Tervitused! Tere tulemast kursuse viiendasse õppetundi . edasi Oleme aru saanud, kuidas turvapoliitika toimib. Nüüd on aeg vabastada kohalikud kasutajad Internetti. Selleks vaatleme selles õppetükis NAT-mehhanismi toimimist.
Lisaks kasutajate Internetti vabastamisele vaatleme ka siseteenuste avaldamise meetodit. Lõike all on lühike teooria videost, samuti videotund ise.
NAT (Network Address Translation) tehnoloogia on mehhanism võrgupakettide IP-aadresside teisendamiseks. Fortineti mõistes jaguneb NAT kahte tüüpi: Source NAT ja Destination NAT.
Nimed räägivad enda eest – Source NAT kasutamisel muutub lähteaadress, Destination NAT kasutamisel sihtkoha aadress.
Lisaks on NAT-i seadistamiseks ka mitu võimalust – tulemüüripoliitika NAT ja keskne NAT.
Esimese valiku kasutamisel tuleb iga turbepoliitika jaoks konfigureerida allika ja sihtkoha NAT. Sel juhul kasutab Source NAT kas väljuva liidese IP-aadressi või eelkonfigureeritud IP-kogumit. Sihtkoha NAT kasutab sihtaadressina eelkonfigureeritud objekti (nn VIP - Virtual IP).
Keskse NAT-i kasutamisel tehakse allika ja sihtkoha NAT-i konfigureerimine kogu seadme (või virtuaalse domeeni) jaoks korraga. Sel juhul kehtivad NAT-i sätted kõikidele poliitikatele, olenevalt lähte-NAT-i ja sihtkoha NAT-i reeglitest.
Allika NAT-i reeglid on konfigureeritud keskses Source NAT-i poliitikas. Sihtkoha NAT konfigureeritakse DNAT-menüüst IP-aadresside abil.
Selles õppetükis käsitleme ainult tulemüüripoliitika NAT-i - nagu praktika näitab, on see konfiguratsioonivalik palju tavalisem kui keskne NAT.
Nagu ma juba ütlesin, on tulemüüripoliitika allika NAT-i konfigureerimisel kaks konfiguratsioonivalikut: IP-aadressi asendamine väljuva liidese aadressiga või IP-aadressiga eelkonfigureeritud IP-aadresside kogumist. See näeb välja umbes nagu alloleval joonisel näidatud. Järgmisena räägin lühidalt võimalikest kogumitest, kuid praktikas kaalume ainult väljamineva liidese aadressiga varianti - meie paigutuses pole meil IP-aadressi kogumeid vaja.
IP-kogum määratleb ühe või mitu IP-aadressi, mida kasutatakse seansi ajal lähteaadressina. Neid IP-aadresse kasutatakse FortiGate'i väljuva liidese IP-aadressi asemel.
FortiGate'is saab konfigureerida nelja tüüpi IP-kogumeid:
- Ülekoormus
- Üks ühele
- Fikseeritud pordivahemik
- Pordiploki eraldamine
Ülekoormus on peamine IP-kogum. See teisendab IP-aadressid, kasutades skeemi mitu-ühele või mitu-mitmele. Kasutatakse ka porditõlget. Mõelge alloleval joonisel näidatud vooluringile. Meil on pakett määratletud väljadega Allikas ja Sihtkoht. Kui see kuulub tulemüüripoliitika alla, mis võimaldab sellel paketil välisvõrku juurde pääseda, rakendatakse sellele NAT-reegel. Selle tulemusena asendatakse selles paketis allikaväli ühe IP-kogumis määratud IP-aadressiga.
Üks ühele kogum määratleb ka palju väliseid IP-aadresse. Kui pakett kuulub tulemüüripoliitika alla ja NAT-reegel on lubatud, muudetakse IP-aadress väljal Allikas ühele sellesse kogumile kuuluvast aadressist. Asendamine järgib reeglit "esimene sisse, esimene välja". Et see oleks selgem, vaatame näidet.
Kohalikus võrgus olev arvuti IP-aadressiga 192.168.1.25 saadab paketi välisvõrku. See kuulub NAT-reegli alla ja väli Allikas muudetakse kogumi esimeseks IP-aadressiks, meie puhul on see 83.235.123.5. Väärib märkimist, et selle IP-kogumi kasutamisel pordi tõlget ei kasutata. Kui pärast seda saadab samast kohtvõrgust pärit arvuti, mille aadress on näiteks 192.168.1.35, paketi välisvõrku ja kuulub samuti selle NAT-reegli alla, muutub selle paketi väljal Source IP-aadressiks. 83.235.123.6. Kui basseinis pole enam aadresse, lükatakse edasised ühendused tagasi. See tähendab, et antud juhul võib meie NAT-reegli alla kuuluda korraga 4 arvutit.
Fikseeritud pordivahemik ühendab IP-aadresside sisemise ja välise vahemiku. Pordi tõlge on samuti keelatud. See võimaldab teil püsivalt seostada sisemiste IP-aadresside kogumi algust või lõppu väliste IP-aadresside kogumi alguse või lõpuga. Allolevas näites on sisemine aadressikogum 192.168.1.25 - 192.168.1.28 vastendatud välise aadressikogumiga 83.235.123.5 - 83.235.125.8.
Port Block Allocation – seda IP basseini kasutatakse pordiploki eraldamiseks IP basseini kasutajatele. Lisaks IP-kogumile endale tuleb siin määrata ka kaks parameetrit - ploki suurus ja igale kasutajale eraldatud plokkide arv.
Vaatame nüüd Destination NAT-tehnoloogiat. See põhineb virtuaalsetel IP-aadressidel (VIP). Sihtkoha NAT-reeglite alla kuuluvate pakettide puhul muutub IP-aadress väljal Sihtkoht: tavaliselt muutub avalik Interneti-aadress serveri privaatseks aadressiks. Virtuaalseid IP-aadresse kasutatakse tulemüüripoliitikates väljana Sihtkoht.
Virtuaalsete IP-aadresside standardtüüp on staatiline NAT. See on üks-ühele vastavus välise ja sisemise aadressi vahel.
Staatilise NAT-i asemel saab virtuaalseid aadresse piirata konkreetsete portide edastamisega. Näiteks siduge ühendused pordi 8080 välise aadressiga ühendusega pordis 80 oleva sisemise IP-aadressiga.
Allolevas näites üritab arvuti aadressiga 172.17.10.25 pääseda juurde pordis 83.235.123.20 olevale aadressile 80. See ühendus kuulub DNAT reegli alla, seega muudetakse sihtkoha IP-aadressiks 10.10.10.10.
Video käsitleb teooriat ja pakub ka praktilisi näiteid Source ja Destination NAT konfigureerimisest.
Järgmistes tundides liigume edasi kasutajate turvalisuse tagamisega internetis. Täpsemalt, järgmises õppetükis räägitakse veebifiltreerimise ja rakenduste juhtimise funktsionaalsusest. Et sellest mitte ilma jääda, jälgige uuendusi järgmistel kanalitel:
Allikas: www.habr.com