NAT技术与代理服务器

NAT技术：

NAT（Network Address Translation）网络地址转换，用于将访问Internet上公网的私有IP地址转换为合法的

共有IP地址。产生原因：IPv4地址危机，由于其先天性不足，在九十年代初期，已经预计到了IPv4地址不足，从而开

始开发IPv6技术。但与与开发IPv6需要足够的时间，为了延长IPv4的使用时间，产生了NAT技术。

　　NAT技术以少量的共有IP地址代替大多的私有IP地址访问的方式，能有助于减缓IP地址不足的问题，同时能有效

地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

　　NAT将自动修改IP报文的原IP地址和目的IP地址，IP地址校验则在NAT处理过程中自动完成。有些应用程序将原

IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP投中已经修改过的原IP地

址。否则，在报文数据部分嵌入IP地址的应用成徐就不能正常的工作。

　　NAT服务器有内部和外部两个网卡，只有当内外部网络之间需要进行数据传送时，才进行地址转换。在NAT服务

器上都维护一张状态表，称为NAT表。该表记录每个数据包在NAT服务器上被转换的情况。根据采用的地址转换技术

不同，可以分为三类：静态转换、动态转换和端口多路复用；

NAT常见问题：

1. NAT的作用是什么？

NAT的作用是把内网的 私有地址，转化成外网的 公有地址。使得内部网络上的（被设置为私有IP地址的） 主机可以访问Internet。

2. NAT分为哪几种？

NAT可以分为Basic NAT和PAT：

- Basic NAT只转化IP，不 映射端口。

- PAT除了转化IP，还做 端口映射，可以用于多个内部 地址映射到少量（甚至一个）外部地址。

NAT还可以分为 静态NAT和动态NAT：

-  静态NAT，将内部网络中的每个 主机都永久映射成外部网络中的某个合法的地址，多用于服务器。

- 动态NAT，则是在外部网络中定义了一个或多个合法地址，采用动态分配的方法映射到内部网络。

3.为什么需要有NAT？

NAT的主要作用，是解决IP地址数量紧缺。当大量的内部 主机只能使用少量的合法的外部地址，就可以使用NAT把内部地址转化成外部地址。

NAT还可以防止外部 主机攻击内部主机（或服务器）。

4. 怎样映射？

如何将大量的内部地址，映射成少量的外部地址？

对于第四层是TCP或UDP的数据包，NAT通过更改源端口号，来实现多对少的映射。

例如：内部IP1~IP4，4个 地址映射成外部一个地址IP5。

（IP1，Port1）映射成（IP5，Port1）

（IP2，Port1）映射成（IP5，Port2）

（IP3，Port2）映射成（IP5，Port3）

（IP4，Port2）映射成（IP5，Port4）

对于ICMP包，NAT通过更改ICMP的ID，来实现多对少的映射。

5.TCP或UDP的端口，原本是用来做什么的？

端口号是用来连接上层程序的。例如， 端口号23，对应了Telnet；端口号80，对应了Http等等。

因此，在本动画中，当R1转化H1发送给Server的TCP包的时候，不能转化目的地端口。Server正是通过 端口号23，才知道把收到的TCP交给 Telnet处理。

6. NAT有什么弊端？

在一个具有NAT功能的 路由器下的 主机并没有建立真正的端对端连接，并且不能参与一些 因特网协议。一些需要初始化从外部网络建立的TCP连接，

和使用 无状态协议（比如UDP）的服务将被中断。除非NAT 路由器作一些具体的努力，否则送来的 数据包将不能到达正确的目的地址。（一些协议

有时可以在 应用层网关的辅助下，在参与NAT的 主机之间容纳一个NAT的实例，比如FTP。）NAT也会使安全协议变的复杂。

7.NAT局限性

（1）NAT违反了IP地址结构模型的设计原则。IP地址结构模型的基础是每个IP地址均标识了一个网络的连接。Internet的软件设计就是建立在这个

前提之上，而NAT使得有很多 主机可能在使用相同的地址，如10.0.0.1。

（2）NAT使得IP协议从 面向无连接变成面向连接。NAT必须维护专用IP地址与公用IP地址以及 端口号的映射关系。在TCP/IP协议体系中，如果一个

路由器出现故障，不会影响到TCP协议的执行。因为只要几秒收不到应答，发送进程就会进入超时重传处理。而当存在NAT时，最初设计的

TCP/IP协议过程将发生变化，Internet可能变得非常脆弱。

（3）NAT违反了基本的网络分层结构模型的设计原则。因为在传统的网络分层结构模型中，第N层是不能修改第N+1层的报头内容的。NAT破坏了

这种各层独立的原则。

（4）有些应用是将IP地址插入到正文的内容中，例如标准的FTP协议与IP　Phone协议H.323。如果NAT与这一类协议一起工作，那么NAT协议一

定要做适当地修正。同时，网络的 传输层也可能使用TCP与UDP协议之外的其他协议，那么NAT协议必须知道并且做相应的修改。由于NAT的存

在，使得P2P应用实现出现困难，因为P2P的 文件共享与语音共享都是建立在IP协议的基础上的。

（5）NAT同时存在对高层协议和安全性的影响问题。RFC对NAT存在的问题进行了讨论。NAT的反对者认为这种临时性的缓解IP地址短缺的方案

推迟了Ipv6迁移的进程，而并没有解决深层次的问题，他们认为是不可取的。

代理服务器：

代理服务器概念：

代理，也称网络代理，是一种特殊的网络服务，允许一个网络终端（一般为客户端）通过这个服务与另一个网络

终端（一般为服务器）进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利

于保障网络终端的隐私或安全，防止攻击。

提供代理服务的电脑系统或其它类型的网络终端称为代理服务器。一个完整的代理请求过程为：客户端首先与代

理服务器创建连接，接着根据代理服务器所使用的代理协议，请求对目标服务器创建连接、或者获得目标服务器的指

定资源（如：文件）。在后一种情况中，代理服务器可能对目标服务器的资源下载至本地缓存，如果客户端所要获取

的资源在代理服务器的缓存之中，则代理服务器并不会向目标服务器发送请求，而是直接返回缓存了的资源。一些代

理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应，以满足代理协议的需要。代理服务器的选项

和设置在计算机程序中，通常包括一个“防火墙”，允许用户输入代理地址，它会遮盖他们的网络活动，可以允许绕

过互联网过滤实现网络访问。

主要功能：

代理服务器 ，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。代理服务器就好象一个大的Cache，

这样就能显著提高浏览速度和效率。更重要的是：代理服务器是Internet链路级网关所提供的一种重要的安全功能，主要的功能

有：

1.突破自身IP访问限制，访问国外站点。教育网，过去的169网等。

2.提高访问速度：通常代理服务器都设置了一个较大的硬盘缓冲区，当有外界的信息通过的时候，同时也将其保存在缓冲区

中，当其他用户在访问相同的信息时，则直接有缓冲区取出信息，传给用户，以提高访问速度

3.链接内网与Internet，充当防火墙：因为所有的内部网用户通过代理服务器访问外界时，只映射一个IP地址，所以外界不

能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限

4.节省IP开销：代理服务器允许使用大量的伪IP地址，节约上网资源，即代理服务器可以减少对IP地址的需求，对于使用局

域网方式接入Internet，如果为局域网（LAN）内的每一个用户都申请一个IP地址，其费用可想而知。但使用代理服务器之后，只需代理服务器上有一个合法的IP地址，LAN内其他用户可以使用10.*.*.*这样的私有IP地址，这样可以节约大量的IP，降低网路的维护成本。

5.隐藏真实IP：上网者可以通过这种方式隐藏自己的IP，以免受到攻击；

6.设置用户验证和记账功能，没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息

流量进行统计。