问候! 欢迎来到本课程的第五课 。 上 我们已经弄清楚安全策略是如何运作的。 现在是时候将本地用户释放到互联网上了。 为此,在本课中我们将了解 NAT 机制的操作。
除了将用户发布到互联网之外,我们还会研究发布内部服务的方法。 剪辑下方是视频中的简要理论以及视频课程本身。
NAT(网络地址转换)技术是一种对网络数据包的IP地址进行转换的机制。 在 Fortinet 术语中,NAT 分为两种类型:源 NAT 和目标 NAT。
名称不言自明 - 使用源 NAT 时,源地址会发生变化,使用目标 NAT 时,目标地址会发生变化。
此外,还有几个用于设置 NAT 的选项 - 防火墙策略 NAT 和中央 NAT。
使用第一个选项时,必须为每个安全策略配置源 NAT 和目标 NAT。 在这种情况下,源 NAT 使用传出接口的 IP 地址或预配置的 IP 池。 目标 NAT 使用预先配置的对象(所谓的 VIP - 虚拟 IP)作为目标地址。
使用中央 NAT 时,会立即对整个设备(或虚拟域)执行源和目标 NAT 配置。 在这种情况下,NAT 设置适用于所有策略,具体取决于源 NAT 和目标 NAT 规则。
源 NAT 规则在中央源 NAT 策略中配置。 目标 NAT 使用 IP 地址从 DNAT 菜单进行配置。
在本课中,我们将仅考虑防火墙策略 NAT - 正如实践所示,此配置选项比中央 NAT 更常见。
正如我已经说过的,在配置防火墙策略源 NAT 时,有两种配置选项:将 IP 地址替换为传出接口的地址,或者使用预配置的 IP 地址池中的 IP 地址。 它看起来类似于下图所示。 接下来,我将简要讨论可能的池,但实际上我们只会考虑带有传出接口地址的选项 - 在我们的布局中,我们不需要 IP 地址池。
IP 池定义一个或多个将在会话期间用作源地址的 IP 地址。 将使用这些 IP 地址代替 FortiGate 传出接口 IP 地址。
FortiGate 上可以配置 4 种类型的 IP 池:
- 超载
- 一比一
- 固定端口范围
- 端口块分配
过载是主要的IP池。 它使用多对一或多对多方案转换 IP 地址。 还使用端口转换。 考虑下图所示的电路。 我们有一个包含定义的源和目标字段的包。 如果防火墙策略允许该数据包访问外部网络,则会对其应用 NAT 规则。 因此,在此数据包中,源字段将替换为 IP 池中指定的 IP 地址之一。
一对一池还定义了许多外部 IP 地址。 当数据包落入启用了 NAT 规则的防火墙策略时,源字段中的 IP 地址将更改为属于该池的地址之一。 更换遵循“先进先出”规则。 为了更清楚地说明这一点,让我们看一个例子。
本地网络中 IP 地址为 192.168.1.25 的计算机向外部网络发送数据包。 它属于 NAT 规则,并且源字段更改为池中的第一个 IP 地址,在我们的示例中为 83.235.123.5。 值得注意的是,使用此IP池时,不使用端口转换。 如果此后来自同一本地网络的计算机(例如,地址为 192.168.1.35)向外部网络发送数据包并且也属于此 NAT 规则,则该数据包的“源”字段中的 IP 地址将更改为83.235.123.6。 如果池中没有更多地址,后续连接将被拒绝。 也就是说,在这种情况下,4台计算机可以同时落入我们的NAT规则之下。
固定端口范围连接内部和外部 IP 地址范围。 端口转换也被禁用。 这允许您将内部 IP 地址池的开头或结尾与外部 IP 地址池的开头或结尾永久关联。 在下面的示例中,内部地址池 192.168.1.25 - 192.168.1.28 映射到外部地址池 83.235.123.5 - 83.235.125.8。
端口块分配 - 此 IP 池用于为 IP 池用户分配端口块。 除了IP池本身之外,这里还必须指定两个参数——块大小和为每个用户分配的块数量。
现在我们来看看Destination NAT技术。 它基于虚拟 IP 地址 (VIP)。 对于属于目标 NAT 规则的数据包,目标字段中的 IP 地址会发生变化:通常公共 Internet 地址会更改为服务器的私有地址。 虚拟 IP 地址在防火墙策略中用作目标字段。
虚拟 IP 地址的标准类型是静态 NAT。 这是外部地址和内部地址之间的一一对应关系。
可以通过转发特定端口来限制虚拟地址,而不是静态 NAT。 例如,将端口 8080 上的外部地址的连接与端口 80 上的内部 IP 地址的连接关联起来。
在下面的示例中,地址为 172.17.10.25 的计算机尝试通过端口 83.235.123.20 访问地址 80。 此连接属于 DNAT 规则,因此目标 IP 地址更改为 10.10.10.10。
该视频讨论了相关理论,并提供了配置源 NAT 和目标 NAT 的实际示例。
在接下来的课程中,我们将继续确保互联网上的用户安全。 具体来说,下一课将讨论网页过滤和应用程序控制的功能。 为了不错过,请关注以下渠道的更新:
来源: habr.com