salamlar! Kursun beşinci dərsinə xoş gəlmisiniz . Haqqında Biz təhlükəsizlik siyasətlərinin necə işlədiyini anladıq. İndi yerli istifadəçiləri İnternetə buraxmağın vaxtıdır. Bunun üçün bu dərsdə NAT mexanizminin işinə baxacağıq.
İstifadəçiləri İnternetə buraxmaqla yanaşı, biz daxili xidmətlərin dərc edilməsi üsulunu da nəzərdən keçirəcəyik. Kəsimin altında videodan qısa bir nəzəriyyə, eləcə də video dərsin özü var.
NAT (Network Address Translation) texnologiyası şəbəkə paketlərinin IP ünvanlarını çevirmək üçün mexanizmdir. Fortinet baxımından NAT iki növə bölünür: Mənbə NAT və Təyinat NAT.
Adlar özləri üçün danışır - Mənbə NAT istifadə edərkən mənbə ünvanı dəyişir, Destination NAT istifadə edərkən təyinat ünvanı dəyişir.
Bundan əlavə, NAT-ı qurmaq üçün bir neçə variant da var - Firewall Siyasəti NAT və Mərkəzi NAT.
Birinci seçimdən istifadə edərkən, Mənbə və Təyinat NAT hər bir təhlükəsizlik siyasəti üçün konfiqurasiya edilməlidir. Bu halda, Mənbə NAT ya çıxan interfeysin IP ünvanından, ya da əvvəlcədən konfiqurasiya edilmiş IP Hövzəsindən istifadə edir. Təyinat NAT təyinat ünvanı kimi əvvəlcədən konfiqurasiya edilmiş obyektdən (VIP - Virtual IP adlanan) istifadə edir.
Mərkəzi NAT istifadə edərkən, Mənbə və Təyinat NAT konfiqurasiyası bütün cihaz (və ya virtual domen) üçün bir anda həyata keçirilir. Bu halda, NAT parametrləri Mənbə NAT və Təyinat NAT qaydalarından asılı olaraq bütün siyasətlərə tətbiq edilir.
Mənbə NAT qaydaları mərkəzi Mənbə NAT siyasətində konfiqurasiya edilmişdir. Təyinat NAT IP ünvanlarından istifadə edərək DNAT menyusundan konfiqurasiya edilir.
Bu dərsdə biz yalnız NAT Firewall Siyasətini nəzərdən keçirəcəyik - təcrübədən göründüyü kimi, bu konfiqurasiya seçimi Mərkəzi NAT-dan daha çox yayılmışdır.
Artıq dediyim kimi, Firewall Siyasəti Mənbə NAT-ı konfiqurasiya edərkən iki konfiqurasiya variantı var: IP ünvanını gedən interfeysin ünvanı ilə və ya əvvəlcədən konfiqurasiya edilmiş IP ünvanlar hovuzundan IP ünvanı ilə əvəz etmək. Aşağıdakı şəkildə göstərilən birinə bənzəyir. Sonra, mümkün hovuzlar haqqında qısaca danışacağam, amma praktikada biz yalnız gedən interfeysin ünvanı ilə seçimi nəzərdən keçirəcəyik - tərtibatımızda IP ünvan hovuzlarına ehtiyacımız yoxdur.
IP hovuzu sessiya zamanı mənbə ünvanı kimi istifadə olunacaq bir və ya bir neçə IP ünvanını müəyyən edir. Bu IP ünvanları FortiGate gedən interfeys IP ünvanı əvəzinə istifadə olunacaq.
FortiGate-də konfiqurasiya edilə bilən 4 növ IP hovuz var:
- Aşırı yükləmə
- Birə-bir
- Sabit Port Aralığı
- Port blokunun ayrılması
Aşırı yükləmə əsas IP hovuzudur. Çox-bir və ya çox-çox sxemindən istifadə edərək IP ünvanlarını çevirir. Port tərcüməsindən də istifadə olunur. Aşağıdakı şəkildə göstərilən dövrəni nəzərdən keçirin. Müəyyən edilmiş Mənbə və Təyinat sahələri olan bir paketimiz var. Əgər o, bu paketin xarici şəbəkəyə daxil olmasına imkan verən təhlükəsizlik duvarı siyasətinə tabedirsə, ona NAT qaydası tətbiq edilir. Nəticədə, bu paketdə Mənbə sahəsi IP hovuzunda göstərilən IP ünvanlarından biri ilə əvəz olunur.
Birdən birə hovuz çoxlu xarici IP ünvanlarını da müəyyən edir. Paket NAT qaydası işə salınmış təhlükəsizlik divarı siyasətinin altına düşdükdə, Mənbə sahəsindəki IP ünvanı bu hovuza aid olan ünvanlardan birinə dəyişdirilir. Dəyişdirmə “ilk girən, ilk çıxar” qaydasına uyğundur. Daha aydın olması üçün bir misala baxaq.
192.168.1.25 IP ünvanı olan yerli şəbəkədəki kompüter xarici şəbəkəyə paket göndərir. NAT qaydasına düşür və Mənbə sahəsi hovuzdan ilk IP ünvanına dəyişdirilir, bizim vəziyyətimizdə 83.235.123.5-dir. Qeyd etmək lazımdır ki, bu IP hovuzundan istifadə edərkən port tərcüməsi istifadə edilmir. Bundan sonra eyni lokal şəbəkədən olan, məsələn, 192.168.1.35 ünvanlı kompüter paketi xarici şəbəkəyə göndərirsə və həmçinin bu NAT qaydasına düşərsə, bu paketin Mənbə sahəsində IP ünvanı dəyişəcək. 83.235.123.6. Hovuzda daha çox ünvan qalmazsa, sonrakı bağlantılar rədd ediləcək. Yəni bu halda bizim NAT qaydamıza eyni anda 4 kompüter düşə bilər.
Sabit Port Aralığı IP ünvanlarının daxili və xarici diapazonlarını birləşdirir. Port tərcüməsi də deaktivdir. Bu, daxili IP ünvanlar hovuzunun başlanğıcını və ya sonunu xarici IP ünvanları hovuzunun başlanğıcı və ya sonu ilə daimi olaraq əlaqələndirməyə imkan verir. Aşağıdakı nümunədə 192.168.1.25 - 192.168.1.28 daxili ünvan hovuzu 83.235.123.5 - 83.235.125.8 xarici ünvan hovuzuna uyğunlaşdırılıb.
Port Block Allocation - bu IP hovuz IP hovuz istifadəçiləri üçün portlar blokunu ayırmaq üçün istifadə olunur. İP hovuzunun özündən əlavə, burada iki parametr də göstərilməlidir - blok ölçüsü və hər bir istifadəçi üçün ayrılmış blokların sayı.
İndi Destination NAT texnologiyasına baxaq. O, virtual IP ünvanlarına (VIP) əsaslanır. Təyinat NAT qaydalarına daxil olan paketlər üçün Təyinat sahəsində IP ünvanı dəyişir: adətən ictimai İnternet ünvanı serverin şəxsi ünvanına dəyişir. Virtual IP ünvanları təhlükəsizlik divarı siyasətlərində Təyinat sahəsi kimi istifadə olunur.
Virtual IP ünvanlarının standart növü Statik NAT-dır. Bu, xarici və daxili ünvanlar arasında bir-bir yazışmadır.
Statik NAT əvəzinə virtual ünvanlar xüsusi portların yönləndirilməsi ilə məhdudlaşdırıla bilər. Məsələn, 8080-ci portdakı xarici ünvanla əlaqəni 80-ci portdakı daxili IP ünvanı ilə əlaqələndirin.
Aşağıdakı nümunədə 172.17.10.25 ünvanlı kompüter 83.235.123.20 portda 80 ünvanına daxil olmağa çalışır. Bu əlaqə DNAT qaydasına aiddir, buna görə təyinat IP ünvanı 10.10.10.10-a dəyişdirilir.
Video nəzəriyyəni müzakirə edir və həmçinin Mənbə və Təyinat NAT-ın konfiqurasiyasına dair praktiki nümunələr təqdim edir.
Növbəti dərslərdə İnternetdə istifadəçi təhlükəsizliyinin təmin edilməsinə keçəcəyik. Konkret olaraq, növbəti dərsdə veb filtrləmə və tətbiqlərə nəzarətin funksionallığı müzakirə olunacaq. Onu qaçırmamaq üçün aşağıdakı kanallardakı yenilikləri izləyin:
Mənbə: www.habr.com