Chào mừng đến với bài học 8. Bài học rất quan trọng vì... Sau khi hoàn thành, bạn sẽ có thể định cấu hình quyền truy cập Internet cho người dùng của mình! Tôi phải thừa nhận rằng nhiều người đã ngừng thiết lập vào thời điểm này 🙂 Nhưng chúng tôi không phải là một trong số họ! Và chúng ta vẫn còn rất nhiều điều thú vị ở phía trước. Và bây giờ đến chủ đề của bài học của chúng tôi.
Như bạn có thể đã đoán, hôm nay chúng ta sẽ nói về NAT. Tôi chắc chắn rằng tất cả những ai xem bài học này đều biết NAT là gì. Vì vậy, chúng tôi sẽ không mô tả chi tiết cách thức hoạt động của nó. Tôi chỉ nhắc lại một lần nữa rằng NAT là công nghệ dịch địa chỉ được phát minh để tiết kiệm “tiền trắng”, tức là. IP công cộng (những địa chỉ được định tuyến trên Internet).
Trong bài học trước, có thể bạn đã nhận thấy NAT là một phần của chính sách Access Control. Điều này khá logic. Trong SmartConsole, cài đặt NAT được đặt trong một tab riêng. Chúng tôi chắc chắn sẽ xem xét ở đó ngày hôm nay. Nói chung, trong bài học này chúng ta sẽ thảo luận về các loại NAT, cấu hình truy cập Internet và xem xét ví dụ cổ điển về chuyển tiếp cổng. Những thứ kia. chức năng thường được sử dụng nhất trong các công ty. Bắt đầu nào.
Hai cách để cấu hình NAT
Check Point hỗ trợ hai cách để cấu hình NAT: NAT tự động и NAT thủ công. Hơn nữa, đối với mỗi phương pháp này, có hai loại dịch thuật: Ẩn NAT и NAT tĩnh. Nói chung nó trông giống như hình ảnh này:
Tôi hiểu rằng rất có thể mọi thứ bây giờ trông rất phức tạp, vì vậy hãy xem xét từng loại chi tiết hơn một chút.
NAT tự động
Đây là cách nhanh nhất và dễ dàng nhất. Việc định cấu hình NAT được thực hiện chỉ bằng hai cú nhấp chuột. Tất cả những gì bạn cần làm là mở các thuộc tính của đối tượng mong muốn (có thể là cổng, mạng, máy chủ, v.v.), chuyển đến tab NAT và kiểm tra “Thêm quy tắc dịch địa chỉ tự động" Ở đây bạn sẽ thấy trường - phương pháp dịch. Có, như đã đề cập ở trên, hai trong số đó.
1. Aitomatic Ẩn NAT
Mặc định là Ẩn. Những thứ kia. trong trường hợp này, mạng của chúng tôi sẽ “ẩn” đằng sau một số địa chỉ IP công cộng. Trong trường hợp này, địa chỉ có thể được lấy từ giao diện bên ngoài của cổng hoặc bạn có thể chỉ định một số địa chỉ khác. Loại NAT này thường được gọi là động hoặc nhiều-một, bởi vì Một số địa chỉ nội bộ được dịch sang một địa chỉ bên ngoài. Đương nhiên, điều này có thể thực hiện được bằng cách sử dụng các cổng khác nhau khi phát sóng. Hide NAT chỉ hoạt động theo một hướng (từ trong ra ngoài) và lý tưởng cho các mạng cục bộ khi bạn chỉ cần cung cấp quyền truy cập Internet. Nếu lưu lượng truy cập được bắt đầu từ mạng bên ngoài thì NAT đương nhiên sẽ không hoạt động. Nó hóa ra là sự bảo vệ bổ sung cho mạng nội bộ.
2. NAT tĩnh tự động
Ẩn NAT tốt cho tất cả mọi người, nhưng có lẽ bạn cần cung cấp quyền truy cập từ mạng bên ngoài đến một số máy chủ nội bộ. Ví dụ: đến máy chủ DMZ, như trong ví dụ của chúng tôi. Trong trường hợp này, NAT tĩnh có thể giúp chúng tôi. Nó cũng khá dễ dàng để thiết lập. Chỉ cần thay đổi phương thức dịch thành Tĩnh trong thuộc tính đối tượng và chỉ định địa chỉ IP công cộng sẽ được sử dụng cho NAT là đủ (xem hình trên). Những thứ kia. nếu ai đó từ mạng bên ngoài truy cập địa chỉ này (trên bất kỳ cổng nào!), thì yêu cầu sẽ được chuyển tiếp đến máy chủ có IP nội bộ. Hơn nữa, nếu máy chủ trực tuyến, IP của nó cũng sẽ thay đổi thành địa chỉ mà chúng tôi đã chỉ định. Những thứ kia. Đây là NAT theo cả hai hướng. Nó cũng được gọi là one-to-one và đôi khi được sử dụng cho các máy chủ công cộng. Tại sao “thỉnh thoảng”? Bởi vì nó có một nhược điểm lớn - địa chỉ IP công cộng đã bị chiếm dụng hoàn toàn (tất cả các cổng). Bạn không thể sử dụng một địa chỉ công cộng cho các máy chủ nội bộ khác nhau (với các cổng khác nhau). Ví dụ: HTTP, FTP, SSH, SMTP, v.v. NAT thủ công có thể giải quyết được vấn đề này.
NAT thủ công
Điểm đặc biệt của NAT thủ công là bạn cần tự mình tạo quy tắc dịch. Trong cùng tab NAT trong Chính sách kiểm soát truy cập. Đồng thời, NAT thủ công cho phép bạn tạo các quy tắc dịch thuật phức tạp hơn. Các trường sau đây có sẵn cho bạn: Nguồn gốc, Đích gốc, Dịch vụ gốc, Nguồn được dịch, Đích được dịch, Dịch vụ được dịch.
Ngoài ra còn có hai loại NAT có thể có ở đây - Ẩn và Tĩnh.
1. Ẩn thủ công NAT
Ẩn NAT trong trường hợp này có thể được sử dụng trong các tình huống khác nhau. Một vài ví dụ:
- Khi truy cập một tài nguyên cụ thể từ mạng cục bộ, bạn muốn sử dụng một địa chỉ quảng bá khác (khác với địa chỉ được sử dụng cho tất cả các trường hợp khác).
- Có một số lượng lớn máy tính trên mạng cục bộ. Tự động ẩn NAT sẽ không hoạt động ở đây, bởi vì... Với thiết lập này, chỉ có thể đặt một địa chỉ IP công cộng mà máy tính sẽ “ẩn”. Có thể đơn giản là không có đủ cổng để phát sóng. Như bạn nhớ, có hơn 65 nghìn một chút. Hơn nữa, mỗi máy tính có thể tạo ra hàng trăm phiên. Ẩn NAT thủ công cho phép bạn đặt nhóm địa chỉ IP công cộng trong trường Nguồn được dịch. Qua đó làm tăng số lượng bản dịch NAT có thể.
2. NAT tĩnh thủ công
NAT tĩnh được sử dụng thường xuyên hơn khi tạo quy tắc dịch theo cách thủ công. Một ví dụ cổ điển là chuyển tiếp cổng. Trường hợp khi một địa chỉ IP công cộng (có thể thuộc về một cổng) được truy cập từ mạng bên ngoài trên một cổng cụ thể và yêu cầu được chuyển sang tài nguyên nội bộ. Trong công việc trong phòng thí nghiệm của chúng tôi, chúng tôi sẽ chuyển tiếp cổng 80 đến máy chủ DMZ.
Video hướng dẫn
Hãy theo dõi để biết thêm và tham gia với chúng tôi ????
Nguồn: www.habr.com