Sdílet prostřednictvím


Práce s překlady adres (NAT) a bránami firewall

Klient a server síťového připojení často nemají přímou a otevřenou cestu pro komunikaci. Pakety se filtrují, směrují, analyzují a transformují jak na počítačích koncových bodů, tak podle mezilehlých počítačů v síti. Překlady síťových adres (NAT) a brány firewall jsou běžnými příklady zprostředkujících aplikací, které se mohou účastnit síťové komunikace.

Přenosy wcf (Windows Communication Foundation) a vzory výměny zpráv (MEPS) reagují odlišně na přítomnost překladu adres (NAT) a bran firewall. Toto téma popisuje, jak fungují překlady adres (NAT) a brány firewall v běžných síťových topologiích. Doporučení pro konkrétní kombinace přenosů WCF a poslanců MEPS jsou dána, aby vaše aplikace byly robustnější pro překlad adres (NAT) a brány firewall v síti.

Vliv překladu adres (NAT) na komunikaci

Překlad adres (NAT) byl vytvořen, aby několik počítačů sdílelo jednu externí IP adresu. Namapování překladu adres (NAT) portu mapuje interní IP adresu a port pro připojení k externí IP adrese s novým číslem portu. Nové číslo portu umožňuje překladu adres (NAT) korelovat návratový provoz s původní komunikací. Mnoho domácích uživatelů teď má IP adresu, která je pouze soukromě směrovatelná a spoléhá na překlad adres (NAT) k zajištění globálního směrování paketů.

Překlad adres (NAT) neposkytuje hranici zabezpečení. Běžné konfigurace překladu adres (NAT) ale brání přímému řešení interních počítačů. To chrání interní počítače před některými nežádoucími připojeními a znesnadňuje zápis serverových aplikací, které musí asynchronně odesílat data zpět klientovi. Překlad adres přepíše adresy v paketech, aby vypadalo, že připojení pocházejí z počítače NAT. To způsobí selhání serveru při pokusu o otevření připojení zpět k klientovi. Pokud server používá vnímanou adresu klienta, selže, protože adresu klienta nelze veřejně směrovat. Pokud server používá adresu NAT, nepodaří se připojit, protože na něm nenaslouchá žádná aplikace.

Některé překlady adres (NAT) podporují konfiguraci pravidel předávání, aby se externí počítače mohly připojit k určitému internímu počítači. Pokyny pro konfiguraci pravidel předávání se liší mezi různými překlady adres (NAT) a pro většinu aplikací se nedoporučuje, aby koncoví uživatelé změnili konfiguraci překladu adres (NAT). Mnoho koncových uživatelů buď nemůže nebo nechce změnit konfiguraci překladu adres (NAT) pro konkrétní aplikaci.

Vliv bran firewall na komunikaci

Brána firewall je softwarové nebo hardwarové zařízení, které aplikuje pravidla na provoz procházející, aby se rozhodlo, jestli chcete povolit nebo odepřít průchod. Brány firewall můžete nakonfigurovat pro zkoumání příchozích a/nebo odchozích datových proudů provozu. Brána firewall poskytuje hranici zabezpečení sítě na okraji sítě nebo na hostiteli koncového bodu. Podnikoví uživatelé tradičně udržovali své servery za bránou firewall, aby zabránili škodlivým útokům. Vzhledem k tomu, že zavedení osobní brány firewall v systému Windows XP, počet domácích uživatelů za bránou firewall se výrazně zvýšil také. To znamená, že jeden nebo oba konce připojení mají bránu firewall, která zkoumá pakety.

Brány firewall se výrazně liší z hlediska složitosti a schopnosti zkoumání paketů. Jednoduché brány firewall používají pravidla založená na zdrojových a cílových adresách a portech v paketech. Inteligentní brány firewall také můžou zkoumat obsah paketů a rozhodovat se. Tyto brány firewall mají mnoho různých konfigurací a často se používají pro specializované aplikace.

Běžnou konfigurací brány firewall domácího uživatele je zakázání příchozích připojení, pokud se k ho dříve neschválili odchozí připojení. Běžnou konfigurací brány firewall podnikových uživatelů je zakázání příchozích připojení na všech portech s výjimkou identifikované skupiny. Příkladem je brána firewall, která zakazuje připojení na všech portech s výjimkou portů 80 a 443 pro poskytování služby HTTP a HTTPS. Spravované brány firewall existují pro domácí i firemní uživatele, kteří umožňují důvěryhodnému uživateli nebo procesu na počítači změnit konfiguraci brány firewall. Spravované brány firewall jsou častější pro domácí uživatele, u kterých neexistují žádné firemní zásady, které řídí využití sítě.

Použití Teredo

Teredo je přechodová technologie IPv6, která umožňuje přímo adresovatelnost počítačů za překladem adres (NAT). Teredo spoléhá na použití serveru, který může být veřejně a globálně směrován k inzerování potenciálních připojení. Server Teredo dává klientovi aplikace a serveru společný bod schůzky, ve kterém můžou vyměňovat informace o připojení. Počítače pak požadují dočasnou adresu Teredo a pakety se tunelují přes existující síť. Podpora Teredo ve WCF vyžaduje povolení podpory IPv6 a Teredo v operačním systému. Operační systémy Windows XP a novější podporují Teredo. Operační systémy Windows Vista a novější podporují protokol IPv6 ve výchozím nastavení a vyžadují, aby uživatel povolil Teredo. Systém Windows XP SP2 a Windows Server 2003 vyžadují, aby uživatel povolil protokol IPv6 i Teredo. Další informace najdete v přehledu Teredo.

Volba vzoru přenosu a výměny zpráv

Výběr přenosu a mep je proces se třemi kroky:

  1. Analyzujte adresovatelnost počítačů koncových bodů. Podnikové servery mají obvykle přímou adresovatelnost, zatímco koncoví uživatelé mají obvykle blokovanou adresovatelností překladu adres ( NAT). Pokud jsou oba koncové body za překladem adres (NAT), například ve scénářích mezi dvěma účastníky mezi koncovými uživateli, budete možná potřebovat technologii, jako je Teredo, aby bylo možné zajistit adresovatelnost.

  2. Analyzujte omezení protokolu a portu počítačů koncových bodů. Podnikové servery jsou obvykle za silnými bránami firewall, které blokují mnoho portů. Port 80 je ale často otevřený pro povolení provozu HTTP a port 443 je otevřený pro povolení provozu HTTPS. Koncoví uživatelé budou mít méně pravděpodobné omezení portů, ale můžou být za bránou firewall, která povoluje pouze odchozí připojení. Některé brány firewall umožňují správu aplikací v koncovém bodu k selektivnímu otevření připojení.

  3. Vypočítá přenosy a poslance, které omezení adresovatelnosti a portu povolení sítě.

Běžnou topologií pro klientské serverové aplikace je mít klienty, kteří jsou za překladem adres (NAT) bez teredo s bránou firewall jen pro odchozí spojení a server, který je přímo adresovatelný se silnou bránou firewall. V tomto scénáři funguje přenos TCP s duplexním protokolem MEP a přenosem HTTP s protokolem MEP s odpovědí na požadavek. Běžnou topologií pro aplikace typu peer-to-peer je mít koncové body za překladem adres (NAT) i brány firewall. V tomto scénáři a ve scénářích, kde je síťová topologie neznámá, zvažte následující doporučení:

  • Nepoužívejte duální přenosy. Duální přenos otevře více připojení, což snižuje pravděpodobnost úspěšného připojení.

  • Podpora navazování zpětných kanálů přes původní připojení Pomocí zpětných kanálů, například v duplexním protokolu TCP, se otevře méně připojení, což zvyšuje pravděpodobnost úspěšného připojení.

  • Používejte dosažitelnou službu pro registraci koncových bodů nebo přenosy přenosů. Použití globálně dostupné služby připojení, jako je server Teredo, výrazně zvyšuje pravděpodobnost úspěšného připojení, pokud je síťová topologie omezující nebo neznámá.

Následující tabulky prověřují jednosměrné přenosy, odpovědi na žádosti a duplexní poslance a standardní protokol TCP, TCP s Teredo a standardní a duální přenosy HTTP ve WCF.

Adresovatelnost Server Direct Server Direct s procházením NAT Překlad adres (NAT) serveru Překlad adres (NAT) serveru s procházením NAT
Přímý klient Veškerá doprava a poslanci MEP Veškerá doprava a poslanci MEP Nepodporováno Nepodporováno
Klient s přímým přístupem s procházením překladu adres (NAT) Veškerá doprava a poslanci EVROPSKÉHO parlamentu. Veškerá doprava a poslanci EVROPSKÉHO parlamentu. Nepodporováno TCP s Teredo a libovolným MEP. Systém Windows Vista má možnost konfigurace pro celou počítač pro podporu protokolu HTTP s Teredo.
Překlad adres klienta Jakákoli jiná než duální doprava a poslanci EVROPSKÉHO parlamentu. Duplexní protokol MEP vyžaduje přenos TCP. Jakákoli jiná než duální doprava a poslanci EVROPSKÉHO parlamentu. Duplexní protokol MEP vyžaduje přenos TCP. Nepodporováno Nepodporováno
Překlad adres klienta s procházením překladu adres (NAT) Jakákoli jiná než duální doprava a poslanci EVROPSKÉHO parlamentu. Duplexní protokol MEP vyžaduje přenos TCP. Vše kromě duálního HTTP a všech MEP. Duplexní protokol MEP vyžaduje přenos TCP. Duální přenos TCP vyžaduje Teredo. Systém Windows Vista má možnost konfigurace pro celou počítač pro podporu protokolu HTTP s Teredo. Nepodporováno TCP s Teredo a libovolným MEP. Systém Windows Vista má možnost konfigurace pro celou počítač pro podporu protokolu HTTP s Teredo.
Omezení brány firewall Otevřený server Server se spravovanou bránou firewall Server s bránou firewall pouze http Server s bránou firewall pouze pro odchozí provoz
Otevřít klienta Veškerá doprava a poslanci EVROPSKÉHO parlamentu. Veškerá doprava a poslanci EVROPSKÉHO parlamentu. Všechny přenosy HTTP a MEP. Nepodporováno
Klient se spravovanou bránou firewall Jakákoli jiná než duální doprava a poslanci EVROPSKÉHO parlamentu. Duplexní protokol MEP vyžaduje přenos TCP. Jakákoli jiná než duální doprava a poslanci EVROPSKÉHO parlamentu. Duplexní protokol MEP vyžaduje přenos TCP. Všechny přenosy HTTP a MEP. Nepodporováno
Klient s bránou firewall pouze http Všechny přenosy HTTP a MEP. Všechny přenosy HTTP a MEP. Všechny přenosy HTTP a MEP. Nepodporováno
Klient s bránou firewall pouze pro odchozí provoz Jakákoli jiná než duální doprava a poslanci EVROPSKÉHO parlamentu. Duplexní protokol MEP vyžaduje přenos TCP. Jakákoli jiná než duální doprava a poslanci EVROPSKÉHO parlamentu. Duplexní protokol MEP vyžaduje přenos TCP. Všechny přenosy HTTP a všechny ne duplexní mep. Nepodporováno