Willkommen bei Lektion 8. Die Lektion ist sehr wichtig, weil... Nach Abschluss können Sie den Internetzugang für Ihre Benutzer konfigurieren! Ich muss zugeben, dass viele Leute an dieser Stelle mit dem Aufbauen aufhören 🙂 Aber wir gehören nicht dazu! Und wir haben noch viele interessante Dinge vor uns. Und nun zum Thema unserer Lektion.
Wie Sie wahrscheinlich schon vermutet haben, werden wir heute über NAT sprechen. Ich bin sicher, dass jeder, der sich diese Lektion ansieht, weiß, was NAT ist. Daher werden wir nicht im Detail beschreiben, wie es funktioniert. Ich wiederhole noch einmal, dass es sich bei NAT um eine Adressübersetzungstechnologie handelt, die erfunden wurde, um „weißes Geld“ zu sparen, d. h. öffentliche IPs (die Adressen, die im Internet weitergeleitet werden).
In der vorherigen Lektion haben Sie wahrscheinlich bereits bemerkt, dass NAT Teil der Zugriffskontrollrichtlinie ist. Das ist ziemlich logisch. In SmartConsole werden die NAT-Einstellungen in einer separaten Registerkarte platziert. Wir werden heute auf jeden Fall dort vorbeischauen. Im Allgemeinen werden wir in dieser Lektion NAT-Typen besprechen, den Internetzugang konfigurieren und uns das klassische Beispiel der Portweiterleitung ansehen. Diese. die Funktionalität, die in Unternehmen am häufigsten genutzt wird. Lass uns anfangen.
Zwei Möglichkeiten, NAT zu konfigurieren
Check Point unterstützt zwei Möglichkeiten, NAT zu konfigurieren: Automatisches NAT и Manuelles NAT. Darüber hinaus gibt es für jede dieser Methoden zwei Arten der Übersetzung: NAT ausblenden и Statische NAT. Im Großen und Ganzen sieht es so aus wie auf diesem Bild:
Ich verstehe, dass jetzt höchstwahrscheinlich alles sehr kompliziert aussieht, also schauen wir uns jeden Typ etwas genauer an.
Automatisches NAT
Dies ist der schnellste und einfachste Weg. Die Konfiguration von NAT ist mit nur zwei Klicks erledigt. Sie müssen lediglich die Eigenschaften des gewünschten Objekts (Gateway, Netzwerk, Host usw.) öffnen, zur Registerkarte „NAT“ gehen und das Kontrollkästchen „Fügen Sie automatische Adressübersetzungsregeln hinzu" Hier sehen Sie das Feld – die Übersetzungsmethode. Es gibt, wie oben erwähnt, zwei davon.
1. Aitomatic Hide NAT
Standardmäßig ist es Ausblenden. Diese. In diesem Fall „versteckt“ sich unser Netzwerk hinter einer öffentlichen IP-Adresse. In diesem Fall kann die Adresse von der externen Schnittstelle des Gateways übernommen werden oder Sie können eine andere angeben. Diese Art von NAT wird oft als dynamisches oder dynamisches NAT bezeichnet viele-zu-eins, Weil Mehrere interne Adressen werden in eine externe übersetzt. Dies ist natürlich möglich, indem beim Senden unterschiedliche Ports verwendet werden. Hide NAT funktioniert nur in eine Richtung (von innen nach außen) und ist ideal für lokale Netzwerke, wenn Sie lediglich Zugang zum Internet bereitstellen müssen. Wenn der Datenverkehr von einem externen Netzwerk initiiert wird, funktioniert NAT natürlich nicht. Es stellt sich als zusätzlicher Schutz für interne Netzwerke heraus.
2. Automatisches statisches NAT
Hide NAT ist für alle gut, aber vielleicht müssen Sie den Zugriff von einem externen Netzwerk auf einen internen Server ermöglichen. Zum Beispiel an einen DMZ-Server, wie in unserem Beispiel. In diesem Fall kann uns Static NAT helfen. Es ist auch recht einfach einzurichten. Es reicht aus, in den Objekteigenschaften die Übersetzungsmethode auf „Statisch“ zu ändern und die öffentliche IP-Adresse anzugeben, die für NAT verwendet wird (siehe Bild oben). Diese. Wenn jemand aus dem externen Netzwerk auf diese Adresse zugreift (auf einem beliebigen Port!), wird die Anfrage an einen Server mit interner IP weitergeleitet. Wenn außerdem der Server selbst online geht, ändert sich auch seine IP auf die von uns angegebene Adresse. Diese. Dies ist NAT in beide Richtungen. Es heißt auch eins-zu-eins und manchmal für öffentliche Server verwendet. Warum „manchmal“? Denn es hat einen großen Nachteil: Die öffentliche IP-Adresse ist komplett belegt (alle Ports). Sie können eine öffentliche Adresse nicht für verschiedene interne Server (mit unterschiedlichen Ports) verwenden. Zum Beispiel HTTP, FTP, SSH, SMTP usw. Manuelles NAT kann dieses Problem lösen.
Manuelles NAT
Die Besonderheit von Manual NAT besteht darin, dass Sie Übersetzungsregeln selbst erstellen müssen. Auf derselben NAT-Registerkarte in der Zugriffskontrollrichtlinie. Gleichzeitig ermöglicht Ihnen Manual NAT die Erstellung komplexerer Übersetzungsregeln. Folgende Felder stehen Ihnen zur Verfügung: Originalquelle, Originalziel, Originaldienste, Übersetzte Quelle, Übersetztes Ziel, Übersetzte Dienste.
Auch hier sind zwei Arten von NAT möglich – Hide und Static.
1. Manuell NAT ausblenden
NAT ausblenden kann in diesem Fall in verschiedenen Situationen verwendet werden. Ein paar Beispiele:
- Wenn Sie über das lokale Netzwerk auf eine bestimmte Ressource zugreifen, möchten Sie eine andere Broadcast-Adresse verwenden (anders als die, die in allen anderen Fällen verwendet wird).
- Es gibt eine große Anzahl von Computern im lokalen Netzwerk. Automatic Hide NAT funktioniert hier nicht, weil... Mit diesem Setup ist es möglich, nur eine öffentliche IP-Adresse festzulegen, hinter der sich Computer „verstecken“. Möglicherweise sind einfach nicht genügend Ports für die Übertragung vorhanden. Wie Sie sich erinnern, sind es etwas mehr als 65. Darüber hinaus kann jeder Computer Hunderte von Sitzungen generieren. Mit „Manual Hide NAT“ können Sie im Feld „Übersetzte Quelle“ einen Pool öffentlicher IP-Adressen festlegen. Dadurch erhöht sich die Anzahl der möglichen NAT-Übersetzungen.
2.Manuelles statisches NAT
Statisches NAT wird viel häufiger verwendet, wenn Übersetzungsregeln manuell erstellt werden. Ein klassisches Beispiel ist die Portweiterleitung. Der Fall, wenn von einem externen Netzwerk über einen bestimmten Port auf eine öffentliche IP-Adresse (die möglicherweise zu einem Gateway gehört) zugegriffen wird und die Anfrage an eine interne Ressource übersetzt wird. In unserer Laborarbeit werden wir Port 80 an den DMZ-Server weiterleiten.
Videoanleitung
Bleiben Sie dran für mehr und kommen Sie zu uns 🙂
Source: habr.com