NAT ve Güvenlik Duvarlarıyla Çalışma
Bir ağ bağlantısının istemcisi ve sunucusu genellikle iletişim için doğrudan ve açık bir yola sahip değildir. Paketler hem uç nokta makinelerinde hem de ağdaki ara makineler tarafından filtrelenir, yönlendirilir, analiz edilir ve dönüştürülür. Ağ adresi çevirileri (NAT' ler) ve güvenlik duvarları, ağ iletişimlerine katılabilen ara uygulamaların yaygın örnekleridir.
Windows Communication Foundation (WCF) aktarımları ve ileti değişimi desenleri (MEP'ler), NAT'lerin ve güvenlik duvarlarının varlığına farklı tepki verir. Bu konuda, NAT'lerin ve güvenlik duvarlarının ortak ağ topolojilerinde nasıl çalıştığını açıklar. WCF aktarımlarının ve MEP'lerin belirli birleşimleri için Öneriler, uygulamalarınızın ağdaki NAT'ler ve güvenlik duvarları için daha güçlü olmasını sağlamaya yardımcı olur.
NAT'ler iletişimi nasıl etkiler?
NAT, birden çok makinenin tek bir dış IP adresini paylaşmasını sağlamak için oluşturulmuştur. Bağlantı noktası yeniden eşleme nat yeni bir bağlantı noktası numarası ile bir dış IP adresi için bir iç IP adresi ve bağlantı noktası eşler. Yeni bağlantı noktası numarası NAT'nin dönüş trafiğini özgün iletişimle ilişkilendirmesine olanak tanır. Çoğu ev kullanıcısı artık yalnızca özel olarak yönlendirilebilir bir IP adresine sahiptir ve paketlerin genel yönlendirmesini sağlamak için nat kullanır.
NAT bir güvenlik sınırı sağlamaz. Ancak, yaygın NAT yapılandırmaları iç makinelerin doğrudan ele alınmasını engeller. Bu, iç makineleri bazı istenmeyen bağlantılardan korur ve zaman uyumsuz olarak istemciye veri göndermesi gereken sunucu uygulamalarını yazmayı zorlaştırır. NAT, bağlantıların NAT makinesinden kaynaklandığını göstermek için paketlerdeki adresleri yeniden yazar. Bu, istemciye yeniden bağlantı açmaya çalıştığında sunucunun başarısız olmasına neden olur. Sunucu istemcinin algılanan adresini kullanıyorsa, istemci adresi genel olarak yönlendirilemediğinden başarısız olur. Sunucu NAT adresini kullanıyorsa, bu makinede hiçbir uygulama dinlemediğinden bağlanamıyordur.
Bazı YT'ler, dış makinelerin belirli bir iç makineye bağlanmasına izin vermek için iletme kurallarının yapılandırmasını destekler. İletme kurallarını yapılandırma yönergeleri farklı YT'ler arasında değişiklik gösterir ve çoğu uygulama için son kullanıcılardan NAT yapılandırmasını değiştirmelerini istemek önerilmez. Birçok son kullanıcı belirli bir uygulama için NAT yapılandırmasını değiştiremez veya değiştirmek istemez.
Güvenlik Duvarları İletişimi Nasıl Etkiler?
Güvenlik duvarı, geçişe izin verilip verilmeyeceğine karar vermek için geçen trafiğe kurallar uygulayan bir yazılım veya donanım cihazıdır. Gelen ve/veya giden trafik akışlarını incelemek için güvenlik duvarlarını yapılandırabilirsiniz. Güvenlik duvarı, ağın kenarında veya uç nokta konağında ağ için bir güvenlik sınırı sağlar. İş kullanıcıları, kötü amaçlı saldırıları önlemek için sunucularını geleneksel olarak bir güvenlik duvarının arkasında tutar. Windows XP'de kişisel güvenlik duvarının kullanıma sunulmasından bu yana, bir güvenlik duvarının arkasındaki ev kullanıcılarının sayısı da büyük ölçüde artmıştır. Bu, bağlantının bir veya her iki ucunun paketleri inceleyen bir güvenlik duvarına sahip olmasını sağlar.
Güvenlik duvarları karmaşıklıkları ve paketleri inceleme yetenekleri açısından büyük ölçüde farklılık gösterir. Basit güvenlik duvarları, paketlerdeki kaynak ve hedef adreslere ve bağlantı noktalarına göre kurallar uygular. Akıllı güvenlik duvarları, karar vermek için paketlerin içeriğini de inceleyebilir. Bu güvenlik duvarları birçok farklı yapılandırmada gelir ve genellikle özel uygulamalar için kullanılır.
Ev kullanıcısı güvenlik duvarı için yaygın olarak kullanılan bir yapılandırma, daha önce bu makineye giden bağlantı yapılmadığı sürece gelen bağlantıları yasaklamadır. İş kullanıcısı güvenlik duvarı için yaygın olarak kullanılan bir yapılandırma, özel olarak tanımlanan bir grup dışındaki tüm bağlantı noktalarında gelen bağlantıların yasaklanmasıdır. Örneğin, HTTP ve HTTPS hizmeti sağlamak için 80 ve 443 bağlantı noktaları dışındaki tüm bağlantı noktalarında bağlantıları yasaklayan bir güvenlik duvarı örnektir. Yönetilen güvenlik duvarları, hem ev hem de iş kullanıcıları için makinedeki güvenilir bir kullanıcının veya işlemin güvenlik duvarı yapılandırmasını değiştirmesine izin verir. Yönetilen güvenlik duvarları, ağ kullanımını denetleen bir şirket ilkesi bulunmayan ev kullanıcıları için daha yaygındır.
Teredo kullanma
Teredo, nat arkasındaki makinelerin doğrudan adreslenebilirliğini sağlayan bir IPv6 geçiş teknolojisidir. Teredo, olası bağlantıları tanıtmak için genel ve genel olarak yönlendirilebilen bir sunucunun kullanılmasına dayanır. Teredo sunucusu, uygulama istemcisine ve sunucuya bağlantı bilgilerini değiş tokuş yapabilecekleri ortak bir toplantı noktası sağlar. Ardından makineler geçici bir Teredo adresi isteyebilir ve paketler mevcut ağ üzerinden tünellenir. WCF'de Teredo desteği, işletim sisteminde IPv6 ve Teredo desteğinin etkinleştirilmesini gerektirir. Windows XP ve sonraki işletim sistemleri Teredo'yu destekler. Windows Vista ve sonraki işletim sistemleri varsayılan olarak IPv6'yı destekler ve yalnızca kullanıcının Teredo'yu etkinleştirmesini gerektirir. Windows XP SP2 ve Windows Server 2003, kullanıcının hem IPv6 hem de Teredo'yu etkinleştirmesini gerektirir. Daha fazla bilgi için bkz. Teredo'ya Genel Bakış.
Aktarım ve İleti Değişimi Deseni Seçme
Aktarım ve MEP seçmek üç adımlı bir işlemdir:
Uç nokta makinelerinin adreslenebilirliğini analiz edin. Kurumsal sunucular genellikle doğrudan adreslenebilirliğe sahipken, son kullanıcıların adreslenebilirlikleri genellikle NAT'ler tarafından engellenir. Son kullanıcılar arasındaki eşler arası senaryolar gibi her iki uç nokta da nat'nin arkasındaysa, adreslenebilirlik sağlamak için Teredo gibi bir teknolojiye ihtiyacınız olabilir.
Uç nokta makinelerinin protokol ve bağlantı noktası kısıtlamalarını analiz edin. Kurumsal sunucular genellikle birçok bağlantı noktasını engelleyen güçlü güvenlik duvarlarının arkasındadır. Ancak, 80 numaralı bağlantı noktası HTTP trafiğine izin vermek için sık sık açıktır ve 443 numaralı bağlantı noktası HTTPS trafiğine izin vermek için açıktır. Son kullanıcıların bağlantı noktası kısıtlamaları daha azdır, ancak yalnızca giden bağlantılara izin veren bir güvenlik duvarının arkasında olabilir. Bazı güvenlik duvarları uç nokta üzerindeki uygulamaların bağlantıları seçmeli olarak açmasına izin verir.
Ağ izinlerinin adreslenebilirlik ve bağlantı noktası kısıtlamalarına ilişkin aktarımları ve MEP'leri hesap edin.
İstemci-sunucu uygulamaları için yaygın bir topoloji, yalnızca giden güvenlik duvarına ve güçlü bir güvenlik duvarıyla doğrudan ele alınabilen bir sunucuya sahip teredo içermeyen bir NAT'nin arkasında olan istemcilerin olmasıdır. Bu senaryoda, çift yönlü MEP ile TCP aktarımı ve istek-yanıt MEP'i olan bir HTTP aktarımı iyi çalışır. Eşler arası uygulamalar için yaygın bir topoloji, hem NAT'lerin hem de güvenlik duvarlarının arkasında uç noktaların olmasıdır. Bu senaryoda ve ağ topolojisinin bilinmediği senaryolarda aşağıdaki önerileri göz önünde bulundurun:
Çift taşıma kullanmayın. Çift aktarım daha fazla bağlantı açar ve bu da başarılı bir şekilde bağlanma olasılığını azaltır.
Kaynak bağlantı üzerinden geri kanal oluşturma desteği. Çift yönlü TCP gibi arka kanalların kullanılması daha az bağlantı açar ve bu da başarıyla bağlanma olasılığını artırır.
Uç noktaları kaydetmek veya trafiği aktarmak için erişilebilir bir hizmet kullanın. Teredo sunucusu gibi genel olarak erişilebilen bir bağlantı hizmeti kullanmak, ağ topolojisi kısıtlayıcı veya bilinmiyor olduğunda başarılı bir şekilde bağlanma olasılığını büyük ölçüde artırır.
Aşağıdaki tablolarda tek yönlü, istek-yanıt ve çift yönlü MEP'ler ile standart TCP, Teredo ile TCP ve WCF'deki standart ve çift HTTP aktarımları incelenmiştir.
| Adreslenebilirlik | Sunucu Doğrudan | NAT geçişi ile Sunucu Doğrudan | Sunucu NAT'sı | NAT geçişi ile sunucu NAT'sı |
|---|---|---|---|---|
| Doğrudan istemci | Herhangi bir taşıma ve MEP | Herhangi bir taşıma ve MEP | Desteklenmiyor. | Desteklenmiyor. |
| NAT geçişi ile istemci doğrudan | Herhangi bir taşıma ve MEP. | Herhangi bir taşıma ve MEP. | Desteklenmiyor. | Teredo ve herhangi bir MEP ile TCP. Windows Vista, Teredo ile HTTP'yi desteklemek için makine genelinde bir yapılandırma seçeneğine sahiptir. |
| İstemci NAT'sı | Çift olmayan aktarım ve MEP. Çift yönlü MEP, TCP aktarımı gerektirir. | Çift olmayan aktarım ve MEP. Çift yönlü MEP, TCP aktarımı gerektirir. | Desteklenmiyor. | Desteklenmiyor. |
| NAT geçişi ile istemci NAT | Çift olmayan aktarım ve MEP. Çift yönlü MEP, TCP aktarımı gerektirir. | Çift HTTP ve herhangi bir MEP dışında tümü. Çift yönlü MEP, TCP aktarımı gerektirir. Çift TCP aktarım teredo gerektirir. Windows Vista, Teredo ile HTTP'yi desteklemek için makine genelinde bir yapılandırma seçeneğine sahiptir. | Desteklenmiyor. | Teredo ve herhangi bir MEP ile TCP. Windows Vista, Teredo ile HTTP'yi desteklemek için makine genelinde bir yapılandırma seçeneğine sahiptir. |
| Güvenlik duvarı kısıtlamaları | Sunucu açma | Yönetilen güvenlik duvarı olan sunucu | Yalnızca HTTP güvenlik duvarı olan sunucu | Yalnızca giden güvenlik duvarı olan sunucu |
|---|---|---|---|---|
| İstemci Aç | Herhangi bir taşıma ve MEP. | Herhangi bir taşıma ve MEP. | Herhangi bir HTTP aktarımı ve MEP. | Desteklenmiyor. |
| Yönetilen güvenlik duvarı olan istemci | Çift olmayan aktarım ve MEP. Çift yönlü MEP, TCP aktarımı gerektirir. | Çift olmayan aktarım ve MEP. Çift yönlü MEP, TCP aktarımı gerektirir. | Herhangi bir HTTP aktarımı ve MEP. | Desteklenmiyor. |
| Yalnızca HTTP güvenlik duvarına sahip istemci | Herhangi bir HTTP aktarımı ve MEP. | Herhangi bir HTTP aktarımı ve MEP. | Herhangi bir HTTP aktarımı ve MEP. | Desteklenmiyor. |
| Yalnızca giden güvenlik duvarına sahip istemci | Çift olmayan aktarım ve MEP. Çift yönlü MEP, TCP aktarımı gerektirir. | Çift olmayan aktarım ve MEP. Çift yönlü MEP, TCP aktarımı gerektirir. | Tüm HTTP aktarımları ve çift yönlü olmayan MEP'ler. | Desteklenmiyor. |