发烧测评网
国外主机测评网

国外服务器哪些类型内部服务器如何提供访问服务

内部服务器如何提供访问服务 通过内部服务器方式对互联网用户提供访问服务 在企业互联网接入应用中除了要满足基本的内部 PC 访问互联网的需求外,还有 一项很重要的业务就是企业信息对外发布, 只有信息对外发布才使企业业务为外 界所了解,带来商业机会,对外发布的载体通常就是一些 WEB 服务器。 在上图例子中, 内部服务器 192.168.10.2 对外提供了 2 项服务, 端口分别是 TCP 80 和 TCP 37777,由于服务器在内部,互联网 PC 是无法直接访问的,因此需 要在网关上作特殊设置, 使互联网 PC 访问网关的 WAN 口地址就可以访问内部 服务器,这项功能和共享上网的方向是相反的: 共享上网(动态 NAT) 访问发起方向 是否单向访问隔离 转换表项 内网访问外网 外网无法访问内网 由内网向外网发起访问时建立, 转 换表项具有生存窗口, 在窗口过期 后外网回包因无法匹配表项而被 丢弃,有单向访问的作用 源地址:内网?WAN 口地址 源端口:内网随机端口?WAN 口 随机端口 目的地址:WAN 口地址?内网地 址 目的端口:WAN 口转换表项端口 ?内网表项端口 内部服务器(端口映射) 外网访问内网 外网可以访问内网的固定端口 静态表项,国外在线代理服务器 生存窗口无限期, 使用 固定的端口进行映射, 方便外网随 时发起访问 源地址:内网?WAN 口地址 源端口:内网固定端口?WAN 口 固定端口 目的地址:WAN 口地址?内网地 址 目的端口:WAN 口固定端口?内 网固定端口 内网到外网方向转换内 容 外网到内网方向转换内 容 从上面来看,两者除了原理上的本质区别,对于互联网用户而言,只有两个 1.共享上网:外网用户无法随时访问内网用户,只能由内网用户发起访问后进行 回应,具备较高的安全性,只能通过引诱内网用户下载木马方式进行入侵。 2.内部服务器:开放了特定的端口,外网用户可以随时访问该端口,如果内部服 务器设计有缺陷的话,就有可能入侵。内部服务器原理如下图所示: 但总体而言,免费服务器永久使用内部服务器开放了有限的端口,或者说是用得着的端口,并不是所 有端口,所谓端口就代表这某项服务,有些已知的服务是存在漏洞的,比如蠕虫 病毒使用的 TCP 135 端口就使用 RPC DCOM 服务的漏洞。如果内部服务器开 放端口较多,那么就要求收集所有端口,国外十大免费服务器一一做成内部服务器的端口映射,如此 一来配置可能就稍显麻烦。 现在还有一种 DMZ 主机的功能, 它的作用是将所有无法匹配共享上网表项的外 网访问统统转换到 DMZ 主机,国外服务器哪些类型这么一来用户就只需要配置一台 DMZ 主机就可 以实现配置内部服务器多个端口映射需求,在配置上带来了简便,但是从原理上 来说 DMZ 主机只能配置一个,国外服务器哪些 而内部服务器端口映射可以将不同的端口映射到 不同的内部服务器上。DMZ 主机原理如下图所示: 由于 DMZ 主机几乎所有端口都暴露,所以极容易被入侵,一般在设计 DMZ 主 机时都会限制 DMZ 主机发起的任何访问, 如不允许 DMZ 主机对互联网和 LAN 内 PC 发起访问。只允许 DMZ 主机对访问进行响应,这样可以避免因为 DMZ 主机被入侵后,黑客利用 DMZ 主机再发起对内部的入侵的悲剧发生。 内部服务器(端口映射) DMZ 主机(默认端口转 发) 访问端口权限 是否单向访问隔离 适用场景 允许访问指定的端口 在默认情况,国外服务器哪些 内部服务器还可以访 问外网 对服务器安全要求较高; 允许内部 服务器发起访问; 存在多个内部服 务器; 允许访问所有端口 因为安全原因,DMZ 主机不得发 起任何访问,只允许被访问 内部只有一台服务器对外提供多 个访问服务 (开放多个端口, 特别 是一些端口不易收集或记忆情 况) ; 对服务器安全不是那么重视。 内部 PC 对内部服务器发起访问 内部 PC 和内部服务器都在客户的内部网络,那么访问的时候有什么特殊性呢, 如果单纯的内网访问内网是绝对没有问题, 问题就在于内部服务器主要是对外提 供服务的,访问者记住的是域名,域名解析出来就是商领网关的 WAN 口地址, 也就是说访问者都是在访问 WAN 口地址后转换的,那么内网用户也通过域名 (或 WAN 口地址)发起访问会有什么问题呢?我们来看一下原理: 我们会发现, 内网用户通过 WAN 口地址直接访问内部服务器是会失败的, 原因 就在于: 1.内部 PC 访问 60.191.99.140 会正确地进行转换成 192.168.10.2, 并转发给内 部服务器。 2.内部服务器收到的访问请求是来自于内部的 192.168.8.3,在回应时直接给了 192.168.8.3。 3.内部 PC 收到的访问回应时来自于 192.168.10.2 的,并不是 60.191.99.140 的,因此会被内部 PC 拒绝,访问失败。 为了使内部 PC 能够正确访问,我们要在商领网关上做一些修改,能够使内部服 务器不直接回应给内部 PC: 可以看到: 1.目的地址从 60.191.99.140 转换成 192.168.10.2 2.源地址也从 192.168.8.3 变成了商领网关的 LAN 口地址 192.168.10.1 对于内部服务器来说这次访问是由网关发起的,必然回应给网关: 从这里可以看出,网关在对回应的处理也是做了两次: 1.把源地址 60.191.99.140 改成 192.168.10.2 2.把目的地址 192.168.10.1 改成 192.168.8.3 对于内部 PC 而言,访问的是 60.191.99.140,回应的也是 60.191.99.140,因 此访问成功。那么如何进行这个配置呢?假设内部 PC 的网段包括 192.168.8.0/24、外国服务器192.168.1.0/24 和 192.168.10.0/24,请参考如下:

国外服务器哪些

版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《国外服务器哪些类型内部服务器如何提供访问服务》
文章链接:https://www.fashangji.cn/1386.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。
分享到: 更多 (0)

发烧测评网

联系我们联系我们