ТРАНСЛЯЦИЯ СЕТЕВЫХ АДРЕСОВ
Технологии Интернет базируются на использовании IP-протокола, и для обеспечения взаимодействия через IP-сеть каждое устройство должно иметь уникальный адрес. Это требование легко удовлетворяется в корпоративных сетях, которые ограничены внутренними сетями предприятия, не подключенными к глобальным сетям. Но когда организация подключается к глобальной сети, например Интернет, возникает требование обеспечить уникальность адресов для всей глобальной сети, то есть по всему миру. Здесь обычно возникают проблемы, связанные с ограничением на количество доступных для использования адресов. Обычно организациям выделяют диапазон адресов существенно меньший, чем необходимо, что делает невозможным присвоение каждому устройству, участвующему в сетевом обмене, реального адреса.
С другой стороны, даже если вы можете обеспечить все ресурсы и пользователей сети реальными адресами, этот вариант не является предпочтительным, так как каждый пользователь глобальной сети может потенциально взаимодействовать с вашими ресурсами. Более того, необдуманное опубликование IP-адресов ваших сетевых устройств может привести к появлению атак на эти устройства и сеть в целом.
Защита вашего IP-пространства
Возможность FireWall-1 производить трансляцию адресов позволяет полностью изолировать внутреннее адресное пространство от Интернет и предотвратить распространение информации об адресах, как общедоступной. Дополнительно, эта возможность позволяет решить проблемы нехватки адресного пространства путем сокращения необходимого зарегистрированного адресного пула и использования внутренних адресов из специально отведенных адресных пространств для частных сетей.
FireWall-1 поддерживает целостность внутреннего адресного пространства, транслирует его на официально зарегистрированные адреса организации в Интернет для обеспечения полноценного доступа к Интернет.
В FireWall-1 имеются два основных способа отображения таких адресов - статический и динамический.
Динамический режим трансляции адресов
Динамический режим трансляции адресов обеспечивает доступ пользователей к сети Интернет, экономя зарегистрированное адресное пространство и скрывая внутренние адреса ресурсов сети. Динамическая мода использует единственный IP-адрес для отображения всех соединений, проходящих через защищенную точку доступа.
Так как этот IP-адрес, используемый в динамическом режиме только для выходных соединений, не используется ни для каких реальных ресурсов, следовательно невозможна подмена адреса или взлом.
Действительно ли этот вариант трансляции полностью динамичный?
Это часто задаваемый вопрос, и ответ на него утвердительный. Действительно, механизм, реализованный в Check Point FireWall-1, позволяет неограниченному количеству адресов динамически отображаться на единственный IP-адрес.
Хотя нам известны отдельные реализации, где подстановка адресов выполняется по схеме выбора свободного из диапазона назначенных. Для таких реализаций в случае нехватки свободного адреса дальнейшие коммуникации невозможны.
Статический режим трансляции адресов
При расширении сетевой инфраструктуры организации возникает потребность в обеспечении доступа пользователей сети Интернет к ресурсам организации, например, для работников компании, работающих удаленно, или стратегических партнеров.
Статический режим трансляции адресов призван решить данную задачу путем однозначного назначения адресу ресурса в глобальной сети его реального адреса. Этот вариант трансляции обычно используется, если администратор не хочет использовать реальные адреса на сетевых серверах, или если по историческим причинам сеть использует нелегальные (внутренние) адреса, которым необходимо сопоставить реальные адреса, чтобы пользователи Интернет могли получить доступ к ним.
В обоих случаях, как для динамического, так и для статического режимов трансляции адресов Check Point FireWall-1 предоставляет неограниченные возможности контроля и удобство настройки в сетях предприятий.
Простой пример настройки
FireWall-1 предлагает два метода настройки адресной трансляции. Первый метод - использование автоматически создаваемые правила адресной трансляции путем задания необходимых свойств сетевых объектов.
Другой метод - создавние правила адресной трансляции непосредственно в редакторе правил трансляции. При определении правил адресной трансляции можно использовать все сетевые объекты. FireWall-1 имеет уникальную возможность проверять логическую не противоречивость созданных правил, что существенно упрощает создание сложных сценариев.
Пример сгенерированных автоматических правил трансляции адресов по приведенным выше определениям. Заметим, что аналогичные правила можно было создать и в ручном режиме.
Вернуться на главную страницу обзора
|