آموزش فایروال فورتی‌گیت

فایروال نقش حیاتی در امنیت شبکه ایفا می‌کند و نیاز به کانفیگ صحیح دارد تا سازمان‌ها را از نشت اطلاعات و حملات سایبری محافظت کند. این کار با کانفیگ نام‌های دامنه و آدرس‌هایIP برای ایمن نگه داشتن فایروال امکان‌پذیر است. کانفیگ policy فایروال بر اساس نوع شبکه، مانند عمومی یا خصوصی، انجام می‌شود و می‌توان با تنظیم قوانین امنیتی که دسترسی را مسدود یا مجاز می‌کنند، از حملات احتمالی هکرها یا بدافزارها جلوگیری کرد. کانفیگ صحیح فایروال ضروری است، زیرا ویژگی‌های پیش‌فرض ممکن است حداکثر حفاظت در برابر حملات سایبری را ارائه ندهند. 

پیش‌نیازها و نکات مهم قبل از شروع کانفیگ

• Operating mode: حالت NAT  برای اهداف امنیتی استفاده می‌شود. policy‌های حالت NAT،  آدرس‌های منطقه امن‌تر را برای یک منطقه کمتر امن، با استفاده از یک آدرسIP یا یک مجموعه آدرس IP، ترجمه می‌کنند. این لایه از مبهم‌سازی مانع آن می‌شود که مهاجمان اینترنتی به آدرس‌های IP  منابع موجود در شبکه LAN  و DMZ  شما دسترسی پیدا کنند.

• Firmware: اگر فریم‌وری که با دستگاه ارسال شده همان فریم‌وری نیست که قصد استفاده از آن را دارید، یا باید فریم‌ور مورد نیاز را قبل از هرگونه کافنیگ بارگذاری کنید، یا دسترسی از راه دور را برای بارگذاری فریم‌ور (SFTP، FTP، SCP،HTTPS ) برقرار کرده و سپس فریم‌ور مورد نظر را بارگذاری کنید.

• Hostname:  از یک  hostname معنی‌دار استفاده کنید.

• System time:  چندین ویژگی FortiGate به زمان دقیق سیستم وابسته هستند، مانند ثبت گزارشات و عملکردهای مرتبط با  certificate‌ ها. توصیه می‌شود که از یک سرور پروتکل زمان شبکه (NTP) یا پروتکل زمان دقیق (PTP) برای تنظیم زمان سیستم استفاده کنید. در صورت لزوم، زمان سیستم را می‌توان به صورت دستی تنظیم کرد.

• Administrator password:  رمز عبور  admin باید برای ورود به FortiGate ، تنظیم شود. اطمینان حاصل کنید که رمز عبور منحصر به فرد و دارای پیچیدگی کافی است.

• Management interface:  آدرسIP، subnet mask، و سرویس دسترسی ادمین مورد نیاز  (مانند HTTPS و SSH) را در رابط  management کانفیگ کنید.

آشنایی با مفاهیم و تنظیمات فایروال فورتی‌گیت در فرآیند آموزش، دید بهتری برای انتخاب و خرید فایروال متناسب با نیازهای سازمانی فراهم می‌کند.

تجهیزات و نرم افزارهای مورد نیاز برای آموزش فایروال فورتی‌گیت

برای راه‌اندازی FortiGate  برای دسترسی مدیریت اولیه:

1. جعبه  FortiGate را باز کنید و موارد زیر را پیدا کنید:
   دستگاه  Fortigate
   کابل پاور
   کابل اترنت
   همچنین باید موارد زیر را فراهم کنید:
   کابل اترنت دوم. فقط یک کابل اترنت برای اتصال FortiGate به کامپیوتر برای مدیریت در جعبه وجود دارد. یک کابل اترنت دیگر برای اتصال FortiGate به اینترنت، فراهم کنید.
   یک کامپیوتر برای مدیریت از طریق دسترسی به رابط کاربری گرافیکی Fortigate.

2. از کابل پاور برای اتصال FortiGate به منبع برق استفاده کنید.

3. از یک کابل اترنت برای اتصال پورت مدیریت  FortiGate به یک کامپیوتر مدیریتی استفاده کنید. پورت پیش‌فرضی که برای مدیریت استفاده می‌شود، بسته به مدل دستگاه متفاوت است. در بیشتر دستگاه‌ها که یک پورت مدیریت اختصاصی دارند، این پورت به نام MGMT   شناخته می‌شود. در دستگاه‌هایی با چندین پورت مدیریت، نام‌های  MGMT1   و  MGMT2  به کار می‌روند. در دستگاه‌هایی که پورت مدیریت اختصاصی ندارند،  port1   برای دسترسی اولیه به مدیریت استفاده می‌شود.
   عکس زیر برای یک FortiGate 80F است که از port1 برای دسترسی مدیریت اولیه استفاده می‌کند.

4. 

5. از کابل اترنت دوم برای اتصال پورت  WAN 

در FortiGate به روتر، سوئیچ یا مودم با دسترسی به اینترنت استفاده کنید. در برخی از مدل‌های FortiGate، پورت(های) WAN اختصاصی با برچسب WAN1، WAN2 و غیره موجود است. اگر هیچ پورت WAN اختصاصی وجود ندارد، یک پورت مورد نظر خود را برای اتصال WAN انتخاب کنید.

ورود به محیط مدیریت فورتی گیت

نحوه دسترسی به رابط کاربری وب (GUI)

دسترسی به اینترنت زمانی فراهم می‌شود که پورت WAN در FortiGate در حالت آدرس‌دهیDHCP تنظیم شده باشد و این پورت به شبکه‌ای با سرورDHCP متصل باشد که آدرس IP و Gateway صحیح را برای دسترسی به اینترنت دریافت کند. اگر این شرایط برقرار نباشد، پس از اتصال رابط WAN، دسترسی به اینترنت ممکن نخواهد بود. 

در مدل‌هایی که دارای پورت WAN اختصاصی هستند، این پورت‌ها به عنوان کلاینت DHCP نیز کافنیگ شده‌اند. بنابراین، اگر یک سرور DHCP  در شبکه WAN وجود داشته باشد که به gateway صحیح در اینترنت اشاره کند، دسترسی به اینترنت بدون نیاز به کانفیگ دیگری فراهم خواهد بود و با وارد کردن آدرس IP دستگاه در مرورگر، صفحه GUI آن برای شما نشان داده می‌شود.

در مدل‌هایی که دارای پورت WAN اختصاصی نیستند، یا در شرایطی که تصمیم می‌گیرید پورت WAN را به صورت دستی کانفیگ کنید، یک پورت را برای دسترسی به WAN انتخاب کنید. آن پورت را به روتر، سوئیچ لایه ۳ یا مودم خود متصل کنید. سپس مراحل زیر را برای اتصال به GUI فورتی‌گیت انجام دهید:

1. در کامپیوتری که به آن متصل شده، یک آدرس در شبکه 192.168.1.0/24 اختصاص دهید.

2. برای اتصال به رابط گرافیکی (GUI) با استفاده از مرورگر وب، باید یک پورت کانفیگ شود که دسترسی مدیریتی از طریق HTTPS یا هر دو پروتکل HTTPS و HTTP را مجاز داشته باشد. به‌طور پیش‌فرض، یک پورت با آدرسIP 192.168.1.99 تنظیم شده که دسترسی از طریق HTTPS را فراهم می‌کند. در یک مرورگر وب، به https://192.168.1.99 بروید و نام کاربری پیش فرض، admin را وارد کنید و قسمت رمز عبور را خالی بگذارید. اکنون رابط کاربری گرافیکی در مرورگر شما نمایش داده می‌شود و از شما خواسته می‌شود یک رمز عبور برای حساب مدیریت وارد کنید. 

معرفی اجمالی رابط کاربری و بخش‌های مختلف آن

رابط کاربری گرافیکی FortiGate یک محیط تحت وب است که به مدیران شبکه این امکان را می‌دهد تا به راحتی تنظیمات و مدیریت دستگاه‌های FortiGate را انجام دهند. این رابط کاربری دارای بخش‌های مختلفی است که هر کدام وظیفه‌ای مشخص برای پیکربندی و نظارت بر شبکه دارند. در ادامه به معرفی اجمالی بخش‌های مختلف آن می‌پردازیم:

Dashboard:

• نمای کلی از وضعیت سیستم: شامل اطلاعاتی درباره وضعیت دستگاه، وضعیت  CPU، استفاده از حافظه، پهنای باند و وضعیت پورت‌های شبکه.

• ویجت‌های قابل کاستوم: می‌توانید ویجت‌های مختلف مانند وضعیت VPN، اعلان‌ها و هشدارها را اضافه یا حذف کنید.

Network:

• Interfaces:  نمایش و پیکربندی رابط‌های شبکه شاملWAN،LAN .

• Static Routes:  مدیریت مسیریابی استاتیک بین شبکه‌ها.

• DNS: پیکربندی سرورهای DNS برای ترجمه نام دامنه‌ها.

Policy & Objects:

• Firewall Policies:  تنظیم قوانین برای کنترل ترافیک بین شبکه‌ها.

• Objects:  تعریف آدرس‌هایIP، گروه‌های آدرس، و سرویس‌های مورد استفاده در policy‌های فایروال.

• Virtual IPs:  تنظیم آدرس‌های IP مجازی برای NAT.

Security Profiles:

• Antivirus :  تنظیمات برای اسکن و جلوگیری از ویروس‌ها و بدافزارها.

• Web Filter:  فیلتر کردن وب‌سایت‌های مخرب یا نامناسب.

• Application Control:  مدیریت و نظارت بر برنامه‌های مجاز و غیرمجاز.

تحریم‌شکن:

• تحریم‌شکن SSL:  تنظیم و مدیریت دسترسی از راه دور از طریق SSL VPN.

• تحریم‌شکن IPsec:  پیکربندی تونل‌های IPsec برای ارتباط امن بین شبکه‌ها.

User & Devices:

• User Groups:  ایجاد و مدیریت گروه‌های کاربران برای دسترسی‌های مختلف.

• Authentication:  تنظیمات مربوط به احراز هویت کاربران داخلی و خارجی.

Log & Reports:

• Log Settings:  تعیین نحوه ذخیره‌سازی و مدیریت لاگ‌ها.

• FortiView:  نمایش ترافیک لحظه‌ای شبکه، تهدیدات امنیتی و وضعیت سلامت دستگاه‌ها.

System:

• Settings:  پیکربندی تنظیمات اصلی سیستم، شامل مدیریت کاربران، به‌روزرسانی فریم‌ور و پشتیبان‌گیری.

• Administrators:  مدیریت کاربران ادمین و تنظیمات دسترسی آن‌ها.

این بخش‌ها به مدیران شبکه امکان می‌دهند تا FortiGate  را به صورت کامل کنترل و پیکربندی کرده و از امنیت و مدیریت بهینه شبکه اطمینان حاصل کنند.

تنظیمات اولیه در آموزش فایروال فورتی‌گیت

برای پیکربندی اولیه فایروال FortiGate، لازم است مراحل زیر را برای تنظیم اتصال شبکه، سیاست‌های امنیتی، و دسترسی مدیریتی دنبال کنید. در ادامه یک راهنمای مرحله‌به‌مرحله برای پیکربندی اولیه FortiGate ارائه شده است:

اتصال به FortiGate

• اتصال فیزیکی رایانه خود به پورت LAN (یاMGMT) دستگاه FortiGate با استفاده از کابل اترنت.

• تنظیم IP دستی روی رایانه خود (مثلاً 192.168.1.x که x برابر با 99 نباشد).

• باز کردن مرورگر وب و وارد کردن آدرس IP پیش‌فرض  https://192.168.1.99.

• ورود به سیستم با استفاده از اطلاعات پیش‌فرض:
  نام کاربری:  admin.
  رمز عبور: (خالی بگذارید برای اولین ورود).

تغییر رمز عبور ادمین

• پس از ورود، از شما خواسته می‌شود تا رمزعبور را تغییر دهید.

• 

پیکربندی پورت‌های شبکه

• به Network > Interfaces بروید تا پورت‌های WAN و LAN را پیکربندی کنید.
  پورت  WAN (پورت 1):  اگر ارائه‌دهنده اینترنت شما از DHCP استفاده می‌کند، رابط WAN را در حالت DHCP قرار دهید. در غیر این صورت،IP  استاتیک، subnet mask، gateway و DNS را به صورت دستی وارد کنید.
  رابط LAN  (پورت 2):  یک آدرس IP داخلی (مثلاً 192.168.1.1/24) اختصاص دهید. همچنین می‌توانید DHCP Server را فعال کنید تا به طور خودکار به کلاینت‌های داخلی آدرس IP بدهد.

تنظیم مسیریابی استاتیک

• به  Network > Static Routes  بروید و یک مسیر پیش‌فرض به اینترنت اضافه کنید:
  مقصد:  0.0.0.0/0.
  gateway: آدرس IP روتر ISP شما (اگر پیکربندی دستی استفاده می‌شود).

پیکربندی تنظیمات  DNS

• بهNetwork > DNS  بروید تا سرورهای DNS  را پیکربندی کنید. در اینجا می‌توانید انتخاب کنید که از سرورهای  Fortiguard به عنوان DNS استفاده کنید یا خودتان آدرس سرورها را وارد کنید.
  اگر از DHCP  استفاده می‌کنید، ممکن است سرورهای DNS  به‌طور خودکار توسط ISP  اختصاص داده شوند. در غیر این صورت، می‌توانید سرورهای DNS عمومی (مانند DNS گوگل 8.8.8.8 و 8.8.4.4) را وارد کنید.

پیکربندی تنظیمات  DNS

• به Network > DNS  بروید تا سرورهای DNS  را پیکربندی کنید. در اینجا می‌توانید انتخاب کنید که از سرورهای  Fortiguard به عنوان  DNS استفاده کنید یا خودتان آدرس سرورها را وارد کنید.
  اگر از DHCP  استفاده می‌کنید، ممکن است سرورهای DNS  به‌طور خودکار توسط ISP  اختصاص داده شوند. در غیر این صورت، می‌توانید سرورهای DNS  عمومی (مانند DNS  گوگل 8.8.8.8  و  8.8.4.4) را وارد کنید.

ایجاد  policy‌ های اولیه فایروال 

• به  Policy & Objects > IPv4 Policy  بروید تا یک سیاست ایجاد کنید که ترافیک از شبکه داخلی به اینترنت را مجاز کند.
  Policy Name: LAN-to-WAN.
  Incoming Interface: رابطLAN  خود را انتخاب کنید.
  Outgoing Interface:رابط WAN خود را انتخاب کنید.

• Source: all  (یا سابنت‌های داخلی که می‌خواهید به اینترنت دسترسی داشته باشند را تعریف کنید).

• Destination:  all.

• Service:  all.

• NAT  را برای ترجمه آدرس فعال کنید.

• روی OK   کلیک کنید تا  policy ذخیره شود.

تست اتصال به اینترنت

• یک دستگاه (مانند رایانه شخصی) را به رابط LAN متصل کرده و اتصال به اینترنت را تست کنید. مطمئن شوید که دستگاه یا از DHCP آدرس IP دریافت کرده یا به صورت دستی با IP در محدوده LAN تنظیم شده است.

پیکربندی زمان و NTP

• به  System > Settings   بروید و منطقه زمانی را تنظیم کنید.

• NTP  را فعال کنید تا ساعت سیستم با یک سرور زمان شبکه همگام‌سازی شود (مانند  pool.ntp.org).

فعال‌سازی لاگ‌ها و مانیتورینگ

• به Log & Report > Log Settings  بروید و لاگ‌ها را برای نظارت بر فعالیت‌های کلیدی (مانند ترافیک، رویدادها، حملات) فعال کنید.

• از  FortiView  برای مانیتورینگ ترافیک لحظه‌ای و تهدیدات امنیتی استفاده کنید.

فعال‌سازی لاگ‌ها و مانیتورینگ

• به Log & Report > Log Settings  بروید و لاگ‌ها را برای نظارت بر فعالیت‌های کلیدی (مانند ترافیک، رویدادها، حملات) فعال کنید.

• از  FortiView برای مانیتورینگ ترافیک لحظه‌ای و تهدیدات امنیتی استفاده کنید.

به‌روزرسانی فریم‌ور

• به  System > Firmware  بروید تا بررسی کنید آیا نسخه جدیدتری در دسترس است و در صورت نیاز، فریم‌ور را به‌روزرسانی کنید. به‌روزرسانی فریم‌ور برای امنیت و عملکرد دستگاه ضروری است.

بک‌آپ‌گیری از پیکربندی

• پس از اتمام پیکربندی اولیه، توصیه می‌شود از تنظیمات پشتیبان تهیه کنید. در قسمت بالای صفحه سمت راست روی اکانت خود کلیک کرده و در قسمت configuration، Backup را انتخاب کنید. 

• 

با دنبال کردن این مراحل، می‌توانید تنظیمات اولیه FortiGate  را انجام داده و از اتصال شبکه، امنیت و مدیریت صحیح دستگاه، اطمینان حاصل کنید.

مدیریت کاربران و احراز هویت

مدیریت کاربران و احراز هویت در فورتی‌گیت (FortiGate) شامل پیکربندی و کنترل دسترسی کاربران به شبکه و منابع سازمانی از طریق احراز هویت است. فورتی‌گیت به عنوان یک فایروال و سیستم مدیریت تهدیدها، ابزارهای متعددی برای کنترل دسترسی و تأمین امنیت ارائه می‌دهد. در اینجا راهنمایی برای مدیریت کاربران و احراز هویت در فورتی‌گیت آورده شده است:

مدیریت کاربران  (User Management)

1. فورتی‌گیت امکان تعریف و مدیریت کاربران به شکل‌های مختلفی از جمله کاربران محلی، گروه‌های کاربری و کاربران LDAP یا Active Directory را فراهم می‌کند.

ایجاد کاربر محلی  (Local User)

1. وارد رابط کاربری وب فورتی‌گیت شوید.

2. به مسیر  User & Device > User Definition  بروید.

3. روی  Create New  کلیک کنید و نوع کاربر را User  Local  انتخاب کنید.

4. اطلاعات کاربری مانند  Username  و  Password  را وارد کنید.

5. در ادامه می‌توانید آدرس  email و اطلاعات اضافی دیگری برای کاربر وارد کنید.

6. کاربر را ذخیره کنید.

7. 

ایجاد گروه کاربری  (User Group)

1. به مسیر  User & Device > User Groups  بروید.

2. روی  Create New  کلیک کنید.

3. یک نام برای گروه کاربری وارد کنید.

4. کاربران محلی یا خارجی  (مانند LDAP  یا RADIUS) را به گروه اضافه کنید.

5. گروه را ذخیره کنید.

6. 

انواع احراز هویت در فورتی‌گیت

فورتی‌گیت از چندین روش برای احراز هویت کاربران پشتیبانی می‌کند:

احراز هویت محلی  (Local Authentication)

• کاربران مستقیماً در فورتی‌گیت تعریف شده‌اند و اعتبارنامه‌های آن‌ها در خود دستگاه فورتی‌گیت نگهداری می‌شود.

• مناسب برای شبکه‌های کوچک با تعداد محدودی کاربر.

احراز هویت  LDAP/Active Directory

• این روش به فورتی‌گیت اجازه می‌دهد کاربران و گروه‌های کاربری را از یک سرور LDAP  یا Active Directory  تأیید هویت کند.

• برای پیکربندی LDAP:
  به مسیر  User & Device > LDAP Servers  بروید.
  روی Create New  کلیک کنید و اطلاعات سرور LDAP  را وارد کنید.
  تست ارتباط با سرور را برای اطمینان از عملکرد صحیح انجام دهید.

• 

احراز هویت   RADIUS

• در این روش، یک سرور RADIUS  برای تأیید هویت کاربران استفاده می‌شود.

• برای پیکربندی:
  به  User & Device > RADIUS Servers  بروید.
  روی Create New  کلیک کنید و اطلاعات سرور RADIUS  را وارد کنید.
  سرور RADIUS  را به گروه کاربران اضافه کنید.

• 

احراز هویت دو مرحله‌ای (Two-Factor Authentication)

• فورتی‌گیت از احراز هویت دو مرحله‌ای برای امنیت بیشتر پشتیبانی می‌کند. کاربران علاوه بر وارد کردن رمز عبور، باید یک کد موقت که به تلفن همراه یا ایمیل آن‌ها ارسال می‌شود را نیز وارد کنند.

• برای فعال‌سازی:
  به مسیر  User & Device > Two-Factor Authentication  بروید.
  احراز هویت دو مرحله‌ای را برای کاربران خاص یا گروه‌ها فعال کنید.

مانیتورینگ و گزارش‌گیری کاربران

• برای مانیتورینگ کاربران متصل، به Monitor > Firewall Users Monitor  بروید.

• گزارش‌ها و لاگ‌های مربوط به فعالیت کاربران را می‌توان از طریق  Log & Report  مشاهده کرد.

پشتیبان‌گیری و بازگردانی تنظیمات

برای پشتیبان‌گیری و بازگردانی تنظیمات در فورتی‌گیت:

بک‌آپ‌گیری

1. به  System > Settings  بروید.

2. روی  Backup  کلیک کنید.

3. فایل پشتیبان را به صورت  Local  یا FTP  ذخیره کنید.

بازگردانی

1. به  System > Settings  بروید.

2. روی Restore  کلیک کنید.

3. فایل بک‌آپ را بارگذاری و بازگردانی کنید.

پس از بازگردانی، فورتی‌گیت به طور خودکار راه‌اندازی می‌شود.

بررسی مشکلات رایج و روش های رفع آن‌ها

نتیجه‌گیری

آموزش فورتی‌گیت شامل یادگیری نحوه پیکربندی و مدیریت فایروال فورتی‌گیت برای تأمین امنیت شبکه است. این آموزش شامل تنظیم قوانین فایروال، پیکربندی احراز هویت کاربران، مدیریت  تحریم‌شکن و تهیه پشتیبان از تنظیمات و داده‌ها می‌شود. همچنین، شامل رفع مشکلات رایج و بهینه‌سازی عملکرد برای اطمینان از کارایی و امنیت شبکه است.

سوالات متداول

• چگونه می‌توانم مشکلات رایج فورتی‌گیت را حل کنم؟

  • بررسی پیکربندی‌ها و قوانین فایروال.

  • بررسی تنظیمات احراز هویت و  تحریم‌شکن.

  • نظارت بر استفاده از منابع و به‌روزرسانی فریم‌ور.

• چگونه باید از تنظیمات فورتی‌گیت پشتیبان بگیرم؟
  در قسمت بالای صفحه، بر روی نام کاربری خود کلیک کرده و در مسیر configuration > Backup می‌توانید از تنظیمات خود بک‌آپ بگیرید.

آموزش فایروال فورتی‌گیت می‌تواند در انتخاب و پیکربندی بهینه تجهیزات امنیتی مؤثر باشد؛ در افق داده‌ها ایرانیان، این خدمات همراه با مشاوره تخصصی ارائه می‌شود.