调研NAT技术、代理服务器和端口

一、NAT技术

（1）什么是NAT技术？

NAT,即Networ Address Translation，它的意思为网络地址转换或网络地址翻译。

NAT属接入广域网技术,是一种将私有地址转化为合法IP地址的转换技术。

它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

（2）NAT技术的原理

NAT技术能帮助解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。

（3）NAT实现方式

NAT的实现方式有三种，即静态转换(Static Nat)、动态转换(Dynamic Nat)和端口多路复用(OverLoad)。

静态转换 ：

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。

动态转换 ：

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

端口多路复用 ：

端口多路复用（Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式

二、代理服务器

（1）什么是代理服务器？

代理服务器就是代理网络用户去取得网络信息，形象的说：它是网络信息的中转站，使得一个网络终端和另一个网络终端不直接进行相连，代理网络用户去取得信息。

（2）代理服务器的原理

一个完整的代理请求过程为：
客户端首先与代理服务器创建连接，接着根据代理服务器所使用的代理协议，请求对目标服务器创建连接或者获得目标服务器的指定资源。

在后一种情况中，代理服务器可能对目标服务器的资源下载至缓存，如果客户端索要获取的资源在代理服务器的缓存之中，则代理服务器并不会向目标服务器发送请求，而是直接返回了缓存的资源。

一些代理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应，以满足代理协议的需要。

代理服务器的选项和设置在计算机程序中，通常只包括一个“防火墙”，允许用户输入代理地址，它会更改它们的网络活动，可以允许绕过互联网过滤实现网络访问。

具体事例：

当客户端A对web服务器请求时,此端提出请求时,此请求会首先发送到代理服务器.
代理服务器接收到客户端请求后,会检查缓存中是否存有客户端所需要的数据.
如果代理服务器没有客户端A所请求的数据,它将会向web服务器提交请求;
web服务器响应请求的数据.
代理服务器向客户端A转发Web服务器的数据.
客户端B访问web服务器,向代理服务器发出请求.
代理服务器查找缓存记录,确认已经存在web服务器的相关数据.
代理服务器直接回应查询的信息,而不需要再去服务器进行查询,从而达到节约网络流量和提高访问的速度目的

（3）代理服务器的功能

a.突破自身IP访问限制，访问国外站点。教育网，过去的169网等。

b.提高访问速度：通常代理服务器都设置了一个较大的硬盘缓冲区，当有外界的信息通过的时候，同时也将其保存在缓冲区中，当其他用户在访问相同的信息时，则直接有缓冲区取出信息，传给用户，以提高访问速度

c.链接内网与Internet，充当防火墙：因为所有的内部网用户通过代理服务器访问外界时，只映射一个IP地址，所以外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限

d.节省IP开销：代理服务器允许使用大量的伪IP地址，节约上网资源，即代理服务器可以减少对IP地址的需求，对于使用局域网方式接入Internet，如果为局域网（LAN）内的每一个用户都申请一个IP地址，其费用可想而知。但使用代理服务器之后，只需代理服务器上有一个合法的IP地址，LAN内其他用户可以使用10…*这样的私有IP地址，这样可以节约大量的IP，降低网路的维护成本。

e.隐藏真实IP：上网者可以通过这种方式隐藏自己的IP，以免受到攻击；

f.设置用户验证和记账功能，没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。

（4）常用的代理服务器

HTTP代理 ：

www对于每一个上网的人都再熟悉不过了，www连接请求就是采用的http协议，所以我们在浏览网页，下载数据（也可采用ftp协议）时就是用http代理。它通常绑定在代理服务器的80、3128、8080等端口上。

socks代理 ：

相应的，采用socks协议的代理服务器就是SOCKS服务器，是一种通用的代理服务器。Socks是个电路级的底层网关，是DavidKoblas在1990年开发的，此后就一直作为Internet RFC标准的开放标准。Socks 不要求应用程序遵循特定的操作系统平台，Socks 代理与应用层代理、HTTP层代理不同，Socks 代理只是简单地传递数据包，而不必关心是何种应用协议（比如FTP、HTTP和NNTP请求）。
所以，Socks代理比其他应用层代理要快得多。它通常绑定在代理服务器的1080端口上。
在实际应用中SOCKS代理可以用作为：电子邮件、新闻组软件、网络聊天MIRC和使用代理服务器上联众打游戏等等各种游戏应用软件当中。

VPN代理 ：

指在共用网络上建立专用网络的技术。
之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。
用户的数据是通过ISP在公共网络中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。
通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性

三、端口

端口一般认为是设备与外界通讯交流的出口；

端口可以分为物理端口和虚拟端口：
①物理端口：可以叫做接口，是可见端口，如交换机，路由器，集线器，用于连接其他网络设备的接口，比如RJ-45端口

②虚拟接口：是逻辑意义的端口，指计算机或交换机、路由器内部的端口，是不可见端口，如80端口、21端口、23端口

有效端口号的范围是：0 到（2的十六次方）-1， 即 0~65535。

常用端口为以下几种：

（1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

（2）注册端口：端口范围1024 ~ 49151，它们松散地绑定于一些服务，这些端口分配给用户或应用程序 。

（3）动态端口/私有端口：端口范围 49152 ~ 65535，一般不固定分配给某种服务，而是动态分配。