Pozdravi! Dobrodošli v peti lekciji tečaja . Na Ugotovili smo, kako delujejo varnostne politike. Zdaj je čas, da lokalne uporabnike spustimo na internet. Da bi to naredili, si bomo v tej lekciji ogledali delovanje mehanizma NAT.
Poleg sprostitve uporabnikov na internet si bomo ogledali tudi način objave internih storitev. Pod rezom je kratka teorija iz videoposnetka, pa tudi sama video lekcija.
Tehnologija NAT (Network Address Translation) je mehanizem za pretvorbo naslovov IP omrežnih paketov. V smislu Fortineta je NAT razdeljen na dve vrsti: izvorni NAT in ciljni NAT.
Imena govorijo sama zase - pri uporabi Source NAT se izvorni naslov spremeni, pri uporabi Destination NAT pa ciljni naslov.
Poleg tega obstaja tudi več možnosti za nastavitev NAT - Firewall Policy NAT in Central NAT.
Pri uporabi prve možnosti morata biti izvorni in ciljni NAT konfiguriran za vsako varnostno politiko. V tem primeru izvorni NAT uporablja bodisi naslov IP odhodnega vmesnika bodisi vnaprej konfigurirano skupino IP. Ciljni NAT kot ciljni naslov uporablja vnaprej konfiguriran objekt (tako imenovani VIP – Virtual IP).
Pri uporabi centralnega NAT se konfiguracija izvornega in ciljnega NAT izvede za celotno napravo (ali navidezno domeno) hkrati. V tem primeru nastavitve NAT veljajo za vse pravilnike, odvisno od pravil Izvorni NAT in Ciljni NAT.
Pravila izvornega NAT so konfigurirana v osrednjem pravilniku izvornega NAT. Ciljni NAT se konfigurira v meniju DNAT z uporabo naslovov IP.
V tej lekciji bomo upoštevali samo pravilnik požarnega zidu NAT - kot kaže praksa, je ta možnost konfiguracije veliko bolj pogosta kot centralni NAT.
Kot sem že rekel, sta pri konfiguraciji NAT vira pravilnika požarnega zidu na voljo dve konfiguracijski možnosti: zamenjava naslova IP z naslovom odhodnega vmesnika ali z naslovom IP iz vnaprej konfigurirane skupine naslovov IP. Izgleda nekako tako kot je prikazano na spodnji sliki. Nato bom na kratko govoril o možnih bazenih, vendar bomo v praksi upoštevali le možnost z naslovom odhodnega vmesnika - v naši postavitvi bazenov IP naslovov ne potrebujemo.
Bazen IP definira enega ali več naslovov IP, ki bodo med sejo uporabljeni kot izvorni naslov. Ti naslovi IP bodo uporabljeni namesto naslova IP odhodnega vmesnika FortiGate.
Na FortiGateu je mogoče konfigurirati 4 vrste skupin IP:
- preobremenitev
- Ena na ena
- Fiksni obseg vrat
- Dodelitev bloka vrat
Preobremenitev je glavni bazen IP. Pretvori naslove IP po shemi mnogo proti ena ali veliko proti mnogo. Uporablja se tudi port prevod. Razmislite o vezju, prikazanem na spodnji sliki. Imamo paket z definiranima poljema Izvor in Cilj. Če je pod pravilnikom požarnega zidu, ki temu paketu dovoljuje dostop do zunanjega omrežja, se zanj uporabi pravilo NAT. Posledično je v tem paketu polje Izvor nadomeščeno z enim od naslovov IP, navedenih v skupini IP.
Bazen One to One določa tudi številne zunanje naslove IP. Ko paket spada pod pravilnik požarnega zidu z omogočenim pravilom NAT, se naslov IP v polju Vir spremeni v enega od naslovov, ki pripadajo temu bazenu. Zamenjava poteka po pravilu "prvi vstopi, prvi ven". Da bo bolj jasno, poglejmo primer.
Računalnik v lokalnem omrežju z naslovom IP 192.168.1.25 pošlje paket v zunanje omrežje. Spada pod pravilo NAT in polje Source se spremeni v prvi naslov IP iz skupine, v našem primeru je to 83.235.123.5. Treba je omeniti, da se pri uporabi tega področja IP ne uporablja prevajanje vrat. Če po tem računalnik iz istega lokalnega omrežja z naslovom, na primer 192.168.1.35, pošlje paket v zunanje omrežje in prav tako spada pod to pravilo NAT, se naslov IP v polju Izvor tega paketa spremeni v 83.235.123.6. Če v skupini ni več naslovov, bodo naslednje povezave zavrnjene. To pomeni, da v tem primeru lahko pod naše pravilo NAT sodijo 4 računalniki hkrati.
Fiksni obseg vrat povezuje notranje in zunanje obsege naslovov IP. Onemogočeno je tudi prevajanje vrat. To vam omogoča, da začetek ali konec skupine notranjih naslovov IP trajno povežete z začetkom ali koncem skupine zunanjih naslovov IP. V spodnjem primeru je notranje naslovno področje 192.168.1.25 - 192.168.1.28 preslikano v zunanje naslovno področje 83.235.123.5 - 83.235.125.8.
Dodelitev bloka vrat - to področje IP se uporablja za dodelitev bloka vrat uporabnikom področja IP. Poleg samega bazena IP je treba tukaj določiti tudi dva parametra - velikost bloka in število blokov, dodeljenih posameznemu uporabniku.
Zdaj pa poglejmo tehnologijo ciljnega NAT. Temelji na virtualnih naslovih IP (VIP). Za pakete, ki spadajo pod pravila ciljnega NAT, se naslov IP v polju cilj spremeni: običajno se javni internetni naslov spremeni v zasebni naslov strežnika. Navidezni naslovi IP se v pravilnikih požarnega zidu uporabljajo kot ciljno polje.
Standardna vrsta navideznih naslovov IP je statični NAT. To je korespondenca ena proti ena med zunanjimi in notranjimi naslovi.
Namesto statičnega NAT je mogoče virtualne naslove omejiti s posredovanjem določenih vrat. Na primer, povežite povezave z zunanjim naslovom na vratih 8080 s povezavo z notranjim naslovom IP na vratih 80.
V spodnjem primeru računalnik z naslovom 172.17.10.25 poskuša dostopati do naslova 83.235.123.20 na vratih 80. Ta povezava spada pod pravilo DNAT, zato se ciljni naslov IP spremeni v 10.10.10.10.
Video obravnava teorijo in ponuja tudi praktične primere konfiguriranja izvornega in ciljnega NAT.
V naslednjih učnih urah bomo prešli na zagotavljanje varnosti uporabnikov na internetu. Natančneje, naslednja lekcija bo razpravljala o funkcionalnosti spletnega filtriranja in nadzora aplikacij. Da tega ne zamudite, spremljajte novosti na naslednjih kanalih:
Vir: www.habr.com