目前,管理IP地址的技术很多,主要包括DHCP(动态主机配置协议)、NAT技术(网络地址转换技术)及MAC地址绑定等。其中,DHCP以BootP协议为基础,并利用了BootP协议的转发代理功能,实现了IP地址的动态分配。但BootP转发代理功能一般只在较贵的路由器和第3层交换机中提供。相比而言,NAT技术和MAC地址绑定则更容易实现,因此实用性更强。如今年蓬勃发展的防火墙市场上就有很多产品运用了这两种技术。下面我们就以东方龙马防火墙为例,看看如何利用防火墙有效管理IP地址。
双向NAT技术的两大功用
1.有效利用IP地址资源
有效的IP地址管理首先是有效的地址分配,通过运用双向网络地址转换(NAT)技术,东方龙马防火墙实现了这一功能。东方龙马防火墙提供了“内部网到外部网”、“外部网到内部网”的双向NAT功能,同时支持两种方式的网络地址转换。一种为静态地址映射,即外部地址和内部地址一对一的映射,使内部地址的主机既可以访问外部网络,也可以接受外部网络提供的服务。另一种是更灵活的方式,可以支持多对一的映射,即通过转换端口地址,使多个内部IP地址共享一个外部IP地址,从而内部不同的IP地址的数据包就能转换为同一个IP地址而端口不同,多台机器就可以通过这些端口对外部提供服务。通过这种转换,企业可以更有效地利用IP地址资源。
2.隐藏真实地址,阻止黑客入侵
不仅如此,利用双向网络地址转换技术,还可隐藏内部真实的网络地址,降低黑客入侵的成功率。东方龙马防火墙将网卡标识为两种属性:一种是内部网卡,用于连接内部被保护的安全网络;另一种为外部网卡,用于连接外部公共网络。在内部网络通过内部网卡访问外部网络时将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过外部网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过外部网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。东方龙马防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。
MAC地址绑定解决IP地址盗用
为解决IP地址盗用问题,东方龙马防火墙运用了MAC地址绑定技术。每一块网卡都具有一个唯一硬件物理地址标识号码,即网卡的MAC地址,MAC地址与网卡一一对应。对于网络协议为TCP/IP的两台设备进行通讯时,每块网卡都具有一个网络IP地址,东方龙马防火墙提供将内部网卡的IP地址同它的MAC地址进行绑定的功能,这样在防火墙内部就建立了网卡的IP地址同其MAC地址一一对应的关系,即实现了网卡的IP地址同其硬件MAC地址的绑定。在这种情况下,即使某个用户盗用了此网卡的IP地址,在通过防火墙时也会因网卡的MAC地址不匹配而拒绝通过。在网络管理中IP地址盗用现象经常发生,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和潜在的安全隐患。防火墙的IP/MAC地址绑定功能可以很好地解决这一问题,通过与硬件物理地址的绑定,使盗用的IP地址无法通过防火墙系统。
随着网络应用的发展,防火墙已经成为保障网络安全必不可少的工具。善用网络地址转换技术和MAC地址绑定,可以有效提高IP地址资源利用效率,并保证企业网络的安全、防止IP地址盗用。
NAT的工作过程示意图
