Groetnis! Wolkom by de fyfde les fan de kursus . Op de Wy hawwe útfûn hoe't feiligensbelied wurket. No is it tiid om lokale brûkers frij te litten op it ynternet. Om dit te dwaan, sille wy yn dizze les sjen nei de wurking fan it NAT-meganisme.
Neist it frijlitten fan brûkers op it ynternet, sille wy ek sjen nei in metoade foar it publisearjen fan ynterne tsjinsten. Under de besuniging is in koarte teory fan 'e fideo, lykas de fideoles sels.
NAT (Network Address Translation) technology is in meganisme foar it konvertearjen fan IP-adressen fan netwurkpakketten. Yn Fortinet-termen is NAT ferdield yn twa soarten: Boarne NAT en Destination NAT.
De nammen sprekke foar harsels - by it brûken fan Boarne NAT feroaret it boarneadres, by it brûken fan Destination NAT feroaret it bestimmingsadres.
Dêrneist binne der ek ferskate opsjes foar it ynstellen fan NAT - Firewall Policy NAT en Central NAT.
By it brûken fan de earste opsje, moatte Boarne en bestimming NAT wurde ynsteld foar elk feiligensbelied. Yn dit gefal brûkt Boarne NAT itsij it IP-adres fan de útgeande ynterface of in pre-konfigurearre IP Pool. Destination NAT brûkt in foarôf ynsteld foarwerp (it saneamde VIP - Virtual IP) as bestimmingsadres.
By it brûken fan Sintraal NAT, wurdt de NAT-konfiguraasje fan Boarne en bestimming útfierd foar it hiele apparaat (as firtuele domein) tagelyk. Yn dit gefal, NAT ynstellings jilde foar alle belied, ôfhinklik fan de boarne NAT en bestimming NAT regels.
Boarne NAT regels wurde konfigurearre yn de sintrale Boarne NAT belied. Bestimming NAT is konfigureare út it DNAT-menu mei IP-adressen.
Yn dizze les sille wy allinich Firewall-belied NAT beskôgje - sa't de praktyk docht bliken, is dizze konfiguraasjeopsje folle faker as Sintraal NAT.
As ik al sei, by it konfigurearjen fan Firewall Beliedsboarne NAT, binne d'r twa konfiguraasjeopsjes: it ferfangen fan it IP-adres mei it adres fan 'e útgeande ynterface, of mei in IP-adres fan in foarôf ynstelde pool fan IP-adressen. It sjocht der sa út as dejinge werjûn yn 'e ûndersteande figuer. Folgjende sil ik koart prate oer mooglike swimbaden, mar yn 'e praktyk sille wy allinich de opsje beskôgje mei it adres fan' e útgeande ynterface - yn ús yndieling hawwe wy gjin IP-adrespools nedich.
In IP-pool definiearret ien of mear IP-adressen dy't brûkt wurde as it boarneadres tidens in sesje. Dizze IP-adressen sille brûkt wurde ynstee fan it FortiGate-útgeande interface-IP-adres.
D'r binne 4 soarten IP-pools dy't kinne wurde konfigureare op FortiGate:
- overload
- Ien op ien
- Fêste havenberik
- Port block tawizing
Overload is de wichtichste IP-pool. It konvertearret IP-adressen mei in protte-op-ien of in protte-nei-in protte skema. Port-oersetting wurdt ek brûkt. Tink oan it circuit werjûn yn de figuer hjirûnder. Wy hawwe in pakket mei definiearre boarne- en bestimmingsfjilden. As it komt ûnder in firewall-belied dat dit pakket tagong jout ta it eksterne netwurk, wurdt in NAT-regel dêrop tapast. As gefolch, yn dit pakket wurdt it fjild Boarne ferfongen troch ien fan 'e IP-adressen opjûn yn' e IP-pool.
A One to One pool definiearret ek in protte eksterne IP-adressen. As in pakket falt ûnder in firewall-belied mei de NAT-regel ynskeakele, wurdt it IP-adres yn it fjild Boarne feroare yn ien fan 'e adressen dy't ta dizze pool hearre. Ferfanging folget de "earst yn, earst út" regel. Om it dúdliker te meitsjen, litte wy nei in foarbyld sjen.
In kompjûter op it lokale netwurk mei IP-adres 192.168.1.25 stjoert in pakket nei it eksterne netwurk. It falt ûnder de NAT-regel, en it fjild Boarne wurdt feroare yn it earste IP-adres fan it swimbad, yn ús gefal is it 83.235.123.5. It is de muoite wurdich op te merken dat by it brûken fan dizze IP-pool, poarte-oersetting net brûkt wurdt. As dêrnei in kompjûter fan itselde lokale netwurk, mei in adres fan bygelyks 192.168.1.35, in pakket nei in ekstern netwurk stjoert en ek ûnder dizze NAT-regel falt, sil it IP-adres yn it fjild Boarne fan dit pakket feroarje nei 83.235.123.6. As der gjin adressen mear yn it swimbad binne, wurde folgjende ferbiningen ôfwiisd. Dat is, yn dit gefal kinne 4 kompjûters tagelyk ûnder ús NAT-regel falle.
Fêste poarteberik ferbynt ynterne en eksterne berik fan IP-adressen. Poarte oersetting is ek útskeakele. Hjirmei kinne jo it begjin of ein fan in pool fan ynterne IP-adressen permanint assosjearje mei it begjin of ein fan in pool fan eksterne IP-adressen. Yn it foarbyld hjirûnder wurdt de ynterne adrespool 192.168.1.25 - 192.168.1.28 yn kaart brocht oan de eksterne adrespool 83.235.123.5 - 83.235.125.8.
Port Block Allocation - dizze IP-pool wurdt brûkt om in blok fan havens te allocearjen foar IP-pool brûkers. Neist it IP-pool sels moatte hjir ek twa parameters oantsjutte wurde - de blokgrutte en it oantal blokken dat foar elke brûker tawiisd is.
Litte wy no sjen nei Destination NAT technology. It is basearre op firtuele IP-adressen (VIP). Foar pakketten dy't ûnder de bestimming NAT-regels falle, feroaret it IP-adres yn it fjild Destination: meastal feroaret it iepenbiere ynternetadres yn it priveeadres fan de tsjinner. Firtuele IP-adressen wurde brûkt yn firewall-belied as it bestimmingsfjild.
It standerttype fan firtuele IP-adressen is Static NAT. Dit is in ien-op-ien korrespondinsje tusken eksterne en ynterne adressen.
Yn stee fan Static NAT, kinne firtuele adressen wurde beheind troch trochstjoere spesifike havens. Associearje bygelyks ferbiningen mei in ekstern adres op poarte 8080 mei in ferbining mei in ynterne IP-adres op poarte 80.
Yn it foarbyld hjirûnder besiket in kompjûter mei it adres 172.17.10.25 tagong te krijen ta it adres 83.235.123.20 op poarte 80. Dizze ferbining falt ûnder de DNAT-regel, sadat it bestimmings-IP-adres feroare wurdt yn 10.10.10.10.
De fideo besprekt de teory en jout ek praktyske foarbylden fan it konfigurearjen fan Boarne en bestimming NAT.
Yn 'e folgjende lessen sille wy trochgean mei it garandearjen fan brûkersfeiligens op it ynternet. Spesifyk sil de folgjende les de funksjonaliteit fan webfiltering en applikaasjekontrôle beprate. Om it net te missen, folgje de updates op 'e folgjende kanalen:
Boarne: www.habr.com