8. Check Point Erste Schritte R80.20. NAT

8. Check Point Erste Schritte R80.20. NAT

Willkommen zur 8. Lektion. Diese Lektion ist sehr wichtig, denn nach ihrem Abschluss werden Sie in der Lage sein, den Internetzugang für Ihre Benutzer einzurichten! Man muss zugeben, dass viele an dieser Stelle aufhören. 🙂 Aber wir gehören nicht dazu! Und es erwartet uns noch viel Interessantes. Kommen wir also zum Thema unserer Lektion.

Wie Sie wahrscheinlich bereits erraten haben, werden wir heute über NAT sprechen. Ich bin mir sicher, dass alle, die dieses Tutorial ansehen, wissen, was NAT ist. Deshalb werden wir nicht im Detail darauf eingehen, wie es funktioniert. Ich wiederhole nur, dass NAT eine Technologie zur Adressübersetzung ist, die entwickelt wurde, um "öffentliche" IP-Adressen (also jene Adressen, die im Internet geroutet werden) zu sparen.

In der vorherigen Lektion haben Sie wahrscheinlich bereits bemerkt, dass NAT Bestandteil der Zugriffskontrollrichtlinie ist. Das ist durchaus logisch. In der SmartConsole sind die NAT-Einstellungen in einem eigenen Tab untergebracht. Heute werden wir dort auf jeden Fall einen Blick hineinwerfen. Insgesamt werden wir in dieser Lektion die verschiedenen NAT-Typen besprechen, den Internetzugang einrichten und ein klassisches Beispiel für Portweiterleitung betrachten. Das heißt, die Funktionalität, die in Unternehmen am häufigsten verwendet wird. Lass uns anfangen.

Zwei Methoden zur NAT-Konfiguration

Check Point unterstützt zwei Methoden zur NAT-Konfiguration: Automatische NAT und Manuelle NAT. Für jede dieser Methoden gibt es zwei Arten der Übersetzung: Hide NAT und Statisches NAT. Allgemein sieht das so aus:

8. Check Point Erste Schritte R80.20. NAT

Ich verstehe, dass es im Moment recht kompliziert aussieht, deshalb schauen wir uns jeden Typ etwas genauer an.

Automatische NAT

Dies ist der schnellste und einfachste Weg. Die NAT-Konfiguration erfolgt buchstäblich mit zwei Klicks. Alles, was Sie tun müssen, ist, die Eigenschaften des gewünschten Objekts (sei es Gateway, Netzwerk, Host usw.) zu öffnen, zum Tab NAT zu wechseln und das Kästchen „Automatische Adressübersetzungsregeln hinzufügen“ zu aktivieren. Hier sehen Sie auch das Feld - Methoden der Übersetzung. Wie bereits erwähnt, gibt es zwei Varianten.

8. Check Point Erste Schritte R80.20. NAT

Automatisches Hide NAT

Standardmäßig ist dies Hide. Das bedeutet, dass unser Netzwerk hinter einer öffentlichen IP-Adresse „verborgen“ wird. Die Adresse kann vom externen Interface des Gateways genommen werden oder Sie können eine andere angeben. Diese Art von NAT wird oft dynamisch oder many-to-one genannt., da mehrere interne Adressen in eine externe übersetzt werden. Dies ist natürlich nur durch die Verwendung verschiedener Ports bei der Übersetzung möglich. Hide NAT funktioniert nur in eine Richtung (von innen nach außen) und ist ideal für lokale Netzwerke, wenn lediglich der Zugang zum Internet sichergestellt werden soll. Wenn der Datenverkehr von einem externen Netzwerk initiiert wird, funktioniert NAT naturgemäß nicht. Das ergibt eine zusätzliche Schutzmaßnahme für interne Netzwerke.

2. Automatische statische NAT

Static NAT ist eine großartige Lösung, jedoch müssen Sie möglicherweise den Zugriff von außen auf einen internen Server wie einen DMZ-Server ermöglichen, wie in unserem Beispiel. In diesem Fall kann Static NAT hilfreich sein. Die Einrichtung ist ebenfalls recht einfach. Ändern Sie einfach die Methode der Adressübersetzung in den Eigenschaften des Objekts auf Static und geben Sie die öffentliche IP-Adresse an, die für das NAT verwendet werden soll (siehe Bild oben). Das bedeutet, wenn jemand aus dem externen Netzwerk diese Adresse (über einen beliebigen Port!) anfragt, wird die Anfrage an den Server mit der entsprechenden internen IP-Adresse weitergeleitet. Wenn der Server selbst ins Internet geht, ändert sich seine IP-Adresse ebenfalls auf die von uns angegebene Adresse. Das heißt, es handelt sich um bidirektionales NAT. Es wird auch bezeichnet als eins-zu-eins und wird manchmal für öffentliche Server verwendet. Warum „manchmal“? Weil es einen großen Nachteil hat — die öffentliche IP-Adresse wird vollständig belegt (alle Ports). Ein öffentlicher Adresse kann nicht von verschiedenen internen Servern (mit unterschiedlichen Ports) verwendet werden, zum Beispiel HTTP, FTP, SSH, SMTP usw. Dieses Problem kann mit Manual NAT gelöst werden.

Manuelle NAT

Die Besonderheit von Manual NAT besteht darin, dass Sie die Übersetzungsregeln selbst erstellen müssen. In demselben Tab NAT in der Access Control Policy. Manual NAT ermöglicht dabei die Erstellung komplexerer Übersetzungsregeln. Ihnen stehen Felder wie: Originalquelle, Originalziel, Originaldienste, Übersetzte Quelle, Übersetztes Ziel, Übersetzte Dienste zur Verfügung.

8. Check Point Erste Schritte R80.20. NAT

Es gibt hier auch zwei Arten von NAT – Hide und Static.

1. Manual Hide NAT

Hide NAT kann in verschiedenen Situationen eingesetzt werden. Hier sind einige Beispiele:

  1. Wenn Sie von einem bestimmten Standort im lokalen Netzwerk auf eine Ressource zugreifen möchten, möchten Sie eine andere Adresse für die Übersetzung verwenden (die von der Adresse abweicht, die für alle anderen Fälle verwendet wird).
  2. Im lokalen Netzwerk gibt es eine große Anzahl von Computern. Automatic Hide NAT ist hier nicht geeignet, da bei dieser Einstellung nur eine öffentliche IP-Adresse zugewiesen werden kann, hinter der die Computer „versteckt“ sind. Es könnte einfach nicht genügend Ports für die Übersetzung geben. Wie Sie sich erinnern, gibt es etwas mehr als 65.000. Dabei kann jeder Computer Hunderte von Sitzungen generieren. Manual Hide NAT ermöglicht es, im Feld für die Übersetzte Quelle einen Pool von öffentlichen IP-Adressen. Dadurch wird die Anzahl der möglichen NAT-Übersetzungen erhöht.

2. Manual Static NAT

Static NAT wird viel häufiger bei der manuellen Erstellung von Übersetzungsregeln verwendet. Ein klassisches Beispiel ist das Portforwarding. Hierbei wird von einem externen Netzwerk auf eine öffentliche IP-Adresse (die zu einem Gateway gehören kann) über einen bestimmten Port zugegriffen, und die Anfrage wird an eine interne Ressource weitergeleitet. In unserem Laborversuch werden wir Port 80 zum DMZ-Server weiterleiten.

Video-Tutorial

Video abspielen

Bleiben Sie dran und abonnieren Sie unseren YouTube-Kanal 🙂

Quelle: habr.com
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster