我正在尝试实现一个屏蔽子网,但我不知道哪种方法才是正确的。
让内部和外部路由器都进行 NAT(IP 伪装),而内部路由器从私有 A 类 IP 转换为私有 C 类 IP,外部路由器从私有 C 类 IP 转换为公共 IP,这样正确吗?
屏蔽子网 (DMZ) 具有 C 类网络 IP,如果暴露的主机受到攻击,它无法嗅探任何内部数据包。此外,由于内部路由器执行的地址转换,受攻击的主机无法发现任何内部 IP 地址。
对于这两个路由器,我都必须设置 ACL 和其他防火墙规则。如果这不是正确的模式,您能帮助我了解实施屏蔽子网防火墙架构的最佳实践是什么吗?
先感谢您