Салом! Хуш омадед ба дарси панҷуми курс . Дар бораи Мо фаҳмидем, ки сиёсати амният чӣ гуна кор мекунад. Ҳоло вақти он расидааст, ки корбарони маҳаллӣ ба Интернет озод карда шаванд. Барои ин мо дар ин дарс кори механизми NAT-ро дида мебароем.
Илова ба озод кардани корбарон ба Интернет, мо инчунин усули интишори хидматҳои дохилиро дида мебароем. Дар зер як назарияи мухтасар аз видео, инчунин худи дарси видео.
Технологияи NAT (Network Address Translation) механизми табдил додани суроғаҳои IP-и пакетҳои шабакавӣ мебошад. Дар истилоҳи Fortinet, NAT ба ду намуд тақсим мешавад: Source NAT ва Destination NAT.
Номҳо барои худ сухан мегӯянд - ҳангоми истифодаи Source NAT, суроғаи манбаъ тағир меёбад, ҳангоми истифодаи Destination NAT, суроғаи таъинот тағйир меёбад.
Илова бар ин, инчунин якчанд вариантҳо барои насб кардани NAT вуҷуд доранд - Сиёсати Сиёсати Сипар NAT ва NAT Central.
Ҳангоми истифодаи варианти аввал, Сарчашма ва NAT таъинот бояд барои ҳар як сиёсати амният танзим карда шаванд. Дар ин ҳолат, Source NAT ё суроғаи IP-и интерфейси содиротӣ ё IP Pool-и қаблан танзимшударо истифода мебарад. Destination NAT ҳамчун суроғаи таъинот объекти пешакӣ танзимшударо (ба ном VIP - IP Virtual) истифода мебарад.
Ҳангоми истифодаи NAT-и марказӣ, конфигуратсияи манбаъ ва таъиноти NAT барои тамоми дастгоҳ (ё домени виртуалӣ) якбора иҷро карда мешавад. Дар ин ҳолат, танзимоти NAT ба ҳама сиёсатҳо, вобаста ба қоидаҳои манбаи NAT ва Destination NAT татбиқ мешаванд.
Қоидаҳои манбаи NAT дар сиёсати марказии NAT Source конфигуратсия карда мешаванд. NAT таъинот аз менюи DNAT бо истифода аз суроғаҳои IP танзим карда мешавад.
Дар ин дарс, мо танҳо Сиёсати Сиёсати Сипар NAT-ро баррасӣ хоҳем кард - тавре ки таҷриба нишон медиҳад, ин варианти конфигуратсия нисбат ба NAT марказӣ бештар маъмул аст.
Тавре ки ман аллакай гуфтам, ҳангоми танзими Сиёсати Сиёсати Сиёсати манбаи NAT, ду варианти конфигуратсия вуҷуд дорад: иваз кардани суроғаи IP бо суроғаи интерфейси содиротӣ ё бо суроғаи IP аз ҳавзи пешакӣ танзимшудаи суроғаҳои IP. Он чизе монанд аст, ки дар расми зер нишон дода шудааст. Минбаъд, ман ба таври мухтасар дар бораи ҳавзҳои имконпазир сӯҳбат хоҳам кард, аммо дар амал мо танҳо вариантро бо суроғаи интерфейси содиротӣ баррасӣ хоҳем кард - дар тарҳбандии мо ба мо ҳавзҳои суроғаи IP лозим нест.
Ҳавзи IP як ё якчанд суроғаҳои IP-ро муайян мекунад, ки дар давоми сессия ҳамчун суроғаи манбаъ истифода мешаванд. Ин суроғаҳои IP ба ҷои суроғаи IP интерфейси содиротии FortiGate истифода мешаванд.
4 намуди ҳавзҳои IP мавҷуданд, ки онҳоро дар FortiGate танзим кардан мумкин аст:
- Overload
- Якто ба як
- Диапазони порти собит
- Тақсимоти блоки порт
Зиёдборкунӣ ҳавзи асосии IP мебошад. Он суроғаҳои IP-ро бо истифода аз схемаи бисёр ба як ё бисёр ба бисёр табдил медиҳад. Тарҷумаи порт низ истифода мешавад. Схемаи дар расми зер нишондодашударо дида бароед. Мо бастае дорем, ки дорои майдонҳои муайяншудаи Сарчашма ва таъинот. Агар он зери сиёсати брандмауэр қарор гирад, ки ба ин баста имкон медиҳад, ки ба шабакаи беруна дастрасӣ пайдо кунад, ба он қоидаи NAT татбиқ карда мешавад. Дар натиҷа, дар ин баста майдони Сарчашма бо яке аз суроғаҳои IP, ки дар ҳавзи IP нишон дода шудааст, иваз карда мешавад.
Ҳавзи як ба як инчунин бисёр суроғаҳои IP-и берунаро муайян мекунад. Ҳангоме ки маҷмӯа таҳти сиёсати брандмауэр бо коидаи NAT фаъол мешавад, суроғаи IP дар майдони Сарчашма ба яке аз суроғаҳои марбут ба ин ҳавз иваз карда мешавад. Ивазкунӣ аз рӯи қоидаи "аввал даромад, аввал берун" амал мекунад. Барои равшантар шудани он, биёед як мисолро дида бароем.
Компютер дар шабакаи маҳаллӣ бо суроғаи IP 192.168.1.25 бастаро ба шабакаи беруна мефиристад. Он ба қоидаҳои NAT рост меояд ва майдони Сарчашма ба суроғаи аввалини IP аз ҳавз иваз карда мешавад, дар ҳолати мо он 83.235.123.5 аст. Қобили зикр аст, ки ҳангоми истифодаи ин ҳавзи IP тарҷумаи порт истифода намешавад. Агар баъд аз ин компютер аз ҳамон шабакаи маҳаллӣ бо суроғаи 192.168.1.35 бастаро ба шабакаи беруна ирсол кунад ва инчунин ба ин қоидаи NAT дохил шавад, суроғаи IP дар майдони Сарчашмаи ин баста ба 83.235.123.6. Агар дар ҳавз суроғаҳои дигар намонанд, пайвастҳои минбаъда рад карда мешаванд. Яъне, дар ин ҳолат, 4 компютер метавонад дар як вақт ба қоидаҳои NAT мо дохил шавад.
Диапазони порти собит диапазонҳои дохилӣ ва берунии суроғаҳои IP-ро мепайвандад. Тарҷумаи порт низ ғайрифаъол аст. Ин ба шумо имкон медиҳад, ки ба таври доимӣ оғоз ё охири ҳавзи суроғаҳои IP-и дохилиро бо ибтидо ё охири ҳавзи суроғаҳои IP-и беруна пайваст кунед. Дар мисоли зер, ҳавзи суроғаи дохилии 192.168.1.25 - 192.168.1.28 ба ҳавзи суроғаи берунии 83.235.123.5 - 83.235.125.8 харита шудааст.
Ҷойгиркунии Блоки Порт - ин ҳавзи IP барои ҷудо кардани блоки портҳо барои корбарони ҳавзи IP истифода мешавад. Илова ба худи ҳавзи IP, дар ин ҷо бояд ду параметр низ муайян карда шаванд - андозаи блок ва шумораи блокҳои барои ҳар як корбар ҷудошуда.
Акнун биёед технологияи Destination NAT-ро бубинем. Он ба суроғаҳои виртуалии IP (VIP) асос ёфтааст. Барои бастаҳое, ки ба қоидаҳои Destination NAT дохил мешаванд, суроғаи IP дар майдони таъинот тағйир меёбад: одатан суроғаи интернетии оммавӣ ба суроғаи хусусии сервер иваз мешавад. Суроғаҳои IP-и виртуалӣ дар сиёсатҳои брандмауэр ҳамчун майдони таъинот истифода мешаванд.
Навъи стандартии суроғаҳои IP виртуалӣ Static NAT мебошад. Ин мукотибаи як ба як байни суроғаҳои беруна ва дохилӣ мебошад.
Ба ҷои NAT Static, суроғаҳои виртуалӣ метавонанд тавассути интиқоли портҳои мушаххас маҳдуд карда шаванд. Масалан, пайвастҳоро ба суроғаи беруна дар порти 8080 бо пайвастшавӣ ба суроғаи IP дохилӣ дар порти 80 пайваст кунед.
Дар мисоли зер, компютер бо суроғаи 172.17.10.25 кӯшиш мекунад, ки ба суроғаи 83.235.123.20 дар порти 80 дастрасӣ пайдо кунад. Ин пайвастшавӣ ба қоидаҳои DNAT рост меояд, бинобар ин суроғаи IP-и таъинот ба 10.10.10.10 иваз карда мешавад.
Видео назарияро муҳокима мекунад ва инчунин мисолҳои амалии конфигуратсияи манбаъ ва таъиноти NAT пешниҳод мекунад.
Дар дарсҳои оянда мо ба таъмини амнияти корбарон дар Интернет мегузарем. Махсусан, дар дарси навбатӣ функсияҳои филтркунии веб ва идоракунии барномаҳо муҳокима карда мешаванд. Барои он ки онро аз даст надиҳед, навсозиҳоро дар каналҳои зерин пайгирӣ кунед:
Манбаъ: will.com