Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
ZveřejnilGabriela Říhová
1
Firewally Network Adress Translation (NAT) 13.4.20151 Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor: horak@oakostelec.cz
2
Úvod Pokud bychom připojovali síť k internetu přes paketový filtr, musel by každý počítač sítě LAN mít Internetovou adresu – Adresy by se brzy vyčerpaly – Každý počítač by byl z internetu přístupny Tento problém řeší NAT : – Všechny adresy vnitřní sítě skrývá za jedinou adresu veřejně známou v Internetu – Z Internetu se provoz jakékoliv sítě jeví jako provoz jediného počítače, jakkoliv veliké síti stačí pouze jediná internetová (veřejná adresa) adresa – Díky NAT rozeznáváme dva typy adres: Veřejné, internetové - viditelné z Internetu Soukromé (privátní) - adresy vnitřní sítě, skryté za NAT. Jde o adresy z rezervovaného adresního rozsahu (10.0.0.0 ÷ 10.255.255.255 nebo 172.16.0.0 ÷ 172.31.255.255 nebo 192.168.0.0 ÷ 192.168.255.255)
3
Princip práce NAT internet vnitřní síť otevři 77.75.72.3:80 požaduje 192.168.0.45:1225 Firewall (s NAT) přelož: 192.168.0.45:1225 Na 45.11.58.121:80 Pouze pro 77.75.72.3 www server 77.75.72.3 otevři 77.75.72.3:80 požaduje 45.11.58.121:80 Posílám data pro 45.11.58.121:80 Zkontroluj: 1.Existuje požadavek na počítač 77.75.72.3:80 ? 2.Kdo data požadoval? => 2.Kdo data požadoval? => 192.168.0.45:1225 Pošli data 192.168.0.45:1225 Vnitřní síťová karta s privátní adresou 192.168.0.1 Vnější síťová karta s veřejnou adresou 45.11.58.121 Klientské PC 192.168.0.45 Klientské PC 192.168.0.45 čas
4
Princip práce NAT internet Vnitřní síť haker server 77.75.66.92 Posílám data pro 45.11.58.121:80 čas Přístup nepovolen Firewall (s NAT) Vnitřní síťová karta s privátní adresou 192.168.0.1 Vnější síťová karta s veřejnou adresou 45.11.58.121 Klientské PC 192.168.0.45 Klientské PC 192.168.0.45 Zkontroluj: 1.Existuje požadavek na počítač 77.75.66.92:80 ? 2.Kdo data požadoval? => 2.Kdo data požadoval? => NIKDO
5
Shrnutí NAT skryje celou síť za jedinou veřejnou adresu Do sítě nepustí pakety, které nikdo nepožadoval V kombinaci s bezstavovým paketovým filtrem (který povolí pouze některé porty) je základem každého firewallu Pokud bude přístup do Internetu (z vnitřní sítě) požadovat škodlivý software, tak to NAT i bezstavový filtr povolí. Proto se dnes používá kontrola pracující v aplikační vrstvě, založená na proxy
6
13.4.20156 Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Použité materiály: Rita Pužmanová: TCP/IP v kostce
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.