فایروال

چطور SD-WAN را روی فایروال فورتی‌گیت کانفیگ کنیم؟

نویسنده: author-avatar
0

پیکربندی فایروال‌های فورتی‌گیت، فرآیندی زمان‌بر، جذاب، پر ظرافت و البته جالب است که اجازه می‌دهد از محصولی که خریداری می‌کنید به بهترین شکل استفاده کنید. با این‌حال، آمارها نشان می‌دهند، بخش عمده‌ای از سازمان‌هایی که فایروال‌های شرکت فورتی‌گیت را خریداری می‌کنند، به درستی از همه امکانات و قابلیت‌های آن‌ها استفاده نمی‌کنند. در شرایطی که محصولاتی همچون فایروال‌ها و سوییچ‌های تنظیمات کاربردی و جالبی دارند که روند انجام کارها را برای کارشناسان شبکه و امنیت ساده می‌کنند. متاسفانه، در برخی از منابع آموزشی و سایت‌ها، شما عمدتا یک شبیه‌سازی را مشاهده می‌کنید که ممکن است با دنیای واقعی تفاوت‌هایی داشته باشد، اما در این سری مطالب قصد داریم به شکل عملی نحوه پیکربندی را روی سخت‌افزارهای واقعی مورد بررسی قرار دهیم.

ورود اولیه به فایروال فورتی‌گیت

امروز قصد داریم یک فایروال فورتی‌گیت (FortiGate) را پیکربندی کنیم. این کار بر اساس توپولوژی‌هایی خواهد بود که اغلب هنگام پیاده‌سازی شبکه‌های کامپیوتری مورد استفاده قرار می‌گیرد. در این مطلب در نظر داریم تمام کابل‌های شبکه را به سخت‌افزار وصل کرده و فایروال را پیکربندی کنیم. برای این منظور یک فایروال فورتی‌گیت مدل 60E و یک سوییچ آروبا داریم. دو اتصال شبکه گسترده (WAN)، یعنی WAN1 و WAN2 داریم که می‌خواهیم از آن‌ها یک SD-WAN بسازیم. همچنین، یک اتصال LACP (تجمیع پیوند) به یک سوییچ داریم. این سوییچ پورت‌های دسترسی اضافی برای کلاینت‌ها دارد؛ به طوری که پورت‌های ۱ تا ۶ برای شبکه کلاینت و پورت‌های ۷ تا ۱۲ برای شبکه سرور هستند. ما برای این تجهیزات، چند VLAN (شبکه محلی مجازی) و همچنین چند قانون فایروال (Policy) ایجاد خواهیم کرد.

در حال حاضر، همه چیز متصل شده است. فقط باید فایروال فورتی‌گیت را ریست (Reset) کنیم تا بتوانیم پیکربندی را از ابتدا و گام به گام انجام دهیم. شما می‌توانید فرآیند ریست کردن را یا از طریق رفتن به رابط خط فرمان (CLI) از طریق واسط کاربری وب، یا با استفاده از کابل کنسول، یا با استفاده از سنجاق (Pin) انجام دهید. در همه مراحل فایروال ریست شده و به تنظیمات کارخانه باز می‌گردد. من از طریق خط فرمان این‌کار را انجام می‌دهم.

فورتی‌گیت اکنون ریست شده است، اما از آنجایی که سوییچ و دیگر تجهیزات (LG) هنوز پیکربندی نشده‌اند، باید کامپیوترم را مستقیما به پورت‌های فایروال وصل کنم تا بتوانم با آن ارتباط برقرار کنم.

اکنون دستور ipconfig را اجرا می‌کنم تا وضعیت آدرس‌های آی‌پی را مشاهده کنم.

اکنون به آدرس آی‌پی گیت‌وی 192.168.1.99 پینگ می‌زنیم تا وضعیت اتصال را مشاهده کنیم.

در اینجا می‌توانید کامپیوتر من را ببینید. با اجرای دستور “IP config”، مشاهده می‌کنم که گیت‌وی پیش‌فرض برای فورتی‌گیت 60E برابر با 192.168.1.99 است. به بیان دقیق‌تر، آدرس پیش‌فرض فایروال برای این مدل 192.168.1.99 است و کامپیوتر از طریق DHCP آدرس دریافت کرده است.

اکنون زمان آن است که به واسط کاربری وب فایروال وصل شوم. آدرس آی‌پی پیش‌فرض را تایپ می‌کنم. گاهی اوقات تغییر مسیر (Redirect) کمی کُند است، بنابراین می‌توانید مستقیما از https استفاده کنید. از آنجایی که این یک گواهی خودامضا (Self-signed certificate) است، ما ریسک آن را قبول می‌کنیم.

نام کاربری پیش‌فرض “admin” خواهد بود و رمز عبور نیز خالی است.

در صفحه جدیدی که ظاهر می‌شود پسورد جدیدی را وارد کرده و کلید ok را کلیک کنید. اکنون صفحه لاگین دومرتبه ظاهر می‌شود. نام کاربردی admin و پسورد جدید را وارد کنید تا بتوانید به داشبورد فایروال وارد شوید. در صفحه ظاهر شده دکمه Later را کلیک کنید.

در صفحه بعد گزینه disable automatic patch upgrades را انتخاب کرده و دکمه Save and continue را کلیک کنید.

در صفحه بعد نیز گزینه Disable automatic patch upgrades را انتخاب کرده و دکمه Save and Continue را کلیک کنید.

در صفحه بعد گزینه‌ای مبنی بر عدم دریافت خودکار به‌روزرسانی‌ها را مشاهده می‌کنید. تیک گزینه I acknowledge را انتخاب کرده و Ok را کلیک کنید. با توجه به این‌که مطلب فوق با هدف آموزش نحوه پیکربندی فایروال نگارش شده است، در این مطلب عدم دریافت خودکار به‌روزرسانی، ایرادی ندارد.

در صفحه بعد، دکمه ok را کلیک کنید تا به داشبورد فایروال وارد شوید. داشبورد همانند شکل زیر نشان داده می‌شود. در صفحه فوق اطلاعاتی در ارتباط با نام میزبان، فریم‌ویر، حالت شبکه (NAT)، آدرس آی‌پیWAN و اطلاعاتی در ارتباط با لایسنس‌های مرتبط با قابلیت‌های فایروال را مشاهده می‌کنید.

تا این‌جا همه چیز به خوبی پیش رفته است. ما با موفقیت وارد سیستم عامل فایروال شدیم. اکنون زمان شروع پیکربندی است. کاری که من معمولا برای شروع انجام می‌دهم، رفتن به بخش “Systems” و سپس”Settings” است. از اینجا می‌توانیم منطقه زمانی درست را تنظیم کنیم. این منطقه زمانی من نیست و تنظیم آن برای مشاهده لاگ‌ها و سایر اطلاعات مرتبط با زمان بسیار مهم است.

دقت کنید تنظیمات بازه زمانی برای ثبت دقیق گزارش‌ها و رخدادهای سیستمی اهمیت زیادی دارد. متاسفانه برخی از متخصصان کانفیگ فایروال ایرانی این موضوع را نادیده می‌گیرند و زمانی که یک حادثه امنیتی اتفاق می‌افتد، با مشکل جدی روبرو می‌شوند. همچنین، برای راحتی چشم شما و خودم، تم را به یک حالت تیره‌تر شبیه”Onyx” تغییر می‌دهم.

اگر به توپولوژی نگاه کنیم، قصد داریم تقریبا از بالا به پایین شروع به پیکربندی کنیم. این روش معمول کار من است. ابتدا با اتصالات WAN شروع می‌کنیم. اگر روی Network و سپسInterfaces کلیک کنیم، می‌توانیم اینترفیس‌های مختلف این فایروال را ببینیم:

پورت 802.3ad که با عنوان “FortiLink” مشخص شده است، به سوییچ فورتی‌نت (FortiSwitch) اختصاص داده شده است.

این موضوع درست است. در اینجا پورت‌های WAN1 و WAN2 را می‌بینیم که شبکه‌های آزمایشگاهی من به آن‌ها وصل هستند یکی در زیرشبکه 172 و دیگری در زیرشبکه 192.

در پایین، Hardware Switch قرار دارد. ما در حال حاضر از پورت ۵ آن برای اتصال کامپیوتر من استفاده می‌کنیم. پورت‌های ۱ و ۲ عملا وضعیت “Link” (اتصال) را به سوییچ دیگر نشان می‌دهند.

اگر در پنل سمت چپ Policy and Objects و سپس Firewall Policy را کلیک کنید قادر به مشاهده بخش قوانین (Policies) هستید.

در این‌جا باید قانون WAN1 را حذف کنیم. چون اگر این قانون فعال بماند، نمی‌توانیم پیکربندی SD-WAN را انجام دهیم. برای پیکربندی SD-WAN، این اینترفیس نباید هیچ ارجاع (Reference) فعال دیگری داشته باشد. بنابراین، باید ارجاع مربوط به WAN1 را حذف کنیم.

می‌توانید این قانون را انتخاب کرده و از بالای صفحه دکمه Delete را بزنید، یا با کلیک راست کردن روی آن، گزینه حذف را انتخاب کنید.

حالا اتصالات WAN در هیچ قانونی استفاده نمی‌شوند، که این خبر خوبی است.

من همچنین گزارش‌گیری (Logging) را برای تمام ترافیک‌های رد شده (Denies) فعال می‌کنم تا اگر چیزی کار نکرد، بتوانیم آن را در لاگ‌ها بررسی کنیم. این یک اقدام خوب در حین راه‌اندازی است.

بسیار خوب، برمی‌گردیم به تب Network تا SD-WAN را با استفاده از دو اتصال WAN خود ایجاد کنیم. روی گزینه Network کلیک کرده و گزینه SD-WAN را انتخاب کنید.

ما دکمه “Create New” را کلیک می‌کنیم و کار را با اضافه کردن دو عضو (Members) شروع می‌کنیم. با کلیک روی دکمه فوق گزینه SD-WAN Member را انتخاب کنید.

اینترفیس‌های ما WAN1 و WAN2 خواهند بود. در فیلد اینترفیس، WAN1 را انتخاب می‌کنیم. فیلد Cost روی مقدار 0 تنظیم شده که خبر خوبی برای ما است.

دومرتبه دکمه “Create New” را کلیک می‌کنیم و گزینه SD-WAN Member را انتخاب می‌کنیم. این مرتبه در فیلد اینترفیس، گزینه WAN2 را انتخاب می‌کنیم. این اتصال از DHCP استفاده می‌کند و آدرس گیت‌وی (Next Hop) را می‌شناسد. این عالی است و نیازی نیست با Cost یا Priority آن کاری داشته باشیم. این SD-WAN تقریبا به صورت Failover (انتقال خودکار به پشتیبان) عمل خواهد کرد. پس WAN2 را نیز به این SD-WAN اضافه می‌کنیم.

با انتخاب گزینه فوق و کلیک روی دکمه ok، دو شبکه گسترده‌ای که انتخاب کردیم، همانند شکل زیر ظاهر می‌شوند.

اکنون در نظر داریم تا کمی به جزییات بیشتر بپردازیم و یکسری تنظیمات حرفه‌ای تر را اعمال کنیم. به بیان دقیق‌تر، قدم بعدی ایجاد یک منطقه (Zone) است. روی دکمه Create New کلیک کرده و این مرتبه SD-WAN Zone را انتخاب می‌کنیم.

با کلیک روی گزینه فوق، قادر خواهیم بود تا پالیسی‌های پیشرفته‌تر را تعریف کنیم. در تصویر نشان داده شده، ابتدا نامی برای پالیسی خود تعیین می‌کنیم. در فیلد interface members باید SD-WAN‌های موردنظر خود را انتخاب کنیم. دو گزینه تعریف شده را انتخاب می‌کنیم.

با کلیک روی دکمه ok، وضعیت پیکربندی و پهنای باند SD-WANها همانند شکل زیر تغییر می‌کند.

در اینجا “My SD-WAN” را تایپ می‌کنیم، و سپس اعضایی که تازه ساختیم را به آن اضافه می‌کنیم و “OK” را می‌زنیم. این تمام کاری است که برای راه‌اندازی یک SD-WAN از نوع Failover لازم است. در اینجا می‌بینیم که ترافیک در واقع در حال عبور از اتصالات WAN و از طریق زون SD-WAN است. بسیار خوب، حالا باید عملکرد این SD-WAN را بررسی کنیم و آن را تایید کنیم.

ما بخش مسیریابی استاتیک (Static Routes) را باز خواهیم کرد، چون اگر مسیری نداشته باشیم، چگونه می‌تواند ترافیک اینترنت را پیدا کند؟ در واقع نیازی نیست که مسیر پیش‌فرض (Default Route) را ایجاد کنیم، زیرا این کار به صورت دینامیک در فورتی‌گیت‌ها انجام می‌شود. اگر به داشبورد Network Routing برویم، می‌بینیم که برای اتصالات WAN از نوع DHCP، آن‌ها به طور خودکار مسیرهای دینامیک را ایجاد می‌کنند. پس نیازی نیست نگران آن باشیم.

حالا بیایید یک تست پینگ (Ping Check) انجام دهیم. ما از دستور “exec ping google.com ” استفاده می‌کنیم و تعداد تکرارها را کمی افزایش می‌دهیم. من آن را روی 999 تنظیم می‌کنم و سپس به سمت google.com پینگ خواهیم گرفت.

ما در حال پینگ گرفتن هستیم. در اینجا دو اتصال WAN (شبکه گسترده) را داریم. من یکی از اتصالات WAN را از برق می‌کشم و مشاهده خواهیم کرد که همچنان پینگ ادامه دارد.

WAN2 را دوباره وصل می‌کنم و این بار WAN1 را از برق می‌کشم که برای دو سه پینگ تاخیر (MS) داشتیم، اما بعد از آن بلافاصله اتصال برقرار شد. این نشان می‌دهد که قابلیت Failover (انتقال خودکار به پشتیبان) SD-WAN به خوبی کار می‌کند. ساختن اتصال SD-WAN به همین سادگی بود.

فرآیند پیکربندی SD-WAN روی فایروال فورتی‌گیت به همین سادگی بود که مشاهده کردید. امیدوارم از خواندن این مطلب لذت برده باشید. در مطلب بعد به سراغ فرآیند پیکربندی LAG یا همان تجمیع لینک خواهیم رفت.

حمیدرضا تائبی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *