一.网络地址转换(NAT):
所谓NAT技术就是网络地址转换。 那么它用在什么地方呢? 在专用网内部的一些主机本来已经分配到了本地IP地址,但是现在又想和因特网上的主机通信。那么应当采用什么措施呢? 最简单的办法就是设法再申请一些全球IP地址,但这在很多情况下是行不同的,因为全球的IPv4的地址已经所剩不多了,目前使用最多的方法就是采用网络地址转换。但是这种方法需要在专用网连接到因特网的路由器上安装NAT软件,装有NAT软件的路由器叫做NAT路由器,他至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。 NAT技术的原理: 总结: 1. 当NAT路由器具有n个全球IP地址时,专用网内最多可以同时有n个主机接入到因特网; 2. 通过NAT路由器的通信必须由专用网内的主机发起; 3. 使用端口号的NAT叫做网络地址与端口号转换NAPT;
NAT技术的产生原因:
IPv4地址危机,由于其先天性不足,在九十年代初期,已经预计到了IPv4地址不足,从而开始开发IPv6技术。但开发IPv6需要足够的时间,为了延长IPv4的使用时间,产生了NAT技术。
NAT技术的优点:
NAT技术以少量的公有IP地址代替大多的私有IP地址访问的方式,能有助于减缓IP地址不足的问题,同时能有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT服务器有内部和外部两个网卡,只有当内外部网络之间进行数据传送时,才进行地址转换。 在NAT服务器上都维护了一张状态表,称为NAT表。该表记录每个数据包在NAT服务器上被转换的情况。
根据采用的地址转换技术不同,可以分为三类: 静态转换、动态转换和端口多路复用。
1.静态转换: 将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只能转换为唯一的公有IP地址。 通过静态转换,可以实现外部网络对内部网络中某些特定设备(服务器)的访问。 首先,当内网终端要访问外网服务器时,会先将请求发送给NAT服务器; NAT服务器接收到请求后,根据接收到的数据包检查NAT表;如果已为该地址配置了静态地址转换,NAT服务器就使用对应的公网IP地址转发数据包,否则,NAT服务器不对地址进行转换,直接将数据包丢弃; Internet主机接收到请求之后,会将应答信息返回给端口NAT服务器; 当NAT服务器接收到来自Internet上的主机返回的数据包后,检查静态NAT表。如果NAT表中存在匹配的映射项,则将目标地址转换为相应的内网IP,并将数据包转发给内网主机。如果不存在匹配映射项,则将数据包丢弃;
2、动态转换: 指将内部网络的私有IP地址转换为公有IP地址时,IP地址是不确定的,也就是随机的,所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。 也就是说,只要指定哪些内部地址可以进行展缓,以及用哪些合法地址作为外部地址时,就可以进行动态转换。 动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时, 可以采用动态转换的方式。 动态转换与静态转换的区别: 转换的对应的合法公有IP地址是不确定的,也就是随机分配的。
3.端口多路复用: 指改变外出数据包的源端口并进行端口转换,即就是端口地址转换(PAT,Port Address Translation). 当内网主机需要与Internet建立连接时,首先将请求发送到端口NAT服务器。NAT服务器接收到请求后,根据接收到的数据包,检查端口NAT映射表;如果还没有为该内网主机建立地址转换映射项,则NAT服务器会创建一个会话,并给该会话分配一个端口。之后将源地址及端口改为企业公网IP地址及相应的端口,发送数据包到Internet主机上; Internet主机接收到信息后,将应答信息返回给端口NAT服务器; 当端口NAT服务器接收到应答信息后,检查端口NAT映射表。如果端口NAT表存在匹配的映射项,则将目标地址及端口转换为对应的内网IP及端口,将数据包转发给内网主机。如果不存在匹配映射项,就将数据包丢弃;
NAT技术的优点
采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。 同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
二.代理服务器: 1、代理服务器的概念: 1)代理(英语:Proxy),也称网络代理,是一种特殊的网络服务,允许一个网络终端(一般为客户端)通过这个服务与另一个网络终端(一般为服务器)进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利于保障网络终端的隐私或安全,防止攻击。 2)代理服务器:提供代理服务的电脑系统或其它类型的网络终端。即是在内部网和 Internet 之间的一台主机设备,当内部网的用户需要 Internet 上的某一服务时,代理服务器会将数据取回来再通知用户。内部网的所有用户只要一个代理服务器,就都可以同时上网,而代理服务器只占用 Internet 上的一个 IP 地址。代理服务器还同时兼有防火墙和数据缓冲的功能。 一个完整的代理请求过程为:客户端首先与代理服务器创建连接,接着根据代理服务器所使用的代理协议,请求对目标服务器创建连接、或者获得目标服务器的指定资源(如:文件)。在后一种情况中,代理服务器可能对目标服务器的资源下载至本地缓存,如果客户端所要获取的资源在代理服务器的缓存之中,则代理服务器并不会向目标服务器发送请求,而是直接返回缓存了的资源。一些代理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应,以满足代理协议的需要。代理服务器的选项和设置在计算机程序中,通常包括一个“防火墙”,允许用户输入代理地址,它会遮盖他们的网络活动,可以允许绕 过互联网过滤实现网络访问。 2、其功能就是代理网络用户去取得网络信息。也可以说,它是网络信息的中转站。代理服务器就好象一个大的Cache,这样就能显著提高浏览速度和效率。更重要的是:代理服务器是Internet链路级网关所提供的一种重要的安全功能 3、主要的功能有: (1)设置用户验证和记账功能,可按用户进行记账,没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。 (2)对用户进行分级管理,设置不同用户的访问权限,对外界或内部Internet地址进行过滤,设置不同的访问权限。 (3)增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。 (4)连接内网与Internet,充当防火墙(Firewall):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限。 (5)节省IP开销:代理服务器允许使用大量的伪IP地址节约网上资源,即用代理服务器可以减少对IP地址的需求,对于使用局域网方式接入Internet ,如果为局域网(LAN)内的每一个用户都申请一个IP地址,其费用可想而知。但使用代理服务器后,只需代理服务器上有一个合法的IP地址,LAN内其他用户可以使用10…*这样的私有IP地址,这样可以节约大量的IP,降低网络的维护成本。 4、代理分类 1)HTTP代理:www对于每一个上网的人都再熟悉不过了,www连接请求就是采用的http协议,所以我们在浏览网页,下载数据(也可采用ftp协议)时就是用http代理。它通常绑定在代理服务器的80、3128、8080等端口上。 2)socks代理:知道了上述信息,您就可以把这些信息填入“网络配置”中,或者在第一次登记时填入,您就可以使用socks代理了。 在实际应用中SOCKS代理可以用作为:电子邮件、新闻组软件、网络传呼ICQ、网络聊天MIRC和使用代理服务器上联众打游戏等等各种游戏应用软件当中。 3)VPN代理:指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。 4)反向代理:反向代理服务器架设在服务器端,通过缓冲经常被请求的页面来缓解服务器的工作量。 安装反向代理服务器有几个原因: a.加密和SSL加速 b.负载平衡 c.缓存静态内容 d.压缩 减速上传 e.安全 外网发布 大多使用开放源代代码的squid做反向代理 5)FTP代理:能够代理客户机上的FTP软件访问FTP服务器 6)RTSP代理:代理客户机上的Realplayer访问Real流媒体服务器 7)POP3代理:代理客户机上的邮件软件用POP3方式收发邮件 [代理服务器流程图] 代理与NAT 大多数时候,“代理”是指在一个第7层应用OSI参考模型。但是,代理的另一种方式是通过第3层,被称为网络地址转换(NAT)。这两个代理技术之间的区别是在其运行的层次,并且该过程在配置代理客户端和代理服务器。
在3层代理(NAT)的客户端配置,配置网关就足够了。然而,对于一个层-7-代理的客户端配置,分组的客户端生成的目的地必须始终是代理服务器(第7层),则代理服务器读取每一个数据包,并查找出真目的地。
由于NAT在第3层进行操作,它是资源密集型小于7层代理,也不够灵活。当我们比较这两个技术,我们可能会遇到被称为“透明防火墙”一个术语。透明防火墙是指三层代理使用第7层代理优点,但没有客户端的知识。客户假定网关处于层-3在NAT,并且它不具有关于该分组的内部的任何想法,但通过该方法,第3层分组被发送到调查层-7-代理。 (*注:资料来源于网络)
