Wëllkomm op Lektioun 8. D'Lektioun ass ganz wichteg, well ... Wann Dir fäerdeg sidd, kënnt Dir den Internetzougang fir Är Benotzer konfiguréieren! Ech muss zouginn, datt vill Leit op dësem Punkt ophalen opzestellen 🙂 Mee mir sinn net ee vun hinnen! A mir hunn nach vill interessant Saachen virun. An elo zum Thema vun eiser Lektioun.
Wéi Dir wahrscheinlech scho virgestallt hutt, wäerte mir haut iwwer NAT schwätzen. Ech si sécher datt jiddereen deen dës Lektioun kuckt weess wat NAT ass. Dofir wäerte mir net am Detail beschreiwen wéi et funktionnéiert. Ech widderhuelen just nach eng Kéier datt NAT eng Adressiwwersetzungstechnologie ass, déi erfonnt gouf fir "wäiss Geld" ze spueren, d.h. ëffentlech IPs (déi Adressen déi um Internet geréckelt ginn).
An der viregter Lektioun hutt Dir wahrscheinlech scho gemierkt datt NAT Deel vun der Access Control Politik ass. Dëst ass ganz logesch. Am SmartConsole ginn NAT Astellungen an enger separater Tab gesat. Mir wäerten haut definitiv do kucken. Am Allgemengen, wäerte mir an dëser Lektioun NAT-Typen diskutéieren, den Internetzougang konfiguréieren an dat klassescht Beispill vu Port Forwarding kucken. Déi. d'Funktionalitéit déi am meeschten an de Firmen benotzt gëtt. Loosst eis ufänken.
Zwee Weeër fir NAT ze konfiguréieren
Check Point ënnerstëtzt zwee Weeër fir NAT ze konfiguréieren: Automatesch NAT и Manuell NAT. Ausserdeem, fir all eenzel vun dëse Methoden ginn et zwou Aarte vun Iwwersetzung: NAT verstoppen и Statesch NAT. Am Allgemengen gesäit et aus wéi dëst Bild:
Ech verstinn datt héchstwahrscheinlech alles elo ganz komplizéiert ausgesäit, also loosst eis all Typ e bësse méi detailléiert kucken.
Automatesch NAT
Dëst ass de schnellsten an einfachste Wee. D'Konfiguratioun vun NAT gëtt an nëmmen zwee Klicks gemaach. Alles wat Dir maache musst ass d'Eegeschafte vum gewënschten Objet opzemaachen (sief et Gateway, Netzwierk, Host, asw.), gitt op d'NAT Tab a kontrolléiert de "Dobäizemaachen automatesch Adress Iwwersetzung Regelen" Hei gesitt Dir d'Feld - d'Iwwersetzungsmethod. Et ginn, wéi uewen ernimmt, zwee vun hinnen.
1. Aitomatic verstoppen NAT
Par défaut ass et Hide. Déi. an dësem Fall wäert eis Netzwierk hannert enger ëffentlecher IP Adress "verstoppen". An dësem Fall kann d'Adress vun der externer Interface vum Paart geholl ginn, oder Dir kënnt eng aner spezifizéieren. Dës Zort NAT gëtt dacks dynamesch oder genannt vill-zu-eent, well Verschidde intern Adresse ginn an eng extern iwwersat. Natierlech ass dëst méiglech andeems Dir verschidde Ports benotzt beim Sendung. Hide NAT funktionnéiert nëmmen an enger Richtung (vu bannen no baussen) an ass ideal fir lokal Netzwierker wann Dir just Zougang zum Internet ubitt. Wann de Traffic vun engem externen Netzwierk initiéiert gëtt, da funktionnéiert NAT natierlech net. Et stellt sech eraus als zousätzleche Schutz fir intern Netzwierker.
2. Automatesch statesch NAT
NAT verstoppen ass gutt fir jiddereen, awer vläicht musst Dir Zougang vun engem externen Netzwierk op e puer internen Server ubidden. Zum Beispill, op en DMZ Server, wéi an eisem Beispill. An dësem Fall kann Static NAT eis hëllefen. Et ass och ganz einfach ze installéieren. Et ass genuch fir d'Iwwersetzungsmethod op Statesch an den Objekteigenschaften z'änneren an déi ëffentlech IP Adress ze spezifizéieren déi fir NAT benotzt gëtt (kuckt d'Bild hei uewen). Déi. wann een aus dem externen Netz dës Adress zougräift (op all Hafen!), Da gëtt d'Ufro un e Server mat enger interner IP weidergeleet. Ausserdeem, wann de Server selwer online geet, ännert seng IP och op d'Adress déi mir uginn hunn. Déi. Dëst ass NAT a béid Richtungen. Et gëtt och genannt eent-zu-eent an heiansdo fir ëffentlech Serveren benotzt. Firwat "heiansdo"? Well et ee groussen Nodeel huet - déi ëffentlech IP Adress ass komplett besat (all Ports). Dir kënnt net eng ëffentlech Adress fir verschidden intern Serveren benotzen (mat verschiddene Häfen). Zum Beispill HTTP, FTP, SSH, SMTP, etc. Manuell NAT kann dëse Problem léisen.
Manuell NAT
D'Besonderheet vum Manuell NAT ass datt Dir selwer Iwwersetzungsregele maache musst. An der selwechter NAT Reiter an Access Control Policy. Zur selwechter Zäit erlaabt Manuell NAT Iech méi komplex Iwwersetzungsregelen ze kreéieren. Déi folgend Felder sinn fir Iech verfügbar: Original Source, Original Destination, Original Services, Translated Source, Translated Destination, Translated Services.
Et ginn och zwou Zorte vun NAT hei méiglech - Hide a Static.
1. Manuell Verstoppen NAT
Verstoppen NAT an dësem Fall kann a verschiddene Situatiounen benotzt ginn. E puer Beispiller:
- Wann Dir Zougang zu enger spezifescher Ressource vum lokalen Netzwierk gitt, wëllt Dir eng aner Sendungsadress benotzen (aner wéi déi, déi fir all aner Fäll benotzt gëtt).
- Et ginn eng grouss Zuel vu Computeren am lokalen Netzwierk. Automatesch Hide NAT funktionnéiert net hei, well ... Mat dësem Setup ass et méiglech nëmmen eng ëffentlech IP Adress ze setzen, hannert där Computeren "verstoppen". Et kënnen einfach net genuch Ports fir d'Sendung sinn. Et sinn, wéi Dir Iech erënnert, e bësse méi wéi 65 dausend. Ausserdeem kann all Computer Honnerte vu Sessiounen generéieren. Manuell Hide NAT erlaabt Iech e Pool vun ëffentlechen IP Adressen am Iwwersat Quellfeld ze setzen. Doduerch d'Zuel vu méiglechen NAT Iwwersetzungen erop.
2.Manuell statesch NAT
Statesch NAT gëtt vill méi dacks benotzt wann Dir manuell Iwwersetzungsregelen erstellt. E klassescht Beispill ass Port Forwarding. De Fall wann eng ëffentlech IP Adress (déi zu engem Paart gehéiere kann) vun engem externen Netz op engem spezifeschen Hafen zougänglech ass an d'Ufro op eng intern Ressource iwwersat gëtt. An eiser Laboraarbecht wäerte mir den Hafen 80 op den DMZ Server weiderginn.
Video Tutorial
Bleift weider fir méi a maach mat 🙂
Source: will.com