NAT در فورتی گیت (FortiGate) چیست؟ آموزش کامل پیادهسازی و انواع NAT

در اغلب شبکههای امروزی، دستگاههای داخلی از آدرسهای IP خصوصی (Private IP) استفاده میکنند؛ آدرسهایی که در اینترنت قابل مسیریابی نیستند. از سوی دیگر، بسیاری از سازمانها تنها یک یا چند آدرس IP عمومی در اختیار دارند، در حالی که باید تعداد زیادی کاربر و سرویس را مدیریت کنند.
در چنین شرایطی، NAT (Network Address Translation) به یکی از مهمترین قابلیتهای تجهیزات شبکه تبدیل میشود و تقریباً در تمامی فایروالها و روترهای سازمانی مورد استفاده قرار میگیرد.
در فایروال FortiGate نیز NAT تنها یک قابلیت ساده برای ترجمه آدرسها نیست، بلکه بخشی از فرآیند پردازش ترافیک محسوب میشود و با بخشهایی مانند Firewall Policy، Routing، Virtual IP (VIP) و Central NAT ارتباط مستقیم دارد. به همین دلیل، آشنایی با نحوه عملکرد NAT یکی از مباحث ضروری برای پیادهسازی و مدیریت شبکههای مبتنی بر FortiGate است.
NAT در فورتی گیت چیست؟
NAT در فورتی گیت قابلیتی است که آدرس IP مبدأ (Source IP)، آدرس IP مقصد (Destination IP) یا هر دو را هنگام عبور بستههای اطلاعاتی از فایروال تغییر میدهد. این فرآیند باعث میشود ارتباط میان شبکههای خصوصی و عمومی بهدرستی برقرار شود و تجهیزات داخلی بتوانند بدون استفاده از IP عمومی اختصاصی، با اینترنت یا سایر شبکهها ارتباط برقرار کنند.
در فورتی گیت، NAT علاوه بر ترجمه آدرسها، میتواند شماره پورتها را نیز تغییر دهد (Port Address Translation یا PAT). این قابلیت به چندین کاربر اجازه میدهد بهطور همزمان از یک IP عمومی مشترک برای دسترسی به اینترنت استفاده کنند؛ موضوعی که در اغلب سازمانها، مراکز داده و شرکتها یک نیاز اساسی محسوب میشود.
از سوی دیگر، NAT تنها برای خروج کاربران به اینترنت استفاده نمیشود. در بسیاری از سناریوها، مدیر شبکه باید سرویسهای داخلی مانند وبسرور، سرور ایمیل، Remote Desktop یا سایر سرویسها را از طریق اینترنت در دسترس قرار دهد. در این حالت نیز FortiGate با استفاده از قابلیتهایی مانند Virtual IP (VIP)، درخواستهای ورودی را به سرور داخلی هدایت میکند.
به همین دلیل، NAT یکی از قابلیتهای کلیدی FortiGate برای مدیریت ارتباطات میان شبکههای داخلی و خارجی، انتشار سرویسها و طراحی سناریوهای مختلف شبکه محسوب میشود.
NAT چگونه در فورتی گیت کار میکند؟
برخلاف بسیاری از روترها که NAT تنها بهعنوان یک قابلیت مستقل برای ترجمه آدرسها عمل میکند، در FortiGate این فرآیند بخشی از موتور پردازش ترافیک (Packet Processing Engine) است و در کنار قابلیتهایی مانند Routing، Firewall Policy، Session Table و سایر مکانیزمهای امنیتی اجرا میشود.
هر بسته اطلاعاتی (Packet) که وارد FortiGate میشود، مراحل مشخصی را طی میکند تا درباره سرنوشت آن تصمیمگیری شود. ابتدا فایروال مسیر مناسب را بر اساس جدول مسیریابی (Routing Table) تعیین میکند. سپس Firewall Policy بررسی میشود تا مشخص شود آیا این ترافیک مجاز به عبور است یا خیر. در صورتی که ترافیک با یکی از قوانین فایروال مطابقت داشته باشد، فورتی گیت در صورت نیاز عملیات NAT را مطابق تنظیمات انجام میدهد و در نهایت بسته از رابط خروجی (Outgoing Interface) ارسال میشود.
نوع ترجمه آدرس نیز به سناریوی شبکه بستگی دارد. اگر کاربران داخلی قصد دسترسی به اینترنت را داشته باشند، FortiGate معمولاً Source NAT (SNAT) یا PAT را اجرا میکند و آدرس IP خصوصی مبدأ را به یک IP عمومی ترجمه میکند.
اما اگر کاربری از اینترنت بخواهد به یک سرویس داخلی مانند وبسرور یا Mail Server متصل شود، FortiGate با استفاده از Destination NAT (DNAT) یا Virtual IP (VIP) آدرس مقصد را به IP سرور داخلی تغییر میدهد.
برای مثال، فرض کنید یک کاربر داخل شبکه با آی پی 192.168.1.50 قصد دارد وارد وبسایت openai.com شود. این بسته ابتدا وارد FortiGate میشود، مسیر مناسب و Firewall Policy مربوط به آن بررسی میشود و سپس آدرس IP خصوصی کاربر به IP عمومی سازمان ترجمه میشود. پاسخ سرور نیز مجدداً به همان IP عمومی ارسال شده و FortiGate با استفاده از اطلاعات موجود در Session Table آن را به کاربر اصلی تحویل میدهد.
همین هماهنگی میان Routing، Firewall Policy ،NAT و Session Table باعث میشود دستگاه فورتی گیت بتواند ارتباطات شبکه را با دقت بالا مدیریت کند و همزمان امنیت، پایداری و عملکرد مناسب را در سناریوهای مختلف سازمانی حفظ کند.
ترتیب پردازش بستهها (Packet Processing) در فورتی گیت
برای درک بهتر NAT، لازم است بدانیم بستههای اطلاعاتی هنگام عبور از FortiGate چه مراحلی را طی میکنند.
بهصورت ساده، فرآیند پردازش ترافیک به شکل زیر است:
- دریافت بسته از رابط ورودی (Ingress Interface)
- بررسی جدول مسیریابی (Routing Lookup)
- تطبیق با Firewall Policy
- اعمال NAT در صورت نیاز
- اجرای سرویسهای امنیتی مانند IPS ،Antivirus، Web Filtering یا Application Control در صورت فعال بودن
- ارسال بسته از رابط خروجی (Egress Interface)
در واقع، NAT تنها یکی از مراحل پردازش ترافیک است و عملکرد صحیح آن به طراحی مناسب مسیرها، قوانین فایروال و سایر تنظیمات وابسته است. به همین دلیل، هنگام عیبیابی مشکلات مربوط به NAT، باید علاوه بر تنظیمات ترجمه آدرس، مواردی مانند Routing، Policy و وضعیت اینترفیسها نیز بررسی شوند.
انواع NAT در فورتی گیت
دستگاه FortiGate از روشهای مختلفی برای ترجمه آدرسهای IP پشتیبانی میکند که هر کدام برای سناریوهای مشخصی طراحی شدهاند.
-
Source NAT (SNAT)
در Source NAT، آدرس IP مبدأ هنگام خروج از شبکه تغییر میکند. این رایجترین نوع NAT در FortiGate است و معمولاً زمانی استفاده میشود که کاربران داخلی قصد دسترسی به اینترنت را دارند.
مثال:
اگر کاربران شبکه داخلی از IPهای خصوصی مانند 192.168.1.0/24 استفاده کنند، FortiGate میتواند هنگام خروج ترافیک، این آدرسها را به IP عمومی سازمان ترجمه کند تا ارتباط با اینترنت برقرار شود.
تقریباً تمام سازمانهایی که کاربران داخلی آنها به اینترنت متصل میشوند، از Source NAT استفاده میکنند.
-
Destination NAT (DNAT)
Destination NAT زمانی استفاده میشود که کاربران خارج از سازمان بخواهند به یکی از سرویسهای داخل شبکه دسترسی پیدا کنند.
در این حالت، FortiGate آدرس مقصد بسته را تغییر داده و آن را به سمت سرور داخلی هدایت میکند. در محصولات Fortinet این فرآیند معمولاً با استفاده از Virtual IP (VIP) انجام میشود.
مثال:
زمانی که کاربری از اینترنت آدرس IP عمومی شرکت را وارد میکند، FortiGate میتواند درخواست را به وبسرور داخلی ارسال کند، بدون اینکه IP واقعی سرور برای کاربران اینترنت قابل مشاهده باشد.
-
Static NAT
در Static NAT، یک آدرس IP خصوصی (Private IP) بهصورت دائمی به یک آدرس IP عمومی (Public IP) اختصاص داده میشود. به عبارت دیگر، هر زمان درخواستی به آن IP عمومی ارسال شود، FortiGate آن را همیشه به همان دستگاه یا سرور داخلی هدایت میکند.
این روش معمولاً برای انتشار سرویسهایی استفاده میشود که باید همواره از طریق یک آدرس عمومی ثابت در دسترس باشند؛
مانند وبسرورها (Web Server)، سرورهای ایمیل (Mail Server) یا برخی سامانههای سازمانی.
مثال:
اگر یک وبسرور داخلی با آدرس 192.168.1.20 داشته باشید، میتوانید آن را به IP عمومی (185.x.x.x) نگاشت کنید تا کاربران اینترنت همیشه از طریق همان IP عمومی به وبسرور دسترسی داشته باشند.
-
Dynamic NAT
در Dynamic NAT، FortiGate بهجای اینکه برای هر دستگاه داخلی یک IP عمومی ثابت در نظر بگیرد، از میان یک مجموعه آدرسهای IP عمومی (Public IP Pool) بهصورت خودکار یک IP را انتخاب و به آن اختصاص میدهد. این IP تا زمانی که ارتباط برقرار است در اختیار کاربر یا دستگاه باقی میماند و پس از پایان ارتباط، دوباره به مجموعه آدرسها بازمیگردد تا توسط دستگاه دیگری استفاده شود.
این روش معمولاً در سازمانهایی استفاده میشود که چندین IP عمومی در اختیار دارند و میخواهند بدون ایجاد نگاشت دائمی، این آدرسها را بهصورت خودکار میان کاربران یا سرویسهای مختلف توزیع کنند.
مثال:
فرض کنید یک سازمان یک Public IP Pool شامل ۱۰ آدرس عمومی در اختیار دارد. هر کاربری که از شبکه داخلی به اینترنت متصل شود، FortiGate یکی از این IPها را بهصورت موقت به او اختصاص میدهد. پس از پایان ارتباط، همان IP دوباره آزاد شده و میتواند برای کاربر دیگری مورد استفاده قرار گیرد. به طور نمونه، سه IP عمومی وجود دارد:
- 185.1
- 185.2
- 185.3
کاربر اول: 185.1
دوم: 185.2
سوم: 185.3
-
Port Address Translation (PAT)
PAT که با نام Overload NAT نیز شناخته میشود، رایجترین نوع NAT در FortiGate و اغلب شبکههای سازمانی است.
در این روش، تمام کاربران شبکه داخلی میتوانند از یک IP عمومی مشترک برای دسترسی به اینترنت استفاده کنند. فایروال فورتی گیت برای اینکه پاسخ هر ارتباط دوباره به کاربر صحیح برگردد، علاوه بر تغییر آدرسIP، شماره پورت (Port Number) هر ارتباط را نیز تغییر میدهد و آن را در جدول ارتباطات (Session Table) ثبت میکند.
مثال:
فرض کنید دو کاربر با آدرسهای 192.168.1.10 و 192.168.1.20 همزمان وارد یک وبسایت شوند. اگر هر دو تنها از یک IP عمومی استفاده کنند، سرور اینترنتی نمیتواند تشخیص دهد پاسخ هر درخواست را برای کدام کاربر ارسال کند. FortiGate با اختصاص شماره پورتهای متفاوت به هر ارتباط، این مشکل را برطرف میکند و هنگام دریافت پاسخ، آن را به کاربر صحیح تحویل میدهد.
به همین دلیل، سازمانها میتوانند تنها با یک یا چند IP عمومی، صدها یا حتی هزاران کاربر را بدون تداخل به اینترنت متصل کنند.
در FortiGate، زمانی که در Firewall Policy گزینه Use Outgoing Interface Address را فعال میکنید، معمولاً از همین مکانیزم PAT برای خروج کاربران به اینترنت استفاده میشود.
Virtual IP (VIP) در FortiGate چیست؟
در فورتی گیت، Virtual IP (VIP) یکی از مهمترین قابلیتها برای پیادهسازی Destination NAT (DNAT) است. این قابلیت درخواستهایی را که از اینترنت به یک آدرس IP عمومی ارسال میشوند، به یک سرور یا سرویس مشخص در شبکه داخلی هدایت میکند.
در واقع، VIP بین یک IP عمومی و یک IP خصوصی ارتباط برقرار میکند تا کاربران خارج از سازمان بتوانند به سرویسهای داخلی دسترسی داشته باشند، بدون اینکه آدرس واقعی آن سرورها در اینترنت منتشر شود.
برای مثال، فرض کنید یک وبسرور داخل شبکه با آدرس 192.168.10.20 در حال اجرا است و سازمان دارای IP عمومی (x.x.x.185) است. با ایجاد یک VIP، هر درخواستی که از اینترنت به این IP عمومی ارسال شود، FortiGate آن را به وبسرور داخلی هدایت میکند و پاسخ سرور نیز مجدداً از طریق همان IP عمومی برای کاربر ارسال خواهد شد.
به همین دلیل، VIP یکی از اصلیترین ابزارهای انتشار سرویسهای داخلی در FortiGate محسوب میشود و در سناریوهای مختلفی مانند موارد زیر کاربرد دارد:
- انتشار وبسرور (HTTP / HTTPS)
- Mail Server
- FTP Server
- Remote Desktop (RDP)
- نرمافزارها و سامانههای سازمانی
- انتشار سایر سرویسهای داخلی
Policy NAT در FortiGate چیست؟
در حالت پیشفرض، بسیاری از مدیران شبکه NAT را مستقیماً در Firewall Policy فعال میکنند. این روش که به آن Policy NAT گفته میشود، رایجترین شیوه پیادهسازی NAT در FortiGate است.
در این روش، تنظیمات مربوط به ترجمه آدرس بخشی از همان قانون فایروال هستند. بنابراین هنگام بررسی یک Policy، میتوان بهصورت همزمان مشاهده کرد که:
- چه ترافیکی مجاز است.
- از کدام Interface عبور میکند.
- چه سرویسهایی مجاز هستند.
- آیا NAT روی آن اعمال میشود یا خیر.
به دلیل سادگی مدیریت، Policy NAT در اکثر شبکههای کوچک و متوسط مورد استفاده قرار میگیرد و برای بسیاری از سناریوهای روزمره کاملاً مناسب است.
Central NAT در FortiGate چیست؟
بهطور پیشفرض، در FortiGate تنظیمات NAT داخل همان Firewall Policy انجام میشود. یعنی هنگام ایجاد یک Policy، علاوه بر تعیین مبدأ، مقصد و سرویس، مشخص میکنید که آیا NAT نیز روی آن ترافیک اعمال شود یا خیر. به این روش Policy NAT گفته میشود.
اما در شبکههای بزرگ ممکن است صدها یا حتی هزاران قانون NAT وجود داشته باشد. در چنین شرایطی، مدیریت همه این تنظیمات داخل Firewall Policy میتواند پیچیده و زمانبر شود.
برای حل این مشکل، FortiGate قابلیتی به نام Central NAT را ارائه کرده است. در این معماری، قوانین مربوط به ترجمه آدرس (NAT Rules) از Firewall Policy جدا میشوند و در یک بخش مستقل مدیریت خواهند شد. در نتیجه، Firewall Policy فقط مسئول کنترل و اجازه عبور ترافیک است و تمام قوانین NAT در محل جداگانهای نگهداری میشوند.
این جداسازی باعث میشود مدیر شبکه بتواند قوانین NAT را سادهتر مدیریت کند، تغییر دهد یا عیبیابی کند؛ بدون اینکه نیاز باشد Firewall Policyهای مختلف را ویرایش کند.
برای مثال، فرض کنید چندین Policy مختلف همگی از یک قانون Source NAT استفاده میکنند. در روش Policy NAT اگر بخواهید تنظیمات NAT را تغییر دهید، ممکن است مجبور شوید چندین Policy را بررسی یا ویرایش کنید. اما در Central NAT کافی است همان قانون NAT را در بخش مربوط به Central NAT تغییر دهید تا همه Policyهایی که از آن استفاده میکنند، بهروزرسانی شوند.
به همین دلیل، Central NAT بیشتر در مراکز داده (Data Center)، سازمانهای بزرگ و شبکههایی که تعداد زیادی قانون NAT دارند استفاده میشود. در مقابل، برای اکثر شبکههای کوچک و متوسط، استفاده از Policy NAT به دلیل سادگی پیکربندی همچنان رایجتر است.
تفاوت Policy NAT و Central NAT
|
ویژگی |
Policy NAT |
Central NAT |
|
محل تنظیم NAT |
داخل Firewall Policy | بخش مستقل Central NAT |
| سادگی پیادهسازی | زیاد |
متوسط |
|
مناسب برای |
شبکههای کوچک و متوسط | شبکههای بزرگ و مراکز داده |
| مدیریت قوانین NAT | همراه با Policy |
کاملاً مجزا |
|
مقیاسپذیری |
مناسب |
بسیار بالا |
سناریوهای رایج استفاده از NAT در فایروال فورتی گیت
در محیطهای سازمانی، NAT تنها برای دسترسی کاربران به اینترنت استفاده نمیشود؛ بلکه در سناریوهای مختلفی مانند انتشار سرویسهای داخلی، برقراری ارتباط بین شبکهها و مدیریت آدرسهای IP نقش مهمی دارد. در ادامه، چند مورد از رایجترین کاربردهای NAT در FortiGate را بررسی میکنیم.
۱. خروج کاربران سازمان به اینترنت
رایجترین سناریوی NAT در FortiGate، فراهم کردن دسترسی کاربران شبکه داخلی به اینترنت است.
فرض کنید یک سازمان دارای ۲۰۰ کاربر است و تمام کاربران از آدرسهای IP خصوصی مانند 192.168.10.0/24 استفاده میکنند، اما شرکت تنها یک IP عمومی از سرویسدهنده اینترنت دریافت کرده است.
در این شرایط، FortiGate با استفاده از PAT (Port Address Translation)، آدرس خصوصی کاربران را به همان IP عمومی ترجمه میکند و با تخصیص شماره پورتهای متفاوت، امکان اتصال همزمان همه کاربران به اینترنت را فراهم میسازد.
این همان سناریویی است که تقریباً در تمام شبکههای سازمانی برای دسترسی کاربران به اینترنت پیادهسازی میشود.
۲. انتشار وبسایت یا وبسرور داخلی
فرض کنید وبسرور شرکت با آدرس 192.168.10.20 داخل شبکه قرار دارد و قرار است کاربران اینترنت به وبسایت شرکت دسترسی داشته باشند.
در این حالت، ابتدا یک Virtual IP (VIP) تعریف میشود تا IP عمومی شرکت به IP داخلی وبسرور نگاشت شود. سپس یک Firewall Policy ایجاد میشود که اجازه دهد درخواستهای ورودی از اینترنت به این VIP ارسال شوند.
در نتیجه، زمانی که کاربر آدرس دامنه یا IP عمومی وبسایت را در مرورگر وارد میکند، FortiGate درخواست را به وبسرور داخلی هدایت کرده و پاسخ سرور را دوباره به کاربر بازمیگرداند.
۳. انتشار Mail Server
اگر سرور ایمیل سازمان داخل شبکه داخلی قرار داشته باشد، کاربران خارج از سازمان برای ارسال یا دریافت ایمیل باید بتوانند به آن متصل شوند.
در این سناریو نیز معمولاً از VIP استفاده میشود تا درخواستهای ورودی روی پورتهای موردنیاز مانند SMTP، IMAP یا POP3 به Mail Server داخلی هدایت شوند. Firewall Policy نیز مشخص میکند کدام سرویسها و کاربران اجازه دسترسی به این سرور را دارند.
۴. دسترسی کاربران راه دور از طریق SSL VPN
در بسیاری از سازمانها، کارکنان خارج از شرکت از طریق SSL VPN به شبکه داخلی متصل میشوند.
در این حالت، کاربران ابتدا به IP عمومی FortiGate متصل میشوند. سپس FortiGate درخواست اتصال را دریافت کرده، فرآیند احراز هویت را انجام میدهد و در صورت موفق بودن، ارتباط امن VPN را برقرار میکند. در این سناریو نیز NAT نقش مهمی در مدیریت ارتباط میان شبکه عمومی و زیرساخت داخلی ایفا میکند.
آموزش پیکربندی NAT در FortiGate
1. فعال کردن Source NAT برای دسترسی کاربران به اینترنت
رایجترین سناریوی NAT در FortiGate، اتصال کاربران داخلی به اینترنت است.
برای این کار کافی است هنگام ایجاد Firewall Policy، گزینه NAT را فعال کنید.
مراحل انجام کار:
- وارد Policy & Objects > Firewall Policy شوید.
- یک Policy جدید ایجاد کنید.
- Interface ورودی (LAN) و خروجی (WAN) را مشخص کنید.
- آدرسهای مبدأ و مقصد را انتخاب کنید.
- سرویسهای موردنظر را تعیین کنید.
- گزینه Enable NAT را فعال کنید.
- در صورت نیاز گزینه Use Outgoing Interface Address یا IP Pool مناسب را انتخاب کنید.
- تنظیمات را ذخیره کنید.
در این حالت، FortiGate هنگام خروج ترافیک، آدرس IP خصوصی کاربران را به IP عمومی اینترفیس WAN ترجمه خواهد کرد.
2. انتشار سرور داخلی با Virtual IP (VIP)
فرض کنید یک وبسرور داخل شبکه با مشخصات زیر دارید:
- Public IP:185.x.x.x
- Web Server:168.10.20
- Service: HTTPS (Port 443)
در این سناریو، ابتدا در FortiGate یک Virtual IP (VIP) ایجاد میکنید و مشخص میکنید هر درخواستی که به IP عمومی (185.x.x.x) روی پورت 443 ارسال شود، به وبسرور داخلی با آدرس 192.168.10.20 هدایت شود.
اما ایجاد VIP بهتنهایی کافی نیست. FortiGate هنوز اجازه عبور این ترافیک را صادر نکرده است. بنابراین در مرحله بعد باید یک Firewall Policy از رابط WAN به LAN ایجاد کنید و در قسمت Destination همان VIP را انتخاب کنید. این Policy مشخص میکند که کاربران اینترنت اجازه دسترسی به این وبسرور را دارند.
در نهایت، زمانی که کاربری آدرس IP عمومی یا نام دامنه وبسایت را در مرورگر وارد میکند، درخواست ابتدا به FortiGate میرسد. FortiGate با استفاده از VIP آدرس مقصد را به IP داخلی وبسرور ترجمه میکند و پس از بررسی Firewall Policy، درخواست را به سرور داخلی ارسال میکند. پاسخ سرور نیز دوباره از طریق FortiGate به کاربر اینترنتی بازگردانده میشود.
3. استفاده از IP Pool در Source NAT
در برخی سازمانها، تنها یک IP عمومی وجود ندارد و چندین IP Public در اختیار مدیر شبکه قرار دارد.
در چنین شرایطی میتوان بهجای استفاده از IP اینترفیس خروجی، از IP Pool استفاده کرد.
IP Pool امکان میدهد:
- کاربران مختلف از IPهای عمومی متفاوت استفاده کنند.
- ترافیک بخشهای مختلف شبکه با IPهای متفاوت از سازمان خارج شود.
- سیاستهای خاص NAT پیادهسازی شوند.
این قابلیت معمولاً در شرکتهای بزرگ، دیتاسنترها و سرویسدهندگان اینترنت کاربرد بیشتری دارد.
4. عیبیابی مشکلات NAT در فورتی گیت
یکی از رایجترین مشکلات مدیران شبکه، کار نکردن NAT پس از اعمال تنظیمات است.
در اغلب موارد، مشکل از خود NAT نیست؛ بلکه یکی از اجزای مرتبط با آن بهدرستی پیکربندی نشده است.
مهمترین مواردی که باید بررسی شوند عبارتاند از:
- صحیح بودن Firewall Policy
- فعال بودن گزینه NAT
- وجود Route مناسب
- صحت تنظیمات Virtual IP
- وضعیت Interfaceها
- بررسی Sessionهای فعال
- عدم تداخل قوانین NAT
- بررسی لاگهای FortiGate
FortiGate ابزارهای مناسبی مانند Log & Report، Policy Lookup و CLI Diagnostic Commands را برای عیبیابی این مشکلات در اختیار مدیر شبکه قرار میدهد.
بهترین روشها (Best Practices) در پیادهسازی NAT
رعایت برخی نکات باعث میشود NAT علاوه بر عملکرد صحیح، امنیت و پایداری بیشتری نیز داشته باشد.
مهمترین توصیهها عبارتاند از:
- تا حد امکان تنها سرویسهای موردنیاز را Publish کنید.
- برای انتشار سرویسها از Virtual IP همراه با Firewall Policy محدودکننده استفاده کنید.
- از باز کردن غیرضروری پورتها خودداری کنید.
- برای مدیریت از راه دور، VPN را به جای انتشار مستقیم سرویسهایی مانند RDP ترجیح دهید.
- قوانین NAT را مستندسازی کنید تا مدیریت و عیبیابی سادهتر شود.
- در صورت زیاد بودن تعداد قوانین NAT، استفاده از Central NAT را بررسی کنید.
- لاگهای مربوط به NAT و Sessionها را بهصورت دورهای بررسی کنید.
سوالات متداول (FAQ)
-
آیا برای دسترسی کاربران داخلی به اینترنت باید NAT را فعال کنیم؟
بله. در اغلب سناریوها کاربران از IP خصوصی استفاده میکنند و برای برقراری ارتباط با اینترنت، Source NAT یا PAT باید روی FortiGate فعال باشد.
-
تفاوت Virtual IP و NAT در FortiGate چیست؟
NAT یک مفهوم کلی برای ترجمه آدرسهای IP است، در حالی که Virtual IP (VIP) یکی از قابلیتهای FortiGate برای پیادهسازی Destination NAT و انتشار سرویسهای داخلی محسوب میشود.
-
تفاوت Policy NAT و Central NAT چیست؟
در Policy NAT، تنظیمات ترجمه آدرس داخل Firewall Policy انجام میشود؛ اما در Central NAT قوانین NAT بهصورت مستقل مدیریت میشوند. Central NAT معمولاً برای شبکههای بزرگ و دارای تعداد زیاد قوانین NAT مناسبتر است.
-
آیا NAT باعث افزایش امنیت شبکه میشود؟
NAT بهتنهایی یک مکانیزم امنیتی محسوب نمیشود، اما با مخفی کردن آدرسهای IP خصوصی و استفاده در کنار Firewall Policy، میتواند سطح امنیت شبکه را افزایش دهد.
-
آیا NAT جایگزین Firewall است؟
خیر.
NAT وظیفه ترجمه آدرسهای IP را بر عهده دارد، در حالی که Firewall Policy مسئول کنترل و اعمال قوانین امنیتی روی ترافیک شبکه است. در FortiGate این دو قابلیت در کنار یکدیگر عمل میکنند، اما هر کدام وظیفه متفاوتی دارند.


