Bonjou! Byenveni nan senkyèm leson kou a . Sou Nou te kalkile ki jan politik sekirite travay. Koulye a, li lè yo lage itilizatè lokal yo sou entènèt la. Pou fè sa, nan leson sa a nou pral gade nan operasyon an nan mekanis NAT la.
Anplis lage itilizatè yo sou entènèt la, nou pral gade tou nan yon metòd pou pibliye sèvis entèn yo. Anba koupe a se yon teyori tou kout nan videyo a, osi byen ke leson videyo a li menm.
Teknoloji NAT (Network Address Translation) se yon mekanis pou konvèti adrès IP pake rezo yo. Nan tèm Fortinet, NAT divize an de kalite: Sous NAT ak Destination NAT.
Non yo pale poukont yo - lè w ap itilize Source NAT, adrès sous la chanje, lè w ap itilize Destination NAT, adrès destinasyon an chanje.
Anplis de sa, gen tou plizyè opsyon pou mete kanpe NAT - Firewall Policy NAT ak Central NAT.
Lè w ap itilize premye opsyon, Sous ak Destinasyon NAT dwe konfigirasyon pou chak politik sekirite. Nan ka sa a, Source NAT itilize swa adrès IP nan koòdone sortan an oswa yon pisin IP pre-konfigirasyon. Destinasyon NAT sèvi ak yon objè pre-konfigirasyon (sa yo rele VIP - Virtual IP) kòm adrès destinasyon an.
Lè w ap itilize NAT Santral, konfigirasyon NAT Sous ak Destinasyon an fèt pou tout aparèy la (oswa domèn vityèl) an menm tan. Nan ka sa a, paramèt NAT yo aplike pou tout règleman yo, tou depann de règleman Sous NAT ak Destination NAT yo.
Règ sous NAT yo konfigirasyon nan politik santral Source NAT. Destinasyon NAT konfigirasyon nan meni DNAT la lè l sèvi avèk adrès IP.
Nan leson sa a, nou pral konsidere sèlman Firewall Policy NAT - jan pratik montre, opsyon konfigirasyon sa a pi komen pase NAT Santral.
Kòm mwen te deja di, lè konfigirasyon Firewall Policy Source NAT, gen de opsyon konfigirasyon: ranplase adrès IP la ak adrès koòdone sortan an, oswa ak yon adrès IP ki soti nan yon pisin preconfigured nan adrès IP. Li sanble yon bagay tankou sa ki montre nan figi ki anba a. Apre sa, mwen pral yon ti tan pale sou pisin posib, men nan pratik nou pral sèlman konsidere opsyon a ak adrès la nan koòdone nan sortan - nan Layout nou an, nou pa bezwen pisin adrès IP.
Yon pisin IP defini youn oswa plis adrès IP ke yo pral itilize kòm adrès sous la pandan yon sesyon. Adrès IP sa yo pral itilize olye pou adrès IP koòdone sortan FortiGate la.
Gen 4 kalite pisin IP ki ka konfigirasyon sou FortiGate:
- Surcharge
- Yon sèl-a-yon sèl
- Ranje Port fiks
- Alokasyon blòk pò
Surcharge se pisin IP prensipal la. Li konvèti adrès IP lè l sèvi avèk yon konplo anpil-a-yon oswa anpil-a-anpil. Yo itilize tradiksyon pò tou. Konsidere sikwi ki montre nan figi ki anba a. Nou gen yon pake ki gen yon sous ak yon destinasyon defini. Si li vini anba yon politik firewall ki pèmèt pake sa a jwenn aksè nan rezo ekstèn lan, yo aplike yon règ NAT sou li. Kòm yon rezilta, nan pake sa a jaden Sous la ranplase ak youn nan adrès IP yo espesifye nan pisin IP la.
Yon pisin One to One defini tou anpil adrès IP ekstèn. Lè yon pake tonbe anba yon politik pare-feu ak règ NAT aktive, adrès IP ki nan jaden Sous la chanje nan youn nan adrès ki fè pati pisin sa a. Ranplasman swiv règ "premye antre, premye soti". Pou fè li pi klè, ann gade nan yon egzanp.
Yon òdinatè sou rezo lokal la ak adrès IP 192.168.1.25 voye yon pake nan rezo ekstèn lan. Li tonbe anba règ NAT, epi yo chanje jaden Sous la nan premye adrès IP ki soti nan pisin lan, nan ka nou an li se 83.235.123.5. Li se vo anyen ke lè w ap itilize pisin IP sa a, tradiksyon pò yo pa itilize. Si apre sa yon òdinatè ki soti nan menm rezo lokal la, ak yon adrès, di, 192.168.1.35, voye yon pake nan yon rezo ekstèn epi tou tonbe anba règ NAT sa a, adrès IP la nan jaden an Sous nan pake sa a pral chanje a. 83.235.123.6. Si pa gen okenn lòt adrès ki rete nan pisin lan, yo pral rejte koneksyon ki vin apre yo. Sa vle di, nan ka sa a, 4 òdinatè ka tonbe anba règ NAT nou an an menm tan.
Ranje Port fiks konekte ranje entèn ak ekstèn nan adrès IP. Tradiksyon pò tou enfim. Sa a pèmèt ou asosye nèt ale nan kòmansman oswa nan fen yon pisin nan adrès IP entèn ak kòmansman an oswa nan fen yon pisin nan adrès IP ekstèn. Nan egzanp ki anba a, pisin adrès entèn 192.168.1.25 - 192.168.1.28 trase nan pisin adrès ekstèn 83.235.123.5 - 83.235.125.8.
Port Blòk Alokasyon - pisin IP sa a itilize pou asiyen yon blòk pò pou itilizatè pisin IP. Anplis pisin IP nan tèt li, de paramèt yo dwe espesifye tou isit la - gwosè a blòk ak kantite blòk yo atribye ba pou chak itilizatè.
Koulye a, ann gade nan teknoloji Destination NAT. Li baze sou adrès IP vityèl (VIP). Pou pake ki tonbe anba règ NAT Destinasyon yo, adrès IP nan jaden Destinasyon an chanje: anjeneral adrès Entènèt piblik la chanje nan adrès prive sèvè a. Adrès IP vityèl yo itilize nan règleman firewall kòm jaden an Destinasyon.
Kalite estanda adrès IP vityèl yo se Static NAT. Sa a se yon korespondans youn-a-yon ant adrès ekstèn ak entèn.
Olye de NAT estatik, adrès vityèl yo ka limite lè yo voye pò espesifik yo. Pou egzanp, asosye koneksyon ak yon adrès ekstèn sou pò 8080 ak yon koneksyon ak yon adrès IP entèn sou pò 80.
Nan egzanp ki anba a, yon òdinatè ki gen adrès 172.17.10.25 ap eseye jwenn aksè nan adrès 83.235.123.20 sou pò 80. Koneksyon sa a tonbe anba règ DNAT, kidonk adrès IP destinasyon an chanje an 10.10.10.10.
Videyo a diskite teyori a epi tou li bay egzanp pratik nan konfigirasyon Sous ak Destinasyon NAT.
Nan pwochen leson yo, nou pral kontinye pou asire sekirite itilizatè yo sou entènèt la. Espesyalman, pwochen leson an pral diskite sou fonksyonalite filtraj entènèt ak kontwòl aplikasyon an. Pou pa rate li, swiv mizajou yo sou chanèl sa yo:
Sous: www.habr.com