歡迎來到第 8 課。 這個教訓非常重要,因為... 完成後,您將能夠為您的用戶配置網路存取! 我必須承認,很多人在這一點上停止了設置 🙂 但我們不是其中之一! 我們還有很多有趣的事情要做。 現在進入我們課程的主題。
您可能已經猜到了,今天我們將討論 NAT。 相信看過這堂課的人都知道什麼是NAT。 因此,我們不會詳細描述它是如何運作的。 我再次重申,NAT 是一種地址轉換技術,其發明目的是為了節省“白錢”,即: 公用 IP(在 Internet 上路由的位址)。
在上一課中,您可能已經注意到 NAT 是存取控制策略的一部分。 這是非常符合邏輯的。 在 SmartConsole 中,NAT 設定位於單獨的標籤中。 我們今天一定會去那裡看看。 一般來說,在本課中我們將討論 NAT 類型、配置 Internet 存取並查看連接埠轉送的經典範例。 那些。 公司中最常使用的功能。 讓我們開始吧。
NAT配置的兩種方式
Check Point 支援兩種配置 NAT 的方法: 自動NAT и 手動NAT。 此外,對於每種方法都有兩種類型的翻譯: 隱藏網路位址轉換 и 靜態 NAT。 一般來說,它看起來像這張圖:
我知道現在很可能一切看起來都非常複雜,所以讓我們更詳細地了解每種類型。
自動NAT
這是最快、最簡單的方法。 只需點擊兩次即可完成 NAT 配置。 您所需要做的就是開啟所需物件的屬性(網關、網路、主機等),前往 NAT 標籤並選取“新增自動地址轉換規則」 在這裡您將看到該欄位 - 翻譯方法。 如同上面提到的,其中有兩個。
1.自動隱藏NAT
預設是隱藏。 那些。 在這種情況下,我們的網路將「隱藏」在某個公共 IP 位址後面。 在這種情況下,可以從網關的外部介面取得位址,也可以指定其他位址。 這種類型的 NAT 通常稱為動態或 多對一, 因為多個內部位址被轉換為一個外部位址。 當然,這可以透過在廣播時使用不同的連接埠來實現。 隱藏 NAT 僅在一個方向(從內到外)起作用,當您只需要提供對 Internet 的存取時,它是本機網路的理想選擇。 如果流量是從外部網路發起的,那麼NAT自然就不行了。 事實證明這是對內部網路的額外保護。
2. 自動靜態NAT
隱藏 NAT 對每個人都有好處,但也許您需要提供從外部網路到某些內部伺服器的存取。 例如,連接到 DMZ 伺服器,如我們的範例所示。 在這種情況下,靜態NAT可以幫助我們。 設定起來也很容易。 在物件屬性中將轉換方法變更為靜態並指定將用於 NAT 的公用 IP 位址就足夠了(請參閱上圖)。 那些。 如果來自外部網路的某人存取此位址(在任何連接埠!),則請求將轉送至具有內部 IP 的伺服器。 而且,如果伺服器本身上線,它的IP也會變成我們指定的位址。 那些。 這是雙向 NAT。 它也被稱為 1對一 有時用於公共伺服器。 為什麼是「有時」? 因為它有一個很大的缺點-公網IP位址被完全佔用(所有連接埠)。 您不能將同一個公共位址用於不同的內部伺服器(具有不同的連接埠)。 例如 HTTP、FTP、SSH、SMTP 等。 手動NAT可以解決這個問題。
手動NAT
手動 NAT 的特點是您需要自行建立轉換規則。 在存取控制策略的相同 NAT 標籤中。 同時,手動 NAT 可讓您建立更複雜的轉換規則。 您可以使用以下欄位:原始來源、原始目的地、原始服務、翻譯來源、翻譯目的地、翻譯服務。
這裡還有兩種可能的 NAT 類型 - 隱藏和靜態。
1.手動隱藏NAT
這種情況下隱藏NAT可以在不同的情況下使用。 舉幾個例子:
- 從本地網路存取特定資源時,您希望使用不同的廣播位址(與所有其他情況下使用的位址不同)。
- 本機網路上有大量電腦。 自動隱藏 NAT 在這裡不起作用,因為... 透過此設置,可以僅設置一個公共 IP 位址,電腦將「隱藏」在該位址後面。 可能根本沒有足夠的連接埠用於廣播。 正如您所記得的,數量略多於 65 人。 而且,每台電腦可以產生數百個會話。 手動隱藏 NAT 允許您在翻譯來源欄位中設定公共 IP 位址池。 從而增加可能的 NAT 轉換的數量。
2.手動靜態NAT
手動建立轉換規則時更常使用靜態 NAT。 一個典型的例子是連接埠轉送。 當從外部網路的特定連接埠存取公用 IP 位址(可能屬於網關)並且請求被轉換為內部資源時的情況。 在我們的實驗室工作中,我們會將連接埠 80 轉送到 DMZ 伺服器。
視頻課程
敬請關注更多並加入我們 🙂
來源: www.habr.com