Hälsningar! Välkommen till kursens femte lektion . på Vi har tagit reda på hur säkerhetspolicyer fungerar. Nu är det dags att släppa lokala användare till Internet. För att göra detta kommer vi i den här lektionen att titta på hur NAT-mekanismen fungerar.
Förutom att släppa ut användare till Internet kommer vi även att titta på en metod för att publicera interna tjänster. Under klippet finns en kort teori från videon, samt själva videolektionen.
NAT-teknik (Network Address Translation) är en mekanism för att konvertera IP-adresser för nätverkspaket. I Fortinet-termer är NAT uppdelad i två typer: Source NAT och Destination NAT.
Namnen talar för sig själva - när du använder Source NAT ändras källadressen, när du använder Destination NAT ändras destinationsadressen.
Dessutom finns det också flera alternativ för att ställa in NAT - Firewall Policy NAT och Central NAT.
När du använder det första alternativet måste källa och mål-NAT konfigureras för varje säkerhetspolicy. I det här fallet använder Source NAT antingen IP-adressen för det utgående gränssnittet eller en förkonfigurerad IP-pool. Destination NAT använder ett förkonfigurerat objekt (den så kallade VIP - Virtual IP) som destinationsadress.
När du använder Central NAT, utförs Käll- och Destinations-NAT-konfigurationen för hela enheten (eller den virtuella domänen) på en gång. I det här fallet gäller NAT-inställningarna för alla policyer, beroende på reglerna för Source NAT och Destination NAT.
Regler för Source NAT konfigureras i den centrala Source NAT-policyn. Destination NAT konfigureras från DNAT-menyn med hjälp av IP-adresser.
I den här lektionen kommer vi bara att överväga brandväggspolicy NAT - som praxis visar är detta konfigurationsalternativ mycket vanligare än central NAT.
Som jag redan har sagt, när du konfigurerar Firewall Policy Source NAT, finns det två konfigurationsalternativ: att ersätta IP-adressen med adressen till det utgående gränssnittet eller med en IP-adress från en förkonfigurerad pool av IP-adresser. Det ser ut ungefär som det som visas i bilden nedan. Därefter kommer jag kort att prata om möjliga pooler, men i praktiken kommer vi bara att överväga alternativet med adressen till det utgående gränssnittet - i vår layout behöver vi inga IP-adresspooler.
En IP-pool definierar en eller flera IP-adresser som kommer att användas som källadress under en session. Dessa IP-adresser kommer att användas istället för FortiGates utgående gränssnitts IP-adress.
Det finns 4 typer av IP-pooler som kan konfigureras på FortiGate:
- Överbelastning
- En till en
- Fast hamnområde
- Tilldelning av hamnblock
Överbelastning är den huvudsakliga IP-poolen. Den konverterar IP-adresser med ett många-till-en- eller många-till-många-schema. Portöversättning används också. Betrakta kretsen som visas i figuren nedan. Vi har ett paket med definierade Käll- och Destinationsfält. Om det omfattas av en brandväggspolicy som tillåter detta paket att komma åt det externa nätverket, tillämpas en NAT-regel på det. Som ett resultat av detta ersätts källan i detta paket med en av de IP-adresser som anges i IP-poolen.
En One to One-pool definierar också många externa IP-adresser. När ett paket faller under en brandväggspolicy med NAT-regeln aktiverad, ändras IP-adressen i fältet Källa till en av adresserna som tillhör denna pool. Byte följer "först in, först ut"-regeln. För att göra det tydligare, låt oss titta på ett exempel.
En dator på det lokala nätverket med IP-adressen 192.168.1.25 skickar ett paket till det externa nätverket. Det faller under NAT-regeln, och fältet Källa ändras till den första IP-adressen från poolen, i vårt fall är det 83.235.123.5. Det är värt att notera att när man använder denna IP-pool används inte portöversättning. Om efter detta en dator från samma lokala nätverk, med en adress på till exempel 192.168.1.35, skickar ett paket till ett externt nätverk och även faller under denna NAT-regel, kommer IP-adressen i fältet Källa för detta paket att ändras till 83.235.123.6. Om det inte finns fler adresser kvar i poolen kommer efterföljande anslutningar att avvisas. Det vill säga, i det här fallet kan 4 datorer falla under vår NAT-regel samtidigt.
Fixed Port Range ansluter interna och externa intervall av IP-adresser. Portöversättning är också inaktiverad. Detta gör att du permanent kan associera början eller slutet av en pool av interna IP-adresser med början eller slutet av en pool av externa IP-adresser. I exemplet nedan är den interna adresspoolen 192.168.1.25 - 192.168.1.28 mappad till den externa adresspoolen 83.235.123.5 - 83.235.125.8.
Port Block Allocation - denna IP-pool används för att allokera ett block av portar för IP-poolanvändare. Utöver själva IP-poolen måste även två parametrar anges här - blockstorleken och antalet block som tilldelats för varje användare.
Låt oss nu titta på Destination NAT-teknik. Den är baserad på virtuella IP-adresser (VIP). För paket som faller under Destination NAT-reglerna ändras IP-adressen i fältet Destination: vanligtvis ändras den offentliga Internetadressen till serverns privata adress. Virtuella IP-adresser används i brandväggspolicyer som fältet Destination.
Standardtypen av virtuella IP-adresser är Static NAT. Detta är en en-till-en-korrespondens mellan externa och interna adresser.
Istället för statisk NAT kan virtuella adresser begränsas genom att vidarebefordra specifika portar. Till exempel koppla anslutningar till en extern adress på port 8080 med en anslutning till en intern IP-adress på port 80.
I exemplet nedan försöker en dator med adressen 172.17.10.25 komma åt adressen 83.235.123.20 på port 80. Denna anslutning faller under DNAT-regeln, så destinationens IP-adress ändras till 10.10.10.10.
Videon diskuterar teorin och ger även praktiska exempel på att konfigurera Source och Destination NAT.
I nästa lektion kommer vi att gå vidare till att säkerställa användarsäkerhet på Internet. Specifikt kommer nästa lektion att diskutera funktionaliteten hos webbfiltrering och applikationskontroll. För att inte missa det, följ uppdateringarna på följande kanaler:
Källa: will.com