Tislijiet! Merħba għall-ħames lezzjoni tal-kors . Fuq il Sirna nafu kif jaħdmu l-politiki tas-sigurtà. Issa wasal iż-żmien li l-utenti lokali jiġu rilaxxati fuq l-Internet. Biex tagħmel dan, f'din il-lezzjoni se nħarsu lejn l-operat tal-mekkaniżmu NAT.
Minbarra li noħorġu l-utenti għall-Internet, se nħarsu wkoll lejn metodu għall-pubblikazzjoni tas-servizzi interni. Taħt il-qatgħa hemm teorija qasira mill-video, kif ukoll il-lezzjoni tal-vidjo nnifisha.
It-teknoloġija NAT (Network Address Translation) hija mekkaniżmu għall-konverżjoni tal-indirizzi IP tal-pakketti tan-netwerk. F'termini Fortinet, NAT huwa maqsum f'żewġ tipi: NAT Sors u NAT Destinazzjoni.
L-ismijiet jitkellmu waħedhom - meta tuża Sors NAT, l-indirizz tas-sors jinbidel, meta tuża Destination NAT, l-indirizz tad-destinazzjoni jinbidel.
Barra minn hekk, hemm ukoll diversi għażliet għat-twaqqif ta 'NAT - Firewall Policy NAT u NAT Ċentrali.
Meta tuża l-ewwel għażla, Sors u Destinazzjoni NAT għandhom jiġu kkonfigurati għal kull politika ta 'sigurtà. F'dan il-każ, Source NAT juża jew l-indirizz IP tal-interface ħerġin jew IP Pool konfigurat minn qabel. NAT tad-destinazzjoni juża oġġett konfigurat minn qabel (l-hekk imsejjaħ VIP - IP virtwali) bħala l-indirizz tad-destinazzjoni.
Meta tuża NAT Ċentrali, il-konfigurazzjoni NAT tas-Sors u tad-Destinazzjoni titwettaq għall-apparat kollu (jew dominju virtwali) f'daqqa. F'dan il-każ, is-settings NAT japplikaw għall-politiki kollha, skont ir-regoli Sors NAT u Destination NAT.
Ir-regoli tas-Sors NAT huma kkonfigurati fil-politika ċentrali tas-Sors NAT. NAT tad-destinazzjoni huwa kkonfigurat mill-menu DNAT bl-użu ta 'indirizzi IP.
F'din il-lezzjoni, se nikkunsidraw biss il-Politika tal-Firewall NAT - kif turi l-prattika, din l-għażla ta 'konfigurazzjoni hija ħafna aktar komuni minn NAT Ċentrali.
Kif diġà għedt, meta tikkonfigura Firewall Policy Source NAT, hemm żewġ għażliet ta 'konfigurazzjoni: tissostitwixxi l-indirizz IP bl-indirizz tal-interface ħerġin, jew b'indirizz IP minn ġabra ta' indirizzi IP konfigurati minn qabel. Jidher xi ħaġa bħal dik murija fil-figura hawn taħt. Sussegwentement, se nitkellem fil-qosor dwar pools possibbli, iżda fil-prattika se nikkunsidraw biss l-għażla bl-indirizz tal-interface ħerġin - fit-tqassim tagħna, m'għandniex bżonn pools ta 'indirizzi IP.
Pool IP jiddefinixxi indirizz IP wieħed jew aktar li se jintużaw bħala l-indirizz tas-sors matul sessjoni. Dawn l-indirizzi IP se jintużaw minflok l-indirizz IP tal-interface tal-ħruġ FortiGate.
Hemm 4 tipi ta 'pools IP li jistgħu jiġu kkonfigurati fuq FortiGate:
- Tgħabija żejda
- One-to-one
- Medda tal-Port Fiss
- Allokazzjoni tal-blokk tal-port
It-tagħbija żejda hija l-grupp IP prinċipali. Jikkonverti l-indirizzi IP billi juża skema ħafna għal wieħed jew ħafna għal ħafna. It-traduzzjoni tal-port hija wkoll użata. Ikkunsidra ċ-ċirkwit muri fil-figura hawn taħt. Għandna pakkett b'oqsma ta' Sors u Destinazzjoni definiti. Jekk jaqa' taħt politika tal-firewall li tippermetti li dan il-pakkett ikollu aċċess għan-netwerk estern, tiġi applikata regola NAT. Bħala riżultat, f'dan il-pakkett il-qasam Sors huwa sostitwit b'wieħed mill-indirizzi IP speċifikati fil-pool IP.
Pool One għal Wieħed jiddefinixxi wkoll ħafna indirizzi IP esterni. Meta pakkett jaqa' taħt politika tal-firewall bir-regola NAT attivata, l-indirizz IP fil-qasam Sors jinbidel għal wieħed mill-indirizzi li jappartjenu għal dan il-grupp. Is-sostituzzjoni ssegwi r-regola ta’ “l-ewwel li jidħol, l-ewwel joħroġ”. Biex tagħmilha aktar ċara, ejja nħarsu lejn eżempju.
Kompjuter fuq in-netwerk lokali bl-indirizz IP 192.168.1.25 jibgħat pakkett lin-netwerk estern. Jaqa 'taħt ir-regola NAT, u l-qasam Sors jinbidel għall-ewwel indirizz IP mill-pool, fil-każ tagħna huwa 83.235.123.5. Ta 'min jinnota li meta tuża din il-pool IP, it-traduzzjoni tal-port ma tintużax. Jekk wara dan kompjuter mill-istess netwerk lokali, b’indirizz ta’, ngħidu aħna, 192.168.1.35, jibgħat pakkett lil netwerk estern u jaqa’ wkoll taħt din ir-regola NAT, l-indirizz IP fil-qasam Sors ta’ dan il-pakkett jinbidel għal 83.235.123.6. Jekk ma jibqax aktar indirizzi fil-pool, il-konnessjonijiet sussegwenti jiġu rrifjutati. Jiġifieri, f'dan il-każ, 4 kompjuters jistgħu jaqgħu taħt ir-regola NAT tagħna fl-istess ħin.
Firxa tal-Port Fiss jgħaqqad firxiet interni u esterni ta 'indirizzi IP. It-traduzzjoni tal-port hija wkoll diżattivata. Dan jippermettilek tassoċja b'mod permanenti l-bidu jew it-tmiem ta 'grupp ta' indirizzi IP interni mal-bidu jew tmiem ta 'grupp ta' indirizzi IP esterni. Fl-eżempju hawn taħt, il-grupp ta 'indirizzi interni 192.168.1.25 - 192.168.1.28 huwa mmappjat mal-grupp ta' indirizzi esterni 83.235.123.5 - 83.235.125.8.
Allokazzjoni tal-Blokk tal-Port - dan il-pool IP jintuża biex jalloka blokk ta' portijiet għall-utenti tal-IP pool. Minbarra l-IP pool innifsu, għandhom jiġu speċifikati wkoll żewġ parametri hawnhekk - id-daqs tal-blokki u n-numru ta 'blokki allokati għal kull utent.
Issa ejja nħarsu lejn it-teknoloġija tad-Destinazzjoni NAT. Hija bbażata fuq indirizzi IP virtwali (VIP). Għal pakketti li jaqgħu taħt ir-regoli tad-Destinazzjoni NAT, l-indirizz IP fil-qasam tad-Destinazzjoni jinbidel: normalment l-indirizz tal-Internet pubbliku jinbidel għall-indirizz privat tas-server. L-indirizzi IP virtwali jintużaw fil-politiki tal-firewall bħala l-qasam tad-Destinazzjoni.
It-tip standard ta 'indirizzi IP virtwali huwa Static NAT. Din hija korrispondenza waħda għal waħda bejn indirizzi esterni u interni.
Minflok Static NAT, l-indirizzi virtwali jistgħu jiġu limitati billi jintbagħtu portijiet speċifiċi. Pereżempju, assoċja konnessjonijiet ma' indirizz estern fuq il-port 8080 ma' konnessjoni ma' indirizz IP intern fuq il-port 80.
Fl-eżempju hawn taħt, kompjuter bl-indirizz 172.17.10.25 qed jipprova jaċċessa l-indirizz 83.235.123.20 fuq il-port 80. Din il-konnessjoni taqa' taħt ir-regola tad-DNAT, għalhekk l-indirizz IP tad-destinazzjoni jinbidel għal 10.10.10.10.
Il-video jiddiskuti t-teorija u jipprovdi wkoll eżempji prattiċi ta 'konfigurazzjoni ta' Sors u Destinazzjoni NAT.
Fil-lezzjonijiet li jmiss se ngħaddu biex niżguraw is-sikurezza tal-utenti fuq l-Internet. Speċifikament, il-lezzjoni li jmiss se tiddiskuti l-funzjonalità tal-filtrazzjoni tal-web u l-kontroll tal-applikazzjoni. Sabiex ma titlifhiex, segwi l-aġġornamenti fuq il-kanali li ġejjin:
Sors: www.habr.com
