Salam! Selamat datang di pelajaran kelima kursus ini . Pada Kami telah menemukan cara kerja kebijakan keamanan. Sekarang saatnya melepaskan pengguna lokal ke Internet. Untuk melakukan hal ini, dalam pelajaran ini kita akan melihat pengoperasian mekanisme NAT.
Selain melepaskan pengguna ke Internet, kami juga akan melihat metode untuk mempublikasikan layanan internal. Di bawah ini adalah teori singkat dari video tersebut, serta video pelajaran itu sendiri.
Teknologi NAT (Network Address Translation) adalah mekanisme untuk mengubah alamat IP paket jaringan. Dalam istilah Fortinet, NAT dibagi menjadi dua jenis: NAT Sumber dan NAT Tujuan.
Namanya berbicara sendiri - saat menggunakan NAT Sumber, alamat sumber berubah, saat menggunakan NAT Tujuan, alamat tujuan berubah.
Selain itu juga terdapat beberapa pilihan untuk setting NAT - Firewall Policy NAT dan Central NAT.
Saat menggunakan opsi pertama, NAT Sumber dan Tujuan harus dikonfigurasi untuk setiap kebijakan keamanan. Dalam hal ini, Sumber NAT menggunakan alamat IP antarmuka keluar atau Kumpulan IP yang telah dikonfigurasi sebelumnya. NAT Tujuan menggunakan objek yang telah dikonfigurasi sebelumnya (yang disebut VIP - IP Virtual) sebagai alamat tujuan.
Saat menggunakan NAT Pusat, konfigurasi NAT Sumber dan Tujuan dilakukan untuk seluruh perangkat (atau domain virtual) sekaligus. Dalam hal ini, pengaturan NAT berlaku untuk semua kebijakan, bergantung pada aturan NAT Sumber dan NAT Tujuan.
Aturan Sumber NAT dikonfigurasikan dalam kebijakan Sumber NAT pusat. NAT Tujuan dikonfigurasi dari menu DNAT menggunakan alamat IP.
Dalam pelajaran ini, kami hanya akan mempertimbangkan NAT Kebijakan Firewall - seperti yang ditunjukkan oleh praktik, opsi konfigurasi ini jauh lebih umum daripada NAT Pusat.
Seperti yang sudah saya katakan, saat mengonfigurasi NAT Sumber Kebijakan Firewall, ada dua opsi konfigurasi: mengganti alamat IP dengan alamat antarmuka keluar, atau dengan alamat IP dari kumpulan alamat IP yang telah dikonfigurasi sebelumnya. Ini terlihat seperti yang ditunjukkan pada gambar di bawah. Selanjutnya, saya akan berbicara secara singkat tentang kemungkinan kumpulan, tetapi dalam praktiknya kami hanya akan mempertimbangkan opsi dengan alamat antarmuka keluar - dalam tata letak kami, kami tidak memerlukan kumpulan alamat IP.
Kumpulan IP menentukan satu atau lebih alamat IP yang akan digunakan sebagai alamat sumber selama sesi. Alamat IP ini akan digunakan sebagai pengganti alamat IP antarmuka keluar FortiGate.
Ada 4 jenis kumpulan IP yang dapat dikonfigurasi di FortiGate:
- Overload
- Satu-ke-satu
- Jangkauan Pelabuhan Tetap
- Alokasi blok port
Kelebihan beban adalah kumpulan IP utama. Ini mengkonversi alamat IP menggunakan skema banyak-ke-satu atau banyak-ke-banyak. Terjemahan port juga digunakan. Perhatikan rangkaian yang ditunjukkan pada gambar di bawah ini. Kami memiliki paket dengan bidang Sumber dan Tujuan yang ditentukan. Jika paket tersebut berada di bawah kebijakan firewall yang mengizinkan paket ini mengakses jaringan eksternal, aturan NAT diterapkan padanya. Akibatnya, dalam paket ini bidang Sumber diganti dengan salah satu alamat IP yang ditentukan dalam kumpulan IP.
Kumpulan Satu ke Satu juga mendefinisikan banyak alamat IP eksternal. Ketika sebuah paket berada di bawah kebijakan firewall dengan aturan NAT diaktifkan, alamat IP di bidang Sumber diubah menjadi salah satu alamat milik kumpulan ini. Penggantian mengikuti aturan βmasuk pertama, keluar pertamaβ. Agar lebih jelas mari kita lihat contohnya.
Komputer di jaringan lokal dengan alamat IP 192.168.1.25 mengirimkan paket ke jaringan eksternal. Itu berada di bawah aturan NAT, dan bidang Sumber diubah menjadi alamat IP pertama dari kumpulan, dalam kasus kami adalah 83.235.123.5. Perlu dicatat bahwa saat menggunakan kumpulan IP ini, terjemahan port tidak digunakan. Jika setelah ini komputer dari jaringan lokal yang sama, dengan alamat, katakanlah, 192.168.1.35, mengirimkan paket ke jaringan eksternal dan juga termasuk dalam aturan NAT ini, alamat IP di bidang Sumber paket ini akan berubah menjadi 83.235.123.6. Jika tidak ada lagi alamat yang tersisa di kumpulan, koneksi berikutnya akan ditolak. Artinya, dalam hal ini, 4 komputer dapat berada di bawah aturan NAT kita secara bersamaan.
Rentang Port Tetap menghubungkan rentang alamat IP internal dan eksternal. Terjemahan port juga dinonaktifkan. Hal ini memungkinkan Anda mengaitkan secara permanen awal atau akhir kumpulan alamat IP internal dengan awal atau akhir kumpulan alamat IP eksternal. Pada contoh di bawah, kumpulan alamat internal 192.168.1.25 - 192.168.1.28 dipetakan ke kumpulan alamat eksternal 83.235.123.5 - 83.235.125.8.
Alokasi Blok Port - kumpulan IP ini digunakan untuk mengalokasikan satu blok port untuk pengguna kumpulan IP. Selain kumpulan IP itu sendiri, dua parameter juga harus ditentukan di sini - ukuran blok dan jumlah blok yang dialokasikan untuk setiap pengguna.
Sekarang mari kita lihat teknologi Destination NAT. Hal ini didasarkan pada alamat IP virtual (VIP). Untuk paket yang termasuk dalam aturan NAT Tujuan, alamat IP di bidang Tujuan berubah: biasanya alamat Internet publik berubah menjadi alamat pribadi server. Alamat IP virtual digunakan dalam kebijakan firewall sebagai bidang Tujuan.
Tipe standar alamat IP virtual adalah NAT Statis. Ini adalah korespondensi satu-satu antara alamat eksternal dan internal.
Alih-alih NAT Statis, alamat virtual dapat dibatasi dengan meneruskan port tertentu. Misalnya, kaitkan koneksi ke alamat eksternal pada port 8080 dengan koneksi ke alamat IP internal pada port 80.
Pada contoh di bawah ini, komputer dengan alamat 172.17.10.25 mencoba mengakses alamat 83.235.123.20 pada port 80. Koneksi ini berada di bawah aturan DNAT, sehingga alamat IP tujuan diubah menjadi 10.10.10.10.
Video ini membahas teori dan juga memberikan contoh praktis konfigurasi NAT Sumber dan Tujuan.
Dalam pelajaran berikutnya kita akan melanjutkan untuk memastikan keamanan pengguna di Internet. Secara khusus, pelajaran berikutnya akan membahas fungsi pemfilteran web dan kontrol aplikasi. Agar tidak ketinggalan, ikuti updatenya di channel berikut ini:
Sumber: www.habr.com