王小平　杨雅薇

目前，各级各类学校都在校园网中部署了一定数量的服务器。如：教育资源库、视频点播系统、学校网络办公系统、学籍管理系统、班级管理系统、校产管理系统和教学管理系统等等，实现了教育、教学、管理的现代化和无纸化，实现了资源的高度共享。如何保障这些服务器的安全，从而为信息技术支持下的教学和管理提供保障，成为值得研究的一个重要课题。

我校的校园网内部署了6台服务器。起初没有经过科学规划，只是简单地将服务器直接连接到网关，造成服务器频繁遭受黑客、病毒、木马的攻击。为此，我利用NAT技术重新规划服务器的部署。现将规划思路和设计方法介绍给大家。

一、NAT技术

NAT（Network Address Translation）是一个IETF标准，它允许一个整体机构以一个公用IP地址出现在Internet上。顾名思义，它是一种把内部私有网络IP地址翻译成合法网络IP地址的技术。

NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。其中，静态NAT的设置最为简单，也最容易实现，内部网络中的每台主机都被永久地映射成外部网络中的某个合法地址。动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络同一个IP地址的不同端口上。我校所用的技术即为NAPT。

NAPT普遍应用于接入设备中，它可以将中小型网络隐藏在一个合法的IP地址后面。其工作原理是，将内部IP地址映射到外部网络中的一个单独的IP地址上，同时加上一个由NAT设备选定的TCP端口号（如表1）这样，如果要访问192.168.1.3这台服务器的Web服务，只有通过202.108.9.X：9080才可以访问，从而有效地将服务器保护起来。

二、校园网网络结构分析

高效、规范的网络部署应该建立在科学的网络结构分析基础之上。笔者所管理的校园网通过网关接入教育城域网。校园网中部署了Web服务器、资源服务器、办公自动化（OA）服务器、FTP服务器、ＶＯＤ视频点播服务器。校内所有用户通过网关共享访问Internet。所有服务器均采用城域网分配的IP地址，通过网关直接接入城域网（如图１）。网关不支持NAPT，只支持简单静态NAT。网络部署的第一种方案是采购支持NAT防火墙网络设备,替换现有网关。第二种方案是用普通PC构建NAT转换平台。由于硬件防火墙的设备动辄几万到几十万，对于一所普通公办学校来说，是一笔不小的开支，同时原有的网关仍有其用武之地，于是我们选择了第二种方案。

三、构建NAT转换平台

目前构建NAT转换平台的软件大致可分为Win- dows、Linux以及专业路由器软件三大阵营。Win-dows平台下有WinRoute、Microsoft ISA Server。Linux平台下有CoyoteLinux、SmoothWall。专业路由器软件有Mikrotk RouterOS、IPcop。下面，以Windows+WinRoute6.0为例，（其他软件的构建方法类似），介绍其构建过程。

1.前期准备

准备一台普通PC，其配置很简单：Pentium Ⅲ以上的CPU；256 MB以上的内存；20G以上硬盘（主要用于存放日志文件）；两块100M网卡；Windows 2003 Server操作系统。

2.软件介绍

WinRoute6.0通过NAT和代理服务器实现网络共享。该软件除了具有NAT功能外，还具有超强的病毒防护功能。WinRoute6.0的安装比较简单，安装过程中遇到问题的读者可以参考相关的安装资料。

3.制定转换方案

在开始进行NAT转换配置前，要仔细考虑和规划转换方案。与原先的网络结构相比，规划方案（如图2）增加了一台装有WinRoute的普通PC作为NAT转换平台，并调整服务器群的IP地址（具体映射关系如表2所示）。

4．NAT转换配置

登录WinRoute管理控制台，并进入访问策略设置页面（如图3）。依据表2建立相应的访问策略即可。

经过以上调整，校园网中的服务器群很好地隐藏了起来。当黑客依据IP地址进行攻击时，其实际攻击的是NAT转换平台,并非真实的服务器，而由于网络方面受到了严格的控制，要攻破ＮＡＴ转换平台也绝非易事。利用NAT技术为校园网的服务器群构筑了一道安全防线。

（作者单位：江苏无锡市蠡园中学）