思科配置动态nat,内网的安全如何保障
发布网友
共3个回答
热心网友
从原理上来说,有很多方法绕过NAT进入内部网络:
1) 象木马等方式可以使得内部网络一台机器作为攻击内部网络的跳板,微软类似这样被搞过很多次了;
2) 某些NAT无法阻挡源路由协议的攻击,攻击者可以由此进入内部网络(可以通过Windows下的tracert命令的-j参数进行测试, -j host-list Loose source route along host-list.)
3) NAT如果不加过滤,一些伪造源IP地址的包也可能侵入内部网络
4) 如果内部有台符合RFC标准的能够提供PASV方式的FTP服务器的话,外部用户可以通过这台FTP服务器进行FTP PASV方式的端口扫描。
5) more and more...
有太多方式可以透过NAT进入内部网络,而且还有一堆人都在研究怎么透过NAT甚至NAT+FW
FW在很多方面可以加强整个内部网络的安全性:
1) 端口过滤,端口过滤是加强安全的最基础的方式,可以防止想当一部分攻击;
2) 地址过滤,可以防止一些伪造源IP地址的攻击和源路由攻击
3) 会话过滤,好的FW可以做到会话级别的过滤
4) 应用过滤,能够实现应用级别的过滤是FW的比较高级的功能了,过滤颗粒比较细
5) more and more...
结论是仅仅用NAT来实现网络安全是不够的,FW有很多NAT实现不了的功能,完整的网络安全解决方案还应该包括网络防毒、IDS以及专家扫描系统等等,我认为最重要的还是管理员的水平和尽不尽职。
热心网友
把图和show run贴上来,配置肯定有问题。追问图贴上了,拜托了
PC4 可以访问内网的PC2
热心网友
怎么可能*能够直接ping通内网呢。。你这个配置肯定有问题。。。配置先贴上来看看。追问图贴上了,白若了
PC4 可以访问内网的PC2
追答你show ip nat tran 看看转换表项,按照你目前的配置,PC4是不能直接ping通192.168.1.2的。如果还有相同的问题,建议换个模拟器。
