网络基础---NAT技术和代理服务器

1.什么叫NAT技术？
NAT（Network Address Translation，网络地址转换）当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。这样，所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。
2.NAT的功能
1.宽带分享：这是 NAT 主机的最大功能。
2.安全防护：NAT 之内的 PC 联机到 Internet 上面时，他所显示的 IP 是 NAT 主机的公共 IP，所以 Client 端的 PC 当然就具有一定程度的安全了，外界在进行 portscan（端口扫描） 的时候，就侦测不到源Client 端的 PC。
3.实现方法
NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。
静态转换:是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。
动态转换:是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用（Port address Translation,PAT):是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。
4.工作原理
借助于NAT，私有（保留）地址的”内部”网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP头中已经修改过的源IP地址。否则，在报文数据部分嵌入IP地址的应用程序就不能正常工作。
①如下图这个 client（终端） 的 gateway （网关）设定为 NAT 主机，所以当要连上 Internet 的时候，该封包就会被送到 NAT 主机，这个时候的封包 Header 之 source IP（源IP） 为 192.168.1.100 ；

②而透过这个 NAT 主机，它会将 client 的对外联机封包的 source IP ( 192.168.1.100 ) 伪装成 ppp0 ( 假设为拨接情况 )这个接口所具有的公共 IP ，因为是公共 IP 了，所以这个封包就可以连上 Internet 了，同时 NAT 主机并且会记忆这个联机的封包是由哪一个 ( 192.168.1.100 ) client 端传送来的；
③由 Internet 传送回来的封包，当然由 NAT主机来接收了，这个时候， NAT 主机会去查询原本记录的路由信息，并将目标 IP 由 ppp0 上面的公共 IP 改回原来的 192.168.1.100 ；
④最后则由 NAT 主机将该封包传送给原先发送封包的 Client 。

---

代理服务器
1.概念
代理 ，也称网络代理，是一种特殊的网络服务，允许一个网络终端（一般为客户端）通过这个服务与另一个网络终端（一般为服务器）进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利于保障网络终端的隐私或安全，防止攻击。
一个完整的代理请求过程为：客户端首先与代理服务器创建连接，接着根据代理服务器所使用的代理协议，请求对目标服务器创建连接、或者获得目标服务器的指定资源（如：文件）。在后一种情况中，代理服务器可能对目标服务器的资源下载至本地缓存，如果客户端所要获取的资源在代理服务器的缓存之中，则代理服务器并不会向目标服务器发送请求，而是直接返回缓存了的资源。一些代理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应，以满足代理协议的需要。代理服务器的选项和设置在计算机程序中，通常包括一个“防火墙”，允许用户输入代理地址，它会遮盖他们的网络活动，可以允许绕过互联网过滤实现网络访问。
功能
1.突破自身IP访问限制，访问国外站点。
2.网络用户可以通过代理访问国外网站。
3.访问一些单位或团体内部资源，如某大学FTP（前提是该代理地址在该资源 的允许访问范围之内），使用教育网内地址段免费代理服务器，就可以用于对教育网开放的各类FTP下载上传，以及各类资料查询共享等服务。
4.突破中国电信的IP封锁：中国电信用户有很多网站是被限制访问的，这种限制是人为的，不同Serve对地址的封锁是不同的。所以不能访问时可以换一个国外的代理服务器试试。
5.提高访问速度：通常代理服务器都设置一个较大的硬盘缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时， 则直接由缓冲区中取出信息，传给用户，以提高访问速度。
5.隐藏真实IP：上网者也可以通过这种方法隐藏自己的IP，免受攻击。
常见代理服务器及特点

1. 1 Microsoft Proxy Server：它包括Web Proxy服务器，Winsock Proxy服务器和Socks Proxy服务器。
   它容易与安全地安装，充分利用内建在Windows NTServer里的安全性，并允许网络操作员对进入或来自Intemet的访问作有效地控制。它支持全部的Internet协议包括HTTP、FTP、Gopher、RealAudio、VDOfive、IRC、邮件和新闻协议，支持IPX/SPX和TCP/IP协议来容易访问Intemet服务器以及内部网上的应用软件。它提供超高速缓存，保存网络带宽，改善客户机的响应时问，减少网络的拥挤，并且在不加重最终用户和网络管理员负担的情况下改善对网络资源的控制
2. Wingate：也支持单网卡，在许多校园网中，只允许部分计算机具有Intemet访问权，利用这些计算机作为代理服务器，为其他的计算机提供服务，只是它不具备防火墙的功能。Wingate除了提供FTP Proxy、Telnet Proxy、 POP3 Proxy、RealAudio Proxy、Socks Pmxy代理服务之外，还提供了DNS、DHCP、拨号管理等丰富功能。
3. SyGate：是一种支持多用户访问Intemet的软件，并且是只通过一台计算机，共享Intemet账号，达到上网的目的。
4. WinProxy：是一个集大成者。它集中了WinRoute和WinGate的强大功能与SyGate的易用于一身。WinProxy结合了最新的Internet连接共享(Internet Connection Sharing)的技术，是一个特别易于安装和使用的代理服务器软件，价格还比较便宜。
   WinProxy的一大特色是，提供了”Transparent Proxy”(透明代理)技术，吸取了Proxy Server和Network Address Transaltion(NAT)技术的优点，融合了Proxy Server的复杂的用户控制、缓存与防火墙技术及NAT技术的易于安装、对应用透明的特点。只需要几分钟，用户就可以安装好，并且使用。
5. CCProxy ：CCProxy功能强大，完全支持Win98.WinMe、WinNT、Win2000、WinXp、Win2003。支持共享Modem.ISDN、ADSL、DDN、专线.蓝牙、二级代理等访问Intemeh支持HTTP.FTP、Gopher、SOCK$4/5.Telnet、Secure(HTTPS)、News(NNTP).RTSP、MMS等代理协议;支持浏览器通过H1vrP/Secure/FTP(Web)/Gopher代理上网;支持客户端使用Outlook、OutlookExpress、Foxraail等通用邮件客户端软件收发邮件;支持OICQ、ICQ、Yahoo Messenger、MSN、iMRC、联众游戏、股票软件通过HTTPS、SOCKS5代理上网;支持CuteFTP、CuteFTP Pro.WS-FTP.FXP-FTP等FTP软件通过代理上网;支持RealPlayer
6. Microsoft lSA Server：ISA Server Internet Security and Acceleration (ISA)Server提供了Intemet连接方案，它不仅包括特性丰富且功能强大的防火墙，还包括用于加速Internet连接的可伸缩的Web缓存。根据组织网络的设计和需要，ISA Server的防火墙和Web缓存组件可以分开配置，也可以一起安装。利用Windows 2Oo0安全数据库，ISA Server允许根据特定的通信类型，为Windows2000 Server内定义的用户、计算机和组设置安全规则，具有先进的安全特性。利用ISA Management控制台，ISA Server使防火墙和缓存管理变得很容易。ISA Management采用MMC，并且广泛使用任务板和向导，大大简化了最常见的管理程序，从而集中统一了服务器的管理，通过使用单一界面进行集中管理，可以得到更高的安全。