Selamat datang di pelajaran ke-8. Pelajarannya sangat penting, karena setelah selesai, Anda sudah dapat mengonfigurasi akses ke Internet untuk pengguna Anda! Saya harus mengakui bahwa banyak yang mengakhiri pengaturan ini :) Tapi kami bukan salah satu dari mereka! Dan kami masih memiliki banyak hal menarik yang akan datang. Dan sekarang untuk topik pelajaran kita.
Seperti yang mungkin sudah Anda tebak, kita akan berbicara tentang NAT hari ini. Saya yakin semua orang yang menyaksikan pelajaran ini tahu apa itu NAT. Karena itu, kami tidak akan menjelaskan secara rinci bagaimana ini bekerja. Saya hanya mengulangi sekali lagi bahwa NAT adalah teknologi terjemahan alamat yang diciptakan dengan tujuan menyelamatkan "kulit putih", yaitu. public ip-schnikov (alamat-alamat yang dirutekan di Internet).
Dalam pelajaran sebelumnya, Anda mungkin sudah memperhatikan bahwa NAT adalah bagian dari kebijakan Kontrol Akses. Ini cukup logis. Di SmartConsole, pengaturan NAT ditempatkan di tab terpisah. Kami pasti akan pergi ke sana hari ini. Secara umum, dalam pelajaran ini kita akan membahas jenis-jenis NAT, mengkonfigurasi koneksi Internet dan mempertimbangkan contoh klasik penerusan port. Yaitu fungsi yang paling sering digunakan di perusahaan. Mari kita mulai.
Dua cara untuk mengkonfigurasi NAT
Check Point mendukung dua cara untuk mengkonfigurasi NAT:
NAT Otomatis dan
NAT Manual . Pada saat yang sama, untuk masing-masing metode ini ada dua jenis terjemahan:
Sembunyikan NAT dan
NAT Statis . Secara umum, sepertinya dalam gambar ini:
Saya mengerti bahwa kemungkinan besar sekarang semuanya terlihat sangat rumit, jadi mari kita lihat setiap jenis dengan sedikit lebih detail.
NAT otomatis
Ini adalah cara tercepat dan termudah. NAT dikonfigurasi hanya dalam dua klik. Yang perlu Anda lakukan adalah membuka properti dari objek yang diinginkan (baik itu gateway, jaringan, host, dll.), Buka tab NAT dan centang kotak centang "
Tambahkan aturan terjemahan alamat otomatis ". Di sini Anda hanya melihat bidang - metode terjemahan. Ada dua di antaranya, seperti yang disebutkan di atas.
1. Sembunyikan NAT Otomatis
Secara default, ini Hide. Yaitu dalam hal ini, jaringan kami akan "bersembunyi" di balik beberapa alamat ip publik. Dalam hal ini, alamat dapat diambil dari antarmuka eksternal gateway, atau Anda dapat menentukan yang lain. Jenis NAT ini sering disebut dinamis atau
banyak-ke-satu , karena beberapa alamat internal diterjemahkan ke dalam satu eksternal. Secara alami, ini dimungkinkan melalui penggunaan port yang berbeda selama penerjemahan. Hide NAT hanya berfungsi dalam satu arah (dari dalam ke luar) dan sangat ideal untuk jaringan lokal ketika Anda hanya perlu menyediakan akses Internet. Jika lalu lintas akan dimulai dari jaringan eksternal, maka NAT secara alami tidak akan berfungsi. Ternyata, seolah-olah, perlindungan tambahan dari jaringan internal.
2. NAT Statis Otomatis
Sembunyikan NAT bagus untuk semua orang, tetapi mungkin Anda perlu menyediakan akses dari jaringan eksternal ke beberapa server internal. Misalnya, ke server DMZ, seperti dalam contoh kami. Dalam hal ini, NAT Statis dapat membantu kami. Ini juga dikonfigurasi dengan cukup sederhana. Cukup mengubah metode terjemahan ke Statis di properti objek dan menentukan alamat IP publik yang akan digunakan untuk NAT (lihat gambar di atas). Yaitu jika seseorang dari jaringan eksternal menghubungi alamat ini (pada port apa saja!), permintaan akan ditransfer ke server dengan ip-shnik internal. Pada saat yang sama, jika server itu sendiri akan terhubung ke Internet, maka ip-shnik-nya juga akan berubah ke alamat yang ditunjukkan oleh kami. Yaitu itu adalah NAT di kedua arah. Itu juga disebut
satu-ke-satu dan kadang-kadang digunakan untuk server publik. Kenapa "kadang"? Karena memiliki satu kelemahan besar - alamat ip publik terisi penuh (semua port). Anda tidak dapat menggunakan satu alamat publik untuk server internal yang berbeda (dengan port yang berbeda). Misalnya HTTP, FTP, SSH, SMTP, dll. Manual NAT dapat mengatasi masalah ini.
Manual NAT
Fitur Manual NAT adalah Anda harus membuat aturan terjemahan sendiri. Di tab NAT yang sama di Kebijakan Kontrol Akses. Selain itu, Manual NAT memungkinkan Anda membuat aturan terjemahan yang lebih kompleks. Bidang-bidang berikut tersedia untuk Anda: Sumber Asli, Tujuan Asli, Layanan Asli, Sumber Diterjemahkan, Tujuan Diterjemahkan, Layanan Diterjemahkan.
Dua jenis NAT juga dimungkinkan di sini - Sembunyikan dan Statis.
1. Manual Sembunyikan NAT
Sembunyikan NAT dalam hal ini dapat digunakan dalam situasi yang berbeda. Beberapa contoh:
- Saat mengakses sumber daya tertentu dari jaringan lokal, Anda ingin menggunakan alamat terjemahan yang berbeda (berbeda dari yang digunakan untuk semua kasus lain).
- Di jaringan lokal, sejumlah besar komputer. Sembunyikan Otomatis NAT tidak akan berfungsi di sini, karena dengan pengaturan ini, dimungkinkan untuk menetapkan hanya satu alamat IP publik, di belakangnya komputer mana yang akan "bersembunyi". Port untuk siaran mungkin tidak cukup. Seingat Anda, ada lebih dari 65 ribu di antaranya. Selain itu, setiap komputer dapat menghasilkan ratusan sesi. Sembunyikan Manual NAT memungkinkan Anda untuk mengatur kumpulan alamat ip publik di bidang Sumber yang Diterjemahkan. Dengan demikian meningkatkan jumlah terjemahan NAT yang mungkin.
2. Manual Statis NAT
NAT statis digunakan lebih sering ketika membuat aturan terjemahan secara manual. Contoh klasiknya adalah penerusan porta. Kasus ketika mereka mengakses alamat IP publik (yang mungkin milik gateway) dari jaringan eksternal melalui port tertentu dan permintaan dikirim ke sumber daya internal. Dalam pekerjaan laboratorium kami, kami akan meneruskan port 80 ke server DMZ.
Pelajaran video
Nantikan lebih lanjut dan bergabunglah dengan
saluran YouTube kami :)