NAT در فایروال سوفوس یکی از مهم‌ترین مکانیزم‌های کنترل ترافیک در مرز شبکه است. این قابلیت باعث می‌شود شبکه‌های داخلی با آدرس‌های خصوصی بتوانند با اینترنت، سرویس‌های ابری و سایر شبکه‌ها ارتباط برقرار کنند، بدون اینکه ساختار آدرس‌دهی داخلی مستقیماً در معرض دید بیرون قرار بگیرد.

در Sophos Firewall ،NAT فقط برای دسترسی کاربران داخلی به اینترنت استفاده نمی‌شود. این مکانیزم در سناریوهایی مانند Port Forwarding، انتشار سرویس‌های داخلی، Multi-WAN، ارتباط با Cloud و حل همپوشانی آدرس‌ها (Overlapping Networks) نقش مهمی در طراحی معماری شبکه دارد.

 

NAT در فایروال سوفوس چیست؟

NAT (Network Address Translation) مکانیزمی است که باعث می‌شود آدرس‌های خصوصی داخل شبکه بتوانند با شبکه‌های بیرونی مانند اینترنت ارتباط برقرار کنند، بدون اینکه لازم باشد IP داخلی مستقیماً در اینترنت دیده شود.

در محیط‌های سازمانی معمولاً سرورها، کلاینت‌ها و تجهیزات داخلی از IPهای Private استفاده می‌کنند؛ مانند:

  • 192.168.x.x
  • 10.x.x.x
  • 172.16.x.x – 172.31.x.x

فایروال سوفوس هنگام عبور ترافیک می‌تواند این آدرس‌ها را ترجمه کند:

  • Source NAT (SNAT): تغییر آدرس مبدأ
  • Destination NAT (DNAT): تغییر آدرس مقصد
  • Masquerading: نوعی Source NAT با IP اینترفیس خروجی

از نظر امنیتی، NAT در فایروال سوفوس به تنهایی نقش کنترل دسترسی ندارد. وظیفه NAT فقط ترجمه آدرس‌های IP و در بعضی سناریوها ترجمه پورت‌ها هنگام عبور ترافیک است. پس، بررسی اینکه یک ارتباط واقعاً مجاز باشد، از چه مبدأیی بیاید، به کدام مقصد برسد و روی چه سرویسی اجازه عبور داشته باشد، توسط Firewall Rule در فایروال سوفوس تعیین می‌شود.

 

NAT در فایروال سوفوس

 

نقش NAT در معماری امنیت شبکه

در شبکه‌های مدرن، NAT فقط یک ابزار برای دسترسی کاربران داخلی به اینترنت نیست. در طراحی حرفه‌ای شبکه، NAT بخشی از معماری کنترل‌شده‌ی عبور ترافیک، مدیریت سطح دیده‌شدن سرویس‌ها و تفکیک حوزه‌های آدرس‌دهی محسوب می‌شود.

وقتی ترافیک از یک مرز امنیتی مثل Sophos Firewall عبور می‌کند، NAT در فایروال سوفوس این امکان را می‌دهد که آدرس‌های واقعی شبکه داخلی مستقیماً در معرض دید طرف مقابل قرار نگیرند و در عین حال سرویس‌ها به شکلی کنترل‌شده منتشر شوند.

1. مخفی‌سازی ساختار داخلی شبکه

در اغلب شبکه‌های سازمانی، سرورها و کلاینت‌ها با آدرس‌های خصوصی کار می‌کنند؛ مثل:

  • 192.168.x.x
  • 10.x.x.x
  • 172.16.x.x – 172.31.x.x

این آدرس‌ها در اینترنت قابل مسیریابی مستقیم نیستند. زمانی که ترافیک از شبکه داخلی به بیرون می‌رود، NAT آدرس مبدأ را به IP عمومی فایروال تبدیل می‌کند.

مثلاً:

192.168.10.25  →  185.x.x.x

در نتیجه، سیستم بیرونی فقط IP عمومی فایروال را می‌بیند و از ساختار واقعی شبکه داخلی اطلاعی ندارد. اما، از دید امنیتی، نکته مهم‌تر این است که توپولوژی داخلی شبکه، الگوی آدرس‌دهی، تعداد سگمنت‌ها و محل قرارگیری سرورها مستقیماً آشکار نمی‌شود.

برای مثال اگر قابلیت NAT در فایروال سوفوس وجود نداشته باشد، مهاجم ممکن است از روی آدرس‌های پاسخ‌دهنده حدس بزند:

  • شبکه چند subnet دارد.
  • سرورها در چه محدوده‌ای قرار گرفته‌اند.
  • آیا معماری شبکه flat است یا segment شده.
  • کدام بخش‌ها احتمالاً مربوط به سرور، دیتابیس یا سرویس‌های مدیریتی هستند.

در واقع، NAT جلوی همه این تحلیل‌ها را به طور کامل نمی‌گیرد، اما سطح دید مستقیم مهاجم نسبت به ساختار داخلی شبکه را کاهش می‌دهد.
از طرف دیگر، این موضوع به معنای امن بودن شبکه نیست. اگر سرویسی publish شود یا Rule اشتباه تعریف شود، همچنان می‌تواند هدف حمله قرار بگیرد.

2. انتشار کنترل‌شده سرویس‌ها

در طراحی امنیتی، هدف این نیست که کل شبکه در اینترنت قابل مشاهده باشد؛ بلکه فقط باید سرویس موردنیاز و آن هم فقط از طریق مسیر مشخص‌شده منتشر شود. در نتیجه، NAT نقش مهمی دارد.

فرض کنید یک وب‌سرور داخلی دارید: 192.168.50.10

و فقط می‌خواهید سرویس HTTPS آن از بیرون در دسترس باشد. در این حالت:

(192.168.50.10:443) → (185.x.x.x:443)

در این سناریو فقط پورت 443 منتشر می‌شود. یعنی:

  • IP داخلی مستقیماً در اینترنت دیده نمی‌شود.
  • فقط یک سرویس مشخص در دسترس است.
  • سطح حمله محدود می‌شود.

در واقع، از دید معماری امنیتی، این همان اصل کاهش سطح حمله (Attack Surface Reduction) است.

چرا محدود کردن سرویس‌های منتشرشده اهمیت دارد؟

وقتی یک سرور به اینترنت متصل می‌شود، هر سرویس قابل دسترس روی آن می‌تواند به نقطه ورود بالقوه برای حمله تبدیل شود. هرچه تعداد سرویس‌های منتشرشده بیشتر باشد، سطح حمله نیز بزرگ‌تر می‌شود.

برای مثال اگر فقط وب‌سایت را منتشر کرده باشید، معمولاً فقط ترافیک HTTP یا HTTPS از بیرون قابل دسترسی است. اما اگر بدون طراحی دقیق، سرویس‌های مدیریتی یا غیرضروری هم در دسترس باشند، مهاجم می‌تواند آن‌ها را شناسایی و بررسی کند؛ مثل:

  • SSH
  • RDP
  • پنل‌های مدیریتی
  • سرویس‌های API
  • پورت‌های دیتابیس

هدف این است که فقط سرویس موردنیاز و فقط از مسیر تعریف‌شده در دسترس باشد. NAT و Port Forwarding این امکان را فراهم می‌کنند که به جای انتشار کل سرور یا کل شبکه، فقط همان سرویسی که واقعاً نیاز دارید منتشر شود.

3. جداسازی دامنه‌های آدرس‌دهی

یکی از کاربردهای مهم NAT در شبکه‌های حرفه‌ای، حل مشکل همپوشانی آدرس‌ها (Overlapping Networks) است. یعنی، خیلی وقت‌ها چند شبکه مختلف، از رنج‌های مشابه استفاده می‌کنند.

مثلاً:

  • دفتر مرکزی: 192.168.1.0/24
  • شعبه: 192.168.1.0/24

اگر بخواهید بین این دو شبکه مستقیم Route بزنید، مشکل ایجاد می‌شود؛ چون هر دو طرف یک محدوده آدرس دارند. در نتیجه، در این سناریو NAT کمک می‌کند یکی از طرفین با یک رنج ترجمه‌شده دیده شود.

مثلاً:

Branch: 192.168.1.0/24
Translated as: 10.250.1.0/24

در نتیجه از دید دفتر مرکزی، شعبه با آدرس متفاوتی دیده می‌شود و تداخل از بین می‌رود.

این کاربرد در سناریوهای زیر بسیار رایج است:

  • Site-to-Site VPN
  • اتصال شعب سازمان
  • ادغام شرکت‌ها بعد از Merge
  •  Migration به Cloud
  • Hybrid Network
  • دیتاسنترهای چندمستاجره (Multi-tenant)

 

NAT در Cloud و Multi-WAN چرا مهم می‌شود؟

در معماری‌های مدرن، NAT در فایروال سوفوس فقط برای ترجمه آدرس استفاده نمی‌شود. در سناریوهای Cloud و Multi-WAN، NAT روی مسیر خروج ترافیک، IP قابل مشاهده در اینترنت و پایداری نشست‌های ارتباطی تأثیر مستقیم دارد.

وقتی یک سرور یا سرویس داخلی از شبکه خارج می‌شود، علاوه براینکه «آیا ارتباط برقرار می‌شود یا نه». موضوع مهم دیگر آن است که این ارتباط از کدام IP عمومی خارج می‌شود و پاسخ از همان مسیر برمی‌گردد یا خیر.

 

نقش NAT در Multi-WAN

به طور مثال در Sophos Firewall دو لینک اینترنت دارید:

  • ISP-A → 185.10.10.10
  • ISP-B → 91.20.20.20

همچنین یک سرور داخلی دارید: 192.168.10.20.

این سرور به یک سرویس خارجی متصل می‌شود؛ مثلاً:

  • API بانکی
  • درگاه پرداخت
  • سرویس مانیتورینگ
  • SaaS سازمانی

در این حالت، NAT تعیین می‌کند ترافیک خروجی این سرور با کدام IP عمومی در اینترنت دیده شود. مثلاً اگر Rule تعریف شود:

192.168.10.20 → 185.10.10.10

طرف مقابل همیشه درخواست را از IP اول دریافت می‌کند.

 

چرا NAT در Multi-WAN اهمیت دارد؟

بسیاری از سرویس‌های اینترنتی دسترسی را بر اساس Source IP کنترل می‌کنند.

برای مثال، در API Whitelisting فقط IPهای مشخص اجازه دسترسی دارند. اگر امروز درخواست از 185.10.10.10 ارسال شود و دفعه بعد از 91.20.20.20، سرویس مقابل ممکن است درخواست دوم را نامعتبر تشخیص دهد.

در عمل، این مسئله در این سناریوها بسیار رایج است:

  • APIهای مالی
  • درگاه‌های بانکی
  • پنل‌های مدیریتی
  • سرویس‌های Cloud خصوصی
  • سامانه‌های B2B
  • VPNهای مبتنی بر IP policy

 

اگر NAT در Multi-WAN درست طراحی نشود چه اتفاقی می‌افتد؟

وقتی NAT و مسیر خروجی همسو نباشند، مشکلاتی ایجاد می‌شود که ظاهراً شبیه اختلال شبکه‌اند اما منشأ آن‌ها طراحی اشتباه NAT است.

  • قطع متناوب ارتباط

یک نشست از لینک اول خارج می‌شود اما پاسخ از لینک دوم برمی‌گردد. در نتیجه Session از نگاه فایروال معتبر باقی نمی‌ماند.

  • Session Reset

فایروال وضعیت نشست را بر اساس state tracking نگه می‌دارد. اگر برگشت ترافیک با مسیر اولیه منطبق نباشد، نشست reset می‌شود.

  • Asymmetric Routing

بسته خروجی از یک مسیر عبور می‌کند اما بسته برگشتی از مسیر دیگری بازمی‌گردد. این یکی از رایج‌ترین مشکلات در محیط‌های چند لینک است.

  • شکست در احراز هویت مبتنی بر IP

اگر سرویس مقصد IP مبدأ را به عنوان بخشی از سیاست امنیتی بررسی کند، تغییر Public IP باعث رد شدن درخواست می‌شود.

مثال عملی:

فرض کنید سرور داخلی: 192.168.10.20

در ابتدا از لینک ISP-A خارج می‌شود:

192.168.10.20 → 185.10.10.10

پس، ارتباط برقرار می‌شود.

اما اگر در ادامه، به دلیل Load Balancing یا Routing Policy اشتباه، بخشی از همان نشست از ISP-B خارج شود:

192.168.10.20 → 91.20.20.20

از دید سرویس مقصد، درخواست از یک IP جدید آمده است. در نتیجه ممکن است:

  • نشست نامعتبر شود
  • پاسخ رد شود
  • اتصال قطع شود
  • درخواست timeout شود

 

NAT در Cloud چه نقشی دارد؟

در محیط‌های Cloud هم موضوع مشابه است، اما حساس‌تر است. بسیاری از سرویس‌های ابری روی IPهای مشخص‌شده کار می‌کنند. برای مثال:

  • API Gateway
  • Database as a Service
  • SaaS enterprise
  • Object Storage
  • Private Endpoint
  • مدیریت دسترسی بین محیط‌های Hybrid

در این سناریوها معمولاً فقط IPهای از پیش تعریف‌شده اجازه ارتباط دارند. به همین دلیل، NAT کمک می‌کند خروجی ترافیک از یک Public IP پایدار و قابل پیش‌بینی انجام شود.

مثال:

فرض کنید سرور داخلی شما باید به یک سرویس ابری متصل شود. ارائه‌دهنده Cloud فقط این IP را مجاز کرده است: 185.10.10.10

اگر ترافیک گاهی از IP دیگری خارج شود: 91.20.20.20

سرویس Cloud درخواست را رد می‌کند. در نتیجه، در چنین شرایطی مشکل از دسترس‌پذیری نیست؛ مشکل از ناپایداری هویت خروجی ترافیک است.

 

Port Forwarding در فایروال سوفوس چیست؟

در Sophos Firewall، Port Forwarding در واقع یک روش برای انتقال کنترل‌شده ترافیک از اینترنت به یک سرویس داخلی مشخص است. این کار از طریق Destination NAT انجام می‌شود؛ یعنی فایروال مقصد درخواست را تغییر می‌دهد و آن را به یک سرور داخلی هدایت می‌کند.

به عبارت دیگر، شما یک سرویس داخلی (مثل وب‌سایت یا API) دارید که نباید مستقیماً در اینترنت دیده شود، اما می‌خواهید از بیرون قابل دسترسی باشد. Port Forwarding این دسترسی را فقط برای یک پورت و یک سرویس مشخص ایجاد می‌کند.

مثال:

فرض کنید یک وب‌سرور داخلی دارید:

Internal Web Server: 192.168.10.20

این سرور نباید مستقیماً در اینترنت قابل دسترسی باشد. اما شما می‌خواهید سایت فقط از طریق HTTPS در دسترس باشد. پس روی فایروال یک Public IP دارید: Public IP: 185.x.x.x

همچنین، یک قانون Port Forwarding تعریف می‌کنید:

185.x.x.x:443 → 192.168.10.20:443

یعنی، وقتی کاربر بیرونی وارد سایت می‌شود، فقط این آدرس را می‌بیند: https://example.com

اما در اصل، اتفاقی که رخ میدهد:

  • درخواست به IP عمومی فایروال می‌رسد.
  • فایروال بررسی می‌کند این پورت (443) به کجا باید هدایت شود.
  • مقصد را به سرور داخلی ترجمه می‌کند.
  • درخواست به وب‌سرور داخلی ارسال می‌شود.

در واقع، Port Forwarding فقط یک «درگاه ورود کنترل‌شده» است، نه باز کردن کامل دسترسی به شبکه داخلی. یعنی:

  • فقط یک IP مشخص (فایروال) در اینترنت دیده می‌شود.
  • فقط یک پورت مشخص باز است (مثلاً 443).
  • فقط یک سرویس خاص قابل دسترسی است.
  • بقیه شبکه داخلی مخفی باقی می‌ماند.

 

Port Forwarding چیست؟

Port Forwarding = Destination NAT + Firewall Rule کنترل‌شده

از نظر معماری امنیتی: Port Forwarding یعنی انتشار محدود و هدفمند یک سرویس داخلی بدون افشای شبکه پشت آن.

 

چرا Port Forwarding در فایروال سوفوس اهمیت دارد؟

اگر Port Forwarding وجود نداشته باشد، معمولاً دو سناریو پیش می‌آید:

  • برای دسترسی از اینترنت، سرور به‌صورت مستقیم در معرض اینترنت قرار می‌گیرد که این کار سطح حمله را به‌شدت افزایش می‌دهد.
  • دسترسی خارجی به‌طور کامل بسته می‌ماند و هیچ سرویسی از بیرون قابل استفاده نیست.

Port Forwarding در واقع یک راه‌حل میانی و کنترل‌شده است که امکان دسترسی از بیرون را فراهم می‌کند، بدون اینکه شبکه داخلی در معرض دید قرار بگیرد:

  • فقط سرویس‌های موردنیاز در دسترس قرار می‌گیرند.
  • ساختار داخلی شبکه مخفی باقی می‌ماند.
  • دسترسی‌ها کاملاً روی پورت و سرویس مشخص کنترل می‌شوند.

در بسیاری از سناریوها لازم است یک سرویس داخلی مانند وب‌سایت، API یا Mail Server از اینترنت در دسترس باشد. اما این به معنی قرار دادن کل سرور یا کل شبکه داخلی در معرض اینترنت نیست.

 

Port Forwarding در فایروال سوفوس

 

تفاوت NAT در فایروال سوفوس و  Port Forwarding

ویژگی

 NAT

Port Forwarding

ماهیت

 مکانیزم کلی ترجمه آدرس کاربرد عملی NAT
جهت استفاده ورودی و خروجی

عمدتاً ورودی از اینترنت

تغییر اصلی

 Source IP، Destination IP، گاهی Port معمولاً Destination IP و Port
هدف کنترل ارتباط بین دامنه‌های آدرس‌دهی

انتشار یک سرویس داخلی مشخص

مثال

 خروج کاربران داخلی به اینترنت

انتشار وب‌سایت، API یا VPN

 

در NAT در فایروال سوفوس، NAT یک مکانیزم پایه برای بازنویسی آدرس‌ها در مرز شبکه است. Port Forwarding یکی از سناریوهای عملی آن است که برای هدایت ترافیک ورودی به یک سرویس داخلی مشخص استفاده می‌شود.

در واقع، هر Port Forwarding نوعی NAT است، اما هر NAT الزاماً Port Forwarding نیست.

 

نحوه پردازش ترافیک در Sophos Firewall

فرض کنید:

  • IP عمومی فایروال: Public IP: 185.x.x.x
  • وب‌سرور داخلی: 192.168.10.20
  • سرویس: HTTPS روی پورت 443

کاربر بیرونی وارد این آدرس می‌شود: https://example.com

در ظاهر فقط یک اتصال HTTPS است، اما در داخل فایروال چند مرحله پشت سر هم انجام می‌شود.

 

مرحله 1: دریافت بسته روی اینترفیس WAN

در اولین مرحله، بسته از سمت اینترنت وارد اینترفیس WAN فایروال می‌شود. در این لحظه فایروال اطلاعات اولیه بسته را می‌بیند:

  • Source IP (آدرس مبدأ)
  • Destination IP(آدرس مقصد)
  • پروتکل
  • شماره پورت

مثلاً:

  • Source: 203.0.113.10
  • Destination: 185.x.x.x
  • Port: 443

در این مرحله هنوز بسته به سرور داخلی نرسیده است و هیچ ترجمه‌ای انجام نشده است.

 

مرحله 2: بررسی NAT Rule

در این مرحله، فایروال سوفوس بررسی می‌کند آیا بسته ورودی با یکی از Ruleهای NAT تطابق دارد یا نه.

مثلاً اگر این Rule وجود داشته باشد:

185.x.x.x:443 → 192.168.10.20:443

فایروال تشخیص می‌دهد که مقصد این درخواست باید بازنویسی شود.

در این مرحله هنوز اجازه عبور صادر نشده است. فقط مشخص می‌شود که اگر بسته مجاز باشد، باید به کجا هدایت شود.

 

مرحله 3: اعمال ترجمه (Destination NAT)

بعد از تطبیق Rule، فایروال مقصد بسته را تغییر می‌دهد.

قبل از ترجمه:  IP: 185.x.x.x:443

بعد از ترجمه: 192.168.10.20:443

از این لحظه، فایروال بسته را به عنوان ترافیکی می‌بیند که مقصد آن سرور داخلی است. در این مرحله Port Forwarding اتفاق می‌افتد.

 

مرحله 4: Route Lookup

بعد از اعمال NAT، فایروال باید تصمیم بگیرد بسته از کدام مسیر داخلی عبور کند. به همین دلیل، جدول Route بررسی می‌شود. فایروال مشخص می‌کند:

  • مقصد ترجمه‌شده در کدام شبکه قرار دارد.
  • بسته باید از کدام اینترفیس خارج شود.
  • next-hop یا مسیر بعدی چیست.

این مرحله بسیار مهم است؛ چون اگر Route درست نباشد، NAT انجام می‌شود ولی بسته به مقصد نمی‌رسد.

 

مرحله 5: بررسی Firewall Rule

در این مرحله فایروال بررسی می‌کند آیا این ارتباط اجازه عبور دارد یا نه. در اینجا مواردی مثل این ارزیابی می‌شود:

  • Zone مبدأ (مثلاً WAN)
  • Zone مقصد (مثلاً DMZ یا LAN)
  • سرویس مجاز (مثلاً HTTPS)
  • آدرس‌های تعریف‌شده در Rule
  • زمان‌بندی یا شرط‌های اضافی

تصمیم امنیتی در این مرحله گرفته می‌شود. اگر Rule اجازه ندهد، حتی با وجود NAT و Route صحیح، بسته Drop می‌شود.

 

مرحله 6: Security Inspection

اگر ترافیک مجاز باشد، ممکن است وارد لایه‌های بازرسی امنیتی شود. بسته به Policy تعریف‌شده، ممکن است این ماژول‌ها فعال باشند:

  • IPS: شناسایی و جلوگیری از حملات شناخته‌شده
  • Geo Filtering: محدودسازی بر اساس کشور
  • Threat Intelligence / Reputation: بررسی اعتبار IP یا دامنه
  • Web Protection: کنترل محتوای وب
  • WAF: محافظت از برنامه‌های وب

در این مرحله، فایروال دیگر فقط آدرس را بررسی نمی‌کند؛ بلکه رفتار و ماهیت ترافیک را هم تحلیل می‌کند.

 

مرحله 7: ایجاد Session و ارسال به سرور داخلی

اگر همه مراحل قبلی موفق باشند، فایروال Session را در جدول وضعیت (State Table) ثبت می‌کند و بسته به سرور داخلی ارسال می‌شود.

مثلاً: 192.168.10.20:443

از اینجا به بعد پاسخ سرور نیز در قالب همان Session مدیریت می‌شود.

در عمل، بسیاری از مشکلات Port Forwarding دقیقاً از همین رعایت ترتیب مراحل ناشی می‌شوند. به طور نمونه،

1. NAT درست است ولی سرویس باز نمی‌شود

احتمالاً مشکل از یکی از این موارد است:

  • Firewall Rule
  • Route
  • Security Inspection
  • Service Object
  • Interface Binding

 

2. NAT کار می‌کند ولی پاسخ برنمی‌گردد

در این حالت معمولاً مشکل در این بخش‌هاست:

  • Asymmetric Routing
  • Return Path
  • Multi-WAN
  • Source NAT اشتباه

در نهایت:

  1. بسته وارد می‌شود
  2. NAT تطبیق می‌شود
  3. Route تعیین می‌شود
  4. Policy تصمیم می‌گیرد
  5. Inspection انجام می‌شود
  6. بسته عبور می‌کند

بسیاری از مدیران شبکه برعکس فکر می‌کنند و تصور می‌کنند ابتدا Rule بررسی می‌شود و بعد NAT. در نتیجه، این برداشت باعث عیب‌یابی اشتباه می‌شود.

 

انواع NAT در فایروال سوفوس

1. Source NAT (SNAT) چیست؟

Source NAT زمانی استفاده می‌شود که آدرس IP مبدأ در هنگام خروج از شبکه تغییر کند.یعنی، دستگاه‌های داخلی با IP خصوصی وارد اینترنت می‌شوند، اما در بیرون با یک IP عمومی دیده می‌شوند. مثال:

192.168.10.25 → 185.10.10.10

در اینجا فایروال IP داخلی را به IP عمومی تبدیل می‌کند.

کاربردها:

  • دسترسی کاربران داخلی به اینترنت
  • خروج سرورها به سرویس‌های Cloud
  • کنترل IP خروجی در Multi-WAN
  • مخفی‌سازی ساختار داخلی شبکه
  • SNAT باعث نمی‌شود شبکه امن شود، اما ساختار داخلی را از دید مستقیم اینترنت مخفی می‌کند.

 

2. Destination NAT (DNAT) چیست؟

Destination NAT زمانی استفاده می‌شود که مقصد ترافیک قبل از رسیدن به شبکه داخلی تغییر کند.

درخواست از اینترنت به IP عمومی می‌آید، اما به یک سرور داخلی هدایت می‌شود. مثال:

185.10.10.10:443 → 192.168.10.20:443

کاربردهای مهم:

  • Port Forwarding
  • انتشار وب‌سایت‌ها
  • دسترسی به API داخلی
  • انتشار Mail Server یا VPN
  • ارائه سرویس‌های عمومی از شبکه داخلی

نکته: DNAT پایه اصلی Port Forwarding است.

 

3. Full NAT (Two-Way NAT) چیست؟

در Full NAT، هم مبدأ (Source) و هم مقصد (Destination) همزمان تغییر می‌کنند. یعنی هم آدرس ورودی و هم آدرس خروجی بازنویسی می‌شود.

مثال:

Inside: 192.168.10.10 → Outside: 185.10.10.10
Return path also translated

کاربردهای مهم:

  • ارتباط بین شبکه‌های همپوشان (Overlapping Networks)
  • ادغام سازمان‌ها (M&A)
  • ارتباط دیتاسنترها
  • سناریوهای پیچیده VPN
  • Migration به Cloud

Full NAT معمولاً زمانی استفاده می‌شود که بدون NAT، Routing مستقیم ممکن نیست.

 

4. Masquerading NAT چیست؟

Masquerading نوعی Source NAT است که در آن چندین کلاینت داخلی با یک IP عمومی مشترک به اینترنت متصل می‌شوند. به طور مثال، همه کاربران داخلی پشت یک IP عمومی مخفی می‌شوند. مثال:

192.168.10.0/24 → 185.10.10.10

کاربردها:

  • اینترنت کاربران سازمانی
  • شبکه‌های خانگی و SME
  • سناریوهای ساده بدون Multi-IP

IP عمومی معمولاً از Interface خروجی به‌صورت خودکار گرفته می‌شود.

 

5. Static NAT چیست؟

در Static NAT یک رابطه یک‌به‌یک ثابت بین IP داخلی و IP عمومی ایجاد می‌شود. مثال:

192.168.10.20 ↔ 185.10.10.50

کاربردها:

  • سرورهای حساس
  • سرویس‌های دائمی (Web, Mail, DNS)
  • سیستم‌های نیازمند IP ثابت
  • APIهای سازمانی

برخلاف SNAT یا Masquerade، اینجا IP همیشه ثابت است.

 

تفاوت انواع NAT در فایروال سوفوس 

نوع NAT

 جهت تغییر آدرس چه چیزی تغییر می‌کند؟ کاربرد اصلی توضیحات
SNAT خروجی (LAN → WAN) فقط آدرس مبدأ دسترسی کاربران داخلی به اینترنت، خروج سرورها به Cloud

باعث می‌شود همه کاربران با IP عمومی دیده شوند

DNAT

 ورودی (WAN → LAN) فقط آدرس مقصد Port Forwarding، انتشار وب‌سرور و API پایه اصلی انتشار سرویس‌های داخلی
Static NAT دوطرفه ثابت یک IP داخلی ↔ یک IP عمومی سرورهای دائمی مثل Web, Mail, DNS

همیشه نگاشت 1 به 1 و ثابت دارد

Masquerade

 خروجی داینامیک آدرس مبدأ (گروهی) اینترنت کاربران شبکه‌های سازمانی و کوچک

چندین کلاینت با یک IP عمومی دیده می‌شوند

Full NAT

 دوطرفه (Source + Destination) هر دو آدرس مبدأ و مقصد شبکه‌های پیچیده، VPN، Cloud، شبکه‌های همپوشان

برای حل مشکل Routing در شبکه‌های ناسازگار استفاده می‌شود

 

 Port Forwarding در Sophos چگونه طراحی می‌شود؟

در فایروال Sophos، Port Forwarding فقط باز کردن یک پورت نیست. در طراحی حرفه‌ای، Port Forwarding یعنی ایجاد یک مسیر کنترل‌شده برای عبور ترافیک از اینترنت به یک سرویس داخلی مشخص میباشد، به صورتیکه فقط همان سرویس موردنیاز در دسترس باشد و بقیه بخش‌های شبکه داخلی در معرض اینترنت قرار نگیرند.

یعنی، وقتی کاربری از بیرون به IP عمومی فایروال روی یک پورت مشخص متصل می‌شود، فایروال باید سه تصمیم مهم بگیرد:

  • این درخواست به کدام سرور داخلی برسد؟
  • روی کدام سرویس اجازه عبور داشته باشد؟
  • آیا اصلاً این ارتباط از نظر Policy امنیتی مجاز است یا نه؟

به همین دلیل Port Forwarding در سوفوس معمولاً از سه جزء اصلی تشکیل می‌شود: Object، NAT و Firewall Policy.

 

اجزای اصلی Port Forwarding در Sophos

1. Host Object: تعریف مقصد داخلی

اولین مرحله، تعریف سرور داخلی است. در سوفوس بهتر است به جای استفاده مستقیم از IP، یک Host Object ساخته شود. این Object نماینده سروری است که قرار است ترافیک به آن برسد.

مثلاً:

WebServer-01 → 192.168.10.20

مزیت این روش این است که:

  • Ruleها خواناتر می‌شوند.
  • مدیریت ساده‌تر می‌شود.
  • اگر IP سرور تغییر کند، فقط Object به‌روزرسانی می‌شود.
  • در محیط‌های عملیاتی، این موضوع در نگهداری و عیب‌یابی بسیار مهم است.

2. Service Object: تعریف سرویس و پورت

در مرحله بعد مشخص می‌شود کدام سرویس باید منتشر شود.

مثلاً برای HTTPS:  HTTPS → TCP/443

در این مرحله تعیین می‌شود کدام نوع ترافیک باید از اینترنت اجازه ورود داشته باشد. از این رو، بهتر است فقط سرویس‌های ضروری منتشر شوند.

برای مثال:

  • فقط پورت‌هایی منتشر شوند که سرویس واقعاً به آن‌ها نیاز دارد؛ برای مثال در یک وب‌سایت عمومی معمولاً فقط پورت 443 کافی است.
  • از باز کردن رنج‌های گسترده پورت خودداری شود؛ چون هر پورت اضافه می‌تواند سطح حمله را افزایش دهد.
  • سرویس‌های مدیریتی مانند SSH، RDP و پنل‌های مدیریت، بدون ضرورت عملیاتی در اینترنت منتشر نشوند.
  • اگر دسترسی مدیریتی از بیرون لازم است، آن را با VPN، محدودسازی IPهای مجاز یا Ruleهای دسترسی محدود کنترل شوند.

 

3. NAT Rule: ترجمه مقصد

در این مرحله فایروال مشخص می‌کند وقتی ترافیک از اینترنت به IP عمومی برسد، مقصد آن باید به چه آدرسی ترجمه شود. مثلاً:

185.x.x.x:443 → 192.168.10.20:443

یعنی، وقتی کاربر بیرونی به IP عمومی فایروال روی پورت 443 متصل شود، فایروال مقصد را به سرور داخلی تغییر می‌دهد. از نظر فنی این همان Destination NAT (DNAT) است. در واقع، NAT هنوز به معنای مجاز بودن ارتباط نیست؛ فقط مسیر ترجمه را مشخص می‌کند.

 

4. Firewall Rule: تصمیم امنیتی

بعد از ترجمه مقصد، فایروال بررسی می‌کند آیا این ارتباط باید اجازه عبور داشته باشد یا نه. در این مرحله مواردی مثل این ارزیابی می‌شود:

  • Zone مبدأ: WAN
  • Zone مقصد: LAN یا DMZ
  • سرویس: HTTPS
  • مقصد: WebServer-01

اگر Rule اجازه ندهد، حتی با وجود NAT صحیح، ترافیک عبور نمی‌کند. به همین دلیل از نظر معماری، NAT مسیر را تعیین می‌کند، Firewall Policy  تصمیم امنیتی را می‌گیرد.

 

سناریوی عملی Port Forwarding در Sophos

فرض کنید این ساختار وجود دارد:

  • Public IP فایروال: IP: 185.x.x.x
  • وب‌سرور داخلی: 192.168.50.10
  • سرویس: HTTPS

کاربر بیرونی وارد این آدرس می‌شود: https://example.com

مسیر واقعی داخل فایروال:

185.x.x.x:443 → 192.168.50.10:443

در پشت صحنه، این اتفاق می‌افتد:

  1. بسته از اینترنت وارد WAN می‌شود.
  2. NAT Rule مقصد را ترجمه می‌کند.
  3. Route تعیین می‌شود.
  4. Firewall Policy اجازه عبور را بررسی می‌کند.
  5. Security Inspection اعمال می‌شود.
  6. بسته به سرور داخلی ارسال می‌شود.

این همان طراحی واقعی Port Forwarding در سوفوس است.

 

طراحی امن Port Forwarding در Sophos

بعد از تعریف Ruleهای NAT و Firewall، بهتر است چند اصل مهم امنیتی رعایت شود تا سرویس منتشرشده هم قابل دسترس باشد و هم سطح حمله غیرضروری ایجاد نکند.

1. قرار دادن سرور در DMZ

اگر قرار است سرویسی از اینترنت منتشر شود، مثل وب‌سایت، API یا Mail Server بهتر است سرور در DMZ قرار بگیرد، نه در LAN. به این دلیل که DMZ یک ناحیه شبکه‌ای جدا از شبکه داخلی است. در نتیجه، اگر سرور اینترنتی compromise شود، مهاجم مستقیماً به شبکه کاربران، سیستم‌های داخلی یا سرورهای سازمانی دسترسی نخواهد داشت. در واقع، این همان اصل Network Segmentation است.

 

2. محدود کردن سطح دسترسی

در طراحی Port Forwarding، بهتر است Ruleها تا حد ممکن محدود باشند تا فقط همان ترافیکی عبور کند که واقعاً موردنیاز است.

برای مثال:

  • فقط سرویس موردنیاز منتشر شود.
  • فقط پورت لازم باز باشد.
  • در صورت امکان مبدأهای مجاز محدود شوند.
  • Logging برای تحلیل و عیب‌یابی فعال باشد.

 

3. استفاده از لایه‌های امنیتی تکمیلی

Port Forwarding فقط مسیر ورود ترافیک را ایجاد می‌کند. اما تشخیص اینکه ترافیک سالم است یا مخرب، وظیفه لایه‌های امنیتی دیگر است.

در فایروال سوفوس معمولاً از این مکانیزم‌ها استفاده می‌شود:

  • IPS: برای شناسایی حملات شناخته‌شده
  • Geo Filtering: برای محدودسازی بر اساس موقعیت جغرافیایی
  • Threat Intelligence: برای ارزیابی اعتبار IPها و منابع مخرب
  • WAF: برای محافظت از سرویس‌های وب در لایه 7

 

 بهترین روش‌های انتشار سایت روی فایروال سوفوس

  • فقط پورت‌های ضروری را منتشر کنید

در انتشار یک سایت عمومی، بهتر است فقط همان پورت‌هایی باز باشند که سرویس واقعاً به آن‌ها نیاز دارد. معمولاً برای وب‌سایت‌ها این پورت‌ها کافی هستند:

  • 80/TCP برای HTTP
  • 443/TCP برای HTTPS

باز کردن پورت‌های اضافی بدون نیاز عملیاتی مشخص، سطح حمله را افزایش می‌دهد. هر پورتی که از اینترنت قابل دسترس باشد، می‌تواند به نقطه‌ای برای شناسایی سرویس، اسکن یا تلاش برای سوءاستفاده تبدیل شود.

 

  • از Any Source فقط در صورت ضرورت استفاده کنید

در بسیاری از سناریوها، تعریف مبدأ به‌صورت Any یعنی هر آدرس اینترنتی می‌تواند به سرویس شما درخواست ارسال کند. برای سرویس‌های عمومی این موضوع همیشه قابل اجتناب نیست، اما در سرویس‌های مدیریتی یا دسترسی‌های محدود بهتر است دامنه مبدأ تا حد امکان محدود شود.

در صورت نیاز، می‌توان از این مکانیزم‌ها برای کاهش سطح دسترسی استفاده کرد:

  • Geo Restriction برای محدودسازی دسترسی بر اساس موقعیت جغرافیایی
  • Country Filtering برای مسدودسازی کشورهایی که ارتباط تجاری یا عملیاتی با آن‌ها ندارید
  • IP Reputation برای شناسایی آدرس‌های مشکوک یا مخرب
  • Threat Feed برای جلوگیری از ارتباط با منابع شناخته‌شده تهدید

این لایه‌ها کمک می‌کنند سرویس در برابر حجم زیادی از درخواست‌های ناخواسته از همان مرز ورودی فیلتر شود.

 

  • برای سرویس‌های وب از WAF استفاده کنید

در سرویس‌های مبتنی بر وب، Port Forwarding فقط ترافیک را به سرور داخلی هدایت می‌کند. اما بررسی اینکه محتوای این ترافیک سالم است یا مخرب، در حوزه Web Application Firewall (WAF) قرار می‌گیرد. WAF در لایه کاربرد (Layer 7) کار می‌کند و می‌تواند بسیاری از الگوهای حمله به برنامه‌های وب را شناسایی یا مسدود کند.

نمونه‌هایی از حملاتی که WAF در برابر آن‌ها مفید است:

  • SQL Injection
  • Cross-Site Scripting (XSS)
  • Path Traversal
  • File Inclusion

اگر وب‌سایت، پنل مدیریتی، API یا هر سرویس HTTP/HTTPS در اینترنت منتشر می‌کنید، استفاده از WAF یکی از مهم‌ترین لایه‌های دفاعی است.

 

  • Ruleهای NAT را مستندسازی کنید

در شبکه‌های سازمانی، یکی از مشکلات رایج این است که با گذشت زمان تعداد Ruleها زیاد می‌شود و مشخص نیست هر Rule برای چه هدفی ایجاد شده است. این وضعیت معمولاً با عنوان Rule Sprawl شناخته می‌شود. به همین دلیل، برای اینکه مدیریت، عیب‌یابی و بازبینی امنیتی ساده‌تر باشد، بهتر است برای هر Rule حداقل این اطلاعات ثبت شود:

  • مالک سرویس: مسئول فنی یا تیم مربوطه
  • دلیل ایجاد Rule: چه نیازی باعث ایجاد آن شده است
  • تاریخ ایجاد: زمان تعریف یا اعمال تغییر
  • سطح حساسیت سرویس: عمومی، داخلی، حساس، حیاتی
  • وابستگی‌ها: سرور، دامنه، API یا سرویس‌هایی که به آن وابسته‌اند

این مستندسازی در زمان تغییرات، مهاجرت سرویس‌ها و تحلیل رخدادهای امنیتی بسیار ارزشمند است.

 

اشتباهات رایج در Port Forwarding در فایروال سوفوس

1. انتشار سرور در LAN به‌جای DMZ

یکی از اشتباهات مهم این است که سرویس‌هایی که از اینترنت در دسترس هستند، مستقیماً در شبکه داخلی (LAN) قرار می‌گیرند. از این رو، مشکل این طراحی این است که، اگر سرور وب، API یا هر سرویس اینترنتی در LAN باشد و مورد حمله یا نفوذ قرار بگیرد، مهاجم می‌تواند از همان سرور به سایر منابع داخلی شبکه حرکت کند.

راه‌حل:

  • قرار دادن سرورهای Public در DMZ
  • جداسازی کامل شبکه داخلی از سرویس‌های اینترنتی
  • محدود کردن ارتباط DMZ با LAN فقط در حد نیاز

 

2. باز کردن رنج وسیع پورت‌ها

یکی دیگر از اشتباهات رایج، باز کردن تعداد زیادی پورت بدون نیاز واقعی است. مثلاً: 1-65535.

این یعنی تقریباً تمام پورت‌ها برای دسترسی باز شده‌اند. مشکل این کار این است که:

  • هر پورت باز = یک سطح حمله جدید
  • افزایش احتمال اسکن و کشف سرویس‌ها
  • دشوار شدن کنترل امنیتی
  • افزایش ریسک سوءاستفاده از سرویس‌های ناخواسته

در طراحی صحیح، باید فقط همان پورت‌هایی باز شوند که سرویس واقعاً به آن‌ها نیاز دارد (مثلاً 80 و 443 برای وب‌سایت).

 

3. عدم استفاده از Log Monitoring

در بسیاری از پیاده‌سازی‌ها، Ruleها درست کار می‌کنند اما هیچ مانیتورینگی روی آن‌ها وجود ندارد. این باعث می‌شود:

  • حملات دیده نشوند
  • تلاش‌های نفوذ ثبت نشوند
  • رفتارهای غیرعادی شناسایی نشوند

در یک طراحی استاندارد، باید موارد زیر بررسی شوند:

  • Connection Logs: چه کسی به سرویس وصل شده
  • Denied Traffic: چه درخواست‌هایی رد شده‌اند
  • IPS Alerts: چه حملاتی شناسایی شده‌اند
  • Abnormal Scanning: رفتارهای مشکوک یا اسکن پورت‌ها

بدون این داده‌ها، دیدی نسبت به وضعیت امنیتی سرویس وجود ندارد.

 

4. اشتباه در ترتیب Ruleها (Rule Order)

در Sophos، Ruleها از بالا به پایین بررسی می‌شوند. اگر یک Rule عمومی بالاتر از Rule دقیق‌تر قرار بگیرد، ممکن است باعث شود:

  • Rule صحیح، اصلاً اجرا نشود .
  • ترافیک اشتباه تطبیق داده شود .
  • سرویس به‌درستی کار نکند یا ناخواسته باز شود

مثلاً اگر یک Rule عمومی “Allow All WAN to LAN” بالاتر از یک Rule محدود برای وب‌سرور باشد، عملاً کنترل امنیتی از بین می‌رود.

 

NAT Reflection (Hairpin NAT) چیست؟

گاهی کاربران داخل سازمان، برای دسترسی به وب‌سایت داخلی از همان دامنه عمومی استفاده می‌کنند.

مثلاً کاربر داخلی این آدرس را باز می‌کند: https://example.com

اما دامنه example.com به IP عمومی فایروال resolve شده است.

کاربر داخل شبکه می‌خواهد به سرویسی برسد که ظاهراً روی اینترنت قرار دارد، در حالی که سرور واقعاً داخل شبکه داخلی است.

در این سناریو، فایروال باید بتواند درخواست را دوباره به داخل برگرداند و آن را به سرور واقعی هدایت کند. همین رفتار را NAT Reflection یا Hairpin NAT می‌گویند.

 

چرا NAT Reflection مهم است؟

اگر این قابلیت وجود نداشته باشد، معمولاً یکی از این مشکلات رخ می‌دهد:

  • کاربران داخلی نمی‌توانند با دامنه عمومی سایت را باز کنند
  • داخل شبکه و بیرون شبکه رفتار DNS متفاوت می‌شود
  • تست سرویس پیچیده می‌شود
  • تجربه کاربری ناسازگار می‌شود

در محیط‌های سازمانی، این موضوع مخصوصاً زمانی مهم است که:

  • کاربران داخلی و بیرونی از یک URL مشترک استفاده می‌کنند
  • سرویس‌های داخلی از طریق دامنه عمومی منتشر شده‌اند
  • ساختار DNS داخلی و خارجی یکسان نگه داشته می‌شود

 

 آیا NAT در فایروال سوفوس امنیت ایجاد می‌کند؟

NAT در فایروال سوفوس هیچ تصمیمی درباره موارد زیر نمی‌گیرد:

  • مجاز بودن یا نبودن ترافیک
  • شناسایی حملات
  • جلوگیری از نفوذ
  • کنترل دسترسی کاربران

به همین دلیل NAT در فایروال سوفوس به‌تنهایی نمی‌تواند نقش امنیتی کامل ایفا کند.

 

امنیت واقعی از دارایی‌های شبکه چگونه تأمین می‌شود؟

1. Least Privilege (حداقل دسترسی)

هر کاربر یا سرویس فقط باید به حداقل منابع موردنیاز خود دسترسی داشته باشد. این اصل باعث می‌شود در صورت نفوذ، دامنه آسیب محدود بماند.

 

2. Segmentation (تفکیک شبکه)

شبکه به بخش‌های جداگانه مثل LAN، DMZ و WAN تقسیم می‌شود تا:

  • دسترسی مستقیم بین همه بخش‌ها وجود نداشته باشد
  • سرویس‌های اینترنتی از شبکه داخلی جدا شوند

 

3. IPS (Intrusion Prevention System)

سیستمی برای شناسایی و جلوگیری از حملات شناخته‌شده مانند:

  • Exploitها
  • اسکن پورت
  • حملات شبکه‌ای

 

4. WAF (Web Application Firewall)

محافظت از برنامه‌های وب در برابر حملات لایه 7 مانند:

  • SQL Injection
  • XSS
  • Path Traversal

 

5. Access Policy (سیاست‌های دسترسی)

در فایروال تعیین می‌کند:

  • چه کسی
  • از کجا
  • به چه سرویسی
    دسترسی داشته باشد

 

6. Monitoring (مانیتورینگ)

برای مشاهده و تحلیل رفتار شبکه استفاده می‌شود، شامل:

  • لاگ اتصال‌ها
  • ترافیک رد شده
  • رفتارهای مشکوک
  • تلاش‌های نفوذ

 

7. Threat Detection (تشخیص تهدید)

شناسایی الگوهای حمله و رفتارهای غیرعادی بر اساس:

  • Threat Intelligence
  • Reputation IP
  • Signature و Behavior Analysis