|
NAT и прокси |
  
|
|
NAT и прокси |
|
Рассмотрим обычный случай. Внутренняя сеть подключена через сервер доступа к интернету и использует один внешний "белый" IP-адрес (см. вариант применения в разделе "Офисная сеть").
Задача обеспечения доступа в интернет из внутренней сети решается, как правило, с помощью NAT или прокси-сервера. Каждый подход имеет свои достоинства и недостатки.
Принцип работы NAT - трансляция IP-адресов и портов в пакетах при прохождении через сервер. Внутренние IP- адреса подменяются на один внешний. Для доступа через NAT не требуется настройки пользовательских программ - служба прозрачно транслирует все исходящие запросы наружу. Решение отличается максимальной производительностью и нетребовательностью к ресурсам сервера. Но NAT в базовом варианте не позволяет приложению открывать входящие соединения. Это накладывает ограничения на некоторые протоколы.
Traffic Inspector использует службу NAT от Windows. Для всех версий Windows - настольных или серверных - сетевое ядро одинаковое, но службы, конфигурирующие NAT, разные. Имеются ICS (Internet Connection Sharing) - для всех - и RRAS (Routing and Remote Access Server) - только для серверных версий системы.
NAT может работать в режиме трансляции TCP/UDP-портов или IP-адресов. Если используется один внешний адрес, то применяется трансляция портов. Однако у провайдера можно дополнительно получить группу "белых" адресов - тогда через NAT любой внешний адрес может быть назначен на внутренний. Это удобно в том случае, когда внутри сети находятся какие-то сервера и требуется прозрачная трансляция портов без их подмены. Но всегда есть возможность публикации наружу внутренних серверов, даже на один-единственный внешний адрес.
HTTP прокси-сервер работает на уровне протоколов приложений и требует соответствующей поддержки со стороны пользовательских программ, в том числе их настройки. Через него можно работать по протоколам HTTP или FTP. Также имеется специальный протокол прокси-серверов SOCKS, через который доступна работа любого приложения, использующее TCP или UDP. Через SOCKS можно открывать как исходящие, так и входящие соединения. Но здесь есть ограничение - это необходимость поддержки SOCKS со стороны пользовательских программ.
При работе с HTTP для экономии трафика используется прокси-сервер, в котором применяется кэширование (временное сохранение) переданных объектов - они могут в дальнейшем использоваться при повторных запросах. Применение кэширования может увеличить скорость доступа при загруженной сети Интернет - это также экономит трафик.
С помощью прокси-сервера можно реализовать фильтрацию на уровне приложения, например, запретить доступ к какому-то конкретному ресурсу на сервере или сделать разграничение по контенту данных.
В составе Traffic Inspector есть HTTP/FTP/SOCKS прокси-сервер. Реализована гибкая фильтрация, имеется кэширование и возможность ограничения скорости работы. При работе через HTTP доступен метод работы CONNECT, что позволяет работать с SSL; также с помощью данного метода возможна работа с FTP, электронной почтой и другими приложениями, которые это поддерживают. Кроме того, осуществляется работа с FTP через HTTP, при этом пользователь использует обычный браузер, получая данные с FTP-сервера в виде web-страниц.
Есть еще одна возможность подключить сеть к интернету - это получить у провайдера IP-сеть с "белыми" адресами, настроить сервер доступа как роутер и раздать пользователям "белые" адреса. Traffic Inspector может работать и в таком режиме.
Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?descnat.htm