Не может показанный мои собственные файлы от NFS

Прежде всего нет ничего для боязни того, чтобы быть на общедоступном выделении IP, пока устройства безопасности настроены право.

Чем я должен заменять NAT, если у нас нет физически отдельных сетей?

То же самое мы физически разделяли их с с 1980-х, маршрутизаторов и брандмауэров. Одно большое усиление безопасности, которое Вы получаете с NAT, - то, что он вынуждает Вас в значение по умолчанию - отклоняют конфигурацию. Для получения любого сервиса через него необходимо явно перфорировать дыры. Более необычные устройства даже позволяют Вам применять основанный на IP ACLs к тем дырам, точно так же, как брандмауэр. Вероятно, потому что у них есть 'Брандмауэр' на поле на самом деле.

Правильно настроенный брандмауэр предоставляет точно ту же услугу как шлюз NAT. Шлюзы NAT часто используются, потому что они легче войти в безопасную конфигурацию, чем большинство брандмауэров.

Я слышу, что IPv6 и IPSEC, как предполагается, заставляют все это защитить так или иначе, но без физически разделенных сетей, которые делают эти устройства невидимыми для Интернета, я действительно не вижу как.

Это - неправильное представление. Я работаю на Университет, который имеет/16 выделение IPv4, и обширное, подавляющее большинство нашего потребления IP-адреса находится на том общедоступном выделении. Конечно, все наши рабочие станции конечного пользователя и принтеры. Наше потребление RFC1918 ограничено сетевыми устройствами и определенными определенными серверами, где такие адреса требуются. Я не был бы удивлен, дрожали ли Вы просто сейчас, потому что я, конечно, сделал, когда я обнаружился в свой первый день и видел постэто на своем мониторе с моим IP-адресом.

И все же, мы выживаем. Почему? Поскольку нам настроили внешний брандмауэр для значения по умолчанию - отклоняют с ограниченной пропускной способностью ICMP. Просто, потому что 140.160.123.45 теоретически routeable, не означает, что можно добраться там от где бы вы ни были в общедоступном Интернете. Это - то, что брандмауэры были разработаны, чтобы сделать.

Учитывая правильные конфигурации маршрутизатора и различные подсети в нашем выделении может быть абсолютно недостижимым друг от друга. Вы делаете может сделать это в таблицах маршрутизатора или брандмауэрах. Это - отдельная сеть и удовлетворило наших аудиторов безопасности в прошлом.

Нет никакого пути в аду, я помещу нашу тарификационную базу данных (С большим количеством данных кредитной карт!) в Интернете для всех для наблюдения.

Наша тарификационная база данных находится на общедоступном адресе IPv4 и была для его всего существования, но у нас есть доказательство, которое Вы не можете получить там отсюда. Просто, потому что адрес находится в общедоступном списке v4 routeable, не означает, что он, как гарантируют, будет поставлен. Эти два брандмауэра между злом Интернета и фактических портов базы данных отфильтровывают зло. Даже с моего стола, позади первого брандмауэра, я не могу добраться до той базы данных.

Информацией о кредитной карте является один особый случай. Это регулируется стандартами PCI-DSS, и в стандартах говорится непосредственно, что серверы, которые содержат такие данные, должны быть позади ^{NAT gateway1}. Наши, и эти три сервера представляют наше общее использование сервера адресов RFC1918. Это не добавляет безопасности, просто слой сложности, но мы должны были проверить тот флажок на аудиты.

Исходный "IPv6 делает NAT, вещь прошлой" идеи была выдвинута, прежде чем интернет-бум действительно поразил полную господствующую тенденцию. В 1995 NAT был обходным решением для того, чтобы обходить маленькое выделение IP. В 2005 это хранилось во многом документе Лучших практик безопасности и по крайней мере одном главном стандарте (PCI-DSS, чтобы быть конкретным). Единственная конкретная польза, которую приносит NAT, - то, что внешний передовод "против" выполнения объекта в сети не знает то, на что среда IP похожа позади устройства NAT (хотя благодаря RFC1918 у них есть хорошее предположение), и на IPv4 без NAT (таком как моя работа), который не имеет место. Это - небольшой шаг в защите подробно, не большой.

Замена для адресов RFC1918 - то, что называют Уникальными Локальными Адресами. Как RFC1918, они не направляют, если коллеги конкретно не соглашаются позволить им направить. В отличие от RFC1918, они (вероятно), глобально уникальны. Преобразователи адресов IPv6, которые переводят ULA в Глобальный IP, действительно существуют в более высоком механизме периметра диапазона, определенно не в механизме SOHO все же.

Можно выжить очень хорошо с общедоступным IP-адресом. Просто имейте в виду, что 'общественность' не гарантирует 'достижимый', и Вы будете в порядке.

Обновление 2017 года

За прошлые несколько месяцев Amazon aws добавлял поддержку IPv6. Это было просто добавлено к их амазонке-vpc, предлагающей, и их реализация дает некоторый ключ к разгадке относительно того, как крупномасштабные внедрения, как ожидают, будут сделаны.

• Вам дают/56 выделение (256 подсетей).
• Выделение является полностью routeable подсетью.
• Вы, как ожидают, установите свои правила брандмауэра (группы безопасности), соответственно строгие.
• Нет никакого NAT, это даже не предлагается, таким образом, весь исходящий трафик прибудет из фактического IP-адреса экземпляра.

Для добавления одного из преимуществ безопасности NAT въезжают задним ходом, они теперь предлагают интернет-шлюз Только для выхода. Это предлагает одно подобное ТУЗЕМНОМУ преимущество:

• К подсетям позади него нельзя непосредственно получить доступ из Интернета.

Который обеспечивает слой защиты подробно, в случае, если misconfigred правило брандмауэра случайно позволяет входящий трафик.

Это предложение не переводит внутренний адрес в единственный адрес путем, NAT делает. Исходящий трафик будет все еще иметь исходный IP экземпляра, который открыл соединение. Операторы брандмауэра, смотрящие на ресурсы белого списка в VPC, будут более обеспеченным белым списком netblocks, а не определенными IP-адресами.

Routeable не всегда имеет в виду достижимый.

^1: Стандарты PCI-DSS, измененные в октябре 2010, оператор, передающий под мандат адреса RFC1918, были удалены, и 'сетевая изоляция' заменила его.