NAT - безопасность и администрирование

NAT - безопасность и администрирование
NAT - безопасность и администрирование
Статья создана: , обновлена:

Безопасность и администрирование

Безопасность и администрирование NAT
Безопасность и администрирование NAT

При внедрении динамического NAT между внутренней сетью и внешними сетями либо между внутренней сетью и Интернетом автоматически создается брандмауэр. Система преобразования сетевых адресов только разрешает осуществлять соединения, инициируемые компьютерами тупикового домена. По сути это означает, что компьютер из внешней сети не может подключиться к компьютеру тупикового домена, пока компьютер тупикового домена не инициирует контакт. Пользуясь компьютером в тупиковом домене, можно путешествовать по Интернету, обмениваться информацией с сайтами и скачивать файлы, но кто-либо посторонний не может воспользоваться вашим IP адресом для подключения к какому-либо порту вашего компьютера.

В определенных обстоятельствах статическое преобразование сетевых адресов позволяет внешним устройствам инициировать соединения с компьютерами тупикового домена. Например, если вы хотите перейти от внутреннего глобального адреса к определенному внутреннему локальному адресу, выделенному для вашего WEB сервера, статический NAT осуществит такое соединение.

Некоторые маршрутизаторы NAT используются для широкомасштабной фильтрации и регистрации трафика. Фильтрация позволяет компании контролировать, какие типы сайтов служащие посещают в Интернете, и не допускать просмотра неразрешенного материала. Регистрацию трафика можно использовать для создания журнала учета посещавшихся сайтов и формирования на его основе различных отчетов.

Иногда систему преобразования сетевых адресов путают с proxy серверами, но между ними есть существенная разница. Система NAT прозрачна для инициирующих компьютеров и для компьютеров-адресатов. Ни та, ни другая сторона не замечает, что информационный обмен осуществляется через стороннее устройство. В то же время proxy сервер не является прозрачным. Инициирующий компьютер получает информацию о том, что он отправляет запрос proxy серверу, и его нужно соответствующим образом настроить. С точки зрения компьютера-адресата кажется, что proxy сервер ЯВЛЯЕТСЯ инициирующим компьютером, и что взаимодействие осуществляется непосредственно с ним. Кроме того, proxy серверы обычно работают на 4 уровне (транспортном) эталонной модели OSI, в то время как NAT является протоколом 3 (сетевого) уровня. Работа на более высоком уровне приводит к тому, что в большинстве случаев proxy серверы действуют медленнее, чем устройства NAT.

Реальные выгоды системы NAT проявляются при администрировании сети. Например, можно перенести WEB сервер или FTP сервер на другой хост компьютер, не тревожась о том, что это приведет к образованию нерабочих ссылок. Произошедшие изменения, связанные с переносом на новый хост компьютер, должны сопровождаться всего лишь простой заменой входного мапинга (inbound mapping) на маршрутизаторе. Кроме того, можно с легкостью изменять свою внутреннюю сеть, поскольку присваивается маршрутизатору или выдается из фонда глобальных адресов лишь единственный внешний IP адрес.

NAT и DHCP (протокол динамической конфигурации сетевого узла, dynamic host configuration protocol) осуществляют естественную подгонку. Вы можете выбрать ряд незарегистрированных IP адресов для своего тупикового домена, а сервер DHCP будет выдавать их по мере необходимости. Кроме того, в этих условиях значительно легче осуществлять масштабирование своей сети по мере роста потребностей. Не требуется запрашивать у IANA больше IP адресов. Вместо этого, вам лишь нужно увеличить количество доступных IP адресов, которые выдает DHCP, после чего можно сразу же получить возможность подключать к вашей сети дополнительные компьютеры.

Использование множественных интерфейсов

По мере все большего использования Интернета коммерческими предприятиями использование нескольких точек подключения к Интернету быстро становится составной частью их сетевой стратегии. Технология использования множественных интерфейсов (multi-homing) позволяет уменьшить вероятность возможного обрыва связи, если произойдет отказ одного из соединений.

В дополнение к тому, что создается надежное соединение, технология multi-homing позволяет компании осуществлять балансирование нагрузки, уменьшая количество компьютеров, подключенных к Интернету по каждому из отдельных соединений. Распределение нагрузки по многим соединениям оптимизирует производительность и может существенно уменьшить время ожидания.

Сети с множественными интерфейсами часто подключаются к нескольким различным поставщикам услуг Интернета (ISP, Internet Service Provider). Каждый из поставщиков услуг Интернета предоставляет компании один или несколько IP адресов. В маршрутизаторах для маршрутизации между сетями с различными протоколами используется протокол граничного шлюза (BGP, Border Gateway Protocol), часть набора протоколов TCP/IP. В сети с множественными интерфейсами маршрутизатор использует на стороне тупикового домена протокол IBGP (Internal Border Gateway Protocol, внутренний протокол граничного шлюза), а для обмена информацией с другими маршрутизаторами - протокол EBGP (External Border Gateway Protocol, внешний протокол граничного шлюза).

Технология Multi-homing показывает свою реальную эффективность, если одно из соединений с поставщиком услуг Интернета выходит из строя. Как только маршрутизатор, ответственный за отказавшее соединение, обнаружит аварию, он перераспределяет все данные через один из других маршрутизаторов.

Для обеспечения масштабируемой маршрутизации с несколькими интерфейсами и несколькими интернет-провайдерами можно использовать преобразование сетевых адресов.

Дополнительная информация по теме

WebMoney и безопасность - независимая оценка

В статье приводятся основные доводы в пользу безопасности использования электронных денег, в частности webmoney

WebMoney - меры безопасности при работе

В статье приводится описание основных мер безопасности при работе с платежной системой Webmoney на персональном компьютере

Дневник системного администратора

Дневник системного программиста, его мысли и каждодневное описание его работы и действий

Безопасно ли посещать Web страницы

Статья о том, что сбор информации о вас на сайтах не ограничивается снятием информации с вашего браузера

Ссылка для обмена:

Ссылка для форума:

Ссылка для сайта:

Есть вопросы, замечания, дополнения? Пишите в комментариях.
Заказать тексты для сайта (онлайн форма) - цена от 60 рублей, срок 24 часа
nat, безопасность, администрирования, настройка

Страница: NAT - безопасность и администрирование

Дата публикации: 2011-04-01 03:02. Последние изменения: 2015-10-19 14:17

наверх