Сәлем! Курстың бесінші сабағына қош келдіңіздер . туралы Біз қауіпсіздік саясатының қалай жұмыс істейтінін анықтадық. Енді жергілікті пайдаланушыларды Интернетке шығару уақыты келді. Ол үшін бұл сабақта NAT механизмінің жұмысын қарастырамыз.
Пайдаланушыларды Интернетке шығарудан басқа, біз ішкі қызметтерді жариялау әдісін де қарастырамыз. Кесектің астында бейнеден қысқаша теория, сондай-ақ бейне сабақтың өзі берілген.
NAT (Network Address Translation) технологиясы желілік пакеттердің IP мекенжайларын түрлендіру механизмі болып табылады. Fortinet терминдерінде NAT екі түрге бөлінеді: Source NAT және Destination NAT.
Атаулар өздері үшін сөйлейді - Source NAT пайдалану кезінде бастапқы мекенжай өзгереді, Destination NAT пайдалану кезінде тағайындау мекенжайы өзгереді.
Сонымен қатар, NAT орнатудың бірнеше нұсқасы бар - NAT брандмауэр саясаты және Орталық NAT.
Бірінші опцияны пайдаланған кезде, Source and Destination NAT әрбір қауіпсіздік саясаты үшін конфигурациялануы керек. Бұл жағдайда NAT көзі шығыс интерфейсінің IP мекенжайын немесе алдын ала конфигурацияланған IP пулын пайдаланады. NAT тағайындалған орны тағайындалған мекенжай ретінде алдын ала конфигурацияланған нысанды (VIP - виртуалды IP деп аталатын) пайдаланады.
Орталық NAT пайдаланған кезде, Source and Destination NAT конфигурациясы бүкіл құрылғы (немесе виртуалды домен) үшін бірден орындалады. Бұл жағдайда NAT параметрлері Source NAT және Destination NAT ережелеріне байланысты барлық саясаттарға қолданылады.
Бастапқы NAT ережелері орталық Source NAT саясатында конфигурацияланады. Тағайындалған NAT IP мекенжайларын пайдаланып DNAT мәзірінен конфигурацияланады.
Бұл сабақта біз тек NAT брандмауэр саясатын қарастырамыз - тәжірибе көрсеткендей, бұл конфигурация опциясы Орталық NAT-қа қарағанда әлдеқайда кең таралған.
Жоғарыда айтқанымдай, брандмауэр саясатының көзі NAT конфигурациялау кезінде конфигурацияның екі нұсқасы бар: IP мекенжайын шығыс интерфейс мекенжайымен немесе IP мекенжайларының алдын ала конфигурацияланған пулындағы IP мекенжайымен ауыстыру. Бұл төмендегі суретте көрсетілгенге ұқсайды. Әрі қарай, мен ықтимал пулдар туралы қысқаша айтып беремін, бірақ іс жүзінде біз тек шығыс интерфейсінің мекенжайы бар опцияны қарастырамыз - біздің орналасуымызда бізге IP мекенжай пулдары қажет емес.
IP пулы сеанс кезінде бастапқы мекенжай ретінде пайдаланылатын бір немесе бірнеше IP мекенжайларын анықтайды. Бұл IP мекенжайлары FortiGate шығыс интерфейсінің IP мекенжайының орнына пайдаланылады.
FortiGate жүйесінде конфигурациялауға болатын IP пулдарының 4 түрі бар:
- Артық жүктеме
- Жеке-жеке
- Бекітілген порт ауқымы
- Порт блогын бөлу
Шамадан тыс жүктеу негізгі IP пулы болып табылады. Ол IP мекенжайларын «көпке-бірге» немесе «көпке-көпке» схемасы арқылы түрлендіреді. Порт аудармасы да қолданылады. Төмендегі суретте көрсетілген схеманы қарастырыңыз. Бізде анықталған бастапқы және тағайындалған өрістері бар бума бар. Егер ол осы пакетке сыртқы желіге кіруге мүмкіндік беретін брандмауэр саясатына сәйкес келсе, оған NAT ережесі қолданылады. Нәтижесінде бұл пакетте Source өрісі IP пулында көрсетілген IP мекенжайларының бірімен ауыстырылады.
Бірден бірге пул көптеген сыртқы IP мекенжайларын да анықтайды. NAT ережесі қосылған брандмауэр саясатына пакет түскенде, Source өрісіндегі IP мекенжайы осы пулға жататын мекенжайлардың біріне өзгертіледі. Ауыстыру «бірінші кіреді, бірінші шығады» ережесі бойынша жүзеге асырылады. Түсінікті болу үшін мысалды қарастырайық.
Жергілікті желідегі 192.168.1.25 IP мекенжайы бар компьютер сыртқы желіге пакет жібереді. Ол NAT ережесіне сәйкес келеді және Source өрісі пулдан бірінші IP мекенжайына өзгертіледі, біздің жағдайда ол 83.235.123.5. Айта кету керек, бұл IP пулын пайдаланған кезде порт аудармасы пайдаланылмайды. Осыдан кейін бір жергілікті желідегі компьютер, мысалы, 192.168.1.35 мекенжайы бар, сыртқы желіге пакет жіберсе және де осы NAT ережесіне сәйкес келсе, осы пакеттің Source өрісіндегі IP мекенжайы келесіге өзгереді. 83.235.123.6. Пулда басқа мекенжайлар қалмаса, кейінгі қосылымдар қабылданбайды. Яғни, бұл жағдайда біздің NAT ережесіне бір уақытта 4 компьютер түсуі мүмкін.
Бекітілген порт ауқымы IP мекенжайларының ішкі және сыртқы ауқымдарын қосады. Портты аудару да өшірілген. Бұл ішкі IP мекенжайлар пулының басын немесе соңын сыртқы IP мекенжайлар пулының басымен немесе соңымен тұрақты байланыстыруға мүмкіндік береді. Төмендегі мысалда 192.168.1.25 - 192.168.1.28 ішкі мекенжай пулы 83.235.123.5 - 83.235.125.8 сыртқы мекенжай пулымен салыстырылады.
Порт блогын бөлу - бұл IP пулы IP пул пайдаланушылары үшін порттар блогын бөлу үшін пайдаланылады. IP пулының өзінен басқа, мұнда екі параметр де көрсетілуі керек - блок өлшемі және әрбір пайдаланушы үшін бөлінген блоктар саны.
Енді Destination NAT технологиясын қарастырайық. Ол виртуалды IP мекенжайларына (VIP) негізделген. Destination NAT ережелеріне сәйкес келетін пакеттер үшін Destination өрісіндегі IP мекенжайы өзгереді: әдетте жалпы Интернет мекенжайы сервердің жеке мекенжайына өзгереді. Виртуалды IP мекенжайлары брандмауэр саясаттарында Destination өрісі ретінде пайдаланылады.
Виртуалды IP мекенжайларының стандартты түрі Static NAT болып табылады. Бұл сыртқы және ішкі мекенжайлар арасындағы жеке сәйкестік.
Статикалық NAT орнына виртуалды мекенжайларды арнайы порттарды қайта жіберу арқылы шектеуге болады. Мысалы, 8080 портындағы сыртқы мекенжайға қосылымдарды 80 портындағы ішкі IP мекенжайына қосылыммен байланыстырыңыз.
Төмендегі мысалда 172.17.10.25 мекенжайы бар компьютер 83.235.123.20 портындағы 80 мекенжайына кіруге әрекеттенуде. Бұл қосылым DNAT ережесіне сәйкес келеді, сондықтан тағайындалған IP мекенжайы 10.10.10.10 болып өзгертілді.
Бейне теорияны талқылайды, сонымен қатар Source and Destination NAT конфигурациялаудың практикалық мысалдарын ұсынады.
Келесі сабақтарда біз Интернеттегі пайдаланушылардың қауіпсіздігін қамтамасыз етуге көшеміз. Атап айтқанда, келесі сабақта веб-сүзгілеу және қолданбаларды басқару функциялары талқыланады. Оны жіберіп алмау үшін келесі арналардағы жаңартуларды қадағалаңыз:
Ақпарат көзі: www.habr.com