NAT技术与代理服务器调研

NAT技术：

1、概念：

       NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet 

Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出

现在Internet上。顾名思义，它是一种将私有（保留）地址转化为合法IP地址的转换技术，NAT就是在局域网内部网

络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一

样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，它被广泛应用于各种类型Internet

接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自

网络外部的攻击，隐藏并保护网络内部的计算机中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来

说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。这里提到的内部地址，是指在内部网络中分配给节

点的私有IP地址，这个地址只能在内部网络中使用，不能被路由转发。

2、分类：

1）静态NAT（static NAT）：通过手动设置，使 Internet 客户进行的通信能够映射到某个特定的私有网络地址和端

口。

2）动态NAT（polled NAT）：动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地

址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。动态NAT方式适合于当机构申请到的全局IP地址较

少，而内部网络主机较多的情况。

3）网络地址端口转换NAPT（Port-Level NAT）:是把内部地址映射到外部网络的一个IP地址的不同端口上。它又包

含两种转换方式：SNAT和DNAT。

• 源NAT（Source NAT，SNAT）：修改数据包的源地址。
• 目的NAT（Destination NAT，DNAT）：修改数据包的目的地址。

3、原理：

    当内部网络中的一台主机想传输数据到外部网络时，它先将数据包传输到NAT路由器上，路由器检查数据包的报头，获取该数据包的源IP信息，并从它的NAT映射表中找出与该IP匹配的转换条目，用所选用的内部全局地址（全球唯一的IP地址）来替换内部局部地址，并转发数据包。

    当外部网络对内部主机进行应答时，数据包被送到NAT路由器上，路由器接收到目的地址为内部全局地址的数据包后，它将用内部全局地址通过NAT映射表查找出内部局部地址，然后将数据包的目的地址替换成内部局部地址，并将数据包转发到内部主机。

4、优缺点：

优点: 

①对于那些家庭用户或者小型的商业机构来说，使用NAT可以更便宜，更有效率地接入Internet。 

②使用NAT可以缓解目前全球IP地址不足的问题。 

③在很多情况下，NAT能够满足安全性的需要。 

④使用NAT可以方便网络的管理，并大大提高了网络的适应性。

缺点: 

①NAT会增加延迟,因为要转换每个数据包包头的IP地址,自然要增加延迟；

②NAT会使某些要使用内嵌地址的应用不能正常工作，不能处理嵌入式IP地址或端口；

③有一些应用程序虽然是用A口发送数据的，但却要用B端口进行接收，不过NAT设备翻译时却不知道这一点，它仍

然建立一条针对A端口的映射，结果对方响应的数据要传给B端口时，NAT设备却找不到相关映射条目而会丢弃数据

包；

④ 一些P2P应用在NAT后无法进行。

NAT技术无可否认是在ipv4地址资源的短缺时候起到了缓解作用；在减少用户申请ISP服务的花费和提供比较完善的

负载平衡功能等方面带来了不少好处。但是在ipv4地址在以后几年将会枯竭，NAT技术不能改变ip地址空间不足的本

质。然而在安全机制上也潜在着威胁，在配置和管理上也是一个挑战。如果要从根本上解决ip地址资源的问题，ipv6

才是最根本之路。在ipv4转换到ipv6的过程中，NAT技术确实是一个不错的选择，相对其他的方案优势也非常明显。

5、应用

NAT主要可以实现以下几个功能：数据包伪装、平衡负载、端口转发和透明代理。

1）数据伪装: 可以将内网数据包中的地址信息更改成统一的对外地址信息，不让内网主机直接暴露在因特网上，保证

内网主机的安全。同时，该功能也常用来实现共享上网。例如，内网主机访问外网时，为了隐藏内网拓扑结构，使用

全局地址替换私有地址。

2）端口转发: 当内网主机对外提供服务时，由于使用的是内部私有IP地址，外网无法直接访问。因此，需要在网关上

进行端口转发，将特定服务的数据包转发给内网主机。例如公司小王在自己的服务器上架设了一个Web网站，他的IP

地址为192.168.0.5，使用默认端口80，现在他想让局域网外的用户也能直接访问他的Web站点。利用NAT即可很轻

松的解决这个问题，服务器的IP地址为210.59.120.89，那么为小王分配一个端口，例如81，即所有访问

210.59.120.89:81的请求都自动转向192.168.0.5:80，而且这个过程对用户来说是透明的。

3）负载平衡:目的地址转换NAT可以重定向一些服务器的连接到其他随机选定的服务器。例如1.2.3所讲的目的NAT的

例子。

4）失效终结:目的地址转换NAT可以用来提供高可靠性的服务。如果一个系统有一台通过路由器访问的关键服务器，

一旦路由器检测到该服务器当机，它可以使用目的地址转换NAT透明的把连接转移到一个备份服务器上，提高系统的

可靠性。

5）透明代理:例如自己架设的服务器空间不足，需要将某些链接指向存在另外一台服务器的空间；或者某台计算机上

没有安装IIS服务，但是却想让网友访问该台计算机上的内容，这个时候利用IIS的Web站点重定向即可轻松的帮助我

们搞定。

 代理服务器

1、概念 

代理服务器（Proxy Server），是一种重要的服务器安全功能，工作在OSI模型的会话层，是个人网络和Internet服

务商之间的中间代理机构，它负责转发合法的网络信息，对转发进行控制和登记。代理服务器作为连接Internet(广域

网)与Intranet（局域网）的桥梁，在实际应用中发挥着极其重要的作用，它可用于多个目的，最基本的功能是连接，

此外还包括安全性，缓存，内容过滤,访问控制管理等功能。 

代理服务器，顾名思义就是局域上不能直接上网的机器将上网请求（比如说，浏览某个主页）发给能够直接上网的代

理服务器，然后代理服务器代理完成这个上网请求，将它所要浏览的主页调入代理服务器的缓存；然后将这个页面传

给请求者。这样局域网上的机器使用起来就像能够直接访问网络一样。并且，代理服务器还可以进行一些网站的过滤

和控制的功能，这样就实现了我们控制和节省上网费用。

2、代理服务器的分类：

1）透明代理和传统代理

（1）透明代理（Transparent proxy）实质上属于DNAT的一种。它主要指内网主机需要访问外网主机时，不需要做

任何设置，完全意识不到防火墙的存在，而完成内外网的通信。

（2）传统代理的工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器。我们经常在IE浏览器中设

置代理服务器使用的就是传统代理。

2）HTTP代理、FTP代理、SOCKS代理

HTTP代理只提供HTTP的代理服务，使用HTTP代理的用户只能通过代理访问网站和页面，不能访问FTP站点。

（1）FTP代理：能够代理客户机上的FTP软件访问FTP服务器，它的端口一般为21、2121。、分类：

（2）HTTP代理：能够代理客户机的HTTP访问，主要是代理浏览器访问网页，它的端口一般为80、8080、3128

等。

（3）SSL代理:支持最高128位加密强度的http代理，可以作为访问加密网站的代理。加密网站是指以https://开始的

网站。ssl的标准端口为443。

（4）RTSP代理：代理客户机上的Realplayer访问Real流媒体服务器的代理，其端口一般为554。

（5）Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23。

（6）SOCKS代理：SOCKS代理与其他类型的代理不同，它只是简单地传递数据包，而并不关心是何种应用协议，既

可以是HTTP请求也可以是FTP等其他请求，所以SOCKS代理服务器比其他类型的代理服务器速度要快得多。

（7）POP3代理：代理客户机上的邮件软件用POP3方式收发邮件，端口一般为110。

3）匿名代理

分为三种，即高度匿名代理、普通匿名代理和透明代理。

（1）高度匿名代理不改变客户机的请求，这样在服务器看来就像有个真正的客户浏览器在访问它，这时客户的真实

IP是隐藏的，服务器端不会认为用户使用了代理。

（2）普通匿名代理能隐藏客户机的真实IP，但会改变我们的请求信息，服务器端有可能会认为用户使用了代理。不

过使用此种代理时，虽然被访问的网站不能知道用户的ip地址，但仍然可以知道用户在使用代理，当然某些能够侦测

ip的网页仍然可以查到用户的ip。

（3）透明代理，它不但改变了用户的请求信息，还会传送真实的IP地址。

3、原理：

当客户在浏览器中设置好Proxy Server后，你使用浏览器访问所有WWW站点的请求都不会直接发给目的主机，而是

先发给代理服务器，代理服务器接受了客户的请求以后，由代理服务器向目的主机发出请求，并接受目的主机的数

据，存于代理服务器的硬盘中，然后再由代理服务器将客户要求的数据发给客户。

4、功能：

主要的功能有： 

（1）设置用户验证和记账功能，可按用户进行记账，没有登记的用户无权通过代理服务器访问Internet网。并对用户

的访问时间、访问地点、信息流量进行统计。 

(2）对用户进行分级管理，设置不同用户的访问权限，对外界或内部Internet地址进行过滤，设置不同的访问权限。 

(3）增加缓冲器（Cache)，提高访问速度，对经常访问的地址创建缓冲区，大大提高热门站点的访问效率。通常代理

服务器都设置一个较大的硬盘缓冲区（可能高达几个GB或更大），当有外界的信息通过时，同时也将其保存到缓冲区

中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。 

(4）连接内网与Internet，充当防火墙（Firewall）：因为所有内部网的用户通过代理服务器访问外界时，只映射为一

个IP地址，所以外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限。 

(5）节省IP开销：代理服务器允许使用大量的伪IP地址节约网上资源，即用代理服务器可以减少对IP地址的需求，对

于使用局域网方式接入Internet ，如果为局域网（LAN）内的每一个用户都申请一个IP地址，其费用可想而知。但使

用代理服务器后，只需代理服务器上有一个合法的IP地址，LAN内其他用户可以使用10...*这样的私有IP地址，这样可

以节约大量的IP，降低网络的维护成本。