NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
• Только межсетевому экрану требуется публичный IP-адрес. Хостам и сетям за межсетевым<br />
экраном могут быть назначены приватные IP-адреса, но они имеют доступ к публичной сети<br />
Интернет через публичный IP-адрес.<br />
NAT обеспечивает преобразование IP-адресов типа «много в один»<br />
Механизм NAT обеспечивает преобразование IP-адресов «много в один». Это значит, что каждое<br />
NAT-правило из набора IP-правил будет выполнять преобразование нескольких IP-адресов<br />
источника в один IP-адрес источника.<br />
Чтобы обработать данные о состоянии сессии, для каждого соединения, установленного с<br />
динамически преобразованного адреса, используется уникальная комбинация из номера порта и IPадреса<br />
отправителя. Помимо IP-адреса источника, система NetDefendOS также осуществляет<br />
автоматическое преобразование номера порта источника. Т.е. для того, чтобы установить<br />
соединение, IP-адреса нескольких источников преобразуются в один IP-адрес, и соединения<br />
различаются только по уникальному номеру порта каждого соединения.<br />
Следующая схема иллюстрирует концепцию NAT.<br />
Рис. 7.1. NAT-преобразование IP-адресов<br />
На рисунке представлены три соединения с IP-адресов A, B и C, которые преобразованы с помощью<br />
NAT в один IP-адрес источника N. Начальные номера портов изменены.<br />
При установлении очередного NAT-соединения, система NetDefendOS случайным образом<br />
определяет следующий свободный номер порта источника. Механизм случайного назначения портов<br />
способствует повышению уровня безопасности.<br />
Ограничение количества соединений<br />
Количество одновременных NAT-соединений не может превышать 64 500. При этом каждое<br />
соединение «состоит» из уникальной пары IP-адресов. Здесь под «парой IP-адресов»<br />
подразумевается соединение, установленное между IP-адресом на каком-либо интерфейсе системы<br />
NetDefendOS и IP-адресом некоторого внешнего хоста. Но если два разных IP-адреса внешнего хоста<br />
подключены с использованием одного и того же NAT-адреса межсетевого экрана, то они составляют<br />
две разные уникальные IP-пары. Поэтому количество в 64 500 одновременных соединений не<br />
является верхним пределом для всего межсетевого экрана NetDefend.<br />
Совет: Ограничения количества соединений можно<br />
избежать, используя NAT-пулы.<br />
Для всех сценариев за исключением чрезмерных,<br />
максимально возможное количество соединений,<br />
приходящееся на уникальную IP-пару, является достаточным. Однако если<br />
необходимо увеличить количество одновременных NAT-соединений межсетевого<br />
экрана NetDefend и определенного хоста с внешним IP-адресом, используется такое<br />
свойство системы NetDefendOS, как NAT-пулы. Данное свойство позволяет<br />
автоматически задействовать дополнительные IP-адреса межсетевого экрана.<br />
Более детальная информация по данной теме представлена в разделе 7.3. «NAT-<br />
328