最近在研究TUXEDO,写的两篇帖子中,版主koei给我提出了一个问题,就是防火墙内网外网地址不一样该怎么办?基于这个问题,我前面只是简单的说了一下用NAT(Network Address Translator),也就是网络地址转换解决!由于我也不太清楚,所以,并不敢做过多的解释!今天,在这里,就说一下我的观点!如果,有不对的地方,也希望大家指正.....这里,我先提出几个问题,然后,我们再从这几个问题探讨。
首先,防火墙是啥?
其次,远程客户端与服务器之间有防火墙,端口的开设问题?
再次,就是什么内网地址,什么又是外网地址?
最后,内外网地址,肯定是不一样的,那么,该如何通信呢?
好的,基于上述的几个问题,我们一一讨论一下!
一、网络防火墙
所谓的网络防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,他是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓的"防火墙",是指一种内部网和公众访问网分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你"同意"的人和数据进入你的网络,同时将你"不同意"的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信!说到这里,我就想起了,前几天,我用公司的网络登陆163邮箱,还有就是百度文库账号,还有就是QQ空间,发现登陆不上去,提示网页无法访问,我想应该就是防火墙将这些拒之门外.....
二、远程客户端与服务器之间有防火墙,端口的开设问题?
在上一篇帖子中《远程客户端以及WSL》 中,主要写的是远程客户端与服务器之间的通信!那么,如果远程客户端和服务器之间有网络防火墙,并且恰好端口被屏蔽了,那么远程客户端就不能访问服务器了!在《远程客户端以及WSL》这篇帖子中,提到当客户机执行tpinit连接服务器时,WSL从"WSH Pool"中取出一个负载最小的WSH,并把客户请求放到它的请求队列中。WSH代表客户机,把请求放到服务器的请求队列中。服务器处理完请求后,把相应结果传给WSH,WSH再把它返回给客户机。所以,防火墙如果拦截的话,会拦截WSH用到的请求端口。所以我们应该设置防火墙,将WSH用到的端口打开!但是,WSH可能会用到2048到65535之间的任何一个端口,如果我们把这些端口全部打开,那么防火墙的也就不用存在了....相当于允许所有人访问一样.....
所以,解决方法是,指定WSH可以使用的端口范围,并且在防火墙放行这些端口,否则客户单就不可能连接到TUXEDO服务器。下面的配置指令把WSH的可用端口限制在2048到2058之间
WSL SRVID =10 SRVGRP=WSGRP RESTART=Y MAXGEN=10 GRACE=3600
CLOP="-A --n -n//127.0.0.1:7110 -m 5 -M 10 -x 5 -p 2048 -P 2058"
三、内网地址和外网地址
外网:外网上的服务器拥有公共合法ip地址,即能够被公网访问。
内网:内网上的服务器只拥有局域网ip地址。
广域网(WAN),就是我们常说的Internet,它是一个遍及全世界的网络。
局域网(LAN),相对于广域网而言,主要指在小范围内的计算机互联网,这个小范围可以使一个家庭,一所学校,一家公司,或者是一个政府部门。
广域网上的每一台电脑(或其他网络设备)都是一个或多个广域网IP地址(或者说公网、外网IP地址),广域网IP地址一般要到ISP处交费才能申请,关于网IP地址不能重复;局域网(LAN)上的每一台电脑多有一个活多个局域网IP地址,局域网IP地址是局域网内部分配的,不同局域网IP地址可以重复,互不影响。
说白了点,我们平时连接一根宽带,插上网线,需要拨号上网,这就属于广域网,也就是所谓的外网。当我们连上一个路由器后,我们的电脑此刻就属于局域网,也就是所谓的内网。
那么,好的,内网如何和外网通信呢?
网络地址转换(NAT)!
第四、内外网地址,肯定是不一样的,那么,该如何通信呢?
AT属接入广域网(WAN)技术,是一种将私有(保留)地址转换为公有(合法)IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种网络中。原因很简单,NAT不仅仅完美解决了IP地址不足的问题,而且还能够有效的避免了来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT是在IP地址日益缺乏的情况下产生的,它的主要目的是使地址能够重用。如图所示
内网主机不能直接用私有地址访问外网的主机,因为私有地址不能被路由。它要与外网通信,必须经过NAT设备(如网关、路由器),如图所示。主机与服务器通信,它必须先通过网关,此时网关改变它的数据包地址以及端口,把私有地址改为共有地址,使数据包能在公网上被路由,送至服务器端。服务器端返回的数据包到达网关后,网关把公网地址改为相应的私有地址,然后,转发到主机A。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。所以,这里防火墙已经为我们解决了....