Saluton! Bonvenon al la kvina leciono de la kurso . On Ni eksciis kiel funkcias sekurecaj politikoj. Nun estas tempo liberigi lokajn uzantojn en Interreton. Por fari tion, en ĉi tiu leciono ni rigardos la funkciadon de la NAT-mekanismo.
Krom liberigi uzantojn al Interreto, ni ankaŭ rigardos metodon por eldoni internajn servojn. Sub la tranĉo estas mallonga teorio de la video, same kiel la videoleciono mem.
NAT (Network Address Translation) teknologio estas mekanismo por konverti IP-adresojn de retpakoj. En Fortinet-esprimoj, NAT estas dividita en du tipojn: Fonto NAT kaj Destination NAT.
La nomoj parolas por si mem - kiam oni uzas Font-NAT, la fontadreso ŝanĝiĝas, kiam oni uzas Destination NAT, la cel-adreso ŝanĝiĝas.
Krome, ekzistas ankaŭ pluraj ebloj por agordi NAT - Firewall Policy NAT kaj Centra NAT.
Kiam vi uzas la unuan opcion, Fonto kaj Celo NAT devas esti agorditaj por ĉiu sekureca politiko. En ĉi tiu kazo, Fonto NAT uzas aŭ la IP-adreson de la eliranta interfaco aŭ antaŭ-agordita IP Pool. Celo NAT uzas antaŭ-konfiguritan objekton (la tielnomita VIP - Virtuala IP) kiel la cela adreso.
Kiam vi uzas Centran NAT, la agordo de Fonto kaj Celo NAT estas farita por la tuta aparato (aŭ virtuala domajno) samtempe. En ĉi tiu kazo, NAT-agordoj validas por ĉiuj politikoj, depende de la Fonta NAT kaj Destinacia NAT reguloj.
Fontaj NAT-reguloj estas agorditaj en la centra Fonta NAT-politiko. Celo NAT estas agordita de la DNAT-menuo uzante IP-adresojn.
En ĉi tiu leciono, ni konsideros nur Firewall Policy NAT - kiel praktiko montras, ĉi tiu agorda opcio estas multe pli ofta ol Centra NAT.
Kiel mi jam diris, kiam oni agordas Firewall Policy Source NAT, estas du agordaj elektoj: anstataŭi la IP-adreson per la adreso de la eliranta interfaco, aŭ per IP-adreso de antaŭ-agordita grupo de IP-adresoj. Ĝi aspektas kiel tiu montrita en la suba figuro. Poste, mi mallonge parolos pri eblaj naĝejoj, sed praktike ni nur konsideros la opcion kun la adreso de la eliranta interfaco - en nia aranĝo, ni ne bezonas IP-adresojn.
IP-grupo difinas unu aŭ plurajn IP-adresojn, kiuj estos uzataj kiel fontadreso dum sesio. Ĉi tiuj IP-adresoj estos uzataj anstataŭ la FortiGate-elira interfaco IP-adreso.
Estas 4 specoj de IP-naĝejoj, kiuj povas esti agorditaj sur FortiGate:
- superŝarĝas
- Unu al unu
- Fiksa Havena Gamo
- Havena bloka atribuo
Troŝarĝo estas la ĉefa IP-pool. Ĝi konvertas IP-adresojn uzante mult-al-unu aŭ mult-al-multaj skemon. Porttraduko ankaŭ estas uzata. Konsideru la cirkviton montritan en la figuro malsupre. Ni havas pakaĵon kun difinitaj Fonto kaj Celo-kampoj. Se ĝi estas sub firewall-politiko, kiu permesas al ĉi tiu pako aliri la eksteran reton, NAT-regulo estas aplikata al ĝi. Kiel rezulto, en ĉi tiu pako la Fonto-kampo estas anstataŭigita per unu el la IP-adresoj specifitaj en la IP-poolo.
Unu al Unu naĝejo ankaŭ difinas multajn eksterajn IP-adresojn. Kiam pakaĵeto kategoriiĝas sub firewall-politiko kun la NAT-regulo ebligita, la IP-adreso en la kampo Fonto estas ŝanĝita al unu el la adresoj apartenantaj al ĉi tiu naĝejo. Anstataŭigo sekvas la regulon "unue enen, unue elirantan". Por pliklarigi ĝin, ni rigardu ekzemplon.
Komputilo en la loka reto kun IP-adreso 192.168.1.25 sendas pakaĵon al la ekstera reto. Ĝi kategoriiĝas sub la regulo NAT, kaj la Fonto-kampo estas ŝanĝita al la unua IP-adreso de la naĝejo, en nia kazo ĝi estas 83.235.123.5. Indas noti, ke kiam oni uzas ĉi tiun IP-poolon, havenda traduko ne estas uzata. Se post tio komputilo de la sama loka reto, kun adreso, ekzemple, 192.168.1.35, sendas pakaĵeton al ekstera reto kaj ankaŭ kategoriiĝas sub ĉi tiu NAT-regulo, la IP-adreso en la kampo Fonto de ĉi tiu pako ŝanĝiĝos al 83.235.123.6. Se ne restas pliaj adresoj en la naĝejo, postaj konektoj estos malakceptitaj. Tio estas, en ĉi tiu kazo, 4 komputiloj povas samtempe sub nia NAT-regulo.
Fiksa Havena Gamo ligas internajn kaj eksterajn intervalojn de IP-adresoj. Porttradukado ankaŭ estas malŝaltita. Ĉi tio permesas vin konstante asocii la komencon aŭ finon de aro de internaj IP-adresoj kun la komenco aŭ fino de aro de eksteraj IP-adresoj. En la malsupra ekzemplo, la interna adresaro 192.168.1.25 - 192.168.1.28 estas mapita al la ekstera adresaro 83.235.123.5 - 83.235.125.8.
Port Block Allocation - ĉi tiu IP-naĝejo estas uzata por asigni blokon de havenoj por IP-naĝejo-uzantoj. Krom la IP-pool mem, du parametroj ankaŭ devas esti specifitaj ĉi tie - la blokgrandeco kaj la nombro da blokoj asignitaj por ĉiu uzanto.
Nun ni rigardu Destination NAT-teknologion. Ĝi baziĝas sur virtualaj IP-adresoj (VIP). Por pakaĵetoj kiuj kategoriiĝas sub la Destination NAT-reguloj, la IP-adreso en la Destination-kampo ŝanĝiĝas: kutime la publika Interreta adreso ŝanĝiĝas al la privata adreso de la servilo. Virtualaj IP-adresoj estas uzataj en fajroŝirmilaj politikoj kiel la Celokampo.
La norma speco de virtualaj IP-adresoj estas Static NAT. Ĉi tio estas unu-al-unu korespondado inter eksteraj kaj internaj adresoj.
Anstataŭ Static NAT, virtualaj adresoj povas esti limigitaj per plusendado de specifaj havenoj. Ekzemple, asocii ligojn al ekstera adreso sur haveno 8080 kun konekto al interna IP-adreso sur haveno 80.
En la malsupra ekzemplo, komputilo kun la adreso 172.17.10.25 provas aliri la adreson 83.235.123.20 sur la haveno 80. Ĉi tiu konekto estas sub la DNAT-regulo, do la celo IP-adreso estas ŝanĝita al 10.10.10.10.
La video diskutas la teorion kaj ankaŭ disponigas praktikajn ekzemplojn de agordo de Fonto kaj Celo NAT.
En la venontaj lecionoj ni daŭrigos certigi uzantan sekurecon en la Interreto. Specife, la sekva leciono diskutos pri la funkcieco de retfiltrado kaj aplika kontrolo. Por ne maltrafi ĝin, sekvu la ĝisdatigojn ĉe la sekvaj kanaloj:
fonto: www.habr.com