فایروال

چطور پالیسی‌ها را در فایروال فورتی‌گیت پیکربندی کنیم؟

نویسنده: author-avatar
0

اکنون که موفق شدیم، VLANها را با موفقیت تعریف و پیکربندی کنیم و مشاهده کردیم که فرآیند برقراری ارتباط نیز به درستی انجام شده است، اکنون نوبت به پیکربندی پالیسی‌های روی فایروال می‌رسد. این مطلب در ادامه سری مطالب چطور SD-WAN را روی فایروال فورتیگیت کانفیگ کنیم، چطور فرآیند پیکربندی LAG (تجمیع پیوند) در فایروال فورتی‌گیت انجام دهیم و چطور فرآیند پیکربندی LAG و VLANها را در فایروال فورتی‌گیت انجام دهیم، است. در این بخش در نظر داریم، پالیسی‌هایی را تنظیم کنیم که اجازه می‌دهند شبکه‌ای ایمن و پایدار در اختیار داشته باشیم.

قدم بعدی این است که دوباره به بخش Network و سپس Interfaces برویم. دیگر کاری با سوییچ سخت‌افزاری یا تونل (Tunnel) نداریم. ما زون SD-WAN، LAG و VLANهایی که ساختیم را داریم. این یک شروع عالی است. حالا زمان ایجاد قوانین فایروال (Policies) است. قوانین فایروال تعیین می‌کنند که کدام دستگاه‌ها و شبکه‌های محلی (LAN) می‌توانند به کجا دسترسی داشته باشند. برای شروع، یک قانون می‌سازیم تا کلاینت‌ها بتوانند به اینترنت دسترسی داشته باشند که احتمالاً مهم‌ترین قانون است.

اکنون فیلدهای مربوطه را مطابق با موارد زیر پیکربندی می‌کنیم.

  • نام رول: Client_to_Internet
  • اینترفیس ورودی (Incoming Interface): 20-clinet (20)
  • اینترفیس خروجی (Outgoing Interface): my-sd-wan
  • Source: all
  • Destination: all
  • Schedule: always
  • Service: ALL

توجه داشته باشید، در انتهای صفحه گزینه Enable this policy را غیر فعال می‌کنیم و دکمه Ok را کلیک می‌کنیم.

اکنون اگر در پنجره خط فرمان دستور ping google.com -t را اجرا کنیم، مشاهده می‌کنیم که هیچ اتفاقی نمی‌افتد. به محیط Forti OS رفته و پالیسی که ساخته‌ایم را فعال می‌کنیم.

اکنون دومرتبه دستور پینگ را اجرا می‌کنیم. مشاهده می‌کنید که این مرتبه همه چیز به درستی کار می‌کند.

همچنین، اگر صفحه را رفرش کنید، مشاهده می‌کنید که فیلد Bytes وضعیت انتقال بسته‌های شبکه را به درستی نشان می‌دهد.

قانون بعدی که می‌سازیم، یک قانون داخلی است: کلاینت به سرور (بین دو VLAN). این قانون برای دسترسی کلاینت‌ها به سرور است. من یک Raspberry Pi کوچک با یک وب سرور استاندارد برای تست تنظیم کرده‌ام. روی دکمه Create New کلیک می‌کنم و پالیسی جدیدی را به شرح زیر ایجاد می‌کنم. فیلدها به شرح زیر مقداردهی می‌شوند.

دومرتبه تیک انتهای صفحه در ارتباط با فعال بودن پالسی را ابتدا غیرفعال نگه می‌داریم.

اکنون در داشبورد سمت چپ صفحه روی گزینه Dashboard کلیک می‌کنیم و روی دکمه + کلیک می‌کنیم تا بتوانیم گزینه مانیتور کردن DHCP را اضافه ‌کنیم تا کلاینت‌های DHCP را راحت‌تر ببینیم.

در صفحه بعد گزینه Add Monitor را کلیک می‌کنیم.

هنگامی که عملیات فوق را انجام دادید، گزینه DHCP Monitor به پنل داشبورد سمت چپ صفحه اضافه می‌شود. اگر روی گزینه فوق کلیک کنید، تصویری همانند شکل زیر را مشاهده می‌کنید که اطلاعات دقیقی در ارتباط با کلاینت‌ها در اختیارتان قرار می‌دهد.

در اینجا دو آدرس اجاره شده (Lease) را می‌بینیم. یکی مربوط به اجاره اول روی سوییچ داخلی است که آن را حذف (Revoke) می‌کنیم تا گیج نشویم. آدرس دوم، آدرسی است که کامپیوتر من (20.100) در حال حاضر از آن استفاده می‌کند. همچنین، آدرس سرور (RPi5) را می‌بینیم که 30.100 است. سرور DHCP به خوبی کار می‌کند.

ما می‌توانیم روی سرور کلیک راست کرده و یک IP Reservation (رزرو IP) را با انتخاب گزینه Create DHCP Reservation ایجاد کنیم.

این کار باعث می‌شود تا فایروال آدرس مک سرور را به خاطر بسپارد و همیشه آدرس 30.100 را به آن اختصاص دهد. دقت کنید در فیلد Address name مقدار rp5 را وارد کرده‌ایم.

این تکنیک برای دموهایی مثل این بسیار کاربردی است، چون مجبور نیستم به صورت دستی IP استاتیک تنظیم کنم.

اکنون در نظر داریم قانون Client to Server را فعال می‌کنیم. آدرس آی‌پی سرور (192.168.30.100) را در مرورگر وارد می‌کنیم و می‌بینیم که به وب سرور دسترسی پیدا می‌کنیم. گزینه فعال کردن پالیسی را همانند شکل زیر انتخاب می‌کنیم.

اگر صفحه را رفرش کنیم، می‌بینیم که مقدار بایت ثبت شده است. پس مطمئن هستیم که قانون Client to Server نیز فعال است.

از آنجایی که ما فقط HTTP و HTTPS را مجاز کردیم، نباید بتوانیم سرور را پینگ کنیم. تست پینگ را انجام می‌دهیم و می‌بینیم که پینگ شکست می‌خورد.

این پیغام تایید می‌کند که قانون فایروال کاملا درست کار می‌کند: به وب دسترسی می‌دهد، اما پینگ را رد می‌کند. همچنین، اگر در پنل سمت چپ روی فیلد Log & Report کلیک کرده و گزینه Forward Traffic را انتخاب کنیم، مشاهده می‌کنیم که پالیسی تمامی درخواست‌های مربوط به پینگ را رد کرده است.

از آنجایی که گزارش‌برداری برای ترافیک‌های Deny (رد شده) فعال است، اگر همانند حالت بالا به بخش Log & Report > Forward Traffic (ترافیک عبوری) برویم و فیلتر کردن بر اساس آی‌پی را انجام دهیم مشاهده می‌کنیم ترافیک‌های رد شده (Denies) برای پینگ کردن سرور در حال ثبت هستند. این برای بررسی لاگ‌ها بسیار خوب است. اگر بخواهیم پینگ را مجاز کنیم، می‌توانیم قانون را ویرایش کرده و سرویس ICMP (پینگ) را به آن اضافه کنیم و می‌بینیم که پینگ‌ها بلافاصله کار می‌کنند. کافی است فیلدهای مربوطه را همانند شکل زیر انتخاب کرده و ok را کلیک کنیم تا امکان اجرا پینگ نیز فراهم شود.

اگر به پنجره خط فرمان بازگردیم، مشاهده می‌کنیم که اکنون پینگ اجرا می‌شود.

اما در مورد ترافیک ورودی از اینترنت چه باید کرد؟ می‌توانیم در بخش Addresses، از قابلیت Geo-IP (موقعیت جغرافیایی) استفاده کنیم. به طور مثال، می‌توانیم یک آدرس جدید به نام Geo_Sweden ایجاد کرده و در بخش Country (کشور)، را انتخاب کنیم.

ممکن است نخواهید ربات‌های روسی یا سایر بات‌نت‌ها به وب سرور شما حمله کنند. در این صورت می‌توانید دسترسی را فقط برای منطقه‌ای که در آن هستید، سفید (White List) کنید. همان‌گونه که در شکل زیر مشاهده می‌کنید، آدرس آی‌‌پی خارجی را به همراه پورت‌ها مشخص کردیم.

اکنون پالیسی جدید همانند حالت زیر است. به طور که آدرس آی‌پی عمومی تقریبا به شکل خصوصی و محدود به منطقه مشخصی شده است.

همچنین باید یک Port Forwarding یا VIP (آی‌پی مجازی) تنظیم کنیم که برای ترافیک ورودی به زون SD-WAN است. فیلدهای مربوطه را همانند شکل زیر پیکربندی می‌کنیم.

آی‌پی خارجی مورد نظر من 172.16.16.42 است و این آدرس باید به سرور وب داخلی با آی‌پی 192.168.30.100 نگاشت (Map) شود. معمولا برای Port Forwarding (انتقال پورت) اقدام می‌کنیم. اگر هیچ پورتی را مشخص نکنیم، یک نگاشت یک به یک (One-to-One) برای تمام پورت‌ها خواهیم داشت. اما شاید شما سرویس‌های دیگری هم داشته باشید که می‌خواهید به سرورهای دیگری هدایت شوند. بنابراین، من در اینجا فقط پورت 80 را انتخاب می‌کنم تا ترافیک وب از این آی‌پی عمومی به آی‌پی خصوصی سرور وب من هدایت شود. به این صورت است که شما یک VIP (آی‌پی مجازی) در فورتی‌گیت ایجاد می‌کنید. NAT هم بسیار مهم است. NAT را غیرفعال می‌کنیم، چون خود آبجکت VIP وظیفه NAT را انجام می‌دهد.

سپس “OK” را می‌زنیم. با انجام این قانون، ترافیک اینترنت باید از طریق یکی از آی‌پی‌های عمومی شما قابل دسترسی باشد.

اگر به خاطر داشته باشید، ما فیلتر Geo-IP را تنظیم کردیم. آی‌پی که من در حال حاضر از آن می‌آیم، قطعا یک آی‌پی عمومی منطقه‌ای نیست (بلکه یک آی‌پی داخلی رایج است). بنابراین، این دسترسی کار نخواهد کرد. این فقط برای نشان دادن این است که سیستم تشخیص می‌دهد شما از یک آی‌پی داخلی می‌آیید نه از سوئد، پس قانون رد می‌شود.

اما اگر فیلتر GEO_Sweden را حذف کرده و به جای آن All را قرار دهیم، باید دسترسی به سرور به درستی کار کند. و همینطور هم می‌شود! پس فیلترینگ جغرافیایی به خوبی کار می‌کند.

این یک قابلیت بسیار عالی است، اما من برای تمرینات بعدی آن را دوباره روی GEO_Sweden تنظیم می‌کنم.

حالا یک آبجکت آدرس برای کامپیوتر خودم ایجاد می‌کنیم. این کار به این دلیل است که می‌خواهیم یک قانون برای Administrative PC بسازیم تا فقط این کامپیوتر بتواند فایروال، سوییچ‌ها و سایر سخت‌افزارهای مدیریتی را مدیریت کند. ساده‌ترین راه این است که به Dashboard و DHCP Monitor برویم.

روی پالیسی موردنظر کلیک راست کرده و گزینه Mac Address را انتخاب می‌کنیم. در پنجره ظاهر شده فیلدها را همانند حالت زیر مقدار دهی می‌کنیم.

اکنون در پنل سمت چپ گزینه policy & Objects را کلیک کرده و گزینه Firewall Policy را انتخاب کنید. در صفحه ظاهر شده روی دکمه Create New کلیک کنید.

اکنون پالیسی جدید را همانند شکل زیر مقداردهی می‌کنیم. دقت کنید که NAT را نیز غیر فعال می‌کنیم.

مانند همیشه، رول را در ابتدا غیرفعال نگه می‌داریم تا تست کنیم. حالا تلاش می‌کنیم تا سوییچ را پینگ کنیم. آی‌پی سوییچ را وارد می‌کنیم و پینگ کار نمی‌کند، چون قانون غیرفعال است.

قانون را فعال می‌کنیم و مجددا تست می‌کنیم. بله، پاسخ‌هایی از سوییچ آروبا دریافت می‌کنیم. عالی است، قانون کار می‌کند.

این مرتبه پینگ به درستی کار می‌کند.

حالا سعی می‌کنیم فراتر از پینگ برویم و از طریق SSH به سوییچ دسترسی پیدا کنیم.

SSH را به سمت سوییچ باز می‌کنم. رمز عبور را می‌خواهد، پس می‌توانم به آن دسترسی پیدا کنم. من در حال حاضر داخل سوییچ هستم. اینجا می‌توانید پیکربندی سوییچ را ببینید که دو VLAN را با فایروال مطابقت می‌دهد، LAG را دارد، پورت‌های دسترسی Untagged برای VLAN کلاینت و سرور را دارد و یک IP اینترفیس روی VLAN 1 دارد که به سوییچ فورتی‌گیت وصل است.

حالا به سراغ یکی دیگر از ویژگی‌های خوب فایروال می‌رویم: محدودیت ترافیک (Traffic Shaping).

در پنجره فوق روی Create New کلیک می‌کنیم. ما یک نوع Traffic Shaper (محدودکننده ترافیک) از نوع “Per-IP Shaper” (محدودیت برای هر آی‌پی) ایجاد خواهیم کرد تا یک کلاینت نتواند تمام پهنای باند را مصرف کند. فیلد نام و حداکثر پهنای باند را همانند شکل زیر مقدار دهید می‌کنیم. به طور مثال، حداکثر پهنای باند (Max Bandwidth) را برابر با 20,000 چون بر اساس کیلوبیت بر ثانیه اندازه‌گیری می‌شود. قرار می‌دهیم و “OK” را می‌زنیم.

اکنون قانون جدید ساخته شده است.

این کار به تنهایی کافی نیست؛ باید آن را به یک قانون فایروال مرتبط کنیم. ساده‌ترین قانون برای تست، قانون “Client to Internet” است. در بالای صفحه روی گزینه Traffic Shaping Policies کلیک می‌کنیم و سپس روی دکمه Create New کلیک می‌کنیم. فیلدهای مربوطه را همانند شکل زیر مقداردهی می‌کنیم.

تیک گزینه “Apply Shaper” را فعال می‌کنیم و سپس “Per-IP Shaper” را انتخاب کرده و Max_20_Mbits را اعمال می‌کنیم. اگر بدون شِیپر تست سرعت را انجام ‌دهیم، سرعت بالایی حدود 780 مگابیت بر ثانیه داریم

هنگامی که شِیپر را فعال کنیم، سرعت به حدود 18-19 مگابیت بر ثانیه برسد. بله، می‌بینیم که سرعت به حدود 16 مگابیت بر ثانیه محدود شده است. پس Traffic Shaper به خوبی کار می‌کند.

این آخرین قابلیتی بود که می‌خواستم نحوه پیکربندی آن را در فایروال نشان دهم. اگر مقاله آموزشی را دوست داشتید، لطفا از طریق بخش کامنت با ما در میان بگذارید. تا مطالب آموزشی بعد، خداحافظ!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *