Статическая NAT
Мы настраиваем сеть на использование частных адресов, и нам нужно использовать NAT, чтобы обеспечить доступ к системам из интернета. В данном случае используется технология, называемая статической NAT. Статическая NAT связывает один реальный адрес из внешней сети организации с системой в демилитаризованной зоне. На рисунке 16.12 показано, как работает такая трансляция. Можно было бы связать адрес с системой во внутренней сети, но система тогда окажется доступной из внешней среды, и такие системы необходимо размещать в демилитаризованной зоне.
увеличить изображение
Рис. 16.12. Статическая трансляция сетевых адресов
Здесь очевиден вопрос: зачем усложнять жизнь и использовать NAT? Можно просто присвоить реальные адреса демилитаризованной зоне и все будет прекрасно! Конечно, так оно и есть, но тут возникают две проблемы. Во-первых, для реализации такого подхода потребуется еще один набор адресов, иначе понадобится разделить 30 предоставляемых провайдером адресов, чтобы некоторые адреса находились по внешнюю сторону от межсетевого экрана, а другие - по внутреннюю. Если вы захотите разместить некоторые системы во второй демилитаризованной зоне, потребуется еще один набор адресов. Во-вторых, не все системы в DMZ требуют реальные адреса. Если обратиться к рис. 16.8, можно увидеть сервер приложения, расположенный в демилитаризованной зоне. Этот сервер не требует доступ из интернета. Он предназначен для обработки информации, принимаемой веб-сервером, и для взаимодействия с внутренним сервером баз данных.
Статическая NAT - это конфигурация "один к одному". Для каждой системы, которая должна быть доступна из Интернета, используется один реальный адрес. Статическая NAT пригодна для серверов в демилитаризованной зоне, однако не годится для клиентских рабочих станций.