一、代理服務器
代理服務器是介於瀏覽器和Web服務器之間的一臺服務器。其功能是代理網絡用戶去取得網絡信息。網絡信息則是通過代理服務器進行中轉的。更重要的是:Proxy Server(代理服務器)是Internet鏈路級網關所提供的一種重要安全功能,工作主要在開放系統互聯(OSI)模型的對話層。
代理服務器能夠讓多臺沒有IP地址的電腦使用其代理功能高速、安全的訪問互聯網資源。當代理服務器客戶端發出一個對外的資源訪問請求,該請求被代理服務器識別並由代理服務器代爲向外請求資源。
在不使用代理服務器的情況下,用戶使用網絡瀏覽器直接連接其他Internet站點取得網絡信息時,鬚髮出請求信號來得到回答,然後對方再把信息以數據流方式傳送回來。有了代理服務器之後,瀏覽器向代理服務器發出請求,當代理服務器接收請求信息號,再由代理服務器來取回瀏覽器所需要的信息並傳送給終端用戶的瀏覽器。代理服務器的作用如下。
1.共享網絡
如通過Squid、sygate、wingate、isa、ccproxy以及NT系統自帶的網絡共享等代理服務器訪問外部站點的信息。這些代理服務器也都能提供企業級的文件緩存、複製和地址過來等服務。充分利用局域網出口的有限帶寬,加快內網用戶的訪問速度,能解決僅僅有一條線路一個公有IP,在這種公有IP資源嚴重不足的情況下,滿足局域網衆多用戶同時共享上網的需求。
2.訪問代理
現在的網絡環境中常常會出現網絡擁擠或網絡故障。用戶通常都會通過代理服務器繞道訪問目的站點;另外,代理服務器中通常會備份有相當數量的緩存文件,如果當前所訪問的數據在代理服務器的緩存文件中,則可直接讀取,而無需再連接到遠端Web服務器。這樣可以達到加快訪問網站速度,節約通信帶寬的目的。
3.提高速度
提高下載速度,突破一個IP、一個下載線程的限制以及電信和聯通的用戶互上對方的電影網站下載的限制。
4.突破限制
互聯網上有許多開放的代理服務器,客戶在訪問權限受到限制時,而這些代理服務器的訪問權限是不受限制的,剛好代理服務器在客戶的訪問範圍之內,那麼客戶通過代理服務器訪問目標網站就成爲可能。通過代理服務器,國內高校使用教育網就能實現訪問因特網,這就是高校內代理服務器流向的原因所在。
5.防止***
通過代理服務器完成內部主機的訪問使主機地址等信息不會發送到外部,隱藏了自己的真實地址信息,還可隱藏自己的IP。更有效地保護了內部主機。
6.充當防火牆
因爲所有使用代理服務器的用戶都必須通過代理服務器訪問遠程站點,因此在代理服務器上就可以設置相應的限制,以過濾或屏蔽某些信息。
7.方便對用戶管理
通過代理服務器,管理員可以設置用戶驗證和記賬功能,對用戶進行登記,並對用戶的訪問時間、訪問地點、信息瀏覽進行統計。沒有登記的用戶無權通過代理服務器訪問Internet
8.隱藏身份
代理服務器使用內部用戶訪問Interner時受到保護,內部網的用戶要對外發布信息就需要使用代理服務器的反向代理功能。這樣就不會影響到內部網絡的安全性能,起到隱藏身份的目的。
二、網絡地址轉換NAT
當在專用網內部的一些主機本來已經分配到了本地IP地址(即僅在本專用網內使用的專用地址),但現在又想和因特網上的主機通信(並不需要加密)時,可使用NAT方法。
網絡地址轉換NAT方法是在1994年提出的。這種方法需要在專用網連接到因特網的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器,它至少有一個有效的外部全球IP地址。這樣,所有使用本地地址的主機在和外界通信時,都要在NAT路由器上將其本地地址轉換爲全球IP地址,才能和因特網連接。NAT路由器至少要有一個全球IP地址,才能和因特網相連。
假設 NAT路由器收到從專用網內部的主機A發往因特網上主機B的的IP數據報:源IP數據地址是192.168.0.3,而目的IP地址是213.18.2.4.NAT路由器把IP數據報的源IP地址192.168.0.3,轉換爲新的IP地址(即NAT路由器的全球地址)172.38.1.5,然後轉發出去。因此,主機B收到這個IP數據報時,以爲A的IP地址是172.38.1.5。當B給A發送應答時,IP數據包的目的IP地址是NAT路由器的IP地址172.38.1.5。B並不知道A的專用地址192.168.0.3。實際上,即使知道了,也不能使用,因爲因特網上的路由器都不轉發目的地址是專用網本地IP地址的IP數據報。當NAT路由器收到因特網上的主機B發來的IP數據報時,還要進行一次IP地址的轉換。通過NAT地址轉換表,就可把IP數據報上的舊的目的IP地址172.38.1.5 轉換爲
新的目的IP地址192.168.0.3(主機A真正的本地IP地址)。
當NAT路由器具有n個全球IP地址時,專用網內最多可以同時有n個主機接入到因特網。這樣就可以使專用網內較多數量的主機,輪流使用NAT路由有限數量的全球IP地址。
通過NAT路由器的通信必須由專用網內的主機發起。如果因特網上的主機要發起通信,當IP數據報到NAT路由器時,NAT路由器就不知道應當把目的IP地址轉換成專用網內的哪一個本地IP地址。這就表明,這種專用網內部的主機不能當成服務器使用,因爲因特網上的客戶無法請求專用網內的服務器提供服務。爲了更加有效地利用NAT路由器上的全球IP地址,現在常用的NAT轉換表把運輸層的端口號也利用上。這樣,就可以使多個擁有本地地址的主機,共用一個NAT路由器上的全球IP地址,因而可以同時和因特網上的不同主機進行通信。
使用端口號的NAT也叫作網絡地址與端口號轉換NAPT。
NAPT(Network Address Port Translation),可將多個內部地址映射爲一個合法公網地址,但以不同的協議端口號與不同的內部地址相對應,也就是<內部地址+內部端口>與<外部地址+外部端口>之間的轉換。NAPT普遍用於接入設備中,它可以將中小型的網絡隱藏在一個合法的IP地址後面。NAPT也被稱爲“多對一”的NAT,或者叫PAT(Port Address Translations,端口地址轉換)、地址超載(address overloading)。
NAPT與動態地址NAT不同,它將內部連接映射到外部網絡中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設備選定的TCP端口號。NAPT算得上是一種較流行的NAT變體,通過轉換TCP或UDP協議端口號以及地址來提供併發性。除了一對源和目的IP地址以外,這個表還包括一對源和目的協議端口號,以及NAT盒使用的一個協議端口號。
NAPT的主要優勢在於,能夠使用一個全球有效IP地址獲得通用性。主要缺點在於其通信僅限於TCP或UDP。當所有通信都採用TCP或UDP,NAPT允許一臺內部計算機訪問多臺外部計算機,並允許多臺內部主機訪問同一臺外部計算機,相互之間不會發生衝突。