Saúdos! Benvidos á quinta lección do curso . Activado Descubrimos como funcionan as políticas de seguridade. Agora é hora de liberar os usuarios locais a Internet. Para iso, nesta lección analizaremos o funcionamento do mecanismo NAT.
Ademais de liberar os usuarios a Internet, tamén analizaremos un método para publicar servizos internos. Debaixo do corte hai unha breve teoría do vídeo, así como a propia lección de vídeo.
A tecnoloxía NAT (Network Address Translation) é un mecanismo para converter enderezos IP de paquetes de rede. En termos de Fortinet, NAT divídese en dous tipos: NAT de orixe e NAT de destino.
Os nomes falan por si sós: cando se usa NAT de orixe, o enderezo de orixe cambia, cando se usa o NAT de destino, o enderezo de destino cambia.
Ademais, tamén hai varias opcións para configurar NAT - Política de firewall NAT e NAT central.
Cando se utiliza a primeira opción, débense configurar NAT de orixe e destino para cada política de seguranza. Neste caso, Source NAT usa o enderezo IP da interface de saída ou un grupo de IP preconfigurado. O NAT de destino utiliza un obxecto preconfigurado (o chamado VIP - IP virtual) como enderezo de destino.
Cando se usa a NAT central, a configuración de NAT de orixe e destino realízase para todo o dispositivo (ou dominio virtual) á vez. Neste caso, a configuración de NAT aplícase a todas as políticas, dependendo das regras de NAT de orixe e NAT de destino.
As regras de NAT de orixe están configuradas na política central de NAT de orixe. O NAT de destino configúrase desde o menú DNAT mediante enderezos IP.
Nesta lección, consideraremos só a política de firewall NAT; como mostra a práctica, esta opción de configuración é moito máis común que a NAT central.
Como xa dixen, ao configurar Firewall Policy Source NAT, hai dúas opcións de configuración: substituír o enderezo IP polo enderezo da interface de saída ou por un enderezo IP dun grupo preconfigurado de enderezos IP. Parece algo parecido ao que se mostra na figura de abaixo. A continuación, falarei brevemente sobre posibles agrupacións, pero na práctica só consideraremos a opción co enderezo da interface de saída: no noso deseño non necesitamos agrupacións de enderezos IP.
Un grupo de IP define un ou máis enderezos IP que se utilizarán como enderezo de orixe durante unha sesión. Estes enderezos IP utilizaranse en lugar do enderezo IP da interface de saída de FortiGate.
Hai 4 tipos de grupos de IP que se poden configurar en FortiGate:
- Sobrecarga
- Un a un
- Rango de portos fixos
- Asignación de bloques de portos
A sobrecarga é o grupo de IP principal. Convértese enderezos IP usando un esquema de varios a un ou moitos a moitos. Tamén se utiliza a tradución de portos. Considere o circuíto que se mostra na figura seguinte. Temos un paquete cos campos Fonte e Destino definidos. Se se inclúe nunha política de firewall que permite que este paquete acceda á rede externa, aplícase a el unha regra NAT. Como resultado, neste paquete substitúese o campo Orixe por un dos enderezos IP especificados no grupo de IP.
Un grupo One to One tamén define moitos enderezos IP externos. Cando un paquete cae baixo unha política de firewall coa regra NAT activada, o enderezo IP no campo Orixe cámbiase a un dos enderezos pertencentes a este grupo. A substitución segue a regra de "primeiro en entrar, primeiro en saír". Para que quede máis claro, vexamos un exemplo.
Un ordenador da rede local con enderezo IP 192.168.1.25 envía un paquete á rede externa. Cae baixo a regra NAT e o campo Orixe cámbiase ao primeiro enderezo IP do grupo, no noso caso é 83.235.123.5. Paga a pena notar que cando se usa este grupo de IP, non se usa a tradución de portos. Se despois disto un ordenador da mesma rede local, cun enderezo, por exemplo, 192.168.1.35, envía un paquete a unha rede externa e tamén cae baixo esta regra NAT, o enderezo IP no campo Orixe deste paquete cambiará a 83.235.123.6. Se non quedan máis enderezos no pool, as conexións posteriores serán rexeitadas. É dicir, neste caso, 4 ordenadores poden caer baixo a nosa regra NAT ao mesmo tempo.
O intervalo de portos fixos conecta intervalos internos e externos de enderezos IP. A tradución do porto tamén está desactivada. Isto permítelle asociar permanentemente o inicio ou o final dun conxunto de enderezos IP internos co principio ou o final dun conxunto de enderezos IP externos. No seguinte exemplo, o grupo de enderezos internos 192.168.1.25 - 192.168.1.28 está asignado ao grupo de enderezos externos 83.235.123.5 - 83.235.125.8.
Asignación de bloques de portos: este grupo de IP úsase para asignar un bloque de portos para os usuarios do grupo de IP. Ademais do conxunto de IP en si, tamén se deben especificar aquí dous parámetros: o tamaño do bloque e o número de bloques asignados para cada usuario.
Agora vexamos a tecnoloxía Destination NAT. Está baseado en enderezos IP virtuais (VIP). Para os paquetes que están baixo as regras de Destino NAT, o enderezo IP no campo Destino cambia: normalmente o enderezo público de Internet cambia ao enderezo privado do servidor. Os enderezos IP virtuais úsanse nas políticas de firewall como campo Destino.
O tipo estándar de enderezos IP virtuais é NAT estático. Esta é unha correspondencia un a un entre enderezos externos e internos.
En lugar de NAT estático, os enderezos virtuais poden limitarse mediante o reenvío de portos específicos. Por exemplo, asocia conexións a un enderezo externo no porto 8080 cunha conexión a un enderezo IP interno no porto 80.
No seguinte exemplo, un ordenador co enderezo 172.17.10.25 está tentando acceder ao enderezo 83.235.123.20 no porto 80. Esta conexión está baixo a regra DNAT, polo que o enderezo IP de destino cámbiase a 10.10.10.10.
O vídeo analiza a teoría e tamén ofrece exemplos prácticos de configuración de NAT de orixe e destino.
Nas próximas leccións pasaremos a garantir a seguridade dos usuarios en Internet. En concreto, a próxima lección analizará a funcionalidade do filtrado web e o control de aplicacións. Para non perdelo, segue as actualizacións nas seguintes canles:
Fonte: www.habr.com