Ողջույններ: Բարի գալուստ դասընթացի հինգերորդ դաս : On Մենք պարզել ենք, թե ինչպես է աշխատում անվտանգության քաղաքականությունը: Այժմ ժամանակն է տեղական օգտատերերին ինտերնետի միջոցով ազատել: Դա անելու համար այս դասում մենք կանդրադառնանք NAT մեխանիզմի աշխատանքին:
Ի լրումն օգտատերերին ինտերնետ ազատելուն, մենք կդիտարկենք նաև ներքին ծառայությունների հրապարակման մեթոդ: Կտրվածքի ներքևում ներկայացված է տեսանյութի համառոտ տեսությունը, ինչպես նաև բուն տեսադասը:
NAT (Network Address Translation) տեխնոլոգիան ցանցային փաթեթների IP հասցեների փոխակերպման մեխանիզմ է: Fortinet-ի առումով NAT-ը բաժանվում է երկու տեսակի՝ Source NAT և Destination NAT:
Անուններն ինքնին խոսում են. Source NAT-ն օգտագործելիս փոխվում է սկզբնաղբյուրի հասցեն, Destination NAT-ն օգտագործելիս՝ նպատակակետի հասցեն:
Բացի այդ, կան նաև NAT-ի ստեղծման մի քանի տարբերակներ՝ Firewall Policy NAT և Central NAT:
Առաջին տարբերակն օգտագործելիս Source and Destination NAT-ը պետք է կազմաձևված լինի յուրաքանչյուր անվտանգության քաղաքականության համար: Այս դեպքում Source NAT-ն օգտագործում է կամ ելքային ինտերֆեյսի IP հասցեն կամ նախապես կազմաձևված IP Pool: Destination NAT-ը որպես նպատակակետ օգտագործում է նախապես կազմաձևված օբյեկտ (այսպես կոչված VIP - Վիրտուալ IP):
Կենտրոնական NAT-ն օգտագործելիս Source and Destination NAT կոնֆիգուրացիան կատարվում է ամբողջ սարքի (կամ վիրտուալ տիրույթի) համար միանգամից: Այս դեպքում NAT-ի կարգավորումները կիրառվում են բոլոր կանոնների վրա՝ կախված Source NAT-ի և Destination NAT-ի կանոններից:
Աղբյուրի NAT կանոնները կազմաձևված են կենտրոնական Source NAT քաղաքականության մեջ: Destination NAT-ը կազմաձևվում է DNAT մենյուից՝ օգտագործելով IP հասցեները:
Այս դասում մենք կքննարկենք միայն Firewall Policy NAT-ը. ինչպես ցույց է տալիս պրակտիկան, այս կազմաձևման տարբերակը շատ ավելի տարածված է, քան Կենտրոնական NAT-ը:
Ինչպես արդեն ասացի, Firewall Policy Source NAT-ը կարգավորելիս կան կազմաձևման երկու տարբերակ՝ IP հասցեն փոխարինել ելքային ինտերֆեյսի հասցեով կամ IP հասցեով նախապես կազմաձևված IP հասցեների լողավազանից: Այն նման է ստորև նկարում ներկայացվածին: Հաջորդը, ես համառոտ կխոսեմ հնարավոր լողավազանների մասին, բայց գործնականում մենք կդիտարկենք միայն ելքային ինտերֆեյսի հասցեով տարբերակը. մեր դասավորության մեջ մեզ IP հասցեների լողավազաններ պետք չեն:
IP լողավազան սահմանում է մեկ կամ մի քանի IP հասցեներ, որոնք կօգտագործվեն որպես սկզբնաղբյուր հասցե նիստի ընթացքում: Այս IP հասցեները կօգտագործվեն FortiGate ելքային միջերեսի IP հասցեի փոխարեն:
Կան 4 տեսակի IP լողավազաններ, որոնք կարող են կազմաձևվել FortiGate-ում.
- Ծանրաբեռնել
- Մեկ-մեկ
- Հաստատուն նավահանգիստ
- Նավահանգիստների բլոկի տեղաբաշխում
Գերբեռնվածությունը IP-ի հիմնական լողավազանն է: Այն փոխակերպում է IP հասցեները՝ օգտագործելով բազմաթիվ-մեկ կամ շատ-շատ-շատ սխեմա: Նաև օգտագործվում է պորտի թարգմանությունը: Դիտարկենք ստորև բերված նկարում ներկայացված միացումը: Մենք ունենք փաթեթ՝ սահմանված Source և Destination դաշտերով: Եթե այն գտնվում է firewall-ի քաղաքականության ներքո, որը թույլ է տալիս այս փաթեթին մուտք գործել արտաքին ցանց, դրա վրա կիրառվում է NAT կանոնը: Արդյունքում, այս փաթեթում Source դաշտը փոխարինվում է IP հասցեներից մեկով, որը նշված է IP լողավազանում:
Մեկից մեկ լողավազան սահմանում է նաև բազմաթիվ արտաքին IP հասցեներ: Երբ փաթեթը ընկնում է firewall-ի քաղաքականության ներքո, որի վրա միացված է NAT կանոնը, Source դաշտի IP հասցեն փոխվում է այս լողավազանին պատկանող հասցեներից մեկի: Փոխարինումը հետևում է «առաջինը ներս, առաջինը դուրս» կանոնին: Ավելի պարզ դարձնելու համար նայենք մի օրինակի:
192.168.1.25 IP հասցեով տեղական ցանցի համակարգիչը փաթեթ է ուղարկում արտաքին ցանց: Այն ընկնում է NAT կանոնի տակ, և Source դաշտը փոխվում է լողավազանի առաջին IP հասցեի, մեր դեպքում դա 83.235.123.5 է: Հարկ է նշել, որ այս IP լողավազանն օգտագործելիս պորտի թարգմանությունը չի օգտագործվում: Եթե դրանից հետո նույն տեղական ցանցից համակարգիչը, ասենք, 192.168.1.35 հասցեով, փաթեթ ուղարկի արտաքին ցանց և նույնպես ընկնի այս NAT կանոնի տակ, այս փաթեթի Source դաշտում IP հասցեն կփոխվի. 83.235.123.6. Եթե լողավազանում այլ հասցեներ չմնան, հետագա միացումները կմերժվեն: Այսինքն՝ այս դեպքում 4 համակարգիչ կարող է միաժամանակ ընկնել մեր NAT կանոնի տակ։
Fixed Port Range-ը միացնում է IP հասցեների ներքին և արտաքին միջակայքերը: Նավահանգիստների թարգմանությունը նույնպես անջատված է: Սա թույլ է տալիս մշտապես կապել ներքին IP հասցեների լողավազանի սկիզբը կամ վերջը արտաքին IP հասցեների լողավազանի սկզբի կամ վերջի հետ: Ստորև բերված օրինակում ներքին հասցեների լողավազանը 192.168.1.25 - 192.168.1.28 քարտեզագրված է արտաքին հասցեների լողավազանի 83.235.123.5 - 83.235.125.8:
Պորտ բլոկների տեղաբաշխում - այս IP լողավազանն օգտագործվում է IP լողավազանի օգտագործողների համար նավահանգիստների բլոկի հատկացման համար: Բացի ինքնին IP լողավազանից, այստեղ պետք է նշվեն նաև երկու պարամետր՝ բլոկի չափը և յուրաքանչյուր օգտագործողի համար հատկացված բլոկների քանակը:
Հիմա եկեք նայենք Destination NAT տեխնոլոգիային: Այն հիմնված է վիրտուալ IP հասցեների (VIP) վրա: Փաթեթների համար, որոնք գտնվում են Destination NAT կանոնների ներքո, նպատակակետ դաշտում IP հասցեն փոխվում է. սովորաբար հանրային ինտերնետային հասցեն փոխվում է սերվերի մասնավոր հասցեի: Վիրտուալ IP հասցեները օգտագործվում են firewall-ի քաղաքականություններում՝ որպես Destination դաշտ:
Վիրտուալ IP հասցեների ստանդարտ տեսակը Static NAT է: Սա արտաքին և ներքին հասցեների միջև մեկ առ մեկ համապատասխանություն է:
Static NAT-ի փոխարեն վիրտուալ հասցեները կարող են սահմանափակվել հատուկ նավահանգիստների փոխանցման միջոցով: Օրինակ, կապակցեք 8080 նավահանգստի արտաքին հասցեի հետ կապը 80 նավահանգստի ներքին IP հասցեի հետ:
Ստորև բերված օրինակում 172.17.10.25 հասցեով համակարգիչը փորձում է մուտք գործել 83.235.123.20 նավահանգստի 80 հասցե: Այս կապը պատկանում է DNAT կանոնին, ուստի նպատակակետ IP հասցեն փոխվում է 10.10.10.10:
Տեսանյութը քննարկում է տեսությունը, ինչպես նաև տալիս է Source and Destination NAT-ի կազմաձևման գործնական օրինակներ:
Հաջորդ դասերում մենք կանցնենք ինտերնետում օգտատերերի անվտանգության ապահովմանը: Մասնավորապես, հաջորդ դասում կքննարկվեն վեբ զտման և հավելվածների վերահսկման ֆունկցիոնալությունը: Այն բաց չթողնելու համար հետևեք թարմացումներին հետևյալ ալիքներով.
Source: www.habr.com