代理服务器与NAT

代理服务器：提供代理服务的电脑系统或其它类型的网络终端。
代理服务器(Proxy Server)：所谓代理就是代而劳之的意思。代理服务器就是代理网络用户去取得网络信息，形象的说：它是网络信息的中转站，使得一个网络终端和另一个网络终端不直接进行相连，代理服务器代理网络用户去取得信息。主要工作在OSI的会话层中。代理服务器是一种网络实体，它又称为万维网高速缓存（Web cache）。代理服务器把最近的一些请求和响应暂存在本地磁盘中。当新请求到达时，若代理服务器发现这个请求和暂时存放的请求相同，就返回暂存的响应，而不需要按URL的地址再次去因特网申请该资源。

---

一个完整的代理请求过程为：客户端首先与代理服务器创建连接，接着根据代理服务器所使用的代理协议，请求与目标服务器创建连接或者获得目标服务器的指定资源（如：文件）。在后一种情况中，代理服务器可能对目标服务器的资源下载至本地缓存，如果客户端所要获取的资源在代理服务器的缓存之中，则代理服务器并不会向目标服务器发送请求，而是直接返回缓存了的资源。一些代理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应，以满足代理协议的需要。代理服务器的选项和设置在计算机程序中，通常只包括一个防火墙，允许用户输入代理地址，它会遮盖他们的网络活动，可以允许绕过互联网过滤实现网络访问。

---

代理服务器（Proxy Server）是Internet链路级网关所提供的一种重要的安全功能，主要的功能有：
1、突破自身IP访问限制，访问国外站点。教育网，过去的169网等。
2、提高访问速度：通常代理服务器都设置了一个较大的硬盘缓冲区，当有外界的信息通过的时候，同时也将其保存在缓冲区中，当其他用户在访问相同的信息时，则直接从缓冲区取出信息，传给用户，以提高访问速度。
3、链接内网与Internet，充当防火墙：因为所有的内部网用户通过代理服务器访问外界时，只映射一个IP地址，所以外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限。
4、节省IP开销：代理服务器允许使用大量的伪IP地址，节约上网资源，即代理服务器可以减少对IP地址的需求，对于使用局域网方式接入Internet，如果为局域网（LAN）内的每一个用户都申请一个IP地址，其费用可想而知。但使用代理服务器之后，只需代理服务器上有一个合法的IP地址，LAN内其他用户可以使用10...*这样的私有IP地址，这样可以节约大量的IP，降低网路的维护成本。
5、隐藏真实IP：上网者可以通过这种方式隐藏自己的IP，以免受到攻击。
6、设置用户验证和记账功能：没有登记的用户无权通过代理服务器访问Internet。并对用户的访问时间、访问地点、信息流量进行统计。

—————————————————————————————————————

NAT（Network Address Translation）:网络地址转换。用于将访问Internet上公网的内部网络的私有IP地址转换为合法的公有IP地址。工作在网络层，对数据包进行地址转换后再转发。
产生原因：IPv4地址危机，由于其先天性不足，在九十年代初期，已经预计到了IPv4地址不足，从而开始开发IPv6技术。但开发IPv6需要足够的时间，为了延长IPv4的使用时间，产生了NAT技术。NAT技术以少量的公有IP地址代替大多的私有IP地址访问的方式，能有助于减缓IP地址不足的问题，同时能有效地避免来自网络外部的攻击，隐藏并保护网络内部（局域网）的计算机。

---

NAT服务器有内部和外部两个网卡，只有当内外部网络之间需要进行数据传送时，才进行地址转换。在NAT服务器上都维护一张状态表，称为NAT表。该表记录每个数据包在NAT服务器上被转换的情况。根据采用的地址转换技术不同，可以分为三类：静态转换、动态转换和网络地址端口转换；

静态转换是指将内部网络的私有IP地址转换为公有IP地址，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。
1、首先，当内网终端要访问外网服务器时，会先将请求发送给NAT服务器；
2、NAT服务器接收到请求后，根据接收到的数据包检查NAT表；如果已为该地址配置了静态地址转换，NAT服务器就使用对应的公网IP地址转发数据包，否则，NAT服务器不对地址进行转换，直接将数据包丢弃；
3、Internet主机接收到请求之后，会将应答信息返回给端口NAT服务器；
4、当NAT服务器接收到来自Internet上的主机返回的数据包后，检查静态NAT表。如果NAT表中存在匹配的映射项，则将目标地址转换为相应的内网IP，并将数据包转发给内网主机。如果不存在匹配映射项，则将数据包丢弃。

动态转换是指将内部网络的私有IP地址转换为公有IP地址时，IP地址是不确定的，是随机的。动态转换的过程和静态转换差不多，只是其转换成对应的合法公有IP地址是不确定的，也就是随机分配的。

端口地址转换（PAT，Port Address Translation)是指改变外出数据包的源端口并进行端口转换。即采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。
1、当内网主机需要与Internet建立连接时，首先将请求发送到端口NAT服务器。NAT服务器接收到请求后，根据接收到的数据包，检查端口NAT映射表；如果还没有为该内网主机建立地址转换映射项，则NAT服务器会创建一个会话，并给该会话分配一个端口。之后将源地址及端口改为企业公网IP地址及相应的端口，发送数据包到Internet主机上；
2、Internet主机接收到信息后，将应答信息返回给端口NAT服务器；
3、当端口NAT服务器接收到应答信息后，检查端口NAT映射表。如果端口NAT表存在匹配的映射项，则将目标地址及端口转换为对应的内网IP及端口，将数据包转发给内网主机。如果不存在匹配映射项，就将数据包丢弃。