5. תחילת העבודה של Fortinet v6.0. NAT

ברכות! ברוכים הבאים לשיעור החמישי של הקורס פורטינט תחילת העבודה. על שיעור אחרון הבנו כיצד פועלת מדיניות האבטחה. עכשיו הגיע הזמן לשחרר משתמשים מקומיים לאינטרנט. לשם כך, בשיעור זה נבחן את פעולת מנגנון ה-NAT.
בנוסף לשחרור משתמשים לאינטרנט, נבחן גם שיטה לפרסום שירותים פנימיים. מתחת לגזרה ישנה תיאוריה קצרה מהסרטון, כמו גם שיעור הווידאו עצמו.
טכנולוגיית NAT (תרגום כתובות רשת) היא מנגנון להמרת כתובות IP של מנות רשת. במונחים של Fortinet, NAT מחולק לשני סוגים: מקור NAT ו-Destination NAT.

השמות מדברים בעד עצמם - בשימוש במקור NAT כתובת המקור משתנה, בשימוש ב-Destination NAT משתנה כתובת היעד.

בנוסף, קיימות גם מספר אפשרויות להגדרת NAT - Firewall Policy NAT ו-Central NAT.

בעת שימוש באפשרות הראשונה, יש להגדיר מקור ויעד NAT עבור כל מדיניות אבטחה. במקרה זה, מקור NAT משתמש בכתובת ה-IP של הממשק היוצא או במאגר IP מוגדר מראש. Destination NAT משתמש באובייקט מוגדר מראש (מה שנקרא VIP - Virtual IP) ככתובת היעד.

בעת שימוש ב-Central NAT, תצורת ה-NAT של המקור והיעד מתבצעת עבור כל המכשיר (או התחום הווירטואלי) בבת אחת. במקרה זה, הגדרות NAT חלות על כל המדיניות, בהתאם לכללי המקור NAT וה-Destination NAT.

כללי מקור NAT מוגדרים במדיניות ה-Source NAT המרכזית. יעד NAT מוגדר מתפריט DNAT באמצעות כתובות IP.

בשיעור זה נשקול רק Firewall Policy NAT - כפי שמראה בפועל, אפשרות תצורה זו נפוצה הרבה יותר מאשר Central NAT.

כפי שכבר אמרתי, בעת הגדרת Firewall Policy Source NAT, ישנן שתי אפשרויות תצורה: החלפת כתובת ה-IP בכתובת של הממשק היוצא, או בכתובת IP ממאגר כתובות IP מוגדר מראש. זה נראה משהו כמו זה שמוצג באיור למטה. לאחר מכן, אדבר בקצרה על בריכות אפשריות, אך בפועל נשקול רק את האופציה עם כתובת הממשק היוצא – בפריסה שלנו, איננו צריכים בריכות כתובות IP.

מאגר IP מגדיר כתובת IP אחת או יותר שתשמש ככתובת המקור במהלך הפגישה. כתובות IP אלו ישמשו במקום כתובת ה-IP של ממשק היוצא FortiGate.

ישנם 4 סוגים של בריכות IP שניתן להגדיר ב-FortiGate:

• להעמיס יותר מדי
• אחד לאחד
• טווח נמל קבוע
• הקצאת בלוק יציאה

עומס יתר הוא מאגר ה-IP הראשי. זה ממיר כתובות IP באמצעות סכימת רבים לאחד או רבים לרבים. נעשה שימוש גם בתרגום פורטים. שקול את המעגל המוצג באיור למטה. יש לנו חבילה עם שדות מקור ויעד מוגדרים. אם הוא מגיע תחת מדיניות חומת אש המאפשרת לחבילה זו לגשת לרשת החיצונית, כלל NAT מוחל עליה. כתוצאה מכך, בחבילה זו שדה המקור מוחלף באחת מכתובות ה-IP שצוינו במאגר ה-IP.

מאגר אחד לאחד מגדיר גם כתובות IP חיצוניות רבות. כאשר מנה נופלת תחת מדיניות חומת אש כאשר כלל ה-NAT מופעל, כתובת ה-IP בשדה המקור משתנה לאחת מהכתובות השייכות למאגר זה. ההחלפה פועלת בהתאם לכלל "נכנס ראשון, יוצא ראשון". כדי להבהיר את זה, בואו נסתכל על דוגמה.

מחשב ברשת המקומית עם כתובת IP 192.168.1.25 שולח מנה לרשת החיצונית. זה נופל תחת כלל NAT, והשדה Source משתנה לכתובת ה-IP הראשונה מהמאגר, במקרה שלנו זה 83.235.123.5. ראוי לציין כי בעת שימוש במאגר IP זה, לא נעשה שימוש בתרגום פורטים. אם לאחר מכן מחשב מאותה רשת מקומית, עם כתובת של, למשל, 192.168.1.35, שולח חבילה לרשת חיצונית וגם נופל תחת כלל NAT זה, כתובת ה-IP בשדה המקור של מנה זו תשתנה ל- 83.235.123.6. אם לא יישארו כתובות נוספות במאגר, החיבורים הבאים יידחו. כלומר, במקרה זה, 4 מחשבים יכולים ליפול תחת כלל ה-NAT שלנו בו-זמנית.

Fixed Port Range מחבר בין טווחים פנימיים וחיצוניים של כתובות IP. תרגום פורט מושבת גם הוא. זה מאפשר לך לשייך לצמיתות את ההתחלה או הסוף של מאגר כתובות IP פנימיות עם ההתחלה או הסוף של מאגר כתובות IP חיצוניות. בדוגמה למטה, מאגר הכתובות הפנימי 192.168.1.25 - 192.168.1.28 ממופה למאגר הכתובות החיצוני 83.235.123.5 - 83.235.125.8.

הקצאת בלוק יציאות - מאגר IP זה משמש להקצאת בלוק יציאות עבור משתמשי מאגר IP. בנוסף למאגר ה-IP עצמו, יש לציין כאן גם שני פרמטרים - גודל הבלוק ומספר הבלוקים שהוקצו לכל משתמש.

עכשיו בואו נסתכל על טכנולוגיית Destination NAT. הוא מבוסס על כתובות IP וירטואליות (VIP). עבור מנות שנופלות תחת כללי Destination NAT, כתובת ה-IP בשדה Destination משתנה: בדרך כלל כתובת האינטרנט הציבורית משתנה לכתובת הפרטית של השרת. כתובות IP וירטואליות משמשות במדיניות חומת אש בתור השדה 'יעד'.

הסוג הסטנדרטי של כתובות IP וירטואליות הוא Static NAT. מדובר בהתכתבות אחד על אחד בין כתובות חיצוניות ופנימיות.

במקום NAT סטטי, ניתן להגביל כתובות וירטואליות על ידי העברת יציאות ספציפיות. לדוגמה, שייך חיבורים לכתובת חיצונית ביציאה 8080 לחיבור לכתובת IP פנימית ביציאה 80.

בדוגמה למטה, מחשב עם הכתובת 172.17.10.25 מנסה לגשת לכתובת 83.235.123.20 ביציאה 80. חיבור זה נופל תחת כלל ה-DNAT, כך שכתובת ה-IP של היעד משתנה ל-10.10.10.10.

הסרטון דן בתיאוריה ומספק גם דוגמאות מעשיות להגדרת NAT של מקור ויעד.

בשיעורים הבאים נעבור להבטחת בטיחות המשתמש באינטרנט. באופן ספציפי, השיעור הבא ידון בפונקציונליות של סינון אינטרנט ובקרת יישומים. כדי לא לפספס, עקבו אחר העדכונים בערוצים הבאים:

YouTube
קהילת Vkontakte
יאנדקס זן
האתר שלנו
ערוץ טלגרם

מקור: www.habr.com