Salutations! Bienvenue dans la cinquième leçon de
mise en route de Fortinet . Dans la
dernière leçon, nous avons compris comment fonctionnent les politiques de sécurité. Il est maintenant temps de libérer les utilisateurs locaux sur Internet. Pour ce faire, dans cette leçon, nous verrons comment fonctionne le mécanisme NAT.
En plus de libérer les utilisateurs d'Internet, nous examinerons également la méthode de publication des services internes. Sous le chat, une brève théorie de la vidéo est présentée, ainsi que la leçon vidéo elle-même.
La traduction d'adresses réseau (NAT) est un mécanisme de traduction des adresses IP des paquets réseau. En termes de NAT Fortinet, il est divisé en deux types: NAT source et NAT de destination.
Les noms parlent d'eux-mêmes - lorsque vous utilisez Source NAT, l'adresse de la source change, lorsque vous utilisez Destination NAT, l'adresse de destination.
En plus de cela, il existe également plusieurs options de configuration NAT - NAT de politique de pare-feu et NAT central.
Lorsque vous utilisez la première option, le NAT source et de destination doit être configuré pour chaque stratégie de sécurité. Dans ce cas, le NAT source utilise soit l'adresse IP de l'interface sortante, soit le pool IP préconfiguré. Le NAT de destination utilise un objet préconfiguré (appelé VIP - IP virtuelle) comme adresse de destination.
Lors de l'utilisation du NAT central, la configuration du NAT source et de destination est effectuée immédiatement pour l'ensemble du périphérique (ou domaine virtuel). Dans ce cas, les paramètres NAT s'appliquent à toutes les stratégies, en fonction des règles NAT source et NAT de destination.
Les règles NAT source sont configurées dans la stratégie centrale NAT source. Le NAT de destination est configuré à partir du menu DNAT à l'aide des adresses IP.
Dans cette leçon, nous ne considérerons que le NAT de stratégie de pare-feu - comme le montre la pratique, cette option de configuration est beaucoup plus courante que le NAT central.
Comme je l'ai déjà dit, lors de la configuration du NAT de la source de stratégie de pare-feu, il existe deux options de configuration: remplacer l'adresse IP par l'adresse de l'interface sortante ou par l'adresse IP du pool d'adresses IP préconfiguré. Cela ressemble à l'image ci-dessous. Ensuite, je parlerai brièvement des pools possibles, mais dans la pratique, nous ne considérerons que l'option avec l'adresse de l'interface sortante - sur notre mise en page, nous n'avons pas besoin de pools d'adresses IP.
Le pool IP définit une ou plusieurs adresses IP qui seront utilisées comme adresse source pendant la session. Ces adresses IP seront utilisées à la place de l'adresse IP de l'interface FortiGate sortante.
Il existe 4 types de pools IP qui peuvent être configurés sur FortiGate:
- Surcharge
- Un à un
- Plage de ports fixes
- Allocation de blocs de ports
La surcharge est le pool IP principal. Dans ce document, les adresses IP sont converties selon le schéma plusieurs en un ou plusieurs en plusieurs. La traduction de port est également utilisée. Considérez le circuit illustré dans la figure ci-dessous. Nous avons un package avec certains champs Source et Destination. S'il relève d'une politique de pare-feu qui autorise ce paquet à accéder à un réseau externe, la règle NAT lui est appliquée. Par conséquent, dans ce package, le champ Source est remplacé par l'une des adresses IP spécifiées dans le pool IP.
Un pool de type One to One définit également de nombreuses adresses IP externes. Lorsqu'un paquet tombe sous une politique de pare-feu avec la règle NAT activée, l'adresse IP dans le champ Source devient l'une des adresses appartenant à ce pool. Le remplacement a lieu selon la règle - «premier entré, premier servi». Pour le rendre plus clair, considérons un exemple.
Un ordinateur du réseau local avec l'adresse IP 192.168.1.25 envoie le paquet au réseau externe. Il tombe sous la règle NAT et le champ Source passe à la première adresse IP du pool, dans notre cas, il s'agit du 83.235.123.5. Il convient de noter que lors de l'utilisation de ce pool IP, la traduction de port n'est pas utilisée. Si après cela, un ordinateur du même réseau local avec une adresse, par exemple 192.168.1.35 envoie un paquet à un réseau externe et tombe également sous cette règle NAT, l'adresse IP dans le champ Source de ce paquet changera en 83.235.123.6. S'il n'y a plus d'adresses dans le pool, les connexions suivantes seront rejetées. Autrement dit, dans ce cas, selon notre règle NAT, 4 ordinateurs peuvent tomber simultanément.
La plage de ports FIxed connecte des plages d'adresses IP internes et externes. La traduction de port est également désactivée. Cela vous permet de fixer le début ou la fin du pool d'adresses IP internes avec le début ou la fin du pool d'adresses IP externes. Dans l'exemple ci-dessous, le pool d'adresses internes 192.168.1.25 - 192.168.1.28 est mappé au pool d'adresses externes 83.235.123.5 - 83.235.125.8.
Port Block Allocation - ce pool IP est utilisé pour allouer un bloc de ports aux utilisateurs du pool IP. En plus du pool IP lui-même, deux paramètres doivent également être indiqués ici - la taille des blocs et le nombre de blocs alloués à chaque utilisateur.
Considérons maintenant la technologie de Destination NAT. Il est basé sur des adresses IP virtuelles (VIP). Pour les paquets qui tombent sous les règles NAT de destination, l'adresse IP dans le champ Destination change: généralement l'adresse Internet publique est remplacée par l'adresse du serveur privé. Les adresses IP virtuelles sont utilisées dans les stratégies de pare-feu comme champ de destination.
Le type standard d'adresse IP virtuelle est le NAT statique. Cette correspondance d'adresses externes et internes est une à une.
Au lieu de NAT statique, les adresses virtuelles peuvent être limitées à la transmission de ports spécifiques. Par exemple, associez les connexions à une adresse externe sur le port 8080 à une connexion à une adresse IP interne sur le port 80.
Dans l'exemple ci-dessous, l'ordinateur avec l'adresse 172.17.10.25 tente d'accéder à l'adresse 83.235.123.20 sur le port 80. Cette connexion est soumise à la règle DNAT, donc l'adresse IP de destination passe à 10.10.10.10.
La vidéo traite de la théorie et fournit des exemples pratiques de définition du NAT source et de destination.
Dans la prochaine leçon, nous allons continuer à assurer la sécurité des utilisateurs sur Internet. Plus précisément, dans la prochaine leçon, nous examinerons les fonctionnalités du filtrage Web et du contrôle des applications. Afin de ne pas le manquer, restez à l'écoute des mises à jour sur les chaînes suivantes:
YoutubeGroupe VKontakteYandex ZenNotre siteChaîne de télégramme