(一) 靜態NAT
靜態NAT是我們要討論的第一種模式的NAT。這種工作模式的NAT很少應用在小型網絡中。靜態NAT充許內網用戶使用真實的公網地址直接訪問互聯網,這種做法是有些風險的,因爲任何對防火牆或NAT設備的錯誤配置都會導致你的內網用戶完全被暴露在互聯網上,稍後我將對靜態NAT進行實際配置向大家演示靜態NAT在網絡安全方面所面臨的風險。
1、爲何使用靜態NAT
圖6
以圖6的網絡拓撲爲例,假如該公司的網絡通過一臺路由器接入Internet,並且在NAT路由器上配置的是靜態NAT。在靜態NAT的工作模式下每一臺內網主機都會映射到一個公網地址(當然該公司需要從ISP租用更多的公網IP地址),比如在這個例子中內網IP地址爲192.168.1.100的WEB/FTP Server被映射到公網地址100.100.100.3,主機192.168.1.101被映射到公網地址100.100.100.4,主機192.168.1.102被映射到公網地址100.100.100.5。因此如果WEB/FTP
Serve發送到互聯網的數據包經過NAT路由器時,NAT路由器就會將該數據包中的源IP地址替換成爲100.100.100.3之後再將其發送到Internet。所有的地址轉換都發生在路由器的內存中而且靜態NAT的整個過程對於內網和外網主機都是透明的。當來自於Internet的主機主動與內網主機進行通信時,這些來自於Internet上的數據包要麼被NAT路由器丟棄要麼被轉發給內網主機,具體如何操作就要取決於路由器或防火牆的配置了。
應用NAT的時候,每個公司/企業的需求是不一樣的。對於很多公司來說當你需要內網的某臺主機讓Internet的用戶看到並允許Internet的用戶訪問的時候就可以考慮使用靜態NAT的這種解決方案。接下來我們看一看靜態NAT的具體應用。請參考圖7:
圖7
在圖7的網絡場景中,假設該公司/企業向運營商(ISP)申請的公網地址是100.100.100.0/29(/29是子網掩碼,即255.255.255.248)。根據運營商(ISP)提供的IP地址和子網掩碼我們知道該公司獲得的可以在互聯網上使用的公網地址範圍是100.100.100.1-100.100.100.6,這6個地址當中的第1個地址100.100.100.1一般都要留給運營商(ISP)的設備使用作爲該公司連接Internet的下一跳網關(GateWay)地址,所以該公司真正能使用的公網地址只有5個,也就是100.100.100.2-100.100.100.6。
圖7中IP地址爲100.100.100.1的GateWay(網關)在ISP一側,該地址用於模擬Internet上的用戶。我將通過在NAT路由器上配置靜態NAT來允許公司內網用戶能夠訪問互聯網(Internet)。服務器192.168.1.100使用100.100.100.3訪問Internet,主機192.168.1.101使用100.100.100.4訪問Internet,主機192.168.1.102使用100.100.100.5訪問Internet。
2、靜態NAT的配置
NAT路由器配置如下:
NAT#conf t
NAT(config)# ip nat inside source static 192.168.1.100 100.100.100.3(將公網地址100.100.100.3分配給內網主機192.168.1.100使用)
NAT(config)# ip nat inside source static 192.168.1.101 100.100.100.4(將公網地址100.100.100.4分配給內網主機192.168.1.101使用)
NAT(config)# ip nat inside source static 192.168.1.102 100.100.100.5(將公網地址100.100.100.5分配給內網主機192.168.1.102使用)
NAT(config)#interface FastEthernet0/0
NAT(config-if)# ip address 100.100.100.2 255.255.255.248
NAT(config-if)#ip nat outside(在F0/0這個公網端口上啓用NAT)
NAT(config-if)#no shutdown
NAT(config-if)#exit
NAT(config)# interface FastEthernet0/1
NAT(config-if)# ip address 192.168.1.1 255.255.255.0
NAT(config-if)#ip nat inside(在F0/1這個內網端口上也啓用NAT)
NAT(config-if)#no shutdown
3、測試靜態NAT
WEB/FTP Server測試靜態NAT:
Server>ping 100.100.100.1
正在 Ping 100.100.100.1 具有 32 字節的數據:
來自 100.100.100.1 的回覆: 字節=32 時間=77ms TTL=254
來自 100.100.100.1 的回覆: 字節=32 時間=50ms TTL=254
來自 100.100.100.1 的回覆: 字節=32 時間=70ms TTL=254
來自 100.100.100.1 的回覆: 字節=32 時間=82ms TTL=254
通過以上ping的測試證明WEB/FTP Server已經能訪問Internet了,靜態NAT配置成功。但前面我們說過在公司/企業應用靜態NAT時如果NAT設備的配置不當就會使公司/企業網絡面臨一些風險。還是以本網絡場景爲例,此時如果模擬Internet用戶的GateWay設備ping 100.100.100.3將會怎樣呢?
GateWay>ping 100.100.100.3
正在 Ping 100.100.100.3 具有 32 字節的數據:
來自 100.100.100.3 的回覆: 字節=32 時間=73ms TTL=254
來自 100.100.100.3 的回覆: 字節=32 時間=47ms TTL=254
來自 100.100.100.3 的回覆: 字節=32 時間=46ms TTL=254
來自 100.100.100.3 的回覆: 字節=32 時間=46ms TTL=254
大家看到了GateWay已經ping通了100.100.100.3。因爲192.168.1.100與100.100.100.3有着一對一的映射關係,所以也就意味着GateWay如果ping通了100.100.100.3也就相當於ping通了192.168.1.100 。這樣一來該公司的這個內網用戶(192.168.1.100)就完全被暴露在互聯網上了。也許有人會問:暴露在互聯網上又能怎樣呢?我的內網主機不就是要訪問互聯網嗎?設想一下如果該公司的內網服務器192.168.1.100需要分別爲內網和互聯網的用戶提供諸多網絡服務該怎麼辦呢?比如爲Internet上的用戶提供瀏覽網頁的網站服務、爲內網用戶提供電子郵件服務、爲內網用戶提供文件的上傳、下載服務等。如果按照前面我們對NAT路由器的配置,就會導致嚴重的安全問題,因爲我沒有在NAT路由器上配置任何安全策略來過濾來自Internet的流量。這也就是說互聯網上的用戶可以通過訪問暴露在互聯網上的公網地址100.100.100.3來訪問公司內網的192.168.1.100這臺服務器上的所有網絡服務。但我們只是想讓這臺服務器向互聯網用戶提供瀏覽網頁的服務而不提供電子郵件和文件上傳、下載等服務。電子郵件和文件上傳、下載等服務只是提供給內網用戶使用。根據這些需求,我們應該在NAT路由器上配置更多的訪問策略來滿足網絡安全的基本需要。比如本例中的192.168.1.100這臺服務器,只讓它開放80端口,這樣來自Internet的流量就只能訪問這臺服務器提供的網頁服務了。可通過在NAT路由器上修改一條命令來實現:
NAT(config)#ip nat inside source static 192.168.1.100 100.100.100.3(刪除該命令)
NAT(config)#ip nat inside source static tcp 192.168.1.100 80 100.100.100.3 80 extendable (增加該命令)
這樣Internet的用戶就只能訪問192.168.1.100這臺服務器的網頁而無法訪問這臺服務器上的其他網絡服務了。同時也不影響內網用戶使用這臺服務器上的電子郵件和文件上傳、下載的服務。有人可能要問了:難道這樣配置路由器就真的安全了嗎?當然不是了,網絡的世界中沒有百分百的安全。我們只能讓網絡的安全係數更高一些。在這個例子中的服務器192.168.1.100若想更安全,還可以使用DMZ區(非軍事化區域)。DMZ區可以爲你提供更安全的訪問策略。利用DMZ區配置靜態NAT也是靜態NAT的一種。下面我們就大概瞭解下這個“DMZ”區。關於“DMZ”區的原理和配置,我會在“部署Cisco
PIX防火牆”的文檔中做詳細介紹。
4、靜態NAT中的DMZ區(非軍事化區域)
什麼是DMZ區?DMZ區被稱爲非軍事化區域。那什麼時候會用到DMZ區呢?當你的公司或企業想爲互聯網上的用戶提供某些網絡服務的時候,比如提供Web網站的服務、E-mail服務器的服務等時就會使用DMZ區。在向互聯網用戶提供這些服務的同時還要兼顧其安全性那麼這時你就應該考慮一個折中方案——將這些提供服務的服務器部署在DMZ區。DMZ區雖然也在企業的內網中,但DMZ區卻不會將企業的內網暴露給Internet。圖8的網絡場景展示的是如何在Cisco
PIX防火牆的DMZ區中部署網絡服務器。
圖8
關於Cisco PIX防火牆的具體配置請參考本站名爲“部署Cisco PIX防火牆”的文檔。靜態NAT的一個不足就是公司需要花費更多的資金從運營商那裏租用更多的公網地址來滿足內網的主機數量。在IPv4地址趨於枯竭的今天,這種做法的可擴展性顯然是很差的。在這個例子中由於該公司可用的公網IP地址只有4個,所以就只能滿足內網4部主機上網了。從以上的分析大家也許明白了,靜態NAT的使用是有着特殊場合的。當你想讓內網的某些特定設備,比如服務器,被外部網絡或Internet的用戶訪問的時候可以選擇使用靜態NAT。如果你在滿足上述需求的同時還想讓更多的內網主機上網,你就最好不要使用靜態NAT了,而要考慮使用第二種模式的NAT——動態NAT。
待續……