WIN2003无法打开网页

用ROS 软路由

装个VM虚拟机,要完整版,精简版的不行

装好后,用ROS 2927 LV6 的光盘装好就可以用了,虚拟机分配64M内存,可以轻松带300台机器不卡我在网吧这样用过，因为是网通公司自己开的网吧，所以是千兆光纤独享

　　在电脑的网络和共享中心界面，选择设置新的连接或网络-连接到工作区；点击使用我的Internet连接(***)，输入Internet地址；输入你申请的账号和密码，验证成功后即可成功连接到代理服务器。具体介绍如下：

　　1、在电脑中的网络和共享中心界面下，单击设置新的连接或网络，选择连接到工作区，单击下一步；

　　2、选择否，创建新连接，单击下一步；

　　3、点击使用我的Internet连接(***)；

　　4、输入Internet地址，也就是你申请的代理服务器地址，可以是IP地址，也可以是域名，还可以是MAC地址；

　　5、输入你申请的账号和密码，复选框以及域(可选)根据个人意愿填写，单击连接，验证成功后即可成功连接到代理服务器。

代理服务器有很多种的，以Wingate为例，简单介绍一下： 1、做代理服务器的计算机需要两个网卡（例如外网卡1921681689、内网卡19216801）。外网卡如果是静态公网IP，请按照ISP设置，如果是动态获得的公网IP，则不用设置，如果是专网IP，例如1921681689（IP）2552552550（MASK）1921681681（GATEWAY） 2029916068（公网DNS，当然代理服务器本身提供DNS服务的话也可以设置为1921681689或19216801）。内网卡设置，例如19216801（IP）2552552550（MASK），请不要设置内网卡的默认网关，DNS可以设置也可以不设置。 2、安装wingate全部默认（不知道你有没有CD-KEY），重起后打开管理控制窗口（可以设密码，也可以不设置密码，最初的密码为空就可以进去）。然后修改HTTP代理的端口如8080，一定要注意一下哪些接口可以做代理，例如可以设置为任意接口。SOCKS5代理默认就已经启用，默认服务端口是1080。 3、客户机（在网吧内）网卡设置，例如19216802（IP）2552552550（MASK），其他不用设置。 客户机IE设置使用代理服务器，例如19216801（IP）8080（HTTP）；19216801（IP）1080（SOCKS5） 客户机（在网吧以外，就像您在家）设置。如果代理服务器的外网卡IP是静态公网IP，如21816661，只需要您的IE设置使用代理服务器，例如21816661（IP）8080（HTTP）；21816661（IP）1080（SOCKS5）。如果代理服务器的外网卡IP是动态公网IP，则需要DDNS的支持，不再赘述。如果代理服务器的外网卡IP是静态内网IP，则需要在网吧路由器上作端口映射，不再赘述。 4、wingate功能十分强大，使用也非常简单

（一）相关概念

为了更好地认识NAT技术，我们先了解一下它所涉及的几个概念。

1．内部局部地址 在内部网上分配到一个主机的IP地址。这个地址可能不是一个有网络信息中心（NIC）或服务提供商所分配的合法IP地址。

2．内部全局地址 一个合法的IP地址（由NIC或服务供应商分配），对应到外部世界的一个或多个本地IP地址。

3．外部局部地址 出现在网络内的一个外部主机的IP地址，不一定是合法地址，它可以在内部网上从可路由的地址空间进行分配。

4．外部全局地址 由主机拥有者在外部网上分配给主机的IP地址，该地址可以从全局路由地址或网络空间进行分配。图1展示了NAT相关术语的图解。

对于NAT技术，提供4种翻译地址的方式，如下所示。

（二）4种翻译方式

1．静态翻译 是在内部局部地址和内部全局地址之间建立一对一的映射。

2．动态翻译 是在一个内部局部地址和外部地址池之间建立一种映射。

3．端口地址翻译 超载内部全局地址通过允许路由器为多个局部地址分配一个全局地址，也就是将多个局部地址映射为一个全局地址的某一端口，因此也被称为端口地址翻译（PAT）。

4．重叠地址翻译 翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同，通过翻译，使两个网络连接后的通信保持正常。

在实际使用中，通常需要以上几种翻译方式配合使用。

二、让典型应用“说话”

现在，我们以常见Cisco路由器为例，阐述典型应用中NAT技术的实现。

1．配置共享IP地址

应用需求：当您需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用配置共享IP地址连接Internet的NAT转换方式。

图2是配置内部网络1010100/24通过重载一个地址17216101/24访问外部网络的全过程。如果有多个外部地址，可以利用动态翻译进行转换，这里就不多做说明了。清单1展示了具体配置方法。

NAT路由器配置清单1

interface ethernet 0

ip address 101010254 2552552550

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172161064 2552552550

ip nat outside

!-- 定义外部转换接口

ip nat pool ovrld 17216101 17216101 prefix 24

!-- 定义名为ovrld的NAT地址池和地址池重的地址17216101

ip nat inside source list 1 pool ovrld overload

!--指出被 access-list 1 允许的源地址会转换成NAT地址池ovrld中的地址并且转换会被内部多个机器重载成一个相同的IP地址。

access-list 1 permit 1010100 00031

!-- Access-list 1 允许地址1010100到101010255进行转换

NAT路由器配置清单2

interface ethernet 0

ip address 101010254 2552552550

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 1721620254 2552552550

ip nat outside

!-- 定义外部转换接口

ip nat inside source static 1010101 17216201

!-- 指定将地址1010101静态转换为17216201

适用范围：这种情况适合于通信都是由内部用户向Internet发起的应用。

例如小型企业多个用户通过共享xDSL连接Internet。另外，也可以用软件进行NAT转换，Windows 2000的操作系统就有这样的功能。至于内部用户数量较多的情况，建议使用代理服务器。

2．配置在Internet上发布的服务器

应用需求：当您需要将内部设备发布到Internet上时，可以使用配置在Internet上发布的服务器的NAT转换方式。

图3是将内部网络的邮件服务器（IP地址为1010101/24）发布到外部网络的全过程，使用静态翻译可以实现这种转换。清单2展示了具体配置方法。

适用范围：这种情况适合于访问是从外部网络向内部设备发起的应用。

3．配置端口映射

应用需求：假设您在Internet上发布一台在内部网络的Web服务器，服务器配置成监听8080端口，您需要把外部网络对Web服务器80端口的访问请求重定向。

图4为配置端口映射示意图，清单3展示了具体配置方法。

4．配置TCP传输

应用需求：TCP传输装载共享是与地址匮乏无关的问题，它将数个设备的地址映射成一个虚拟设备的地址，从而实现设备间的负载均衡。

图5是将地址从1010102到10101015的真实设备映射成虚拟1010101地址的全过程。清单4展示了具体配置方法。

5．真实应用案例

应用需求：笔者所在的单位内部的局域网已建成，并稳定运行着各种应用系统。随着业务的发展，需要实施一个数据中心在外单位的新应用。出于安全方面的考虑，不能够对现有网络结构进行大的调整和改动；另外，由于资金方面的原因，需要尽可能地节省设备等方面的投入。

应用现状：我单位内部网结构如下：具有3个VLAN。VLAN 1（即1011X），使用单位内部应用系统，与数据中心没有数据交换；VLAN 2（即1022X），使用数据中心提供的应用系统，约有100台机器；VLAN 3（即1033X），只用2台机器使用数据中心提供的应用，分别是10331和10332。

数据中心提供一台Cisco 3640，Serial口与数据中心通过HDSL连接，分配的地址分别是1921682521和255255255252，FastEthernet口与单位内部局域网连接，分配的地址分别是19216810和2552552550。

实施方案：由于不打算更改内部网的结构，所以将内部网地址作为内部局部地址，数据中心分配的地址作为内部全局地址，实施NAT应用。另外NAT需要两个端口，一个做为inside，另一个做为outside，因此考虑使用FastEthernet口做inside，Serial口做outside。图6 为本单位NAT技术的应用图。

利用以上设置，我们成功实现了内部地址的翻译转换，并实现了在不改变现有网络结构的情况下与数据中心连网的目标。

三、有比较有选择

1．与代理服务器的比较

用户经常把NAT和代理服务器相混淆。NAT设备对源机器和目标机器都是透明的，地址翻译只在网络边界进行。代理服务器不是透明的，源机器知道它需要通过代理服务器发出请求，而且需要在源机器上做出相关的配置，目标机器则以为代理服务器就是发出请求的源机器，并将数据直接发送到代理服务器，由代理服务器将数据转发到源机器上。

NAT路由器配置清单3

interface ethernet 0

ip address 101010254 2552552550

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 1721630254 2552552550

ip nat outside

!-- 定义外部转换接口

ip nat inside source static tcp 1010108 8080 17216308 80

!-- 指定将地址1010108:8080静态转换为17216308:80

NAT路由器配置清单4

interface ethernet 0

ip address 10101017 2552552550ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 101010254 2552552550ip nat outside

!-- 定义外部转换接口

ip nat pool real-hosts 1010102 10101015 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts

!--定义地址池real-hosts地址范围是从1010102到10101015

!--指定将地址将地址池real-hosts转换为1010101

access-list 1 permit 1010101

代理服务器工作在OSI模型的第4层传输层，NAT则是工作在第3层网络层，由于高层的协议比较复杂，通常来说，代理服务器比NAT要慢一些。

但是NAT比较占用路由器的CPU资源，加上NAT隐藏了IP地址，跟踪起来比较困难，不利于管理员对内部用户对外部访问的跟踪管理和审计工作。所有NAT技术只适用于内部用户数量较少的应用，如果访问外部网络的用户数量大，而且管理员对内部用户有访问策略设置和访问情况跟踪的应用，还是使用代理服务器较好一些。

NAT路由器配置清单5

interface fastethernet 1/0

ip nat inside

!-- 定义内部转换接口

interface serial 0/0

ip address 1921682521 255255255252

ip address 1921681254 2552552550 secondary

ip nat outside

!-- 为节省端口，将数据中心提供的地址全部绑在Serial口

ip nat pool ToCenter 19216811 1921681253 prefix-length 24

ip nat inside source list 1 pool ToCenter

!-- 建立动态源地址翻译，指定在前一步定义的访问列表

access-list 1 permit 10331

access-list 1 permit 10332

access-list 1 permit 10220 000255

!-- 定义一个标准的访问列表，对允许访问数据中心的地址进行翻译

2．与防火墙比较

防火墙是一个或一组安全系统，它在网络之间执行访问控制策略。防火墙对流经它的网络通信数据进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口，禁止特定端口的流出通信，封锁特洛伊木马等。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

一般的防火墙都具有NAT功能，或者能和NAT配合使用。应用到防火墙技术中的NAT技术可以把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备。作为网络安全的一个重要手段，是选用单纯的NAT技术还是带NAT技术的防火墙，要从几个方面考虑：

一是您的企业和运营机构如何运用访问控制策略，是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务，还是为了访问提供一种计量和审计的方法；

二是您对企业网需要何种程度的监视、冗余度以及控制水平；

三则是财务上的考虑，一个高端完整的防火墙系统是十分昂贵的。是否采用防火墙需要在易用性、安全性和预算之间做出平衡的决策。

四、安全中的不安全

我们可以从以下几个方面窥视NAT技术的安全性问题。

1．NAT只对地址进行转换而不进行其他操作，因此，当您建立了与外部网络的连接时，NAT不会阻止任何从外部返回的恶意破坏信息。

2．虽然NAT隐藏了端到端的IP地址，但它并不隐藏主机信息。例如您通过NAT设备访问Windows Streaming Media服务器，您会发现服务器记录的不仅是您的主机名，还有您的内部IP地址和操作系统。

3．Internet上的恶意攻击通常针对机器的“熟知端口”，如HTTP的80端口、FTP的21端口和POP的110端口等。虽然NAT可以屏蔽不向外部网络开放的端口，但针对面向熟知端口的攻击，它是无能为力的。

4．许多NAT设备都不记录从外部网络到内部网络的连接，这会使您受到来自外部网络的攻击，但由于没有记录可以追查，您根本无法发觉自己受到过什么攻击。

NAT隐藏了内部IP地址，使其具有一定的安全性，但从上面的分析我们可以知道，不能将NAT作为网络单一的安全防范措施。

一、使用路由和远程访问服务防Ping

Ping命令通常被用来测试网络的连接情况，是网管必须掌握的命令。但也有很多人把它当做攻击服务器的武器，因此许多网络管理员都在服务器上做了防Ping措施。防Ping的方法非常多，如利用IP安全策略、网络防火墙等，其中使用路由和远程访问服务器是最有效的方法之一。

笔者以Windows Server 2003为例，为大家介绍如何使用路由和远程访问服务器防Ping。

第一步：启用路由和远程访问服务

Windows Server 2003系统默认情况下并没有启用路由和远程访问服务器，因此首先要手工启用它。点击“开始 程序 管理工具 路由和远程访问”，打开路由和远程访问属性窗口，右键点击“本地”服务器，在弹出的快捷菜单中选中“配置并启用路由及远程访问”选项，点击“下一步”按钮，在“路由和远程访问服务器安装向导配置”对话框中选择“自定义配置”单选项，点击“下一步”按钮后，在自定义配置对话框中选择“LAN路由器”选项，最后点击“完成”按钮后，启动路由和远程访问服务器。

第二步：添加IP筛选器

在路由和远程访问主窗口中依次展开“本地服务器 IP路由选择 常规”。在右侧的常规窗口中，右键点击接入公网的网卡的连接图标，在弹出的快捷菜单中和选择“属性”选项，接着在属性对话框中切换到“常规”标签页，点击“入站筛选器”按钮，在弹出的“入站筛选器”对话框中选择“接收所有除符合下列条件以外的数据包”选项，点击“新建”按钮，弹出“添加IP筛选器”对话框。在“协议”下拉列表框中选择“ICMP”协议，接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”，最后点击“确定”按钮，完成IP筛选器的添加。

补充：

Ping命令是利用ICMP协议中的“回声（请求/响应）”报文进行工作的，其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的回声报文。如果要过滤所有的ICMP报文只要将ICMP类型和ICMP代码都设置为“225”即可。

二、使用“本地安全策略”

选择"管理筛选器操作"标签,创建一个拒绝操作:

1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步

2)在筛选器操作名称页面,填写名称,这儿填写"deny"下一步

3)在筛选器操作常规选项页面,将行为设置为"阻止"下一步

4)完成

5关闭"管理 IP 筛选器表和筛选器操作"对话框

创建IP安全策略

1右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导跳过欢迎页面,下一步

2在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝ping",描述可以随便填写下一步

3在安全通信要求页面,不选择"激活默认响应规则"下一步

4在完成页面,选择"编辑属性"完成

5在"拒绝ping属性"对话框中进行设置首先设置规则:

1)单击下面的"添加"按钮,启动安全规则向导跳过欢迎页面,下一步

2)在隧道终结点页面,选择默认的"此规则不指定隧道"下一步

3)在网络类型页面,选择默认的"所有网络连接"下一步

4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)"下一步 (这一步2003没有)

5)在IP筛选器列表页面选择"所有 ICMP 通讯"筛选器下一步

6)在筛选器操作页面,选择我们刚才建立的"deny"操作下一步

7)在完成页面,不选择"编辑属性",确定

6关闭"拒绝对tcp3389端口的访问属性"对话框

三指派和应用IPsec安全策略

1缺省情况下,任何IPsec安全策略都未被指派首先我们要对新建立的安全策略进行指派在本地安全策略MMC中,右击我们刚刚建立的""拒绝ping"安全策略,选择"指派"

Ping命令通常被用来测试网络的连接情况，是网管必须掌握的命令。但也有很多人把它当做攻击服务器的武器，因此许多网络管理员都在服务器上做了防Ping措施。防Ping的方法非常多，如利用IP安全策略、网络防火墙等，其中使用路由和远程访问服务器是最有效的方法之一。

笔者以Windows Server 2003为例，为大家介绍如何使用路由和远程访问服务器防Ping。

第一步：启用路由和远程访问服务

Windows Server 2003系统默认情况下并没有启用路由和远程访问服务器，因此首先要手工启用它。点击“开始 程序 管理工具 路由和远程访问”，打开路由和远程访问属性窗口，右键点击“本地”服务器，在弹出的快捷菜单中选中“配置并启用路由及远程访问”选项，点击“下一步”按钮，在“路由和远程访问服务器安装向导配置”对话框中选择“自定义配置”单选项，点击“下一步”按钮后，在自定义配置对话框中选择“LAN路由器”选项，最后点击“完成”按钮后，启动路由和远程访问服务器。

第二步：添加IP筛选器

在路由和远程访问主窗口中依次展开“本地服务器 IP路由选择 常规”。在右侧的常规窗口中，右键点击接入公网的网卡的连接图标，在弹出的快捷菜单中和选择“属性”选项，接着在属性对话框中切换到“常规”标签页，点击“入站筛选器”按钮，在弹出的“入站筛选器”对话框中选择“接收所有除符合下列条件以外的数据包”选项，点击“新建”按钮，弹出“添加IP筛选器”对话框。在“协议”下拉列表框中选择“ICMP”协议，接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”，最后点击“确定”按钮，完成IP筛选器的添加。

补充：

Ping命令是利用ICMP协议中的“回声（请求/响应）”报文进行工作的，其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的回声报文。如果要过滤所有的ICMP报文只要将ICMP类型和ICMP代码都设置为“225”即可。

二、使用“本地安全策略”

选择"管理筛选器操作"标签,创建一个拒绝操作:

1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步

2)在筛选器操作名称页面,填写名称,这儿填写"deny"下一步

3)在筛选器操作常规选项页面,将行为设置为"阻止"下一步

4)完成

5关闭"管理 IP 筛选器表和筛选器操作"对话框

创建IP安全策略

1右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导跳过欢迎页面,下一步

2在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝ping",描述可以随便填写下一步

3在安全通信要求页面,不选择"激活默认响应规则"下一步

4在完成页面,选择"编辑属性"完成

5在"拒绝ping属性"对话框中进行设置首先设置规则:

1)单击下面的"添加"按钮,启动安全规则向导跳过欢迎页面,下一步

2)在隧道终结点页面,选择默认的"此规则不指定隧道"下一步

3)在网络类型页面,选择默认的"所有网络连接"下一步

4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)"下一步 (这一步2003没有)

5)在IP筛选器列表页面选择"所有 ICMP 通讯"筛选器下一步

6)在筛选器操作页面,选择我们刚才建立的"deny"操作下一步

7)在完成页面,不选择"编辑属性",确定

6关闭"拒绝对tcp3389端口的访问属性"对话框

三指派和应用IPsec安全策略

1缺省情况下,任何IPsec安全策略都未被指派首先我们要对新建立的安全策略进行指派在本地安全策略MMC中,右击我们刚刚建立的""拒绝ping"安全策略,选择"指派"