ยินดีต้อนรับสู่บทเรียนที่ 8 บทเรียนมีความสำคัญมากเพราะ... เมื่อเสร็จสิ้น คุณจะสามารถกำหนดค่าการเข้าถึงอินเทอร์เน็ตให้กับผู้ใช้ของคุณได้! ยอมรับว่าจุดนี้หลายๆ คนเลิกตั้ง 🙂 แต่เราไม่ใช่หนึ่งในนั้น! และเรายังมีสิ่งที่น่าสนใจอีกมากมายรออยู่ข้างหน้า และตอนนี้ถึงหัวข้อบทเรียนของเรา
อย่างที่คุณอาจเดาได้แล้ว วันนี้เราจะมาพูดถึง NAT ฉันมั่นใจว่าทุกคนที่ดูบทเรียนนี้จะรู้ว่า NAT คืออะไร ดังนั้นเราจะไม่อธิบายรายละเอียดวิธีการทำงาน ฉันจะขอย้ำอีกครั้งว่า NAT เป็นเทคโนโลยีการแปลที่อยู่ที่ถูกคิดค้นขึ้นเพื่อประหยัด "เงินสีขาว" เช่น IP สาธารณะ (ที่อยู่เหล่านั้นถูกกำหนดเส้นทางบนอินเทอร์เน็ต)
ในบทเรียนที่แล้ว คุณอาจสังเกตเห็นแล้วว่า NAT เป็นส่วนหนึ่งของนโยบายการควบคุมการเข้าถึง นี่ค่อนข้างสมเหตุสมผล ใน SmartConsole การตั้งค่า NAT จะถูกวางไว้ในแท็บแยกต่างหาก วันนี้เราจะดูที่นั่นแน่นอน โดยทั่วไป ในบทนี้ เราจะพูดถึงประเภท NAT กำหนดค่าการเข้าถึงอินเทอร์เน็ต และดูตัวอย่างคลาสสิกของการส่งต่อพอร์ต เหล่านั้น. ฟังก์ชันการทำงานที่ใช้บ่อยที่สุดในบริษัท มาเริ่มกันเลย.
สองวิธีในการกำหนดค่า NAT
Check Point รองรับสองวิธีในการกำหนดค่า NAT: NAT อัตโนมัติ и คู่มือ NAT. นอกจากนี้ สำหรับแต่ละวิธีเหล่านี้ ยังมีการแปลสองประเภท: ซ่อน NAT и NAT แบบคงที่. โดยทั่วไปจะมีลักษณะเช่นนี้:
ฉันเข้าใจว่าตอนนี้ทุกอย่างน่าจะดูซับซ้อนมาก ดังนั้นเรามาดูรายละเอียดแต่ละประเภทกันดีกว่า
NAT อัตโนมัติ
นี่เป็นวิธีที่เร็วและง่ายที่สุด การกำหนดค่า NAT ทำได้ด้วยการคลิกเพียงสองครั้ง สิ่งที่คุณต้องทำคือเปิดคุณสมบัติของออบเจ็กต์ที่ต้องการ (ไม่ว่าจะเป็นเกตเวย์ เครือข่าย โฮสต์ ฯลฯ) ไปที่แท็บ NAT แล้วทำเครื่องหมายที่ “เพิ่มกฎการแปลที่อยู่อัตโนมัติ" ที่นี่คุณจะเห็นฟิลด์ - วิธีการแปล ดังที่ได้กล่าวมาแล้วมีอยู่สองตัว
1. Aitomatic ซ่อน NAT
โดยค่าเริ่มต้นจะเป็นซ่อน เหล่านั้น. ในกรณีนี้ เครือข่ายของเราจะ "ซ่อน" ไว้เบื้องหลังที่อยู่ IP สาธารณะบางส่วน ในกรณีนี้ สามารถใช้ที่อยู่ได้จากอินเทอร์เฟซภายนอกของเกตเวย์ หรือคุณสามารถระบุที่อยู่อื่นก็ได้ NAT ประเภทนี้มักเรียกว่าไดนามิกหรือ หลายต่อหนึ่ง, เพราะ ที่อยู่ภายในหลายแห่งถูกแปลเป็นที่อยู่ภายนอกที่เดียว โดยปกติแล้วสิ่งนี้เป็นไปได้โดยใช้พอร์ตที่แตกต่างกันเมื่อออกอากาศ Hide NAT ทำงานในทิศทางเดียวเท่านั้น (จากภายในสู่ภายนอก) และเหมาะสำหรับเครือข่ายท้องถิ่นเมื่อคุณต้องการเพียงให้การเข้าถึงอินเทอร์เน็ต หากการรับส่งข้อมูลเริ่มต้นจากเครือข่ายภายนอก NAT จะไม่ทำงานตามธรรมชาติ กลายเป็นการป้องกันเพิ่มเติมสำหรับเครือข่ายภายใน
2. NAT แบบคงที่อัตโนมัติ
Hide NAT นั้นดีสำหรับทุกคน แต่บางทีคุณอาจต้องให้การเข้าถึงจากเครือข่ายภายนอกไปยังเซิร์ฟเวอร์ภายในบางตัว ตัวอย่างเช่น ไปยังเซิร์ฟเวอร์ DMZ ดังตัวอย่างของเรา ในกรณีนี้ Static NAT สามารถช่วยเราได้ นอกจากนี้ยังค่อนข้างง่ายในการตั้งค่า ก็เพียงพอที่จะเปลี่ยนวิธีการแปลเป็นคงที่ในคุณสมบัติของวัตถุและระบุที่อยู่ IP สาธารณะที่จะใช้สำหรับ NAT (ดูภาพด้านบน) เหล่านั้น. หากมีคนจากเครือข่ายภายนอกเข้าถึงที่อยู่นี้ (บนพอร์ตใดก็ได้!) คำขอจะถูกส่งต่อไปยังเซิร์ฟเวอร์ที่มี IP ภายใน ยิ่งไปกว่านั้น หากเซิร์ฟเวอร์ออนไลน์ IP ของเซิร์ฟเวอร์จะเปลี่ยนเป็นที่อยู่ที่เราระบุด้วย เหล่านั้น. นี่คือ NAT ในทั้งสองทิศทาง มันก็เรียกว่า หนึ่งต่อหนึ่ง และบางครั้งก็ใช้สำหรับเซิร์ฟเวอร์สาธารณะ ทำไม “บางครั้ง”? เนื่องจากมีข้อเสียเปรียบใหญ่ประการหนึ่ง - ที่อยู่ IP สาธารณะถูกครอบครองโดยสมบูรณ์ (พอร์ตทั้งหมด) คุณไม่สามารถใช้ที่อยู่สาธารณะเดียวสำหรับเซิร์ฟเวอร์ภายในที่แตกต่างกัน (ที่มีพอร์ตต่างกัน) ตัวอย่างเช่น HTTP, FTP, SSH, SMTP เป็นต้น NAT แบบแมนนวลสามารถแก้ไขปัญหานี้ได้
คู่มือ NAT
ลักษณะเฉพาะของ Manual NAT คือคุณต้องสร้างกฎการแปลด้วยตัวเอง ในแท็บ NAT เดียวกันในนโยบายการควบคุมการเข้าถึง ในเวลาเดียวกัน Manual NAT ช่วยให้คุณสร้างกฎการแปลที่ซับซ้อนมากขึ้นได้ ช่องต่อไปนี้พร้อมใช้งานสำหรับคุณ: แหล่งที่มาดั้งเดิม, ปลายทางดั้งเดิม, บริการดั้งเดิม, แหล่งที่มาที่แปล, ปลายทางที่แปล, บริการที่แปลแล้ว
นอกจากนี้ยังมี NAT สองประเภทที่เป็นไปได้ที่นี่ - ซ่อนและคงที่
1. ซ่อน NAT ด้วยตนเอง
ซ่อน NAT ในกรณีนี้สามารถใช้ได้ในสถานการณ์ต่างๆ ตัวอย่างบางส่วน:
- เมื่อเข้าถึงทรัพยากรเฉพาะจากเครือข่ายท้องถิ่น คุณต้องการใช้ที่อยู่การออกอากาศอื่น (แตกต่างจากที่ใช้ในกรณีอื่นทั้งหมด)
- มีคอมพิวเตอร์จำนวนมากบนเครือข่ายท้องถิ่น การซ่อน NAT อัตโนมัติจะไม่ทำงานที่นี่ เนื่องจาก... ด้วยการตั้งค่านี้ คุณสามารถตั้งค่าที่อยู่ IP สาธารณะเพียงที่อยู่เดียว ซึ่งคอมพิวเตอร์จะ "ซ่อน" ไว้ด้านหลัง อาจมีพอร์ตไม่เพียงพอสำหรับการออกอากาศ อย่างที่คุณจำได้มีมากกว่า 65 เล็กน้อย นอกจากนี้ คอมพิวเตอร์แต่ละเครื่องสามารถสร้างเซสชันได้หลายร้อยเซสชัน Manual Hide NAT ช่วยให้คุณสามารถตั้งค่ากลุ่มที่อยู่ IP สาธารณะในช่องแหล่งที่มาที่แปล จึงเพิ่มจำนวนการแปล NAT ที่เป็นไปได้
2.คู่มือ NAT แบบคงที่
NAT แบบคงที่จะใช้บ่อยกว่ามากเมื่อสร้างกฎการแปลด้วยตนเอง ตัวอย่างคลาสสิกคือการส่งต่อพอร์ต กรณีที่เข้าถึงที่อยู่ IP สาธารณะ (ซึ่งอาจเป็นของเกตเวย์) จากเครือข่ายภายนอกบนพอร์ตเฉพาะ และคำขอถูกแปลเป็นทรัพยากรภายใน ในงานห้องปฏิบัติการของเรา เราจะส่งต่อพอร์ต 80 ไปยังเซิร์ฟเวอร์ DMZ
วิดีโอสอน
คอยติดตามข้อมูลเพิ่มเติมและเข้าร่วมกับเรา 🙂
ที่มา: will.com