NAT技术与代理服务器

2017-06-25 23:03 阅读 615 次 评论 0 条

IPv6时代的到来可以为全世界的每一粒沙子编上一个IP地址,完美了解决了IPv4地址不足的问题。在开发IPv6的数十多年间,为了延长IPv4的生命周期,产生了NAT技术

网络地址转换NAT

NAT(Network Address Translation):网络地址转换。它可以使一个机构内的所有用户通过有限的合法ip地址访问Internet,从而节省Internet的合法IP地址;此外,NAT技术隐藏了内网上主机的真是IP地址,从而加强了安全性

NAT的工作原理

NAT技术需要在专用网络接到Internet的路由器上安装NAT软件,它至少包含一个有效的外部全球IP地址。因此,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将本地地址转换为全球IP地址,才能与因特网连接。

我们设定一个场景来模拟实现过程:内网主机A(192.168.24.33)访问目标主机B(223.18.22.3),NAT路由器的IP地址为172.33.1.5。

① NAT路由器收到从专用网内部的主机A发往因特网主机B的IP数据包。

② NAT路由器将IP数据报的源IP地址(主机A的IP)转换成新的源IP地址(NAT路由器的全球IP地址)。

③ 主机B收到NAT路由器的IP数据报后应答,认为NAT路由器的IP地址就是目标地址,将IP数据报发送给NAT路由器。

④ NAT路由器通过NAT地址转换表,将目的IP地址转换为主机A的IP地址。

NAT的三种实现方式

1)静态地址转换

指将一个内部本地的IP地址转换成唯一的内部全局地址,即公网地址和内部地址静态的一一映射。这种转换通常用在内部网上的主机需要对外提供服务(如Web、E-mail服务等)的情况下。

2)动态地址转换

多个公网IP对应多个内部IP地址,一组内部本地地址与一个内部全局地址池之间建立了一种动态的一一映射关系。这种转换内部主机可以访问外部网络,外部主机也能对内部主机访问,但必须是在内网IP地址与内部全局地址之间存在映射关系时才能成功。

3)端口多路复用NAPT

对外只有一个公网IP,通过不同的端口号来区别不同的内部主机的IP地址。(具体分析如下)

NAPT网络地址与端口号转换

但是存在一个问题,这种专用网内部的主机不能充当服务器用,即互联网的主机无法向专用网内部的主机发送IP数据报。因为当IP数据报到达NAT路由器时,它根本无法抉择应该将目的IP转换成哪一个本地IP地址。

使用端口号的NAT称之为网络地址与端口号转换(NAPT),也叫端口多路复用

模拟NAPT的场景如下:主机A向C发送数据报,主机B向D发送数据报。

① 主机A向主机C发送IP数据报,其TCP/UDP端口号选择为: 20000。

② 主机B向主机C发送IP数据报,其TCP/UDP端口号选择为: 20000。(端口号可一致)

③ NAPT将专用网内不同的源ip地址转换为全球ip地址。

④ 目的主机接收到数据报后,将应答数据报发送给NAPT路由器。

⑤ 目的主机即NAPT,通过端口号找到专用网中的目的主机A,B。

代理服务器概念

代理服务器(Proxy Server):是一种重要的服务器安全功能,它的工作主要在OSI模型的会话层,从而起到防火墙的作用。大多用来连接互联网与局域网。

Proxy Server功能

☛ 高效率,速度快

它的主要作用是个人网络和因特网服务商之间的中间代理机构,它负责转发合法的网络信息,并对转发进行控制和登记。

通常代理服务器都设置一个较大的硬盘缓冲区,当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时, 则直接由缓冲区中取出信息,传给用户,以提高访问速度。

☛ 墙外世界

虚拟专用网络(VPN)想必大家有所耳闻,它也是代理服务器的一种,突破自身IP访问限制,访问诸如youtube、Amazon等国外站点。

☛ 突破ISP封锁

中国电信用户有很多网站是被限制访问的,这种限制是人为的,不同Serve对地址的封锁是不同的。所以不能访问时可以换一个国外的代理服务器试试。

☛ 访问专用网络内部资源

如可以通过代理服务器对教育内网开放的各类FTP下载上传,资源共享等。

☛ 隐藏真实ip

安全性较高,用户通过代理服务器可以隐藏自己的真实ip地址,可防止遭受黑客攻击。

Proxy Server实现原理

客户端首先与代理服务器创建连接,接着根据代理服务器所使用的代理协议,请求对目标服务器创建连接、或者获得目标服务器的指定资源(如:文件)。在后一种情况中,代理服务器可能对目标服务器的资源下载至本地缓存,如果客户端所要获取的资源在代理服务器的缓存之中,则代理服务器并不会向目标服务器发送请求,而是直接返回缓存了的资源。

一些代理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应,以满足代理协议的需要。代理服务器的选项和设置在计算机程序中,通常包括一个“防火墙”,允许用户输入代理地址,它会遮盖他们的网络活动,可以允许绕过互联网过滤实现网络访问。

Proxy Server分类

代理服务器的类型有很多,其中比较重要的有以下几种:

① HTTP代理:代理客户机的HTTP访问,主要是代理浏览器访问网页,它的端口一般为80、8080、3124等。

② FTP服务器:代理客户机的FTP软件访问FTP服务器,端口一般为21、212。

③ RTSP代理:代理客户机上的Real Player访问Real流媒体服务器的代理,端口一般为554。

④ POP3代理:代理客户机上的邮件软件用POP3方式收发邮件,端口一般为110。

⑤ SOCKS代理:与其他代理类型不同,它只是简单的传递数据包,而不关心是何种应用协议,因此速度更快。

⑥ VPN代理:在互联网上建立的虚拟专用网络,用户的数据是通过ISP在互联网中建立的逻辑隧道,即点到点的虚拟专线进行传输的,通过相应的加密和认证技术来保证用户内部网络数据在互联网上安全传输,从而真正地实现网络数据的专有性。

版权声明:本文著作权归原作者所有,欢迎分享本文,谢谢支持!
转载请注明:NAT技术与代理服务器 | 术与道的分享
分类:网络与安全 标签:, ,
1024do.com导航_术与道导航平台

发表评论


表情