問候! 歡迎來到本課程的第五課 。 上 我們已經弄清楚安全策略是如何運作的。 現在是時候將本地用戶釋放到網路上了。 為此,在本課中我們將了解 NAT 機制的操作。
除了將使用者發佈到網路網路之外,我們還會研究發佈內部服務的方法。 剪輯下方是影片中的簡要理論以及影片課程本身。
NAT(網路位址轉換)技術是一種對網路封包的IP位址進行轉換的機制。 在 Fortinet 術語中,NAT 分為兩種類型:來源 NAT 和目標 NAT。
名稱不言自明 - 使用來源 NAT 時,來源位址會發生變化,使用目標 NAT 時,目標位址會發生變化。
此外,還有幾個用於設定 NAT 的選項 - 防火牆策略 NAT 和中央 NAT。
使用第一個選項時,必須為每個安全性原則設定來源 NAT 和目標 NAT。 在這種情況下,來源 NAT 使用傳出介面的 IP 位址或預先配置的 IP 池。 目標 NAT 使用預先配置的物件(所謂的 VIP - 虛擬 IP)作為目標位址。
使用中央 NAT 時,會立即對整個裝置(或虛擬網域)執行來源和目標 NAT 設定。 在這種情況下,NAT 設定適用於所有策略,具體取決於來源 NAT 和目標 NAT 規則。
來源 NAT 規則在中央來源 NAT 策略中配置。 目標 NAT 使用 IP 位址從 DNAT 選單進行設定。
在本課中,我們將只考慮防火牆策略 NAT - 如實務所示,此組態選項比中央 NAT 更常見。
正如我已經說過的,在設定防火牆策略來源 NAT 時,有兩種設定選項:將 IP 位址替換為傳出介面的位址,或使用預先設定的 IP 位址池中的 IP 位址。 它看起來類似於下圖所示。 接下來,我將簡要討論可能的池,但實際上我們只會考慮帶有傳出介面位址的選項 - 在我們的佈局中,我們不需要 IP 位址池。
IP 池定義一個或多個將在會話期間用作來源位址的 IP 位址。 將使用這些 IP 位址取代 FortiGate 傳出介面 IP 位址。
FortiGate 上可以設定 4 種類型的 IP 池:
- 超載
- 一對一
- 固定連接埠範圍
- 連接埠區塊分配
過載是主要的IP池。 它使用多對一或多對多方案轉換 IP 位址。 也使用連接埠轉換。 考慮下圖所示的電路。 我們有一個包含定義的來源和目標欄位的套件。 如果防火牆策略允許該封包存取外部網絡,則會對其套用 NAT 規則。 因此,在此資料包中,來源欄位將替換為 IP 池中指定的 IP 位址之一。
一對一池也定義了許多外部 IP 位址。 當封包落入啟用了 NAT 規則的防火牆策略時,來源欄位中的 IP 位址將變更為屬於該池的位址之一。 更換遵循“先進先出”規則。 為了更清楚地說明這一點,讓我們來看一個例子。
在本地網路中 IP 位址為 192.168.1.25 的電腦向外部網路傳送封包。 它屬於 NAT 規則,並且來源欄位更改為池中的第一個 IP 位址,在我們的範例中為 83.235.123.5。 值得注意的是,使用此IP池時,不使用連接埠轉換。 如果此後來自同一本地網路的電腦(例如,位址為 192.168.1.35)向外部網路傳送封包並且也屬於此 NAT 規則,則該封包的「來源」欄位中的 IP 位址將變更為83.235.123.6。 如果池中沒有更多位址,後續連線將被拒絕。 也就是說,在這種情況下,4台計算機可以同時落入我們的NAT規則之下。
固定連接埠範圍連接內部和外部 IP 位址範圍。 連接埠轉換也被停用。 這允許您將內部 IP 位址池的開頭或結尾與外部 IP 位址池的開頭或結尾永久關聯。 在下面的範例中,內部位址池 192.168.1.25 - 192.168.1.28 對應到外部位址池 83.235.123.5 - 83.235.125.8。
連接埠區塊分配 - 此 IP 池用於為 IP 池使用者指派連接埠區塊。 除了IP池本身之外,這裡還必須指定兩個參數-區塊大小和為每個使用者分配的區塊數量。
現在我們來看看Destination NAT技術。 它基於虛擬 IP 位址 (VIP)。 對於屬於目標 NAT 規則的封包,目標欄位中的 IP 位址會變更:通常公用 Internet 位址會變更為伺服器的私人位址。 虛擬 IP 位址在防火牆策略中用作目標欄位。
虛擬 IP 位址的標準類型是靜態 NAT。 這是外部位址和內部位址之間的一一對應關係。
可以透過轉送特定連接埠來限制虛擬位址,而不是靜態 NAT。 例如,將連接埠 8080 上的外部位址的連接與連接埠 80 上的內部 IP 位址的連接關聯起來。
在下面的範例中,位址為 172.17.10.25 的電腦嘗試透過連接埠 83.235.123.20 存取位址 80。 此連接屬於 DNAT 規則,因此目標 IP 位址變更為 10.10.10.10。
影片討論了相關理論,並提供了配置來源 NAT 和目標 NAT 的實際範例。
在接下來的課程中,我們將繼續確保網路上的用戶安全。 具體來說,下一課將討論網頁過濾和應用程式控制的功能。 為了不錯過,請關注以下頻道的更新:
來源: www.habr.com