第12章NAT与代理服务器

第12章NAT与代理服务器高职高专计算机教育指导委员会精品教材本章学习导航本章学习导航NAT与代理服务概述WindowServer2003内置Internet连接共享附录部分上一章：Telnet与终端服务器ICS共享上网ICS发布内网服务器NAT技术代理服务器接入Internet网络配置WinRouteFirewall网关部署WinRouteFirewallWinRouteFirewall基本配置NAT方式共享上网代理服务器方式共享上网端口映射发布内网服务器设置WinRoute流量策略ISAServer实现企业级Internet接入部署ISAServer服务器部署ISAServer客户端ISAServer策略规则设置ISAServer访问规则实现共享上网共享上网配置内网服务器发布网络配置设置ISA服务器发布规则发布内网服务器通过缓存加速Web访问设置ICS主机（服务器端）设置ICS客户机（客户端）发布Web服务器发布非Web服务器高职高专计算机教育指导委员会精品教材本章学习要点（1）NAT技术（2）代理服务器技术（3）WindowsServer2003内置ICS（4）WinRouteFirewall网关（5）ISAServer企业级Internet接入建议课时：4课时高职高专计算机教育指导委员会精品教材12.1NAT与代理服务概述将内网连入Internet的5种方式通过网络路由器将内网连入Internet通过网络防火墙将内网连入Internet通过代理服务器将内网连入Internet通过NAT网关将连入Internet通过VPN（虚拟专用网）让内网通过Internet进行互联将内网连入Internet高职高专计算机教育指导委员会精品教材12.1NAT与代理服务概述NAT工作原理NAT工作在网络层和传输层对经过的数据包进行地址转换后再转发NAT的网络地址转换是双向的内网到外网的NAT应用共享IP地址和网络连接，让内网共用一个公网地址接入Internet保护网络安全，通过隐藏内网IP地址，使黑客无法直接攻击内网NAT技术高职高专计算机教育指导委员会精品教材12.1NAT与代理服务概述NAT工作原理NAT技术私有地址192.168.1.1外网地址w1.x1.y1.z1原客户请求数据包源IP地址：192.168.1.20目的IP地址：w2.x2.y2.z2源端口：TCP1033目的端口：TCP80转换之后的客户请求数据包源IP地址：w1.x1.y1.z1目的IP地址：w2.x2.y2.z2源端口：TCP5112目的端口：TCP80①内网计算机向NAT路由器提交访问外网请求②NAT路由器对请求包进行地址和端口转换转换之后的应答数据包源IP地址：w2.x2.y2.z2目的IP地址：192.168.1.20源端口：TCP80目的端口：TCP1033原服务应答数据包源IP地址：w2.x2.y2.z2目的IP地址：w1.x1.y1.z1源端口：TCP80目的端口：TCP5112⑤外网服务器向NAT路由器返回应答包新增表项：{192.168.1.20，TCP1033}→{w1.x1.y1.z1，TCP5112}③NAT路由器将映射记入转换表⑥NAT路由器查询转换表获取映射信息④NAT路由器将转换后请求提交给外网服务器⑦NAT路由器转换应答包服务器w2.x2.y2.z2InternetNAT路由器客户机192.168.1.20内网⑧NAT路由器将转换后应答包返回给内网计算机高职高专计算机教育指导委员会精品教材12.1NAT与代理服务概述端口映射外网到内网的NAT将公网IP地址和端口号映射到内网服务器的私有IP地址和端口号NAT解决方案硬件实现方案：NAT设备软件实现方案：NAT网关或NAT服务器NAT技术私有IP地址192.168.0.1公网地址：w1.x1.y1.z1公网端口：80内网地址：192.168.0.2内网端口：80端口映射表公网地址：w1.x1.y1.z1服务器192.168.0.2内网InternetNAT路由器客户机客户机w2.x2.y2.z2客户机高职高专计算机教育指导委员会精品教材12.1NAT与代理服务概述代理服务器工作原理工作在应用层两个网络之间的数据传输全部由代理服务器转发和控制多数代理服务器只支持部分应用程序代理服务器技术代理客户（应用程序）①发出请求②判断请求类型③代理程序验证客户请求④转换请求，生成新请求⑤发出新的请求⑥返回结果⑦代理程序检查返回结果⑧转换结果，生成新结果⑨返回新结果代理服务器服务器（服务程序）Internet内网公网接口内网接口高职高专计算机教育指导委员会精品教材12.1NAT与代理服务概述反向代理为外网用户访问内网提供代理服务通常只用来发布内网Web服务器充当Web缓冲服务器，以降低实际的Web服务器负载代理服务器技术内网Internet客户机提出请求代理程序处理提出请求请求结果请求结果代理服务器Web服务器高职高专计算机教育指导委员会精品教材12.1NAT与代理服务概述代理服务器主要功能共享网络连接资源，支持直接从缓存获取信息充当网络防火墙，可将内网的结构和状态对外屏蔽起来监测和控制网络访问代理服务器解决方案以WinGate、SyGate、Winroute等产品为代表的代理服务器软件ISAServer、Squid支持反向代理服务代理服务器技术高职高专计算机教育指导委员会精品教材12.1NAT与代理服务概述共享上网配置内网接入Internet的网络配置Internet网关内网网卡IP地址:192.168.0.1子网掩码：255.255.255.0默认网关：空内网计算机网卡IP地址:192.168.0.2～254子网掩码：255.255.255.0默认网关：192.168.0.1DNS服务器：192.168.0.1网关内网计算机网关外部接口根据ISP要求设置IP地址和默认网关内网内网计算机内网计算机高职高专计算机教育指导委员会精品教材12.1NAT与代理服务概述内网服务器发布网络配置内网接入Internet的网络配置Internet端口映射：HTTP/HTTPS/FTP→192.168.0.2POP3/SMTP→192.168.0.3DNS→192.168.0.5192.168.0.2192.168.0.5192.168.0.3外部接口a.b.c.d内部接口192.168.0.1Web服务器FTP服务器邮件服务器DNS服务器网关外部客户机高职高专计算机教育指导委员会精品教材12.2WindowsServer2003内置连接共享设置ICS主机（服务器端）自动启动Windows防火墙/ICS服务连接内网的网卡将自动获得新的静态IP地址192.168.0.1某些协议、服务、接口和路由都将自动配置并启用特定DHCP功能基于WindowsServer2003内置ICS实现共享上网高职高专计算机教育指导委员会精品教材12.2WindowsServer2003内置连接共享自动配置ICS客户机（客户端）将要共享上网的计算机网卡配置为自动获取IP地址保证ICS主机必须处于工作状态或必须先于内网其他计算机而启动手动配置ICS客户机（客户端）将其IP地址设置为192.168.0.2至192.168.0.254之间的地址将默认网关和DNS服务器都设置为192.168.0.1基于WindowsServer2003内置ICS实现共享上网高职高专计算机教育指导委员会精品教材12.2WindowsServer2003内置连接共享设置预置的服务类型或定义端口映射基于WindowsServer2003内置ICS发布内网服务器高职高专计算机教育指导委员会精品教材12.2WindowsServer2003内置连接共享测试内网服务器发布从外部计算机上访问已发布的内网服务进行测试基于WindowsServer2003内置ICS发布内网服务器高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入InternetWinRouteFirewall的主要特性可运行于Windows2000/XP/2003平台支持拨号连接、ISDN、DSL、线缆调制解调器、T1专线、网卡和直接PC连接集成目前最好的NAT实现技术，内网能通过一个IP连接到Internet集成的防火墙保护所有的内部网络，包括WinRoute服务器本身所有的安全设置通过所谓的流量策略规则管理。可监控所有HTTP和FTP通信，阻止那些不符合给定条件的对象安装WinRouteFirewall高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入Internet配置WinRoute网络WinRoute服务器内网接口应分配静态IP地址，不要设置默认网关外网接口应根据ISP的要求设置IP地址、默认网关和DNS服务器安装WinRouteFirewallInternet内网网卡IP地址:192.168.0.1子网掩码：255.255.255.0默认网关：空客户机网卡IP地址:192.168.0.2～254子网掩码：255.255.255.0默认网关：192.168.0.1DNS服务器：192.168.0.1WinRoute服务器WinRoute客户机WinRoute客户机WinRoute客户机外部接口根据ISP要求设置IP地址和默认网关高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入Internet安装WinRoute软件检查并排除底层驱动冲突问题。确认没有使用同类技术检查并排除端口冲突问题检查反病毒程序获得WinRouteFirewall软件运行WinRouteFirewall软件开始安装安装WinRouteFirewall高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入Internet运行网络规则向导根据用户提供的信息自动生成多个流量策略规则，用于保护内网到Internet连接的安全WinRouteFirewall基本配置高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入Internet运行网络规则向导设置出站策略设置入站策略WinRouteFirewall基本配置高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入InternetWinRoute组件WinRouteFirewallEngine：WinRoute引擎WinRouteEngineMonitor：WinRoute监控程序KerioAdministrationConsole：Kerio管理控制台WinRouteFirewall基本配置高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入Internet设置网络接口WinRouteFirewall基本配置高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入Internet设置DHCP服务WinRouteFirewall基本配置高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入Internet设置DNS转发器内置DNS模块，可将DNS查询转发到Internet上的某个DNS服务器WinRouteFirewall基本配置高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入Internet设置WinRoute的流量策略流量策略可以控制所有传入传出的通信WinRouteFirewall基本配置高职高专计算机教育指导委员会精品教材12.3通过WinRouteFirewall网关接入Internet设置NAT规则设置规则的“源”、“目的地”和“服务”项通过NAT