Tervitused! Tere tulemast kursuse viiendasse Ă”ppetundi . edasi Oleme aru saanud, kuidas turvapoliitika toimib. NĂŒĂŒd on aeg vabastada kohalikud kasutajad Internetti. Selleks vaatleme selles Ă”ppetĂŒkis NAT-mehhanismi toimimist.
Lisaks kasutajate Internetti vabastamisele vaatleme ka siseteenuste avaldamise meetodit. LĂ”ike all on lĂŒhike teooria videost, samuti videotund ise.
NAT (Network Address Translation) tehnoloogia on mehhanism vĂ”rgupakettide IP-aadresside teisendamiseks. Fortineti mĂ”istes jaguneb NAT kahte tĂŒĂŒpi: Source NAT ja Destination NAT.
Nimed rÀÀgivad enda eest â Source NAT kasutamisel muutub lĂ€hteaadress, Destination NAT kasutamisel sihtkoha aadress.
Lisaks on NAT-i seadistamiseks ka mitu vĂ”imalust â tulemĂŒĂŒripoliitika NAT ja keskne NAT.
Esimese valiku kasutamisel tuleb iga turbepoliitika jaoks konfigureerida allika ja sihtkoha NAT. Sel juhul kasutab Source NAT kas vÀljuva liidese IP-aadressi vÔi eelkonfigureeritud IP-kogumit. Sihtkoha NAT kasutab sihtaadressina eelkonfigureeritud objekti (nn VIP - Virtual IP).
Keskse NAT-i kasutamisel tehakse allika ja sihtkoha NAT-i konfigureerimine kogu seadme (vÔi virtuaalse domeeni) jaoks korraga. Sel juhul kehtivad NAT-i sÀtted kÔikidele poliitikatele, olenevalt lÀhte-NAT-i ja sihtkoha NAT-i reeglitest.
Allika NAT-i reeglid on konfigureeritud keskses Source NAT-i poliitikas. Sihtkoha NAT konfigureeritakse DNAT-menĂŒĂŒst IP-aadresside abil.
Selles Ă”ppetĂŒkis kĂ€sitleme ainult tulemĂŒĂŒripoliitika NAT-i - nagu praktika nĂ€itab, on see konfiguratsioonivalik palju tavalisem kui keskne NAT.
Nagu ma juba ĂŒtlesin, on tulemĂŒĂŒripoliitika allika NAT-i konfigureerimisel kaks konfiguratsioonivalikut: IP-aadressi asendamine vĂ€ljuva liidese aadressiga vĂ”i IP-aadressiga eelkonfigureeritud IP-aadresside kogumist. See nĂ€eb vĂ€lja umbes nagu alloleval joonisel nĂ€idatud. JĂ€rgmisena rÀÀgin lĂŒhidalt vĂ”imalikest kogumitest, kuid praktikas kaalume ainult vĂ€ljamineva liidese aadressiga varianti - meie paigutuses pole meil IP-aadressi kogumeid vaja.
IP-kogum mÀÀratleb ĂŒhe vĂ”i mitu IP-aadressi, mida kasutatakse seansi ajal lĂ€hteaadressina. Neid IP-aadresse kasutatakse FortiGate'i vĂ€ljuva liidese IP-aadressi asemel.
FortiGate'is saab konfigureerida nelja tĂŒĂŒpi IP-kogumeid:
- Ălekoormus
- Ăks ĂŒhele
- Fikseeritud pordivahemik
- Pordiploki eraldamine
Ălekoormus on peamine IP-kogum. See teisendab IP-aadressid, kasutades skeemi mitu-ĂŒhele vĂ”i mitu-mitmele. Kasutatakse ka porditĂ”lget. MĂ”elge alloleval joonisel nĂ€idatud vooluringile. Meil on pakett mÀÀratletud vĂ€ljadega Allikas ja Sihtkoht. Kui see kuulub tulemĂŒĂŒripoliitika alla, mis vĂ”imaldab sellel paketil vĂ€lisvĂ”rku juurde pÀÀseda, rakendatakse sellele NAT-reegel. Selle tulemusena asendatakse selles paketis allikavĂ€li ĂŒhe IP-kogumis mÀÀratud IP-aadressiga.
Ăks ĂŒhele kogum mÀÀratleb ka palju vĂ€liseid IP-aadresse. Kui pakett kuulub tulemĂŒĂŒripoliitika alla ja NAT-reegel on lubatud, muudetakse IP-aadress vĂ€ljal Allikas ĂŒhele sellesse kogumile kuuluvast aadressist. Asendamine jĂ€rgib reeglit "esimene sisse, esimene vĂ€lja". Et see oleks selgem, vaatame nĂ€idet.
Kohalikus vĂ”rgus olev arvuti IP-aadressiga 192.168.1.25 saadab paketi vĂ€lisvĂ”rku. See kuulub NAT-reegli alla ja vĂ€li Allikas muudetakse kogumi esimeseks IP-aadressiks, meie puhul on see 83.235.123.5. VÀÀrib mĂ€rkimist, et selle IP-kogumi kasutamisel pordi tĂ”lget ei kasutata. Kui pĂ€rast seda saadab samast kohtvĂ”rgust pĂ€rit arvuti, mille aadress on nĂ€iteks 192.168.1.35, paketi vĂ€lisvĂ”rku ja kuulub samuti selle NAT-reegli alla, muutub selle paketi vĂ€ljal Source IP-aadressiks. 83.235.123.6. Kui basseinis pole enam aadresse, lĂŒkatakse edasised ĂŒhendused tagasi. See tĂ€hendab, et antud juhul vĂ”ib meie NAT-reegli alla kuuluda korraga 4 arvutit.
Fikseeritud pordivahemik ĂŒhendab IP-aadresside sisemise ja vĂ€lise vahemiku. Pordi tĂ”lge on samuti keelatud. See vĂ”imaldab teil pĂŒsivalt seostada sisemiste IP-aadresside kogumi algust vĂ”i lĂ”ppu vĂ€liste IP-aadresside kogumi alguse vĂ”i lĂ”puga. Allolevas nĂ€ites on sisemine aadressikogum 192.168.1.25 - 192.168.1.28 vastendatud vĂ€lise aadressikogumiga 83.235.123.5 - 83.235.125.8.
Port Block Allocation â seda IP basseini kasutatakse pordiploki eraldamiseks IP basseini kasutajatele. Lisaks IP-kogumile endale tuleb siin mÀÀrata ka kaks parameetrit - ploki suurus ja igale kasutajale eraldatud plokkide arv.
Vaatame nĂŒĂŒd Destination NAT-tehnoloogiat. See pĂ”hineb virtuaalsetel IP-aadressidel (VIP). Sihtkoha NAT-reeglite alla kuuluvate pakettide puhul muutub IP-aadress vĂ€ljal Sihtkoht: tavaliselt muutub avalik Interneti-aadress serveri privaatseks aadressiks. Virtuaalseid IP-aadresse kasutatakse tulemĂŒĂŒripoliitikates vĂ€ljana Sihtkoht.
Virtuaalsete IP-aadresside standardtĂŒĂŒp on staatiline NAT. See on ĂŒks-ĂŒhele vastavus vĂ€lise ja sisemise aadressi vahel.
Staatilise NAT-i asemel saab virtuaalseid aadresse piirata konkreetsete portide edastamisega. NĂ€iteks siduge ĂŒhendused pordi 8080 vĂ€lise aadressiga ĂŒhendusega pordis 80 oleva sisemise IP-aadressiga.
Allolevas nĂ€ites ĂŒritab arvuti aadressiga 172.17.10.25 pÀÀseda juurde pordis 83.235.123.20 olevale aadressile 80. See ĂŒhendus kuulub DNAT reegli alla, seega muudetakse sihtkoha IP-aadressiks 10.10.10.10.
Video kÀsitleb teooriat ja pakub ka praktilisi nÀiteid Source ja Destination NAT konfigureerimisest.
JĂ€rgmistes tundides liigume edasi kasutajate turvalisuse tagamisega internetis. TĂ€psemalt, jĂ€rgmises Ă”ppetĂŒkis rÀÀgitakse veebifiltreerimise ja rakenduste juhtimise funktsionaalsusest. Et sellest mitte ilma jÀÀda, jĂ€lgige uuendusi jĂ€rgmistel kanalitel:
Allikas: www.habr.com
