內(nèi)部服務器如何提供訪問服務
通過內(nèi)部服務器方式對互聯(lián)網(wǎng)用戶提供訪問服務

在企業(yè)互聯(lián)網(wǎng)接入應用中除了要滿足基本的內(nèi)部PC訪問互聯(lián)網(wǎng)的需求外，還有一項很重要的業(yè)務就是企業(yè)信息對外發(fā)布，只有信息對外發(fā)布才使企業(yè)業(yè)務為外界所了解，帶來商業(yè)機會，對外發(fā)布的載體通常就是一些WEB服務器。

在上圖例子中，內(nèi)部服務器192.168.10.2對外提供了2項服務，端口分別是TCP 80和TCP 37777，由于服務器在內(nèi)部，互聯(lián)網(wǎng)PC是無法直接訪問的，因此需要在網(wǎng)關(guān)上作特殊設(shè)置，使互聯(lián)網(wǎng)PC訪問網(wǎng)關(guān)的WAN口地址就可以訪問內(nèi)部服務器，這項功能和共享上網(wǎng)的方向是相反的：



共享上網(wǎng)（動態(tài)NAT）


內(nèi)部服務器（端口映射）

訪問發(fā)起方向


內(nèi)網(wǎng)訪問外網(wǎng)


外網(wǎng)訪問內(nèi)網(wǎng)

是否單向訪問隔離


外網(wǎng)無法訪問內(nèi)網(wǎng)


外網(wǎng)可以訪問內(nèi)網(wǎng)的固定端口

轉(zhuǎn)換表項


由內(nèi)網(wǎng)向外網(wǎng)發(fā)起訪問時建立，轉(zhuǎn)換表項具有生存窗口，在窗口過期后外網(wǎng)回包因無法匹配表項而被丟棄，有單向訪問的作用


靜態(tài)表項，生存窗口無限期，使用固定的端口進行映射，方便外網(wǎng)隨時發(fā)起訪問

內(nèi)網(wǎng)到外網(wǎng)方向轉(zhuǎn)換內(nèi)容


源地址：內(nèi)網(wǎng)àWAN口地址

源端口：內(nèi)網(wǎng)隨機端口àWAN口隨機端口


源地址：內(nèi)網(wǎng)àWAN口地址

源端口：內(nèi)網(wǎng)固定端口àWAN口固定端口

外網(wǎng)到內(nèi)網(wǎng)方向轉(zhuǎn)換內(nèi)容


目的地址：WAN口地址à內(nèi)網(wǎng)地址

目的端口：WAN口轉(zhuǎn)換表項端口à內(nèi)網(wǎng)表項端口


目的地址：WAN口地址à內(nèi)網(wǎng)地址

目的端口：WAN口固定端口à內(nèi)網(wǎng)固定端口

從上面來看，兩者除了原理上的本質(zhì)區(qū)別，對于互聯(lián)網(wǎng)用戶而言，只有兩個

1. 共享上網(wǎng)：外網(wǎng)用戶無法隨時訪問內(nèi)網(wǎng)用戶，只能由內(nèi)網(wǎng)用戶發(fā)起訪問后進行回應，具備較高的安全性，只能通過引誘內(nèi)網(wǎng)用戶下載木馬方式進行入侵。

2. 內(nèi)部服務器：開放了特定的端口，外網(wǎng)用戶可以隨時訪問該端口，如果內(nèi)部服務器設(shè)計有缺陷的話，就有可能入侵。內(nèi)部服務器原理如下圖所示：

但總體而言，內(nèi)部服務器開放了有限的端口，或者說是用得著的端口，并不是所有端口，所謂端口就代表這某項服務，有些已知的服務是存在漏洞的，比如蠕蟲病毒使用的TCP 135端口就使用RPC DCOM服務的漏洞。如果內(nèi)部服務器開放端口較多，那么就要求收集所有端口，一一做成內(nèi)部服務器的端口映射，如此一來配置可能就稍顯麻煩。

現(xiàn)在還有一種DMZ主機的功能，它的作用是將所有無法匹配共享上網(wǎng)表項的外網(wǎng)訪問統(tǒng)統(tǒng)轉(zhuǎn)換到DMZ主機，這么一來用戶就只需要配置一臺DMZ主機就可以實現(xiàn)配置內(nèi)部服務器多個端口映射需求，在配置上帶來了簡便，但是從原理上來說DMZ主機只能配置一個，而內(nèi)部服務器端口映射可以將不同的端口映射到不同的內(nèi)部服務器上。DMZ主機原理如下圖所示：

由于DMZ主機幾乎所有端口都暴露，所以極容易被入侵，一般在設(shè)計DMZ主機時都會限制DMZ主機發(fā)起的任何訪問，如不允許DMZ主機對互聯(lián)網(wǎng)和LAN內(nèi)PC發(fā)起訪問。只允許DMZ主機對訪問進行響應，這樣可以避免因為DMZ主機被入侵后，黑客利用DMZ主機再發(fā)起對內(nèi)部的入侵的悲劇發(fā)生。



內(nèi)部服務器（端口映射）


DMZ主機（默認端口轉(zhuǎn)發(fā)）

訪問端口權(quán)限


允許訪問指定的端口


允許訪問所有端口

是否單向訪問隔離


在默認情況，內(nèi)部服務器還可以訪問外網(wǎng)


因為安全原因，DMZ主機不得發(fā)起任何訪問，只允許被訪問

適用場景


對服務器安全要求較高；允許內(nèi)部服務器發(fā)起訪問；存在多個內(nèi)部服務器；


內(nèi)部只有一臺服務器對外提供多個訪問服務（開放多個端口，特別是一些端口不易收集或記憶情況）；對服務器安全不是那么重視。


內(nèi)部PC對內(nèi)部服務器發(fā)起訪問

內(nèi)部PC和內(nèi)部服務器都在客戶的內(nèi)部網(wǎng)絡，那么訪問的時候有什么特殊性呢，如果單純的內(nèi)網(wǎng)訪問內(nèi)網(wǎng)是絕對沒有問題，問題就在于內(nèi)部服務器主要是對外提供服務的，訪問者記住的是域名，域名解析出來就是商領(lǐng)網(wǎng)關(guān)的WAN口地址，也就是說訪問者都是在訪問WAN口地址后轉(zhuǎn)換的，那么內(nèi)網(wǎng)用戶也通過域名（或WAN口地址）發(fā)起訪問會有什么問題呢？我們來看一下原理：

我們會發(fā)現(xiàn)，內(nèi)網(wǎng)用戶通過WAN口地址直接訪問內(nèi)部服務器是會失敗的，原因就在于：

1. 內(nèi)部PC訪問60.191.99.140會正確地進行轉(zhuǎn)換成192.168.10.2，并轉(zhuǎn)發(fā)給內(nèi)部服務器。

2. 內(nèi)部服務器收到的訪問請求是來自于內(nèi)部的192.168.8.3，在回應時直接給了192.168.8.3。

3. 內(nèi)部PC收到的訪問回應時來自于192.168.10.2的，并不是60.191.99.140的，因此會被內(nèi)部PC拒絕，訪問失敗。

為了使內(nèi)部PC能夠正確訪問，我們要在商領(lǐng)網(wǎng)關(guān)上做一些修改，能夠使內(nèi)部服務器不直接回應給內(nèi)部PC：

可以看到：

1. 目的地址從60.191.99.140轉(zhuǎn)換成192.168.10.2

2. 源地址也從192.168.8.3變成了商領(lǐng)網(wǎng)關(guān)的LAN口地址192.168.10.1

對于內(nèi)部服務器來說這次訪問是由網(wǎng)關(guān)發(fā)起的，必然回應給網(wǎng)關(guān)：

從這里可以看出，網(wǎng)關(guān)在對回應的處理也是做了兩次：

1. 把源地址60.191.99.140改成192.168.10.2

2. 把目的地址192.168.10.1改成192.168.8.3

對于內(nèi)部PC而言，訪問的是60.191.99.140，回應的也是60.191.99.140，因此訪問成功。那么如何進行這個配置呢？假設(shè)內(nèi)部PC的網(wǎng)段包括192.168.8.0/24、192.168.1.0/24和192.168.10.0/24，請參考如下：

總結(jié)

以上是生活随笔為你收集整理的内部服务器如何提供访问服务的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。