Saudações! Bem-vindo à quinta lição do curso . Em Descobrimos como funcionam as políticas de segurança. Agora é hora de liberar os usuários locais na Internet. Para fazer isso, nesta lição veremos o funcionamento do mecanismo NAT.
Além de liberar os usuários para a Internet, também veremos um método para publicar serviços internos. Abaixo do corte está uma breve teoria do vídeo, bem como a videoaula em si.
A tecnologia NAT (Network Address Translation) é um mecanismo para converter endereços IP de pacotes de rede. Nos termos da Fortinet, o NAT é dividido em dois tipos: NAT de origem e NAT de destino.
Os nomes falam por si - ao usar o Source NAT, o endereço de origem muda, ao usar o Destination NAT, o endereço de destino muda.
Além disso, também existem diversas opções de configuração de NAT - Firewall Policy NAT e Central NAT.
Ao usar a primeira opção, o NAT de origem e destino deve ser configurado para cada política de segurança. Neste caso, o Source NAT usa o endereço IP da interface de saída ou um pool de IP pré-configurado. O NAT de destino utiliza um objeto pré-configurado (o chamado VIP - IP Virtual) como endereço de destino.
Ao usar o NAT Central, a configuração do NAT de origem e destino é executada para todo o dispositivo (ou domínio virtual) de uma só vez. Nesse caso, as configurações de NAT se aplicam a todas as políticas, dependendo das regras NAT de origem e NAT de destino.
As regras de NAT de origem são configuradas na política central de NAT de origem. O NAT de destino é configurado no menu DNAT usando endereços IP.
Nesta lição, consideraremos apenas a Política de Firewall NAT - como mostra a prática, esta opção de configuração é muito mais comum que o NAT Central.
Como já disse, ao configurar o Firewall Policy Source NAT, existem duas opções de configuração: substituir o endereço IP pelo endereço da interface de saída ou por um endereço IP de um pool pré-configurado de endereços IP. Parece algo parecido com o mostrado na figura abaixo. A seguir falarei brevemente sobre possíveis pools, mas na prática consideraremos apenas a opção com o endereço da interface de saída - em nosso layout não precisamos de pools de endereços IP.
Um pool de IP define um ou mais endereços IP que serão usados como endereço de origem durante uma sessão. Esses endereços IP serão usados em vez do endereço IP da interface de saída do FortiGate.
Existem 4 tipos de pools de IP que podem ser configurados no FortiGate:
- Sobrecarga
- Um a um
- Faixa de porta fixa
- Alocação de bloco de porta
A sobrecarga é o pool de IP principal. Ele converte endereços IP usando um esquema muitos para um ou muitos para muitos. A tradução de porta também é usada. Considere o circuito mostrado na figura abaixo. Temos um pacote com campos de Origem e Destino definidos. Se estiver sob uma política de firewall que permita que este pacote acesse a rede externa, uma regra NAT será aplicada a ele. Como resultado, neste pacote o campo Fonte é substituído por um dos endereços IP especificados no pool de IP.
Um pool One to One também define muitos endereços IP externos. Quando um pacote cai sob uma política de firewall com a regra NAT habilitada, o endereço IP no campo Fonte é alterado para um dos endereços pertencentes a este pool. A substituição segue a regra “primeiro a entrar, primeiro a sair”. Para deixar mais claro, vejamos um exemplo.
Um computador na rede local com endereço IP 192.168.1.25 envia um pacote para a rede externa. Ele se enquadra na regra NAT, e o campo Fonte é alterado para o primeiro endereço IP do pool, no nosso caso é 83.235.123.5. Vale ressaltar que ao utilizar este pool de IPs, a tradução de porta não é utilizada. Se depois disso um computador da mesma rede local, com endereço, digamos, 192.168.1.35, enviar um pacote para uma rede externa e também se enquadrar nesta regra NAT, o endereço IP no campo Fonte deste pacote mudará para 83.235.123.6. Se não houver mais endereços no pool, as conexões subsequentes serão rejeitadas. Ou seja, neste caso, 4 computadores podem se enquadrar na nossa regra NAT ao mesmo tempo.
O intervalo de portas fixas conecta intervalos internos e externos de endereços IP. A tradução de porta também está desabilitada. Isso permite associar permanentemente o início ou o fim de um conjunto de endereços IP internos ao início ou ao fim de um conjunto de endereços IP externos. No exemplo abaixo, o pool de endereços interno 192.168.1.25 - 192.168.1.28 é mapeado para o pool de endereços externo 83.235.123.5 - 83.235.125.8.
Alocação de bloco de porta - este pool de IP é usado para alocar um bloco de portas para usuários do pool de IP. Além do próprio pool de IPs, dois parâmetros também devem ser especificados aqui - o tamanho do bloco e o número de blocos alocados para cada usuário.
Agora vamos dar uma olhada na tecnologia Destination NAT. É baseado em endereços IP virtuais (VIP). Para pacotes que se enquadram nas regras NAT de destino, o endereço IP no campo Destino muda: geralmente o endereço público da Internet muda para o endereço privado do servidor. Endereços IP virtuais são usados em políticas de firewall como o campo Destino.
O tipo padrão de endereços IP virtuais é NAT estático. Esta é uma correspondência um-para-um entre endereços externos e internos.
Em vez de NAT estático, os endereços virtuais podem ser limitados pelo encaminhamento de portas específicas. Por exemplo, associe conexões a um endereço externo na porta 8080 com uma conexão a um endereço IP interno na porta 80.
No exemplo abaixo, um computador com endereço 172.17.10.25 está tentando acessar o endereço 83.235.123.20 na porta 80. Esta conexão se enquadra na regra DNAT, portanto o endereço IP de destino é alterado para 10.10.10.10.
O vídeo discute a teoria e também fornece exemplos práticos de configuração de NAT de origem e destino.
Nas próximas lições passaremos a garantir a segurança do usuário na Internet. Especificamente, a próxima lição discutirá a funcionalidade de filtragem da web e controle de aplicativos. Para não perder, acompanhe as atualizações nos seguintes canais:
Fonte: habr.com