Willkommen zur 8. Lektion. Die Lektion ist sehr wichtig, weil Nach Abschluss können Sie den Zugriff auf das Internet bereits für Ihre Benutzer konfigurieren! Ich muss zugeben, dass viele dieses Setup beenden :) Aber wir sind keiner von ihnen! Und wir haben noch viele interessante Dinge vor uns. Und nun zum Thema unserer Lektion.
Wie Sie wahrscheinlich bereits vermutet haben, werden wir heute über NAT sprechen. Ich bin sicher, dass jeder, der diese Lektion sieht, weiß, was NAT ist. Daher werden wir nicht im Detail beschreiben, wie dies funktioniert. Ich wiederhole nur noch einmal, dass NAT eine Adressübersetzungstechnologie ist, die mit dem Ziel erfunden wurde, "Weiße" zu retten, d.h. public ip-schnikov (die Adressen, die im Internet weitergeleitet werden).
In der vorherigen Lektion haben Sie wahrscheinlich bereits bemerkt, dass NAT Teil der Zugriffssteuerungsrichtlinie ist. Das ist ziemlich logisch. In SmartConsole werden die NAT-Einstellungen auf einer separaten Registerkarte abgelegt. Wir werden heute definitiv dorthin gehen. Im Allgemeinen werden in dieser Lektion die NAT-Typen erläutert, die Internetverbindung konfiguriert und das klassische Beispiel für die Portweiterleitung betrachtet. Das heißt, die Funktionalität, die in Unternehmen am häufigsten verwendet wird. Fangen wir an.
Zwei Möglichkeiten zum Konfigurieren von NAT
Check Point unterstützt zwei Möglichkeiten zum Konfigurieren von NAT:
Automatisches NAT und
manuelles NAT . Gleichzeitig gibt es für jede dieser Methoden zwei Arten der Übersetzung:
Hide NAT und
Static NAT . Im Allgemeinen sieht es auf diesem Bild so aus:
Ich verstehe, dass jetzt höchstwahrscheinlich alles sehr kompliziert aussieht. Schauen wir uns also jeden Typ etwas genauer an.
Automatisches NAT
Dies ist der schnellste und einfachste Weg. NAT wird mit nur zwei Klicks konfiguriert. Sie müssen lediglich die Eigenschaften des gewünschten Objekts öffnen (Gateway, Netzwerk, Host usw.), die Registerkarte NAT aufrufen und das Kontrollkästchen "
Regeln für die automatische Adressübersetzung hinzufügen " aktivieren. Hier sehen Sie nur das Feld - die Übersetzungsmethode. Es gibt zwei davon, wie oben erwähnt.
1. Aitomatic Hide NAT
Standardmäßig ist dies Ausblenden. Das heißt, In diesem Fall „versteckt“ sich unser Netzwerk hinter einer öffentlichen IP-Adresse. In diesem Fall kann die Adresse von der externen Schnittstelle des Gateways übernommen werden, oder Sie können eine andere angeben. Diese Art von NAT wird oft als dynamisch oder als
Eins-zu-Eins bezeichnet , weil Mehrere interne Adressen werden in eine externe übersetzt. Dies ist natürlich durch die Verwendung unterschiedlicher Ports während der Übersetzung möglich. Hide NAT funktioniert nur in eine Richtung (von innen nach außen) und ist ideal für lokale Netzwerke, wenn Sie nur einen Internetzugang bereitstellen müssen. Wenn der Datenverkehr von einem externen Netzwerk initiiert wird, funktioniert NAT natürlich nicht. Es stellt sich sozusagen ein zusätzlicher Schutz der internen Netzwerke heraus.
2. Automatisches statisches NAT
NAT ausblenden ist für alle gut, aber möglicherweise müssen Sie den Zugriff von einem externen Netzwerk auf einen internen Server bereitstellen. Zum Beispiel zu einem DMZ-Server, wie in unserem Beispiel. In diesem Fall kann uns Static NAT helfen. Es ist auch ganz einfach konfiguriert. In den Eigenschaften des Objekts reicht es aus, die Übersetzungsmethode in Statisch zu ändern und die öffentliche IP-Adresse anzugeben, die für NAT verwendet wird (siehe Abbildung oben). Das heißt, Wenn jemand aus dem externen Netzwerk diese Adresse kontaktiert (an einem beliebigen Port!), wird die Anfrage mit einem internen IP-Shnik an den Server übertragen. Wenn der Server selbst mit dem Internet verbunden wird, ändert sich gleichzeitig auch seine IP-Adresse in die von uns angegebene Adresse. Das heißt, es ist NAT in beide Richtungen. Es wird auch als
Eins-zu-Eins bezeichnet und manchmal für öffentliche Server verwendet. Warum "manchmal"? Weil es einen großen Nachteil hat - die öffentliche IP-Adresse ist voll belegt (alle Ports). Sie können nicht eine öffentliche Adresse für verschiedene interne Server (mit verschiedenen Ports) verwenden. Zum Beispiel HTTP, FTP, SSH, SMTP usw. Manuelles NAT kann dieses Problem lösen.
Handbuch NAT
Eine Funktion von Manual NAT ist, dass Sie selbst Übersetzungsregeln erstellen müssen. Auf derselben NAT-Registerkarte in der Zugriffssteuerungsrichtlinie. Gleichzeitig können Sie mit Manual NAT komplexere Übersetzungsregeln erstellen. Die folgenden Felder stehen Ihnen zur Verfügung: Originalquelle, Originalziel, Originaldienste, Übersetzte Quelle, Übersetztes Ziel, Übersetzte Dienste.
Hier sind auch zwei Arten von NAT möglich - Verstecken und Statisch.
1. NAT manuell ausblenden
Hide NAT kann in diesem Fall in verschiedenen Situationen verwendet werden. Einige Beispiele:
- Wenn Sie über das lokale Netzwerk auf eine bestimmte Ressource zugreifen, möchten Sie eine andere Adresse für die Übersetzung verwenden (anders als in allen anderen Fällen).
- Im lokalen Netzwerk eine große Anzahl von Computern. Das automatische Ausblenden von NAT funktioniert hier nicht, weil Mit dieser Einstellung ist es möglich, nur eine öffentliche IP-Adresse festzulegen, hinter der sich Computer „verstecken“. Ports für die Übertragung reichen möglicherweise einfach nicht aus. Wie Sie sich erinnern, gibt es etwas mehr als 65.000 von ihnen. Darüber hinaus kann jeder Computer Hunderte von Sitzungen generieren. Mit Manual Hide NAT können Sie den Pool öffentlicher IP-Adressen im Feld Translated Source festlegen. Dies erhöht die Anzahl möglicher NAT-Übersetzungen.
2. Manuelles statisches NAT
Statisches NAT wird viel häufiger verwendet, wenn Übersetzungsregeln manuell erstellt werden. Ein klassisches Beispiel ist die Portweiterleitung. Der Fall, wenn auf ein externes Netzwerk über eine öffentliche IP-Adresse (die möglicherweise zum Gateway gehört) über einen bestimmten Port zugegriffen wird und die Anforderung an eine interne Ressource übertragen wird. In unserer Laborarbeit werden wir Port 80 an den DMZ-Server weiterleiten.
Videolektion
Bleib dran für mehr und trete unserem
YouTube-Kanal bei :)