Eudemon系列防火墙地址转换技术白皮书0508V10文档格式.docx
《Eudemon系列防火墙地址转换技术白皮书0508V10文档格式.docx》由会员分享,可在线阅读,更多相关《Eudemon系列防火墙地址转换技术白皮书0508V10文档格式.docx(18页珍藏版)》请在冰点文库上搜索。
3.3强大的内部服务器支持11
3.4强大的业务支撑12
3.5对注册服务支持良好12
3.6无数目限制的PAT方式转换13
3.7支持多接口负载分担14
3.8地址转换多实例特性14
3.9针对用户的连接数目管理15
4组网应用15
4.1城域网出口地址转换解决方案15
4.2宽带接入用户地址转换解决方案16
4.3地址重叠多VPN统一访问Internet解决方案16
Eudemon系列防火墙地址转换技术白皮书
Keywords关键词:
NAT、地址转换、私有地址、公有地址、Eudemon系列防火墙
Abstract摘要:
本文详细介绍了Eudemon系列防火墙支持的地址转换技术,并且结合地址转换的技术特点给出了相关应用中的组网方案。
Listofabbreviations缩略语清单:
Abbreviations缩略语
Fullspelling英文全名
Chineseexplanation中文解释
NAT
NetworkAddressTranslation
网络地址转换
ACL
AccessListControl
访问控制列表
1
概述
随着Internet的发展,IP地址短缺问题已经成为了一个越来越严重的问题。
在IPV6使用之前,地址转换(NetworkAddressTranslation)技术是解决这个问题的一个最主要的技术手段。
通过地址转换技术可以使用私有地址提供Internet访问技术,本文就是详细描述了地址转换技的技术、使用范围、组网方案等问题。
地址转换主要是因为Internet地址短缺问题而提出的,利用地址转换可以使内部网络的用户访问外部网络(Internet),利用地址转换可以给内部网络提供一种“隐私”保护,同时也可以按照用户的需要提供给外部网络一定的服务,如:
WWW、FTP、TELNET、SMTP、POP3等。
地址转换技术实现的功能是上述的两个方面,一般称为“正向的地址转换”和“反向的地址转换”。
在正向的地址转换中,具有只转换地址(NAT)和同时转换地址和端口(PAT)两种形式。
2地址转换技术介绍
2.1IP地址短缺问题
所谓IP地址就是给每一个连接在Internet上的主机分配一个唯一的32bit地址,IP地址是由InternetAssignedNumbersAuthority(IANA)组织统一分配的,保证在Internet上没有重复的IP地址。
IP地址是一个32Bit的地址,由网络号码和主机号码两部分组成。
为了便于对IP地址进行管理,同时还考虑到网络的差异很大,有的网络拥有很多的主机,而有的网络上的主机则很少。
因此Internet的IP地址就分成为五类,即A类到E类,其中能被使用的是A、B、C三类。
图1IP地址示意图
A类IP地址的网络号码数不多,目前几乎没有多余的可供分配,现在能够申请到的IP地址只有B类和C类两种。
当某个单位申请到IP地址时,实际上只是拿到了一个网络号码net-id。
具体的各个主机号码host-id则由该单位自行分配,只要做到在该单位管辖的范围内无重复的主机号码即可。
由于当初没有预计到微机会普及得如此之快,各种局域网和局域网上的主机数目急剧增长,另外由于申请IP地址的时候是申请的“网络号码”这样在使用时,有时候也有很大的浪费。
例如:
某个单位申请到了一个B类地址,但该单位只有1万台主机。
于是,在一个B类地址中的其余5万5千多个主机号码就白白地浪费了,因为其他单位的主机无法使用这些号码。
地址转换(NetworkAddressTranslation)技术,就是解决地址短缺问题的一个主要的技术手段。
2.2公有地址和私有地址
Internet是连接了许多的局域网的一个网络,可以连接各种不同类型的局域网。
局域网的类型可以很多,我们在本文讨论的局域网都是使用TCP/IP协议连接的局域网。
如果局域网采用TCP/IP协议连接,局域网的每台机器都必须拥有一个IP地址,为了使得局域网的IP地址可以被局域网自己规划,IANA组织在A、B、C类IP地址中各选出一个网段做为“私有地址”,供各个局域网按照自己的需要自由分配。
私有地址是指内部网络(局域网内部)的主机地址,而公有地址是局域网的外部地址(在因特网上的全球唯一的IP地址)。
因特网地址分配组织规定以下的三个网络地址保留用做私有地址:
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
也就是说这三个网络的地址不会在因特网上被分配,但可以在一个企业(局域网)内部使用。
各个企业根据在可预见的将来主机数量的多少,来选择一个合适的网络地址。
不同的企业,他们的内部网络地址可以相同。
如果一个公司选择其他的网段作为内部网络地址,则有可能会引起路由表的混乱。
很明显,私有地址是不会在Internet上看见的,在Internet上可见的IP地址称为公有地址。
使用私有地址转换的主机是不能直接访问Internet的,同样的道理,在Internet上也不可能访问到使用私有地址的主机。
2.3地址转换适用的情况
如果某个单位使用私有地址建立局域网,按照主机的用途,局域网内部的主机可以大致分为如下三类:
1.仅仅只是用来办公使用,不需要直接访问Internet。
2.做为办公使用,但是在有些时候需要访问Internet。
3.做为资源存放用途,并且可以被Internet上的用户访问(例如一个WEB服务器)。
图2地址转换组网应用示意图
参考图2,内部网络就是使用了一个上述的“私有地址”的内部局域网。
其中“资源服务器”的机器就是属于1)情况描述的主机,它不需要访问Internet。
“浏览网页”的机器属于2)情况描述的主机,它需要在有时候访问Internet。
WebServer属于3)情况描述的主机,是台WEB服务器,同时也可以被外部网络访问。
该局域网通过一台路由器接入Internet。
通过地址转换技术,可以使这个内部局域网的所有主机(或者部分主机)可以访问Internet(外部网络)。
只有当内部局域网内部的主机需要访问Internet的时候,地址转换技术可以为这台主机分配一个临时的合法的IP地址,使得这台主机可以访问Internet,因此每台内部局域网的主机不需要都拥有合法的IP地址就可以访问Internet了,这样就大大节约了合法的IP地址。
当采用了地址转换技术,内部局域网的主机对Internet就是不可见的了,Internet的主机就不能直接访问内部局域网中的主机。
当内部局域网需要给外部网络提供一定的服务的时候(例如提供一个www的服务器),可以使用地址转换提供的“内部服务器”功能。
“内部服务器”功能是一种“反向的”地址转换,普通的地址转换是提供内部网络中的主机访问外部网络的,而“内部服务器”功能提供了外部网络的主机访问内部网络中使用私有地址的主机的能力。
2.4PAT方式的地址转换
某个局域网用户使用私有地址建立了局域网,当这个局域网准备和Internet连接的时候,该局域网拥有的合法IP地址数量可能远远小于局域网内部的用户数量。
例如某个局域网有50台主机需要访问Internet,而实际的合法IP地址只有5个。
对于这样的情况,如果希望能保证所有的主机都能访问Internet,就不能采用地址到地址的映射方式。
为了解决这个问题,提出了一种PAT(PortAddressTranslation)方式的地址转换,也就是不但使用地址参与转换,而且使用TCP/UDP的端口参与转换,这样通过一个IP地址就可以同时为多台主机提供访问Internet的能力
由于提出地址转换技术的根本原因是就是因为IP地址短缺问题,因此,现在PAT方式的地址转换是主要的地址转换形式。
2.5EASYIP技术
Eudemon防火墙可以支持EASYIP特性,在地址转换的过程中,直接使用接口的IP地址做为转换后的源地址,可以适用在拨号口、ISDN接口、通过协商得到IP地址的情况,特别适合小型局域网访问Internet的情况。
例如,某个局域网通过路由器连接Internet,通过拨号方式协商得到合法的IP地址。
可以使用EASYIP特性,使得内部局域网的用户都通过这个接口的IP地址上网。
EASYIP特性特别适合于小型办公网、网吧等场合使用,结合DHCP技术,可以使一个小型局域网的PC不用配置就可以到达透明访问Internet的目的,因此被成为EASYIP特性。
2.6内部服务器应用
内部服务器是一种“反向”的地址转换。
内部服务器功能可以使得配置了私有地址的内部主机可以被外部网络访问。
参考图2,WebServer是一台配置了私有地址的机器,通过地址转换提供的配置,可以为这台主机映射一个合法的IP地址(假设是202.110.10.10),当Internet上的用户访问202.110.10.10的时候,地址转换就将访问送到了SERVER上,这样就可以给内部网络提供一种“内部服务器”的应用。
Eudemon系列防火墙对内部服务器的支持可以到达端口级。
允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。
例如,参考图2,通过配置Quidway路由器,外部网络的用户可以利用这样的http:
//202.110.10.10:
8080地址来访问内部地址为10.110.10.10的Web服务器。
2.7利用ACL控制地址转换
Eudemon防火墙的地址转换功能,可以利用访问控制列表决定什么样的地址可以进行地址转换。
如果某些主机具有访问Internet的权利,而某些主机不能访问Internet。
可以利用ACL(访问控制列表)定义什么样的主机不能访问Internet,什么样的主机可以访问Internet。
然后将配置好的ACL规则应用在地址转换上,就可以达到利用ACL控制地址转换的功能。
如图2,PC1不需要访问Internet,那么可以通过访问控制列表,限制PC1访问Internet。
使得PC1只能访问内部局域网的主机。
2.8地址转换应用程序网关
地址转换对一些复杂协议需要做特殊处理,总体上说,只要是在数据载荷(“数据载荷”是指除了IP头以及TCP/UDP头之外的信息)中含有地址或者端口(这里的端口仅仅只TCP/UDP的端口)信息的协议,地址转换都需要特殊处理。
为了使得地址转换可以支持某种特殊的协议的部分称为应用程序网关,常见的地址转换需要特殊处理的程序有:
FTP(包括PASV和PORT两种模式)、Netmeeting、H323、DNS等,同时还有一些游戏。
由于在NGN、多媒体领域,NATALG是一个必不可少的补充方案。
因为,在多媒体、NGN网络环境中,使用的协议一般都是H.323、SIP、MGCP等。
这些协议比较复杂,都是依靠TCP/UDP承载的,但是在TCP/UDP载荷中包含了大量的地址信息,通过信令的交互完成数据、语音、视频等的互通。
因此如果对H.323、SIP等协议支持不完善,则会导致在NGN、多媒体等领域,使用NAT方式会受到很大的局限。
而在实际的组网环境中,由于IP地址短缺的问题导致NAT技术是必须的解决方案,因此在提供基本的NAT、PAT等技术的同时,提供丰富的NATALG是一个必须的特性。
不能提供丰富的NATALG支持,将来的业务开展会受到很大的影响,使得NAT的缺点放大化会严重的影响客户对网络的使用。
Eudemon系列防火墙支持丰富的NATALG,并且在设计体系上保证了可以快速、方便的推出新的NATALG特性,使得Eudemon系列防火墙的NAT特性非常容易的提供丰富的业务,支持新的ALG。
目前,Eudemon系列防火墙已经支持了ICMP、FTP、NetBIOS、DNS、NetMeeting、RAS、H.323、SIP、MGCP、QQ、MSN、RTSP等业务,可以很好的适应Internet环境中业务的复杂性。
同时Eudemon防火墙可以非常完美的支持视频、音频等新兴业务,在多媒体会议、NGN等网络中具有非常优秀的业务适应性。
2.9地址转换和代理(Proxy)的区别
地址转换技术和地址代理技术有很类似的地方,都是提供了私有地址访问Internet的能力。
但是两者还是有区别的,它们区别的本质是在TCP/IP协议栈中的位置不同。
地址转换是工作在网络层,而地址代理是工作在应用层。
地址转换对各种应用是透明的,而地址代理必须在应用程序中指明代理服务器的IP地址。
例如使用地址转换技术访问Web网页,不需要在浏览器中进行任何的配置。
而如果使用Proxy访问Web网页的时候,就必须在浏览器中指定Proxy的IP地址,如果Proxy只能支持Http协议,那么只能通过代理访问Web服务器,如果想使用FTP就不可以了。
因此使用地址转换技术访问Internet比使用proxy技术具有十分良好的扩充性,不需要针对应用进行考虑。
但是,地址转换技术很难提供基于“用户名”和“密码”的验证。
在使用proxy的时候,可以使用验证功能,使得只有通过“用户名”和“密码”验证的用户才能访问Internet,而地址转换不能做到这一点。
2.10地址转换的日志
地址转换技术实质上也是一种“地址隐藏”技术,通过地址转换,使得内部网络的主机暴露在Internet上的地址变成了一个“公网IP”,而内部网络的真实主机的IP地址被隐藏了。
因此通过地址转换技术上网,会使得网络调试变得复杂,在Internet上如果通过IP地址发现某些攻击、非法行为,根据公网IP地址是无法查到私网IP地址的。
因此,对地址转换有日志的要求。
要根据转换信息形成日志信息记录在硬盘、Flash等可以保存的介质上,这样可以保证日后的审计。
Eudemon系列防火墙可以提供详细的日志功能,记录地址转换的对应关系,并可以详细记录每次访问的源地址、源端口、目的地址、目的端口、转换之后的地址、转换之后的端口、访问的开始时间、访问的结束时间、报文流量等内容。
为了节省磁盘空间,Eudemon系列防火墙还可以提供“二进制”方式的日志,提供专业的日志服务器软件记录各种日志信息。
2.11地址转换的适用范围
使用地址转换技术主要可以适用于一下几个方面:
1)地址转换可以使内部网络用户方便的访问Internet。
2)地址转换可以使内部局域网的许多主机共享IP地址上网,大大节约了合法的IP地址。
3)地址转换可以屏蔽内部网络的用户,提高内部网络的安全性。
4)地址转换同样可以提供给外部网络WWW、FTP、Telnet等服务。
5)地址转换技术可以使得内部局域网的IP地址分配变得容易维护,不会因为合法地址转换的缺乏,而不容易合理分配内部局域网的IP地址。
并且当外部有变化的时候,也不需要改动内部局域网内部的配置。
地址转换技术在以下几种应用中会有限制:
1)地址转换对于报文内容中含有有用的地址信息的情况需要做特殊处理,这种情况的代表协议是FTP。
2)地址转换不能处理IP报头加密的情况。
3)地址转换由于隐藏了内部主机地址,有时候会使网络调试变得复杂。
3Eudemon系列防火墙的地址转换特点
3.1优异的地址转换性能
Eudemon系列防火墙采用基于连接的方式提供地址转换特性,针对每条连接维护一个Session表项,并且在处理的过程中采用优化的算法,保证了地址转换特性的优异性能。
在启用NAT的时候,性能下降的非常少,这样就保证了在通过Eudemon防火墙提供NAT业务的时候不会成为网络的瓶颈。
Eudemon500/1000防火墙,采用基于NP(网络处理器)技术的硬件结构,利用网络处理器的强大处理性能提供业务加速功能,因此Eudemon500/1000防火墙的地址转换性能更是非常的优异。
Eudemon1000防火墙可以提供GE线速的地址转换功能,可以使用在城域网、校园网、数据中心等网络的出口,做为NAT设备提供整网的地址转换功能,并提供整网的安全解决方案。
3.2灵活的地址转换管理
Eudemon系列防火墙提供了基于安全区域的管理功能,利用“安全区域”的概念把防火墙管理的网络按照功能区域、安全要求等因素从逻辑上划分为几个逻辑子网,每个逻辑子网称为一个“安全区域”。
默认情况,Eudemon防火墙提供了4个安全区域:
trust、untrust、DMZ、local,一般情况下,untrust区域是连接Internet的,trust区域是连接内部局域网的,DMZ区域是连接一些内部服务器的,例如放置邮件服务器、FTP服务器等。
Eudemon系列防火墙的地址转换功能是按照安全区域之间的访问进行配置的,这样就可以非常方便的进行网络管理。
例如,对于内部服务器的网络如果有足够的IP地址,可以直接使用公网IP地址,在DMZ->
untrust区域间不使用地址转换,而内部局域网使用私网地址,在trust->
untrust区域间使用地址转换。
同时Eudemon的地址转换可以和ACL配合使用,利用ACL来控制地址转换的范围,因此即使在同一个网络区域,有公网、私网混合组网的情况,Eudemon防火墙依然可以方便的设定地址转换的规则。
3.3强大的内部服务器支持
内部服务器就是可以使得网络网络的用户可以访问到内部网络,比如可以对外提供Web服务器。
很多防火墙实现内部服务器的时候是提供一个“静态映射”,将一个私有地址和一个公有地址绑定,这个方式的最大弱点就是浪费合法的IP地址。
例如有一个内部局域网的主机IP地址是10.110.0.0/24,而该局域网利用专线连接到Internet上,拥有从ISP申请来的合法的IP地址:
202.38.160.1。
如果该局域网想设置一台WEB服务器,IP地址为10.110.0.1,配置一个静态的映射,将地址202.38.160.1和地址10.110.0.1绑定,Internet如果想访问这台WEB服务器,使用202.38.160.1访问,就会实际访问到主机10.110.0.1,这样虽然可以提供内部服务器了,但是也使得内部网络的其他主机不能访问Internet了,因为该局域网只有一个合法的IP地址。
该IP地址被内部服务器占用,因此其他主机就不能访问Internet了,同时该局域网不能再提供任何对外服务了(比如想提供一个DNS或者FTP服务器都是不可能的了)。
静态绑定方式存在如下弱点:
1、这个方式严重浪费IP地址,地址转换技术的最大优势就是节省IP地址,但是通过这个静态绑定的方式,使得IP地址不能被充分利用,虽然解决了地址转换技术中“反相访问”的问题,但是同时带来了浪费地址的问题。
2、存在比较大的安全隐患,一般对外提供的服务器都是单一用途,例如WEB服务器就是为了给外部提供Http服务,对于这个机器来说,只需要提供80端口的访问就可以了。
但是使用了静态绑定的方式提供WEB内部服务器的时候,存在这样的问题:
外部网络的用户不但可以访问到内部服务器的80端口,而且可以访问任何的端口。
这样就存在安全隐患。
例如某个服务器可以通过Telnet进行维护,但是这种维护只能是内部网络本身的机器才可以进行,如果使用了静态绑定的地址转换方式,则外部网络的主机也可以Telnet到这个服务器上了。
3、提供不是标准端口的服务器存在困难。
例如用户想提供2个WEB服务器,其中一个WEB服务器不想使用80端口,而想使用8080端口,使用静态绑定的方式也很难实现。
Eudemon系列防火墙的地址转换功能可以对内部服务器的支持到达端口级。
对于上面的例子使用Eudemon的地址转换,不仅可以保证202.38.160.1做为WEB服务器的地址,同时可以做为FTP服务器的地址,同时可以使用http:
//202.38.160.1:
8080提供第二台WEB服务器,还可以满足内部用户同时使用202.38.160.1的地址进行访问Internet。
Eudemon系列防火墙提供了基于端口的内部服务器映射,可以使用端口来提供服务,同时也可以提供地址的一对一映射。
同时,每台Eudemon防火墙可以提供多达4096个内部服务器映射,而且不会影响访问的效率。
3.4强大的业务支撑
地址转换比较难处理的情况是报文载荷中含有地址信息的情况,这种情况的代表协议是FTP。
Eudemon系列防火墙的地址转换现在已经非常完善的支持了ICMP重定向、不可达、FTP(支持被动主动两种模式)、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、MGCP、QQ、MSN等特殊协议。
依靠现在支持的各种业务,Eudemon系列防火墙已经可以提供非常好的业务支撑,可以满足绝大部分的Internet业务,使得地址转换不会成为网络业务的瓶颈。
为了更好的适应网络业务的发展,Eudemon系列防火墙还提供了一种“用户自定义”的ALG功能,对于某些特殊业务应用,通过命令行进行配置就可以支持这种业务的ALG,通过这样的方式更可以保证Eudemon系列防火墙对业务的支撑,达到快速响应的效果。
另外Eudemon系列防火墙在结构上面,充分考虑了地址转换需要支持特殊协议的问题。
从结构上保证可以非常快速的支持各种特殊协议,并且对报文加密的情况也做了考虑。
因此在应用程序网关方面,Eudemon系列防火墙在程序设计、结构方面做了很大的努力和考虑,在针对新出现的各种特殊协议的开发方面上,Eudemon系列防火墙可以保证会比其他设备提供更快、更好的反应,可以快速的响应支持用户的需求,支持多变的网络业务。
3.5对注册服务支持良好
注册方式的协议,主要包括NetMeeting、NetBIOS等。
参考图3:
图3Netmeeting组网示意图
参考图3,是一个网络视频会议使用的示意图。
其中一个视频会议客户Client在内部网络。
为了和外部的视频会议客户端通信,一般都需要连接在Internet上的目录服务器,这样其他用户就可以通过目录服务器知道相应的IP地址,从而进行视频、聊天等应用。
这种服务最常见于微软公司提供的Netmeeting软件。
由于在目录服务器上登录,一定得为内部网络中的主机临时分配一个合法的IP地址,否则外部网络的用户是无法访问到内部网络的。
我们称为这种在目录服务器上登录的情况称为“注册服务”,Eudemon系列防火墙可以很好的支持这样的业务。
个别防火墙也支持NetMeeting注册,都是为内部网络的客户端临时分配一个合法的IP地址。
有些网络设备实现的是这样的:
如果一旦进行了注册,那么通过注册在目录服务器上的IP地址,可以访问NetMeeting客户端的任何资
升级会员 