Трансляция IP Адресов

Потребность в трансляции адреса IP — замена одного адреса IP в пакете другим адресом IP — возникает в двух случаях:

• Если сетевой администратор хочет скрыть внутренние адреса IP сети от Internet.



• Если адреса IP внутренней сети недопустимы для Internet. Например, эти адреса принадлежат другой сети.
  
  Такая ситуация может возникнуть по историческим причинам: внутренняя сеть не была первоначально соединена с Internet и адреса IP были выбраны произвольно без каких либо соглашений. Если такая сеть затем соединяется с Internet, внутренние адреса IP, используемые ранее, не могут использоваться для внешних связей. А изменение этих адресов может быть трудоемко или невозможно.

В любом случае внутренние адреса IP не могут использоваться для доступа в Internet. Однако, подобный доступ должен быть все же предусмотрен из внутренних сетей с недопустимыми или секретными адресами IP.

Application Gateway (proxies) исторически служил как частичное решение этих проблем. Например, чтобы скрыть внутренний IP адрес, пользователь может открыть сессию TELNET на шлюзе и оттуда продолжить работу в Internet через специальный proxy. CheckPoint FireWallЦ1 может быть легко настроен, для обеспечения подобной схемы работы, предоставляя широкий набор услуг (FTP, TELNET, HTTP, и т.д.). Кроме того, CheckPoint FireWallЦ1 дополняет эту схему, обеспечивая идентификацию пользователя на шлюзе.

С другой стороны, proxy имеет и недостатки:

1. Proxy написаны под конкретное приложение, поэтому невозможно использовать приложения, которые не имеют соответствующего proxy.
2. Proxу не прозрачен, так что даже зарегистрированные удаленные пользователи должны работать через приложение на шлюзе, что накладывает большие требования на производительность компьютера шлюза. Основная задача proxy после установки соединения — передать пакеты на прикладной уровень, что является неэффективным использованием ресурсов.
3. Трудно реализовать хороший proxу для протоколов отличных от TCP.

В CheckPoint FireWallЦ1 реализован другой механизм, обеспечивающий прозрачную для приложений возможность трансляции адресов, что обеспечивает комплексное и эффективное решение. Администратор определяет, какой внутренний IP адрес надо скрыть и как преобразовать его в зарегистрированный IP-адрес, видимый в Internet. В то же время внутренние компьютеры могут быть сконфигурированы так, чтобы быть доступными из Internet, даже если их внутренние адреса IP недопустимы для Internet. Таким образом CheckPoint FireWallЦ1 обеспечивает, как маскировку адреса IP, так и статическую Трансляцию Адреса, достигая полной совместимости с Internet для внутренних клиентов при максимальной производительности, даже если шлюз — стандартная рабочая станция.

Трансляция Адреса может использоваться для "однонаправленной маршрутизации" так, чтобы не существовало обходного маршрута снаружи во внутреннюю сеть или к центральным компьютерам.

Например, рисунок 25 показывает как CheckPoint FireWallЦ1 транслирует запрещенные внутренние адреса в диапазоне 200.0.0.100 - 200.0.0.200 в допустимые адреса 199.203.73.15 - 199.203.73.115.

Рисунок 25. Трансляция Адресов CheckPoint FireWallЦ1.

<NEXT>

По всем вопросам обращайтесь: ako@mplik.ru