Pozdrav! Dobrodošli na petu lekciju kursa ... Uključeno Shvatili smo kako funkcionišu sigurnosne politike. Sada je vrijeme da se lokalni korisnici puste na Internet. Da bismo to učinili, u ovoj lekciji ćemo pogledati rad NAT mehanizma.
Osim puštanja korisnika na Internet, razmotrićemo i metod za objavljivanje internih usluga. Ispod reza je kratka teorija iz videa, kao i sama video lekcija.
NAT (Network Address Translation) tehnologija je mehanizam za pretvaranje IP adresa mrežnih paketa. U smislu Fortinet-a, NAT je podijeljen u dva tipa: izvorni NAT i odredišni NAT.
Imena govore sama za sebe - kada se koristi izvorni NAT, adresa izvora se mijenja, kada se koristi odredišni NAT, odredišna adresa se mijenja.
Osim toga, postoji i nekoliko opcija za postavljanje NAT-a - Politika zaštitnog zida NAT i Central NAT.
Kada koristite prvu opciju, izvorni i odredišni NAT moraju biti konfigurirani za svaku sigurnosnu politiku. U ovom slučaju, izvorni NAT koristi ili IP adresu odlaznog interfejsa ili unapred konfigurisani IP skup. Odredišni NAT koristi unapred konfigurisani objekat (tzv. VIP - Virtual IP) kao odredišnu adresu.
Kada se koristi centralni NAT, konfiguracija izvornog i odredišnog NAT-a se izvodi za cijeli uređaj (ili virtualnu domenu) odjednom. U ovom slučaju, NAT postavke se primjenjuju na sve politike, ovisno o izvornom NAT-u i odredištu NAT-a.
Izvorna NAT pravila su konfigurirana u središnjoj Source NAT politici. Odredišni NAT se konfiguriše iz DNAT menija koristeći IP adrese.
U ovoj lekciji ćemo razmotriti samo NAT politike zaštitnog zida - kao što praksa pokazuje, ova opcija konfiguracije je mnogo češća od centralnog NAT-a.
Kao što sam već rekao, kada konfigurišete NAT izvora politike zaštitnog zida, postoje dve opcije konfiguracije: zamena IP adrese adresom odlaznog interfejsa ili IP adresom iz unapred konfigurisanog skupa IP adresa. Izgleda otprilike kao na slici ispod. Zatim ću ukratko govoriti o mogućim skupovima, ali u praksi ćemo razmotriti samo opciju s adresom odlaznog sučelja - u našem izgledu nam nisu potrebni skupovi IP adresa.
IP spremište definira jednu ili više IP adresa koje će se koristiti kao izvorna adresa tijekom sesije. Ove IP adrese će se koristiti umjesto FortiGate IP adrese odlaznog interfejsa.
Postoje 4 tipa IP bazena koji se mogu konfigurirati na FortiGate-u:
- preopterećenje
- Jedan na jedan
- Fiksni opseg portova
- Dodjela bloka portova
Preopterećenje je glavni IP skup. Konvertuje IP adrese koristeći shemu više prema jednom ili više prema mnogo. Koristi se i port prevod. Razmotrite krug prikazan na donjoj slici. Imamo paket sa definisanim izvornim i odredišnim poljima. Ako spada pod politiku zaštitnog zida koja dozvoljava ovom paketu da pristupi vanjskoj mreži, na njega se primjenjuje NAT pravilo. Kao rezultat toga, u ovom paketu polje Izvor je zamijenjeno jednom od IP adresa navedenih u IP spremištu.
Jedan na jedan skup također definira mnoge vanjske IP adrese. Kada paket potpadne pod politiku zaštitnog zida sa omogućenim NAT pravilom, IP adresa u polju Izvor se mijenja u jednu od adresa koje pripadaju ovom skupu. Zamjena slijedi pravilo „prvi ušao, prvi izašao“. Da bi bilo jasnije, pogledajmo primjer.
Računar na lokalnoj mreži sa IP adresom 192.168.1.25 šalje paket u vanjsku mrežu. Potpada pod NAT pravilo, a izvorno polje se mijenja u prvu IP adresu iz skupa, u našem slučaju to je 83.235.123.5. Vrijedi napomenuti da se prilikom korištenja ovog IP spremišta ne koristi prijevod porta. Ako nakon ovoga računar iz iste lokalne mreže, sa adresom, recimo, 192.168.1.35, pošalje paket na eksternu mrežu i takođe potpada pod ovo NAT pravilo, IP adresa u polju Izvor ovog paketa će se promeniti u 83.235.123.6. Ako nema više adresa u spremištu, naknadne veze će biti odbijene. To jest, u ovom slučaju, 4 računara mogu istovremeno potpasti pod naše NAT pravilo.
Fiksni opseg portova povezuje interne i eksterne opsege IP adresa. Prijevod porta je također onemogućen. Ovo vam omogućava da trajno povežete početak ili kraj skupa internih IP adresa sa početkom ili krajem skupa eksternih IP adresa. U primjeru ispod, interno spremište adresa 192.168.1.25 - 192.168.1.28 je mapirano na vanjsko spremište adresa 83.235.123.5 - 83.235.125.8.
Dodjela bloka portova - ovo IP spremište se koristi za dodjelu bloka portova za korisnike IP bazena. Osim samog IP spremišta, ovdje se moraju specificirati i dva parametra - veličina bloka i broj blokova koji se dodjeljuju svakom korisniku.
Pogledajmo sada Destination NAT tehnologiju. Bazira se na virtuelnim IP adresama (VIP). Za pakete koji potpadaju pod odredišna NAT pravila, IP adresa u polju Odredište se mijenja: obično se javna Internet adresa mijenja u privatnu adresu servera. Virtuelne IP adrese se koriste u politikama zaštitnog zida kao polje Odredište.
Standardni tip virtuelnih IP adresa je statički NAT. Ovo je jedna-na-jedan korespondencija između eksterne i interne adrese.
Umjesto statičkog NAT-a, virtuelne adrese mogu biti ograničene prosljeđivanjem određenih portova. Na primjer, povežite veze s vanjskom adresom na portu 8080 s vezom na internu IP adresu na portu 80.
U primjeru ispod, računar sa adresom 172.17.10.25 pokušava pristupiti adresi 83.235.123.20 na portu 80. Ova veza potpada pod DNAT pravilo, tako da je odredišna IP adresa promijenjena u 10.10.10.10.
Video govori o teoriji i takođe daje praktične primere konfigurisanja izvornog i odredišnog NAT-a.
U narednim lekcijama preći ćemo na osiguranje sigurnosti korisnika na internetu. Konkretno, sljedeća lekcija će raspravljati o funkcionalnosti web filtriranja i kontrole aplikacija. Kako ga ne biste propustili, pratite ažuriranja na sljedećim kanalima:
izvor: www.habr.com