در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی Fortinet firewall(جلسه چهارم)

در جلسه سوم درباره تنظیمات بخش network صحبت کردیم و تنظیمات شبکه داخلی و خارجی سازمان را انجام دادیم .

در این جلسه می خوا هیم ارتباط بین شبکه داخلی و خارجی سازمان را برقرار کنیم .

در ابتدای کار برای شبکه خارجی سازمان باید route ای بنویسیم تا ترافیک اینترنت بر روی فایروال برقرار شود. برای این کار باید در قسمت

Router >static>static routes >create new رفته ودر قسمت device اینترفیس مربوط به اینترنت را انتخاب کنیم و در بخش gateway نیز آدرس Ip default gateway مربوط به سرویس دهنده اینترنت را وارد نماییم.به این ترتیب تنظیمات اینترنت بر روی فایروال صورت می گیرد.

static route

در مرحله بعد باید مجوز دسترسی کلاینت های داخل شبکه به اینترنت داده شود که این کار در بخش policy فایروال انجام می شود

تنظیمات بخش Policy and Object:

تعریف دسترسی کاربران در شبکه و میزان دسترسی آنها در این بخش تعریف می گردد .

Policy & Object

همانطور که در شکل مشاهده می نماییم در بخش policy گزینه های زیر موجود می باشد که به شرح هر یک می پردازیم.

Ipv4: در این قسمت می توان دسترسی وترافیک گره های شبکه (node) ، که از ipv4 استفاده می کنند را مشخص نمود که در ادامه به توضیح کامل آن می پردازیم.

Explicit proxy: زمانی که بخواهیم ترافیکی از شبکه به سمت proxy server هدایت شود از آن استفاده می کنیم تا بدین صورت اسکن کاملی بر روی بسته ها صورت گیرد.

Dos: از این گزینه زمانی استفاده می شود که بخواهیم محدودیت بر روی ترافیک هایی(packet) که وارد شبکه (dmz,client,…) می شوند ایجادکنیم.برای جلوگیری از حملات dos بهتر است این گزینه فعال و config شود.

Proxy options: با تنظیم نمودن این گزینه می توانیم ازصحت packet های ارسالی بر روی فایروال تا حد زیادی اطمینان کسب کنیم . مثلا با انجام تنظیمات proxy برروی آنتی ویروس ، محتویات بسته را (اعم ازصحیح بودن پورت یا حجم بسته ارسالی و... ) چک نمود.

Ssl/ssh inspection:

زمانی از این گزینه استفاده می کنیم که بخواهیم ترافیک هایی از شبکه را کنترل کنیم(Https,Smtps,Pop3s,Imaps,Pop3s) که دارای اعتبار ssl برای رمز گذاری هستند.در حالت عادی فایروال ssl راچک نمی کند و با فعال نمودن این گزینه که تنظیمات آن به دوصورت certificate و full inspection قابل پیاده سازی است می توان از صحت بسته ها تا حد زیادی مطمئن شد و با فیلتر کردن ترافیک شبکه، از حملاتی نظیر مرد میانی(man-in-the-middle attack) جلوگیری نمود. همچنین زمانی که بخواهیم از ssl vpn(در جلسات آینده به توضیح آن می پردازیم) استفاده کنیم از این گزینه استفاده می شود.

Objects:

در این بخش تنظیمات مربوط به Ip و همچنین سرویس های مورد استفاده و forwarding و ... مورد بررسی قرار می گیرد که در ذیل به توضیح آن می پردازیم.

Addresses:

بسته به نیاز سازمان آدرس را می توان به طریق مختلفی تنظیم نمود. برای مثال اگرنیاز به یک name در شبکه داریم از Fqdn و یا رنج خاصی از Ipمد نظرمان است از Ip range وزمانی که می خواهیم subnet وIp خاصی را اختصاص دهیم از Ip/netmask استفاده می نماییم.

Services:

سرویس های مورد نیاز برای ارتباطات درون و برون شبکه در این قسمت قابل مشاهده می باشد.در صورت نیاز به سرویس خاصی که دراین بخش موجود نمی باشد می توانیم آن را در این قسمت اضافه نماییم.

Schedules:

برای مدیریت کارامد تر در شبکه بهتر است تمام سیاست گذاری هایی که بر روی فایروال انجام می شود دارای زمان دسترسی باشد. در این قسمت می توانیم بسته به نیاز سازمان schedules هایی رابرای ترافیک های عبوری از فایروال در نظر بگیریم.

Traffic shapers:

یکی از بخش هایی که یک admin در شبکه باید کنترل و مدیریت کند میزان و پهنای باند دسترسی سرویس ها در شبکه سازمان است. با استفاده ازین گزینه می توانیم دسترسی هایی را تعیین نماییم که هر کاربر یا هر policy که برر روی فایروال سازمان سیاست گذاری شده، میزان پهنای باندی را برای حجم ارسال و دریافت اطلاعات به آن اختصاص داد.(برای جلوگیری از حملاتی مانندdos وddos و... کاربرددارد)

Virtual ips:

اکثر سازمانها نیاز به برقراری ارتباط سرویس های شبکه (website,mail,ftp,…)با محیط بیرون(اینترنت، اینترانت، و ...) دارند تا به معرفی و تبلیغ محصول،شغل،کار و... خودشان بپردازند.به همین دلیل در فایروال Fortinet بخشی به عنوان virtual ips در نظر گرفته شده که می توان ترافیک های بیرون شبکه را به داخل شبکه forward نمود.

نکاتی برای بالابردن امنیت در شبکه وجود دارد که بهتر است در این بخش به آن اشاره شود.

1:بهتر است سرویس های default شبکه را با پورت های های دیگر جایگزین کنیم.

2: در بخش forwarding قسمتی با عنوان source address filter وجود دارد که می توانیم subnet های دلخواه را بر روی آن filter کنیم و اجازه دسترسی به سرویسمان را به همه ندهیم. مثلا شما از سرویس ftp برای تبادل اطلاعات با استانهای خودتان استفاده می کنید واز ip public استانهای خود اطلاع دارید.کافی است در این قسمت ip های مورد نظر را وارد نمایید تا ترافیک فقط برای این range از Ip ها trust باشد.

ادامه سناریو:

برای تعریف کلاینت های داخل شبکه در فایروال Fortinet دوراه وجود دارد. یکی استفاده از Ldap Server در بخش user & device است که در ادامه جلسات به صورت کامل به شرح آن می پردازیم . راه دوم در بخش آدرس ساختن آدرس برای هر کاربر یا گروه می باشد که توضیح دادیم.

نحوه ایجاد آدرس برای دسترسی کلاینت ها در شبکه:

برای این کار در بخش policy رفته و از بخش object بر روی addresses کلیک می کنیم تا وارد صفحه آدرس شویم.

Policy & Object>object>address>create new

addresses

سپس در قسمت create new می توانیم کاربران خود را تعریف کنیم و بعد از تعریف کاربران دسترسی های لازم رابه آنها بدهیم

نکته:

در صورت زیاد بودن تعداد کاربران دادن مجوز دسترسی به آنها سخت تر می شود.بهتر است در همین قسمت گروهی تعریف کنیم و مجوز دسترسی های لازم را به جای تک تک کاربران به گروه آنها اعمال کنیم.

address group

همانطور که مشاهده می نماییم گروهی به نام گروه مالی ساختیم و بعد از ایجاد کاربران آنها را در گروه مالی اضافه کردیم. حال به جای سطح دسترسی به تک تک کاربران به گروه آنها دسترسی می دهیم.برای این کار باید وارد بخش policy شویم.

تعیین مجوز سطح دسترسی در بخش policy:

Policy & Object>Policy>Ipv4>create new

در این بخش تمام ترافیک های شبکه که در subnet های مجزا قراردارند قابل کنترل و مدیریت است .(به عنوان مثال ترافیک های بین کلاینت های شبکه با سرورها و یا با اینترنت و اینترانت و ... که در vlan ها و subnet های مجزا قراردارند.)

policy

Incoming interface:در این قسمت می توان یک یا چند اینترفیس را انتخاب تا سیاست هایی را بر روی ترافیک این اینترفیس ها اعمال نمود

Source address:آدرس هایی که قرار است سیاست ها بر روی آن اعمال شود را در این قسمت انتخاب می کنیم. همانطور که اشاره شد می توان هم یک و یا چند آدرس(user1 ,user 2,…) و یا گروهی از آدرس ها را انتخاب نمود که ما گروه را انتخاب می کنیم.

Source user:در صورت ساختن user ها و یا راه اندازی ldap server می توانیم آنها را در این بخش اضافه کنیم به جای آدرس هایی که در بالا ذکر شد.

Source device type:اگر بخواهیم فقط اجازه عبور ترافیک های سیتم عامل های خاصی را بدهیم می توانیم در این قسمت این سیتم عامل ها را انتخاب کنیم تا مجوز عبور ترافیک فقط برای آنها میسر باشد.

device type

Outgoing interface:ترافیک هایی که باید ازین اینترفیس خارج شوند را در این قسمت انتخاب می کنیم

Destination address:

مقصد ترافیک ها را هم می توانیم در این قسمت filter کنیم تا فقط به سمت مقصد مورد نظر ما منتقل شوند.

Schedule:

مدت زمان فعال بودن این ترافیک بسته به سیاست گذاری سازمان دارد که می توان تنظیمات لازم در این مورد را اعمال نمود

Service:

بهتر است برای هر ترافیکی که در شبکه در حال تبادل و انتقال هست بازه ای از سرویس ها را مشخص نماییم تا فقط تمرکز فایروال بر روی سرویس مورد نظر باشد.این کار موجب افزایش امنیت در تمام فایروال ها می باشد.

Action:

نقشی که فایروال در مقابل تنظیماتی که انجام دادیم در اینجا تعیین می گردد که آیا اجازه عبور ترافیک داده شود(accept) و یا جلوگیری از عبور ترافیک نماید(deny)

Security profile:در این بخش می توانیم در صورت تنظیم نمودن سیاست های بیشتر و ایجاد امنیت بیشتر(در مطالب قبلی به آن اشاره شد)برای ترافیک مورد نظر در هر اینترفیس این سیاست ها را اعمال نماییم.

Traffic shaping:

همانطور که عنوان شد برای ترافیک های ورودی و خروجی سازمان می توانیم از سیاست هایی برای دادن مجوز میزان دسترسی به پهنای باند استفاده کنیم که در قسمت shape میزان پهنای باند کاربر ،گروه و یا ... را مشاهده می نماییم و در قسمت per Ip میزان استفاده از پهنای باند برای هر Ip ،که در سیاست ما مجوز عبور از فایروال را دارد را تعیین می نماییم.

با یک مثال بیشتر توضیح می دهیم

هدف ما از برقراری این سناریو ارتباط کلاینت های داخل سازمان با بیرون سازمان بود که ما برای اینکه برای تک تک کلاینت ها(user1,user2 )سیاست گذاری نکنیم از یک گروه(group-mali) استفاده کردیم و کلاینت ها را در این گروه قرار دادیم و سیاست گذاری ها را بر روی این گروه اعمال کردیم. حال با قرار دادن shape برای این گروه میزان پهنای باند اینترنت برای کل گروه را 1024kbs در نظرمی گیریم و هر کلاینت (ip address) فقط می تواند با تنظیم perip میزان 16KBs از پهنای باند اینترنت برخوردار باشد که تمام این تنظیمات در بخش traffic shapers قابل اعمال است.

Logging options:

بهتر است برای ترافیک های عبوری از فایروال log ای داشته باشیم تا بتوانیم مدیریت بهتری بر روی ترافیک های شبکه سازمان داشته باشیم . با فعال نمودن این گزینه امکان log نمودن ترافیک میسر می شود.

با انجام تنظیمات بالا مشاهده می نماییم که ترافیک های داخل شبکه مجوز دسترسی به اینترنت را دارا می باشند.

آموزش راه اندازی Fortinet firewall(جلسه چهارم)

با آرزوی سربلندی و موفقیت

نویسنده : محسن عباس زاده

منبع : جزیره فایروال و تجهیزات امنیت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#اموزش_فارسی_fortinet_firewall #آموزش_fortinet_firewall
عنوان
1 آموزش راه اندازی Fortinet firewall - جلسه اول رایگان
2 آموزش راه اندازی Fortinet firewall - جلسه دوم رایگان
3 آموزش راه اندازی Fortinet firewall(جلسه سوم) رایگان
4 آموزش راه اندازی Fortinet firewall(جلسه چهارم) رایگان
5 آموزش راه اندازی Fortinet firewall(جلسه پنجم) رایگان
6 آموزش راه اندازی Fortinet firewall(جلسه ششم) رایگان
7 آموزش راه اندازی Fortinet firewall(جلسه هفتم) رایگان
زمان و قیمت کل 0″ 0
2 نظر
محمد رشیدی

بسیار عالی!

سپاس فراوان از شما بابت ارائه مطالب مفید و با کیفیت.

AZARAKHSH

خیلی عالی مهندس

ادامه بدید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....