NAT技术与代理服务器调研

NAT技术与代理服务器调研

一、NAT技术

1. 基本概念

NAT是地址转换协议，将内网地址转换为公网地址。

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关处，将内

部地址替换成公用地址，从而在外部公网（internet）上正常用，NAT可以使多台计算机共享Internet连接，这一功能

很好地解决了公共IP地址紧缺的问题。

2. NAT的功能

NAT不仅能解决IP地址不足的问题，而且能有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

（1）宽带分享：这是NAT主机的最大功能，

（2）安全防护：NAT之外的PC联机带Internet上面时，它所显示的IP是NAT主机的公共IP，所以Client端的PC当然具

有一定程度的安全性，外界在进行portscan（端口扫描）的时候，就侦测不到源 Client端的PC。

3. NAT的原理

借助NAT，私有（保留）地址的“内部”网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网

只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。

NAT将自动修改IP报文的源IP地址和目的IP地址，IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地

址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP头中已经修改过得源IP地址。

否则，在报文数据部分嵌入IP地址的应用程序就不能正常工作。

4. NAT实现方式

NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。

（1）静态转接：是指将内部网络饿私有IP地址转换为公有IP地址，IP地址是一对一的，是一成不变的，某个私有IP地

址只转换为某个公有IP地址。借助静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。

（2）动态转换：是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问

上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及

用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法

IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。

（3）端口多路复用（PAT）：是指改变外出数据包的源端口并进行端口转换，即端口地址转换，采用端口多路复用

方式。内部网络的所有主机均可共享一个合法外部IP地址并实现对Internet的访问，从而可以最大限度地节约IP地址资

源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路

复用方式。

二、代理服务器

1.基本概念

代理服务器（Proxy Server）是个人网络和Internet服务商之间的中间代理机构，它负责转发合法的网络信息，对转发

进行控制和登记。代理服务器作为连接Internet(广域网)与Intranet（局域网）的桥梁。代理服务器，顾名思义就是局域

上不能直接上网的机器将上网请求（比如说，浏览某个主页）发给能够直接上网的代理服务器，然后代理服务器代理

完成这个上网请求，将它所要浏览的主页调入代理服务器的缓存；然后将这个页面传给请求者。这样局域网上的机器

使用起来就像能够直接访问网络一样。并且，代理服务器还可以进行一些网站的过滤和控制的功能，这样就实现了我

们控制和节省上网费用。

代理服务器能够让多台没有IP地址的电脑使用其代理功能高速、安全地访问互联网资源。当代理服务器客户端发出一

个对外的资源访问请求，该请求先被代理服务器识别并由代理服务器代为向外请求资源。由于一般代理服务器拥有较

大的带宽，较高的性能，并且能够智能地缓存已浏览或未浏览的网站内容，因此，在一定情况下，客户端通过代理服

务器能更快速地访问网络资源。代理服务器应用的常见例子：拥有上百台电脑的局域网通过一台能够访问外部网络资

源的代理服务器而也能访问外部互联网。

2.代理服务器的功能

（1）充当局域网与外部网络的连接出口    

充当局域网与外部网络的连接出口，同时将内部网络结构的状态对外屏蔽起来，使外部不能直接访问内部网络。从这

一点上说，代理服务器就充当的网关。  

（2）作为防火墙    

代理服务器，可以保护局域网的安全，起防火墙的作用。通过设置防火墙，为公司内部的网络提供安全边界，防止外

界的侵入。

（3）网址过滤和访问权限限制   

 代理服务器可以设置IP地址过滤，对外界或内部的Internet地址进行过滤，限制不同用户的访问权限。例如代理服务

器可以用来限制封锁IP地址，禁止用户对某些网页进行浏览。   

（4）提高访问速度   

代理服务器将远程服务器提供的数据保存在自己的硬盘上，如果有许多用户同时使用这一个代理服务器，他们对

Internet站点所有的访问都会经由这台代理服务器来实现。当有人访问过某一站点后，所访问站点的内容便会被保存在

代理服务器的硬盘上，如果下一次有人再要访问这个站点时，这些内容便会直接从代理服务器磁盘中取得，而不必再

次连接到远程服务器上去取。因此，它可以节约带宽、提高访问速度。

3.代理服务器的工作原理

代理服务器（Proxy Server）的工作原理是：当客户在浏览器中设置好Proxy Server后，你使用浏览器访问所有WWW

站点的请求都不会直接发给目的主机，而是先发给代理服务器，代理服务器接受了客户的请求以后，由代理服务器向

目的主机发出请求，并接受目的主机的数据，存于代理服务器的硬盘中，然后再由代理服务器将客户要求的数据发给

客户。

三、代理服务器的分类

（1）HTTP代理

www连接请求就是采用的http协议，所以我们在浏览网页、下载数据时就是用的是http代理，它通常绑定在代理服务

器的80，3128，8080等端口上。

（2）socks代理

相应的，采用socks协议的代理服务就是SOCKS服务器，是一种通用的代理服务器，Socks一直作为 Internet RFC标

准的开放标准。Socks代理只是简单地传递数据包，而不必关心是何种协议，所以Socks代理要比其它应用层代理快

的多，它通常绑定在代理服务器的1080端口上。在实际应用中SOCKS代理可以应用在：电子邮件、新闻组软件、

传呼ICQ、网络聊天MIRC、和使用代理服务器上联众打游戏等等，各种游戏应用软件中。

（3）VPN代理

指在公用网络上建立专用网络的技术。之所以称为虚拟网络主要是因为整个VPN网络的任意两个节点之间 没有传统网

络建设所需的点到点的物理链路，而是架构在公共网络服务商ISP所提供的网络平台之上的逻辑网络。

（4）反向代理

反向代理服务器架设在服务器端，通过缓冲经常被请求的页面来缓解服务器的工作量。