利用NAT技術把內部伺服器安全放置到公網

隨著企業資訊化辦公的需求日益高漲，網路管理員面臨著乙個非常現實的問題。即如何讓員工在家裡也可以訪問企業內部的伺服器，如檔案伺服器或者erp伺服器等等。而且現在不少的客戶為了增強與企業的溝通，也要求企業部分開放他們內部的管理系統。

如客戶要求能夠查詢企業內部erp系統他們企業訂單的出貨情況等等。

但是，企業如果把自己內部的伺服器放置在公網上讓其它相關人員進行訪問，存在不少的問題。如下面這個簡單的網路設計圖，就是當前的普遍情況。

企業內部有兩台伺服器，分別為oa辦公自動化伺服器(192.168.0.

3)與檔案伺服器(192.168.0.

3)。普通的使用者通過路由器和adsl貓連入網際網路。此時，若沒有其它技術的幫助，企業外部網路的使用者是無法訪問企業內部伺服器的。

若企業想把企業內部的這些伺服器防止到公網上，需要解決不少難題。主要來說，需要解決兩個問題。

一是ip位址的問題。如果網路管理員需要把這兩台伺服器放置在公網上，則就至少需要兩個合法的公網位址。因為若要外部使用者通過網際網路訪問某個應用服務的話，則應用伺服器必須要擁有合法的公網位址。

否則的話，企業外部使用者是無法訪問這些應用服務的。而現實的問題是，國內公網ip位址匱乏。不少企業只有乙個公網ip位址。

沒有多餘的公網位址可以滿足這些伺服器的公網應用。

二是安全訪問的考慮。由於現在網際網路上存在比較多的安全危險。病毒、木馬、惡意程式等等充斥著網路。

而且對於大部分企業來說，又不能夠安排足夠的技術人員來負責這些應用伺服器的安全。畢竟這些只是企業的輔助工具，而不是生產利潤的源泉。所以若把這些伺服器赤裸裸的放置在公網上，就會受到比較大的安全危威脅。

所以即使企業有足夠的公網ip位址，把伺服器公開在網際網路上也是不安全的。

那麼該如何解決這些問題呢?既能夠解決遠端使用者訪問企業內部應用的需求，又同時要保障這些應用服務的安全性呢?網路專家設計了比較多的解決方案。

利用nat技術把內部伺服器放置到公網中就是其中比較有代表的乙個解決方案。。下圖就是利用nat網路架構的基本示意圖。

從圖中，我們可以看到這個解決方案跟企業現有的網路架構沒有多大的差異。只是把路由器換作了nat伺服器而已。可是，兩者在功能上有很大的差異。

若採用以上這個設計，則企業可以實現如下額外的功能。

1、支援多個內部位址與乙個公網位址的對映，從而讓外界的特殊應用軟體可以通過nat伺服器來與企業內部的應用軟體進行通訊。如上圖中企業的員工，如果在家裡也想訪問企業內部的oa伺服器與檔案伺服器，則只需要輸入企業的公網ip位址以及這些服務所採用的埠，則nat服務就自動會把連線請求傳送給內部的應用伺服器。然後把內部伺服器返回的結果反饋給使用者。

如此使用者就可以通過網際網路訪問企業內部的應用服務。

2、nat伺服器還可以當作dhcp伺服器來使用，給企業內部的計算機自動分配ip位址。同時，企業外網使用者利用nat技術來訪問內部網路資源的時候，nat伺服器也需要給他們分配乙個區域網內部的ip位址。也就是說，在資訊處理的時候，nat伺服器把外部使用者當作自己區域網的使用者來處理。

而nat伺服器如果配置了dhcp功能的話，則可以同時給內往網的使用者自動分配ip位址。這可以有效的避免ip位址衝突的問題，同時會明顯降低網路管理員的工作量。

3、把內部應用伺服器隱藏起來，保障其安全性。當使用者通過nat伺服器來訪問企業內部應用的時候，其實他們只知道要訪問的是nat伺服器，而不知道192.168.

0.2等檔案伺服器、oa伺服器的真實資訊。通過黑客專用的掃瞄工具也無法查到這些內部應用伺服器所採用的作業系統以及可能存在的漏洞。

如此的話，這些內部伺服器的安全就有了很大的保障。

可見這台nat伺服器的功能很強大。其實其主要工作就是執行ip位址與埠的轉換工作。nat伺服器一般需要由兩張網絡卡。

其中一張網絡卡需要有公網ip位址，主要用來根網際網路進行通訊。另一張網絡卡則需要配置企業內部區域網位址，主要用來根企業內部的主機進行通訊。通過了解nat伺服器的工作過程，對於網路管理員進行網路設計與維護有比較大的意義。

在下篇文章中筆者將詳細介紹nat伺服器的工作過程以及具體的配置。如果大家正等著利用nat技術來實現遠端使用者訪問企業內部伺服器的問題，請關注我下篇文章。相信這個nat網路架構可以幫助大家解決這個難題。

利用NAT技術把內部伺服器安全放置到公網

500內部伺服器錯誤

伺服器安全配置

伺服器集群技術方案

利用NAT技術把內部伺服器安全放置到公網

500內部伺服器錯誤

伺服器安全配置

伺服器集群技術方案

相關推薦