Hogyan hozzuk ki a legtöbbet a Sophos XG tűzfalaiból – 5. rész

Network Address Translation (NAT)

Bárki, aki próbált már NAT-ot (hálózati címfordítást) beüzemelni, tudja, hogy nem egyszerű játék, pedig nem sok kéne, hogy az legyen.

A Sophos XG tűzfalak új verziója egy modern, intuitív felület segítségével képes könnyűvé varázsolni mind a Destination (DNAT), mind pedig a Source NAT-olást (SNAT), illetve a többi, haszonszőrű feladatot.

Az új NAT szabályokat létrehozó felület a „Rules and Policies” oldalon található.

Az XG tűzfal v18-as verzió a következő hálózati címfordítási (NAT) feladatokat támogatja:

Source NAT (SNAT): A belső, privát IP címeket fordítja publikus címekké, mellyel drámaian lecsökken a szervezet külső IPv4 címkihasználása

Destination NAT (DNAT): Más néven Port Forwarding. Ebben az esetben egy, a belső hálózaton található szolgáltatást lehet publikusan elérhetővé tenni. A Port Address Translation (PAT) szolgáltatás képes arra is, hogy privát IP címeket tegyen elérhetővé a publikus IP cím különböző portjain.

NAT Hairpinning: Más néven Loopback, vagy NAT Reflection segítségével egy belső hálózati szolgáltatást lehet elérni kívülről, biztosítva a kétutas kommunikációt.

NAT-szabályok migrálása régebbi XG verziókról

Akik használták az XG előző verzióit, azok emlékezhetnek rá, hogy míg az SNAT szabályok a tűzfalszabályokhoz kapcsolódtak, addig a DNAT szabályok a WAF (Web Application Firewall) modul segítségével „Business application” szabályokat adtak ki. A v18-as verzióban ennek vége és minden ilyen jellegű szabályt egy, közös felületen lehet beállítani, mely javítja az átláthatóságot és a kezelhetőséget. Természetesen az összekapcsolt tűzfal -és natszabályok továbbra is működőképesek, ellenben a könnyű átláthatóság érdekében érdemes áttérni az új típusú szerkesztésre.

A kompatibilitás megőrzése érdekében a tűzfal frissítésekor több NAT szabály is automatikusan létrejön, többek között minden olyan tűzfalszabályhoz új SNAT szabályt generál, mely eddig Masquerading (MASQ) képességet használt, illetve DNAT szabályt oda, ahol eddig „Business application” szabály volt.

Az eddigi NAT és Tűzfalszabály-használattól függően a frissítés után a LAN – WAN irányú SNAT szabályok nagy része redundánssá válhat, ellenben az eszköz magától nem képes ezeket megszüntetni. Ilyenkor érdemes lehet egy felülvizsgálatot tartani a tűzfalon és konszolidálni ezeket.

A konszolidációhoz elég egyszerűen törölni a feleslegessé vált szabályokat, mivel amíg legalább egy ilyen is ráillik a forgalomra, addig az a megfelelő irányba fog folyni. Ehhez a tevékenységhez érdemes használni a különböző filterezési és rendezési lehetőségeket, melyek megmutatják, hogy milyen új, linkelt szabályok jöttek létre a frissítéskor.

Hogyan lehet a legtöbbet kihozni a NAT funkciókból az új tűzfalverzió alatt?

Az új NAT képességek nem csak hasznosak, de egyszerű is őket használni. Példának okáért, egy port forwarding/DNAT szabály létrehozásához elég csak használni a „server access assistant” varázslót.

Ehhez a varázslóhoz csak pár adatra van szükség (belső hoszt, szolgáltatások a külső hozzáférés kritériumai) és a többit automatikusan elvégzi, elkészítve a szükséges NAT szabályokat.

Amennyiben többet szeretne megtudni a frissített NAT-szabálykezelésről, érdemes megnézni az alábbi, angol nyelvű videót, mely nem csak itt található meg, hanem a tűzfalról is elérhető:

October 8th, 2020

Top