欢迎来到第八课。 本课非常重要,因为 完成后,您就可以为用户配置对Internet的访问! 我必须承认很多人都结束了这个设置:)但是我们不是其中之一! 而且我们还有很多有趣的事情要做。 现在是我们课程的主题。
您可能已经猜到了,今天我们将讨论NAT。 我确定观看此课程的每个人都知道NAT是什么。 因此,我们将不详细描述它是如何工作的。 我再说一遍,NAT是为了节省“白人”而发明的一种地址转换技术。 公用ip-schnikov(在Internet上路由的那些地址)。
在上一课中,您可能已经注意到NAT是访问控制策略的一部分。 这是很合逻辑的。 在SmartConsole中,NAT设置位于单独的选项卡中。 我们今天一定会去那里。 通常,在本课程中,我们将讨论NAT的类型,配置Internet连接并考虑端口转发的经典示例。 即 公司最常使用的功能。 让我们开始吧。
两种配置NAT的方法
Check Point支持两种配置NAT的方式:
自动NAT和
手动NAT 。 同时,对于每种方法,都有两种转换类型:
Hide NAT和
Static NAT 。 一般来说,它看起来像这张照片:
我知道现在很可能一切看起来都很复杂,所以让我们更详细地介绍每种类型。
自动NAT
这是最快,最简单的方法。 只需单击两次即可配置NAT。 您需要做的就是打开所需对象的属性(网关,网络,主机等),转到NAT选项卡,然后选中“
添加自动地址转换规则 ”复选框。 在这里,您仅看到字段-翻译方法。 如上所述,其中有两个。
1.原子隐藏NAT
默认情况下,这是“隐藏”。 即 在这种情况下,我们的网络将“隐藏”在某些公共IP地址后面。 在这种情况下,该地址可以从网关的外部接口获取,也可以指定其他地址。 这种类型的NAT通常称为动态或
多对一 ,因为 几个内部地址转换为一个外部地址。 自然地,这可以通过在翻译过程中使用不同的端口来实现。 隐藏NAT仅在一个方向上(从内部到外部)起作用,当您只需要提供Internet访问时,它是局域网的理想选择。 如果流量是从外部网络发起的,则NAT自然不会起作用。 事实证明,这是对内部网络的额外保护。
2.自动静态NAT
Hide NAT对每个人都有好处,但是也许您需要提供从外部网络到某些内部服务器的访问。 例如,到我们的示例中的DMZ服务器。 在这种情况下,静态NAT可以为我们提供帮助。 它的配置也非常简单。 在对象的属性中将转换方法更改为“静态”并指定将用于NAT的公共IP地址就足够了(请参见上图)。 即 如果外部网络的某个人(在任何端口上)联系到该地址,该请求将通过内部ip-shnik传输到服务器。 同时,如果服务器本身将连接到Internet,则其ip-shnik也将更改为我们指示的地址。 即 双向都是NAT。 它也称为
一对一 ,有时用于公共服务器。 为什么是“有时”? 因为它有一个很大的缺点-公用ip地址已被完全占用(所有端口)。 您不能将一个公用地址用于不同的内部服务器(具有不同的端口)。 例如HTTP,FTP,SSH,SMTP等。 手动NAT可以解决此问题。
手动NAT
手动NAT的一个功能是您需要自己创建转换规则。 在“访问控制策略”的同一NAT选项卡中。 同时,手动NAT允许您创建更复杂的转换规则。 您可以使用以下字段:原始源,原始目的地,原始服务,翻译的源,翻译的目的地,翻译的服务。
NAT也有两种类型-隐藏和静态。
1.手动隐藏NAT
在这种情况下,隐藏NAT可以用于不同的情况。 几个例子:
- 从本地网络访问特定资源时,您要使用其他地址进行转换(与用于所有其他情况的地址不同)。
- 在本地网络中,有大量计算机。 自动隐藏NAT在这里不起作用,因为 使用此设置,可以仅设置一个公共IP地址,计算机将在该IP地址之后“隐藏”。 广播端口可能根本不够。 您还记得,其中有65 000多一点。 此外,每台计算机可以生成数百个会话。 手动隐藏NAT允许您在“转换的源”字段中设置公共IP地址池。 因此,增加了可能的NAT转换的数量。
2.手动静态NAT
手动创建转换规则时,经常使用静态NAT。 一个典型的例子是端口转发。 他们正在通过特定端口从外部网络访问公共IP地址(可能属于网关)并将请求传输到内部资源的情况。 在我们的实验室工作中,我们将端口80转发到DMZ服务器。
录像课
敬请关注,并加入我们的
YouTube频道 :)