Saudações! Bem-vindo à quinta lição da
Fortinet Getting Started . Na
última lição, descobrimos como as políticas de segurança funcionam. Agora é hora de liberar usuários locais na Internet. Para fazer isso, nesta lição, veremos como o mecanismo NAT funciona.
Além de liberar usuários para a Internet, também consideraremos o método de publicação de serviços internos. Sob o gato, é apresentada uma breve teoria do vídeo, bem como a própria lição em vídeo.
A conversão de endereços de rede (NAT) é um mecanismo para converter endereços IP de pacotes de rede. Em termos de Fortinet NAT, ele é dividido em dois tipos: NAT de origem e NAT de destino.
Os nomes falam por si - ao usar o NAT de origem, o endereço da fonte muda, ao usar o NAT de destino, o endereço de destino.
Além disso, também existem várias opções de configuração de NAT - NAT de política de firewall e NAT central.
Ao usar a primeira opção, o NAT de origem e destino deve ser configurado para cada política de segurança. Nesse caso, o NAT de origem usa o endereço IP da interface de saída ou o pool de IP pré-configurado. O NAT de destino usa um objeto pré-configurado (chamado VIP - IP virtual) como o endereço de destino.
Ao usar o NAT Central, a configuração do NAT de Origem e Destino é realizada imediatamente para todo o dispositivo (ou domínio virtual). Nesse caso, as configurações de NAT se aplicam a todas as políticas, dependendo das regras de NAT de origem e NAT de destino.
As regras NAT de origem são configuradas na política central de NAT de origem. O NAT de destino é configurado no menu DNAT usando endereços IP.
Nesta lição, consideraremos apenas o NAT da política de firewall - como mostra a prática, esta opção de configuração é muito mais comum que o NAT central.
Como eu já disse, ao configurar o NAT da fonte de diretiva de firewall, existem duas opções de configuração: substituir o endereço IP pelo endereço da interface de saída ou pelo endereço IP do pool de endereços IP pré-configurado. Parece algo como a imagem abaixo. A seguir, falarei brevemente sobre possíveis pools, mas, na prática, consideraremos apenas a opção com o endereço da interface de saída - em nosso layout, não precisamos de pools de endereços IP.
O pool de IPs define um ou mais endereços IP que serão usados como o endereço de origem durante a sessão. Esses endereços IP serão usados no lugar do endereço IP da interface FortiGate de saída.
Existem 4 tipos de conjuntos de IPs que podem ser configurados no FortiGate:
- Sobrecarga
- Um para um
- Faixa de porta fixa
- Alocação de bloco de porta
Sobrecarga é o principal pool de IPs. Nele, os endereços IP são convertidos de acordo com o esquema muitos para um ou muitos para vários. A tradução de porta também é usada. Considere o circuito mostrado na figura abaixo. Temos um pacote com certos campos Origem e Destino. Se ele se enquadra em uma política de firewall que permite que esse pacote acesse uma rede externa, a regra NAT é aplicada a ela. Como resultado, neste pacote, o campo Origem é substituído por um dos endereços IP especificados no pool de IPs.
Um pool do tipo One to One também define muitos endereços IP externos. Quando um pacote se enquadra em uma política de firewall com a regra NAT ativada, o endereço IP no campo Origem é alterado para um dos endereços pertencentes a esse pool. A substituição ocorre de acordo com a regra - “primeiro a entrar, primeiro a ser servido”. Para tornar mais claro, considere um exemplo.
Um computador da rede local com o endereço IP 192.168.1.25 envia o pacote para a rede externa. Ele se enquadra na regra NAT e o campo Source é alterado para o primeiro endereço IP do pool; no nosso caso, é 83.235.123.5. Vale ressaltar que, ao usar esse pool de IPs, a conversão de portas não é usada. Se depois que um computador da mesma rede local com um endereço, por exemplo, 192.168.1.35 enviar um pacote para uma rede externa e também se enquadrar nessa regra NAT, o endereço IP no campo Origem deste pacote será alterado para 83.235.123.6. Se não houver mais endereços no pool, as conexões subseqüentes serão rejeitadas. Ou seja, nesse caso, sob nossa regra de NAT, 4 computadores podem cair simultaneamente.
FIxed Port Range conecta intervalos internos e externos de endereços IP. A tradução de porta também está desativada. Isso permite corrigir o início ou o final do pool de endereços IP internos com o início ou o final do pool de endereços IP externos. No exemplo abaixo, o conjunto de endereços interno 192.168.1.25 - 192.168.1.28 é mapeado para o conjunto de endereços externo 83.235.123.5 - 83.235.125.8.
Alocação de bloco de portas - esse pool de IPs é usado para alocar um bloco de portas para os usuários do pool de IPs. Além do próprio pool de IP, dois parâmetros também devem ser indicados aqui - o tamanho do bloco e o número de blocos alocados para cada usuário.
Agora considere a tecnologia do NAT de destino. É baseado em endereços IP virtuais (VIP). Para pacotes que se enquadram nas regras NAT de destino, o endereço IP no campo Destino é alterado: geralmente o endereço público da Internet é alterado para o endereço do servidor privado. Os endereços IP virtuais são usados nas políticas de firewall como o campo Destino.
O tipo padrão de endereço IP virtual é NAT estático. Essa correspondência de endereços externos e internos é de um para um.
Em vez do NAT estático, os endereços virtuais podem ser limitados ao encaminhamento de portas específicas. Por exemplo, associe conexões a um endereço externo na porta 8080 com uma conexão a um endereço IP interno na porta 80.
No exemplo abaixo, o computador com o endereço 172.17.10.25 está tentando acessar o endereço 83.235.123.20 na porta 80. Esta conexão está sujeita à regra DNAT, portanto, o endereço IP de destino é alterado para 10.10.10.10.
O vídeo discute a teoria e fornece exemplos práticos de configuração do NAT de origem e destino.
Na próxima lição, passaremos a garantir a segurança do usuário na Internet. Especificamente, na próxima lição, consideraremos a funcionalidade de filtragem da Web e controle de aplicativos. Para não perder, fique atento às atualizações nos seguintes canais:
YoutubeGrupo VKontakteYandex ZenNosso siteCanal de telegrama