作者mni35946 (国)
看板Network
标题[问答] NAT对安全性上的优点?
时间Wed Aug 26 17:57:29 2015
各位先进好,小弟本身不是学网路的,想法错的地方还请大家不吝指正
最近公司要自己在机房里建立一套AP Server
在网路设定上,有参考目前我们其他客户的设法
举例来说,AP里的WorkPlace是不用对外上网的,所以上面就设一张网卡
IP设为192.168.20.X
而AP中的MarketPlace会对外上网,上面就会设两张网卡
一个IP是192.168.20.X,另一个是192.168.18.X
而再透过防火墙上的static NAT把192.168.18.X转换成public IP
这个地方小弟就想不太懂了,为什麽不直接把对外的网卡上面的IP设成public IP呢?
感觉NAT好像多此一举,还是说这样设对安全性会有帮助呢?
看了三四个客户的网路架构,都是会这样透过NAT把public IP mapping到private IP上
百思不得其解,还望版上大大可以帮小弟解惑
感激不尽!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.220.92.210
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1440583051.A.F90.html
1F:→ shuinedu: 我觉得你的疑问是对的 直接把AP Server设Public IP就好 08/26 19:16
2F:→ shuinedu: 反正内部员工就打public ip嘛 外部就直接可以存取server 08/26 19:16
3F:→ shuinedu: 要是有分公司的话 也是直接存取 多简单啊~~~~ 08/26 19:17
4F:→ kenduest: 有防火墙的话应该是过滤上、控管上与安全性容易统一处理 08/26 19:29
5F:推 globalhawk: 如果你看过public IP直接暴露在网际网路上的机器的log 08/26 20:45
6F:→ globalhawk: 就会知道了... 真的有些不知道哪里来的很闲耶 会扫 08/26 20:45
7F:→ globalhawk: port 然後丢些怪东西乱try 08/26 20:46
8F:→ globalhawk: NAT再讲系一点是port mapping,只有运许的东西可以在 08/26 20:47
9F:→ globalhawk: public IP跟private IP间建立对应 08/26 20:48
10F:→ globalhawk: 安全性是会比较高...server也不用被一些奇怪的骚扰 08/26 20:49
11F:→ mni35946: 如果AP上用public IP,而防火墙有设policy的话,应该就 08/26 21:36
12F:→ mni35946: 不会被骚扰吧???NAT会有额外的帮助吗? 08/26 21:36
13F:推 sssxyz: 前方有防火墙的话设定正确有没有nat安全性是一样的 08/26 22:13
14F:→ sssxyz: nat的好处是你容易转移public ip或实作multihoming 08/26 22:15
15F:推 zaknafein: nat 当初只是为了节省 ip address 08/27 11:31
16F:→ zaknafein: 後来才发现有安全的优点 08/27 11:32
17F:→ zaknafein: 不过就跟其他推文说的一样 前面摆F/W有一样功能 08/27 11:32
18F:推 asdfghjklasd: NAT \= Firewall....... 08/27 16:01