noc*_*ura 4 networking windows firewall
是否有可能在防火墙后面有一台机器并有一个公共 IP 地址?这叫什么或在哪里可以找到更多信息?
我最初的反应是:不,这是不可能的,因为如果一台机器在防火墙后面,它将拥有私有 IP 地址,而外部通信将通过 NAT。
sys*_*138 16
这样做是绝对有可能的。我为一所大学工作,当他们将 B 类网络(CIDR 表示法中的 /16 网络)发送出去时(大约在 20-25 年前),该大学很幸运地获得了这些网络。就在这一刻,我的工作站,一个工作站头脑,停在一个可公开路由的 IP 地址上。事实上,我们使用的RFC1918地址相对较少。少数正在使用的用于 PCI 合规性(标准要求 NAT)和网络管理。您无法从公共 Internet 访问我的工作站,因为防火墙阻止访问。
事实上,我们最内部的安全密室中的机器也在公共 IP 地址上运行。它们和公共互联网之间有两个防火墙。当我们与第 3 方签订“安全扫描”合同时,我们有能力让他们从他们指定的 IP 地址不受限制地访问,这让他们成为“在同一网络上”扫描的次佳选择。然后我们把它从他们那里拿走,他们就不能再进来了。这很好用。哎呀,这就是互联网在垃圾邮件发明之前的那个更值得信赖的时间里的工作方式。还是可以的。
事实上,IPv6 最初是围绕消除对 NAT 的需要而设计的。每个人都会有足够的地址,因此隐藏在这些网关后面的需要(理论上无论如何)变得多余了。换句话说,让互联网以它应该的方式工作。NAT 支持是在这个过程中很晚才加入的,这在很大程度上是由于 InfoSec 机构的坚定倡导,将不可见性视为一种防御措施。
这里要记住的关键是 NAT 不是防火墙的基本功能,它只是密切相关。当与防火墙一起使用时,它只会掩盖其背后可能存在的攻击面。我们面向 Internet 的防火墙根本不做任何 NAT,我们面向 Intranet 的防火墙只做一点(与 PCI 相关)。
我知道很多计算机专业人士在发现他们设备的 IP 地址是可公开路由时会不寒而栗。在正确配置的外围安全设备后面时,它的安全性不亚于 RFC1918 地址。这种“公共 IP 不好”的概念被载入 PCI 标准,并且必须根据更广泛的 IPv6 部署进行重新评估。
小智 11
大多数非企业防火墙以两种模式之一运行:NAT 或桥接
NAT 是您正在考虑的传统拓扑。防火墙拥有网络上唯一的公共 IP,并在它和一个私有的、不可路由的类之间进行转换。在这种情况下,防火墙“后面”的机器具有私有 IP 地址,因此不可公开路由。
在桥接模式下,防火墙被配置为有效地覆盖 IP“空间”。该空间基本上是 IP 所在的网络/网络掩码。例如,对于包含 74.52.192.1 - 74.52.192.7 的公共可路由类 74.52.192.0/29,可以在具有该范围内任何地址的防火墙接口的防火墙上进行配置。如果防火墙处于桥接模式并如此配置,您将能够将机器作为 74.52.192.0/29 网络中的任何其他 IP 连接(防火墙使用的那个当然不可用)。
| 归档时间: |
|
| 查看次数: |
6742 次 |
| 最近记录: |