5. Fortinet စတင်ခြင်း v6.0။ NAT

မင်္ဂလာပါ သင်တန်း၏ ပဉ္စမသင်ခန်းစာမှ ကြိုဆိုပါတယ်။ Fortinet စတင်ခြင်း။ အပေါ် နောက်ဆုံးသင်ခန်းစာ လုံခြုံရေးမူဝါဒများ မည်သို့လုပ်ဆောင်သည်ကို ကျွန်ုပ်တို့ ရှာဖွေတွေ့ရှိခဲ့သည်။ ယခုအချိန်သည် ပြည်တွင်းအသုံးပြုသူများကို အင်တာနက်ပေါ်သို့ ဖြန့်ချိရန်အချိန်ဖြစ်သည်။ ဒီလိုလုပ်ဖို့၊ ဒီသင်ခန်းစာမှာ NAT ယန္တရားရဲ့လည်ပတ်မှုကို လေ့လာပါမယ်။
သုံးစွဲသူများကို အင်တာနက်သို့ ထုတ်ပေးခြင်းအပြင်၊ အတွင်းပိုင်းဝန်ဆောင်မှုများကို ထုတ်ဝေခြင်းနည်းလမ်းကိုလည်း ကြည့်ရှုပါမည်။ ဖြတ်တောက်မှုအောက်တွင် ဗီဒီယိုမှ သီအိုရီအကျဉ်းနှင့် ဗီဒီယိုသင်ခန်းစာကိုယ်တိုင် ပါဝင်သည်။
NAT (Network Address Translation) နည်းပညာသည် ကွန်ရက်ပက်ကတ်များ၏ IP လိပ်စာများကို ပြောင်းလဲရန်အတွက် ယန္တရားတစ်ခုဖြစ်သည်။ Fortinet ဝေါဟာရတွင် NAT ကို အရင်းအမြစ် NAT နှင့် Destination NAT ဟူ၍ နှစ်မျိုးခွဲခြားထားသည်။

အမည်များသည် ၎င်းတို့အတွက် ပြောဆိုနေကြသည် - အရင်းအမြစ် NAT ကိုအသုံးပြုသောအခါ၊ အရင်းအမြစ်လိပ်စာပြောင်းလဲသွားသည်၊ Destination NAT ကိုအသုံးပြုသောအခါ၊ ဦးတည်ရာလိပ်စာပြောင်းလဲသွားသည်။

ထို့အပြင်၊ NAT - Firewall Policy NAT နှင့် Central NAT ကို သတ်မှတ်ခြင်းအတွက် ရွေးချယ်စရာများစွာလည်း ရှိပါသည်။

ပထမရွေးချယ်မှုကို အသုံးပြုသောအခါ၊ လုံခြုံရေးမူဝါဒတစ်ခုစီအတွက် အရင်းအမြစ်နှင့် Destination NAT ကို သတ်မှတ်ပေးရပါမည်။ ဤကိစ္စတွင်၊ Source NAT သည် အထွက်အင်တာဖေ့စ်၏ IP လိပ်စာ သို့မဟုတ် ကြိုတင်ပြင်ဆင်ထားသော IP Pool ကို အသုံးပြုသည်။ Destination NAT သည် ဦးတည်လိပ်စာအဖြစ် ကြိုတင်ပြင်ဆင်ထားသည့်အရာဝတ္တု (VIP - Virtual IP) ကို အသုံးပြုသည်။

Central NAT ကိုအသုံးပြုသောအခါ၊ အရင်းအမြစ်နှင့် Destination NAT ဖွဲ့စည်းမှုပုံစံသည် စက်တစ်ခုလုံး (သို့မဟုတ် virtual domain) အတွက် တစ်ကြိမ်တည်းလုပ်ဆောင်သည်။ ဤကိစ္စတွင်၊ NAT ဆက်တင်များသည် အရင်းအမြစ် NAT နှင့် Destination NAT စည်းမျဉ်းများပေါ်မူတည်၍ မူဝါဒအားလုံးတွင် သက်ရောက်သည်။

အရင်းအမြစ် NAT စည်းမျဉ်းများကို ဗဟိုအရင်းအမြစ် NAT မူဝါဒတွင် ပြင်ဆင်သတ်မှတ်ထားသည်။ Destination NAT ကို IP လိပ်စာများကို အသုံးပြု၍ DNAT မီနူးမှ စီစဉ်သတ်မှတ်ထားသည်။

ဤသင်ခန်းစာတွင်၊ ကျွန်ုပ်တို့သည် Firewall Policy NAT ကိုသာ သုံးသပ်ပါမည် - လက်တွေ့ပြသထားသည့်အတိုင်း၊ ဤဖွဲ့စည်းပုံရွေးချယ်မှုသည် Central NAT ထက် များစွာပို၍ အသုံးများပါသည်။

ကျွန်တော်ပြောခဲ့သလိုပဲ Firewall Policy Source NAT ကို configuration လုပ်တဲ့အခါ၊ configuration options နှစ်ခုရှိပါတယ်- IP address ကို outgoing interface ရဲ့ address နဲ့ အစားထိုးခြင်း သို့မဟုတ် preconfigured IP address ပေါင်းပေါင်းမှ IP address တစ်ခုနဲ့ ဖြစ်ပါတယ်။ အောက်ပါပုံတွင် ပြထားသည့်အတိုင်း တစ်ခုခုဖြစ်ပုံရသည်။ နောက်တစ်ခု၊ ဖြစ်နိုင်ခြေရှိသော ရေကူးကန်များအကြောင်း အတိုချုံးပြောပါမည်၊ သို့သော် လက်တွေ့တွင် ကျွန်ုပ်တို့သည် အထွက်အင်တာဖေ့စ်လိပ်စာနှင့်အတူ ရွေးချယ်မှုကိုသာ စဉ်းစားပါမည် - ကျွန်ုပ်တို့၏ အပြင်အဆင်တွင်၊ ကျွန်ုပ်တို့သည် IP လိပ်စာပေါင်းစုများ မလိုအပ်ပါ။

IP pool တစ်ခုသည် စက်ရှင်တစ်ခုအတွင်း တစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော IP လိပ်စာများကို သတ်မှတ်ပေးသည်။ ဤ IP လိပ်စာများကို FortiGate အထွက်အင်တာဖေ့စ် IP လိပ်စာအစား အသုံးပြုပါမည်။

FortiGate တွင် configure လုပ်နိုင်သော IP pool အမျိုးအစား 4 မျိုးရှိသည်။

• ဝန်တင်လွန်း
• တစ် -to- တ
• ပုံသေ Port Range
• ဆိပ်ကမ်းပိတ်ဆို့ခွဲဝေမှု

Overload သည် အဓိက IP pool ဖြစ်သည်။ ၎င်းသည် များစွာသောတစ်ခုမှတစ်ခု သို့မဟုတ် များစွာမှများစွာသောအစီအစဉ်ကိုအသုံးပြု၍ IP လိပ်စာများကိုပြောင်းလဲပေးသည်။ Port translation ကိုလည်း သုံးပါတယ်။ အောက်တွင်ဖော်ပြထားသောပုံတွင်ပြထားသော circuit ကိုစဉ်းစားပါ။ ကျွန်ုပ်တို့တွင် သတ်မှတ်ထားသော အရင်းအမြစ်နှင့် ခရီးဆုံးအကွက်များပါသည့် ပက်ကေ့ခ်ျတစ်ခုရှိသည်။ ဤပက်ကတ်အား ပြင်ပကွန်ရက်သို့ ဝင်ရောက်ခွင့်ပြုသည့် firewall မူဝါဒအောက်တွင် ပါလာပါက၊ NAT စည်းမျဉ်းကို ၎င်းနှင့် သက်ဆိုင်ပါသည်။ ရလဒ်အနေဖြင့်၊ ဤပက်ကတ်တွင် အရင်းအမြစ်အကွက်ကို IP pool တွင် သတ်မှတ်ထားသော IP လိပ်စာများထဲမှ တစ်ခုနှင့် အစားထိုးသည်။

One to One pool သည် ပြင်ပ IP လိပ်စာများစွာကိုလည်း သတ်မှတ်ပေးပါသည်။ ပက်ကတ်တစ်ခုသည် NAT စည်းမျဉ်းကိုဖွင့်ထားသည့် firewall ပေါ်လစီအောက်တွင် ကျရောက်သောအခါ၊ အရင်းအမြစ်အကွက်ရှိ IP လိပ်စာကို ဤပူးတွဲပိုင်လိပ်စာများထဲမှ တစ်ခုသို့ ပြောင်းသွားသည်။ အစားထိုးခြင်းသည် "ပထမဝင်၊ ပထမထွက်" စည်းမျဉ်းကို လိုက်နာသည်။ ပိုမိုရှင်းလင်းစေရန် ဥပမာတစ်ခုကို ကြည့်ကြပါစို့။

IP လိပ်စာ 192.168.1.25 ရှိသော ဒေသတွင်းကွန်ရက်ရှိ ကွန်ပျူတာသည် ပြင်ပကွန်ရက်သို့ ပက်ကတ်တစ်ခုကို ပေးပို့သည်။ ၎င်းသည် NAT စည်းမျဉ်းအောက်တွင် ရှိပြီး အရင်းအမြစ်အကွက်ကို ရေကန်မှ ပထမဆုံး IP လိပ်စာသို့ ပြောင်းသည်၊ ကျွန်ုပ်တို့၏ အခြေအနေတွင် ၎င်းသည် 83.235.123.5 ဖြစ်သည်။ ဤ IP pool ကိုအသုံးပြုသောအခါ၊ port ဘာသာပြန်ခြင်းကိုအသုံးမပြုကြောင်းသတိပြုသင့်သည်။ ၎င်းပြီးနောက် တူညီသောဒေသခံကွန်ရက်မှ ကွန်ပျူတာသည် 192.168.1.35 ၏ လိပ်စာတစ်ခုပါရှိသော ပြင်ပကွန်ရက်တစ်ခုထံသို့ ပက်ကတ်တစ်ခုကို ပေးပို့ပြီး ဤ NAT စည်းမျဉ်းအောက်တွင် ကျရောက်ပါက၊ ဤပက်ကတ်၏ အရင်းအမြစ်အကွက်ရှိ IP လိပ်စာသည် ပြောင်းလဲသွားမည်ဖြစ်သည်။ ၈၃.၂၃၅.၁၂၃.၆။ ရေကူးကန်တွင် နောက်ထပ်လိပ်စာများမကျန်ပါက၊ နောက်ဆက်တွဲချိတ်ဆက်မှုများကို ပယ်ချပါမည်။ ဆိုလိုသည်မှာ ဤကိစ္စတွင်၊ ကွန်ပျူတာ ၄ လုံးသည် ကျွန်ုပ်တို့၏ NAT စည်းမျဉ်းအောက်တွင် တစ်ချိန်တည်းကျရောက်နိုင်သည်။

Fixed Port Range သည် IP လိပ်စာများ၏ အတွင်းနှင့် ပြင်ပအကွာအဝေးများကို ချိတ်ဆက်သည်။ ပို့တ်ဘာသာပြန်ကိုလည်း ပိတ်ထားသည်။ ၎င်းသည် သင့်အား ပြင်ပ IP လိပ်စာများပေါင်းစု၏ အစ သို့မဟုတ် အဆုံးတွင် အတွင်း IP လိပ်စာများ၏ အစ သို့မဟုတ် အဆုံးကို အပြီးအပိုင် ချိတ်ဆက်နိုင်စေမည်ဖြစ်သည်။ အောက်ဖော်ပြပါ ဥပမာတွင်၊ အတွင်းလိပ်စာစုပေါင်း 192.168.1.25 - 192.168.1.28 ကို ပြင်ပလိပ်စာပေါင်းကူးကန် 83.235.123.5 - 83.235.125.8 သို့ ပုံဖော်ထားသည်။

Port Block Allocation - IP pool အသုံးပြုသူများအတွက် ports ပိတ်ဆို့ခြင်းကို ခွဲဝေပေးရန်အတွက် ဤ IP pool ကို အသုံးပြုပါသည်။ IP pool ကိုယ်တိုင်အပြင်၊ ဤနေရာတွင် ကန့်သတ်ချက်နှစ်ခုကိုလည်း သတ်မှတ်ရပါမည် - အသုံးပြုသူတိုင်းအတွက် ခွဲဝေပေးထားသည့် ပိတ်ဆို့အရွယ်အစားနှင့် ပိတ်ဆို့အရေအတွက်။

အခု Destination NAT နည်းပညာကို ကြည့်ရအောင်။ ၎င်းသည် virtual IP လိပ်စာများ (VIP) ကို အခြေခံထားသည်။ Destination NAT စည်းမျဉ်းများအောက်ရှိ ပက်ကတ်များအတွက်၊ Destination အကွက်ရှိ IP လိပ်စာသည် ပြောင်းလဲသွားသည်- အများအားဖြင့် အများသူငှာ အင်တာနက်လိပ်စာသည် ဆာဗာ၏ သီးသန့်လိပ်စာသို့ ပြောင်းလဲပါသည်။ Virtual IP လိပ်စာများကို Destination အကွက်အဖြစ် Firewall မူဝါဒများတွင် အသုံးပြုပါသည်။

virtual IP လိပ်စာများ၏ စံအမျိုးအစားမှာ Static NAT ဖြစ်သည်။ ၎င်းသည် ပြင်ပနှင့် အတွင်းပိုင်းလိပ်စာများအကြား တစ်ဦးမှတစ်ဦး စာပေးစာယူဖြစ်သည်။

Static NAT အစား၊ သီးခြား port များကို ထပ်ဆင့်ပို့ခြင်းဖြင့် virtual လိပ်စာများကို ကန့်သတ်နိုင်သည်။ ဥပမာအားဖြင့်၊ port 8080 ရှိ အတွင်း IP လိပ်စာတစ်ခုသို့ ချိတ်ဆက်မှုဖြင့် port 80 ရှိ ပြင်ပလိပ်စာသို့ ချိတ်ဆက်မှုများကို ချိတ်ဆက်ပါ။

အောက်ဖော်ပြပါ ဥပမာတွင်၊ လိပ်စာ 172.17.10.25 ပါသော ကွန်ပျူတာသည် port 83.235.123.20 တွင် 80 လိပ်စာကို ဝင်ရောက်ရန် ကြိုးစားနေသည်။ ဤချိတ်ဆက်မှုသည် DNAT စည်းမျဉ်းအောက်တွင် ရှိနေသောကြောင့် ဦးတည်ရာ IP လိပ်စာကို 10.10.10.10 သို့ ပြောင်းထားသည်။

ဗီဒီယိုသည် သီအိုရီကို ဆွေးနွေးထားပြီး Source နှင့် Destination NAT ကို စီစဉ်သတ်မှတ်ခြင်း၏ လက်တွေ့ကျသော ဥပမာများကို ပေးပါသည်။

နောက်သင်ခန်းစာများတွင် ကျွန်ုပ်တို့သည် အင်တာနက်ပေါ်ရှိ သုံးစွဲသူများ၏ ဘေးကင်းမှုကို သေချာစေရန် ဆက်လက်လုပ်ဆောင်ပါမည်။ အထူးသဖြင့်၊ လာမည့်သင်ခန်းစာတွင် web filtering နှင့် application control ၏လုပ်ဆောင်နိုင်စွမ်းကို ဆွေးနွေးပါမည်။ ၎င်းကိုလက်လွတ်မခံစေရန်၊ အောက်ပါချန်နယ်များမှ အပ်ဒိတ်များကို လိုက်နာပါ-

Youtube ကို
Vkontakte အသိုင်းအဝိုင်း
Yandex Zen
ကျွန်ုပ်တို့၏ဝက်ဘ်ဆိုက်
Telegram လိုင်း

source: www.habr.com