کد 40

آموزش ساخت VIP در FortiGate

در FortiGate، Virtual IP یا VIP با استفاده از DNAT ترافیک ورودی به یک IP عمومی را به یک IP داخلی هدایت می‌کند. این قابلیت برای دسترسی کاربران خارجی به سرویس‌های داخلی مانند وب‌سرور یا ایمیل‌سرور بدون نمایش IP داخلی به کار می‌رود و امکان تنظیم پورت‌ها را نیز فراهم می‌سازد.

آموزش Virtual IP در FortiGate همراه با مثال

Network Address Translation یا NAT فرآیندی است که به یک دستگاه واحد مانند روتر یا فایروال (Firewall) اجازه می‌دهد تا به عنوان واسطه‌ای بین اینترنت یا شبکه عمومی (Public Network) و شبکه محلی یا خصوصی (Local/Private Network) عمل کند. این واسطه به صورت لحظه‌ای (Real-Time) آدرس IP مبداء یا مقصد یک کلاینت یا سرور را روی Interface شبکه (Network Interface) ترجمه می‌کند. NAT به دو نوع تقسیم می‌شود:

  • NAT مبداء (Source NAT یا SNAT)
  • NAT مقصد (Destination NAT یا DNAT)

این بخش به NAT مقصد (DNAT) می‌پردازد.یک Virtual IP یا VIP آدرس‌های IP External را برای DNAT به آدرس‌های IP Internal، Map می‌کند.

 

انواع مختلف VIPهایی که می‌توان ایجاد کرد شامل موارد زیر است:

  • Static VIP: یک IP Virtual که یک آدرس IP یا بازه‌ای را به آدرس یا بازه دیگری Map می‌کند. تنظیمات سفارشی این امکان را می‌دهد که VIP بر اساس Source Address و/یا Services فیلتر شود، به طوری که VIP فقط به ترافیک فیلتر شده اعمال شود.
  • Static VIP with Services: این نوع VIP امکان تعریف Serviceها برای Map کردن یک شماره پورت مشخص را فراهم می‌کند.
  • Static VIP with Port Forwarding: این نوع IP Virtual شماره پورت سرور داخلی را پنهان می‌کند یا چند سرور داخلی را به یک آدرس IP Public یکسان Map می‌کند.
  • VIP مبتنی بر FQDN: یک IP Virtual که به یک FQDN، Map می‌شود.
  • تعادل بار سرور Virtual (Virtual Server Load Balancing): نوع خاصی از VIP که برای پیاده‌سازی تعادل بار سرور استفاده می‌شود. VIPهای Virtual همچنین می‌توانند برای تعادل بار سرور در چند نمودار (Multiplexing) استفاده شوند.
  • Central DNAT: نت مقصد(DNAT) طریق ایجاد VIPهای Virtual و انتخاب VIPها در Firewall Policy پیکربندی می‌شود، اما NAT Central مستقیماً در Firewall Policy پیکربندی نمی‌شود. NAT Central در تنظیمات سیستم (System Settings) فعال می‌شود. وقتی فعال شد، گزینه Central SNAT Policy در Policy & Objects نمایش داده می‌شود. از Central SNAT Policy برای پیکربندی VIPها به عنوان Object جداگانه استفاده کنید. تجهیز NAT Ruleهای فعال شده را از بالا به پایین می‌خواند تا به Rule که تطابق دارد برسد.

 

Static VIP

 (Static Virtual IPs یا VIP) برای Map کردن آدرس‌های IP External به آدرس‌های IP Internal استفاده می‌شوند. این روش که به عنوان NAT Destination شناخته می‌شود، جایی است که مقصد یک بسته (Packet) به آدرس دیگری Map می‌شود. VIPهای استاتیک معمولاً برای Map کردن آدرس‌های IP Public به منابعی در پشت FortiGate که از آدرس‌های IP Privet استفاده می‌کنند، به کار می‌روند. VIP یک به یک (One-to-One VIP) زمانی استفاده می‌شود که تمام بازه پورت‌ها (Port Range) Map شود. در حالی که VIP با انتقال پورت (Port Forwarding VIP) برای زمانی است که Map کردن فقط روی یک پورت خاص یا بازه پورت تنظیم شده باشد.

SD-WAN00

وقتی NAT Central فعال شود، دیگر DNAT در صفحه Policy & Objects > Virtual IPs پیکربندی نمی‌شود و به جای آن در صفحه Policy & Objects > DNAT & Virtual IPs پیکربندی می‌شود.

 

Configuring VIPs

IPهای Virtual (VIP) می‌توانند برای هر دو نسخه IPv4 و IPv6 پیکربندی شوند. پس از ایجاد VIP، آن را به یک Firewall Policy اضافه کنید. سیستم عامل FortiOS بررسی نمی‌کند که آیا VIPها همپوشانی (Overlap) دارند یا خیر؛ بنابراین، می‌توانید چندین VIP با Interface و IP Virtual یکسان تنظیم کنید. با این حال، می‌توانید VIPهای همپوشان را در گزارش رتبه‌بندی امنیتی (Security Rating Report) مشاهده کنید.

برای پیکربندی یک VIP در GUI:

  1. به مسیر Policy & Objects > Virtual IPs بروید.
  2. زبانه Virtual IP را انتخاب کرده و روی Create New کلیک کنید.
  3. تنظیمات را پیکربندی کنید:

External Interface که باید با Source Interface که در Firewall Policy خورده است مطابقت داشته باشد.

Interface

CLI: extintf

 Network

Static NAT: استفاده از آدرس IP Virtual یا بازه.

FQDN: استفاده از آدرس IP Virtual یا FQDN.

بار تعادل (Load Balance - فقط CLI): تعادل بار برای ترافیک.

تعادل بار سرور (Server Load Balance): تعادل بار ترافیک بین چندین سرور. پردازش SSL می‌تواند به FortiGate واگذار شود.

ترجمه DNS (DNS Translation - فقط CLI): ترجمه DNS.پروکسی دسترسی (Access Proxy): برای ZTNA استفاده می‌شود.

Type

CLI: type

 
در یک NAT VIP Static، این آدرس IP Virtual است که FortiGate ترافیک را بر روی آن گوش می‌دهد. هنگامی که Interface Virtual مشخص نیست، مقدار 0.0.0.0 می‌تواند برای برابر قرار دادن آدرس IP Virtual با آدرس IP Interface Virtual استفاده شود.

External IP Address/Range

CLI: extip

IP Address یا IP Range که Internal Resource به آن Map می‌شود.

 CLI: mappedip Map to

یک به یک (One to One): هر پورت سرویس Virtual به یک پورت داخلی Map کردن می‌شود.

چند به چند (Many to Many): Map کردن پورت می‌تواند یک به یک، یک به چند یا چند به یک باشد.

 CLI: portforward Port Forwarding

 

Configuring VIP Groups

آدرس‌های IP Virtual (Virtual IP یا VIP) می‌توانند به گروه‌ها سازماندهی شوند. پس از ایجاد گروه VIP، آن را به Firewall Policy اضافه کنید. گروه‌های VIP زمانی مفید هستند که چندین VIP در Firewall Policy به صورت همزمان استفاده شوند. اگر اعضای گروه VIP تغییر کنند یا تنظیمات یک عضو گروه، مانند آدرس IP، پورت یا نوع Map کردن پورت، تغییر یابد، این تغییرات به طور خودکار در Firewall Policy مربوطه به‌روزرسانی می‌شوند.

برای پیکربندی یک گروه VIP در GUI:

  1. به Policy & Objects > Virtual IPs بروید.
  2. به زبانه Virtual IP Group یا IPv6 Virtual IP Group بروید.
  3. روی Create new کلیک کنید.
  4. برای گروه‌های IPv4، Interface را انتخاب کنید. اگر همه VIPها در یک Interface باشند، Interface خاصی را انتخاب کنید؛ در غیر این صورت، گزینه any را انتخاب کنید.
  5. در فیلد Members روی + کلیک کرده و اعضایی را که می‌خواهید به گروه اضافه کنید انتخاب کنید.
  6. روی OK کلیک کنید.

 

Virtual IP with Services

VIP با Services یک حالت انعطاف‌پذیرتر از IP Virtual است. این حالت به کاربران اجازه می‌دهد خدماتی را برای Map کردن یک شماره پورت مشخص تعریف کنند.

پیکربندی نمونه

مثال: این موضوع نحوه استفاده از VIP با Service فعال شده را نشان می‌دهد. این مثال دارای یک آدرس IP Virtual عمومی است. ما پورت‌های TCP 8080، 8081 و 8082 را به پورت TCP 80 یک وب‌سرور داخلی Map می‌کنیم. این تنظیم امکان برقراری ارتباط اتصالات از راه دور با سروری در پشت Firewall را فراهم می‌کند.

برای ایجاد یک VIP با خدمات در GUI:

  1. به Policy & Objects > Virtual IPs بروید و زبانه Virtual IP را انتخاب کنید.
  2. روی Create new کلیک کنید.
  3. فیلدهای بخش Network را پیکربندی کنید. به عنوان مثال:
    • Interface را به any تنظیم کنید.
    • External IP Address/Range را به 10.1.100.199 تنظیم کنید.
    • Map کردنped IP Address/Range را به 172.16.200.55 تنظیم کنید.
  4. Optional Filters را فعال کنید و سپس Services را نیز فعال کنید.
  5. در فیلد Services، پورت‌های TCP 8080، 8081 و 8082 را اضافه کنید.
  6. Port Forwarding را فعال کنید و Map کردن to IPv4 port را به 80 تنظیم کنید.
  7. روی OK کلیک کنید.

VIP1

برای دیدن نتایج:

  1. VIP فوق را به Firewall Policy اعمال کنید.
  2. نتایج به این صورت خواهد بود:
    • دسترسی به 10.1.100.199:8080 از شبکه Virtual توسط FortiGate به 172.16.200.55:80 در شبکه داخلی Map می‌شود.
    • دسترسی به 10.1.100.199:8081 از شبکه Virtual توسط FortiGate به 172.16.200.55:80 در شبکه داخلی Map می‌شود.
    • دسترسی به 10.1.100.199:8082 از شبکه Virtual توسط FortiGate به 172.16.200.55:80 در شبکه داخلی Map می‌شود.

 

Virtual IPs with Port Forwarding

اگر نیاز دارید شماره پورت سرور داخلی را پنهان کنید یا چند سرور داخلی را به همان آدرس IP عمومی Map کردن کنید، انتقال پورت (Port Forwarding) را برای VIP فعال کنید.

پیکربندی نمونه

مثال: این موضوع نحوه استفاده از VIPها برای پیکربندی انتقال پورت بر روی یک واحد FortiGate را نشان می‌دهد. این مثال دارای یک آدرس IP Virtual عمومی است. ما پورت‌های TCP 8080، 8081 و 8082 را به پورت TCP 80 سرورهای داخلی مختلف Map کردن می‌کنیم. این تنظیم اجازه می‌دهد تا اتصالات از راه دور با سرورهای موجود در پشت Firewall Policy FortiGate ارتباط برقرار کنند.

برای ایجاد یک VIP با انتقال پورت در GUI:

  1. به Policy & Objects > Virtual IPs بروید و زبانه Virtual IP را انتخاب کنید.
  2. روی Create new کلیک کنید.
  3. یک نام منحصر به فرد برای VIP وارد کنید.
  4. فیلدهای بخش Network را پیکربندی کنید. به عنوان مثال:
    • Interface را به any تنظیم کنید.
    • External IP Address/Range را به 10.1.100.199 تنظیم کنید.
    • Map کردنped IP Address/Range را به 172.16.200.55 تنظیم کنید.
  5. Optional Filters را غیرفعال بگذارید.
  6. Port forwarding را فعال کرده و فیلدها را پیکربندی کنید. به عنوان مثال:
    • Protocol را به TCP تنظیم کنید.
    • External Service Port را به 8080 تنظیم کنید.
    • Map کردن to IPv4 port را به 80 تنظیم کنید.

      VIP2

  7. روی OK کلیک کنید.
  8. مراحل بالا را برای ایجاد دو VIP دیگر تکرار کنید.
    • برای یکی از VIPها:
    • از یک آدرس یا بازه IP Map کردنی متفاوت استفاده کنید، به عنوان مثال 172.16.200.56.
    • External Service Port را به 8081 تنظیم کنید.
    • از همان شماره Map کردن to IPv4 port، یعنی 80 استفاده کنید.
    • برای VIP دیگر:
    • از یک آدرس یا بازه IP Map کردنی متفاوت استفاده کنید، به عنوان مثال 172.16.200.57.
    • External Service Port را به 8082 تنظیم کنید.
    • از همان شماره Map کردن to IPv4 port، یعنی 80 استفاده کنید.
  9. یک گروه VIP ایجاد کنید و سه VIP قبلاً ایجاد شده را به آن گروه اضافه کنید:
    • به Policy & Objects > Virtual IPs بروید و زبانه Virtual IP Group را انتخاب کنید.
    • روی Create new کلیک کنید.
    • یک نام برای گروه وارد کنید.
    • سه VIP قبلاً ایجاد شده را به عنوان اعضا اضافه کنید.
    • روی OK کلیک کنید.

VIP3

برای دیدن نتایج:

  1. گروه VIP را به Firewall Policy اعمال کنید.
  2. نتایج به این صورت خواهد بود:
    • دسترسی به 10.1.100.199:8080 از شبکه Virtual توسط FortiGate به 172.16.200.55:80 در شبکه داخلی Map می‌شود.
    • دسترسی به 10.1.100.199:8081 از شبکه Virtual توسط FortiGate به 172.16.200.56:80 در شبکه داخلی Map می‌شود.
    • دسترسی به 10.1.100.199:8082 از شبکه Virtual توسط FortiGate به 172.16.200.57:80 در شبکه داخلی Map می‌شود.

 

Configure FQDN-based VIPs

در محیط‌های ابر عمومی، گاهی لازم است یک VIP به یک آدرس FQDN Map شود.

برای پیکربندی یک VIP مبتنی بر FQDN در GUI:

  1. به Policy & Objects > Virtual IPs بروید و زبانه Virtual IP را انتخاب کنید.
  2. روی Create new کلیک کنید.
  3. یک نام برای VIP وارد کنید.
  4. یک Interface را انتخاب کنید.
  5. برای نوع (Type)، FQDN را انتخاب کنید.
  6. برای آدرس Virtual (External)، IP را انتخاب کرده و آدرس IP Virtual را وارد کنید.
  7. برای آدرس Map کردنی، یک آدرس FQDN انتخاب کنید.
  8. روی OK کلیک کنید.

VIP4


VIP چیست و چرا از آن استفاده می‌کنیم؟

VIP یا Virtual IP، یک آدرس IP مجازی است که به کمک آن ترافیک از آدرس Public IP به آدرس IP داخلی هدایت می‌شود. از آن به منظور دسترسی از اینترنت به سرورهای داخلی بدون نمایش مستقیم IP واقعی استفاده می‌کنیم.
بستن

آیا می‌توان چندین پورت مختلف را روی یک VIP تنظیم کرد؟

بله، FortiGate از "Port Forwarding" پشتیبانی می‌کند و می‌توانید پورت‌های خاصی را برای هر VIP تعیین کنید، به عنوان مثال فقط پورت‌های 80 و 443 برای دسترسی وب.
بستن

چرا ترافیک به VIP من هدایت نمی‌شود؟

مشکلات رایج شامل عدم تنظیم صحیح Policy مربوطه، عدم ارتباط VIP با Firewall Policy، و یا مسدود شدن ترافیک توسط سایر قوانین امنیتی است. بررسی کنید که VIP شما به طور صحیح در Policyها اضافه شده و دارای اولویت مناسب باشد.
بستن

تفاوت بین NAT و DNAT در FortiGate چیست؟

NAT یا Network Address Translation معمولاً برای ترجمه Private IP به Public IP استفاده می‌شود. DNAT یا Destination NAT که در FortiGate به عنوان VIP شناخته می‌شود، برای ترجمه آدرس مقصد از Public IP به Private IP به کار می‌رود.
بستن

آیا VIP می‌تواند چندین آدرس IP داخلی را پوشش دهد؟

خیر، هر VIP برای یک IP مقصد خاص تنظیم می‌شود. اما می‌توانید چندین VIP ایجاد کنید و آن‌ها را به Firewall Policy مختلف مرتبط کنید.
بستن

آیا FortiGate به صورت خودکار Port Forwarding انجام می‌دهد؟

خیر، FortiGate به صورت پیش‌فرض Port Forwarding را انجام نمی‌دهد و شما باید به صورت دستی آن را در تنظیمات VIP فعال کنید.
بستن
آخرین بروزرسانی
۲۹ مهر ۱۴۰۳ 
تعداد کلیک
۵۸