レッスン 8 へようこそ。 レッスンはとても重要です、なぜなら... 完了すると、ユーザーのインターネット アクセスを構成できるようになります。 この時点でセットアップをやめてしまう人が多いことは認めざるを得ません 🙂 しかし、私たちはその一人ではありません。 そして、これからもたくさんの興味深いことが待っています。 さて、レッスンの本題です。
すでにご想像のとおり、今日は NAT について説明します。 このレッスンを視聴している人は全員、NAT が何であるかを知っていると思います。 したがって、それがどのように機能するかについては詳しく説明しません。 もう一度繰り返しますが、NAT は「ホワイトマネー」を節約するために発明されたアドレス変換テクノロジーです。 パブリック IP (インターネット上でルーティングされるアドレス)。
前のレッスンで、NAT がアクセス コントロール ポリシーの一部であることにすでに気づいたでしょう。 これは非常に論理的です。 SmartConsole では、NAT 設定は別のタブに配置されます。 今日は必ずそこに行きます。 一般に、このレッスンでは、NAT タイプについて説明し、インターネット アクセスを構成し、ポート転送の古典的な例を見ていきます。 それらの。 企業で最も頻繁に使用される機能。 始めましょう。
NAT を構成する XNUMX つの方法
Check Point は、NAT を構成する XNUMX つの方法をサポートしています。 自動NAT и 手動NAT。 さらに、これらの各方法には XNUMX 種類の翻訳があります。 NATを隠す и 静的NAT。 一般的には次の図のようになります。
おそらくすべてが非常に複雑に見えることは理解しているので、各タイプをもう少し詳しく見てみましょう。
自動NAT
これが最も早くて簡単な方法です。 NAT の設定はわずか XNUMX 回のクリックで完了します。 必要なのは、目的のオブジェクト (ゲートウェイ、ネットワーク、ホストなど) のプロパティを開き、[NAT] タブに移動して、「自動アドレス変換ルールを追加する」 ここにフィールド、つまり翻訳方法が表示されます。 上で述べたように、そのうちの XNUMX つがあります。
1.Aitomatic 非表示 NAT
デフォルトでは「非表示」になっています。 それらの。 この場合、ネットワークはパブリック IP アドレスの背後に「隠れ」ます。 この場合、アドレスはゲートウェイの外部インターフェイスから取得することも、他のアドレスを指定することもできます。 このタイプの NAT は、多くの場合、動的または動的と呼ばれます。 多対XNUMX、 なぜなら複数の内部アドレスが XNUMX つの外部アドレスに変換されます。 当然、ブロードキャスト時に異なるポートを使用することでこれが可能になります。 Hide NAT は一方向 (内部から外部) にのみ機能するため、インターネットへのアクセスを提供する必要があるだけのローカル ネットワークに最適です。 トラフィックが外部ネットワークから開始される場合、NAT は当然機能しません。 これは内部ネットワークをさらに保護するものであることがわかりました。
2. 自動静的 NAT
Hide NAT は誰にとっても有効ですが、場合によっては、外部ネットワークから内部サーバーへのアクセスを提供する必要があるかもしれません。 たとえば、この例のように DMZ サーバーに送信します。 この場合、静的 NAT が役に立ちます。 セットアップも非常に簡単です。 オブジェクトのプロパティで変換方法を静的に変更し、NAT に使用されるパブリック IP アドレスを指定するだけで十分です (上の図を参照)。 それらの。 外部ネットワークの誰かが (任意のポートで) このアドレスにアクセスすると、リクエストは内部 IP を持つサーバーに転送されます。 さらに、サーバー自体がオンラインになると、その IP も指定したアドレスに変更されます。 それらの。 これは双方向の NAT です。 とも呼ばれます 1対1の パブリックサーバーに使用されることもあります。 なぜ「時々」なのでしょうか? それは、パブリック IP アドレスが完全に占有されてしまう (すべてのポート) という大きな欠点が XNUMX つあるためです。 XNUMX つのパブリック アドレスを異なる内部サーバー (異なるポート) に使用することはできません。 たとえば、HTTP、FTP、SSH、SMTP などです。 手動 NAT を使用すると、この問題を解決できます。
手動NAT
手動 NAT の特徴は、変換ルールを自分で作成する必要があることです。 アクセス コントロール ポリシーの同じ [NAT] タブ内。 同時に、手動 NAT を使用すると、より複雑な変換ルールを作成できます。 次のフィールドが使用可能です: 元のソース、元の宛先、元のサービス、翻訳されたソース、翻訳された宛先、翻訳されたサービス。
ここでは、非表示と静的という XNUMX 種類の NAT も使用できます。
1. 手動非表示 NAT
この場合の Hide NAT は、さまざまな状況で使用できます。 いくつかの例:
- ローカル ネットワークから特定のリソースにアクセスする場合、別のブロードキャスト アドレス (他のすべての場合に使用されるものとは異なる) を使用したいとします。
- ローカル ネットワーク上には膨大な数のコンピュータがあります。 ここでは、自動非表示 NAT は機能しません。 この設定では、パブリック IP アドレスを 65 つだけ設定でき、その背後にコンピュータが「隠れ」ます。 ブロードキャストに十分なポートがない可能性があります。 ご記憶のとおり、その数は XNUMX を少し超えています。 さらに、各コンピュータは数百のセッションを生成できます。 手動非表示 NAT を使用すると、[変換済みソース] フィールドにパブリック IP アドレスのプールを設定できます。 これにより、可能な NAT 変換の数が増加します。
2.手動静的NAT
静的 NAT は、変換ルールを手動で作成する場合によく使用されます。 典型的な例はポート転送です。 パブリック IP アドレス (ゲートウェイに属する場合がある) が外部ネットワークから特定のポートでアクセスされ、リクエストが内部リソースに変換される場合。 私たちの実験室での作業では、ポート 80 を DMZ サーバーに転送します。
ビデオレッスン
ぜひご参加ください。 🙂
出所: habr.com