代理服務器和NAT技術

代理服務器

 

1、概念及功能

 

代理服務器英 文全稱是（Proxy Server），其功能就是代理網絡用戶去取得網絡信息。形象的說：它是網絡信息的中轉站。代理服務器就好象一個大的Cache，這樣就能顯著提升瀏覽速 度和效率。更重要的是：Proxy Server（代理服務器）是Internet鏈路級網關所提供的一種重要的安全功能，主要的功能有:

一、突破自身IP訪問限制，訪問國外站點。教育網、過去的169網等

二、網絡用戶能夠經過代理訪問國外網站。

三、訪問一些單位或團體內部資源，如某大學FTP（前提是該代理地址在該資源 的容許訪問範圍以內），使用教育網內地址段免費代理服務器，就能夠用於對教育網開放的各種FTP下載上傳，以及各種資料查詢共享等服務。

四、突破中國電信的IP封鎖：中國電信用戶有不少網站是被限制訪問的，這種限制是人爲的，不一樣Serve對地址的封鎖是不一樣的。因此不能訪問時能夠換一個國外的代理服務器試試。

五、提升訪問速度：一般代理服務器都設置一個較大的硬盤緩衝區，當有外界的信息經過時，同時也將其保存到緩衝區中，當其餘用戶再訪問相同的信息時， 則直接由緩衝區中取出信息，傳給用戶，以提升訪問速度。

六、隱藏真實IP：上網者也能夠經過這種方法隱藏本身的IP，免受***。

 

鑑於上述緣由，代理服務器大多被用來鏈接INTERNET都是獨立的大型

（國際互聯網）和INTRANET（局域網）。在國內，所謂中國多媒體公衆信息網和教育網都是獨立的大型國家級局域網，是與國際互聯網隔絕的。出於各類須要，某些集團或我的在兩網之間開設了代理服務器，若是咱們知道這些代理服務器的地址，就能夠利用它到達國外網站。 

 

（1）設置用戶驗證和記帳功能，可按用戶進行記帳，沒有登記的用戶無權經過代理服務器訪問Internet網。並對用戶的訪問時間、訪問地點、信息流量進行統計。

(2）對用戶進行分級管理，設置不一樣用戶的訪問權限，對外界或內部的Internet地址進行過濾，設置不一樣的訪問權限。

(3）增長緩衝器（Cache)，提升訪問速度，對常常訪問的地址建立緩衝區，大大提升熱門站點的訪問效率。一般代理服務器都設置一個較大的硬盤緩衝區（可能高達幾個GB或更大），當有外界的信息經過時，同時也將其保存到緩衝區中，當其餘用戶再訪問相同的信息時，則直接由緩衝區中取出信息，傳給用戶，以提升訪問速度。

(4）鏈接內網與Internet，充當防火牆（Firewall）：由於全部內部網的用戶經過代理服務器訪問外界時，只映射爲一個IP地址，因此外界不能直接訪問到內部網；同時能夠設置IP地址過濾，限制內部網對外部的訪問權限。

(5）節省IP開銷：代理服務器容許使用大量的僞IP地址，節約網上資源，即用代理服務器能夠減小對IP地址的需求，對於使用局域網方式接入Internet ，若是爲局域網（LAN）內的每個用戶都申請一個IP地址，其費用可想而知。但使用代理服務器後，只需代理服務器上有一個合法的IP地址，LAN內其餘用戶可使用10.*.*.*這樣的私有IP地址，這樣能夠節約大量的IP，下降網絡的維護成本。

 

2、網絡用途

在平常網絡中有不少用途，這裏把咱們所熟悉的一些做用總結和分析一下，分類說明：

一、共享網絡

代理服務器

最多見的多是用代理服務器共享上網，不少人不知不覺中就在用，好比經過sygate，wingate，isa，ccproxy，NT系統自帶的網絡共享等，能夠提供企業級的文件緩存、複製和地址過濾等服務，充分利用局域網出口的有限帶寬，加快內網用戶的 訪問速度，能夠解決僅僅有一條線路一個IP，IP資源不足，帶局域網不少用戶上網的功能，同時能夠作爲一個防火牆，隔離內網與外網，而且能提供監控網絡和記錄傳輸信息的功能，增強了局域網的安全性，又便於對上網用戶進行管理。

二、訪問代理

代理服務器

加快訪問網站速度，在網絡出現擁擠或故障時，可經過代理服務器訪問目的網站。好比A要訪問C網站，但A到C網絡出現問題，能夠經過繞道，假設 B是代理服務器，A可經過B， 再由B到C。你們還記得前幾個月，有段時間網絡不正常，基本訪問不了外國網站，如GOOGLE，YAHOO， 甚至連CCF都訪問不了，內心很着急。結果經過一個代理服務器，發現均可以訪問，速度還不錯，在這樣的狀況下，代理服務器就能夠發揮很大的做用了。還有一 類代理服務器備份有至關數量的緩存文件，若是咱們當前所訪問的數據在代理服務器的緩存文件中，則可直接 讀取，而無需再鏈接到遠端Web服務器。這樣，加快了訪問速度。

三、防止***

隱藏本身的真實地址信息，還可隱藏本身的IP，防止被******。經過分析指定IP地址，能夠查詢到網絡用戶的所在地。例如，你們在一些論壇上看到，論壇中明確標出了發帖用戶所在地，這就是根據論壇會員登陸時的IP地址解析的。還有平日裏咱們最爲常 用的顯IP版QQ，在「發送消息」窗口中，能夠查看對方的IP及解析出的地理位置。而當咱們使用相應協議的代理服務器後，就能夠達到隱藏本身當前所在地地址的目的了。

四、突破限制

代理服務器還能夠突破網絡限制。好比局域網對上網用戶的端口、目的網站、協議、遊戲、即時通信軟件等的限制，均可以突破這些限制，可參見我這篇帖子，如何突破局域網對上網用戶的一些限制 再也不重複。舉個例子：GOOGLE咱們都喜歡用，其實GOOGLE有一個功能就有點相似於代理服務器的功能，就是網頁快照，網站常常發生變更，地址或 者網站關了，網站服務器發生故障了，或者已經更新了，但咱們仍然要查之前很是有用的資料，網頁快照就排 上用場了，Google以其複雜而全自動的搜索方法排除了任何人爲因素對搜索結果的影響，保證了網頁排名的客觀公正，Google能夠方便、誠實、客觀地 幫您在網上找到有價值的資料。GOOGLE有一個海量的數據庫，若是找不到服務器，Google儲存的網頁快照也可救急。雖然網頁快照中的信息可能不是最新的，但在網頁快照中查找資料要比在實際網頁中快得多，這時能夠經過加密代理訪問Google，再訪問其網頁快照來救急。

五、掩藏身份

代理服務器知識是***基本功，***的不少活動都是經過代理服務器，好比掃描、刺探，對局域網內機器進行***，***通常***的時候都是中轉了不少級跳板，才***目標機器。隱藏了身份，保證了本身的安全。

六、提升速度

提升下載速度，突破下載限制。好比有的網站提供的下載資源，作了一IP一線程的限制，這時候能夠用影音傳送帶， 設置多線程，爲每一個線程設置一個代理。對於限制一個IP的狀況很好突破，只要用不一樣的代理服務器，就可同時下載多個資源，適用於從WEB和FTP 上下載的狀況。不過若是是論壇裏面的資源，每一個用戶一個帳號，而且限制一帳號一IP，代理服務器就突破不了。還有一種狀況，好比咱們這裏，電信的用戶上不 了聯通的電影網站，聯通的用戶上不了的電信電影網站，這種狀況只要電信的找一個聯通地代理，IP地址屬聯通就行。聯通找一個電信代理。就能夠去電影網站下載其電影。教育網還能夠經過代理服 務器可以使無出國權限或無訪問某IP段權限的計算機訪問相關資源。

七、充當防火牆

由於全部使用代理服務器的用戶都必須經過代理服務器訪問遠程站點，所以在代理服務器上就能夠設置相應的限制，以過濾或屏蔽某些信息。

八、用戶管理

經過代理服務器，管理員能夠設置用戶驗證和記帳功能，對用戶進行登記，並對用戶的訪問時間、訪問地點、信息瀏覽進行統計。沒有登記的用戶無權經過代理服務器訪問Internet。

 

 

NAT技術

1、概述
NAT技術，中文翻譯爲網絡地址轉換。該技術產生的緣由：IPv4地址危機，在Internet上應用普遍的IPv4技術，因爲其先天性不足，在九十年代 初期時，已經預計到了IPv4地址不足，從而開始開發IPv6技術。但開發IPv6須要足夠的時間，爲了延長IPv4技術的使用時間，產生了NAT技術。
 
2、工做原理
修改IP數據包中的源IP地址，或目的IP地址。主要目的是把RFC1918所提議的私有地址轉變成在Internet上可路由的公有合法地址。對於某些 有限的應用（如DNS、FTP等），它也能夠修改IP數據包有效載荷中的地址。因爲應用的複雜性，NAT目前支持的應用有限，固然，若是須要，徹底能夠針 對新的應用作相應的開發工做。
從配置了NAT技術的一臺路由器上，把整個網絡分紅兩部分：內部網絡和外部網絡。
NAT技術中有四個術語：
內部本地地址----局域網內部主機的擁有的一個真實地址，通常來講是一個私有地址
內部全局地址----對於外部網絡來講，局域網內部主機所表現的IP地址。
外部本地地址----外部網絡主機的真實地址。
外部全局地址----對於內部網絡來講，外部網絡主機所表現的IP地址。
對於網絡地址轉換技術來說，最重要的一點是，在配置NAT的路由器上造成了NAT轉換表，這個轉換表的造成是很是關鍵的。配置NAT後，能造成正確的轉換表，那麼咱們的工做就算成功了。
 
3、基本配置
一、  靜態轉換：
Router(config)#ip nat inside source static 內部本地地址 內部全局地址
二、  動態轉換：
Router(config)#ip nat pool 地址池 起始地址 最後地址 netmask 子網掩碼
Router(config)#access-list 表號 permit 網絡號 反掩碼
Router(config)#ip nat inside source list 表號 pool 地址池
三、  PAT：
Router(config)#access-list 表號 permit 網絡號 反掩碼
Router(config)#ip nat inside source list 表號 interface 外部接口

 

4、NAT功能

NAT不只能解決了lP地址不足的問題，並且還可以有效地避免來自網絡外部的***，隱藏並保護網絡內部的計算機。

1.寬帶分享：這是 NAT 主機的最大功能。

2.安全防禦：NAT 以內的 PC 聯機到 Internet 上面時，他所顯示的 IP 是 NAT 主機的公共 IP，因此 Client 端的 PC 固然就具備必定程度的安全了，外界在進行 portscan（端口掃描） 的時候，就偵測不到源Client 端的 PC 。

5、NAT的實現方式

NAT的實現方式有三種，即靜態轉換Static Nat、動態轉換Dynamic Nat和端口多路複用OverLoad。

 

靜態轉換是指將內部網絡的私有IP地址轉換爲公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換爲某個公有IP地址。藉助於靜態轉換，能夠實現外部網絡對內部網絡中某些特定設備（如服務器）的訪問。

動態轉換是指將內部網絡的私有IP地址轉換爲公用IP地址 時，IP地址是不肯定的，是隨機的，全部被受權訪問上Internet的私有IP地址可隨機轉換爲任何指定的合法IP地址。也就是說，只要指定哪些內部地 址能夠進行轉換，以及用哪些合法地址做爲外部地址時，就能夠進行動態轉換。動態轉換可使用多個合法外部地址集。當ISP提供的合法IP地址略少於網絡內部的計算機數量時。能夠採用動態轉換的方式。

端口多路複用（Port address Translation,PAT)是指改變外出數據包的源端口並進行端口轉換，即端口地址轉換（PAT，Port Address Translation).採用端口多路複用方式。內部網絡的全部主機都可共享一個合法外部IP地址實現對Internet的訪問，從而能夠最大限度地節約IP地址資源。同時，又可隱藏網絡內部的全部主機，有效避免來自internet的***。所以，目前網絡中應用最多的就是端口多路複用方式。

ALG（Application Level Gateway）， 即應用程序級網關技術：傳統的NAT技術只對IP層和傳輸層頭部進行轉換處理，可是一些應用層協議，在協議數據報文中包含了地址信息。爲了使得這些應用也 能透明地完成NAT轉換，NAT使用一種稱做ALG的技術，它能對這些應用程序在通訊時所包含的地址信息也進行相應的NAT轉換。例如：對於FTP協議的 PORT/PASV命令、DNS協議的 "A" 和 "PTR" queries命令和部分ICMP消息類型等都須要相應的ALG來支持。

若是協議數據報文中不包含地址信息，則很容易利用傳統的NAT技術來完成透明的地址轉換功能，一般咱們使用的以下應用就能夠直接利用傳統的NAT技術：HTTP、TELNET、FINGER、NTP、NFS、ARCHIE、RLOGIN、RSH、RCP等。

 

6、NAT的弊端

在一個具備NAT功能的路由器下的主機並無創建真正的端對端鏈接，而且不能參與一些因特網協議。一些須要初始化從外部網絡創建的TCP鏈接，和使用無狀態協議（好比UDP）的服務將被中斷。除非NAT路由器做一些具體的努力，不然送來的數據包將不能到達正確的目的地址。（一些協議有時能夠在應用層網關的輔助下，在參與NAT的主機之間容納一個NAT的實例，好比FTP。）NAT也會使安全協議變的複雜。

 

7、NAT侷限性

（1）NAT違反了IP地址結構模型的設計原則。IP地址結構模型的基礎是每一個IP地址均標識了一個網絡的鏈接。Internet的軟件設計就是創建在這個前提之上，而NAT使得有不少主機可能在使用相同的地址，如10.0.0.1。

（2）NAT使得IP協議從面向無鏈接變成面向鏈接。NAT必須維護專用IP地址與公用IP地址以及端口號的映射關係。在TCP/IP協議體系中，若是一個路由器出現故障，不會影響到TCP協議的執行。由於只要幾秒收不到應答，發送進程就會進入超時重傳處理。而當存在NAT時，最初設計的TCP/IP協議過程將發生變化，Internet可能變得很是脆弱。