Kveðja! Velkomin í fimmtu kennslustund námskeiðsins . Á Við höfum fundið út hvernig öryggisstefnur virka. Nú er kominn tími til að sleppa staðbundnum notendum á internetið. Til að gera þetta, í þessari lexíu munum við skoða virkni NAT vélbúnaðarins.
Auk þess að losa notendur út á netið verður einnig skoðað aðferð til að birta innri þjónustu. Fyrir neðan klippuna er stutt kenning úr myndbandinu, sem og myndbandsstundin sjálf.
NAT (Network Address Translation) tækni er vélbúnaður til að umbreyta IP tölum netpakka. Í Fortinet skilmálum er NAT skipt í tvær tegundir: Source NAT og Destination NAT.
Nöfnin tala sínu máli - þegar þú notar Source NAT breytist uppruna heimilisfangið, þegar þú notar Destination NAT breytist heimilisfangið.
Að auki eru einnig nokkrir möguleikar til að setja upp NAT - Firewall Policy NAT og Central NAT.
Þegar fyrsta valmöguleikinn er notaður verður að stilla uppruna og áfangastað fyrir hverja öryggisstefnu. Í þessu tilviki notar Source NAT annaðhvort IP-tölu sendandi viðmóts eða fyrirfram stillta IP-laug. Destination NAT notar fyrirfram stilltan hlut (svokallaða VIP - Virtual IP) sem áfangastað.
Þegar Central NAT er notað er NAT uppsetning uppruna og áfangastaða framkvæmd fyrir allt tækið (eða sýndarlénið) í einu. Í þessu tilviki gilda NAT stillingar fyrir allar reglur, allt eftir uppruna NAT og Destination NAT reglum.
Source NAT reglur eru stilltar í miðlægu Source NAT stefnunni. Áfangastaður NAT er stilltur úr DNAT valmyndinni með því að nota IP tölur.
Í þessari lexíu munum við aðeins íhuga NAT eldveggsstefnu - eins og venjan sýnir er þessi stillingarmöguleiki mun algengari en miðlægur NAT.
Eins og ég sagði þegar, þegar þú stillir upp Firewall Policy Source NAT, þá eru tveir stillingarvalkostir: að skipta út IP tölu fyrir heimilisfang útleiðandi viðmóts, eða með IP tölu frá forstilltu hópi IP vistfanga. Það lítur eitthvað út eins og það sem sýnt er á myndinni hér að neðan. Næst mun ég tala stuttlega um mögulegar laugar, en í reynd munum við aðeins íhuga möguleikann með heimilisfangi útgefandi viðmóts - í skipulagi okkar þurfum við ekki IP tölu laugar.
IP-laug skilgreinir eina eða fleiri IP-tölur sem verða notaðar sem upprunavistfang meðan á lotu stendur. Þessar IP tölur verða notaðar í stað FortiGate útleiðandi viðmóts IP tölu.
Það eru 4 tegundir af IP-laugum sem hægt er að stilla á FortiGate:
- Overload
- Einn á móti einum
- Fast hafnarsvæði
- Úthlutun hafnarblokkar
Ofhleðsla er aðal IP-laugin. Það breytir IP tölum með því að nota margar-í-einn eða margir-til-margir kerfi. Portþýðing er einnig notuð. Skoðum hringrásina sem sýnd er á myndinni hér að neðan. Við erum með pakka með skilgreindum uppruna- og áfangastað. Ef það fellur undir eldveggsstefnu sem gerir þessum pakka kleift að fá aðgang að ytra neti, er NAT regla beitt á það. Þar af leiðandi, í þessum pakka er upprunareitnum skipt út fyrir eina af IP tölunum sem tilgreindar eru í IP lauginni.
Einn til einn laug skilgreinir einnig mörg ytri IP tölur. Þegar pakki fellur undir eldveggsstefnu með NAT-regluna virka, er IP-tölu í upprunareitnum breytt í eitt af vistföngunum sem tilheyra þessum hópi. Skipting fylgir reglunni „fyrstur inn, fyrst út“. Til að gera það skýrara skulum við líta á dæmi.
Tölva á staðarnetinu með IP tölu 192.168.1.25 sendir pakka á ytra netið. Það fellur undir NAT regluna og Source reitnum er breytt í fyrsta IP tölu úr lauginni, í okkar tilviki er það 83.235.123.5. Þess má geta að þegar þessi IP-laug er notuð er portþýðing ekki notuð. Ef eftir þetta sendir tölva frá sama staðarneti, með heimilisfangið td 192.168.1.35, pakka á utanaðkomandi net og fellur einnig undir þessa NAT-reglu, mun IP-talan í upprunareitnum í þessum pakka breytast í 83.235.123.6. Ef ekki eru fleiri heimilisföng eftir í lauginni verður síðari tengingum hafnað. Það er, í þessu tilfelli geta 4 tölvur fallið undir NAT regluna okkar á sama tíma.
Fixed Port Range tengir innra og ytra svið IP vistfanga. Gáttarþýðing er einnig óvirk. Þetta gerir þér kleift að tengja upphaf eða lok innri IP vistfanga varanlega við upphaf eða lok hóps ytri IP vistfanga. Í dæminu hér að neðan er innri vistfangahópurinn 192.168.1.25 - 192.168.1.28 varpað á ytri vistfangahópinn 83.235.123.5 - 83.235.125.8.
Port Block Allocation - þessi IP laug er notuð til að úthluta blokk af höfnum fyrir IP laug notendur. Til viðbótar við IP-laugina sjálfa verður einnig að tilgreina tvær breytur hér - blokkastærð og fjölda blokka sem úthlutað er fyrir hvern notanda.
Nú skulum við líta á Destination NAT tækni. Það er byggt á sýndar IP tölum (VIP). Fyrir pakka sem falla undir Destination NAT reglurnar breytist IP-talan í Destination reitnum: venjulega breytist almenna netfangið í einkavistfang netþjónsins. Sýndar IP tölur eru notaðar í eldveggsreglum sem áfangastaður.
Stöðluð tegund sýndar IP tölur er Static NAT. Þetta er einstaklingssamsvörun milli ytri og innri vistfanga.
Í stað Static NAT er hægt að takmarka sýndarvistföng með því að senda tilteknar höfn. Tengdu til dæmis tengingar við ytra vistfang á höfn 8080 við tengingu við innri IP-tölu á höfn 80.
Í dæminu hér að neðan er tölva með heimilisfangið 172.17.10.25 að reyna að fá aðgang að heimilisfanginu 83.235.123.20 á port 80. Þessi tenging fellur undir DNAT regluna, þannig að IP tölu áfangastað er breytt í 10.10.10.10.
Myndbandið fjallar um kenninguna og gefur einnig hagnýt dæmi um að stilla uppruna og áfangastað NAT.
Í næstu kennslustundum munum við halda áfram að tryggja öryggi notenda á netinu. Nánar tiltekið mun næsta lexía fjalla um virkni vefsíunar og stjórnun forrita. Til að missa ekki af því skaltu fylgjast með uppfærslunum á eftirfarandi rásum:
Heimild: www.habr.com