Terveisiä! Tervetuloa kurssin viidennelle tunnille . päälle Olemme selvittäneet, miten turvallisuuspolitiikka toimii. Nyt on aika vapauttaa paikalliset käyttäjät Internetiin. Tätä varten tässä oppitunnissa tarkastellaan NAT-mekanismin toimintaa.
Käyttäjien Internetiin vapauttamisen lisäksi tarkastellaan myös tapaa julkaista sisäisiä palveluita. Leikkauksen alla on lyhyt teoria videosta sekä itse videotunti.
NAT (Network Address Translation) -tekniikka on mekanismi verkkopakettien IP-osoitteiden muuntamiseen. Fortinet-termeissä NAT on jaettu kahteen tyyppiin: lähde-NAT ja kohde-NAT.
Nimet puhuvat puolestaan - lähde-NAT:ia käytettäessä lähdeosoite vaihtuu, kohde-NAT:ia käytettäessä kohdeosoite vaihtuu.
Lisäksi on olemassa myös useita vaihtoehtoja NAT:n asettamiseen - Firewall Policy NAT ja Central NAT.
Kun käytetään ensimmäistä vaihtoehtoa, lähde- ja kohde-NAT on määritettävä kullekin suojauskäytännölle. Tässä tapauksessa lähde-NAT käyttää joko lähtevän liitännän IP-osoitetta tai esikonfiguroitua IP-varastoa. Kohde-NAT käyttää ennalta määritettyä objektia (ns. VIP - Virtual IP) kohdeosoitteena.
Käytettäessä Central NAT:ia lähde- ja kohde-NAT-määritykset suoritetaan koko laitteelle (tai virtuaaliselle toimialueelle) kerralla. Tässä tapauksessa NAT-asetukset koskevat kaikkia käytäntöjä lähde-NAT- ja kohde-NAT-säännöistä riippuen.
Lähteen NAT-säännöt on määritetty keskeisessä Source NAT -käytännössä. Kohteen NAT konfiguroidaan DNAT-valikosta IP-osoitteiden avulla.
Tässä oppitunnissa tarkastelemme vain palomuurikäytäntö NAT - kuten käytäntö osoittaa, tämä määritysvaihtoehto on paljon yleisempi kuin Central NAT.
Kuten jo sanoin, palomuurin käytäntölähteen NAT:ia määritettäessä on kaksi määritysvaihtoehtoa: IP-osoitteen korvaaminen lähtevän liitännän osoitteella tai IP-osoitteella ennalta määritetystä IP-osoitteiden joukosta. Se näyttää vähän samalta kuin alla olevassa kuvassa. Seuraavaksi puhun lyhyesti mahdollisista pooleista, mutta käytännössä harkitsemme vain vaihtoehtoa lähtevän liitännän osoitteella - layoutissamme emme tarvitse IP-osoitepooleja.
IP-varasto määrittää yhden tai useamman IP-osoitteen, jota käytetään lähdeosoitteena istunnon aikana. Näitä IP-osoitteita käytetään FortiGate lähtevän liitännän IP-osoitteen sijasta.
FortiGatessa on 4 tyyppistä IP-poolia, jotka voidaan määrittää:
- Ylikuormittaa
- Yksi yhteen
- Kiinteä porttialue
- Porttilohkon varaus
Ylikuormitus on tärkein IP-allas. Se muuntaa IP-osoitteet useista yhteen- tai useista moneen -mallilla. Myös porttikäännöstä käytetään. Harkitse alla olevassa kuvassa esitettyä piiriä. Meillä on paketti määritellyillä lähde- ja kohdekentillä. Jos se kuuluu palomuurikäytännön piiriin, joka sallii tämän paketin pääsyn ulkoiseen verkkoon, siihen sovelletaan NAT-sääntöä. Tämän seurauksena tässä paketissa Lähde-kenttä korvataan jollakin IP-varannossa määritetyistä IP-osoitteista.
One to One -pooli määrittää myös monia ulkoisia IP-osoitteita. Kun paketti kuuluu palomuurikäytännön piiriin, kun NAT-sääntö on käytössä, Lähde-kentän IP-osoite muutetaan yhdeksi tähän pooliin kuuluvista osoitteista. Vaihtaminen noudattaa "ensin sisään, ensimmäinen ulos" -sääntöä. Selvyyden vuoksi katsotaanpa esimerkkiä.
Paikallisessa verkossa oleva tietokone, jonka IP-osoite on 192.168.1.25, lähettää paketin ulkoiseen verkkoon. Se kuuluu NAT-säännön piiriin, ja Lähde-kenttä muutetaan ensimmäiseksi IP-osoitteeksi poolista, meidän tapauksessamme se on 83.235.123.5. On syytä huomata, että tätä IP-poolia käytettäessä ei käytetä portin käännöstä. Jos tämän jälkeen samasta lähiverkosta oleva tietokone, jonka osoite on esimerkiksi 192.168.1.35, lähettää paketin ulkoiseen verkkoon ja kuuluu myös tämän NAT-säännön piiriin, tämän paketin Source-kentän IP-osoite muuttuu muotoon. 83.235.123.6. Jos poolissa ei ole enää osoitteita jäljellä, seuraavat yhteydet hylätään. Eli tässä tapauksessa 4 tietokonetta voi kuulua NAT-sääntömme alaisuuteen samanaikaisesti.
Fixed Port Range yhdistää sisäiset ja ulkoiset IP-osoitealueet. Portin käännös on myös poistettu käytöstä. Tämän avulla voit liittää pysyvästi sisäisten IP-osoitteiden joukon alun tai lopun ulkoisten IP-osoitteiden joukon alkuun tai loppuun. Alla olevassa esimerkissä sisäinen osoitevarasto 192.168.1.25 - 192.168.1.28 on yhdistetty ulkoiseen osoitevarastoon 83.235.123.5 - 83.235.125.8.
Porttilohkon allokointi - tätä IP-poolia käytetään porttilohkon varaamiseen IP-poolin käyttäjille. Itse IP-poolin lisäksi tässä on määritettävä myös kaksi parametria - lohkon koko ja kullekin käyttäjälle allokoitujen lohkojen määrä.
Katsotaanpa nyt Destination NAT -tekniikkaa. Se perustuu virtuaalisiin IP-osoitteisiin (VIP). Kohde-NAT-sääntöjen alaisten pakettien kohdalla Kohde-kentän IP-osoite muuttuu: yleensä julkinen Internet-osoite muuttuu palvelimen yksityiseksi osoitteeksi. Virtuaalisia IP-osoitteita käytetään palomuurikäytännöissä Kohde-kentässä.
Virtuaalisten IP-osoitteiden vakiotyyppi on Static NAT. Tämä on yksi yhteen vastaavuus ulkoisten ja sisäisten osoitteiden välillä.
Staattisen NAT:n sijaan virtuaalisia osoitteita voidaan rajoittaa välittämällä tiettyjä portteja. Yhdistä esimerkiksi yhteydet ulkoiseen osoitteeseen portissa 8080 yhteyteen portin 80 sisäiseen IP-osoitteeseen.
Alla olevassa esimerkissä tietokone, jonka osoite on 172.17.10.25, yrittää päästä osoitteeseen 83.235.123.20 portissa 80. Tämä yhteys on DNAT-säännön alainen, joten kohde IP-osoite muutetaan 10.10.10.10.
Video käsittelee teoriaa ja tarjoaa myös käytännön esimerkkejä lähde- ja kohde-NAT:n määrittämisestä.
Seuraavilla tunneilla siirrymme käyttäjien turvallisuuden varmistamiseen Internetissä. Erityisesti seuraavalla oppitunnilla käsitellään verkkosuodatuksen ja sovellusten hallinnan toimivuutta. Seuraa seuraavien kanavien päivityksiä, jotta et missaa sitä:
Lähde: will.com