① 三種網路模式的區別——橋接模式、NAT模式、僅主機模式
當虛擬機需要與物理機網路相連時,橋接模式、NAT模式和僅主機模式提供了不同的解決方案。橋接模式讓虛擬機成為獨立的網路節點,但可能需要特定的網路賬號才能上網;NAT模式則通過代理伺服器轉發網路請求,解決了賬號問題,但限制了虛擬機間的通信;而僅主機模式用於隔離和安全實驗,虛擬機只能通過主機與外部網路通信,提供更嚴格的隔離。
橋接模式下,虛擬機直連物理網路,如同區域網中的獨立主機,但需要特定賬號才能接入某些網路環境。NAT模式則通過網路地址轉換(NAT),讓物理主機充當代理,外部網路只能訪問物理主機,內部通信需通過NAT轉發。這種模式適合需要與外部通信但又需要保護虛擬環境的場景。
僅主機模式,也稱為隔離模式,是為測試和安全目的設計的。虛擬機與主機共享網路介面,外部網路訪問受限,但虛擬機之間可以通過虛擬路由器進行通信。這種方式提供了高度的隔離,但犧牲了直接的外部網路連接能力。
總的來說,選擇哪種模式取決於具體需求,如網路連接、安全要求、資源共享和通信限制等。橋接模式適合需要完全網路獨立的環境,NAT模式適合需要外部通信但希望保護內部的場景,而僅主機模式則提供了完全隔離的測試環境。
② NAT功能的用途是什麼有沒有實例舉一下
NAT------網路地址轉換,是通過將專用的網路地址(企業內部網Intranet)轉換為公用地址(如互聯網Internet),從而對外隱藏了內部管理的IP地址。這樣,通過在內部使用非注冊的 IP 地址,並將它們轉換為一小部分外部注冊的 IP 地址,從而減少了IP 地址注冊的費用以及節省了目前越來越缺乏的地址空間(即IPV4)。同時,這也隱藏了內部網路結構,從而降低了內部網路受到攻擊的風險。
NAT功能通常被集成到路由器、防火牆、單獨的NAT設備中,當然,現在比較流行的操作系統或其他軟體(主要是代理軟體,如WINROUTE),大多也有著NAT的功能。NAT設備(或軟體)維護一個狀態表,用來把內部網路的私有IP地址映射到外部網路的合法IP地址上去。每個包在NAT設備(或軟體)中都被翻譯成正確的IP地址發往下一級。與普通路由器不同的是,NAT設備實際上對包頭進行修改,將內部網路的源地址變為NAT設備自己的外部網路地址,而普通路由器僅在將數據包轉發到目的地前讀取源地址和目的地址。
NAT分為三種類型:表態NAT(staticNAT)、NAT池(pooledNAT)和商品NAT(PAT)。其中靜態NAT將內部網路中的每個主機都被永久映射成外部網路中的某個合法的地址,而NAT池則是在外部網路中定義了一系列的合法地址,採用動態分配的方法映射到內部網路,埠NAT則是把內部地址映射到外部網路的一個IP地址的不同埠上。
/*
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
說到20,我來加一個小插曲。我們都知道FTP對應的埠應該是21,為什麼又冒出來一個20呢?其實,我們們進行FTP文件傳輸中,客戶端首先連接到FTP伺服器的21埠,進行用戶的認證,認證成功後,當我們要傳輸文件時,伺服器會開一個埠為20來進行傳輸數據文件,也就是說,埠20才是真正傳輸所用到的埠,埠21隻用於FTP的登陸認證。我們平常下載文件時,會遇到下載到99%時,文件不完成,不能成功的下載。其實是因為文件下載完畢後,還要在21埠再行進行用戶認證,而我們下載文件的時間如果過長,客戶機與伺服器的21埠的連接會被伺服器認為是超時連接而中斷掉,就是這個原因。解決方法就是設置21埠的響應時間。
*/
利用WINDOWS 2000 Server 進行NAT設置
WINDOWS 20000 SERVER FAMILY強大的網路功能,說起來真是VERY GOOD。她集成很多網路功能,比如說DHCP、DNS、SNMP、路由……,進行NAT的設置,我們只需要一個WINDOWS 2000 SERVER就足夠了,不必藉助於其他的軟體。
說干就干,我們以中文版的WINDOWS 2000 SERVER為例,在NAT伺服器上加兩塊網卡,一塊是與內部網路相連(如IP:192.168.0.35),另一塊則是與外部網路相連(如IP:88.88.88.88),在配置之前,要保證NAT伺服器與內部私有網路及外部公用網路的數據傳輸沒有故障。具體配置如下:
打開「開始——>程序——>管理工具——>路由和遠程訪問」,出現一個對話框,左側有一個「伺服器狀態」,一個「BDWSER(本地)」(不一定是BDWSER,其實就應該是你的機器名),點「BDWSER(本地)」,然後點「操作——>配置並啟用路由和遠程訪問」,會彈出一個的對話框,下一步,會出現如圖二的對話框,選擇「Internet連接伺服器」,下一步,
如圖三,選擇「設置有網路地址轉換(NAT)路由協議的路由器」,下一步
如圖四,選擇「使用選擇的Internet連接——>本地連接2」,這里要注意一點,「本地連接2」即為伺服器的外部連接,如本例中域名為5imax.net地址為88.88.88.88;而「本地連接」而是伺服器與內部網路的連接。然後「下一步——>完成」,此時「路由和遠程訪問」會自動啟動,我們稍侯等待「路由和遠程訪問」的啟動。
通過以上的配置,我們就可以利用NAT將內部地址轉發到外部地址,也就相當於本機(WINDOWS 2000 SERVER)可以通過NAT代理內部的機器共享上網了。如果NAT伺服器使用了DHCP,那麼客戶機只要自動獲取IP即可;如果沒有設置,客戶機要指定IP:192.168.0.*,子網掩碼:255.255.255.0,網關:192.168.0.35,DNS:202.97.224.68(使用本地ISP提供DNS伺服器地址即可)。接下來,我們應該來配置外部埠到內部埠的映射(如圖一中的88.88.88.88:80——>192.168.0.102:80),使得外部訪問者訪問http://www.5imax.net相應的HTTP服務時,NAT主機會將服務的請求自動轉換到內部網路所提供相應服務的主機上,反之,內部主機服務的反饋信息經由NAT主機轉換發送到外部訪問者。
在「路由和遠程訪問」對話框的左側,打開「BDWSER(本地)——>IP路由選擇——>網路地址轉換(NAT)」,這時在「路由和遠程訪問」對話框的右側窗口應該有二個介面,外部網路和內部網路(如圖五)。
在詳細信息窗格中,右鍵單擊要配置的介面,然後單擊「屬性」。 在「特殊埠」選項卡上,在「協議」中,單擊「TCP」或「UDP」(根據不同的服務選擇不同的協議,如HTTP服務為TCP,TFTP服務為UDP,但此例中並未涉及到UDP協議),然後單擊「添加」。 在「傳入埠」中,鍵入傳入公用通信的埠號(如圖六中的「傳入埠80)。在「傳出埠」中,鍵入專用網路資源的埠號(如圖六中的「傳出埠80」)。在「專用地址」中,鍵入專用網路資源的專用地址(如圖六中的「專用地址192.168.0.102」,即圖一所示主機C:192.168.0.102)。單擊「確定」,添加完畢。同樣,FTP和MAIL的服務添加的埠為20,21,25和110。
以上的例子是僅使用單個公用IP進行NAT的轉換,如果是使用多個公用IP,那麼我們在配置映射埠之前,要進行NAT地址池的設置。在詳細信息窗格中,右鍵單擊要配置的介面(即外部網路介面,本地連接2),然後單擊「屬性」。在「地址池」選項卡上,單擊「添加」,並執行下列操作之一:
如果正在使用以 IP 地址和子網掩碼表示的 IP 地址范圍,則在「起始地址」中鍵入起始 IP 地址,然後在「掩碼」中鍵入子網掩碼。
如果正在使用不能以 IP 地址和子網掩碼表示的 IP 地址范圍,在「起始地址」中鍵入起始 IP 地址,然後在「結束地址」中鍵入結束 IP 地址。
在設置埠映射時(即特殊埠),請單擊「在此地址池項上」,然後鍵入傳入公用通信的公用 IP 地址,其他的設置與上述的設置方法相訪。
到了這里,我們的全部工作——利用NAT主機代理內部網路共享Interent和內部網路到NAT主機的埠映射——就完成了。為了安全起見,我們最好在NAT主機的接入處加一個防火牆或設置NAT主機的「IP安全機制(IPSEC)」和「TCP/IP篩選」。「IP安全機制」和「TCP/IP篩選」的設置就在外部網路的TCP/IP協議中的安全選項中,參考WINDOWS 2000的幫助文件進行設置就可以,我們在這里就不再贅述了。
NAT的小結
當然,使用NAT進行埠映射,用NAT代理軟體同樣可以做到(比如說WINROUTE),而且相應的設置比較簡單,一般只要默認安裝上後,在軟體中進行簡單設置就可以了。手都寫累了,有機會我們以後再談。
利用NAT保護內部網路,特別是軟體的NAT,適用於小、中型的網路,而大型的網路一般要使用硬體(如路由),因為NAT服務也要消耗NAT伺服器的資源的。在大型的網路中,使用路由來做NAT,要做相應的安全設置,一般參考路由手冊及CISCO ISO安全模型即可。
NAT的使用,使內部網路相應於外部網路不可見化,入侵者要先侵入NAT伺服器(或NAT設備),然後利用NAT做跳板,進一步侵入內部網路。這樣,對於入侵者就有一定的難度,如果NAT伺服器與內部伺服器使用不同的操作系統,那麼入侵者需要對這兩個操作系統都要熟悉才可以做到的,這對於一般的入侵者來說,入侵行為無疑是提高了一個台階。文章到此結束,本文的意圖不僅僅只是一個步驟,而是希望大家以此為一個基點,利用現有的技術,組建出更安全的網路。
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
說到20,我來加一個小插曲。我們都知道FTP對應的埠應該是21,為什麼又冒出來一個20呢?其實,我們們進行FTP文件傳輸中,客戶端首先連接到FTP伺服器的21埠,進行用戶的認證,認證成功後,當我們要傳輸文件時,伺服器會開一個埠為20來進行傳輸數據文件,也就是說,埠20才是真正傳輸所用到的埠,埠21隻用於FTP的登陸認證。我們平常下載文件時,會遇到下載到99%時,文件不完成,不能成功的下載。其實是因為文件下載完畢後,還要在21埠再行進行用戶認證,而我們下載文件的時間如果過長,客戶機與伺服器的21埠的連接會被伺服器認為是超時連接而中斷掉,就是這個原因。解決方法就是設置21埠的響應時間。
*/
利用WINDOWS 2000 Server 進行NAT設置
WINDOWS 20000 SERVER FAMILY強大的網路功能,說起來真是VERY GOOD。她集成很多網路功能,比如說DHCP、DNS、SNMP、路由……,進行NAT的設置,我們只需要一個WINDOWS 2000 SERVER就足夠了,不必藉助於其他的軟體。
說干就干,我們以中文版的WINDOWS 2000 SERVER為例,在NAT伺服器上加兩塊網卡,一塊是與內部網路相連(如IP:192.168.0.35),另一塊則是與外部網路相連(如IP:88.88.88.88),在配置之前,要保證NAT伺服器與內部私有網路及外部公用網路的數據傳輸沒有故障。具體配置如下:
打開「開始——>程序——>管理工具——>路由和遠程訪問」,出現一個對話框,左側有一個「伺服器狀態」,一個「BDWSER(本地)」(不一定是BDWSER,其實就應該是你的機器名),點「BDWSER(本地)」,然後點「操作——>配置並啟用路由和遠程訪問」,會彈出一個的對話框,下一步,會出現如圖二的對話框,選擇「Internet連接伺服器」,下一步,
如圖三,選擇「設置有網路地址轉換(NAT)路由協議的路由器」,下一步
如圖四,選擇「使用選擇的Internet連接——>本地連接2」,這里要注意一點,「本地連接2」即為伺服器的外部連接,如本例中域名為5imax.net地址為88.88.88.88;而「本地連接」而是伺服器與內部網路的連接。然後「下一步——>完成」,此時「路由和遠程訪問」會自動啟動,我們稍侯等待「路由和遠程訪問」的啟動。
通過以上的配置,我們就可以利用NAT將內部地址轉發到外部地址,也就相當於本機(WINDOWS 2000 SERVER)可以通過NAT代理內部的機器共享上網了。如果NAT伺服器使用了DHCP,那麼客戶機只要自動獲取IP即可;如果沒有設置,客戶機要指定IP:192.168.0.*,子網掩碼:255.255.255.0,網關:192.168.0.35,DNS:202.97.224.68(使用本地ISP提供DNS伺服器地址即可)。接下來,我們應該來配置外部埠到內部埠的映射(如圖一中的88.88.88.88:80——>192.168.0.102:80),使得外部訪問者訪問http://www.5imax.net相應的HTTP服務時,NAT主機會將服務的請求自動轉換到內部網路所提供相應服務的主機上,反之,內部主機服務的反饋信息經由NAT主機轉換發送到外部訪問者。
在「路由和遠程訪問」對話框的左側,打開「BDWSER(本地)——>IP路由選擇——>網路地址轉換(NAT)」,這時在「路由和遠程訪問」對話框的右側窗口應該有二個介面,外部網路和內部網路(如圖五)。
在詳細信息窗格中,右鍵單擊要配置的介面,然後單擊「屬性」。 在「特殊埠」選項卡上,在「協議」中,單擊「TCP」或「UDP」(根據不同的服務選擇不同的協議,如HTTP服務為TCP,TFTP服務為UDP,但此例中並未涉及到UDP協議),然後單擊「添加」。 在「傳入埠」中,鍵入傳入公用通信的埠號(如圖六中的「傳入埠80)。在「傳出埠」中,鍵入專用網路資源的埠號(如圖六中的「傳出埠80」)。在「專用地址」中,鍵入專用網路資源的專用地址(如圖六中的「專用地址192.168.0.102」,即圖一所示主機C:192.168.0.102)。單擊「確定」,添加完畢。同樣,FTP和MAIL的服務添加的埠為20,21,25和110。
以上的例子是僅使用單個公用IP進行NAT的轉換,如果是使用多個公用IP,那麼我們在配置映射埠之前,要進行NAT地址池的設置。在詳細信息窗格中,右鍵單擊要配置的介面(即外部網路介面,本地連接2),然後單擊「屬性」。在「地址池」選項卡上,單擊「添加」,並執行下列操作之一:
如果正在使用以 IP 地址和子網掩碼表示的 IP 地址范圍,則在「起始地址」中鍵入起始 IP 地址,然後在「掩碼」中鍵入子網掩碼。
如果正在使用不能以 IP 地址和子網掩碼表示的 IP 地址范圍,在「起始地址」中鍵入起始 IP 地址,然後在「結束地址」中鍵入結束 IP 地址。
在設置埠映射時(即特殊埠),請單擊「在此地址池項上」,然後鍵入傳入公用通信的公用 IP 地址,其他的設置與上述的設置方法相訪。
到了這里,我們的全部工作——利用NAT主機代理內部網路共享Interent和內部網路到NAT主機的埠映射——就完成了。為了安全起見,我們最好在NAT主機的接入處加一個防火牆或設置NAT主機的「IP安全機制(IPSEC)」和「TCP/IP篩選」。「IP安全機制」和「TCP/IP篩選」的設置就在外部網路的TCP/IP協議中的安全選項中,參考WINDOWS 2000的幫助文件進行設置就可以,我們在這里就不再贅述了。
NAT的小結
當然,使用NAT進行埠映射,用NAT代理軟體同樣可以做到(比如說WINROUTE),而且相應的設置比較簡單,一般只要默認安裝上後,在軟體中進行簡單設置就可以了。手都寫累了,有機會我們以後再談。
利用NAT保護內部網路,特別是軟體的NAT,適用於小、中型的網路,而大型的網路一般要使用硬體(如路由),因為NAT服務也要消耗NAT伺服器的資源的。在大型的網路中,使用路由來做NAT,要做相應的安全設置,一般參考路由手冊及CISCO ISO安全模型即可。
NAT的使用,使內部網路相應於外部網路不可見化,入侵者要先侵入NAT伺服器(或NAT設備),然後利用NAT做跳板,進一步侵入內部網路。這樣,對於入侵者就有一定的難度,如果NAT伺服器與內部伺服器使用不同的操作系統,那麼入侵者需要對這兩個操作系統都要熟悉才可以做到的,這對於一般的入侵者來說,入侵行為無疑是提高了一個台階。文章到此結束,本文的意圖不僅僅只是一個步驟,而是希望大家以此為一個基點,利用現有的技術,組建出更安全的網路
參考資料:http://blog.chinaitlab.com/user1/254538/archives/2006/42031.html