引言
随着网络技术的不断普及和发展,逐渐涌现出两个重要的问题:
- 网络中流量的安全性问题
- 网络地址资源的枯竭
第一个问题的解决方法是由防火墙功能的路由器的产生,而网络地址转换(NAT)使得互联网的地址不再需要是全球唯一的。
由NAT和防火墙相结合的复合设备,成为连接终端用户的最常见的路由器类型。
防护墙
防火墙分为两种,包过滤防火墙和代理防火墙。主要区别:所操作的协议栈层次。
包过滤防火墙
一般作为互联网的路由器,能够过滤一些认为是威胁的网络流量。这样的路由器通常将网络分为三个部分:
- 内部网络:需要保护的网络
- 外部网络:Internet
- DMZ 非军事区 :需要向外提供服务的网络。
网管会在路由器配置ACL(访问控制列表)来过滤一些流量。通常全力拦截来及外网的恶意流量,而不会限制从内网到外网的流量。
有状态防火墙和无状态防火墙
通常简单的防火墙是无状态的,它分别处理一个一个的数据包,但是更加复杂的防火墙是有状态的。它会关联已经到达的一系列数据包,分析流的特性,因此它是有状态的。有状态的防火墙是一个十分重要的课题。
代理防火墙
这种防火墙不算做路由器。相反,它本质上是运行一个或者多个应用层网关(ALG)的主机,它们不会像路由器一样作IP转发。它的运作原理:
- 代理防火墙服务器在外部拥有一个全局路由的IP地址,在内部使用一个私有地址。
- 所以需要访问外部网络的本地客户机并不直接与外部服务器连接,而是间接连接到代理防火墙。
- 代理防火墙在外作为客户机,对内作为服务器。
网络地址转换NAT
NAT的本质是一种允许在互联网的不同地方重复使用相同IP地址集合的机制。
一个笑话:伴随的IPv4地址的快速枯竭,人们焦急万分下提出了IPv6计划,并逐步发展和实施。于此同时,提出NAT作为一种临时的措施,在IPv6到来前作为一种缓解危机的技术。然而有趣的是,NAT的发展很好的解决的IPv4地址枯竭的问题,并严重阻碍了IPv6的发展。
NAT的基本原理:NAT的两端是Internet和内部网络,NAT设备拥有一个全局网络的IP地址,内部客户机只拥有私有地址。NAT设备(通常是路由器)重写前往Internet方向的数据包的源IP地址,并重写来自Internet的数据包的目的IP地址。NAT不像传统的路由器,它需要跟踪每一个连接,其操作贯穿多个网络层次。例如,修改IP地址也需要修改传输层的校验码。
NAT违背了网络设计原则:“智能边缘“和”哑巴中间“。
NAPT
传统的NAT只修改IP地址,但这种NAT不是最为流行的,NAPT同时使用IP和端口来确定一个特定的数据包到底来自哪一个内部主机(因为传统NAT不同的内部主机使用同一个IP与外部服务关联,当使用同一个端口时没法作有效的区分)。NAPT会同时修改IP地址和端口,防止了传统NAT造成的端口冲突。
NAT穿越
NAT虽然解决的IP地址资源的问题,但是使得家庭网络对外提供服务变得非常的困难。因为内部很多主机使用同一个IP地址。需要用到NAT穿越技术。NAT穿越是一个复杂的课题,这里只做部分简单介绍:
NAT穿越的本质是获得位于NAT设备后面的主机对外的IP地址和端口。
打孔(打洞) : 两个位于NAT背后的主机,都访问一个外部的服务器,服务器通过会话得知了它们的各自对外的IP和端口,同时方便两者建立连接。
自地址的确定:通过外部服务器的方法是有局限性的,在多层次NAT中是无效的。STUN作为一种NAT对话穿越工具,可以找出自己的公网地址和端口。
猜测国内"花生壳"
花生壳是先打洞,打洞不成功就使用代理转发。
花生壳会给用户A(内网主机)一个域名。
- 其它主机访问该域名,首先访问公网DNS,公网DNS访问花生壳DNS,花生壳DNS返回给用户花生壳转发服务器的IP地址。
- 客户机不知道,只是将花生壳转发服务器作为主机A,发送请求。
- 花生壳服务器转发请求到内网主机。并将其回复转发给客户机。所以重点是花生壳服务器如何知道主机A在公网上的地址。在配置花生壳映射的时候,我们会在本地访问花生壳网站,这个时候花生壳就能知道我们所使用的公网IP了,即花生壳有能力将数据包转发到本地内网某台主机上(也只是猜测而已)。
