內部有多台電腦要連外,以下想法不知道對不對:
1.假如網路環境沒有別的設備做NAT,那FortiGate 60B用NAT模式,就能節省設備的數量?
2.Transparent通透模式的使用時機:
a.若防火牆內有別的設備做NAT,FortiGate 60B就能用Transparent 通透模式?
b.若設置兩台防火牆,其中在外層的這一台要用Transparent通透模式 ?
以上不知對否,或是說NAT模式跟Transparent 通透模式有更明顯的使用時機區別?
謝謝您的解答!
以個人所知,
NAT 有轉換網址的特性, 若在 NAT 環境要架設主機, 則 60B 需要指定將連接埠對應到 NAT 內的主機.
優點: 外部不會直接知道主機 IP , 若只開啟特定服務的對應, 可以減少被掃描攻擊的風險; 主機若更換時, 也可以更改對應的 IP , 直接指向新主機的 IP .
缺點: NAT 本身較耗資源, 有些服務(例如 VoIP, ftp )可能會受影響.
若是以透通模式, 則 60B 提供的是防火牆功能, 可以設定某區對某區的連線.
優點: 接近主機直接放在 Internet , 若主機需要特定的 IP , 較不易受影響.
缺點: 主機使用的是 Internet 的 IP , 若有異動服務時, 需要較多切換準備; 以及較可能受到攻擊.
就我管理過的環境來說,
NAT模式: 區隔intranet中的intranet。
透通模式: 兩側屬於原本會交換路由資訊的網段。
其他例子可能很多。