一、代理服务器


    代理服务器是介于浏览器和Web服务器之间的一台服务器。其功能是代理网络用户去取得网络信息。网络信息则是通过代理服务器进行中转的。更重要的是:Proxy Server(代理服务器)是Internet链路级网关所提供的一种重要安全功能,工作主要在开放系统互联(OSI)模型的对话层。 

   

      代理服务器能够让多台没有IP地址的电脑使用其代理功能高速、安全的访问互联网资源。当代理服务器客户端发出一个对外的资源访问请求,该请求被代理服务器识别并由代理服务器代为向外请求资源。


      在不使用代理服务器的情况下,用户使用网络浏览器直接连接其他Internet站点取得网络信息时,须发出请求信号来得到回答,然后对方再把信息以数据流方式传送回来。有了代理服务器之后,浏览器向代理服务器发出请求,当代理服务器接收请求信息号,再由代理服务器来取回浏览器所需要的信息并传送给终端用户的浏览器。代理服务器的作用如下。


1.共享网络

    如通过Squid、sygate、wingate、isa、ccproxy以及NT系统自带的网络共享等代理服务器访问外部站点的信息。这些代理服务器也都能提供企业级的文件缓存、复制和地址过来等服务。充分利用局域网出口的有限带宽,加快内网用户的访问速度,能解决仅仅有一条线路一个公有IP,在这种公有IP资源严重不足的情况下,满足局域网众多用户同时共享上网的需求。

2.访问代理

    现在的网络环境中常常会出现网络拥挤或网络故障。用户通常都会通过代理服务器绕道访问目的站点;另外,代理服务器中通常会备份有相当数量的缓存文件,如果当前所访问的数据在代理服务器的缓存文件中,则可直接读取,而无需再连接到远端Web服务器。这样可以达到加快访问网站速度,节约通信带宽的目的。

3.提高速度

    提高下载速度,突破一个IP、一个下载线程的限制以及电信和联通的用户互上对方的电影网站下载的限制。

4.突破限制

    互联网上有许多开放的代理服务器,客户在访问权限受到限制时,而这些代理服务器的访问权限是不受限制的,刚好代理服务器在客户的访问范围之内,那么客户通过代理服务器访问目标网站就成为可能。通过代理服务器,国内高校使用教育网就能实现访问因特网,这就是高校内代理服务器流向的原因所在。

5.防止***

    通过代理服务器完成内部主机的访问使主机地址等信息不会发送到外部,隐藏了自己的真实地址信息,还可隐藏自己的IP。更有效地保护了内部主机。

6.充当防火墙

    因为所有使用代理服务器的用户都必须通过代理服务器访问远程站点,因此在代理服务器上就可以设置相应的限制,以过滤或屏蔽某些信息。

7.方便对用户管理

    通过代理服务器,管理员可以设置用户验证和记账功能,对用户进行登记,并对用户的访问时间、访问地点、信息浏览进行统计。没有登记的用户无权通过代理服务器访问Internet

8.隐藏身份

    代理服务器使用内部用户访问Interner时受到保护,内部网的用户要对外发布信息就需要使用代理服务器的反向代理功能。这样就不会影响到内部网络的安全性能,起到隐藏身份的目的。


二、网络地址转换NAT


        当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法


            网络地址转换NAT方法是在1994年提出的。这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换为全球IP地址,才能和因特网连接。NAT路由器至少要有一个全球IP地址,才能和因特网相连。


         假设 NAT路由器收到从专用网内部的主机A发往因特网上主机B的的IP数据报:源IP数据地址是192.168.0.3,而目的IP地址是213.18.2.4.NAT路由器把IP数据报的源IP地址192.168.0.3,转换为新的IP地址(即NAT路由器的全球地址)172.38.1.5,然后转发出去。因此,主机B收到这个IP数据报时,以为A的IP地址是172.38.1.5。当B给A发送应答时,IP数据包的目的IP地址是NAT路由器的IP地址172.38.1.5。B并不知道A的专用地址192.168.0.3。实际上,即使知道了,也不能使用,因为因特网上的路由器都不转发目的地址是专用网本地IP地址的IP数据报。当NAT路由器收到因特网上的主机B发来的IP数据报时,还要进行一次IP地址的转换。通过NAT地址转换表,就可把IP数据报上的旧的目的IP地址172.38.1.5  转换为

新的目的IP地址192.168.0.3(主机A真正的本地IP地址)。


        当NAT路由器具有n个全球IP地址时,专用网内最多可以同时有n个主机接入到因特网。这样就可以使专用网内较多数量的主机,轮流使用NAT路由有限数量的全球IP地址。


        通过NAT路由器的通信必须由专用网内的主机发起。如果因特网上的主机要发起通信,当IP数据报到NAT路由器时,NAT路由器就不知道应当把目的IP地址转换成专用网内的哪一个本地IP地址。这就表明,这种专用网内部的主机不能当成服务器使用,因为因特网上的客户无法请求专用网内的服务器提供服务。为了更加有效地利用NAT路由器上的全球IP地址,现在常用的NAT转换表把运输层的端口号也利用上。这样,就可以使多个拥有本地地址的主机,共用一个NAT路由器上的全球IP地址,因而可以同时和因特网上的不同主机进行通信。


使用端口号的NAT也叫作网络地址与端口号转换NAPT。

        NAPT(Network Address Port Translation),可将多个内部地址映射为一个合法公网地址,但以不同的协议端口号与不同的内部地址相对应,也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换。NAPT普遍用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT也被称为“多对一”的NAT,或者叫PAT(Port Address Translations,端口地址转换)、地址超载(address overloading)。


        NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。NAPT算得上是一种较流行的NAT变体,通过转换TCP或UDP协议端口号以及地址来提供并发性。除了一对源和目的IP地址以外,这个表还包括一对源和目的协议端口号,以及NAT盒使用的一个协议端口号。


        NAPT的主要优势在于,能够使用一个全球有效IP地址获得通用性。主要缺点在于其通信仅限于TCP或UDP。当所有通信都采用TCP或UDP,NAPT允许一台内部计算机访问多台外部计算机,并允许多台内部主机访问同一台外部计算机,相互之间不会发生冲突。