有可能有一台机器在防火墙后，并有一个公共的IP地址？

大多数非企业防火墙以两种模式之一运行：NAT或桥接

NAT是您正在考虑的传统拓扑结构。 防火墙拥有networking上唯一的公共IP，并且正在它与一个私有的，不可路由的类之间进行转换。 在这种情况下，防火墙后面的机器具有私有IP地址，因此不能公开路由。

在桥接模式下，防火墙configuration为有效覆盖IP“空间”。 这个空间基本上是IP所在的networking/networking掩码。 例如，对于包含74.52.192.1 – 74.52.192.7的可公开路由的类74.52.192.0/29，可以在防火墙接口具有范围内的任何地址的防火墙上进行configuration。 如果防火墙处于桥接模式并进行了configuration，则可以将机器连接到74.52.192.0/29networking中的任何其他IP（防火墙正在使用的IP当然不可用）。

这是完全可能的。 我在一所有幸获得B类networking（CIDR符号的1/16networking）的大学工作，当时他们将这些networking传递出去（非常大约20-25年前）。 就在这一刻，我的工作站，一个工作站的头脑，停在一个公共可路由的IP地址。 实际上，我们使用的RFC1918地址相对较less。 less数正在使用的是PCI合规性（标准授权NAT）和networkingpipe理。 由于防火墙阻止了访问，您无法从公共Internet访问我的工作站。

事实上，我们最安全的圣地中的机器也运行在公共IP地址上。 他们和公共互联网之间有两个防火墙。 当我们为第三方提供的“安全扫描”签约时，我们可以通过指定的IP地址给予他们不受限制的访问权限，从而为他们提供“在同一networking上”扫描的下一个最佳select。 然后我们把它从他们身上拿走，他们不能再回来了，这很好。 哎，这就是互联网打算在垃圾邮件发明之前的更多信任时间里工作的方式。 它仍然可以。

实际上，IPv6最初是为了消除NAT的需要而devise的。 每个人都有足够的地址，所以躲在这样的网关后面（理论上说）是多余的。 换句话说，让互联网按照它应该工作的方式工作。 在这个过程中，NAT的支持在很晚的时候就被狂飙了起来，其中很大一部分原因是信息安全部门的坚定支持者认为隐形是一种防御措施。

这里要记住的关键是NAT不是防火墙的基本function，它只是紧密相关的。 当与防火墙一起使用时，它只会掩盖它后面可能存在的攻击面。 我们面向互联网的防火墙根本就没有做任何NAT，而我们的面向内部网的防火墙只是做了一些（PCI相关的）。

我知道许多许多计算机专业人士在发现设备的IP地址是公共地址时会发抖。 在正确configuration周边安全设备后，它的安全性不亚于RFC1918地址。 这个“公共IP不好”的概念已经在PCI标准中体现出来了，并且必须根据更广泛的IPv6部署进行重新评估。

有可能有一台机器在防火墙后，并有一个公共的IP地址？ 这是叫什么或在哪里可以find更多的信息？

当然。 这取决于你有可路由的IP地址空间，还有一个防火墙操作系统也可以像路由器一样工作（Linux等等）。

如果你有真正的地址空间，你可以子网，那么这是微不足道的。 只需在防火墙内的其中一个networking接口上放置一个子网即可。

你甚至可以只使用一个子网，如果你用代理ARP做一些魔术。 带有代理ARP的伪桥 。

从其他答案中可以看出，有多种方法可以实现这一点，具体取决于您拥有的设备和您需要的设备。

例如，瞻博networkingNetscreen系列防火墙设备具有“映射IP”或MIP构造，您可以使用它分配一个与防火墙主IP地址分开的真实可路由IP地址的MIP，并告诉防火墙哪些私有防火墙后面的IP将数据包传回。 防火墙使用策略来决定将哪些服务传回/转发到专用IP。 NAT是由防火墙处理的; 私有IP计算机不一定需要知道MIP是什么。

旧的3Com SuperStack3具有DMZfunction，公共IP被定义为“在DMZ中”。 您将系统configuration为公用IP系统，但是设备上的策略又控制了哪些服务可以通过。

当然，你可以将一台机器直接连接到互联网上，并运行一个软件防火墙（Windows防火墙Windows，iptables Linux）.. 🙂