是否可以有一台位于防火墙后面的机器并且拥有一个公共 IP 地址?

是否可以有一台位于防火墙后面的机器并且拥有一个公共 IP 地址?

是否可以将一台计算机置于防火墙后面并拥有公共 IP 地址?这叫什么?或者我可以在哪里找到更多信息?

我的第一反应是:不,这是不可能的,因为如果一台机器位于防火墙后面,它将具有私有 IP 地址,而外部通信将通过 NAT 进行。

答案1

大多数非企业防火墙以两种模式之一运行:NAT 或桥接

NAT 是您所考虑的传统拓扑。防火墙拥有网络上唯一的公共 IP,并在其与私有、不可路由的 IP 类之间进行转换。在这种情况下,防火墙“后面”的机器拥有私有 IP 地址,因此不可公开路由。

在桥接模式下,防火墙配置为有效覆盖 IP“空间”。此空间基本上是 IP 所在的网络/网络掩码。例如,对于公共可路由类 74.52.192.0/29,其涵盖 74.52.192.1 - 74.52.192.7,可以在防火墙上配置,防火墙接口具有该范围内的任何地址。如果防火墙处于桥接模式并配置为桥接模式,您将能够让计算机以 74.52.192.0/29 网络中的任何其他 IP 进行连接(防火墙使用的 IP 当然不可用)。

答案2

绝对可以做到这一点。我所在的大学很幸运地在他们分发 B 类网络(CIDR 表示法中的 /16 网络)时(大约 20-25 年前)获得了这些网络。此时此刻,我的工作站(工作站思维)停放在一个可公开路由的 IP 地址上。事实上,我们拥有的相对较少RFC1918正在使用的地址。正在使用的少数地址用于 PCI 合规性(标准要求 NAT)和网络管理。您无法从公共互联网访问我的工作站,因为防火墙阻止了访问。

事实上,我们最深处的安全密室中的机器也在公共 IP 地址上运行。它们和公共互联网之间有两道防火墙。当我们与第三方签订“安全扫描”合同时,我们有能力让他们从他们指定的 IP 地址不受限制地访问,这为他们提供了仅次于“在同一网络上”扫描的最佳选择。然后我们把它从他们手中夺走,他们就无法再进入。效果很好。哎呀,这就是互联网在垃圾邮件发明之前的那个更信任的时代打算如何运作的。它仍然可以。

事实上,IPv6 最初是为消除对 NAT 的需求。每个人都有足够的地址,因此隐藏在此类网关后面的需要(至少在理论上)是多余的。换句话说,让互联网按照它应该的方式工作。NAT 支持是在这个过程的很晚才加入的,这在很大程度上要归功于信息安全机构中将隐身视为一种防御措施的坚定倡导。

这里要记住的关键一点是,NAT 不是防火墙的基本功能,只是与防火墙密切相关。与防火墙一起使用时,它只是掩盖了可能存在的攻击面。我们的面向互联网的防火墙根本没有执行任何 NAT,而我们的面向内网的防火墙只做了一点(与 PCI 相关)。

我知道很多计算机专业人士在发现其设备的 IP 地址是公开路由时都会不寒而栗。在正确配置的外围安全设备后面,它的安全性不亚于 RFC1918 地址。这种“公共 IP 不好”的概念已载入 PCI 标准,鉴于 IPv6 的广泛部署,必须重新评估。

答案3

是否可以将一台计算机置于防火墙后面并拥有公共 IP 地址?这叫什么?或者我可以在哪里找到更多信息?

当然。这取决于您是否拥有可路由的 IP 地址空间,以及可以充当路由器的防火墙操作系统(Linux 等)。

如果你有可以划分子网的实际地址空间,那么这很简单。只需在防火墙内的一个网络接口上放置一个子网即可。

如果您对代理 arp 施展一些魔法,您甚至可以仅使用单个子网来做到这一点。 带有代理 ARP 的伪桥

答案4

当然,您始终可以将机器直接连接到互联网并在其上运行软件防火墙(Windows 的 Windows 防火墙、Linux 的 iptables)..:)

相关内容