Bem-vindo à 8ª lição. A lição é muito importante, porque após a conclusão, você já pode configurar o acesso à Internet para seus usuários! Devo admitir que muitos terminam essa configuração :) Mas não somos um deles! E ainda temos muitas coisas interessantes por vir. E agora ao tópico da nossa lição.
Como você provavelmente já adivinhou, falaremos sobre o NAT hoje. Estou certo de que todos que assistem a esta lição sabem o que é NAT. Portanto, não descreveremos em detalhes como isso funciona. Repito mais uma vez que o NAT é uma tecnologia de tradução de endereços que foi inventada com o objetivo de salvar "brancos", ou seja, ip-schnikov público (os endereços roteados na Internet).
Na lição anterior, você provavelmente já percebeu que o NAT faz parte da política de controle de acesso. Isso é bastante lógico. No SmartConsole, as configurações de NAT são colocadas em uma guia separada. Nós definitivamente vamos lá hoje. Em geral, nesta lição, discutiremos os tipos de NAT, configuramos a conexão com a Internet e consideramos o exemplo clássico de encaminhamento de porta. I.e. a funcionalidade mais usada nas empresas. Vamos começar.
Duas maneiras de configurar o NAT
O Check Point suporta duas maneiras de configurar o NAT:
NAT automático e
NAT manual . Ao mesmo tempo, para cada um desses métodos, existem dois tipos de conversão:
Ocultar NAT e
NAT Estático . Em termos gerais, parece nesta imagem:
Entendo que provavelmente agora tudo parece muito complicado, então vamos ver cada tipo com mais detalhes.
NAT automático
Esta é a maneira mais rápida e fácil. O NAT é configurado em apenas dois cliques. Tudo o que você precisa fazer é abrir as propriedades do objeto desejado (seja gateway, rede, host, etc.), vá para a guia NAT e marque a caixa de seleção "
Adicionar regras de tradução automática de endereços ". Aqui você apenas vê o campo - o método de tradução. Existem dois deles, como mencionado acima.
1. Aitomatic Hide NAT
Por padrão, isso é Ocultar. I.e. nesse caso, nossa rede "se esconderá" atrás de algum endereço IP público. Nesse caso, o endereço pode ser obtido na interface externa do gateway ou você pode especificar outro. Esse tipo de NAT geralmente é chamado dinâmico ou
muitos-para-um , porque vários endereços internos são traduzidos em um externo. Naturalmente, isso é possível através do uso de diferentes portas durante a tradução. O Hide NAT funciona apenas em uma direção (de dentro para fora) e é ideal para redes locais quando você só precisa fornecer acesso à Internet. Se o tráfego for iniciado a partir de uma rede externa, o NAT naturalmente não funcionará. Acontece que, por assim dizer, proteção adicional de redes internas.
2. NAT estático automático
Ocultar NAT é bom para todos, mas talvez você precise fornecer acesso de uma rede externa a algum servidor interno. Por exemplo, para um servidor DMZ, como no nosso exemplo. Nesse caso, o Static NAT pode nos ajudar. Também é configurado de maneira bastante simples. Nas propriedades do objeto, basta alterar o método de conversão para Estático e especificar o endereço IP público que será usado para o NAT (veja a figura acima). I.e. se alguém da rede externa contatar esse endereço (em qualquer porta!), a solicitação será transferida para o servidor com um ip-shnik interno. Ao mesmo tempo, se o servidor estiver conectado à Internet, o ip-shnik também mudará para o endereço indicado por nós. I.e. é NAT nas duas direções. Também é chamado de
um para um e às vezes é usado para servidores públicos. Por que "algumas vezes"? Por ter uma grande desvantagem - o endereço IP público está totalmente ocupado (todas as portas). Você não pode usar um endereço público para diferentes servidores internos (com portas diferentes). Por exemplo, HTTP, FTP, SSH, SMTP, etc. O NAT manual pode resolver esse problema.
NAT manual
Um recurso do NAT manual é que você mesmo precisa criar regras de tradução. Na mesma guia NAT na Política de Controle de Acesso. Ao mesmo tempo, o NAT manual permite criar regras de conversão mais complexas. Os seguintes campos estão disponíveis para você: Origem original, Destino original, Serviços originais, Origem traduzida, Destino traduzido, Serviços traduzidos.
Dois tipos de NAT também são possíveis aqui - Ocultar e Estático.
1. Ocultar NAT manual
Ocultar NAT neste caso pode ser usado em diferentes situações. Alguns exemplos:
- Ao acessar um recurso específico da rede local, você deseja usar um endereço diferente para tradução (diferente daquele usado para todos os outros casos).
- Na rede local, um grande número de computadores. Ocultar automático O NAT não funcionará aqui, porque Com essa configuração, é possível definir apenas um endereço IP público, atrás do qual os computadores “ocultarão”. Portas para transmissão podem simplesmente não ser suficientes. Como você se lembra, existem pouco mais de 65 mil deles. Além disso, cada computador pode gerar centenas de sessões. O Manual Hide NAT permite definir o pool de endereços IP públicos no campo Source Traduzido. Assim, aumentando o número de possíveis traduções NAT.
2. NAT estático manual
O NAT estático é usado com muito mais frequência ao criar manualmente regras de conversão. Um exemplo clássico é o encaminhamento de porta. O caso em que uma rede externa é acessada por um endereço IP público (que pode pertencer ao gateway) por meio de uma porta específica e a solicitação é transmitida para um recurso interno. Em nosso trabalho de laboratório, encaminharemos a porta 80 para o servidor DMZ.
Vídeo aula
Fique ligado para mais e participe do nosso
canal do YouTube :)