NAT与代理服务器

客户机
内网
服务器 192.168.0.2
私有 IP地址
192.168.0.1
NAT 路由器
公网地址： w1.x1.y1.z1
Internet
客户机 w2.x2.y2.z2
? NAT解决方案 ? 硬件实现方案：NAT设备 ? 软件实现方案：NAT网关或NAT服务器
高职高专计算机教育指导委员会精品教材
12.1 NAT与代理服务概述
部署ISA Server 服务器
部署ISA Server 客户端
ISA Server 策略规则 设置ISA Server 访问规则
实现共享上网 设置 ISA服务器发布规则
发布内网服务器 发布Web 服务器
发布非 Web 服务器
通过缓存加速 Web 访问
本章学习导航
高职高专计算机教育指导委员会精品教材
高职高专计算机教育指导委员会精品教材
12.1 NAT与代理服务概述
NAT技术
? 端口映射 ? 外网到内网的NAT ? 将公网IP地址和端口号映射到内网服务器的私有IP地址和端口号
客户机
端口映射表 公网地址： w1.x1.y1.z1 公网端口： 80 内网地址： 192.168.0.2 内网端口： 80
WinRoute Firewall基本配置 ? 设置网络接口
高职高专计算机教育指导委员会精品教材
12.3 通过WinRoute Firewal网l 关接入Internet
WinRoute Firewall基本配置 ? 运行网络规则向导
? 根据用户提供的信息自动生成多个流量策略规则，用于保护内网到 Internet连接的安全
高职高专计算机教育指导委员会精品教材
? 从外部计算机上访问已发布的内网服务进行测试
高职高专计算机教育指导委员会精品教材
12.3 通过WinRoute Firewal网l 关接入Internet
安装WinRoute Firewall
? WinRoute Firewall 的主要特性 ? 可运行于Windows 2000/XP/2003平台 ? 支持拨号连接、ISDN、DSL、线缆调制解调器、T1专线、网卡和 直接PC连接 ? 集成目前最好的NAT实现技术，内网能通过一个IP连接到Internet ? 集成的防火墙保护所有的内部网络，包括WinRoute服务器本身 ? 所有的安全设置通过所谓的流量策略规则管理。 ? 可监控所有HTTP和FTP通信，阻止那些不符合给定条件的对象
12.2 Windows Server 2003内置连接共享
基于Windows Server 2003内置ICS发布内网服务器 ? 设置预置的服务类型或定义端口映射
高职高专计算机教育指导委员会精品教材
12.2 Windows Server 2003内置连接共享
基于Windows Server 2003内置ICS发布内网服务器 ? 测试内网服务器发布
内网计算机
内网
内网计算机网卡 IP 地 址:192.168.0.2 ～254 子网掩码： 255.255.255.0 默认网关： 192.168.0.1 DNS服务器： 192.168.0.1
内网计算机
Internet
网关
网关外部接口 根据 ISP要求设置 IP 地址和默认网关
高职高专计算机教育指导委员会精品教材
? WinRoute Firewall Engine：WinRoute引擎 ? WinRoute Engine Monitor： WinRoute监控程序 ? Kerio Administration Console：Kerio管理控制台
高职高专计算机教育指导委员会精品教材
12.3 通过WinRoute Firewal网l 关接入Internet
高职高专计算机教育指导委员会精品教材
12.3 通过WinRoute Firewal网l 关接入Internet
安装WinRoute Firewall ? 安装WinRoute 软件
? 检查并排除底层驱动冲突问题。确认没有使用同类技术 ? 检查并排除端口冲突问题 ? 检查反病毒程序 ? 获得WinRoute Firewall软件 ? 运行WinRoute Firewall软件开始安装
第12章 NAT与代理服务器
本章学习导航
上一章： Telnet 与终 端服务器
Window Server 2003 内置Internet 连接共享
NAT 与代理 服务概述
NAT 技术
代理服务器
ICS共享上网
设置 ICS主机 （服务器端）
设置 ICS 客户机 （客户端）
接入 Internet 网络配置
高职高专计算机教育指导委员会精品教材
12.1 NAT与代理服务概述
NAT技术 ? NAT工作原理
? NAT工作在网络层和传输层 ? 对经过的数据包进行地址转换后再转发 ? NAT的网络地址转换是双向的 ? 内网到外网的NAT应用 ? 共享IP地址和网络连接，让内网共用一个公网地址接入Internet ? 保护网络安全，通过隐藏内网IP地址，使黑客无法直接攻击内网
ICS 发布内网服务器
共享上网配置
内网服务器发布网络配置
WinRoute Firewall 网关
ISA Server 实现企 业级Internet 接入
附录部分
部署 WinRoute Firewall WinRoute Firewall 基本配置
NAT 方式共享上网 代理服务器方式共享上网 端口映射发布内网服务器 设置WinRoute 流量策略
代理服务器技术
? 代理服务器工作原理 ? 工作在应用层 ? 两个网络之间的数据传输全部由代理服务器转发和控制 ? 多数代理服务器只支持部分应用程序
①发出请求
②判断请求类型 ③代理程序验证客户请求 ④转换请求，生成新请求
⑤发出新的请求
⑨返回新结果
⑦代理程序检查返回结果 ⑧转换结果，生成新结果
⑥返回结果
Internet
WinRoute客户机
WinRoute 服务器
外部接口
内网网卡
根据ISP要求 IP 地 址:192.168.0.1
设置IP地址 子网掩码：255.255.255.0
和默认网关 默认网关：空
WinRoute客户机 WinRoute客户机
客户机网卡 IP 地 址:192.168.0.2 ～254 子网掩码： 255.255.255.0 默认网关： 192.168.0.1 DNS服务器：192.168.0.1
将内网连入Internet
?将内网连入Internet 的5种方式 ? 通过网络路由器将内网连入Internet ? 通过网络防火墙将内网连入Internet ? 通过代理服务器将内网连入Internet ? 通过NAT网关将连入Internet ? 通过VPN（虚拟专用网）让内网通过Internet进行互联
高职高专计算机教育指导委员会精品教材
12.1 NAT与代理服务概述
NAT技术
? NAT工作原理
①内网计算机向 NAT 路由器提交访问外网请求 ② NAT 路由器对请求包进行地址和端口转换
原客户请求数据包 源IP地址：192.168.1.20 目的IP地址： w2.x2.y2.z2 源端口：TCP 1033 目的端口： TCP 80
内网
私有地址 192.168.1.1
外网地址 w1.x1.y1.z1
Internet
客户机192.168.1.20
⑧NAT 路由器 将转换 后应答 包返回 给内网
⑦ NAT 路由器转换应答包
转换之后的应答数据包 源IP地址：w2.x2.y2.z2 目的IP地址：192.168.1.20 源端口： TCP 80
代理客户（应用程序）
内网
内网接口
公网接口
代理服务器
Internet
服务器（服务程序）
高职高专计算机教育指导委员会精品教材
12.1 NAT与代理服务概述
代理服务器技术
? 反向代理 ? 为外网用户访问内网提供代理服务 ? 通常只用来发布内网Web服务器 ? 充当Web缓冲服务器，以降低实际的Web服务器负载
12.3 通过WinRoute Firewal网l 关接入Internet
WinRoute Firewall基本配置 ? 运行网络规则向导
? 设置出站策略 ? 设置入站策略
高职高专计算机教育指导委员会精品教材
12.3 通过WinRoute Firewal网l 关接入Internet
WinRoute Firewall基本配置 ? WinRoute 组件
Web 服务器
代理程序处理
提出请求
内网 请求结果 代理服务器提出请求Int Nhomakorabearnet
请求结果
客户机
高职高专计算机教育指导委员会精品教材
12.1 NAT与代理服务概述
代理服务器技术
? 代理服务器主要功能 ? 共享网络连接资源，支持直接从缓存获取信息 ? 充当网络防火墙，可将内网的结构和状态对外屏蔽起来 ? 监测和控制网络访问
12.1 NAT与代理服务概述
内网接入Internet的网络配置
? 内网服务器发布网络配置
外部客户机
外部接口 a.b.c.d
内部接口 192.168.0.1
Internet
网关
端口映射： HTTP/HTTPS/FTP →192.168.0.2 POP3/SMTP →192.168.0.3 DNS →192.168.0.5
转换之后的客户请求数据包 源IP地址： w1.x1.y1.z1 目的IP地址：w2.x2.y2.z2 源端口： TCP 5112 目的端口： TCP 80
③ NAT 路由器将映射记入转换表
④NAT 路由器将转换后请求提交给外网服务器
新增表项： {192.168.1.20 ，TCP 1033} → {w1.x1.y1.z1 ，TCP 5112}
? 代理服务器解决方案 ? 以WinGate、SyGate、Winroute等产品为代表的代理服务器软件 ? ISA Server、Squid支持反向代理服务
高职高专计算机教育指导委员会精品教材
12.1 NAT与代理服务概述
内网接入Internet的网络配置
? 共享上网配置
内网计算机
网关内网网卡 IP 地 址:192.168.0.1 子网掩码： 255.255.255.0 默认网关：空
192.168.0.2
Web 服务器 FTP服务器
192.168.0.3
邮件服务器
192.168.0.5
DNS服务器
高职高专计算机教育指导委员会精品教材
12.2 Windows Server 2003内置连接共享
基于Windows Server 2003内置ICS实现共享上网 ? 设置ICS主机（服务器端）
? 自动启动Windows防火墙/ICS服务 ? 连接内网的网卡将自动获得新的静态IP地址192.168.0.1 ? 某些协议、服务、接口和路由都将自动配置并启用特定DHCP功能
高职高专计算机教育指导委员会精品教材
12.2 Windows Server 2003内置连接共享
基于Windows Server 2003内置ICS实现共享上网 ? 自动配置ICS客户机（客户端）
高职高专计算机教育指导委员会精品教材
12.3 通过WinRoute Firewal网l 关接入Internet
安装WinRoute Firewall
? 配置WinRoute 网络 ? WinRoute服务器内网接口应分配静态IP地址，不要设置默认网关 ? 外网接口应根据ISP的要求设置IP地址、默认网关和DNS服务器
本章学习要点
（1）NAT技术 （2）代理服务器技术 （3）Windows Server 2003 内置ICS （4）WinRoute Firewall 网关 （5）ISA Server 企业级Internet 接入
建议课时： 4课时
高职高专计算机教育指导委员会精品教材
12.1 NAT与代理服务概述
计算机 目的端口： TCP 1033
NAT 路由器
服务器w2.x2.y2.z2
⑥NAT 路由器 查询转 换表获 取映射 信息
⑤ 外网服务器向 NAT 路由器返回应答包
原服务应答数据包 源IP地址： w2.x2.y2.z2 目的IP地址：w1.x1.y1.z1 源端口： TCP 80 目的端口： TCP 5112
? 将要共享上网的计算机网卡配置为自动获取IP地址 ? 保证ICS主机必须处于工作状态或必须先于内网其他计算机而启动 ? 手动配置ICS客户机（客户端） ? 将其IP地址设置为192.168.0.2至192.168.0.254之间的地址 ? 将默认网关和DNS服务器都设置为192.168.0.1
高职高专计算机教育指导委员会精品教材