问候! 欢迎来到
Fortinet入门第五课。 在
上一课中,我们了解了安全策略的工作原理。 现在是时候在Internet上释放本地用户了。 为此,在本课程中,我们将研究NAT机制的工作原理。
除了将用户释放到Internet之外,我们还将考虑发布内部服务的方法。 在猫下,介绍了视频的简要理论以及视频课程本身。
网络地址转换(NAT)是一种转换网络数据包IP地址的机制。 就Fortinet NAT而言,它分为两种类型:源NAT和目标NAT。
名称不言自明-使用源NAT时,源地址会更改;使用目标NAT时,目标地址会更改。
除此之外,还有几个NAT配置选项-防火墙策略NAT和中央NAT。
使用第一个选项时,必须为每个安全策略配置源和目标NAT。 在这种情况下,源NAT使用传出接口的IP地址或预配置的IP池。 目标NAT使用预先配置的对象(称为VIP-虚拟IP)作为目标地址。
使用中央NAT时,将立即为整个设备(或虚拟域)执行源和目标NAT的配置。 在这种情况下,NAT设置将应用于所有策略,具体取决于源NAT和目标NAT规则。
源NAT规则在中央源NAT策略中配置。 使用IP地址从DNAT菜单配置目标NAT。
在本课程中,我们将仅考虑防火墙策略NAT-正如实践所示,此配置选项比中央NAT更为常见。
就像我已经说过的那样,在配置防火墙策略源NAT时,有两个配置选项:用传出接口的地址替换IP地址,或者用预先配置的IP地址池中的IP地址替换IP地址。 看起来像下面的图片。 接下来,我将简要讨论可能的池,但是在实践中,我们将仅考虑带有传出接口地址的选项-在我们的布局中,我们不需要IP地址池。
IP池定义一个或多个IP地址,这些IP地址将在会话期间用作源地址。 这些IP地址将代替传出的FortiGate接口的IP地址使用。
在FortiGate上可以配置四种类型的IP池:
过载是主要的IP池。 其中,IP地址是根据方案多对一或多对数转换的。 还使用端口转换。 考虑下图所示的电路。 我们有一个包含某些字段Source和Destination的软件包。 如果它属于允许此数据包访问外部网络的防火墙策略,则将NAT规则应用于该策略。 结果,在此程序包中,“源”字段被替换为IP池中指定的IP地址之一。
类型为一对一的池还定义了许多外部IP地址。 当数据包属于启用了NAT规则的防火墙策略时,“源”字段中的IP地址将更改为属于该池的地址之一。 根据规则-“先入先出”进行更换。 为了更加清楚,请考虑一个示例。
IP地址为192.168.1.25的本地网络中的计算机将数据包发送到外部网络。 它属于NAT规则,并且“源”字段更改为池中的第一个IP地址,在本例中为83.235.123.5。 值得注意的是,使用此IP池时,不使用端口转换。 如果此后来自同一局域网的具有地址的计算机(例如192.168.1.35)将数据包发送到外部网络,并且也属于此NAT规则,则此数据包的“源”字段中的IP地址将更改为83.235.123.6。 如果池中没有更多地址,则后续连接将被拒绝。 也就是说,在这种情况下,根据我们的NAT规则,四台计算机可以同时掉线。
固定端口范围连接IP地址的内部和外部范围。 端口转换也被禁用。 这使您可以使用外部IP地址池的开始或结束来固定内部IP地址池的开始或结束。 在下面的示例中,内部地址池192.168.1.25-192.168.1.28映射到外部地址池83.235.123.5-83.235.125.8。
端口块分配-此IP池用于为IP池的用户分配端口块。 除了IP池本身之外,还应在此处指示两个参数-块大小和为每个用户分配的块数。
现在考虑目标NAT技术。 它基于虚拟IP地址(VIP)。 对于属于目标NAT规则的数据包,“目标”字段中的IP地址会更改:通常将公用Internet地址更改为专用服务器地址。 虚拟IP地址在防火墙策略中用作“目标”字段。
虚拟IP地址的标准类型是静态NAT。 外部地址和内部地址的这种对应关系是一对一的。
代替静态NAT,可以将虚拟地址限制为转发特定端口。 例如,将与端口8080上的外部地址的连接与到端口80上的内部IP地址的连接关联。
在下面的示例中,地址为172.17.10.25的计算机正在尝试访问端口80上的地址83.235.123.20。 此连接受DNAT规则的约束,因此目标IP地址更改为10.10.10.10。
视频讨论了理论,并提供了设置源和目标NAT的实际示例。
在下一课中,我们将继续确保Internet上的用户安全。 具体来说,在下一课中,我们将考虑Web过滤和应用程序控制的功能。 为了不错过它,请随时关注以下频道的更新:
优酷VKontakte集团Yandex Zen我们的网站电报频道