内部服务器如何提供访问服务
生活随笔
收集整理的這篇文章主要介紹了
内部服务器如何提供访问服务
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
內部服務器如何提供訪問服務
通過內部服務器方式對互聯網用戶提供訪問服務
在企業互聯網接入應用中除了要滿足基本的內部PC訪問互聯網的需求外,還有一項很重要的業務就是企業信息對外發布,只有信息對外發布才使企業業務為外界所了解,帶來商業機會,對外發布的載體通常就是一些WEB服務器。
在上圖例子中,內部服務器192.168.10.2對外提供了2項服務,端口分別是TCP 80和TCP 37777,由于服務器在內部,互聯網PC是無法直接訪問的,因此需要在網關上作特殊設置,使互聯網PC訪問網關的WAN口地址就可以訪問內部服務器,這項功能和共享上網的方向是相反的:
共享上網(動態NAT)
內部服務器(端口映射)
訪問發起方向
內網訪問外網
外網訪問內網
是否單向訪問隔離
外網無法訪問內網
外網可以訪問內網的固定端口
轉換表項
由內網向外網發起訪問時建立,轉換表項具有生存窗口,在窗口過期后外網回包因無法匹配表項而被丟棄,有單向訪問的作用
靜態表項,生存窗口無限期,使用固定的端口進行映射,方便外網隨時發起訪問
內網到外網方向轉換內容
源地址:內網àWAN口地址
源端口:內網隨機端口àWAN口隨機端口
源地址:內網àWAN口地址
源端口:內網固定端口àWAN口固定端口
外網到內網方向轉換內容
目的地址:WAN口地址à內網地址
目的端口:WAN口轉換表項端口à內網表項端口
目的地址:WAN口地址à內網地址
目的端口:WAN口固定端口à內網固定端口
從上面來看,兩者除了原理上的本質區別,對于互聯網用戶而言,只有兩個
1. 共享上網:外網用戶無法隨時訪問內網用戶,只能由內網用戶發起訪問后進行回應,具備較高的安全性,只能通過引誘內網用戶下載木馬方式進行入侵。
2. 內部服務器:開放了特定的端口,外網用戶可以隨時訪問該端口,如果內部服務器設計有缺陷的話,就有可能入侵。內部服務器原理如下圖所示:
但總體而言,內部服務器開放了有限的端口,或者說是用得著的端口,并不是所有端口,所謂端口就代表這某項服務,有些已知的服務是存在漏洞的,比如蠕蟲病毒使用的TCP 135端口就使用RPC DCOM服務的漏洞。如果內部服務器開放端口較多,那么就要求收集所有端口,一一做成內部服務器的端口映射,如此一來配置可能就稍顯麻煩。
現在還有一種DMZ主機的功能,它的作用是將所有無法匹配共享上網表項的外網訪問統統轉換到DMZ主機,這么一來用戶就只需要配置一臺DMZ主機就可以實現配置內部服務器多個端口映射需求,在配置上帶來了簡便,但是從原理上來說DMZ主機只能配置一個,而內部服務器端口映射可以將不同的端口映射到不同的內部服務器上。DMZ主機原理如下圖所示:
由于DMZ主機幾乎所有端口都暴露,所以極容易被入侵,一般在設計DMZ主機時都會限制DMZ主機發起的任何訪問,如不允許DMZ主機對互聯網和LAN內PC發起訪問。只允許DMZ主機對訪問進行響應,這樣可以避免因為DMZ主機被入侵后,黑客利用DMZ主機再發起對內部的入侵的悲劇發生。
內部服務器(端口映射)
DMZ主機(默認端口轉發)
訪問端口權限
允許訪問指定的端口
允許訪問所有端口
是否單向訪問隔離
在默認情況,內部服務器還可以訪問外網
因為安全原因,DMZ主機不得發起任何訪問,只允許被訪問
適用場景
對服務器安全要求較高;允許內部服務器發起訪問;存在多個內部服務器;
內部只有一臺服務器對外提供多個訪問服務(開放多個端口,特別是一些端口不易收集或記憶情況);對服務器安全不是那么重視。
內部PC對內部服務器發起訪問
內部PC和內部服務器都在客戶的內部網絡,那么訪問的時候有什么特殊性呢,如果單純的內網訪問內網是絕對沒有問題,問題就在于內部服務器主要是對外提供服務的,訪問者記住的是域名,域名解析出來就是商領網關的WAN口地址,也就是說訪問者都是在訪問WAN口地址后轉換的,那么內網用戶也通過域名(或WAN口地址)發起訪問會有什么問題呢?我們來看一下原理:
我們會發現,內網用戶通過WAN口地址直接訪問內部服務器是會失敗的,原因就在于:
1. 內部PC訪問60.191.99.140會正確地進行轉換成192.168.10.2,并轉發給內部服務器。
2. 內部服務器收到的訪問請求是來自于內部的192.168.8.3,在回應時直接給了192.168.8.3。
3. 內部PC收到的訪問回應時來自于192.168.10.2的,并不是60.191.99.140的,因此會被內部PC拒絕,訪問失敗。
為了使內部PC能夠正確訪問,我們要在商領網關上做一些修改,能夠使內部服務器不直接回應給內部PC:
可以看到:
1. 目的地址從60.191.99.140轉換成192.168.10.2
2. 源地址也從192.168.8.3變成了商領網關的LAN口地址192.168.10.1
對于內部服務器來說這次訪問是由網關發起的,必然回應給網關:
從這里可以看出,網關在對回應的處理也是做了兩次:
1. 把源地址60.191.99.140改成192.168.10.2
2. 把目的地址192.168.10.1改成192.168.8.3
對于內部PC而言,訪問的是60.191.99.140,回應的也是60.191.99.140,因此訪問成功。那么如何進行這個配置呢?假設內部PC的網段包括192.168.8.0/24、192.168.1.0/24和192.168.10.0/24,請參考如下:
通過內部服務器方式對互聯網用戶提供訪問服務
在企業互聯網接入應用中除了要滿足基本的內部PC訪問互聯網的需求外,還有一項很重要的業務就是企業信息對外發布,只有信息對外發布才使企業業務為外界所了解,帶來商業機會,對外發布的載體通常就是一些WEB服務器。
在上圖例子中,內部服務器192.168.10.2對外提供了2項服務,端口分別是TCP 80和TCP 37777,由于服務器在內部,互聯網PC是無法直接訪問的,因此需要在網關上作特殊設置,使互聯網PC訪問網關的WAN口地址就可以訪問內部服務器,這項功能和共享上網的方向是相反的:
共享上網(動態NAT)
內部服務器(端口映射)
訪問發起方向
內網訪問外網
外網訪問內網
是否單向訪問隔離
外網無法訪問內網
外網可以訪問內網的固定端口
轉換表項
由內網向外網發起訪問時建立,轉換表項具有生存窗口,在窗口過期后外網回包因無法匹配表項而被丟棄,有單向訪問的作用
靜態表項,生存窗口無限期,使用固定的端口進行映射,方便外網隨時發起訪問
內網到外網方向轉換內容
源地址:內網àWAN口地址
源端口:內網隨機端口àWAN口隨機端口
源地址:內網àWAN口地址
源端口:內網固定端口àWAN口固定端口
外網到內網方向轉換內容
目的地址:WAN口地址à內網地址
目的端口:WAN口轉換表項端口à內網表項端口
目的地址:WAN口地址à內網地址
目的端口:WAN口固定端口à內網固定端口
從上面來看,兩者除了原理上的本質區別,對于互聯網用戶而言,只有兩個
1. 共享上網:外網用戶無法隨時訪問內網用戶,只能由內網用戶發起訪問后進行回應,具備較高的安全性,只能通過引誘內網用戶下載木馬方式進行入侵。
2. 內部服務器:開放了特定的端口,外網用戶可以隨時訪問該端口,如果內部服務器設計有缺陷的話,就有可能入侵。內部服務器原理如下圖所示:
但總體而言,內部服務器開放了有限的端口,或者說是用得著的端口,并不是所有端口,所謂端口就代表這某項服務,有些已知的服務是存在漏洞的,比如蠕蟲病毒使用的TCP 135端口就使用RPC DCOM服務的漏洞。如果內部服務器開放端口較多,那么就要求收集所有端口,一一做成內部服務器的端口映射,如此一來配置可能就稍顯麻煩。
現在還有一種DMZ主機的功能,它的作用是將所有無法匹配共享上網表項的外網訪問統統轉換到DMZ主機,這么一來用戶就只需要配置一臺DMZ主機就可以實現配置內部服務器多個端口映射需求,在配置上帶來了簡便,但是從原理上來說DMZ主機只能配置一個,而內部服務器端口映射可以將不同的端口映射到不同的內部服務器上。DMZ主機原理如下圖所示:
由于DMZ主機幾乎所有端口都暴露,所以極容易被入侵,一般在設計DMZ主機時都會限制DMZ主機發起的任何訪問,如不允許DMZ主機對互聯網和LAN內PC發起訪問。只允許DMZ主機對訪問進行響應,這樣可以避免因為DMZ主機被入侵后,黑客利用DMZ主機再發起對內部的入侵的悲劇發生。
內部服務器(端口映射)
DMZ主機(默認端口轉發)
訪問端口權限
允許訪問指定的端口
允許訪問所有端口
是否單向訪問隔離
在默認情況,內部服務器還可以訪問外網
因為安全原因,DMZ主機不得發起任何訪問,只允許被訪問
適用場景
對服務器安全要求較高;允許內部服務器發起訪問;存在多個內部服務器;
內部只有一臺服務器對外提供多個訪問服務(開放多個端口,特別是一些端口不易收集或記憶情況);對服務器安全不是那么重視。
內部PC對內部服務器發起訪問
內部PC和內部服務器都在客戶的內部網絡,那么訪問的時候有什么特殊性呢,如果單純的內網訪問內網是絕對沒有問題,問題就在于內部服務器主要是對外提供服務的,訪問者記住的是域名,域名解析出來就是商領網關的WAN口地址,也就是說訪問者都是在訪問WAN口地址后轉換的,那么內網用戶也通過域名(或WAN口地址)發起訪問會有什么問題呢?我們來看一下原理:
我們會發現,內網用戶通過WAN口地址直接訪問內部服務器是會失敗的,原因就在于:
1. 內部PC訪問60.191.99.140會正確地進行轉換成192.168.10.2,并轉發給內部服務器。
2. 內部服務器收到的訪問請求是來自于內部的192.168.8.3,在回應時直接給了192.168.8.3。
3. 內部PC收到的訪問回應時來自于192.168.10.2的,并不是60.191.99.140的,因此會被內部PC拒絕,訪問失敗。
為了使內部PC能夠正確訪問,我們要在商領網關上做一些修改,能夠使內部服務器不直接回應給內部PC:
可以看到:
1. 目的地址從60.191.99.140轉換成192.168.10.2
2. 源地址也從192.168.8.3變成了商領網關的LAN口地址192.168.10.1
對于內部服務器來說這次訪問是由網關發起的,必然回應給網關:
從這里可以看出,網關在對回應的處理也是做了兩次:
1. 把源地址60.191.99.140改成192.168.10.2
2. 把目的地址192.168.10.1改成192.168.8.3
對于內部PC而言,訪問的是60.191.99.140,回應的也是60.191.99.140,因此訪問成功。那么如何進行這個配置呢?假設內部PC的網段包括192.168.8.0/24、192.168.1.0/24和192.168.10.0/24,請參考如下:
總結
以上是生活随笔為你收集整理的内部服务器如何提供访问服务的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: shell获取当前进程pid和上一个进程
- 下一篇: [转载]详细解说STL排序(sort)-