工艺,变温注塑技术,新型钢材提高了精确度,使用多组件模具的注塑装配,新型模具钢具有良好的性能   【关键字】新工艺 新材料   【中图分类号】TG315.2 【文献标识码】A 【文章编号】1009-9646(2008)08(b)-0143-01      由于时代的发展模具的产出地和使用地之间
期刊
【摘要】基于WebCT的网络化教学在提高学生的学习兴趣、思维能力以及自主性等方面都有着明显的优势。本文介绍了网络教学平台的基本原理与作用,以及WebCT的主要功能和发展现状。通过对《计算机网络与通信》双语课程的建设与应用,证明了这种网络教学模式的可行性和优越性。   【关键词】WebCT 网络教学模式 计算机网络与通信   【中图分类号】G642 【文献标识码】A 【文章编号】1009-9646(
期刊
【摘要】社会主义核心价值体系是党中央在新时期提出的一个科学命题,是建设社会主义和谐社会的重要保证和根本指针,为高校努力培养中国特色社会主义事业的合格建设者和可靠接班人指明了方向, 是高校思想新道德教育长期坚持的主题。因此,高校要引领大学生深刻认识社会主义核心价值体系必须融入到国民教育全过程的重要意义,引领大学生认识社会主义核心价值体系的深刻内涵,注重用社会主义核心价值体系引导大学的思想政治教育,促
期刊
【摘要】高等学校理工科双语教学是采用原版教材,用外语作为教学媒介进行专业学科的教学。但是双语教学进行过程中存在着较大的教师专业英语表达和学生专业英语接受的问题。因而在双语教学中采用优化课程结构,理顺课程体系,重点难点反复讲解,培养学生的专业英语思考能力和综合素质的教学方法,营造良好的课堂氛围,是十分必要的。这样既可达到传授知识和技能的作用,也有助于提高学生的综合素质能力,是培养高级双语人才的有效手
期刊
【摘要】《计算机网络》是计算机及相关专业的一门重要的专业必修课,其实验教学是课程的重要环节,教学质量的高低将直接影响整个课程的学习。本文首先分析了《计算机网络》课程实验教学中存在的不足,然后提出了相应的改革方案和措施,最后探讨了《计算机网络》实验内容的设计依据和实验安排。   【关键字】计算机网络 实验教学 教学改革 实验类型   【中图分类号】H191 【文献标识码】A 【文章编号】1009-9
期刊
【摘要】本文针对当前高校贫困生问题的成因、概况进行了简要论述,并从学生工作的方式方法入手对贫困生的教育管理问题进行具体化的探讨,以此阐明在高等教育大众化的背景之下,应当在关于高校贫困生问题的学生工作中引入社会工作理论与实务、“心理干预”等方案、策略与措施,以期达到对贫困生的健康发展起到良好引导、帮助作用的目的。   【关键词】高等学校 贫困生 学生工作 心理问题干预 社会工作   【中图分类号】G
期刊