间进行基于会话的报头和语义翻译。对于一些内嵌地址信息的高层协议(如FTP),NAT-PT需要和应用层网关(ALG)协作来完成翻译。
NAT路由器可以与防火墙一起来做流量过滤。许多人把传统的NAT路由器看作是单向的流量过滤器,可以严格限制外部主机对内部网络的访问。而且,当NAT路由器内进行动态地址分配时,也增加了攻击者侵入NAT域内特定主机的难度。
由于NAT设备并不检查或修改传输载荷,所以在许多情况下都是对应用透明的,与IP地址无关的应用层安全技术在有NAT时可以正常工作(如TLS、SSL和ssh)。可是,在应用载荷包含IP地址或需要端到端的安全等情况下,NAT设备就不能正常工作了,所以对于传输层安全技术(如IPSec传输模式或TCP MD5签名选项)就无能为力了。
在NAT-PT和ALG协作时,可以解决涉及IP地址的应用问题,但此时安全DNS就无法使用了,而且如果NAT设备和ALG不是在同一个信任范围内,而ALG又不能检查终端用户的流量载荷,这时就会对网络安全造成严重威胁。而对于NAT路由器来说,只有在作为隧道端点时才可以使用隧道模式IPsec。由于UDP应用本来就是不安全的,加上基于UDP的多播进程也是一个安全弱点,所以需要对NAT路由器加载额外的保护措施。
3 TRT技术安全
<页码:[1] [2] [3] [4] [5] [6] [7] [8] 第6页、共8页 |
