因地制宜 共享Internet
现在很多中小型企业普遍采用了ISDN、Cable Modem或ADSL接入Internet,再由连接Internet的主机提供代理服务,使内部网计算机共享Internet连接。目前,经常采用的方法有PRoxy和NAT 2种。对于应用水平和资金能力不同的企业,怎样选择适合自己的共享Internet连接的方法呢?怎样能既方便用户使用又能简化治理操作呢?本文将通过介绍一个小型企业利用windows 2000 Server的NAT功能实现Internet连接共享的具体应用,将Proxy和NAT这2种方法进行比较,得出一些结论,力求帮助中小型企业用户找到一种适合自己的共享Internet连接的技术。
NAT
---- NAT(Network Address Translation,网络地址翻译),顾名思义,它是一种把内部ip地址翻译成合法IP地址的技术。当网络内部分配了专用IP地址的适配器不能直接访问Internet时,NAT可以把局域网内部的IP地址转译成外部的合法IP地址(具体如附图所示)。
附图 NAT示意图
---- NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法,您可以只申请一个合法IP地址,就把整个局域网中的计算机接入Internet中。这时,NAT屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的。
---- NAT是如何工作的呢?当内部网计算机向外部网发出数据请求时,安装NAT的服务器端接收到包含源地址和目的地址的TCP/IP包,它把其中的源地址替换为合法地址后发往远端服务器,而当远端响应时,数据由NAT服务器端回传给内部发出请求的计算机(注重: NAT可以对TCP/IP包中的源地址和目的地址进行替换,本文中主要介绍NAT替换源地址这一应用)。而内部网计算机用户通常不会意识到NAT的存在,用户只需在内部网计算机的网络设置中加入网关地址,即可实现Internet共享。NAT与Proxy代理服务和应用网关最大的不同在于,它支持很多Proxy和应用网关所不支持的协议。
---- 目前,一些硬件厂商已在其网络设备中加入了这一功能,比如Cisco路由器中已经加入这一功能,网络治理员只需在路由器的IOS中设置NAT功能,就可以实现对内部网络的屏蔽。而对于资金有限的小型企业来说,现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能,另外一些软件厂商,如WinGate,在其3.0以后的版本中提供了NAT功能。另外,SyGate和WinRoute也提供了这一功能。
NAT的实现
---- 某一小型企业,原来建有一个局域网,有1台服务器和8台客户机。随着企业业务的增长,需要使内部网所有的计算机都能访问Internet资源。企业已经申请了Cable Modem服务,针对其自身情况,此企业采用Windows 2000 Server的NAT功能来实现内部网计算机共享Internet连接。下面为实现NAT功能的具体操作。
---- 服务器端安装Windows 2000 Server (名称为slhsx,域名为sxserver)。Internet连接为Cable Modem。服务器安装2块网卡,其中一块100Mbps/10Mbps网卡连接局域网,另一块10Mbps网卡连接Cable Modem。连接Cable Modem的网卡设置成自动获得IP地址。连接内部网的网卡,设置IP地址为192.168.0.1,子网掩码为255.255.255.0。网关和DNS不需要设置。
---- NAT功能的实现主要是对“Routing and Remote access”(路由和远程访问)服务进行设置,方法如下。
---- 选择“控制面板”*“治理工具”*“路由和远程访问”,在“路由和远程访问”对话框的树目录左边,单击“slhsx(本地)”目录,在右键菜单中选择“配置并启用路由和远程访问”选项,系统弹出“路由和远程访问服务器安装向导”,根据向导提示设置“有网络地址转换(NAT)路由协议的路由器”,并创建Internet连接。然后根据系统给出的“请求拨号接口向导”进行有关设置,设置完成后的“路由和远程访问”界面如图1所示。其中对“slhsx(本地)”*“IP路由选择”目录下的“网络地址转换(NAT)”进行设置如下。“远程接口”即连接Cable Modem的接口名,在其右键菜单中选择“属性”选项,在“远程路由器属性”对话框的“常规”选项卡中选中“公用接口连接到Internet”和“转换TCP/IP头”选项,不用定义“地址池”和“非凡端口”。对于“本地连接”接口,在其“本地连接属性”对话框中选择“专用接口到专用网络”选项。另外,在Windows 2000 Server上启动DNS服务,设置转发功能。至此,服务器端设置完毕。
图1"配置并启用路由和远程访问"完成后界面
---- 客户端在定义TCP/IP协议属性时设置DNS,并指定默认网关为192.168.0.1。
---- 内部网用户假如要浏览Internet网页,只需在IE中选择“工具”*“Internet选项”*“连接”,在“局域网设置”选项卡中选择“自动检测”选项即可,不用具体设置代理服务器地址。
---- 此企业应用NAT实现的网络地址翻译过程如图2所示。
图2 NAT的地址翻译过程
Proxy vs. NAT
---- 前面提到,目前通过软件实现共享Internet连接的方法主要有2种: Proxy和NAT。根据两者实现原理的对比和笔者应用Proxy和NAT实现Internet共享的体会,总结2种方法的优势和不足如下,希望能够给企业网络的治理者和决策者一些参考。
---- Proxy优点如下。
本地缓存技术 对于经常访问的内容,一次下载后,其他人再次访问时可以直接从缓存中读取,而不须再到有关站点下载。
节省网络带宽 假如内部网多个用户同时访问同样的内容,Proxy可以只对远端服务器提出一个请求,并且把接收的数据同时传送给所有提出请求的客户机。
答应网络治理员对局域网客户访问Internet进行严格地治理,可以方便地设置有关治理权限,因而系统的安全性相对较高。
许多Proxy提供Web内容和域名的过滤,并支持Logging功能。
---- Proxy也存在一些不足,归纳如下。
---- 1.由于网站的内容是不断变化的,并且不断有新的数据格式出现,而这些新的数据格式有很多是不能在缓存中存放的,这样Proxy的本地缓存技术优势就无法发挥了。而缓存中的文件假如没有及时刷新,客户有时会访问到过时的页面。
---- 2.Proxy代理服务的实现需要安装客户端程序或对客户端进行明确地设置。相比前面采用NAT系统的客户端设置,假如使用Proxy代理方式,在进行客户端配置时,必须安装客户端程序或对代理服务器进行定义。例如,系统采用MS Proxy作为代理,客户端是Windows 98系统,那么假如用户要浏览Internet网页,必须安装MS Proxy的Client端程序,或者在IE的“工具”*“Internet选项”*“连接”*“局域网设置”的“代理服务器”选项中定义代理服务器的地址和相应端口。
---- 假如用户应用多个网络应用程序,如FTP、新闻组、ICQ等,都要一一进行代理服务设置; 假如系统发生改变,例如,代理服务器地址改变,每一台客户机的相关应用程序选项都要作相应地修改; 而当客户机系统重装后,所有网络应用程序必须再次进行设置。
---- 3.目前,Proxy主要应用基于TCP层,当客户端发出Web访问请求时,在客户机和Proxy服务器间要建立一个连接,另外还要在Proxy服务器和远端Web服务器间建立连接。这样会造成Proxy服务器负担过重。事实上,在网页变得越来越复杂的今天,Proxy很可能成为网络的瓶颈。
---- 作为共享Internet连接的另一选择,NAT又具有什么优势和不足呢?NAT的优势主要体现在以下几方面。
NAT在常用网络协议上对用户实现“透明”,支持协议包括HTTP, Gopher, Telnet, POP, SMTP, IMAP等。
易于安装和使用,把客户端所需的设置减到最少。大部分网络应用程序都支持NAT,用户在安装有关程序后不用专门进行代理设置就可以使用。
相对于主要应用基于TCP层的Proxy来说,由于NAT工作在分组级,在建立连接时过程相对快速。
假如某一连接有问题,用户可以直接得到相关的出错信息,并进行相应诊断。
---- NAT的不足主要有以下2方面。
在系统的安全性上不如Proxy。
没有缓存。
NAT的安全性
---- 从上文可以看出,NAT提供的“透明”服务特点鲜明,它为网络治理者和决策者提供了一种更为灵活方便的选择。在企业申请的IP地址有限的情况下,能够使局域网内多台计算机同时访问Internet资源。它为网站设计提供了无限空间,为网络治理提供了可操作性和便于治理的途径。
---- 同时前面也提到,NAT的不足一方面体现在其安全性上,安装了NAT的计算机并不能真正起到防火墙的作用。一般说来,在默认状态下,NAT屏蔽内部网络,不答应任何非正常外部请求进入内部网络。但是这并不意味着系统的绝对安全,由于NAT只改变数据包最外层的IP地址,这为外部攻击留下了隐患。NAT所提供的安全选项相对较少,如要真正地为网络提供高效的安全保障还是要采用包过滤防火墙和应用防火墙。另外,内部网用户可以通过NAT直接连入Internet,也可能会带来网络治理的困难和安全隐患,同样需要采用其他技术来提高其安全性。
---- 但对于小型企业来说,NAT对于网络的一般安全问题解决能力良好,可以基本满足他们的需求。对于这类用户来说,安装NAT和一款较好的防火墙软件就可以杜绝大部分来自Internet的攻击。
---- 另外,现在很多软件厂商都在其代理服务软件中对多种技术进行了集成,用户可以配合使用其他功能,保障系统的安全性。
2种方法 如何选择?
---- Proxy和NAT各自有自己的优势和不足,对于不同的企业来说,选择适合自