Чем proxy отличается от nat. Назначение прокси серверов и NAT

Рассмотрим типовой вариант - внутренняя сеть подключена через сервер доступа к Интернет и использует один внешний "белый" IP-адрес (см. вариант применения в разделе "Офисная сеть ").

Задача обеспечения доступа в Интернет из внутренней сети решается, как правило, с помощью NAT или прокси-сервера. Каждый подход имеет свои достоинства и недостатки.

Принцип работы NAT - это простая трансляция IP-адресов и портов в пакетах при прохождении через сервер. Для доступа через NAT не требуется никакая настройка клиентских программ - служба прозрачно транслирует все исходящие запросы наружу. Также этот подход отличает максимальная производительность и не требовательность к ресурсам сервера. Но NAT не позволяет приложению открывать входящие соединения. Это накладывает ограничения на некоторые протоколы, например IRC.

Traffic Inspector использует службу NAT Windows. Это называется ICS (Internet Connection Sharing) или RRAS (Routing and Remote Access Server) для серверных версий системы.

NAT может работать в режиме трансляции портов и адресов. Если используется один внешний адрес, то применяется трансляция портов. Но у провайдера можно дополнительно получить группу адресов и тогда через NAT какой-то внешний адрес может быть назначен на внутренний. Это удобно для случая, когда внутри сети находятся какие-то сервера и требуется прозрачная трансляция портов без их замены. Но всегда имеется возможность публикации наружу внутренних серверов даже на единственный внешний адрес.

В чистом виде NAT от Windows используется мало, так как там практически отсутствует возможность разграничения доступа и контроля трафика.

Прокси-сервер работает на уровне протоколов приложений и требует соответствующей поддержки со стороны клиентских программ и их настройки. Через него можно работать по протоколам HTTP или FTP. Также имеется специальный протокол прокси-серверов SOCKS, через который может работать любое приложение, использующее TCP. Через SOCKS можно открывать как исходящие, так и входящие соединения, так что тут снимаются проблемы NAT. Единственное ограничение - это необходимость поддержки SOCKS со стороны клиентских программ.

При работе с HTTP для экономии трафика прокси-сервера используют кэширование (временное сохранение) закачанных объектов, которые могут использоваться при повторных запросах. Использование кэширования может увеличить скорость доступа при загруженной сети Интернет.

Также с помощью прокси-сервера можно реализовать фильтрацию на уровне приложения - например, запретить доступ к какому-то конкретному ресурсу на сервере или сделать разграничение по контенту данных.

В составе Traffic Inspector имеется полнофункциональный HTTP/FTP/SOCKS прокси-сервер. Реализована гибкая фильтрация, имеется кэширование и возможность ограничения скорости работы. По функциональным возможностям он ничуть не уступает другим прокси-серверам. При работе через HTTP доступна работа с методом CONNECT, что позволяет работать с SSL, а также с помощью этого метода возможна работа с FTP, электронной почтой и другими приложениями, которые это поддерживают. Также имеется возможность работать с FTP через HTTP - при этом клиент использует HTTP (обычный браузер), получая данные с FTP-сервера в виде страниц.

Есть еще одна возможность работать с Интернет из внутренней сети - это получить у провайдера IP-подсеть, сконфигурировать сервер доступа как роутер и раздать клиентам "белые" адреса. Traffic Inspector в таком варианте также сможет работать. Но этот подход мало пригоден прежде всего из-за проблем с безопасностью. Но маршрутизация сети может потребоваться при организации DMZ (т.н. "демилитаризованной зоны") для размещения публичных серверов (см. вариант применения в разделе "

Прокси сервер предназначен для осуществления посредничества между рабочей станцией и всемирной сетью.

Прокси-компьютер пропускает через себя запросы пользователя, и затем возвращает полученные из Inetrnet результаты. Это своеобразное «доверенное лицо», способствующее одновременному доступу всех машин локальной сети в интернет. При этом администратор, настраивающий сетку, избавлен от необходимости присваивать каждой отдельной точке свой IP-адрес, выстраивать сложную схему маршрутизации, обращаться за дополнительной (как правило, платной) услугой к провайдеру.

Кроме лишней хлопотности и неоправданной дороговизны при таких методах, которые, к счастью, уже уходят в прошлое, теряется уровень безопасности данных в локалке, делая каждый её компьютер потенциальной мишенью для вирусных атак и хакерских взломов. Вдобавок, из-за отсутствия централизованного управления, администратору добавится забот по поводу контроля каждой отдельной станции. И, к слову, при втором способе настройки выхода локальной сети в Internet тоже нужна дополнительная программа на основной компьютер, которая будет осуществлять маршрутизацию пакетов, но, в отличие от прокси, передавая реальные IP-шники клиентов.

Маршрутизатор, который умеет менять адреса, получил название NAT-proxy (от английской аббревиатуры network address translation, что можно перевести как «преобразователь сетевых адресов»).

NAT — первый, простейший вид этой программы, такое себе переходное звено от одного типа настройки работы локальной сети к другому типу. Под названием «Общий доступ к подключению Интерната» NAT-proxy встречается уже в ОС Windows 2000 и XP. Эта программка рассчитана на среднестатистического пользователя, который не обязан обладать глубокими познаниями квалифицированного системного администратора. Для работы не требуется осуществлять какие бы то ни было специализированные хитромудрые настройки. Но, на самом деле, это преимущество весьма сомнительно. NAT, будучи универсальной проксей, не способен проникаться тонкостями прикладных протоколов. Поэтому для более корректной и безопасной работы стоит ознакомиться со специализированными proxy-программами.

Самая распространенная в своем классе ПО — НТТР-proxy . Из названия становится понятным, что в основу заложен принцип организации работы по НТТР-протоколу. Ни одна серьезная сеть без этой программы не обойдется. Что она умеет:

• Сохранять полученные из Internet файлы на серверный диск, что позволяет при повторном запросе выдать имеющиеся данные без обращения в WWW, увеличивая скорость работы и экономя общий трафик.
• Ограничивать доступ к ресурсам. К примеру, не пускать клиентов на сайты из «черного списка». Или не всех клиентов, а только определенную группу. Или не на все время пребывания в сети, а только в определенные часы. Это преимущество открывает широчайшие возможности организации клиентской части локальной сети
• Управлять приоритетами закачки. Это помогает избежать полного поглощения трафика любителями бесплатной музыки или просмотра он-лайн кино.
• Подсчитать использованный в заданный временной промежуток трафик.
• Определить рейтинг различных ресурсов

И даже этот довольно обширный список умений НТТР-прокси не является полным перечислением её достоинств. НТТР-proxy способен работать и с FTP-серверами. Но при взаимном преобразовании FTP и НТТР частично утрачиваются нюансы функциональности FTP. Естественно, что для корректной работы специализированных ftp-клиентов предпочтительнее и специализированное ПО. FTP-proxy может быть составляющей частью прокси НТТР либо отдельной программой, как в Eserv и Eproxy. Для акцентирования внимания на этом моменте, прокси из Eserv и Eproxyпринято называть FTP-gate.

Особняком стоит выделенная из НТТР часть для работы с засекреченной информацией — НТТPS-прокси. Mapping-прокси имеет цель настроить через прокси работу тех программ, которые привыкли обращаться к ресурсам интернета безо всяческого посредничества, например, почтовые сервисы вроде The Bat и Outlook Express. С этими целями устанавливается локальный образ запрашиваемого программой сервера. Т.е., это своеобразный обман, уловка, которая, тем не менее, практически всегда срабатывает.

Socks-прокси — программа, набирающая обороты популярности за счет обеспечения клиентам возможности прозрачного использования сервисов за фаерволами. В наших

Прокси сервер предназначен для осуществления посредничества между рабочей станцией и всемирной сетью.

Прокси-компьютер пропускает через себя запросы пользователя, и затем возвращает полученные из Inetrnet результаты. Это своеобразное «доверенное лицо», способствующее одновременному доступу всех машин локальной сети в интернет. При этом администратор, настраивающий сетку, избавлен от необходимости присваивать каждой отдельной точке свой IP-адрес, выстраивать сложную схему маршрутизации, обращаться за дополнительной (как правило, платной) услугой к провайдеру.

Кроме лишней хлопотности и неоправданной дороговизны при таких методах, которые, к счастью, уже уходят в прошлое, теряется уровень безопасности данных в локалке, делая каждый её компьютер потенциальной мишенью для вирусных атак и хакерских взломов. Вдобавок, из-за отсутствия централизованного управления, администратору добавится забот по поводу контроля каждой отдельной станции. И, к слову, при втором способе настройки выхода локальной сети в Internet тоже нужна дополнительная программа на основной компьютер, которая будет осуществлять маршрутизацию пакетов, но, в отличие от прокси, передавая реальные IP-шники клиентов.

Маршрутизатор, который умеет менять адреса, получил название NAT-proxy (от английской аббревиатуры network address translation, что можно перевести как «преобразователь сетевых адресов»).

NAT — первый, простейший вид этой программы, такое себе переходное звено от одного типа настройки работы локальной сети к другому типу. Под названием «Общий доступ к подключению Интерната» NAT-proxy встречается уже в ОС Windows 2000 и XP. Эта программка рассчитана на среднестатистического пользователя, который не обязан обладать глубокими познаниями квалифицированного системного администратора. Для работы не требуется осуществлять какие бы то ни было специализированные хитромудрые настройки. Но, на самом деле, это преимущество весьма сомнительно. NAT, будучи универсальной проксей, не способен проникаться тонкостями прикладных протоколов. Поэтому для более корректной и безопасной работы стоит ознакомиться со специализированными proxy-программами.

Самая распространенная в своем классе ПО — НТТР-proxy . Из названия становится понятным, что в основу заложен принцип организации работы по НТТР-протоколу. Ни одна серьезная сеть без этой программы не обойдется. Что она умеет:

• Сохранять полученные из Internet файлы на серверный диск, что позволяет при повторном запросе выдать имеющиеся данные без обращения в WWW, увеличивая скорость работы и экономя общий трафик.
• Ограничивать доступ к ресурсам. К примеру, не пускать клиентов на сайты из «черного списка». Или не всех клиентов, а только определенную группу. Или не на все время пребывания в сети, а только в определенные часы. Это преимущество открывает широчайшие возможности организации клиентской части локальной сети
• Управлять приоритетами закачки. Это помогает избежать полного поглощения трафика любителями бесплатной музыки или просмотра он-лайн кино.
• Подсчитать использованный в заданный временной промежуток трафик.
• Определить рейтинг различных ресурсов

И даже этот довольно обширный список умений НТТР-прокси не является полным перечислением её достоинств. НТТР-proxy способен работать и с FTP-серверами. Но при взаимном преобразовании FTP и НТТР частично утрачиваются нюансы функциональности FTP. Естественно, что для корректной работы специализированных ftp-клиентов предпочтительнее и специализированное ПО. FTP-proxy может быть составляющей частью прокси НТТР либо отдельной программой, как в Eserv и Eproxy. Для акцентирования внимания на этом моменте, прокси из Eserv и Eproxyпринято называть FTP-gate.

Особняком стоит выделенная из НТТР часть для работы с засекреченной информацией — НТТPS-прокси. Mapping-прокси имеет цель настроить через прокси работу тех программ, которые привыкли обращаться к ресурсам интернета безо всяческого посредничества, например, почтовые сервисы вроде The Bat и Outlook Express. С этими целями устанавливается локальный образ запрашиваемого программой сервера. Т.е., это своеобразный обман, уловка, которая, тем не менее, практически всегда срабатывает.

Socks-прокси — программа, набирающая обороты популярности за счет обеспечения клиентам возможности прозрачного использования сервисов за фаерволами. В наших