王小平　楊雅薇

目前，各級各類學校都在校園網(wǎng)中部署了一定數(shù)量的服務器。如：教育資源庫、視頻點播系統(tǒng)、學校網(wǎng)絡辦公系統(tǒng)、學籍管理系統(tǒng)、班級管理系統(tǒng)、校產(chǎn)管理系統(tǒng)和教學管理系統(tǒng)等等，實現(xiàn)了教育、教學、管理的現(xiàn)代化和無紙化，實現(xiàn)了資源的高度共享。如何保障這些服務器的安全，從而為信息技術支持下的教學和管理提供保障，成為值得研究的一個重要課題。

我校的校園網(wǎng)內(nèi)部署了6臺服務器。起初沒有經(jīng)過科學規(guī)劃，只是簡單地將服務器直接連接到網(wǎng)關，造成服務器頻繁遭受黑客、病毒、木馬的攻擊。為此，我利用NAT技術重新規(guī)劃服務器的部署?，F(xiàn)將規(guī)劃思路和設計方法介紹給大家。

一、NAT技術

NAT（Network Address Translation）是一個IETF標準，它允許一個整體機構(gòu)以一個公用IP地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡IP地址翻譯成合法網(wǎng)絡IP地址的技術。

NAT有三種類型：靜態(tài)NAT、動態(tài)地址NAT、網(wǎng)絡地址端口轉(zhuǎn)換NAPT。其中，靜態(tài)NAT的設置最為簡單，也最容易實現(xiàn)，內(nèi)部網(wǎng)絡中的每臺主機都被永久地映射成外部網(wǎng)絡中的某個合法地址。動態(tài)地址NAT則是在外部網(wǎng)絡中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡同一個IP地址的不同端口上。我校所用的技術即為NAPT。

NAPT普遍應用于接入設備中，它可以將中小型網(wǎng)絡隱藏在一個合法的IP地址后面。其工作原理是，將內(nèi)部IP地址映射到外部網(wǎng)絡中的一個單獨的IP地址上，同時加上一個由NAT設備選定的TCP端口號（如表1）這樣，如果要訪問192.168.1.3這臺服務器的Web服務，只有通過202.108.9.X：9080才可以訪問，從而有效地將服務器保護起來。

二、校園網(wǎng)網(wǎng)絡結(jié)構(gòu)分析

高效、規(guī)范的網(wǎng)絡部署應該建立在科學的網(wǎng)絡結(jié)構(gòu)分析基礎之上。筆者所管理的校園網(wǎng)通過網(wǎng)關接入教育城域網(wǎng)。校園網(wǎng)中部署了Web服務器、資源服務器、辦公自動化（OA）服務器、FTP服務器、ＶＯＤ視頻點播服務器。校內(nèi)所有用戶通過網(wǎng)關共享訪問Internet。所有服務器均采用城域網(wǎng)分配的IP地址，通過網(wǎng)關直接接入城域網(wǎng)（如圖１）。網(wǎng)關不支持NAPT，只支持簡單靜態(tài)NAT。網(wǎng)絡部署的第一種方案是采購支持NAT防火墻網(wǎng)絡設備,替換現(xiàn)有網(wǎng)關。第二種方案是用普通PC構(gòu)建NAT轉(zhuǎn)換平臺。由于硬件防火墻的設備動輒幾萬到幾十萬，對于一所普通公辦學校來說，是一筆不小的開支，同時原有的網(wǎng)關仍有其用武之地，于是我們選擇了第二種方案。

三、構(gòu)建NAT轉(zhuǎn)換平臺

目前構(gòu)建NAT轉(zhuǎn)換平臺的軟件大致可分為Win- dows、Linux以及專業(yè)路由器軟件三大陣營。Win-dows平臺下有WinRoute、Microsoft ISA Server。Linux平臺下有CoyoteLinux、SmoothWall。專業(yè)路由器軟件有Mikrotk RouterOS、IPcop。下面，以Windows+WinRoute6.0為例，（其他軟件的構(gòu)建方法類似），介紹其構(gòu)建過程。

1.前期準備

準備一臺普通PC，其配置很簡單：Pentium Ⅲ以上的CPU；256 MB以上的內(nèi)存；20G以上硬盤（主要用于存放日志文件）；兩塊100M網(wǎng)卡；Windows 2003 Server操作系統(tǒng)。

2.軟件介紹

WinRoute6.0通過NAT和代理服務器實現(xiàn)網(wǎng)絡共享。該軟件除了具有NAT功能外，還具有超強的病毒防護功能。WinRoute6.0的安裝比較簡單，安裝過程中遇到問題的讀者可以參考相關的安裝資料。

3.制定轉(zhuǎn)換方案

在開始進行NAT轉(zhuǎn)換配置前，要仔細考慮和規(guī)劃轉(zhuǎn)換方案。與原先的網(wǎng)絡結(jié)構(gòu)相比，規(guī)劃方案（如圖2）增加了一臺裝有WinRoute的普通PC作為NAT轉(zhuǎn)換平臺，并調(diào)整服務器群的IP地址（具體映射關系如表2所示）。

4．NAT轉(zhuǎn)換配置

登錄WinRoute管理控制臺，并進入訪問策略設置頁面（如圖3）。依據(jù)表2建立相應的訪問策略即可。

經(jīng)過以上調(diào)整，校園網(wǎng)中的服務器群很好地隱藏了起來。當黑客依據(jù)IP地址進行攻擊時，其實際攻擊的是NAT轉(zhuǎn)換平臺,并非真實的服務器，而由于網(wǎng)絡方面受到了嚴格的控制，要攻破ＮＡＴ轉(zhuǎn)換平臺也絕非易事。利用NAT技術為校園網(wǎng)的服務器群構(gòu)筑了一道安全防線。

（作者單位：江蘇無錫市蠡園中學）