Grüße Willkommen zur fünften Lektion von
Fortinet Getting Started . In der
letzten Lektion haben wir herausgefunden, wie Sicherheitsrichtlinien funktionieren. Jetzt ist es Zeit, lokale Benutzer im Internet freizugeben. Zu diesem Zweck werden wir in dieser Lektion untersuchen, wie der NAT-Mechanismus funktioniert.
Neben der Freigabe von Benutzern für das Internet werden wir auch die Methode zur Veröffentlichung interner Dienste in Betracht ziehen. Unter der Katze wird eine kurze Theorie aus dem Video sowie die Videolektion selbst vorgestellt.
Network Address Translation (NAT) ist ein Mechanismus zum Übersetzen von IP-Adressen von Netzwerkpaketen. In Bezug auf Fortinet NAT wird es in zwei Typen unterteilt: Quell-NAT und Ziel-NAT.
Die Namen sprechen für sich - bei Verwendung von Source NAT ändert sich die Adresse der Quelle, bei Verwendung von Destination NAT die Zieladresse.
Darüber hinaus gibt es mehrere NAT-Konfigurationsoptionen - Firewall Policy NAT und Central NAT.
Bei Verwendung der ersten Option müssen Quell- und Ziel-NAT für jede Sicherheitsrichtlinie konfiguriert werden. In diesem Fall verwendet Source NAT entweder die IP-Adresse der ausgehenden Schnittstelle oder den vorkonfigurierten IP-Pool. Das Ziel-NAT verwendet ein vorkonfiguriertes Objekt (VIP - Virtual IP) als Zieladresse.
Bei Verwendung von Central NAT wird die Konfiguration von Quell- und Ziel-NAT sofort für das gesamte Gerät (oder die virtuelle Domäne) durchgeführt. In diesem Fall gelten die NAT-Einstellungen für alle Richtlinien, abhängig von den NAT-Quell- und -Zielregeln.
Quell-NAT-Regeln werden in der zentralen Quell-NAT-Richtlinie konfiguriert. Das Ziel-NAT wird über das DNAT-Menü mithilfe von IP-Adressen konfiguriert.
In dieser Lektion werden wir nur Firewall-Richtlinien-NAT betrachten - wie die Praxis zeigt, ist diese Konfigurationsoption viel häufiger als Central-NAT.
Wie bereits erwähnt, gibt es beim Konfigurieren von Firewall Policy Source NAT zwei Konfigurationsoptionen: Ersetzen der IP-Adresse durch die Adresse der ausgehenden Schnittstelle oder durch die IP-Adresse aus dem vorkonfigurierten Pool von IP-Adressen. Es sieht ungefähr so aus wie auf dem Bild unten. Als nächstes werde ich kurz auf mögliche Pools eingehen, aber in der Praxis werden wir nur die Option mit der Adresse der ausgehenden Schnittstelle in Betracht ziehen - auf unserem Layout benötigen wir keine IP-Adresspools.
Der IP-Pool definiert eine oder mehrere IP-Adressen, die während der Sitzung als Quelladresse verwendet werden. Diese IP-Adressen werden anstelle der IP-Adresse der ausgehenden FortiGate-Schnittstelle verwendet.
Es gibt 4 Arten von IP-Pools, die in FortiGate konfiguriert werden können:
- Überlastung
- Eins zu eins
- Feste Portreichweite
- Zuweisung von Portblöcken
Überlast ist der Haupt-IP-Pool. In ihr werden IP-Adressen nach dem Schema viele zu einer oder viele zu mehreren konvertiert. Port-Übersetzung wird ebenfalls verwendet. Betrachten Sie die in der folgenden Abbildung gezeigte Schaltung. Wir haben ein Paket mit bestimmten Feldern Quelle und Ziel. Wenn eine Firewall-Richtlinie für diesen Paketzugriff auf ein externes Netzwerk gilt, wird die NAT-Regel auf dieses Netzwerk angewendet. Infolgedessen wird in diesem Paket das Feld "Quelle" durch eine der im IP-Pool angegebenen IP-Adressen ersetzt.
Ein Pool vom Typ Eins zu Eins definiert auch viele externe IP-Adressen. Wenn ein Paket einer Firewall-Richtlinie mit aktivierter NAT-Regel unterliegt, wird die IP-Adresse im Feld Quelle in eine der Adressen geändert, die zu diesem Pool gehören. Die Ersetzung erfolgt nach der Regel - "zuerst eingegeben, zuerst zugestellt". Betrachten Sie zur Verdeutlichung ein Beispiel.
Ein Computer aus dem lokalen Netzwerk mit der IP-Adresse 192.168.1.25 sendet das Paket an das externe Netzwerk. Es fällt unter die NAT-Regel, und das Feld "Quelle" ändert sich in die erste IP-Adresse aus dem Pool. In unserem Fall lautet sie 83.235.123.5. Es ist zu beachten, dass bei Verwendung dieses IP-Pools keine Port-Übersetzung verwendet wird. Wenn danach ein Computer aus demselben lokalen Netzwerk mit einer Adresse, z. B. 192.168.1.35, ein Paket an ein externes Netzwerk sendet und ebenfalls unter diese NAT-Regel fällt, ändert sich die IP-Adresse im Feld Quelle dieses Pakets in 83.235.123.6. Befinden sich keine Adressen mehr im Pool, werden nachfolgende Verbindungen abgelehnt. Das heißt, in diesem Fall können unter unserer NAT-Regel 4 Computer gleichzeitig abstürzen.
Der feste Portbereich verbindet interne und externe Bereiche von IP-Adressen. Die Port-Übersetzung ist ebenfalls deaktiviert. Auf diese Weise können Sie den Anfang oder das Ende des Pools interner IP-Adressen mit dem Anfang oder dem Ende des Pools externer IP-Adressen verbinden. Im folgenden Beispiel wird der interne Adresspool 192.168.1.25 - 192.168.1.28 dem externen Adresspool 83.235.123.5 - 83.235.125.8 zugeordnet.
Zuweisung von Port-Blöcken - Dieser IP-Pool wird verwendet, um Benutzern des IP-Pools einen Block von Ports zuzuweisen. Neben dem IP-Pool selbst sollten hier auch zwei Parameter angegeben werden - die Blockgröße und die Anzahl der für jeden Benutzer zugewiesenen Blöcke.
Betrachten Sie nun die Technologie von Destination NAT. Es basiert auf virtuellen IP-Adressen (VIP). Bei Paketen, die unter die NAT-Zielregeln fallen, ändert sich die IP-Adresse im Feld Ziel: In der Regel wird die öffentliche Internetadresse in die Adresse des privaten Servers geändert. Virtuelle IP-Adressen werden in Firewall-Richtlinien als Zielfeld verwendet.
Der Standardtyp der virtuellen IP-Adresse ist Statisches NAT. Diese Entsprechung von externen und internen Adressen ist eins zu eins.
Anstelle von statischem NAT können virtuelle Adressen auf die Weiterleitung bestimmter Ports beschränkt werden. Verknüpfen Sie beispielsweise Verbindungen zu einer externen Adresse an Port 8080 mit einer Verbindung zu einer internen IP-Adresse an Port 80.
Im folgenden Beispiel versucht der Computer mit der Adresse 172.17.10.25, auf die Adresse 83.235.123.20 an Port 80 zuzugreifen. Diese Verbindung unterliegt der DNAT-Regel, sodass sich die Ziel-IP-Adresse in 10.10.10.10 ändert.
Das Video beschreibt die Theorie und bietet praktische Beispiele für die Einstellung von Quell- und Ziel-NAT.
In der nächsten Lektion werden wir uns mit der Gewährleistung der Benutzersicherheit im Internet befassen. Insbesondere werden wir uns in der nächsten Lektion mit den Funktionen der Webfilterung und der Anwendungssteuerung befassen. Um dies nicht zu verpassen, sollten Sie auf den folgenden Kanälen auf dem Laufenden bleiben:
YoutubeVKontakte-GruppeYandex ZenUnsere SeiteTelegrammkanal