Межсетевой экран FireWall-1, Network Address Translation

Трансляция сетевых адресов

Информационная безопасность
Разграничение доступа
Авторизация и аутентификация
Трансляция сетевых адресов
Проверка содержания потоков данных
Безопасность операционной системы
Управление списками доступа маршрутизаторов
Обнаружение попыток неавторизованного доступа

Технологии Интернет базируются на использовании IP-протокола, и для обеспечения взаимодействия через IP-сеть, каждое устройство должно иметь уникальный адрес. Это требование легко удовлетворяется в корпоративных сетях, которые ограничены внутренними сетями предприятия, не подключенными к глобальным сетям. Но когда организация подключается к глобальной сети, например Интернет, возникает требование обеспечить уникальность адресов для всей глобальной сети, то есть по всему миру. Здесь обычно возникают проблемы, связанные с ограничением на количество доступных для использования адресов. Обычно организациям выделяют диапазон адресов существенно меньший, чем необходимо, что делает невозможным присвоение каждому устройству, участвующему в сетевом обмене, реального адреса.

С другой стороны, даже если вы можете обеспечить все ресурсы и пользователей сети реальными адресами, этот вариант не является предпочтительным, так как каждый пользователь глобальной сети может потенциально взаимодействовать с вашими ресурсами. Более того, необдуманное опубликование IP-адресов ваших сетевых устройств может привести к появлению атак на эти устройства и сеть в целом.

Защита вашего IP-пространства

Возможность FireWall-1 производить трансляцию адресов позволяет полностью изолировать внутреннее адресное пространство от Интернет и предотвратить распространение информации об адресах как общедоступной. Дополнительно, эта возможность позволяет решить проблемы нехватки адресного пространства путем сокращения необходимого зарегистрированного адресного пула и использования внутренних адресов из специально отведенных адресных пространств для частных сетей.

FireWall-1 поддерживает целостность внутреннего адресного пространства, транслирует его на официально зарегистрированные адресаорганизации в Интернет для обеспечения полноценного доступа к Интернет.

В FireWall-1 имеются два основных способа отображения таких адресов - статический и динамический.

Динамическая мода

Динамическая мода трансляции адресов обеспечивает доступ пользователей к сети Интернет, экономя зарегистрированное адресное пространство и скрывая внутренние адреса ресурсов сети. Динамическая мода использует единственный IP-адрес для отображения всех соединений, проходящих через защищенную точку доступа.

Так как этот IP-адрес, используемый в динамической моде только для выходных соединений, не используется ни для каких реальных ресурсов, не возможна подмена адреса или взлом.

Действительно ли этот вариант трансляции полностью динамичный?

Этот вопрос достаточно част, и ответ на него утвердительный. Действительно, механизм, реализованный в Check Point FireWall-1, позволяет неограниченному количеству адресов динамически отображаться на единственный IP-адрес.

Хотя нам известны отдельные реализации, где подстановка адресов выполняется по схеме выбора свободного из диапазона назначенных. Для таких реализаций в случае нехватки свободного адреса дальнейшие коммуникации невозможны.

Статическая мода трансляции адресов

При расширении сетевой инфраструктуры организации возникает потребность в обеспечении доступа пользователей сети Интернет к ресурсам организации, например для работников компании, работающих удаленно, или стратегических партнеров.

Статическая мода трансляции адресов призвана решить данную задачу путем однозначного назначения адресу ресурса в глобальной сети его реального адреса. Этот вариант трансляции обычно используется, если администратор не хочет использовать реальные адреса на сетевых серверах, или если по историческим причинам сеть использует нелегальные (внутренние) адреса, которым необходимо сопоставить реальные адреса, чтобы пользователи Интернет могли получить доступ к ним.

В обоих случаях, как для Динамической, так и для Статической мод трансляции адресов Check Point FireWall-1 предоставляет неограниченные возможности контроля и удобство настройки в сетях предприятий.

Простой пример настройки

FireWall-1 предлагает два метода настройки адресной трансляции. Первый метод - использовать автоматически создаваемые правила адресной трансляции путем задания необходимых свойств сетевых объектов.

Другой метод - создавать правила адресной трансляции непосредственно в редакторе правил трансляции. При определении правил адресной трансляции можно использовать все сетевые объекты. FireWall-1 имеет уникальную возможность проверять логическую не противоречивость созданных правил, что существенно упрощает создание сложных сценариев.

Пример определения трансляции сетевых адресов в свойствах сетевого объекта.

Пример сгенерированных автоматических правил трансляции адресов по приведенным выше определениям. Заметим, что аналогичные правила можно было создать и в ручном режиме.