آموزش Virtual IP در FortiGate همراه با مثال

Network Address Translation یا NAT فرآیندی است که به یک دستگاه واحد مانند روتر یا فایروال (Firewall) اجازه می‌دهد تا به عنوان واسطه‌ای بین اینترنت یا شبکه عمومی (Public Network) و شبکه محلی یا خصوصی (Local/Private Network) عمل کند. این واسطه به صورت لحظه‌ای (Real-Time) آدرس IP مبداء یا مقصد یک کلاینت یا سرور را روی Interface شبکه (Network Interface) ترجمه می‌کند. NAT به دو نوع تقسیم می‌شود:

• NAT مبداء (Source NAT یا SNAT)
• NAT مقصد (Destination NAT یا DNAT)

این بخش به NAT مقصد (DNAT) می‌پردازد.یک Virtual IP یا VIP آدرس‌های IP External را برای DNAT به آدرس‌های IP Internal، Map می‌کند.

 

انواع مختلف VIPهایی که می‌توان ایجاد کرد شامل موارد زیر است:

• Static VIP: یک IP Virtual که یک آدرس IP یا بازه‌ای را به آدرس یا بازه دیگری Map می‌کند. تنظیمات سفارشی این امکان را می‌دهد که VIP بر اساس Source Address و/یا Services فیلتر شود، به طوری که VIP فقط به ترافیک فیلتر شده اعمال شود.
• Static VIP with Services: این نوع VIP امکان تعریف Serviceها برای Map کردن یک شماره پورت مشخص را فراهم می‌کند.
• Static VIP with Port Forwarding: این نوع IP Virtual شماره پورت سرور داخلی را پنهان می‌کند یا چند سرور داخلی را به یک آدرس IP Public یکسان Map می‌کند.
• VIP مبتنی بر FQDN: یک IP Virtual که به یک FQDN، Map می‌شود.
• تعادل بار سرور Virtual (Virtual Server Load Balancing): نوع خاصی از VIP که برای پیاده‌سازی تعادل بار سرور استفاده می‌شود. VIPهای Virtual همچنین می‌توانند برای تعادل بار سرور در چند نمودار (Multiplexing) استفاده شوند.
• Central DNAT: نت مقصد(DNAT) طریق ایجاد VIPهای Virtual و انتخاب VIPها در Firewall Policy پیکربندی می‌شود، اما NAT Central مستقیماً در Firewall Policy پیکربندی نمی‌شود. NAT Central در تنظیمات سیستم (System Settings) فعال می‌شود. وقتی فعال شد، گزینه Central SNAT Policy در Policy & Objects نمایش داده می‌شود. از Central SNAT Policy برای پیکربندی VIPها به عنوان Object جداگانه استفاده کنید. تجهیز NAT Ruleهای فعال شده را از بالا به پایین می‌خواند تا به Rule که تطابق دارد برسد.

 

Static VIP

 (Static Virtual IPs یا VIP) برای Map کردن آدرس‌های IP External به آدرس‌های IP Internal استفاده می‌شوند. این روش که به عنوان NAT Destination شناخته می‌شود، جایی است که مقصد یک بسته (Packet) به آدرس دیگری Map می‌شود. VIPهای استاتیک معمولاً برای Map کردن آدرس‌های IP Public به منابعی در پشت FortiGate که از آدرس‌های IP Privet استفاده می‌کنند، به کار می‌روند. VIP یک به یک (One-to-One VIP) زمانی استفاده می‌شود که تمام بازه پورت‌ها (Port Range) Map شود. در حالی که VIP با انتقال پورت (Port Forwarding VIP) برای زمانی است که Map کردن فقط روی یک پورت خاص یا بازه پورت تنظیم شده باشد.

وقتی NAT Central فعال شود، دیگر DNAT در صفحه Policy & Objects > Virtual IPs پیکربندی نمی‌شود و به جای آن در صفحه Policy & Objects > DNAT & Virtual IPs پیکربندی می‌شود.

 

Configuring VIPs

IPهای Virtual (VIP) می‌توانند برای هر دو نسخه IPv4 و IPv6 پیکربندی شوند. پس از ایجاد VIP، آن را به یک Firewall Policy اضافه کنید. سیستم عامل FortiOS بررسی نمی‌کند که آیا VIPها همپوشانی (Overlap) دارند یا خیر؛ بنابراین، می‌توانید چندین VIP با Interface و IP Virtual یکسان تنظیم کنید. با این حال، می‌توانید VIPهای همپوشان را در گزارش رتبه‌بندی امنیتی (Security Rating Report) مشاهده کنید.

برای پیکربندی یک VIP در GUI:

1. به مسیر Policy & Objects > Virtual IPs بروید.
2. زبانه Virtual IP را انتخاب کرده و روی Create New کلیک کنید.
3. تنظیمات را پیکربندی کنید:

External Interface که باید با Source Interface که در Firewall Policy خورده است مطابقت داشته باشد.	Interface CLI: extintf	Network
Static NAT: استفاده از آدرس IP Virtual یا بازه. FQDN: استفاده از آدرس IP Virtual یا FQDN. بار تعادل (Load Balance - فقط CLI): تعادل بار برای ترافیک. تعادل بار سرور (Server Load Balance): تعادل بار ترافیک بین چندین سرور. پردازش SSL می‌تواند به FortiGate واگذار شود. ترجمه DNS (DNS Translation - فقط CLI): ترجمه DNS.پروکسی دسترسی (Access Proxy): برای ZTNA استفاده می‌شود.	Type CLI: type
در یک NAT VIP Static، این آدرس IP Virtual است که FortiGate ترافیک را بر روی آن گوش می‌دهد. هنگامی که Interface Virtual مشخص نیست، مقدار 0.0.0.0 می‌تواند برای برابر قرار دادن آدرس IP Virtual با آدرس IP Interface Virtual استفاده شود.	External IP Address/Range CLI: extip
IP Address یا IP Range که Internal Resource به آن Map می‌شود.	CLI: mappedip	Map to
یک به یک (One to One): هر پورت سرویس Virtual به یک پورت داخلی Map کردن می‌شود. چند به چند (Many to Many): Map کردن پورت می‌تواند یک به یک، یک به چند یا چند به یک باشد.	CLI: portforward	Port Forwarding

 

Configuring VIP Groups

آدرس‌های IP Virtual (Virtual IP یا VIP) می‌توانند به گروه‌ها سازماندهی شوند. پس از ایجاد گروه VIP، آن را به Firewall Policy اضافه کنید. گروه‌های VIP زمانی مفید هستند که چندین VIP در Firewall Policy به صورت همزمان استفاده شوند. اگر اعضای گروه VIP تغییر کنند یا تنظیمات یک عضو گروه، مانند آدرس IP، پورت یا نوع Map کردن پورت، تغییر یابد، این تغییرات به طور خودکار در Firewall Policy مربوطه به‌روزرسانی می‌شوند.

برای پیکربندی یک گروه VIP در GUI:

1. به Policy & Objects > Virtual IPs بروید.
2. به زبانه Virtual IP Group یا IPv6 Virtual IP Group بروید.
3. روی Create new کلیک کنید.
4. برای گروه‌های IPv4، Interface را انتخاب کنید. اگر همه VIPها در یک Interface باشند، Interface خاصی را انتخاب کنید؛ در غیر این صورت، گزینه any را انتخاب کنید.
5. در فیلد Members روی + کلیک کرده و اعضایی را که می‌خواهید به گروه اضافه کنید انتخاب کنید.
6. روی OK کلیک کنید.

 

Virtual IP with Services

VIP با Services یک حالت انعطاف‌پذیرتر از IP Virtual است. این حالت به کاربران اجازه می‌دهد خدماتی را برای Map کردن یک شماره پورت مشخص تعریف کنند.

پیکربندی نمونه

مثال: این موضوع نحوه استفاده از VIP با Service فعال شده را نشان می‌دهد. این مثال دارای یک آدرس IP Virtual عمومی است. ما پورت‌های TCP 8080، 8081 و 8082 را به پورت TCP 80 یک وب‌سرور داخلی Map می‌کنیم. این تنظیم امکان برقراری ارتباط اتصالات از راه دور با سروری در پشت Firewall را فراهم می‌کند.

برای ایجاد یک VIP با خدمات در GUI:

1. به Policy & Objects > Virtual IPs بروید و زبانه Virtual IP را انتخاب کنید.
2. روی Create new کلیک کنید.
3. فیلدهای بخش Network را پیکربندی کنید. به عنوان مثال:
   • Interface را به any تنظیم کنید.
   • External IP Address/Range را به 10.1.100.199 تنظیم کنید.
   • Map کردنped IP Address/Range را به 172.16.200.55 تنظیم کنید.
4. Optional Filters را فعال کنید و سپس Services را نیز فعال کنید.
5. در فیلد Services، پورت‌های TCP 8080، 8081 و 8082 را اضافه کنید.
6. Port Forwarding را فعال کنید و Map کردن to IPv4 port را به 80 تنظیم کنید.
7. روی OK کلیک کنید.

برای دیدن نتایج:

1. VIP فوق را به Firewall Policy اعمال کنید.
2. نتایج به این صورت خواهد بود:
   • دسترسی به 10.1.100.199:8080 از شبکه Virtual توسط FortiGate به 172.16.200.55:80 در شبکه داخلی Map می‌شود.
   • دسترسی به 10.1.100.199:8081 از شبکه Virtual توسط FortiGate به 172.16.200.55:80 در شبکه داخلی Map می‌شود.
   • دسترسی به 10.1.100.199:8082 از شبکه Virtual توسط FortiGate به 172.16.200.55:80 در شبکه داخلی Map می‌شود.

 

Virtual IPs with Port Forwarding

اگر نیاز دارید شماره پورت سرور داخلی را پنهان کنید یا چند سرور داخلی را به همان آدرس IP عمومی Map کردن کنید، انتقال پورت (Port Forwarding) را برای VIP فعال کنید.

پیکربندی نمونه

مثال: این موضوع نحوه استفاده از VIPها برای پیکربندی انتقال پورت بر روی یک واحد FortiGate را نشان می‌دهد. این مثال دارای یک آدرس IP Virtual عمومی است. ما پورت‌های TCP 8080، 8081 و 8082 را به پورت TCP 80 سرورهای داخلی مختلف Map کردن می‌کنیم. این تنظیم اجازه می‌دهد تا اتصالات از راه دور با سرورهای موجود در پشت Firewall Policy FortiGate ارتباط برقرار کنند.

برای ایجاد یک VIP با انتقال پورت در GUI:

1. به Policy & Objects > Virtual IPs بروید و زبانه Virtual IP را انتخاب کنید.
2. روی Create new کلیک کنید.
3. یک نام منحصر به فرد برای VIP وارد کنید.
4. فیلدهای بخش Network را پیکربندی کنید. به عنوان مثال:
   • Interface را به any تنظیم کنید.
   • External IP Address/Range را به 10.1.100.199 تنظیم کنید.
   • Map کردنped IP Address/Range را به 172.16.200.55 تنظیم کنید.
5. Optional Filters را غیرفعال بگذارید.
6. Port forwarding را فعال کرده و فیلدها را پیکربندی کنید. به عنوان مثال:
   • Protocol را به TCP تنظیم کنید.
   • External Service Port را به 8080 تنظیم کنید.
   • Map کردن to IPv4 port را به 80 تنظیم کنید.

     

7. روی OK کلیک کنید.
8. مراحل بالا را برای ایجاد دو VIP دیگر تکرار کنید.
   • برای یکی از VIPها:
   • از یک آدرس یا بازه IP Map کردنی متفاوت استفاده کنید، به عنوان مثال 172.16.200.56.
   • External Service Port را به 8081 تنظیم کنید.
   • از همان شماره Map کردن to IPv4 port، یعنی 80 استفاده کنید.
   • برای VIP دیگر:
   • از یک آدرس یا بازه IP Map کردنی متفاوت استفاده کنید، به عنوان مثال 172.16.200.57.
   • External Service Port را به 8082 تنظیم کنید.
   • از همان شماره Map کردن to IPv4 port، یعنی 80 استفاده کنید.
9. یک گروه VIP ایجاد کنید و سه VIP قبلاً ایجاد شده را به آن گروه اضافه کنید:
   • به Policy & Objects > Virtual IPs بروید و زبانه Virtual IP Group را انتخاب کنید.
   • روی Create new کلیک کنید.
   • یک نام برای گروه وارد کنید.
   • سه VIP قبلاً ایجاد شده را به عنوان اعضا اضافه کنید.
   • روی OK کلیک کنید.

برای دیدن نتایج:

1. گروه VIP را به Firewall Policy اعمال کنید.
2. نتایج به این صورت خواهد بود:
   • دسترسی به 10.1.100.199:8080 از شبکه Virtual توسط FortiGate به 172.16.200.55:80 در شبکه داخلی Map می‌شود.
   • دسترسی به 10.1.100.199:8081 از شبکه Virtual توسط FortiGate به 172.16.200.56:80 در شبکه داخلی Map می‌شود.
   • دسترسی به 10.1.100.199:8082 از شبکه Virtual توسط FortiGate به 172.16.200.57:80 در شبکه داخلی Map می‌شود.

 

Configure FQDN-based VIPs

در محیط‌های ابر عمومی، گاهی لازم است یک VIP به یک آدرس FQDN Map شود.

برای پیکربندی یک VIP مبتنی بر FQDN در GUI:

1. به Policy & Objects > Virtual IPs بروید و زبانه Virtual IP را انتخاب کنید.
2. روی Create new کلیک کنید.
3. یک نام برای VIP وارد کنید.
4. یک Interface را انتخاب کنید.
5. برای نوع (Type)، FQDN را انتخاب کنید.
6. برای آدرس Virtual (External)، IP را انتخاب کرده و آدرس IP Virtual را وارد کنید.
7. برای آدرس Map کردنی، یک آدرس FQDN انتخاب کنید.
8. روی OK کلیک کنید.