ＮＡＴ技术与代理服务器

ＮＡＴ技术与代理服务器的相关概念？
本篇博客主要介绍NAT技术的基本概念和是实现方式，还有代理服务器的分类。

一、NAT技术
NAT网络地址转换，属接入广域网（WAN ）技术，是一种将私有地址转化为合法ＩＰ地址的转换技术，它被广泛应用于各种类型Ｉｎｔｅｒｎｅｔ接入方式和各种类型网络中。
ＮＡＴ不仅完美地解决了ＩＰ地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。
ＮＡＴ的实现方式有三种：
１静态转换ｓｔａｔｉｃ　Ｎａｔ，
２动态转换Ｄｙｎａｍｉｃ　ＮＡＴ
３端口多路复用ＯｖｅｒＬｏａｄ．

基本网络地址转换（Ｂａｓｉｃ　ＮＡＴ）是一种将一组ＩＰ地址映射到另一组ＩＰ地址的技术，这对终端用户来说是透明的。网络地址端口转换（ＮＡＰＴ）是一种将群体网络地址及其对应ＴＣＰ／ＵＤＰ端口翻译成单个网络地址及其对应ＴＣＰ／ＵＤＰ端口的方法。传统ＮＡＴ提供了一种机制，将只有私有地址的内部领域连接到全球唯一注册地址的外部领域。

转换原因：
由于保密原因或ＩＰ在外网不合法，网络的内部ＩＰ地址无法在外部网络使用，就产生了ＩＰ地址转换的需求。局域网以外的网络的拓扑结构能以多种方式改变：公司更换供应商；重组公司主干网络或者供应商合并或散伙。一旦外部拓扑结构改变，本地网络的地址分配也必须改变以反映外部变化。通过将这些变化集中在单个地址转换路由器中，局域网用户并不需知道这些改变。基本地址转换允许主机从内部网络中透明地访问外部网络，并容许从外部访问选定的本地主机。对于一个机构其网络主要用于内部服务而仅有时用于外部访问， 这种配置是很适用的。
使用这种转换方法是有一定限制的，即会话的请求及响应的发送必须经过相同的 NAT路由器。在边界路由器上安装 NAT 能确保这一过程，边界路由器在该域中是唯一的，而所有经过的 IP 包要么来自于此域要么到达此域。此外还可使用多重 NAT 设备确保这一过程。
NAT 解决方法有其不足之处，仅以增强的网络状态作为补充，而忽略了 IP 地址端对端的重要性。结果是，由于存在 NAT 设备，由 IPSec 保证的端对端 IP 网络级安全无法应用到终端主机。此方法的优势是不需要改变主机或路由器就可以直接安装 NAT 。

NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。

1.静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。

2.动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

3.端口多路复用（Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。
ALG（Application Level Gateway），即应用程序级网关技术：传统的NAT技术只对IP层和传输层头部进行转换处理，但是一些应用层协议，在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换，NAT使用一种称作ALG的技术，它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。例如：对于FTP协议的PORT/PASV命令、DNS协议的 “A” 和 “PTR” queries命令和部分ICMP消息类型等都需要相应的ALG来支持。
如果协议数据报文中不包含地址信息，则很容易利用传统的NAT技术来完成透明的地址转换功能，通常我们使用的如下应用就可以直接利用传统的NAT技术：HTTP、TELNET、FINGER、NTP、NFS、ARCHIE、RLOGIN、RSH、RCP等。

二、代理服务器（Proxy Server）是一种重要的服务器安全功能，它的工作主要在开放系统互联(OSI)模型的会话层，从而起到防火墙的作用。代理服务器大多被用来连接INTERNET（国际互联网）和Local Area Network（局域网）。

代理服务器种类：

1、HTTP代理
www对于每一个上网的人都再熟悉不过了，www连接请求就是采用的http协议，所以我们在浏览网页，下载数据（也可采用ftp协议）时就是用http代理。它通常绑定在代理服务器的80、3128、8080等端口上。[1]

2、socks代理
相应的，采用socks协议的代理服务器就是SOCKS服务器，是一种通用的代理服务器。Socks是个电路级的底层网关，一直作为Internet RFC标准的开放标准。Socks 不要求应用程序遵循特定的操作系统平台，Socks 代理与应用层代理、HTTP层代理不同，Socks 代理只是简单地传递数据包，而不必关心是何种应用协议（比如FTP、HTTP和NNTP请求）。所以，Socks代理比其他应用层代理要快得多。它通常绑定在代理服务器的1080端口上。
浏览网页时常用的代理服务器通常是专门的http代理，它和SOCKS是不同的

3、VPN代理
指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性。

4、反向代理
反向代理服务器架设在服务器端，通过缓冲经常被请求的页面来缓解服务器的工作量。 安装反向代理服务器有几个原因:
（1）加密和SSL加速
（2）负载平衡
（3）缓存静态内容
（4）压缩 减速上传
（5）安全 外网发布
大多使用开放源代代码的squid做反向代理

5、其他类型
FTP代理：能够代理客户机上的FTP软件访问FTP服务器
RTSP代理：代理客户机上的Realplayer访问Real流媒体服务器
POP3代理：代理客户机上的邮件软件用POP3方式收发邮件