网络地址转换作为安全的神话

在服务提供商网络中，网络地址转换（NAT）的最大使用往往是在用户互联网边缘点，但不幸的是，此点也是服务提供商网络内最大的攻击面，带来最大的威胁。 在移动网络中，这种覆盖范围有各种名称，包括 Gi LAN、SGi LAN 和移动边缘。 更一般地说，它是纯互联网连接与管理特定接入技术（如无线、有线或光纤）的网关相遇的位置。 网关非常适合管理特定接入网络上的用户连接，但由于安全功能有限或成本过高，它们并不适合应用安全控制或地址转换。

过去的服务提供商一直错误地认为 NAT 可以在用户互联网边缘提供地址转换和安全性。 安全社区已尝试消除这种误解，但它仍然存在，在当今攻击不断升级的环境中，移动和固定服务提供商需要了解 NAT 为何不够用。 这种理解首先要认识到，除了拒绝入站流量之外，在用户聚合点还存在许多不同类型的安全服务。

一种常见的架构解决方案包括网关和互联网之间的状态系统，可以为用户和网络提供各种服务。 常见的安全服务类型包括：

• DDoS 保护。 分布式拒绝服务 (DDoS) 攻击缓解通常用于防御来自互联网的大规模攻击，包括消除没有合法用途的数据包和限制偏离典型行为模式的数据包。
• 端口和协议限制。 十多年前，服务提供商会向所有用户提供广泛开放的接入。 这虽然确实方便了许多applications的连接，但也为病毒和蠕虫的传播提供了良好的环境，从而过度消耗网络资源。 如今，大多数服务提供商确实会在其网络上阻止某些协议，并限制其他协议的使用，以降低恶意软件滋生的风险。
• 基础设施保护。 IP 连接的优点在于，它使任何拥有 IP 地址的人都可以与地球上的任何其他 IP 地址进行通信。 然而，这也使得用户有可能在没有任何正当理由的情况下连接到服务提供商网络上的系统。 实施控制来保护用户聚合点的基础设施非常重要。
• 僵尸网络缓解。 在任何时间点，许多用户的系统都会感染病毒和恶意软件，这些病毒和恶意软件正在与互联网上某处的命令和控制 (C&C) 系统进行通信。 限制这种通信可以减少用户设备在僵尸网络攻击中的使用，从而为用户和网络带来好处。
• 服务执行的类型。 许多服务提供商提供各种服务，使用户能够执行不同类型的连接。 例如，企业客户可能需要具有无限制协议使用和托管服务器能力的静态 IP 地址。 然而，较低级别的消费者服务可能会限制服务器在移动设备上的运行。 或者也许可以使用专门类型的 IP 地址类来实现管理连接，以更新 CPE 上的固件和软件。 当移动服务提供商部署 LTE 语音 (VoLTE) 时，他们将使用必须具有有限连接性的专用 APN，否则收入流失的风险将大大增加。

这五个安全控制示例并不详尽，但它们确实代表了现代网络在用户聚合点所需的一组基本功能。 考虑到这一点，NAT 解决方案没有提供足够的功能来保护现代网络。 （请注意，如果一家公司提供可执行上述任何功能的运营商级 NAT（CGNAT）解决方案，则表明单靠 NAT 不足以保护服务提供商最有价值的产品——连接人与物的能力。） 通过上述服务保护用户互联网边缘的正确解决方案不是 NAT，而是运营商级网络防火墙，例如 F5® BIG-IP® 高级防火墙管理器™ (AFM)。

既然已经确定 NAT 无法防御许多其他安全威胁，那么我们就来消除将 NAT 用作安全服务的技术和商业迷思，哪怕只是对未经请求的流量进行最低限度的拒绝。

NAT 的创建是为了方便重叠私有地址空间中主机之间的通信，但它得到了广泛的部署，主要目的是为网络中比单个 IP 地址更多的主机提供连接。 与 NAT 相关的安全问题早已被记录下来。 （请参阅互联网工程任务组 (IETF) 的RFC2663和RFC2993的安全注意事项部分）。 这些担忧是 IPv6 创建的一大推动力。 现在世界已经转向 IPv6 一段时间了，使用 IPv6 的主机将不再需要 NAT。 因此将无法为 IPv6 主机提供任何保护。

有人可能会认为，有状态的 NAT46 或 NAT64 网关可以提供一定的安全性。 然而，这种安全只是部分的和短暂的。 CGNAT 主要用于在一方尚未转换为 IPv6 时转换主机之间的流量，这意味着最终目标是移除 CGNAT 设备并允许本机 IPv6 流量无需转换。 如果没有运营商级的网络防火墙，NAT设备就成为运营商全面迁移IPv6的障碍。

此外，许多服务提供商网络现在提供 IPv4/IPv6 双栈配置。 在这种情况下，即使服务提供商启用了 NAT44，IPv6 接口也没有启用，这意味着组织已认定 NAT 足以保证 IPv4 接口上的安全性，但同一主机在 IPv6 接口上仍然完全开放——这在逻辑上是不一致的。 当完全相同的威胁适用于 IPv4 和 IPv6 时，为什么网络架构师会认为 IPv4 需要保护而 IPv6 不需要保护呢？

如今，运营商级网络防火墙必须定位为解决方案，因为运营商不会接受缺乏安全性成为 IPv6 转换的障碍。 现在部署CGNAT点产品将迫使运营商在未来重新购买设备和软件以及重新设计网络，这会导致更高的成本，因为服务提供商网络的变更是一个困难的过程。 相比之下，在运营商级网络防火墙上实现 CGNAT 功能将确保在安全功能奇偶校验和容量方面顺利过渡到 IPv6。

无状态 NAT 通常是一种罕见的用例，但它可能在某些特殊情况下使用。 无状态设备允许所有流量（无论来自订阅者设备的请求如何）到允许反向 NAT 的端口。 由于它们是无状态的，它们不知道需要 NAT 的主机发送了什么流量；因此它们必须允许所有返回流量。 显然，无状态 NAT 甚至可能不适合大多数 NAT 用例，并且完全不适合任何安全用例。

在大多数情况下，有状态出口 IPv4 NAT 使运营商能够部分保护内部主机免受外部发起的流量的影响。 但是，它并不为内部主机提供保护，也无法应对来自内部主机对连接到 NAT 设备的其他网络资源的攻击。 在大量情况下，许多将被入侵的内部主机可能会访问互联网进行僵尸网络命令和控制。 在一些罕见但非常严重的情况下，这些被感染的主机被用作对内部服务提供商网络进行高级攻击的发射台，或对更高级别的公司或政府目标进行外部攻击，从而引起不必要的宣传。 此类事故发生后的清理成本远远超过解决方案的成本。

有状态入口 IPv4 流量是唯一一种任何人都可以合理地认为 NAT 提供安全保护的流量类型，而且仅在某些条件下提供。 这是一个仍然存在的误解，但正如上述解释所表明的那样，IPv4 流量只是联网主机所呈现的攻击面的一小部分。 此外，即使对于 IPv4 入口，状态 NAT 也不能提供太多的保护，因为现代攻击技术假设路径中会有一个 NAT 设备，而这个设备必须被破坏。 主机的静态和目标转换不提供安全性。

NAT 的一些所谓的安全性依赖于混淆，但安全社区并不认为这是一个真正的解决方案。 混淆只会让查找可以通过其他方式获得的信息变得更加困难，因此它起不到任何预防作用。 有状态入口 NAT 安全神话的另一个组成部分是，它被认为提供了一条“单行道”——然而，事实并非如此。 虽然有状态入口 IPv4 NAT 确实会拒绝外部发起的 TCP 流量，但这并不意味着外部主机在某些情况下不能将流量发送到内部主机或使用其他方法来绕过 NAT。 事实上，大多数基于网络的攻击都将此视为攻击的必要条件。

有多种方法可以实现这种规避，所有这些方法都可以通过防火墙来阻止。 首先，攻击者可以使用针对性攻击或扫描攻击将流量发送到 NAT 设备状态表中打开的端口。 此攻击的目的可能是通过使主机或 NAT 状态表上的现有会话无效来创建拒绝服务 (DoS)、足迹内部网络或将恶意软件负载注入第三方的现有会话以危害内部主机。 在设计上无状态的 UDP 流量中会出现严重的影响；但是，在 TCP 或其他协议中可以实现相同的效果（考虑到主机的敏感性）。 此外，NAT 可能不提供防火墙或高级安全设备固有提供的协议一致性、序列号检查或任何其他第 2 层或第 3 层 DoS 安全措施。 当安全漏洞发生时，NAT 也没有提供任何应对工具。

定位运营商级网络防火墙的商业理由很简单： 首先，没有哪家服务提供商能够承受如今这种极具破坏性、有时甚至引人关注的安全漏洞。 这就是为什么防火墙和网络地址转换服务经常捆绑在一起的原因。 现代移动网络可能造成的经济损失很容易超过数百万美元，有些攻击甚至可能会使整个品牌陷入瘫痪。

其次，在仅存在 NAT 设备的情况下，服务提供商没有工具来应对攻击，只能无助地忍受，直到找到临时解决方案。

最后，使用先进防火墙设备的精明服务提供商可以为他们的客户提供额外的安全服务。 传统上，此类附加功能会吸引那些有明确理由保护其商业资产的企业客户。 如果没有具备这些功能的防火墙设备，服务提供商将永远没有机会赚取收入。 事实上，通过不展示具有高级安全功能的组合式 NAT 和防火墙解决方案，服务提供商让其客户认为服务提供商的产品线或专业知识存在差距。

认为 NAT 能够在当今复杂的攻击面前提供任何显著安全性的神话需要被打破。 从技术角度来看，实际上 NAT 提供了：

• IPv6 主机不安全，因为这些主机不需要 NAT。
• 无状态 NAT 主机没有安全性。
• 没有针对状态 NAT 主机出站攻击的安全性。
• 对状态 NAT 主机入口攻击的保护最低，因为现代攻击假设存在 NAT 设备并很容易破坏或绕过这些设备。
• 没有应对经常发生的安全攻击的工具。

从商业角度来看，忽视部署运营商级网络防火墙（例如 BIG-IP AFM）作为边缘 NAT 和安全解决方案的一部分，可能会造成严重且有害的收入流失，并表明服务提供商缺乏创新。

相比之下，部署适当且功能丰富的运营商级防火墙（如 F5 提供的防火墙）的服务提供商可以对其网络安全充满信心，减轻攻击相关的财务和声誉风险，并可以利用机会为其客户提供尖端和增值的安全服务以增加收入。