Salam! Selamat datang di pelajaran kelima
Fortinet Getting Started . Dalam
pelajaran terakhir, kami menemukan cara kerja kebijakan keamanan. Sekarang saatnya melepaskan pengguna lokal di Internet. Untuk melakukan ini, dalam pelajaran ini kita akan melihat bagaimana mekanisme NAT bekerja.
Selain melepaskan pengguna ke Internet, kami juga akan mempertimbangkan metode penerbitan layanan internal. Di bawah kucing, teori singkat dari video disajikan, serta pelajaran video itu sendiri.
Network Address Translation (NAT) adalah mekanisme untuk menerjemahkan alamat IP dari paket jaringan. Dalam hal Fortinet NAT dibagi menjadi dua jenis: Source NAT dan Destination NAT.
Nama-nama berbicara sendiri - ketika menggunakan Source NAT, alamat sumber berubah, saat menggunakan Destination NAT, alamat tujuan.
Selain itu, ada juga beberapa opsi konfigurasi NAT - NAT Kebijakan Firewall dan NAT Tengah.
Saat menggunakan opsi pertama, Source dan Destination NAT harus dikonfigurasi untuk setiap kebijakan keamanan. Dalam hal ini, Sumber NAT menggunakan alamat IP dari antarmuka keluar atau kumpulan IP yang telah dikonfigurasi sebelumnya. NAT Tujuan menggunakan objek yang telah dikonfigurasi sebelumnya (disebut VIP - Virtual IP) sebagai alamat tujuan.
Saat menggunakan NAT Tengah, konfigurasi Source dan Destination NAT dilakukan segera untuk seluruh perangkat (atau domain virtual). Dalam hal ini, pengaturan NAT berlaku untuk semua kebijakan, tergantung pada aturan Source NAT dan Destination NAT.
Sumber aturan NAT dikonfigurasi dalam kebijakan sumber NAT pusat. NAT Tujuan dikonfigurasikan dari menu DNAT menggunakan alamat IP.
Dalam pelajaran ini, kami hanya akan mempertimbangkan NAT Kebijakan Firewall - seperti yang ditunjukkan oleh praktik, opsi konfigurasi ini jauh lebih umum daripada NAT Tengah.
Seperti yang sudah saya katakan, ketika mengonfigurasi NAT Kebijakan Sumber Firewall, ada dua opsi konfigurasi: mengganti alamat IP dengan alamat antarmuka keluar, atau dengan alamat IP dari kumpulan alamat IP yang telah dikonfigurasi sebelumnya. Itu terlihat seperti gambar di bawah ini. Selanjutnya, saya akan berbicara secara singkat tentang kemungkinan kumpulan, tetapi dalam praktiknya, kami hanya akan mempertimbangkan opsi dengan alamat antarmuka keluar - pada tata letak kami, kami tidak perlu kumpulan alamat IP.
Kelompok IP mendefinisikan satu atau lebih alamat IP yang akan digunakan sebagai alamat sumber selama sesi. Alamat IP ini akan digunakan sebagai ganti alamat IP dari antarmuka FortiGate yang keluar.
Ada 4 jenis kumpulan IP yang dapat dikonfigurasi di FortiGate:
- Kelebihan
- Satu-ke-satu
- Memperbaiki kisaran port
- Alokasi blok pelabuhan
Overload adalah kumpulan IP utama. Di dalamnya, alamat IP dikonversi sesuai dengan skema banyak ke satu atau banyak ke beberapa. Terjemahan port juga digunakan. Pertimbangkan rangkaian yang ditunjukkan pada gambar di bawah ini. Kami memiliki paket dengan bidang Sumber dan Tujuan tertentu. Jika jatuh di bawah kebijakan firewall yang memungkinkan paket ini untuk mengakses jaringan eksternal, aturan NAT berlaku untuk itu. Akibatnya, dalam paket ini, bidang Sumber diganti dengan salah satu alamat IP yang ditentukan dalam kumpulan IP.
Kumpulan tipe One to One juga mendefinisikan banyak alamat IP eksternal. Ketika sebuah paket jatuh di bawah kebijakan firewall dengan aturan NAT diaktifkan, alamat IP di bidang Sumber berubah ke salah satu alamat milik kumpulan ini. Penggantian terjadi sesuai aturan - "pertama kali dimasukkan, pertama dilayani". Untuk membuatnya lebih jelas, pertimbangkan sebuah contoh.
Komputer dari jaringan lokal dengan alamat IP 192.168.1.25 mengirim paket ke jaringan eksternal. Itu jatuh di bawah aturan NAT, dan bidang Sumber berubah ke alamat IP pertama dari kumpulan, dalam kasus kami adalah 83.235.123.5. Perlu dicatat bahwa ketika menggunakan kumpulan IP ini, terjemahan port tidak digunakan. Jika setelah itu komputer dari jaringan area lokal yang sama dengan alamat, katakanlah 192.168.1.35 mengirim paket ke jaringan eksternal dan juga termasuk dalam aturan NAT ini, alamat IP di bidang Sumber paket ini akan berubah menjadi 83.235.123.6. Jika tidak ada lagi alamat di kumpulan, koneksi selanjutnya akan ditolak. Artinya, dalam hal ini, di bawah aturan NAT kami, 4 komputer secara bersamaan dapat jatuh.
Rentang Port TETAP menghubungkan rentang alamat IP internal dan eksternal. Terjemahan port juga dinonaktifkan. Ini memungkinkan Anda untuk memperbaiki awal atau akhir kumpulan alamat IP internal dengan awal atau akhir kumpulan alamat IP eksternal. Dalam contoh di bawah ini, kumpulan alamat internal 192.168.1.25 - 192.168.1.28 dipetakan ke kumpulan alamat eksternal 83.235.123.5 - 83.235.125.8.
Port Block Allocation - pool IP ini digunakan untuk mengalokasikan blok port untuk pengguna pool IP. Selain kumpulan IP itu sendiri, dua parameter juga harus ditunjukkan di sini - ukuran blok dan jumlah blok yang dialokasikan untuk setiap pengguna.
Sekarang pertimbangkan teknologi Destination NAT. Ini didasarkan pada alamat IP virtual (VIP). Untuk paket yang termasuk dalam aturan Destination NAT, alamat IP di bidang Destination berubah: biasanya alamat Internet publik diubah ke alamat server pribadi. Alamat IP virtual digunakan dalam kebijakan firewall sebagai bidang Tujuan.
Jenis standar alamat IP virtual adalah Static NAT. Korespondensi ini alamat eksternal dan internal adalah 1-1.
Alih-alih NAT Statis, alamat virtual dapat dibatasi untuk meneruskan port tertentu. Misalnya, kaitkan koneksi ke alamat eksternal pada port 8080 dengan koneksi ke alamat IP internal pada port 80.
Pada contoh di bawah ini, komputer dengan alamat 172.17.10.25 sedang mencoba mengakses alamat 83.235.123.20 pada port 80. Koneksi ini tunduk pada aturan DNAT, sehingga alamat IP tujuan berubah menjadi 10.10.10.10.
Video ini membahas teori dan memberikan contoh-contoh praktis pengaturan Sumber dan Tujuan NAT.
Dalam pelajaran berikutnya, kita akan beralih ke memastikan keamanan pengguna di Internet. Secara khusus, dalam pelajaran berikutnya kita akan mempertimbangkan fungsionalitas penyaringan web dan kontrol aplikasi. Agar tidak ketinggalan, tetap ikuti perkembangan di saluran berikut:
YoutubeGrup VKontakteYandex ZenSitus kamiSaluran telegram