Принципы работы драйвера Lan2net NAT Firewall
Рассмотрим работу Lan2net NAT Firewall на примере шлюза, т.е. компьютера с двумя сетевыми картами. Одна из сетевых карт подключена к Интернет, другая к локальной сети. Способ подключения и тип сетевой карты значения не имеет.
На рисунке схематично показаны сервер, внешний и внутренний адаптеры. A, B, C, D - направления установления соединения.
Фильтрация или модификация может быть осуществлена на любом из направлений A, B, C, D.
К каждому из этих направлений привязаны свои правила. Соединение определяет адаптер, которому принадлежит правило. Направление определяется параметром <Направление> пользователя. Таким образом, Соединение + Пользователь определяет, к какому из направлений привязаны правила.
NAT - Network Address Translation
Трансляция сетевых адресов - это способ, с помощью которого хостам локальной сети разрешается доступ к хостам внешней сети, с использованием единственного зарегистрированного IP-адреса. NAT-трансляция всегда происходит на внешнем адаптере. Lan2net скрывает детали настройки NAT.
Пример №1.
Сервер (локальная машина) соединяется с хостом 213.180.194.129 на порт 80. Т.е. открываем главную страницу www.yandex.ru. Направление С.
Первое, что должно быть сделано, это аутентификация. Драйвер определит, какому пользователю принадлежит запрос. Для данного примера это будет исходящий пользователь, привязанный к соединению <Интернет>, с подходящим параметрами аутентификации (например <локальные адреса>). Если пользователь не найден, сетевой пакет будет отброшен, соединение не установится. Далее, драйвер находит правила этого пользователя (с каждым пользователем связаны правила). Если драйвер находит разрешающее правило, запрос на соединение будет отправлен дальше. Драйвер будет ожидать ответ от сервера с параметрами пакета, соответсвующими ответу сервера. Ответ хоста 213.180.194.129 будет опознан драйвером как ответ на запрос с локальной машины. Соединение будет установлено. Весь трафик этого соединения будет записан на локального пользователя. Эта схема гарантирует правильный подсчет трафика и запись трафика на того пользователя, который инициировал соединение.
Пример №2
Хост из Интернет сканирует порты.
Запросы на соединения от сканера портов будут попадать на направление D. Допустим, к этому направлению не привязан ни одни пользователь. То есть, нет входящих пользователей, связанных с соединением Интернет. В такой ситуации все соединения будут отброшены, так как запрос на соединение не пройдет аутентификацию. Эти отброшенные соединения будут приписаны к пользователю system.
Сколько нас?
Более 1 000 000 компьютеров по всей России находятся под защитой Lan2net NAT Firewall.
Рекомендации
"Корпорация Microsoft рекомендует своим клиентам обращаться к партнерам со статусом Microsoft Small Business Specialist, которые знают специфику и потребности небольших компьютерных сетей."
