Cyfarchion! Croeso i bumed gwers y cwrs . Ymlaen Rydym wedi darganfod sut mae polisΓ―au diogelwch yn gweithio. Nawr mae'n bryd rhyddhau defnyddwyr lleol i'r Rhyngrwyd. I wneud hyn, yn y wers hon byddwn yn edrych ar weithrediad y mecanwaith NAT.
Yn ogystal Γ’ rhyddhau defnyddwyr i'r Rhyngrwyd, byddwn hefyd yn edrych ar ddull o gyhoeddi gwasanaethau mewnol. O dan y toriad mae theori fer o'r fideo, yn ogystal Γ’'r wers fideo ei hun.
Mae technoleg NAT (Cyfieithu Cyfeiriad Rhwydwaith) yn fecanwaith ar gyfer trosi cyfeiriadau IP pecynnau rhwydwaith. Yn nhermau Fortinet, rhennir NAT yn ddau fath: Ffynhonnell NAT a Destination NAT.
Mae'r enwau'n siarad drostynt eu hunain - wrth ddefnyddio Ffynhonnell NAT, mae'r cyfeiriad ffynhonnell yn newid, wrth ddefnyddio Destination NAT, mae'r cyfeiriad cyrchfan yn newid.
Yn ogystal, mae yna hefyd nifer o opsiynau ar gyfer sefydlu NAT - Firewall Policy NAT a Central NAT.
Wrth ddefnyddio'r opsiwn cyntaf, rhaid ffurfweddu NAT Source and Destination ar gyfer pob polisi diogelwch. Yn yr achos hwn, mae Ffynhonnell NAT yn defnyddio naill ai cyfeiriad IP y rhyngwyneb sy'n mynd allan neu Bwll IP wedi'i ffurfweddu ymlaen llaw. Mae NAT Cyrchfan yn defnyddio gwrthrych wedi'i ffurfweddu ymlaen llaw (yr hyn a elwir yn VIP - Virtual IP) fel y cyfeiriad cyrchfan.
Wrth ddefnyddio NAT Canolog, mae cyfluniad NAT Source and Destination yn cael ei berfformio ar gyfer y ddyfais gyfan (neu barth rhithwir) ar unwaith. Yn yr achos hwn, mae gosodiadau NAT yn berthnasol i bob polisi, yn dibynnu ar reolau Source NAT a Destination NAT.
Mae rheolau Ffynhonnell NAT wedi'u ffurfweddu yn y polisi NAT Ffynhonnell ganolog. Mae NAT Cyrchfan wedi'i ffurfweddu o'r ddewislen DNAT gan ddefnyddio cyfeiriadau IP.
Yn y wers hon, byddwn yn ystyried Polisi Firewall NAT yn unig - fel y dengys arfer, mae'r opsiwn cyfluniad hwn yn llawer mwy cyffredin na NAT Canolog.
Fel y dywedais eisoes, wrth ffurfweddu Firewall Policy Source NAT, mae dau opsiwn cyfluniad: disodli'r cyfeiriad IP gyda chyfeiriad y rhyngwyneb sy'n mynd allan, neu gyda chyfeiriad IP o gronfa o gyfeiriadau IP wedi'i ffurfweddu ymlaen llaw. Mae'n edrych yn debyg i'r un a ddangosir yn y ffigur isod. Nesaf, byddaf yn siarad yn fyr am byllau posibl, ond yn ymarferol dim ond gyda chyfeiriad y rhyngwyneb sy'n mynd allan y byddwn yn ystyried yr opsiwn - yn ein gosodiad, nid oes angen pyllau cyfeiriad IP arnom.
Mae cronfa IP yn diffinio un neu fwy o gyfeiriadau IP a fydd yn cael eu defnyddio fel y cyfeiriad ffynhonnell yn ystod sesiwn. Bydd y cyfeiriadau IP hyn yn cael eu defnyddio yn lle cyfeiriad IP rhyngwyneb allanol FortiGate.
Mae 4 math o bwll IP y gellir eu ffurfweddu ar FortiGate:
- Gorlwytho
- Un i un
- Amrediad Porthladd Sefydlog
- Dyraniad bloc porthladd
Gorlwytho yw'r prif gronfa IP. Mae'n trosi cyfeiriadau IP gan ddefnyddio cynllun llawer-i-un neu lawer-i-lawer. Defnyddir cyfieithu porthladd hefyd. Ystyriwch y gylched a ddangosir yn y ffigur isod. Mae gennym becyn gyda meysydd Ffynhonnell a Chyrchfan diffiniedig. Os yw'n dod o dan bolisi wal dΓ’n sy'n caniatΓ‘u i'r pecyn hwn gael mynediad i'r rhwydwaith allanol, mae rheol NAT yn cael ei gymhwyso iddo. O ganlyniad, yn y pecyn hwn mae'r maes Ffynhonnell yn cael ei ddisodli gan un o'r cyfeiriadau IP a nodir yn y gronfa IP.
Mae cronfa Un i Un hefyd yn diffinio llawer o gyfeiriadau IP allanol. Pan fydd pecyn yn dod o dan bolisi wal dΓ’n gyda rheol NAT wedi'i galluogi, mae'r cyfeiriad IP yn y maes Ffynhonnell yn cael ei newid i un o'r cyfeiriadau sy'n perthyn i'r gronfa hon. Mae amnewid yn dilyn y rheol βcyntaf i mewn, cyntaf allanβ. I'w wneud yn gliriach, gadewch i ni edrych ar enghraifft.
Mae cyfrifiadur ar y rhwydwaith lleol gyda chyfeiriad IP 192.168.1.25 yn anfon pecyn i'r rhwydwaith allanol. Mae'n dod o dan y rheol NAT, ac mae'r maes Ffynhonnell yn cael ei newid i'r cyfeiriad IP cyntaf o'r pwll, yn ein hachos ni mae'n 83.235.123.5. Mae'n werth nodi, wrth ddefnyddio'r pwll IP hwn, ni ddefnyddir cyfieithu porthladd. Ar Γ΄l hyn, os bydd cyfrifiadur o'r un rhwydwaith lleol, gyda chyfeiriad o, dyweder, 192.168.1.35, yn anfon pecyn i rwydwaith allanol a hefyd yn dod o dan y rheol NAT hon, bydd y cyfeiriad IP ym maes Ffynhonnell y pecyn hwn yn newid i 83.235.123.6. Os nad oes mwy o gyfeiriadau ar Γ΄l yn y gronfa, bydd cysylltiadau dilynol yn cael eu gwrthod. Hynny yw, yn yr achos hwn, gall 4 cyfrifiadur ddod o dan ein rheol NAT ar yr un pryd.
Mae Ystod Porthladd Sefydlog yn cysylltu ystodau mewnol ac allanol o gyfeiriadau IP. Mae cyfieithu porthladd hefyd wedi'i analluogi. Mae hyn yn caniatΓ‘u ichi gysylltu dechrau neu ddiwedd cronfa o gyfeiriadau IP mewnol yn barhaol Γ’ dechrau neu ddiwedd cronfa o gyfeiriadau IP allanol. Yn yr enghraifft isod, mae'r pwll cyfeiriad mewnol 192.168.1.25 - 192.168.1.28 wedi'i fapio i'r pwll cyfeiriad allanol 83.235.123.5 - 83.235.125.8.
Dyraniad Bloc Porthladd - defnyddir y pwll IP hwn i ddyrannu bloc o borthladdoedd ar gyfer defnyddwyr pwll IP. Yn ogystal Γ’'r pwll IP ei hun, rhaid nodi dau baramedr yma hefyd - maint y bloc a nifer y blociau a ddyrennir ar gyfer pob defnyddiwr.
Nawr, gadewch i ni edrych ar dechnoleg NAT Cyrchfan. Mae'n seiliedig ar gyfeiriadau IP rhithwir (VIP). Ar gyfer pecynnau sy'n dod o dan reolau NAT Cyrchfan, mae'r cyfeiriad IP yn y maes Cyrchfan yn newid: fel arfer mae'r cyfeiriad Rhyngrwyd cyhoeddus yn newid i gyfeiriad preifat y gweinydd. Defnyddir cyfeiriadau IP rhithwir mewn polisΓ―au wal dΓ’n fel y maes Cyrchfan.
Y math safonol o gyfeiriadau IP rhithwir yw NAT Statig. Mae hon yn ohebiaeth un-i-un rhwng cyfeiriadau allanol a mewnol.
Yn lle NAT Statig, gellir cyfyngu ar gyfeiriadau rhithwir trwy anfon porthladdoedd penodol ymlaen. Er enghraifft, cysylltiadau cyswllt Γ’ chyfeiriad allanol ar borthladd 8080 gyda chysylltiad Γ’ chyfeiriad IP mewnol ar borth 80.
Yn yr enghraifft isod, mae cyfrifiadur gyda'r cyfeiriad 172.17.10.25 yn ceisio cyrchu'r cyfeiriad 83.235.123.20 ar borth 80. Mae'r cysylltiad hwn yn dod o dan y rheol DNAT, felly mae cyfeiriad IP y gyrchfan yn cael ei newid i 10.10.10.10.
Mae'r fideo yn trafod y ddamcaniaeth a hefyd yn rhoi enghreifftiau ymarferol o ffurfweddu NAT Ffynhonnell a Chyrchfan.
Yn y gwersi nesaf byddwn yn symud ymlaen i sicrhau diogelwch defnyddwyr ar y Rhyngrwyd. Yn benodol, bydd y wers nesaf yn trafod ymarferoldeb hidlo gwe a rheoli cymwysiadau. Er mwyn peidio Γ’'i golli, dilynwch y diweddariadau ar y sianeli canlynol:
Ffynhonnell: hab.com