没有合适的资源?快使用搜索试试~ 我知道了~
NAT和DMZ的介绍,需要的可以参考下。
资源推荐
资源详情
资源评论
什么是 NAT
NAT——网络地址转换,是通过将专用网络地址(如企业内部网 Intranet)转换为公用
地址(如互联网 Internet),从而对外隐藏了内部管理的 IP 地址。这样,通过在内部使用
非注册的 IP 地址,并将它们转换为一小部分外部注册的 IP 地址,从而减少了 IP 地址注册
的费用以及节省了目前越来越缺乏的地址空间(即 IPV4)。同时,这也隐藏了内部网络结
构,从而降低了内部网络受到攻击的风险。
NAT 功能通常被集成到路由器、防火墙、单独的 NAT 设备中,当然,现在比较流行的
操作系统或其他软件(主要是代理软件,如 WINROUTE),大多也有着 NAT 的功能。NAT
设备(或软件)维护一个状态表,用来把内部网络的私有 IP 地址映射到外部网络的合法 IP
地址上去。每个包在 NAT 设备(或软件)中都被翻译成正确的 IP 地址发往下一级。与普通
路由器不同的是,NAT 设备实际上对包头进行修改,将内部网络的源地址变为 NAT 设备自
己的外部网络地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。
NAT 分为三种类型:静态 NAT(staticNAT)、NAT 池(pooledNAT)和端口 NAT(PA
T)。其中静态 NAT 将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地
址,而 NAT 池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内
部网络,端口 NAT 则是把内部地址映射到外部网络的一个 IP 地址的不同端口上。
废话说了不少,让我们转入正题,看一下如何利用 NAT 保护内部网络。
使用网络地址转换 NAT,使得外部网络对内部网络的不可视,从而降低了外部网络对
内部网络攻击的风险性。
在我们将内部网络的服务使用端口映射到 NAT 设备(或是软件)上时,NAT 设备看起
来就像一样对外提供服务器一台服务器一样(如图一)。这样对于攻击者来讲,具有一定
的难度,首先他要攻破 NAT 设备,再根据 NAT 设备连接到内部网络进行破坏。
图一
由图一我们可以看出,内部网络中的 A、B 和 C 提供相应的 MAIL、FTP 和 HTTP 服务。
我们利用 NAT 将所提供服务机器的对应的服务端口 25、110、20、21 和 80 映射到 NAT
服务器上(IP:88.88.88.88,域名:5imax.net 上,其中端口及服务对应如下:
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
说到 20,我来加一个小插曲。我们都知道 FTP 对应的端口应该是 21,为什么又冒出
来一个 20 呢?其实,我们们进行 FTP 文件传输中,客户端首先连接到 FTP 服务器的 21
端口,进行用户的认证,认证成功后,当我们要传输文件时,服务器会开一个端口为 20
来进行传输数据文件,也就是说,端口 20 才是真正传输所用到的端口,端口 21 只用于
FTP 的登陆认证。我们平常下载文件时,会遇到下载到 99%时,文件不完成,不能成功的
下载。其实是因为文件下载完毕后,还要在 21 端口再行进行用户认证,而我们下载文件
的时间如果过长,客户机与服务器的 21 端口的连接会被服务器认为是超时连接而中断掉,
就是这个原因。解决方法就是设置 21 端口的响应时间。
话题扯远了(别拿柿子、鸡蛋……扔我啊),我们继续我们的 NAT 吧。由图一为例,
当外部访问者访问 http://www.5imax.net
时,NAT 会自动把请求提交到内部的
192.168.0.102 的 80 端口上,反之也一样,我们所收到的信息也是内部的
192.168.0.102 通过 NAT 来传输给外部访问者的。同样 FTP 及 MAIL 的服务也是如此。
其中的 NAT 既可以用操作系统和代理软件,又可以用路由器及 NAT 设备。下面我们
用软件的方法来具体实现具体的 NAT 设置。
使用 WINDOWS 2000 SERVER 进行 NAT 的设置
WINDOWS 20000 SERVER FAMILY 强大的网络功能,说起来真是 VERY GOOD。她集
成很多网络功能,比如说 DHCP、DNS、SNMP、路由……,进行 NAT 的设置,我们只需要
一个 WINDOWS 2000 SERVER 就足够了,不必借助于其他的软件。
说干就干,我们以中文版的 WINDOWS 2000 SERVER 为例,在 NAT 服务器上加两块网
卡,一块是与内部网络相连(如 IP:192.168.0.35),另一块则是与外部网络相连(如 IP:
88.88.88.88),在配置之前,要保证 NAT 服务器与内部私有网络及外部公用网络的数据
传输没有故障。具体配置如下:
打开“开始——>程序——>管理工具——>路由和远程访问”,出现一个对话框,左侧有
一个“服务器状态”,一个“BDWSER(本地)”(不一定是 BDWSER,其实就应该是你的机器
名),点“BDWSER(本地)”,然后点“操作——>配置并启用路由和远程访问”,会弹出一
个的对话框,下一步,会出现如图二的对话框,选择“Internet 连接服务器”,下一步,
图二
如图三,选择“设置有网络地址转换(NAT)路由协议的路由器”,下一步
图三
如图四,选择“使用选择的 Internet 连接——>本地连接 2”,这里要注意一点,“本地
连接 2”即为服务器的外部连接,如本例中域名为 5imax.net 地址为 88.88.88.88;而“本
地连接”而是服务器与内部网络的连接。然后“下一步——>完成”,此时“路由和远程访问”会
自动启动,我们稍侯等待“路由和远程访问”的启动。
图四
通过以上的配置,我们就可以利用 NAT 将内部地址转发到外部地址,也就相当于本机
(WINDOWS 2000 SERVER)可以通过 NAT 代理内部的机器共享上网了。如果 NAT 服
务器使用了 DHCP,那么客户机只要自动获取 IP 即可;如果没有设置,客户机要指定 IP:
192.168.0.*,子网掩码:255.255.255.0,网关:192.168.0.35,DNS:
202.97.224.68(使用本地 ISP 提供 DNS 服务器地址即可)。接下来,我们应该来配置
外部端口到内部端口的映射(如图一中的 88.88.88.88:80——
>192.168.0.102:80),使得外部访问者访问 http://www.5imax.net
相应的 HTTP 服
剩余11页未读,继续阅读
资源评论
denisabc
- 粉丝: 0
- 资源: 7
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功