ยินดีต้อนรับสู่บทเรียนที่ 8 บทเรียนมีความสำคัญมากเพราะ... เมื่อเสร็จสิ้น คุณจะสามารถกำหนดค่าการเข้าถึงอินเทอร์เน็ตให้กับผู้ใช้ของคุณได้! ยอมรับว่าจุดนี้หลายๆ คนเลิกตั้ง 🙂 แต่เราไม่ใช่หนึ่งในนั้น! และเรายังมีสิ่งที่น่าสนใจอีกมากมายรออยู่ข้างหน้า และตอนนี้ถึงหัวข้อบทเรียนของเรา
อย่างที่คุณอาจเดาได้แล้ว วันนี้เราจะมาพูดถึง NAT ฉันมั่นใจว่าทุกคนที่ดูบทเรียนนี้จะรู้ว่า NAT คืออะไร ดังนั้นเราจะไม่อธิบายรายละเอียดวิธีการทำงาน ฉันจะขอย้ำอีกครั้งว่า NAT เป็นเทคโนโลยีการแปลที่อยู่ที่ถูกคิดค้นขึ้นเพื่อประหยัด "เงินสีขาว" เช่น IP สาธารณะ (ที่อยู่เหล่านั้นถูกกำหนดเส้นทางบนอินเทอร์เน็ต)
ในบทเรียนที่แล้ว คุณอาจสังเกตเห็นแล้วว่า NAT เป็นส่วนหนึ่งของนโยบายการควบคุมการเข้าถึง นี่ค่อนข้างสมเหตุสมผล ใน SmartConsole การตั้งค่า NAT จะถูกวางไว้ในแท็บแยกต่างหาก วันนี้เราจะดูที่นั่นแน่นอน โดยทั่วไป ในบทนี้ เราจะพูดถึงประเภท NAT กำหนดค่าการเข้าถึงอินเทอร์เน็ต และดูตัวอย่างคลาสสิกของการส่งต่อพอร์ต เหล่านั้น. ฟังก์ชันการทำงานที่ใช้บ่อยที่สุดในบริษัท มาเริ่มกันเลย.
สองวิธีในการกำหนดค่า NAT
Check Point รองรับสองวิธีในการกำหนดค่า NAT: NAT อัตโนมัติ и คู่มือ NAT. นอกจากนี้ สำหรับแต่ละวิธีเหล่านี้ ยังมีการแปลสองประเภท: ซ่อน NAT и NAT แบบคงที่. โดยทั่วไปจะมีลักษณะเช่นนี้:
ฉันเข้าใจว่าตอนนี้ทุกอย่างน่าจะดูซับซ้อนมาก ดังนั้นเรามาดูรายละเอียดแต่ละประเภทกันดีกว่า
NAT อัตโนมัติ
นี่เป็นวิธีที่เร็วและง่ายที่สุด การกำหนดค่า NAT ทำได้ด้วยการคลิกเพียงสองครั้ง สิ่งที่คุณต้องทำคือเปิดคุณสมบัติของออบเจ็กต์ที่ต้องการ (ไม่ว่าจะเป็นเกตเวย์ เครือข่าย โฮสต์ ฯลฯ) ไปที่แท็บ NAT แล้วทำเครื่องหมายที่ “เพิ่มกฎการแปลที่อยู่อัตโนมัติ" ที่นี่คุณจะเห็นฟิลด์ - วิธีการแปล ดังที่ได้กล่าวมาแล้วมีอยู่สองตัว
1. Aitomatic ซ่อน NAT
โดยค่าเริ่มต้นจะเป็นซ่อน เหล่านั้น. ในกรณีนี้ เครือข่ายของเราจะ "ซ่อน" ไว้เบื้องหลังที่อยู่ IP สาธารณะบางส่วน ในกรณีนี้ สามารถใช้ที่อยู่ได้จากอินเทอร์เฟซภายนอกของเกตเวย์ หรือคุณสามารถระบุที่อยู่อื่นก็ได้ NAT ประเภทนี้มักเรียกว่าไดนามิกหรือ หลายต่อหนึ่ง, เพราะ ที่อยู่ภายในหลายแห่งถูกแปลเป็นที่อยู่ภายนอกที่เดียว โดยปกติแล้วสิ่งนี้เป็นไปได้โดยใช้พอร์ตที่แตกต่างกันเมื่อออกอากาศ Hide NAT ทำงานในทิศทางเดียวเท่านั้น (จากภายในสู่ภายนอก) และเหมาะสำหรับเครือข่ายท้องถิ่นเมื่อคุณต้องการเพียงให้การเข้าถึงอินเทอร์เน็ต หากการรับส่งข้อมูลเริ่มต้นจากเครือข่ายภายนอก NAT จะไม่ทำงานตามธรรมชาติ กลายเป็นการป้องกันเพิ่มเติมสำหรับเครือข่ายภายใน
2. NAT แบบคงที่อัตโนมัติ
Hide NAT นั้นดีสำหรับทุกคน แต่บางทีคุณอาจต้องให้การเข้าถึงจากเครือข่ายภายนอกไปยังเซิร์ฟเวอร์ภายในบางตัว ตัวอย่างเช่น ไปยังเซิร์ฟเวอร์ DMZ ดังตัวอย่างของเรา ในกรณีนี้ Static NAT สามารถช่วยเราได้ นอกจากนี้ยังค่อนข้างง่ายในการตั้งค่า ก็เพียงพอที่จะเปลี่ยนวิธีการแปลเป็นคงที่ในคุณสมบัติของวัตถุและระบุที่อยู่ IP สาธารณะที่จะใช้สำหรับ NAT (ดูภาพด้านบน) เหล่านั้น. หากมีคนจากเครือข่ายภายนอกเข้าถึงที่อยู่นี้ (บนพอร์ตใดก็ได้!) คำขอจะถูกส่งต่อไปยังเซิร์ฟเวอร์ที่มี IP ภายใน ยิ่งไปกว่านั้น หากเซิร์ฟเวอร์ออนไลน์ IP ของเซิร์ฟเวอร์จะเปลี่ยนเป็นที่อยู่ที่เราระบุด้วย เหล่านั้น. นี่คือ NAT ในทั้งสองทิศทาง มันก็เรียกว่า หนึ่งต่อหนึ่ง และบางครั้งก็ใช้สำหรับเซิร์ฟเวอร์สาธารณะ ทำไม “บางครั้ง”? เนื่องจากมีข้อเสียเปรียบใหญ่ประการหนึ่ง - ที่อยู่ IP สาธารณะถูกครอบครองโดยสมบูรณ์ (พอร์ตทั้งหมด) คุณไม่สามารถใช้ที่อยู่สาธารณะเดียวสำหรับเซิร์ฟเวอร์ภายในที่แตกต่างกัน (ที่มีพอร์ตต่างกัน) ตัวอย่างเช่น HTTP, FTP, SSH, SMTP เป็นต้น NAT แบบแมนนวลสามารถแก้ไขปัญหานี้ได้
คู่มือ NAT
ลักษณะเฉพาะของ Manual NAT คือคุณต้องสร้างกฎการแปลด้วยตัวเอง ในแท็บ NAT เดียวกันในนโยบายการควบคุมการเข้าถึง ในเวลาเดียวกัน Manual NAT ช่วยให้คุณสร้างกฎการแปลที่ซับซ้อนมากขึ้นได้ ช่องต่อไปนี้พร้อมใช้งานสำหรับคุณ: แหล่งที่มาดั้งเดิม, ปลายทางดั้งเดิม, บริการดั้งเดิม, แหล่งที่มาที่แปล, ปลายทางที่แปล, บริการที่แปลแล้ว
นอกจากนี้ยังมี NAT สองประเภทที่เป็นไปได้ที่นี่ - ซ่อนและคงที่
1. ซ่อน NAT ด้วยตนเอง
ซ่อน NAT ในกรณีนี้สามารถใช้ได้ในสถานการณ์ต่างๆ ตัวอย่างบางส่วน:
- เมื่อเข้าถึงทรัพยากรเฉพาะจากเครือข่ายท้องถิ่น คุณต้องการใช้ที่อยู่การออกอากาศอื่น (แตกต่างจากที่ใช้ในกรณีอื่นทั้งหมด)
- มีคอมพิวเตอร์จำนวนมากในเครือข่ายท้องถิ่น การตั้งค่า NAT แบบซ่อนอัตโนมัติจึงไม่เหมาะสม เนื่องจากระบบนี้อนุญาตให้มีที่อยู่ IP สาธารณะเพียงหนึ่งเดียวเท่านั้น ซึ่งคอมพิวเตอร์จะ "ซ่อน" อยู่เบื้องหลังที่อยู่ดังกล่าว จำนวนพอร์ตสำหรับการแปลงข้อมูลจึงไม่เพียงพอ อย่างที่คุณอาจจำได้ มีพอร์ตอยู่มากกว่า 65 พอร์ต ยิ่งไปกว่านั้น คอมพิวเตอร์แต่ละเครื่องสามารถสร้างเซสชันได้หลายร้อยเซสชัน การตั้งค่า NAT แบบซ่อนด้วยตนเองช่วยให้คุณสามารถระบุกลุ่มพอร์ตสาธารณะในช่องแหล่งที่มาที่แปลแล้วได้ ที่อยู่ IPส่งผลให้จำนวนการแปล NAT ที่เป็นไปได้เพิ่มขึ้น
2.คู่มือ NAT แบบคงที่
NAT แบบคงที่จะใช้บ่อยกว่ามากเมื่อสร้างกฎการแปลด้วยตนเอง ตัวอย่างคลาสสิกคือการส่งต่อพอร์ต กรณีที่เข้าถึงที่อยู่ IP สาธารณะ (ซึ่งอาจเป็นของเกตเวย์) จากเครือข่ายภายนอกบนพอร์ตเฉพาะ และคำขอถูกแปลเป็นทรัพยากรภายใน ในงานห้องปฏิบัติการของเรา เราจะส่งต่อพอร์ต 80 ไปยังเซิร์ฟเวอร์ DMZ
วิดีโอสอน
คอยติดตามข้อมูลเพิ่มเติมและเข้าร่วมกับเรา 🙂
ที่มา: will.com
