بررسی Modeهای عملیاتی FortiGate

دستگاه‌های FortiGate دارای حالت‌های عملیاتی مختلفی هستند که بسته به نیازهای شبکه می‌توان آن‌ها را تنظیم کرد. دو حالت اصلی عملیاتی شامل NAT Mode و Transparent Mode می‌شوند. هر دو حالت اجازه می‌دهند فورتی‌گیت به عنوان فایروال عمل کند، اما برخی ویژگی‌ها در Transparent Mode محدود هستند.

همیشه بهتر است پیش از راه‌اندازی دستگاه، تصمیم بگیرید از کدام حالت استفاده خواهید کرد. تغییر حالت عملیاتی پس از پیکربندی دستگاه، باعث حذف تمامی تنظیمات می‌شود.

علاوه بر این دو مود اصلی، فورتی‌گیت دارای حالت‌های دیگری نیز هست:

HA Mode (High Availability): برای ایجاد خوشه‌های فعال-غیرفعال (Active-Passive) یا فعال-فعال (Active-Active) جهت افزایش دسترسی‌پذیری و افزونگی.
VDOM Mode (Virtual Domains): برای تقسیم‌بندی یک دستگاه فورتی‌گیت به چندین فایروال مجازی مستقل جهت مدیریت چندین محیط شبکه‌ای متفاوت.

در ادامه به بررسی NAT Mode و Transparent Mode می‌پردازیم:

حالت NAT/Route

NAT Mode رایج‌ترین حالت عملیاتی در فورتی‌گیت است و به همین دلیل به صورت پیش‌فرض فعال است. همان‌طور که از نامش پیداست، عملکرد Network Address Translation (NAT) در این حالت معمولاً استفاده می‌شود و به راحتی قابل پیکربندی است. با این حال، استفاده از NAT الزامی نیست و فورتی‌گیت می‌تواند به عنوان یک روتر ساده (بدون NAT) نیز عمل کند.

در این حالت، فورتی‌گیت آدرس‌های IP را ترجمه کرده و بسته‌های IP را قبل از ارسال به شبکه مقصد تغییر می‌دهد.

کاربردهای رایج NAT Mode:
1. اتصال شبکه‌های خصوصی به اینترنت یا شبکه‌های عمومی.
2. پیاده‌سازی SD-WAN و VPN.
3. ایجاد فایروال لایه 3 برای مسیریابی بین VLANها و Subnetهای مختلف.

ویژگی‌های حالت NAT:
1. استفاده به عنوان Gateway:
فورتی‌گیت به عنوان Default Gateway بین شبکه‌های Private و Public (مانند اینترنت) قرار می‌گیرد و از Source NAT (SNAT) برای ترجمه آدرس‌های داخلی استفاده می‌کند.
2. عملکرد به عنوان Router:
در این حالت، فورتی‌گیت مانند یک Layer 3 Router عمل می‌کند و می‌تواند بین چندین Subnet و VLAN مسیریابی انجام دهد.
3. قابل مشاهده در شبکه:
دستگاه در این حالت در Routing Tables و Network Topology به عنوان یک Routable Node شناخته می‌شود و دارای آدرس IP است.
4. Subnetهای مجزا برای اینترفیس‌ها:
هر Interface در فورتی‌گیت به یک Subnet جداگانه اختصاص داده می‌شود.
5. تخصیص IP برای اینترفیس‌ها:
هر Logical Interface نیازمند یک Valid IP Address در Subnet مربوطه است که می‌تواند به صورت Static یا Dynamic (DHCP-assigned) پیکربندی شود.

حالت Transparent

در Transparent Mode، فورتی‌گیت مانند یک Bridge در لایه 2 شبکه عمل می‌کند. به این معنی که دستگاه برای سایر تجهیزات شبکه نامرئی است و در Routing Tables نمایش داده نمی‌شود. فورتی‌گیت در این حالت بسته‌های IP را بدون تغییر در آدرس‌های IP عبور می‌دهد، اما همچنان می‌توان Security Policies را برای کنترل ترافیک اعمال کرد.

کاربردهای رایج Transparent Mode:
1. افزودن فورتی‌گیت به شبکه‌های موجود بدون نیاز به تغییر توپولوژی یا آدرس‌دهی.
2. پیاده‌سازی فایروال inline بین دو نقطه از شبکه برای بازرسی ترافیک.
3. استفاده در محیط‌هایی که تغییرات آدرس IP غیرممکن یا مشکل‌ساز است.

ویژگی‌های حالت Transparent:
1. نامرئی بودن در شبکه:
فورتی‌گیت به عنوان یک Bridge در Layer 2 عمل می‌کند و در Routing Tables یا Network Topology نمایش داده نمی‌شود.
2. Subnet یکسان برای اینترفیس‌ها:
تمام Interfaces دستگاه در یک Broadcast Domain (Subnet یکسان) قرار دارند و آدرس‌دهی IP در سطح Interface انجام نمی‌شود.
3. Management IP:
یک Management IP Address در یک اینترفیس برای دسترسی مدیریتی و پیکربندی استفاده می‌شود، اما این IP بر روی ترافیک عبوری تأثیری ندارد.
4. پشتیبانی محدود از NAT:
امکان استفاده از One-to-One NAT یا SNAT/DNAT به صورت محدود وجود دارد، اما پیاده‌سازی آن پیچیده‌تر از NAT Mode است.
5. Security Policy بر اساس IP/MAC:
با تعریف Security Policies می‌توان فیلترینگ بر اساس آدرس‌های IP، MAC یا Virtual IP (VIP) انجام داد، اما این تنظیمات بر مسیریابی شبکه تأثیری ندارند.

نکات فنی:
در حالت Transparent، تمام پورت‌ها به طور پیش‌فرض در یک دامنه ارسال (Forwarding Domain) قرار دارند. برای جداسازی ترافیک می‌توانید:پورت‌ها را به دامنه‌های ارسال مختلف در همان VDOM اختصاص دهید.
از VDOMهای جداگانه برای تفکیک پورت‌ها به دامنه‌های ارسال متفاوت استفاده کنید.
خطر ایجاد Loop:
به دلیل ماهیت Bridge Mode، خطر ایجاد Loop در شبکه وجود دارد. استفاده از Spanning Tree Protocol (STP) برای جلوگیری از این مشکل توصیه می‌شود.

سخن پایانی:
انتخاب بین NAT Mode و Transparent Mode به نیازهای شبکه شما بستگی دارد. اگر نیاز به ترجمه آدرس IP، مسیریابی بین شبکه‌ها یا پیاده‌سازی VPN دارید، NAT Mode بهترین انتخاب است. اما اگر می‌خواهید فورتی‌گیت را بدون تغییر در ساختار شبکه به عنوان یک فایروال inline اضافه کنید، Transparent Mode گزینه مناسبی خواهد بود.

همچنین با توجه به قابلیت‌های اضافی مانند HA Mode برای افزونگی و VDOM Mode برای تفکیک فایروال‌های مجازی، می‌توانید فورتی‌گیت را به گونه‌ای پیکربندی کنید که دقیقاً مطابق نیازهای شبکه شما عمل کند.