Velkommen til lektion 8. Lektionen er meget vigtig, fordi... Når du er færdig, vil du være i stand til at konfigurere internetadgang for dine brugere! Jeg må indrømme, at mange stopper med at oprette sig på dette tidspunkt 🙂 Men vi er ikke en af dem! Og vi har stadig mange interessante ting forude. Og nu til emnet for vores lektion.
Som du sikkert allerede har gættet, vil vi i dag tale om NAT. Jeg er sikker på, at alle, der ser denne lektion, ved, hvad NAT er. Derfor vil vi ikke beskrive i detaljer, hvordan det fungerer. Jeg vil lige gentage endnu en gang, at NAT er en adresseoversættelsesteknologi, der blev opfundet for at spare "hvide penge", dvs. offentlige IP'er (de adresser, der dirigeres på internettet).
I den forrige lektion har du sikkert allerede bemærket, at NAT er en del af adgangskontrolpolitikken. Dette er ret logisk. I SmartConsole placeres NAT-indstillinger i en separat fane. Vi vil helt sikkert se der i dag. Generelt vil vi i denne lektion diskutere NAT-typer, konfigurere internetadgang og se på det klassiske eksempel på portvideresendelse. De der. den funktionalitet, der oftest bruges i virksomheder. Lad os komme igang.
To måder at konfigurere NAT på
Check Point understøtter to måder at konfigurere NAT på: Automatisk NAT и Manuel NAT. For hver af disse metoder er der desuden to typer oversættelse: Skjul NAT и Statisk NAT. Generelt ser det ud som dette billede:
Jeg forstår, at alt sandsynligvis ser meget kompliceret ud nu, så lad os se på hver type lidt mere detaljeret.
Automatisk NAT
Dette er den hurtigste og nemmeste måde. Konfiguration af NAT udføres med kun to klik. Alt du skal gøre er at åbne egenskaberne for det ønskede objekt (det være sig gateway, netværk, vært osv.), gå til fanen NAT og tjek "Tilføj regler for automatisk adresseoversættelse" Her vil du se feltet - oversættelsesmetoden. Der er, som nævnt ovenfor, to af dem.
1. Aitomatic Hide NAT
Som standard er det Skjul. De der. i dette tilfælde vil vores netværk "gemme sig" bag en offentlig IP-adresse. I dette tilfælde kan adressen tages fra gatewayens eksterne grænseflade, eller du kan angive en anden. Denne type NAT kaldes ofte dynamisk eller mange-til-en, fordi Flere interne adresser oversættes til én ekstern. Dette er naturligvis muligt ved at bruge forskellige porte ved udsendelse. Hide NAT virker kun i én retning (indefra og ud) og er ideel til lokale netværk, når du blot skal give adgang til internettet. Hvis trafik startes fra et eksternt netværk, vil NAT naturligvis ikke fungere. Det viser sig at være yderligere beskyttelse for interne netværk.
2. Automatisk statisk NAT
Hide NAT er godt for alle, men måske skal du give adgang fra et eksternt netværk til en intern server. For eksempel til en DMZ-server, som i vores eksempel. I dette tilfælde kan Static NAT hjælpe os. Det er også ret nemt at sætte op. Det er nok at ændre oversættelsesmetoden til Static i objektegenskaberne og angive den offentlige IP-adresse, der skal bruges til NAT (se billedet ovenfor). De der. hvis nogen fra det eksterne netværk tilgår denne adresse (på en hvilken som helst port!), vil anmodningen blive videresendt til en server med en intern IP. Desuden, hvis serveren selv går online, vil dens IP også ændre sig til den adresse, vi har angivet. De der. Dette er NAT i begge retninger. Det kaldes også én-til-én og nogle gange bruges til offentlige servere. Hvorfor "nogle gange"? Fordi det har én stor ulempe - den offentlige IP-adresse er fuldstændig optaget (alle porte). Du kan ikke bruge én offentlig adresse til forskellige interne servere (med forskellige porte). For eksempel HTTP, FTP, SSH, SMTP osv. Manuel NAT kan løse dette problem.
Manuel NAT
Det særlige ved Manual NAT er, at du selv skal oprette oversættelsesregler. I den samme NAT-fane i Adgangskontrolpolitik. Samtidig giver Manual NAT dig mulighed for at oprette mere komplekse oversættelsesregler. Følgende felter er tilgængelige for dig: Oprindelig kilde, Oprindelig destination, Oprindelige tjenester, Oversat kilde, Oversat destination, Oversatte tjenester.
Der er også to typer NAT mulige her - Hide og Static.
1. Manuel Skjul NAT
Skjul NAT i dette tilfælde kan bruges i forskellige situationer. Et par eksempler:
- Når du tilgår en specifik ressource fra det lokale netværk, vil du bruge en anden broadcast-adresse (forskellig fra den, der bruges i alle andre tilfælde).
- Der er et stort antal computere på det lokale netværk. Automatisk skjul NAT fungerer ikke her, fordi... Med denne opsætning er det muligt kun at indstille én offentlig IP-adresse, bag hvilken computere vil "gemme sig". Der er måske simpelthen ikke nok porte til udsendelse. Der er, som du husker, lidt mere end 65 tusinde. Desuden kan hver computer generere hundredvis af sessioner. Manual Hide NAT giver dig mulighed for at indstille en pulje af offentlige IP-adresser i feltet Oversat kilde. Derved øges antallet af mulige NAT-oversættelser.
2.Manuel statisk NAT
Statisk NAT bruges meget oftere, når man manuelt opretter oversættelsesregler. Et klassisk eksempel er port forwarding. Det tilfælde, hvor en offentlig IP-adresse (som kan tilhøre en gateway) tilgås fra et eksternt netværk på en bestemt port, og anmodningen oversættes til en intern ressource. I vores laboratoriearbejde videresender vi port 80 til DMZ-serveren.
Video lektion
Følg med for mere og deltag i vores 🙂
Kilde: www.habr.com