More documents

Recommendations

Info

Виртуална Лаборатория по Компютърни Мрежи и Разпределени СистемиФиг.1. Примерна конфигурация и механизъм на работа на NATСлед като бе разгледано как пакета се пуска навън следва да се разгледакак се получава отговорът. След транслирането на адреса отговорът ще сеполучи не от истинския адресант, а от машината с IP адрес 198.60.42.12.Приетото решение на проблема е да се използва номерата за порт наизточника. Всеки TCP или UDP пакет съдържа в себе си две 16 битови числауказващи номерата на портовете на източника и получателя. Машината коятоизвършва NAT поддържа таблица с размер 65,536 реда, в която записвадвойката (source IP, source port) за всеки изходящ пакет. След това сеизвършва замяна както на IP адреса така и на оригиналния порт номер наизточника и пакета се пуска навън. Когато се получи отговора, порт номерана получателя ще се използва като индекс в NAT таблицата за да се извлечеIP адреса и порт номера на компютъра от вътрешната мрежа до който епредназначен този отговор.Едно друго приложение на транслирането на адреси, което е открито впоследствие е свързано с факта, че NAT скрива структурата на вътрешнатамрежа и по този начин може да се използва за повишаване на сигурността.Въпреки, че NAT успява да намали натиска свързан с изразходването наIP адресите, това не е идеално решение и крие редица проблеми инедостатъци. Най-важните от тях са:• Първо, транслирането на адреси нарушава архитектурния модел наIP, според който всеки IP адрес уникално идентифицира еднаединствена машина в Интернет. Цялата софтуерна структура наИнтернет се крепи на този факт. Посредством NAT, хиляди машинимогат да използват адреса 10.0.0.1.• Второ, NAT променя Интернет от безвръзково-ориентирана мрежа ведин вид връзко-ориентирана. Проблема е свързан с това, че NATподдържа информация за съответствието за всяка връзка преминалапрез него. Ако се получи срив в NAT машината, всички TCP връзкище бъдат разрушени.• Трето, NAT нарушава най-фундаменталното правило за разделянетона отделните слоеве. По този начин ако по-късно излезе нова версияна TCP която използва 32 битови номера на портове или бъдеСтр.50Мрежов слой. Транслиране на адреси (NAT) и защитни стени (Firewalls).
Виртуална Лаборатория по Компютърни Мрежи и Разпределени Системиизползван друг транспортен протокол, транслирането ще пропадне.• Четвърто, някои приложения включват IP адресите в тялото натекста. Получателя извлича тези адреси и ги използва. Тъй като NATняма никакви знания за съдържанието на пакетите не може да гизамени и всякакъв опит за връзка с отдалечения сайт ще пропадне.FTP е пример за такъв протокол и освен ако не се взематдопълнителни мерки няма да работи заедно с NAT.• И последно, тъй като порт номерата са 16 битови, то най-много65,536 машини могат да бъдат скрити зад един IP адрес. Реално те сапо-малко тъй като част от порт номерата са резервирани. Решение натози проблем все пак е използването на повече от един реални IPадреси.Повече информация за проблемите свързани с NAT може да бъденамерена в документа [RFC 2993].Защитни стени (Firewalls)Възможността да свържете кои да е два компютъра независимо от товакъде се намират носи много предимства, но крие и много рискове.Забавление за хората сърфиращи в Интернет от домашните си компютри,това може да бъде истински кошмар за корпоративните администраториотговарящи за сигурността. Повечето компании имат огромно количествоконфиденциална информация, изтичането на която до конкурентна компанияби имала пагубни последици.В допълнение към опасността от изтичане на информация, съществува иопасността от вливането на зловредна такава във вътрешната мрежа – вируси,червеи, троянски коне и други могат да нарушат сигурността, да унищожатценни данни и да отнемат значително време на администраторите за давъзстановят системата.Необходимо е решение, което да осигури защита на вътрешната мрежа отбезбройните опасности които крие Интернет. Такова решение представляватЗащитните стени (Firewalls) (фигура 2).Терминът ‘Защитна стена’ (Firewall) е много обширно понятие, коетовключва механизми за предпазване на различни слоеве от OSI модела. Внастоящето упражнение акцентът пада върху защитни стени на мрежовияслой (network layer firewall). Този тип защитни стени работят като пакетнифилтри вземащи решение кои пакети могат да преминат през тях на база наконфигурирани от администратора правила. Тези правила могат да използватинформацията от IP хедъра както и номерата на портовете. Предимство предзащитните стени от по-горните слоеве е, че работят много бързо и прозрачноза потребителите.Стр.51Мрежов слой. Транслиране на адреси (NAT) и защитни стени (Firewalls).
Page 1 and 2: Виртуална Лаборато

ÐÐ¸ÑÑÑÐ°Ð»Ð½Ð° ÐÐ°Ð±Ð¾ÑÐ°ÑÐ¾ÑÐ¸Ñ Ð¿Ð¾ ÐÐ¾Ð¼Ð¿ÑÑÑÑÐ½Ð¸ ÐÑÐµÐ¶Ð¸ Ð¸ Ð Ð°Ð·Ð¿ÑÐµÐ´ÐµÐ»ÐµÐ½Ð¸ ...

Create successful ePaper yourself

Delete template?

Save as template?

ÐÐ¸ÑÑÑÐ°Ð»Ð½Ð° ÐÐ°Ð±Ð¾ÑÐ°ÑÐ¾ÑÐ¸Ñ Ð¿Ð¾ ÐÐ¾Ð¼Ð¿ÑÑÑÑÐ½Ð¸ ÐÑÐµÐ¶Ð¸ Ð¸ Ð Ð°Ð·Ð¿ÑÐµÐ´ÐµÐ»ÐµÐ½Ð¸ ...