Pozdravy! Vítejte u páté lekce kurzu . Na Zjistili jsme, jak fungují bezpečnostní politiky. Nyní je čas uvolnit místní uživatele na internet. Za tímto účelem se v této lekci podíváme na fungování mechanismu NAT.
Kromě uvolnění uživatelů na internet se podíváme také na způsob publikování interních služeb. Pod sestřihem je stručná teorie z videa a také samotná videolekce.
Technologie NAT (Network Address Translation) je mechanismus pro převod IP adres síťových paketů. Z hlediska Fortinetu se NAT dělí na dva typy: Source NAT a Destination NAT.
Názvy mluví samy za sebe – při použití Source NAT se změní zdrojová adresa, při použití Destination NAT se změní cílová adresa.
Kromě toho existuje také několik možností pro nastavení NAT - Firewall Policy NAT a Central NAT.
Při použití první možnosti musí být pro každou bezpečnostní politiku nakonfigurován zdrojový a cílový NAT. V tomto případě Source NAT používá buď IP adresu odchozího rozhraní, nebo předem nakonfigurovaný IP Pool. Cílový NAT používá jako cílovou adresu předem nakonfigurovaný objekt (tzv. VIP - Virtual IP).
Při použití Central NAT se konfigurace Source a Destination NAT provádí pro celé zařízení (nebo virtuální doménu) najednou. V tomto případě platí nastavení NAT pro všechny zásady v závislosti na pravidlech Source NAT a Destination NAT.
Pravidla Source NAT se konfigurují v centrální zásadě Source NAT. Cílový NAT se konfiguruje z nabídky DNAT pomocí IP adres.
V této lekci se budeme zabývat pouze Firewall Policy NAT - jak ukazuje praxe, tato možnost konfigurace je mnohem běžnější než Central NAT.
Jak jsem již řekl, při konfiguraci Firewall Policy Source NAT existují dvě možnosti konfigurace: nahrazení IP adresy adresou odchozího rozhraní nebo IP adresou z předkonfigurovaného fondu IP adres. Vypadá to asi jako na obrázku níže. Dále stručně pohovořím o možných poolech, ale v praxi budeme zvažovat pouze možnost s adresou odchozího rozhraní – v našem rozložení nepotřebujeme pooly IP adres.
Fond IP definuje jednu nebo více adres IP, které budou použity jako zdrojová adresa během relace. Tyto IP adresy budou použity místo IP adresy odchozího rozhraní FortiGate.
Na FortiGate lze konfigurovat 4 typy IP poolů:
- Přetížení
- Jeden na jednoho
- Pevný rozsah portů
- Alokace bloku portu
Přetížení je hlavní fond IP. Převádí IP adresy pomocí schématu many-to-one nebo many-to-many. Používá se také překlad portů. Zvažte obvod znázorněný na obrázku níže. Máme balíček s definovanými poli Zdroj a Cíl. Pokud spadá pod zásady brány firewall, které umožňují tomuto paketu přístup k externí síti, použije se na něj pravidlo NAT. V důsledku toho je v tomto paketu pole Zdroj nahrazeno jednou z adres IP zadaných ve fondu IP.
Fond One to One také definuje mnoho externích IP adres. Když paket spadá pod zásady brány firewall s povoleným pravidlem NAT, adresa IP v poli Zdroj se změní na jednu z adres patřících do tohoto fondu. Výměna se řídí pravidlem „první dovnitř, první ven“. Aby to bylo jasnější, podívejme se na příklad.
Počítač v místní síti s IP adresou 192.168.1.25 odešle paket do externí sítě. Spadá pod pravidlo NAT a pole Zdroj se změní na první IP adresu z fondu, v našem případě je to 83.235.123.5. Stojí za zmínku, že při použití tohoto fondu IP se nepoužívá překlad portů. Pokud poté počítač ze stejné místní sítě, s adresou například 192.168.1.35, odešle paket do externí sítě a také spadá pod toto pravidlo NAT, IP adresa v poli Zdroj tohoto paketu se změní na 83.235.123.6. Pokud ve fondu nezbývají žádné další adresy, následná připojení budou odmítnuta. To znamená, že v tomto případě mohou pod naše pravidlo NAT spadat 4 počítače současně.
Pevný rozsah portů propojuje interní a externí rozsahy IP adres. Překlad portů je také zakázán. To vám umožní trvale přiřadit začátek nebo konec fondu interních IP adres k začátku nebo konci fondu externích IP adres. V níže uvedeném příkladu je interní fond adres 192.168.1.25 - 192.168.1.28 mapován na externí fond adres 83.235.123.5 - 83.235.125.8.
Port Block Allocation - tento fond IP se používá k přidělení bloku portů pro uživatele fondu IP. Kromě samotného IP poolu je zde nutné zadat také dva parametry – velikost bloku a počet bloků přidělených pro každého uživatele.
Nyní se podíváme na technologii Destination NAT. Je založen na virtuálních IP adresách (VIP). U paketů, které spadají pod pravidla Destination NAT, se IP adresa v poli Destination změní: obvykle se veřejná internetová adresa změní na soukromou adresu serveru. Virtuální adresy IP se v zásadách brány firewall používají jako pole Cíl.
Standardní typ virtuálních IP adres je Static NAT. Jedná se o vzájemnou korespondenci mezi externími a interními adresami.
Místo statického NAT lze virtuální adresy omezit přesměrováním konkrétních portů. Například spojte připojení k externí adrese na portu 8080 s připojením k interní adrese IP na portu 80.
V níže uvedeném příkladu se počítač s adresou 172.17.10.25 pokouší o přístup k adrese 83.235.123.20 na portu 80. Toto připojení spadá pod pravidlo DNAT, takže cílová IP adresa se změní na 10.10.10.10.
Video pojednává o teorii a také poskytuje praktické příklady konfigurace Source a Destination NAT.
V dalších lekcích přejdeme k zajištění bezpečnosti uživatelů na internetu. Konkrétně další lekce pojedná o funkcionalitě filtrování webu a ovládání aplikací. Abyste to nezmeškali, sledujte aktualizace na následujících kanálech:
Zdroj: www.habr.com