Pagbati! Maligayang pagdating sa ikalimang aralin ng kurso . Sa Nalaman namin kung paano gumagana ang mga patakaran sa seguridad. Ngayon ay oras na para ilabas ang mga lokal na user sa Internet. Upang gawin ito, sa araling ito ay titingnan natin ang pagpapatakbo ng mekanismo ng NAT.
Bilang karagdagan sa pagpapalabas ng mga user sa Internet, titingnan din namin ang isang paraan para sa pag-publish ng mga panloob na serbisyo. Sa ibaba ng hiwa ay isang maikling teorya mula sa video, pati na rin ang aralin sa video mismo.
Ang teknolohiya ng NAT (Network Address Translation) ay isang mekanismo para sa pag-convert ng mga IP address ng mga network packet. Sa mga termino ng Fortinet, nahahati ang NAT sa dalawang uri: Source NAT at Destination NAT.
Ang mga pangalan ay nagsasalita para sa kanilang sarili - kapag gumagamit ng Source NAT, nagbabago ang source address, kapag gumagamit ng Destination NAT, nagbabago ang destination address.
Bilang karagdagan, mayroon ding ilang mga opsyon para sa pag-set up ng NAT - Firewall Policy NAT at Central NAT.
Kapag ginagamit ang unang opsyon, ang Source at Destination NAT ay dapat na i-configure para sa bawat patakaran sa seguridad. Sa kasong ito, ginagamit ng Source NAT ang alinman sa IP address ng papalabas na interface o isang paunang na-configure na IP Pool. Gumagamit ang Destination NAT ng isang paunang na-configure na bagay (ang tinatawag na VIP - Virtual IP) bilang address ng patutunguhan.
Kapag gumagamit ng Central NAT, ang Source at Destination NAT configuration ay isinasagawa para sa buong device (o virtual domain) nang sabay-sabay. Sa kasong ito, nalalapat ang mga setting ng NAT sa lahat ng patakaran, depende sa Source NAT at Destination NAT na mga panuntunan.
Naka-configure ang mga panuntunan ng Source NAT sa gitnang patakaran ng Source NAT. Ang destination NAT ay na-configure mula sa DNAT menu gamit ang mga IP address.
Sa araling ito, isasaalang-alang lamang natin ang Firewall Policy NAT - tulad ng ipinapakita sa pagsasanay, ang opsyon sa pagsasaayos na ito ay mas karaniwan kaysa sa Central NAT.
Gaya ng sinabi ko na, kapag kino-configure ang Firewall Policy Source NAT, mayroong dalawang pagpipilian sa pagsasaayos: palitan ang IP address ng address ng papalabas na interface, o ng isang IP address mula sa isang preconfigured na pool ng mga IP address. Mukhang katulad ng ipinapakita sa figure sa ibaba. Susunod, maikling pag-uusapan ko ang tungkol sa mga posibleng pool, ngunit sa pagsasanay ay isasaalang-alang lamang namin ang pagpipilian na may address ng papalabas na interface - sa aming layout, hindi namin kailangan ang mga IP address pool.
Tinutukoy ng isang IP pool ang isa o higit pang mga IP address na gagamitin bilang source address sa isang session. Ang mga IP address na ito ay gagamitin sa halip na ang FortiGate outgoing interface IP address.
Mayroong 4 na uri ng mga IP pool na maaaring i-configure sa FortiGate:
- labis na karga
- Isa sa isa
- Nakapirming Port Range
- Paglalaan ng port block
Ang overload ay ang pangunahing IP pool. Kino-convert nito ang mga IP address gamit ang many-to-one o many-to-many scheme. Ginagamit din ang pagsasalin ng port. Isaalang-alang ang circuit na ipinapakita sa figure sa ibaba. Mayroon kaming package na may tinukoy na Source at Destination field. Kung ito ay nasa ilalim ng patakaran ng firewall na nagpapahintulot sa packet na ito na ma-access ang panlabas na network, isang NAT na panuntunan ang inilalapat dito. Bilang resulta, sa packet na ito ang Source field ay pinalitan ng isa sa mga IP address na tinukoy sa IP pool.
Tinutukoy din ng One to One pool ang maraming panlabas na IP address. Kapag ang isang packet ay nasa ilalim ng patakaran ng firewall na pinagana ang panuntunan ng NAT, ang IP address sa field ng Source ay papalitan ng isa sa mga address na kabilang sa pool na ito. Sumusunod ang pagpapalit sa panuntunang "first in, first out". Upang gawing mas malinaw, tingnan natin ang isang halimbawa.
Ang isang computer sa lokal na network na may IP address na 192.168.1.25 ay nagpapadala ng isang packet sa panlabas na network. Ito ay nasa ilalim ng NAT rule, at ang Source field ay binago sa unang IP address mula sa pool, sa aming kaso ito ay 83.235.123.5. Kapansin-pansin na kapag ginagamit ang IP pool na ito, hindi ginagamit ang pagsasalin ng port. Kung pagkatapos nito ang isang computer mula sa parehong lokal na network, na may address na, halimbawa, 192.168.1.35, ay nagpapadala ng isang packet sa isang panlabas na network at napapailalim din sa panuntunang ito ng NAT, ang IP address sa Source field ng packet na ito ay magbabago sa 83.235.123.6. Kung wala nang mga address na natitira sa pool, tatanggihan ang mga susunod na koneksyon. Ibig sabihin, sa kasong ito, 4 na computer ang maaaring mahulog sa ilalim ng aming NAT rule nang sabay-sabay.
Ang Fixed Port Range ay nagkokonekta sa panloob at panlabas na hanay ng mga IP address. Naka-disable din ang pagsasalin ng port. Nagbibigay-daan ito sa iyong permanenteng iugnay ang simula o dulo ng isang pool ng mga panloob na IP address sa simula o dulo ng isang pool ng mga panlabas na IP address. Sa halimbawa sa ibaba, ang panloob na address pool 192.168.1.25 - 192.168.1.28 ay nakamapa sa panlabas na address pool 83.235.123.5 - 83.235.125.8.
Port Block Allocation - ang IP pool na ito ay ginagamit upang maglaan ng block ng mga port para sa mga IP pool user. Bilang karagdagan sa IP pool mismo, dapat ding tukuyin dito ang dalawang parameter - ang laki ng block at ang bilang ng mga bloke na inilalaan para sa bawat user.
Ngayon tingnan natin ang teknolohiya ng Destination NAT. Ito ay batay sa mga virtual IP address (VIP). Para sa mga packet na nasa ilalim ng mga panuntunan ng Destination NAT, nagbabago ang IP address sa field ng Destination: kadalasan ang pampublikong Internet address ay nagbabago sa pribadong address ng server. Ginagamit ang mga virtual na IP address sa mga patakaran ng firewall bilang field ng Patutunguhan.
Ang karaniwang uri ng mga virtual na IP address ay Static NAT. Isa itong isa-sa-isang sulat sa pagitan ng panlabas at panloob na mga address.
Sa halip na Static NAT, maaaring limitahan ang mga virtual address sa pamamagitan ng pagpapasa ng mga partikular na port. Halimbawa, iugnay ang mga koneksyon sa isang panlabas na address sa port 8080 na may koneksyon sa isang panloob na IP address sa port 80.
Sa halimbawa sa ibaba, sinusubukan ng isang computer na may address na 172.17.10.25 na i-access ang address na 83.235.123.20 sa port 80. Ang koneksyon na ito ay nasa ilalim ng panuntunan ng DNAT, kaya ang patutunguhang IP address ay binago sa 10.10.10.10.
Tinatalakay ng video ang teorya at nagbibigay din ng mga praktikal na halimbawa ng pag-configure ng Source at Destination NAT.
Sa susunod na mga aralin, magpapatuloy tayo sa pagtiyak ng kaligtasan ng gumagamit sa Internet. Sa partikular, tatalakayin ng susunod na aralin ang functionality ng web filtering at application control. Upang hindi ito makaligtaan, sundan ang mga update sa mga sumusunod na channel:
Pinagmulan: www.habr.com