NAT与代理服务器.ppt

第12章NAT与代理服务器 本章学习导航 本章学习导航 本章学习要点 1 NAT技术 2 代理服务器技术 3 WindowsServer2003内置ICS 4 WinRouteFirewall网关 5 ISAServer企业级Internet接入建议课时 4课时 12 1NAT与代理服务概述 将内网连入Internet的5种方式通过网络路由器将内网连入Internet通过网络防火墙将内网连入Internet通过代理服务器将内网连入Internet通过NAT网关将连入Internet通过VPN 虚拟专用网 让内网通过Internet进行互联 将内网连入Internet 12 1NAT与代理服务概述 NAT工作原理NAT工作在网络层和传输层对经过的数据包进行地址转换后再转发NAT的网络地址转换是双向的内网到外网的NAT应用共享IP地址和网络连接 让内网共用一个公网地址接入Internet保护网络安全 通过隐藏内网IP地址 使黑客无法直接攻击内网 NAT技术 12 1NAT与代理服务概述 NAT工作原理 NAT技术 12 1NAT与代理服务概述 端口映射外网到内网的NAT将公网IP地址和端口号映射到内网服务器的私有IP地址和端口号NAT解决方案硬件实现方案 NAT设备软件实现方案 NAT网关或NAT服务器 NAT技术 12 1NAT与代理服务概述 代理服务器工作原理工作在应用层两个网络之间的数据传输全部由代理服务器转发和控制多数代理服务器只支持部分应用程序 代理服务器技术 12 1NAT与代理服务概述 反向代理为外网用户访问内网提供代理服务通常只用来发布内网Web服务器充当Web缓冲服务器 以降低实际的Web服务器负载 代理服务器技术 12 1NAT与代理服务概述 代理服务器主要功能共享网络连接资源 支持直接从缓存获取信息充当网络防火墙 可将内网的结构和状态对外屏蔽起来监测和控制网络访问代理服务器解决方案以WinGate SyGate Winroute等产品为代表的代理服务器软件ISAServer Squid支持反向代理服务 代理服务器技术 12 1NAT与代理服务概述 共享上网配置 内网接入Internet的网络配置 12 1NAT与代理服务概述 内网服务器发布网络配置 内网接入Internet的网络配置 12 2WindowsServer2003内置连接共享 设置ICS主机 服务器端 自动启动Windows防火墙 ICS服务连接内网的网卡将自动获得新的静态IP地址192 168 0 1某些协议 服务 接口和路由都将自动配置并启用特定DHCP功能 基于WindowsServer2003内置ICS实现共享上网 12 2WindowsServer2003内置连接共享 自动配置ICS客户机 客户端 将要共享上网的计算机网卡配置为自动获取IP地址保证ICS主机必须处于工作状态或必须先于内网其他计算机而启动手动配置ICS客户机 客户端 将其IP地址设置为192 168 0 2至192 168 0 254之间的地址将默认网关和DNS服务器都设置为192 168 0 1 基于WindowsServer2003内置ICS实现共享上网 12 2WindowsServer2003内置连接共享 设置预置的服务类型或定义端口映射 基于WindowsServer2003内置ICS发布内网服务器 12 2WindowsServer2003内置连接共享 测试内网服务器发布从外部计算机上访问已发布的内网服务进行测试 基于WindowsServer2003内置ICS发布内网服务器 12 3通过WinRouteFirewall网关接入Internet WinRouteFirewall的主要特性可运行于Windows2000 XP 2003平台支持拨号连接 ISDN DSL 线缆调制解调器 T1专线 网卡和直接PC连接集成目前最好的NAT实现技术 内网能通过一个IP连接到Internet集成的防火墙保护所有的内部网络 包括WinRoute服务器本身所有的安全设置通过所谓的流量策略规则管理 可监控所有HTTP和FTP通信 阻止那些不符合给定条件的对象 安装WinRouteFirewall 12 3通过WinRouteFirewall网关接入Internet 配置WinRoute网络WinRoute服务器内网接口应分配静态IP地址 不要设置默认网关外网接口应根据ISP的要求设置IP地址 默认网关和DNS服务器 安装WinRouteFirewall 12 3通过WinRouteFirewall网关接入Internet 安装WinRoute软件检查并排除底层驱动冲突问题 确认没有使用同类技术检查并排除端口冲突问题检查反病毒程序获得WinRouteFirewall软件运行WinRouteFirewall软件开始安装 安装WinRouteFirewall 12 3通过WinRouteFirewall网关接入Internet 运行网络规则向导根据用户提供的信息自动生成多个流量策略规则 用于保护内网到Internet连接的安全 WinRouteFirewall基本配置 12 3通过WinRouteFirewall网关接入Internet 运行网络规则向导设置出站策略设置入站策略 WinRouteFirewall基本配置 12 3通过WinRouteFirewall网关接入Internet WinRoute组件WinRouteFirewallEngine WinRoute引擎WinRouteEngineMonitor WinRoute监控程序KerioAdministrationConsole Kerio管理控制台 WinRouteFirewall基本配置 12 3通过WinRouteFirewall网关接入Internet 设置网络接口 WinRouteFirewall基本配置 12 3通过WinRouteFirewall网关接入Internet 设置DHCP服务 WinRouteFirewall基本配置 12 3通过WinRouteFirewall网关接入Internet 设置DNS转发器内置DNS模块 可将DNS查询转发到Internet上的某个DNS服务器 WinRouteFirewall基本配置 12 3通过WinRouteFirewall网关接入Internet 设置WinRoute的流量策略流量策略可以控制所有传入传出的通信 WinRouteFirewall基本配置 12 3通过WinRouteFirewall网关接入Internet 设置NAT规则设置规则的 源 目的地 和 服务 项 通过NAT方式共享上网 12 3通过WinRouteFirewall网关接入Internet 设置NAT规则设置规则的 操作 和 转换 项要启用源NAT而不能启用目标NAT 通过NAT方式共享上网 NAT规则必须置于那些拒绝内网用户访问Internet的规则的前面 12 3通过WinRouteFirewall网关接入Internet 配置代理服务器WinRoute代理服务器可用于HTTP HTTPS和FTP协议WinRoute代理服务器能够将查询转发到所谓的父代理服务器 通过代理服务器方式共享上网 12 3通过WinRouteFirewall网关接入Internet 设置端口映射规则新版本支持从内网中访问被映射的服务要启用目标NAT而不能启用源NAT 通过端口映射发布内网服务器 如果有规则限制对被映射服务的访问 这些规则必须置于映射规则的前面 12 4通过ISAServer实现企业级Internet接入 ISAServer简介ISAServer是高性能 高安全性的防火墙软件Windows网络操作系统集成 具有很强的伸缩性和扩展性适合不同规模和结构的网络主要部署类型 1 边缘防火墙 2 三向外围网络 3 前端防火墙 4 后端防火墙 部署ISAServer服务器 12 4通过ISAServer实现企业级Internet接入 安装ISAServer防火墙以最为典型的配置ISA边缘防火墙 双宿堡垒主机 为例以标准版为例示范安装过程 部署ISAServer服务器 12 4通过ISAServer实现企业级Internet接入 安装ISAServer防火墙 部署ISAServer服务器 12 4通过ISAServer实现企业级Internet接入 安装ISAServer防火墙 部署ISAServer服务器 12 4通过ISAServer实现企业级Internet接入 安装ISAServer防火墙 部署ISAServer服务器 12 4通过ISAServer实现企业级Internet接入 ISA服务器管理控制台 部署ISAServer服务器 12 4通过ISAServer实现企业级Internet接入 ISAServer客户端类型SecureNAT客户防火墙客户Web代理客户 部署ISAServer客户端 12 4通过ISAServer实现企业级Internet接入 配置ISA服务器使其接受防火墙客户请求 部署ISAServer客户端 12 4通过ISAServer实现企业级Internet接入 ISAServer策略规则ISAServer通过策略和规则来实现安全控制策略可看作是一些规则的集合 由规则来具体定义安全控制内容ISAServer通过防火墙策略来履行安全网关职能防火墙策略有两类规则 1 访问规则 2 服务器发布规则 ISAServer策略规则 12 4通过ISAServer实现企业级Internet接入 ISAServer规则元素与工具箱元素是规则的基本组成部分 即条件构成要素工具箱来帮助管理员定义和管理规则元素 网络 元素内置以下地址 1 内部 受信任和被保护的网络 2 外部 不受信任的网络 3 本地主机 代表防火墙主机本身 4 VPN客户端 5 被隔离的VPN客户端 ISAServer策略规则 12 4通过ISAServer实现企业级Internet接入 创建访问Internet的上网浏览规则通过防火墙策略访问规则来控制内部用户的对外访问要让内部用户访问Internet 必须创建相应的访问规则 设置ISAServer访问规则实现共享上网 12 4通过ISAServer实现企业级Internet接入 创建访问Internet的上网浏览规则设置规则动作设置规则要应用的协议 设置ISAServer访问规则实现共享上网 12 4通过ISAServer实现企业级Internet接入 创建访问Internet的上网浏览规则设置规则应用的源和目标 设置ISAServer访问规则实现共享上网 12 4通过ISAServer实现企业级Internet接入 创建访问Internet的上网浏览规则设置规则应用的用户集查看新创建的规则 设置ISAServer访问规则实现共享上网 12 4通过ISAServer实现企业级Internet接入 调整和修改规则设置规则属性修改规则应用的内容类型 设置ISAServer访问规则实现共享上网 12 4通过ISAServer实现企业级Internet接入 调整和修改规则设置规则属性修改规则应用的内容类型 设置ISAServer访问规则实现共享上网 12 4通过ISAServer实现企业级Internet接入 发布内网服务器ISA通过服务器发布规则来控制外部用户访问内网发布规则包括Web发布规则 服务器发布规则和邮件服务器发布规则等 设置ISA服务器发布规则发布内网服务器 12 4通过ISAServer实现企业级Internet接入 通过ISAServer发布Web服务器通过配置Web发布规则向外部用户提供Web发布服务利用ISAServer的Web缓存特性来提高访问速度 设置ISA服务器发布规则发布内网服务器 12 4通过ISAServer实现企业级Internet接入 通过ISAServer发布Web服务器 设置ISA服务器发布规则发布内网服务器 12 4通过ISAServer实现企业级Internet接入 通过ISAServer发布Web服务器 设置ISA服务器发布规则发布内网服务器 12 4通过ISAServer实现企业级Internet接入 通过ISAServer发布Web服务器 设置ISA服务器发布规则发布内网服务器 12 4通过ISAServer实现企业级Internet接入 通过ISAServer发布Web服务器 设置ISA服务器发布规则发布内网服务器 12 4通过ISAServer实现企业级Internet接入 通过ISAServer发布非Web服务器实际上是一种端口映射技术以发布FTP服务器为例 设置ISA服务器发布规则发布内网服务器 12 4通过ISAServer实现企业级Internet接入 通过ISAServer发布非Web服务器 设置ISA服务器发布规则发布内网服务器 12 4通过ISAServer实现企业级Internet接入 启用缓存并设置缓存大小实际上是一种端口映射技术以发布FTP服务器为例 通过缓存加速Web访问 12 4通过ISAServer实现企业级Internet接入 配置缓存规则 通过缓存加速Web访问