Üdvözlet! Üdvözöljük a tanfolyam ötödik leckében . tovább Rájöttünk, hogyan működnek a biztonsági irányelvek. Itt az ideje, hogy a helyi felhasználókat felszabadítsuk az internetre. Ehhez ebben a leckében a NAT mechanizmus működését tekintjük át.
A felhasználók internetezése mellett a belső szolgáltatások közzétételének módszerét is megvizsgáljuk. A vágás alatt egy rövid elmélet a videóból, valamint maga a videólecke.
A NAT (Network Address Translation) technológia a hálózati csomagok IP-címeinek átalakítására szolgáló mechanizmus. Fortinet kifejezéssel a NAT két típusra oszlik: Forrás NAT és Cél NAT.
A nevek önmagukért beszélnek - a Source NAT használatakor a forráscím változik, a Destination NAT használatakor a célcím változik.
Ezen kívül számos lehetőség áll rendelkezésre a NAT beállítására – Firewall Policy NAT és Central NAT.
Az első beállítás használatakor minden egyes biztonsági házirendhez be kell állítani a forrás- és a cél-NAT-ot. Ebben az esetben a Source NAT vagy a kimenő interfész IP-címét vagy egy előre konfigurált IP-készletet használja. A cél NAT egy előre konfigurált objektumot (az úgynevezett VIP - Virtuális IP-t) használ célcímként.
Központi NAT használatakor a Forrás és a Cél NAT konfigurálása a teljes eszközre (vagy virtuális tartományra) egyszerre kerül végrehajtásra. Ebben az esetben a NAT-beállítások minden házirendre vonatkoznak, a forrás-NAT- és a cél-NAT-szabályoktól függően.
A forrás NAT-szabályok a központi Source NAT-házirendben vannak konfigurálva. A cél NAT beállítása a DNAT menüből történik IP-címek használatával.
Ebben a leckében csak a Firewall Policy NAT-ot fogjuk figyelembe venni – amint azt a gyakorlat mutatja, ez a konfigurációs lehetőség sokkal gyakoribb, mint a központi NAT.
Ahogy már mondtam, a tűzfalházirend-forrás NAT konfigurálásakor két konfigurációs lehetőség van: az IP-cím lecserélése a kimenő interfész címére, vagy egy előre konfigurált IP-címkészletből származó IP-címre. Valahogy úgy néz ki, mint az alábbi ábrán. Ezután röviden a lehetséges készletekről szólok, de a gyakorlatban csak a kimenő felület címével vesszük figyelembe a lehetőséget - elrendezésünkben nincs szükségünk IP-címkészletekre.
Az IP-készlet egy vagy több IP-címet határoz meg, amelyek a munkamenet során forráscímként lesznek használva. Ezeket az IP-címeket használja a rendszer a FortiGate kimenő interfész IP-címe helyett.
A FortiGate-en 4 típusú IP-készlet konfigurálható:
- Túlterhelés
- 1-1
- Fix port tartomány
- Portblokk kiosztása
A túlterhelés a fő IP-készlet. Az IP-címeket több az egyhez vagy több a sokhoz séma használatával konvertálja. Port fordítás is használatos. Tekintsük az alábbi ábrán látható áramkört. Van egy csomagunk meghatározott Forrás és Cél mezőkkel. Ha olyan tűzfalházirend hatálya alá tartozik, amely lehetővé teszi, hogy ez a csomag hozzáférjen a külső hálózathoz, a rendszer NAT-szabályt alkalmaz rá. Ennek eredményeként ebben a csomagban a Forrás mezőt az IP-készletben megadott IP-címek egyikére cseréljük.
A One to One pool számos külső IP-címet is meghatároz. Ha egy csomag tűzfalházirend alá esik, és a NAT-szabály engedélyezve van, akkor a Forrás mezőben lévő IP-cím a készlethez tartozó címek valamelyikére módosul. A csere az „első be, első ki” szabályt követi. Hogy világosabb legyen, nézzünk egy példát.
A helyi hálózaton lévő, 192.168.1.25 IP-című számítógép csomagot küld a külső hálózatnak. Ez a NAT-szabály alá esik, és a Forrás mező az első IP-címre változik a készletből, esetünkben ez 83.235.123.5. Érdemes megjegyezni, hogy ennek az IP-készletnek a használatakor a portfordítás nem használatos. Ha ezek után egy ugyanarról a helyi hálózatról, mondjuk 192.168.1.35-ös címmel rendelkező számítógép csomagot küld egy külső hálózatra, és rá is vonatkozik ez a NAT-szabály, akkor ennek a csomagnak a Forrás mezőjében lévő IP-cím a következőre változik. 83.235.123.6. Ha nem maradt több cím a készletben, a következő kapcsolatokat a rendszer elutasítja. Vagyis ebben az esetben egyszerre 4 számítógép eshet a NAT-szabályunk alá.
A Fix Port Range belső és külső IP-címtartományokat köt össze. A portfordítás is le van tiltva. Ez lehetővé teszi, hogy a belső IP-címek készletének elejét vagy végét véglegesen hozzárendelje a külső IP-címek készletének kezdetéhez vagy végéhez. Az alábbi példában a 192.168.1.25 - 192.168.1.28 belső címkészlet a 83.235.123.5 - 83.235.125.8 külső címkészlethez van leképezve.
Portblokk kiosztása – ez az IP-készlet egy portblokk kiosztására szolgál az IP-készlet felhasználói számára. Magán az IP-készleten kívül itt két paramétert is meg kell adni - a blokkméretet és az egyes felhasználók számára kiosztott blokkok számát.
Most nézzük a Destination NAT technológiát. Virtuális IP-címeken (VIP) alapul. Azon csomagok esetében, amelyekre a Destination NAT szabályok vonatkoznak, a Cél mezőben lévő IP-cím megváltozik: általában a nyilvános internetcím a szerver privát címére változik. A virtuális IP-címek a tűzfalházirendekben a Cél mezőként használatosak.
A virtuális IP-címek szabványos típusa a statikus NAT. Ez a külső és belső címek egy az egyhez való megfeleltetése.
A statikus NAT helyett a virtuális címek korlátozhatók meghatározott portok továbbításával. Például társítsa a kapcsolatokat a 8080-as porton lévő külső címhez a 80-as porton lévő belső IP-címhez való kapcsolathoz.
Az alábbi példában a 172.17.10.25 címmel rendelkező számítógép a 83.235.123.20-as porton próbálja elérni a 80 címet. Ez a kapcsolat a DNAT-szabály alá esik, így a cél IP-címe 10.10.10.10-re módosul.
A videó az elméletet tárgyalja, és gyakorlati példákat is tartalmaz a Source és Destination NAT konfigurálására.
A következő leckékben tovább fogunk térni a felhasználók internetes biztonságának biztosítására. A következő leckében konkrétan a webszűrés és az alkalmazásvezérlés funkcióit tárgyaljuk. Hogy ne maradj le róla, kövesd a frissítéseket az alábbi csatornákon:
Forrás: will.com