Välkommen till lektion 8. Lektionen är mycket viktig, eftersom... När du är klar kommer du att kunna konfigurera Internetåtkomst för dina användare! Jag måste erkänna att många slutar ställa upp vid det här laget 🙂 Men vi är inte en av dem! Och vi har fortfarande många intressanta saker framför oss. Och nu till ämnet för vår lektion.
Som du säkert redan gissat kommer vi idag att prata om NAT. Jag är säker på att alla som tittar på den här lektionen vet vad NAT är. Därför kommer vi inte att beskriva i detalj hur det fungerar. Jag ska bara upprepa en gång till att NAT är en adressöversättningsteknik som uppfanns för att spara "vita pengar", dvs. offentliga IP-adresser (de adresser som dirigeras på Internet).
I föregående lektion har du förmodligen redan märkt att NAT är en del av åtkomstkontrollpolicyn. Detta är ganska logiskt. I SmartConsole placeras NAT-inställningarna på en separat flik. Vi ska definitivt titta dit idag. I allmänhet kommer vi i den här lektionen att diskutera NAT-typer, konfigurera internetåtkomst och titta på det klassiska exemplet på portvidarebefordran. De där. den funktionalitet som oftast används i företag. Låt oss börja.
Två sätt att konfigurera NAT
Check Point stöder två sätt att konfigurera NAT: Automatisk NAT и Manuell NAT. Dessutom finns det två typer av översättning för var och en av dessa metoder: Dölj NAT и Statisk NAT. Generellt ser det ut som denna bild:
Jag förstår att med största sannolikhet ser allt väldigt komplicerat ut nu, så låt oss titta på varje typ lite mer detaljerat.
Automatisk NAT
Detta är det snabbaste och enklaste sättet. Konfigurering av NAT görs med bara två klick. Allt du behöver göra är att öppna egenskaperna för det önskade objektet (vare sig det är gateway, nätverk, värd, etc.), gå till NAT-fliken och kontrollera "Lägg till regler för automatisk adressöversättning" Här ser du fältet - översättningsmetoden. Det finns, som nämnts ovan, två av dem.
1. Aitomatic Hide NAT
Som standard är det Hide. De där. i det här fallet kommer vårt nätverk att "gömma sig" bakom någon offentlig IP-adress. I det här fallet kan adressen tas från gatewayens externa gränssnitt, eller så kan du ange någon annan. Denna typ av NAT kallas ofta dynamisk eller många-till-en, därför att Flera interna adresser översätts till en extern. Naturligtvis är detta möjligt genom att använda olika portar vid sändning. Hide NAT fungerar bara i en riktning (från insidan till utsidan) och är idealisk för lokala nätverk när du bara behöver ge tillgång till Internet. Om trafik initieras från ett externt nätverk kommer NAT naturligtvis inte att fungera. Det visar sig vara ytterligare skydd för interna nätverk.
2. Automatisk statisk NAT
Hide NAT är bra för alla, men du kanske behöver ge åtkomst från ett externt nätverk till någon intern server. Till exempel till en DMZ-server, som i vårt exempel. I det här fallet kan Static NAT hjälpa oss. Det är också ganska lätt att sätta upp. Det räcker med att ändra översättningsmetoden till Static i objektegenskaperna och ange den publika IP-adress som ska användas för NAT (se bilden ovan). De där. om någon från det externa nätverket kommer åt denna adress (på valfri port!), kommer begäran att vidarebefordras till en server med en intern IP. Dessutom, om servern själv går online, kommer dess IP också att ändras till den adress vi angav. De där. Detta är NAT åt båda hållen. Det kallas också en-till-en och ibland används för offentliga servrar. Varför "ibland"? Eftersom det har en stor nackdel - den offentliga IP-adressen är helt upptagen (alla portar). Du kan inte använda en offentlig adress för olika interna servrar (med olika portar). Till exempel HTTP, FTP, SSH, SMTP, etc. Manuell NAT kan lösa detta problem.
Manuell NAT
Det speciella med Manual NAT är att du måste skapa översättningsregler själv. På samma NAT-flik i Access Control Policy. Samtidigt låter Manual NAT dig skapa mer komplexa översättningsregler. Följande fält är tillgängliga för dig: Ursprunglig källa, Ursprunglig destination, Originaltjänster, Översatt källa, Översatt destination, Översatta tjänster.
Det finns också två typer av NAT möjliga här - Hide och Static.
1. Manuell Dölj NAT
Dölj NAT i detta fall kan användas i olika situationer. Ett par exempel:
- När du får åtkomst till en specifik resurs från det lokala nätverket vill du använda en annan sändningsadress (annan från den som används i alla andra fall).
- Det finns ett stort antal datorer i det lokala nätverket. Automatic Hide NAT kommer inte att fungera här, eftersom... Med denna inställning är det möjligt att endast ställa in en offentlig IP-adress, bakom vilken datorer kommer att "gömma sig". Det kanske helt enkelt inte finns tillräckligt med portar för sändning. Det finns, som ni minns, lite mer än 65 tusen. Dessutom kan varje dator generera hundratals sessioner. Manual Hide NAT låter dig ställa in en pool av offentliga IP-adresser i fältet Översatt källa. Därmed ökar antalet möjliga NAT-översättningar.
2.Manuell statisk NAT
Statisk NAT används mycket oftare när man manuellt skapar översättningsregler. Ett klassiskt exempel är port forwarding. Fallet när en offentlig IP-adress (som kan tillhöra en gateway) nås från ett externt nätverk på en specifik port och begäran översätts till en intern resurs. I vårt laboratoriearbete kommer vi att vidarebefordra port 80 till DMZ-servern.
Video handledning
Håll utkik för mer och gå med oss 🙂
Källa: will.com