防火墙NAT网络地址转换技术在校园网的应用与实现.doc

忻州师范学院计算机系本科毕业设计论文

二零一四年六月

目 录

1引言 1

1. 1校园网的现状 1

1.2主要工作内容 2

1.3论文的组织与结构 2

2 NAT技术分析 3

2. 1 NAT类型 3

2.2 NAT技术的优点 3

2.3 NAT工作原理 3

2.4防火墙的简介 4

3 NAT在校园网中的设计 6

3. 1 NAT拓扑图的设计 6

3.2实验的设计方案 6

4 NAT设计方案的实现 7

4. 1实验实现的环境 7

4.2设计方案的目的 7

4.3设备选型及相关参数的配置 7

5实验结果与分析 9

5. 1实验测试结果 9

5.2实验结果分析 10

6结束语 11

致 谢 12

参考文献 13

附 录 14

NAT网络地址转换技术在校园网的应用与实现

摘要随着互联网的普及现在全国大多数高校都建起了校园网实现了教育科研与Internet互连互通使信息透明化程度更高资源共享更广泛随之IP地址缺乏问题日益突出 同时也带来了网络安全问题。面对这样的矛盾 NAT成为最常用的解决方法。本论文设计主要是在了解校园网的现状及其存在的问题 NAT技术的工作原理 NAT的优点 以及现在常用到的NAT实现的方式等的基础之上设计自己的NAT实现方式采用防火墙技术选择防火墙作为NAT地址转换设备进行NA T地址转换的实验设计最终在实际的设备上进行对实验的验证。从而实现NAT地址转换技术在校园网的应用与实现。

关键词:内部网络 外部网络 NAT

Abstract: With the popularity of the Internet, most colleges anduniversities have built a campus network, realizes the educationscientific research and Internet interconnection, the degree ofinformation transparency is higher, resource sharing more widely, withthe lack of IP address issues have become increasingly prominent, butalso brought the problem of network security. In the face of suchcontradictions, NAT has become the most commonly used method of solving.The design is mainly in the understanding of the situation of campusnetwork and its existing problems, the principle of NAT technology, theadvantages of NAT, and is now based on the commonly used NAT realizationrealizationrealizationway, to design their own implementation of NAT, toadopt the technology of firewall, to select the firewall as the addressconversion device, design of NAT address conversion of the experiment,to verify the final test in the actual equipment. In order to achievethe application and realization of NAT address translation technology incampus network.

Keywords: Internal network External network NAT

1引言

1. 1校园网的现状

随着互联网的普及接入网络的计算机数量增长非常迅速尤其是全国大多数高校都建起了校园网实现了教育科研与Internet互连互通使信息透明化程度更高、资源共享更广泛但是由于目前使用的IPv4固有的缺点——地址空间有限人们为了缓解日益恶化的地址缺乏问题在IP地址的分配和保留IP地址方面采取了许多办法。其中包括ISP方面对公网地址的动态分配与回收、使用DHCP动态分配与回收、可变无类域间路由CIDR技术甚至提出新一代的IPv6技术从根本上解决地址空间问题。

另一方面大多数高校建立了校园网它已经成为高校信息化的重要组成部分。但是随着黑客入侵的增多及网络病毒的泛滥校园网的安全已成为不容忽视的问题如何在开放的网络环境中保证校园网的安全已经成为十分迫切的问题。

为了缓解这俩方面的矛盾 NAT网络地址转换技术成为最有效的解决办法。

现在NAT功能通常被集成到路由器、防火墙或者单独的NAT设备。 NAT的实现方式大致有三种 1用Iptable实现Linux下的NAT功能 2在Windows2003 Server系统环境下的NAT设置 3利用路由器或专用设备设置NAT。

1.2主要工作内容

本论文的主要目的是实现NAT地址转换技术在校园网中的应用。首先需要查阅大量关于NAT网络地址转换技术的资料并了解其校园网目前的现状以及解决这些现状常用的实现方式然后整理思路选择自己实现的方式设计相关的实验并且进行对实验的配置、测试、结果与分析最终实现NAT网络地址转换技术在校园网中的应用。

1.3论文的组织与结构

第一部分 引言主要进行背景叙述介绍校园网中IP的现状以及现存的解决办法 以及论文的主要工作、论文的组织与结构。第二部分 NAT技术的简介主要介绍本次论文使用的技术包括NAT技术的分类、 NAT的优点、 NAT的工作原理及其NAT转换设备防火墙的介绍。第三部分主要进行实验环境的搭建包括NAT在校园网中的设计方案及其拓扑图的设计。第四部分 NAT实验的实现根据实验方案进行实验最终实现NAT。第五部分实验结果及其分析验证

NAT是否实现。第六部分结束语对于这次论文的总结与感想。第七部分致谢对论文写作中 曾经帮助过我的同学与老师的感谢。第八部分参考文献,本次论文中参考到的书籍及其报刊。最后是附录关于本次实验中设备配置的最终结果。

2 NAT技术分析

2. 1 NAT类型

NAT全称网络地址转换分为三种类型静态NAT、动态NAT和端口复用NAT 称NAP T 。

静态NAT是为了在私有I P地址和公网的合法IP地址之间允许一对一映射而设计的。这种类型需要网络中的每台主机都拥有一个真实的Internet IP地址适合内网中的服务器使用 因为服务器要向外部网络提供网络服务 IP地址不能总是动态地改变。

动态NAT可以实现映射一个私有IP地址到公网合法IP地址池中的其中一个IP。这种类型不必像静态NAT那样在路由器上静态映射内部到外部的地址但是必须保证拥有足够的真实IP保证每个在Internet中收发包的用户都有真实的IP地址可用。

端口复用NAT又称NAP T是最流行NAT配置类型。复用实际上是动态NAT的一种形式它映射多个私有IP地址到单独一个公网合法IP地址形成多对一的关系实现方式便是通过使用不同的端口。因此它又被称为端口地址映射

NAPT 。通过使用NAPT可实现上千上万个用户仅通过一个真实的公网I P地址连接到Internet而也因为这个原因使用NAPT是人们至今在互联网上没有使用完公网合法I P地址的真实原因。 NAPT特点将内部连接映射到外部网络中的一个单独的IP地址上 同时在该地址上加上一个由NAT设备选定的TCP端口号。

2.2 NAT技术的优点

NAT技术除了可以实现地址复用节约宝贵I P地址资源的优点外还有其它方面的优点首先对于内外网络用户感觉不到IP地址转换的过程整个过程对于用户来说是透明的其次对内网用户提供隐私保护外网用户不能直接获得内网用户的IP地址、服务等信息具有一定的安全性还有通过配置多个相同的内部服务器的方式可以减小单个服务器在大流量时承担的压力实现服务器负载均衡。

2.3 NAT工作原理

NAT是将I P数据报文报头中的I P地址转换的另一个I P地址的过程主要用于实现内部网络私有IP地址访问外部网络公有IP地址的功能。从实现上说一般是NAT转换设备都维护着一张地址转换表所有经过NAT转换设备并且需要进行地址转换的报文都会通过这个表进行相应的修改。 NAT地址转换原理如图

2. 1所示。

图2. 1基本的NAT转换示例

2.4防火墙的简介

1.防火墙的定义

防火墙原来指房屋之间修的一堵墙为了防止火灾发生时火势的蔓延。这里讨论的是硬件防火墙它是将各种安全技术融合在一起采用专门的硬件结构选用高速的CPU、嵌入式的操作系统支持各种高速接口用于保护私有网络的安全。现代的防火墙应该是几个网络的接入控制点所有进出被防火墙保护的网络的数据流都应该首先经过防火墙形成一个信息进出的关口 因此防火墙还可以保护内部网络在Internet中的安全 同时可以保护若干主机在一个内部网络的安全。

2.防火墙的基本特性

第一 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性 同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道才可以全面、有效地保护企业网内部网络不受侵害。

第二只有符合安全策略的数据流才能通过防火墙。

防火墙最基本的功能是确保网络流量的合法性并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。防火墙将网络上的流量通过相应的网络接口接收上来在适当的协议层进行访问规则和安全审查然后将符合通过条

件的报文从相应的网络接口送出而对于那些不符合通过条件的报文则予以阻断。

第三防火墙自身应具有非常强的抗攻击免疫力。

防火墙处于网络边缘它就像一个边界卫士一样每时每刻都要面对黑客的入侵这样就要求防火墙自身要具有非常强的抗击入侵本领。其次就是防火墙自身

具有非常低的服务功能除了专门的防火墙嵌入系统外再没有其它应用程序在防火墙上运行。

3.防火墙的路由模式

在路由模式时防火墙可支持更多的安全特性 比如NAT 、 UTM 安全网关等功能。然而在采用路由模式时 网络管理员可能需要修改网络拓扑例如内部网络用户需要更改网关或路由器需要更改路由配置等。因此作为设计人员需综合考虑网络改造、业务中断等因素。路由模式防火墙位于内部网络和外部网络之间时与内部网络、外部网络相连的接口分别配置成不同网段的IP地址防火墙负责在内部网络、外部网络中进行路由寻址相当于路由器。

4.防火墙的安全区域及其接口

防火墙支持多个安全区域 即缺省支持非受信区域Untrust 、非军事化区域DMZ 、受信区域Trust 、本地区域Local四种预定义的安全区域外还支持用户自定义安全区域。非受信区域Untrust低安全级别的安全区域安全级别为5非军事化区域DMZ 中等安全级别的安全区域安全级别为50受信区域Trust较高安全级别的安全区域安全级别为85本地区域Local最高安全级别的安全区域安全级别为100。

两个安全区域之间简称安全域间的数据流分两个方向入方向

inbound 数据由低安全级别的安全区域向高安全级别的安全区域传输的方向 出方向outbound 数据由高安全级别的安全区域向低安全级别的安全区域传输的方向高优先级与低优先级是相对的。

在防火墙中是以接口为单位来进行分类 即同一个接口所连的所有网络设备一定位于同一安全区域中而一个安全区域可以包含多个接口所连的网络。这里的接口既可以是物理接口也可以是逻辑接口。所以可以通过子接口等逻辑接口实现将同一物理接口所连的不同网段的用户划入不同安全区域的功能。

3 NAT在校园网中的设计

3. 1 NAT拓扑图的设计

本实验中内网中在计算机PC1、 PC2和PC3需要达到的目标是PC1、 PC2和PC3需要通过防火墙访问外部网络并且实现NAT地址转换。设计的实验拓扑图如图3. 1所示。

图3. 1实验拓扑图

3.2实验的设计方案

内网中使用的可以是A类私有IP地址、 B类的私有IP地址或者是C类的私有IP地址。而私有IP地址是不能在公网被路由的所以要达到实验的预期目标必须在防火墙处对私有I P地址进行NAT转换方可获取网络服务。设计NAT实验拓扑图之后在实验拓扑图中左边3台PC机连接一个交换机这代表内部网络右边一个出口路由器以及连接Internet的计算机代表外部网络 中间是一个防火墙作为进行NAT转换设备。在防火墙作为转换设备的时候这时候就涉

及到防火墙之间的过滤策略。因此需要给防火墙配置一些端口防火墙左边的端口设为GE0/0/1并且把其加入防火墙的Trust区防火墙右边的端口设为端口GE0/0/2把它加入防火墙的Untrust区。然后通过在防火墙上的一些基本配置实现左边3台PC机与端口GE0/0/1相通 同样也使右边的外部网络的PC机与防火墙右边的端口GE0/0/2相通然后在防火墙上配置域间的过滤策略配置地址