Χαιρετίσματα! Καλώς ήρθατε στο πέμπτο μάθημα του μαθήματος . επί Έχουμε καταλάβει πώς λειτουργούν οι πολιτικές ασφαλείας. Τώρα ήρθε η ώρα να απελευθερώσετε τοπικούς χρήστες στο Διαδίκτυο. Για να γίνει αυτό, σε αυτό το μάθημα θα εξετάσουμε τη λειτουργία του μηχανισμού NAT.
Εκτός από την απελευθέρωση των χρηστών στο Διαδίκτυο, θα εξετάσουμε επίσης μια μέθοδο για τη δημοσίευση εσωτερικών υπηρεσιών. Κάτω από την περικοπή υπάρχει μια σύντομη θεωρία από το βίντεο, καθώς και το ίδιο το μάθημα βίντεο.
Η τεχνολογία NAT (Network Address Translation) είναι ένας μηχανισμός μετατροπής διευθύνσεων IP πακέτων δικτύου. Με όρους Fortinet, το NAT χωρίζεται σε δύο τύπους: NAT πηγής και NAT προορισμού.
Τα ονόματα μιλούν από μόνα τους - όταν χρησιμοποιείτε το Source NAT, η διεύθυνση προέλευσης αλλάζει, όταν χρησιμοποιείτε το Destination NAT, αλλάζει η διεύθυνση προορισμού.
Επιπλέον, υπάρχουν επίσης αρκετές επιλογές για τη ρύθμιση NAT - Πολιτική τείχους προστασίας NAT και Central NAT.
Όταν χρησιμοποιείτε την πρώτη επιλογή, το Source and Destination NAT πρέπει να διαμορφωθούν για κάθε πολιτική ασφαλείας. Σε αυτήν την περίπτωση, το Source NAT χρησιμοποιεί είτε τη διεύθυνση IP της εξερχόμενης διεπαφής είτε μια προρυθμισμένη συγκέντρωση IP. Το Destination NAT χρησιμοποιεί ένα προ-ρυθμισμένο αντικείμενο (το λεγόμενο VIP - Virtual IP) ως διεύθυνση προορισμού.
Όταν χρησιμοποιείτε το Central NAT, η διαμόρφωση NAT πηγής και προορισμού εκτελείται για ολόκληρη τη συσκευή (ή τον εικονικό τομέα) ταυτόχρονα. Σε αυτήν την περίπτωση, οι ρυθμίσεις NAT ισχύουν για όλες τις πολιτικές, ανάλογα με τους κανόνες NAT προέλευσης και NAT προορισμού.
Οι κανόνες NAT προέλευσης διαμορφώνονται στην πολιτική κεντρικής πηγής NAT. Το NAT προορισμού διαμορφώνεται από το μενού DNAT χρησιμοποιώντας διευθύνσεις IP.
Σε αυτό το μάθημα, θα εξετάσουμε μόνο την πολιτική τείχους προστασίας NAT - όπως δείχνει η πρακτική, αυτή η επιλογή διαμόρφωσης είναι πολύ πιο κοινή από το Central NAT.
Όπως είπα ήδη, όταν ρυθμίζετε τις παραμέτρους του Προέλευσης πολιτικής τείχους προστασίας NAT, υπάρχουν δύο επιλογές ρύθμισης παραμέτρων: αντικατάσταση της διεύθυνσης IP με τη διεύθυνση της εξερχόμενης διεπαφής ή με μια διεύθυνση IP από μια προρυθμισμένη ομάδα διευθύνσεων IP. Μοιάζει κάπως με αυτό που φαίνεται στο παρακάτω σχήμα. Στη συνέχεια, θα μιλήσω εν συντομία για πιθανές ομάδες, αλλά στην πράξη θα εξετάσουμε μόνο την επιλογή με τη διεύθυνση της εξερχόμενης διεπαφής - στη διάταξή μας, δεν χρειαζόμαστε ομάδες διευθύνσεων IP.
Μια ομάδα IP ορίζει μία ή περισσότερες διευθύνσεις IP που θα χρησιμοποιηθούν ως διεύθυνση πηγής κατά τη διάρκεια μιας συνεδρίας. Αυτές οι διευθύνσεις IP θα χρησιμοποιηθούν αντί για τη διεύθυνση IP της εξερχόμενης διεπαφής FortiGate.
Υπάρχουν 4 τύποι ομάδων IP που μπορούν να διαμορφωθούν στο FortiGate:
- Υπερφόρτωση
- Ενα προς ένα
- Σταθερή εμβέλεια λιμένων
- Κατανομή μπλοκ θυρών
Η υπερφόρτωση είναι η κύρια ομάδα IP. Μετατρέπει διευθύνσεις IP χρησιμοποιώντας ένα σχήμα πολλά-προς-ένα ή πολλά-προς-πολλά. Χρησιμοποιείται επίσης η μετάφραση θύρας. Εξετάστε το κύκλωμα που φαίνεται στο παρακάτω σχήμα. Έχουμε ένα πακέτο με καθορισμένα πεδία Πηγή και Προορισμός. Εάν εμπίπτει σε μια πολιτική τείχους προστασίας που επιτρέπει σε αυτό το πακέτο να έχει πρόσβαση στο εξωτερικό δίκτυο, εφαρμόζεται ένας κανόνας NAT σε αυτό. Ως αποτέλεσμα, σε αυτό το πακέτο το πεδίο Source αντικαθίσταται με μία από τις διευθύνσεις IP που καθορίζονται στο χώρο συγκέντρωσης IP.
Η ομάδα One to One ορίζει επίσης πολλές εξωτερικές διευθύνσεις IP. Όταν ένα πακέτο εμπίπτει σε μια πολιτική τείχους προστασίας με ενεργοποιημένο τον κανόνα NAT, η διεύθυνση IP στο πεδίο Source αλλάζει σε μία από τις διευθύνσεις που ανήκουν σε αυτό το pool. Η αντικατάσταση ακολουθεί τον κανόνα «πρώτος μέσα, πρώτος έξω». Για να γίνει πιο σαφές, ας δούμε ένα παράδειγμα.
Ένας υπολογιστής στο τοπικό δίκτυο με διεύθυνση IP 192.168.1.25 στέλνει ένα πακέτο στο εξωτερικό δίκτυο. Εμπίπτει στον κανόνα NAT και το πεδίο Source αλλάζει στην πρώτη διεύθυνση IP από το pool, στην περίπτωσή μας είναι 83.235.123.5. Αξίζει να σημειωθεί ότι κατά τη χρήση αυτής της ομάδας IP, δεν χρησιμοποιείται μετάφραση θύρας. Εάν μετά από αυτό ένας υπολογιστής από το ίδιο τοπικό δίκτυο, με διεύθυνση, ας πούμε, 192.168.1.35, στείλει ένα πακέτο σε ένα εξωτερικό δίκτυο και επίσης εμπίπτει σε αυτόν τον κανόνα NAT, η διεύθυνση IP στο πεδίο Προέλευση αυτού του πακέτου θα αλλάξει σε 83.235.123.6. Εάν δεν υπάρχουν άλλες διευθύνσεις στην πισίνα, οι επόμενες συνδέσεις θα απορριφθούν. Δηλαδή, σε αυτήν την περίπτωση, 4 υπολογιστές μπορούν να υπάγονται στον κανόνα NAT ταυτόχρονα.
Το Fixed Port Range συνδέει εσωτερικές και εξωτερικές περιοχές διευθύνσεων IP. Η μετάφραση θύρας είναι επίσης απενεργοποιημένη. Αυτό σας επιτρέπει να συσχετίζετε μόνιμα την αρχή ή το τέλος μιας ομάδας εσωτερικών διευθύνσεων IP με την αρχή ή το τέλος μιας ομάδας εξωτερικών διευθύνσεων IP. Στο παρακάτω παράδειγμα, η εσωτερική ομάδα διευθύνσεων 192.168.1.25 - 192.168.1.28 αντιστοιχίζεται στην εξωτερική ομάδα διευθύνσεων 83.235.123.5 - 83.235.125.8.
Εκχώρηση μπλοκ θυρών - αυτή η ομάδα IP χρησιμοποιείται για την εκχώρηση ενός μπλοκ θυρών για χρήστες της ομάδας IP. Εκτός από την ίδια τη συγκέντρωση IP, δύο παράμετροι πρέπει επίσης να καθοριστούν εδώ - το μέγεθος του μπλοκ και ο αριθμός των μπλοκ που έχουν εκχωρηθεί για κάθε χρήστη.
Τώρα ας δούμε την τεχνολογία Destination NAT. Βασίζεται σε εικονικές διευθύνσεις IP (VIP). Για πακέτα που εμπίπτουν στους κανόνες NAT προορισμού, η διεύθυνση IP στο πεδίο Προορισμός αλλάζει: συνήθως η δημόσια διεύθυνση Διαδικτύου αλλάζει στην ιδιωτική διεύθυνση του διακομιστή. Οι εικονικές διευθύνσεις IP χρησιμοποιούνται στις πολιτικές τείχους προστασίας ως πεδίο Προορισμός.
Ο τυπικός τύπος εικονικών διευθύνσεων IP είναι το Static NAT. Αυτή είναι μια αντιστοιχία ένα προς ένα μεταξύ εξωτερικών και εσωτερικών διευθύνσεων.
Αντί για Static NAT, οι εικονικές διευθύνσεις μπορούν να περιοριστούν με την προώθηση συγκεκριμένων θυρών. Για παράδειγμα, συσχετίστε τις συνδέσεις σε μια εξωτερική διεύθυνση στη θύρα 8080 με μια σύνδεση με μια εσωτερική διεύθυνση IP στη θύρα 80.
Στο παρακάτω παράδειγμα, ένας υπολογιστής με τη διεύθυνση 172.17.10.25 προσπαθεί να αποκτήσει πρόσβαση στη διεύθυνση 83.235.123.20 στη θύρα 80. Αυτή η σύνδεση εμπίπτει στον κανόνα DNAT, επομένως η διεύθυνση IP προορισμού αλλάζει σε 10.10.10.10.
Το βίντεο συζητά τη θεωρία και παρέχει επίσης πρακτικά παραδείγματα ρύθμισης παραμέτρων Πηγής και Προορισμού NAT.
Στα επόμενα μαθήματα θα προχωρήσουμε στη διασφάλιση της ασφάλειας των χρηστών στο Διαδίκτυο. Συγκεκριμένα, το επόμενο μάθημα θα συζητήσει τη λειτουργικότητα του φιλτραρίσματος ιστού και τον έλεγχο εφαρμογών. Για να μην το χάσετε, ακολουθήστε τις ενημερώσεις στα παρακάτω κανάλια:
Πηγή: www.habr.com