Welkom by les 8. Die les is baie belangrik, want... Na voltooiing sal jy internettoegang vir jou gebruikers kan instel! Ek moet erken dat baie mense op hierdie stadium ophou om op te rig 🙂 Maar ons is nie een van hulle nie! En ons het nog baie interessante dinge wat voorlê. En nou by die onderwerp van ons les.
Soos jy waarskynlik reeds geraai het, sal ons vandag oor NAT praat. Ek is seker dat almal wat hierdie les kyk weet wat NAT is. Daarom sal ons nie in detail beskryf hoe dit werk nie. Ek sal net weereens herhaal dat NAT 'n adresvertaaltegnologie is wat uitgevind is om "wit geld" te bespaar, d.w.s. openbare IP's (daardie adresse wat op die internet herlei word).
In die vorige les het jy waarskynlik reeds opgemerk dat NAT deel is van die Toegangsbeheerbeleid. Dit is redelik logies. In SmartConsole word NAT-instellings in 'n aparte oortjie geplaas. Ons sal beslis vandag daar kyk. Oor die algemeen sal ons in hierdie les NAT-tipes bespreek, internettoegang konfigureer en na die klassieke voorbeeld van poortaanstuur kyk. Dié. die funksionaliteit wat die meeste in maatskappye gebruik word. Laat ons begin.
Twee maniere om NAT op te stel
Check Point ondersteun twee maniere om NAT op te stel: Outomatiese NAT и Handleiding NAT. Verder, vir elk van hierdie metodes is daar twee tipes vertaling: Versteek NAT и Statiese NAT. Oor die algemeen lyk dit soos hierdie prentjie:
Ek verstaan dat alles waarskynlik nou baie ingewikkeld lyk, so kom ons kyk na elke tipe in 'n bietjie meer detail.
Outomatiese NAT
Dit is die vinnigste en maklikste manier. Die opstel van NAT word in net twee klikke gedoen. Al wat jy hoef te doen is om die eienskappe van die gewenste voorwerp oop te maak (of dit nou poort, netwerk, gasheer, ens.), gaan na die NAT-oortjie en merk die "Voeg reëls vir outomatiese adresvertaling by" Hier sal jy die veld sien - die vertaalmetode. Daar is, soos hierbo genoem, twee van hulle.
1. Aitomatic Hide NAT
By verstek is dit Versteek. Dié. in hierdie geval sal ons netwerk agter 'n publieke IP-adres "wegkruip". In hierdie geval kan die adres van die eksterne koppelvlak van die poort geneem word, of jy kan 'n ander een spesifiseer. Hierdie tipe NAT word dikwels dinamiese of genoem veel-tot-een, omdat Verskeie interne adresse word in een eksterne een vertaal. Dit is natuurlik moontlik deur verskillende poorte te gebruik tydens uitsaai. Versteek NAT werk net in een rigting (van binne na buite) en is ideaal vir plaaslike netwerke wanneer jy net toegang tot die internet moet verskaf. As verkeer vanaf 'n eksterne netwerk geïnisieer word, sal NAT natuurlik nie werk nie. Dit blyk bykomende beskerming vir interne netwerke te wees.
2. Outomatiese Statiese NAT
Versteek NAT is goed vir almal, maar miskien moet jy toegang van 'n eksterne netwerk tot een of ander interne bediener verskaf. Byvoorbeeld, na 'n DMZ-bediener, soos in ons voorbeeld. In hierdie geval kan Static NAT ons help. Dit is ook redelik maklik om op te stel. Dit is genoeg om die vertaalmetode na Static in die objek-eienskappe te verander en die publieke IP-adres te spesifiseer wat vir NAT gebruik sal word (sien die prentjie hierbo). Dié. as iemand van die eksterne netwerk toegang tot hierdie adres verkry (op enige poort!), dan sal die versoek na 'n bediener met 'n interne IP aangestuur word. Verder, as die bediener self aanlyn gaan, sal sy IP ook verander na die adres wat ons gespesifiseer het. Dié. Dit is NAT in beide rigtings. Dit word ook genoem een tot een en word soms vir publieke bedieners gebruik. Hoekom "soms"? Omdat dit een groot nadeel het - die openbare IP-adres is heeltemal beset (alle poorte). Jy kan nie een publieke adres vir verskillende interne bedieners (met verskillende poorte) gebruik nie. Byvoorbeeld HTTP, FTP, SSH, SMTP, ens. Handleiding NAT kan hierdie probleem oplos.
Handleiding NAT
Die eienaardigheid van Handleiding NAT is dat jy self vertaalreëls moet skep. In dieselfde NAT-oortjie in Toegangsbeheerbeleid. Terselfdertyd laat Manual NAT jou toe om meer komplekse vertaalreëls te skep. Die volgende velde is vir jou beskikbaar: Oorspronklike Bron, Oorspronklike Bestemming, Oorspronklike Dienste, Vertaalde Bron, Vertaalde Bestemming, Vertaalde Dienste.
Daar is ook twee tipes NAT moontlik hier - Versteek en Staties.
1. Handleiding Versteek NAT
Versteek NAT in hierdie geval kan in verskillende situasies gebruik word. 'n Paar voorbeelde:
- Wanneer u toegang tot 'n spesifieke hulpbron vanaf die plaaslike netwerk verkry, wil u 'n ander uitsaaiadres gebruik (anders as die een wat vir alle ander gevalle gebruik word).
- Daar is 'n groot aantal rekenaars op die plaaslike netwerk. Outomatiese versteek NAT sal nie hier werk nie, want... Met hierdie opstelling is dit moontlik om slegs een publieke IP-adres in te stel, waaragter rekenaars sal "wegkruip". Daar is dalk eenvoudig nie genoeg poorte vir uitsaai nie. Daar is, soos u onthou, 'n bietjie meer as 65 duisend. Boonop kan elke rekenaar honderde sessies genereer. Manual Hide NAT laat jou toe om 'n poel van publieke IP-adresse in die vertaalde bron-veld te stel. Daardeur word die aantal moontlike NAT-vertalings verhoog.
2. Handleiding Statiese NAT
Statiese NAT word baie meer dikwels gebruik wanneer vertaalreëls met die hand geskep word. 'n Klassieke voorbeeld is hawe-aanstuur. Die geval wanneer 'n openbare IP-adres (wat aan 'n poort kan behoort) vanaf 'n eksterne netwerk op 'n spesifieke poort verkry word en die versoek na 'n interne hulpbron vertaal word. In ons laboratoriumwerk sal ons poort 80 aanstuur na die DMZ-bediener.
Video les
Bly ingeskakel vir meer en sluit by ons aan 🙂
Bron: will.com