作者mni35946 (國)
看板Network
標題[問答] NAT對安全性上的優點?
時間Wed Aug 26 17:57:29 2015
各位先進好,小弟本身不是學網路的,想法錯的地方還請大家不吝指正
最近公司要自己在機房裡建立一套AP Server
在網路設定上,有參考目前我們其他客戶的設法
舉例來說,AP裡的WorkPlace是不用對外上網的,所以上面就設一張網卡
IP設為192.168.20.X
而AP中的MarketPlace會對外上網,上面就會設兩張網卡
一個IP是192.168.20.X,另一個是192.168.18.X
而再透過防火牆上的static NAT把192.168.18.X轉換成public IP
這個地方小弟就想不太懂了,為什麼不直接把對外的網卡上面的IP設成public IP呢?
感覺NAT好像多此一舉,還是說這樣設對安全性會有幫助呢?
看了三四個客戶的網路架構,都是會這樣透過NAT把public IP mapping到private IP上
百思不得其解,還望版上大大可以幫小弟解惑
感激不盡!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.220.92.210
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Network/M.1440583051.A.F90.html
1F:→ shuinedu: 我覺得你的疑問是對的 直接把AP Server設Public IP就好 08/26 19:16
2F:→ shuinedu: 反正內部員工就打public ip嘛 外部就直接可以存取server 08/26 19:16
3F:→ shuinedu: 要是有分公司的話 也是直接存取 多簡單啊~~~~ 08/26 19:17
4F:→ kenduest: 有防火牆的話應該是過濾上、控管上與安全性容易統一處理 08/26 19:29
5F:推 globalhawk: 如果你看過public IP直接暴露在網際網路上的機器的log 08/26 20:45
6F:→ globalhawk: 就會知道了... 真的有些不知道哪裡來的很閒耶 會掃 08/26 20:45
7F:→ globalhawk: port 然後丟些怪東西亂try 08/26 20:46
8F:→ globalhawk: NAT再講系一點是port mapping,只有運許的東西可以在 08/26 20:47
9F:→ globalhawk: public IP跟private IP間建立對應 08/26 20:48
10F:→ globalhawk: 安全性是會比較高...server也不用被一些奇怪的騷擾 08/26 20:49
11F:→ mni35946: 如果AP上用public IP,而防火牆有設policy的話,應該就 08/26 21:36
12F:→ mni35946: 不會被騷擾吧???NAT會有額外的幫助嗎? 08/26 21:36
13F:推 sssxyz: 前方有防火牆的話設定正確有沒有nat安全性是一樣的 08/26 22:13
14F:→ sssxyz: nat的好處是你容易轉移public ip或實作multihoming 08/26 22:15
15F:推 zaknafein: nat 當初只是為了節省 ip address 08/27 11:31
16F:→ zaknafein: 後來才發現有安全的優點 08/27 11:32
17F:→ zaknafein: 不過就跟其他推文說的一樣 前面擺F/W有一樣功能 08/27 11:32
18F:推 asdfghjklasd: NAT \= Firewall....... 08/27 16:01