1.Tổng Quan
Bất kỳ ai đã cố gắng cấu hình Network Address Translation (NAT) đều biết điều này khó khăn như thế nào. Nhưng thực tế không phải như vậy.
Sophos XG Firewall bao gồm khả năng NAT hoàn toàn mới mạnh mẽ nhưng trực quan với Source NAT (SNAT), Destination NAT (DNAT) và các tác vụ dịch mạng khác thực sự giúp NAT dễ dàng.
Các quy tắc NAT mới được tìm thấy trên tab Rules and Policies.
Có một số loại tác vụ chuyển địa chỉ khác nhau được đề cập bởi các quy tắc NAT mới trong XG Firewall v18:
- Source network address translation (SNAT) chuyển các địa chỉ IP riêng nội bộ sang địa chỉ IP công cộng, giảm đáng kể việc tiêu thụ các địa chỉ IP công cộng, hiện đã cạn kiệt.
- Destination network address translation (DNAT) hoặc chuyển tiếp cổng thường được sử dụng để public một dịch vụ nằm trên mạng riêng sang địa chỉ IP có thể truy cập công khai. Chuyển tiếp địa chỉ cổng hoặc PAT là một tập hợp con của DNAT chuyển tiếp các địa chỉ IP riêng thành địa chỉ IP công cộng thông qua số cổng.
- NAT hairpinning, hay loopback, hoặc NAT reflection là sự kết hợp của chuyển tiếp địa chỉ cho phép truy cập dịch vụ qua địa chỉ IP công cộng từ bên trong mạng riêng, do đó tạo điều kiện giao tiếp hai chiều qua địa chỉ IP công cộng và đơn giản hóa việc phân giải tên miền.
2. Cách để chuyển các NAT policy từ các version trước
Những người quen thuộc với NAT trong các phiên bản trước của XG Firewall sẽ biết SNAT bị ràng buộc với các quy tắc tường lửa và DNAT được kết hợp với WAF trong việc tạo ra các quy tắc ứng dụng kinh doanh. Trong XG Firewall v18, tất cả các quy tắc NAT hiện nằm chung trong tab quy tắc NAT mới, cung cấp khả năng hiển thị tốt hơn nhiều và bộ công cụ trực quan hơn để xây dựng các quy tắc NAT linh hoạt và mạnh mẽ hơn. Những quy tắc tường lửa và NAT được liên kết vẫn được hỗ trợ cho những người thích mô hình đó, nhưng chúng tôi đặc biệt khuyến khích bạn khám phá những lợi ích của sơ đồ quy tắc NAT mới và các công cụ được cung cấp.
Để duy trì tính tương thích, khi bạn nâng cấp lên v18 từ các phiên bản trước của Tường lửa XG, bạn sẽ thấy một số quy tắc NAT đã được tạo tự động. Trên thực tế, sẽ có một quy tắc SNAT mới được tạo và liên kết với mỗi quy tắc tường lửa mà trước đó đã sử dụng masquerading (MASQ) và một quy tắc DNAT cho mỗi quy tắc ứng dụng kinh doanh.
Tùy thuộc vào việc sử dụng NAT trước đây của bạn và cấu trúc quy tắc tường lửa, nhiều quy tắc SNAT cho lưu lượng mạng LAN đến WAN hiện có thể là dư thừa. Tường lửa không thể hợp nhất các quy tắc này một cách tự động để đảm bảo tính tương thích, nhưng bạn chắc chắn có thể hợp nhất chúng theo cách thủ công.
Chỉ cần xóa mọi quy tắc NAT thừa, không cần thiết, miễn là bạn có một quy tắc phù hợp ở cuối danh sách quy tắc sẽ bắt được tất cả các tiêu chí đối sánh tường lửa cần thiết. Tận dụng các tùy chọn sắp xếp và bộ lọc mới có sẵn để trợ giúp việc quản lý di chuyển bằng cách xem xét tất cả các quy tắc NAT được liên kết đã được tạo trong quá trình di chuyển.
3. Tận dụng tối đa tính năng NAT trên version 18
Các khả năng NAT mới vừa mạnh mẽ vừa dễ sử dụng. Ví dụ: tạo quy tắc chuyển tiếp cổng hoặc DNAT chưa bao giờ dễ dàng hơn thế, nhờ vào trình hướng dẫn hỗ trợ truy cập máy chủ mới.
Bạn chỉ cần cung cấp một vài thông tin quan trọng như máy chủ nội bộ, các dịch vụ và tiêu chí truy cập bên ngoài và trình hướng dẫn sẽ xử lý phần còn lại, tạo ra các quy tắc NAT cần thiết cho bạn.
Để tìm hiểu thêm về cách tận dụng tối đa các quy tắc NAT mới trong XG Firewall v18, hãy xem video hướng dẫn hữu ích này, video này cũng được liên kết thuận tiện ngay từ đầu màn hình quy tắc NAT trong sản phẩm.
Nếu bạn chưa quen với Sophos XG Firewall, hãy tìm hiểu thêm về những lợi ích và tính năng tuyệt vời mà XG Firewall có thể mang lại cho mạng của bạn thông qua các bài viết tại website của chúng tôi.