下载文档原格式
什么是NA TNA T——网络地址转换,是通过将专用网络地址(如企业内部网Intra net)转换为公用地址(如互联网Inte rnet),从而对外隐藏了内部管理的I P 地址。
这样,通过在内部使用非注册的IP地址,并将它们转换为一小部分外部注册的IP 地址,从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间(即IPV4)。
同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
NAT功能通常被集成到路由器、防火墙、单独的NAT设备中,当然,现在比较流行的操作系统或其他软件(主要是代理软件,如WINROUTE),大多也有着NAT的功能。
NAT设备(或软件)维护一个状态表,用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。
每个包在NAT设备(或软件)中都被翻译成正确的IP地址发往下一级。
与普通路由器不同的是,NAT设备实际上对包头进行修改,将内部网络的源地址变为NAT设备自己的外部网络地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。
N AT分为三种类型:静态NAT(stati cNAT)、NAT池(pooledNAT)和端口NAT(PA T)。
其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络,端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
废话说了不少,让我们转入正题,看一下如何利用NAT保护内部网络。
使用网络地址转换NAT,使得外部网络对内部网络的不可视,从而降低了外部网络对内部网络攻击的风险性。
在我们将内部网络的服务使用端口映射到NAT设备(或是软件)上时,NAT设备看起来就像一样对外提供服务器一台服务器一样(如图一)。
1.端口映射
端口映射可以实现从Internet 到局域网内部机器的特定端口服务的访问,这非常适合于内网服务器对外提供服务的场合,使用端口映射的另外一个好处是,可以保护服务器的安全。
规则设置
案例:映射客户机IP192.168.0.35,需要映射TCP4698端口,配置如下图
对外IP:当多线接入时,如果需要针对某一个广域网接口IP映射的话,可以直接填写此广域网IP,或填写接口名,如:eth1、eth2,为空表示所有对外IP。
2.DMZ主机设置
收费版支持最多8条外线,在W AN口支持扩展IP,和免费版在设置上就有所不同,下面分别介绍
免费版DMZ主机设置
在某些特殊情况下, 需要让局域网中的一台计算机完全暴露给Internet, 以实现双向通信, 此时可以把该计算机设置为DMZ(非军事区) 主机. 设置DMZ 主机后, 与该IP 相关的防火墙设置将不起作用, 且端口映射功能自动失效.。
设置如下图192.168.0.252,192.168.0.253两台服务器
收费版DMZ主机设置
在某些特殊情况下, 需要让局域网中的某台计算机完全暴露给Internet, 以实现双向通信, 此时可以把该计算机设置为DMZ(非军事区) 主机. 如果您有多个广域网IP, 可以分别为每个IP 指定相应的DMZ 主机。
首先启动DMZ功能,新增DMZ主机,如下图
DMZ IP 局域网IP地址
对外IP WAN口IP,或者WAN口扩展IP,为空表示所有对外IP
设置完毕,提交修改,如果还有更多的DMZ主机需要设置,继续新增即可。
无线路由器NAT设置NAT (Network Address Tran slation ,网络地址转换)是1994 年提出的。
当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
简单的说,NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将内部地址替换成公用地址,从而在外部公网(in ternet)上正常使用,NAT可以使多台计算机共享In ter net 连接,这一功能很好地解决了公共IP地址紧缺的问题。
通过这种方法,您可以只申请一个合法IP地址,就把整个局域网中的计算机接入In ternet 中。
这时,NAT屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的,而内部网计算机用户通常不会意识到NAT的存在。
无线路由器的NAT设置,一般用于处于内网的主机需要打开某些端口供外网电脑访问从而提供服务,比如说网站服务器。
我以JCGJHR-N926R这款无线路由器为例跟大家分享分享NAT设置。
通常情况下,路由器都有防火墙功能,互联网用户只能访问到你的路由器WAN 口(接ADSL线口),而访问不到内部服务器。
要想让外面用户访问到局域网内的服务器,那么你就要在路由器上做一个转发设置,也就是端口映射设置,让用户的请求到了路由器后,并能够到达游戏服务器或WEB服务器。
这就是端口映射/端口转发。
有时也称为虚拟服务。
下面有三种NAT 的设置方案。
第一步:设置服务器端口首先把服务器要开放的端口设置好,并把服务器的防火墙关闭,否则外网不能通过服务器。
下面可以选择三种方案中的一种进行设置使用。
第二步:路由器的设置第一方案:端口转发 连接好路由器,进入路由器的设置界面 点 击“高级设置”一一点击“ NAT ,出现如下界面网搭瞰査无撲祓齐 MAT訪火煜 QOS| 幡口柚|DMZ1UPnPJ肆理■“IP 地址”这里填入您给服务器指定的 IP 地址(这个IP 必须的固定的,否则话,您的端口转发就不能成功)。
端口映射、DMZ、虚拟服务器配置
端口映射又叫虚拟服务器,当内网使用私有地址时,比如10.x.x.x/172.16.x.x/192.168.x.x,外部网络无法直接访问内网中的服务器。
通过在路由器上做端口映射,配置内网服务器的IP与端口以后,外部网络便可以访问内网服务器,从而使用内网提供的服务
端口映射设置:
高级选项》端口映射》添加规则(保证内部端口与您想要提供服务的端口一致)》保存
端口映射设置举例:
以映射远程桌面端口3389为例。
1.不使用:打勾表示不使用本条规则,规则并不被删除。
2.外部端口:指定一个对外开放的端口,映射到内部服务器开放的端口上。
如果不指定,则外部端口与内部端口相同。
填写范围1-65535。
3.内部IP:内网的服务器的IP地址。
4.内部端口:内网服务器提供的服务所使用的端口。
请参考“常用软件端口协议对照表”。
5.协议:服务器提供的服务所使用的协议,如不清楚是哪种协议,可以选择“TCP/UDP”。
详细请参见:“常见的端口和服务对照表”
6.映射线路:如果是双WAN 接入,在这里选择外网用户通过哪条线路进来访问内网的服务器,系统默认选择“任意”。
若外网用户从WAN1 访问,就用WAN1 口的IP地址,否则,用WAN2口的IP地址。
NAT和DMZ的介绍NAT(Network Address Translation)和DMZ(Demilitarized Zone)是两种常见的网络安全机制,用于保护网络安全和提供对外服务。
下面将对NAT和DMZ进行详细介绍。
1. NAT(Network Address Translation)NAT是一种将私有IP地址转换为公有IP地址的网络安全技术。
它主要有两个作用:隐藏内部网络的真实IP地址和允许多个内部设备共享同一个公有IP地址。
在一个网络中,由于IPv4地址的有限性,私有IP地址范围一般用于内部局域网中,而公有IP地址用于与外部网络通信。
当内部设备需要与外部网络进行通信时,NAT会将内部设备的私有IP地址转换为公有IP地址,并在通信过程中维护地址转换表。
NAT的工作原理如下:-内部设备发送数据包到目标地址时,数据包首先将经过NAT设备。
-NAT设备检查数据包的源IP地址,如果是一个私有IP地址,就将其转换为一个公有IP地址,并建立一条地址转换表记录。
-NAT设备将转换后的数据包发送到外部网络。
-收到外部网络返回的数据包时,NAT设备会根据地址转换表,将数据包的目标IP地址还原为内部设备的私有IP地址。
NAT的主要优点和用途如下:-提高网络安全性:通过隐藏内部网络的真实IP地址,使外部网络无法直接访问内部网络,减少了潜在的网络安全威胁。
-解决IPv4地址不足的问题:由于IP地址资源有限,NAT可以将多个内部设备共享一个公有IP地址,有效减少了IP地址的消耗。
-简化网络配置:NAT可以在内部网络和外部网络之间起到隔离作用,简化了网络配置和管理的复杂性。
2. DMZ(Demilitarized Zone)DMZ是一种网络安全架构,用于提供对外服务并保护内部网络的安全。
DMZ区域是位于内部网络和外部网络之间的一块网络子网或区域,用于放置需要对外提供服务的服务器和应用。
DMZ的工作原理如下:-内部网络和外部网络之间的流量必须经过DMZ区域。
IP地址的端口映射和转发技术的方式网络通信中,IP地址的端口映射和转发技术起着重要的作用,它能够将外部网络请求映射到内部网络的特定设备或应用程序上,实现网络服务的访问和数据传输。
本文将介绍IP地址的端口映射和转发技术的几种常见方式,包括静态映射、动态映射和端口转发技术。
1. 静态映射静态映射是一种最常见的端口映射方式,它通过在网络设备上配置静态映射规则,将外部IP地址和端口映射到内部网络的特定设备或应用程序上。
静态映射一般由网络管理员手动配置,并且一旦配置完成后,映射规则不会发生改变。
这种方式适用于需要长期稳定映射的场景,比如网站服务器或者远程访问设备。
2. 动态映射动态映射是一种根据实际需求进行临时映射的方式,它采用一种动态交换映射表的方法,根据外部请求的源IP地址和端口,临时建立映射规则将请求转发到内部网络的特定设备或应用程序上。
动态映射在使用过程中,映射表中的映射规则会不断变化,适用于需要频繁外部访问的应用,比如P2P文件共享、游戏等。
3. 端口转发技术端口转发技术是一种将外部请求通过中间设备转发到内部网络的方法,常见的中间设备包括路由器、防火墙等。
端口转发技术通过在中间设备上配置转发规则,将外部请求的源IP地址和端口转发到内部网络的特定设备或应用程序上。
相比于映射技术,端口转发技术更加灵活,可以根据实际需求进行灵活配置和调整。
总结:IP地址的端口映射和转发技术是实现网络服务访问和数据传输的重要手段。
静态映射适用于长期稳定映射的场景,动态映射适用于临时映射需求频繁的场景,而端口转发技术则更加灵活,适用于中间设备转发外部请求到内部网络的场景。
网络管理员应根据实际需求选择合适的技术方式,并在配置和管理过程中注意保证网络安全性和稳定性,以提供良好的网络服务和用户体验。
(注:以上内容仅供参考,具体内容可以根据实际需求进行补充和修改)。
一、概念什么是端口映射在网络技术中,端口(Port)有好几种意思。
集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、Serial端口等。
我们这里所说的端口,不是计算机硬件的I/O端口,而是软件形式上的概念。
服务器可以向外提供多种服务,比如,一台服务器可以同时是W EB服务器,也可以是FT P服务器,同时,它也可以是邮件服务器。
为什么一台服务器可以同时提供那么多的服务呢?其中一个很主要的方面,就是各种服务采用不同的端口分别提供不同的服务,比如:WEB采用80端口,FTP采用21端口等。
这样,通过不同端口,计算机与外界进行互不干扰的通信。
我们这里所指的端口不是指物理意义上的端口,而是特指TC P/IP协议中的端口,是逻辑意义上的端口。
端口映射:内网的一台电脑要上因特网,就需要端口映射。
端口映射分为动态和静态.动态端口映射:内网中的一台电脑要访问新浪网,会向NAT网关发送数据包,包头中包括对方(就是新浪网)IP、端口和本机I P、端口,NA T网关会把本机IP、端口替换成自己的公网I P、一个未使用的端口,并且会记下这个映射关系,为以后转发数据包使用。
然后再把数据发给新浪网,新浪网收到数据后做出反应,发送数据到N A T网关的那个未使用的端口,然后NAT网关将数据转发给内网中的那台电脑,实现内网和公网的通讯.当连接关闭时,NA T网关会释放分配给这条连接的端口,以便以后的连接可以继续使用。
动态端口映射其实也就是NA T网关的工作方式。
静态端口映射: 就是在NAT 网关上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个I和端口,不管有没有连接,这个映射关系都会一直存在。
什么叫DMZ区DMZ区有什么作用应该怎样构建DMZDMZ区是指一个在内部网络和外部网络之间的隔离区域,全称为“Demilitarized Zone”,是计算机网络中的一个重要概念,用于增加网络的安全性。
DMZ区可以用于部署公共服务器、防火墙等网络设备,以保护内部网络免受来自外部网络的攻击。
DMZ区的作用有以下几点:1.安全隔离:DMZ区可以将内部网络与外部网络进行物理、逻辑上的隔离,防止来自外部网络的攻击对内部网络造成损害。
2. 公共服务器部署:DMZ区可以用于部署公共服务器,如Web服务器、邮件服务器等,使其能够提供对外的服务,而不直接连接到内部网络,进一步增加了网络的安全性。
3.防火墙配置:DMZ区通常会配置一个或多个防火墙,用于控制来自外部网络的流量,并根据规则允许或拒绝特定的请求。
防火墙可以限制DMZ区域内外部网络之间的通信,从而减少攻击的风险。
4.转发和过滤:DMZ区可以通过网络地址转换(NAT)和端口转发等技术,将来自外部网络的请求转发到DMZ区内的服务器,从而实现公共服务器的访问。
同时,也可以对内部网络与DMZ区之间的流量进行过滤,以防止恶意流量进入内部网络。
构建DMZ区的过程需要遵循以下几个步骤:1. 确定网络需求:首先,需要明确网络的需求,确定需要部署哪些公共服务器,以及访问这些服务器的方式(如Web访问、邮件访问等)。
2.划分子网:根据网络需求,将DMZ区划分为一个或多个子网,每个子网可以分配一个独立的IP地址段。
3. 部署服务器:根据需求,在DMZ区内部署相应的服务器,如Web服务器、邮件服务器等。
这些服务器应该配置好安全措施,如及时更新补丁、强密码、限制访问等。
4.防火墙配置:配置防火墙以保护DMZ区和内部网络。
防火墙应该根据具体情况,设置适当的访问控制规则,允许或拒绝特定的网络流量。
5.监控和更新:定期监控DMZ区的安全性和服务器的运行情况,及时更新防火墙规则、服务器软件等,保持DMZ区的安全性与稳定性。
NAT、PAT、DMZ、端⼝映射、端⼝转发、UPNP前⾔:⼀般运营商宽带分为“运营商公⽹宽带”和“运营商内⽹宽带”,企业或者家庭中⽤公⽹宽带可以实现⼀些对外的服务器环境,但因为全球⽹络设备的增多,ipv4⽆法给所有⽹络设备分配地址,这时候便出现了“运营商内⽹宽带”,通过NAT和内⽹(局域⽹)、公⽹的⽅法解决了ipv4地址紧张问题,⽬前家庭宽带⼀般都是内⽹宽带(电信、联通个⼈可以申请公⽹IP,移动基本⽆法申请成功),也正是因为“运营商内⽹宽带”,所以⼀般家⽤宽带现在均⽆法实现在家建设对外服务器,不过可以通过内⽹穿透等技术实现,本⽂不做过多阐述。
本⽂中的DMZ、端⼝映射、端⼝转发、UPNP只有在“运营商公⽹宽带”中⽤来做对外web服务器或远程跳板机等才有意义,所以⽤它们之前,你得有个公⽹宽带。
这⾥提供⼀种如何查看⾃⼰是否有公⽹IP的⽅法:打开百度输⼊“IP”进⾏搜索,会跳出来⼀个IP地址,然后你打开路由器设置界⾯,查看WAN的IP地址,如果这两个IP地址⼀模⼀样,那么恭喜你,你拥有⼀个公⽹IP。
如果不⼀样就不是公⽹IP。
下⾯是简单画的俩张运营商宽带⽹络图:对⽐这俩张图可以发现内⽹宽带⽐公⽹宽带在运营商那边多了⼀个NAT,相当于保留地址实际就是运营商那边的⼀个局域⽹IP,当然图⽚只是⽰意,运营商那边可能不⽌⼀个NAT(某动的宽带就有⼤量这种⾏为,⼀层⼀层的NAT,这也是为什么某动宽带有些⽹站打不开的原因之⼀),⽽这也是为什么内⽹宽带⽆法做对外服务器的原因,左图公⽹宽带只要设置路由器中的NAT(静态端⼝映射)内⽹IP+内⽹端⼝和公⽹IP+端⼝对应就能实现内⽹主机与公⽹主机的双向访问,⽽右图中尽管路由设置了NAT(静态端⼝映射),此时也只是实现了保留地址与局域⽹的对应关系,在运营商部分的NAT是PAT(动态端⼝映射),即⼀个公⽹IP,通过多个不同端⼝来映射内⽹设备,当没有连接时,映射将会取消,再次连接时再⾃动分配⼀个映射端⼝,且个⼈⽆法进⾏设置对应关系,所以内⽹IP+端⼝映射到最后的公⽹IP+未知端⼝上,此时局域⽹中的主机只能访问公⽹中其他主机,⽽公⽹中其他主机因为找不到局域⽹中映射的公⽹具体端⼝,不能访问局域⽹主机,针对这种情况,我个⼈有个想法,就是通过扫描最后的公⽹IP开放端⼝,然后⼀个端⼝⼀个端⼝进⾏连接测试,最终应该会找到映射的那个端⼝,不过这种⽅法不够现实。
“高级配置—NAT和DMZ配置”页面配置手册(ReOS2008版本)文档编号:152浏览:1009评分:4关键字:NAT和DMZ配置高级配置—NAT和DMZ配置本节主要讲述高级配置—>NAT和DMZ配置的配置方法。
NA T功能介绍NA T简介NA T(网络地址转换)是一种将一个IP地址域(如Intranet)映射到另一个IP地址域(如Internet)的技术。
NA T的出现是为了解决IP日益短缺的问题,NAT允许专用网络在内部使用任意范围的IP地址,而对于公用的Internet则表现为有限的公网IP地址范围。
由于内部网络能有效地与外界隔离开,所以NA T也可以对网络的安全性提供一些保证。
NA T地址空间为了正确进行NA T操作,任何NA T设备都必须维护两个地址空间:一个是局域网主机在内部使用的私有IP地址,设备中用“内部IP地址”表示;另一个是用于外部的公网IP地址,设备中用“外部IP地址”表示。
三种NAT类型设备提供三种NA T类型:“EasyIP”、“One2One”及“Passthrough”。
EasyIP:即网络地址端口转换,多个内部IP地址映射到同一个外部IP地址。
它可为每个内部连接动态分配一个与单一外部地址有关的端口,并维护这些内部连接到外部端口的映射,从而实现多个用户同时使用一个公网地址与外部Internet进行通信。
One2One:即静态地址转换,内部IP地址与外部IP地址进行一对一的映射。
此方式下,端口号不会改变。
它通常用来配置外网访问内网的服务器:内网服务器依旧使用私有地址,对外提供为其分配的公网IP地址给外部网络用户访问。
Passthrough:对指定的IP地址不做NA T,直接按路由方式转发,它经常用于一些会受NAT 影响制约的特别应用。
例如,为保证IP语音和视频会议等应用的正常运行,可在内网中专门划分一个语音视频区,该区的主机均采用“Passthrough”方式。
无线路由器——NAT设置
NAT(Network Address Translation,网络地址转换)是1994年提出的。
当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
简单的说,NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将内部地址替换成公用地址,从而在外部公网(internet)上正常使用,NAT可以使多台计算机共享Internet 连接,这一功能很好地解决了公共IP地址紧缺的问题。
通过这种方法,您可以只申请一个合法IP地址,就把整个局域网中的计算机接入Internet中。
这时,NAT屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的,而内部网计算机用户通常不会意识到NAT的存在。
无线路由器的NAT设置,一般用于处于内网的主机需要打开某些端口供外网电脑访问从而提供服务,比如说网站服务器。
我以JCG JHR-N926R这款无线路由器为例跟大家分享分享NAT设置。
通常情况下,路由器都有防火墙功能,互联网用户只能访问到你的路由器WAN口(接ADSL线口),而访问不到内部服务器。
要想让外面用户访问到局域网内的服务器,那么你就要在路由器上做一个转发设置,也就是端口映射设置,让用户的请求到了路由器后,并能够到达游戏服务器或WEB服务器。
这就是端口映射/端口转发。
有时也称
为虚拟服务。
下面有三种NAT的设置方案。
第一步:设置服务器端口首先把服务器要开放的端口设置好,并把服务器的防火墙关闭,否则外网不能通过服务器。
下面可以选择三种方案中的一种进行设置使用。
第二步:路由器的设置
第一方案:端口转发连接好路由器,进入路由器的设置界面——点击“高级设置”——点击“NAT”,出现如下界面
:
“IP地址”这里填入您给服务器指定的IP地址(这个IP必须的固定的,否则IP地址改变的话,您的端口转发就不能成功)。
“内部端口”这里填入服务器设置好的端口号,也就是局域网访问服务器时要使用的端口号。
这里的端口号必须和服务器要开放的端口号一致。
“外部端口”这里填入外网访问服务器时使用的端口号,这里的端口号可以自己设定。
“服务备注”这里主要是为了方便您知道这个开放端口的意思,随便自己填写,只要自己明白就好。
这些都填写完成之后,在后面的“启用”那里打上钩,最后点击“应用”按钮,那么整个端口转发就设置完成了。
第二方案:端口映射连接好路由器,进入路由器的设置界面——点
击“高级设置”——点击“NAT”——点击“端口映射”,出现如下界面:
“IP地址”这里填入您给服务器指定的IP地址(这个IP必须的固定的,否则IP地址改变的话,您的端口转发就不能成功)。
“端口范围”这里填入要开放的服务器的端口范围,也就是局域网访问服务器时要使用的端口号。
这里的端口范围必须包含服务器要开放的端口号。
“服务备注”这里主要是为了方便您知道这个开放端口的意思,随便自己填写,只要自己明白就好。
这些都填写完成之后,在后面的“启用”那里打上钩,最后点击“应用”按钮,那么整个端口映射就设置完成了。
第三方案:DMZ 连接好路由器,进入路由器的设置界面——点击“高级设置”——点击“NAT”——点击“DMZ”,出现如下界面:
“非军事区(DMZ)”这里点击下拉栏,选择“DMZ”“DMZ主机IP地址”这里填入服务器的IP地址。
这里填写完成之后,点击“应用”就设置完成了。
这里的DMZ是把服务器的所有端口都开放出来,也就是说从广域网可以访问到服务器的所有端口。
端口转发、端口映射、DMZ之间的区别:
相同:端口转发和端口映射、DMZ所达到的效果都是一样的。
都是把内部的服务器开放出来,使得能从广域网访问到服务器。
区别:端口转发设置的是一个端口,而且它的内部访问端口和外部访问端口可以不一样。
端口映射设置的是一个端口范围,不管是从局域网内访问还是从广域网访问,访问端口都是一样的。
DMZ:是把所有的端口都开放出来,使得从广域网可以访问到服务器的所有端口。
也就是不在对服务器进行防护。
以上就是NAT的三种设置方法以及他们的异同点。
