NAT服务器与防火墙.doc

NAT服务器与防火墙 -NAT服务器与防火墙▓ 浅谈IP▓ NAT原理及主要功能▓ NAT服务器的安装与使用▓ iptables在防火墙上的运用▓ 实例练习▓ 防火墙的简单设置▓ iptables 设置文件参考范例Squid 服务器有着快速读取功能，减少了客户端直接连接Internet的机会，不足，这在目前以IPv 4为主流的网络环境中，的确困扰着许多系统及网络设计人员。因此本章将使用NAT的方式来提供这一问题的解决方案。除此之外，利用NAT概念的扩展，我们也将介绍防火墙的基本概念以及它对企业网络安全性的影响。◆ 浅谈IP因为NAT的使用主要是为了解决IP地址不足的问题，所以在学习NAT的内容前，必须先对IP地址的意义及功能要有基本的了解。本节将就IP的基本特性逐一介绍以帮助读者建立正确的概念。◆ IP的定义IP是位于OSI网络模型中的网络层（Network Layer）能信协议，它也是TCP/IP 通信协议，它也是TCP/IP通信协议组件中最重要的两个通信协议之一，目前Internet中使用的版本是IPv4，有关它的标准都定义在RFC 791中。◆ IP主要定义3个基本概念：● 在TCP/IP网络中定义数据传输的基本单位- -数据报（Datagram），所有数据在网络上传递都有特定的格式。● IP运行路由（Routing）的功能，它会选择一条最佳路径供数据传输之用。● 订立数据报在不可靠（Unreliable）的网络上传递时应该遵循的原则。通常IP是利用以下的运作模式将数据发送到网络上的：① 源主机IP层之上的传输服务会选将数据以TCP或UDP的格式发送到IP层上。② IP层再将来源及目地的地信息（用来在网络上路由的数据）与IP数据报组合。③ 接下来IP层将数据报向下发送到网络接口层，在这一层中，数据链路服务会将IP数据报转换成框架，以便在物理网络中的特定媒体上进行传递。④ 因为每个IP数据报都包含来源及目的的地址，然后将这个地址与区域维护的路由表相比较，再判定需进一步采取的转送动作，而在目的地主机上则要运行反向处理。◆ IP寻址除了路由之外，IP的另一项重要功能为寻址（Addressing）目前Internet上都使用这套标准来表示主机和网络点的逻辑地址，而通过这个管理模式，可以确定每台主机或网络都拥有惟一的识别方法，这可避免地址重复问题的发生。有一点请大家注意的，每个网络设备的物理地址（MAC）也具有惟一性，可以用来精确表示网络上的主机位置，但因为无法利用其地址来建立一套管理方法，所以通常无法达到寻址的功能所以才设计出IP的寻址方法。在IPv4中，每台主机所使用的IP地址都是以32个二进制的数字来表示，如011110101011001010010110101101111，这种表示法可以确保Internet上的每台主机都有惟一的地址，因为这些地址都需要经过InterNIC的授权才可以使用。如果知道特定的IP地址，就可以利用这个地址来连接到此主机。以上的例子中使用32个二进制的数字来表示IP地址，当然也可以使用十六进制（75652D6F）或十进制（196965039）来表示，但这些表示法都很难让一般用户记忆。所以IP地址通常使用Dotted Decimal Notation(DDN)表示法，它是将32个二进制的位分为4个字节（有时也称为Octet），然后将每个字节以十进制来表示，而每个字节之间以一具句点（.）来分隔。因此，上例中的IP地址DDE表示法为11，这个表示法并没有什么特殊意义，只是利于识别的方便，如图1-1所示。根据IP的定义，每个IP地址都是由两个部分所组成：网络识别码（Network ID）及主机识别码（Host ID）。例如，网络识别码包含8位，则主机识别码就有32-8=24个位。而用来判断网络识别码的主机识别码包含的位数，就必须使用“子网掩码”（Subet Mask）和IP地址来运算，举例来说，在一般情形下，IP地址为6的网络识别码是“150.23”，而主机识别码为“51. 36”，如图1-2所示。网络识别码在网络中是相当重要的概念，因为它可用来识别TCP/IP网络中的网络节点，而所有位于同一具网络节点中的主机，都拥有相同的网络识别码。换句话说，如果两台主机的IP地址中包含相同的网络识别码，则它们可以互相传递信息，而无需通过路由器或网关转送。反之，如果两台主机的IP地址经过子网掩码运算后的网络识别码不同，则它们必须通过路由器或网关转送才可彼此通信。当在规划局域网时须特别注意这一点，否则随意地指定IP地址，可能会产生无法通信的问题。而主机识别码是用来识别TCP/IP网络中的节点（可能是工作站、服务器、路由器或其他TCP/IP设备），每台设备的主机