Groete! Welkom by die vyfde les van die kursus . Op Ons het uitgevind hoe sekuriteitsbeleide werk. Nou is dit tyd om plaaslike gebruikers op die internet vry te stel. Om dit te doen, sal ons in hierdie les kyk na die werking van die NAT-meganisme.
Benewens die vrystelling van gebruikers aan die internet, sal ons ook kyk na 'n metode om interne dienste te publiseer. Onder die snit is 'n kort teorie uit die video, sowel as die videoles self.
NAT (Network Address Translation) tegnologie is 'n meganisme vir die omskakeling van IP-adresse van netwerkpakkies. In Fortinet-terme word NAT in twee tipes verdeel: Bron NAT en Bestemming NAT.
Die name spreek vanself - wanneer Bron NAT gebruik word, verander die bronadres, wanneer Bestemming NAT gebruik word, verander die bestemmingsadres.
Daarbenewens is daar ook verskeie opsies vir die opstel van NAT - Firewall Policy NAT en Central NAT.
Wanneer die eerste opsie gebruik word, moet Bron en Bestemming NAT vir elke sekuriteitsbeleid opgestel word. In hierdie geval gebruik Bron NAT óf die IP-adres van die uitgaande koppelvlak óf 'n vooraf-gekonfigureerde IP-poel. Bestemming NAT gebruik 'n vooraf-gekonfigureerde voorwerp (die sogenaamde VIP - Virtuele IP) as die bestemmingsadres.
Wanneer Sentrale NAT gebruik word, word die Bron- en Bestemming NAT-konfigurasie vir die hele toestel (of virtuele domein) gelyktydig uitgevoer. In hierdie geval is NAT-instellings op alle beleide van toepassing, afhangende van die Bron-NAT- en Bestemming-NAT-reëls.
Bron-NAT-reëls word in die sentrale Bron-NAT-beleid opgestel. Bestemming NAT word opgestel vanaf die DNAT-kieslys met behulp van IP-adresse.
In hierdie les sal ons slegs Firewall-beleid NAT oorweeg - soos die praktyk toon, is hierdie konfigurasie-opsie baie meer algemeen as Sentrale NAT.
Soos ek reeds gesê het, wanneer Firewall-beleidsbron NAT gekonfigureer word, is daar twee konfigurasie-opsies: vervanging van die IP-adres met die adres van die uitgaande koppelvlak, of met 'n IP-adres van 'n vooraf gekonfigureerde poel van IP-adresse. Dit lyk iets soos die een wat in die figuur hieronder getoon word. Vervolgens gaan ek kortliks praat oor moontlike poele, maar in die praktyk sal ons slegs die opsie met die adres van die uitgaande koppelvlak oorweeg - in ons uitleg het ons nie IP-adrespoele nodig nie.
'n IP-poel definieer een of meer IP-adresse wat as die bronadres tydens 'n sessie gebruik sal word. Hierdie IP-adresse sal gebruik word in plaas van die FortiGate-uitgaande koppelvlak-IP-adres.
Daar is 4 tipes IP-poele wat op FortiGate gekonfigureer kan word:
- oorlading
- Een tot een
- Vaste hawereeks
- Toewysing van haweblok
Oorlading is die hoof IP-poel. Dit skakel IP-adresse om deur 'n veel-tot-een- of baie-tot-baie-skema te gebruik. Poortvertaling word ook gebruik. Beskou die stroombaan wat in die figuur hieronder getoon word. Ons het 'n pakket met gedefinieerde Bron- en Bestemming-velde. As dit onder 'n firewall-beleid val wat hierdie pakkie toelaat om toegang tot die eksterne netwerk te kry, word 'n NAT-reël daarop toegepas. As gevolg hiervan word die Bron-veld in hierdie pakkie vervang met een van die IP-adresse wat in die IP-poel gespesifiseer is.
'n Een-tot-een-poel definieer ook baie eksterne IP-adresse. Wanneer 'n pakkie onder 'n brandmuurbeleid val met die NAT-reël geaktiveer, word die IP-adres in die Bron-veld verander na een van die adresse wat aan hierdie poel behoort. Vervanging volg die "eerste in, eerste uit" reël. Om dit duideliker te maak, kom ons kyk na 'n voorbeeld.
'n Rekenaar op die plaaslike netwerk met IP-adres 192.168.1.25 stuur 'n pakkie na die eksterne netwerk. Dit val onder die NAT-reël, en die Bron-veld word verander na die eerste IP-adres vanaf die swembad, in ons geval is dit 83.235.123.5. Dit is opmerklik dat wanneer u hierdie IP-poel gebruik, poortvertaling nie gebruik word nie. As hierna 'n rekenaar van dieselfde plaaslike netwerk, met 'n adres van byvoorbeeld 192.168.1.35, 'n pakkie na 'n eksterne netwerk stuur en ook onder hierdie NAT-reël val, sal die IP-adres in die Bron-veld van hierdie pakkie verander na 83.235.123.6. As daar nie meer adresse in die swembad oor is nie, sal daaropvolgende verbindings verwerp word. Dit wil sê, in hierdie geval kan 4 rekenaars terselfdertyd onder ons NAT-reël val.
Vaste poortreeks verbind interne en eksterne reekse van IP-adresse. Poortvertaling is ook gedeaktiveer. Dit laat jou toe om die begin of einde van 'n poel interne IP-adresse permanent te assosieer met die begin of einde van 'n poel eksterne IP-adresse. In die voorbeeld hieronder is die interne adrespoel 192.168.1.25 - 192.168.1.28 gekarteer na die eksterne adrespoel 83.235.123.5 - 83.235.125.8.
Poortbloktoewysing - hierdie IP-poel word gebruik om 'n blok poorte vir IP-poelgebruikers toe te wys. Benewens die IP-poel self, moet twee parameters ook hier gespesifiseer word - die blokgrootte en die aantal blokke wat vir elke gebruiker toegeken is.
Kom ons kyk nou na Destination NAT-tegnologie. Dit is gebaseer op virtuele IP-adresse (VIP). Vir pakkies wat onder die Bestemming NAT-reëls val, verander die IP-adres in die Bestemming-veld: gewoonlik verander die publieke internetadres na die private adres van die bediener. Virtuele IP-adresse word in firewallbeleide gebruik as die Bestemming-veld.
Die standaard tipe virtuele IP-adresse is Statiese NAT. Dit is 'n een-tot-een korrespondensie tussen eksterne en interne adresse.
In plaas van Statiese NAT, kan virtuele adresse beperk word deur spesifieke poorte aan te stuur. Assosieer byvoorbeeld verbindings met 'n eksterne adres op poort 8080 met 'n verbinding met 'n interne IP-adres op poort 80.
In die voorbeeld hieronder probeer 'n rekenaar met die adres 172.17.10.25 om toegang te verkry tot die adres 83.235.123.20 op poort 80. Hierdie verbinding val onder die DNAT-reël, dus word die bestemmings-IP-adres verander na 10.10.10.10.
Die video bespreek die teorie en verskaf ook praktiese voorbeelde van die opstel van Bron en Bestemming NAT.
In die volgende lesse gaan ons voort om gebruikersveiligheid op die internet te verseker. Spesifiek, die volgende les sal die funksionaliteit van webfiltrering en toepassingsbeheer bespreek. Om dit nie mis te loop nie, volg die opdaterings op die volgende kanale:
Bron: will.com
