pershendetje! Mirë se vini në mësimin e pestë të kursit . në Ne kemi kuptuar se si funksionojnë politikat e sigurisë. Tani është koha për të lëshuar përdoruesit lokalë në internet. Për ta bërë këtë, në këtë mësim do të shikojmë funksionimin e mekanizmit NAT.
Përveç lirimit të përdoruesve në internet, ne do të shikojmë gjithashtu një metodë për publikimin e shërbimeve të brendshme. Më poshtë prerjes është një teori e shkurtër nga videoja, si dhe vetë mësimi i videos.
Teknologjia NAT (Network Address Translation) është një mekanizëm për konvertimin e adresave IP të paketave të rrjetit. Në termat e Fortinet, NAT ndahet në dy lloje: NAT burimi dhe NAT destinacioni.
Emrat flasin vetë - kur përdoret Burimi NAT, adresa e burimit ndryshon, kur përdoret Destination NAT, adresa e destinacionit ndryshon.
Për më tepër, ekzistojnë edhe disa opsione për konfigurimin e NAT - Politika e Firewallit NAT dhe Central NAT.
Kur përdorni opsionin e parë, Burimi dhe Destinacioni NAT duhet të konfigurohen për secilën politikë sigurie. Në këtë rast, Source NAT përdor ose adresën IP të ndërfaqes në dalje ose një grup IP të para-konfiguruar. Destinacioni NAT përdor një objekt të para-konfiguruar (të ashtuquajturin VIP - Virtual IP) si adresën e destinacionit.
Kur përdorni Central NAT, konfigurimi NAT i Burimit dhe Destinacionit kryhet për të gjithë pajisjen (ose domenin virtual) menjëherë. Në këtë rast, cilësimet NAT zbatohen për të gjitha politikat, në varësi të rregullave të NAT-së së burimit dhe destinacionit.
Rregullat e burimit NAT janë konfiguruar në politikën qendrore të burimit NAT. Destinacioni NAT konfigurohet nga menyja DNAT duke përdorur adresat IP.
Në këtë mësim, ne do të shqyrtojmë vetëm Politikën e Firewall-it NAT - siç tregon praktika, ky opsion konfigurimi është shumë më i zakonshëm se NAT Qendror.
Siç thashë tashmë, kur konfiguroni Burimin e Politikës së Firewall NAT, ekzistojnë dy opsione konfigurimi: zëvendësimi i adresës IP me adresën e ndërfaqes në dalje, ose me një adresë IP nga një grup i parakonfiguruar adresash IP. Duket diçka si ajo e treguar në figurën më poshtë. Tjetra, unë do të flas shkurtimisht për pishinat e mundshme, por në praktikë do të shqyrtojmë vetëm opsionin me adresën e ndërfaqes në dalje - në paraqitjen tonë, nuk kemi nevojë për pishina të adresave IP.
Një grup IP përcakton një ose më shumë adresa IP që do të përdoren si adresa burimore gjatë një sesioni. Këto adresa IP do të përdoren në vend të adresës IP të ndërfaqes dalëse të FortiGate.
Ekzistojnë 4 lloje të grupeve IP që mund të konfigurohen në FortiGate:
- mbingarkesë
- Nje pas nje
- Gama e fiksuar e portit
- Alokimi i bllokut të portit
Mbingarkesa është grupi kryesor i IP-së. Ai konverton adresat IP duke përdorur një skemë shumë-për-një ose shumë-për-shumë. Përdoret gjithashtu përkthimi i portit. Konsideroni qarkun e treguar në figurën më poshtë. Ne kemi një paketë me fusha të përcaktuara Burimi dhe Destinacioni. Nëse është nën një politikë muri zjarri që lejon këtë paketë të hyjë në rrjetin e jashtëm, një rregull NAT zbatohet për të. Si rezultat, në këtë paketë fusha Burimi zëvendësohet me një nga adresat IP të specifikuara në grupin IP.
Një grup një për një përcakton gjithashtu shumë adresa IP të jashtme. Kur një paketë bie nën një politikë muri zjarri me rregullin NAT të aktivizuar, adresa IP në fushën Burimi ndryshohet në një nga adresat që i përkasin këtij grupi. Zëvendësimi ndjek rregullin "i pari hyn, i pari del". Për ta bërë më të qartë, le të shohim një shembull.
Një kompjuter në rrjetin lokal me adresën IP 192.168.1.25 dërgon një paketë në rrjetin e jashtëm. Ai bie nën rregullin NAT dhe fusha Burimi ndryshohet në adresën e parë IP nga grupi, në rastin tonë është 83.235.123.5. Vlen të përmendet se kur përdorni këtë grup IP, përkthimi i portit nuk përdoret. Nëse pas kësaj një kompjuter nga i njëjti rrjet lokal, me një adresë, të themi, 192.168.1.35, dërgon një paketë në një rrjet të jashtëm dhe gjithashtu bie nën këtë rregull NAT, adresa IP në fushën Burimi i kësaj pakete do të ndryshojë në 83.235.123.6. Nëse nuk ka më adresa të mbetura në pishinë, lidhjet e mëvonshme do të refuzohen. Kjo do të thotë, në këtë rast, 4 kompjuterë mund të bien nën rregullin tonë NAT në të njëjtën kohë.
Gama e Portave Fikse lidh intervalet e brendshme dhe të jashtme të adresave IP. Përkthimi i portit është gjithashtu i çaktivizuar. Kjo ju lejon të lidhni përgjithmonë fillimin ose fundin e një grupi adresash IP të brendshme me fillimin ose fundin e një grupi adresash IP të jashtme. Në shembullin e mëposhtëm, grupi i adresave të brendshme 192.168.1.25 - 192.168.1.28 është hartuar në grupin e adresave të jashtme 83.235.123.5 - 83.235.125.8.
Alokimi i bllokut të portit - ky grup IP përdoret për të ndarë një bllok portash për përdoruesit e grupit IP. Përveç vetë grupit IP, këtu duhet të specifikohen edhe dy parametra - madhësia e bllokut dhe numri i blloqeve të alokuara për secilin përdorues.
Tani le të shohim teknologjinë Destination NAT. Ai bazohet në adresat IP virtuale (VIP). Për paketat që bien nën rregullat e Destinacionit NAT, adresa IP në fushën Destinacioni ndryshon: zakonisht adresa publike e Internetit ndryshon në adresën private të serverit. Adresat IP virtuale përdoren në politikat e murit të zjarrit si fusha Destinacioni.
Lloji standard i adresave IP virtuale është Static NAT. Kjo është një korrespondencë një-për-një ndërmjet adresave të jashtme dhe të brendshme.
Në vend të Static NAT, adresat virtuale mund të kufizohen duke përcjellë porte specifike. Për shembull, lidhni lidhjet me një adresë të jashtme në portën 8080 me një lidhje me një adresë IP të brendshme në portën 80.
Në shembullin e mëposhtëm, një kompjuter me adresën 172.17.10.25 po përpiqet të hyjë në adresën 83.235.123.20 në portin 80. Kjo lidhje bie nën rregullin DNAT, kështu që adresa IP e destinacionit ndryshohet në 10.10.10.10.
Videoja diskuton teorinë dhe gjithashtu ofron shembuj praktikë të konfigurimit të Burimit dhe Destinacionit NAT.
Në mësimet e ardhshme do të kalojmë në sigurimin e sigurisë së përdoruesit në internet. Konkretisht, mësimi i ardhshëm do të diskutojë funksionalitetin e filtrimit të uebit dhe kontrollit të aplikacioneve. Për të mos e humbur, ndiqni përditësimet në kanalet e mëposhtme:
Burimi: www.habr.com