FortiGate - Inoltro porte e NAT di destinazione
Fortinet
Un firewall dovrebbe proteggere la rete aziendale dagli attacchi. Tuttavia, si è sempre costretti a esporre le risorse aziendali a Internet. Ad esempio, i server Web o i server e-mail.
Oggi vorrei spiegarvi come potete farlo in modo sicuro.
La maggior parte delle persone conosce il port forwarding o il NAT di destinazione. In Fortinet, tuttavia, è emerso un termine completamente diverso, VIP o Virtual-IP.
Come per molte altre cose in Fortinet, la regola è stata messa insieme in un sistema modulare. All'inizio può risultare più laborioso, ma consente una maggiore flessibilità e facilità di modifica.
È possibile creare il VIP o il Virtual-IP in Policy&Objects.
È possibile creare oggetti basati sia su IPv4 che su IPv6. Prima di poter creare oggetti VIP con IPv6, è necessario attivare IPv6 in System Feature Visibility.
Per prima cosa, inserire un nome significativo che consenta di riconoscere l'oggetto e il suo scopo. Opzionalmente, è possibile aggiungere anche un commento.
Per Interfaccia, è possibile selezionare un'interfaccia speciale, nel qual caso l'oggetto è disponibile solo per le regole che contengono l'interfaccia, oppure lasciarlo a Qualsiasi. In questo caso è possibile utilizzare l'oggetto in tutte le regole del firewall.
In IP esterno, inserire l'indirizzo su cui l'unità FortiGate ascolta il traffico di rete in entrata.
Per Mapped-IP-Address, inserire l'indirizzo interno della risorsa che deve essere accessibile dall'esterno.
Nei filtri opzionali, è possibile inserire gli indirizzi autorizzati a richiamare la risorsa. In questo modo si può limitare l'accesso alla risorsa. Ciò è molto utile se alcuni servizi devono essere accessibili solo da determinate persone o aziende.
Con l'aiuto dei servizi, è possibile rilasciare automaticamente protocolli e porte, ad esempio HTTPS o SMTPS. Naturalmente, è possibile creare i propri servizi se gli oggetti predefiniti non sono adatti.
Il port forwarding consente di reindirizzare le porte ad altre porte della risorsa interna. Ad esempio, è possibile inoltrare la porta 443 a un server web in ascolto sulla porta 10443.
Questo completa la creazione dell'IP virtuale, che ora può essere utilizzato come oggetto di destinazione in una regola del firewall.
Nella regola del firewall è possibile impostare i profili di sicurezza corrispondenti, come antivirus o IPS, per proteggere l'accesso alla risorsa.
Se siete interessati a una soluzione di sicurezza Fortinet FortiGate, saremo lieti di consigliarvi. Contattateci per una prima consulenza gratuita tramite il nostro numero di telefono, l'indirizzo e-mail o il nostro modulo di contatto.