Lijep pozdrav! Dobrodošli u petu lekciju tečaja , na Shvatili smo kako funkcioniraju sigurnosne politike. Sada je vrijeme za puštanje lokalnih korisnika na Internet. Da bismo to učinili, u ovoj lekciji ćemo pogledati rad NAT mehanizma.
Osim puštanja korisnika na Internet, razmotrit ćemo i način objavljivanja internih usluga. Ispod presjeka je kratka teorija iz videa, kao i sama video lekcija.
NAT (Network Address Translation) tehnologija je mehanizam za pretvaranje IP adresa mrežnih paketa. U uvjetima Fortineta, NAT je podijeljen u dvije vrste: izvorni NAT i odredišni NAT.
Imena govore sama za sebe - kada se koristi izvorni NAT, mijenja se izvorna adresa, kada se koristi odredišni NAT, mijenja se odredišna adresa.
Osim toga, također postoji nekoliko opcija za postavljanje NAT-a - Firewall Policy NAT i Central NAT.
Kada koristite prvu opciju, izvorni i odredišni NAT moraju biti konfigurirani za svaku sigurnosnu politiku. U ovom slučaju izvorni NAT koristi ili IP adresu odlaznog sučelja ili unaprijed konfigurirani IP skup. Odredišni NAT koristi unaprijed konfigurirani objekt (tzv. VIP - Virtual IP) kao odredišnu adresu.
Kada koristite središnji NAT, konfiguracija izvornog i odredišnog NAT-a izvodi se za cijeli uređaj (ili virtualnu domenu) odjednom. U ovom slučaju postavke NAT-a primjenjuju se na sva pravila, ovisno o pravilima NAT izvora i odredišta.
Pravila izvornog NAT-a konfiguriraju se u središnjoj politici izvornog NAT-a. Odredišni NAT se konfigurira iz DNAT izbornika pomoću IP adresa.
U ovoj lekciji razmotrit ćemo samo NAT pravila vatrozida - kao što praksa pokazuje, ova opcija konfiguracije mnogo je češća od središnjeg NAT-a.
Kao što sam već rekao, kada konfigurirate Firewall Policy Source NAT, postoje dvije opcije konfiguracije: zamjena IP adrese s adresom odlaznog sučelja ili s IP adresom iz unaprijed konfiguriranog skupa IP adresa. Izgleda otprilike kao ovaj prikazan na donjoj slici. Zatim ću ukratko govoriti o mogućim skupovima, ali u praksi ćemo razmotriti samo opciju s adresom odlaznog sučelja - u našem rasporedu ne trebamo skupove IP adresa.
IP skup definira jednu ili više IP adresa koje će se koristiti kao izvorna adresa tijekom sesije. Ove IP adrese će se koristiti umjesto IP adrese FortiGate odlaznog sučelja.
Postoje 4 vrste IP skupova koji se mogu konfigurirati na FortiGate-u:
- Preopterećenje
- Jedan na jedan
- Fiksni raspon priključaka
- Dodjela bloka porta
Preopterećenje je glavni IP skup. Pretvara IP adrese pomoću sheme više-na-jedan ili više-na-više. Također se koristi prijevod luka. Razmotrite krug prikazan na donjoj slici. Imamo paket s definiranim poljima Izvor i Odredište. Ako je pod politikom vatrozida koja ovom paketu dopušta pristup vanjskoj mreži, na njega se primjenjuje NAT pravilo. Kao rezultat toga, u ovom paketu polje Izvor zamijenjeno je jednom od IP adresa navedenih u skupu IP adresa.
Jedan na jedan skup također definira mnoge vanjske IP adrese. Kada paket potpada pod politiku vatrozida s omogućenim NAT pravilom, IP adresa u polju Izvor mijenja se u jednu od adresa koje pripadaju ovom skupu. Zamjena slijedi pravilo "prvi ušao, prvi izašao". Da bi bilo jasnije, pogledajmo primjer.
Računalo u lokalnoj mreži s IP adresom 192.168.1.25 šalje paket vanjskoj mreži. Spada pod NAT pravilo, a polje Izvor se mijenja u prvu IP adresu iz skupa, u našem slučaju to je 83.235.123.5. Vrijedno je napomenuti da se pri korištenju ovog skupa IP adresa ne koristi prijevod porta. Ako nakon toga računalo iz iste lokalne mreže, s adresom, recimo, 192.168.1.35, pošalje paket vanjskoj mreži i također potpadne pod ovo NAT pravilo, IP adresa u polju Izvor ovog paketa promijenit će se u 83.235.123.6. Ako više nema adresa u skupu, naredne veze će biti odbijene. To jest, u ovom slučaju, 4 računala mogu pasti pod naše NAT pravilo u isto vrijeme.
Fixed Port Range povezuje unutarnje i vanjske raspone IP adresa. Prijevod porta također je onemogućen. To vam omogućuje da trajno povežete početak ili kraj skupa internih IP adresa s početkom ili krajem skupa vanjskih IP adresa. U donjem primjeru interni skup adresa 192.168.1.25 - 192.168.1.28 mapiran je u vanjski skup adresa 83.235.123.5 - 83.235.125.8.
Dodjela bloka portova - ovaj IP skup se koristi za dodjelu bloka portova za korisnike IP skupa. Osim samog IP skupa, ovdje se također moraju navesti dva parametra - veličina bloka i broj blokova dodijeljenih svakom korisniku.
Sada pogledajmo Destination NAT tehnologiju. Temelji se na virtualnim IP adresama (VIP). Za pakete koji potpadaju pod pravila Destination NAT, IP adresa u polju Destination se mijenja: obično se javna internetska adresa mijenja u privatnu adresu poslužitelja. Virtualne IP adrese koriste se u pravilima vatrozida kao polje Odredište.
Standardna vrsta virtualnih IP adresa je statički NAT. Ovo je korespondencija jedan-na-jedan između vanjskih i unutarnjih adresa.
Umjesto statičkog NAT-a, virtualne adrese mogu se ograničiti prosljeđivanjem određenih portova. Na primjer, povežite veze s vanjskom adresom na portu 8080 s vezom na internu IP adresu na portu 80.
U donjem primjeru, računalo s adresom 172.17.10.25 pokušava pristupiti adresi 83.235.123.20 na portu 80. Ova veza potpada pod pravilo DNAT, pa se odredišna IP adresa mijenja u 10.10.10.10.
Videozapis govori o teoriji i nudi praktične primjere konfiguracije izvornog i odredišnog NAT-a.
U sljedećim lekcijama prijeći ćemo na osiguranje sigurnosti korisnika na internetu. Konkretno, sljedeća lekcija govorit će o funkcionalnosti web filtriranja i kontrole aplikacija. Kako ne biste propustili, pratite novosti na sljedećim kanalima:
Izvor: www.habr.com