配置Internet访问的几种方法及分析比较.doc

配置Internet访问的几种方法及分析比较 中国人民银行郑州培训学院信息部 潘汉杰 02-3-5 下午 01:55:19 对于不同的网络规模和要求，可以用不同的方法配置Internet访问，以达到节约资源、方便管理、提高网络的安全性和运行效率等。目前配置Internet访问常用的几种方法主要有：（1）通过路由器连接到Internet上；（2）用代理服务器连接到Internet上；（3）利用NAT（Network Address Translation）网络地址翻译功能配置Internet访问；（4）小型或家庭办公网络可以利用 Internet 连接共享（Internet Connection Sharing）功能，共享一个到Internet的连接。 一、通过路由器连接到Internet上 利用路由器把一个网络连接到Internet上，使网络上的所有用户都能够共享到Internet的单独连接，同时又能够优化网络性能。路由器是一种专门的网络设备，用于从一个局域网（LAN）或者广域网（WAN）向另一个局域网或者广域网转发数据包。可以利用路由器把一个局域网划分为若干个子网（Subnet），用以在网络内平衡流量。也可以把路由器放在局域网的边缘，用以将局域网连接到Internet。为了把一个网络连接到Internet，利用路由器是最容易实现的方法，但是这种办法不能对未经授权而通过Internet的访问提供安全防范。而且还必须保证对局域网内的每一台主机，都配置公共的IP地址（即，经过申请注册的IP地请）。 二、用代理服务器连接到Internet上 代理服务器在局域网和Internet之间起一个网关的作用。代理服务器管理局域网和Internet上的服务器之间的数据流，确定是否允许网络信息包通过代理服务到达网络。在客户计算机发出请求的时候，代理服务器转换这个请求，并将其传送到Internet上去。当Internet上的计算机给予响应时，代理服务器把这个响应传递回客户计算机。因为可以对代理服务器进行许多灵活的配置，所以可以增强内部局域网络的安全性。例如，可以这样配置代理服务器，让其阻塞入站连接，以便使得局域网（LAN）客户机能够启动到Internet服务器的连接，而且阻止Internet客户启动到LAN服务器的连接。还可以通过配置代理服务器，让其限制出站连接，以便利用LAN客户机的标准安全凭证对LAN客户机进行身份验证。可以通过几种方式限制出站连接，包括用户、程序、协议、TCP/UDP端口号、一天中的时间、域名或者IP地址。 代理服务器通常把来自Internet的信息高速缓存。例如，如果多个用户查看Internet上的同一个Web页面，代理服务器可以只在Internet上检索一次，然后把页面的副本保存在它的高速缓存中，再把这个副本转发给所有需要的用户。由于不必反复地为每个用户从Internet检索Web页面，所以减少了在intranet和Internet之间的通信量。 由于代理服务器实现了从intranet到Internet的地址转换功能，使得intranet上的客户机能利用私有的IP地址。因此，使用代理服务器只需要少量的公共IP地址即可，节约了IP地址资源。 Microsoft代理服务器提供了许多高级功能，如果想更详细地了解关于这方面的信息，请参阅Web站点：/proxy/default.asp。 三、利用NAT配置Internet访问 和代理服务器类似利用NAT可以降低IP地址的注册成本，并对外部网络隐藏内部IP地址。被分配了私用IP地址的网络设备不能直接访问Internet站点。因此，相应的数据流必须经由NAT设备发送。这种NAT设备就是“网络地址翻译器”（ Network Address Translator），需要对网络地址翻译器分配两种地址：内部专用IP地址和公用IP地址。网络地址翻译器是一种IP路由器，它能在转发信息包的时候，把私用IP地址翻译成外部的公用IP地址。由于可以在内部使用未经注册的IP地址，而在与外部网络（如Internet）通信的时候，再将这些内部使用的未经注册的IP地址翻译成少量的经过注册的IP地址，从而可以降低IP地址的注册成本。NAT也对外部网络隐藏了内部IP地址，从而保护了内部网络免受未经授权的访问。对于Internet来说，可见的IP地址就是运行NAT的计算机的IP地址。 当运行NAT的计算机从一台内部客户机接收到一个信息包时，它把信息包的包头替换掉，把客户机的端口号和内部IP地址翻译成它自己的端口号和外部IP地址。然后它把该信息包发送给Internet上的目的主机，并把映像信息的踪迹记入一个表中，以便向适当的客户计算机发送响应信息。在运行NAT的计算机从Internet主机接收到响应信息时，它再次替