代理服務器
一、概念及功能
代理服務器英 文全稱是(Proxy Server),其功能就是代理網絡用戶去取得網絡信息。形象的說:它是網絡信息的中轉站。代理服務器就好象一個大的Cache,這樣就能顯著提高瀏覽速 度和效率。更重要的是:Proxy Server(代理服務器)是Internet鏈路級網關所提供的一種重要的安全功能,主要的功能有:
1、突破自身IP訪問限制,訪問國外站點。教育網、過去的169網等
2、網絡用戶可以通過代理訪問國外網站。
3、訪問一些單位或團體內部資源,如某大學FTP(前提是該代理地址在該資源 的允許訪問範圍之內),使用教育網內地址段免費代理服務器,就可以用於對教育網開放的各類FTP下載上傳,以及各類資料查詢共享等服務。
4、突破中國電信的IP封鎖:中國電信用戶有很多網站是被限制訪問的,這種限制是人爲的,不同Serve對地址的封鎖是不同的。所以不能訪問時可以換一個國外的代理服務器試試。
5、提高訪問速度:通常代理服務器都設置一個較大的硬盤緩衝區,當有外界的信息通過時,同時也將其保存到緩衝區中,當其他用戶再訪問相同的信息時, 則直接由緩衝區中取出信息,傳給用戶,以提高訪問速度。
6、隱藏真實IP:上網者也可以通過這種方法隱藏自己的IP,免受***。
鑑於上述原因,代理服務器大多被用來連接INTERNET都是獨立的大型
(國際互聯網)和INTRANET(局域網)。在國內,所謂中國多媒體公衆信息網和教育網都是獨立的大型國家級局域網,是與國際互聯網隔絕的。出於各種需要,某些集團或個人在兩網之間開設了代理服務器,如果我們知道這些代理服務器的地址,就可以利用它到達國外網站。
(1)設置用戶驗證和記賬功能,可按用戶進行記賬,沒有登記的用戶無權通過代理服務器訪問Internet網。並對用戶的訪問時間、訪問地點、信息流量進行統計。
(2)對用戶進行分級管理,設置不同用戶的訪問權限,對外界或內部的Internet地址進行過濾,設置不同的訪問權限。
(3)增加緩衝器(Cache),提高訪問速度,對經常訪問的地址創建緩衝區,大大提高熱門站點的訪問效率。通常代理服務器都設置一個較大的硬盤緩衝區(可能高達幾個GB或更大),當有外界的信息通過時,同時也將其保存到緩衝區中,當其他用戶再訪問相同的信息時,則直接由緩衝區中取出信息,傳給用戶,以提高訪問速度。
(4)連接內網與Internet,充當防火牆(Firewall):因爲所有內部網的用戶通過代理服務器訪問外界時,只映射爲一個IP地址,所以外界不能直接訪問到內部網;同時可以設置IP地址過濾,限制內部網對外部的訪問權限。
(5)節省IP開銷:代理服務器允許使用大量的僞IP地址,節約網上資源,即用代理服務器可以減少對IP地址的需求,對於使用局域網方式接入Internet ,如果爲局域網(LAN)內的每一個用戶都申請一個IP地址,其費用可想而知。但使用代理服務器後,只需代理服務器上有一個合法的IP地址,LAN內其他用戶可以使用10.*.*.*這樣的私有IP地址,這樣可以節約大量的IP,降低網絡的維護成本。
二、網絡用途
在日常網絡中有很多用途,這裏把我們所熟悉的一些作用總結和分析一下,分類說明:
1、共享網絡
代理服務器
最常見的可能是用代理服務器共享上網,很多人不知不覺中就在用,比如通過sygate,wingate,isa,ccproxy,NT系統自帶的網絡共享等,可以提供企業級的文件緩存、複製和地址過濾等服務,充分利用局域網出口的有限帶寬,加快內網用戶的 訪問速度,可以解決僅僅有一條線路一個IP,IP資源不足,帶局域網很多用戶上網的功能,同時可以做爲一個防火牆,隔離內網與外網,並且能提供監控網絡和記錄傳輸信息的功能,加強了局域網的安全性,又便於對上網用戶進行管理。
2、訪問代理
代理服務器
加快訪問網站速度,在網絡出現擁擠或故障時,可通過代理服務器訪問目的網站。比如A要訪問C網站,但A到C網絡出現問題,可以通過繞道,假設 B是代理服務器,A可通過B, 再由B到C。大家還記得前幾個月,有段時間網絡不正常,基本訪問不了外國網站,如GOOGLE,YAHOO, 甚至連CCF都訪問不了,心裏很着急。結果通過一個代理服務器,發現都可以訪問,速度還不錯,在這樣的情況下,代理服務器就可以發揮很大的作用了。還有一 類代理服務器備份有相當數量的緩存文件,如果我們當前所訪問的數據在代理服務器的緩存文件中,則可直接 讀取,而無需再連接到遠端Web服務器。這樣,加快了訪問速度。
3、防止***
隱藏自己的真實地址信息,還可隱藏自己的IP,防止被******。通過分析指定IP地址,可以查詢到網絡用戶的所在地。例如,大家在一些論壇上看到,論壇中明確標出了發帖用戶所在地,這就是根據論壇會員登錄時的IP地址解析的。還有平日裏我們最爲常 用的顯IP版QQ,在“發送消息”窗口中,可以查看對方的IP及解析出的地理位置。而當我們使用相應協議的代理服務器後,就可以達到隱藏自己當前所在地地址的目的了。
4、突破限制
代理服務器還可以突破網絡限制。比如局域網對上網用戶的端口、目的網站、協議、遊戲、即時通訊軟件等的限制,都可以突破這些限制,可參見我這篇帖子,如何突破局域網對上網用戶的一些限制 不再重複。舉個例子:GOOGLE我們都喜歡用,其實GOOGLE有一個功能就有點類似於代理服務器的功能,就是網頁快照,網站經常發生變動,地址或 者網站關了,網站服務器發生故障了,或者已經更新了,但我們仍然要查以前非常有用的資料,網頁快照就排 上用場了,Google以其複雜而全自動的搜索方法排除了任何人爲因素對搜索結果的影響,保證了網頁排名的客觀公正,Google可以方便、誠實、客觀地 幫您在網上找到有價值的資料。GOOGLE有一個海量的數據庫,如果找不到服務器,Google儲存的網頁快照也可救急。雖然網頁快照中的信息可能不是最新的,但在網頁快照中查找資料要比在實際網頁中快得多,這時可以通過加密代理訪問Google,再訪問其網頁快照來救急。
5、掩藏身份
代理服務器知識是***基本功,***的很多活動都是通過代理服務器,比如掃描、刺探,對局域網內機器進行***,***一般***的時候都是中轉了很多級跳板,才***目標機器。隱藏了身份,保證了自己的安全。
6、提高速度
提高下載速度,突破下載限制。比如有的網站提供的下載資源,做了一IP一線程的限制,這時候可以用影音傳送帶, 設置多線程,爲每個線程設置一個代理。對於限制一個IP的情況很好突破,只要用不同的代理服務器,就可同時下載多個資源,適用於從WEB和FTP 上下載的情況。不過如果是論壇裏面的資源,每個用戶一個賬號,並且限制一賬號一IP,代理服務器就突破不了。還有一種情況,比如我們這裏,電信的用戶上不 了聯通的電影網站,聯通的用戶上不了的電信電影網站,這種情況只要電信的找一個聯通地代理,IP地址屬聯通就行。聯通找一個電信代理。就可以去電影網站下載其電影。教育網還可以通過代理服 務器可使無出國權限或無訪問某IP段權限的計算機訪問相關資源。
7、充當防火牆
因爲所有使用代理服務器的用戶都必須通過代理服務器訪問遠程站點,因此在代理服務器上就可以設置相應的限制,以過濾或屏蔽某些信息。
8、用戶管理
通過代理服務器,管理員可以設置用戶驗證和記賬功能,對用戶進行登記,並對用戶的訪問時間、訪問地點、信息瀏覽進行統計。沒有登記的用戶無權通過代理服務器訪問Internet。
NAT技術
一、概述
NAT技術,中文翻譯爲網絡地址轉換。該技術產生的原因:IPv4地址危機,在Internet上應用廣泛的IPv4技術,由於其先天性不足,在九十年代 初期時,已經預計到了IPv4地址不足,從而開始開發IPv6技術。但開發IPv6需要足夠的時間,爲了延長IPv4技術的使用時間,產生了NAT技術。
二、工作原理
修改IP數據包中的源IP地址,或目的IP地址。主要目的是把RFC1918所提議的私有地址轉變成在Internet上可路由的公有合法地址。對於某些 有限的應用(如DNS、FTP等),它也可以修改IP數據包有效載荷中的地址。由於應用的複雜性,NAT目前支持的應用有限,當然,如果需要,完全可以針 對新的應用做相應的開發工作。
從配置了NAT技術的一臺路由器上,把整個網絡分成兩部分:內部網絡和外部網絡。
NAT技術中有四個術語:
內部本地地址----局域網內部主機的擁有的一個真實地址,一般來說是一個私有地址
內部全局地址----對於外部網絡來說,局域網內部主機所表現的IP地址。
外部本地地址----外部網絡主機的真實地址。
外部全局地址----對於內部網絡來說,外部網絡主機所表現的IP地址。
對於網絡地址轉換技術來講,最重要的一點是,在配置NAT的路由器上形成了NAT轉換表,這個轉換表的形成是非常關鍵的。配置NAT後,能形成正確的轉換表,那麼我們的工作就算成功了。
三、基本配置
1、 靜態轉換:
Router(config)#ip nat inside source static 內部本地地址 內部全局地址
2、 動態轉換:
Router(config)#ip nat pool 地址池 起始地址 最後地址 netmask 子網掩碼
Router(config)#access-list 表號 permit 網絡號 反掩碼
Router(config)#ip nat inside source list 表號 pool 地址池
3、 PAT:
Router(config)#access-list 表號 permit 網絡號 反掩碼
Router(config)#ip nat inside source list 表號 interface 外部接口
四、NAT功能
NAT不僅能解決了lP地址不足的問題,而且還能夠有效地避免來自網絡外部的***,隱藏並保護網絡內部的計算機。
1.寬帶分享:這是 NAT 主機的最大功能。
2.安全防護:NAT 之內的 PC 聯機到 Internet 上面時,他所顯示的 IP 是 NAT 主機的公共 IP,所以 Client 端的 PC 當然就具有一定程度的安全了,外界在進行 portscan(端口掃描) 的時候,就偵測不到源Client 端的 PC 。
五、NAT的實現方式
NAT的實現方式有三種,即靜態轉換Static Nat、動態轉換Dynamic Nat和端口多路複用OverLoad。
靜態轉換是指將內部網絡的私有IP地址轉換爲公有IP地址,IP地址對是一對一的,是一成不變的,某個私有IP地址只轉換爲某個公有IP地址。藉助於靜態轉換,可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問。
動態轉換是指將內部網絡的私有IP地址轉換爲公用IP地址 時,IP地址是不確定的,是隨機的,所有被授權訪問上Internet的私有IP地址可隨機轉換爲任何指定的合法IP地址。也就是說,只要指定哪些內部地 址可以進行轉換,以及用哪些合法地址作爲外部地址時,就可以進行動態轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少於網絡內部的計算機數量時。可以採用動態轉換的方式。
端口多路複用(Port address Translation,PAT)是指改變外出數據包的源端口並進行端口轉換,即端口地址轉換(PAT,Port Address Translation).採用端口多路複用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問,從而可以最大限度地節約IP地址資源。同時,又可隱藏網絡內部的所有主機,有效避免來自internet的***。因此,目前網絡中應用最多的就是端口多路複用方式。
ALG(Application Level Gateway), 即應用程序級網關技術:傳統的NAT技術只對IP層和傳輸層頭部進行轉換處理,但是一些應用層協議,在協議數據報文中包含了地址信息。爲了使得這些應用也 能透明地完成NAT轉換,NAT使用一種稱作ALG的技術,它能對這些應用程序在通信時所包含的地址信息也進行相應的NAT轉換。例如:對於FTP協議的 PORT/PASV命令、DNS協議的 "A" 和 "PTR" queries命令和部分ICMP消息類型等都需要相應的ALG來支持。
如果協議數據報文中不包含地址信息,則很容易利用傳統的NAT技術來完成透明的地址轉換功能,通常我們使用的如下應用就可以直接利用傳統的NAT技術:HTTP、TELNET、FINGER、NTP、NFS、ARCHIE、RLOGIN、RSH、RCP等。
六、NAT的弊端
在一個具有NAT功能的路由器下的主機並沒有建立真正的端對端連接,並且不能參與一些因特網協議。一些需要初始化從外部網絡建立的TCP連接,和使用無狀態協議(比如UDP)的服務將被中斷。除非NAT路由器作一些具體的努力,否則送來的數據包將不能到達正確的目的地址。(一些協議有時可以在應用層網關的輔助下,在參與NAT的主機之間容納一個NAT的實例,比如FTP。)NAT也會使安全協議變的複雜。
七、NAT侷限性
(1)NAT違反了IP地址結構模型的設計原則。IP地址結構模型的基礎是每個IP地址均標識了一個網絡的連接。Internet的軟件設計就是建立在這個前提之上,而NAT使得有很多主機可能在使用相同的地址,如10.0.0.1。
(2)NAT使得IP協議從面向無連接變成面向連接。NAT必須維護專用IP地址與公用IP地址以及端口號的映射關係。在TCP/IP協議體系中,如果一個路由器出現故障,不會影響到TCP協議的執行。因爲只要幾秒收不到應答,發送進程就會進入超時重傳處理。而當存在NAT時,最初設計的TCP/IP協議過程將發生變化,Internet可能變得非常脆弱。