Tervetuloa oppitunnille 8. Oppitunti on erittäin tärkeä, koska... Kun olet valmis, voit määrittää Internet-yhteyden käyttäjillesi! Täytyy myöntää, että monet lopettavat asettumisen tässä vaiheessa 🙂 Mutta me emme ole yksi heistä! Ja meillä on vielä paljon mielenkiintoista edessä. Ja nyt oppitunnimme aiheeseen.
Kuten luultavasti jo arvasit, puhumme tänään NATista. Olen varma, että jokainen tämän oppitunnin katsova tietää, mikä NAT on. Siksi emme kuvaile yksityiskohtaisesti, kuinka se toimii. Toistan vielä kerran, että NAT on osoitteenkäännöstekniikka, joka keksittiin säästämään "valkoista rahaa", ts. julkiset IP-osoitteet (osoitteet, jotka reititetään Internetissä).
Edellisellä oppitunnilla luultavasti jo huomasit, että NAT on osa pääsynvalvontakäytäntöä. Tämä on varsin loogista. SmartConsolessa NAT-asetukset sijoitetaan erilliseen välilehteen. Ehdottomasti katsomme sinne tänään. Yleisesti ottaen tällä oppitunnilla keskustelemme NAT-tyypeistä, määritämme Internet-yhteyden ja katsomme klassista esimerkkiä portin edelleenohjauksesta. Nuo. toiminnot, joita yrityksissä eniten käytetään. Aloitetaan.
Kaksi tapaa määrittää NAT
Check Point tukee kahta tapaa määrittää NAT: Automaattinen NAT и Manuaalinen NAT. Lisäksi jokaiselle näistä menetelmistä on kaksi käännöstyyppiä: Piilota NAT и Staattinen NAT. Yleisesti ottaen se näyttää tältä:
Ymmärrän, että todennäköisesti kaikki näyttää nyt hyvin monimutkaiselta, joten tarkastellaan kutakin tyyppiä hieman yksityiskohtaisemmin.
Automaattinen NAT
Tämä on nopein ja helpoin tapa. NAT-asetukset tehdään vain kahdella napsautuksella. Sinun tarvitsee vain avata halutun objektin ominaisuudet (olipa se yhdyskäytävä, verkko, isäntä jne.), siirtyä NAT-välilehteen ja tarkistaa "Lisää automaattiset osoitteenkäännössäännöt" Täällä näet kentän - käännösmenetelmän. Kuten edellä mainittiin, niitä on kaksi.
1. Aitomatic Piilota NAT
Oletuksena se on Piilota. Nuo. tässä tapauksessa verkkomme "piiloutuu" jonkin julkisen IP-osoitteen taakse. Tässä tapauksessa osoite voidaan ottaa yhdyskäytävän ulkoisesta rajapinnasta tai voit määrittää jonkin muun. Tämän tyyppistä NAT:ta kutsutaan usein dynaamiseksi tai monta yhteen, koska Useat sisäiset osoitteet käännetään yhdeksi ulkoiseksi. Luonnollisesti tämä on mahdollista käyttämällä eri portteja lähetyksessä. Piilota NAT toimii vain yhteen suuntaan (sisältä ulos) ja on ihanteellinen paikallisiin verkkoihin, kun tarvitset vain pääsyn Internetiin. Jos liikenne aloitetaan ulkoisesta verkosta, NAT ei luonnollisesti toimi. Se osoittautuu lisäsuojaksi sisäisille verkoille.
2. Automaattinen staattinen NAT
Piilota NAT on hyvä kaikille, mutta ehkä sinun täytyy tarjota pääsy ulkoisesta verkosta johonkin sisäiseen palvelimeen. Esimerkiksi DMZ-palvelimelle, kuten esimerkissämme. Tässä tapauksessa Static NAT voi auttaa meitä. Se on myös melko helppo asentaa. Riittää, kun vaihdat kohteen ominaisuuksissa käännösmenetelmäksi Static ja määrität julkisen IP-osoitteen, jota NAT:lle käytetään (katso yllä oleva kuva). Nuo. jos joku ulkoisesta verkosta käyttää tätä osoitetta (millä tahansa portilla!), pyyntö välitetään palvelimelle, jolla on sisäinen IP. Lisäksi, jos palvelin itse siirtyy verkkoon, myös sen IP vaihtuu määrittämäämme osoitteeseen. Nuo. Tämä on NAT molempiin suuntiin. Sitä kutsutaan myös kahdenkeskinen ja joskus käytetään julkisilla palvelimilla. Miksi "joskus"? Koska sillä on yksi suuri haittapuoli - julkinen IP-osoite on täysin varattu (kaikki portit). Et voi käyttää yhtä julkista osoitetta eri sisäisille palvelimille (eri porteilla). Esimerkiksi HTTP, FTP, SSH, SMTP jne. Manuaalinen NAT voi ratkaista tämän ongelman.
Manuaalinen NAT
Manuaalisen NAT:n erikoisuus on, että sinun on luotava käännössäännöt itse. Samassa NAT-välilehdessä Access Control Policyssa. Samaan aikaan Manual NAT mahdollistaa monimutkaisempien käännössääntöjen luomisen. Seuraavat kentät ovat käytettävissäsi: Alkuperäinen lähde, Alkuperäinen kohde, Alkuperäiset palvelut, Käännetty lähde, Käännetty kohde, Käännetyt palvelut.
Tässä on myös kaksi mahdollista NAT-tyyppiä - Piilota ja Staattinen.
1. Manuaalinen Piilota NAT
Piilota NAT tässä tapauksessa voidaan käyttää eri tilanteissa. Pari esimerkkiä:
- Kun käytät tiettyä resurssia paikallisverkosta, haluat käyttää eri lähetysosoitetta (eri kuin kaikissa muissa tapauksissa).
- Paikallisessa verkossa on valtava määrä tietokoneita. Automaattinen Piilota NAT ei toimi täällä, koska... Tällä asetuksella on mahdollista asettaa vain yksi julkinen IP-osoite, jonka taakse tietokoneet "piiloutuvat". Portteja ei ehkä yksinkertaisesti ole tarpeeksi lähetystä varten. Kuten muistat, niitä on hieman yli 65 tuhatta. Lisäksi jokainen tietokone voi luoda satoja istuntoja. Manuaalinen Piilota NAT mahdollistaa julkisten IP-osoitteiden määrittämisen Käännetty lähde -kenttään. Tämä lisää mahdollisten NAT-käännösten määrää.
2. Manuaalinen staattinen NAT
Staattista NAT:ia käytetään paljon useammin, kun käännössääntöjä luodaan manuaalisesti. Klassinen esimerkki on porttivälitys. Tapaus, jossa julkiseen IP-osoitteeseen (joka voi kuulua yhdyskäytävälle) päästään ulkoisesta verkosta tietyssä portissa ja pyyntö käännetään sisäiseen resurssiin. Laboratoriotyössämme välitämme portin 80 DMZ-palvelimelle.
Video-oppitunti
Pysy kuulolla saadaksesi lisää ja liity meihin 🙂
Lähde: will.com