Merħba għal-lezzjoni 8. Il-lezzjoni hija importanti ħafna, għax... Mat-tlestija, tkun tista' tikkonfigura l-aċċess għall-Internet għall-utenti tiegħek! Ikolli nammetti li ħafna nies jieqfu jwaqqfu f'dan il-punt 🙂 Imma aħna m'aħniex wieħed minnhom! U għad għandna ħafna affarijiet interessanti quddiemna. U issa għas-suġġett tal-lezzjoni tagħna.
Kif probabilment diġà qtajt, illum se nitkellmu dwar NAT. Jiena ċert li kull min jara din il-lezzjoni jaf x'inhu NAT. Għalhekk, mhux se niddeskrivu fid-dettall kif taħdem. Ser nirrepeti għal darb'oħra li NAT hija teknoloġija ta 'traduzzjoni ta' indirizzi li ġiet ivvintata biex tiffranka "flus bojod", i.e. IPs pubbliċi (dawk l-indirizzi li huma mgħoddija fuq l-Internet).
Fil-lezzjoni preċedenti, inti probabilment diġà ndunat li NAT huwa parti mill-politika ta 'Kontroll ta' Aċċess. Dan huwa pjuttost loġiku. Fi SmartConsole, is-settings NAT jitqiegħdu f'tab separata. Żgur li nħarsu hemm illum. B'mod ġenerali, f'din il-lezzjoni ser niddiskutu tipi NAT, nikkonfiguraw l-aċċess għall-Internet u nħarsu lejn l-eżempju klassiku ta 'port forwarding. Dawk. il-funzjonalità li tintuża l-aktar fil-kumpaniji. Ejja nibdew.
Żewġ modi kif tikkonfigura NAT
Check Point jappoġġja żewġ modi biex jiġi kkonfigurat NAT: NAT awtomatiku и Manwal NAT. Barra minn hekk, għal kull wieħed minn dawn il-metodi hemm żewġ tipi ta 'traduzzjoni: Aħbi NAT и NAT statiku. B'mod ġenerali jidher bħal din l-istampa:
Nifhem li x'aktarx kollox jidher ikkumplikat ħafna issa, allura ejja nħarsu lejn kull tip fi ftit aktar dettall.
NAT awtomatiku
Dan huwa l-aktar mod mgħaġġel u faċli. Il-konfigurazzjoni tan-NAT issir f'żewġ klikks biss. Kull ma trid tagħmel hu li tiftaħ il-proprjetajiet tal-oġġett mixtieq (kemm jekk tkun gateway, netwerk, ospitanti, eċċ.), mur fit-tab NAT u ċċekkja l-"Żid regoli tat-traduzzjoni awtomatika tal-indirizz" Hawnhekk se tara l-qasam - il-metodu tat-traduzzjoni. Hemm, kif imsemmi hawn fuq, tnejn minnhom.
1. Aitomatic Hide NAT
B'mod awtomatiku huwa Aħbi. Dawk. f'dan il-każ, in-netwerk tagħna se "jinħeba" wara xi indirizz IP pubbliku. F'dan il-każ, l-indirizz jista 'jittieħed mill-interface esterna tal-portal, jew tista' tispeċifika xi waħda oħra. Dan it-tip ta 'NAT spiss jissejjaħ dinamiku jew ħafna għal wieħed, għax Diversi indirizzi interni huma tradotti f'wieħed estern. Naturalment, dan huwa possibbli billi jintużaw portijiet differenti meta xandir. Aħbi NAT jaħdem biss f'direzzjoni waħda (minn ġewwa għal barra) u huwa ideali għal netwerks lokali meta għandek bżonn biss li tipprovdi aċċess għall-Internet. Jekk it-traffiku jinbeda minn netwerk estern, allura NAT naturalment ma jaħdimx. Jirriżulta li hija protezzjoni addizzjonali għan-netwerks interni.
2. NAT Statiku Awtomatiku
Hide NAT hija tajba għal kulħadd, imma forsi għandek bżonn tipprovdi aċċess minn netwerk estern għal xi server intern. Per eżempju, għal server DMZ, bħal fl-eżempju tagħna. F'dan il-każ, Static NAT jista 'jgħinna. Huwa wkoll pjuttost faċli li titwaqqaf. Huwa biżżejjed li tbiddel il-metodu tat-traduzzjoni għal Static fil-proprjetajiet tal-oġġett u tispeċifika l-indirizz IP pubbliku li se jintuża għan-NAT (ara l-istampa hawn fuq). Dawk. jekk xi ħadd min-netwerk estern jaċċessa dan l-indirizz (fuq kwalunkwe port!), it-talba tintbagħat lil server b'IP intern. Barra minn hekk, jekk is-server innifsu jmur online, l-IP tiegħu jinbidel ukoll għall-indirizz li speċifikajna. Dawk. Dan huwa NAT fiż-żewġ direzzjonijiet. Huwa msejjaħ ukoll wieħed għal wieħed u xi kultant jintuża għal servers pubbliċi. Għaliex “xi kultant”? Minħabba li għandu żvantaġġ kbir wieħed - l-indirizz IP pubbliku huwa kompletament okkupat (il-portijiet kollha). Ma tistax tuża indirizz pubbliku wieħed għal servers interni differenti (b'portijiet differenti). Per eżempju HTTP, FTP, SSH, SMTP, eċċ. NAT manwali jista 'jsolvi din il-problema.
Manwal NAT
Il-partikolarità tal-Manwal NAT hija li għandek bżonn toħloq regoli tat-traduzzjoni lilek innifsek. Fl-istess tab NAT fil-Politika ta 'Kontroll ta' Aċċess. Fl-istess ħin, Manwal NAT jippermettilek toħloq regoli ta 'traduzzjoni aktar kumplessi. L-oqsma li ġejjin huma disponibbli għalik: Sors Oriġinali, Destinazzjoni Oriġinali, Servizzi Oriġinali, Sors Tradott, Destinazzjoni Tradotta, Servizzi Tradotti.
Hemm ukoll żewġ tipi ta 'NAT possibbli hawn - Hide u Static.
1. Manwal Aħbi NAT
Aħbi NAT f'dan il-każ jista 'jintuża f'sitwazzjonijiet differenti. Koppja ta' eżempji:
- Meta taċċessa riżors speċifiku min-netwerk lokali, trid tuża indirizz tax-xandir differenti (differenti minn dak użat għall-każijiet l-oħra kollha).
- Hemm numru kbir ta 'kompjuters fuq in-netwerk lokali. Awtomatiku Hide NAT mhux se jaħdem hawn, għaliex... B'din is-setup, huwa possibbli li jiġi stabbilit indirizz IP pubbliku wieħed biss, li warajh il-kompjuters "jinħbew". Jista' jkun li sempliċement ma jkunx hemm biżżejjed portijiet għax-xandir. Hemm, kif tiftakar, ftit aktar minn 65 elf. Barra minn hekk, kull kompjuter jista 'jiġġenera mijiet ta' sessjonijiet. Manwal Aħbi NAT jippermettilek li tissettja ġabra ta 'indirizzi IP pubbliċi fil-qasam Sors Tradott. B'hekk jiżdied in-numru ta' traduzzjonijiet NAT possibbli.
2.Manual Static NAT
NAT statiku jintuża ħafna aktar spiss meta jinħolqu manwalment regoli tat-traduzzjoni. Eżempju klassiku huwa port forwarding. Il-każ meta indirizz IP pubbliku (li jista' jappartjeni għal gateway) jiġi aċċessat minn netwerk estern fuq port speċifiku u t-talba tiġi tradotta għal riżors intern. Fix-xogħol tal-laboratorju tagħna, aħna se ngħaddu l-port 80 lis-server DMZ.
Lezzjoni bil-vidjo
Oqgħod attent għal aktar u ingħaqad tagħna 🙂
Sors: www.habr.com