· 71 ·
Software
软件 2011 年第 32 卷 第 12 期 国际 IT 传媒品牌
基于地址映射的网络安全策略研究
*
陶志勇
1,2
王如龙
2
张 锦
2
(1. 长沙民政学院信息中心,湖南 长沙 410004;2. 湖南大学软件学院,湖南 长沙 410082)
摘 要:
针对网络访问中存在的安全隐患,以私网安全性问题为对象进行研究,提出了基于 NAT 技术的私网安全解决方法。提
出的方法将 NAT 技术中的地址映射策略扩展到私网用户对私网服务器的访问过程中,实现私网服务器对用户的透明。分析结果表
明,这种方法能有效屏蔽私网服务器的 IP 地址,隔离基于 IP 地址的网络攻击,提高网络安全性。
关键词:
网络安全,NAT,地址映射,策略
中图分类号:
TP393
文献标识码:
A
DOI: 10.3969/j.issn.1003-6970.2011.12.023
Network Security Strategy Based on Address Mapping
TAO-Zhiyong
1
, WANG-Rulong
2
, ZHANG-Jin
3
(1.Information Center of Changsha social work college, Changsha 410004,PRC; 2.Software school of Hunan University, Changsha 410082,PRC)
【
Abstract
】
As to safety trouble during network accessing process, security problem in private network is researched and a resolving
method is proposed based on NAT technology. In the proposed method, address mapping strategy in NAT technology is introduced to the
process of users in private network accessing private servers. So, the aim that IP address of private servers are hidden effectively and the
network attack based on IP address is isolated. The network security is improved.
【
Key Word
】
network security; NAT; address mapping; strategy
0 引 言
在网络技术和网络设备不断发展的今天,网络安全性
[1]
和
健壮性
[2]
问题正日益变得重要。如何加强网络的安全性和健
壮性,已经成为网络建设和网络应用部署过程中迫切需要解决
的问题。对于网络的安全性和健壮性,过去常用的方法主要是
通过加强外网则用户的攻击防护,来加强网络的安全性和健壮
性,其实大部分网络威胁是来自于内网的,如何加强内网的安
全性和健壮性是当前网络技术和网络设备急需解决的问题。
在这种背景下,许多加强内网的网络安全性和健壮性技
术应运而生,比如说消除环路的 STP 技术,防止 ARP 攻击的
ARP Detection 和 DHCP Snooping 技术,加强内网服务器安
全访问的 NAT 技术
[3]
。NAT(Network Address Transla-
tion,网络地址转换)是将 IP 数据报文头中的 IP 地址转换为另
一个 IP 地址的过程。在实际应用中,NAT 主要用于实现私有
网络访问公共网络的功能。这种通过使用少量的公网 IP 地址
代表较多的私网 IP 地址的方式,将有助于减缓可用公网 IP 地
址空间的枯竭 ; 同时通过网络地址转换对于公网用户来说并
不知道私网用户的存在,把私网内的用户作了隐藏,而作为公
网用户要访问私网内的服务器可以通过 NAT SERVER 地址
映射技术来实现,这样一来加强了公网用户访问私网用户时的
网络安全性和健壮性
[4,5]
。
NAT SERVER 地址映射
[6]
技术只是增强了公网用户访
问私网用户时的网络安全性和健壮性,而私网用户访问私网内
的服务器时网络的安全性和健壮性并没有加固,本文针对该问
题通过对 NAT 技术原理的深入了解后,巧妙的运用 NAT 技
术使私网用户能通过公网地址来访问私网内服务器,从而加强
私网内的网络安全性和健壮性
[7,8]
。
1 NAT 技术原理
RFC 1918为私有网络预留出了三个IP地址
块: 分 别 是 A 类:10.0.0.0 ~ 10.255.255.255;B 类:
172.16.0.0 ~ 172.31.255.255;C 类:192.168.0.0 ~
192.168.255.255。这三个地址块的地址任何公司和个人不必
向 ISP 或注册中心申请而可以给公司和个人自由使用。而拥
有这三个地址块的私有地址的公司或个人想上公有网络得通
过 NAT 技术来实现
[9]
。
NAT 技术的实现有多种方式,包括:一对一、多对一、NAT
SERVER 映射等,下面分别说明如下。
1.1 一对一 NAT 技术的实现
一对一技术的实现过程如图 1 所示。其具体处理过程可
基金项目:
国家 863 计划项目(2009AA010314),国家科技支撑计划项目(2006BAF01A13)
作者简介:
陶志勇(1980-)男,湖南长沙人,硕士研究生,高级工程师,主要研究方向:企业信息化。
通信作者:
王如龙(1954-),男,湖南益阳人,教授,硕士生导师,主要研究方向:企业信息化。
网络与通信安全