آشنایی با مراحل پیکربندی ابتدایی فایروال فورتیگیت
پیکربندی ابتدایی فایروال فورتیگیت یک فرآیند گام به گام است که برای راهاندازی دستگاه و فعالسازی دسترسی به اینترنت ضروری است. به طور کلی، روند انجام کار به این صورت است که ابتدا باید با استفاده از آدرس آییپی مدیریتی پیشفرض (192.168.1.99) به رابط کاربری وب آن دسترسی پیدا کنید و برای حفظ امنیت، کلمه عبور پیشفرض را تغییر دهید. گام کلیدی بعدی، تنظیم رابطهای شبکه است. برای این منظور در بخش Interfaces، باید پورت متصل به اینترنت (WAN) را با آیپی دریافتی از ارائهدهنده سرویس (ISP) پیکربندی کرده و نقش آن را WAN قرار دهید. همزمان، پورت یا پورتهای شبکه داخلی (LAN) را با آیپی گیتوی (Gateway) داخلی مورد نظر خود تنظیم کنید و در صورت نیاز، سرویس DHCP را برای تخصیص خودکار آیپی به کلاینتها فعال کنید. پس از آن، برای اطمینان از تبادل ترافیک شبکه داخلی با اینترنت، باید یک مسیر ثابت (Static Route) پیشفرض با مقصد “All” و آدرس آیپی (0.0.0.0/0.0.0.0) و گیتوی روتر ISP ایجاد کنید (البته این مسئله به نوع استراتژیهای سازمان بستگی دارد که در ادامه به آن خواهیم پرداخت). در نهایت، یک پالیسی امنیتی (Policy) اولیه در قسمت IPv4 Policy ایجاد کنید که به ترافیک ورودی از رابط LAN اجازه میدهد از طریق رابط WAN خارج شود تا دسترسی به اینترنت برقرار شود.
پیکربندی فایروال 200F فورتیگیت
اکنون که مباحث تئوری مرتبط با پیکربندی فایروالهای فورتیگیت را مورد بررسی قرار دادیم، اکنون وقت آن رسیده به شکل عملی این موضوع را با جزییات بیشتری مورد بررسی قرار دهیم. در این مطلب، ما فایروال پر کاربرد 200F فورتیگیت را انتخاب کردهایم که بیشتر شرکتهای کوچک و متوسط از آن استفاده میکنند. اتصال اولیه و ورود به سیستم و تغییر آدرس آیپی کامپیوتر اولین کاری است که باید انجام دهیم. شایان ذکر است کامپیوتر شما باید در همان زیرشبکه با پورت مدیریتی فایروال FortiGate 200F باشد که آدرس آن 192.168.1.99 است.
اکنون مرورگر وب خود را باز کرده و آدرس آیپی مدیریتی را وارد کنید. با استفاده از حساب کاربری پیشفرض، یعنی نام کاربری admin و بدون کلمه عبور وارد پنل مدیریتی شوید. توجه داشته باشید در اولین راهاندازی دستگاه یا پس از ریست به تنظیمات کارخانه، حتما باید یک کلمه عبور جدید برای دستگاه تنظیم کنید.
کلمه عبور دلخواه خود را وارد کرده و دوباره وارد شوید (با نام کاربری admin و کلمه عبور جدید).
اکنون به داشبورد مدیریت فایروال همانند شکل زیر وارد میشوید. در این صفحه به اطلاعات سیستمی، لایسنس، شماره سریال دستگاه، شماره فریمویر نصب شده روی فایروال، حالت شبکه و غیره دسترسی خواهید داشت.
به بیان دقیقتر، داشبورد فوق مکانی است که اجازه میدهد تنظیمات اولیه دستگاه که شامل جزئیات دستگاه، نام میزبان (Host Name)، حالت عملیاتی، تاریخ و زمان، مدت زمان روشن بودن دستگاه (Uptime)، و آدرس آیپی، پورت WAN و غیره را مشاهده کنید. در این مرحله قصد داریم نام میزبان دستگاه را تغییر دهیم. برای این کار به System > Settings میرویم.
در این قسمت میتوانید نام دلخواه یا معمولا نام شرکت خود را وارد کنید. همچنین، میتوانید منطقه زمانی را نیز تغییر دهید. اگر رنگ سبز پیشفرض را دوست ندارید، میتوانید تم ظاهری را نیز عوض کنید (ما فعلا از تم پیشفرض استفاده میکنیم). همچنین میتوانید زمان انقضای نشست (Idle Timeout) را تغییر دهید تا مشخص شود یک نشست تا چه مدت بدون فعالیت معتبر خواهد بود. پیشنهاد میکنیم آن را روی 30 دقیقه دقیقه تنظیم کرده و Apply را بزنید.
پیکربندی رابطهای شبکه (Interface Configuration)
حالا به سراغ تنظیم رابطهای شبکه میرویم. برای این منظور به بخش Network > Interfaces میرویم. در اینجا میتوانید آدرسهای شبکه LAN و WAN و ماسک شبکه مدیریتی را پیکربندی کنید.
کاری که اکنون قصد انجام آنرا داریم پیکربندی رابط WAN اینترنت است. فرض کنید پورت ۱۵ رابط WAN ما است. اگر این پورت بخشی از سوییچ سختافزاری است، باید آن را از گروه خارج کرده و به عنوان رابط متصل به اینترنت تنظیم کنیم.
برای رابط، یک نام مستعار دلخواه در فیلد Alias وارد کنید.
در مرحله بعد نوبت به تعیین نقش رابط شبکه میرسد که با Interface Role مشخص شده است. در اینجا، انتخاب ما WAN است.
حالت آدرسدهی را Manual قرار داده و آدرس آیپی و ماسک شبکهای را که توسط ارائهدهنده خدمات اینترنتی ارائه شده را وارد کنید.
اگر میخواهید از اینترنت از طریق HTTPS و SSH به دستگاه دسترسی داشته باشید و همچنین دستگاه قابل پینگ شدن باشد، این دسترسیها را فعال کنید. برای امنیت بیشتر، توصیه میشود دسترسی HTTP و Telnet را روی رابط اینترنت فعال نکنید.
اکنون OK را کلیک کنید تا تنظیمات ذخیره شود. همانگونه که در شکل زیر مشاهده میکنید، آدرس آیپی به همراه ماسک شبکه به درستی تعیین شده است.
اکنون نوبت به پیکربندی رابط LAN برای برقراری ارتباط شبکه داخلی میرسد. برای این منظور روی فیلد Network کلیک کرده و گزینه Interfaces را انتخاب میکنیم. در پنجره ظاهر شده در فیلد Alias برای رابط LAN یک نام مستعار مشخص میکنیم.
نقش رابط را LAN قرار دهید. همچنین، حالت آدرسدهی را Manual گذاشته و آدرس آیپی و ماسک شبکه داخلی مورد نظر خود را وارد کنید.
برای دسترسی مدیریتی، بهتر است گزینههای HTTPS و SSH را فعال کرده و برای اهداف تست و عیبیابی، Ping را نیز فعال کنید.
اگر میخواهید فورتیگیت به عنوان سرور DHCP عمل کند، آن را فعال کرده و محدوده آدرسدهی DHCP را وارد کنید مثلا آدرسهایی را که میخواهید به صورت دستی Static اختصاص دهید، از محدوده DHCP خارج کنید.
همچنین، پیشنهاد میشود برای سرور DNS اگر سرور DNS یا اکتیو دایرکتوری خود را دارید، آدرس آیپی آن را وارد کنید.
اگر تصمیمی در این زمینه ندارید، از DNS عمومی مانند Google DNS و Cloudflare DNS استفاده کنید. در مرحله فیلد Device Detection را فعال کنید که برای عیبیابی دستگاههای متصل مستقیم به پورتهای LAN مفید است.
کلید Ok را بزنید تا تنظیمات ذخیره شود.
پیکربندی مسیر ثابت (Static Route)
اکنون باید یک مسیر ثابت ایجاد کنیم تا فایروال فورتیگیت بتواند به اینترنت دسترسی پیدا کند. برای این منظور به مسیری Network > Static Route بروید. در پنجره ظاهر شده روی Create New کلیک کنید.
Destination Subnet را روی هشت صفر 0.0.0.0/0.0.0.0 قرار دهید. این کار بدان معنا است که دستگاه میتواند به “همه چیز” دسترسی پیدا کند.
آدرس آیپی گیتوی (Gateway IP) را آدرس آیپی روتر که اینترنت را از گیتوی ارائهدهنده اینترنت دریافت کرده است، قرار دهید.
همچنین، در فیلد Interface گزینه WAN را انتخاب کنید.
همچنین، Administrative Distance را به صورت پیشفرض بگذارید و OK را کلیک کنید. همانگونه که در شکل زیر مشاهده میکنید، IPv4 به درستی تنظیم شده است.
پیکربندی پالیسی امنیتی (Policy)
اکنون در نظر داریم پالیسی امنیتی را پیکربندی میکنیم. برای این منظور به مسیر Policy & Objects > IPv4 Policy بروید. مدل FortiGate 200F هیچ پالیسی از پیش پیکربندی شدهای ندارد.
ما در نظر داریم یک پالسی All to All ایجاد کنیم. این پالیسی اجازه میدهد شبکه داخلی LAN به همه جا دسترسی داشته باشد و از هر پروتکلی در هر زمانی استفاده کند بدون فیلترینگ یا محدودیت. روی Create New کلیک کنید و نام آن را LAN_to_ALL بگذارید. همچنین، Incoming Interface را LAN و Outgoing Interface را رابط متصل به اینترنت WAN انتخاب میکنیم.
در فیلد Source باید یک آدرس جدید با زیرشبکه داخلی ایجاد کنیم و نام آن را Local_LAN قرار دهیم. روی دکمه مثبت در فیلد Source کلیک میکنیم. در پنجره ظاهر شده روی دکمه Add کلیک میکنیم و گزینه Address را انتخاب میکنیم.
در پنجره ظاهر شده، IP/Netmask را برابر با ماسک آیپی شبکه محلی داخلی تنظیم میکنیم و Ok را کلیک میکنیم.
در فیلدDestination گزینه All، در فیلدSchedule گزینه Always و Service گزینه ALL را انتخاب میکنیم.
برای Security Profiles، فعلا از پروفایلهای پیشفرض استفاده میکنیم و Ok را کلیک میکنیم.
نکته مهمی که باید توجه داشته باشید این است که اگر هنگام ذخیره با خطای “Source interfaces are down” مواجه شدید، به این دلیل است که دستگاهی به پورتهای داخلی متصل نیست.
تست پیکربندی و عیبیابی (Web Filtering)
برای تست، کامپیوتر را به پورت 1 که بخشی از رابطهای LAN است متصل کرده و آدرس آیپی کامپیوتر را به زیرشبکه داخلی تغییر میدهیم. سپس مرورگر را باز کرده و آدرس گیتوی LAN را وارد میکنیم و دوباره وارد میشویم.
اگر متوجه شدید که نمیتوانید به اینترنت دسترسی پیدا کنید، به این دلیل است که اگر در فایروالهای فورتیگیت لایسنس دستگاه فعال نشده باشد یا منقضی شده باشد، در صورت فعال بودن فیلترینگ وب Web Filtering دسترسی به اینترنت را مسدود میکنند. ما در پیکربندی قبلی Web Filtering را فعال کرده بودیم.
برای حل این مشکل، به پالیسی امنیتی LAN_to_ALL برگشته و پروفایل Web Filter Profile را غیرفعال کنید و دوباره تست کنید.
حالا دستگاه کار میکند و میتوانید به سایتهایی مثل google.com دسترسی داشته باشید.
نظارت بر ترافیک و بهبود امنیت
میتوانید ترافیک خروجی را از طریق FortiView یا با رفتن به Log & Report > Forward Traffic و اعمال فیلترهای دلخواه (مانند آدرس آیپی مبدا، مقصد یا پالیسی مشاهده کنید.
ایجاد پالیسی بر اساس سرویس
برای امنیت بهتر، توصیه میشود پالسی”All to All” را به پالیسیهایی بر اساس سرویسهای خاص تغییر دهید. به طور مثال، برای DNS، پالیسی LAN_to_ALL را کپی کرده، نام آن را به DNS تغییر دهید و Service آن را فقط روی DNS تنظیم کنید و آن را فعال کنید.
اکنون پالیسی دیگری برای HTTP/HTTPS تعیین میکنیم. یک کپی دیگر ایجاد کرده، نام آن را HTTP_HTTPS بگذارید و Service را روی HTTP و HTTPS تنظیم کنید و آن را فعال کنید.
همین کار را در ارتباط با پالیسی Email انجام دهید و از گروه سرویس Email Access برای Service استفاده کنید و آن را فعال کنید.
تنظیم پروفایلهای امنیتی
برای امنیت قویتر، میتوانید پروفایلهای امنیتی را ویرایش کنید. برای این منظور کافی است به Security Profile بروید و پروفایلهای پیشفرض Antivirus و Web Filter را ویرایش کنید. برای مثال در Web Filter میتوانید دستههایی مانند محتوای بزرگسالان یا اشتراکگذاری فایل Peer-to-Peer را مسدود کنید. در Application Controlمیتوانید دستههایی مانند بازیها یا شبکههای اجتماعی (مثل متا) را مسدود کنید. در نهایت، این پروفایلهای امنیتی سفارشیشده را بر روی پالیسیهای ایجاد شده در مرحله قبل اعمال کنید به طور مثال Antivirus و Web Filterرا روی پالیسی HTTP/HTTPS فعال کنید.
مهمترین و آخرین مرحله پشتیبانگیری از تنظیمات است تا در مواقع ضروری به سادگی بتوانید دستگاه را به حالت عملیاتی بازگردانید. همیشه پس از اتمام پیکربندی یا هر تغییر مهم، از تنظیمات پشتیبان بگیرید. برای پشتیبانگیری، روی نام کاربری خود در بالای صفحه کلیک کرده و Configuration > Backup را انتخاب کنید و OK را بزنید. فایل پشتیبان با نام میزبان، تاریخ و زمان ذخیره میشود. برای بازیابی به عنوان مثال پس از ریست فکتوری از طریق رابط خط فرمان دستور exe factory reset را اجرا کنید. پس از ریست، دوباره با آدرس آیپی پیشفرض وارد شوید و کلمه عبور جدیدی تنظیم کنید. برای بازیابی، دوباره روی نام کاربری خود کلیک کرده و Configuration > Restore را انتخاب کنید، فایل پشتیبان را آپلود کرده و OK را بزنید. امیدوارم این راهنمای ساده به شما در تنظیم و پیکربندی فایروال کمک کرده باشد.
حمیدرضا تائبی