NAT技術(shù)可以通過端口映射或者地址映射，讓外部用戶能夠訪問企業(yè)內(nèi)部的應(yīng)用服務(wù)器;也可以把內(nèi)部計算機隱藏起來，以加強其安全性。無論是哪一種功能，NAT服務(wù)器都是通過數(shù)據(jù)包包頭的地址與端口信息來實現(xiàn)的。即當(dāng)數(shù)據(jù)包從企業(yè)內(nèi)網(wǎng)通過NAT服務(wù)器傳到互聯(lián)網(wǎng)的時候，NAT服務(wù)器會改變數(shù)據(jù)包包頭中的信息。會把內(nèi)網(wǎng)的IP地址信息轉(zhuǎn)變?yōu)镹AT服務(wù)器的公網(wǎng)IP地址。
    但是，此時如果網(wǎng)絡(luò)管理員同時想用IPSec技術(shù)來加強NAT技術(shù)的安全，就會出現(xiàn)問題。因為IPSec機護送會檢查數(shù)據(jù)包的包頭信息。如果數(shù)據(jù)包的包頭信息被修改的話，則IPSec會認(rèn)為這個包被篡改過，而丟棄。也就是說IPSec安全技術(shù)是不允許變更數(shù)據(jù)包的包頭。
    一、利用IPSec武裝NAT服務(wù)時可能遇到的問題描述
    IPSec技術(shù)主要采用AH(傳輸模式)或者ESP(隧道模式)兩種安全措施。傳輸模式會將所傳送的信息簽名。這個信息簽名主要用來確認(rèn)收到的信息沒有被篡改，由此接收方可以確認(rèn)信息確實是由索要通信的計算機發(fā)送過來的，從而防止欺騙攻擊以及傳送過程中信息被非法修改。隧道模式同傳輸模式一樣，也會對所需要傳送的信息簽名。不過他與隧道模式有一個很大的不同，就是隧道模式會對信息進行加密。但是傳輸模式卻不會對信息進行加密處理。但是無論采用哪種方式，IPSec都不允許在傳輸過程中對包頭信息進行更改。
    如在傳輸模式下，IPSec會將整個數(shù)據(jù)包簽名，也就是說在傳輸過程中若對數(shù)據(jù)包進行任何的更改，都會影響這個數(shù)據(jù)包的簽名信息。所以如果 NAT服務(wù)器改變數(shù)據(jù)包內(nèi)的IP地址或者端口信息，IPSec服務(wù)器就會將認(rèn)為這個數(shù)據(jù)包被非法篡改了，而將此數(shù)據(jù)包視為無效而丟棄掉。
    如ESP傳輸或者隧道模式中，雖然ESP傳輸模式的原始IP包頭或者ESP隧道模式的新建隧道模式還是保留原狀，并沒有被IPSec技術(shù)簽名或者加密。但是數(shù)據(jù)包中的端口信息會被加密，因而NAT服務(wù)器無法讀取。所以雖然在這種情況下，NAT服務(wù)器可以改變在傳輸模式中的客戶端IP地址，或者是隧道模式中的端點計算機的IP地址，但是卻無法更改被IPSec技術(shù)加密過的端口信息。為此NAT服務(wù)器在此時也將無用武之地。
    雖然通訊計算機之間存在的所有路由器或交換機等網(wǎng)絡(luò)設(shè)備都會將加密的數(shù)據(jù)包轉(zhuǎn)發(fā)給它們的目的地。但是，如果這個傳輸路徑中有防火墻、安全路由器或代理服務(wù)器，就可能不會轉(zhuǎn)發(fā)IPSec技術(shù)加密過的數(shù)據(jù)包。此時必須配置這些設(shè)備以允許IPSec協(xié)議數(shù)據(jù)包經(jīng)過。如果IPSec數(shù)據(jù)包未加密(即采用AH模式，只簽名不加密)，防火墻或安全路由器仍可以檢查端口或數(shù)據(jù)包中的其他內(nèi)容。如果這些數(shù)據(jù)包的內(nèi)容在發(fā)出之后被修改，那么接收計算機就會檢測出這種修改并丟棄這些數(shù)據(jù)包。
    二、UDP-ESP封裝
    在Windows服務(wù)器中，為了解決IPSec無法跨越NAT服務(wù)器的問題，專門設(shè)計了一套UDP-ESP封裝的方案。即支持將ESP模式的IPSec數(shù)據(jù)包，封裝到UDP 包頭內(nèi)的功能。由于ESP包頭被裝到UDP包頭內(nèi)，數(shù)據(jù)包內(nèi)的原始包頭與UDP包頭都沒有被加密與簽名，為此NAT服務(wù)器可以改變這個數(shù)據(jù)包的IP地址與 UDP端口。微軟之所以所以使用UDP來封裝ESP數(shù)據(jù)包是因為UDP提供了最小標(biāo)準(zhǔn)的封裝，8比特就夠了。如果換做TCP封裝則需要20比特而且是面向無連接協(xié)議。TCP的建鏈和拆鏈過程會引入諸如RESET攻擊這類影響IPSec性能的負(fù)面效果。
    所以Windows服務(wù)器操作系統(tǒng)產(chǎn)品的IPSec技術(shù)實現(xiàn)為新的互聯(lián)網(wǎng)規(guī)范提供了支持。該規(guī)范允許網(wǎng)絡(luò)地址轉(zhuǎn)換器 (NAT服務(wù)器) 修改 IPSec加密或者簽名過數(shù)據(jù)包。IPSec技術(shù)封裝安全有效負(fù)載 (ESP) 數(shù)據(jù)包可以越過允許UDP通信的 NAT服務(wù)器。相關(guān)協(xié)議會自動檢測NAT服務(wù)器是否存在并使用用戶數(shù)據(jù)報協(xié)議(UDP-ESP)封裝來允許 IPSec 通信，允許其越過NAT服務(wù)器。
    為此如果要用IPSec技術(shù)來武裝NAT服務(wù)的話，必須同時滿足兩個條件。一是IPSec通信的雙方計算機都必須支持這種UDP-ESP封裝的數(shù)據(jù)包，即能夠辨識UDP目的端口為800、后面跟著八個0的這種格式的數(shù)據(jù)據(jù)包。二是IPSec必須采用ESP模式。目前只有ESP模式支持UDP- ESP封裝。
    通常無情況下，NAT服務(wù)器上的IPSec功能允許以下三種主要的設(shè)計模式。
    一是在位于NAT服務(wù)器背后的第2層隧道協(xié)議。虛擬專用網(wǎng)客戶端可以使用ESP傳輸模式通過 Internet 與它們的企業(yè)網(wǎng)絡(luò)建立受 IPSec 保護的連接。二是當(dāng)其中一臺運行路由和遠(yuǎn)程訪問的服務(wù)器位于 NAT服務(wù)器背后時，運行路由和遠(yuǎn)程訪問的服務(wù)器可以建立網(wǎng)關(guān)到網(wǎng)關(guān)的 IPSec 隧道。三是在客戶端和服務(wù)器其中之一或兩者均位于 NAT服務(wù)器背后時，客戶端和服務(wù)器可使用 ESP傳輸模式將受IPSec保護的數(shù)據(jù)包發(fā)送給其他客戶端或服務(wù)器。例如，當(dāng)外圍網(wǎng)絡(luò)服務(wù)器中的某個程序用于與公司網(wǎng)絡(luò)建立連接時，此程序?qū)⑹?IPSec 保護。
    考試大提示無論采用如上那一種部署方式，在配制IPSec安全策略時，必須啟用ESP模式。否則的話，NAT技術(shù)無法與IPSec服務(wù)器共存。
    三、ESP模式配制
    ESP 隧道模式采用ESP與IP報頭以及ESP身份驗證尾端技術(shù)來封裝數(shù)據(jù)包。它主要包括兩個部分的功能，分別為數(shù)據(jù)包簽名與數(shù)據(jù)包加密。數(shù)據(jù)包簽名指對數(shù)據(jù)包進行簽名以獲得完整性并進行身份驗證。數(shù)據(jù)包加密指加密傳輸?shù)臄?shù)據(jù)，以保證數(shù)據(jù)在傳輸過程中被人非法竊取。
    由于為數(shù)據(jù)包添加了隧道新報頭，因此系統(tǒng)會對ESP報頭之后的所有內(nèi)容進行簽名。原始報頭置于ESP報頭之后。在加密之前，會在整個數(shù)據(jù)包上附加 ESP 尾端。ESP 報頭之后的所有內(nèi)容都會被加密，除了ESP身份驗證尾端。注意這加密的內(nèi)容包括原始報頭。因為這個報頭此時被視為數(shù)據(jù)包的數(shù)據(jù)部分的一部分。
    然后，系統(tǒng)會將整個ESP有效負(fù)載封裝在未加密的新隧道報頭內(nèi)。新隧道報頭內(nèi)的信息只用來將數(shù)據(jù)包從源地址發(fā)送到隧道終結(jié)點。如果通過公用網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包，則數(shù)據(jù)包會路由到接收方的網(wǎng)關(guān)的IP地址。網(wǎng)關(guān)對數(shù)據(jù)包進行解密、丟棄ESP報頭并使用原始IP報頭將數(shù)據(jù)包路由到計算機。進行隧道操作時，ESP與AH可組合使用，從而為隧道IP數(shù)據(jù)包提供保密性，同時為整個數(shù)據(jù)包提供完整性和身份驗證。
    要配置IPSec，只需要啟動IP 安全策略管理管理單元。在整個IP安全策略管理器中用戶就就可以制定要部署IPSec技術(shù)所要操用的模式。注意，如果網(wǎng)絡(luò)管理員要利用IPSec技術(shù)來武裝NAT服務(wù)的話，那么一定要在配制中選擇ESP模式。同時，要確保通信的雙方同時支持這種UDP-ESP封裝的數(shù)據(jù)包。