資源描述:
《CheckPoint Nat配置》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1�����、一���、概述1.1Nat簡介網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中���。原因很簡單����,NAT不僅完美地解決了lP地址不足的問題����,而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊,隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)�。借助于NAT,私有(保留)地址的"內(nèi)部"網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時�,私有地址被轉(zhuǎn)換成合法的IP地址,一個局域網(wǎng)只需使用少量IP地址(甚至是1個)即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計算機(jī)與Internet的通信需求����。 NAT將自動修改IP報文頭申的源IP地址和目的IP地
2�����、址�,Ip地址校驗則在NAT處理過程中自動完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報文的數(shù)據(jù)部分中�,所以還需要同時對報文進(jìn)行修改��,以匹配IP頭中已經(jīng)修改過的源IP地址�����。否則����,在報文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作����。1.2NAT實(shí)現(xiàn)方式NAT的實(shí)現(xiàn)方式有三種����,即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用OverLoad�。靜態(tài)轉(zhuǎn)換11是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址,IP地址對是一對一的�����,是一成不變的�,某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換�����,可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些
3、特定設(shè)備(如服務(wù)器)的訪問�。動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時,IP地址對是不確定的��,而是隨機(jī)的����,所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說����,只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換,以及用哪些合法地址作為外部地址時���,就可以進(jìn)行動態(tài)轉(zhuǎn)換����。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集�。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機(jī)數(shù)量時?��?梢圆捎脛討B(tài)轉(zhuǎn)換的方式���。端口多路復(fù)用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換�����,即端口地址轉(zhuǎn)換(PA
4��、T�,PortAddressTranslation).采用端口多路復(fù)用方式���。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法外部IP地址實(shí)現(xiàn)對Internet的訪問�,從而可以最大限度地節(jié)約IP地址資源��。同時���,又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī),有效避免來自internet的攻擊�����。因此����,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式���。11二、CheckpointNat2.1CheckpointNat配置類型NetworkAddressTranslation(NAT)通俗的來說���,是通過一個地址來替換另一個地址���,NAT能夠改變源和目的的數(shù)據(jù)包內(nèi)的IP地址,這個意思就是說��,當(dāng)一
5����、個內(nèi)網(wǎng)的數(shù)據(jù)包經(jīng)過防火墻NAT后去訪問外網(wǎng)時,外網(wǎng)的將會看到的是和源不是相同的一個地址�,相反,當(dāng)從外網(wǎng)去訪問內(nèi)網(wǎng)的時候�,外網(wǎng)數(shù)據(jù)包到達(dá)防火墻后會匹配防火墻中的NATBase,隨后將數(shù)據(jù)包請求丟到匹配成功的內(nèi)網(wǎng)地址Checkpoint安全網(wǎng)關(guān)支持兩種模式的NAT:StaticNat:每個私網(wǎng)地址被靜態(tài)的翻譯成為相對應(yīng)的公網(wǎng)地址��,在一個內(nèi)網(wǎng)中存在一些的客戶端�,而每個客戶端都翻譯成為不同的公網(wǎng)地址,這是多臺客戶端對多個公網(wǎng)地址的翻譯形式����,StaticNat能夠允許所有的客戶端通過其所處的安全網(wǎng)關(guān)進(jìn)行互聯(lián)網(wǎng)訪問���,例如,通過StaticNAT���,內(nèi)部應(yīng)
6����、用服務(wù)器能夠發(fā)布到公網(wǎng)中HideNat:一個公網(wǎng)地址被用于一個存在多臺客戶端的內(nèi)網(wǎng)時�����,HideNat就是一對多的翻譯形式���,HideNat能夠允許所有的連接通過唯一的安全網(wǎng)關(guān)設(shè)備Checkpoint能夠?qū)ζ涠x的多種NetworkObject進(jìn)行NAT功能的實(shí)現(xiàn)�����,主要包括:網(wǎng)段、主機(jī)����、地址池以及動態(tài)的主機(jī),并且支持兩種的配置方式��,手工的NAT和自動的NAT11手工的創(chuàng)建NAT相對自動的NAT來說要比較靈活,舉個例子來說��,除了對IP地址進(jìn)行翻譯��,你還可以對你所訪問服務(wù)的目的端口進(jìn)行翻譯����,端口號的翻譯是一個StaticNat形式,只能是從一個端口
7��、翻譯成為另一個端口Checkpoint防火墻Nat具體的配置類型有以下四種:l自動HideNatl自動StaticNatl手工HideNatl手工StaticNat2.2HideNatHideNat是一種隱藏的NAT地址轉(zhuǎn)換方式�����,是種一對多的方式�����,如同Cisco的PAT一樣����,借用一個地址來隱藏自己的真實(shí)地址,Checkpoint防火墻可以復(fù)用防火墻本身的接口地址或者指定的一個IP地址來隱藏身后的一個地址段,也可以是一臺PC���,具體配置方法如下:112.2.1配置自動HideNat:在事先定義好的NerworkObjects中雙擊需要配置Hid
8��、eNat的NetworkObject���,在選擇Nat窗口——選擇自動的地址轉(zhuǎn)換(AddAutomaticTranslation)——在翻譯類型中選擇Hide模式��,并且選擇是通過防火
