Groeten! Welkom bij de vijfde les van de cursus . op We hebben ontdekt hoe beveiligingsbeleid werkt. Nu is het tijd om lokale gebruikers vrij te geven op internet. Om dit te doen, zullen we in deze les kijken naar de werking van het NAT-mechanisme.
Naast het vrijgeven van gebruikers aan internet, zullen we ook kijken naar een methode voor het publiceren van interne diensten. Onder de afbeelding vindt u een korte theorie uit de video, evenals de videoles zelf.
NAT-technologie (Network Address Translation) is een mechanisme voor het converteren van IP-adressen van netwerkpakketten. In Fortinet-termen is NAT verdeeld in twee typen: Source NAT en Destination NAT.
De namen spreken voor zich: bij gebruik van Source NAT verandert het bronadres, bij gebruik van Destination NAT verandert het bestemmingsadres.
Daarnaast zijn er ook verschillende mogelijkheden voor het instellen van NAT: Firewall Policy NAT en Central NAT.
Wanneer u de eerste optie gebruikt, moeten voor elk beveiligingsbeleid Bron- en Doel-NAT worden geconfigureerd. In dit geval gebruikt Source NAT het IP-adres van de uitgaande interface of een vooraf geconfigureerde IP-pool. Destination NAT gebruikt een vooraf geconfigureerd object (het zogenaamde VIP - Virtual IP) als bestemmingsadres.
Bij gebruik van Central NAT wordt de bron- en doel-NAT-configuratie in één keer voor het hele apparaat (of virtuele domein) uitgevoerd. In dit geval zijn de NAT-instellingen van toepassing op alle beleidsregels, afhankelijk van de regels voor Bron-NAT en Doel-NAT.
Bron-NAT-regels worden geconfigureerd in het centrale Bron-NAT-beleid. Destination NAT wordt geconfigureerd vanuit het DNAT-menu met behulp van IP-adressen.
In deze les zullen we alleen Firewall Policy NAT beschouwen - zoals de praktijk laat zien, komt deze configuratieoptie veel vaker voor dan Central NAT.
Zoals ik al zei, zijn er bij het configureren van Firewall Policy Source NAT twee configuratie-opties: het vervangen van het IP-adres door het adres van de uitgaande interface, of door een IP-adres uit een vooraf geconfigureerde pool van IP-adressen. Het ziet er ongeveer zo uit als in de onderstaande afbeelding. Vervolgens zal ik het kort hebben over mogelijke pools, maar in de praktijk zullen we alleen de optie overwegen met het adres van de uitgaande interface - in onze lay-out hebben we geen IP-adrespools nodig.
Een IP-pool definieert een of meer IP-adressen die tijdens een sessie als bronadres zullen worden gebruikt. Deze IP-adressen zullen worden gebruikt in plaats van het IP-adres van de uitgaande FortiGate-interface.
Er zijn 4 soorten IP-pools die op FortiGate kunnen worden geconfigureerd:
- Overbelasten
- Een op een
- Vast poortbereik
- Toewijzing van poortblokken
Overbelasting is de belangrijkste IP-pool. Het converteert IP-adressen met behulp van een veel-op-een- of veel-op-veel-schema. Er wordt ook gebruik gemaakt van poortvertaling. Beschouw het circuit in de onderstaande afbeelding. We hebben een pakket met gedefinieerde velden Bron en Bestemming. Als het onder een firewallbeleid valt dat dit pakket toegang geeft tot het externe netwerk, wordt er een NAT-regel op toegepast. Als gevolg hiervan wordt in dit pakket het veld Bron vervangen door een van de IP-adressen die zijn opgegeven in de IP-pool.
Een één-op-één-pool definieert ook veel externe IP-adressen. Wanneer een pakket onder een firewallbeleid valt terwijl de NAT-regel is ingeschakeld, wordt het IP-adres in het veld Bron gewijzigd in een van de adressen die bij deze pool horen. Vervanging volgt de regel βfirst in, first outβ. Om het duidelijker te maken, laten we naar een voorbeeld kijken.
Een computer op het lokale netwerk met IP-adres 192.168.1.25 verzendt een pakket naar het externe netwerk. Het valt onder de NAT-regel en het veld Bron wordt gewijzigd in het eerste IP-adres uit de pool, in ons geval is dit 83.235.123.5. Het is vermeldenswaard dat bij gebruik van deze IP-pool geen poortvertaling wordt gebruikt. Als hierna een computer uit hetzelfde lokale netwerk, met als adres bijvoorbeeld 192.168.1.35, een pakket naar een extern netwerk stuurt en ook onder deze NAT-regel valt, verandert het IP-adres in het veld Bron van dit pakket naar 83.235.123.6. Als er geen adressen meer in de pool aanwezig zijn, worden volgende verbindingen afgewezen. Dat wil zeggen dat in dit geval 4 computers tegelijkertijd onder onze NAT-regel kunnen vallen.
Vast poortbereik verbindt interne en externe reeksen IP-adressen. Poortvertaling is ook uitgeschakeld. Hierdoor kunt u het begin of einde van een groep interne IP-adressen permanent koppelen aan het begin of einde van een groep externe IP-adressen. In het onderstaande voorbeeld wordt de interne adresgroep 192.168.1.25 - 192.168.1.28 toegewezen aan de externe adresgroep 83.235.123.5 - 83.235.125.8.
Poortbloktoewijzing - deze IP-pool wordt gebruikt om een ββblok poorten toe te wijzen aan gebruikers van de IP-pool. Naast de IP-pool zelf moeten hier ook twee parameters worden opgegeven: de blokgrootte en het aantal toegewezen blokken voor elke gebruiker.
Laten we nu eens kijken naar Destination NAT-technologie. Het is gebaseerd op virtuele IP-adressen (VIP). Voor pakketten die onder de Destination NAT-regels vallen, verandert het IP-adres in het Destination-veld: meestal verandert het openbare internetadres in het privΓ©adres van de server. Virtuele IP-adressen worden in firewallbeleid gebruikt als het veld Bestemming.
Het standaardtype virtuele IP-adressen is Static NAT. Dit is een één-op-één correspondentie tussen externe en interne adressen.
In plaats van Statische NAT kunnen virtuele adressen worden beperkt door specifieke poorten door te sturen. Koppel verbindingen met een extern adres op poort 8080 bijvoorbeeld aan een verbinding met een intern IP-adres op poort 80.
In het onderstaande voorbeeld probeert een computer met het adres 172.17.10.25 toegang te krijgen tot het adres 83.235.123.20 op poort 80. Deze verbinding valt onder de DNAT-regel, dus het bestemmings-IP-adres wordt gewijzigd in 10.10.10.10.
De video bespreekt de theorie en biedt ook praktische voorbeelden van het configureren van Source- en Destination NAT.
In de volgende lessen gaan we verder met het garanderen van de gebruikersveiligheid op internet. In het bijzonder zal de volgende les de functionaliteit van webfiltering en applicatiecontrole bespreken. Om het niet te missen, volg de updates op de volgende kanalen:
Bron: www.habr.com