Можно ли иметь машину за брандмауэром И иметь публичный IP-адрес?

Это абсолютно возможно. Я работаю в университете, которому посчастливилось получить сеть класса B (сеть / 16 в обозначении CIDR), когда они передавали их (примерно 20-25 лет назад). Прямо сейчас моя рабочая станция, моя рабочая станция, запаркована на публично маршрутизируемом IP-адресе. На самом деле у нас относительно мало RFC1918 адреса в использовании. Те немногие, что используются, используются для соответствия требованиям PCI (стандарты требуют NAT) и управления сетью. Вы просто не можете получить доступ на мою рабочую станцию ​​из общедоступного Интернета, потому что брандмауэр запрещает доступ.

Фактически, машины в нашем внутреннем безопасном убежище также работают на публичных IP-адресах. Между ними и общедоступным Интернетом есть два брандмауэра. Когда мы заключаем контракт на «сканирование безопасности» со сторонними организациями, у нас есть возможность предоставить им неограниченный доступ с указанного ими IP-адреса, что дает им лучший вариант сканирования «в той же сети». А потом мы забираем это у них, и они не могут вернуться. Это прекрасно работает. Черт возьми, именно так Интернет должен был работать в те более доверительные времена, когда был изобретен спам. Еще может.

Фактически, IPv6 изначально был разработан для устранение необходимости в NAT. Адресов хватит на всех, поэтому необходимость прятаться за такими шлюзами (во всяком случае теоретически) стала излишней. Другими словами, заставить Интернет работать так, как он должен был работать. Поддержка NAT была задействована на очень позднем этапе процесса, в немалой степени благодаря решительной поддержке со стороны учреждения InfoSec, которое считает невидимость защитной мерой.

Здесь важно помнить, что NAT не является основной функцией межсетевого экрана, он просто тесно связан. При использовании с брандмауэром он просто скрывает, какие поверхности для атаки могут существовать за ним. Наш межсетевой экран, обращенный к Интернету, вообще не выполняет NAT, а наш межсетевой экран, обращенный к интрасети, выполняет лишь небольшие функции (связанные с PCI).

Я знаю многих, многих компьютерных профессионалов, которые дрожат, когда обнаруживают, что IP-адрес их устройства является общедоступным. Он не менее безопасен, чем адрес RFC1918, когда находится за правильно настроенными устройствами защиты периметра. Эта концепция «публичный IP - это плохо» закреплена в стандартах PCI, и ее необходимо будет пересмотреть в свете более широкого развертывания IPv6.

Большинство межсетевых экранов, отличных от корпоративных, работают в одном из двух режимов: NAT или мостовой.

NAT - это традиционная топология, о которой вы думаете. Брандмауэр имеет единственный общедоступный IP-адрес в сети и выполняет преобразование между ним и частным немаршрутизируемым классом. В этом случае машины «за» брандмауэром имеют частные IP-адреса и, следовательно, не имеют общедоступной маршрутизации.

В мостовом режиме межсетевой экран настроен на эффективное покрытие IP-адреса. Это пространство представляет собой сеть / маску сети, на которой расположены IP-адреса. Например, для публично маршрутизируемого класса 74.52.192.0/29, который включает 74.52.192.1 - 74.52.192.7, можно настроить брандмауэр с интерфейсом брандмауэра, имеющим любой адрес в диапазоне. Если брандмауэр находится в мостовом режиме и настроен как таковой, вы сможете подключать машины как любой из других IP-адресов в сети 74.52.192.0/29 (тот, который использует брандмауэр, конечно, недоступен).

Можно ли иметь машину за брандмауэром И иметь публичный IP-адрес? Как это называется или где я могу найти дополнительную информацию?

Конечно. Это зависит от того, есть ли у вас маршрутизируемое пространство IP-адресов и ОС брандмауэра, которая также может действовать как маршрутизатор (Linux и другие).

Если у вас есть реальное адресное пространство, которое вы можете подсеть, тогда это тривиально. Просто поместите подсеть на один из сетевых интерфейсов внутри брандмауэра.

Вы даже можете сделать это, используя только одну подсеть, если поработаете с прокси arp. Псевдо-мосты с Proxy-ARP.

Как вы можете видеть из других ответов, есть несколько способов сделать это в зависимости от того, какие устройства у вас есть и какие у вас есть потребности.

Например, серия брандмауэров Juniper Netscreen имеет конструкцию «Mapped IP» или MIP - с ее помощью вы назначаете MIP, который является реальным маршрутизируемым IP-адресом, отдельным от основного IP-адреса брандмауэра, и сообщаете брандмауэру, какой частный IP-адрес за брандмауэром, на который будут передаваться пакеты. Брандмауэр использует политики, чтобы решить, какие службы передаются назад / вперед на частный IP. NAT'ing обрабатывается межсетевым экраном; частный IP-компьютер не обязательно должен знать, что это за MIP.

Старый 3Com SuperStack3 имел функцию DMZ, где общедоступные IP-адреса определялись как «в DMZ». Вы настроили свою систему так, как если бы это была система с общедоступным IP-адресом, но снова политики на устройстве контролировали, какие службы разрешены.

Конечно, вы всегда можете подключить компьютер напрямую к Интернету и запустить на нем программный брандмауэр (Windows Firewall для Windows, iptables для Linux) .. :)