8.ポイントスタートガイドR80.20を確認します。 NAT



8番目のレッスンへようこそ。 レッスンは非常に重要です 完了すると、ユーザーのインターネットへのアクセスを既に構成できます。 多くの人がこのセットアップを終了することを認めなければなりません:)しかし、私たちはそれらの1つではありません! そして、まだたくさんの興味深いことがあります。 次に、レッスンのトピックに進みます。

ご想像のとおり、今日はNATについて説明します。 このレッスンを視聴するすべての人がNATとは何かを知っていると確信しています。 したがって、これがどのように機能するかについては詳しく説明しません。 NATが「白人」を節約することを目的として発明されたアドレス変換技術であるということをもう一度繰り返します。 public ip-schnikov(インターネット上でルーティングされるアドレス)。

前のレッスンで、NATがアクセス制御ポリシーの一部であることにすでに気付いていたでしょう。 これは非常に論理的です。 SmartConsoleでは、NAT設定は別のタブにあります。 今日は必ず行きます。 一般に、このレッスンでは、NATの種類について説明し、インターネット接続を構成し、ポート転送の古典的な例を検討します。 つまり 企業で最もよく使用される機能。 始めましょう。

NATを構成する2つの方法


Check Pointは、 自動NAT手動NATの 2つのNAT構成方法をサポートしています 。 同時に、これらの各メソッドには、 Hide NATStatic NATの 2種類の変換があります 。 一般的に、次の図のようになります。



今ではすべてが非常に複雑に見える可能性が高いので、各タイプをもう少し詳しく見てみましょう。

自動NAT


これが最速かつ最も簡単な方法です。 NATは2回クリックするだけで設定できます。 必要なのは、目的のオブジェクト(ゲートウェイ、ネットワーク、ホストなど)のプロパティを開き、[NAT]タブに移動して[ 自動アドレス変換ルールを追加 ]チェックボックスをオンにすることだけです。 ここで、フィールドが表示されます-翻訳方法。 前述のように、そのうちの2つがあります。



1. Aitomatic Hide NAT


デフォルトでは、これは非表示です。 つまり この場合、ネットワークはパブリックIPアドレスの背後に「隠れ」ます。 この場合、アドレスはゲートウェイの外部インターフェイスから取得するか、他のアドレスを指定できます。 このタイプのNATは、多くの場合、動的または多対1と呼ばれます。 複数の内部アドレスが1つの外部アドレスに変換されます。 当然、これは変換中に異なるポートを使用することで可能です。 Hide NATは一方向(内部から外部)でのみ機能し、インターネットアクセスを提供するだけのローカルネットワークに最適です。 トラフィックが外部ネットワークから開始される場合、NATは当然機能しません。 結局のところ、内部ネットワークの追加保護が判明しています。

2.自動静的NAT


Hide NATはすべての人に適していますが、外部ネットワークから内部サーバーへのアクセスを提供する必要があるかもしれません。 たとえば、この例のようにDMZサーバーに。 この場合、静的NATが役立ちます。 また、非常に簡単に構成されます。 オブジェクトのプロパティで変換方法を静的に変更し、NATに使用されるパブリックIPアドレスを指定するだけで十分です(上の図を参照)。 つまり 外部ネットワークの誰かがこのアドレスに(任意のポートで!)連絡すると、要求は内部ip-shnikを使用してサーバーに転送されます。 同時に、サーバー自体がインターネットに接続される場合、そのip-shnikも指定したアドレスに置き換えられます。 つまり 双方向のNATです。 1対1とも呼ばれ、パブリックサーバーに使用されることもあります。 なぜ「時々」? 1つの大きな欠点があるため-パブリックIPアドレスが完全に占有されています(すべてのポート)。 1つのパブリックアドレスを異なる内部サーバー(異なるポート)に使用することはできません。 たとえば、HTTP、FTP、SSH、SMTPなど。 手動NATはこの問題を解決できます。

手動NAT


手動NATの機能は、変換ルールを自分で作成する必要があることです。 アクセス制御ポリシーの同じNATタブ内。 同時に、手動NATを使用すると、より複雑な変換ルールを作成できます。 次のフィールドを使用できます:元のソース、元の宛先、元のサービス、翻訳されたソース、翻訳された宛先、翻訳されたサービス。



ここでは、非表示と静的の2種類のNATも使用できます。

1.手動Hide NAT


この場合のHide NATは、さまざまな状況で使用できます。 いくつかの例:

  1. ローカルネットワークから特定のリソースにアクセスする場合、変換に別のアドレスを使用する必要があります(他のすべての場合に使用されるアドレスとは異なります)。
  2. ローカルエリアネットワークでは、膨大な数のコンピューター。 ここでは、自動非表示NATは適切ではありません。 この設定を使用すると、1つのパブリックIPアドレスのみを設定でき、その背後にあるコンピューターは「非表示」になります。 ブロードキャスト用のポートだけでは不十分な場合があります。 あなたが思い出すように、それらの65000を少し超えています。 さらに、各コンピューターは数百のセッションを生成できます。 手動非表示NATを使用すると、変換済みソースフィールドにパブリックIPアドレスのプールを設定できます。 したがって、可能なNAT変換の数が増えます。

2.手動の静的NAT


静的NATは、手動で変換ルールを作成するときに頻繁に使用されます。 典型的な例はポート転送です。 特定のポートを介して外部ネットワークからパブリックIPアドレス(ゲートウェイに属する可能性がある)にアクセスし、要求が内部リソースに送信される場合。 ラボでの作業では、ポート80をDMZサーバーに転送します。

ビデオレッスン



もっと楽しみにして、 YouTubeチャンネルに参加してください:)

Source: https://habr.com/ru/post/J448114/


All Articles