Velkommen til leksjon 8. Leksjonen er veldig viktig, fordi... Når du er ferdig, vil du kunne konfigurere Internett-tilgang for brukerne dine! Jeg må innrømme at mange slutter å stille opp på dette tidspunktet 🙂 Men vi er ikke en av dem! Og vi har fortsatt mye interessant foran oss. Og nå til temaet for leksjonen vår.
Som du sikkert allerede har gjettet, vil vi i dag snakke om NAT. Jeg er sikker på at alle som ser på denne leksjonen vet hva NAT er. Derfor vil vi ikke beskrive i detalj hvordan det fungerer. Jeg vil bare gjenta igjen at NAT er en adresseoversettelsesteknologi som ble oppfunnet for å spare «hvite penger», dvs. offentlige IP-er (de adressene som rutes på Internett).
I forrige leksjon la du sannsynligvis allerede merke til at NAT er en del av tilgangskontrollpolicyen. Dette er ganske logisk. I SmartConsole er NAT-innstillinger plassert i en egen fane. Vi skal definitivt se dit i dag. Generelt vil vi i denne leksjonen diskutere NAT-typer, konfigurere Internett-tilgang og se på det klassiske eksemplet på portvideresending. De. funksjonaliteten som oftest brukes i bedrifter. La oss komme i gang.
To måter å konfigurere NAT på
Check Point støtter to måter å konfigurere NAT på: Automatisk NAT и Manuell NAT. For hver av disse metodene er det dessuten to typer oversettelse: Skjul NAT и Statisk NAT. Generelt ser det ut som dette bildet:
Jeg forstår at mest sannsynlig ser alt veldig komplisert ut nå, så la oss se litt mer detaljert på hver type.
Automatisk NAT
Dette er den raskeste og enkleste måten. Konfigurering av NAT gjøres med bare to klikk. Alt du trenger å gjøre er å åpne egenskapene til ønsket objekt (det være seg gateway, nettverk, vert, etc.), gå til NAT-fanen og sjekk "Legg til regler for automatisk adresseoversettelse" Her vil du se feltet - oversettelsesmetoden. Det er, som nevnt ovenfor, to av dem.
1. Aitomatic Hide NAT
Som standard er det Hide. De. i dette tilfellet vil nettverket vårt "gjemme seg" bak en offentlig IP-adresse. I dette tilfellet kan adressen hentes fra det eksterne grensesnittet til gatewayen, eller du kan spesifisere en annen. Denne typen NAT kalles ofte dynamisk eller mange-til-en, fordi Flere interne adresser oversettes til én ekstern. Naturligvis er dette mulig ved å bruke forskjellige porter ved kringkasting. Hide NAT fungerer kun i én retning (fra innsiden til utsiden) og er ideell for lokale nettverk når du bare trenger å gi tilgang til Internett. Hvis trafikk initieres fra et eksternt nettverk, vil NAT naturligvis ikke fungere. Det viser seg å være ekstra beskyttelse for interne nettverk.
2. Automatisk statisk NAT
Hide NAT er bra for alle, men kanskje du må gi tilgang fra et eksternt nettverk til en intern server. For eksempel til en DMZ-server, som i vårt eksempel. I dette tilfellet kan Static NAT hjelpe oss. Det er også ganske enkelt å sette opp. Det er nok å endre oversettelsesmetoden til Static i objektegenskapene og spesifisere den offentlige IP-adressen som skal brukes for NAT (se bildet over). De. hvis noen fra det eksterne nettverket får tilgang til denne adressen (på hvilken som helst port!), vil forespørselen bli videresendt til en server med en intern IP. Dessuten, hvis selve serveren går online, vil IP-en også endres til adressen vi spesifiserte. De. Dette er NAT i begge retninger. Det kalles også en-til-en og noen ganger brukt for offentlige servere. Hvorfor "noen ganger"? Fordi den har en stor ulempe - den offentlige IP-adressen er helt okkupert (alle porter). Du kan ikke bruke én offentlig adresse for forskjellige interne servere (med forskjellige porter). For eksempel HTTP, FTP, SSH, SMTP, etc. Manuell NAT kan løse dette problemet.
Manuell NAT
Det særegne med Manual NAT er at du må lage oversettelsesregler selv. I samme NAT-fane i tilgangskontrollpolicy. Samtidig lar Manual NAT deg lage mer komplekse oversettelsesregler. Følgende felt er tilgjengelige for deg: Opprinnelig kilde, Opprinnelig destinasjon, Opprinnelige tjenester, Oversatt kilde, Oversatt destinasjon, Oversatte tjenester.
Det er også to typer NAT mulig her - Hide og Static.
1. Manuell Skjul NAT
Skjul NAT i dette tilfellet kan brukes i forskjellige situasjoner. Et par eksempler:
- Når du får tilgang til en spesifikk ressurs fra det lokale nettverket, vil du bruke en annen kringkastingsadresse (forskjellig fra den som brukes i alle andre tilfeller).
- Det er et stort antall datamaskiner på det lokale nettverket. Automatisk skjul NAT vil ikke fungere her, fordi... Med dette oppsettet er det mulig å angi kun én offentlig IP-adresse, bak hvilken datamaskiner vil "gjemme seg". Det kan rett og slett ikke være nok porter for kringkasting. Det er, som du husker, litt mer enn 65 tusen. Dessuten kan hver datamaskin generere hundrevis av økter. Manual Hide NAT lar deg angi en pool av offentlige IP-adresser i feltet Oversatt kilde. Dermed øker antallet mulige NAT-oversettelser.
2.Manuell statisk NAT
Statisk NAT brukes mye oftere når man oppretter oversettelsesregler manuelt. Et klassisk eksempel er port forwarding. Tilfellet når en offentlig IP-adresse (som kan tilhøre en gateway) får tilgang fra et eksternt nettverk på en bestemt port og forespørselen oversettes til en intern ressurs. I vårt laboratoriearbeid vil vi videresende port 80 til DMZ-serveren.
Videoopplæring
Følg med for mer og bli med oss ????
Kilde: www.habr.com