بررسی Modeهای عملیاتی FortiGate
دستگاههای FortiGate دارای حالتهای عملیاتی مختلفی هستند که بسته به نیازهای شبکه میتوان آنها را تنظیم کرد. دو حالت اصلی عملیاتی شامل NAT Mode و Transparent Mode میشوند. هر دو حالت اجازه میدهند فورتیگیت به عنوان فایروال عمل کند، اما برخی ویژگیها در Transparent Mode محدود هستند.
همیشه بهتر است پیش از راهاندازی دستگاه، تصمیم بگیرید از کدام حالت استفاده خواهید کرد. تغییر حالت عملیاتی پس از پیکربندی دستگاه، باعث حذف تمامی تنظیمات میشود.
علاوه بر این دو مود اصلی، فورتیگیت دارای حالتهای دیگری نیز هست:
HA Mode (High Availability): برای ایجاد خوشههای فعال-غیرفعال (Active-Passive) یا فعال-فعال (Active-Active) جهت افزایش دسترسیپذیری و افزونگی.
VDOM Mode (Virtual Domains): برای تقسیمبندی یک دستگاه فورتیگیت به چندین فایروال مجازی مستقل جهت مدیریت چندین محیط شبکهای متفاوت.
در ادامه به بررسی NAT Mode و Transparent Mode میپردازیم:
حالت NAT/Route
NAT Mode رایجترین حالت عملیاتی در فورتیگیت است و به همین دلیل به صورت پیشفرض فعال است. همانطور که از نامش پیداست، عملکرد Network Address Translation (NAT) در این حالت معمولاً استفاده میشود و به راحتی قابل پیکربندی است. با این حال، استفاده از NAT الزامی نیست و فورتیگیت میتواند به عنوان یک روتر ساده (بدون NAT) نیز عمل کند.
در این حالت، فورتیگیت آدرسهای IP را ترجمه کرده و بستههای IP را قبل از ارسال به شبکه مقصد تغییر میدهد.
کاربردهای رایج NAT Mode:
1. اتصال شبکههای خصوصی به اینترنت یا شبکههای عمومی.
2. پیادهسازی SD-WAN و VPN.
3. ایجاد فایروال لایه 3 برای مسیریابی بین VLANها و Subnetهای مختلف.
ویژگیهای حالت NAT:
1. استفاده به عنوان Gateway:
فورتیگیت به عنوان Default Gateway بین شبکههای Private و Public (مانند اینترنت) قرار میگیرد و از Source NAT (SNAT) برای ترجمه آدرسهای داخلی استفاده میکند.
2. عملکرد به عنوان Router:
در این حالت، فورتیگیت مانند یک Layer 3 Router عمل میکند و میتواند بین چندین Subnet و VLAN مسیریابی انجام دهد.
3. قابل مشاهده در شبکه:
دستگاه در این حالت در Routing Tables و Network Topology به عنوان یک Routable Node شناخته میشود و دارای آدرس IP است.
4. Subnetهای مجزا برای اینترفیسها:
هر Interface در فورتیگیت به یک Subnet جداگانه اختصاص داده میشود.
5. تخصیص IP برای اینترفیسها:
هر Logical Interface نیازمند یک Valid IP Address در Subnet مربوطه است که میتواند به صورت Static یا Dynamic (DHCP-assigned) پیکربندی شود.
حالت Transparent
در Transparent Mode، فورتیگیت مانند یک Bridge در لایه 2 شبکه عمل میکند. به این معنی که دستگاه برای سایر تجهیزات شبکه نامرئی است و در Routing Tables نمایش داده نمیشود. فورتیگیت در این حالت بستههای IP را بدون تغییر در آدرسهای IP عبور میدهد، اما همچنان میتوان Security Policies را برای کنترل ترافیک اعمال کرد.
کاربردهای رایج Transparent Mode:
1. افزودن فورتیگیت به شبکههای موجود بدون نیاز به تغییر توپولوژی یا آدرسدهی.
2. پیادهسازی فایروال inline بین دو نقطه از شبکه برای بازرسی ترافیک.
3. استفاده در محیطهایی که تغییرات آدرس IP غیرممکن یا مشکلساز است.
ویژگیهای حالت Transparent:
1. نامرئی بودن در شبکه:
فورتیگیت به عنوان یک Bridge در Layer 2 عمل میکند و در Routing Tables یا Network Topology نمایش داده نمیشود.
2. Subnet یکسان برای اینترفیسها:
تمام Interfaces دستگاه در یک Broadcast Domain (Subnet یکسان) قرار دارند و آدرسدهی IP در سطح Interface انجام نمیشود.
3. Management IP:
یک Management IP Address در یک اینترفیس برای دسترسی مدیریتی و پیکربندی استفاده میشود، اما این IP بر روی ترافیک عبوری تأثیری ندارد.
4. پشتیبانی محدود از NAT:
امکان استفاده از One-to-One NAT یا SNAT/DNAT به صورت محدود وجود دارد، اما پیادهسازی آن پیچیدهتر از NAT Mode است.
5. Security Policy بر اساس IP/MAC:
با تعریف Security Policies میتوان فیلترینگ بر اساس آدرسهای IP، MAC یا Virtual IP (VIP) انجام داد، اما این تنظیمات بر مسیریابی شبکه تأثیری ندارند.
نکات فنی:
در حالت Transparent، تمام پورتها به طور پیشفرض در یک دامنه ارسال (Forwarding Domain) قرار دارند. برای جداسازی ترافیک میتوانید:پورتها را به دامنههای ارسال مختلف در همان VDOM اختصاص دهید.
از VDOMهای جداگانه برای تفکیک پورتها به دامنههای ارسال متفاوت استفاده کنید.
خطر ایجاد Loop:
به دلیل ماهیت Bridge Mode، خطر ایجاد Loop در شبکه وجود دارد. استفاده از Spanning Tree Protocol (STP) برای جلوگیری از این مشکل توصیه میشود.
سخن پایانی:
انتخاب بین NAT Mode و Transparent Mode به نیازهای شبکه شما بستگی دارد. اگر نیاز به ترجمه آدرس IP، مسیریابی بین شبکهها یا پیادهسازی VPN دارید، NAT Mode بهترین انتخاب است. اما اگر میخواهید فورتیگیت را بدون تغییر در ساختار شبکه به عنوان یک فایروال inline اضافه کنید، Transparent Mode گزینه مناسبی خواهد بود.
همچنین با توجه به قابلیتهای اضافی مانند HA Mode برای افزونگی و VDOM Mode برای تفکیک فایروالهای مجازی، میتوانید فورتیگیت را به گونهای پیکربندی کنید که دقیقاً مطابق نیازهای شبکه شما عمل کند.