در اغلب شبکه‌های امروزی، دستگاه‌های داخلی از آدرس‌های IP خصوصی (Private IP) استفاده می‌کنند؛ آدرس‌هایی که در اینترنت قابل مسیریابی نیستند. از سوی دیگر، بسیاری از سازمان‌ها تنها یک یا چند آدرس IP عمومی در اختیار دارند، در حالی که باید تعداد زیادی کاربر و سرویس را مدیریت کنند.

در چنین شرایطی، NAT (Network Address Translation) به یکی از مهم‌ترین قابلیت‌های تجهیزات شبکه تبدیل می‌شود و تقریباً در تمامی فایروال‌ها و روترهای سازمانی مورد استفاده قرار می‌گیرد.

در فایروال FortiGate نیز NAT تنها یک قابلیت ساده برای ترجمه آدرس‌ها نیست، بلکه بخشی از فرآیند پردازش ترافیک محسوب می‌شود و با بخش‌هایی مانند Firewall Policy، Routing، Virtual IP (VIP) و Central NAT ارتباط مستقیم دارد. به همین دلیل، آشنایی با نحوه عملکرد NAT یکی از مباحث ضروری برای پیاده‌سازی و مدیریت شبکه‌های مبتنی بر FortiGate است.

 

NAT در فورتی گیت چیست؟

NAT در فورتی گیت قابلیتی است که آدرس IP مبدأ (Source IP)، آدرس IP مقصد (Destination IP) یا هر دو را هنگام عبور بسته‌های اطلاعاتی از فایروال تغییر می‌دهد. این فرآیند باعث می‌شود ارتباط میان شبکه‌های خصوصی و عمومی به‌درستی برقرار شود و تجهیزات داخلی بتوانند بدون استفاده از IP عمومی اختصاصی، با اینترنت یا سایر شبکه‌ها ارتباط برقرار کنند.

در فورتی گیت، NAT علاوه بر ترجمه آدرس‌ها، می‌تواند شماره پورت‌ها را نیز تغییر دهد (Port Address Translation یا PAT). این قابلیت به چندین کاربر اجازه می‌دهد به‌طور هم‌زمان از یک IP عمومی مشترک برای دسترسی به اینترنت استفاده کنند؛ موضوعی که در اغلب سازمان‌ها، مراکز داده و شرکت‌ها یک نیاز اساسی محسوب می‌شود.

از سوی دیگر، NAT تنها برای خروج کاربران به اینترنت استفاده نمی‌شود. در بسیاری از سناریوها، مدیر شبکه باید سرویس‌های داخلی مانند وب‌سرور، سرور ایمیل، Remote Desktop یا سایر سرویس‌ها را از طریق اینترنت در دسترس قرار دهد. در این حالت نیز FortiGate با استفاده از قابلیت‌هایی مانند Virtual IP (VIP)، درخواست‌های ورودی را به سرور داخلی هدایت می‌کند.

به همین دلیل، NAT یکی از قابلیت‌های کلیدی FortiGate برای مدیریت ارتباطات میان شبکه‌های داخلی و خارجی، انتشار سرویس‌ها و طراحی سناریوهای مختلف شبکه محسوب می‌شود.

 

NAT چگونه در فورتی گیت کار می‌کند؟

برخلاف بسیاری از روترها که NAT تنها به‌عنوان یک قابلیت مستقل برای ترجمه آدرس‌ها عمل می‌کند، در FortiGate این فرآیند بخشی از موتور پردازش ترافیک (Packet Processing Engine) است و در کنار قابلیت‌هایی مانند Routing، Firewall Policy، Session Table و سایر مکانیزم‌های امنیتی اجرا می‌شود.

هر بسته اطلاعاتی (Packet) که وارد FortiGate می‌شود، مراحل مشخصی را طی می‌کند تا درباره سرنوشت آن تصمیم‌گیری شود. ابتدا فایروال مسیر مناسب را بر اساس جدول مسیریابی (Routing Table) تعیین می‌کند. سپس Firewall Policy بررسی می‌شود تا مشخص شود آیا این ترافیک مجاز به عبور است یا خیر. در صورتی که ترافیک با یکی از قوانین فایروال مطابقت داشته باشد، فورتی گیت در صورت نیاز عملیات NAT را مطابق تنظیمات انجام می‌دهد و در نهایت بسته از رابط خروجی (Outgoing Interface) ارسال می‌شود.

نوع ترجمه آدرس نیز به سناریوی شبکه بستگی دارد. اگر کاربران داخلی قصد دسترسی به اینترنت را داشته باشند، FortiGate معمولاً Source NAT (SNAT) یا PAT را اجرا می‌کند و آدرس IP خصوصی مبدأ را به یک IP عمومی ترجمه می‌کند.

اما اگر کاربری از اینترنت بخواهد به یک سرویس داخلی مانند وب‌سرور یا Mail Server متصل شود، FortiGate با استفاده از Destination NAT (DNAT) یا Virtual IP (VIP) آدرس مقصد را به IP سرور داخلی تغییر می‌دهد.

برای مثال، فرض کنید یک کاربر داخل شبکه با آی پی 192.168.1.50 قصد دارد وارد وب‌سایت openai.com شود. این بسته ابتدا وارد FortiGate می‌شود، مسیر مناسب و Firewall Policy مربوط به آن بررسی می‌شود و سپس آدرس IP خصوصی کاربر به IP عمومی سازمان ترجمه می‌شود. پاسخ سرور نیز مجدداً به همان IP عمومی ارسال شده و FortiGate با استفاده از اطلاعات موجود در Session Table آن را به کاربر اصلی تحویل می‌دهد.

همین هماهنگی میان Routing، Firewall Policy ،NAT و Session Table باعث می‌شود دستگاه فورتی گیت بتواند ارتباطات شبکه را با دقت بالا مدیریت کند و هم‌زمان امنیت، پایداری و عملکرد مناسب را در سناریوهای مختلف سازمانی حفظ کند.

 

ترتیب پردازش بسته‌ها (Packet Processing) در فورتی گیت

برای درک بهتر NAT، لازم است بدانیم بسته‌های اطلاعاتی هنگام عبور از FortiGate چه مراحلی را طی می‌کنند.

به‌صورت ساده، فرآیند پردازش ترافیک به شکل زیر است:

  1. دریافت بسته از رابط ورودی (Ingress Interface)
  2. بررسی جدول مسیریابی (Routing Lookup)
  3. تطبیق با Firewall Policy
  4. اعمال NAT در صورت نیاز
  5. اجرای سرویس‌های امنیتی مانند  IPS ،Antivirus، Web Filtering یا  Application Control در صورت فعال بودن
  6. ارسال بسته از رابط خروجی (Egress Interface)

در واقع، NAT تنها یکی از مراحل پردازش ترافیک است و عملکرد صحیح آن به طراحی مناسب مسیرها، قوانین فایروال و سایر تنظیمات وابسته است. به همین دلیل، هنگام عیب‌یابی مشکلات مربوط به NAT، باید علاوه بر تنظیمات ترجمه آدرس، مواردی مانند Routing، Policy و وضعیت اینترفیس‌ها نیز بررسی شوند.

 

انواع NAT در فورتی گیت

دستگاه FortiGate از روش‌های مختلفی برای ترجمه آدرس‌های IP پشتیبانی می‌کند که هر کدام برای سناریوهای مشخصی طراحی شده‌اند.

  • Source NAT (SNAT)

در Source NAT، آدرس IP مبدأ هنگام خروج از شبکه تغییر می‌کند. این رایج‌ترین نوع NAT در FortiGate است و معمولاً زمانی استفاده می‌شود که کاربران داخلی قصد دسترسی به اینترنت را دارند.

مثال:

اگر کاربران شبکه داخلی از IPهای خصوصی مانند 192.168.1.0/24 استفاده کنند، FortiGate می‌تواند هنگام خروج ترافیک، این آدرس‌ها را به IP عمومی سازمان ترجمه کند تا ارتباط با اینترنت برقرار شود.

تقریباً تمام سازمان‌هایی که کاربران داخلی آن‌ها به اینترنت متصل می‌شوند، از Source NAT استفاده می‌کنند.

 

انواع NAT در فورتی گیت

 

  • Destination NAT (DNAT)

Destination NAT زمانی استفاده می‌شود که کاربران خارج از سازمان بخواهند به یکی از سرویس‌های داخل شبکه دسترسی پیدا کنند.

در این حالت، FortiGate آدرس مقصد بسته را تغییر داده و آن را به سمت سرور داخلی هدایت می‌کند. در محصولات Fortinet این فرآیند معمولاً با استفاده از Virtual IP (VIP) انجام می‌شود.

مثال:

زمانی که کاربری از اینترنت آدرس IP عمومی شرکت را وارد می‌کند، FortiGate می‌تواند درخواست را به وب‌سرور داخلی ارسال کند، بدون اینکه IP واقعی سرور برای کاربران اینترنت قابل مشاهده باشد.

 

پیاده سازی NAT در فایروال فورتی گیت

 

  • Static NAT

در Static NAT، یک آدرس IP خصوصی (Private IP) به‌صورت دائمی به یک آدرس IP عمومی (Public IP) اختصاص داده می‌شود. به عبارت دیگر، هر زمان درخواستی به آن IP عمومی ارسال شود، FortiGate آن را همیشه به همان دستگاه یا سرور داخلی هدایت می‌کند.

این روش معمولاً برای انتشار سرویس‌هایی استفاده می‌شود که باید همواره از طریق یک آدرس عمومی ثابت در دسترس باشند؛

مانند وب‌سرورها (Web Server)، سرورهای ایمیل (Mail Server) یا برخی سامانه‌های سازمانی.

مثال:

اگر یک وب‌سرور داخلی با آدرس 192.168.1.20 داشته باشید، می‌توانید آن را به IP عمومی (185.x.x.x) نگاشت کنید تا کاربران اینترنت همیشه از طریق همان IP عمومی به وب‌سرور دسترسی داشته باشند.

 

  • Dynamic NAT

در Dynamic NAT، FortiGate به‌جای اینکه برای هر دستگاه داخلی یک IP عمومی ثابت در نظر بگیرد، از میان یک مجموعه آدرس‌های IP عمومی (Public IP Pool) به‌صورت خودکار یک IP را انتخاب و به آن اختصاص می‌دهد. این IP تا زمانی که ارتباط برقرار است در اختیار کاربر یا دستگاه باقی می‌ماند و پس از پایان ارتباط، دوباره به مجموعه آدرس‌ها بازمی‌گردد تا توسط دستگاه دیگری استفاده شود.

این روش معمولاً در سازمان‌هایی استفاده می‌شود که چندین IP عمومی در اختیار دارند و می‌خواهند بدون ایجاد نگاشت دائمی، این آدرس‌ها را به‌صورت خودکار میان کاربران یا سرویس‌های مختلف توزیع کنند.

مثال:

فرض کنید یک سازمان یک Public IP Pool شامل ۱۰ آدرس عمومی در اختیار دارد. هر کاربری که از شبکه داخلی به اینترنت متصل شود، FortiGate یکی از این IPها را به‌صورت موقت به او اختصاص می‌دهد. پس از پایان ارتباط، همان IP دوباره آزاد شده و می‌تواند برای کاربر دیگری مورد استفاده قرار گیرد. به طور نمونه، سه IP عمومی وجود دارد:

  • 185.1
  • 185.2
  • 185.3

کاربر اول: 185.1

دوم: 185.2

سوم: 185.3

 

  • Port Address Translation (PAT)

PAT که با نام Overload NAT نیز شناخته می‌شود، رایج‌ترین نوع NAT در FortiGate و اغلب شبکه‌های سازمانی است.

در این روش، تمام کاربران شبکه داخلی می‌توانند از یک IP عمومی مشترک برای دسترسی به اینترنت استفاده کنند. فایروال فورتی گیت برای اینکه پاسخ هر ارتباط دوباره به کاربر صحیح برگردد، علاوه بر تغییر آدرسIP، شماره پورت (Port Number) هر ارتباط را نیز تغییر می‌دهد و آن را در جدول ارتباطات (Session Table) ثبت می‌کند.

مثال:

فرض کنید دو کاربر با آدرس‌های 192.168.1.10 و 192.168.1.20 هم‌زمان وارد یک وب‌سایت شوند. اگر هر دو تنها از یک IP عمومی استفاده کنند، سرور اینترنتی نمی‌تواند تشخیص دهد پاسخ هر درخواست را برای کدام کاربر ارسال کند. FortiGate با اختصاص شماره پورت‌های متفاوت به هر ارتباط، این مشکل را برطرف می‌کند و هنگام دریافت پاسخ، آن را به کاربر صحیح تحویل می‌دهد.

به همین دلیل، سازمان‌ها می‌توانند تنها با یک یا چند IP عمومی، صدها یا حتی هزاران کاربر را بدون تداخل به اینترنت متصل کنند.

در FortiGate، زمانی که در Firewall Policy گزینه Use Outgoing Interface Address را فعال می‌کنید، معمولاً از همین مکانیزم PAT برای خروج کاربران به اینترنت استفاده می‌شود.

 

Virtual IP (VIP) در FortiGate چیست؟

در فورتی گیت، Virtual IP (VIP) یکی از مهم‌ترین قابلیت‌ها برای پیاده‌سازی Destination NAT (DNAT) است. این قابلیت درخواست‌هایی را که از اینترنت به یک آدرس IP عمومی ارسال می‌شوند، به یک سرور یا سرویس مشخص در شبکه داخلی هدایت می‌کند.

در واقع، VIP بین یک IP عمومی و یک IP خصوصی ارتباط برقرار می‌کند تا کاربران خارج از سازمان بتوانند به سرویس‌های داخلی دسترسی داشته باشند، بدون اینکه آدرس واقعی آن سرورها در اینترنت منتشر شود.

برای مثال، فرض کنید یک وب‌سرور داخل شبکه با آدرس 192.168.10.20 در حال اجرا است و سازمان دارای IP عمومی (x.x.x.185) است. با ایجاد یک VIP، هر درخواستی که از اینترنت به این IP عمومی ارسال شود، FortiGate آن را به وب‌سرور داخلی هدایت می‌کند و پاسخ سرور نیز مجدداً از طریق همان IP عمومی برای کاربر ارسال خواهد شد.

به همین دلیل، VIP یکی از اصلی‌ترین ابزارهای انتشار سرویس‌های داخلی در FortiGate محسوب می‌شود و در سناریوهای مختلفی مانند موارد زیر کاربرد دارد:

  • انتشار وب‌سرور (HTTP / HTTPS)
  • Mail Server
  • FTP Server
  • Remote Desktop (RDP)
  • نرم‌افزارها و سامانه‌های سازمانی
  • انتشار سایر سرویس‌های داخلی

 

Policy NAT در FortiGate چیست؟

در حالت پیش‌فرض، بسیاری از مدیران شبکه NAT را مستقیماً در Firewall Policy فعال می‌کنند. این روش که به آن Policy NAT گفته می‌شود، رایج‌ترین شیوه پیاده‌سازی NAT در FortiGate است.

در این روش، تنظیمات مربوط به ترجمه آدرس بخشی از همان قانون فایروال هستند. بنابراین هنگام بررسی یک Policy، می‌توان به‌صورت هم‌زمان مشاهده کرد که:

  • چه ترافیکی مجاز است.
  • از کدام Interface عبور می‌کند.
  • چه سرویس‌هایی مجاز هستند.
  • آیا NAT روی آن اعمال می‌شود یا خیر.

به دلیل سادگی مدیریت، Policy NAT در اکثر شبکه‌های کوچک و متوسط مورد استفاده قرار می‌گیرد و برای بسیاری از سناریوهای روزمره کاملاً مناسب است.

 

Central NAT در FortiGate چیست؟

به‌طور پیش‌فرض، در FortiGate تنظیمات NAT داخل همان Firewall Policy انجام می‌شود. یعنی هنگام ایجاد یک Policy، علاوه بر تعیین مبدأ، مقصد و سرویس، مشخص می‌کنید که آیا NAT نیز روی آن ترافیک اعمال شود یا خیر. به این روش Policy NAT گفته می‌شود.

اما در شبکه‌های بزرگ ممکن است صدها یا حتی هزاران قانون NAT وجود داشته باشد. در چنین شرایطی، مدیریت همه این تنظیمات داخل Firewall Policy می‌تواند پیچیده و زمان‌بر شود.

برای حل این مشکل، FortiGate قابلیتی به نام Central NAT را ارائه کرده است. در این معماری، قوانین مربوط به ترجمه آدرس (NAT Rules) از Firewall Policy جدا می‌شوند و در یک بخش مستقل مدیریت خواهند شد. در نتیجه، Firewall Policy فقط مسئول کنترل و اجازه عبور ترافیک است و تمام قوانین NAT در محل جداگانه‌ای نگهداری می‌شوند.

این جداسازی باعث می‌شود مدیر شبکه بتواند قوانین NAT را ساده‌تر مدیریت کند، تغییر دهد یا عیب‌یابی کند؛ بدون اینکه نیاز باشد Firewall Policyهای مختلف را ویرایش کند.

برای مثال، فرض کنید چندین Policy مختلف همگی از یک قانون Source NAT استفاده می‌کنند. در روش Policy NAT اگر بخواهید تنظیمات NAT را تغییر دهید، ممکن است مجبور شوید چندین Policy را بررسی یا ویرایش کنید. اما در Central NAT کافی است همان قانون NAT را در بخش مربوط به Central NAT تغییر دهید تا همه Policyهایی که از آن استفاده می‌کنند، به‌روزرسانی شوند.

به همین دلیل، Central NAT بیشتر در مراکز داده (Data Center)، سازمان‌های بزرگ و شبکه‌هایی که تعداد زیادی قانون NAT دارند استفاده می‌شود. در مقابل، برای اکثر شبکه‌های کوچک و متوسط، استفاده از Policy NAT به دلیل سادگی پیکربندی همچنان رایج‌تر است.

 

تفاوت Policy NAT و Central NAT

ویژگی

Policy NAT

Central NAT

محل تنظیم NAT

داخل Firewall Policy بخش مستقل Central NAT
سادگی پیاده‌سازی زیاد

متوسط

مناسب برای

شبکه‌های کوچک و متوسط شبکه‌های بزرگ و مراکز داده
مدیریت قوانین NAT همراه با Policy

کاملاً مجزا

مقیاس‌پذیری

مناسب

بسیار بالا

 

سناریوهای رایج استفاده از NAT در فایروال فورتی گیت

در محیط‌های سازمانی، NAT تنها برای دسترسی کاربران به اینترنت استفاده نمی‌شود؛ بلکه در سناریوهای مختلفی مانند انتشار سرویس‌های داخلی، برقراری ارتباط بین شبکه‌ها و مدیریت آدرس‌های IP نقش مهمی دارد. در ادامه، چند مورد از رایج‌ترین کاربردهای NAT در FortiGate را بررسی می‌کنیم.

 

۱. خروج کاربران سازمان به اینترنت

رایج‌ترین سناریوی NAT در FortiGate، فراهم کردن دسترسی کاربران شبکه داخلی به اینترنت است.

فرض کنید یک سازمان دارای ۲۰۰ کاربر است و تمام کاربران از آدرس‌های IP خصوصی مانند 192.168.10.0/24 استفاده می‌کنند، اما شرکت تنها یک IP عمومی از سرویس‌دهنده اینترنت دریافت کرده است.

در این شرایط، FortiGate با استفاده از PAT (Port Address Translation)، آدرس خصوصی کاربران را به همان IP عمومی ترجمه می‌کند و با تخصیص شماره پورت‌های متفاوت، امکان اتصال هم‌زمان همه کاربران به اینترنت را فراهم می‌سازد.

این همان سناریویی است که تقریباً در تمام شبکه‌های سازمانی برای دسترسی کاربران به اینترنت پیاده‌سازی می‌شود.

 

۲. انتشار وب‌سایت یا وب‌سرور داخلی

فرض کنید وب‌سرور شرکت با آدرس 192.168.10.20 داخل شبکه قرار دارد و قرار است کاربران اینترنت به وب‌سایت شرکت دسترسی داشته باشند.

در این حالت، ابتدا یک Virtual IP (VIP) تعریف می‌شود تا IP عمومی شرکت به IP داخلی وب‌سرور نگاشت شود. سپس یک Firewall Policy ایجاد می‌شود که اجازه دهد درخواست‌های ورودی از اینترنت به این VIP ارسال شوند.

در نتیجه، زمانی که کاربر آدرس دامنه یا IP عمومی وب‌سایت را در مرورگر وارد می‌کند، FortiGate درخواست را به وب‌سرور داخلی هدایت کرده و پاسخ سرور را دوباره به کاربر بازمی‌گرداند.

 

۳. انتشار Mail Server

اگر سرور ایمیل سازمان داخل شبکه داخلی قرار داشته باشد، کاربران خارج از سازمان برای ارسال یا دریافت ایمیل باید بتوانند به آن متصل شوند.

در این سناریو نیز معمولاً از VIP استفاده می‌شود تا درخواست‌های ورودی روی پورت‌های موردنیاز مانند SMTP، IMAP یا POP3 به Mail Server داخلی هدایت شوند. Firewall Policy نیز مشخص می‌کند کدام سرویس‌ها و کاربران اجازه دسترسی به این سرور را دارند.

 

۴. دسترسی کاربران راه دور از طریق SSL VPN

در بسیاری از سازمان‌ها، کارکنان خارج از شرکت از طریق SSL VPN به شبکه داخلی متصل می‌شوند.

در این حالت، کاربران ابتدا به IP عمومی FortiGate متصل می‌شوند. سپس FortiGate درخواست اتصال را دریافت کرده، فرآیند احراز هویت را انجام می‌دهد و در صورت موفق بودن، ارتباط امن VPN را برقرار می‌کند. در این سناریو نیز NAT نقش مهمی در مدیریت ارتباط میان شبکه عمومی و زیرساخت داخلی ایفا می‌کند.

 

آموزش پیکربندی NAT در  FortiGate

1. فعال کردن Source NAT برای دسترسی کاربران به اینترنت

رایج‌ترین سناریوی NAT در FortiGate، اتصال کاربران داخلی به اینترنت است.

برای این کار کافی است هنگام ایجاد Firewall Policy، گزینه NAT را فعال کنید.

مراحل انجام کار:

  1. وارد Policy & Objects > Firewall Policy شوید.
  2. یک Policy جدید ایجاد کنید.
  3. Interface ورودی (LAN) و خروجی (WAN) را مشخص کنید.
  4. آدرس‌های مبدأ و مقصد را انتخاب کنید.
  5. سرویس‌های موردنظر را تعیین کنید.
  6. گزینه Enable NAT را فعال کنید.
  7. در صورت نیاز گزینه Use Outgoing Interface Address یا IP Pool مناسب را انتخاب کنید.
  8. تنظیمات را ذخیره کنید.

در این حالت، FortiGate هنگام خروج ترافیک، آدرس IP خصوصی کاربران را به IP عمومی اینترفیس WAN ترجمه خواهد کرد.

 

2. انتشار سرور داخلی با Virtual IP (VIP)

فرض کنید یک وب‌سرور داخل شبکه با مشخصات زیر دارید:

  • Public IP:185.x.x.x
  • Web Server:168.10.20
  • Service: HTTPS (Port 443)

در این سناریو، ابتدا در FortiGate یک Virtual IP (VIP) ایجاد می‌کنید و مشخص می‌کنید هر درخواستی که به IP عمومی (185.x.x.x) روی پورت 443 ارسال شود، به وب‌سرور داخلی با آدرس 192.168.10.20 هدایت شود.

اما ایجاد VIP به‌تنهایی کافی نیست. FortiGate هنوز اجازه عبور این ترافیک را صادر نکرده است. بنابراین در مرحله بعد باید یک Firewall Policy از رابط WAN به LAN ایجاد کنید و در قسمت Destination همان VIP را انتخاب کنید. این Policy مشخص می‌کند که کاربران اینترنت اجازه دسترسی به این وب‌سرور را دارند.

در نهایت، زمانی که کاربری آدرس IP عمومی یا نام دامنه وب‌سایت را در مرورگر وارد می‌کند، درخواست ابتدا به FortiGate می‌رسد. FortiGate با استفاده از VIP آدرس مقصد را به IP داخلی وب‌سرور ترجمه می‌کند و پس از بررسی Firewall Policy، درخواست را به سرور داخلی ارسال می‌کند. پاسخ سرور نیز دوباره از طریق FortiGate به کاربر اینترنتی بازگردانده می‌شود.

 

3. استفاده از IP Pool در Source NAT

در برخی سازمان‌ها، تنها یک IP عمومی وجود ندارد و چندین IP Public در اختیار مدیر شبکه قرار دارد.

در چنین شرایطی می‌توان به‌جای استفاده از IP اینترفیس خروجی، از IP Pool استفاده کرد.

IP Pool امکان می‌دهد:

  • کاربران مختلف از IPهای عمومی متفاوت استفاده کنند.
  • ترافیک بخش‌های مختلف شبکه با IPهای متفاوت از سازمان خارج شود.
  • سیاست‌های خاص NAT پیاده‌سازی شوند.

این قابلیت معمولاً در شرکت‌های بزرگ، دیتاسنترها و سرویس‌دهندگان اینترنت کاربرد بیشتری دارد.

 

4. عیب‌یابی مشکلات NAT در فورتی گیت

یکی از رایج‌ترین مشکلات مدیران شبکه، کار نکردن NAT پس از اعمال تنظیمات است.

در اغلب موارد، مشکل از خود NAT نیست؛ بلکه یکی از اجزای مرتبط با آن به‌درستی پیکربندی نشده است.

مهم‌ترین مواردی که باید بررسی شوند عبارت‌اند از:

  • صحیح بودن Firewall Policy
  • فعال بودن گزینه NAT
  • وجود Route مناسب
  • صحت تنظیمات Virtual IP
  • وضعیت Interfaceها
  • بررسی Sessionهای فعال
  • عدم تداخل قوانین NAT
  • بررسی لاگ‌های FortiGate

FortiGate ابزارهای مناسبی مانند Log & Report، Policy Lookup و CLI Diagnostic Commands را برای عیب‌یابی این مشکلات در اختیار مدیر شبکه قرار می‌دهد.

 

بهترین روش‌ها (Best Practices) در پیاده‌سازی NAT

رعایت برخی نکات باعث می‌شود NAT علاوه بر عملکرد صحیح، امنیت و پایداری بیشتری نیز داشته باشد.

مهم‌ترین توصیه‌ها عبارت‌اند از:

  • تا حد امکان تنها سرویس‌های موردنیاز را Publish کنید.
  • برای انتشار سرویس‌ها از Virtual IP همراه با Firewall Policy محدودکننده استفاده کنید.
  • از باز کردن غیرضروری پورت‌ها خودداری کنید.
  • برای مدیریت از راه دور، VPN را به جای انتشار مستقیم سرویس‌هایی مانند RDP ترجیح دهید.
  • قوانین NAT را مستندسازی کنید تا مدیریت و عیب‌یابی ساده‌تر شود.
  • در صورت زیاد بودن تعداد قوانین NAT، استفاده از Central NAT را بررسی کنید.
  • لاگ‌های مربوط به NAT و Sessionها را به‌صورت دوره‌ای بررسی کنید.

 

سوالات متداول (FAQ)

  • آیا برای دسترسی کاربران داخلی به اینترنت باید NAT را فعال کنیم؟

بله. در اغلب سناریوها کاربران از IP خصوصی استفاده می‌کنند و برای برقراری ارتباط با اینترنت، Source NAT یا PAT باید روی FortiGate فعال باشد.

 

  • تفاوت Virtual IP و NAT در FortiGate چیست؟

NAT یک مفهوم کلی برای ترجمه آدرس‌های IP است، در حالی که Virtual IP (VIP) یکی از قابلیت‌های FortiGate برای پیاده‌سازی Destination NAT و انتشار سرویس‌های داخلی محسوب می‌شود.

 

  • تفاوت Policy NAT و Central NAT چیست؟

در Policy NAT، تنظیمات ترجمه آدرس داخل Firewall Policy انجام می‌شود؛ اما در Central NAT قوانین NAT به‌صورت مستقل مدیریت می‌شوند. Central NAT معمولاً برای شبکه‌های بزرگ و دارای تعداد زیاد قوانین NAT مناسب‌تر است.

 

  • آیا NAT باعث افزایش امنیت شبکه می‌شود؟

NAT به‌تنهایی یک مکانیزم امنیتی محسوب نمی‌شود، اما با مخفی کردن آدرس‌های IP خصوصی و استفاده در کنار Firewall Policy، می‌تواند سطح امنیت شبکه را افزایش دهد.

 

  • آیا NAT جایگزین Firewall است؟

خیر.

NAT وظیفه ترجمه آدرس‌های IP را بر عهده دارد، در حالی که Firewall Policy مسئول کنترل و اعمال قوانین امنیتی روی ترافیک شبکه است. در FortiGate این دو قابلیت در کنار یکدیگر عمل می‌کنند، اما هر کدام وظیفه متفاوتی دارند.