作者mikevada (Believe in dreams)
看板Network
标题[问答] 在防火墙上做ip mapping会比较安全吗?
时间Wed Jan 31 18:33:28 2018
一直有一个疑问
是不是private ip就比较安全?
一台server绑private ip,然後在防火墙上mapping一个public ip让外面来连
跟server绑public直接连的差别在哪?
都是透过public和开port来连主机,
用mapping的方式会比较安全吗?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 223.136.13.75
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1517394811.A.417.html
1F:→ deadwood: 如果防火墙都是开permit any any是没差啦XD01/31 20:26
2F:推 allen65535: 防火墙的功能应该不只开特定port吧,不然谁要买防火墙02/01 09:49
我的问题不在於防火墙,而是mapping的必要性
,是不是private ip mapping public ip就会比较
安全,以及为什麽?
※ 编辑: mikevada (114.136.240.208), 02/01/2018 13:01:12
3F:→ dearlove: 没差吧 纯mapping的话就只是把风包传过去而已02/01 15:54
4F:→ dearlove: 重点应该在防火墙怎麽设定02/01 15:54
5F:→ fashionjack: 只有防火墙允许mapping的port才能存取,其他的封锁。02/01 21:23
6F:→ fashionjack: 这样当然比较安全,勒索病毒就钻不进来了。02/01 21:25
那就算直接绑public也没差吧,只要锁port就好了?
※ 编辑: mikevada (223.140.72.127), 02/01/2018 21:50:00
7F:→ dennisxkimo: 差在防火墙的防御机制,防御过程吃的效能是防火墙的 02/01 22:02
如果不管效能如何,那是不是就没差?我的疑问在private ip有没有比较安全?
如果是只有private ip那当然一定比较安全,但因为又mapping 到public ip,感觉就
没什麽差别,
但一般有个观念是private ip mapping public一定比直接用public ip安全,所以想弄清楚
※ 编辑: mikevada (114.32.29.208), 02/02/2018 08:19:55
8F:→ dearlove: 如果是mapping所有的port那没差吧 02/02 11:37
9F:→ dearlove: 针对port做mapping和public开特定port感觉是一样的概念 02/02 11:37
10F:推 sssxyz: 以此主题来说 比较偏架构上有差异 而不是安全性 02/02 11:52
11F:推 joshua5201: 有用防火墙的话可以检测一些其他事情就是了 02/02 19:01
12F:→ joshua5201: 但用不用防火墙 跟用不用private ip也是两回事 02/02 19:01
13F:推 b325019: 为什麽需要mapping?如果你有一大段public你要直接一台机 02/03 13:06
14F:→ b325019: 器配一个ip当然没问题,不过大多企业不是固3就是固6当然 02/03 13:06
15F:→ b325019: 不能用这麽浪费的方法,下面所有机器都用private然後用1- 02/03 13:06
16F:→ b325019: 2个public去mapping底下的机器既能提供服务也能节省ip使 02/03 13:06
17F:→ b325019: 用量,至於安全性的问题单纯看你怎麽规划,只是用nat相对 02/03 13:06
18F:→ b325019: 来说比较简单不会因为防火墙没设好而裸奔 02/03 13:06
19F:推 lianpig5566: 直接整个mapping 没另外设rule的话 安全性跟直接裸 02/04 02:45
20F:→ lianpig5566: 奔是一样的 差在防火墙可以记录流量 02/04 02:45