:roll: :oops: :roll:
Cho phép ĐỆ đưa ra 1 topic cho vui nhé!
Trong mục đích xây dựng security,mình thường thấy họ đề cập đến 2 dạng sau:
1.Static NAT:có nghĩa là private IP sẽ được chuyển sang Public IP theo quan hệ 1private-1public,mối quan hệ này có lẽ được xây dựng ở L3 nên ta k cần phải quan tâm đến port cụ thể.
2.PAT=Port Forwarding
Ở trường hợp này,mối liên hệ dường như ở L4,khi ấy cái ta cần quan tâm là các service(có các port tương ứng) cụ thể.Lúc này ta có thể map nhiều private cho 1 Public,nhưng lưu ý các mối tình này chỉ có giá trị đối với 1 service cụ thể nào thôi.
Cvo lấy 1 VD nho nhỏ nhé:
Chẳng hạn mình dùng Fortigate firewall(FG),lúc này ta có 3 Zone chính:
Ext-->Internet,Int-->local network,DMZ--->các server
Mục đích là các user ngoài Internet có thể truy cập vào các server(web,mail,..)đặt ở DMZ zone.
Khi ấy,tùy vào hoàn cảnh cụ thể,ta có 2 giải pháp sau:
-Nếu có nhiều public IP,dùng static NAT map theo quan hệ
1-1,lúc này toàn bộ các service đều được đáp ứng,1 điểm mạnh nhưng cũng là 1 lổ hổng chết người,vì lúc này ta đã mở toang đường vào cho đội bạn rồi
-Nếu có ít public IP,ta dùng PAT,tạm hiểu là map port:chỉ cần 1 public IP thôi,ta có thể map web server cho nó qua port 80,mail server qua port 110,....kỹ thuật này cũng sẽ hạn chế bớt khả năng xâm nhập khung thành nhà của đội bạn đấy.
Mode thời thượng bây giờ là dùng PAT nhiều hơn đối với service,còn NAT hình như chỉ áp dụng cho việc routing thôi thì phải.
Chút kiến thức mọn mong trao đổi.Hy vọng các sư huynh sẽ thảo luận tiếp về ưu và khuyềt của NAT và PAT cùng ngu đệ
Cám ơn đã dành thời gian xem qua
Mến!
:lol:

Chào bạn,

1. Nếu tôi có nhiều public IP, các server ở DMZ tôi sẽ gán public ip - tại sao tôi phải dùng NAT chứ. Còn vấn đề sợ tấn công, thế firewall của bạn để đó làm gì.
2. Nếu chỉ có 1 public IP, thì chắc chắn phải dùng PAT rồi.

Thân chào,
duydq

hello all,
theo y kien cua minh thi van de port forwarder hay NAT khong lien quan gi den viec toopology cua network khi dua nhom server dich vu vao DMZ.
Can phan biet cac khai niem sau:
1> NAT hay PAT la dung chia se mot diachi chi IP thuc doi voi truong hop co nhieu user muon chia se dung chung internet access.
2> DMz : duoc dat ra de ta co the dua mot nhom cac server dich vu, va cac anonymous user co the access duoc , dieu nay lam tang do an toan cho local are network cua ta vi neu ta dat chung trong LAN thi hoan toan co kha nang cac host cung subnet se bi truy xuat tu nhung truy nhap khong duoc phep.
Do do, ban than cac server trong vung DMz cung phai duoc security, do do nguoi ta goi la screening host.
Va viec truy nhap va con phu thuoc rat lon vao policies cua net work, trong do cac rules tren firewall dong vai tro chu yeu trong viec quyet dinh user vao duoc phep access den dau.
va theo toi mo hinh an toan nhat la:

internet -> router1 -> firewall va dmz tai mot interface 2 cua FW, tai inter 1 cua fw noi den -> router2 - > LAN

Mong cac ban trao doi them
Than ai

HI all

Theo mình nghĩ DMZ đúng là để security cho các server. Trên DMZ chúng ta có thể đặt địa chỉ Public hoặc Private. Nếu như có nhiều Public IP thì nên đặt Public vì như vậy chúng ta sẽ không cần NAT trên Firewall và đồng thời tăng thêm performance cho firewall vì nếu sử dụng NAT firewall sẽ tốn thêm Memory và CPU

Khi đặt Server trên DMZ chúng ta có thể kiểm soát luôn được các local user truy cập vào các dịch vụ trên Các server. Một số firewall hỗ trợ các tính năng như Proxy cho các service như HTTP, SMTP, POP3... khi đó ví dụ một local user check mail tại một server đang đặt tại DMZ thì không chỉ có địa chỉ source, destination, service port được kiểm tra mà toàn bộ nội dung của mail sẽ được kiểm tra khi đi ngang qua firewall. Và điều đó sẽ làm tăng thêm độ an toàn cho hệ thống

Rất mong được trao đổi thêm về lĩnh vực này

HHNTS

:) :roll: :)
Tuyệt quá !Các sư hhuynh đều có kiến thức về security 1 cách hoàn hảo.
Quả thật,hiện nay DMZ zone đã được khai thác rất hiệu quả trong các mô hình.
Các dòng firewall cứng đều có DMZ zone thì phải.
Đệ có biết 1 loại có thể cho xây dựng thêm nhiều Zone nằm chung khu vực với DMZ nhờ dựa vào các user defined port.Tha hồ mà triển khai!!
Em có 1 thắc mắc bấy lâu mà chưa được giải đáp:Có loại modem aDSL nào thực hiện được port-mapping không?đệ muốn xin 1 kinh nghiệm thực tế
Trân trọng sự chỉ dẫn

PAT: Port Address Translation . Khi truy cap tren mang Internet, nhieu dung chung mot IP address phan biet boi session (layer 4 va 5). NAT va PAT tren thiet bi PIX Cisco ap dung cho users truy cap Internet. Tren thuc te, Web , Mail Servers v.v... deu duoc map tu DNS qua IP Address. Nhu vay thiet be PIX Cisco dung static one-to-one de map public IP to DMZ private IP .

Hi,
Nếu chúng ta dùng Cisco PIX, với version 6.3 trở lên, chúng ta có thể sử dụng static nhưng map port chứ không map 1 to 1 như những đời cũ, với lại chúng ta có thể sử dụng access-list thay cho conduit cũ xưa để cho phép từ bên ngoài vào.
Nếu theo cách này thì chúng ta có thể chỉ mở những port mà server cung cấp, thế thì chúng ta không mở lối cho đội bạn vào mà không kiểm soát rồi.
Mong các sư huynh chỉ giáo thêm.

:roll: :roll: :roll:
Mọi người cho hỏi,PIX có zone nào mang tính chất của DMZ zone không?
Có thề nói rõ về các zone của PIX dùm đệ k?
Trân trọng và mong chờ sự chỉ dẫn
Mến

Chào cvo,

PIX cũng có khái niệm về DMZ, cụ thể là có loại PIX 515E, có sản phẩm có số hiệu là ...DMZ-BUN có 3 cổng Ethernet, trong đó cổng thứ 3 được được kế kết nối vào vùng DMZ.

Các zone (mình không rõ là PIX có dùng từ này nhiều hay không nữa) trên PIX được phân chia theo mức an toàn (security level - SL) tương ứng với từng cổng giao tiếp. SL được đánh số từ 0 (rất không an toàn) đến 100 (rất an toàn).

Với PIX loại nhỏ, chỉ có 2 cổng mạng thì cổng inside có SL 100 và cổng outside có SL 0. PIX lớn hơn, có thể đặt tên cổng thứ 3 là dmz và gán SL 50. Nếu có nhiều cổng hơn, ta có thể gán SL từ 0, 20, 40, 60... 100.

PIX có quy định về cách truy cập giữa các cổng, từ mạng có SL cao xuống SL thấp thì phải có NAT/PAT, còn từ mạng có SL thấp muốn truy cập vào mạng có SL cao thì phải có NAT tĩnh + access-list cho phép.

Bạn có thể tìm hiểu kỹ hơn về PIX trên CCO,
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/

Mình chỉ nhớ đến vậy, chúc cuối tuần vui vẻ!

Qua phân tích ở trên thì NAT dừng lại ở lớp 3 còn PAT ở lớp 4. Vậy theo tôi thì NAT mạng sẽ chạy nhanh hơn PAT phải không ?
Bạn cvo15303 hỏi về router ADSL hỗ trợ PAT. mình thấy zyxel có chức năng này còn các router khác mình không biết, chắc bạn muốn dùng ADSL làm ftp, web server ...?

Static NAT hay PAT thực ra là hai cách thực thi NAT. Xét trong trường hợp bạn có một mạng nội bộ (local) nối với Internet.
Static NAT ánh xạ tương ứng IP public - IP local, thường sử dụng nếu bạn có nhiều hơn 1 IP tỉnh.
PAT (Port Address Translation): dùng một IP public phục vụ cho nhu cầu public dịch vụ hoặc truy cập Internet.
Khi có một kết nối từ một máy bên trong ra Internet, firewall thực hiện PAT sẽ thực hiện quá trình chuyển đổi như sau:
Local IP : local port ----------- destination IP : destination port
public IP : PAT port ----------- destination IP : destination port
và lưu lại quá trình chuyển đổi và chuyển đổi ngược lại:
destination IP : destination port ---------- public IP : PAT port
destination IP : destination port ---------- Local IP : local port

Public dịch vụ dùng PAT: ánh xạ tương ứng:
public IP : public port ----------- local ip : local port

Xét về sercurity thì không thể bảo static NAT hay PAT là tốt hơn vì nếu dùng static NAT nhưng ta lập access list chỉ cho truy cập những port cần thiết.
Xét về perfomance thì static NAT hơn PAT rồi.

To CVO : có nhiều loại modem adsl hỗ trợ port-mapping. con Zoom x4 có giao diện rất dễ sử dụng.

Router của Cisco cũng có khả năng map port. Nhưng mình mới chỉ làm map từ outside vào inside, ngược lại thì chưa thử :-)