NAT技术与代理服务器

NAT技术与代理服务器调研 一、NAT技术 1.概念     网络地址转换（NAT）是一个IETF（Internet Engineering Task Force,Internet工程任务组）标准，允许一个整体机构以一个公用IP地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。可以认为NAT在一定程度上能够有效的解决公网地址不足的问题。     简单地说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中，这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。（这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由转发）     NAT通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。 2.NAT的功能     NAT不仅能解决IP地址不足的问题，而且能有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 （1）宽带分享：这是NAT主机的最大功能， （2）安全防护：NAT之外的PC联机带Internet上面时，它所显示的IP是NAT主机的公共IP，所以Client端的PC当然就具有一定程度的安全性，外界在进行portscan（端口扫描）的时候，就侦测不到源 Client端的PC。 3.NAT实现方式     NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。 （1）静态转接：是指将内部网络饿私有IP地址转换为公有IP地址，IP地址是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。 （2）动态转换：是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。 （3）端口多路复用（PAT）：是指改变外出数据包的源端口并进行端口转换，即端口地址转换，采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址并实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。 4.NAT工作原理     借助NAT，私有（保留）地址的“内部”网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。     NAT将自动修改IP报文的源IP地址和目的IP地址，IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP头中已经修改过得源IP地址。否则，在报文数据部分嵌入IP地址的应用程序就不能正常工作。 二、代理服务器 1.概念     代理，也称网络代理，是一种特殊的网络服务，允许一个网络终端（一般为客户端）通过这个服务与另一个网络终端（一般为服务器）进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利于保障网络终端的隐私或安全，防止攻击。     提供代理服务的电脑系统或其它类型的网络终端称为代理服务器（英文：Proxy Server）。一个完整的代理请求过程为：客户端首先与代理服务器创建连接，接着根据代理服务器所使用的代理协议，请求对目标服务器创建连接、或者获得目标服务器的指定资源（如：文件）。在后一种情况中，代理服务器可能对目标服务器的资源下载至本地缓存，如果客户端所要获取的资源在代理服务器的缓存之中，则代理服务器并不会向目标服务器发送请求，而是直接返回缓存了的资源。一些代理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应，以满足代理协议的需要。代理服务器的选项和设置在计算机程序中，通常包括一个“防火墙”，允许用户输入代理地址，它会遮盖他们的网络活动，可以允许绕过互联网过滤实现网络访问。 2.主要功能     代理服务器英文全称是（Proxy Server），其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。代理服务器就好象一个大的Cache，这样就能显著提高浏览速度和效率。更重要的是：Proxy Server（代理服务器）是Internet链路级网关所提供的一种重要的安全功能，主要的功能有： - 突破自身IP访问限制，访问国外站点。教育网、过去的169网等 - 网络用户可以通过代理访问国外网站。 - 访问一些单位或团体内部资源，如某大学FTP（前提是该代理地址在该资源 的允许访问范围之内），使用教育网内地址段免费代理服务器，就可以用于对教育网开放的各类FTP下载上传，以及各类资料查询共享等服务。 - 突破中国电信的IP封锁：中国电信用户有很多网站是被限制访问的，这种限制是人为的，不同Serve对地址的封锁是不同的。所以不能访问时可以换一个国外的代理服务器试试。 - 提高访问速度：通常代理服务器都设置一个较大的硬盘缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时， 则直接由缓冲区中取出信息，传给用户，以提高访问速度。 - 隐藏真实IP：上网者也可以通过这种方法隐藏自己的IP，免受攻击。 3.常见的服务器 域控制器，DNS服务器，DHCP服务器，web服务器，FTP服务器邮件服务器和文件服务器等。 域控制器：安全性能强，权限更加分明，提供网络资源管理和控制服务。 DNS服务器：提供域名与IP地址的相互转换服务。 DHCP服务器：提供动态的IP地址的分配任务。 WEB服务器：提供信息的发布任务。 FTP服务器：提供资源的上传，下载任务。 邮件服务器：提供电子邮件的接收，发送管理任务。 文件服务器：提供文件的共享服务。 4.代理分类 （1）HTTP代理     www连接请求就是采用http协议，所以浏览网页、下载数据时就是用的http代理。它通常绑定在代理服务器的80、3128、8080等端口上。 （2）socks代理     采用socks协议的代理服务器就是SOCKS服务器，是一种通用的代理服务器。Socks 不要求应用程序遵循特定的操作系统平台，Socks 代理与应用层代理、HTTP层代理不同，Socks 代理只是简单地传递数据包，而不必关心是何种应用协议（比如FTP、HTTP和NNTP请求）。所以，Socks代理比其他应用层代理要快得多。它通常绑定在代理服务器的1080端口上。 （3）VPN代理     在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性。 （4）反向代理     反向代理服务器架设在服务器端，通过缓冲经常被请求的页面来缓解服务器的工作量。 （5）其他类型 FTP代理：能够代理客户机上的FTP软件访问FTP服务器 RTSP代理：代理客户机上的Realplayer访问Real流媒体服务器 POP3代理：代理客户机上的邮件软件用POP3方式收发邮件 三、代理与NAT     大多数时候，“代理”是指在一个第7层应用OSI参考模型。但是，代理的另一种方式是通过第3层，被称为网络地址转换(NAT)。这两个代理技术之间的区别是在其运行的层次，并且该过程在配置代理客户端和代理服务器。     在3层代理(NAT)的客户端配置，配置网关就足够了。然而，对于一个层-7-代理的客户端配置，分组的客户端生成的目的地必须始终是代理服务器(第7层)，则代理服务器读取每一个数据包，并查找出真目的地。     由于NAT在第3层进行操作，它是资源密集型小于7层代理，也不够灵活。当我们比较这两个技术，我们可能会遇到被称为“透明防火墙”一个术语。透明防火墙是指三层代理使用第7层代理优点，但没有客户端的知识。客户假定网关处于层-3在NAT，并且它不具有关于该分组的内部的任何想法，但通过该方法，第3层分组被发送到调查层-7-代理。