利用NAT技术把内部服务器安全放置到公网

随着企业信息化办公的需求日益高涨，网络管理员面临着一个非常现实的问题。即如何让员工在家里也可以访问企业内部的服务器，如文件服务器或者ERP服务器等等。而且现在不少的客户为了增强与企业的沟通，也要求企业部分开放他们内部的管理系统。如客户要求能够查询企业内部ERP系统他们企业订单的出货情况等等。

　　但是，企业如果把自己内部的服务器放置在公网上让其它相关人员进行访问，存在不少的问题。如下面这个简单的网络设计图，就是当前的普遍情况。

　　企业内部有两台服务器，分别为OA办公自动化服务器(192.168.0.3)与文件服务器(192.168.0.3)。普通的用户通过路由器和ADSL猫连入互联网。此时，若没有其它技术的帮助，企业外部网络的用户是无法访问企业内部服务器的。若企业想把企业内部的这些服务器防止到公网上，需要解决不少难题。主要来说，需要解决两个问题。

　　一是IP地址的问题。如果网络管理员需要把这两台服务器放置在公网上，则就至少需要两个合法的公网地址。因为若要外部用户通过互联网访问某个应用服务的话，则应用服务器必须要拥有合法的公网地址。否则的话，企业外部用户是无法访问这些应用服务的。而现实的问题是，国内公网IP地址匮乏。不少企业只有一个公网IP地址。没有多余的公网地址可以满足这些服务器的公网应用。

　　二是安全访问的考虑。由于现在互联网上存在比较多的安全危险。病毒、木马、恶意程序等等充斥着网络。而且对于大部分企业来说，又不能够安排足够的技术人员来负责这些应用服务器的安全。毕竟这些只是企业的辅助工具，而不是生产利润的源泉。所以若把这些服务器赤裸裸的放置在公网上，就会受到比较大的安全危威胁。所以即使企业有足够的公网IP地址，把服务器公开在互联网上也是不安全的。

　　那么该如何解决这些问题呢?既能够解决远程用户访问企业内部应用的需求，又同时要保障这些应用服务的安全性呢?网络专家设计了比较多的解决方案。利用NAT技术把内部服务器放置到公网中就是其中比较有代表的一个解决方案。笔者这里就跟大家分享一下在微软网络环境中如何通过NAT服务器让用户通过互联网访问内部的文件服务器与OA应用服务。下图就是利用NAT网络架构的基本示意图。

　　从图中，我们可以看到这个解决方案跟企业现有的网络架构没有多大的差异。只是把路由器换作了NAT服务器而已。可是，两者在功能上有很大的差异。若采用以上这个设计，则企业可以实现如下额外的功能。

　　1、支持多个内部地址与一个公网地址的映射，从而让外界的特殊应用软件可以通过NAT服务器来与企业内部的应用软件进行通信。如上图中企业的员工，如果在家里也想访问企业内部的OA服务器与文件服务器，则只需要输入企业的公网IP地址以及这些服务所采用的端口，则NAT服务就自动会把连接请求发送给内部的应用服务器。然后把内部服务器返回的结果反馈给用户。如此用户就可以通过互联网访问企业内部的应用服务。

　　2、NAT服务器还可以当作DHCP服务器来使用，给企业内部的计算机自动分配IP地址。同时，企业外网用户利用NAT技术来访问内部网络资源的时候，NAT服务器也需要给他们分配一个局域网内部的IP地址。也就是说，在信息处理的时候，NAT服务器把外部用户当作自己局域网的用户来处理。而NAT服务器如果配置了DHCP功能的话，则可以同时给内往网的用户自动分配IP地址。这可以有效的避免IP地址冲突的问题，同时会明显降低网络管理员的工作量。

　　3、把内部应用服务器隐藏起来，保障其安全性。当用户通过NAT服务器来访问企业内部应用的时候，其实他们只知道要访问的是NAT服务器，而不知道192.168.0.2等文件服务器、OA服务器的真实信息。通过黑客专用的扫描工具也无法查到这些内部应用服务器所采用的操作系统以及可能存在的漏洞。如此的话，这些内部服务器的安全就有了很大的保障。

　　可见这台NAT服务器的功能很强大。其实其主要工作就是执行IP地址与端口的转换工作。NAT服务器一般需要由两张网卡。其中一张网卡需要有公网IP地址，主要用来根互联网进行通信。另一张网卡则需要配置企业内部局域网地址，主要用来根企业内部的主机进行通信。通过了解NAT服务器的工作过程，对于网络管理员进行网络设计与维护有比较大的意义。

　　在下篇文章中笔者将详细介绍NAT服务器的工作过程以及具体的配置。如果大家正等着利用NAT技术来实现远程用户访问企业内部服务器的问题，请关注我下篇文章。相信这个NAT网络架构可以帮助大家解决这个难题。