Salutations! Bienvenue à la cinquième leçon du cours . sur Nous avons compris comment fonctionnent les politiques de sécurité. Il est désormais temps de libérer les utilisateurs locaux sur Internet. Pour ce faire, dans cette leçon nous examinerons le fonctionnement du mécanisme NAT.
En plus de libérer les utilisateurs sur Internet, nous examinerons également une méthode de publication des services internes. Sous le montage se trouve une brève théorie tirée de la vidéo, ainsi que la leçon vidéo elle-même.
La technologie NAT (Network Address Translation) est un mécanisme permettant de convertir les adresses IP des paquets réseau. En termes Fortinet, le NAT est divisé en deux types : le NAT source et le NAT de destination.
Les noms parlent d'eux-mêmes : lors de l'utilisation de Source NAT, l'adresse source change, lors de l'utilisation de Destination NAT, l'adresse de destination change.
De plus, il existe également plusieurs options pour configurer NAT - Firewall Policy NAT et Central NAT.
Lorsque vous utilisez la première option, les NAT source et destination doivent être configurés pour chaque politique de sécurité. Dans ce cas, Source NAT utilise soit l'adresse IP de l'interface sortante, soit un pool IP préconfiguré. Destination NAT utilise un objet préconfiguré (appelé VIP - Virtual IP) comme adresse de destination.
Lors de l’utilisation de Central NAT, la configuration NAT source et destination est effectuée simultanément pour l’ensemble du périphérique (ou domaine virtuel). Dans ce cas, les paramètres NAT s'appliquent à toutes les stratégies, en fonction des règles NAT source et NAT de destination.
Les règles NAT source sont configurées dans la stratégie NAT source centrale. La destination NAT est configurée à partir du menu DNAT à l'aide des adresses IP.
Dans cette leçon, nous considérerons uniquement le NAT de politique de pare-feu - comme le montre la pratique, cette option de configuration est beaucoup plus courante que le NAT central.
Comme je l'ai déjà dit, lors de la configuration du NAT source de politique de pare-feu, il existe deux options de configuration : remplacer l'adresse IP par l'adresse de l'interface sortante, ou par une adresse IP provenant d'un pool d'adresses IP préconfiguré. Cela ressemble à celui montré dans la figure ci-dessous. Ensuite, je parlerai brièvement des pools possibles, mais en pratique, nous ne considérerons que l'option avec l'adresse de l'interface sortante - dans notre mise en page, nous n'avons pas besoin de pools d'adresses IP.
Un pool IP définit une ou plusieurs adresses IP qui seront utilisées comme adresse source lors d'une session. Ces adresses IP seront utilisées à la place de l’adresse IP de l’interface sortante FortiGate.
Il existe 4 types de pools IP pouvant être configurés sur FortiGate :
- Surcharge
- Un par un
- Portée fixe
- Allocation de blocs de ports
La surcharge est le pool IP principal. Il convertit les adresses IP en utilisant un schéma plusieurs-vers-un ou plusieurs-vers-plusieurs. La traduction de port est également utilisée. Considérez le circuit illustré dans la figure ci-dessous. Nous avons un package avec des champs Source et Destination définis. S'il relève d'une politique de pare-feu qui permet à ce paquet d'accéder au réseau externe, une règle NAT lui est appliquée. Par conséquent, dans ce paquet, le champ Source est remplacé par l'une des adresses IP spécifiées dans le pool IP.
Un pool One to One définit également de nombreuses adresses IP externes. Lorsqu'un paquet relève d'une politique de pare-feu avec la règle NAT activée, l'adresse IP dans le champ Source est remplacée par l'une des adresses appartenant à ce pool. Le remplacement suit la règle du « premier entré, premier sorti ». Pour que ce soit plus clair, regardons un exemple.
Un ordinateur du réseau local avec l'adresse IP 192.168.1.25 envoie un paquet au réseau externe. Cela relève de la règle NAT et le champ Source est remplacé par la première adresse IP du pool, dans notre cas, il s'agit de 83.235.123.5. Il convient de noter que lors de l'utilisation de ce pool IP, la traduction de port n'est pas utilisée. Si après cela, un ordinateur du même réseau local, avec une adresse, par exemple, 192.168.1.35, envoie un paquet à un réseau externe et relève également de cette règle NAT, l'adresse IP dans le champ Source de ce paquet deviendra 83.235.123.6. S'il ne reste plus d'adresses dans le pool, les connexions suivantes seront rejetées. Autrement dit, dans ce cas, 4 ordinateurs peuvent tomber sous notre règle NAT en même temps.
La plage de ports fixes connecte les plages d’adresses IP internes et externes. La traduction des ports est également désactivée. Cela vous permet d'associer en permanence le début ou la fin d'un pool d'adresses IP internes au début ou à la fin d'un pool d'adresses IP externes. Dans l'exemple ci-dessous, le pool d'adresses interne 192.168.1.25 - 192.168.1.28 est mappé au pool d'adresses externe 83.235.123.5 - 83.235.125.8.
Allocation de blocs de ports : ce pool IP est utilisé pour allouer un bloc de ports aux utilisateurs du pool IP. En plus du pool IP lui-même, deux paramètres doivent également être spécifiés ici : la taille du bloc et le nombre de blocs alloués à chaque utilisateur.
Examinons maintenant la technologie Destination NAT. Il est basé sur des adresses IP virtuelles (VIP). Pour les paquets qui relèvent des règles Destination NAT, l'adresse IP dans le champ Destination change : généralement l'adresse Internet publique est remplacée par l'adresse privée du serveur. Les adresses IP virtuelles sont utilisées dans les stratégies de pare-feu comme champ Destination.
Le type standard d’adresses IP virtuelles est le NAT statique. Il s'agit d'une correspondance biunivoque entre les adresses externes et internes.
Au lieu du NAT statique, les adresses virtuelles peuvent être limitées en transférant des ports spécifiques. Par exemple, associez les connexions à une adresse externe sur le port 8080 à une connexion à une adresse IP interne sur le port 80.
Dans l'exemple ci-dessous, un ordinateur portant l'adresse 172.17.10.25 tente d'accéder à l'adresse 83.235.123.20 sur le port 80. Cette connexion relève de la règle DNAT, l'adresse IP de destination est donc modifiée en 10.10.10.10.
La vidéo aborde la théorie et fournit également des exemples pratiques de configuration du NAT source et de destination.
Dans les prochaines leçons, nous passerons à assurer la sécurité des utilisateurs sur Internet. Plus précisément, la prochaine leçon abordera les fonctionnalités de filtrage Web et de contrôle des applications. Pour ne pas le manquer, suivez l'actualité sur les chaînes suivantes :
Source: habr.com