آموزش جامع تصویری نصب و راه اندازی فایروال فورتیگیت ( Fortigate )

چگونه فورتیگیت را نصب کنیم؟ چگونه تنظیمات فایروال فورتیگیت را انجام دهیم؟ شرکت Fortinet، یک شرکت چندملیتی آمریکایی است که در سال 2000 توسط برادران کن و مایکل زی تاسیس شده است. این شرکت توانایی بالایی در تولید محصولات امنیت شبکه و خدماتی دارد که از نمونه تولیدات موفق آن می توان به فایروال fortigate اشاره کرد.شرکت Fortinet توانسته در سال 2015 با قرار گرفتن در رتبه ی نخست فایروال های سخت افزاری و نرم افزاری (UTM) ها راه کار های جامعی در مقابل مدیریت تحدید ها ارائه دهد. راهکارهای امنیتی Fortinet منجر به تولید محصولات سخت افزاری دیگر در کنار fortigate شده است که در زیر به نمونه هایی از آن اشاره شده است.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
(....، FORTI MAIL ، FORTI WEB ، FORTI DDOS ، FORTI CLIENT)

با استفاده از هر کدام از این ابزارها می توان با امن تر نمودن ساختار شبکه ، مکمل فایروال در شبکه سازمان را ایجاد و لایه دیگری از امنیت را به ارمغان آورد.

نحوه راه اندازی Fortinet firewall(UTM)

برای راه اندازی فایروال در ابتدا باید توسط کابل console به کنسول مدیریتی فایروال وصل شد.می توان ازنرم افزار هایی مانند putty برای متصل شدن استفاده نمود.زمانی که وارد کنسول شدیم ، username=admin را وارد نموده و بدون زدن password وارد محیط command می شویم.

وب سایت توسینسو

با استفاده از دستور show system interface می توانیم تنظیمات interface های فایروال را مشاهده نماییم ، جهت Config اولیه برای وصل شدن به web console از دستورات زیر استفاده می کنیم

وب سایت توسینسو

با استفاده از دستور edit port اینترفیس مورد نظر را انتخاب و با دستور set ip وset allowaccess تنظیمات لازم جهت متصل شدن به کنسول web را وارد می کنیم.حال پس از متصل کردن شبکه به فایروال از طریق web console می توانیم وارد محیط گرافیکی فایروال شویم

وب سایت توسینسو

باوارد کردن user = admin می توانم وارد صفحه تنظیمات فایروال شویم

وب سایت توسینسو

در بخش اول با نحوه متصل شدن به کنسول مدیریتی فایروال Fortinet آشنا شدیم. در این جلسه قصد داریم با محیط آن بیشتر آشنا شویم.

تنظیمات بخش system

در قسمت اول از بخش داشبورد گزینه Status را انتخاب می کنیم . برای تغییر نحوه نمایش ،اضافه کردن و یا برگرداندن به تنظیمات پیش فرض داشبورد بدین صورت عمل می کنیم:

System > Dashboard > Status
آموزش راه اندازی Fortinet firewall - جلسه دوم

با انتخاب هر کدام ازین گزینه ها می توان تنظیمات دلخواه را جهت نمایش اعمال نمود.

  • برای مشاهده مشخصات فنی و وضعیت دستگاه می توانیم در همین صفحه برروی گزینه widget کلیک کنیم وآیتم های دلخواه را اضافه نماییم. در ذیل می توانیم توضیحات مرتبط به این موارد را مشاهده کنیم.

 

آموزش راه اندازی Fortinet firewall - جلسه دوم

System information

اطلاعات مربوط به وضعیت دستگاه در این پنجره قابل مشاهده می باشد که در ذیل توضیحاتی درباره هر کدام داده شده است.

آموزش راه اندازی Fortinet firewall - جلسه دوم
  • HA status: در دسترس بودن یکی از قابلیتهای Device Fortinet است که نیازمند دو دستگاه از یک مدل با Firmware version یکسان می باشد.همانطور که مشاهده می کنیم در حال حاضر به صورت standalone می باشد و تنظیمات HA انجام نشده است.(در مباحث بعدی در مورد تنظیمات HA توضیحات لازم داده خواهد شد)
  • Host Name: ام دستگاه و مدل فایروال می باشد.
  • Serial number: برای هر دستگاه یک serial number مجزا در نظر گرفته شده است.
  • Operation mode: فایروال Fortinet می تواند در دو حالت Nat و Transparent کار کند که ما حالت nat\route را انتخاب می کنیم چون در حالت transparent نمی توان از route یا nat استفاده نمود.
  • System time: نمایش ساعت سیستم که بهتر است همیشه تنظیم باشد. (تنظیم نبودن ساعت تجهیزات و سرورهای سازمان ، باعث بروز مشکلات در سازمان می شود.می توانیم از NTP در این مورد استفاده کنیم)
  • Firmware version: نسخه های جدیددستگاه باعث اضافه شدن feature های جدید و از بین رفتن باگ ها(در صورت موجود) و مانیتورینگ بهتر بر روی ترافیک دستگاه می شود .پس بهتراست پس از تست شدن نسخه نهایی دستگاه مورد نظر از شرکت های طرف قرارداد نسخه جدیدتر را تهیه وبروز رسانی کنیم.
  • System configuration: دارای 3 گزینه می باشد
  1. backup برای گرفتن نسخه پشتیبان از دستگاه ازین گزینه استفاده می شود
  2. restore : فایل backup را می توان با این گزینه فراخوانی کرد(نکته:اگر بعد ازگرفتن نسخه پشتیبان از دستگاه تنظیماتی را بر روی فایروال انجام داده باشید با restore کردن فایل backup تنظیمات جدید در دسترس نخواد بود)
  3. revisions: فرض کنید شما می خواهید HA یا VPN برروی فایروال راه اندازی کنید ولی تخصص لازم برای تنظیمات آن را ندارید. بهتر است با استفاده ازین گزینه یک revisions از دستگاه گرفته تا زمانی که تنظیمات به درستی اعمال نشد و یا مشکلی بر روی دستگاه پیش آمد با انتخاب revision ای که save کردیم تنظیمات را به قبل بر گردانیم.
  • Current administrator: تنظیمات دسترسی و تغییر administrator user از اینجا قابل نمایش و تغییر است.
  • Uptime: مدت زمان روشن بودن سیستم را نمایش می دهد.
  • Virtual domain: استفاده بهینه از دستگاه و تقسیم منابع آن به چند بخش مجزا. (درجلسات بعد توضیحات لازم دراین باره ارائه می گردد)

SYSTEM RESURCE

نمایش میزان فضای استفاده شده از منابع سیستم ( Disk،Ram،Cpu) و همچنین راه اندازی مجدد . خاموش کردن دستگاه .

آموزش راه اندازی Fortinet firewall - جلسه دوم

LICENCE INFORMATION

وضعیت لایسنس دستگاه در این پنجره قابل مشاهده می باشد. دستگاه هایی که به صورت باندل هستند دارای وضعیت Register و دستگاه های Offline به صورت Unregister می باشند ولی با گرفتن Update ماهانه از شرکت های پشتیبان می توان از update های جدید دستگاه استفاده نمود.

آموزش راه اندازی Fortinet firewall - جلسه دوم

Feature

با فعال نمودن هر یک از این گزینه ها می توان دستگاه را برای تنظیمات لازم جهت اعمال ویژگی جدید آماده نمود. (به عنوان مثال با فعال نمودن ipv6 دستگاه آمادگی لازم برای تنظیمات ipv6 رادر فایروال ایجاد می کند)

آموزش راه اندازی Fortinet firewall - جلسه دوم

CLI CONSOLE

جهت دسترسی آسان و ساده تر به کنسول fortigate پنجره ای به عنوان cli موجود می باشد که می توان ازین طریق ،تنظیمات مورد نیاز را از طریق command بر روی فایروال اعمال نمود.

آموزش راه اندازی Fortinet firewall - جلسه دوم

INTERFACE HISTORY

جهت مدیریت بهتر و کارامد تر دستگاه می توان برای هر Interface گرافی، جهت مشاهده میزان استفاده از پهنای باند شبکه بر روی Interface ها ایجاد نمود.

آموزش راه اندازی Fortinet firewall - جلسه دوم

FORTI VIEW

توسط این گزینه می توان سیاست هایی را که در سازمان ها بر روی فایروال تنظیم و پیکربندی (filtering)می شود، مشاهده نمود و از ترافیک های ارسالی و دریافتی شبکه با اطلاع بود وهمچنین monitoring بسته های ارسالی و دریافتی را مشاهده کنیم.

System>Forti view

 

آموزش راه اندازی Fortinet firewall - جلسه دوم

در مدل های مختلف فایروال های Fortinet ،بسته به نیاز سازمان دستگاه های مختلفی عرضه شده است که در هر مدل تعداد interface ها متفاوت می باشد.آموزش ما بر روی دستگاه Fortigate 300D است که در شکل زیر وضعیت Interface دستگاه را مشاهده می نمایید.

آموزش راه اندازی Fortinet firewall(جلسه سوم)

INTERFACE

  1. Console Port (RJ45)
  2. 2x USB Ports
  3. 2x GE RJ45 Management Ports
  4. 4x GE RJ45 Ports
  5. 4x GE SFP Slots
  6. FRPS Connector

تنظیمات بخش Network

System > Network > Interfaces

در این بخش می توانیم تنظیمات لازم برای راه اندازی ارتباطات داخلی و خارجی سازمان را انجام دهیم.interface های فایروال به دو صورت switch mode و interface mode قابل پیاده سازی هستند.

1-switch mode :

زمانی که می خواهیم از یک subnet برای چند پورت از دستگاه fortigate استفاده کنیم.هم می توانیم تمام interface ها را در این حالت قرار دهیم و هم می توانیم تعداد دلخواهی از interface ها را در این مد قرار دهیم.به عنوان مثال بخواهیم پورت 5 و6 را در رنج 192.168.6.1/24 تنظیم نماییم . در این مواقع از حالت switch mode استفاده می کنیم که نحوه تنظیم نمودن آن بدین شرح می باشد:

System>network>interface>create new

 

آموزش راه اندازی Fortinet firewall(جلسه سوم)

با انتخاب create new در بخش interface وارد صفحه جدید می شویم که می توانیم با انتخاب یک نام و انتخاب پورت های مورد نظراز حالت software switch برای تنظیمات switch mode استفاده کنیم.

آموزش راه اندازی Fortinet firewall(جلسه سوم)

همانطور که مشاهده می کنیم بعد از انجام مراحل بالا ،می توانیم از یک subnet مشترک برای interface های تعیین شده در شبکه استفاده نماییم.

آموزش راه اندازی Fortinet firewall(جلسه سوم)

2:حالت Interface mode

زمانی که از هرپورت فایروال بخواهیم به عنوان یک subnet جداگانه استفاده نماییم فایروال خود را برروی این مد تنظیم می کنیم.

سناریو:

می خواهیم تنظیمات لازم برای ارتباط اینترنت با کلاینت های داخل شبکه را انجام دهیم.در ابتدای کار interface مورد نظر که اتصال اینترنت برروی آن قرار دارد را انتخاب می کنیم و تنظیمات مربوط به اینترنت را در این بخش انجام می دهیم.

System>network>interface>Port1
آموزش راه اندازی Fortinet firewall(جلسه سوم)

حال ارتباط شبکه داخلی را با فایروال برقرار می کنیم .برای این کار می خواهیم از vlan که در فایروال Fortinet نیز قابل پیاده سازی است بهره مند شویم.برای داشتن performance بهتر می خواهیم از دو پورت برای شبکه داخلی استفاده کنیم (بدین شکل که از device ای که کلاینت های شبکه به آن متصل هستند(switch) 2 پورت را به پورت های5 و 6 فایروال متصل می کنیم )تا از تنظیمات aggregate (مجموع میزان پهنای باند اینترفیس)در بخش اینترفیس برای در دسترس بودن و پهنای باند بهتر شبکه داخلی بر روی فایروال بهره مند شویم.زمانی که ما تعداد n اینترفیس را aggregate می کنیم ، با این کار باعث می شویم میزان ترافیکی که بین device ها در حال تبادل است بسته به تعداد اینترفیس های اضافه شده n برابر افزایش باشد.

نحوه انجام تنظیمات aggregate

System>network>interface>create new
آموزش راه اندازی Fortinet firewall(جلسه سوم)

در قسمت name ما یک نام(LAN) را به دلخواه در نظر می گیریم و در قسمت type نوع aggregate را انتخاب و بعد از آن interface های مورد نظر را انتخاب و ok می کنیم

آموزش راه اندازی Fortinet firewall(جلسه سوم)

همانطور که مشاهده می کنیم حال ما یک interface به نام lan داریم که مجموع دوپورت 5و6 فایروال می باشد.

تنظیمات Vlan

برای اعمال vlan کافی است type آن را vlan و interface را lan(aggregate) در نظر بگیریم ویک ID برای vlan در نظر گرفته و subnet مورد نظر را وارد نماییم که ما قصد داریم دو vlan (یکی برای کلاینت ها ودیگری برای سرورهای شبکه) ایجاد کنیم.

System>network>interface>create new

 

آموزش راه اندازی Fortinet firewall(جلسه سوم)

و

 

آموزش راه اندازی Fortinet firewall(جلسه سوم)

 

 

آموزش راه اندازی Fortinet firewall(جلسه سوم)

نکات

  1. تعداد vlan هایی که می توان ساخت بستگی به نیاز سازمان دارد
  2. زمانی که از aggregate mode استفاده می کنید در سمت device مقابل(مثلا در سناریو ما layer 3 switch ) باید

تنظیمات EtherChannel انجام شود تا ارتباط مابین فایروال و switch به درستی برقرارباشد.پس ازانجام تنظیمات مربوط به ارتباطات شبکه داخلی واینترنت با فایروال ، نوبت به برقراری ارتباط بین شبکه داخلی و خارجی سازمان می باشد که در جلسه چهارم به صورت کامل به توضیح در این باره خواهیم پرداخت.در جلسه سوم درباره تنظیمات بخش network صحبت کردیم و تنظیمات شبکه داخلی و خارجی سازمان را انجام دادیم .در این جلسه می خوا هیم ارتباط بین شبکه داخلی و خارجی سازمان را برقرار کنیم .در ابتدای کار برای شبکه خارجی سازمان باید route ای بنویسیم تا ترافیک اینترنت بر روی فایروال برقرار شود. برای این کار باید در قسمت

Router >static>static routes >create new 

رفته و در قسمت device اینترفیس مربوط به اینترنت را انتخاب کنیم و در بخش gateway نیز آدرس Ip default gateway مربوط به سرویس دهنده اینترنت را وارد نماییم.به این ترتیب تنظیمات اینترنت بر روی فایروال صورت می گیرد.

static route

در مرحله بعد باید مجوز دسترسی کلاینت های داخل شبکه به اینترنت داده شود که این کار در بخش policy فایروال انجام می شود

تنظیمات بخش Policy and Object

تعریف دسترسی کاربران در شبکه و میزان دسترسی آنها در این بخش تعریف می گردد .

 

Policy & Object

همانطور که در شکل مشاهده می نماییم در بخش policy گزینه های زیر موجود می باشد که به شرح هر یک می پردازیم.

  • Ipv4: در این قسمت می توان دسترسی وترافیک گره های شبکه (node) ، که از ipv4 استفاده می کنند را مشخص نمود که در ادامه به توضیح کامل آن می پردازیم.
  • Explicit proxy: زمانی که بخواهیم ترافیکی از شبکه به سمت proxy server هدایت شود از آن استفاده می کنیم تا بدین صورت اسکن کاملی بر روی بسته ها صورت گیرد.
  • Dos: از این گزینه زمانی استفاده می شود که بخواهیم محدودیت بر روی ترافیک هایی(packet) که وارد شبکه (dmz,client,…) می شوند ایجادکنیم.برای جلوگیری از حملات dos بهتر است این گزینه فعال و config شود.
  • Proxy options: با تنظیم نمودن این گزینه می توانیم ازصحت packet های ارسالی بر روی فایروال تا حد زیادی اطمینان کسب کنیم . مثلا با انجام تنظیمات proxy برروی آنتی ویروس ، محتویات بسته را (اعم ازصحیح بودن پورت یا حجم بسته ارسالی و... ) چک نمود.

Ssl/ssh inspection

زمانی از این گزینه استفاده می کنیم که بخواهیم ترافیک هایی از شبکه را کنترل کنیم(Https,Smtps,Pop3s,Imaps,Pop3s) که دارای اعتبار ssl برای رمز گذاری هستند.در حالت عادی فایروال ssl راچک نمی کند و با فعال نمودن این گزینه که تنظیمات آن به دوصورت certificate و full inspection قابل پیاده سازی است می توان از صحت بسته ها تا حد زیادی مطمئن شد و با فیلتر کردن ترافیک شبکه، از حملاتی نظیر مرد میانی(man-in-the-middle attack) جلوگیری نمود. همچنین زمانی که بخواهیم از ssl vpn(در جلسات آینده به توضیح آن می پردازیم) استفاده کنیم از این گزینه استفاده می شود.

  • Objects : در این بخش تنظیمات مربوط به Ip و همچنین سرویس های مورد استفاده و forwarding و ... مورد بررسی قرار می گیرد که در ذیل به توضیح آن می پردازیم.
  • Addresses : بسته به نیاز سازمان آدرس را می توان به طریق مختلفی تنظیم نمود. برای مثال اگرنیاز به یک name در شبکه داریم از Fqdn و یا رنج خاصی از Ipمد نظرمان است از Ip range وزمانی که می خواهیم subnet وIp خاصی را اختصاص دهیم از Ip/netmask استفاده می نماییم.
  •  Services:  سرویس های مورد نیاز برای ارتباطات درون و برون شبکه در این قسمت قابل مشاهده می باشد.در صورت نیاز به سرویس خاصی که دراین بخش موجود نمی باشد می توانیم آن را در این قسمت اضافه نماییم.
  • Schedules : برای مدیریت کارامد تر در شبکه بهتر است تمام سیاست گذاری هایی که بر روی فایروال انجام می شود دارای زمان دسترسی باشد. در این قسمت می توانیم بسته به نیاز سازمان schedules هایی رابرای ترافیک های عبوری از فایروال در نظر بگیریم.
  • Traffic shapers : یکی از بخش هایی که یک admin در شبکه باید کنترل و مدیریت کند میزان و پهنای باند دسترسی سرویس ها در شبکه سازمان است. با استفاده ازین گزینه می توانیم دسترسی هایی را تعیین نماییم که هر کاربر یا هر policy که برر روی فایروال سازمان سیاست گذاری شده، میزان پهنای باندی را برای حجم ارسال و دریافت اطلاعات به آن اختصاص داد.(برای جلوگیری از حملاتی مانندdos وddos و... کاربرددارد)
  • Virtual ips : اکثر سازمانها نیاز به برقراری ارتباط سرویس های شبکه (website,mail,ftp,…)با محیط بیرون(اینترنت، اینترانت، و ...) دارند تا به معرفی و تبلیغ محصول،شغل،کار و... خودشان بپردازند.به همین دلیل در فایروال Fortinet بخشی به عنوان virtual ips در نظر گرفته شده که می توان ترافیک های بیرون شبکه را به داخل شبکه forward نمود.

نکاتی برای بالابردن امنیت در شبکه وجود دارد که بهتر است در این بخش به آن اشاره شود.

  1. بهتر است سرویس های default شبکه را با پورت های های دیگر جایگزین کنیم.
  2. در بخش forwarding قسمتی با عنوان source address filter وجود دارد که می توانیم subnet های دلخواه را بر روی آن filter کنیم و اجازه دسترسی به سرویسمان را به همه ندهیم. مثلا شما از سرویس ftp برای تبادل اطلاعات با استانهای خودتان استفاده می کنید واز ip public استانهای خود اطلاع دارید.کافی است در این قسمت ip های مورد نظر را وارد نمایید تا ترافیک فقط برای این range از Ip ها trust باشد.

ادامه سناریو

برای تعریف کلاینت های داخل شبکه در فایروال Fortinet دوراه وجود دارد. یکی استفاده از Ldap Server در بخش user & device است که در ادامه جلسات به صورت کامل به شرح آن می پردازیم . راه دوم در بخش آدرس ساختن آدرس برای هر کاربر یا گروه می باشد که توضیح دادیم.

نحوه ایجاد آدرس برای دسترسی کلاینت ها در شبکه:

برای این کار در بخش policy رفته و از بخش object بر روی addresses کلیک می کنیم تا وارد صفحه آدرس شویم.

Policy & Object>object>address>create new
addresses

سپس در قسمت create new می توانیم کاربران خود را تعریف کنیم و بعد از تعریف کاربران دسترسی های لازم رابه آنها بدهیم

  • نکته : در صورت زیاد بودن تعداد کاربران دادن مجوز دسترسی به آنها سخت تر می شود.بهتر است در همین قسمت گروهی تعریف کنیم و مجوز دسترسی های لازم را به جای تک تک کاربران به گروه آنها اعمال کنیم.

 

address group

همانطور که مشاهده می نماییم گروهی به نام گروه مالی ساختیم و بعد از ایجاد کاربران آنها را در گروه مالی اضافه کردیم. حال به جای سطح دسترسی به تک تک کاربران به گروه آنها دسترسی می دهیم.برای این کار باید وارد بخش policy شویم.

تعیین مجوز سطح دسترسی در بخش policy:

Policy & Object>Policy>Ipv4>create new

در این بخش تمام ترافیک های شبکه که در subnet های مجزا قراردارند قابل کنترل و مدیریت است .(به عنوان مثال ترافیک های بین کلاینت های شبکه با سرورها و یا با اینترنت و اینترانت و ... که در vlan ها و subnet های مجزا قراردارند.)

 

policy
  • Incoming interface:در این قسمت می توان یک یا چند اینترفیس را انتخاب تا سیاست هایی را بر روی ترافیک این اینترفیس ها اعمال نمود
  • Source address:آدرس هایی که قرار است سیاست ها بر روی آن اعمال شود را در این قسمت انتخاب می کنیم. همانطور که اشاره شد می توان هم یک و یا چند آدرس(user1 ,user 2,…) و یا گروهی از آدرس ها را انتخاب نمود که ما گروه را انتخاب می کنیم.
  • Source user:در صورت ساختن user ها و یا راه اندازی ldap server می توانیم آنها را در این بخش اضافه کنیم به جای آدرس هایی که در بالا ذکر شد.
  • Source device type:اگر بخواهیم فقط اجازه عبور ترافیک های سیتم عامل های خاصی را بدهیم می توانیم در این قسمت این سیتم عامل ها را انتخاب کنیم تا مجوز عبور ترافیک فقط برای آنها میسر باشد.

 

device type
  • Outgoing interface:ترافیک هایی که باید ازین اینترفیس خارج شوند را در این قسمت انتخاب می کنیم
  • Destination address : مقصد ترافیک ها را هم می توانیم در این قسمت filter کنیم تا فقط به سمت مقصد مورد نظر ما منتقل شوند.
  • Schedule : مدت زمان فعال بودن این ترافیک بسته به سیاست گذاری سازمان دارد که می توان تنظیمات لازم در این مورد را اعمال نمود
  • Service : بهتر است برای هر ترافیکی که در شبکه در حال تبادل و انتقال هست بازه ای از سرویس ها را مشخص نماییم تا فقط تمرکز فایروال بر روی سرویس مورد نظر باشد.این کار موجب افزایش امنیت در تمام فایروال ها می باشد.
  • Action : نقشی که فایروال در مقابل تنظیماتی که انجام دادیم در اینجا تعیین می گردد که آیا اجازه عبور ترافیک داده شود(accept) و یا جلوگیری از عبور ترافیک نماید(deny)
  • Security profile : در این بخش می توانیم در صورت تنظیم نمودن سیاست های بیشتر و ایجاد امنیت بیشتر(در مطالب قبلی به آن اشاره شد)برای ترافیک مورد نظر در هر اینترفیس این سیاست ها را اعمال نماییم.
  • Traffic shaping : همانطور که عنوان شد برای ترافیک های ورودی و خروجی سازمان می توانیم از سیاست هایی برای دادن مجوز میزان دسترسی به پهنای باند استفاده کنیم که در قسمت shape میزان پهنای باند کاربر ،گروه و یا ... را مشاهده می نماییم و در قسمت per Ip میزان استفاده از پهنای باند برای هر Ip ،که در سیاست ما مجوز عبور از فایروال را دارد را تعیین می نماییم.

با یک مثال بیشتر توضیح می دهیم

هدف ما از برقراری این سناریو ارتباط کلاینت های داخل سازمان با بیرون سازمان بود که ما برای اینکه برای تک تک کلاینت ها(user1,user2 )سیاست گذاری نکنیم از یک گروه(group-mali) استفاده کردیم و کلاینت ها را در این گروه قرار دادیم و سیاست گذاری ها را بر روی این گروه اعمال کردیم. حال با قرار دادن shape برای این گروه میزان پهنای باند اینترنت برای کل گروه را 1024kbs در نظرمی گیریم و هر کلاینت (ip address) فقط می تواند با تنظیم perip میزان 16KBs از پهنای باند اینترنت برخوردار باشد که تمام این تنظیمات در بخش traffic shapers قابل اعمال است.

  • Logging options : بهتر است برای ترافیک های عبوری از فایروال log ای داشته باشیم تا بتوانیم مدیریت بهتری بر روی ترافیک های شبکه سازمان داشته باشیم . با فعال نمودن این گزینه امکان log نمودن ترافیک میسر می شود.

با انجام تنظیمات بالا مشاهده می نماییم که ترافیک های داخل شبکه مجوز دسترسی به اینترنت را دارا می باشند.

آموزش راه اندازی Fortinet firewall(جلسه چهارم)
 

در این جلسه می خواهیم درباره نحوه مدیریت و افزونه کردن لینک های اینترنت بر روی فایروال صحبت کنیم تا redundant بهتری بر روی ترافیک های اینترنت داشته باشیم.در ابتدای کار باید 2 لینک اینترنت از دو سرویس دهنده داشته باشیم.

تنظیمات لینک ها را بر روی interface های فایروال انجام می دهیم.(در بخش system-network-interface)

Interface

بعد از تنظیماتی که بر روی 2 اینترفیس انجام شد، در صورت وجود route و یا policy که از قبل بر روی هر کدام ازاین interfaceهاوجود داشته باید آنها را پاک کنیم تا دوباره تنظیمات مربوط به route و policyرا انجام دهیم.

 

آموزش راه اندازی Fortinet firewall(جلسه پنجم)

برای تنظیمات wan link load balance به مسیر زیر می رویم

System > Network > Wan link load balancing
آموزش راه اندازی Fortinet firewall(جلسه پنجم)

همانطور که در شکل مشاهده می نماییم در این صفحه mode های مختلفی برای تنظیمات wan link وجود دارد که به شرح آنها خواهیم پرداخت.

  • Source IP based : زمانی ازین گزینه استفاده می شود که بخواهیم ترافیک های خاصی از شبکه (vlan,Interface,IP Range,….) را به سمت اینترنت ارسال نماییم.مثلا بخواهیم ترافیک های vlan 6 ما به سمت اینترنت بروند.
  • Weighted Round Robin : یکی از بهترین حالات load balance درفایروال Fortinet استفاده ازاین گزینه است که مدیریت بهتری بر روی ترافیک های ارسالی شبکه به سمت اینترنت دارد. فرض کنیم دارای دو اینترنت با حجم (ISP1=6Mb) و (ISP2=4Mb) هستیم و می خواهیم ترافیک ها مدیریت شده از هر دو Isp به سمت اینترنت ارسال شوند. برای تنظیم آن باید وزنی به هر ISP بدهیم تا بر اساس آن مدیریت کارامدی بر روی ترافیک های ارسالی داشته باشیم.
  • Spill-over : فرض کنیم ISP1 ما از ISP2 وضعیت بهتری دارد و زمان down time کمتری دارد. حال ما می خواهیم تمام ترافیک های شبکه از ISP1 عبور کند تا زمانی که پهنای باند ISP1 به حداکثر مقدار خود رسید ،ترافیک شبکه بدون کندی و قطعی بر روی ISP2 سرریز کند و ادامه ترافیک ها از ISP2 عبور کنند ازاین گزینه استفاده می نماییم.
  • Source-Destination IP based : زمانی ازاین گزینه استفاده می شود که بخواهیم ترافیک های خاصی از شبکه (vlan,Interface,IP Range,….) را به سمت اینترنت بفرستیم، اما با شرط اینکه این ترافیک فقط مجوز عبور از اینترنت (ISP) با اولویت بالاتر یا... را داشته باشد.به عنوان مثال سازمان تصمیم می گیرد که برای مدیریت بهتر پهنای باند تمام ترافیک های کلاینت های داخل شبکه را به سمت مقصد Isp2 که نسبت به ISP1 ضعیف تر است بفرستد و ترافیک های سرورهای شبکه از ISP1 عبور کند.
  • Measured-volume based : می توانیم برای هر ISP حجمی تعریف کنیم تا زمانی که میزان استفاده ترافیک ها از اینترنت به حجم خاصی رسید ترافیک های ارسالی بر روی ISP دیگر انتقال داده شوند. زمانی از این گزینه استفاده می شود که اینترنت خود را از ISP هایی تهیه نموده اید که به صورت حجمی ترافیک اینترنت را در اختیار شما می گذارند.

تنظیمات لازم برای ایجاد Wan Link Load Balancing:

از روش هایی که توضیح دادیم ما گزینه weighted Round Robin را انتخاب می کنیم و تنظیمات لازم را برای redundant انجام می دهیم ، بعد از تنظیم نمودن اینترفیس ها نوبت به تنظیم weighted round robin می باشد که برای این کار به مسیر زیر می رویم

System > Network > Wan link load balancing > Weighted round robin
Weighted round robin

همانطور که در شکل مشاهده می نماییم در قسمت Interface Members با استفاده از create new می توانیم لینک های (Interface) های خود را اضافه نماییم

ISP1

 

آموزش راه اندازی Fortinet firewall(جلسه پنجم)

ISP2

 

آموزش راه اندازی Fortinet firewall(جلسه پنجم)
  • Interface: انتخاب اینترفیس مورد نظر(اینترفیسی که تنظیمات Isp را جهت برقراری اینترنت بر روی آن انجام دادیم)
  • Weight: میزان وزنی که به هر Interface اختصاص می دهیم(در مثال ما ISp1 میزان پهنای باند 6Mb داشت که وزنی که به ان اختصاص می دهیم 6، و Isp2 به میزان 4Mb و وزنی که به آن اختصاص می دهیم 4 است. بدین ترتیب با جمع وزن دو ترافیک که مجموع آن 10 است میزان 60% ترافیک ها از Isp1 و میزان 40% آنها از Isp2 منتقل می شود و درصورت قطعی یکی از Isp ها ترافیک توسط Isp دیگر منتقل می شود)
آموزش راه اندازی Fortinet firewall(جلسه پنجم)
  • Measure Link Quality: در این بخش می توانیم میزان کیفیت لینک را در دوحالت Jitter و زمان تاخیر(Latency time) بررسی نماییم و در صورت بروز مشکل ترافیک لینک را (می تواند به تفکیک پورت خاص نیز تنظیم شود) برروی سرویس دهنده ای که وضعیت بهتری دارد منتقل نماییم.

حال نوبت به ایجاد default route برای Wan link می باشد. برای انجام تنظیمات وارد مسیر زیر می شویم

Router> Static> Static Routes> create new
آموزش راه اندازی Fortinet firewall(جلسه پنجم)

قسمت destination IP/Mask را به صورت پیش فرض قرار می دهیم و در قسمت Device اینترفیس Wan link load balance را انتخاب می کنیم .

 

آموزش راه اندازی Fortinet firewall(جلسه پنجم)

در آخر باید در قسمت Policy تنظیمات مربوط به ارتباط شبکه داخلی با شبکه اینترنت را انجام دهیم.به عنوان مثال ترافیک کلاینت های گروه مالی را به سمت اینترنت تنظیم می نماییم.

آموزش راه اندازی Fortinet firewall(جلسه پنجم)
  • Incoming Interface: در این بخش اینترفیس مربوط به client vlan را انتخاب می کنیم
  • Source Address: انتخاب کلاینت هایی که باید مجوز عبور به سمت اینترنت را داشته باشند
  • Outgoing Interface: در این قسمت از اینترفیس Wan-load-balance استفاده می نماییم تا ترافیک ها را به سمت اینترنت انتقال دهد.
  • Action: مجوز ارسال اطلاعات با انتخاب Accept

در آخر هم برای برقراری ارتباط از گزینه Nat استفاده می نماییم که آن را فعال می نماییم.در جلسه سوم درباره راه های ارتباط کاربران شبکه با فایروال Fortinet و نحوه گرفتن مجوز دسترسی صحبت کردیم و عنوان کردیم که یک راه ارتباط از طریق Ldap Server است . در این جلسه می خواهیم به شرح کامل Ldap Server ونحوه یکپارچه سازی آن با سرویس Active Directory بپردازیم.

 

آموزش راه اندازی Fortinet firewall(جلسه ششم)

پروتکل LDAP

Lightweight Directory Access Protocol یا Ladp مجموعه ای از پروتکل¬ها و متدها برای دسترسی به اطلاعات ساختارهایی همانند Active Directory می¬باشد . ابزاری است برای مدیریت اطلاعات شبکه، حساب¬های کاربری، ماشین¬های میزبان شبکه و منابع درون شبکه است. با استفاده از این استاندارد می¬توان یک مدیریت متمرکز و واحد را به کل پیکره شبکه اعمال کرد.

تنظیمات بخشLdap Server :

برای دسترسی به بخش Ldap Server به مسیر زیر می رویم.

User and Device>Authentication>Ldap Server

در این قسمت گزینه create new را انتخاب می کنیم و تنظیمات لازم را اعمال می کنیم.

 

آموزش راه اندازی Fortinet firewall(جلسه ششم)
  • Name : یک نام برای Ldap server خود در نظر می گیریم
  • Server IP/Name : در این قسمت active directory dns name و یا IP سرور Active Directory را وارد می کنیم.
  • Server port : به صورت default پورت Ldap sever ،389 تنظیم شده است.
  • Common Name Identifier : از عبارت sAMAccountName به عنوان نام شناسه مشترک استفاده می کنیم.
  • Distinguished Name : در این قسمت domain name خود را وارد می کنیم.(به عنوان مثال اگر domain ما test.com است به شکل dc=test ,dc=com وارد می شود.)
  • Bind type : نحوه اتصال ما بر اساس Regular است . یعنی باید با یوزر و پسورد domain admin احراز هویت شود.(نوع های simple و Anonymous مجوز دسترسی را بدون یوزر و پسورد می دهند.)
  • User DN : در این قسمت نام کاربر مورد نظر را به شکل CN=Administrator ,CN=Users ,dc=test ,dc=com وارد می نماییم.
  •  Password : باوارد کردن پسورد Administrator مربوط به DC این مرحله خاتمه می یابد.
  • Single Sign-On : بعد از تنظیماتی که در بخش Ldap Server انجام شد نوبت به تنظیمات بخش Single Sign-On می رسد که برای تنظیمات آن به مسیر زیر می رویم.
User And Device >Authentication > Single Sign-On
آموزش راه اندازی Fortinet firewall(جلسه ششم)

همانطور که در شکل مشاهده می نماییم در این بخش سه روش برای احراز هویت فایروال با کاربران موجود در DC قرارداده شده که در ذیل به توضیح این روش ها می پردازیم.

  1. Poll Active Directory Server: نوعی احراز هویت که نیاز به authenticate از طریق agent و سرویس میانی مابین active directory و Fortigate ندارد. تنها با ثبت Administrator user می توان به active directory متصل شد
  2. Fortinet-Single-Sign-On Agent: در این روش در ابتدا فایل agent ای برروی سرور DC نصب می کنیم ،بعد از تنظیم نمودن این فایل و ارتباط با Fortinet Firewall(FSSO) مجوز های لازم در ارتباط با کاربران، گروه ها، گروه های سازمانی و... در سرور active directory برقرار می شود.
  3. RADIUS Single-Sign-On Agent : پروتکل RADIUSاستانداری است که از یک معماری سرویس دهنده سرویس گیرنده برای تائید و accounting استفاده می نماید . با استفاده از Fortinet Firewall و agent ای که برروی سرور DC نصب می شود ، ارتباط بین سرویس دهنده و سرویس گیرنده شکل گرفته و می توان به پیکربندی و تائید مجوز ها بین DC و Fortinet Firewall بپردازیم.

همانطور که اشاره شد DC به عنوان یک سرویس گیرنده RADIUS عمل می نماید . سرویس گیرنده مسئول ارسال اطلاعات کاربر برای سرویس دهنده RADIUSکه Fortinet است قرار داده می شود تا در خصوص کاربران مجوز های لازم را اعمال کند.

مراحل نصب FSSO Agent بر روی سرور Active directory

یک Agent file است که برای ارتباط بین کلاینت های موجود در سرور DC با Firewall استفاده می شود. بعد از دانلود این فایل که در سایت Fortinet موجود می باشد(نسبت به version فایروال می توانیم Agent مربوط به آن را دانلود نماییم) آن را برروی سرور DC به شکل زیر نصب می کنیم.

1:در این قسمت user و password مورد نظر(administrator) را وارد می نماییم.

 

آموزش راه اندازی Fortinet firewall(جلسه ششم)

2:با استفاده ازگزینه monitor اجازه گرفتن log از کاربران را به Fortinet داده و با انتخاب NTLM اجازه دسترسی از Fortinet firewall به کاربر می دهیم.همچنین از 2 متد برای معرفی user(Administrator) مورد نظر استفاده می شود که ما از روش Advance برا ی دسترسی استفاده می کنیم.

 

آموزش راه اندازی Fortinet firewall(جلسه ششم)

3:با استفاده از IP سرور DC و پورت مورد نظر تنظیمات لازم رابرای ارتباط برقرار می کنیم.

 

آموزش راه اندازی Fortinet firewall(جلسه ششم)

4:در این قسمت سروری که می خواهیم مانیتور کنیم را انتخاب می کنیم.

 

آموزش راه اندازی Fortinet firewall(جلسه ششم)

5:در این قسمت چون از فایل agent استفاده می کنیم گزینه DC Agent mode را انتخاب می کنیم.

 

آموزش راه اندازی Fortinet firewall(جلسه ششم)

6: بعد از نصب برنامه نیاز به راه اندازی مجدد سرور DC است تا تنظیمات لازم برروی سرورActive Directory صورت گیرد.

 

آموزش راه اندازی Fortinet firewall(جلسه ششم)

بعد از راه اندازی مجدد فایل Configure Fortinet Single Sign-On را باز می کنیم و در صورت نیاز،تنظیمات بیشتر را در این بخش اعمال می نماییم.

 

آموزش راه اندازی Fortinet firewall(جلسه ششم)

تنظیمات مربوط به Fortinet-Single-Sign-On Agent:

User And Device >Authentication > Single Sign-On
FSSO

همانطور که اشاره شد ما از روش Fortinet-Single-Sign-On Agent برای ارتباط با DC استفاده کردیم که در ذیل به نحوه تنظیم آن می پردازیم.

  • Name: انتخاب یک نام برای single sign-on
  • Primary Agent IP/Name: در این قسمت user و password ای که زمان نصب Agent file استفاده کردیم راوارد می کنیم.
  • Ldap Server: در این قسمت با انتخاب Ldap server ای که در مراحل قبل ساختیم مجوز لازم رابرای نمایش user،groups،organizational units های موجود در DC را در اینجا می دهیم.

در مرحله آخر در قسمت User and Groups می توانیم کاربران خود را (به تفکیک کاربر، گروه و گروه سازمانی)اضافه نماییم تا Policy های مورد نظر را برروی آنها اعمال نماییم.

 

create Group

و تنظیمات policy مورد نظر

 

Policy

در این جلسه می خواهیم درباره port forwarding و مباحث مربوط به امنیت سرویس ها در آن صحبت کنیم. همانطور که می دانیم port forwarding به ما این امکان را می‌دهد که سرویس هایی که در شبکه داخلی سازمان وجود دارنداز بیرون (محیط اینترنت) در دسترس باشند.به عنوان مثال سرویس هایی نظیر وب سایت ، ایمیل سازمان و بسیاری از سرویس های دیگر که نیازبه برقراری ارتباط با دنیای اینترنت را دارند توسط Port Forwarding می توانند با اینترنت در تعامل باشند.

 

آموزش راه اندازی Fortinet firewall(جلسه هفتم)

مراحل ایجاد PORT FORWARDING

1:ساخت Virtuall IP

Policy and Object>Objects> Virtuall IPS

 

آموزش راه اندازی Fortinet firewall(جلسه هفتم)

تنظیمات مربوط به Web Service سازمان

  • Name: نام سرویسی که بر روی آن می خواهیم Port forward رخ دهد را در این قسمت درج می کنیم
  • Interface: در این قسمت نام اینترفیس (مربوط به اینترنت) ای که قرار است Port forward روی آن صوت بگیرد را می نویسیم
  • Source Address Filter: قابلیتی که به ما این امکان را می دهد که بتوانیم ترافیک هایی که به سمت شبکه می آیند را کنترل کنیم . همانطور که در جلسه چهارم توضیح داده شد فرض می کنیم ما سرویس web و یا FTP سروری داریم که می خواهیم برای یک سری PUBLIC IP(مراکز یا نقاطی که دارای IP PUBLIC هستند و می خواهند از سرویس های ما استفاده کنند) مجوز دسترسی به سرویس هایمان را بدهیم.کافی است IP های مورد نظر که مجوز دسترسی به سرویس های مارادارند را در این قسمت وارد کنیم تا فقط این رنج IP ها بتوانند از سرویس های ما بهره مند باشند.

نکته مهم: بهتر است سازمانهایی که سرویس دهی (Web site ,Ftp ,Web service,…) آنها فقط در داخل کشور انجام می شود ، فقط اجازه دسترسی به سرویس هایشان را به IP Range های ایران بدهند تا کمتر مورد حمله هکرها قراربگیرند.

  • External IP Address/Range: در این بخش IP Public ای که قرار است forward بر روی آن صورت بگیرد نوشته شود.
  • Mapped IP Address/Range: در این قسمت IP سرویس داخلی نوشته می شود.
  • Port Forwarding: با فعال نمودن این گزینه می توانیم با استفاده از پورت دلخواه سرویس های خود را به داخل شبکه هدایت کنیم . بهتر است از پورت های ترافیک های FTP و Web service و... را به صورت پیش فرض قرارنداده و آنها را تغییر دهیم. مثلا همه ما می دانیم که سرویس Sql server از پورت های 1433 و 1434 استفاده می کند. بهتر است هم در داخل سرور Sql و هم بر روی ترافیک های Forward توسط فایروال این پورت ها را با پورت های دیگری جایگزین کنیم.
  • External Service Port: در این قسمت باید پورت مربوط به ترافیک های خارج شبکه به سمت فایروال تعیین شود.
  • Map to port: در این قسمت پورت مربوط به ترافیک بین فایروال و سرویس های شبکه مشخص می شود.

پس از ایجاد VIRTUAL IP نوبت به نوشتن Policy برای دسترسی به سرویس های سازمانی می باشد . برای این کار وارد مسیر زیر می شویم.

Policy and Object>Policy>IPV4>new policy

 

آموزش راه اندازی Fortinet firewall(جلسه هفتم)

همانطور که در این شکل مشاهده می نماییم با انجام تنظیمات مربوطه (در جلسه چهارم در مورد این تنظیمات توضیحات کامل ارائه شده است)می توان دسترسی لازم را برای ارتباط با سرویس های شبکه از محیط اینترنت فراهم نمود.نکته لازم به ذکر در مورد Destination Address می باشد که در این قسمت Virtual IP ای که ساختیم را انتخاب می نماییم.برای برقراری امنیت بیشتر بهتر است به نکات زیر توجه شود.

  1. در صورتی که می دانیم چه نوع Device (OS)هایی می خواهند به سرویس مورد نظر ما متصل شوند بهتر است در قسمت Source Device Type نوع آنها را انتخاب کنیم تادرصورت استفاده Device های دیگر اجازه اتصال به سرویس های ما را نداشته باشند.
  2. در قسمت service بهتر است گزینه ping فعال نباشد.
  3. در قسمت Security Profile تنظیمات مربوط به Antivirus,Web Filter,Aplication Control,Ips را انجام دهیم تا سنسورهای مربوط به این گزینه ها ترافیک های ورود به فایروال را کنترل و مانیتور کنند.
  4. با توجه به اینکه این آموزش مربوط به فایروال است نه ویندوز ولی نکته قابل ذکر در مورد سروری که برروی آن IIS نصب شده است این است که بهتر است فایل CMD.exe از روی سرور IIS پاک شده وweb service بر روی درایو پیش فرض قرارداده نشود ومسیر آن را تغییر دهیم.
  5. توسط گزینه Application Control که در جلسات آینده بیشتر در مورد آن صحبت خواهیم کرد می توانیم تنظیماتی را انجام دهیم که ترافیک خود را نسبت به بعضی نرم افزارهای Port scanning محدود کنیم تا جلوی عملکرد این نرم افزارها گرفته شودو یا جلوی سایت هایی که برای اسکن پورت استفاده می شود را گرفت.
  6. در صورت بروز رسانی IPS در فایروال می توان تا حد زیادی جلوی exploit و باگ های موجود در سرویس ها را گرفت.

در قسمت Traffic Shaping تنظیمات لازم مربوط به میزان پهنای باند در دسترس سرویس گیرنده ها را قراردهید و این تنظیمات را به صورت Default نگذارید. بسیاری از حملات Dos توسط این گزینه جلوگیری می شود.مثلا اگر پهنای باند اینترنت شما 5 مگابایت باشد بهتراست مقداری از پهنای باند را با shared shaper ای که می سازید در اختیار سرویس گیرنده ها قراردهید و همچنین در قسمت Per-IP Shaper میزان پهنای باندی(به اندازه ای که web service شما قابل دسترس باشد) به هر IP که می خواهد توسط سرویس گیرنده به شما وصل شود بدهید تا یک IP نتواند تمام پهنای باند شبکه را در اختیار بگیرد و حمله DOS را بر روی شبکه شما بوجود آورد.


محسن عباس زاده
محسن عباس زاده

کارشناس ارشد مهندسی فناوری اطلاعات و ارتباطات با سابقه کاری بیش از 8 سال در سازمانهای مختلف در زمینه IT در بخش های NOC و SOC می باشم.در بیش از 7 شرکت مرتبط با IT همکاری داشته و سابقه تدریس نیزدر شرکت های خصوصی درزمینه فناوری اطلاعات و ارتباطات دارم.پروژه های بسیاری در شرکت های مختلف اعم از مشاوره ، پیاده سازی ، عیب یابی و... را به انجام رسانیده و درحال حاظر مسئول بخش شبکه و سخت افزار در یکی از شرکت های بخش خصوصی می باشم.

نظرات