ሰላምታ! እንኳን ወደ ኮርሱ አምስተኛው ትምህርት በሰላም መጡ . በርቷል የደህንነት ፖሊሲዎች እንዴት እንደሚሠሩ አውቀናል. የአገር ውስጥ ተጠቃሚዎችን ወደ በይነመረብ ለመልቀቅ ጊዜው አሁን ነው። ይህንን ለማድረግ, በዚህ ትምህርት ውስጥ የ NAT ዘዴን አሠራር እንመለከታለን.
ተጠቃሚዎችን ወደ በይነመረብ ከመልቀቅ በተጨማሪ የውስጥ አገልግሎቶችን የማተም ዘዴን እንመለከታለን. ከመቁረጡ በታች ከቪዲዮው አጭር ንድፈ ሃሳብ, እንዲሁም የቪዲዮ ትምህርቱ ራሱ ነው.
ኤንኤቲ (የአውታረ መረብ አድራሻ ትርጉም) ቴክኖሎጂ የአውታረ መረብ ፓኬቶችን የአይፒ አድራሻዎችን የመቀየር ዘዴ ነው። በፎርቲኔት አገላለጽ፣ NAT በሁለት ዓይነቶች ይከፈላል፡-ምንጭ NAT እና መድረሻ NAT።
ስሞቹ ለራሳቸው ይናገራሉ - ምንጭ NAT ሲጠቀሙ, የምንጭ አድራሻው ይለወጣል, መድረሻ NAT ሲጠቀሙ, የመድረሻ አድራሻው ይለወጣል.
በተጨማሪም NAT - የፋየርዎል ፖሊሲ NAT እና ማዕከላዊ ኤንኤትን ለማዘጋጀት ብዙ አማራጮችም አሉ.
የመጀመሪያውን አማራጭ ሲጠቀሙ ምንጭ እና መድረሻ NAT ለእያንዳንዱ የደህንነት ፖሊሲ መዋቀር አለባቸው። በዚህ አጋጣሚ ምንጭ NAT የወጪውን በይነገጽ አይፒ አድራሻ ወይም አስቀድሞ የተዋቀረ IP Pool ይጠቀማል። መድረሻ NAT አስቀድሞ የተዋቀረ ነገር (ቪአይፒ - ቨርቹዋል አይፒ ተብሎ የሚጠራው) እንደ መድረሻ አድራሻ ይጠቀማል።
ሴንትራል NATን በሚጠቀሙበት ጊዜ የምንጭ እና መድረሻ NAT ውቅረት ለመሣሪያው በሙሉ (ወይም ምናባዊ ጎራ) በአንድ ጊዜ ይከናወናል። በዚህ አጋጣሚ የNAT ቅንጅቶች እንደ ምንጭ NAT እና መድረሻ NAT ደንቦች ላይ በመመስረት በሁሉም ፖሊሲዎች ላይ ተፈጻሚ ይሆናሉ።
የምንጭ NAT ህጎች በማዕከላዊ ምንጭ NAT ፖሊሲ ውስጥ ተዋቅረዋል። መድረሻ NAT ከዲኤንኤቲ ሜኑ የአይ ፒ አድራሻዎችን በመጠቀም ተዋቅሯል።
በዚህ ትምህርት, የፋየርዎል ፖሊሲ NATን ብቻ እንመለከታለን - እንደ ልምምድ እንደሚያሳየው ይህ የማዋቀሪያ አማራጭ ከማዕከላዊ NAT በጣም የተለመደ ነው.
ቀደም ብዬ እንደተናገርኩት የፋየርዎል ፖሊሲ ምንጭ NAT ን ሲያዋቅሩ ሁለት የማዋቀር አማራጮች አሉ፡ የአይ ፒ አድራሻውን በወጪ በይነገጽ አድራሻ መተካት ወይም ቀድሞ ከተዋቀረ የአይፒ አድራሻዎች ገንዳ። ከታች በስዕሉ ላይ እንደሚታየው የሆነ ነገር ይመስላል. በመቀጠል ፣ ስለ ሊሆኑ የሚችሉ ገንዳዎች በአጭሩ እናገራለሁ ፣ ግን በተግባር ግን ከወጪ በይነገጽ አድራሻ ጋር ያለውን አማራጭ ብቻ እንመለከታለን - በእኛ አቀማመጥ ፣ የአይፒ አድራሻ ገንዳዎች አያስፈልጉንም ።
የአይፒ ገንዳ በአንድ ክፍለ ጊዜ እንደ ምንጭ አድራሻ የሚያገለግሉ አንድ ወይም ከዚያ በላይ የአይፒ አድራሻዎችን ይገልጻል። እነዚህ የአይፒ አድራሻዎች ከFortiGate የወጪ በይነገጽ አይፒ አድራሻ ይልቅ ጥቅም ላይ ይውላሉ።
በFortiGate ላይ ሊዋቀሩ የሚችሉ 4 አይነት የአይፒ ገንዳዎች አሉ፡-
- ያለ መጠን ጫነ
- አንድ ለአንድ
- ቋሚ የወደብ ክልል
- የወደብ እገዳ ድልድል
ከመጠን በላይ መጫን ዋናው የአይፒ ገንዳ ነው. ከብዙ-ወደ-አንድ ወይም ከብዙ-ወደ-ብዙ እቅድ በመጠቀም የአይፒ አድራሻዎችን ይለውጣል። የወደብ ትርጉምም ጥቅም ላይ ይውላል. ከታች በስዕሉ ላይ የሚታየውን ወረዳ አስቡበት. የተገለጹ ምንጭ እና መድረሻ መስኮች ያለው ጥቅል አለን። ይህ ፓኬት ወደ ውጫዊ አውታረመረብ እንዲደርስ በሚያስችለው የፋየርዎል ፖሊሲ ስር ከመጣ፣ የ NAT ህግ በእሱ ላይ ይተገበራል። በውጤቱም, በዚህ ፓኬት ውስጥ የምንጭ መስኩ በአይፒ ገንዳ ውስጥ ከተገለጹት የአይፒ አድራሻዎች በአንዱ ተተክቷል.
አንድ ለአንድ ገንዳ ብዙ ውጫዊ አይፒ አድራሻዎችን ይገልፃል። አንድ ፓኬት በኬላ ፖሊሲ ስር የNAT ደንብ ከነቃ፣ በምንጭ መስኩ ላይ ያለው የአይፒ አድራሻ የዚህ ገንዳ ንብረት ከሆኑ አድራሻዎች ወደ አንዱ ይቀየራል። መተካት "የመጀመሪያው, መጀመሪያ ውጭ" የሚለውን ህግ ይከተላል. የበለጠ ግልጽ ለማድረግ አንድ ምሳሌ እንመልከት።
በአካባቢያዊ አውታረመረብ ላይ ያለ ኮምፒዩተር በአይፒ አድራሻ 192.168.1.25 ፓኬት ወደ ውጫዊው አውታረመረብ ይልካል። በ NAT ህግ ስር ይወድቃል, እና የምንጭ መስኩ ከገንዳው ወደ መጀመሪያው የአይፒ አድራሻ ተቀይሯል, በእኛ ሁኔታ 83.235.123.5 ነው. ይህንን የአይፒ ገንዳ ሲጠቀሙ የወደብ ትርጉም ጥቅም ላይ እንደማይውል ልብ ሊባል ይገባል ። ከዚህ በኋላ ኮምፒዩተር ከተመሳሳዩ የአካባቢያዊ አውታረመረብ ፣ አድራሻ ጋር ፣ ለምሳሌ ፣ 192.168.1.35 ፣ ፓኬት ወደ ውጫዊ አውታረ መረብ ከላከ እና እንዲሁም በዚህ የ NAT ደንብ ውስጥ ከወደቀ ፣ በዚህ ፓኬት ምንጭ መስክ ውስጥ ያለው የአይፒ አድራሻ ወደ ይለወጣል። 83.235.123.6. በገንዳው ውስጥ ምንም ተጨማሪ አድራሻዎች ከሌሉ, ተከታይ ግንኙነቶች ውድቅ ይደረጋሉ. ያም ማለት በዚህ አጋጣሚ 4 ኮምፒውተሮች በአንድ ጊዜ በእኛ የ NAT ህግ ስር ሊወድቁ ይችላሉ.
ቋሚ የወደብ ክልል የውስጥ እና የውጭ የአይፒ አድራሻዎችን ያገናኛል። የወደብ ትርጉም እንዲሁ ተሰናክሏል። ይህ የውስጥ አይፒ አድራሻዎችን መጀመሪያ ወይም መጨረሻ ከውጪ የአይፒ አድራሻዎች ገንዳ መጀመሪያ ወይም መጨረሻ ጋር እንዲያያይዙት ይፈቅድልዎታል። ከታች ባለው ምሳሌ ውስጥ የውስጥ አድራሻ ገንዳ 192.168.1.25 - 192.168.1.28 ወደ ውጫዊ አድራሻ ገንዳ 83.235.123.5 - 83.235.125.8 ተቀርጿል።
ወደብ ብሎክ ምደባ - ይህ የአይፒ ገንዳ ለአይፒ ገንዳ ተጠቃሚዎች የተወሰኑ ወደቦችን ለመመደብ ያገለግላል። ከአይፒ ገንዳው ራሱ በተጨማሪ ሁለት መለኪያዎች እዚህም መገለጽ አለባቸው - የማገጃው መጠን እና ለእያንዳንዱ ተጠቃሚ የተመደበው ብሎኮች ብዛት።
አሁን መድረሻ NAT ቴክኖሎጂን እንመልከት። እሱ በምናባዊ አይፒ አድራሻዎች (VIP) ላይ የተመሠረተ ነው። በመዳረሻ NAT ህጎች ስር ለሚወድቁ እሽጎች በመዳረሻ መስክ ውስጥ ያለው የአይፒ አድራሻ ይቀየራል፡ ብዙ ጊዜ የህዝብ በይነመረብ አድራሻ ወደ አገልጋይ የግል አድራሻ ይቀየራል። ምናባዊ አይፒ አድራሻዎች በፋየርዎል ፖሊሲዎች ውስጥ እንደ መድረሻ መስክ ጥቅም ላይ ይውላሉ።
የቨርቹዋል IP አድራሻዎች መደበኛ አይነት Static NAT ነው። ይህ በውጫዊ እና ውስጣዊ አድራሻዎች መካከል የአንድ ለአንድ ደብዳቤ ነው።
ከስታቲክ NAT ይልቅ፣ ምናባዊ አድራሻዎች የተወሰኑ ወደቦችን በማስተላለፍ ሊገደቡ ይችላሉ። ለምሳሌ በፖርት 8080 ላይ ካለ ውጫዊ አድራሻ ጋር የሚገናኙ ግንኙነቶችን በፖርት 80 ላይ ካለው የውስጥ አይፒ አድራሻ ጋር ግንኙነት ያድርጉ።
ከዚህ በታች ባለው ምሳሌ 172.17.10.25 አድራሻ ያለው ኮምፒውተር በፖርት 83.235.123.20 ላይ 80 አድራሻውን ለማግኘት እየሞከረ ነው። ይህ ግንኙነት በዲኤንኤቲ ህግ ስር ነው የሚወድቀው፣ ስለዚህ የመድረሻ አይፒ አድራሻው ወደ 10.10.10.10 ተቀይሯል።
ቪዲዮው የንድፈ ሃሳቡን ያብራራል እና እንዲሁም ምንጭ እና መድረሻ NATን የማዋቀር ተግባራዊ ምሳሌዎችን ይሰጣል።
በሚቀጥሉት ትምህርቶች የተጠቃሚውን የበይነመረብ ደህንነት ወደ ማረጋገጥ እንቀጥላለን። በተለይም የሚቀጥለው ትምህርት የድር ማጣራት እና የመተግበሪያ ቁጥጥር ተግባራትን ያብራራል። እንዳያመልጥዎ፣ በሚከተሉት ቻናሎች ላይ ያሉትን ዝመናዎች ይከተሉ፡
ምንጭ: hab.com