利用NAT技术构筑校园网服务器的安全防线

1、利用NAT技术构筑校园网服务器的安全防线目前，各级各类学校都在校园网中部署了一定数量的服务器。如：教育资源库、视频点播系统、学校网络办公系统、学籍管理系统、班级管理系统、校产管理系统和教学管理系统等等，实现了教育、教学、管理的现代化和无纸化，实现了资源的高度共享。如何保障这些服务器的安全，从而为信息技术支持下的教学和管理提供保障，成为值得研究的一个重要课题。我校的校园网内部署了6台服务器。起初没有经过科学规划，只是简单地将服务器直接连接到网关，造成服务器频繁遭受黑客、病毒、木马的攻击。为此，我利用NAT技术重新规划服务器的部署。现将规划思路和设计方法介绍给大家。一、NAT技术NAT(Netwo

2、rkAddressTranslation)是一个IETF标准，它允许一个整体机构以一个公用IP地址出现在Internet上。顾名思义，它是一种把内部私有网络IP地址翻译成合法网络IP地址的技术。NATW三种类型：静态NAT动态地址NAT网络地址端口转换NAPT其中，静态NA硒设置最为简单，也最容易实现，内部网络中的每台主机都被永久地映射成外部网络中的某个合法地址。动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAP顶U是把内部地址映射到外部网络同一个IP地址的不同端口上。我校所用的技术即为NAPT。NAPTt遍应用于接入设备中，它可以将中小型网络隐藏在

3、一个合法的IP地址后面。其工作原理是，将内部IP地址映射到外部网络中的一个单独的IP地址上，同时加上一个由NAT设备选定的TC嘲口号（如表1）这样，如果要访问这台服务器的Web服务，只有通过202.108.9.X:9080才可以访问，从而有效地将服务器保护起来。二、校园网网络结构分析高效、规范的网络部署应该建立在科学的网络结构分析基础之上。笔者所管理的校园网通过网关接入教育城域网。校园网中部署了Web务器、资源服务器、办公自动化（OQ服务器、FTP服务器、VOD视频点播服务器。校内所有用户通过网关共享访问Internet。所有服务器均采用城域网分配的IP地址，通过网关直接

4、接入城域网（如图1）。网关不支持NAPT只支持简单静态NAT网络部署的第一种方案是采购支持NAT防火墙网络设备，替换现有网关。第二种方案是用普通PC构建NAT换平台。由于硬件防火墙的设备动辄几万到几十万，对于一所普通公办学校来说，是一笔不小的开支，同时原有的网关仍有其用武之地，于是我们选择了第二种方案。三、构建NA璐专换平台目前构建NATW换平台的软件大致可分为Win-dows、LinuxWin-dows平台下有WinRoute、MicrosoftISAServer。Linux平台下有CoyoteLinux、SmoothWall。专业路由器软件有MikrotkRouterOS、IPcop。下面

5、，以Windows+WinRoute6.0为例，（其他软件的构建方法类似），介绍其构建过程。1. 前期准备准备一台普通PC,其配置很简单：Pentiumm以上的CPU256MB以上的内存；20G以上硬盘（主要用于存放日志文件）；两块100M网卡；Windows2003Server操作系统。2. 软件介绍WinRoute6.0通过NATffi代理服务器实现网络共享。该软件除了具有NAT功能外，还具有超强的病毒防护功能。WinRoute6.0的安装比较简单，安装过程中遇到问题的读者可以参考相关的安装资料。3. 制定转换方案在开始进行NAT$换配置前，要仔细考虑和规划转换方案。与原先的网络结构相比，规划方案（如图2）增加了一台装有WinRoute的普通PC作为NAT转换平台，并调整服务器群的IP地址（具体映射关系如表2所示）。4. NATW换配置登录WinRoute管理控制台，并进入访问策略设置页面（如图3）。依据表2建立相应的访问策略即可。经过以上调整，校园网中的服务器群很好地隐藏了起来。当黑客依据IP地址