Соединение ПК, подключенного к локальной сети, с интернетом может осуществляться с помощью таких технологий, как NAT и Proxy. Что они собой представляют?

Что такое NAT?

NAT - это технология, позволяющая подключать ПК, объединенные в локальную сеть, к интернету при задействовании механизма трансляции IP-адресов (либо портов) в сетевое пространство за пределами ЛВС. Каждый ПК, подключенный к локальной сети, осуществляет запросы в службу NAT, которая преобразует их в те, что адресованы тем или иным сервисам интернета.

Использование технологии NAT, как правило, предполагает задействование отдельного сетевого устройства - маршрутизатора, сервера или же, например, межсетевого экрана.

Даже если к интернету посредством технологии NAT подключается несколько компьютеров одновременно, онлайновый сервер видит запросы только с одного IP-адреса - устанавливающегося на устройстве, в котором реализованы алгоритмы NAT.

Есть две основные разновидности рассматриваемой технологии - Source NAT и Destination NAT.

Первая предполагает замену адреса, установленного для источника пакета, при передаче данного пакета на компьютер назначения в интернете и, соответственно, замену адреса, установленного для ПК назначения в локальной сети, при отправлении пакета обратно. При необходимости меняться могут также номера портов ПК в ЛВС.

Технология Destination NAT предполагает трансляцию пакетов, направляемых в ЛВС из внешней среды - например, с онлайнового сервера, на конкретный ПК, имеющий локальный IP-адрес, который недоступен для соответствующего онлайнового сервера.

Основное преимущество применения схемы подключения ЛВС к интернету через NAT - централизация настроек соответствующей службы. Нет необходимости выставлять какие-либо специальные опции на каждом из ПК, подключенном к локальной сети.

Что такое Proxy?

Proxy - это технология, которая позволяет подключать ПК, объединенные в сеть, к тем или иным онлайновым сервисам через специальный шлюз, задействующийся отдельными приложениями. То есть для подключения ПК, которые входят в состав ЛВС, к proxy-серверу на каждом из них необходимо выставить настройки соединения. Технология Proxy - это, по сути, программная служба, загружаемая на отдельном сервере ЛВС или на одном из серверов интернета.

Компьютеры, подключенные к ЛВС, запрашивают доступ к онлайн-ресурсам не напрямую, а через IP-адрес и порт proxy-сервера. Данная концепция предопределяет наличие некоторого сходства между Proxy и NAT в том смысле, что онлайновый сервер направляет контент по запросу отдельных ПК на общий IP-адрес, прописанный в настройках proxy-сервера. Конечно, proxy-серверы в некоторых случаях могут устанавливать для подключаемых ПК уникальные внешние IP-адреса - но практически исключено их совпадение с оригинальными IP-адресами, под которыми компьютеры зарегистрированы в ЛВС.

Можно отметить, что существуют чисто «онлайновые» proxy-серверы, которые используются как раз таки в целях намеренной маскировки IP-адресов компьютеров, подключающихся к интернету. Принцип их работы в целом схож с тем, что характеризует функционирование proxy-серверов, устанавливаемых в ЛВС.

Одно из главных преимуществ использования технологии Proxy - возможность осуществлять кеширование онлайнового контента (сохранение в памяти сервера элементов посещенных веб-страниц, загруженных файлов), что позволяет ускорять доступ к интернету с отдельных ПК. Другие преимущества Proxy - в возможности:

• проводить контроль над доступом отдельных пользователей ЛВС к интернету, фильтрацию контента и адресов сайтов,
• устанавливать на proxy-серверах антивирусный софт, осуществляющий анализ исходящего и входящего трафика, что позволяет значительно повысить безопасность сети.

Технология Proxy рассматривается многими специалистами как более функциональная, чем NAT, поскольку позволяет внедрить широкий спектр алгоритмов управления сетевым доступом на программном уровне.

Сравнение

Главное отличие NAT от Proxy - в технологических принципах обеспечения одновременного доступа в интернет нескольких ПК, находящихся в составе ЛВС.

Если говорить о NAT, то данный стандарт управления сетевыми подключениями предполагает применение относительно более простых алгоритмов - когда адрес ПК, отправляющего пакет в интернет, меняется на адрес NAT-устройства, что позволяет последнему получить ответный пакет и доставить его по назначению. Корректировка отправляемого и получаемого пакетов при этом не осуществляется.

Технология Proxy предполагает использование более сложных механизмов обеспечения обмена пакетами между ПК, находящимися в ЛВС, и онлайновыми серверами. Так, например, при задействовании proxy-сервера контент может кешироваться, фильтроваться, проверяться на наличие вирусов.

Определив, в чем разница между NAT и Proxy, зафиксируем основные выводы в небольшой таблице.

Таблица

Рассмотрим типовой вариант - внутренняя сеть подключена через сервер доступа к Интернет и использует один внешний "белый" IP-адрес (см. вариант применения в разделе "Офисная сеть ").

Задача обеспечения доступа в Интернет из внутренней сети решается, как правило, с помощью NAT или прокси-сервера. Каждый подход имеет свои достоинства и недостатки.

Принцип работы NAT - это простая трансляция IP-адресов и портов в пакетах при прохождении через сервер. Для доступа через NAT не требуется никакая настройка клиентских программ - служба прозрачно транслирует все исходящие запросы наружу. Также этот подход отличает максимальная производительность и не требовательность к ресурсам сервера. Но NAT не позволяет приложению открывать входящие соединения. Это накладывает ограничения на некоторые протоколы, например IRC.

Traffic Inspector использует службу NAT Windows. Это называется ICS (Internet Connection Sharing) или RRAS (Routing and Remote Access Server) для серверных версий системы.

NAT может работать в режиме трансляции портов и адресов. Если используется один внешний адрес, то применяется трансляция портов. Но у провайдера можно дополнительно получить группу адресов и тогда через NAT какой-то внешний адрес может быть назначен на внутренний. Это удобно для случая, когда внутри сети находятся какие-то сервера и требуется прозрачная трансляция портов без их замены. Но всегда имеется возможность публикации наружу внутренних серверов даже на единственный внешний адрес.

В чистом виде NAT от Windows используется мало, так как там практически отсутствует возможность разграничения доступа и контроля трафика.

Прокси-сервер работает на уровне протоколов приложений и требует соответствующей поддержки со стороны клиентских программ и их настройки. Через него можно работать по протоколам HTTP или FTP. Также имеется специальный протокол прокси-серверов SOCKS, через который может работать любое приложение, использующее TCP. Через SOCKS можно открывать как исходящие, так и входящие соединения, так что тут снимаются проблемы NAT. Единственное ограничение - это необходимость поддержки SOCKS со стороны клиентских программ.

При работе с HTTP для экономии трафика прокси-сервера используют кэширование (временное сохранение) закачанных объектов, которые могут использоваться при повторных запросах. Использование кэширования может увеличить скорость доступа при загруженной сети Интернет.

Также с помощью прокси-сервера можно реализовать фильтрацию на уровне приложения - например, запретить доступ к какому-то конкретному ресурсу на сервере или сделать разграничение по контенту данных.

В составе Traffic Inspector имеется полнофункциональный HTTP/FTP/SOCKS прокси-сервер. Реализована гибкая фильтрация, имеется кэширование и возможность ограничения скорости работы. По функциональным возможностям он ничуть не уступает другим прокси-серверам. При работе через HTTP доступна работа с методом CONNECT, что позволяет работать с SSL, а также с помощью этого метода возможна работа с FTP, электронной почтой и другими приложениями, которые это поддерживают. Также имеется возможность работать с FTP через HTTP - при этом клиент использует HTTP (обычный браузер), получая данные с FTP-сервера в виде страниц.

Есть еще одна возможность работать с Интернет из внутренней сети - это получить у провайдера IP-подсеть, сконфигурировать сервер доступа как роутер и раздать клиентам "белые" адреса. Traffic Inspector в таком варианте также сможет работать. Но этот подход мало пригоден прежде всего из-за проблем с безопасностью. Но маршрутизация сети может потребоваться при организации DMZ (т.н. "демилитаризованной зоны") для размещения публичных серверов (см. вариант применения в разделе "

Прокси сервер предназначен для осуществления посредничества между рабочей станцией и всемирной сетью.

Прокси-компьютер пропускает через себя запросы пользователя, и затем возвращает полученные из Inetrnet результаты. Это своеобразное «доверенное лицо», способствующее одновременному доступу всех машин локальной сети в интернет. При этом администратор, настраивающий сетку, избавлен от необходимости присваивать каждой отдельной точке свой IP-адрес, выстраивать сложную схему маршрутизации, обращаться за дополнительной (как правило, платной) услугой к провайдеру.

Кроме лишней хлопотности и неоправданной дороговизны при таких методах, которые, к счастью, уже уходят в прошлое, теряется уровень безопасности данных в локалке, делая каждый её компьютер потенциальной мишенью для вирусных атак и хакерских взломов. Вдобавок, из-за отсутствия централизованного управления, администратору добавится забот по поводу контроля каждой отдельной станции. И, к слову, при втором способе настройки выхода локальной сети в Internet тоже нужна дополнительная программа на основной компьютер, которая будет осуществлять маршрутизацию пакетов, но, в отличие от прокси, передавая реальные IP-шники клиентов.

Маршрутизатор, который умеет менять адреса, получил название NAT-proxy (от английской аббревиатуры network address translation, что можно перевести как «преобразователь сетевых адресов»).

NAT — первый, простейший вид этой программы, такое себе переходное звено от одного типа настройки работы локальной сети к другому типу. Под названием «Общий доступ к подключению Интерната» NAT-proxy встречается уже в ОС Windows 2000 и XP. Эта программка рассчитана на среднестатистического пользователя, который не обязан обладать глубокими познаниями квалифицированного системного администратора. Для работы не требуется осуществлять какие бы то ни было специализированные хитромудрые настройки. Но, на самом деле, это преимущество весьма сомнительно. NAT, будучи универсальной проксей, не способен проникаться тонкостями прикладных протоколов. Поэтому для более корректной и безопасной работы стоит ознакомиться со специализированными proxy-программами.

Самая распространенная в своем классе ПО — НТТР-proxy . Из названия становится понятным, что в основу заложен принцип организации работы по НТТР-протоколу. Ни одна серьезная сеть без этой программы не обойдется. Что она умеет:

• Сохранять полученные из Internet файлы на серверный диск, что позволяет при повторном запросе выдать имеющиеся данные без обращения в WWW, увеличивая скорость работы и экономя общий трафик.
• Ограничивать доступ к ресурсам. К примеру, не пускать клиентов на сайты из «черного списка». Или не всех клиентов, а только определенную группу. Или не на все время пребывания в сети, а только в определенные часы. Это преимущество открывает широчайшие возможности организации клиентской части локальной сети
• Управлять приоритетами закачки. Это помогает избежать полного поглощения трафика любителями бесплатной музыки или просмотра он-лайн кино.
• Подсчитать использованный в заданный временной промежуток трафик.
• Определить рейтинг различных ресурсов

Особняком стоит выделенная из НТТР часть для работы с засекреченной информацией — НТТPS-прокси. Mapping-прокси имеет цель настроить через прокси работу тех программ, которые привыкли обращаться к ресурсам интернета безо всяческого посредничества, например, почтовые сервисы вроде The Bat и Outlook Express. С этими целями устанавливается локальный образ запрашиваемого программой сервера. Т.е., это своеобразный обман, уловка, которая, тем не менее, практически всегда срабатывает.

Socks-прокси — программа, набирающая обороты популярности за счет обеспечения клиентам возможности прозрачного использования сервисов за фаерволами. В наших