تحية! مرحبًا بكم في درس
Fortinet Getting Started الخامس. في
الدرس الأخير ، اكتشفنا كيف تعمل السياسات الأمنية. الآن حان الوقت لإطلاق سراح المستخدمين المحليين على الإنترنت. للقيام بذلك ، سنبحث في هذا الدرس كيف تعمل آلية NAT.
بالإضافة إلى إطلاق المستخدمين على الإنترنت ، سننظر أيضًا في طريقة نشر الخدمات الداخلية. تحت القط ، يتم تقديم نظرية مختصرة من الفيديو ، وكذلك درس الفيديو نفسه.
ترجمة عنوان الشبكة (NAT) هي آلية لترجمة عناوين IP لحزم الشبكة. من حيث Fortinet NAT يتم تقسيمه إلى نوعين: مصدر NAT و NAT الوجهة.
تتحدث الأسماء عن نفسها - عند استخدام مصدر NAT ، يتغير عنوان المصدر ، وعند استخدام عنوان الوجهة ، عنوان الوجهة.
بالإضافة إلى ذلك ، هناك أيضًا العديد من خيارات تهيئة NAT - سياسة جدار الحماية NAT و NAT المركزية.
عند استخدام الخيار الأول ، يجب تكوين المصدر والوجهة NAT لكل سياسة أمان. في هذه الحالة ، يستخدم Source NAT إما عنوان IP الخاص بالواجهة الصادرة أو تجمع IP الذي تم تكوينه مسبقًا. يستخدم NAT الوجهة كائن تم تكوينه مسبقًا (يسمى VIP - Virtual IP) كعنوان الوجهة.
عند استخدام NAT المركزية ، يتم إجراء تكوين مصدر و NAT الوجهة على الفور للجهاز بأكمله (أو المجال الظاهري). في هذه الحالة ، تنطبق إعدادات NAT على جميع السياسات ، وفقًا لقواعد NAT NAT و NAT NAT.
يتم تكوين قواعد مصدر NAT في سياسة مصدر NAT المركزي. يتم تكوين NAT الوجهة من قائمة DNAT باستخدام عناوين IP.
في هذا الدرس ، سنأخذ بعين الاعتبار NAT جدار الحماية NAT فقط - كما هو موضح في التدريب العملي ، يعد خيار التكوين هذا أكثر شيوعًا من NAT المركزي.
كما قلت من قبل ، عند تكوين NAT Firewall Policy Source Source ، هناك خياران للتكوين: استبدال عنوان IP بعنوان الواجهة الصادرة ، أو عنوان IP من مجموعة عناوين IP التي تم تكوينها مسبقًا. يبدو شيء مثل الصورة أدناه. بعد ذلك ، سأتحدث باختصار عن التجمعات المحتملة ، ولكن في الممارسة العملية ، سننظر فقط في الخيار مع عنوان الواجهة الصادرة - في تخطيطنا ، لسنا بحاجة إلى تجمعات عناوين IP.
يعرّف تجمع IP عنوان IP واحدًا أو أكثر سيتم استخدامه كعنوان مصدر أثناء الجلسة. سيتم استخدام عناوين IP هذه بدلاً من عنوان IP لواجهة FortiGate الصادرة.
هناك 4 أنواع من تجمعات IP التي يمكن تكوينها على FortiGate:
- الزائد
- واحد الى واحد
- نطاق منفذ ثابت
- تخصيص كتلة المنفذ
الزائد هو تجمع IP الرئيسي. في ذلك ، يتم تحويل عناوين IP وفقا للمخطط العديد إلى واحد أو العديد إلى عدة. يستخدم ميناء الترجمة أيضا. النظر في الدائرة هو مبين في الشكل أدناه. لدينا حزمة مع حقول معينة المصدر والوجهة. إذا كان ذلك ضمن سياسة جدار الحماية التي تسمح لهذه الحزمة بالوصول إلى شبكة خارجية ، يتم تطبيق قاعدة NAT عليها. نتيجة لذلك ، في هذه الحزمة ، يتم استبدال حقل المصدر بأحد عناوين IP المحددة في تجمع IP.
تعرّف مجموعة من النوع "واحد إلى واحد" أيضًا العديد من عناوين IP الخارجية. عندما تندرج الحزمة ضمن سياسة جدار الحماية مع تمكين قاعدة NAT ، يتغير عنوان IP في حقل المصدر إلى أحد العناوين التابعة لهذا التجمع. استبدال يحدث وفقا للقاعدة - "دخلت لأول مرة ، يخدم أولا". لجعلها أكثر وضوحا ، والنظر في مثال.
يرسل كمبيوتر من الشبكة المحلية بعنوان IP 192.168.1.25 الحزمة إلى الشبكة الخارجية. يقع تحت قاعدة NAT ، ويتغير حقل المصدر إلى أول عنوان IP من المجموعة ، وفي حالتنا هو 83.235.123.5. تجدر الإشارة إلى أنه عند استخدام تجمع IP هذا ، لا يتم استخدام ترجمة المنفذ. إذا أرسل بعد ذلك جهاز كمبيوتر من نفس شبكة المنطقة المحلية بعنوان ، 192.168.1.35 حزمة إلى شبكة خارجية ويندرج أيضًا تحت قاعدة NAT هذه ، سيتغير عنوان IP في الحقل المصدر لهذه الحزمة إلى 83.235.123.6. إذا لم تكن هناك عناوين أخرى في المجمع ، فسيتم رفض الاتصالات اللاحقة. وهذا هو ، في هذه الحالة ، بموجب قاعدة NAT لدينا ، يمكن أن تسقط 4 أجهزة كمبيوتر في وقت واحد.
يصل نطاق منفذ FIxed إلى النطاقات الداخلية والخارجية لعناوين IP. تم تعطيل ترجمة المنفذ أيضًا. هذا يسمح لك بإصلاح بداية أو نهاية مجموعة عناوين IP الداخلية مع بداية أو نهاية مجموعة عناوين IP الخارجية. في المثال أدناه ، يتم تعيين تجمّع العناوين الداخلي 192.168.1.25 - 192.168.1.28 إلى تجمّع العناوين الخارجية 83.235.123.5 - 83.235.125.8.
تخصيص كتلة المنفذ - يتم استخدام تجمع IP هذا لتخصيص كتلة من المنافذ لمستخدمي تجمع IP. بالإضافة إلى تجمع IP نفسه ، يجب الإشارة إلى معلمتين هنا - حجم الكتلة وعدد الكتل المخصصة لكل مستخدم.
الآن النظر في تكنولوجيا الوجهة NAT. يعتمد على عناوين IP الافتراضية (VIP). بالنسبة للحزم التي تندرج تحت قواعد NAT الوجهة ، يتغير عنوان IP في حقل الوجهة: عادةً ما يتم تغيير عنوان الإنترنت العام إلى عنوان الخادم الخاص. يتم استخدام عناوين IP الافتراضية في سياسات جدار الحماية كحقل الوجهة.
النوع القياسي لعنوان IP الظاهري هو ثابت NAT. هذه المراسلات الخاصة بالعناوين الخارجية والداخلية هي واحدة إلى واحدة.
بدلاً من NAT الثابتة ، يمكن أن تقتصر العناوين الافتراضية على إعادة توجيه منافذ معينة. على سبيل المثال ، قم بربط الاتصالات بعنوان خارجي على المنفذ 8080 باتصال بعنوان IP داخلي على المنفذ 80.
في المثال أدناه ، يحاول الكمبيوتر الذي يحمل العنوان 172.17.10.25 الوصول إلى العنوان 83.235.123.20 على المنفذ 80. يخضع هذا الاتصال لقاعدة DNAT ، وبالتالي يتغير عنوان IP الوجهة إلى 10.10.10.10.
يناقش الفيديو النظرية ويقدم أمثلة عملية لإعداد المصدر والوجهة NAT.
في الدرس التالي ، سننتقل إلى ضمان سلامة المستخدم على الإنترنت. على وجه التحديد ، سننظر في الدرس التالي في وظائف تصفية الويب والتحكم في التطبيق. حتى لا تفوتك ، ترقبوا التحديثات على القنوات التالية:
يوتيوبمجموعة فكونتاكتيياندكس زينموقعناقناة برقية