تحيات! مرحبا بكم في الدرس الخامس من الدورة . في لقد اكتشفنا كيفية عمل السياسات الأمنية. حان الوقت الآن لإطلاق المستخدمين المحليين على الإنترنت. وللقيام بذلك، سنلقي نظرة في هذا الدرس على تشغيل آلية NAT.
بالإضافة إلى إطلاق المستخدمين على الإنترنت، سننظر أيضًا في طريقة لنشر الخدمات الداخلية. يوجد أسفل المقطع نظرية مختصرة من الفيديو، بالإضافة إلى درس الفيديو نفسه.
تقنية NAT (ترجمة عنوان الشبكة) هي آلية لتحويل عناوين IP لحزم الشبكة. من حيث Fortinet، ينقسم NAT إلى نوعين: NAT المصدر وNAT الوجهة.
الأسماء تتحدث عن نفسها - عند استخدام Source NAT، يتغير عنوان المصدر، وعند استخدام Destination NAT، يتغير عنوان الوجهة.
بالإضافة إلى ذلك، هناك أيضًا العديد من الخيارات لإعداد NAT - سياسة جدار الحماية NAT وNAT المركزية.
عند استخدام الخيار الأول، يجب تكوين المصدر والوجهة NAT لكل سياسة أمان. في هذه الحالة، يستخدم مصدر NAT إما عنوان IP الخاص بالواجهة الصادرة أو تجمع IP الذي تم تكوينه مسبقًا. يستخدم Destination NAT كائنًا تم تكوينه مسبقًا (ما يسمى VIP - Virtual IP) كعنوان الوجهة.
عند استخدام NAT المركزي، يتم تنفيذ تكوين NAT المصدر والوجهة للجهاز بأكمله (أو المجال الظاهري) في وقت واحد. في هذه الحالة، تنطبق إعدادات NAT على كافة السياسات، اعتمادًا على قواعد NAT المصدر وNAT الوجهة.
يتم تكوين قواعد NAT المصدر في سياسة NAT المصدر المركزية. يتم تكوين الوجهة NAT من قائمة DNAT باستخدام عناوين IP.
في هذا الدرس، سننظر فقط في سياسة جدار الحماية NAT - كما تظهر الممارسة، فإن خيار التكوين هذا أكثر شيوعًا من NAT المركزي.
كما قلت بالفعل، عند تكوين مصدر سياسة جدار الحماية NAT، هناك خياران للتكوين: استبدال عنوان IP بعنوان الواجهة الصادرة، أو بعنوان IP من مجموعة عناوين IP التي تم تكوينها مسبقًا. يبدو مثل ما هو موضح في الشكل أدناه. بعد ذلك، سأتحدث بإيجاز عن التجمعات المحتملة، ولكن في الممارسة العملية سننظر فقط في الخيار الذي يحتوي على عنوان الواجهة الصادرة - في تخطيطنا، لا نحتاج إلى تجمعات عناوين IP.
يحدد تجمع IP واحدًا أو أكثر من عناوين IP التي سيتم استخدامها كعنوان المصدر أثناء الجلسة. سيتم استخدام عناوين IP هذه بدلاً من عنوان IP لواجهة FortiGate الصادرة.
هناك 4 أنواع من تجمعات IP التي يمكن تهيئتها على FortiGate:
- الزائد
- واحد لواحد
- نطاق المنفذ الثابت
- تخصيص كتلة المنفذ
التحميل الزائد هو تجمع IP الرئيسي. يقوم بتحويل عناوين IP باستخدام نظام متعدد إلى واحد أو متعدد إلى متعدد. يتم استخدام ترجمة المنفذ أيضًا. خذ بعين الاعتبار الدائرة الموضحة في الشكل أدناه. لدينا حزمة تحتوي على حقول المصدر والوجهة المحددة. إذا كانت تخضع لسياسة جدار الحماية التي تسمح لهذه الحزمة بالوصول إلى الشبكة الخارجية، فسيتم تطبيق قاعدة NAT عليها. ونتيجة لذلك، يتم استبدال حقل المصدر في هذه الحزمة بأحد عناوين IP المحددة في تجمع IP.
يحدد تجمع One to One أيضًا العديد من عناوين IP الخارجية. عندما تندرج الحزمة ضمن سياسة جدار الحماية مع تمكين قاعدة NAT، يتم تغيير عنوان IP الموجود في حقل المصدر إلى أحد العناوين التي تنتمي إلى هذا التجمع. الاستبدال يتبع قاعدة "ما يدخل أولاً يخرج أولاً". لجعل الأمر أكثر وضوحا، دعونا نلقي نظرة على مثال.
يرسل جهاز كمبيوتر على الشبكة المحلية بعنوان IP 192.168.1.25 حزمة إلى الشبكة الخارجية. إنه يقع ضمن قاعدة NAT، ويتم تغيير حقل المصدر إلى عنوان IP الأول من التجمع، وهو في حالتنا 83.235.123.5. تجدر الإشارة إلى أنه عند استخدام تجمع IP هذا، لا يتم استخدام ترجمة المنفذ. إذا قام بعد ذلك جهاز كمبيوتر من نفس الشبكة المحلية، بعنوان، على سبيل المثال، 192.168.1.35، بإرسال حزمة إلى شبكة خارجية ويقع أيضًا ضمن قاعدة NAT هذه، فسيتغير عنوان IP في حقل المصدر لهذه الحزمة إلى 83.235.123.6. إذا لم يكن هناك المزيد من العناوين المتبقية في التجمع، فسيتم رفض الاتصالات اللاحقة. وهذا هو، في هذه الحالة، يمكن أن تندرج 4 أجهزة كمبيوتر تحت قاعدة NAT الخاصة بنا في نفس الوقت.
يربط نطاق المنفذ الثابت النطاقات الداخلية والخارجية لعناوين IP. تم تعطيل ترجمة المنفذ أيضًا. يتيح لك ذلك ربط بداية أو نهاية مجموعة عناوين IP الداخلية بشكل دائم ببداية أو نهاية مجموعة عناوين IP الخارجية. في المثال أدناه، تم تعيين تجمع العناوين الداخلي 192.168.1.25 - 192.168.1.28 إلى تجمع العناوين الخارجي 83.235.123.5 - 83.235.125.8.
تخصيص كتلة المنفذ - يتم استخدام تجمع IP هذا لتخصيص كتلة من المنافذ لمستخدمي تجمع IP. بالإضافة إلى تجمع IP نفسه، يجب أيضًا تحديد معلمتين هنا - حجم الكتلة وعدد الكتل المخصصة لكل مستخدم.
الآن دعونا نلقي نظرة على تقنية Destination NAT. يعتمد على عناوين IP الافتراضية (VIP). بالنسبة للحزم التي تندرج ضمن قواعد Destination NAT، يتغير عنوان IP في حقل الوجهة: عادةً ما يتغير عنوان الإنترنت العام إلى العنوان الخاص للخادم. تُستخدم عناوين IP الافتراضية في سياسات جدار الحماية كحقل الوجهة.
النوع القياسي لعناوين IP الافتراضية هو Static NAT. هذه مراسلات فردية بين العناوين الخارجية والداخلية.
بدلاً من Static NAT، يمكن تقييد العناوين الافتراضية عن طريق إعادة توجيه منافذ معينة. على سبيل المثال، قم بربط الاتصالات بعنوان خارجي على المنفذ 8080 مع اتصال بعنوان IP داخلي على المنفذ 80.
في المثال أدناه، يحاول جهاز الكمبيوتر الذي يحمل العنوان 172.17.10.25 الوصول إلى العنوان 83.235.123.20 على المنفذ 80. يقع هذا الاتصال ضمن قاعدة DNAT، لذلك يتم تغيير عنوان IP الوجهة إلى 10.10.10.10.
يناقش الفيديو النظرية ويقدم أيضًا أمثلة عملية لتكوين المصدر والوجهة NAT.
وفي الدروس القادمة سننتقل إلى ضمان سلامة المستخدم على الإنترنت. وعلى وجه التحديد، سيناقش الدرس التالي وظيفة تصفية الويب والتحكم في التطبيقات. وحتى لا يفوتك تابع التحديثات على القنوات التالية:
المصدر: www.habr.com