NAT与基本防火墙.ppt

第10章 NAT与基本防火墙,本章主要介绍NAT和基本防火墙的使用 NAT（Network Address Translation，网络地址转换）可以让网络内的多台计算机只要共享一个公共IP地址，就可以同时连接到Internet 而基本防火墙（Basic firewall）可以增加网络的安全性，减少非法用户通过Internet入侵内部网络的机会。,10.1 NAT的特色与原理,Windows Server 2003的NAT有以下特色： 支持多人同时通过NAT来上网，而只需使用一个public IP 支持内部多个局域网同时通过NAT上网 支持DHCP功能，用来自动分配IP地址给局域网内的计算机 支持DNS代理的功能，用来替局域网内的计算机查询IP地址 支持TCP/UDP端口映射的功能，让外界的用户可以访问内部的网站、邮件服务器等 支持多个public IP与地址映射的功能，以便让外界的特殊应用软件可以通过NAT来与网络内部的应用程序通信,10.1.1 NAT的网络结构图实例,NAT服务器具备路由器功能，因此扮演NAT角色的计算机至少需要两个网络接口，分别用来连接Internet和内部局域网，常见的有以下几种结构： 利用固定ADSL来连接Internet 利用非固定ADSL来连接Internet之一，遇上一种结构的区别就是，其中一个接口需要进行PPPoE请求拨号 利用非固定ADSL来连接Internet之二，只需要一个网络接口，但安全性和效率都比较差 利用Cable Modem来连接Internet 利用调制解调器来连接Internet,10.1.2 NAT的IP地址,NAT服务器的每一个网络接口都必须要有一个IP地址，且不同接口的IP地址有不同的设置： 若是连接到Internet的网络接口，则它的IP地址必须是public IP 若是连接到内部局域网的网络接口，则它的IP地址必须是private IP，常用的private IP网段有10.0.0.0、172.16.0.0172.31.0.0、192.168.0.0,10.1.3 NAT的工作原理,NAT运行的基本过程，就是执行IP地址与端口的转换工作，通过下表介绍工作原理（计算机通过NAT服务器访问Web服务器的过程）：,10.2 NAT架设实例演示,10.2.1 固定ADSL的NAT设置 步骤一：,步骤二：,步骤三：如果系统没有检测到网络上有DHCP或DNS系统时，将会打开下面的对话框。,步骤四：,10.3 DHCP分配器与DNS代理,10.4 内部网络的开放与防火墙,Windows Server 2003的NAT服务器具备以下功能： 基本防火墙 可用来加强内部网络的安全性 TCP/UDP端口映射 让外界的用户可以访问内部的网站、邮件服务器等 多个public IP与地址映射 让外界特殊的应用程序可以通过NAT来与内部的应用程序通信,10.4.1 NAT网络接口与防火墙,在“NAT/基本防火墙”中打开外网接口的属性（注：只有对外连接的公用接口才可启用基本防火墙），如下图：,上图中有三个选项： 专用接口连接到专用网络 若此接口用来连接到内部局域网，选择此项 公用接口连接到Internet 若此接口用来连接到Internet，选择此项，并可以选择是否启用NAT与基本防火墙功能 仅基本防火墙 表示此接口只提供基本防火墙的功能，不提供NAT功能,Windows Server 2003的基本防火墙同时具备“静态数据包筛选”和“动态数据包筛选”的双重功能： 静态数据包筛选 通过“入站筛选器”和“出站筛选器”按钮来设置 动态数据包筛选 即所谓的“状态数据包检测（Stateful Packet Inspection，SPI）”，它不接受从Internet主动传送进来的数据包，只接受响应内部计算机请求的数据包。,10.4.2 端口映射,由于内部网络中的服务器使用的是private IP，因此在默认情况下不允许外部计算机访问内部的计算机，但我们可以通过TCP/UDP端口映射的功能解决这一问题。它的原理就是让NAT在接收到外部计算机的数据后，通过数据包中包含的端口号来决定此数据应该转发到内网中的那一台计算机上。,设置方法：,按照上面两张图设置完成后，当外部传送给NAT的数据包，如果是80端口的TCP数据包，则NAT会将其转送IP地址为192.168.0.1的服务器，并且有端口为80的软件来处理。 注：此功能适合于对外接口采用固定IP的结构。,10.4.3 地址映射,对某些应用程序而言，只开放部分端口可能不能保证它的正常工作，这是我们可以采用地址映射的方式来解决这个问题。它的工作原理是将一个public IP映射到内网的某台计算机，以后所有从外部传送给此public IP的数据包，无论其目的端口为何，都会被NAT服务器传送给此计算机。 注：要求有多个public IP。,地址池的设置,地址映射的设置 若要开放外面的计算机主动与内部计算机通信，则必须选取“允许将会话传入到此地址”，但此时若没有做任何数据包筛选的设置，则此计算机将处于不设防状态。,10.5 Internet连接共享（ICS）,它是NAT的简易版本，只需要一个public IP，但使用比较缺乏弹性，如： 只支持一个内部局域网通过它访问Internet 无法将DHCP功能停用，也无法改变设置 DHCP只能指派Network ID为192.168.0.0的IP地址 只支持一个public IP，无“地址映射”功能,配置方法：选择连接Internet的网络接口，打开它的“属性”，选择“高级”标签。,注意：上图完成后，对内部局域网的网络接口的IP地址默认会被设置为192.168.0.1，可比较下面两幅图。 启用ICS前 启用ICS前后,10.6 IPSec跨越NAT的问题,若在使用NAT时，也采用了IPSec，就可能会产生问题，因为NAT会改变数据包的包头，而IPSec却不允许变更数据包的包头。 IPSec有“传输模式”和“隧道模式”两种，它的安全措施也有以下两种： AH（Authentication Header） AH会将所传送的信息签名，但不会将信息加密。 ESP（Encapsulation Security Protocol）ESP也会将所传送的信息签名，同时还会将信息加密。 所以两种传输模式和两种安全措施可组成四种不同的数据包格式。,IPSec与NAT配合使用时的问题： AH传输与隧道模式 这两种模式下，IPSec都会将整个数据包签名，也就是不允许修改数据包的任何信息，因此NAT若改变数据包内的IP地址或TCP/UDP端口， IPSec都会将此数据包视为无效。 ESP传输与隧道模式 ESP传输模式的原始IP包头，或ESP隧道模式 的新隧道模式都还保留原状，并没有被IPSec签名或加密，但TCP/UDP端口却被加密，因而无法读取。,解决的方法： Windows Server 2003支持将ESP模式的IPSec数据包，封装到UDP包头内的功能。数