10-4...
TRANSCRIPT
CHAPTER NAT與基本防火牆
10-4 內部網路的開放與防火牆
Windows Server 2003的 NAT伺服器具備著以下的功能:
! 基本防火牆(basic firewall)
可用來加強內部網路的安全性。
! TCP/UDP連接埠對應(port mapping)
讓外界的使用者可以來存取內部的網站、郵件伺服器等。
! 多個 public IP與位址對應(address mapping)
讓外界特殊的應用程式可以透過 NAT來與內部的應用程式溝通。
NAT網路介面與防火牆
您可以透過【開始!系統
管理工具!路由及遠端存
取!選擇伺服器!IP 路由
!NAT/基本防火牆!雙
擊右方的網路介面】,然
後如圖 10-4-1所示來設定
NAT的網路介面。畫面中
總共有以下三個選擇:
! 私人介面連線到私人
網路
如果此介面是用來連
接內部區域網路,則請
選擇此選項。
圖 10-4-1
10-29
10-30
網路與IIS架站指南
! 連線到網際網路的公用介面
如果此介面是用來連接網際網路的,則請選擇此選項,並且可以選擇是否
要啟用 NAT與基本防火牆的功能。
! 只用基本防火牆
表示此介面將只提供基本防火牆的功能,不提供 NAT的功能。
Windows Server 2003的基本防火牆同時具備“靜態封包篩選”與“動態封包
篩選”的雙重功能,以便篩選(過濾)所傳送的封包,加強內部網路的安全性:
! 靜態封包篩選(static packet filtering)
只有對外連線的公用介面(public interface)才可以啟用基本防火牆,
對內的私人介面(private interface )無法啟用基本防火牆。
您可以透過圖 10-4-1 中的輸入篩選器鈕與輸出篩選器鈕來自行設定篩選
的規則,這部份的操作與第 9 章的“篩選進出路由器的封包”相同,請自
行前往參考。
! 動態封包篩選(dynamic packet filtering)
動態篩選就是所謂的“狀態封包檢測(stateful packet inspection,SPI)”,
它不接受從網際網路所主動傳送進來的封包,只接受回應內部電腦需求的
封包。舉例來說,區域網路內部使用者提出上網需求後,由外部網站所傳
送來的網頁可以透過基本防火牆傳送到內部使用者的電腦,但如果是由外
部的駭客(hacker)主動送來的攻擊封包,就會被阻擋在外,因為這個封包並
不是回應內部電腦所提出需求。
連接埠對應(Port Mapping)
NAT讓內部區域網路的使用者可以連接網際網路,以便上網、收發電子郵件,
但是預設卻不允許外部電腦來連接內部的電腦,因為內部電腦所使用的 IP位
說明
CHAPTER NAT與基本防火牆
址是 private IP,因此如果內部區域網路內架設了網站、FTP站台、電子郵件
伺服器等,您要如何讓外部的使用者來連接這些電腦呢?
透過 TCP/UDP連接埠對應(port mapping)功能,就可以讓這些使用 private IP
的網站、FTP站台、電子郵件伺服器來對外提供服務。
SERVER1(NAT伺服器)
IP:192.168.0.254
ADSL數據機
IP:61.11.22.33ISPInternet
集線器/交換器
IP:192.168.0.1網站的連接埠:80
電腦A
http://61.11.22.33/轉送給192.168.0.1:
80
電腦BIP:192.168.0.5FTP站台的連接埠:21
ftp://61.11.22.33/ 轉送給192.168.0.5:21
圖 10-4-2
以圖 10-4-2為例來說,內部區域網路電腦 A為網站,其 IP位址為 192.168.0.1、
網站的連接埠號碼為預設的 80;另外電腦 B 為 FTP 站台,其 IP 位址為
192.168.0.5、連接埠號碼為預設的 21。如果要讓外部的使用者可以來存取此
網站與 FTP站台,則請對外宣稱網站與 FTP站台是位於 IP位址為 61.11.22.33
的 NAT伺服器(假設連接埠號碼分別為預設的 80與 21):
! 當有外部的使用者透過類似http://61.11.22.33/路徑要來連接網站時,NAT伺服器會將此需求轉送到內部的電腦A,並由電腦A內支援連接埠號碼
為 80的軟體(也就是網站)來負責。網站將所需的網頁傳送給NAT伺服器,
再由NAT伺服器負責將其傳送給外部使用者的電腦。
! 當有外部的使用者透過類似 ftp://61.11.22.33/路徑要來連接 FTP站台時
時,NAT伺服器會將此需求轉送到內部的電腦 B,並由電腦 B內支援連接
10-31
10-32
網路與IIS架站指南
埠號碼為 21的軟體(也就是 FTP站台)來負責。FTP站台將所需的檔案傳送
給 NAT伺服器,再由 NAT伺服器負責將其傳送給外部使用者的電腦。
TCP/UDP連接埠對應(port mapping)的設定途徑為【開啟“路由及遠端存取”
主控台!選擇伺服器!IP 路由!NAT/基本防火牆!雙擊右方對外連線的網路
介面!然後如圖 10-4-3所示點取服務和連接埠標籤】。
附註
圖 10-4-3
在圖 10-4-3中您還可以透過 ICMP 標籤,設定 ICMP封包原則,以加
強阻擋駭客利用 ICMP的攻擊行為。
CHAPTER NAT與基本防火牆
然後直接從“服務”清單中勾選欲對外開放的服務,以圖 10-4-2 中的對外開
放網站來說,請勾選圖 10-4-3圖中的“網頁伺服器(HTTP)”,然後如圖 10-4-4
所示來設定。
圖 10-4-4
圖中“公用位址(Public address)”處選擇“在這個介面上”,表示由 ISP指派
給 NAT的 IP位址(對外的網路介面),以圖 10-4-2為例,它就是 61.11.22.33。
圖中完整的意思為:外部傳送給 IP 61.11.22.33(公用位址)、連接埠號碼為
80(連入連接埠)的 TCP封包,NAT都會將其轉送給 IP位址為 192.168.0.1(私
人位址)、連接埠號碼為 80(連出連接埠)的軟體來負責。
10-33
10-34
網路與IIS架站指南
除了圖 10-4-3中預設的服務外,您也可以按圖中的新增鈕來開放其他的服務。
1. 此功能適合於對外的介面是採用固定 IP的架構。
2. 如果您向 ISP申請了多個 public IP位址,則您還可以從“在這個
位址集區項目”來選擇其他的 public IP(在下一小節“位址對
應”內會解釋)。 說明
位址對應(Address Mapping)
雖然透過 TCP/UDP連接埠對應(port mapping)功能,開放了 NAT伺服器的某
些連接埠,達到讓外界電腦來與內部電腦溝通的目的,例如將 NAT伺服器的
連接埠 80對應到內部使用 private IP的網站。
但是對某一些特殊的應用程式來說(例如某些網路遊戲),只開放部份連接埠是
不夠的,此時我們可以透過“位址對應(address mapping)”的方式來解決這個
問題。經過將 NAT的某個 public IP位址對應到內部採用 private IP的某台電
腦後,所有從外部傳送給此 public IP的封包,不論其目的連接埠號碼為何,
都會被 NAT伺服器轉送給此電腦。
位址集區(address pool)的設定
您需要為 NAT伺服器申請多個 public IP,才可以享有位址對應的功能。假設
您已經申請了多個 public IP 位址,則請透過以下途徑將這些 IP 位址輸入到
NAT 伺服器內:【開啟“路由及遠端存取”主控台!選擇伺服器!IP 路由!NAT/基本防火牆!點取右方對外連線的網路介面!如圖 10-4-5所示點選位
址集區標籤!按新增鈕】,然後輸入這些 public IP位址。