淺談NAT和代理服務器

1、NAT

    1.工做原理簡介

    藉助於NAT，私有（保留）地址的"內部"網絡經過路由器發送數據包時，私有地址被轉換成合法的IP地址，一個局域網只需使用少許IP地址（甚至是1個）便可實現私有地址網絡內全部計算機與Internet的通訊需求。

    NAT將自動修改IP報文的源IP地址和目的IP地址，Ip地址校驗則在NAT處理過程當中自動完成。有些應用程序將源IP地址嵌入到IP報文的數據部分中，因此還須要同時對報文的數據部分進行修改，以匹配IP頭中已經修改過的源IP地址。不然，在報文數據部分嵌入IP地址的應用程序就不能正常工做。

    2.功能

    NAT不只能解決了lP地址不足的問題，並且還可以有效地避免來自網絡外部的***，隱藏並保護網絡內部的計算機。

   （1）寬帶分享：這是 NAT 主機的最大功能。

   （2）安全防禦：NAT 以內的 PC 聯機到 Internet 上面時，他所顯示的 IP 是 NAT 主機的公共 IP，因此 Client 端的 PC 固然就具備必定程度的安全了，外界在進行 portscan（端口掃描） 的時候，就偵測不到源Client 端的 PC 。

    3.實現方式

     NAT的實現方式有三種，即靜態轉換Static Nat、動態轉換Dynamic Nat和端口多路複用OverLoad。

    （1）靜態轉換是指將內部網絡的私有IP地址轉換爲公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換爲某個公有IP地址。藉助於靜態轉換，能夠實現外部網絡對內部網絡中某些特定設備（如服務器）的訪問。

    （2）動態轉換是指將內部網絡的私有IP地址轉換爲公用IP地址時，IP地址是不肯定的，是隨機的，全部被受權訪問上Internet的私有IP地址可隨機轉換爲任何指定的合法IP地址。也就是說，只要指定哪些內部地址能夠進行轉換，以及用哪些合法地址做爲外部地址時，就能夠進行動態轉換。動態轉換可使用多個合法外部地址集。當ISP提供的合法IP地址略少於網絡內部的計算機數量時。能夠採用動態轉換的方式。

    （3）端口多路複用（Port address Translation,PAT)是指改變外出數據包的源端口並進行端口轉換，即端口地址轉換（PAT，Port Address Translation).採用端口多路複用方式。內部網絡的全部主機都可共享一個合法外部IP地址實現對Internet的訪問，從而能夠最大限度地節約IP地址資源。同時，又可隱藏網絡內部的全部主機，有效避免來自internet的***。所以，目前網絡中應用最多的就是端口多路複用方式。

2、代理服務器

    1.簡介

    代理（英語：Proxy），也稱網絡代理，是一種特殊的網絡服務，容許一個網絡終端（通常爲客戶端）經過這個服務與另外一個網絡終端（通常爲服務器）進行非直接的鏈接。一些網關、路由器等網絡設備具有網絡代理功能。通常認爲代理服務有利於保障網絡終端的隱私或安全，防止***。

    提供代理服務的電腦系統或其它類型的網絡終端稱爲代理服務器（英文：Proxy Server）。一個完整的代理請求過程爲：客戶端首先與代理服務器建立鏈接，接着根據代理服務器所使用的代理協議，請求對目標服務器建立鏈接、或者得到目標服務器的指定資源（如：文件）。在後一種狀況中，代理服務器可能對目標服務器的資源下載至本地緩存，若是客戶端所要獲取的資源在代理服務器的緩存之中，則代理服務器並不會向目標服務器發送請求，而是直接返回緩存了的資源。一些代理協議容許代理服務器改變客戶端的原始請求、目標服務器的原始響應，以知足代理協議的須要。代理服務器的選項和設置在計算機程序中，一般包括一個「防火牆」，容許用戶輸入代理地址，它會遮蓋他們的網絡活動，能夠容許繞過互聯網過濾實現網絡訪問。

    2.主要功能

    代理服務器英文全稱是（Proxy Server），其功能就是代理網絡用戶去取得網絡信息。形象的說：它是網絡信息的中轉站。代理服務器就好象一個大的Cache，這樣就能顯著提升瀏覽速度和效率。更重要的是：Proxy Server（代理服務器）是Internet鏈路級網關所提供的一種重要的安全功能，主要的功能有：

   （1）突破自身IP訪問限制，訪問國外站點。教育網、過去的169網等。

   （2）網絡用戶能夠經過代理訪問國外網站。

   （3）訪問一些單位或團體內部資源，如某大學FTP（前提是該代理地址在該資源 的容許訪問範圍以內），使用教育網內地址段免費代理服務器，就能夠用於對教育網開放的各種FTP下載上傳，以及各種資料查詢共享等服務。

   （4）突破中國電信的IP封鎖：中國電信用戶有不少網站是被限制訪問的，這種限制是人爲的，不一樣Serve對地址的封鎖是不一樣的。因此不能訪問時能夠換一個國外的代理服務器試試。

   （5）提升訪問速度：一般代理服務器都設置一個較大的硬盤緩衝區，當有外界的信息經過時，同時也將其保存到緩衝區中，當其餘用戶再訪問相同的信息時， 則直接由緩衝區中取出信息，傳給用戶，以提升訪問速度。

   （6）隱藏真實IP：上網者也能夠經過這種方法隱藏本身的IP，免受***。

    3.其餘功能

   （1）設置用戶驗證和記帳功能，可按用戶進行記帳，沒有登記的用戶無權經過代理服務器訪問Internet網。並對用戶的訪問時間、訪問地點、信息流量進行統計。 

    (2）對用戶進行分級管理，設置不一樣用戶的訪問權限，對外界或內部的Internet地址進行過濾，設置不一樣的訪問權限。

    (3）增長緩衝器（Cache)，提升訪問速度，對常常訪問的地址建立緩衝區，大大提升熱門站點的訪問效率。一般代理服務器都設置一個較大的硬盤緩衝區（可能高達幾個GB或更大），當有外界的信息經過時，同時也將其保存到緩衝區中，當其餘用戶再訪問相同的信息時，則直接由緩衝區中取出信息，傳給用戶，以提升訪問速度。

    (4）鏈接內網與Internet，充當防火牆（Firewall）：由於全部內部網的用戶經過代理服務器訪問外界時，只映射爲一個IP地址，因此外界不能直接訪問到內部網；同時能夠設置IP地址過濾，限制內部網對外部的訪問權限。

    (5）節省IP開銷：代理服務器容許使用大量的僞IP地址，節約網上資源，即用代理服務器能夠減小對IP地址的需求，對於使用局域網方式接入Internet ，若是爲局域網（LAN）內的每個用戶都申請一個IP地址，其費用可想而知。但使用代理服務器後，只需代理服務器上有一個合法的IP地址，LAN內其餘用戶可使用10.*.*.*這樣的私有IP地址，這樣能夠節約大量的IP，下降網絡的維護成本。

    4.分類

   （1）HTTP代理

    www對於每個上網的人都再熟悉不過了，www鏈接請求就是採用的http協議，因此咱們在瀏覽網頁，下載數據（也可採用ftp協議）時就是用http代理。它一般綁定在代理服務器的80、312八、8080等端口上。[1] 

   （2）socks代理

    相應的，採用socks協議的代理服務器就是SOCKS服務器，是一種通用的代理服務器。Socks是個電路級的底層網關，是DavidKoblas在1990年開發的，此後就一直做爲Internet RFC標準的開放標準。Socks 不要求應用程序遵循特定的操做系統平臺，Socks 代理與應用層代理、HTTP層代理不一樣，Socks 代理只是簡單地傳遞數據包，而沒必要關心是何種應用協議（好比FTP、HTTP和NNTP請求）。因此，Socks代理比其餘應用層代理要快得多。它一般綁定在代理服務器的1080端口上。若是在企業網或校園網上，須要透過防火牆或經過代理服務器訪問 Internet就可能須要使用SOCKS。通常狀況下，對於撥號上網用戶都不須要使用它。注意，瀏覽網頁時經常使用的代理服務器一般是專門的http代理，它和SOCKS是不一樣的。所以，能瀏覽網頁不等於必定能夠經過SOCKS訪問Internet。經常使用的防火牆，或代理軟件都支持SOCKS，但須要其管理員打開這一功能。若是不確信是否須要SOCKS或是否有SOCKS可用，與網絡管理員聯繫。爲了使用socks，須要瞭解如下內容： SOCKS服務器的IP地址、SOCKS服務所在的端口、這個SOCKS服務是否須要用戶認證？若是須要，要向網絡管理員申請一個用戶和口令

    知道了上述信息，就能夠把這些信息填入「網絡配置」中，或者在第一次登記時填入，就可使用socks代理了。

    在實際應用中SOCKS代理能夠用做爲：電子郵件、新聞組軟件、網絡傳呼ICQ、網絡聊天MIRC和使用代理服務器上聯衆打遊戲等等各類遊戲應用軟件當中。

   （3）×××代理

    指在共用網絡上創建專用網絡的技術。之因此稱爲虛擬網主要是由於整個×××網絡的任意兩個結點之間的鏈接並無傳統專網建設所需的點到點的物理鏈路，而是架構在公用網絡服務商ISP所提供的網絡平臺之上的邏輯網絡。用戶的數據是經過ISP在公共網絡（Internet）中創建的邏輯隧道（Tunnel），即點到點的虛擬專線進行傳輸的。經過相應的加密和認證技術來保證用戶內部網絡數據在公網上安全傳輸，從而真正實現網絡數據的專有性。 

   （4）反向代理

    反向代理服務器架設在服務器端，經過緩衝常常被請求的頁面來緩解服務器的工做量。 安裝反向代理服務器有幾個緣由:加密和SSL加速、負載平衡、緩存靜態內容、壓縮減速上傳、安全外網發佈、大多使用開放源代代碼的squid作反向代理。