Брандмауэры: Каково различие между политикой, NAT и Маршрутами?
Привет, чтобы поставщик соответствовал этим потребностям, у меня есть некоторые в памяти Соответствие, Тип II SAS70, PCI, Совместно использованный Ничто / Выделенный Все Способное для хостинга Финансовое/Здравоохранение/Правительство
не стесняйтесь обращаться ко мне linkedin.com/in/noneil
Не знакомый с fwbuilder, но у них всех есть более определенные значения в сетях, вот то, как я определил бы их первое, что пришло на ум для общих сетей:
NAT и PAT:
Изменяет место назначения IP или источник и/или порты в TCP/UDP. Наиболее популярные способы использования состоят в том, таким образом, несколько человек могут совместно использовать общедоступный IP, или отобразить общедоступного дюйм/с на частного дюйм/с для сервисов.
Политика:
Что делает с пакетами, которые отвечают определенным требованиям на основе всего вида свойств на различных сетевых уровнях. Например, отбросьте их или отправьте сообщение ICMP в запрашивающую сторону, говоря, что она закрывается. Здесь основное использование состоит в том, чтобы безопасность защитила Вашу сеть.
Маршруты IP:
Решите, какой интерфейс отослать трафик в зависимости от целевого IP (или возможно более усовершенствованные вещи, когда Вы будете говорить об основанной на политике маршрутизации). Использование здесь состоит в том, что это, как Интернет и большинство главных компьютерных сетей работают и более высокие уровни. Обычно NAT происходит перед маршрутизацией, таким образом, пакет изменен NAT и затем направлен согласно результату.
Общий по сравнению с определенным:
Ваше обобщение "способов сказать данные, куда пойти в зависимости от того, что это и куда это прибывает из", примерно, каковы "сети". Для взятия его к более высокому уровню мне, он почти похож на высказывание, "Почему там все эти компьютерные слова, когда все, что они делают, переместить и управлять данными" :-) Эти условия являются всеми определенными аспектами сетей, которые могут быть полностью занятым призванием.
-
1Позвольте мне получить это прямо: Если бы я хотел кого-то на внешней стороне к доступу SSH или http на определенной внутренней машине, то я использовал бы NAT? Если бы наша сеть имела два соединения ISP, и подключенные к Брандмауэру, и я хотел, чтобы определенные внутренние компьютеры соединились с Интернетом через ISP A и другие для использования ISP B, то я использовал бы Маршруты? И если я хотел просто управлять, приняты ли определенные сервисы, которые проходят через маршрутизатор, или отклонены, я использую политику? – Jake Wilson 5 April 2010 в 23:31
-
2SSH от Outside:This, вероятно, потребовал бы двух вещей, тот, что у Вас есть NAT/PAT, имеющий некоторый порт на общедоступном IP, отображает ssh порт для частного IP сервера и затем также имеет целое в брандмауэре (политика), открытая для того, что публичный порт. Размещение в разных сетях: Когда у Вас будет два ISPs (Многосетевое интернет-соединение), у Вас должен будет быть PBR (основанная на политике маршрутизация) для маршрутизации базирующийся исходный IP, это обычно считают более усовершенствованными сетями. Политика: Обычно да это было бы тем, что разрешено или заблокировано, я думаю, что это не должно быть перепутано с основанной на политике маршрутизацией. – Kyle Brandt 6 April 2010 в 00:32
-
3Это звучит мне для уровня материала, который Вы пытаетесь сделать, Вы могли бы хотеть пойти, изучают iptables и фундаментальные сети задолго до входа fwbuilder. Это, вероятно, даст Вам лучшее понимание в конечном счете даже, что оно заканчивает тем, что заняло немного больше времени. – Kyle Brandt 6 April 2010 в 00:36
Политика, NAT и Маршрутизация являются условиями fwbuilder.
Политика эквивалентна iptables filter таблица, состоявшая из ВХОДА, ПЕРЕДАЕТ и ПРОИЗВОДИТ цепочки. Это просто решает, каким пакетам позволяют пересечь брандмауэр.
NAT эквивалентен iptables nat таблица, состоявшая из PREROUTING, POSTROUTING и ВЫХОДНЫХ цепочек. Это делает сопоставление (DNAT) и рассеивающий (SNAT) потоков пакетов.
Маршрутизация не имеет никакого iptables эквивалента. Это используется для таблиц маршрутизации некоторых маршрутизаторов (главным образом Cisco).
fwbuilder не имеет никакого эквивалента iptables mangle таблица, которая используется, чтобы сделать все виды Глупых Пакетных Приемов, к которым другие две таблицы не могут быть способны или не могут подходить для.