소스 주소에서 대상 주소로 정보를 정확하게 전송하는 데 필요한 기술은 무엇입니까?

NAT 의 영어 전체 이름은 네트워크 주소 변환이며 네트워크 주소 변환이라고 합니다. 이것은 조직이 인터넷에 주소를 표시할 수 있도록 하는 IETF 표준입니다. NAT 는 각 LAN 노드의 주소를 IP 주소로 변환하거나 그 반대로 변환합니다. 방화벽 기술에서 외부 세계에 단일 IP 주소를 숨겨 외부 세계가 내부 네트워크 장치에 직접 액세스할 수 없도록 하는 데도 사용할 수 있습니다. 또한 네트워크가 주소 제한을 넘어 네트워크에서 공용 네트워크 주소와 개인 네트워크 IP 주소 사용을 합리적으로 배정하는 데도 도움이 됩니다. 둘째, NAT 기술의 기본 원리와 유형 1, NAT 기술의 기본 원리 NAT 기술은 IP 주소 부족이라는 골치 아픈 문제를 해결하는 데 도움이 되며, 내외망을 격리하여 일정한 네트워크 보안을 제공할 수 있습니다. 이 솔루션은 내부 네트워크에서 내부 주소를 사용하고 NAT 를 통해 내부 주소를 유효한 IP 주소로 번역하여 인터넷에서 사용하는 것입니다. 이렇게 하려면 IP 패키지의 주소 도메인을 유효한 IP 주소로 대체합니다. NAT 기능은 일반적으로 라우터, 방화벽, ISDN 라우터 또는 개별 NAT 장치에 통합됩니다. NAT 디바이스는 잘못된 IP 주소를 유효한 IP 주소에 매핑하는 상태 테이블을 유지 관리합니다. 각 패키지는 NAT 장치에서 올바른 IP 주소로 번역되어 다음 레벨로 전송되므로 프로세서에 부담이 됩니다. 하지만 일반 인터넷에서는 이 부담을 무시할 수 있다. 2.NAT 기술 유형 NAT 에는 정적 NAT, 동적 주소 NAT 및 네트워크 주소 포트 변환 NAPT 의 세 가지 유형이 있습니다. 그 중 정적 NAT 는 가장 간단하고 쉽게 설치할 수 있으며, 인트라넷의 각 호스트는 외망의 합법적인 주소에 영구적으로 매핑됩니다. 동적 주소 NAT 는 외부 네트워크에서 일련의 법적 주소를 정의하고 동적 할당을 통해 내부 네트워크에 매핑합니다. NAPT 는 내부 주소를 외부 네트워크 IP 주소의 다른 포트에 매핑합니다. 수요에 따라 세 가지 NAT 시나리오에는 각각 장단점이 있다. 동적 주소 NAT 는 IP 주소만 변환합니다. 각 내부 IP 주소에 임시 외부 IP 주소를 할당합니다. 주로 전화 접속에 사용됩니다. 동적 NAT 는 잦은 원격 접속에도 사용할 수 있습니다. 원격 사용자가 연결되면 동적 주소 NAT 는 사용자에게 IP 주소를 할당하고 사용자가 연결을 끊으면 향후 사용을 위해 해제됩니다. Napt (network address port translation) 는 일반적인 변환 방법입니다. NAPT 는 액세스 장치에 널리 사용되며 합법적 인 IP 주소 뒤에 중소 규모 네트워크를 숨길 수 있습니다. 동적 주소 NAT 와 달리 NAPT 는 내부 접속을 외부 네트워크의 단일 IP 주소에 매핑하고 NAT 디바이스가 선택한 TCP 포트 번호를 해당 주소에 추가합니다. 인터넷에서 NAPT 를 사용할 때 서로 다른 모든 TCP 및 UDP 정보 흐름은 동일한 IP 주소에서 온 것 같습니다. 이 장점은 작은 사무실에서 매우 실용적이다. IP 주소를 ISP 에 요청하면 NAPT 를 통해 여러 연결을 인터넷에 연결할 수 있습니다. 실제로 많은 SOHO 원격 액세스 장치는 PPP 기반 동적 IP 주소를 지원합니다. 이렇게 하면 ISP 는 여러 내부 IP 주소에 하나의 외부 IP 주소를 사용할 수 있으며 NAPT 도 지원하지 않습니다. 이로 인해 일부 채널 정체가 발생할 수 있지만 ISP 의 인터넷 접속 비용을 절약하고 관리를 용이하게 하기 위해 NAPT 를 사용하는 것은 그만한 가치가 있습니다. 셋째, 인터넷에서 NAT 기술 NAT 기술을 사용하면 로컬 네트워크의 모든 시스템이 인터넷으로 연결되는 서버 라인을 통해 나갈 수 있습니다. 단 하나의 서버의 IP 만 등록하면 됩니다. NAT 기술이 등장하기 전에 서버에 소켓을 설치해야 합니다. 모든 클라이언트가 서버의 소켓을 통해 연결하려면 소켓을 지원해야 합니다. 이 방법의 가장 큰 문제는 일반적으로 텔넷/FTP/www-browser 만 소켓을 지원하며 다른 프로그램은 사용할 수 없다는 것입니다. 그리고 sockd 를 사용하는 속도가 조금 느립니다. 그래서 우리는 네트워크 주소 변환을 위해 NAT 기술을 사용합니다. 이렇게 하면 클라이언트는 아무런 변경 없이 서버에 게이트웨이, 모든 프로그램 (예: kali/kahn 등) 을 설치하기만 하면 됩니다. ) 모두 사용할 수 있습니다. 가장 간단한 NAT 장치에는 두 가지 네트워크 연결이 있습니다. 하나는 인터넷에 연결되고 다른 하나는 개인 네트워크에 연결됩니다. 전용 네트워크에서 전용 IP 주소 (네트워크 10 주소라고도 함, 10.0.0 부터 개인용으로 예약됨) 를 사용하는 호스트는 NAT 디바이스에 패킷을 직접 전송하여 인터넷에 연결합니다. 일반 라우터와 달리 NAT 디바이스는 실제로 헤더를 수정하여 개인 네트워크의 소스 주소를 NAT 디바이스 자체의 인터넷 주소로 변경하는 반면, 일반 라우터는 소스 및 대상 주소만 읽은 다음 패킷을 대상으로 전달합니다. 넷째, NAT 기술을 적용하는 보안 정책 1, NAT 기술을 적용하는 보안 문제 NAT 를 사용할 때 인터넷의 호스트는 사설 네트워크의 실제 호스트와 통신하는 것이 아니라 NAT 장치와 직접 통신하는 것처럼 보입니다. 입력 패킷을 NAT 디바이스의 IP 주소로 보내면 NAT 장치는 대상 헤더 주소를 자신의 인터넷 주소에서 실제 대상 호스트의 개인 네트워크 주소로 변경합니다. 따라서 이론적으로, 세계 유일의 IP 주소 뒤에는 수백 개, 수천 개 또는 수백만 개의 개인 주소가 있는 호스트를 연결할 수 있습니다. 그러나, 이것은 사실 결함이 있다. 예를 들어, 많은 인터넷 프로토콜 및 애플리케이션은 데이터 그룹화가 소스 주소에서 대상 주소로 전송되지만 수정되지 않는 진정한 엔드 투 엔드 네트워크에 의존합니다. 예를 들어, 원본 IP 소스 주소가 포함된 원본 헤더가 디지털로 서명되어 있기 때문에 IP 보안 아키텍처는 NAT 디바이스 간에 사용할 수 없습니다. 소스 주소가 변경되면 디지털 서명은 더 이상 유효하지 않습니다. NAT 는 또한 우리에게 관리상의 도전을 가져왔다. NAT 는 전 세계적으로 고유한 인터넷 주소가 부족한 조직, 지사 또는 부서에 적합한 솔루션이지만 재구성, 합병 또는 인수를 위해 두 개 이상의 전용 네트워크를 통합해야 할 경우 심각한 문제가 될 수 있습니다. NAT 시스템은 조직 구조가 안정적인 상황에서도 여러 층으로 중첩될 수 없어 라우팅 악몽을 꾸게 됩니다. 2, NAT 기술 보안 정책 응용 프로그램 우리가 네트워크의 IP 주소를 변경할 때, 이것이 네트워크의 기존 보안 메커니즘에 어떤 영향을 미칠지 신중하게 고려해야 한다. 예를 들어 방화벽은 IP 헤더에 포함된 TCP 포트 번호, 대상 주소, 소스 주소 등에 따라 패킷을 통과할지 여부를 결정합니다. 방화벽 필터링 규칙은 NAT 가 소스 또는 대상 주소를 변경하므로 NAT 디바이스의 위치에 따라 변경할 수 있습니다. 내부 라우터와 같은 NAT 디바이스가 방화벽으로 보호되는 끝에 있는 경우 NAT 디바이스 뒤의 네트워크 트래픽을 제어하는 모든 보안 규칙을 변경해야 합니다. 많은 네트워크에서 NAT 메커니즘은 방화벽에서 구현됩니다. 방화벽이 네트워크 액세스 및 주소 변환을 위한 이중 제어 기능을 제공할 수 있도록 하기 위한 것입니다. NAT 변환을 수행할 수 있는 네트워크 접속을 엄격하게 정의할 수 없는 한 NAT 디바이스를 방화벽 외부에 두지 마십시오. NAT 가 접속 요청이 허용된다고 생각하게 할 수 있는 모든 장난꾸러기 해커는 권한 있는 사용자로 네트워크에 액세스할 수 있다. (존 F. 케네디, 접속 요청, 접속 요청, 접속 요청, 접속 요청, 접속 요청, 접속 요청) 기업이 네트워크 기술의 최전방으로 나아가고 있고 IPSec (IP 보안 프로토콜) 를 사용하여 VPN (가상 사설망) 을 구축하고 있다면 NAT 장치를 잘못 배치하면 이 계획이 파괴될 수 있습니다. 원칙적으로 NAT 장치는 VPN 의 보호쪽에 배치해야 합니다. NAT 는 IP 헤더의 주소 필드를 변경해야 하고 IPSec 헤더의 주소 필드는 변경할 수 없기 때문입니다. 따라서 원본 메시지가 어느 워크스테이션에서 전송되었는지 정확하게 알 수 있습니다. IP 주소가 변경되면 IPSec 의 보안 메커니즘이 무효화됩니다. 소스 주소를 변경할 수 있기 때문에 메시지 내용은 말할 것도 없습니다. 그렇다면 시스템의 NAT 기술에 대해 다음과 같은 전략을 취해야 합니다. 1 네트워크 주소 변환 모듈 NAT 기술 모듈은 시스템의 핵심 부분이며 이 모듈만 네트워크 계층과 관련이 있습니다. 따라서 이 부분은 유닉스 시스템 자체의 네트워크 계층 처리 부분과 긴밀하게 결합되거나 직접 수정해야 합니다. 이 모듈은 그룹 교환 하위 모듈, 헤더 교체 하위 모듈, 규칙 처리 하위 모듈, 연결 레코드 하위 모듈 및 실제 주소 할당 하위 모듈 및 전송 계층 필터링 하위 모듈로 세분화될 수 있습니다. ② 중앙 집중식 액세스 제어 모듈 중앙 집중식 액세스 제어 모듈은 인증 요청 하위 모듈 및 연결 릴레이 하위 모듈로 세분화될 수 있습니다. 인증 요청 하위 모듈은 주로 신뢰할 수 있는 보안 메커니즘을 통해 인증 액세스 제어 시스템과 다양한 인증 정보를 교환하고, 합법적인 사용자를 식별하고, 사용자에게 미리 부여된 권한에 따라 후속 연결 형식을 결정하는 역할을 합니다. 접속 트렁킹 하위 모듈의 주요 기능은 사용자를 위한 최종 트렁킹 없는 접속 채널을 설정하고 필요한 경우 인증된 사용자 ID 정보를 내부 서버로 전송하여 관련 서비스 프로토콜에 필요한 인증 프로세스를 완료하는 것입니다. ③ 임시 액세스 포트 테이블은 패킷의 서비스 개체를 구별하기 위해 공격자가 내부 호스트에 의해 시작된 연결의 무단 사용을 방지하기 위해 게이트웨이가 내부 호스트에서 사용하는 임시 포트, 프로토콜 유형 및 내부 호스트 주소를 임시 포트 사용 테이블에 등록합니다. 게이트웨이는 내부 호스트가 사용할 수 있는 임시 포트를 모르기 때문에 임시 포트 사용 테이블은 게이트웨이가 수신 패킷에 따라 동적으로 생성됩니다. 수신 패킷의 경우 방화벽은 액세스 제어 목록에 허용된 패킷 또는 임시 포트만 테이블에 등록된 패킷을 사용할 수 있도록 허용합니다. 4 인증 및 액세스 제어 시스템 인증 및 액세스 제어 시스템에는 사용자 인증 및 보안 정책 제어를 위한 사용자 인증 모듈 및 액세스 제어 모듈이 포함됩니다. 양해해 주셔서 대단히 감사합니다. 도움이 된다면 채택해 주세요. 즐거운 생활 되세요! 감사합니다