Vær hilset! Velkommen til kursets femte lektion . på Vi har fundet ud af, hvordan sikkerhedspolitikker fungerer. Nu er det tid til at frigive lokale brugere til internettet. For at gøre dette vil vi i denne lektion se på driften af NAT-mekanismen.
Udover at frigive brugere til internettet, vil vi også se på en metode til udgivelse af interne tjenester. Under klippet er en kort teori fra videoen, samt selve videotimen.
NAT-teknologi (Network Address Translation) er en mekanisme til at konvertere IP-adresser på netværkspakker. I Fortinet-termer er NAT opdelt i to typer: Source NAT og Destination NAT.
Navnene taler for sig selv - når du bruger Source NAT, ændres kildeadressen, når du bruger Destination NAT, ændres destinationsadressen.
Derudover er der også flere muligheder for opsætning af NAT - Firewall Policy NAT og Central NAT.
Når du bruger den første mulighed, skal Kilde og Destination NAT konfigureres for hver sikkerhedspolitik. I dette tilfælde bruger Source NAT enten IP-adressen på den udgående grænseflade eller en forudkonfigureret IP-pool. Destination NAT bruger et forudkonfigureret objekt (den såkaldte VIP - Virtual IP) som destinationsadresse.
Når du bruger Central NAT, udføres kilde- og destinations-NAT-konfigurationen for hele enheden (eller det virtuelle domæne) på én gang. I dette tilfælde gælder NAT-indstillinger for alle politikker, afhængigt af reglerne for Source NAT og Destination NAT.
Kilde-NAT-regler er konfigureret i den centrale kilde-NAT-politik. Destinations-NAT konfigureres fra DNAT-menuen ved hjælp af IP-adresser.
I denne lektion vil vi kun overveje Firewall Policy NAT - som praksis viser, er denne konfigurationsmulighed meget mere almindelig end Central NAT.
Som jeg allerede har sagt, når du konfigurerer Firewall Policy Source NAT, er der to konfigurationsmuligheder: at erstatte IP-adressen med adressen på den udgående grænseflade eller med en IP-adresse fra en forudkonfigureret pulje af IP-adresser. Det ligner noget, der er vist på figuren nedenfor. Dernæst vil jeg kort fortælle om mulige puljer, men i praksis vil vi kun overveje muligheden med adressen på det udgående interface – i vores layout har vi ikke brug for IP-adressepuljer.
En IP-pulje definerer en eller flere IP-adresser, der vil blive brugt som kildeadresse under en session. Disse IP-adresser vil blive brugt i stedet for FortiGates udgående interface IP-adresse.
Der er 4 typer IP-puljer, der kan konfigureres på FortiGate:
- Overbelastning
- En til en
- Fast havneområde
- Tildeling af havneblok
Overbelastning er den primære IP-pulje. Det konverterer IP-adresser ved hjælp af en mange-til-en- eller mange-til-mange-ordning. Portoversættelse bruges også. Overvej kredsløbet vist i figuren nedenfor. Vi har en pakke med definerede Kilde- og Destinationsfelter. Hvis den kommer under en firewall-politik, der tillader denne pakke at få adgang til det eksterne netværk, anvendes en NAT-regel på den. Som følge heraf erstattes kildefeltet i denne pakke med en af de IP-adresser, der er angivet i IP-puljen.
En én til én-pulje definerer også mange eksterne IP-adresser. Når en pakke falder ind under en firewallpolitik med NAT-reglen aktiveret, ændres IP-adressen i feltet Kilde til en af adresserne, der tilhører denne pulje. Udskiftning følger "først ind, først ud"-reglen. For at gøre det klarere, lad os se på et eksempel.
En computer på det lokale netværk med IP-adressen 192.168.1.25 sender en pakke til det eksterne netværk. Det falder ind under NAT-reglen, og kildefeltet ændres til den første IP-adresse fra puljen, i vores tilfælde er det 83.235.123.5. Det er værd at bemærke, at når man bruger denne IP-pulje, bruges portoversættelse ikke. Hvis efter dette en computer fra det samme lokale netværk, med en adresse på f.eks. 192.168.1.35, sender en pakke til et eksternt netværk og også falder ind under denne NAT-regel, vil IP-adressen i kildefeltet for denne pakke ændres til 83.235.123.6. Hvis der ikke er flere adresser tilbage i puljen, vil efterfølgende forbindelser blive afvist. Det vil sige, at i dette tilfælde kan 4 computere falde ind under vores NAT-regel på samme tid.
Fixed Port Range forbinder interne og eksterne områder af IP-adresser. Portoversættelse er også deaktiveret. Dette giver dig mulighed for permanent at knytte begyndelsen eller slutningen af en pulje af interne IP-adresser til begyndelsen eller slutningen af en pulje af eksterne IP-adresser. I eksemplet nedenfor er den interne adressepulje 192.168.1.25 - 192.168.1.28 knyttet til den eksterne adressepulje 83.235.123.5 - 83.235.125.8.
Port Block Allocation - denne IP-pulje bruges til at allokere en blok af porte til IP-poolbrugere. Ud over selve IP-puljen skal der også angives to parametre her - blokstørrelsen og antallet af blokke tildelt for hver bruger.
Lad os nu se på Destination NAT-teknologi. Det er baseret på virtuelle IP-adresser (VIP). For pakker, der falder ind under Destination NAT-reglerne, ændres IP-adressen i Destination-feltet: normalt ændres den offentlige internetadresse til serverens private adresse. Virtuelle IP-adresser bruges i firewallpolitikker som destinationsfeltet.
Standardtypen af virtuelle IP-adresser er Static NAT. Dette er en en-til-en korrespondance mellem eksterne og interne adresser.
I stedet for statisk NAT kan virtuelle adresser begrænses ved at videresende specifikke porte. Tilknyt for eksempel forbindelser til en ekstern adresse på port 8080 med en forbindelse til en intern IP-adresse på port 80.
I eksemplet nedenfor forsøger en computer med adressen 172.17.10.25 at få adgang til adressen 83.235.123.20 på port 80. Denne forbindelse falder ind under DNAT-reglen, så destinations-IP-adressen ændres til 10.10.10.10.
Videoen diskuterer teorien og giver også praktiske eksempler på konfiguration af kilde- og destinations-NAT.
I de næste lektioner vil vi gå videre til at sikre brugersikkerhed på internettet. Specifikt vil den næste lektion diskutere funktionaliteten af webfiltrering og applikationskontrol. For ikke at gå glip af det, følg opdateringerne på følgende kanaler:
Kilde: www.habr.com