چگونه فورتیگیت را نصب کنیم؟ چگونه تنظیمات فایروال فورتیگیت را انجام دهیم؟ شرکت Fortinet، یک شرکت چندملیتی آمریکایی است که در سال 2000 توسط برادران کن و مایکل زی تاسیس شده است. این شرکت توانایی بالایی در تولید محصولات امنیت شبکه و خدماتی دارد که از نمونه تولیدات موفق آن می توان به فایروال fortigate اشاره کرد.شرکت Fortinet توانسته در سال 2015 با قرار گرفتن در رتبه ی نخست فایروال های سخت افزاری و نرم افزاری (UTM) ها راه کار های جامعی در مقابل مدیریت تحدید ها ارائه دهد. راهکارهای امنیتی Fortinet منجر به تولید محصولات سخت افزاری دیگر در کنار fortigate شده است که در زیر به نمونه هایی از آن اشاره شده است.
(....، FORTI MAIL ، FORTI WEB ، FORTI DDOS ، FORTI CLIENT)
با استفاده از هر کدام از این ابزارها می توان با امن تر نمودن ساختار شبکه ، مکمل فایروال در شبکه سازمان را ایجاد و لایه دیگری از امنیت را به ارمغان آورد.
برای راه اندازی فایروال در ابتدا باید توسط کابل console به کنسول مدیریتی فایروال وصل شد.می توان ازنرم افزار هایی مانند putty برای متصل شدن استفاده نمود.زمانی که وارد کنسول شدیم ، username=admin را وارد نموده و بدون زدن password وارد محیط command می شویم.
با استفاده از دستور show system interface می توانیم تنظیمات interface های فایروال را مشاهده نماییم ، جهت Config اولیه برای وصل شدن به web console از دستورات زیر استفاده می کنیم
با استفاده از دستور edit port اینترفیس مورد نظر را انتخاب و با دستور set ip وset allowaccess تنظیمات لازم جهت متصل شدن به کنسول web را وارد می کنیم.حال پس از متصل کردن شبکه به فایروال از طریق web console می توانیم وارد محیط گرافیکی فایروال شویم
باوارد کردن user = admin می توانم وارد صفحه تنظیمات فایروال شویم
در بخش اول با نحوه متصل شدن به کنسول مدیریتی فایروال Fortinet آشنا شدیم. در این جلسه قصد داریم با محیط آن بیشتر آشنا شویم.
در قسمت اول از بخش داشبورد گزینه Status را انتخاب می کنیم . برای تغییر نحوه نمایش ،اضافه کردن و یا برگرداندن به تنظیمات پیش فرض داشبورد بدین صورت عمل می کنیم:
System > Dashboard > Status
با انتخاب هر کدام ازین گزینه ها می توان تنظیمات دلخواه را جهت نمایش اعمال نمود.
اطلاعات مربوط به وضعیت دستگاه در این پنجره قابل مشاهده می باشد که در ذیل توضیحاتی درباره هر کدام داده شده است.
نمایش میزان فضای استفاده شده از منابع سیستم ( Disk،Ram،Cpu) و همچنین راه اندازی مجدد . خاموش کردن دستگاه .
وضعیت لایسنس دستگاه در این پنجره قابل مشاهده می باشد. دستگاه هایی که به صورت باندل هستند دارای وضعیت Register و دستگاه های Offline به صورت Unregister می باشند ولی با گرفتن Update ماهانه از شرکت های پشتیبان می توان از update های جدید دستگاه استفاده نمود.
با فعال نمودن هر یک از این گزینه ها می توان دستگاه را برای تنظیمات لازم جهت اعمال ویژگی جدید آماده نمود. (به عنوان مثال با فعال نمودن ipv6 دستگاه آمادگی لازم برای تنظیمات ipv6 رادر فایروال ایجاد می کند)
جهت دسترسی آسان و ساده تر به کنسول fortigate پنجره ای به عنوان cli موجود می باشد که می توان ازین طریق ،تنظیمات مورد نیاز را از طریق command بر روی فایروال اعمال نمود.
جهت مدیریت بهتر و کارامد تر دستگاه می توان برای هر Interface گرافی، جهت مشاهده میزان استفاده از پهنای باند شبکه بر روی Interface ها ایجاد نمود.
توسط این گزینه می توان سیاست هایی را که در سازمان ها بر روی فایروال تنظیم و پیکربندی (filtering)می شود، مشاهده نمود و از ترافیک های ارسالی و دریافتی شبکه با اطلاع بود وهمچنین monitoring بسته های ارسالی و دریافتی را مشاهده کنیم.
System>Forti view
در مدل های مختلف فایروال های Fortinet ،بسته به نیاز سازمان دستگاه های مختلفی عرضه شده است که در هر مدل تعداد interface ها متفاوت می باشد.آموزش ما بر روی دستگاه Fortigate 300D است که در شکل زیر وضعیت Interface دستگاه را مشاهده می نمایید.
System > Network > Interfaces
در این بخش می توانیم تنظیمات لازم برای راه اندازی ارتباطات داخلی و خارجی سازمان را انجام دهیم.interface های فایروال به دو صورت switch mode و interface mode قابل پیاده سازی هستند.
زمانی که می خواهیم از یک subnet برای چند پورت از دستگاه fortigate استفاده کنیم.هم می توانیم تمام interface ها را در این حالت قرار دهیم و هم می توانیم تعداد دلخواهی از interface ها را در این مد قرار دهیم.به عنوان مثال بخواهیم پورت 5 و6 را در رنج 192.168.6.1/24 تنظیم نماییم . در این مواقع از حالت switch mode استفاده می کنیم که نحوه تنظیم نمودن آن بدین شرح می باشد:
System>network>interface>create new
با انتخاب create new در بخش interface وارد صفحه جدید می شویم که می توانیم با انتخاب یک نام و انتخاب پورت های مورد نظراز حالت software switch برای تنظیمات switch mode استفاده کنیم.
همانطور که مشاهده می کنیم بعد از انجام مراحل بالا ،می توانیم از یک subnet مشترک برای interface های تعیین شده در شبکه استفاده نماییم.
زمانی که از هرپورت فایروال بخواهیم به عنوان یک subnet جداگانه استفاده نماییم فایروال خود را برروی این مد تنظیم می کنیم.
می خواهیم تنظیمات لازم برای ارتباط اینترنت با کلاینت های داخل شبکه را انجام دهیم.در ابتدای کار interface مورد نظر که اتصال اینترنت برروی آن قرار دارد را انتخاب می کنیم و تنظیمات مربوط به اینترنت را در این بخش انجام می دهیم.
System>network>interface>Port1
حال ارتباط شبکه داخلی را با فایروال برقرار می کنیم .برای این کار می خواهیم از vlan که در فایروال Fortinet نیز قابل پیاده سازی است بهره مند شویم.برای داشتن performance بهتر می خواهیم از دو پورت برای شبکه داخلی استفاده کنیم (بدین شکل که از device ای که کلاینت های شبکه به آن متصل هستند(switch) 2 پورت را به پورت های5 و 6 فایروال متصل می کنیم )تا از تنظیمات aggregate (مجموع میزان پهنای باند اینترفیس)در بخش اینترفیس برای در دسترس بودن و پهنای باند بهتر شبکه داخلی بر روی فایروال بهره مند شویم.زمانی که ما تعداد n اینترفیس را aggregate می کنیم ، با این کار باعث می شویم میزان ترافیکی که بین device ها در حال تبادل است بسته به تعداد اینترفیس های اضافه شده n برابر افزایش باشد.
System>network>interface>create new
در قسمت name ما یک نام(LAN) را به دلخواه در نظر می گیریم و در قسمت type نوع aggregate را انتخاب و بعد از آن interface های مورد نظر را انتخاب و ok می کنیم
همانطور که مشاهده می کنیم حال ما یک interface به نام lan داریم که مجموع دوپورت 5و6 فایروال می باشد.
برای اعمال vlan کافی است type آن را vlan و interface را lan(aggregate) در نظر بگیریم ویک ID برای vlan در نظر گرفته و subnet مورد نظر را وارد نماییم که ما قصد داریم دو vlan (یکی برای کلاینت ها ودیگری برای سرورهای شبکه) ایجاد کنیم.
System>network>interface>create new
و
تنظیمات EtherChannel انجام شود تا ارتباط مابین فایروال و switch به درستی برقرارباشد.پس ازانجام تنظیمات مربوط به ارتباطات شبکه داخلی واینترنت با فایروال ، نوبت به برقراری ارتباط بین شبکه داخلی و خارجی سازمان می باشد که در جلسه چهارم به صورت کامل به توضیح در این باره خواهیم پرداخت.در جلسه سوم درباره تنظیمات بخش network صحبت کردیم و تنظیمات شبکه داخلی و خارجی سازمان را انجام دادیم .در این جلسه می خوا هیم ارتباط بین شبکه داخلی و خارجی سازمان را برقرار کنیم .در ابتدای کار برای شبکه خارجی سازمان باید route ای بنویسیم تا ترافیک اینترنت بر روی فایروال برقرار شود. برای این کار باید در قسمت
Router >static>static routes >create new
رفته و در قسمت device اینترفیس مربوط به اینترنت را انتخاب کنیم و در بخش gateway نیز آدرس Ip default gateway مربوط به سرویس دهنده اینترنت را وارد نماییم.به این ترتیب تنظیمات اینترنت بر روی فایروال صورت می گیرد.
در مرحله بعد باید مجوز دسترسی کلاینت های داخل شبکه به اینترنت داده شود که این کار در بخش policy فایروال انجام می شود
تعریف دسترسی کاربران در شبکه و میزان دسترسی آنها در این بخش تعریف می گردد .
همانطور که در شکل مشاهده می نماییم در بخش policy گزینه های زیر موجود می باشد که به شرح هر یک می پردازیم.
زمانی از این گزینه استفاده می کنیم که بخواهیم ترافیک هایی از شبکه را کنترل کنیم(Https,Smtps,Pop3s,Imaps,Pop3s) که دارای اعتبار ssl برای رمز گذاری هستند.در حالت عادی فایروال ssl راچک نمی کند و با فعال نمودن این گزینه که تنظیمات آن به دوصورت certificate و full inspection قابل پیاده سازی است می توان از صحت بسته ها تا حد زیادی مطمئن شد و با فیلتر کردن ترافیک شبکه، از حملاتی نظیر مرد میانی(man-in-the-middle attack) جلوگیری نمود. همچنین زمانی که بخواهیم از ssl vpn(در جلسات آینده به توضیح آن می پردازیم) استفاده کنیم از این گزینه استفاده می شود.
نکاتی برای بالابردن امنیت در شبکه وجود دارد که بهتر است در این بخش به آن اشاره شود.
برای تعریف کلاینت های داخل شبکه در فایروال Fortinet دوراه وجود دارد. یکی استفاده از Ldap Server در بخش user & device است که در ادامه جلسات به صورت کامل به شرح آن می پردازیم . راه دوم در بخش آدرس ساختن آدرس برای هر کاربر یا گروه می باشد که توضیح دادیم.
برای این کار در بخش policy رفته و از بخش object بر روی addresses کلیک می کنیم تا وارد صفحه آدرس شویم.
Policy & Object>object>address>create new
سپس در قسمت create new می توانیم کاربران خود را تعریف کنیم و بعد از تعریف کاربران دسترسی های لازم رابه آنها بدهیم
همانطور که مشاهده می نماییم گروهی به نام گروه مالی ساختیم و بعد از ایجاد کاربران آنها را در گروه مالی اضافه کردیم. حال به جای سطح دسترسی به تک تک کاربران به گروه آنها دسترسی می دهیم.برای این کار باید وارد بخش policy شویم.
Policy & Object>Policy>Ipv4>create new
در این بخش تمام ترافیک های شبکه که در subnet های مجزا قراردارند قابل کنترل و مدیریت است .(به عنوان مثال ترافیک های بین کلاینت های شبکه با سرورها و یا با اینترنت و اینترانت و ... که در vlan ها و subnet های مجزا قراردارند.)
هدف ما از برقراری این سناریو ارتباط کلاینت های داخل سازمان با بیرون سازمان بود که ما برای اینکه برای تک تک کلاینت ها(user1,user2 )سیاست گذاری نکنیم از یک گروه(group-mali) استفاده کردیم و کلاینت ها را در این گروه قرار دادیم و سیاست گذاری ها را بر روی این گروه اعمال کردیم. حال با قرار دادن shape برای این گروه میزان پهنای باند اینترنت برای کل گروه را 1024kbs در نظرمی گیریم و هر کلاینت (ip address) فقط می تواند با تنظیم perip میزان 16KBs از پهنای باند اینترنت برخوردار باشد که تمام این تنظیمات در بخش traffic shapers قابل اعمال است.
با انجام تنظیمات بالا مشاهده می نماییم که ترافیک های داخل شبکه مجوز دسترسی به اینترنت را دارا می باشند.
در این جلسه می خواهیم درباره نحوه مدیریت و افزونه کردن لینک های اینترنت بر روی فایروال صحبت کنیم تا redundant بهتری بر روی ترافیک های اینترنت داشته باشیم.در ابتدای کار باید 2 لینک اینترنت از دو سرویس دهنده داشته باشیم.
بعد از تنظیماتی که بر روی 2 اینترفیس انجام شد، در صورت وجود route و یا policy که از قبل بر روی هر کدام ازاین interfaceهاوجود داشته باید آنها را پاک کنیم تا دوباره تنظیمات مربوط به route و policyرا انجام دهیم.
برای تنظیمات wan link load balance به مسیر زیر می رویم
System > Network > Wan link load balancing
همانطور که در شکل مشاهده می نماییم در این صفحه mode های مختلفی برای تنظیمات wan link وجود دارد که به شرح آنها خواهیم پرداخت.
از روش هایی که توضیح دادیم ما گزینه weighted Round Robin را انتخاب می کنیم و تنظیمات لازم را برای redundant انجام می دهیم ، بعد از تنظیم نمودن اینترفیس ها نوبت به تنظیم weighted round robin می باشد که برای این کار به مسیر زیر می رویم
System > Network > Wan link load balancing > Weighted round robin
همانطور که در شکل مشاهده می نماییم در قسمت Interface Members با استفاده از create new می توانیم لینک های (Interface) های خود را اضافه نماییم
ISP1
ISP2
حال نوبت به ایجاد default route برای Wan link می باشد. برای انجام تنظیمات وارد مسیر زیر می شویم
Router> Static> Static Routes> create new
قسمت destination IP/Mask را به صورت پیش فرض قرار می دهیم و در قسمت Device اینترفیس Wan link load balance را انتخاب می کنیم .
در آخر باید در قسمت Policy تنظیمات مربوط به ارتباط شبکه داخلی با شبکه اینترنت را انجام دهیم.به عنوان مثال ترافیک کلاینت های گروه مالی را به سمت اینترنت تنظیم می نماییم.
در آخر هم برای برقراری ارتباط از گزینه Nat استفاده می نماییم که آن را فعال می نماییم.در جلسه سوم درباره راه های ارتباط کاربران شبکه با فایروال Fortinet و نحوه گرفتن مجوز دسترسی صحبت کردیم و عنوان کردیم که یک راه ارتباط از طریق Ldap Server است . در این جلسه می خواهیم به شرح کامل Ldap Server ونحوه یکپارچه سازی آن با سرویس Active Directory بپردازیم.
Lightweight Directory Access Protocol یا Ladp مجموعه ای از پروتکل¬ها و متدها برای دسترسی به اطلاعات ساختارهایی همانند Active Directory می¬باشد . ابزاری است برای مدیریت اطلاعات شبکه، حساب¬های کاربری، ماشین¬های میزبان شبکه و منابع درون شبکه است. با استفاده از این استاندارد می¬توان یک مدیریت متمرکز و واحد را به کل پیکره شبکه اعمال کرد.
برای دسترسی به بخش Ldap Server به مسیر زیر می رویم.
User and Device>Authentication>Ldap Server
در این قسمت گزینه create new را انتخاب می کنیم و تنظیمات لازم را اعمال می کنیم.
User And Device >Authentication > Single Sign-On
همانطور که در شکل مشاهده می نماییم در این بخش سه روش برای احراز هویت فایروال با کاربران موجود در DC قرارداده شده که در ذیل به توضیح این روش ها می پردازیم.
همانطور که اشاره شد DC به عنوان یک سرویس گیرنده RADIUS عمل می نماید . سرویس گیرنده مسئول ارسال اطلاعات کاربر برای سرویس دهنده RADIUSکه Fortinet است قرار داده می شود تا در خصوص کاربران مجوز های لازم را اعمال کند.
یک Agent file است که برای ارتباط بین کلاینت های موجود در سرور DC با Firewall استفاده می شود. بعد از دانلود این فایل که در سایت Fortinet موجود می باشد(نسبت به version فایروال می توانیم Agent مربوط به آن را دانلود نماییم) آن را برروی سرور DC به شکل زیر نصب می کنیم.
1:در این قسمت user و password مورد نظر(administrator) را وارد می نماییم.
2:با استفاده ازگزینه monitor اجازه گرفتن log از کاربران را به Fortinet داده و با انتخاب NTLM اجازه دسترسی از Fortinet firewall به کاربر می دهیم.همچنین از 2 متد برای معرفی user(Administrator) مورد نظر استفاده می شود که ما از روش Advance برا ی دسترسی استفاده می کنیم.
3:با استفاده از IP سرور DC و پورت مورد نظر تنظیمات لازم رابرای ارتباط برقرار می کنیم.
4:در این قسمت سروری که می خواهیم مانیتور کنیم را انتخاب می کنیم.
5:در این قسمت چون از فایل agent استفاده می کنیم گزینه DC Agent mode را انتخاب می کنیم.
6: بعد از نصب برنامه نیاز به راه اندازی مجدد سرور DC است تا تنظیمات لازم برروی سرورActive Directory صورت گیرد.
بعد از راه اندازی مجدد فایل Configure Fortinet Single Sign-On را باز می کنیم و در صورت نیاز،تنظیمات بیشتر را در این بخش اعمال می نماییم.
تنظیمات مربوط به Fortinet-Single-Sign-On Agent:
User And Device >Authentication > Single Sign-On
همانطور که اشاره شد ما از روش Fortinet-Single-Sign-On Agent برای ارتباط با DC استفاده کردیم که در ذیل به نحوه تنظیم آن می پردازیم.
در مرحله آخر در قسمت User and Groups می توانیم کاربران خود را (به تفکیک کاربر، گروه و گروه سازمانی)اضافه نماییم تا Policy های مورد نظر را برروی آنها اعمال نماییم.
و تنظیمات policy مورد نظر
در این جلسه می خواهیم درباره port forwarding و مباحث مربوط به امنیت سرویس ها در آن صحبت کنیم. همانطور که می دانیم port forwarding به ما این امکان را میدهد که سرویس هایی که در شبکه داخلی سازمان وجود دارنداز بیرون (محیط اینترنت) در دسترس باشند.به عنوان مثال سرویس هایی نظیر وب سایت ، ایمیل سازمان و بسیاری از سرویس های دیگر که نیازبه برقراری ارتباط با دنیای اینترنت را دارند توسط Port Forwarding می توانند با اینترنت در تعامل باشند.
1:ساخت Virtuall IP
Policy and Object>Objects> Virtuall IPS
تنظیمات مربوط به Web Service سازمان
نکته مهم: بهتر است سازمانهایی که سرویس دهی (Web site ,Ftp ,Web service,…) آنها فقط در داخل کشور انجام می شود ، فقط اجازه دسترسی به سرویس هایشان را به IP Range های ایران بدهند تا کمتر مورد حمله هکرها قراربگیرند.
پس از ایجاد VIRTUAL IP نوبت به نوشتن Policy برای دسترسی به سرویس های سازمانی می باشد . برای این کار وارد مسیر زیر می شویم.
Policy and Object>Policy>IPV4>new policy
همانطور که در این شکل مشاهده می نماییم با انجام تنظیمات مربوطه (در جلسه چهارم در مورد این تنظیمات توضیحات کامل ارائه شده است)می توان دسترسی لازم را برای ارتباط با سرویس های شبکه از محیط اینترنت فراهم نمود.نکته لازم به ذکر در مورد Destination Address می باشد که در این قسمت Virtual IP ای که ساختیم را انتخاب می نماییم.برای برقراری امنیت بیشتر بهتر است به نکات زیر توجه شود.
در قسمت Traffic Shaping تنظیمات لازم مربوط به میزان پهنای باند در دسترس سرویس گیرنده ها را قراردهید و این تنظیمات را به صورت Default نگذارید. بسیاری از حملات Dos توسط این گزینه جلوگیری می شود.مثلا اگر پهنای باند اینترنت شما 5 مگابایت باشد بهتراست مقداری از پهنای باند را با shared shaper ای که می سازید در اختیار سرویس گیرنده ها قراردهید و همچنین در قسمت Per-IP Shaper میزان پهنای باندی(به اندازه ای که web service شما قابل دسترس باشد) به هر IP که می خواهد توسط سرویس گیرنده به شما وصل شود بدهید تا یک IP نتواند تمام پهنای باند شبکه را در اختیار بگیرد و حمله DOS را بر روی شبکه شما بوجود آورد.
System administrator & Security Consultant
کارشناس ارشد مهندسی فناوری اطلاعات و ارتباطات با سابقه کاری بیش از 15 سال در سازمانهای مختلف در زمینه IT در بخش های NOC و SOC می باشم.در بیش از 50 شرکت مرتبط با IT همکاری داشته و سابقه تدریس نیزدر شرکت های خصوصی درزمینه فناوری اطلاعات و ارتباطات دارم.پروژه های بسیاری در شرکت های مختلف اعم از مشاوره ، پیاده سازی ، عیب یابی و... را به انجام رسانیده و درحال حاظر مسئول بخش شبکه و سخت افزار در یکی از شرکت های بخش خصوصی می باشم.
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود