为什么没有更多的组织configurationNAT U形转弯/发夹?
前一段时间我问了一个类似的问题 ,但是愚蠢地引用了内部到内部的NAT。 不是networkingpipe理员我的networking方面的术语是有限的,并导致回答我的问题,但不是我的问题的精神。
想象一下,大多数托pipe自己的服务器的中小型企业都会遇到这种情况:
-
你有一个单一的防火墙多接口。 他们是LAN,WAN和DMZ。
-
您的网站/邮件服务器具有从DMZ接口到公有IP的1:1 NAT的RFC1918地址。
-
LAN接口上的设备定期与DMZ接口上的设备进行通信。
-
您有一个名为
corp.example.com的Active Directory域,您的Web服务器位于外部example.com区域中。
在很多部署中,通常会看到内部DNS服务器(AD域控制器)托pipe带有RFC1918地址的example.com区域的内部副本。 为什么没有更多的组织configurationNAT U形转弯/发夹,以便不需要使用不同信息的第二个副本。 为什么组织不仅仅只有corp.example.com内部DNS和example.com外部DNS,并且每天都打电话给它?
是的,在大型企业,你最好有单独的DMZ防火墙,甚至单独的DMZ互联网连接。 我所知道的任何SMB都不是这种情况。
是的,ASA对此有一些蹩脚的许可。 我不在乎许可限制,只是金钱。 我知道他们可以configuration为允许这与same-security-traffic 。
我曾在一家瞻博networking商店工作多年,在这种情况下工作得很好,没有任何疯狂的configuration,思科pipe理员似乎对此有太多问题? 瞻博networking套件真的要容易得多吗? 这是IOS的限制,使得思科networkingpipe理员对configuration不感兴趣?
不是每个人的networking都使用能够以LAN速度进行NAT的设备。 当你的局域网全部是千兆位的时候,拥有能够路由100Mb / s的设备并不罕见,但是NAT却只有十分之一。
通常情况下,DMZ中的服务器需要在本地进行高速访问。 你想备份你的邮件和networking服务器,对不对? 你想在DMZ中备份吗?
由于翻译超时,NAT也打破长期闲置的连接。 发夹模糊了原始IP地址,使审计线索无用。 除了1比1之外的NAT是一个痛苦的黑客攻击,你希望内部stream量可靠。
攻击抵抗是另一个问题。 连接泛滥会导致你的NAT设备耗尽插槽,有些公司会定期重新启动面向互联网的设备,而不希望打扰长时间的内部连接。 即使您的设备完全可靠,将内部networking与处理公共IP空间的设备分开也不失为一个好主意。
这就是我的教导,所以我没有更好的答案,但对我来说,它消除了对防火墙设备的依赖。 在小型企业中,防火墙通常是低端产品(思考Linksys / Dlink / Sonicwall)。 依靠它从内部访问内部资源可能会产生问题。 这是一个不好的依赖。
我现在有一个客户端每天多次重新启动 Cisco ASA 5510防火墙,以解决远程用户的VoIP问题(可能是xlate问题)。 对于使用Exchange和通常的公共/私有服务的内部用户,使用内部DNSredirect至less会限制防火墙重新启动的影响。
编辑:
但我最近需要一个捏
