Καλώς ήρθατε στο μάθημα 8. Το μάθημα είναι πολύ σημαντικό, γιατί... Με την ολοκλήρωση, θα μπορείτε να διαμορφώσετε την πρόσβαση στο Διαδίκτυο για τους χρήστες σας! Πρέπει να ομολογήσω ότι πολλοί άνθρωποι σταματούν να στήνονται σε αυτό το σημείο 🙂 Αλλά δεν είμαστε ένας από αυτούς! Και έχουμε ακόμα πολλά ενδιαφέροντα πράγματα μπροστά μας. Και τώρα στο θέμα του μαθήματός μας.
Όπως πιθανώς ήδη μαντέψατε, σήμερα θα μιλήσουμε για το ΝΑΤ. Είμαι σίγουρος ότι όλοι όσοι παρακολουθούν αυτό το μάθημα γνωρίζουν τι είναι το NAT. Επομένως, δεν θα περιγράψουμε λεπτομερώς πώς λειτουργεί. Απλώς θα επαναλάβω για άλλη μια φορά ότι το NAT είναι μια τεχνολογία μετάφρασης διευθύνσεων που εφευρέθηκε για να εξοικονομήσει «λευκά χρήματα», π.χ. δημόσιες IP (αυτές οι διευθύνσεις που δρομολογούνται στο Διαδίκτυο).
Στο προηγούμενο μάθημα, πιθανότατα έχετε ήδη παρατηρήσει ότι το NAT αποτελεί μέρος της πολιτικής Access Control. Αυτό είναι αρκετά λογικό. Στο SmartConsole, οι ρυθμίσεις NAT τοποθετούνται σε ξεχωριστή καρτέλα. Σίγουρα θα κοιτάξουμε εκεί σήμερα. Γενικά, σε αυτό το μάθημα θα συζητήσουμε τους τύπους NAT, θα διαμορφώσουμε την πρόσβαση στο Διαδίκτυο και θα δούμε το κλασικό παράδειγμα προώθησης θυρών. Εκείνοι. η λειτουργικότητα που χρησιμοποιείται συχνότερα στις εταιρείες. Ας αρχίσουμε.
Δύο τρόποι για να ρυθμίσετε το NAT
Το Check Point υποστηρίζει δύο τρόπους ρύθμισης του NAT: Αυτόματο NAT и Εγχειρίδιο NAT. Επιπλέον, για καθεμία από αυτές τις μεθόδους υπάρχουν δύο τύποι μετάφρασης: Απόκρυψη NAT и Στατικό ΝΑΤ. Σε γενικές γραμμές μοιάζει με αυτή την εικόνα:
Καταλαβαίνω ότι πιθανότατα όλα φαίνονται πολύ περίπλοκα τώρα, οπότε ας δούμε κάθε είδος με λίγο περισσότερες λεπτομέρειες.
Αυτόματο NAT
Αυτός είναι ο πιο γρήγορος και εύκολος τρόπος. Η διαμόρφωση του NAT γίνεται με δύο μόνο κλικ. Το μόνο που χρειάζεται να κάνετε είναι να ανοίξετε τις ιδιότητες του επιθυμητού αντικειμένου (είτε είναι πύλη, δίκτυο, κεντρικός υπολογιστής κ.λπ.), μεταβείτε στην καρτέλα NAT και ελέγξτε το "Προσθήκη κανόνων αυτόματης μετάφρασης διευθύνσεων" Εδώ θα δείτε το πεδίο - η μέθοδος μετάφρασης. Υπάρχουν, όπως προαναφέρθηκε, δύο από αυτά.
1. Aitomatic Hide NAT
Από προεπιλογή είναι Απόκρυψη. Εκείνοι. Σε αυτήν την περίπτωση, το δίκτυό μας θα «κρύβεται» πίσω από κάποια δημόσια διεύθυνση IP. Σε αυτήν την περίπτωση, η διεύθυνση μπορεί να ληφθεί από την εξωτερική διεπαφή της πύλης ή μπορείτε να καθορίσετε κάποια άλλη. Αυτός ο τύπος NAT ονομάζεται συχνά δυναμικός ή πολλά-προς-ένα, επειδή Πολλές εσωτερικές διευθύνσεις μεταφράζονται σε μία εξωτερική. Φυσικά, αυτό είναι δυνατό χρησιμοποιώντας διαφορετικές θύρες κατά τη μετάδοση. Το Hide NAT λειτουργεί μόνο προς μία κατεύθυνση (από μέσα προς τα έξω) και είναι ιδανικό για τοπικά δίκτυα όταν χρειάζεται απλώς να παρέχετε πρόσβαση στο Διαδίκτυο. Εάν η κίνηση ξεκινά από ένα εξωτερικό δίκτυο, τότε το NAT φυσικά δεν θα λειτουργήσει. Αποδεικνύεται ότι είναι πρόσθετη προστασία για εσωτερικά δίκτυα.
2. Αυτόματο Στατικό NAT
Το Hide NAT είναι καλό για όλους, αλλά ίσως πρέπει να παρέχετε πρόσβαση από ένα εξωτερικό δίκτυο σε κάποιον εσωτερικό διακομιστή. Για παράδειγμα, σε διακομιστή DMZ, όπως στο παράδειγμά μας. Σε αυτή την περίπτωση, το Static NAT μπορεί να μας βοηθήσει. Είναι επίσης αρκετά εύκολο στη ρύθμιση. Αρκεί να αλλάξετε τη μέθοδο μετάφρασης σε Στατική στις ιδιότητες του αντικειμένου και να καθορίσετε τη δημόσια διεύθυνση IP που θα χρησιμοποιηθεί για το NAT (δείτε την παραπάνω εικόνα). Εκείνοι. Εάν κάποιος από το εξωτερικό δίκτυο έχει πρόσβαση σε αυτή τη διεύθυνση (σε οποιαδήποτε θύρα!), τότε το αίτημα θα προωθηθεί σε διακομιστή με εσωτερική IP. Επιπλέον, εάν ο ίδιος ο διακομιστής συνδεθεί στο διαδίκτυο, η IP του θα αλλάξει επίσης στη διεύθυνση που καθορίσαμε. Εκείνοι. Αυτό είναι NAT και προς τις δύο κατευθύνσεις. Λέγεται επίσης ένα-προς-ένα και μερικές φορές χρησιμοποιείται για δημόσιους διακομιστές. Γιατί «μερικές φορές»; Επειδή έχει ένα μεγάλο μειονέκτημα - η δημόσια διεύθυνση IP είναι εντελώς κατειλημμένη (όλες οι θύρες). Δεν μπορείτε να χρησιμοποιήσετε μία δημόσια διεύθυνση για διαφορετικούς εσωτερικούς διακομιστές (με διαφορετικές θύρες). Για παράδειγμα HTTP, FTP, SSH, SMTP κ.λπ. Το εγχειρίδιο NAT μπορεί να λύσει αυτό το πρόβλημα.
Εγχειρίδιο NAT
Η ιδιαιτερότητα του Manual NAT είναι ότι πρέπει να δημιουργήσετε μόνοι σας κανόνες μετάφρασης. Στην ίδια καρτέλα NAT στην Πολιτική ελέγχου πρόσβασης. Ταυτόχρονα, το Manual NAT σάς επιτρέπει να δημιουργείτε πιο σύνθετους κανόνες μετάφρασης. Τα ακόλουθα πεδία είναι διαθέσιμα σε εσάς: Αρχική πηγή, Αρχικός προορισμός, Αρχικές υπηρεσίες, Μεταφρασμένη πηγή, Μεταφρασμένος προορισμός, Μεταφρασμένες υπηρεσίες.
Υπάρχουν επίσης δύο τύποι NAT δυνατοί εδώ - Απόκρυψη και Στατική.
1. Χειροκίνητη Απόκρυψη NAT
Το Hide NAT σε αυτήν την περίπτωση μπορεί να χρησιμοποιηθεί σε διαφορετικές καταστάσεις. Μερικά παραδείγματα:
- Όταν αποκτάτε πρόσβαση σε έναν συγκεκριμένο πόρο από το τοπικό δίκτυο, θέλετε να χρησιμοποιήσετε διαφορετική διεύθυνση εκπομπής (διαφορετική από αυτή που χρησιμοποιείται για όλες τις άλλες περιπτώσεις).
- Υπάρχει ένας τεράστιος αριθμός υπολογιστών στο τοπικό δίκτυο. Η αυτόματη απόκρυψη NAT δεν θα λειτουργήσει εδώ, επειδή... Με αυτήν τη ρύθμιση, είναι δυνατό να ορίσετε μόνο μία δημόσια διεύθυνση IP, πίσω από την οποία θα «κρύβονται» οι υπολογιστές. Μπορεί απλώς να μην υπάρχουν αρκετές θύρες για μετάδοση. Υπάρχουν, όπως θυμάστε, κάτι περισσότερο από 65 χιλιάδες. Επιπλέον, κάθε υπολογιστής μπορεί να δημιουργήσει εκατοντάδες συνεδρίες. Το Manual Hide NAT σάς επιτρέπει να ορίσετε μια ομάδα δημόσιων διευθύνσεων IP στο πεδίο Translated Source. Αυξάνοντας έτσι τον αριθμό των πιθανών μεταφράσεων NAT.
2.Εγχειρίδιο Στατικό ΝΑΤ
Το στατικό NAT χρησιμοποιείται πολύ πιο συχνά κατά τη μη αυτόματη δημιουργία κανόνων μετάφρασης. Ένα κλασικό παράδειγμα είναι η προώθηση θυρών. Η περίπτωση που γίνεται πρόσβαση σε μια δημόσια διεύθυνση IP (η οποία μπορεί να ανήκει σε μια πύλη) από ένα εξωτερικό δίκτυο σε μια συγκεκριμένη θύρα και το αίτημα μεταφράζεται σε έναν εσωτερικό πόρο. Στις εργαστηριακές μας εργασίες, θα προωθήσουμε τη θύρα 80 στον διακομιστή DMZ.
Εκπαιδευτικό βίντεο
Μείνετε συντονισμένοι για περισσότερα και γίνετε μέλος μας ????
Πηγή: www.habr.com