第九章 访问Internet的途径.docVIP

第九章 访问 Internet 的途径 135第九章 访问 Internet 的途径 内容摘要 Internet访问几乎已成为每个企业都需要的一种信息交流的方式。那么如何才能让企 业内部网络的用户安全、可靠地访问 Internet 呢?在这一章当中,我们主要就如何访问 Internet 的问题详细讨论一下。学习完这一章的内容后,您可以对如下几方面的内容有所 了解: 访问 Internet 的几种途径以及它们之间的区别。 什么是 NAT , NAT 的工作原理是什么 如何在 Windows 2000上安装和配置 NAT 服务 考点提示 这一章考试的知识点并不多, 主要就是考查 NAT 过滤数据包的内容也需要了解。 9.1 WAN 向另一个局 用以在你的网络 内平衡网络流量。 用以将你的网络连接到远程办公 室或者 Internet 。 上, 就使你网络上的所有的用户都能 够共享到 Internet Internet 的连接。 Windows 2000服务提供了内置的路由服务, 可 ISP 的路由连接,把一个机构连接到 Internet 上, 只有在数据包要发送到 Internet , 或者从 Internet 接收信息 Internet ,利用路由器是最容易的方法,但是这种方法不能对未 经授权而通过 的访问提供安全防范。此外,你必须保证针对驻留在你的网络中的每 一台主机,都有公共的 IP 地址。 9.2 通过防火墙和代理服务器连接 Internet 防火墙是硬件和软件的一种组合, 它可以提供一个安全的系统, 通常用来防止未经授权 而从外部访问一个内部网络或者 Intranet 。你可以利用防火墙实现与 Internet 的安全连接, 用以防止对网络未经授权的访问。 可以对防火墙进行配置, 通过强加一套规则, 用于控制允许哪些信息包从外部网络进入 内部网络, 从而防止对你的内部网络未经授权的访问。 防火墙可以利用硬件, 软件或者二者 136 MCSE2000 系列 ----Windows2000网络实现 的组合实现。 许多防火墙还包括报告功能, 用于在发现有违背安全规则的企图时向管理员发 出警报。 你可以通过配置防火墙, 指定进入你的网络, 和从你的网络发出的数据流的类型。 防火 墙把符合这些规范 (或者叫做安全性规则 的信息包发送到适当的主机。 对不符合安全规则 的信息包,防火墙将其丢弃。你可以建立一套简单规则,用于有选择地转发从 Internet 进来 的信息包。例如,你可以创建一个规则,把到达传输控制协议端口 80(是超文本传输协议 所使用的默认端口的信息包转发到防火墙里面的一个 Web 服务器上,而丢弃所有其它的 信息包。这就使得防火墙外面的用户只能查看该 Web 服务器上的 Web 页,而阻止了对你的 内部网络任何其它类型的访问。 典型的代理软件有 Microsoft Proxy Server 2.0、 Internet Security and Accelerator 2000。 9.3 通过 NAT 连接到 Internet 9.3.1 NAT简介 Microsoft Windows 2000 Network Address Translation(NAT 允许小网络(如小办公室 或家庭办公室网络上的计算机,共享只有一个公用 IP 地址的单个 Internet 连接。安装了 NAT 的计算机, 可以充当网络地址转换器、 简化的 DHCP 服务器、 DNS 代理和 WINS 代理, 更重要的是, NAT 允许多台计算机共享一个或几个公共注册的 IP 地址,这就有助于保留公 用地址空间。 NAT 包括下列组件: Translation component 启用了 NAT 的 Windows 2000路由器 (以后称为 NAT 计算机 , 可充当网络地址转换器,转换在专用网络和 Internet 之间转发的数据包的 IP 地址和 TCP/IP端口号。 Addressing component NAT计算机为家庭网络上其他计算机提供了 IP 配置信息。编 址组件是简化的 DHCP 服务器,它分配 IP 地址、子网掩码、默认网关和 DNS 服务器的 IP 地址。最好将网络上的计算机配置为 DHCP 客户机,以便能自动接收 IP 配置。 Name resolution componentNAT 计算机能成为网络上其他计算机的 DNS 服务器。一 旦 NAT 计算机接收了名称解析, 它就把名称解析要求发送到以 Internet 为基础而配置的 DNS 服务器上,并返回对客户计算机的响应。 9.3.2 NAT的工作原理 网络地址转换是在 RFC1631中定义的 IP 路由器,它能在转发数据包的同时,转换数据 包的 IP 地址和 TCP