Trong bài viết này sẽ hướng dẫn các bạn về các loại NAT (Network Address Translation) trên thiết bị firewall Check Point. - NAT là một phần của Access Control policy. - Check point có 2 cách để thiết lập NAT : Automatic NAT và Manual NAT, mỗi cách cho phép cấu hình theo hai kiểu NAT : Hide NAT và Static NAT. - Hide NAT : chuyển nhiều địa chỉ nội bộ thành 1 IP duy nhất (many to one translation) Cho phép máy nội bộ kết nối ra mạng bên ngoài. Bên ngoài security gateway của chúng ta, các kết nối này sẽ giống như bắt nguồn từ một IP duy nhất. Security Gateway sẽ thay đổi cả địa chỉ IP và source port trên các gói tin đi ra ngoài. Trên hướng lưu lượng trả về, destination IP address và port sẽ được chuyển đổi về giá trị ban đầu để gói tin có thể đến được client . Kiểu NAT này không cho phép truy cập nội bộ từ mạng bên ngoài. - Static NAT : thực hiện one to one translation. Static NAT thường được sử dụng truy cập đến vùng DMZ từ internet. 1.Automatic NAT : kiểu cấu hình đơn giản, các tham số NAT được cấu hình trên object yêu cầu Network Address Translation. Bạn cần mở object và thiết lập thông số tại tab NAT. - Để cấu hình Automatic NAT cho LanNetwork object. Trong SmartConsole, double-click lên nó và đi đến NAT tab. - Đánh dấu check “Add automatic address translation rules”. - Translation menu có hai tùy chọn : Hide (mặc định) hoặc Static. Chọn Hide và OK. - Đi đến Security Policies > Access Control > NAT để xem Automatic NAT rule đã được tự động tạo. - Tương tự ta có thể tạo Automatic NAT cho DMZ-Srv object. - Cấu hình trên cho phép Server đi internet nhưng không cho phép các host trên internet kết nối đến Server . Nếu chúng ta muốn DMZ server có thể truy cập từ mạng bên ngoài trên tất cả các dịch vụ, chúng ta có thể tạo automatic static NAT.Nếu chỉ muốn cho phép một số dịch vụ được chỉ định như HTTP… chúng ta phải cấu hình Port Address Translation (port forwarding), bằng cách dùng manual NAT rules. 2.Manual NAT : cần được thiết lập trong NAT Policy rulebase - Trong ví dụ nếu ta chỉ muốn cho phép mạng bên ngoài truy cập đến DMZ server qua HTTP. - Xem lại mô hình ví dụ : - Để cho phép truy cập HTTP đến DMZ server, chúng ta thực hiện như sau : - Tạo new host object với external IP address của Security Gateway - Tiếp theo tạo manual static NAT rule, đi đến Security Policies > Access Control > NAT và thêm rule mới phía trên đầu. - Manual NAT cho phép tạo qui tắc phức tạp hơn cho Network Address Translation. Bao gồm các trường sau : Original Source Original Destination Original Service Translated Source Translated Destination Translated Services - Static hoặc Hide NAT có thể được lựa chọn, để chọn kiểu NAT mong muốn, right-click trên Translated Source / Translated Destination và chọn Static or Hide. - Tạo manual NAT rule theo bảng phía dưới : Original Source: Any Original Destination: PublicIP (the object we have just created) Original Services: http Translated Source: Original (we are leaving Source IP address as is) Translated Destination: DMZ-Srv (Translated Destination should be our Windows Sever) Important: Use Static Nat Method here Translated Services: Original (Destination port stays unchanged) - Chữ "S" kế bên Translated Destination là biểu tượng của Static NAT - Cuối cùng ta sẽ tạo access rule cho phép truy cập DMZ server thông qua HTTP service. Đi đến Security Policy Rulebase và thêm rule tên DMZ-Srv Access tại đầu danh sách với thông số sau : Name: DMZ-Srv Access Source: Any Destination: PublicIP Services & Applications: http Action: Accept Track: Log - Cài đặt Policy. - Sau đó chọn duy nhất Access Control policy và cài đặt. - Sau khi policy cài đặt hoàn tất, chúng ta có thể truy cập internet từ Internal Network và Port Forwarding cho phép truy cập HTTP đến DMZ-Srv từ mạng bên ngoài. !!! Cám ơn các bạn đã theo dõi bài viết !!!
