第 16 章 Internet架構.

Presentation on theme: "第 16 章 Internet架構."— Presentation transcript:

1 第 16 章 Internet架構

2 第 16 章 Internet架構 在新的商業型態、降低銷售成本、提升客戶服務方面，Internet具有極大的潛力。
在組織的資訊和系統方面，也可能會增加極大的風險。 只要具有適當的安全架構，也可以賦予Internet極大的效用，且可用來管理資訊和系統的風險。

3 本章的內容如下： 16-1 提供哪些服務 16-2 不提供哪些服務 16-3 發展通訊架構 16-4 設計DMZ 16-5 認識網路位址轉譯
16-6 設計合作夥伴網路

4 16-1 提供哪些服務 關於Internet架構首先需要回答的問題是 － 組織希望透過Internet提供哪些服務？
希望提供哪些服務、服務的對象是誰，這些問題會大大地影響到整體架構，甚至也可能架設主機提供服務。

5 本節的內容如下： 16-1-1 郵件 16-1-2 電子郵件加密 16-1-3 Web站台 16-1-4 內部存取Internet
組織外部存取內部系統 控制服務

6 16-1-1 郵件 如果提供郵件服務時，一般提供的對象都是提供內部員工收送訊息。 這項服務至少需要架設一部接收類送郵件的伺服器。
如果要求更高的可用性，那麼至少需要兩部郵件伺服器。 外送郵件可以移到同一部伺服器進行處理，或是組織也可以允許桌上型電腦直接郵件發送到目標系統。

7 list Server可以和一般郵件伺服器架在同一不設備上，這些系統接收外部使用者的郵件，接著將訊息轉送給list server的訂閱用戶。
組織也許會因為電子郵件討論群組之類的需求，而選擇架設公用郵件轉送（public mail relay），這類伺服器又稱為list server。 list Server可以和一般郵件伺服器架在同一不設備上，這些系統接收外部使用者的郵件，接著將訊息轉送給list server的訂閱用戶。 在Internet整體架構的考量上，可能會產生更大的流量需求。 不建議組織允許桌上型系統，直接將郵件發送到目標系統。不過，如果組織的郵件系統是架在Internet上，每部桌上型電腦都是透過該郵件伺服器收發電子郵件。在這種情況下，限制桌上型電腦只能透過該部郵件伺服器送出電子郵件，這是較為聰明的作法。

8 16-1-2 電子郵件加密 通常都不會利用電子郵件傳送機密資訊。
基於省時、節省成本和擴充Internet用途的考量來說，還是會利用電子郵件寄送機密資訊。 最好是利用電子郵件加密來保護機密資訊的內容。 某些系統可以提供電子郵件加密的功能，這些系統類型從桌面型軟體（例如PGP），到電子郵件串流（例如Tovaris）的網路設備都有。

9 系統的選用不僅僅是依據傳送和接收加密電子郵件的數量，還需要依據組織的復原政策和金鑰管理（詳見第12章）等其他需求而定。
某些企業（例如財稅機關和健保組織）會將客戶、患者相關的機密資訊加密。

10 Web站台 如果組織選擇透過全球資訊網（World Wide Web）對客戶或夥伴發佈資訊，組織就會需要在內部或其他處所架設Web伺服器，並放置某些供大眾閱覽的內容。 Web伺服器可以是簡單、靜態的內容，或是鏈結到提供動態內容和接受訂單的電子商務系統（詳見第17章）。 Web站台的存取方式，可以是任何人皆可瀏覽或透過某些認證機制（通常是使用者ID和密碼）加以限制。

11 如果含有某些限制性的內容時，站台應該要使用HTTPS（安全基座層，Secure Socket Layer，SSL）保護機密資訊。
除了提供Web伺服器之外，可能也會提供檔案傳輸協定（File Transfer Protocol，FTP）。 FTP允許組織外部的使用者，透過Web瀏覽器或FTP用戶端的協助，傳送或取得檔案。 在使用者認證方面，可以採用匿名登入或要求輸入使用者ID和密碼登入認證。

12 16-1-4 內部存取Internet 員工如何存取Internet應該依據政策加以規範（詳見第6章）。
某些組織只允許員工使用瀏覽器，且只能瀏覽特定的網站。 這些決策都會影響到網路的流量。

13 較常允許員工存取的服務如下： 服務 說明 HTTP（連接埠80）和HTTPS（連接埠443） 允許員工存取Web。 FTP（連接埠21和20） 允許員工傳輸檔案。 Telnet（連接埠23）和SSH（連接埠22） 允許員工和遠端系統建立互動式交談。 POP-3（連接埠110）和IMAP（連接埠143） 允許員工存取遠端電子郵件帳戶。 NNTP（連接埠119） 允許員工存取遠端的新聞伺服器（news server）網路。 不論組織是否允許使用串流影音，許多站台目前也可透過HTTP提供這方面的服務；因此，這些流量和一般性的Web流量完全相同。同樣的，Internet目前也有許多點對點（peer-to-peer）服務，這些服務也是透過連接埠80運作。這些類型的服務，也會提高未獲授權取得內部系統存取權的風險。

14 16-1-5 組織外部存取內部系統 從組織外部存取內部敏感性系統，一直都是安全和網路人員非常棘手的問題。
內部系統是指組織內部主要的作業系統。 在本質上這些系統的架設目地，和Web伺服器或郵件伺服器的服務有所不同。 員工存取（通常是從遠地執行工作）或非員工存取，是從組織外部存取組織內部系統的兩種可能類型。

15 從遠地存取組織內部系統的員工，一般都是透過Internet使用VPN（virtual private network）、某些遠端存取伺服器（remote access server）的撥接線路，或是專線等方式。 是否允許這些存取方式，也都會影響組織的Internet架構。 如果是其他組織要求存取組織的內部系統，那麼影響就會非常嚴重。

16 即使是商業夥伴利用可信任的存取，也會間接地影響風險管理。
至於透過VPN、撥接線路或數據專線、透過未加密的Internet存取（例如telnet）等方式，端賴連線的目地而定。 在實務上，並不建議採用透過未加密Internet的存取方式；然而，某些企業卻會允許這種類型的存取方式。如果是在這樣的情況下，必須盡力將這些系統移到內部網路的範圍之外，且將系統放在受到限制的網段（例如稍後介紹的DMZ）。

17 16-1-6 控制服務 為了讓網路和Internet連線非常順暢，會需要建置某些服務。 是否建置這些服務，仍須依據組織的政策而定。 DNS
ICMP NTP

18 DNS 網域名稱服務（Domain Name Service，DNS），這是一種提供主機名稱和IP位址解析的服務。若
是少了這項服務，內部使用者會難以解析Web站台的位址，而且也會難以存取Internet。 內部系統會向內部DNS查詢所有的位址，內部DNS也可以向ISP的DNS查詢、解析外部位址。 組織內部的系統不需要直接查詢外部DNS系統。

19 內部DNS也必須對外開放，組織外部的使用者才能存取組織的Web站台。
為了完成這項目標，組織可以選擇自行架設DNS或由ISP的DNS代轉，這項決策也會影響到組織的Internet架構。 如果決定自行架設、管理DNS，這部系統必須和內部DNS有所區分，且外部DNS也不應該架設在內部系統的網段中（也稱為DNS切割）。

20 ICMP Internet控制訊息協定（Internet Control Message Protocol，ICMP），用來提供ping（系統架設之後就可以找到）這類服務。 除了ping之外，ICMP也提供『network and host unreachable』和『packet time to live expired』等訊息。這些訊息都有助於提高網路運作的效率。 由於這項服務會嚴重影響網路的運作，所以也可以拒絕或阻斷ICMP服務。舉例來說，如果內部使用者嘗試尋找卻找不到遠端Web伺服器時，ICMP即可回送『ICMP host unreachable』告知使用者。如果阻斷內部網路ICMP服務時，使用者會一直等候直到連線逾時為止，然後就會看到『找不到網頁』的訊息。

21 NTP 網路校時協定（Network Time Protocol，NTP），這是一種可以讓許多系統時間同步的服務。
目前在Internet上，已有許多提供這類校時資源的站台。 如果組織選擇提供這項服務，就應該將一部系統設定成地區時間，且只有這部系統才可以和Internet的NTP溝通。 所有的內部系統，都應該和這部系統溝通並完成校時動作。

22 16-2 不提供哪些服務 在設計Internet架構時，應該要包含滿足需求的服務，但是也不要提供不必要的服務。
會造成重大風險的服務如下：

23 服務 說明 NetBIOS服務（連接埠135、137、138和139） Windows系統用於檔案共享和遠端命令的服務。 Unix RPC（連接埠111） Unix系統用於遠端程序呼叫的服務。 NFS（連接埠2049） 提供網路檔案系統（Network File System，NFS）的服務。 X（連接埠6000到6100） 提供X Window系統交談的服務。 『r』服務（rlogin連接埠513，rsh連接埠514，rexec連接埠512） 允許遠端不需要輸入密碼即可執行互動式交談的服務。 telnet（連接埠23） 由於使用者ID和密碼會清楚地透過Internet傳送，且可能被擷取所以不建議使用。如果需要接受內送的互動式交談時，建議透過SSH使用telnet。 FTP（連接埠21和20） 不建議提供的原因和telnet一樣。如果需要提供這種服務時，建議透過SSH傳送檔案。 TFTP（一般性檔案傳輸協定，Trivial File Transfer Protocol）（連接埠21） 類似FTP但不需要使用者ID和密碼即可存取檔案。

24 NetMeeting需要編號較高的連接埠才能正常運作，因此具有潛在的危險性。
若要必須使用這些連接埠，使用H.323 proxy會比較安全些。 遠端控制協定（Remote Control Protocols）,例如PC Anywhere和VNC都是屬於這種類型的服務。 如果遠端使用者必須使用這類協定控制內部系統，也應該要透過VPN連線。

25 簡單網路管理協定（Simple Network Management Protocol,SNMP）（連接埠169），可用來管理組織內部網路的網路管理，不過遠地不應該使用這項服務來管理組織的內部系統。

26 16-3 發展通訊架構 在逐步規劃組織Internet連線的通訊架構時，最重要的就是流量處理能力和可用性問題。
在某些情況下，必須和組織的ISP（Internett service provider）討論流量處理能力的問題。 ISP應該建議提供適當服務所需的通訊線路。 可用性需求應該由組織自行設定。 如果Internet只是提供員工業務範圍之外的功能時，因為網路中斷並不會影響正常的工作，所以可用性的需求應該會非常低。

27 如果組織計畫建置電子商務站台，且Internet是組織營運的重心，那麼可用性就是組織成敗的關鍵。
本節的內容如下： 單一通訊線路 多條通訊線路連接到單一ISP 多條線路連接到多個ISP

28 16-3-1 單一通訊線路 利用單一通訊線路連接Internet，這是目前最常見的Internet架構。
ISP透過單一通訊線路提供組織適當的頻寬，詳見圖16-1。 一般而言，ISP也會提供連線所需的路由器和通道服務單元（Channel Server Unit，CSU）。 組織也同樣可以選購並安裝這些設備。

29 本地迴路（local loop）是組織設施連線到電話公司機房（central office，CO）的線路或光纖，在ISP附近也會有一個出線點（point of presence，POP）。
連線到ISP的線路，實際上是最接近POP的端末線路。 雖然不是最近POP，但本地迴路仍然需要經過最近的CO。從POP開始算起，連線才會透過ISP的網路進入Internet。

30 圖16-1 標準單一通訊線路架構

31 在圖16-1的連線架構之中，只要一個環節故障，就會導致整個連結中斷。 故障的範例如下：
路由器可能會故障 CSU可能會故障 本地迴路可能會斷線 CO可能遭到破壞 ISP的POP可能會故障

32 只要發生單一環節故障，也就等於整個連結線路故障。
路由器故障的機率比CO遭到破壞的機率來得高出許多。 施工單位也可能不慎挖斷纜線，這樣會造成長時間斷線。 上述可能的原因還不包含ISP本身發生故障在內。

33 因為氣候、挖斷纜線、或阻斷服務攻擊等，這些非特定因素也會造成連線中斷。
這種架構僅僅適合用在非商業性質的Internet連線。

34 16-3-2 多條通訊線路連接到單一ISP 為克服單一環節故障而導致整個連線中斷，可以採用佈設多條和ISP連接的線路。
例如：某些ISP會稱為非正式鏈結（shadow link），有些ISP會稱為備援電路（redundant circuit，台灣多半使用這個名稱）。 不論如何稱呼，都是希望提供避免線路中斷而導致停止服務的第二條線路。

35 單一POP接線 ISP可以利用連接到相同POP的備援電路（詳見圖16-2），提供線路容錯（fail-over）能力。
備援電路可能包含備援路由器和CSU，也有可能只有一部路由器而已。 如果主要電路發生故障時，第二組電路會立即替補故障的線路。 此種架構可以避免路由器、CSU、電話公司到CO的迴路，以及ISP連線端末的設備發生故障。

36 圖16-2 單一POP接線的備援電路

37 雖然這些都是常見的線路故障原因，但是卻無法降低設備故障的機率。
可預防任何一組設備故障而導致整個連線中斷。 這種架構的另一種效益 － 備援電路的成本較低。 ISP提供備援電路的費用會比完整線路的費用低廉。

38 多條POP接線 添購另一組連接到POP的連線，可以增加可用性和可靠度（詳見圖16-3）。在這樣的情況下，第二組做為備援線路或持續運作的線路（稱為熱備援線路，hot redundant）。 為了讓這種架構運作順暢，ISP通常都會執行邊境閘道器協定（Border Getway Protocol，BGP）。 BGP是一種路由協定（routing protocol），這是在雙連線類型的兩個實體之間，用來指定路由的一種協定。

39 圖16-3 多條線路連接到多個POP

40 在使用BGP協定的時候，必須非常審慎地設定路由。
在這種架構下仍然可能造成通訊故障的單一環節 － 本地迴路和CO。 除非該組織擁有兩組本地迴路和CO，否則仍舊無法克服這兩種因素。 如果該組織真的採用兩組本地迴路和CO，整體架構就會變成圖16-4的架構。

41 圖16-4 透過多條本地迴路的連線方式

42 16-3-3 多條線路連接到多個ISP 這種Internet架構不見得能夠解決所有的問題和風險。

43 選擇ISP 採用多ISP的Internet架構，確實是一項非常複雜的工程，而且也需要多方的知識和瞭解ISP的實務經驗。
BGP是一種最需要瞭解的知識。 由於將會使用BGP來路由組織的流量，所以組織和ISP必須非常謹慎、妥善地設定BGP。 連線的實際路由問題，是影響選擇ISP的另一個問題。

44 圖16-5 採用多個ISP的Internet架構

45 如果組織的設施並沒有連接多組本地迴路時，本地迴路可能會持續造成單一環節失效的問題。
如果只有單一本地迴路時，選擇使用無線通訊替代末端線路（last mile）的ISP（詳見圖16-6），也可達成電路備援的目地。 由於無線通訊可能受到天候狀況、暴風雨的侵襲，或是飛行物的影響等，而造成資料遺漏或效能降低的問題。

46 圖16-6利用無線網路ISP提高可用性

47 採用無線通訊並不能完全解決可用性的問題。 雖說無線通訊也具有諸多的問題，不過卻也不至於造成通訊完全中斷的情況。
選用無線網路ISP和傳統式ISP的需求都一樣。任何ISP都應該提供服務等級的同意書，而且都應該出具完整的管理實務同意書。

48 定址 採用多ISP架構運作模式的另一項問題，就是 － 定址問題。 在一般的情況下，採用單一ISP連線時，ISP會分配一段位址空間。
ISP會將組織的位址廣播給其他ISP，因此所有透過Internet的流量最後都會傳送給組織的系統。

49 在採用多ISP架構時，每一個ISP分配的位址範圍都不一樣，因此組織必須選擇將要使用的位址範圍。
可能會發生一家ISP的路由可以正常運作，而其他ISP必須同意、廣播分配給組織的位址空間，都是屬於前面那家ISP管轄的位址。 這種組態設定方式需要非常專業的BGP運作知識，這樣才不會造成路由發生錯誤。

50 另一種選擇就是組織購置自己的位址空間。 雖然這樣可以解決部分的問題，但是和組織連線的ISP卻必須廣播不屬於自己的位址空間，而且也會帶來新的問題。 最後一種選擇就是同時使用兩家ISP提供的位址。在這種情況下，某些系統會使用第一家ISP的位址，某些系統卻使用第二家ISP的位址。

51 這種架構無法真正地解決可用性的問題。 除非組織可以解決這種問題，否則請不要採用這種架構。

52 16-4 設計DMZ DMZ是『demilitarized zone』，通常是指不能完全信任的網段。
DMZ提供『可供Internet存取』和『只有內部員工才能存取』的網段劃分方式。 如果是與商業夥伴或其他外部實體建立專屬連線時，DMZ也是一種不錯的選擇。 本節的內容如下： DMZ的定義 架設在DMZ的系統 合適的DMZ架構

53 16-4-1 DMZ的定義 DMZ是一種部分保護的網段。 這個區段一般都是利用如防火牆，或路由器大量過濾網路存取控制的方式來區分網段。

54 圖16-7 一般性DMZ政策規則

55 外部系統或使用者可以直接接觸到的系統，通常都是最先遭到攻擊或侵害的系統。
不能完全信任這些系統的原因，主要是因為它們隨時都可能會遭到侵害。 DMZ系統若要存取內部網路的高敏感性系統時，存取能力多半都會受到限制。 DMZ系統的存取規則，都是開放外部使用者存取DMZ系統適當的服務。 DMZ系統對內部系統的存取能力都會受到限制。

56 應該內部系統對DMZ系統發起連線的要求。
組織的政策或許可以允許內部系統存取DMZ或Internet系統，但嚴禁外部使用者存取內部系統。

57 16-4-2 架設在DMZ的系統 哪些系統應該架設在DMZ網段？ 應該架設在DMZ的系統如下： 郵件系統 Web 站台 允許外部存取的系統
控制系統

58 郵件系統 圖16-8是DMZ網段可能提供的服務。 內部網路和外部網路都架設了郵件系統。 外部網路的郵件系統是用來收發郵件。
新送到的郵件是由外部系統接收，然後才傳送到內部郵件系統。 內部郵件系統會將外送的郵件送到外部郵件系統。 某些防火牆會提供郵件伺服器。

59 如果啟用了防火牆郵件系統，那麼也就具有外部郵件系統的功能。 可以移除多餘的外部郵件系統。
如果郵件系統對於營運非常重要的話，不論是內部郵件系統或外部郵件系統，都應該建置備援系統。

60 圖16-8 DMZ系統和內部網路系統的規劃圖

61 Web 站台 允許公眾存取的Web伺服器，也是架設在DMZ網段內。 從圖16-8之中可以看到，架設在DMZ網段的應用程式伺服器。
許多Wen站台依據使用者輸入的資料提供適當的網頁內容。這些使用者輸入的資訊，是透過呼叫資料庫加以處理。 資料庫可能內含敏感性資料，所以也不適合放在DMZ網段中。

62 Web伺服器可以和資料庫伺服器溝通，但Web伺服器卻允許外部使用者存取，因此也不能完全信任Web伺服器。
利用應用程式伺服器做為居間的系統，並實際和後端資料庫伺服器溝通。 當We伺服器接受使用者輸入的資料，並將資料傳送給應用程式伺服器加以處理。

63 應用程式將接收的資料傳送給後端資料庫系統處理，再將取回處理過的資料回傳給Web伺服器，最後再由Web伺服器對使用者提供結果。
一旦資料庫系統含有組織某些相當重要的敏感資訊時，或許也可以架設在其他防火牆的後端。在這種情況下，防火牆將會區隔敏感性資料庫和內部網路，因此也會提高某些存取限制。

64 允許外部存取的系統 所有允許外部存取的系統，都應該架設在DMZ網段中。
如果允許透過互動式交談而存取的系統（例如telnet或SSH），使用者也將具有攻擊其他DMZ系統的能力。 這類系統應該架設在第二個DMZ網段中，以免其他DMZ系統遭到攻擊。

65 控制系統 外部DNS伺服器也應該架設在DMZ網段中。 如果組織計畫擁有自己的DNS，這部DNS伺服器也必須接受外部使用者的查詢。
或許組織會選用DNS備援系統或是由ISP代管的DNS。如果組織選擇後者，那麼ISP的DNS將會需要組織內部的DNS執行分區轉送（zone transfer）。而且，這個動作也不應該由其他系統執行。

66 如果組織選擇架設NTP，應該將主要的NTP地區伺服器架設在DMZ網段中。

67 16-4-3 合適的DMZ架構 DMZ架構的種類非常多。 若是以安全為前提，那麼每一種類型各有優缺點，而且每一個組織也需要判斷最合適的架構。
最常見的三種架構如下： 路由器和防火牆 單一防火牆 雙防火牆 後續探討的每一種架構都含有防火牆，有關防火牆的詳細說明請參考第10章的內容。

68 路由器和防火牆 圖16-9是簡單的路由器和防火牆架構。 路由器連結ISP和組織的外部網路，防火牆則做為內部系統的存取控管。
在這種架構之下DMZ成了外部網路，而且變成了可以從Internet存取的系統。 因為系統架設在外部網段中，因此也無法抵禦來自Internet的攻擊。 為求降低遭到侵害的風險，可以利用路由器的封包過濾器，所以也只有允許存取DMZ系統的流量才能進入DMZ網段。

69 另一種降低風險的方法，就是DMZ的每一部系統專門提供特定的服務類型。
例如：Web伺服器只能提供各種網頁內容，同時也應該關閉telnet、FTP和其他服務。 Web伺服器也應該修補到最近的等級並嚴密監視。

70 圖16-9 防火牆和路由器的DMZ架構

71 在許多情況下，ISP擁有路由器並負責管理、維護。
如果是這樣的情況，組織就無法更換路由器也不能執行正確的組態設定。 千萬記得，通常都是採用命令的控制方式設定路由器，因此也必須依照正確的順序妥善設定過濾規則。

72 單一防火牆 一部防火牆就可以建立DMZ。 採用單一防火牆的架構時，就會產生圖16-10區隔DMZ和外部網路的架構。
外部網路是由ISP的路由器和防火牆提供防護，且由防火牆的第三組網路介面建立DMZ網段。 在這種架構下，防火牆擔負起存取DMZ的控管工作。

73 採用單一防火牆的架構時，所有的流量被迫必須更過防火牆。
防火牆必須設定成 － 只能允許存取每一部DMZ系統提供服務的流量才能通過。 防火牆也可以提供允許／不允許通過的流量記錄。 防火牆成了單一故障環節，也可能成為流量的瓶頸。

74 如果可用性是整個架構最重要的安全問題，那麼防火牆也應該具有容錯的措施。
如果預料會產生大量的DMZ流量時，防火牆不但需要承受這些流量，也要處理通往內部網路的Internet流量。 只有單一防火牆的設計，且僅需設定允許／不允許通過的流量，所以在管理上會比前一種架構來得容易。

75 在這種架構下的路由器，可以不需要執行封包過濾的工作。
如果可以執行某些過濾動作時，會讓防火牆的負擔減輕並因而提高效率。 DMZ系統也會受到防火牆的保護，因此也會降低安全的需求。 雖然並不是說DMZ系統一定會發生安全問題，只是建議DMZ可以受到防火牆的保護，而防火牆可以受到路由器的保護，並因而排除其他不必要的服務。

76 圖16-10 單一防火牆DMZ架構

77 雙防火牆 這種架構是在內部網路和外部網路之間，架設一部用來保護DMZ區段的防火牆。
外部網路仍然定義由ISP路由器和第一部防火牆組成的，DMZ則是移到兩部防火牆之間。 防火牆1設定成允許DMZ和內部網路所有的流量通過。 防火牆2的設定更為嚴謹，所以只能允許將流量外送到Internet。

78 圖16-11 DMZ第三種架構

79 如果DMZ預期會有大量的流量時，防火牆1需要具有處理大量流量的能力。
防火牆2可以是一部處理能力較差的系統，這是因為只有處理內部流量而已。 這兩部防火牆可以是不同類型的防火牆。 這種設計方式可能可以增進整體系統的安全性，主要是因為兩部防火牆不太可能同時遭受到單一攻擊的侵害。

80 和單一防火牆的架構一樣，DMZ也會受到防火牆的保護。 雙防火牆的架構除了增加成本上的負擔之外，也會增加額外的管理和組態設定。
為了進一步防護，也可以在每一部DMZ系統上安裝主機型防火牆或入侵偵測系統。如果採用這種作法時，即使一部DMZ系統遭到侵害，不過卻不會危及其他DMZ系統。

81 16-5 認識網路位址轉譯 只要任何組織計畫架設防火牆，就一定會牽涉到定址的問題。
定址並不如想像般地容易，而且如何適當地設定也是一個非常頭痛的問題。 主要問題點在於 － 網路位址已經不夠用。 目前採用『.』標記法（xxx.yyy.zzz.aaa）的32位元網路位址，幾乎已經到了可用位址的上限。 ISP已經不願意給予客戶大量的IP位址。

82 大部分ISP只願意分配16或32個位址（實際可以用位址僅剩下14個或30個，其餘兩個是用來做為廣播位址）。
大多數的組織都擁有超過30部以上的系統，那麼該怎麼辦？這個問題的解決方案就是網路位址轉譯（network address translation，NAT，簡稱轉址）。 本節的內容如下： 什麼是轉址服務？ 私人位址空間 靜態NAT 動態NAT

83 16-5-1 什麼是轉址服務？ NAT是將一個位址轉譯成另一個位址。為什麼要採用這樣的作法？有什麼好處？
如果必要的話，路由器也會利用這種功能。 在應用層房防火牆的原始設計中（詳見第10章），就已經含有執行NAT的能力。

84 一旦防火牆成了所有連線的末端，外部也只能看到防火牆使用的位址而已。 封包過濾型防火牆也具有這種能力，但是必須適當地設定防火牆。
由於外界無法看到內部系統使用的位址，所以NAT也可以提供部分安全的功能。因為如果看不到特定系統，也就無法定位和攻擊設定目標。 NAT無法提供完整的攻擊防護，因此也不應該犧牲其他安全措施。如果攻擊者位於組織範圍內，或透過如VPN、撥接連線等直接存取內部系統，那麼NAT也無法保護所有的系統。

85 16-5-2 私人位址空間 在瞭解NAT的概念之後，下一個步驟就是內部網路定址問題。
如果沒有適當地設定位址時，內部網路位址也會導致各種類型的路由問題。 RFC（Request for Comment的縮寫，這是Internet標準）1918明確指出 － 什麼是私人網路空間。

86 這些位址僅限使用在具有執行NAT能力的防火牆內部網路。 RFC更具體說明私人位址空間的範圍：
到 （ 使用8位元遮罩） 到 （ 使用12位元遮罩） 到 （ 使用16位元遮罩）

87 使用這些位址可以讓組織在設計內部的定址計畫時，提供更大的彈性空間。
組織使用這些位址做為內部網路的位址時，可依據需求自由搭配完全沒有任何限制。 使用這些位址必須注意一件事情 － 任何位址都無法路由到Internet上。 某些ISP會在內部網路使用私人位址空間。在這種情形下，可能會有某些使用私人位址空間的位址會回應ping命令。如果ISP內部使用私人位址空間的位址，ISP的內部網路路由到這些網路時，也不應該廣播到ISP內部網路以外的區域，因此也不會影響組織內部所使用的位址。

88 如果嘗試『ping』私人位址空間時，將會回傳含有『network unreachable』訊息的封包。

89 16-5-3 靜態NAT 組織使用私人位址空間架構網路，且希望NAT允許Internet存取特定系統時，採用靜態NAT架構即可達成目標。
靜態NAT會將外部網路的真實IP位址對應到DMZ的設備上。 圖16-12顯示轉換的過程。 也可以將真實IP位址對應到內部網路的設備，但是任何Internet可以存取的設備都應該架設在DMZ網段中。

90 為什麼還要使用NAT？直接將真實IP位址分配給DMZ的系統不就行了？ 這樣會產生下列兩種問題：
需要兩組位址才能達成這個目標 ISP分配給組織的30個位址再細分成子網路 防火牆使用部分IP位址，內部網路也使用部分IP位址位址。 如果希望在第二個DMZ架設某些系統時，就會需要使用其他的位址。

91 圖16-12 靜態NAT架構

92 每一部可以從Internet存取的設備來說，也只需要使用一個位址即可。
並非所有的DMZ系統都需要使用真實的IP位址。 圖16-8 的DMZ區段含有應用程式伺服器。這部應用程式伺服器不需要提供Internet存取，這部設備只是要接收並處理Web伺服器傳來的資訊，並和內部資料庫伺服器產生互動即可。 靜態NAT是採用一對一單一組態設定。 每一部可以從Internet存取的設備來說，也只需要使用一個位址即可。

93 靜態NAT適合用在DMZ的伺服器，不過卻不適用於桌上型用戶端系統。

94 動態NAT 動態NAT（著名的隱藏式NAT）有別於靜態NAT，也就是說許多內部IP位址對應到單一真實的IP位址（詳見圖16-13），而不是採用一對一的對應方式。 最具代表性的就是 － 防火牆的外部位址使用真實的IP位址。 防火牆會追蹤連線，並為每一個連線開啟一個連接埠。

95 系統使用DHCP之後，系統啟動之後不見得都會使用相同的IP位址，因此靜態NAT也無法運作。
在實務上會造成一個限制： 動態NAT最多只能同時允許大約64000個連線需求。 不過每一個桌上型系統在存取網站時，單一內部系統也有可能開啟32個左右的連線需求。 如果桌上型用戶端使用動態主機組態設定協定（Dynamic Host Configuration Protocol，DHCP），動態NAT會非常有用。 系統使用DHCP之後，系統啟動之後不見得都會使用相同的IP位址，因此靜態NAT也無法運作。

96 外界無法鎖定使用動態NAT的系統，這是因為防火牆會維護連接埠和內部系統的對應關係，而且這個對應關係隨時都會發生變動。

97 圖16-13 動態NAT架構

98 16-6 設計合作夥伴網路 設計Internet架構的概念，也可適用於設計合作夥伴之間的網路。
由於合作夥伴的網路連結可以降低組織的成本，也就導致組織之間的網路連結快速地增加。 本節的內容如下： 使用合作夥伴網路 設定 定址問題

99 16-6-1 使用合作夥伴網路 建立合作夥伴網路的目地，通常都是為了交換特定的檔案或部分資料。
組織內部的特定系統，需要和另一個組織的特定系統相互溝通。並不表示組織可以毫無限制地存取另一個組織的網路。 如果兩個組織已經鏈結，並將風險管理套用在合作夥伴的網路上，也將會發現到風險確實存在。

100 當兩個組織連線之後，也就表示另一個組織的員工可以存取您的內部網路。
回想一下第7章談論的內容，也可以發現到客戶和供應商都是威脅起因。

101 16-6-2 設定 合作夥伴的安全需求和Internet連線的安全需求相較之下，兩者之間只有一點些微的差異。
應該確認的連線需求，且提供這些服務的設備應該架設在DMZ網段中。 如果防火牆資源非常充足時（詳見圖16-14），雖然可以從防火牆建置專屬合作夥伴的DMZ，但合作夥伴的DMZ和Internet連線畢竟仍有些不同之處。

102 從圖16-14中可以看到，防火牆增加兩個用來處理合作夥伴的DMZ，以及合作夥伴網路的網路介面。
任何規則都不應該允許組織合作夥伴的系統，可以和內部網路、Internet DMZ或Internet建立連線。

103 在許多情況下，防火牆必須明確地拒絕這些需求。 表16-1顯示如何變更規則。
表16-1 做為合作夥伴網路存取的Internet防火牆規則

104 規則編號 來源IP 目標IP 服務 動作 1 夥伴網路 夥伴DMZ 適用於夥伴關係 允許 2 任何位址 拒絕 3 夥伴網路的DMZ 4 5 Web伺服器 HTTP 6 郵件伺服器 SMTP 7 8 內部網路 HTTP、HTTPS、FTP、telnet、SSH 9 內部DNS DNS 10

105 16-6-3 定址問題 在設計合作夥伴網路的時候，另一個需要注意的就是定址問題。 大部分組織都是使用私人位址空間，做為內部網路的定址計畫。
組織和合作夥伴可能使用相同的位址範圍。 如果沒有特別留意，可能兩個組織都會使用相同的10.x.x.x，做為內部系統使用的IP位址。