Иллюстрированный самоучитель по Development of safety


Преобразование сетевых адресов


Другой способ скрыть конфигурацию внутренней сети заключается в использовании одних адресов для внутренних систем и преобразовании их при связи с Internet или другими внешними сетями. Такой механизм называется преобразованием сетевых адресов (NAT— Network Address Translation). Основная функция NAT заключается в использовании особого алгоритма формирования адресов при работе во внутренней сети организации, которые перед посылкой их в Internet должны быть преобразованы в другие адреса.

Почему необходимо преобразование сетевых адресов

Когда в начале 90 годов началось повсеместное использование Internet, стало очевидным, что такой бурный рост числа пользователей приведет к нехватке адресов доступа. Пытаясь замедлить этот процесс, рабочая группа инженеров Internet (IETF - Internet Engineering Task Force) опубликовала RFC 1631, Преобразователь сетевых адресов протокола IP (NAT- The IP Network Address Translator). В этом документе объяснялось, как создавать сеть, в которой используется отдельный список адресов для незарегистрированных систем, которые могут быть преобразованы в зарегистрированные или "реальные" адреса, маршрутизированные в Internet. После аннонсирования этого RFC профессионалы безопасности стали призывать использовать NАТ, чтобы прятать сетевую конфигурацию и масштаб работ организации, не изменяя открытой информации об организации или открытых сведений о ее инфраструктуре.

Один из распространенных способов использования NAT заключается в назначении сетевых адресов для систем организации, не пользующихся Internet, из отдельного блока, установленного для скрытых сетей, которые будут преобразовываться в легальные адреса. Адресами скрытых сетей являются:

  • 10.0.0.0-10.255.255.255. Отдельный блок адресов класса А.
  • 172.16.0.0-172.31.255.255. 16 смежных блоков адресов класса В.
  • 192.168.0.0-192.168.255.255. 255 смежных блоков адресов класса С.

При использовании NАТ пользователь получает стандартный доступ в Internet, но адрес скрытой сети перед передачей должен быть преобразован системой, которая обеспечивает подключение и модификацию адреса перед отправкой (рис. 5.3).


Начало  Назад  Вперед