こんにちは! コースの XNUMX 番目のレッスンへようこそ 。 上の 私たちはセキュリティ ポリシーがどのように機能するかを理解しました。 今度は、ローカル ユーザーをインターネット上に解放します。 これを行うために、このレッスンでは NAT メカニズムの動作を見ていきます。
ユーザーをインターネットに公開するだけでなく、内部サービスを公開する方法も検討します。 カットの下には、ビデオからの簡単な理論とビデオ レッスン自体が表示されます。
NAT (Network Address Translation) テクノロジーは、ネットワーク パケットの IP アドレスを変換するメカニズムです。 フォーティネットの用語では、NAT はソース NAT と宛先 NAT の XNUMX つのタイプに分類されます。
名前自体が物語っています。ソース NAT を使用する場合は送信元アドレスが変更され、宛先 NAT を使用する場合は宛先アドレスが変更されます。
さらに、NAT を設定するためのいくつかのオプション (ファイアウォール ポリシー NAT およびセントラル NAT) もあります。
最初のオプションを使用する場合、セキュリティ ポリシーごとに送信元 NAT と宛先 NAT を構成する必要があります。 この場合、ソース NAT は送信インターフェイスの IP アドレスまたは事前設定された IP プールのいずれかを使用します。 宛先 NAT は、事前設定されたオブジェクト (いわゆる VIP - 仮想 IP) を宛先アドレスとして使用します。
セントラル NAT を使用する場合、ソースおよび宛先 NAT 構成はデバイス全体 (または仮想ドメイン) に対して一度に実行されます。 この場合、NAT 設定は、送信元 NAT ルールと宛先 NAT ルールに応じて、すべてのポリシーに適用されます。
送信元 NAT ルールは、中央の送信元 NAT ポリシーで構成されます。 宛先 NAT は、IP アドレスを使用して DNAT メニューから設定します。
このレッスンでは、ファイアウォール ポリシー NAT のみを考慮します。実践でわかるように、この構成オプションはセントラル NAT よりもはるかに一般的です。
すでに述べたように、ファイアウォール ポリシー ソース NAT を構成する場合、IP アドレスを送信インターフェイスのアドレスに置き換えるか、事前構成された IP アドレス プールの IP アドレスに置き換えるという XNUMX つの構成オプションがあります。 以下の図のような感じになります。 次に、考えられるプールについて簡単に説明しますが、実際には、送信インターフェイスのアドレスに関するオプションのみを考慮します。このレイアウトでは、IP アドレス プールは必要ありません。
IP プールは、セッション中に送信元アドレスとして使用される XNUMX つ以上の IP アドレスを定義します。 これらの IP アドレスは、FortiGate 送信インターフェイスの IP アドレスの代わりに使用されます。
FortiGate で構成できる IP プールは 4 種類あります。
- 過負荷
- マンツーマン
- 固定ポート範囲
- ポートブロックの割り当て
オーバーロードはメインの IP プールです。 多対 XNUMX または多対多のスキームを使用して IP アドレスを変換します。 ポート変換も使用されます。 以下の図に示す回路を考えてみましょう。 ソースフィールドと宛先フィールドが定義されたパッケージがあります。 このパケットが外部ネットワークへのアクセスを許可するファイアウォール ポリシーに該当する場合、NAT ルールが適用されます。 その結果、このパケットの送信元フィールドは、IP プールで指定された IP アドレスの XNUMX つに置き換えられます。
One to One プールでは、多くの外部 IP アドレスも定義されます。 NAT ルールが有効になっているファイアウォール ポリシーにパケットが該当すると、[送信元] フィールドの IP アドレスが、このプールに属するアドレスの XNUMX つに変更されます。 置換は「先入れ先出し」ルールに従います。 わかりやすくするために、例を見てみましょう。
IP アドレス 192.168.1.25 を持つローカル ネットワーク上のコンピュータが外部ネットワークにパケットを送信します。 これは NAT ルールに該当し、[送信元] フィールドはプールの最初の IP アドレス (この場合は 83.235.123.5) に変更されます。 この IP プールを使用する場合、ポート変換は使用されないことに注意してください。 この後、同じローカル ネットワーク内の、たとえばアドレス 192.168.1.35 を持つコンピュータが外部ネットワークにパケットを送信し、この NAT ルールにも該当する場合、このパケットの送信元フィールドの IP アドレスは次のように変更されます。 83.235.123.6。 プールにアドレスがもう残っていない場合、後続の接続は拒否されます。 つまり、この場合、4 台のコンピュータが同時に NAT ルールに該当する可能性があります。
固定ポート範囲は、IP アドレスの内部範囲と外部範囲を接続します。 ポート変換も無効になります。 これにより、内部 IP アドレスのプールの先頭または末尾を、外部 IP アドレスのプールの先頭または末尾に永続的に関連付けることができます。 次の例では、内部アドレス プール 192.168.1.25 ~ 192.168.1.28 が外部アドレス プール 83.235.123.5 ~ 83.235.125.8 にマッピングされています。
ポート ブロックの割り当て - この IP プールは、IP プール ユーザーにポートのブロックを割り当てるために使用されます。 ここでは、IP プール自体に加えて、ブロック サイズと各ユーザーに割り当てられるブロック数という XNUMX つのパラメータも指定する必要があります。
次に、宛先 NAT テクノロジーを見てみましょう。 これは仮想 IP アドレス (VIP) に基づいています。 宛先 NAT ルールに該当するパケットの場合、宛先フィールドの IP アドレスが変更されます。通常は、パブリック インターネット アドレスがサーバーのプライベート アドレスに変更されます。 仮想 IP アドレスは、ファイアウォール ポリシーで [宛先] フィールドとして使用されます。
仮想 IP アドレスの標準タイプは静的 NAT です。 これは、外部アドレスと内部アドレスの間の XNUMX 対 XNUMX の対応関係です。
静的 NAT の代わりに、特定のポートを転送することで仮想アドレスを制限できます。 たとえば、ポート 8080 の外部アドレスへの接続を、ポート 80 の内部 IP アドレスへの接続に関連付けます。
次の例では、アドレス 172.17.10.25 のコンピュータがポート 83.235.123.20 でアドレス 80 にアクセスしようとしています。 この接続は DNAT ルールに該当するため、宛先 IP アドレスは 10.10.10.10 に変更されます。
このビデオでは理論について説明し、送信元と宛先の NAT を構成する実際の例も示しています。
次のレッスンでは、インターネット上でのユーザーの安全の確保に進みます。 具体的には、次のレッスンでは Web フィルタリングとアプリケーション制御の機能について説明します。 見逃さないように、次のチャンネルで最新情報をフォローしてください。
出所: habr.com