salam sejahtera! Selamat datang ke pelajaran kelima kursus . Pada Kami telah mengetahui cara dasar keselamatan berfungsi. Kini tiba masanya untuk melepaskan pengguna tempatan ke Internet. Untuk melakukan ini, dalam pelajaran ini kita akan melihat operasi mekanisme NAT.
Selain melepaskan pengguna ke Internet, kami juga akan melihat kaedah untuk menerbitkan perkhidmatan dalaman. Di bawah potongan adalah teori ringkas daripada video, serta pelajaran video itu sendiri.
Teknologi NAT (Network Address Translation) ialah mekanisme untuk menukar alamat IP paket rangkaian. Dalam istilah Fortinet, NAT dibahagikan kepada dua jenis: NAT Sumber dan NAT Destinasi.
Nama itu bercakap untuk diri mereka sendiri - apabila menggunakan NAT Sumber, alamat sumber berubah, apabila menggunakan NAT Destinasi, alamat destinasi berubah.
Selain itu, terdapat juga beberapa pilihan untuk menyediakan NAT - Firewall Policy NAT dan Central NAT.
Apabila menggunakan pilihan pertama, NAT Sumber dan Destinasi mesti dikonfigurasikan untuk setiap dasar keselamatan. Dalam kes ini, Source NAT menggunakan sama ada alamat IP antara muka keluar atau Kolam IP yang diprakonfigurasikan. NAT Destinasi menggunakan objek pra-konfigurasi (yang dipanggil VIP - IP Maya) sebagai alamat destinasi.
Apabila menggunakan NAT Pusat, konfigurasi NAT Sumber dan Destinasi dilakukan untuk keseluruhan peranti (atau domain maya) sekaligus. Dalam kes ini, tetapan NAT digunakan pada semua dasar, bergantung pada peraturan NAT Sumber dan NAT Destinasi.
Peraturan NAT Sumber dikonfigurasikan dalam dasar NAT Sumber pusat. NAT destinasi dikonfigurasikan daripada menu DNAT menggunakan alamat IP.
Dalam pelajaran ini, kami hanya akan mempertimbangkan NAT Dasar Firewall - seperti yang ditunjukkan oleh amalan, pilihan konfigurasi ini lebih biasa daripada NAT Pusat.
Seperti yang telah saya katakan, apabila mengkonfigurasi Sumber Dasar Firewall NAT, terdapat dua pilihan konfigurasi: menggantikan alamat IP dengan alamat antara muka keluar, atau dengan alamat IP daripada kumpulan alamat IP yang diprakonfigurasikan. Ia kelihatan seperti yang ditunjukkan dalam rajah di bawah. Seterusnya, saya akan bercakap secara ringkas tentang kumpulan yang mungkin, tetapi dalam praktiknya kami hanya akan mempertimbangkan pilihan dengan alamat antara muka keluar - dalam susun atur kami, kami tidak memerlukan kumpulan alamat IP.
Kumpulan IP mentakrifkan satu atau lebih alamat IP yang akan digunakan sebagai alamat sumber semasa sesi. Alamat IP ini akan digunakan dan bukannya alamat IP antara muka keluar FortiGate.
Terdapat 4 jenis kolam IP yang boleh dikonfigurasikan pada FortiGate:
- Sarat
- Satu-satu
- Julat Pelabuhan Tetap
- Peruntukan blok pelabuhan
Overload ialah kumpulan IP utama. Ia menukar alamat IP menggunakan skema banyak-ke-satu atau banyak-ke-banyak. Terjemahan pelabuhan juga digunakan. Pertimbangkan litar yang ditunjukkan dalam rajah di bawah. Kami mempunyai pakej dengan medan Sumber dan Destinasi yang ditentukan. Jika ia berada di bawah dasar tembok api yang membenarkan paket ini mengakses rangkaian luaran, peraturan NAT digunakan padanya. Akibatnya, dalam paket ini medan Sumber digantikan dengan salah satu alamat IP yang dinyatakan dalam kumpulan IP.
Kumpulan One to One juga mentakrifkan banyak alamat IP luaran. Apabila paket berada di bawah dasar tembok api dengan peraturan NAT didayakan, alamat IP dalam medan Sumber ditukar kepada salah satu alamat kepunyaan kumpulan ini. Penggantian mengikut peraturan "masuk dahulu, keluar dahulu". Untuk menjadikannya lebih jelas, mari kita lihat contoh.
Komputer pada rangkaian tempatan dengan alamat IP 192.168.1.25 menghantar satu paket ke rangkaian luaran. Ia terletak di bawah peraturan NAT, dan medan Sumber ditukar kepada alamat IP pertama daripada kumpulan, dalam kes kami ialah 83.235.123.5. Perlu diingat bahawa apabila menggunakan kolam IP ini, terjemahan port tidak digunakan. Jika selepas ini komputer daripada rangkaian tempatan yang sama, dengan alamat, katakan, 192.168.1.35, menghantar paket ke rangkaian luaran dan juga berada di bawah peraturan NAT ini, alamat IP dalam medan Sumber paket ini akan bertukar kepada 83.235.123.6. Jika tiada lagi alamat yang tinggal dalam kumpulan, sambungan seterusnya akan ditolak. Iaitu, dalam kes ini, 4 komputer boleh berada di bawah peraturan NAT kami pada masa yang sama.
Julat Pelabuhan Tetap menghubungkan julat dalaman dan luaran alamat IP. Terjemahan port juga dilumpuhkan. Ini membolehkan anda mengaitkan permulaan atau penghujung kumpulan alamat IP dalaman secara kekal dengan permulaan atau akhir kumpulan alamat IP luaran. Dalam contoh di bawah, kumpulan alamat dalaman 192.168.1.25 - 192.168.1.28 dipetakan ke kumpulan alamat luaran 83.235.123.5 - 83.235.125.8.
Peruntukan Blok Pelabuhan - kolam IP ini digunakan untuk memperuntukkan blok port untuk pengguna kolam IP. Selain kumpulan IP itu sendiri, dua parameter juga mesti dinyatakan di sini - saiz blok dan bilangan blok yang diperuntukkan untuk setiap pengguna.
Sekarang mari kita lihat teknologi Destination NAT. Ia berdasarkan alamat IP maya (VIP). Untuk paket yang berada di bawah peraturan NAT Destinasi, alamat IP dalam medan Destinasi berubah: biasanya alamat Internet awam bertukar kepada alamat peribadi pelayan. Alamat IP maya digunakan dalam dasar firewall sebagai medan Destinasi.
Jenis standard alamat IP maya ialah NAT Statik. Ini ialah surat-menyurat satu dengan satu antara alamat luaran dan dalaman.
Daripada NAT Statik, alamat maya boleh dihadkan dengan memajukan port tertentu. Sebagai contoh, kaitkan sambungan ke alamat luaran pada port 8080 dengan sambungan ke alamat IP dalaman pada port 80.
Dalam contoh di bawah, komputer dengan alamat 172.17.10.25 cuba mengakses alamat 83.235.123.20 pada port 80. Sambungan ini terletak di bawah peraturan DNAT, jadi alamat IP destinasi ditukar kepada 10.10.10.10.
Video ini membincangkan teori dan juga menyediakan contoh praktikal konfigurasi NAT Sumber dan Destinasi.
Dalam pelajaran seterusnya kita akan meneruskan untuk memastikan keselamatan pengguna di Internet. Secara khusus, pelajaran seterusnya akan membincangkan fungsi penapisan web dan kawalan aplikasi. Untuk tidak ketinggalan, ikuti kemas kini pada saluran berikut:
Sumber: www.habr.com