FortiGate - Port Forwarding en Destination NAT
Fortinet
Een firewall moet uw bedrijfsnetwerk beschermen tegen aanvallen. Toch bent u altijd gedwongen om bronnen binnen uw bedrijf bloot te stellen aan het internet. Bijvoorbeeld webservers of e-mail servers.
Ik wil u vandaag graag uitleggen hoe u dit veilig kunt doen.
De meeste mensen zijn bekend met port forwarding of destination NAT. Bij Fortinet komt echter een heel andere term naar voren, VIP of Virtual-IP.
Zoals zoveel dingen bij Fortinet is de regel in een modulair systeem samengesteld. Dat is in het begin misschien meer werk, maar het zorgt voor meer flexibiliteit en gemakkelijkere veranderingen.
U kunt de VIP of Virtuele IP aanmaken onder Beleid & Objecten.
U kunt zowel op IPv4 als op IPv6 gebaseerde objecten aanmaken. Houd er rekening mee dat IPv6 eerst moet worden geactiveerd onder Systeem Feature Visibility voordat u VIP-objecten met IPv6 kunt aanmaken.
Voer eerst een betekenisvolle naam in waaraan u het object en het doel ervan kunt herkennen. Optioneel kunt u ook een commentaar toevoegen.
Voor Interface kun je een speciale interface selecteren, in welk geval het object alleen beschikbaar is voor regels die de interface bevatten, of je kunt het laten staan op Any. Dan kun je het object in alle firewallregels gebruiken.
Bij Extern IP voert u het adres in waarop de FortiGate eenheid luistert naar inkomend netwerkverkeer.
Bij Mapped-IP-Address voert u het interne adres in van de bron die van buitenaf toegankelijk moet zijn.
Bij de optionele filters kunt u adressen invoeren die deze bron mogen aanroepen. Zo kunt u beperken wie er toegang mag hebben. Dit is zeer nuttig als bepaalde diensten alleen toegankelijk mogen zijn voor bepaalde personen of bedrijven.
Met behulp van de diensten kunt u dan automatisch protocollen en poorten vrijgeven, bijvoorbeeld HTTPS of SMTPS. Uiteraard kunt u ook uw eigen diensten aanmaken als de voorgedefinieerde objecten niet passen.
Port forwarding maakt het vervolgens mogelijk om de poorten om te leiden naar andere poorten op de interne bron. U kunt bijvoorbeeld poort 443 doorsturen naar een webserver die luistert op poort 10443.
Dit voltooit het aanmaken van de virtuele IP en kan nu worden gebruikt als doelobject in een firewallregel.
In de firewallregel kunt u vervolgens ook de bijbehorende beveiligingsprofielen instellen, zoals antivirus of IPS, om de toegang tot de bron dienovereenkomstig te beveiligen.
Als u geïnteresseerd bent in een Fortinet FortiGate beveiligingsoplossing, adviseren wij u graag. Neem contact met ons op voor een gratis eerste advies via ons telefoonnummer, e-mailadres of ons contactformulier.