FortiGate - przekierowanie portów i NAT docelowy
Fortinet
Firewall ma za zadanie chronić sieć firmową przed atakami. Mimo to zawsze jesteś zmuszony wystawić zasoby w firmie na działanie Internetu. Na przykład serwery WWW lub serwery poczty elektronicznej.
Chciałbym Ci dzisiaj wyjaśnić, jak możesz to zrobić bezpiecznie.
Większość osób zna przekierowanie portów lub docelowy NAT. W Fortinecie jednak na pierwszy plan wysuwa się zupełnie inny termin - VIP lub Virtual-IP.
Jak wiele rzeczy w Fortinecie, zasada ta jest zestawiona w systemie modułowym. Na początku może to być więcej pracy, ale pozwala na większą elastyczność i łatwiejsze zmiany.
VIP lub Virtual IP można utworzyć w Policy&Objects.
Możesz tworzyć obiekty oparte zarówno na IPv4 jak i IPv6. Należy pamiętać, że IPv6 musi być najpierw aktywowane w System Feature Visibility zanim będzie można tworzyć obiekty VIP z IPv6.
Najpierw wprowadź znaczącą nazwę, po której będzie można rozpoznać obiekt i jego przeznaczenie. Opcjonalnie można też dodać komentarz.
Dla Interface możesz wybrać specjalny interfejs, wtedy obiekt jest dostępny tylko dla reguł zawierających ten interfejs, lub pozostawić go w opcji Any. Wówczas można używać obiektu we wszystkich regułach zapory.
W External IP wpisz adres, na którym urządzenie FortiGate nasłuchuje przychodzącego ruchu sieciowego.
W Mapped-IP-Address, wprowadź wewnętrzny adres zasobu, który powinien być dostępny z zewnątrz.
W ramach filtrów opcjonalnych można wprowadzić adresy, które są uprawnione do wywoływania tego zasobu. Dzięki temu można ograniczyć, kto ma do niego dostęp. Jest to bardzo przydatne, jeśli pewne usługi mają być dostępne tylko dla określonych osób lub firm.
Za pomocą usług można następnie automatycznie zwalniać protokoły i porty, na przykład HTTPS lub SMTPS. Oczywiście można też tworzyć własne usługi, jeśli predefiniowane obiekty nie pasują.
Przekierowanie portów umożliwia następnie przekierowanie portów na inne porty w zasobach wewnętrznych. Na przykład możesz chcieć przekierować port 443 na serwer WWW nasłuchujący na porcie 10443.
To kończy tworzenie wirtualnego IP i może być teraz użyte jako obiekt docelowy w regule zapory.
W regule zapory można następnie skonfigurować również odpowiednie profile zabezpieczeń, takie jak antywirusowe lub IPS, aby odpowiednio zabezpieczyć dostęp do zasobu.
Jeśli jesteś zainteresowany rozwiązaniem bezpieczeństwa Fortinet FortiGate, chętnie doradzimy. Skontaktuj się z nami w celu uzyskania bezpłatnej wstępnej konsultacji za pośrednictwem naszego numeru telefonu, adresu e-mail lub naszego formularza kontaktowego.