运维开发网

网络 – 为什么没有更多的组织配置NAT U-turns /发夹?

运维开发网 https://www.qedev.com 2020-03-13 14:29 出处:网络 作者:运维开发网整理
我 asked a similar question前一段时间,但愚蠢地引用内部到内部NAT.不是网络管理员我在网络方面的术语是有限的,并导致答案回答了我的问题,但不是我的问题的精神. 想象一下,大多数承载自己服务器的中小型企业都会遇到这种情况: >您有一个具有多个接口的防火墙.它们是LAN,WAN和DMZ. >您的Web /邮件服务器具有从DMZ接口到公共IP的1:1 NAT的RFC1918地址
我 asked a similar question前一段时间,但愚蠢地引用内部到内部NAT.不是网络管理员我在网络方面的术语是有限的,并导致答案回答了我的问题,但不是我的问题的精神.

想象一下,大多数承载自己服务器的中小型企业都会遇到这种情况:

>您有一个具有多个接口的防火墙.它们是LAN,WAN和DMZ.

>您的Web /邮件服务器具有从DMZ接口到公共IP的1:1 NAT的RFC1918地址.

> LAN接口上的设备定期与DMZ接口上的设备通信.

>您有一个名为corp.example.com的Active Directory域,您的Web服务器位于外部example.com区域中.

在许多部署中,通常会看到内部DNS服务器(AD域控制器)托管带有RFC1918地址的example.com区域的内部副本.为什么没有更多组织配置NAT U-turns /发夹,以便您不需要具有不同信息的该区域的第二个副本?为什么组织不只是为corp.example.com提供内部DNS,为example.com提供外部DNS,并且每天调用它?

是的,在大型企业中,理想情况下,您可以使用单独的DMZ防火墙,甚至是单独的DMZ互联网连接.在我所知道的任何SMB中都不是这种情况.

是的,ASA对此有一些蹩脚的许可.我不关心许可限制,只是钱.我知道他们可以配置为允许相同的安全流量.

我在瞻博网络商店工作多年,在没有任何疯狂配置的情况下工作正常,思科管理员似乎有这么多问题?在Juniper工具包上完成真的要容易得多吗? IOS的局限性使思科网络管理员对配置不感兴趣?

并非每个人的网络都使用能够以LAN速度进行NAT的设备.拥有可以路由100Mb / s但NAT为十分之一的设备并不常见,而您的LAN都是千兆位.

通常,DMZ中的服务器需要本地高速访问.您想要备份您的邮件和Web服务器,对吧?你想要在DMZ中备份吗?

由于转换超时,NAT还会破坏长期的空闲连接.发夹掩盖了原始IP地址,使审计跟踪变得毫无用处.除了1比1之外,NAT是一个痛苦的黑客,你希望内部流量是可靠的.

攻击阻力是另一个问题.连接泛滥可能导致您的NAT设备用完插槽,并且有些公司会定期重新启动面向Internet的设备,并且不希望干扰长期内部连接.即使您的设备完全可靠,将内部网络与处理公共IP空间的设备分离也是一个好主意.

0

精彩评论

暂无评论...
验证码 换一张
取 消