NAT技術
是當前解決IP地址不夠用的主要手段, 是路由器的一個重要功能
NAT技術能夠在私有IP對外通信時, 將其轉爲全局IP
也就是一種將私有IP和全局IP相互轉化的技術方法
很多學校, 家庭, 公司內部在每個終端設置私有IP, 而在路由器或必要的服務器上設置全局IP
全局IP要求唯一, 但是私有IP不需要
在不同的局域網中出現相同的私有IP是完全不影響的
NAT 的 IP 轉換過程
NAT 路由器將源地址從10.0.0.10替換成全局的IP 202.244.174.37
NAT 路由器收到外部的數據時, 又會把目標IP從 202.244.174.37 替換回 10.0.0.10
在NAT 路由器內部, 有一張自動生成的, 用於地址轉換的表
當 10.0.0.10 第一次向 163.221.120.9 發送數據時就會生成表中的映射關係
如果局域網內, 有多個主機都訪問同一個外網服務器, 那麼對於服務器返回的數據中,
目的IP都是相同的. 那麼NAT路由器如何判定將這個數據包轉發給哪個局域網的主機呢?
這時候NAPT就來解決這個問題了. 它使用ip + port來建立這個關聯關係
這種關聯關係也是由NAT 路由器自動維護的
例如: 在TCP建立連接時, 就會生成這個表項, 在斷開連接後, 就會刪除這個表項
NAT 技術的缺陷
由於NAT 依賴這個轉換表, 所以有諸多限制
無法從NAT 外部向內部服務器建立連接
轉換表的生成和銷燬都需要額外開銷
通信過程中一旦NAT 設備異常, 即使存在熱備, 所有的TCP連接也都會斷開
代理服務器(Proxy Server)
是一種重要的服務器安全功能,它的工作主要在 OSI 模型的會話層,從而起到防火牆的作用
代理服務器大多被用來連接 INTERNET(國際互聯網) 和 Local Area Network(局域網)
其功能就是代理網絡用戶去取得網絡信息。
形象的說:它是網絡信息的中轉站。代理服務器就好象一個大的Cache(高速緩存),這樣就能顯著提高瀏覽速度和效率。
更重要的是:Proxy Server(代理服務器)是Internet鏈路級網關所提供的一種重要的安全功能,主要的功能有:
- 突破自身IP訪問限制,訪問國外站點。教育網、過去的169網等
- 網絡用戶可以通過代理訪問國外網站
- 訪問一些單位或團體內部資源,如某大學FTP(前提是該代理地址在該資源 的允許訪問範圍之內),使用教育網內地址段免費代理服務器,就可以用於對教育網開放的各類FTP下載上傳,以及各類資料查詢共享等服務。
- 突破中國電信的IP封鎖:中國電信用戶有很多網站是被限制訪問的,這種限制是人爲的,不同Serve對地址的封鎖是不同的。所以不能訪問時可以換一個國外的代理服務器試試。
- 提高訪問速度:通常代理服務器都設置一個較大的硬盤緩衝區,當有外界的信息通過時,同時也將其保存到緩衝區中,當其他用戶再訪問相同的信息時, 則直接由緩衝區中取出信息,傳給用戶,以提高訪問速度。
- 隱藏真實IP:上網者也可以通過這種方法隱藏自己的IP,免受攻擊。
在國內,所謂中國多媒體公衆信息網和教育網都是獨立的大型國家級局域網,是與國際互聯網隔絕的。出於各種需要,某些集團或個人在兩網之間開設了代理服務器,如果我們知道這些代理服務器的地址,就可以利用它到達國外網站
NAT 和 代理服務器的區別
路由器往往都具備NAT 設備的功能, 通過NAT 設備進行中轉, 完成子網設備和其他子網設備的通信過程
代理服務器看起來和NAT 設備有一點相似
客戶端向代理服務器發送請求, 代理服務器將請求轉發給真正要請求的服務器
服務器返回結果後, 代理服務器又把結果回傳給客戶端
兩者的區別是:
從應用上講, NAT 設備是網絡基礎設備之一, 解決的是IP不足的問題
代理服務器則是更貼近具體應用
比如: 通過代理服務器進行”翻牆”, 另外像迅遊這樣的加速器, 也是使用代理服務器實現的
從底層實現上講, NAT 是工作在網絡層的, 直接對IP地址進行替換
代理服務器往往工作在應用層
從使用範圍上講, NAT 一般在局域網的出口部署
代理服務器可以在局域網做, 也可以在廣域網做, 也可以跨網
從部署位置上看, NAT 一般集成在防火牆, 路由器等硬件設備上
代理服務器則是一個軟件程序, 需要部署在服務器上
常見的代理服務器
1、Microsoft Proxy 代理服務器
Microsoft Proxy Server 是微軟提供的一種代理服務器解決方案,大型的局域網可以用它作爲局域網的代理服務器軟件。
Microsoft Proxy 除了提供傳統的代理功能外,還對當前Internet一些最新的應用提供了代理服務
如IP電話(Internet Phone)、網絡尋呼機(ICQ)等。
Microsoft Proxy 包括了Web Proxy、Socks Proxy、Winsock Proxy。
其中Web Proxy支持HTTP、FTP等服務,WinSock Proxy支持Telnet、電子郵件、RealAudio、IRC、ICQ等服務,Socks Proxy負責中轉使用Socks代理服務的程序與外界服務器間的信息交換。
Microsoft Proxy 在運行Windows NT/2000的服務器上安裝後,各工作站就可以使用Web Proxy提供的服務,上網瀏覽、使用FTP等。
如果要使用winSock Proxy和Socks Proxy提供的服務,必須要在客戶端安裝配置程序,並且還要在服務器端進行設置。
相對於SyGate、WinGate等簡易的代理服務器軟件,Microsoft Proxy Server功能更強大,適用於企業級或大型網吧的局域網,但由於它一定要運行在WinNT/2000上,且配置比較複雜,小型局域網使用較少。
2、Microsoft ISA 代理服務器
Microsoft Internet Security and Acceleration Server (簡稱Microsoft ISA或ISA Server)
是Microsoft Proxy Server的升級換代產品
ISA Server是一個可擴展的企業防火牆和Neb緩存服務器,可與Windows 2000/2003集成,以便爲連網用戶實現基於策略的安全的實現、數據訪問的加速。
ISA Server 最吸引人的地方在於它和 Active Directory 的集成,這使得我們可以使用與管理其它網絡和用戶相同的方法來管理用戶訪問、 Internet 以及安全策略。
ISA Server 使用 Microsoft 管理控制檯(MMC), MMC 是一個界面,用來管理 Windows 2000/2003 Server 中的許多功能,而且文檔十分完善。
ISA Server構建在Windows 2000/2003安全、目錄、虛擬專用網絡(VPN)和帶寬控制基礎之上。不論是作爲一組單獨的防火牆還是緩存服務器來部署,還是以集成的模式來部署, ISA Server均可增強網絡的安全性,實施一致的Internet使用策略,加速Internet訪問,並最大限度地提高各種規模公司員工的辦公效率。
3、WinProxy 代理服務器
Winproxy 是一種常用的代理服務器軟件,只要安裝在局域網的服務器上就可以了,它可以讓局域網的多臺客戶機通過服務器上網。
它支持SOCKs 4 & 5,利用Winproxy的SOCKs協議可以讓客戶機連通QQ。
Winproxy是一款集NAT、代理和防火牆三者爲一體的代理軟件,它能夠支持我們提到過的多種代理方式,同樣也能夠支持常見的協議。
從功能上看,WinProxy與WinGate十分相似,但不如WinGate強大,其性能介於WinGate和CCProxy之間,對於那些不希望使用 WinGate這麼複雜軟件,但還需要使用NAT共享方式的用戶來說,這是一個相當不錯的選擇。
4 、WinGate 代理服務器
WinGate可以作爲一個堅固的防火牆,能控制企業內部網絡的入出訪問。
相對同類軟件,WinGate有很多優點,如可以限制用戶對 Internet訪問的能力,通過GateKeeper提供的強勁的遠程控制和用戶認證能力(Pro版),記錄和審計能力, 一個SOCKS5服務器, HTTP緩存(節省帶寬和加速訪問),連接映射,可作爲服務運行等等。
如果使用的是一個十多臺計算機的局域網環境,以Wingate爲代理服務器通過一個Modem上網,應該說速度還是可以接受的。
不過,問題就是我們剛纔也提到的,在操控方面,WinGate對用戶的要求似乎更高些。
作爲一款經典的代理服務軟件,WinGate能夠提供多種網絡代理服務。
其最新版除了提供常用的HTTP、Socks代理服務以外,還支持 DHCP、DNS服務。
同時,它還提供了完整的POP3和SMTP服務,用戶可以藉此構建一個郵件服務器。
WinGate還特別提供了按需撥號功能。
更方便的是,WinGate還能夠與Windows用戶進行集成,Windows NT/2000系統用戶可以直接使用已創建好的用戶信息。
5、winRoute 代理服務器
WinRoute除了具有代理服務器的功能外,還具有NAT(Network Address Translation,網絡地址轉換)、防火牆、郵件服務器、DHCP服務器、DNS服務器等功能,能爲用戶提供一個功能強大的軟網關。
WinRoute有很多選項設置,涉及到網絡配置的方方面面,但是它的幫助系統卻不是很完善,由於WinRoute具有DHCP服務器的功能,局域網內部的機器還可配置成由WinRoute動態分配IP地址。
WinRoute的Commands選單比較簡單,可以進行撥號、斷線、收發電子郵件。
總體來說,WinRoute的網絡功能相當全面,是一個優秀的軟網關, 美中不足的就是它的用戶界面顯得有些簡單,幫助系統不完善,從而增加了配置工作的難度。
6、SyGate 代理服務器
SyGate 是一種支持多用戶訪問因特網的軟件,並且是隻通過一臺計算機,共享因特網帳號,達到上網的目的。
使用SyGate 若干個用戶能同時通過一個小型網絡,迅速、快捷、經濟地訪問因特網。
易於安裝 SyGate在數分鐘之內便可以安裝完成,並且通常不需要其他外加的設置。
和其他代理服務器軟件不同的是,SyGate僅安裝Server便可以了。
SyGate擁有直觀的圖形化界面,懂得操作Windows的人員均會操作。
SyGate啓動後便在後臺運行,不需要人工的干預。
易於管理在TCP/IP網絡上,SyGate Client能讓用戶從任何一臺計算機上遠程監察和管理SyGate Server。
SyGate診斷程序在任何時候都能幫助你確定你的系統設置以及解決網絡連接的問題。
SyGate設有使用日誌文件以及系統設置文件,在需要的時候可輕易地查尋與檢測。
儘管這些功能並非是必須的,SyGate還是能以其高度的可配適性,滿足任何小型網絡中的多種需要。
7、CCProxy 代理服務器
CCProxy是一款國產的代理服務器軟件,能滿足小型網絡用戶所有的代理需求。
它支持HTTP、FTP、Socks4、Socks5等多種代理協議,雖然不具備與Windows用戶的集成能力,但CCProxy可以自行創建用戶,並允許網管員根據需要爲不同用戶分配不同的權限。
而通過相關規則的設定,CCProxy還能對單個用戶連接數、訪問網址等加以限制。
CCProxy代理服務器於2000年6月問世,是國內最流行的下載量最大的的國產代理服務器軟件。
主要用於局域網內共享Modem貓代理上網,ADSL代理共享、寬帶代理共享、專線代理共享、ISDN代理共享、衛星代理共享、藍牙代理共享和二級代理等共享代理上網。
總體來說,CCProxy可以完成兩項大的功能:代理共享上網和客戶端代理權限管理。
CCProxy非常適合中國用戶使用,無論是政府機關部門,大中小公司,學校,或是網吧,CCProxy都是實現共享上網的首選代理服務器軟件。
8、squid 代理服務器
在Unix/linux下使用的比較優秀的代理服務器軟件Squid
之所以說它比較優秀,是因爲它可以在代理服務器上做一個很大的緩存,可以把好多常去的網站內容存儲到緩存中,這樣,內部網的機器再訪問那些網站,就可以從緩存裏調用了。
這樣一方面可以加快內部網瀏覽因特網的速度,這就是所謂的提高客戶機的訪問命中率
另一方面,Squid不僅僅支持HTTP協議,而且還支持 FTP, GOPHER,SSL和WAIS等協議
考慮到簡捷實用的原則,squid作爲代理服務器不僅性能優異,而且還詳細的紀錄了各個客戶端的訪問紀錄。
Squid是一個緩存internet數據的一個軟件,它接收用戶的下載申請,並自動處理所下載的數據。
Squid可以工作在很多的操作系統中,如 AIX, Digital Unix, FreeBSD, HP-UX, Irix, Linux, NetBSD, Nextstep, SCO, Solaris,OS/2等,也有不少人在其他操作系統中重新編譯過Squid
由於它安裝簡單,使用方便,所以已經被廣泛使用。
