Grüße! Willkommen zur fünften Lektion des Kurses . Auf Wir haben herausgefunden, wie Sicherheitsrichtlinien funktionieren. Jetzt ist es an der Zeit, lokale Benutzer für das Internet freizugeben. Dazu schauen wir uns in dieser Lektion die Funktionsweise des NAT-Mechanismus an.
Neben der Freigabe von Benutzern für das Internet werden wir uns auch mit einer Methode zur Veröffentlichung interner Dienste befassen. Unterhalb des Ausschnitts finden Sie eine kurze Theorie aus dem Video sowie die Videolektion selbst.
Die NAT-Technologie (Network Address Translation) ist ein Mechanismus zur Konvertierung von IP-Adressen von Netzwerkpaketen. In Fortinet-Begriffen wird NAT in zwei Typen unterteilt: Quell-NAT und Ziel-NAT.
Die Namen sprechen für sich – bei Verwendung von Source NAT ändert sich die Quelladresse, bei Verwendung von Destination NAT ändert sich die Zieladresse.
Darüber hinaus gibt es auch mehrere Möglichkeiten, NAT einzurichten – Firewall Policy NAT und Central NAT.
Bei Verwendung der ersten Option müssen Quell- und Ziel-NAT für jede Sicherheitsrichtlinie konfiguriert werden. In diesem Fall verwendet Source NAT entweder die IP-Adresse der ausgehenden Schnittstelle oder einen vorkonfigurierten IP-Pool. Destination NAT verwendet ein vorkonfiguriertes Objekt (die sogenannte VIP – Virtual IP) als Zieladresse.
Bei Verwendung von Central NAT wird die Quell- und Ziel-NAT-Konfiguration für das gesamte Gerät (oder die virtuelle Domäne) auf einmal durchgeführt. In diesem Fall gelten die NAT-Einstellungen für alle Richtlinien, abhängig von den Quell-NAT- und Ziel-NAT-Regeln.
Quell-NAT-Regeln werden in der zentralen Quell-NAT-Richtlinie konfiguriert. Ziel-NAT wird über das DNAT-Menü mithilfe von IP-Adressen konfiguriert.
In dieser Lektion betrachten wir nur Firewall Policy NAT – wie die Praxis zeigt, ist diese Konfigurationsoption viel häufiger als Central NAT.
Wie ich bereits sagte, gibt es bei der Konfiguration von Firewall Policy Source NAT zwei Konfigurationsmöglichkeiten: Ersetzen der IP-Adresse durch die Adresse der ausgehenden Schnittstelle oder durch eine IP-Adresse aus einem vorkonfigurierten Pool von IP-Adressen. Es sieht ungefähr so aus wie in der Abbildung unten. Als nächstes werde ich kurz auf mögliche Pools eingehen, aber in der Praxis werden wir nur die Option mit der Adresse der ausgehenden Schnittstelle in Betracht ziehen – in unserem Layout haben wir keine Verwendung für Pools von IP-Adressen.
Ein IP-Pool definiert eine oder mehrere IP-Adressen, die während einer Sitzung als Quelladresse verwendet werden. Diese IP-Adressen werden anstelle der IP-Adresse der ausgehenden FortiGate-Schnittstelle verwendet.
Es gibt 4 Arten von IP-Pools, die auf FortiGate konfiguriert werden können:
- Überlastung
- Eins zu eins
- Feste Portreichweite
- Portblockzuweisung
Überlastung ist der Haupt-IP-Pool. Es konvertiert IP-Adressen mithilfe eines Viele-zu-Eins- oder Viele-zu-Viele-Schemas. Es wird auch eine Portübersetzung verwendet. Betrachten Sie die in der Abbildung unten gezeigte Schaltung. Wir haben ein Paket mit definierten Quell- und Zielfeldern. Wenn es unter eine Firewall-Richtlinie fällt, die diesem Paket den Zugriff auf das externe Netzwerk ermöglicht, wird eine NAT-Regel darauf angewendet. Infolgedessen wird in diesem Paket das Feld „Quelle“ durch eine der im IP-Pool angegebenen IP-Adressen ersetzt.
Ein One-to-One-Pool definiert auch viele externe IP-Adressen. Wenn ein Paket unter eine Firewall-Richtlinie fällt und die NAT-Regel aktiviert ist, wird die IP-Adresse im Feld „Quelle“ in eine der zu diesem Pool gehörenden Adressen geändert. Der Austausch erfolgt nach der „First in, first out“-Regel. Schauen wir uns zur Verdeutlichung ein Beispiel an.
Ein Computer im lokalen Netzwerk mit der IP-Adresse 192.168.1.25 sendet ein Paket an das externe Netzwerk. Es fällt unter die NAT-Regel und das Feld „Quelle“ wird in die erste IP-Adresse aus dem Pool geändert, in unserem Fall ist es 83.235.123.5. Es ist zu beachten, dass bei Verwendung dieses IP-Pools keine Portübersetzung verwendet wird. Wenn danach ein Computer aus demselben lokalen Netzwerk mit der Adresse beispielsweise 192.168.1.35 ein Paket an ein externes Netzwerk sendet und ebenfalls unter diese NAT-Regel fällt, ändert sich die IP-Adresse im Quellfeld dieses Pakets in 83.235.123.6. Wenn keine Adressen mehr im Pool vorhanden sind, werden nachfolgende Verbindungen abgelehnt. Das heißt, in diesem Fall können 4 Computer gleichzeitig unter unsere NAT-Regel fallen.
Der feste Portbereich verbindet interne und externe Bereiche von IP-Adressen. Die Portübersetzung ist ebenfalls deaktiviert. Dadurch können Sie den Anfang oder das Ende eines Pools interner IP-Adressen dauerhaft mit dem Anfang oder Ende eines Pools externer IP-Adressen verknüpfen. Im folgenden Beispiel wird der interne Adresspool 192.168.1.25 – 192.168.1.28 dem externen Adresspool 83.235.123.5 – 83.235.125.8 zugeordnet.
Portblock-Zuweisung – dieser IP-Pool wird verwendet, um IP-Pool-Benutzern einen Portblock zuzuweisen. Neben dem IP-Pool selbst müssen hier auch zwei Parameter angegeben werden – die Blockgröße und die Anzahl der jedem Benutzer zugewiesenen Blöcke.
Schauen wir uns nun die Destination NAT-Technologie an. Es basiert auf virtuellen IP-Adressen (VIP). Bei Paketen, die unter die Ziel-NAT-Regeln fallen, ändert sich die IP-Adresse im Zielfeld: Normalerweise ändert sich die öffentliche Internetadresse in die private Adresse des Servers. Virtuelle IP-Adressen werden in Firewall-Richtlinien als Zielfeld verwendet.
Der Standardtyp virtueller IP-Adressen ist Static NAT. Dabei handelt es sich um eine Eins-zu-eins-Entsprechung zwischen externen und internen Adressen.
Anstelle von Static NAT können virtuelle Adressen durch die Weiterleitung bestimmter Ports eingeschränkt werden. Ordnen Sie beispielsweise Verbindungen zu einer externen Adresse an Port 8080 einer Verbindung zu einer internen IP-Adresse an Port 80 zu.
Im folgenden Beispiel versucht ein Computer mit der Adresse 172.17.10.25, auf die Adresse 83.235.123.20 auf Port 80 zuzugreifen. Diese Verbindung fällt unter die DNAT-Regel, daher wird die Ziel-IP-Adresse in 10.10.10.10 geändert.
Das Video erläutert die Theorie und bietet außerdem praktische Beispiele für die Konfiguration von Quell- und Ziel-NAT.
In den nächsten Lektionen werden wir uns der Gewährleistung der Benutzersicherheit im Internet widmen. In der nächsten Lektion geht es insbesondere um die Funktionalität der Webfilterung und Anwendungssteuerung. Um es nicht zu verpassen, verfolgen Sie die Updates auf den folgenden Kanälen:
Source: habr.com