Windows Server 2003 의 NAT 방화벽 구성

NAT 기술을 더 잘 이해하기 위해 먼저 관련된 몇 가지 개념을 살펴보겠습니다.

1. 내부 로컬 주소 내부 네트워크의 호스트에 할당된 IP 주소입니다. 이 주소는 NIC (네트워크 정보 센터) 또는 서비스 공급업체에서 할당한 유효한 IP 주소가 아닐 수 있습니다.

2. 내부 글로벌 주소 외부 세계의 하나 이상의 로컬 IP 주소에 해당하는 유효한 IP 주소 (NIC 또는 서비스 공급업체에서 지정) 입니다.

3. 외부 로컬 주소 네트워크에 나타나는 외부 호스트의 IP 주소가 반드시 유효한 주소는 아니며 내부 네트워크의 라우팅 가능한 주소 공간에서 할당될 수 있습니다.

4. 외부 글로벌 주소 외부 네트워크의 호스트 소유자가 호스트에 할당한 IP 주소로, 글로벌 라우팅 주소 또는 네트워크 공간에서 할당할 수 있습니다. 그림 1 NAT 관련 용어를 보여주는 차트.

NAT 기술의 경우 아래와 같이 네 가지 방법으로 주소를 변환할 수 있습니다.

(b) 네 가지 번역 방법

1. 정적 변환은 내부 로컬 주소와 내부 전역 주소 간에 일대일 매핑을 설정하는 것입니다.

2. 동적 변환은 내부 로컬 주소와 외부 주소 풀 간에 매핑을 설정하는 것입니다.

3. 포트 주소 변환 과부하 내부 글로벌 주소는 라우터가 하나의 글로벌 주소를 여러 로컬 주소에 할당할 수 있도록 하기 때문에 포트 주소 변환 (PAT) 이라고도 합니다. 즉, 여러 로컬 주소를 하나의 글로벌 주소의 한 포트에 매핑할 수 있습니다.

4. 겹치는 주소의 전환겹치는 주소의 전환은 한 인트라넷이 다른 인트라넷의 주소와 동일한 내부 로컬 주소를 사용하는 경우 변환을 통해 두 네트워크 간의 통신을 정상적으로 유지할 수 있음을 의미합니다.

실제 사용에서 위의 번역 방법은 일반적으로 함께 사용됩니다.

둘째, "말하기" 의 전형적인 적용을 시키십시오.

이제 일반적인 Cisco 라우터를 예로 들어 일반적인 어플리케이션에서 NAT 기술의 구현을 보여 드리겠습니다.

1. 구성 * * * IP 주소.

어플리케이션 요구 사항: 내부 사용자가 인터넷에 액세스할 수 있도록 허용해야 하지만 합법적인 IP 주소가 충분하지 않은 경우 * * * IP 주소를 구성하는 NAT 변환 방법을 사용하여 인터넷에 연결할 수 있습니다.

그림 2 는172.16.10.1주소를 다시 로드하여 인트라넷10 을 구성하는 것입니다 /24. 외부 주소가 여러 개 있으면 동적 번역으로 변환할 수 있습니다. 여기서는 설명하지 않습니다. 인벤토리 1 은 특정 구성 방법을 보여줍니다.

NAT 라우터 구성 목록 1

인터페이스 이더넷 0

Ip 주소10.10.10.254 255.255.0

내부 IP NAT

! -내부 변환 인터페이스를 정의합니다

인터페이스 직렬 0

Ip 주소172.16.10.64 255.255.255.0

외부 IP NAT

! -외부 변환 인터페이스를 정의합니다

Ip NAT 풀 ov rld172.16.10.1172

! -ovrld 라는 NAT 주소 풀과 주소 풀에 여러 주소가 있는 주소+072.16.10.1을 정의합니다.

Ip NAT 내부 소스 목록 1 풀 ovrld 과부하

! -액세스 목록 1 허용된 소스 주소가 NAT 주소 풀 ovrld 의 주소로 변환되고 여러 내부 시스템에 의해 동일한 IP 주소로 다시 로드됨을 나타냅니다.

액세스 목록 1 허용10.10.10.0 0.0.31

! -액세스 목록 110.10.10.0 에서10./까지 허용

NAT 라우터 구성 목록 2

인터페이스 이더넷 0

Ip 주소10.10.10.254 255.255.0

내부 IP NAT

! -내부 변환 인터페이스를 정의합니다

인터페이스 직렬 0

Ip 주소172.16.20.254 255.255.255.0

외부 IP NAT

! -외부 변환 인터페이스를 정의합니다

Ip NAT 내부 소스 정적10.10.10.1172./

! -주소10.10.10.1정적 변환172 ..

적용 범위: 내부 사용자가 인터넷으로 통신을 시작하는 응용 프로그램에 적용됩니다.

예를 들어 중소기업의 여러 사용자가 xDSL 을 통해 인터넷에 연결할 수 있습니다. 또한 소프트웨어를 사용하여 NAT 변환을 수행할 수 있습니다. Windows 2000 운영 체제는 이러한 기능을 제공합니다. 내부 사용자가 많은 경우에는 프록시 서버를 사용하는 것이 좋습니다.

2. 인터넷에 게시되는 서버를 구성합니다

어플리케이션 요구 사항: 내부 장치를 인터넷에 게시해야 하는 경우 인터넷에 게시된 서버를 구성하는 NAT 변환 방법을 사용할 수 있습니다.

그림 3 은 인트라넷 메일 서버 (IP 주소10.10.10.1/24) 가 엑스트라넷에 게시되는 전 과정을 보여줍니다 Listing 2 는 특정 구성 방법을 보여준다.

적용 범위: 외부 네트워크에서 내부 장치 액세스로 시작된 어플리케이션에 적합합니다.

3. 포트 매핑을 구성합니다

응용 프로그램 요구 사항: 인트라넷이 있는 인터넷에 웹 서버를 게시하면 서버가 수신 포트 8080 으로 구성됩니다. 외부 네트워크에 대한 액세스 요청을 웹 서버의 포트 80 으로 리디렉션해야 합니다.

그림 4 는 구성 포트 맵의 도식도이며, 체크리스트 3 은 특정 구성 방법을 보여 줍니다.

4. TCP 전송을 구성합니다

어플리케이션 요구 사항: TCP 전송 로드 * * * 공유는 주소 부족과 무관한 문제입니다. 여러 디바이스의 주소를 하나의 가상 디바이스 주소에 매핑하여 디바이스 간 로드 밸런싱을 수행합니다.

그림 5 는10.10.10.2 에서10.10. 까지의 주소입니다 Listing 4 는 특정 구성 방법을 보여준다.

5. 실제 응용 사례

애플리케이션 요구 사항: 우리 단위 LAN 이 구축되어 각종 애플리케이션 시스템이 안정적으로 작동하고 있습니다. 업무가 발전함에 따라 단위 밖에서 데이터 센터의 새로운 응용을 실현할 필요가 있다. 보안상의 이유로 기존 네트워크 구조를 크게 조정하고 변경할 수 없습니다. 또 자금상의 이유로 설비 등에 대한 투자를 최대한 절약해야 한다.

적용 현황: 우리 회사의 인트라넷 구조는 다음과 같습니다. 세 개의 VLAN 이 있습니다. VLAN 1 (예: 10. 1. 1). X) 회사 내부 애플리케이션 시스템을 사용하여 데이터 센터와 데이터 교환이 없습니다. VLAN 2 (10.2.2.X), 데이터 센터에서 제공하는 어플리케이션 시스템 사용, 약 100 대 시스템 ： VLAN 3 (즉 10.3.3.X), 데이터 센터에서 제공하는 어플리케이션10.3.3./kloc-0 을 사용하는 시스템은 두 대뿐입니다

데이터 센터는 Cisco 3640 을 제공합니다. 직렬 포트는 HDSL 을 통해 데이터 센터에 연결되며, 할당된 주소는 각각192.168.252.1및 255.255.252 입니다. FastEthernet 포트는 회사 내부 LAN 에 연결되어 있으며 할당된 주소는 각각 192 입니다.

구현 시나리오: 인트라넷의 구조를 변경할 계획이 없기 때문에 인트라넷 주소를 내부 로컬 주소로 사용하고 데이터 센터에서 할당한 주소를 내부 글로벌 주소로 사용하여 NAT 어플리케이션을 구현합니다. 또한 NAT 에는 두 개의 포트가 필요합니다. 하나는 내부, 하나는 외부이므로 FastEthernet 포트를 내부, 직렬 포트를 외부로 사용하는 것을 고려해 볼 수 있습니다. 그림 6 은 이 단원에서 NAT 기술의 적용 다이어그램입니다.

이러한 설정을 통해 내부 주소의 번역 및 변환을 성공적으로 수행했으며 기존 네트워크 구조를 변경하지 않고 데이터 센터와의 네트워킹 목표를 달성했습니다.

셋째, 더 많은 것을 선택하세요

1. 프록시 서버와의 비교

사용자는 종종 NAT 와 프록시 서버를 혼동합니다. NAT 디바이스는 소스 시스템과 타겟 시스템 모두에 투명하며 주소 변환은 네트워크 경계에서만 수행됩니다. 프록시 서버가 불투명합니다. 소스 시스템은 프록시 서버를 통해 요청을 보내고 소스 시스템에서 관련 구성이 필요하다는 것을 알고 있습니다. 대상 시스템은 프록시 서버를 요청을 보내는 소스 시스템으로 간주하고 프록시 서버로 직접 데이터를 전송하고 프록시 서버는 데이터를 소스 시스템으로 전달합니다.

NAT 라우터 구성 목록 3

인터페이스 이더넷 0

Ip 주소10.10.10.254 255.255.0

내부 IP NAT

! -내부 변환 인터페이스를 정의합니다

인터페이스 직렬 0

Ip 주소172.16.30.254 255.255.255.0

외부 IP NAT

! -외부 변환 인터페이스를 정의합니다

Ip NAT 내부 소스 정적 TCP10.10.10.8 8080172./kloc-0

! -주소10.10.10.8: 8080 정적 변환172./kloc-지정

NAT 라우터 구성 목록 4

인터페이스 이더넷 0

Ip 주소10.10.10.17 255.255.255.0 내부 IP NAT

! -내부 변환 인터페이스를 정의합니다

인터페이스 직렬 0

Ip 주소10.10.10.254 255.255.255.0 ipnat 외부

! -외부 변환 인터페이스를 정의합니다

Ip NAT 풀 실제 호스트 1 0.10.10.210.10

! -주소 풀 실제 호스트의 주소 범위를10.10.10.2 부터10./kloc-까지 정의합니다

! -주소 풀 실제 호스트가10.10.10.1으로 변환되도록 지정합니다.

액세스 목록 1 허용10.10.10.1

프록시 서버는 OSI 모델의 전송 계층 4 에서 작동하고 NAT 는 네트워크 계층 3 에서 작동합니다. 일반적으로 상위 계층 프로토콜의 복잡성으로 인해 프록시 서버가 NAT 보다 느립니다.

그러나 NAT 는 라우터의 CPU 자원을 사용하며, NAT 는 IP 주소를 숨기고 추적하기 어렵고 관리자가 내부 사용자의 외부 액세스에 대한 추적 관리 및 감사에 불리하다. 모든 NAT 기술은 내부 사용자가 적은 애플리케이션에만 적용됩니다. 많은 사용자가 외부 네트워크에 액세스하고 관리자가 내부 사용자의 액세스 정책 설정 및 액세스 추적을 가지고 있는 경우 프록시 서버를 사용하는 것이 좋습니다.

NAT 라우터 구성 목록 5

인터페이스 FastEthernet 1/0

내부 IP NAT

! -내부 변환 인터페이스를 정의합니다

인터페이스 직렬 0/0

Ip 주소192.168.252.1255.255.252

Ip 주소192.168.1.254 255.255.255.0 보조

외부 IP NAT

! -포트를 절약하기 위해 데이터 센터에서 제공하는 모든 주소는 직렬 포트에 바인딩됩니다.

Ip NAT 풀 대 센터192.168.1.1..192 ..

Ip NAT 내부 소스 목록 1 풀 대 허브

! -동적 소스 주소 변환을 설정하고 이전 단계에서 정의한 액세스 목록을 지정합니다.

액세스 목록 1 허용 10.3.3. 1

액세스 목록 1 허용 10.3.3.2

액세스 목록 1 허용/kloc-0 10.2.2.0 0.0.0.255

! -표준 액세스 목록을 정의하고 데이터 센터에 액세스할 수 있는 주소를 변환합니다.

2. 방화벽과 비교

방화벽은 네트워크 간에 액세스 제어 정책을 구현하는 보안 시스템 또는 보안 시스템 그룹입니다. 방화벽은 이를 통해 흐르는 네트워크 통신 데이터를 스캔하여 대상 컴퓨터에서 실행되는 것을 방지하기 위해 일부 공격을 필터링할 수 있습니다. 방화벽은 사용되지 않은 포트를 폐쇄하고, 특정 포트의 발신 통신을 차단하고, 트로이 목마 등을 차단할 수도 있다. 마지막으로, 특수 사이트의 액세스를 차단하여 알 수 없는 침입자의 모든 통신을 방지합니다.

일반 방화벽에는 NAT 기능이 있거나 NAT 와 함께 사용할 수 있습니다. 방화벽 기술에 적용된 NAT 기술은 외부 세계에 단일 IP 주소를 숨겨서 외부 세계가 내부 네트워크 장치에 직접 액세스할 수 없도록 합니다. 네트워크 보안의 중요한 수단으로서, 간단한 NAT 기술이나 NAT 기술이 있는 방화벽을 선택하는 것은 다음과 같은 여러 가지 측면을 고려해야 한다.

첫째, 기업 및 운영 조직이 액세스 제어 정책을 사용하여 네트워크에 연결하는 데 중요한 서비스를 제외한 모든 서비스를 명시적으로 거부하거나 액세스에 대한 측정 및 감사 방법을 제공하는 방법 ：

둘째, 엔터프라이즈 네트워크에는 어떤 수준의 모니터링, 중복 및 제어가 필요합니까?

셋째, 재정적 고려 사항, 하이 엔드 전체 방화벽 시스템은 매우 비쌉니다. 방화벽을 채택할지 여부는 사용 편의성, 보안 및 예산 간에 균형 잡힌 결정을 내려야 합니다.

넷째, 안전상의 불안정

우리는 다음과 같은 측면에서 NAT 기술의 보안 문제를 엿볼 수 있다.

1.NAT 주소만 번역하고 다른 일은 하지 않습니다. 따라서 외부 네트워크에 연결할 때 NAT 는 외부에서 반환된 악성 정보를 차단하지 않습니다.

2. NAT 는 전체 IP 주소를 숨기지만 호스트 정보를 숨기지 않습니다. 예를 들어 NAT 장치를 통해 Windows 스트리밍 미디어 서버에 액세스하면 서버가 호스트 이름뿐만 아니라 내부 IP 주소와 운영 체제도 기록한다는 것을 알 수 있습니다.

3.3 악의적 인 공격. 인터넷은 일반적으로 HTTP 의 80 포트, FTP 의 2 1 포트, POP 의 1 10 포트와 같은 시스템의 "잘 알려진 포트" 를 대상으로 합니다. NAT 는 외부 네트워크에 개방되지 않은 포트를 차단할 수 있지만 알려진 포트에 대한 공격에는 견딜 수 없습니다.

4. 많은 NAT 장비들이 엑스트라넷과 인트라넷의 연결을 기록하지 않으면 엑스트라넷의 공격을 받을 수 있지만, 추적 가능한 기록이 없기 때문에 자신이 어떤 공격을 받았는지 전혀 알 수 없다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 스포츠명언)

NAT 는 내부 IP 주소를 숨겨 안전하게 하지만 위의 분석에서 NAT 는 네트워크에 대한 단일 보안 예방 조치로 사용할 수 없다는 것을 알 수 있습니다.