Поздравления! Добре дошли в петия урок от курса , за Разбрахме как работят политиките за сигурност. Сега е време да пуснете местните потребители в интернет. За целта в този урок ще разгледаме работата на NAT механизма.
В допълнение към пускането на потребители в Интернет, ще разгледаме и метод за публикуване на вътрешни услуги. Под изрезката има кратка теория от видеото, както и самият видео урок.
NAT (Network Address Translation) технологията е механизъм за конвертиране на IP адреси на мрежови пакети. В условията на Fortinet NAT се разделя на два типа: NAT на източника и NAT на местоназначението.
Имената говорят сами за себе си - при използване на Source NAT адресът на източника се променя, при използване на Destination NAT адресът на местоназначение се променя.
Освен това има и няколко опции за настройка на NAT - Политика на защитната стена NAT и Централен NAT.
Когато използвате първата опция, източникът и дестинацията NAT трябва да бъдат конфигурирани за всяка политика за сигурност. В този случай Source NAT използва или IP адреса на изходящия интерфейс, или предварително конфигуриран IP пул. Destination NAT използва предварително конфигуриран обект (така наречения VIP - Virtual IP) като целеви адрес.
Когато използвате Central NAT, NAT конфигурацията на източника и дестинацията се извършва за цялото устройство (или виртуален домейн) наведнъж. В този случай настройките за NAT се прилагат за всички политики в зависимост от правилата за NAT на източника и NAT на местоназначението.
Правилата за NAT източник се конфигурират в централната политика за NAT източник. NAT на местоназначението се конфигурира от менюто DNAT с помощта на IP адреси.
В този урок ще разгледаме само NAT на политиката на защитната стена - както показва практиката, тази опция за конфигурация е много по-често срещана от Central NAT.
Както вече казах, когато конфигурирате NAT на източник на правила за защитна стена, има две опции за конфигуриране: замяна на IP адреса с адреса на изходящия интерфейс или с IP адрес от предварително конфигуриран набор от IP адреси. Изглежда нещо подобно на показаното на фигурата по-долу. След това ще говоря накратко за възможните пулове, но на практика ще разгледаме само опцията с адреса на изходящия интерфейс - в нашето оформление не се нуждаем от пулове за IP адреси.
Един IP пул дефинира един или повече IP адреси, които ще бъдат използвани като адрес на източник по време на сесия. Тези IP адреси ще бъдат използвани вместо IP адреса на изходящия интерфейс на FortiGate.
Има 4 вида IP пулове, които могат да бъдат конфигурирани на FortiGate:
- свръхтовар
- Едно към едно
- Фиксиран обхват на порта
- Разпределение на порт блок
Претоварването е основният IP пул. Той преобразува IP адреси, използвайки схема много към едно или много към много. Използва се и превод на порт. Разгледайте веригата, показана на фигурата по-долу. Имаме пакет с дефинирани полета Source и Destination. Ако попада под политика на защитна стена, която позволява на този пакет достъп до външната мрежа, към него се прилага NAT правило. В резултат на това в този пакет полето Източник се заменя с един от IP адресите, посочени в IP пула.
Един към един пул също дефинира много външни IP адреси. Когато даден пакет попада под политика на защитна стена с активирано NAT правило, IP адресът в полето Източник се променя на един от адресите, принадлежащи към този пул. Замяната следва правилото „първи влязъл, пръв излязъл“. За да стане по-ясно, нека разгледаме един пример.
Компютър в локалната мрежа с IP адрес 192.168.1.25 изпраща пакет към външната мрежа. Попада под NAT правилото и полето Source се променя на първия IP адрес от пула, в нашия случай е 83.235.123.5. Струва си да се отбележи, че при използване на този IP пул не се използва превод на порт. Ако след това компютър от същата локална мрежа, с адрес, да речем, 192.168.1.35, изпрати пакет към външна мрежа и също попада под това NAT правило, IP адресът в полето Източник на този пакет ще се промени на 83.235.123.6. Ако няма повече останали адреси в пула, следващите връзки ще бъдат отхвърлени. Тоест в този случай под нашето NAT правило могат да попаднат 4 компютъра едновременно.
Fixed Port Range свързва вътрешни и външни диапазони от IP адреси. Преводът на порт също е деактивиран. Това ви позволява да свържете за постоянно началото или края на набор от вътрешни IP адреси с началото или края на набор от външни IP адреси. В примера по-долу вътрешният адресен пул 192.168.1.25 - 192.168.1.28 е съпоставен с външен адресен пул 83.235.123.5 - 83.235.125.8.
Port Block Allocation - този IP пул се използва за разпределяне на блок от портове за потребители на IP пул. В допълнение към самия IP пул тук трябва да се уточнят и два параметъра - размерът на блока и броят на блоковете, разпределени за всеки потребител.
Сега нека да разгледаме технологията Destination NAT. Базиран е на виртуални IP адреси (VIP). За пакети, които попадат под NAT правилата за местоназначение, IP адресът в полето за местоназначение се променя: обикновено публичният интернет адрес се променя на частния адрес на сървъра. Виртуалните IP адреси се използват в правилата на защитната стена като поле Дестинация.
Стандартният тип виртуални IP адреси е статичен NAT. Това е едно към едно съответствие между външни и вътрешни адреси.
Вместо статичен NAT, виртуалните адреси могат да бъдат ограничени чрез пренасочване на конкретни портове. Например, асоциирайте връзки към външен адрес на порт 8080 с връзка към вътрешен IP адрес на порт 80.
В примера по-долу компютър с адрес 172.17.10.25 се опитва да получи достъп до адрес 83.235.123.20 на порт 80. Тази връзка попада под правилото DNAT, така че целевият IP адрес се променя на 10.10.10.10.
Видеоклипът обсъжда теорията и също така предоставя практически примери за конфигуриране на NAT на източник и дестинация.
В следващите уроци ще преминем към осигуряване на безопасността на потребителите в Интернет. По-конкретно, следващият урок ще обсъди функционалността на уеб филтрирането и контрола на приложенията. За да не го пропуснете, следете актуализациите на следните канали:
Източник: www.habr.com