ファイアウォールの背後にマシンを配置し、パブリックIPアドレスを設定することは可能ですか?
ファイアウォールの背後にマシンを配置し、パブリックIPアドレスを設定することは可能ですか?これは何と呼ばれていますか、またはどこでより多くの情報を見つけることができますか?
私の最初の反応は次のとおりです。いいえ、これは不可能です。マシンがファイアウォールの背後にある場合、プライベートIPアドレスがあり、外部通信はNAT経由で行われるためです。
ほとんどの非エンタープライズファイアウォールは、次の2つのモードのいずれかで動作します:NATまたはブリッジ
NATは、あなたが考えている従来のトポロジです。ファイアウォールはネットワーク上で唯一のパブリックIPを持ち、ファイアウォールとルーティング不可能なプライベートクラスの間で変換を行っています。この場合、ファイアウォールの「背後にある」マシンにはプライベートIPアドレスがあるため、パブリックにルーティングできません。
ブリッジモードでは、ファイアウォールはIP「スペース」を効果的にカバーするように構成されています。このスペースは基本的に、IPが配置されているネットワーク/ネットマスクです。たとえば、74.52.192.1〜74.52.192.7を含む公的にルーティング可能なクラス74.52.192.0/29の場合、範囲内の任意のアドレスを持つファイアウォールインターフェイスを使用してファイアウォールに構成できます。ファイアウォールがブリッジモードであり、そのように構成されている場合、74.52.192.0/29ネットワーク内の他のIPのいずれかとしてマシンを接続できます(ファイアウォールが使用しているものはもちろん使用できません)。
それは絶対に可能です。私は幸運にもクラスBネットワーク(CIDR表記の/ 16ネットワーク)を渡したときに(非常におよそ20〜25年前に)元に戻すことができた大学で働いています。この瞬間、私のワークステーション、つまりワークステーションマインドは、公的にルーティング可能なIPアドレスに駐車されます。実際、使用中のアドレスは比較的少ない RFC1918 です。使用されているいくつかは、PCIコンプライアンス(標準ではNATが義務付けられています)およびネットワーク管理に使用されます。ファイアウォールがアクセスを妨げているため、パブリックインターネットから私のワークステーションにアクセスすることはできません。
実際、最も内側の安全な聖域にあるマシンもパブリックIPアドレスで実行されています。それらとパブリックインターネットの間には2つのファイアウォールがあります。サードパーティからの「セキュリティスキャン」を契約する場合、指定したIPアドレスからの無制限のアクセスをサードパーティに提供することができます。これにより、「同じネットワーク上で」スキャンする次善の策が提供されます。そして、私たちはそれを彼らから取り去ります、そして彼らは戻ることができません。それは素晴らしい働きをします。一体、これは、スパムが発明される前のより信頼できる時代にインターネットが機能することを意図した方法です。それはまだできます。
実際、IPv6はもともと NATの必要性を排除する を中心に設計されました。誰にとっても十分なアドレスがあるので、そのようなゲートウェイの背後に隠す必要性は(理論的にはとにかく)冗長になりました。言い換えれば、インターネットを本来の機能と同じように機能させるということです。 NATサポートはプロセスの非常に遅い段階で強化されました。これは、情報セキュリティの確立の一部から、不可視性を防御手段として重視するという確固たる支持があったためです。
ここで覚えておくべき重要なことは、NATはファイアウォールの基本的な機能ではなく、単に密接に関連しているということです。ファイアウォールと一緒に使用すると、背後に存在する可能性のある攻撃対象領域が隠されるだけです。 。私たちのインターネット向けファイアウォールはNATをまったく実行しておらず、イントラネット向けファイアウォールはほんの少ししか実行していません(PCI関連)。
私は、デバイスのIPアドレスが公にルーティング可能であることを発見したときに震えを感じる多くのコンピューター専門家を知っています。適切に構成された境界セキュリティデバイスの背後にある場合、RFC1918アドレスと同じくらい安全です。この「パブリックIPは悪い」という概念は、PCI標準に定められており、より広範なIPv6展開を考慮して再評価する必要があります。
ファイアウォールの背後にマシンを配置し、パブリックIPアドレスを設定することは可能ですか?これは何と呼ばれていますか、またはどこでより多くの情報を見つけることができますか?
承知しました。ルーティング可能なIPアドレス空間と、ルーターのように機能するファイアウォールOS(Linuxなど)があるかどうかによって異なります。
サブネット化できる実際のアドレス空間がある場合、これは簡単です。ファイアウォール内のネットワークインターフェイスの1つにサブネットを配置するだけです。
プロキシARPで魔法をかける場合は、単一のサブネットのみを使用してこれを行うこともできます。 Proxy-ARPを使用した疑似ブリッジ 。
他の回答からわかるように、使用しているデバイスと必要なものに応じて、これを行うには複数の方法があります。
たとえば、Juniper Netscreenシリーズのファイアウォールデバイスには「マップされたIP」またはMIP構造があります。これを使用して、ファイアウォールのメインIPアドレスとは別の実際のルーティング可能なIPアドレスであるMIPを割り当て、ファイアウォールにどのプライベートアドレスを指定します。パケットを返すファイアウォールの背後にあるIP。ファイアウォールはポリシーを使用して、プライベートIPに戻す/転送するサービスを決定します。 NATはファイアウォールによって処理されます。プライベートIPコンピュータは、必ずしもMIPが何であるかを知る必要はありません。
古い3ComSuperStack3にはDMZ関数があり、パブリックIPは「DMZ内」として定義されていました。システムをパブリックIPのシステムであるかのように構成しましたが、ポリシーはデバイスは、許可されるサービスを制御しました。
もちろん、いつでもマシンをインターネットに直接接続して、ソフトウェアファイアウォールを実行できます(Windowsの場合はWindowsファイアウォール、Linuxの場合はiptables)。:)