ทักทาย! ยินดีต้อนรับสู่บทเรียนที่ห้าของหลักสูตร . บน เราได้ค้นพบวิธีการทำงานของนโยบายความปลอดภัยแล้ว ตอนนี้ได้เวลาปล่อยผู้ใช้ท้องถิ่นเข้าสู่อินเทอร์เน็ตแล้ว เพื่อทำเช่นนี้ ในบทเรียนนี้ เราจะดูการทำงานของกลไก NAT
นอกเหนือจากการปล่อยผู้ใช้สู่อินเทอร์เน็ตแล้ว เรายังดูวิธีการเผยแพร่บริการภายในด้วย ด้านล่างของการตัดเป็นทฤษฎีสั้นๆ จากวิดีโอ รวมถึงบทเรียนวิดีโอด้วย
เทคโนโลยี NAT (Network Address Translation) เป็นกลไกในการแปลงที่อยู่ IP ของแพ็กเก็ตเครือข่าย ในแง่ของ Fortinet NAT แบ่งออกเป็นสองประเภท: NAT ต้นทางและ NAT ปลายทาง
ชื่อพูดเพื่อตัวเอง - เมื่อใช้ Source NAT ที่อยู่ต้นทางจะเปลี่ยนไป เมื่อใช้ Destination NAT ที่อยู่ปลายทางจะเปลี่ยนไป
นอกจากนี้ยังมีหลายตัวเลือกในการตั้งค่า NAT - นโยบายไฟร์วอลล์ NAT และ NAT กลาง
เมื่อใช้ตัวเลือกแรก จะต้องกำหนดค่า NAT ต้นทางและปลายทางสำหรับแต่ละนโยบายความปลอดภัย ในกรณีนี้ Source NAT จะใช้ที่อยู่ IP ของอินเทอร์เฟซขาออกหรือพูล IP ที่กำหนดค่าไว้ล่วงหน้า NAT ปลายทางใช้ออบเจ็กต์ที่กำหนดค่าไว้ล่วงหน้า (ที่เรียกว่า VIP - Virtual IP) เป็นที่อยู่ปลายทาง
เมื่อใช้ Central NAT การกำหนดค่า NAT ต้นทางและปลายทางจะดำเนินการสำหรับอุปกรณ์ทั้งหมด (หรือโดเมนเสมือน) ในคราวเดียว ในกรณีนี้ การตั้งค่า NAT จะมีผลกับนโยบายทั้งหมด ขึ้นอยู่กับกฎ NAT ต้นทางและ NAT ปลายทาง
กฎ NAT ต้นทางได้รับการกำหนดค่าในนโยบาย NAT ต้นทางส่วนกลาง NAT ปลายทางได้รับการกำหนดค่าจากเมนู DNAT โดยใช้ที่อยู่ IP
ในบทนี้ เราจะพิจารณาเฉพาะ NAT ของนโยบายไฟร์วอลล์ - ตามที่แสดงให้เห็นในทางปฏิบัติ ตัวเลือกการกำหนดค่านี้พบได้บ่อยกว่า Central NAT มาก
ดังที่ฉันได้กล่าวไปแล้วเมื่อกำหนดค่า NAT แหล่งที่มาของนโยบายไฟร์วอลล์ มีสองตัวเลือกการกำหนดค่า: การแทนที่ที่อยู่ IP ด้วยที่อยู่ของอินเทอร์เฟซขาออกหรือด้วยที่อยู่ IP จากพูลที่อยู่ IP ที่กำหนดค่าไว้ล่วงหน้า มีลักษณะคล้ายกับที่แสดงในภาพด้านล่าง ต่อไป ฉันจะพูดสั้น ๆ เกี่ยวกับพูลที่เป็นไปได้ แต่ในทางปฏิบัติเราจะพิจารณาเฉพาะตัวเลือกที่มีที่อยู่ของอินเทอร์เฟซขาออก - ในรูปแบบของเรา เราไม่ต้องการพูลที่อยู่ IP
พูล IP กำหนดที่อยู่ IP อย่างน้อยหนึ่งรายการที่จะใช้เป็นที่อยู่ต้นทางระหว่างเซสชัน ที่อยู่ IP เหล่านี้จะถูกนำมาใช้แทนที่อยู่ IP ของอินเทอร์เฟซขาออกของ FortiGate
มี IP พูลอยู่ 4 ประเภทที่สามารถกำหนดค่าบน FortiGate:
- เกินพิกัด
- หนึ่งต่อหนึ่ง
- ช่วงพอร์ตคงที่
- การจัดสรรบล็อกพอร์ต
โอเวอร์โหลดคือพูล IP หลัก จะแปลงที่อยู่ IP โดยใช้รูปแบบหลายต่อหนึ่งหรือหลายต่อหลายรูปแบบ นอกจากนี้ยังใช้การแปลพอร์ตด้วย พิจารณาวงจรที่แสดงในภาพด้านล่าง เรามีแพ็คเกจที่มีฟิลด์ต้นทางและปลายทางที่กำหนดไว้ หากอยู่ภายใต้นโยบายไฟร์วอลล์ที่อนุญาตให้แพ็กเก็ตนี้เข้าถึงเครือข่ายภายนอก กฎ NAT จะถูกนำไปใช้กับแพ็กเก็ตนั้น ด้วยเหตุนี้ ในแพ็กเก็ตนี้ ฟิลด์แหล่งที่มาจะถูกแทนที่ด้วยที่อยู่ IP ที่อยู่ใดที่อยู่หนึ่งที่ระบุในกลุ่ม IP
พูลแบบหนึ่งต่อหนึ่งยังกำหนดที่อยู่ IP ภายนอกจำนวนมาก เมื่อแพ็คเก็ตตกอยู่ภายใต้นโยบายไฟร์วอลล์โดยเปิดใช้งานกฎ NAT ที่อยู่ IP ในฟิลด์แหล่งที่มาจะถูกเปลี่ยนเป็นหนึ่งในที่อยู่ที่เป็นของพูลนี้ การแทนที่เป็นไปตามกฎ "เข้าก่อนออกก่อน" เพื่อให้ชัดเจนยิ่งขึ้นเรามาดูตัวอย่างกัน
คอมพิวเตอร์บนเครือข่ายท้องถิ่นที่มีที่อยู่ IP 192.168.1.25 จะส่งแพ็กเก็ตไปยังเครือข่ายภายนอก อยู่ภายใต้กฎ NAT และช่องแหล่งที่มาจะเปลี่ยนเป็นที่อยู่ IP แรกจากพูล ในกรณีของเราคือ 83.235.123.5 เป็นที่น่าสังเกตว่าเมื่อใช้พูล IP นี้ จะไม่มีการแปลพอร์ต หากหลังจากนี้คอมพิวเตอร์จากเครือข่ายท้องถิ่นเดียวกันซึ่งมีที่อยู่เช่น 192.168.1.35 ส่งแพ็กเก็ตไปยังเครือข่ายภายนอกและอยู่ภายใต้กฎ NAT นี้ด้วย ที่อยู่ IP ในช่องต้นทางของแพ็กเก็ตนี้จะเปลี่ยนเป็น 83.235.123.6. หากไม่มีที่อยู่เหลืออยู่ในพูล การเชื่อมต่อในภายหลังจะถูกปฏิเสธ นั่นคือในกรณีนี้ คอมพิวเตอร์ 4 เครื่องอาจอยู่ภายใต้กฎ NAT ของเราในเวลาเดียวกัน
ช่วงพอร์ตคงที่เชื่อมต่อช่วงภายในและภายนอกของที่อยู่ IP การแปลพอร์ตก็ปิดใช้งานเช่นกัน ซึ่งจะทำให้คุณสามารถเชื่อมโยงจุดเริ่มต้นหรือจุดสิ้นสุดของกลุ่มที่อยู่ IP ภายในกับจุดเริ่มต้นหรือจุดสิ้นสุดของกลุ่มที่อยู่ IP ภายนอกได้อย่างถาวร ในตัวอย่างด้านล่าง พูลที่อยู่ภายใน 192.168.1.25 - 192.168.1.28 ถูกแมปกับพูลที่อยู่ภายนอก 83.235.123.5 - 83.235.125.8
การจัดสรรบล็อกพอร์ต - พูล IP นี้ใช้เพื่อจัดสรรบล็อกของพอร์ตสำหรับผู้ใช้พูล IP นอกจากพูล IP เองแล้ว ยังต้องระบุพารามิเตอร์สองตัวที่นี่ - ขนาดบล็อกและจำนวนบล็อกที่จัดสรรสำหรับผู้ใช้แต่ละคน
มาดูเทคโนโลยี Destination NAT กัน ขึ้นอยู่กับที่อยู่ IP เสมือน (VIP) สำหรับแพ็กเก็ตที่อยู่ภายใต้กฎ Destination NAT ที่อยู่ IP ในช่องปลายทางจะเปลี่ยนไป โดยปกติแล้วที่อยู่อินเทอร์เน็ตสาธารณะจะเปลี่ยนเป็นที่อยู่ส่วนตัวของเซิร์ฟเวอร์ ที่อยู่ IP เสมือนถูกใช้ในนโยบายไฟร์วอลล์เป็นฟิลด์ปลายทาง
ที่อยู่ IP เสมือนประเภทมาตรฐานคือ NAT แบบคงที่ นี่คือการติดต่อแบบหนึ่งต่อหนึ่งระหว่างที่อยู่ภายนอกและภายใน
แทนที่จะเป็น NAT แบบคงที่ ที่อยู่เสมือนสามารถถูกจำกัดได้โดยการส่งต่อพอร์ตเฉพาะ ตัวอย่างเช่น เชื่อมโยงการเชื่อมต่อกับที่อยู่ภายนอกบนพอร์ต 8080 กับการเชื่อมต่อกับที่อยู่ IP ภายในบนพอร์ต 80
ในตัวอย่างด้านล่าง คอมพิวเตอร์ที่มีที่อยู่ 172.17.10.25 กำลังพยายามเข้าถึงที่อยู่ 83.235.123.20 บนพอร์ต 80 การเชื่อมต่อนี้อยู่ภายใต้กฎ DNAT ดังนั้นที่อยู่ IP ปลายทางจึงเปลี่ยนเป็น 10.10.10.10
วิดีโอนี้กล่าวถึงทฤษฎีและยังมีตัวอย่างเชิงปฏิบัติของการกำหนดค่า NAT ต้นทางและปลายทาง
ในบทเรียนถัดไป เราจะก้าวไปสู่การรับรองความปลอดภัยของผู้ใช้บนอินเทอร์เน็ต โดยเฉพาะบทเรียนถัดไปจะกล่าวถึงฟังก์ชันการทำงานของการกรองเว็บและการควบคุมแอปพลิเคชัน เพื่อไม่ให้พลาดติดตามการอัพเดตได้ที่ช่องทางต่อไปนี้:
ที่มา: will.com