利用ＮＡＴ技术构筑校园网服务器的安全防线.docx

    利用ＮＡＴ技术构筑校园网服务器的安全防线    王小平　杨雅薇目前，各级各类学校都在校园网中部署了一定数量的服务器如：教育资源库、视频点播系统、学校网络办公系统、学籍管理系统、班级管理系统、校产管理系统和教学管理系统等等，实现了教育、教学、管理的现代化和无纸化，实现了资源的高度共享如何保障这些服务器的安全，从而为信息技术支持下的教学和管理提供保障，成为值得研究的一个重要课题我校的校园网内部署了6台服务器起初没有经过科学规划，只是简单地将服务器直接连接到网关，造成服务器频繁遭受黑客、病毒、木马的攻击为此，我利用NAT技术重新规划服务器的部署现将规划思路和设计方法介绍给大家一、NAT技术NAT（Network Address Translation）是一个IETF标准，它允许一个整体机构以一个公用IP地址出现在Internet上顾名思义，它是一种把内部私有网络IP地址翻译成合法网络IP地址的技术NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT其中，静态NAT的设置最为简单，也最容易实现，内部网络中的每台主机都被永久地映射成外部网络中的某个合法地址动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。

NAPT则是把内部地址映射到外部网络同一个IP地址的不同端口上我校所用的技术即为NAPTNAPT普遍应用于接入设备中，它可以将中小型网络隐藏在一个合法的IP地址后面其工作原理是，将内部IP地址映射到外部网络中的一个单独的IP地址上，同时加上一个由NAT设备选定的TCP端口号（如表1）这样，如果要访问192.168.1.3这台服务器的Web服务，只有通过202.108.9.X：9080才可以访问，从而有效地将服务器保护起来二、校园网网络结构分析高效、规范的网络部署应该建立在科学的网络结构分析基础之上笔者所管理的校园网通过网关接入教育城域网校园网中部署了Web服务器、资源服务器、办公自动化（OA）服务器、FTP服务器、ＶＯＤ视频点播服务器校内所有用户通过网关共享访问Internet所有服务器均采用城域网分配的IP地址，通过网关直接接入城域网（如图１）网关不支持NAPT，只支持简单静态NAT网络部署的第一种方案是采购支持NAT防火墙网络设备,替换现有网关第二种方案是用普通PC构建NAT转换平台由于硬件防火墙的设备动辄几万到几十万，对于一所普通公办学校来说，是一笔不小的开支，同时原有的网关仍有其用武之地，于是我们选择了第二种方案。

三、构建NAT转换平台目前构建NAT转换平台的软件大致可分为Win- dows、Linux以及专业路由器软件三大阵营Win-dows平台下有WinRoute、Microsoft ISA ServerLinux平台下有CoyoteLinux、SmoothWall专业路由器软件有Mikrotk RouterOS、IPcop下面，以Windows+WinRoute6.0为例，（其他软件的构建方法类似），介绍其构建过程1.前期准备准备一台普通PC，其配置很简单：Pentium Ⅲ以上的CPU；256 MB以上的内存；20G以上硬盘（主要用于存放日志文件）；两块100M网卡；Windows 2003 Server操作系统2.软件介绍WinRoute6.0通过NAT和代理服务器实现网络共享该软件除了具有NAT功能外，还具有超强的病毒防护功能WinRoute6.0的安装比较简单，安装过程中遇到问题的读者可以参考相关的安装资料3.制定转换方案在开始进行NAT转换配置前，要仔细考虑和规划转换方案与原先的网络结构相比，规划方案（如图2）增加了一台装有WinRoute的普通PC作为NAT转换平台，并调整服务器群的IP地址（具体映射关系如表2所示）。

4．NAT转换配置登录WinRoute管理控制台，并进入访问策略设置页面（如图3）依据表2建立相应的访问策略即可经过以上调整，校园网中的服务器群很好地隐藏了起来当黑客依据IP地址进行攻击时，其实际攻击的是NAT转换平台,并非真实的服务器，而由于网络方面受到了严格的控制，要攻破ＮＡＴ转换平台也绝非易事利用NAT技术为校园网的服务器群构筑了一道安全防线作者单位：江苏无锡市蠡园中学）  -全文完-。