我有一个老旧且现在不受支持的“ProSAFE”VPN 防火墙,它围绕数据中心租给我们的 /28 块公共 IP 地址运行防御。我们的 WAN 接口是一根以太网电缆。这个防火墙最有用的功能之一(我认为这是企业级防火墙设备的标准配置)是“辅助地址”表 - 基本上,防火墙的主 WAN 接口设置为我们块中的第一个 IP 地址,然后我在路由器的“WAN 辅助地址”表中指定了其他 13 个。
当我定义入站防火墙规则时,会有一个下拉菜单来选择数据包到达的目标 IP 地址,因此我可以为“端口 80”设置单独的规则,这样我们的每个 publicIP:80 结果都可以被 NAT 到不同的私有 LAN IP(并且该规则还提供了更改端口的选项)。我广泛使用此功能来发布我们不同的测试平台系统,这样它们就不必完全暴露或自己拥有公共 IP 地址。
当我四处寻找替代防火墙时,我似乎看不到任何具有类似功能的防火墙,并且意识到我可能不知道这个概念在网络行业中到底叫什么。我唯一真正的防火墙配置经验是使用这款路由器,而且从未接受过任何正式培训(不包括多年来我使用过的各种“家用 wifi 路由器”,我没想到它们会有这样的功能)。
感谢任何能够澄清此类功能的正确术语的人。
答案1
您要查找的术语是“NAT防火墙”或“防火墙NAT”。
“NAT”代表 网络地址解读, 定义为:
网络地址转换 (NAT) 是一种将一个 IP 地址空间映射到另一个 IP 地址空间的方法,方法是在数据包通过流量路由设备传输时修改数据包 IP 标头中的网络地址信息。该技术最初用于避免在网络移动或上游互联网服务提供商被替换但无法路由网络地址空间时为每个主机分配新地址。它已成为在 IPv4 地址耗尽的情况下节省全局地址空间的流行且必不可少的工具。NAT 网关的一个可路由互联网的 IP 地址可用于整个专用网络。
您需要搜索具有 NAT 功能的防火墙产品。这些防火墙通常是商业性质的。市场上几乎所有顶级提供商都提供这种产品:NordVPN、IPVanish、VyprVPN、PIA、PureVPN。
答案2
如果所有分配的地址都用于出站流量的 SNAT/伪装,那么“NAT 池”将是一个相关术语,但这似乎并不适用于您的情况。
我会说不特定术语,用于描述您正在执行的操作;路由器实际上只是在接口上有多个 IP 地址。您可以称它们为“辅助地址”,有时也称它们为“IP 别名”(似乎来自 Cisco 终端服务器),但它并不完全是一项企业功能。
恰恰相反,每个接口能够拥有多个 IPv4 地址是 Linux 和 BSD 的标准,甚至在 Windows 上也是如此(尽管在 Windows 上用处不大)。对于 IPv6,拥有多个地址是基本规范的一部分。
典型的家用无线路由器,其核心通常基于 Linux 和 iptables,也可以实现与 ProSAFE 相同的功能——事实上其中一些做允许配置多个地址,并在其 NAT 规则中公开“目标 IP”字段。对于那些不这样做的,它只是在 Web 界面中缺失(可能是出于产品差异化的原因),但内核中仍然存在该功能。
(它类似于路由表 - 许多“家庭 wifi 路由器”不提供定义自定义路由的功能,但它们每一个都具备此功能,因为它们都运行 Linux,并且它是 IP 堆栈中不可或缺的一部分,因此将其拆除确实需要花费很大力气。)
不过,我想说的是,对某些端口进行 NAT 而不是直接将公共 IP 地址路由到 Web 服务器可能会产生一些虚假的安全感。如果您的服务器确实有一个公共 IP 地址,它仍然位于防火墙后面 - 如果该防火墙只允许目标端口 80 通过,那么它与 NAT 端口 80 之间的暴露程度没有区别。客户端仍然可以连接到相同的 Web 服务器软件,发送相同的 HTTP 请求等。