IP-адрес. Динамічний NAT також встановлює безпосереднє відображення між незареєстрованим і зареєстрованою адресою, але відображення може мінятися залежно від зареєстрованої адреси, доступного в пулі адрес, під час комунікації.
Перевантажений NAT (NAPT, NAT Overload, PAT, маськарадінг) - форма динамічного NAT, який відображає кілька незареєстрованих адрес в єдиний зареєстрований IP-адресу, використовуючи різні порти. Відомий також як PAT (Port Address Translation). При перевантаженні кожен комп'ютер в приватної мережі транслюється в той же самий адресу, але з різним номером порту.
Переваги: ??
· Дозволяє заощадити IP-адреси (тільки у випадку використання NAT в режимі PAT), транслюючи декілька внутрішніх IP-адрес в один зовнішній публічний IP-адресу (або в декілька, але меншою кількістю, ніж внутрішніх). За таким принципом побудована більшість мереж в світі: на невеликий район домашньої мережі місцевого провайдера або на офіс виділяється 1 публічний (зовнішній) IP-адресу, за яким працюють і отримують доступ інтерфейси з приватними (внутрішніми) IP-адресами.
· Дозволяє запобігти або обмежити обіг зовні до внутрішніх хостам, залишаючи можливість звернення зсередини назовні. При ініціації з'єднання зсередини мережі створюється трансляція. Відповідь пакети, що надходять зовні, відповідають створеної трансляції і тому пропускаються. Якщо для пакетів, що надходять зовні, відповідної трансляції не існує (а вона може бути створеної при ініціації з'єднання або статичної), вони не пропускаються.
· Дозволяє приховати певні внутрішні сервіси внутрішніх хостів/серверів. По суті, виконується та ж зазначена вище трансляція на певний порт, але можливо підмінити внутрішній порт офіційно зареєстрованою служби (наприклад, 80-й порт TCP (HTTP-сервер) на зовнішній 54055-й). Тим самим, зовні, на зовнішньому IP-адресу після трансляції адрес на сайт (або форум) для обізнаних відвідувачів можна буде потрапити за адресою # justify gt; Безпека OSPF - Аутентифікація в протоколах динамічної маршрутизації забезпечує базовий рівень безпеки маршрутних оновлень. Аутентифікація служить для перевірки автентичності маршрутів, отриманих з інших пристроїв, для чого застосовується механізм ключів, схожий з паролями. Таку технологію підтримують майже всі протоколи: BGP, OSPF, RIPv2, EIGRP. Багато протоколів підтримують всього два види аутентифікації: 1) з відкритим ключем; 2) з MD5 сумою (хешем).
Безпека NTP - аутентифікації між вашими маршрутизаторами і NTP списків контролю доступу за допомогою секретного параметра захищеного md5 і key (англ. Remote Authentication in Dial-In User Service) - протокол для реалізації аутентифікації, авторизації та збору відомостей про використані ресурсах, розроблений для передачі відомостей між центральною платформою і оборудованіем.іспользуется як протокол AAA:
англ. Authentication - процес, що дозволяє аутентифицировать (перевірити справжність) суб'єкта на його ідентифікаційним даними, наприклад, за логіном (ім'я користувача, номер телефону і т. Д.) І паролю.
англ. Authorization - процес, що визначає повноваження ідентифікованого суб'єкта на доступ до певних об'єктам або сервісам.
англ. Accounting - процес, що дозволяє вести збір відомостей (облікових даних) про використані ресурсах.Based Policy Firewall - новий підхід Cisco до налаштування правил брандмауера на маршрутизаторі. У його основі лежить розподіл інтерфейсів маршрутизатора по зонах безпеки. Після цього всі правила налаштовуються для взаємодій між зонами.
Такий підхід полегшує настройки правил брандмауера. Крім того, в Zone-Based Policy Firewall використовується Cisco Policy Language (CPL), яка дозволяє більш гнучко, ніж у попередніх версіях брандмауера, налаштовувати правила фільтрації трафіку. (Демілітаризована зона, гранична мережа) - технологія забезпечення захисту інформаційного периметра, при якій сервери, що відповідають на запити із зовнішньої мережі (web, ftp, e-mail, і т.д.), знаходяться в особливому сегменті мережі, іменованому DMZ, і обмежені в доступі до основних сегментах мережі за допомогою брандмауера (файрвола). Призначення DMZ полягає в тому, щоб загальнодоступні сервера не могли зв'язатися з іншими сегментами внутрішньої мережі, у тому випадку, якщо ці сервера виявляються зламані або вражені вірусами, тобто становлять реальну загрозу для іншої частини мережі.
На серверах, розміщених в DMZ, не повинно бути ніякої інформації про користувачів, клієнтів компанії, іншої конфіденційної інформації, не повинно бути особистих поштових скриньок співробітників - це все має бути надійно заховано в захищеної частини локальної мережі. А для тієї інформації, яка буде доступна на публічних серверах, необхідно передбачити проведення резерв...
