책갈피로
콘택트 렌즈사이트 정보

여러 네트워크 인터페이스가 있는 ME 연결 다이어그램. ME 연결 다이어그램

하드웨어 세트이며 소프트웨어 도구지정된 규칙에 따라 통과하는 네트워크 패킷을 모니터링하고 필터링하는 네트워크 컴퓨터에서. 주요 업무- 무단 액세스로부터 네트워크 또는 개별 노드를 보호합니다.

ME에 대한 기능 요구 사항: 필터링 규칙을 설정하기 위해 네트워크 및 애플리케이션 수준에서 필터링하기 위한 요구 사항. 네트워크 인증을 사용하는 서버에 필요합니다. 저널/회계 관리 및 구현에 대한 요구 사항.

방화벽의 도움으로 내부 네트워크를 보호하는 효과는 네트워크 서비스 및 내부 네트워크 리소스에 대한 액세스 정책, 방화벽의 주요 구성 요소 선택 및 사용의 합리성에 달려 있습니다.

ME에는 적용 LE와 패킷 필터링의 두 가지 주요 유형이 있습니다. 정확한 실행금지된 트래픽을 차단하는 보안 기능.

응용 프로그램 수준(프록시 화면) - 범용 OS(Windows 및 Unix) 또는 ME 하드웨어 플랫폼을 기반으로 하는 소프트웨어 패키지. 이러한 방화벽에서 허용된 각 프로토콜에는 고유한 액세스 모듈이 있습니다. 이 ME를 사용하면 모든 연결이 이를 통과합니다.


방화벽은 연결을 수락하고 패킷의 내용과 사용된 프로토콜을 분석하여 주어진 트래픽이 보안 정책의 규칙을 준수하는지 확인합니다.
방화벽의 액세스 모듈은 들어오는 연결을 수락하고 트래픽을 수신자에게 보내기 전에 명령을 처리합니다.® 애플리케이션이 수행하는 공격으로부터 시스템을 보호합니다. 이러한 ME에는 HTTP, SMTP, FTP 및 텔넷과 같이 가장 일반적으로 사용되는 프로토콜에 대한 액세스 모듈이 포함되어 있습니다. 일부 액세스 모듈이 누락되어 특정 프로토콜이 방화벽을 통해 연결하는 데 사용되지 않을 수 있습니다.

패킷 필터링이 있는 ME m b 범용 OS 또는 ME의 하드웨어 플랫폼을 기반으로 하는 소프트웨어 패키지. 정책 규칙은 패킷을 검사하고 정책 규칙 및 프로토콜 상태(상태 저장 검사)에 따라 트래픽이 허용되는지 여부를 결정하는 패킷 필터를 사용하여 시행됩니다. 이러한 ME를 사용할 때 연결은 ME에서 중단되지 않고 최종 시스템으로 직접 연결됩니다. 패킷이 도착하면 방화벽은 정책 규칙에 따라 패킷이 허용되는지 확인하고 연결 상태를 확인합니다. 그렇다면 패킷은 경로를 따라 전송되고, 그렇지 않으면 패킷이 거부되거나 폐기됩니다. 프로토콜별 액세스 모듈을 사용하지 마십시오. ® IP를 통해 실행되는 모든 프로토콜과 함께 사용할 수 있습니다. 일반적으로 패킷 필터링이 있는 ME는 소프트웨어 액세스 모듈에서 발생하는 추가 구성 및 계산 절차에 의해 생성되는 부하가 없기 때문에 더 많은 트래픽을 지원할 수 있습니다.




하이브리드 ME. ME 응용 계층 제조업체는 IT의 급속한 발전으로 인해 특정 액세스 모듈 ® GSP 액세스 모듈 기술이 없는 프로토콜을 지원하는 방법을 개발할 필요가 있다는 결론에 도달했습니다. GSP는 패킷 필터링을 통해 화면으로 적용된 ME의 동작을 보장합니다. 오늘날 ME를 찾는 것은 사실상 불가능합니다. 고양이의 기능은 독점적으로 적용된 UR 또는 패킷 필터링에 기반하기 때문입니다. 보안을 담당하는 관리자가 특정 조건에서 작동하도록 장치를 구성할 수 있습니다.

ME를 연결하기 위해 다양한 방식이 사용됩니다. ME는 지원되는 장치 유형을 사용하여 외부 네트워크에 연결하는 외부 라우터로 사용됩니다.

때때로 계획이 사용되지만 최후의 수단으로만 사용해야 합니다. 라우터를 매우 신중하게 구성해야 하며 작은 오류가 심각한 보안 허점을 만들 수 있습니다.

대부분의 경우 연결은 다음을 통해 이루어집니다. 외부 라우터, 2개의 이더넷 인터페이스(한 컴퓨터에 2개의 네트워크 카드)를 지원합니다.

외부 라우터와 방화벽 사이에는 모든 트래픽이 통과하는 경로가 하나뿐입니다. 라우터는 방화벽이 외부에서 볼 수 있는 유일한 시스템이 되도록 구성됩니다. 이 방식은 보안 및 보호의 신뢰성 측면에서 가장 바람직합니다.

ME를 사용하면 라우터에서 나가는 여러 서브넷 중 하나의 서브넷만 보호됩니다. DOE에 의해 보호되지 않는 영역에는 외부에서 볼 수 있는 서버(WWW, FTP 등)가 있는 경우가 많습니다.

외부에서 볼 수 있는 서버에 대해 세 번째 네트워크를 구성할 수 있는 솔루션이 있습니다. 이를 통해 기본 네트워크에서 필요한 수준의 시스템 보호를 유지하면서 액세스를 제어할 수 있습니다.

보안 수준을 위해 한 네트워크에서 여러 방화벽을 사용하고 다른 방화벽 뒤에 하나씩 사용합니다.

이를 통과하는 네트워크 패킷의 분석 및 필터링. 설정된 규칙에 따라 doe는 패킷을 전달하거나 파괴하여 이러한 방식으로 허용하거나 금지합니다. 네트워크 연결. ME는 컴퓨터 네트워크의 경계를 보호하는 고전적인 수단입니다. 내부(보호된) 네트워크와 외부(잠재적으로 위험한) 네트워크 사이의 경계에 설치되고 이러한 네트워크의 노드 간의 연결을 제어합니다. 그러나 아래에서 논의될 다른 연결 방식이 있습니다.

ME에 사용되는 영어 용어는 방화벽입니다. 따라서 문헌에서는 방화벽을 방화벽 또는 방화벽이라고도 합니다(방화벽과 유사한 독일어 용어).

이미 언급했듯이 필터링은 규칙을 기반으로 합니다. ME에 대한 규칙 형성에서 가장 안전한 접근 방식은 "명시적으로 허용되지 않는 모든 것은 금지된다"는 접근 방식입니다. 이 경우 네트워크 패킷은 허용 규칙을 준수하는지 확인하고 규칙이 없으면 폐기합니다. 그러나 어떤 경우에는 반대 원칙이 적용됩니다. "명시적으로 금지되지 않은 모든 것은 허용됩니다." 그런 다음 거부 규칙을 준수하는지 확인하고 그러한 규칙이 없으면 패킷을 건너뜁니다.

필터링은 OSI 네트워킹 참조 모델의 다른 수준에서 수행할 수 있습니다. 이를 기반으로 ME는 다음과 같은 클래스 [ , ]로 나뉩니다.

  • 차폐 라우터;
  • 차폐 전송(세션 수준 게이트웨이);
  • 차폐 게이트웨이(응용 계층 게이트웨이).

쉴드 라우터(또는 패킷 필터) 기능 네트워크 계층 OSI 모델이지만 전송 계층 프로토콜의 헤더 정보를 사용하여 검사를 수행할 수도 있습니다. 따라서 발신자와 수신자의 IP 주소와 TCP 및 UDP 포트별로 필터링을 수행할 수 있습니다. 이러한 ME는 높은 성능상대적 단순성 - 기능 패킷 필터지금은 가장 간단하고 저렴한 하드웨어 라우터도 있습니다. 동시에 연결 참가자 교체와 관련된 공격과 같은 많은 공격으로부터 보호하지 못합니다.

세션 수준 게이트웨이 OSI 모델의 세션 계층에서 작동하며 네트워크 및 전송 계층 정보를 제어할 수도 있습니다. 따라서 위에 나열된 가능성 외에도 이러한 방화벽은 연결을 설정하는 프로세스를 제어하고 허용된 연결에 속하는 패킷을 통과하는지 확인할 수 있습니다.

애플리케이션 계층 게이트웨이네트워크에서 애플리케이션에 이르기까지 OSI 모델의 모든 수준에서 패킷을 분석할 수 있어 최고 수준의 보호를 제공합니다. 이전에 나열된 기능 외에도 사용자 인증, 응용 프로그램 계층 프로토콜 명령 분석, 전송된 데이터 확인( 컴퓨터 바이러스, 보안 정책 준수) 등.

이제 ME 설치와 관련된 문제를 살펴보겠습니다. 무화과에. 6.1은 일반적인 ME 연결 다이어그램을 보여줍니다. 첫 번째 경우(그림 6.1)는 라우터 뒤에 방화벽을 설치하여 내부 네트워크 전체를 보호합니다. 이러한 체계는 무단 인터네트워크 액세스에 대한 보호 분야의 요구 사항이 내부 네트워크의 모든 노드에 대해 거의 동일한 경우에 사용됩니다. 예: "내부 네트워크에서 외부 네트워크로의 연결을 허용하고 외부 네트워크에서 내부 네트워크로의 연결 시도를 중지합니다." 다른 노드에 대한 요구 사항이 다른 경우(예: "외부에서" 연결할 수 있는 메일 서버를 호스팅해야 하는 경우) 이러한 방화벽 설치 방식은 충분히 안전하지 않습니다. 이 예에서 공격자가 네트워크 공격의 결과로 지정된 메일 서버, 이를 통해 내부 네트워크의 다른 노드에 액세스할 수 있습니다.

이러한 경우 FOE 앞에 엔터프라이즈 네트워크(6.1b)의 개방형 세그먼트가 생성되고 FOE가 나머지 내부 네트워크를 보호하는 경우가 있습니다. 이 방식의 단점은 ME가 열린 세그먼트의 노드에 대한 연결을 제어하지 않는다는 것입니다.

이 경우 3개의 네트워크 인터페이스(6.1c)와 함께 ME를 사용하는 것이 더 바람직합니다. 이 경우 방화벽은 내부망에 대한 접근 규칙이 개방된 세그먼트보다 더 엄격하게 구성됩니다. 동시에 이러한 화합물과 다른 화합물은 DOE에서 제어할 수 있습니다. 이 경우 열린 구역을 "비무장 지대"(DMZ)라고도 합니다.

훨씬 더 안정적인 것은 2개의 독립적으로 구성 가능한 ME를 사용하여 DMZ(6.1d)로 네트워크를 보호하는 방식입니다. 이 경우 ME 2는 ME1에 비해 더 엄격한 필터링 규칙 집합을 구현합니다. 그리고 첫 번째 ME에 대한 성공적인 공격조차도 내부 네트워크를 무방비 상태로 만들지 않습니다.

최근에는 보호된 컴퓨터에 직접 소프트웨어 ME를 설치하는 변형이 널리 사용되었습니다. 때때로 그러한 ME를 "개인"이라고 합니다. 이러한 체계를 사용하면 외부 네트워크뿐만 아니라 내부 네트워크에서도 오는 위협으로부터 자신을 보호할 수 있습니다.

와이퍼 장치

자동차에는 브러시 레버의 고정 방식이 다른 앞유리 와이퍼 SL-191A 또는 SL-191B가 장착될 수 있습니다. SL-191A는 스프링 플레이트로, SL-191B는 너트로 고정합니다. SL-191A 와이퍼는 ME-241 전기 모터를 사용하고 SL-191B ME241 또는 ME-241A를 사용합니다. 1970-1972년 앞유리 와이퍼 SL-191도 사용되었습니다. 그들은 ME-241A 전기 모터와 브러시 레버를 스프링 플레이트로 고정했습니다.

BA3-2103 차량에는 SL-193 와이퍼가 사용됩니다. VAZ-2101 자동차의 앞 유리 와이퍼와 설치 치수, 브러시 레버 및 브러시 자체가 다르며 공기 역학적 저항이 적습니다. 또한 SL-193 와이퍼는 청소할 유리 부분의 구성이 다소 다릅니다. 이 와이퍼에는 ME-241 전기 모터가 장착되어 있습니다.

BA3-2103 자동차의 와이퍼 스위칭 회로에서 앞유리 워셔 펌프에 스위치가 추가되었습니다(그림 336, b 참조).

와이퍼는 전기 모터, 레버 메커니즘, 레버가 있는 브러시로 구성되며 공기 흡입구 상자의 후드 아래에 설치됩니다(그림 331). 유리에 대한 브러시의 가압력은 400-500gf이고 브러시 레버의 스윙 빈도는 분당 50-70번의 이중 스트로크 범위입니다. 브러시 레버의 축은 오일이 함침된 세라믹 금속 부싱에서 회전하며 작동 중 윤활이 필요하지 않습니다.

전동기 ME-241

(그림 332) - 영구 자석에서 여자가 있는 직류. 웜 기어 박스는 전기 모터와 함께 하나의 장치로 결합됩니다.

쌀. 330. 자동차의 사운드 신호를 켜기위한 PC528 릴레이의 전기 회로 BA3-2103

쌀. 331. 자동차에 설치된 와이퍼 모터의 일반 보기: .1 - 전기 모터; 2 - 기어박스 커버; 3 - 플러그

쌀. 333. 전기 모터 ME-241A: 1 - 덮개; 2 - 패널; 3 - 스위치 푸셔; 4 - 스위치의 접촉 디스크; 5 - 캠; 6 - 기어 감속기; 7 - 기어 박스 하우징; 8 - 축; 9 - 크랭크; 10 - 전기자 샤프트; 11 - 스러스트 베어링; 12 - 몸; 13 - 고정자 권선; 14 - 고정자 극; 15 - 앵커; 16 - 브러시 홀더; 11 - 펠트 링; 18 - 부싱; 19 - 스러스트 와셔; 20 - 연결 나사

전기 모터는 2개의 영구 자석(11)이 스프링 홀더로 내부에 고정되어 하우징과 함께 고정자를 형성하는 스탬핑된 강철 하우징(16)을 갖는다. 강판으로 만들어진 전기자 코어의 홈에는 웨이브 와인딩이 놓여 있으며 그 섹션의 결론은 수집기 구리판에 납땜됩니다.

전기자 샤프트(12)는 2개의 세라믹-금속 부싱(15)에서 회전합니다. 오일이 함침된 펠트 링(13)은 부싱 주위에 배치됩니다. 따라서 작동 중 전기자 샤프트의 베어링에는 윤활이 필요하지 않습니다. 웜기어로부터 전기자 샤프트에 작용하는 축방향 힘은 샤프트의 후방 단부가 받침되는 텍스톨라이트 와셔(14)에 의해 감지된다. 샤프트의 선단은 스프링이 있는 스러스트 베어링(6)에 의해 눌려집니다.

전기 모터의 본체는 기어박스의 크랭크 케이스이기도 한 커버 4로 닫혀 있습니다. 내부에는 두 개의 흑연 브러시가있는 플라스틱 브러시 홀더 9가 덮개에 고정되어 있으며 기어 박스 하우징에는 캠 8이있는 플라스틱 웜 기어 3이 있습니다. 기어는 차축 5에 눌려 있습니다. 다른 쪽 끝 차축에는 크랭크가 장착되고 너트로 고정되는 원추형 널링 표면이 있습니다. 액슬은 커버에 압착된 세라믹 금속 부싱에서 회전합니다.

기어와 크랭크 케이스 사이에 강철 및 텍스토라이트 와셔가 설치됩니다. 외부에서 차축은 고무 링으로 밀봉 된 다음 텍스타일 와셔와 강철 탄성 골판지 와셔가 있습니다. 그런 다음 워터 디플렉터 링과 스냅 링이 설치됩니다. 감속비는 51:1입니다.

쌀. 334. 전기 모터 ME-241A의 전기 회로: 1 - 앵커; 2 - 고정자 권선의 션트 코일; 3 - 고정자 권선의 브레이크 코일; 4 - 고정자 권선의 직렬 코일; 5 - 전기 모터 스위치 전선의 색상 지정: G - 파란색; GB - 흰색 줄무늬가 있는 파란색; MS - 검정색 줄무늬가 있는 파란색; 3 - 녹색; K-빨강

기어 박스 크랭크 케이스는 플라스틱 패널 2와 덮개 1로 닫혀 있습니다. 패널에는 전선이 납땜되는 접점 포스트가 포함되어 있고 스프링 플레이트 7에는 브러시가 아래쪽 위치에 있을 때 모터를 정지시키는 스위치 접점이 부착되어 있습니다. 스프링 플레이트의 접점은 전원에 연결된 하단 포스트(그림에서)에 대해 눌립니다. 기어 캠의 돌출부가 플레이트에 닿으면 하부 랙에서 빼내어 지면에 연결된 상부 랙에 밀어 넣습니다.

전기 모터 ME-241A(그림 333)에는 전자기 혼합 여자가 있습니다.

전동기의 본체(12)는 강관으로 이루어진다. 그 내부에는 고정자의 권선 코일(13)이 있는 두 개의 강철 기둥(14)이 나사로 고정되어 있습니다. 하나의 (직렬) 코일 4 (그림 334)는 전기자 권선과 직렬로 연결되고 다른 (분로) 2는 병렬입니다. 또한 하나의 코일 - 브레이크 3이 하나 더 있으며 직렬 코일과 함께 한 극에 배치됩니다. 전기 모터가 꺼진 경우에만 켜지고 직렬 코일의 흐름에 반대 방향으로 자속을 생성하여 전기자의 빠른 정지를 보장합니다.

전기자 홈은 나선형이며 수집기는 후면 덮개 측면에 있습니다. 스프링이있는 나일론 스러스트 베어링 11을 사용하여 아마추어 샤프트 10 (그림 333 참조)의 축 방향 이동이 제거됩니다. 기어 웜은 양방향이며 기어비는 34:1입니다.

크랭크(9)는 기어 액슬(8)에 고정되고 기어에서 액슬로의 토크는 스탬핑된 스틸 캠(5)을 통해 전달됩니다.

기어와 크랭크케이스 사이에 스틸 와셔 1개를 설치하고 크랭크케이스와 크랭크 사이에 텍스톨라이트 1개, 스틸 2개, 골판지 스틸 와셔 1개를 배치했다.

전기 모터 스위치는 접촉 디스크 4가 있는 푸셔 3과 패널 2에 리벳으로 고정된 2개의 접촉으로 구성됩니다. 접촉 디스크는 스프링에 의해 접촉부에 눌러져 닫힙니다. 캠 5가 푸셔를 누르면 접점 디스크가 멀어지고 접점이 열립니다.

와이퍼 릴레이(그림 335)는 간헐적인 와이퍼 작동을 얻는 데 사용됩니다. 왼쪽 계기판 아래에 있습니다.

릴레이에는 탄성 플라스틱 케이스와 getinax 베이스가 있으며 권선과 전자석 요크 4가 있는 코어 3이 리벳으로 고정되어 있습니다. 두 쌍의 고정 접점이 있는 플라스틱 지지대가 한쪽의 요크에 나사로 부착되고 다른 쪽의 전기자 2는 요크에서 스윙합니다.전류 전달 전기자 플레이트는 위쪽 또는 아래쪽 접점 쌍을 닫습니다. 스프링은 코어에서 전기자를 잡아당기므로 상단 접점 쌍은 일반적으로 닫히고 하단 접점은 일반적으로 열려 있습니다.

쌀. 335. 릴레이 RS514의 전기 다이어그램 전선 색상 지정: G - 파란색; GB - 흰색 줄무늬가 있는 파란색; Zh - 노란색; K-빨강

인터럽터 1도 니크롬 와이어로 감긴 바이메탈 플레이트가 있는 베이스에 고정되어 있습니다. 차단기 접점 사이의 스파크를 줄이기 위해 설계된 저항기 5가 베이스 아래에 설치됩니다.

1. 듀얼 홈드

이 연결 옵션의 방화벽은 두 네트워크의 물리적 및 논리적 분리를 수행하여 네트워크 간의 연결 설정 가능성을 결정합니다.

1.1. 비무장지대(DMZ)

경우에 따라 방화벽은 여러 네트워크 어댑터다양한 보안 정책이 설정되어 있습니다. 이를 위해 DMZ가 사용됩니다.

일반적으로 DMZ는 외부 네트워크의 클라이언트와 보호된 네트워크의 클라이언트 모두에서 사용할 수 있어야 하는 서비스를 호스팅합니다. DMZ 서비스에 대한 액세스는 다음에서 수행되어야 하므로 개방형 네트워크, DMZ는 네트워크 보안에 대해 덜 엄격한 요구 사항을 정의하지만 위협에 대한 보호를 구성하기에 충분합니다. 네트워크가 사용 가능한 서비스 또는 처리된 정보의 다른 수준의 기밀성을 명확하게 구분하여 사용자 그룹을 사용하는 경우 방화벽은 외부 네트워크뿐만 아니라 내부 네트워크 세그먼트 간의 네트워크 흐름도 제어할 수 있습니다. DMZ 할당 및 다중 네트워크 인터페이스 지원으로 중앙 집중식 보호 관리 가능 네트워크 리소스다양한 보안 정책을 채택했습니다.

예시:회사 네트워크에 회사 데이터를 게시하는 회사 웹 서버가 있다고 가정합니다. 이 데이터는 웹 서버가 내부 데이터베이스 서버에서 검색합니다. 데이터베이스 서버에 대한 액세스는 내부 네트워크에서만 허용됩니다. 웹 데이터베이스 관리 시스템의 인터페이스가 제대로 작동하려면 웹 서버에서 데이터베이스 서버로의 접근을 허용해야 합니다. 그러면 웹 서버에 접근할 때 데이터베이스 서버에 쉽게 접근할 수 있습니다.

비무장지대(DMZ)에 웹서버를 전담함으로써 외부 위협에 대한 보호 문제를 해결할 뿐만 아니라 로컬 네트워크로의 침투 가능성을 최소화한다.

1.2. 네트워크 인터페이스 간 라우팅 허용

대부분의 경우 수준에서 네트워크 인터페이스 간에 라우팅이 허용됩니다. 운영 체제, 동적 및 정적 필터링 메커니즘은 트래픽에 의해 제어됩니다. 운영 체제의 부팅/재부팅 프로세스 중에 로드된 라우팅 서비스가 있는 네트워크 스택이 활성화되지만 필터링 규칙이 있는 방화벽이 아직 로드되지 않은 짧은 순간이 있습니다.

방화벽이 응용 프로그램 프록시만 사용하는 경우 패킷을 라우팅할 필요가 없습니다. 이 경우 애플리케이션 프록시는 OS 측 라우팅 지원 없이 클라이언트와 서버 사이를 중재합니다. 이 경우 네트워크 인터페이스 간의 라우팅을 비활성화할 수 있습니다.

1.4. 로컬 방화벽 컴퓨터 네트워크

방화벽은 수준을 높이기 위해 근거리 통신망을 분할하는 데 사용할 수 있습니다. 정보 보안및 개별 네트워크 세그먼트의 보호. 세분화 지역 네트워크그때 사용:

서로 다른 접근 수준으로 정보를 처리하는 기능 그룹이 로컬 네트워크에 있는 경우

애플리케이션 및 서비스 서비스에 대한 통제된 접근을 제공해야 하는 경우,

서로 다른 기능 그룹 간의 정보 흐름 교환을 제어해야 하는 경우.

2. 스크린 쉴드

두 개 이상의 네트워크를 분리하는 다중 인터페이스 방화벽과 달리 방화벽(배스천 호스트)은 내부 네트워크에만 연결되어 하나의 네트워크 인터페이스를 갖습니다. 이 방식에서는 들어오는 모든 트래픽을 방화벽 인터페이스로 보내고 내부 네트워크에서는 방화벽의 IP 주소를 게이트웨이로 지정하도록 라우팅 테이블을 구성하는 데 세심한 주의를 기울입니다.

  1. 실드 서브넷

실드 서브넷 구성은 실드 네트워크 격리를 개선하기 위해 네트워크 세그먼트를 도입하여 실드 구성에 추가 보안 계층을 추가합니다.

ME 기술

1. 네트워크 주소 변환(NAT).

NAT를 사용할 때 방화벽은 두 IP 노드 사이에서 중개자 역할을 하여 2개의 데이터 전송 채널을 구성합니다. 이 경우 NAT를 사용하는 방화벽은 내부 IP를 대신하여 외부 IP 호스트와 상호 작용하지만 자체 IP 주소를 사용합니다.

LAN IP 주소 지정 유형:

  1. 10.0.0.0 – 10.255.255.255
  2. 172.16.0.0 – 172.31.255.255
  3. 192.168.0.0 – 192.168.255.255

NAT는 다음과 같은 경우 "단방향 라우팅"으로 알려진 것을 설정하여 간단하고 안정적인 보안을 제공합니다. 네트워크 패키지내부 네트워크에서만 방화벽을 통해 전송됩니다. 네트워크 주소 변환은 세 가지 모드로 수행됩니다.

동적

공전

결합.

소스 주소 변환과 대상 주소 변환 사이에도 구별이 있습니다. NAT는 다음과 같은 경우에 적용됩니다.

1. 보안 정책은 네트워크의 내부 주소 공간을 숨길 것을 요구합니다.

2. 네트워크상의 호스트 주소 변경이 불가능합니다.

3. 네트워크에 연결해야 합니다. 많은 분량호스트이지만 제한된 수의 고정 IP 주소 사용

동적 방송

포트 변환이라고 하는 동적 모드에서 방화벽에는 하나의 외부 주소가 있습니다. 내부 네트워크 클라이언트에서 공용 네트워크로의 모든 호출은 이 주소를 사용하여 이루어집니다. 클라이언트가 방화벽에 액세스하면 방화벽은 외부 IP 주소에 대한 고유한 전송 프로토콜 포트를 방화벽에 할당합니다. 포트 수: 65000

예시: LAN은 주소 공간이 10.0.0.0인 라우팅되지 않은 네트워크를 사용합니다. LAN 클라이언트는 웹 서버 207.46.130.149에 대한 연결을 설정하려고 합니다.

OS는 일반 IP 패킷을 생성하여 네트워크로 보냅니다. 패킷이 방화벽을 통과할 때 후자는 소스 주소를 외부 인터페이스 주소로 변경하고 소스 전송 포트를 사용하지 않는 포트 풀에서 첫 번째 자유 포트로 변경하고 체크섬을 다시 계산합니다. 웹 서버의 경우 클라이언트는 IP 주소가 200.0.0.1인 호스트, 즉 ME입니다. 서버는 정상적인 방식으로 클라이언트에 응답합니다.

동적 IP 주소 샘플링을 통한 동적 변환

동적 샘플링이 있는 동적 모드에서 외부 IP 주소는 외부 주소 풀에서 동적으로 할당됩니다. 동적 변환과 마찬가지로 각 연결에 전송 포트가 사용됩니다. 차이점은 전체 포트 풀이 소진되면 다음 외부 IP 주소가 할당된다는 것입니다.

고정 주소 변환

정적 변환에서는 방화벽의 외부 인터페이스에 내부 네트워크에 있는 호스트 수만큼 등록된 IP 주소가 할당됩니다.

예시:

1. 공개 세그먼트 클라이언트는 200.0.0.21에서 웹 서버에 액세스합니다. 2. do는 라우팅 테이블에서 적절한 규칙을 찾고 대상 주소를 10.0.0.21로 바꿉니다.

3. 서버는 소스 주소가 10.0.0.21인 응답 패킷을 반환합니다.

4. 로컬 네트워크를 떠날 때 ME는 주소를 200.0.0.21로 바꿉니다.

동적 IP 주소 샘플링을 통한 정적 변환

이러한 유형의 변환은 전송 포트를 사용하지 않으며 각 클라이언트에는 외부 주소 풀에서 IP 주소가 동적으로 할당됩니다.



별 1개별 2개별 3개별 4개별 5개 5,00 / 3
와이파이 여러 네트워크 인터페이스가 있는 ME 연결 다이어그램. ME 연결 다이어그램
관련 기사: