欢迎来到第 8 课。 这个教训非常重要,因为... 完成后,您将能够为您的用户配置互联网访问! 我必须承认,很多人在这一点上停止了设置 🙂 但我们不是其中之一! 我们还有很多有趣的事情要做。 现在进入我们课程的主题。
您可能已经猜到了,今天我们将讨论 NAT。 相信看过这节课的人都知道什么是NAT。 因此,我们不会详细描述它是如何工作的。 我再次重申,NAT 是一种地址转换技术,其发明目的是为了节省“白钱”,即: 公共 IP(在 Internet 上路由的地址)。
在上一课中,您可能已经注意到 NAT 是访问控制策略的一部分。 这是非常符合逻辑的。 在 SmartConsole 中,NAT 设置位于单独的选项卡中。 我们今天肯定会去那里看看。 一般来说,在本课中我们将讨论 NAT 类型、配置 Internet 访问并查看端口转发的经典示例。 那些。 公司中最常使用的功能。 让我们开始吧。
NAT配置的两种方式
Check Point 支持两种配置 NAT 的方法: 自动NAT и 手动NAT。 此外,对于每种方法都有两种类型的翻译: 隐藏网络地址转换 и 静态NAT。 一般来说,它看起来像这张图:
我知道现在很可能一切看起来都非常复杂,所以让我们更详细地了解每种类型。
自动NAT
这是最快、最简单的方法。 只需单击两次即可完成 NAT 配置。 您所需要做的就是打开所需对象的属性(网关、网络、主机等),转到 NAT 选项卡并选中“添加自动地址转换规则” 在这里您将看到该字段 - 翻译方法。 正如上面提到的,其中有两个。
1.自动隐藏NAT
默认情况下是隐藏。 那些。 在这种情况下,我们的网络将“隐藏”在某个公共 IP 地址后面。 在这种情况下,可以从网关的外部接口获取地址,也可以指定其他地址。 这种类型的 NAT 通常称为动态或 多对一, 因为多个内部地址被转换为一个外部地址。 当然,这可以通过在广播时使用不同的端口来实现。 隐藏 NAT 仅在一个方向(从内到外)起作用,当您只需要提供对 Internet 的访问时,它是本地网络的理想选择。 如果流量是从外部网络发起的,那么NAT自然就不行了。 事实证明这是对内部网络的额外保护。
2. 自动静态NAT
隐藏 NAT 对每个人都有好处,但也许您需要提供从外部网络到某些内部服务器的访问。 例如,连接到 DMZ 服务器,如我们的示例所示。 在这种情况下,静态NAT可以帮助我们。 设置起来也很容易。 在对象属性中将转换方法更改为静态并指定将用于 NAT 的公共 IP 地址就足够了(参见上图)。 那些。 如果来自外部网络的某人访问此地址(在任何端口!),则请求将被转发到具有内部 IP 的服务器。 而且,如果服务器本身上线,它的IP也会变成我们指定的地址。 那些。 这是双向 NAT。 它也被称为 一对一 有时用于公共服务器。 为什么是“有时”? 因为它有一个很大的缺点——公网IP地址被完全占用(所有端口)。 您不能将同一个公共地址用于不同的内部服务器(具有不同的端口)。 例如 HTTP、FTP、SSH、SMTP 等。 手动NAT可以解决这个问题。
手动NAT
手动 NAT 的特点是您需要自己创建转换规则。 在访问控制策略的同一 NAT 选项卡中。 同时,手动 NAT 允许您创建更复杂的转换规则。 您可以使用以下字段:原始来源、原始目的地、原始服务、翻译来源、翻译目的地、翻译服务。
这里还有两种可能的 NAT 类型 - 隐藏和静态。
1.手动隐藏NAT
这种情况下隐藏NAT可以在不同的情况下使用。 举几个例子:
- 从本地网络访问特定资源时,您希望使用不同的广播地址(与所有其他情况下使用的地址不同)。
- 本地网络上有大量计算机。 自动隐藏 NAT 在这里不起作用,因为... 通过此设置,可以仅设置一个公共 IP 地址,计算机将“隐藏”在该地址后面。 可能根本没有足够的端口用于广播。 正如您所记得的,数量略多于 65 人。 而且,每台计算机可以生成数百个会话。 手动隐藏 NAT 允许您在翻译源字段中设置公共 IP 地址池。 从而增加可能的 NAT 转换的数量。
2.手动静态NAT
手动创建转换规则时更常使用静态 NAT。 一个典型的例子是端口转发。 当从外部网络的特定端口访问公共 IP 地址(可能属于网关)并且请求被转换为内部资源时的情况。 在我们的实验室工作中,我们会将端口 80 转发到 DMZ 服务器。
影片教学
敬请关注更多并加入我们 🙂
来源: habr.com