NAT及基本防火墙.pptVIP

第10章 NAT与基本防火墙 本章主要介绍NAT和基本防火墙的使用 NAT（Network Address Translation，网络地址转换）可以让网络内的多台计算机只要共享一个公共IP地址，就可以同时连接到Internet 而基本防火墙（Basic firewall）可以增加网络的安全性，减少非法用户通过Internet入侵内部网络的机会。 10.1 NAT的特色与原理 Windows Server 2003的NAT有以下特色： 支持多人同时通过NAT来上网，而只需使用一个public IP 支持内部多个局域网同时通过NAT上网 支持DHCP功能，用来自动分配IP地址给局域网内的计算机 支持DNS代理的功能，用来替局域网内的计算机查询IP地址 支持TCP/UDP端口映射的功能，让外界的用户可以访问内部的网站、邮件服务器等 支持多个public IP与地址映射的功能，以便让外界的特殊应用软件可以通过NAT来与网络内部的应用程序通信 10.1.1 NAT的网络结构图实例 NAT服务器具备路由器功能，因此扮演NAT角色的计算机至少需要两个网络接口，分别用来连接Internet和内部局域网，常见的有以下几种结构： 利用固定ADSL来连接Internet 利用非固定ADSL来连接Internet之一，遇上一种结构的区别就是，其中一个接口需要进行PPPoE请求拨号 利用非固定ADSL来连接Internet之二，只需要一个网络接口，但安全性和效率都比较差 利用Cable Modem来连接Internet 利用调制解调器来连接Internet 10.1.2 NAT的IP地址 NAT服务器的每一个网络接口都必须要有一个IP地址，且不同接口的IP地址有不同的设置： 若是连接到Internet的网络接口，则它的IP地址必须是public IP 若是连接到内部局域网的网络接口，则它的IP地址必须是private IP，常用的private IP网段有10.0.0.0、172.16.0.0~172.31.0.0、192.168.0.0 10.1.3 NAT的工作原理 NAT运行的基本过程，就是执行IP地址与端口的转换工作，通过下表介绍工作原理（计算机通过NAT服务器访问Web服务器的过程）： 10.2 NAT架设实例演示 10.2.1 固定ADSL的NAT设置 步骤一： 步骤二： 步骤三：如果系统没有检测到网络上有DHCP或DNS系统时，将会打开下面的对话框。 步骤四： 10.3 DHCP分配器与DNS代理 10.4 内部网络的开放与防火墙 Windows Server 2003的NAT服务器具备以下功能： 基本防火墙 可用来加强内部网络的安全性 TCP/UDP端口映射 让外界的用户可以访问内部的网站、邮件服务器等 多个public IP与地址映射 让外界特殊的应用程序可以通过NAT来与内部的应用程序通信 10.4.1 NAT网络接口与防火墙 在“NAT/基本防火墙”中打开外网接口的属性（注：只有对外连接的公用接口才可启用基本防火墙），如下图： 上图中有三个选项： 专用接口连接到专用网络 若此接口用来连接到内部局域网，选择此项 公用接口连接到Internet 若此接口用来连接到Internet，选择此项，并可以选择是否启用NAT与基本防火墙功能 仅基本防火墙 表示此接口只提供基本防火墙的功能，不提供NAT功能 Windows Server 2003的基本防火墙同时具备“静态数据包筛选”和“动态数据包筛选”的双重功能： 静态数据包筛选 通过“入站筛选器”和“出站筛选器”按钮来设置 动态数据包筛选 即所谓的“状态数据包检测（Stateful Packet Inspection，SPI）”，它不接受从Internet主动传送进来的数据包，只接受响应内部计算机请求的数据包。 10.4.2 端口映射 由于内部网络中的服务器使用的是private IP，因此在默认情况下不允许外部计算机访问内部的计算机，但我们可以通过TCP/UDP端口映射的功能解决这一问题。它的原理就是让NAT在接收到外部计算机的数据后，通过数据包中包含的端口号来决定此数据应该转发到内网中的那一台计算机上。 设置方法： 按照上面两张图设置完成后，当外部传送给NAT的数据包，如果是80端口的TCP数据包，则NAT会将其转送IP地址为192.168.0.1的服务器，并且有端口为80的软件来处理。 注：此功能适合于对外接口采用固定IP的结构。 10.4.3 地址映射 对某些应用程序而言，只开放部分端口可能不能保证它的正常工作，这是我们可以采用地址映射的方式来解决这个问题。它的工作原理是将一个public IP映射到内网的某台计算机，以后所有从外部