一、關于NAT(網絡位址轉換)
1、NAT是位址轉換協定,将内網位址轉換為公網位址。
簡單的說,NAT就是在區域網路内部網絡中使用内部位址,而當内部節點要與外部網絡進行通訊時,就在網關處,将内部位址替換成公用位址,進而在外部公網(internet)上正常使用,NAT可以使多台計算機共享Internet連接配接,這一功能很好地解決了公共IP位址緊缺的問題。
2、NAT的工作原理:
當内部網絡中的一台主機想傳輸資料到外部網絡時,它先将資料包傳輸到NAT路由器上,路由器檢查資料包的報頭,擷取該資料包的源IP資訊,并從它的NAT映射表中找出與該IP比對的轉換條目,用所選用的内部全局位址(全球唯一的IP位址)來替換内部局部位址,并轉發資料包。當外部網絡對内部主機進行應答時,資料包被送到NAT路由器上,路由器接收到目的位址為内部全局位址的資料包後,它将用内部全局位址通過NAT映射表查找出内部局部位址,然後将資料包的目的位址替換成内部局部位址,并将資料包轉發到内部主機。
1)内部局部位址(Inside Local):在内部網絡中配置設定給主機的私有IP位址。
2)内部全局位址(Inside Global):一個合法的IP位址,它對外代表一個或多個内部局部IP位址。
3)外部全局位址(Outside Global):由其所有者給外部網絡上的主機配置設定的IP位址。
4)外部局部位址(Outside Local):外部主機在内部網絡中表現出來的IP位址。
3.NAT的優點和缺點:
NAT的優點:
(1) 對于那些家庭使用者或者小型的商業機構來說,使用NAT可以更便宜,更有效率地接入Internet。
(2) 使用NAT可以緩解目前全球IP位址不足的問題。
(3) 在很多情況下,NAT能夠滿足安全性的需要。
(4) 使用NAT可以友善網絡的管理,并大大提高了網絡的适應性。
NAT的缺點:
(1) NAT會增加延遲,因為要轉換每個資料包標頭的IP位址,自然要增加延遲。
(2) NAT會使某些要使用内嵌位址的應用不能正常工作。
二、代理伺服器
1.什麼是代理伺服器?
代理伺服器(Proxy Server)是一種重要的伺服器安全功能,它的工作主要在開放系統互聯(OSI)模型的會話層,進而起到防火牆的作用。代理伺服器大多被用來連接配接INTERNET(國際網際網路)和Local Area Network(區域網路)。
代理(英語:Proxy),也稱網絡代理,是一種特殊的網絡服務,允許一個網絡終端(一般為用戶端)通過這個服務與另一個網絡終端(一般為伺服器)進行非直接的連接配接。一些網關、路由器等網絡裝置具備網絡代理功能。一般認為代理服務有利于保障網絡終端的隐私或安全,防止攻擊。
2.代理伺服器主要功能:
代理伺服器英文全稱是(Proxy Server),其功能就是代理網絡使用者去取得網絡資訊。形象的說:它是網絡資訊的中轉站。代理伺服器就好象一個大的Cache,這樣就能顯著提高浏覽速度和效率。更重要的是:Proxy Server(代理伺服器)是Internet鍊路級網關所提供的一種重要的安全功能,主要的功能有:
1. 突破自身IP通路限制,通路國外站點。教育網、過去的169網等
2. 網絡使用者可以通過代理通路國外網站。
3. 通路一些機關或團體内部資源,如某大學FTP(前提是該代理位址在該資源 的允許通路範圍之内),使用教育網内位址段免費代理伺服器,就可以用于對教育網開放的各類FTP下載下傳上傳,以及各類資料查詢共享等服務。
4. 突破中國電信的IP封鎖:中國電信使用者有很多網站是被限制通路的,這種限制是人為的,不同Serve對位址的封鎖是不同的。是以不能通路時可以換一個國外的代理伺服器試試。
5. 提高通路速度:通常代理伺服器都設定一個較大的硬碟緩沖區,當有外界的資訊通過時,同時也将其儲存到緩沖區中,當其他使用者再通路相同的資訊時, 則直接由緩沖區中取出資訊,傳給使用者,以提高通路速度。
6. 隐藏真實IP:上網者也可以通過這種方法隐藏自己的IP,免受攻擊。
這裡有八種常見的代理伺服器:這裡寫連結内容
三、代理伺服器與NAT伺服器的差異
在内部區域網路絡使用私有 IP 的用戶端,不論透過 Proxy 或者 NAT 均可以直接取得 WWW 的服務,那麼 NAT 與 Proxy 有沒有什麼不同的地方啊。
•NAT 伺服器的功能:Linux 的 NAT 功能主要透過封包過濾的方式, 并使用 iptables 的 nat 表格進行 IP 僞裝 (SNAT) ,讓用戶端自行前往網際網路上的任何地方的一種方式。主要的運作行為是在 OSI 七層協定的二、三、四層。由于是透過封包過濾與僞裝,是以用戶端可以使用的端口口号碼 (第四層) 較彈性;
•Proxy 伺服器的功能:主要透過 Proxy 的服務程式 (daemon) 提供網絡代理的任務,是以 Proxy 能不能進行某些工作,與該服務的程式功能有關。 舉例來說,如果你的 Proxy 并沒有提供郵件或 FTP 代理,那麼你的用戶端就是無法透過 Proxy 去取得這些網絡資源。 主要運作的行為在 OSI 七層協定的應用層部分(所謂的比較“高階”之意)
——NAT 伺服器是由較底層的網絡去進行分析的工作,至于通過 NAT 的封包是幹嘛用的, NAT 不去管他!
——至于 proxy 則主要是由一個daemon 的功能達成的,是以必需要符合該 daemon 的需求,才能達到某些功能。