Salamu! Karibu katika somo la tano la kozi . Imewashwa Tumegundua jinsi sera za usalama zinavyofanya kazi. Sasa ni wakati wa kuwaachilia watumiaji wa ndani kwenye Mtandao. Ili kufanya hivyo, katika somo hili tutaangalia uendeshaji wa utaratibu wa NAT.
Mbali na kuachilia watumiaji kwenye Mtandao, tutaangalia pia mbinu ya uchapishaji wa huduma za ndani. Chini ya kukata ni nadharia fupi kutoka kwa video, pamoja na somo la video yenyewe.
Teknolojia ya NAT (Tafsiri ya Anwani ya Mtandao) ni utaratibu wa kubadilisha anwani za IP za pakiti za mtandao. Kwa maneno ya Fortinet, NAT imegawanywa katika aina mbili: Chanzo NAT na Destination NAT.
Majina yanajieleza yenyewe - unapotumia Chanzo NAT, anwani ya chanzo hubadilika, unapotumia Marudio ya NAT, anwani ya marudio inabadilika.
Kwa kuongeza, pia kuna chaguo kadhaa za kuanzisha NAT - Sera ya Firewall NAT na NAT ya Kati.
Unapotumia chaguo la kwanza, Chanzo na Lengwa la NAT lazima viwekewe mipangilio kwa kila sera ya usalama. Katika hali hii, Chanzo NAT hutumia anwani ya IP ya kiolesura kinachotoka au Dimbwi la IP lililosanidiwa awali. NAT lengwa hutumia kitu kilichosanidiwa awali (kinachojulikana kama VIP - IP Virtual) kama anwani lengwa.
Unapotumia NAT ya Kati, usanidi wa Chanzo na Lengwa la NAT hufanywa kwa kifaa kizima (au kikoa pepe) mara moja. Katika hali hii, mipangilio ya NAT inatumika kwa sera zote, kulingana na Chanzo cha NAT na sheria Lengwa la NAT.
Chanzo kanuni za NAT zimesanidiwa katika sera kuu ya Chanzo cha NAT. NAT lengwa limesanidiwa kutoka kwa menyu ya DNAT kwa kutumia anwani za IP.
Katika somo hili, tutazingatia Sera ya Firewall pekee NAT - kama inavyoonyesha mazoezi, chaguo hili la usanidi ni la kawaida zaidi kuliko NAT ya Kati.
Kama nilivyosema tayari, wakati wa kusanidi Chanzo cha Sera ya Firewall NAT, kuna chaguzi mbili za usanidi: kubadilisha anwani ya IP na anwani ya kiolesura kinachotoka, au kwa anwani ya IP kutoka kwa dimbwi la anwani za IP zilizopangwa mapema. Inaonekana kitu kama ile iliyoonyeshwa kwenye takwimu hapa chini. Ifuatayo, nitazungumza kwa ufupi juu ya mabwawa yanayowezekana, lakini kwa mazoezi tutazingatia tu chaguo na anwani ya kiolesura kinachotoka - katika mpangilio wetu, hatuitaji mabwawa ya anwani ya IP.
Dimbwi la IP hufafanua anwani moja au zaidi ya IP ambayo itatumika kama anwani ya chanzo wakati wa kipindi. Anwani hizi za IP zitatumika badala ya anwani ya IP ya kiolesura cha FortiGate inayotoka.
Kuna aina 4 za mabwawa ya IP ambayo yanaweza kusanidiwa kwenye FortiGate:
- Overload
- Moja kwa moja
- Safu ya Bandari Isiyohamishika
- Ugawaji wa kizuizi cha bandari
Kupakia kupita kiasi ndio dimbwi kuu la IP. Inabadilisha anwani za IP kwa kutumia mpango wa nyingi-kwa-moja au nyingi-kwa-nyingi. Tafsiri ya bandari pia hutumiwa. Fikiria mzunguko unaoonyeshwa kwenye takwimu hapa chini. Tuna kifurushi kilicho na sehemu zilizobainishwa za Chanzo na Lengwa. Iwapo itakuwa chini ya sera ya ngome inayoruhusu pakiti hii kufikia mtandao wa nje, sheria ya NAT itatumika kwayo. Matokeo yake, katika pakiti hii shamba la Chanzo linabadilishwa na mojawapo ya anwani za IP zilizotajwa kwenye bwawa la IP.
Dimbwi la Kuanzia Moja hadi Moja pia hufafanua anwani nyingi za nje za IP. Wakati pakiti iko chini ya sera ya ngome na sheria ya NAT imewezeshwa, anwani ya IP katika sehemu ya Chanzo hubadilishwa kuwa mojawapo ya anwani zinazomilikiwa na bwawa hili. Uingizwaji unafuata sheria ya "kwanza ndani, kwanza kutoka". Ili kuifanya iwe wazi zaidi, hebu tuangalie mfano.
Kompyuta kwenye mtandao wa ndani yenye anwani ya IP 192.168.1.25 hutuma pakiti kwenye mtandao wa nje. Inaanguka chini ya sheria ya NAT, na shamba la Chanzo linabadilishwa kwa anwani ya kwanza ya IP kutoka kwenye bwawa, kwa upande wetu ni 83.235.123.5. Ni muhimu kuzingatia kwamba wakati wa kutumia bwawa hili la IP, tafsiri ya bandari haitumiki. Ikiwa baada ya hii kompyuta kutoka kwa mtandao huo wa ndani, na anwani ya, sema, 192.168.1.35, inatuma pakiti kwenye mtandao wa nje na pia iko chini ya sheria hii ya NAT, anwani ya IP katika uwanja wa Chanzo cha pakiti hii itabadilika kuwa 83.235.123.6. Ikiwa hakuna anwani zaidi zilizobaki kwenye bwawa, miunganisho inayofuata itakataliwa. Hiyo ni, katika kesi hii, kompyuta 4 zinaweza kuanguka chini ya sheria yetu ya NAT kwa wakati mmoja.
Safu ya Bandari Isiyohamishika huunganisha masafa ya ndani na nje ya anwani za IP. Tafsiri ya bandari pia imezimwa. Hii hukuruhusu kuhusisha kabisa mwanzo au mwisho wa kundi la anwani za IP za ndani na mwanzo au mwisho wa kundi la anwani za IP za nje. Katika mfano ulio hapa chini, dimbwi la anwani ya ndani 192.168.1.25 - 192.168.1.28 limepangwa kwa bwawa la anwani ya nje 83.235.123.5 - 83.235.125.8.
Ugawaji wa Kizuizi cha Bandari - bwawa hili la IP linatumika kutenga kizuizi cha bandari kwa watumiaji wa bwawa la IP. Mbali na bwawa la IP yenyewe, vigezo viwili lazima pia vielezwe hapa - ukubwa wa kuzuia na idadi ya vitalu vilivyotengwa kwa kila mtumiaji.
Sasa hebu tuangalie teknolojia ya Destination NAT. Inategemea anwani za IP (VIP). Kwa pakiti ambazo ziko chini ya sheria Lengwa la NAT, anwani ya IP katika sehemu Lengwa hubadilika: kwa kawaida anwani ya mtandao ya umma hubadilika kuwa anwani ya faragha ya seva. Anwani pepe za IP hutumiwa katika sera za ngome kama sehemu ya Lengwa.
Aina ya kawaida ya anwani pepe za IP ni NAT tuli. Huu ni mawasiliano ya moja kwa moja kati ya anwani za nje na za ndani.
Badala ya NAT Tuli, anwani pepe zinaweza kupunguzwa kwa kusambaza bandari maalum. Kwa mfano, husisha miunganisho kwa anwani ya nje kwenye mlango 8080 na muunganisho wa anwani ya ndani ya IP kwenye mlango wa 80.
Katika mfano ulio hapa chini, kompyuta iliyo na anwani 172.17.10.25 inajaribu kufikia anwani 83.235.123.20 kwenye bandari 80. Muunganisho huu upo chini ya sheria ya DNAT, kwa hivyo anwani ya IP fikio inabadilishwa hadi 10.10.10.10.
Video inajadili nadharia na pia inatoa mifano ya vitendo ya kusanidi Chanzo na Lengwa la NAT.
Katika masomo yanayofuata tutaendelea na kuhakikisha usalama wa watumiaji kwenye Mtandao. Hasa, somo linalofuata litajadili utendaji wa uchujaji wa wavuti na udhibiti wa programu. Ili usikose, fuata sasisho kwenye chaneli zifuatazo:
Chanzo: mapenzi.com