Professional Documents
Culture Documents
الفهرس
املقدمة 1 ..............................................................................................................................
كلمة شكر وعرفان 2 ..............................................................................................................
مقدمة عن فورتي جيت 3 .......................................................................................................
طريقة تنزيل و ضبط اعدادات 4 ...................................................................... FortiGate vm
ضبط اعدادات كرت الشبكة على جهازالكالينت(12 .......................................................)Client
طريقة عمل resetلعدد األيام ( )14لل ـ18 ........................................................................... VM
مشكله ظهور بان االيسنز( )Licenseقد انتهى 20 .......................................................................
طريقة عمل باك اب لإلعدادات التابعه لل ـ VMوكيفيه استعادتها 20 ...........................................
شرح مكونات وواجهات الفورتي جيت 23 .................................................................................
طريقة تغييرباسورد األدمن ()adminبواسطة 24 ............................................................... CLI
إيقاف او اعاده التشغيل او تغييرالباسورد او للخروج من الفورتي ويب عبر24 .......................... GUI
شرح ال25 ..................................................................................................... DASHBOARD
شرح القوائم 29 ....................................................................................................................
شرح استخدامات ومعلومات ال29 ............................................................................. Widget
طريقة توصيل االنترنت لجهازالفورتي جيت 39 .........................................................................
متى احتاج الى عمل ترقيه –تحديث -للـ Firmwareالتابع لجهازالفورتي 44 .................................
طرق ترقيه النظام 44 ............................................................................. Upgrade firmware
عمليه ال ـ 45 ....................................................................................................... downgrade
45 .................................................................................. Administration types &profiles
طريقة انشاء يوزرجديد بواسطة 47 ................................................................................. CLI
178 .............................................................................................................................FortiExplorer
179....................................................................................... Fortigate firewall policy
180 .............................................................) األساسية )الضروريةobjects ماهي انواع ال ـ
182 ............................................................................................... طريقة انشاء البوليس ي
املقدمــــــــة
بسم هللا الرحمن الرحيم ونصلى ونسلم على أشرف املرسلين سيدنا محمد
صلى هللا عليه وسلم رسولنا الكريم الذي علم األمة ،
سوف نعرض لكم موضوع من أهم املوضوعات التي تواجهنا كمهندس ي تقنيه
معلومات ،
وهذا املوضوع مهما تحدثت وكتبت لن اوفيه حقه ،ولكن سنحاول بقدر
اإلمكان ان نعرض لكم أهم الجوانب واملعلومات الخاصة باملوضوع
" "FortiGate UTM firewallوندعو هللا ان يوفقنا لهذا ..
وحب وعرفان إلى من بالحب غمروني وبجميل السجايا أدبوني إلى أبي ّ
وأمي إلى من كان رسالة شكر ّ
حبهما يجري في عروق دمي إلى من كانت ابتسامتي تزيل شقاهم وسعادتي ترسم االبتسامة على
شفاهم إلى من أحببتهم حتى سارحبهم في الوجدان إلى من أمرني ربي بطاعتهم واإلحسان لهم أبي
حبي الكبيرلعظمتكم حروف العشق عجزت عن نظم أجمل الحب عجزت عن وصف ّ ّ ّ
وأمي كلمات
وأمي حفظكم هللا السعادة في قلبي أبي ّ سر ّ
القصائد واأللحان فيكم أنتم قلبي ،أنتم فرحي أنتم ّ
ُ ّ
وأبقاكم لناظري ّأمي أبي أنتم قلبي النابض حبكم يسري في شراييني كيف ال وأنتم أول من نظرت
حبكما في قلبي كملء األرض بل يطاول إليهما أول أصوات سمعتها أول اسمين نطقت بها شفتاي ّ
ّ عنان ّ
السماء إلى شمعة دربي وبلسم جروحي إلى من سهروا الليالي من أجلي ،من أجل راحتي ورسم
ّ ّ ُ
عشت ّ
حقهما إلى من أوصاني ّربي بطاعتهما دون الدهركله لن أوفي البسمة على شفاتي إلى من إذا
ً ّ معصيته إلى سبب نجاحي وسعادتي في ّ
الدنيا واآلخرة إلى جنتي شكرا ّأمي الحنونة أبي الغالي
حفظكم هللا وعافاكم ..
شكرا لكل افراد اسرتي ...
واشكر كل أصدقائي وكل من وقفوا معي حتى بكلمه تشجيع ...
اسال هللا ان يحفظ اليمن كافه والحديدة خاصه وان يعم األمن واألمان في كل ارجاء اليمن .
الفورتي جيت هو التطور الطبيعي للفايرول نظرا النتشارالفيروسات وامللفات الخبيثة فأصبحت
الجدران النارية غيركافيه لتامين الشبكات ومن هنا ظهرمصطلح ال ـ UTM( Unified Threat
)Management
تعني إدارة التهديدات املجمعة او املوحدة بمعني توفيراكثرمن حمايه للشبكة.
حيث يقدم مجموعه واسعه من الوظائف االمنية في جهازواحد يدعى FortiGateويعمل هذا
املنتج كأحد حلول UTMاملعروفة وهي ان يعمل ك ـ WAN acceleration , firewall , vpn , ips ,
Web filtering , antivirus , antispam ,والعديد من الوظائف التي ال غنى عنها لبناء شبكة
عمالقة مؤمنة ،،هناك العديد من املوديالت الصغيرة والكبيرة لتغطية جميع االحتياجات.
نالحظ بالصورة ادناه بظهور كروت شبكة افتراضيه (وهميه)تابعه ل ـvmware work station
موافق...
نالحظ بالصورة أعاله بان الرام 1جيجا والهارد ..وعدد 8كروت شبكة نوع Bridge
نقوم بتجهيزكروت الشبكة الوهمية التابعه ل ـvm fortigate
اما كرت الشبكة lan2والذي وسوف يتم تغييره الى WANسيتم ضبط إعداداته كما بالصورة أعاله
Bridge connected directory to the physical network
وذلك لكي يكون قادرعلى الوصول الى الروتر(املودم)ألنه سوف يكون موصل مع كرت الشبكة الوايرلس
التابع لالبتوب حيث سنقوم بجعل اعدادات كرت الشبكة ال ـ WANبااليبي .. 192.168.1.60ثم سوف
نقوم بضبط اعدادات كرت الشبكة الوهمي التابع لـ VMWAREكما بالخطوات التالية :
لذا االن سوف نقوم بتجهيزكرت الشبكة ال ـ port1والتابع ل ـ VMوذلك كما باألوامرادناه .
حيث عند كتابه األوامرالخاصة بتجهيزكرت الشبكة port 1بااليبي 192.168.2.20
Config system interface
Edit port1
Set ip 192.168.2.20 255.255.255.0
فأنه تظهررساله الخطأ(فقط على )Vm FortiGateكما بالصورة
""Can't change dynamic ip
وذلك ألن كرت الشبكة بيوزع ايبيهات أوتوماتيكية DHCPلذا سوف نقوم بتحول الكرت الى staticكما
باألمرالتالي :
Config system interface
Edit port1
Set mode static
Set ip 192.168.2.20 255.255.255.0
إعداد /حممد املرفدي الصفحة 15من 469
أساسيات فورتي جيت
Set allowaccess https http ping ssh telnet
حيث قمنا بتحديد ايبي للكرت port1وحولناه الى كرت ثابت ثم حددنا له االيبي
192.168.2.20وسمحنا بالوصول اليه عن طريق httpsو httpو pingو sshو .. telnet
عملية البينج غيرشغاااااااااال من االبتوب نفسه( )Hostوذلك ألن كرت الشبكة lan1على
) Vnet1(host onlyأي غيرموصول بسويتش واحد مع كرت الشبكة الخاص باالبتوب ...
حيث كرت الشبكة الوايرلس لالبتوب هو 192.168.1.121وكرت الشبكة lan1ل ـ vm fortigateهو
..192.192.168.2.20
لذا سنقوم بتجهيز vm win 8.1ونجعل كرت الشبكة موصل على السوتش الوهمي
) Vnet1(host onlyلكي يكون موصل مع كرت الشبكة lan1ل ـ. vm fortigate
ثم سنفتح الفورتي من خالص الويب ()192.168.2.20بواسطة متصفح من على جهازالكالينت ( win
)8.1
مالحظةlan1:192.168.2.20 :
سنقوم بالدخول الى الفورتي عبرالويب وذلك من جهازالكالينت 8.1عبرااليبي 192.168.2.20كما
بالصورة ادناه ...
الفرتة التجريبية لــ fortigate vmهي 14يوم ،لذا قبل ما تنتهي الفرتة التجريبية فأنك تقوم بأخذ
باك اب للفورتي جيت كما سيتم الشرح الحقا ثم عمل Resetلـــ VMكما باخلطوات التالية :
ضبط اإلعدادات من باسورد وأيضا ضبط اعدادات كروت الشبكة مره أخرى كما مت شرحه سابقا وذلك بدال من ان
تقوم حبذف ال vmوتقم بتنزيله مره أخرى ...
LAN1=PORT1=192.168.2.20
LAN2=WAN=192.168.1.60
WIN 8.1=192.168.2.140
❖ مشكله ظهور بان االيسنز( )Licenseقد انتهى كما بالصورة ادناه بالرغم اني
مل استخدمه اال لساعه فقط ..
E
فقمت بتنزيل ال ـ VMواعدادها مره أخرى ....واشتغلت واعطت لي 14يوم تجريبي..
طريقة عمل باك اب لإلعدادات التابعه للــ VMوكيفيه استعادتها : ❖
لالستعادة ...
حيث يجب ان تقوم بكتابه االمر endبعد األوامرأعاله لكي يتمكن من حفظ التغيرات..
حيث اصبح الباسورد لليوزر adminهو . 123
*****************
مثال سوف نقوم بأضافه Dashboardباسم IMPORTANTوسوف نظيف اليها نوافذ محدده
وللتحكم من حيث حذف او تصغيراو تكبيرحجم النافذه على ال ـ DASHBOAARDنتبع الخطوات كما
بالصور ادناه ...
هي عباره عن خاصية عرض فقط( )Viewلكل االجهزه التابعه لشركه فورتي من معلومات حول الشبكة
وعرض تفاصيل عن الشبكة ومتابعة ال logsوالترافيك ...الخ
في الشركات الكبيرة يوجد لديهم اكثرمن جهازحمايه(فايروول)في الشركة مثال ممكن يكون لديهم جهاز
-fortianaliyzer-forimail
حيث على األقل يجب ان يكون لديك fortigateو fortianalyzerلكي تفعل(تعمل)هذه الخاصية ،
توجد طريقتين للعرض :
Physical topology -1
حيث بمجرد تمريرمؤشراملاوس على العناصربيوضح لك مثال االيبهات وال ـ... interfaceالخ
غيرمتاح في VMولكن فعليا يتم استخدامه كآليه فحص لألجهزة التابعه لفورتي نت مثال
FortiAnalyzerو غيرها ...
هو نظام مراقبة للشبكة الخاصة بك مثل ال ـ LOGSو عمل فلتربحسب االيبي او فلتربحسب برنامج معين
او فلتربحسب يوزرمعين والخ
حيث قائمه الـ Monitorتعرض لك معلومات real timeف نفس الوقت وحقيقيه عن تفاصيل مثل من
اخد dhcpاو اي حالة ال VPNوهكذا تختلف عن ال fortiviewاللي يعرض لك احداث مسجله مش
شرط تكون. real time
: Networks -4
يقوم بعرض معلومات عن كروت الشبكة و تندرج تحت هذه القائمة :
:Interfaces -1
يعرض معلومات عن كل املنافذ ( )portsللفورتي مثل lanو Wan
: DNS -2
يوضح ال DNSاملستخدم هل هو التابع لفورتي مثال او التابع لجوجل مثل
8.8.8.8او 8.8.4.4او غيرها ..
: Admin profiles -2هو البروفايل الي له الحق بالوصول الى الفورتي جيت حيث بشكل افتراض ي
super_adminو prof_adminويمكنك ان تقوم بتخصيص بروفايل وتحدد نوع صالحيه الوصول
بحسب ما تريد.
: Settings -4ممكن تعدل اسم الجهازمن ، Hostnameوايضا يعرض لك الوقت والتاريخ الحالي
ويمكنك تغييراملنطقة الزمنية لجهازالفورتي ،
يمكنك أيضا تعديل رقم البورت االفتراض ي http=80الى أي رقم تريده وايضا .. https:443
ويمكنك أيضا تعديل الثيم themeللواجهة من الوان او لغة العرض وايضا لتعديل وقت انتهاء الجلسة
لصفحة الدخول ( )loginوذلك بتعديل قيمه idle timeout:2حيث سيتم اغالق الـ loginبعد مرور
دقيقتين بدون ان تستخدم . GUI
: HA -5في حالة وجود جهازفورتي جيت وحيد بالشركة فأن النمط هو Mode=standaloneاما في
حالة وجود اكثرمن جهازفورتي في الشركة فان النمط ()Modeممكن ان يكون active-activeاو
active-passiveأي يستخدم كنوع من الباك اب بحيث لو تعطل او توفق احدى اجهزه الفورتي فأن
االخريعمل بشكل تلقائي بدون توقف للشبكة .
: SNMP -6احدى بروتوكوالت املراقبة حيث يقوم بمراقبه حالة جهازالفورتي ويرسل كل ش ي الى
سيرفريسمى . SNMP server
: Replacement Messagesهي عباره عن الرسائل التي تظهرلك كأدمن للفورتي او كيوزرفي -7
حاالت مختلفة مثل فتح مواقع محجوبه او خطأ في الولوج الى الفورتي جيت ...الخ
ويمكنك تعديل الرسائل كما تريد ..
: Certificateلو قمت بتفعيل خاصيه SSL Inspectionفيجب عليك ان تقوم بإنشاء شهاده .. -9
عندما نقوم مثال بعمل Blockملوقع الفيسبوك عبرال ـ Web filterفان الفورتي جيت يواجه مشكله
وهي ان لواليوزرفتح موقع الفيسبوك بجلسه مشفره أي عبر httpsفأن الفورتي جيت ال يعرف ما بداخل
هذه الجلسة اال لو قمت بتفعيل خاصيه .. ssl inspection
حيث افضل طريقة هي Deep ssl inspectionمن حيث الفحص وبنفس الوقت تكون بطئ نواعا ما ..
: User definitionاليوزرلكي يصل للشبكة سواء انترنت او غيرها يجب ان يكون لديه يوزر -1
اكاونت و كلمه سرولذا يتم انشاء . local user
: User groups -2يتم انشاء جروب لكي يتم أضافه اليوزرات اليها وبذلك يسهل عمليه تطبيق
البوليس ي عليهم جميعا بدال من تطبيق بوليس ي على مستوى اليوزر.
: Device Inventoryتجميع معلومات عن األجهزه املوجودة بالشبكة -3
: Single sign-on -4تسمى SSOحيث عن تفعيل هذه الخاصية (دمجها مع ال ) active directory
فأن اليوزرال يحتاج الى ادخال يوزرنيم وباسورد اكثرمن مره بل يكفي ان يدخل اليوزرنيم والباسورد عن
عمل loginبجهازه مره واحده فقط ،
اما ان لم تكن هذه الخاصية مفعله فأن اليوزرسوف يضطرالى ادخال اليوزر نيم والباسورد الخاص
بالدخول الى الويندوز باإلضافة لليوزرنيم والباسورد الخاص بالفورتي الذي تم انشاءه مسبقا من قائمه
User definitionللوصول الى االنترنت .
:WiFI &switch controllerفي حالة وجود fortiAPبالشبكة وتريد عمل له اداره -9
وتحكم كامل بواسطة الفورتي ...حيث fotiAPهو عباره عن اكسس بوينت ولكن خاص بشركه فورتي نت
.
: Log & Reports -10
>Network>Interfaces>port2>Edit>alias(Write WAN)>Role=WAN
Addressing mode :manual or DHCP
حيث manualسوف تقوم بكتابه 255.255.255.0/192.168.1.60
ولو اخترت DHCPفأنه سوف يأخذ بشكل اوتو من الروتر..
حيث من املمكن تحديد طريقة الوصول الى املنفذ ال WANبأكثرمن طريقة مثل HTTPSو HTTPووالخ
ولكن كنوع من السيكيورتي يتم فقط السماح بالوصول الى البورت عبرال ـ. PING
حيث بعد ذلك يمكن من االبتوب الشخص ي( )Hostان تعمل
Ping 192.168.1.60وهو ايبي بورت ال ـWAN
ثم . OK
تالحظ بان املنفذ WANحصل على ايبي 192.168.1.105وكما هو ظاهربان ال pingمفتوح ...
حيث يمكنك بعد ذلك ان تدخل الى اعدادات الفورتي جيت عبرالويب من نفس االبتوب ()Hostوذلك
بكتابه ايبي wanوهو 192.168.1.60في متصفح االنترنت وبهذا يكون قد قللت استهالك الresources
لالبتوب عند العمل والتطبيق والتعلم ،
حيث ليس هناك داعي الدخول الى اعدادات الفورتي جيت عبرجهازالكالينت ..
❖ مىت احتاج اىل عمل ترقيه –حتديث -للـ Firmwareالتابع جلهاز الفورتي:
أضافه مميزات جديده لإلصدارالجديد -1
تحسين وحل مشكله في ميزه معينه في اإلصدارالجديد -2
بسبب أضافه bugsلحل بعض الثغرات باإلصدارالقديم -3
كما تالحظ بالصورة أعاله فانه ال يمكن حذف البروفايل ولكنك يمكن تعديله ...
طريقة انشاء يوزر جديد بواسطة : CLI ❖
#config system admin
#edit marfadi
#set password 123
#set accprofile prof_admin or super_admin
#end
: Prof_adminيتم إنشاءه بشكل افتراض ي وهو نفس super adminلكنه يمكن عمل تعديل على
العناصرمثل firewallو log&reportو networkووالخ
حيث ممكن نعملها noneاو readاو writeاو customللعناصروأيضا ال يمكنك حذف البروفايل
املسمى . prof_admin
طريقة انشاء custom profileأي نقوم بتخصيص مجموعة محدده من العناصرالتي من حق اليوزرات
التي في هذا الجروب (البروفايل)ان تصل اليها ..
االن سوف نقوم بإنشاء يوزرباسم Yasserوسوف يكون نوع البروفايل الخاص به هو Yasser ossimi
حيث هذه املره سيتم انشاء اليوزرعن طريق ال ـ GUIكما بالصورة ادناه
>System>administrators>Create New>administrator
نالحظ بأنه تم انشاء يوزرباسم Yasserتابع للبروفايل الذي تم تخصيصه سابقا باسم Yasser Ossimi
ثم نالحظ بانه تم انشاء logical interfaceباسم SD-WANكما بالصورة ادناه ...
-1حيث سيتم عمليه ارسال الفحص ( )pingالى 8.8.8.8و 8.8.4.4كل 500ملي ثانية -أي كل نصف
ثانية قم بعمل ارسال - echo request
-2فلو تم ارسال echo request 5الى 8.8.8.8 , 8.8.4.4ولم تستلم أي رد ()echo reply
فأعتبربأن الخط wan1في حالة downففي هذه الحالة فان wan1لن يدخل في عمليه ال ـ load
) balance(SDWANمع مالحظة بأنه سيتم ارسال echo requestفي هذا الفترة كل 500ثانية ولن
يتوقف عن عمليه االرسال بالرغم ان الخط . down
-3بعد ان اصبح الخط wan1=downفبأي وقت لو حصل echo replyلعدد 5مرات فاجعل
ال ـwan1=up
مالحظة :ال يمكن فحص نفس السيرفرمثال ان تجعل عمليه ال ـ pingل ـ sla1و sla2
على نفس ايبي 8.8.8.8و 8.8.4.4لذا تم تغييرهم ..
عمليه ال ـ sd-wanسيتم تطبيقها عبر SD-Wan rulesبحيث لو تركتها بشكل افتراض ي كما بالصورة ادناه
مثال لو كان لدينا 1000جلسه ( )Sessionsفأن الفورتي جيت سوف يقوم بتوزيعها بنسبه %60عبر
WAN1و %40عبر. WAN2
****************************************************************
إعداد /حممد املرفدي الصفحة 59من 469
أساسيات فورتي جيت
*******************************************************
النوع الثالث : Volume
مالحظة protocol number:ل ـ ICMPهو 1حيث يمكنك البحث في جوجل عن ارقام protocol
. numbers
تمت عمليه انشاء SLAكما بالصورة ادناه حيث يتم عمل checkعلى جوجل 8.8.8.8ويطلع من
اقل خط منهم ...
حيث بيتم تنفيذ ال ـ slaعلى الخطين wan1 ,wan2عن طريق البينج على جوجل وبيتم تحديد
احسن خط على حسب األرقام املوجودة
ال ـ : latencyيحسب التأخيرفي الخطين wan1 ,wan2والتأخيراألقل بيتم اختياره على انه افضل
خط .
حيث ال ـ latencyهي الوقت الذي يقطعه الباكت()pingمن املصدرالى الهدف(. )8.8.8.8
الــ : jittersيحسب الفرق في الوقت بين الباكت األول والثاني واالقل فارق بيتم اختياره
كأفضل خط .
Jitters=89-88=1
ال ـ: packet lossهذا يقصد به الفقد في البيانات حيث ممكن يكون احدى الخطوط بيفقد
بيانات اثناء االرسال واالستقبال وهذه مهمه في استخدام التلفونات واملكاملات حيث يسبب تقطع
في الصوت حيث الخط الذي فيه فقط في البيانات لن يقوم sd-wanباختياره وسيختارالخط
االخر.
نالحظ عند تفعيل الخاصية أعاله باننا قادرين على اختياراكثرمن كرت عند انشاء الرول بعكس لو كانت
الخاصية غيرمفعله فأننا نستطيع فقط أضافه(اختيار)كرت واحد فقط كما بالصورة ادناه ..
كما بالصورة أعاله سيتم تطبيق رول (سياسه) اسمها full_accessوطبق على منفذ الدخل
Port1والخارج عبر) wan(port2ويطبق فقط على جهازالكمبيوتراملسمى pc1وهذا تم انشاءه مسبقا
،والى أي مكان (.. )all
حيث سوف يصبح لدينا كرت وهمي باسم TOTAL WANكما بالصورة ادناه
مالحظة :ال يمكن حذف ال ـ zoneاذا كانت مستخدمه في أي رول ،لذا لو تريد حذف ال ـ zoneاملسماة
TOTAL WANيجب أوال حذفه من البوليس ي أعاله...
شرح :Schedule
أنواع ال ـ :schedule
: Onetime scheduleيتم تنفيذها مره واحده فقط ثم تلتغي . -1
: Recurring scheduleيتم تنفيذها بشكل مستمر -2
مثال اريد انسخ نفس االعدادات واالوقات ل ـ work_timeوانشائها في scheduleجديده مثال باسم
time2مثال
حيث الخيار Cloneيقوم بنسخ كل العنصروبكل مواصفاته ...
فقط قمنا بكتابه اسم ال ـ scheduleالجديد باسم time2ونالحظ بان األوقات واأليام كما في
ال ـ work_timeكما بالصورة ادناه
حتديد أيام حمدده ووقت حمدد مره واحده فقط وينتهي ... ❖
❖ >Policy&objects>schedules>Create New>schedule >type: Onetime
❖ بداية الوقت :start time:بداية التاريخ >start date :أي اسم تريده>Name:
❖ نهاية الوقت >stop time :نهاية التاريخ> >stop date
❖ : Traffic shapers
هو عباره عن عمليه تحديد ال ـ . Bandwidth
❖ APPLICATION CONTROL
هو عباره عن عمليه تحكم ومراقبه لكل التطبيقات التي سيتم تشغيلها على الشقrبكه
مثال(فيسوك،يوتيوب،جوجل )...حيث عن طريق APP CONTROLممكن اقلل من استهالك االنترنت او
من الثغرات املتواجدة في تلك التطبيقات .
كما بالصورة أعاله يمكنك اختيارال ـ actionاملناسب للتصنيف ...فأذا اردت مثال معرفة على ماذا
يحتوي هذا التصنيف فتقوم باختيارالخيار View Signaturesوسوف تظهرلك البرامج التي تنتمي لهذا
التصنيف ..
حيث ممكن البحث عن برنامج معين لتعرف هل ينتمي لهذا التصنيف وذلك عبركتابه البرنامج في خانه
searchثم ال Enterلتظهرالنتائج ...
: Application overridesممكن بواسطته ان امنع او اسمح لتطبيقات معينه بعكس الخيار -2
األول الذي ال يمكنني ان اختارتطبيقات معينه بتصنيف معين ..
حيث تختار Create Newثم application tabثم تقوم باختيارالتطبيق او التطبيقات املطلوبة ثم ننقر
على الزر ... Add selected
: Filter overridesانشاء تصنيف ( )categoryيكون فيها جميع أنواع التطبيقات التي تكون -3
خطورتها عليه .
مالحظة :
في حالة قمت بتطبيق (تفعيل) الثالثة األنواع أعاله في بروفايل واحد فأنه يتم أوال تطبيق حسب األولوية
Application overrides -1
Filter overrides -2
Categories -3
مثال لو قمنا بالسماح لتطبيق ال Anydeskفي الخيارCategories
وبنفس البروفايل قمت بمنع التطبيق نفسه في الخيار Application overridesفأنه سوف يتم تطبيق
املنع لهذا التطبيق ألن األولوية ل ـ application overrideعن . Categories
ال: ACTION
: Allowالسماح لهذا النوع من التطبيقات -1
: Monitorالسماح لهذا التطبيق مع توليد logs -2
Blockمنع التطبيق مع توليد logs -3
: Quarantineمنع ولكن مرتبط بزمن محدد ..اي ان اليوزرالذي سيحاول فتح تطبيق معين فأن -4
فورتي جيت سوف يقوم بعمل ( banحظر)لهذا االيبي حيث بعدها لن يستطيع هذا االيبي ان يطلع
انترنت ملده معينه يتم تحديدها مسبقا ..
: View Signatureمعرفة التوقيع لهذا التنصيف -5
❖ Web Filter
هي عمليه تحكم ومراقبه مواقع االنترنت التي يحاول املستخدم الوصول اليها وحمايه الشبكة املحلية من
املواقع الغيرموثوقة ....
❖ ما هو الــ: fortiguard
هي عباره عن اشتراك يتم ما بين الفورتي جيت و الفورتي جارد تيم من خالله تم تقسيم URLالى
مجموعات ،
بحيث تتم عمليه التقسيم عندما يقوم صاحب املوقع بإنشاء موقعه فأنه ملزم بأن يقوم بتصنيف
املوقع هل سياس ي او رياض ي او ...الخ
أيضا توجد خوارزميات في الفورتي جارد تعمل على تصنيف ال ـ URLعلى حسب محتوى املوقع نفسه ...
مالحظة :في تصنيف اسمه local categoriesويوجد بداخله نوعين(تصنيفين) هما Custom 1و
custom 2حيث ممكن تخصيص مواقع و أضافته اليها ..
حيث تستطيع أضافه أي مواقع اليها مثال موقع www.bab.comوذلك بالخطوات التالية
************************
Static URL filter
Security profile>web filter>URL filter:enable>Create New>
URL: www.kooora.com
Type:simple
Action:block
Status:enable
OK
حيث ممكن أضافه اكثرمن موقع بنفس القائمة حتى وان كانت بـ actionمختلفة ..
وكما بالصورة ادناه في البوليس ي(الرول) تم اختيارال ـ web filterاملسمى Web-sitesوالتي تم انشاءها
كما بالصورة أعاله ...
اآلن سوف نجرب نفتح املوقع املسمى www.kooora.comعلى جهازالكالينت والذي تم اغالقه كما هو
موضح بالصورة أعاله ..
*************************************************************
content filter
يتم عمل ال ـ actionبحسب املحتوى لهذا املوقع وذلك كالتالي
يعني في حالة تعارض الثالث التصنيفات أعاله فأن األولوية بحسب الترتيب أعاله ...
في حالة اردت ان تطبق الى web filterعلى املواقع httpsفأنه يجب تفعيل خاصيه ssl-certficate
inspection=deep inspectionعند انشاء . policy
web filter بواسطة الsub domain ❖ طريقة اغالق موقع معني باإلضافة اىل
Security profiles>web filter>+>static URL filter >url filter >+create
new>URL:*fcebook.com
Action:block
Ok
وذلك بسبب الشهادة ولتفادي هذه الرسالهhttps عند فتح موقعinsecure connection طهور رساله
نقوم بالخطوات التالية
Security profiles>ssl/ssh inspection>download certificate>
ثم من املتصفح في اجهزه الكالينت نقوم با استيراد الشهادة
Option>privact&security>certificate>view certificates?authorities >import>trusted this
CA to identify websites>ok
. لن تظهرلك مجدداhttps حيث بعدها نغلق املتصفح ونفتحه فأذا فتحت موقع
بعض التمارين واألمثلة حول الــ web filterواستخدام : static URL filter ❖
اغلق الفيسبوك واليوتيوب عن قسم تقنيه املعلومات والسماح لباقي املواقع بشرط عمل
تسجيل ل ـ logsللمواقع :
كما بالصورة أعاله فأن URLممكن كتابتها بأحدى الصيغ التالية :
: Simpleسوف يقوم بتنفيذ مثال ال ـ action=blockعلى املوقع الذي يحتوي على نفس الصيغة
بالضبط(حرفيا) مثال www.facebook.comفلو املستخدم حاول يدخل على املوقع فلو قام اليوزر
بالدخول على login.facebook.comفان موقع فيسبوك سوف يشتغل معه طبيعي وهذا النوع غير
محبب .
: Wildcard
مثال لو كتبت في urlاملوقع *facebook.comفأن اليوزرلو حاول يدخل على أي رابط يحتوي على
facebook.comفأنه سوف يطبق عليه ال ـ. action
كمان ممكن ان تستخدم الطريقة * *facebookفأن أي موقع الرابط له بيحتوي على facebookسوف
يتم تطبيق ال ـ actionعليه ..
أنواع ال ـ : action
إعداد /حممد املرفدي الصفحة 91من 469
أساسيات فورتي جيت
: Exemptيعتبرمثل ال ـ allowأي السماح للترافيك
: Allowالسماح للترافيك ولكن يتم تمريرالترافيك الى بروكس ي سيرفراخر...
: Monitorالسماح مع عمل logللترافيك .
: Blockامنع الترافيك ..
كما بالصورة أعاله تم انشاء web filter security profileباسم IT_DEPيقوم باغالق الفيسبوك
واليوتيوب ..
: Enforce 'Safe Search' on Google, Yahoo!, Bing, Yandexتجبربان عمليه البحث االمن في محركات
البحث جوجل وياهو وبينج وياندكس ..
: Restrict YouTube Accessفلو الخياركان Strictفهذا يعني يتم فقط فتح الفيدوهات التعليميه
فقط في اليوتيوب.
ال ـ : moderateيشغل جميع الفيديوهات ماعدا فيديوهات العري وال ـ pornوغيرها .
: Log all search keywordsعمل تسجيل لل ـ logsلكلمات البحث على اليوتيوب .
: Restrict Google account usage to specific domainsتقيد حسابات جوجل بحيث يمكن
تستخدمها فقط في الشركة في التسجيل بفيسبوك ويوتيوب كما بالصورة أعاله ..
: Restrict YouTube access to specific channelsممكن تحديد قنوات محدده على اليوتيوب فقط
للسماح فيها مثال نسخ رابط القناه
❖ لو اريد مراقبه وتسجيل الــ logsأي موقع يتم تصفحه وذلك كما بالصورة ادناه
..
وال يفضل عمل مثل هذا ألنه يسبب حمل شديد على جهازالفورتي جيت ...
ال ـ category based filterتستخدم لتطبيق actionمعين على تصنيف معين من املواقع(مثال تريد اغالق
كل مواقع الرياضه) ،فبدال من استخدام كتابه كل موقع على حده كما بالطريقة السابقة في Static URl
filterفهذا صعب جدا .
فبواسطة ال ـ web category basedيتم فقط اختيارالتصنيف( )categoryاملطلوب تطبيق ال ـaction
عليه ....
مالحظة :ال ـ FortiGuard category based filterال يعمل على النسخة ال ـVM
التجريبية ويجب شراء ال ـ licenseكما بالرسالة التحذيرية املوضحة أعاله
"Warning: This device is not licensed for the FortiGuard web filtering service.
"
حيث الفورتي جيت مقسم ال ـ categoryالى قسمين :
: Main category -1القائمة الرئيسية مثال Adult/Mature content
: Sub category -2القائمة الفرعية حيث تحتوي كما بالصورة ادناه على 15تصنيف فرعي ...
حيث تم أضافه جروب ال ـ ITفيجب على اليوزراملراد فتح أي موقع تنتمي ل ـ sex educationان يكون
ضمن ال ـ IT groupحيث يجب ان يقوم بإدخال يوزرنيم وباسورد ألي حساب ضمن ال ـ.IT group
حيث ال يمكن عمل quotaاال للتصنيفات املعمول لها Monitorاو Authenticateاو Warningفي
ال ـ ... FortiGuard web category filter
حيث يتم استخدام مواقع التصنيف Online meetingملده ساعتين ونصف ومن ثم ظهور رساله
ال ـ authenticate
أيضا اريد ان اسمح ان يتم فتح مواقع ال streaming media and download
500ميجا فقط ..
تعمل (overrideتجاوز) ألي تصنيف معمول لها blockفي ال ـFortiguard web category
ل ـ groupمعين.
مثال اريد انا اسمح لجروب اسمه IT_Managersبأن يتجاوز غلق مواقع ال ـ Security Riskالذي تم
اغالقه في ال ـ، Fortiguard web categoryوبهذا اليوزرات التي تحت الجروب IT_Managersسوف
يسمح لهم بالوصول الى املواقع املدرجه تحت التصنيف . Security Risk
نالحظ بأنه تم عمل تجاوز -override-لهذا البروفايل للجروب املسماة IT_Managersبحيث يتم تطبيق
ال ـ profileاخرمثال اسمه allow-allعلى اليوزرات التي تندرج تحت الجروب ...IT_Managers
في حالة كان لدينا موقع مثال www.bab.comونفترض بأن املوقع ليس له تصنيف معين او الفورتي جيت
غيرقادرعلى معرفة ال ـ categoryالتي يندرج تحتها .
او ان هذا املوقع موجود في categoryوتريد نقله الى categoryأخرى فأن بواسطة ال ـ Web Rating
Overrideيمكن عمل ذلك .
حيث أي موقع تريد معرفة الى أي تصنيف ينتمي نقوم بالخطوات التالية :
بالنقرعلى الزر Lookup ratingسيتم معرفة التصنيف للموقع www.bab.comولكن نظرا ألني اعمل
ب fortigate vmوال تحتوي على FortiGuard web filtering licenseفأني غيرقادرعلى االستفاده من
هذه الخاصية ..
كما بالصور أعاله يتبين بأن اليوزراملسمى marfadiالذي باألصل ضمن الجروب ال ـIT_Managers
والذي في األصل مطبق عليها web filter profile =IT_Depولكن سيتم
تطبيق ال ـ web filter profile =allow-allفي هذه الفترة الى تاريخ 2020-08-23الساعة . 15:55:00
:ADDRESS
بحسب الصوره أعاله تم انشاء الرول(البوليس ي)باسم allow_allحيث املصدرعنوان باسم PC-Client-
MACوهو عنوان املاك ادرس للجهازالكالينت(.)win 8.1
إعداد /حممد املرفدي الصفحة 111من 469
أساسيات فورتي جيت
❖ Fortinet solution
الفورتي جيت :هو ال UTMاو الفايروول او الجهازالرئيس ي بالشبكة حيث يوجد منه نوعين
هاردويريسمى appliance -1
-2سوفتوير vmحيث ممكن تشتغل عليه على VMwareاو ESXI
وكالهما يقدموا نفس املميزات او الخدمات
❖: Firewall
الفرق بين ال ـ Firewallو Next Generation firewallو UTM
الفايروول :عباره عن مبدا يقوم بتحقيق األمان للشبكات من خالل التحكم ب ال ـ incoming or outgoing
trafficمن خالل قواعد (ٌ)rulesمعموله على هذا الجهاز مسبقا .
حيث الفايرول يوجد منه نوعين
هاردوير :يعتبر اقوى من السوفتوير واكثر ثبات و يحقق مبدا األمان -1
مثل جهاز fortigate firewallمن شركه فورتي نت ،
عائله Netscreen firewallمن شركه جونيبر
منتج ASA firewallمن شركه سيسكو
و أيضا منتج اسمه paloalto firewall
حيث كل واحد مهم له مزيا ونقاط ضعف حيث تختار املنتج املناسب لك للمتطلبات التي تحتاجها وايضا
الدعم الفني ..
إعداد /حممد املرفدي الصفحة 113من 469
أساسيات فورتي جيت
سوفتوير :مثل Zonealarmمن شركه شيك بوينت و pfsenseمن شركه كومودو -2
First generationاو يسمى traditional firewallواحيانا يسمى packet filterألنه يعمل على -2
الطبقة الثالثه ..
يتعامل مع ال ـ IPاال انه في network layer
يستطيع عمل فلتر على مستوى الباكت وأيضا يستطيع عمل NATINGو (VPNربط بين الشبكة الدخلية
وشبكة أخرى)
: Second generationيعمل في الطبقة الرابعة وهي ( ) transport layerحيث يعتبر الجيل الثاني -3
من الفايروول (ال يقصد بها ) next generationألن ال ـ next generationحاجه اعلى من ال ـ second
. generationحيث تم االنتقال من الطبقة الثانية الى الطبقة الرابعة .
: Next generationيسمى اختصارا NGFWحيث -4
في هذا النوع تم التعامل مع الطبقة الساعة ()Application layerحيث بدا التعامل مع على مستوى
التطبيقات وظهر معانا أيضا IPSو bandwidth managementو web filterو ... application filterومن
عيوبه هو البطئ مقارنه باألنواع السابقة ألنه كلما حققت حمايه وامان زياده فانه يكون على حساب
السرعة.
: Bandwidthهو اقص ى عدد للباكت تمر داخل القناه (اي القدرة االستيعابية -1
لهذه القناه) ..
: Throughputهو عدد الباكت التي بيمر حاليا عندما الجهاز يتعامل(يتصل) مع -2
جهاز اخر ...
: Concurrent sessionsهي عباره عم عدد ال )sessions )connectionsالذي -3
يستطيع فيه الفايروول التعامل معها بنفس الوقت .
FortiGate Series
يتم تحديد موديل معين للشراء وذلك بحسب احتياجاتك في العمل وذلك بعد ما تقرا موصفات املوديل
وأيضا يجب ان تحدد احتياجاتك انت
مثال كم لديك خطوط انترنت وكم سرعتهم
وماهي الخصائص او املميزات التي سوف تحتاجها بالشركة عندك.
هل ستحتاج vpnام ال! وان كان نعم كم عدد الناس الذين سوف يعملوا معاك vpn
حيث أي جهاز فورتي جيت يكون في نفس املميزات(الخصائص) أعاله تقريبا ...
إعداد /حممد املرفدي الصفحة 119من 469
أساسيات فورتي جيت
حيث املنفذ lan1يكون مفعل عليه DHCPأي بمجرد توصيل كيبل الشبكة لل ـ port1الى االبتوب الخاص
بك فأن كرت الشبكة في االبتوب سوف يأخذ ايبي من نفس الرينج . 192.168.1.0
بعكس لو قمت بتوصيل الكيبل بين االبتوب و … port2,3,فأنه يجب عليك ان تكتب ايبي لكرت الشبكة
لالبتوب من نفس الرينج 192.168.1.0بشكل يدوي ..
األشياء (املميزات)التي توجد بالفايروول معتمده بشكل رئيس ي على الترخيص(اليسنز) مثل
Antivirus -1
Antispam -2
Web filter -3
Ips -4
وهذه األشياء يجب ان تشتريها وتجددها سنويا من شركه فورتي جيت ..
https://support.fortinet.com
ولن تتمكن من انشاء حساب اال لو كنت مشتري جهاز من شركه فورتي جيت..
حيث عن طريق الرابط أعاله يمكنك عمل تسجيل لجهاز الفورتي جيت التابع لك او عمل تجديد
للترخيص للجهاز(أيضا يمكنك عمل هذا أيضا من خالل صفحة الويب التابع لجهاز الفورتي جيت
نفسه) وأيضا يمكنك تنزيل ال firmwareالجديد او قطع ticketللتواصل مع شركه فورتي في حالة
مواجهه مشكله ما او عمل chattingمعهم ..
ولكي تقوم بالتسجيل يجب ان يكون جهاز الفورتي جيت موصل باإلنترنت .
ما هو :operation modeهي طريقة عمل جهاز الفورتي جيت،حيث الفورتي جيت يعمل في mode 2هما
مالحظة:
جهاز الفورتي جيت ال يحتوي على ازرار إيقاف التشغيل او اعاده التشغيل بل يمكنك ذلك من CLIاو من
. GUI
هي الوظائف التي اجعل جهاز الفورتي جيت يلعبها مثال VPNو AVو IPSو.... IPV6الخ
بعض الوظائف ال تحتاجها في الشبكة عندك مثل IPv6فاألفضل إيقاف هذه الوظيفة ()featuresلكي
نقلل من استهالك مصادر الجهاز( )Ram,HDD,CPUوتزويد عمره االفتراض ي فاألفضل تعمل لها .. OFF
: Core Featuresهي الخصائص الخاصة بالشبكة ليس لها عالقه ب ـ securityمثل advanced -1
routingو IPv6و VPNحيث استطيع تشغيلها بدون ترخيص ( .)license
: Security featuresهي الخصائص الخاصة بالحماية مثل AV,application control,ips,web -2
filter,email filterوهذه الخصائص ال تعمل اال بترخيص
ويمكن تعديل الخصائص من features setواختيار املناسب لك مثال full UTMحيث سيقوم بتشغيل
كل الخائص()features
حيث هنا قمنا فقط بتفعيل الخاصية ولكننا لم نقم بعد بتطبيقها على أي احد بالشبكة (أي تطبيقها
كروول على اليوزرات او االجهزه).
فلو تريد مثال جعل جهاز الفورتي جيت يعمل ك dns serverفأننا نقوم بتفعيل الخاصية DNS
Databaseوليس فقط .dns forwarder
حيث بمجرد ما اعمل revisionsكأني عملت checkpointاو نسخه احتياطيه لإلعدادات وحفظتها على
نفس جهاز الفورتي جيت..
حيث كما بالصورة أعاله تم عمل نسخه باك اب لإلعدادات وتم حفضها على جهاز الفورتي جيت نفسه
...
سيتم استرجاع النسخة باالعدادات التي كانت عليها في تلك اللحظة بعد اعاده تشغيل الجهاز ..
واألفضل كما انك تأخذ نسخه باك اب العادية باإلضافة الى طريقة revisionsبحيث لو تعطل جهاز
الفورتي جيت فأنك لن تستطيع بإخذ باك اب من داخل الجهاز نفسه الخاصة ب ...revision
نقوم أوال بالتأكد بأن الوقت والتاريخ واملنطقة الزمنية على الفورتي جيت مضبوطة حيث سيتم عمل
مزامنه للوقت والتاريخ بين جهاز الفورتي وسيرفر fortiguard ntp serverكل 60دقيقه.
حيث سيتم تفعيل ntp sererعلى املنفذ port1وهو املنفذ الذي موصول عليه الشبكة املحلية لألجهزة
بالشبكة وسيتم توزيع الوقت والتاريخ لألجهزة املتوصله باملنفذ port1
ثم من على اجهزه الشبكة نقوم بتعديل االعدادات لديهم بأن ال ntp serverهو عباره عن ايبي
192.168.2.20وهو port1للفورتي جيت.
كما بالصورة أعاله فأن الفورتي جيت يكون في املنتصف أي بين االنترنت والشبكة الداخلية لذا يسمى
edgeألنه هو اللي يحمي الشبكة الداخليه من الهجمات القادمة من االنترنت..
هناك طرفين واحد امام الفورتي جيت(االنترنت) والطرف االخر خلف الفورتي جيت وهو الشبكة
الداخليه(.) LAN
حيث ال ـ DMZهي شبكة معزولة ومرتبطة بالفورتي جيت لكنها ليست LANوال هي internetهي ما بين
االثنين .
حيث ال ـ DMZمكان بيتم وضع السيرفرات التي على الشبكة املحلية ولكنك تريدها ان تكون متاحه للناس
ان يصلوا اليها من برع الشبكة (أي من خالل االنترنت)
أي ش ي خلف الفورتي جيت يسمى LANمهما كان اسمه سواء سيرفرات او اكسس بوينت او اجهزه عاديه
او سويتشات ..الخ وجميعها سوف تكون تحت سيطرة الفورتي جيت .
مالحظة:
السيرفرات التي ستوفرها على االنترنت مهما كانت الخدمة املقدمه يجب ان تكون خلف الفايرول وفي
DMZلكي تحمي تلك السيرفرات.
نفترض لديك مركز رئيس ي وفرع اخر في مكان اخر وكل فرع يوجد لديه انترنت وايضا يحتوي على جهاز
فورتي جيت .
Advice administration
طرق التعامل مع جهاز الفورتي جيت والتحكم فيه من اعدادات وغيرها ..
): Web GUI(http,httpsيجب ان يكون لديك متصفح انترنت تدخل من خالله بااليبي التابع -1
للفورتي جيت.
): CLI(console,Telnet,ssh,GUI widgetهنا يتم التعامل مع جهاز الفورتي جيت باالوامر -2
command lineباحدى الطرق التالية :
:console – Aتوصيل كيبل كونسول لالبتوب وبواسطة برنامج مثل puttyوبتوصل للفورتي جيت بدون
ماتحتاج الى ايبي الفورتي جيت (حتى لو مش عارف االيبي للجهاز يتم استخدام هذه الطريقة).
:telnet -Bيتم الدخول الى الفورتي جيت عبر برنامج مثل puttyبواسطة ايبي الفورتي جيت من أي مكان
بالشبكة .
: SSH-Cيتم الدخول الى الفورتي جيت عبر برنامج مثل puttyبواسطة ايبي الفورتي جيت من أي مكان
بالشبكة حيث يعتبر نفس ال telnetولكنه اكثر امانا ألنه مشفر .
مالحظة:ال يمكنك الوصول الى الفورتي جيت سواء sshاو telnetعبر برنامج ال ـ puttyاال بعد عمل االمر
Set allowaccess ssh telent
لكرت الشبكة الخاص بالفورتي املراد الوصول اليه ..
: GUI Widget – Dشاشه سوداء مثل CMDيتم الوصول اليها من GUIكما بالصورة ادناه .
❖ طريقة رفع مستوى األمان عند الوصول اىل جهاز الفورتي جيت ..
حيث البورتات االفتراضية حسب الصوره أعاله فاألفضل تغيير ارقام البورتات مثال https:443ويتم
تحويله الى 4433مثال
ولذا عند الدخول الى الفورتي جيت يجب ان تقوم بكتابه البورت كما التالي:
192.168.2.20:4433
وهكذا ..
خيار :5= idle timeoutهذه الخاصية بتجبر الفورتي جيت على عمل logoutبعد مرور 5دقائق وبعدها
تجبر اليوزر بإدخال اليوزرنيم والباسورد مره أخرى كنوع من األمان .
Device administration
: Administratorاألشخاص الذي لهم صالحيات للدخول للفورتي جيت والتعامل معه وعمل اداره
للجهاز وأنواع ال ـ administratorهي:
: Admin profileهي االعدادت التي أقوم بإعدادهاألحدى الـ administratorأعاله لكي يصل اليها ..
اسم ال ـ administratorهو hosamونوعه local userوتم تحديد الباسورد له وأيضا يجب ان تحدد
administrator profileلهذا اليوزر بإحدى األنواع كما ذكرناها أعاله ..
حيث لو تريد ان تقوم بتخصيص custom profileفيجب عليك انشاء أوال custom profileوذلك بحسب
الصوره ادناه
حيث اسم البروفايل هو show_onlyوله صالحيات القراءه فقط على كل األشياء(األشياء )التي سوف
اتعامل معاها كما بالصورة أعاله ..
حيث صالحيه ال noneمعناها بأن هذه الشاشة لن تظهر نهائيا لليوزر.
و : readللقراءه فقط وال يمكنك التعديل عليها ،
و : read/writeيمكنك التعديل على الشاشات ..
االن سوف ندخل للفورتي جيت من خالل اليوزر الذي أنشأناه سابقا
نالحظ بان الشاشات بهذا اليوزر هي read onlyوال يمكن لهذا اليوزر التعديل ...
سوف نقوم بإنشاء بروفايل جديد باسم Yasser-itحيث تم إخفاء عنه بعض الشاشات مثل security
fabricو ، fortiView
كما تم تحديد صالحيه read/writeبعض الشاشات وتخصيص بعضها كما بالضور ادناه :
سيتم الدخول لهذا اليوزر بالصالحيات والشاشات التي تم تحديدها بالبروفايل . Yasser-it
❖ مالحظة :
ممكن تعطي يوزر معين بأن يكون له صالحيات لـ vpn connectionبالشركة فقط فلذا ليس له داعي ان
يفتح كل الصالحيات ويعدل عليها وبهذا انا رفعت مستوى األمان وقمت بعمل تخصيص لألعمال ..
➢ ما هو : Trusted hosts
هذا الخيار معناه قم بتقييد اليوزر املسمى Yasserبأنه ال يمكنه الدخول الى الفورتي جيت اال عن طريق
اجهزه معينه (جهاز موثوق فيه)مثال احدد جهاز معين عندي بالشبكة فقط وليكن
255.255.255.255/192.168.2.140حيث لو حاول هذا اليوزر بالدخول الى الفورتي جيت من أي جهاز
اخر فأنه لن يستطيع ذلك .
أي ان اليوزر Yasserلن يستطيع الدخول الى الفورتي جيت اإل من الجهاز 192.168.2.140حتى وان كان
لديه اليوزر نيم والباسورد ..
فلو قمت بتغيير ايبي الجهاز الى 192.168.2.160بدال عن 192.168.2.140فان اليوزر Yasserال يمكنه
الدخول الى الفورتي جيت بالرغم من ان اليوزر نيم والباسورد صحيحين ..
حيث بتوضح اسم ال ـ interfacesونوعه وااليبي وطريقة الوصول اليه)... )administrative access
حيث في ال ـ vmيتم تسميه ال ـ interfacesب portويمكن التعديل على تلك األسماء كما تريد ،
اما بجهاز الفورتي الحقيقي يكون اسمه internalاو wan1او wan2او . dmz
فعندما تريد ضبط اعدادات interfaceمعين وليكن port1فأننا ننقر عليه نقرتين فتكون كما بالشكل
التالي
اسم ال ـ interfaceهو port1ويمكن عمل له aliasباي اسم تريد ان تعبر عن هذا املنفذ مثال lan1ونحدد
طريقة تحديد(تعيين) االيبي للـ interfaceهل manual or dhcp
حيث يفضل في ال ـ lanيكون manualاما لل ـ wanيكون dhcp
ونالحظ بأن طريقة الوصول كما بالصورة أعاله لهذا interfaceعن طريق https http ping telnet ssh
اما خيار secondary ip addressفهو في حالة تريد إعطاء ال ـ interfaceاكثر من ايبي حيث يمكنك الوصول
اليه بأي ايبي منهم..
حيث نقوم بالدخول على جهاز الكالينت 192.168.2.140ونظيف لكرت الشبكة ايبي إضافي من نفس
الرينج مثال 10.0.0.140
كما بالصورة أعاله تمكنا بالدخول الى الفورتي عبر االيبي 10.0.0.20طبيعي جدا ..
تم تحديد بأن تعيين االيبي للبورت port2سيكون من خالل dhcp server
طريقة لجعل جهاز الفورتي جيت يطلع الى االنترنت(يحصل على االنترنت).
جهاز الفورتي جيت يجب ان يكون واصل له انترنت لكي يحصل على التحديث من الفورتي جارد -3
فبدون انترنت ال يمكن للفورتي جيت تجديد االيسنز وال يستطيع تحديث قواعد بيانات كل من الAV
و IPSو Web filteringو ...الخ
الفكره في static routeهي عمليه توجيه البيانات من الشبكة الداخليه( )lanالى االنترنت ...
أوال نقوم بتعيين ايبي لكرت ال ـ wanمن نفس رينج الروتر او نجعله يأخذ من . DHCP
ثم نتأكد فقط من اعدادات ال ـ dnsللفورتي جيت بالرغم ان بشكل افتراض ي تكون مفعله fortiguard
DNS
بعدها ندخل الى cliونختبر هل جهاز الفورتي حصل على االنترنت ام ال
Execute ping google.com
كما بالصورة أعاله توضح بأن الفورتي جيت حاصل على االنترنت حاليا...
ثم الدخول في وضع الصيانة( )maintainerنقوم بتعين باسورد جديده ليوزر ال ـadmin -2
حيث في هذا الوضع سوف اكتب اليوزرنيم هو maintainer
والباسورد هو السيريال الخاص بجهاز الفورتي جيت
ثم اكتب األوامر التالية :
مالحظة:هذه الطريقة يجب أن يكون maintainer modeيكون enabledلكي استطيع ان اطبق هذه
الطريقة وللعلم هذا ال modeمفعل بشكل افتراض ي فلو قمت بجعلها DISABLEDفلن تتمكن من تطبيق
هذه الطريقة ..
مالحظة:في شاشه ال maintainer modeيعطيك فقط 14ثانية فقط إلدخال اليوزرنيم والباسورد لذا
يجب ان تكون سريع في كتابه maintainerوالباسورد ..
: Password policyسياسه اعدادات الباسورد عند الوصول للفورتي جيت مثال يوزرنيم adminحيث
ممكن الباسورد له 123وهذا غير آمن ويجب ان تكون اكثر تعقيدا
لذا يجب ان تفرض على الفورتي جيت ان يجبر ال ـ administratorان يقوموا بتعيين باسوردات معقده
نالحظ كما بالصورة أعاله بأنه عند مطالبتي بتعيين الباسورد تم االشاره الى تعقيدات الباسورد ..
مثال :
M@rfadi123
كيف تفعيل DHCP serverعلى الفورتي جيت حبيث االجهزه بالشبكة ❖
تأخذ االعدادات () DNS،Gateway،IPمن جهاز الفورتي جيت :
: Dhcp clientهي ال ـ serviceالتي بتتيح لك بأن تستفيد من خدمات السيرفر ()Dhcp serverحيث يجب ان
تكون startedو enabledفي جهاز الكالينت(.) by default
حيث بمجرد ان تقوم بتفعيل الخيار Obtain an IP address automaticallyفي كروت الشبكةالجهزه
الكالينت فأن ال dhcp serverسيقوم بتوزيع االعدادات كما بالصورة أعاله اما في حالة عدم وجود
dhcp serverشغال بالشبكة فأن اجهزه الكالينت ستأخذ ايبي من apipa(automatic private ip
) addressوهذا رينج من االيبيهات يبدا من 169.254.255.254- 169.254.0.1حيث سياخذ الكالينت هذا
االيبي الى ان يصبح ال dhcp serverمتاح بالشبكة ويوزع ايبي للكالينت ..
حيث ساقوم بتفعيل الـ dhcp serverفي جهاز الفورتي جيت على ال ـ lan1 interfaceألن هذا الكرت الذي
متوصل بالشبكة الداخليه لكي يوزع االعدادات لكل اجهزه في الشبكة الداخليه ...
مالحظة :
وأيضا الرينج من االيبيهات التي سيتم توزيعها سوف تكون 192.168.20.254-192.168.20.21حيث كل
اجهزه الكالينت سوف يكون االيبي التابع لها من نفس هذا الرينج ..
Ipconfig /release
معناها افقد (تخلص)من االيبي اللي عندك (على جهاز الكالينت)
حيث يصبح كرت الشبكة للكالينت بال أي ايبي وال أي اعدادات.
في حالة اردت ان تعرف ماهي األجهزة التي اخذت اعدادات من ال dhcp serverعن طريق الفورتي جيت
نقوم بالدخول كما بالصورة ادناه.
حيث اسم الجهاز الكالينت هو pc1واملاك ادرس موجود وااليبي الذي اخذه هذا الجهاز وأيضا leased
duration
القيمة االفتراض ي ل ـ leased durationهي 7أيام حيث يمكن تعديل هذه القيمة من خالل CLIفي الفورتي
جيت كما بالتالي:
حيث الهدف من تعديل الفترة (القيمة)هو تقليل ال trafficما بين الكالينت والسيرفر حيث في الغالب
اجهزه الكالينت من نوع PCمش محتاج ان تقوم بتغيير االيبي كل فتره وأخرى ألن تلك االجهزه ثاتبه في
الشركة بعكس اجهزه املوبايل و االبتوبات التي ممكن تتغير كل فتره وفتره..
لذا بحسب السيناريو عندك بالشركة فلو كانت اجهزه pcفاألفضل ان تقوم بزياده فتره leased
durationلكي نقلل من ال ـtraffic
وفي حالة اردت ان تكون الفترة غير محدودة فنكتب القيمة 0
ثم سنقوم بتنفيذ االمر ipconfig /renewعلى جهاز الكالينت وسنالحظ بأنه تم تعديل ال leased
duration
بعد كتابه االمر ipconfig /allفي جهاز الكالينت ظهرت كل املعلومات لهذا الجهاز (ip,mac address
) ,subnet mask,gateway,dns, leased obtained,leased expires
وأيضا كما بالصورة أعاله من الفورتي جيت بأن ال leased durationهو 3اشهر..
نقوم بالدخول الى dhcp Monitorثم نحدد الجهاز املراد تخصيص ايبي محدد وليكن مثال
192.168.2.21ومن ثم نختار التبويب املسمى Reservation
ثم createثم
نالحظ بأن الجهاز الكالينت املسمى pc1كان اخذ ايبي 192.168.2.21واالن سوف نجعله دائما يأخذ
االيبي192.168.2.121
تم تحديد بأن الجهاز PC1صاحب املاك ادرس أعاله يجب تخصيص له االيبي . 192.168.2.121
Ipconfig /renew
او اعداه تشغيل للجهاز او disableو enableلكرت الشبكة فسنالحظ بان الجهاز اخذ االيبي
192.168.2.121كما تم تحديده.
وايضا في الفورتي جيت نالحظ بأن الجهاز اخذ reservedكما بالصورة ادناه االيبي192.168.2.121
و وظيفته هي تحويل من االسم الى االيبي او العكس ،عند طلب موقع معين مثال www.bab.comفأن
ال ـ dnsيقوم بعمل resolveمن االسم الى االيبي ألن الشبكة-األجهزة -ال تعرف تتعامل مع األسماء بل مع
االيبيهات فقط..
فلوا اردت معرفة االيبي ألي جهاز كمبيوتر او ألي موقع فأننا نقوم بعمل بينج وهو سيظهر لك االيبي
لهذا الجهاز او املوقع
Ping bab.com
حيث لو كانت ال databaseموجودة على جهاز الفورتي جيت فهذا يعمل كdns server
ام الخيار dns forwarderفهذا يعني بان الفورتي جيت ال يوجد لديه databaseلـ dnsولكنه بيسال dns
serverاخر .في حالة يوزر طلب موقع مثال ياهو فأن الفورتي جيت اكيد غير مخزن ال databaseلكل
املواقع بالعالم لذا سيتم بتحويل الطلب الى dns forwarderالذي قمنا بأعداده سابقا 8.8.8.8 , 8.8.4.4
اما ان قام يوزر بطلب الوصول الى طابعه او أي resourcesبالشبكة فأن ال databaseتكون موجودة و
مخزنه على الفورتي جيت وهنا سوف يكون . dns server
الخالصة:
لو أي احد سال ال ـ dnsالتابع للفورتي جيت عن أي ش ي غير موجودة عنده على ال ـ databaseفأنه سوف
يقوم بتحويله الىdns forwarder
8.8.8.8 ,8.8.4.4
FortiGuard Concept
الفورتي جارد (FDN):هي عباره عن شبكة كبيره مسؤوله عن توزيع التحديثات الخاصة ب ـ
Ips -1
App Control -2
Antivirus -3
Web filtering -4
Email filtering -5
Vulnerability scanning -6
Message services -7
حيث بمجرد ما تشتري جهاز الفورتي جيت تقوم بعمل تسجيل على fortiguardلكي يصل اليك التحديثات
لالشياء أعاله حيث انها خدمه سنويه حيث بعضها خدمات اختياريه ممكن تشترك فيها وممكن ال مثل
messaging service
: Ipsيحتوي على حلول لتهديهات او الهجمات attackحيث يقوم IPSباكتشاف هذا النوع من أنواع
الهجمات من خالل سلوكها بغض النظر نوعه او اسمه ويعمل لهBlock .
:App controlعباره عن نظام موجود على جهاز الفورتي جيت تقدر من خالله التحكم بأكثر من 1000
تطبيق على اجهزه الكالينت
:Antivirusعباره عن نظام موجود على الفورتي جيت ويحتاج الى اليسنز لكي يتمكن الجهاز من عمل
التحديث من الفورتي جارد
:Web filteringيقوم بتوفير خدمه web categoryحيث يحتوي على اآلف التصنيفات( تحتوي على
ماليين املواقع)مثال لو تريد اغالق كل املواقع التابعه للرياضه فأنك بمجرد اختيار ال category sports
سيتم اغالق جميع املواقع الرياضية بالشبكة لديك..
:Email filteringيحميك من االسبام وغيرها لكي يحميك من الهجمات التي تأتي من خالل االيميالت
: Messaging serviceتعطيك رسائل تحذيريه لإليميل و smsلكي يصل اليك عند وصول هجوم معين.
حيث الخدمات الثمانيه املذكورة أعاله لو تقم بتجديدها فأن جهاز الفورتي جيت سوف يعمل كروتر
و vpnلكن ك security profileلن يعمل اال بتجديد االشتراك في الفورتي جارد
حيث يوجد عالمات توضح حالة الخدمات التي لديك كما بالشرح ادناه :
الرمادي :بأنك مشترك بالخدمة ولكن يوجد مشكله باالتصال مع الفورتي جارد فييجب ان تحل لها
حيث بمجرد اقتراب موعد انتهاء االشتراك تقوم شركه فورتي جيت بأرسال ايميل بقرب انتهاء االشتراك..
وتقدر تعمل تحديث )(Manualمن خاللها للخدمات التي موجودة لديك ومتى اخر تحديث حصل ..الخ
فلو اردت ان تقوم بعمل تحديث من ال ـ FDNا تلقائي بمجرد وجود تحديث جديد بشرط ان يكون جهاز
الفورتي جيت متصل باإلنترنت نقوم بالخيار التالي:
ولو تريد ان تعمل تحديث االن نقوم بالنقر على الزر Update AV&IPS Definitionsحيث ينفع هذا
الخيار في حالة جهاز الفورتي جيت كان متوقف عن التحديث ألي سبب فتريد ان تقوم بتحديثه حاال...
وبعد كذا سوف يقوم بتنزيل أي تحديث جديد بشكل اوتوماتيكي ألن الخيار االخر قمنا بتفعيله
او يمكنك تحديد أوقات محدده لعمليه التحديث من ال FDNوذلك بتفعيل الخيار
Schedule updates
ولكن األفضل جعل الخيار allow push updatesلكي يقوم بتنزيل التحديث بمجرد وجود تحديث جديد
علىFDN .
الكاش هو التخزين،
حيث جهاز الفورتي جيت بيستلم طلبات كثيره من االجهزه املوجودة بالشبكة الداخليه ملوقع معين او
على ايبي معين ترسل له ايميل فالذي يحصل كاالتي ان جهاز الفورتي جيت بيتصل مع ال ـ FDNبيقول له
لدي طلب وصل لي بخصوص املوقع الفالني هل املوقع هذا في القائمة السوداء او يوجد فيه مشكله فأن
في كال الحالتين يجب ان يقوم ال ـ FDNبالرد على جهاز الفورتي جيت حيث هذه املعلومة ستصل الى
جهاز الفورتي جيت وبدوره جهاز الفورتي جيت سيقوم بتوصيلها لجهاز الكالينت سواء BLOCKاو
ALLOWحيث يقوم جهاز الفورتي جيت باالحتفاظ بهذه املعلومة عنده ملده 60دقيقه كما بالصورة
أعاله..
حيث لو أي جهاز كالينت طلب نفس املوقع خالل تلك الفترة فأن الفورتي جيت ال يقوم بالذهاب الى
ال FDNمره أخرى بل جهاز الفورتي جيت هو الذي يرد على جهاز الكالينت مباشره فبذلك قمنا بتوفير
الترافيك والوقت بين الفورتي جيت وال ـ FDNوبهذا يتم زياده سرعه الشبكة لدي.
حيث يمكن تعديل تلك القيم من 5دقائق الى يوم كامل فقط..
FortiExplorer
هو عباره عن تطبيق نستطيع بواسطته عمل اداره االعدادات األساسية فقط لجهاز الفورتي جيت
سواء بواسطة ال ـ webاو بواسطة ال ـ CLIمن خالل منفذ USB managementالتابع لجهاز الفورتي
جيت ،حيث هذا املنفذ موجود في بعض اجهزه الفورتي جيت وليست جميعها.
حيث تقوم بتوصيل منفذ USB MGMTباالبتوب ومن ثم بواسطة التطبيق fortiExplorerالذي يمكنك
تنزيله مجانا.
يمكن عن طريقة عمل تغيير للباسورد الخاص بال ـ administrator .واختيار املنطقة الزمنية وإعدادات
كروت الشبكة ...الخ
حيث بعد تنزيله على الكمبيوتر( االبتوب)املوصل بمنفذ ال ـ USB MGMTسوف يظهر لك البرنامج على
شكل wizardحيث تقوم باإلعدادات األساسية فقط..
مجموعة من القواعد تتحكم في الترافيك اما بالسماح او املنع) (allow,denyأي انك تستطيع التحكم
بالترافيك من internal to externalاو العكس او من vpn to internalو يمكنك التحكم
بالخدمات )(servicesاو تريد ترافيك يمر في وقت معين وترافيك في أوقات أخرى يتم منعه ...الخ كل ذلك
يتم عن طريق البوليس ي..
أي امنع أي ترافيك يخرج الى أي مكان لذا ال يمكن ألي ترافيك ان يمر اال لو قمت بعمل بوليس ي تسمح
بذلك...
تكون موجودة بشكل افتراض ي بكل فايروول وال يمكن حذفها ابدا او التعديل عليها...
شرح البوليس ي االفتراضية ( )Implicit Denyاملشار لها باللون األحمر بالصورة أعاله ..
لو في أي sourceورايح الى أي Destinationفي أي وقت وبأي خصائص و servicesقم بمنعها .
إعداد /حممد املرفدي الصفحة 179من 469
أساسيات فورتي جيت
أي امنع كل ش يء .
لكي تقوم بإنشاء أي بوليس ي يجب ان تقوم أوال بإنشاء مجموعة من العناصر حيث العناصر هي التي
بتتكون منها البوليس ي حيث تسمى هذه العناصر ب ـ objectsحيث تصنف الى صنفين احدهما ضروري
وال غنى عنها واألخرى اختياريه.
تم إعطاء اسم للكرت باسم vlan1وعنوان له مثال virtual interface 1ونوعه Vlanأي انه كرت وهمي
وليس حقيقي لذا يجب ان يكون جزء من كرت حقيقي(ابن من الكرت الحقيقي ) ولذ تم اختيار LAN1
وبعدها تم إعطاء الكرت االيبي 192.168.3.100/255.255.255.0واعطائها administrative access
ل ـ https pingحيث بعد ذلك يصبح هذا املنفذ املسمى VLAN1كانه منفذ حقيقي ويمكن تطبيق عليه أي
بوليس ي
لذا في حالة انشاء البوليس ي فأن ال ـ objectاملسمى interfaceممكن يكون physical interfaceاو VLAN
او ANYأي حاجه..
Address :الناس التي حيتم تطبيق البوليس ي وينقسموا الى األنواع -1
التالية:
Sechdual :متى تريد تطبيق هذه البوليس ي!! هل في أوقات معينه -3
او مره واحده فقط فلو اخترت الخيار Alwaysيعني باي وقت.
: Nameاسم البوليس ي
: Source
حيث اجهزه الشبكة املحلية سوف يكون ال Gatewayلهم هو 192.168.2.20وهو نفس ايبي كرت
الشبكة LAN1في الفورتي جيت.
حيث ال يمكن ألي جهاز من اجهزه الشبكة املحلية ان يطلع الى خارج الشبكة اال عن طريق هذا االيبي.
كما بالصورة أعالهألحد اجهزه الكالينت في الشبكة الداخليه الذي يوضح اعدادات كرت الشبكة من
ايبي وبوابه افتراضيه وDNS ..
توجيه الترافيك من LAN1الى WAN1و اسمح ألي عنوان ان يخرج الى أي عنوان وبأي وقت وبأي خدمه
سواء httpاو https ...الخ.
يجب ان تقوم بتفعيل الخيار NATألنه طاملا أي شبكة تريد ان تتواصل مع شبكة أخرى ب ـ subnet
مختلفه فالزم يكون هناك عمليه ال ـ NATلذا يجب تفعيل هذا الخيار لكي يعمل NATبين الشبكة
الدخلية) (LANوبين االنترنت(WAN)..
ثم موافق...
مالحظة :أي جهاز في الشبكة املحلية سوف يحصل على االنترنت بمجرد انشاء هذه الرول.
وكما بالصورة أعاله نقوم بتفعيل هذا البوليس ي فلو قمت بعمل disableلهذا الخيار فأن هذه البوليس ي
ستكون موجودة ولكن غير مفعله فلذا لن يتم تطبيقها .فلو انت ال تريد حذف البوليس ي بشكل نهائي بل
ال اريد تفعيلها فاننا نقوم بعمل الخيارEnable this policy=off .
Firewall objects
هي مجموعة العناصر التي أقوم بأنشائها لكي يتم اختيارها في البوليس ي.وهذا ما تم ذكره سابقا...
: Address
نالحظ بالصورة ادناه بأن هناك مجموعة من العناوين التي موجودة بشكل افتراض ي..
: Subnet
الطريقة األولى:
الطريقة الثانية:
192.168.2.144/32او192.168.2.144/255.255.255.255
نالحظ بأن العنوين املضلل يعبر عن جهاز معين اسمه pc1وله ايبي192.168.2.144 .
الطريقة الثالثه:
نالحظ بان كل العناوين وبكل األنواع موجودة التي أنشأناها كما بالصورة أعاله.
فعند انشاء البوليس ي(الرول )وعند اختيار ال ـ source addressو destination addressفأنه يظهر لنا
العناوين التي قمنا بانشائها سابقا
فان فقط الجهاز صاحب االيبي 192.168.2.144/32هو الذي سيستطيع ان يحصل على االنترنت فقط
من اجهزه الشبكة الداخليه..
: Ip range
يعبر عن مدى معين من االيبيهات( من -الى)وأريد ان اخصصه لكي أقوم بتطبيق بوليس ي معينه عليه.
على سبيل املثال لدينا رينج ايبهات مخصصه للسيرفرات من192.168.2.1 -192.168.2.30
: FQDN
بيتم استخدامه من اجل الويب سيرفر (خارجي) او ويب سيرفر داخل الشبكة او يمكن استخدامه في load
balancingحيث سوف نقوم بإنشاء FQDNملوقع معين لكي استطيع االتصال به عبر االسم بدال عن
االيبي
www.marfadi.com
marfadi.com
*.marfadi.com
مثال لديك موظفين موجودين في مصر ويدروا الدخول الى الشبكة الداخليه التي عندي عبر الفورتي
جيت بواسطة ال ـvpn
حيث قمت بعمل بوليس ي وتقول فيها انا اريد فقط ال ـ VPN Clientsالقادم من مصر فقط فلو أي
شخص حاول الدخول من دوله أخرى فلن يقدر ألني حددت العنوان باملنطقة( مصر
او مثال سمعت عن هجمات الكترونيه من دوله معينه فتقوم بإنشاء عنوان بحسب املنطقة تلك ومن ثم
تعمل بوليس ي تمنع فيها املنطقة املحدده.
حيث ساقوم بإنشاء جروب باسم Group1واختار منها أي عنوان اريده من العناوين التي قمت بإنشاء
ها سابقا لكي اطبق عليهم ش يء معين..
نالحظ بان العنوان pc1معمول له visibleلذا سوف يكون متاح في البوليس ي كما بالصورة التالية:
لذا عند محاوله اختيار العنوان pc1في البوليس ي فانه لن يظهر أصال
مثال العنوان pc1في عمود ال ـ interfaceغير مكتوب فيه أي ش يء فهذا يعني بأن العنوان pc1مرتبط مع
any interfaceاي سوف يظهر ألي interfaceسواء lanاوwan .
نالحظ بالصورة أعاله بأن PC-Client-MACلم يظهر في Destinationألن ال ـ Outgoing interface =wan
لذا لن يظهر ال PC-Client-MACاال ان كان outgoing interface =lan1ألني في األساسرابط العنوان
PC-Client-MACمع ال ـinterface =lan1 .
الخالصة:
العنوان لو تم ربطه بال ـ interfaceنوعه anyفهذا يعني بان هذا العنوان سيظهر في كل ال ـinterfaces .
اما لو تم ربط العنوان بال ـ interfaceمثال LAN1فهذا يعني بأن هذا العنوان لن يظهر اال مع ال ـ interface
Lan1فلو تم اختيار ال ـ interface =lan2مثال فأن هذا العنوان لن يظهر..
Outgoing interface=Destination
: Refعمود فيه ارقام يدل على ربط (استخدام)هذا العنوان مع أشياء في الفورتي جيت سواء مع بوليس ي
او جروب او غيرها ...
نالحظ بأن العنوان pc1ال ـ ref=2وهذا يدل بأن العنوان مرتبط مع 2أشياء فبمجرد النقر على العدد 2
يقتح لك مكان الربط
عند النقر على ال ـ )policy(1ثم Editسوف يظهر شاشه ال ـ policyكما بالصورة التالية:
Services
حيث كل بروتوكل يسخدم بورت معين حيث من 1-1024هذا ارقام بورتات محجوزة لألعمال القياسية
ومن1025- 65535
لو قدرت تتحكم في البروتوكوالت والبورتات فأنك تستطيع التحكم بالتطبيقات التي يستخدمها
املستخدم..
Accept or denyللترافيك
حيث تظهر لك كل السيرفيس املوجودة بالفورتي جيت بشكل افتراض ي حيث تم تقسيم البروتوكوالت
بشكل تصنيفات كما بالصورة ادناه.
حيث توضح التصنيف مثال ويب اكسس او ايميالت او ريموت اكسس ..الخ وماهي البروتوكوالت املدرجه
تحته وكم ارقامها
الصوره أعاله توضح التصنيف الخاص بالوصول عن بعد وماهي البروتوكوالت وأرقام البورتات
املتسخدمة في هذا التصنيف.
Services -1
: Service groupمجموعة من الـ servicesسوف تقوم بتطبيق بوليس ي معينه عليهم حيث -2
تعتبر كنوع من التنظيم .
: Categoryمجموعة من الـ servicesتتشابه في نفس الخصائص مثل categoryخاصه -3
بـ web accessالخاصة بتصفح االنترنت حيث تحتوي على httpو httpsاو الخاصة باستقبال
وارسال االيميل
مثال اريد انشاء servicesلجهاز ال ـ DVRحيث اريد تخصيص بورتات معينه للتعامل مع هذا الجهاز :
TCP : Protocolيكون اكثر موثوقية ولكن بطئ مقارنه بالبروتوكول UDPالذي يعتبر اقل موثوقية واكثر
سرعه ..
UDPيستخدم لنقل البيانات التي تحتاج الى سرعه وال تهتم بالوثوقيه(يعني في حالة نقصان او ضياع
البيانات في االرسال فأنه ال يقوم بإعادة االرسال مره اخرى بعكس ال ـ )TCPمثل الصوت والفيديو وغيرها
ومن اشهر البروتوكوالت التي بيتعامل مع UDPهي ( )DNS-VOIP-NTP-media stream protocols
كما بالصورة أعاله تم انشاء serviceباسم NVRوسوف تندرج تحت التصنيف Uncategorizedونوع
البروتوكول سوف يكون UDPوالبورت االفتراض ي ألغلب اجهزه ال ـ NVRتكون 10000حيث اخترنا نوع
البروتوكول UDPألننا سوف ننقل بيانات من نوع streamingأي فيديو وصوت ..الخ
وايضا اجهزه ال ـ NVRتستخدم ال ـ ipوهذا يحتاج الى البروتوكول TCPوالبورت أيضا .. 10000
حيث قمنا بتحديد بأن ال ـ nvrسوف يكون هدف( )Destination Portوليس مصدرأي اننا لو اردنا
الوصول الى جهازال ـ nvrسوف يكون على البورت 10000
اما لو اردنا ان نقوم بتحديد اكثرونريد ان نقوم بإخراج جهازالـ nvrمن بورت معين فأننا سوف بتفعيل
الخيار .. Specify Source Ports
وبهذا قمنا بإنشاء مجموعة اسمها Marfadi_groupتحتوي على مجموعة من ال ـ serviceكما باالصوره
أعاله ..
:Schedule
هي عباره عن احدى العناصرالتي سيتم اختيارها عند انشاء البوليس ي .
ألن بعض األحيان اريد ان أقوم بتطبيق البوليس ي في وقت معين او حدث معين .حيث ال يمكنك ان تنش ى
بوليس ي بدون تحديد ال ـ scheduleحيث القيمة االفتراضية له هي alwaysيعني ان هذا البوليس ي سوف
تطبق بشكل دائم.
: Recurringبوليس ي سوف تطبق بشكل متكرر مثال اريد تطبيقها كل أسبوع او كل يوم او كل يوم -1
معين او مريتن باألسبوع ..الخ أي ان العملية متكرره .
: One-timeبوليس ي سوف تطبق مره واحده و في وقت محدد فقط . -2
حيث نالحظ بأنه يوجد لدينا 3قيم افتراضيه من ال ـ scheduleكما بالصورة ادناه
اما الخيار noneوهذا معناها بان ال تقوم بتطبيق البوليس ي وكأنك عملت في ال ـ action=denyأي ال احد
سوف يتم تطبيق هذه البوليس ي عليه ..
كما بالصورة أعاله يوضح بأن الخيار alwaysسيتم تطبيقه في كل األيام وفي كل األوقات من 00:00:00
الى 00:00:00
اما الخيار noneفهذا يعني بأنه لن يتطبق بأي يوم و ال في أي وقت .
مثال سوف أقوم بإنشاء scheduleباسم work_timeأي أوقات العمل بالشركة :
االن سوف نقوم بإنشاء scheduleباسم updateحيث لن تعمل اال مره واحده وبتاريخ معين ووقت
معين
النوع One-timeيستخدم في حالة كان لديك في الشركة اجتماع في تاريخ معين مره واحده ويحتاجوا
يفتحوا مثال موقع معين وليكن اليوتيوب فأننا سوف أنش ئ هذه ال scheduleواختارها في البوليس ي
حيث هذه البوليس ي سوف يتم تطبيقها مره واحده وبيوم واحد فقط ولن تتكرر ..
االن بعد انشاء ال ـ scheduleسوف نختارها عند انشاء البوليس ي ما نريده هل
: always,none,work_time,update
نفترض بأن لدينا شركه مواعيد العمل فيها من 8ص الى 3عصرا كل يوم ماعدا الجمعه ➢ ..
يعني نريد االنترنت على اجهزه الكالينت يكون فيها متاح خالل دوام العمل فقط ..
اما في السيرفرات يكون االنترنت طوال الوقت .
الحل :
– 1انشاء عنوان باسم subnet1تحتوي على رينج الشكبه الداخليه كامله
()255.255.255.0/192.168.2.0
– 2السيرفرات سوف نقوم بعمل ايبيهات استاتيك حيث سيتم انشاء عنوان باسم server1بايبي
. 192.168.2.122
– 3انشاء scheduleباسم work_timeحيكون أوقات العمل .
– 4انشاء 2بوليس ي التي سوف تنفذ مانريده أعاله ...
الحل :
تم انشاء scheduleباسم work_timeمسموح فيها من 8صباحا الى 3عصرا لكل أيام االسبوع ماعد
الجمعه ..
اآلن سوف نقوم بإنشاء البوليس ي باسم allow_internet
كما
بالصورة أعاله توضح البوليس ي allow_internetبانه سوف يسمح االنترنت ل ـ ( subnet1التي ستكون
هي اجهزه الكالينت )في أوقات العمل من السبت الى الخميس ( 8صباحا 3-عصرا)فقط .
سوف نظيف بوليس ي أخرى باسم allow_internet_for_serverوالتي ستسمح فيها للسيرفرات بأن تصل
الى االنترنت في كل أوقات األسبوع كما بالصورة ادناه
حيث العنوان server1تم إعطائه االيبي 192.168.2.122ولذا فقط السيرفرصاحب هذا العنوان
سوف يكون لديه انترنت طوال اليوم حيث نالحظ بان ال ـ . schedule =always
❖ Policy order
عباره عن ترتيب البوليس ي ..
حيث أحيانا بيحصل تداخل في البوليس ي( )overlapحيث بمجرد انشاء البوليس ي فأن الفورتي جيت
بيعطيها رقم يسمى .. policy id
حيث البوليس ي يتم تطبيقها أوال بحسب ال ـ ( policy idمن فوق الى تحت).
حيث اول بوليس ي يكون رقمها 1ثم 2ثم .... 3الخ ولتفادي تداخل البوليس ي يتم ترتيب البوليس ي يدويا
وذلك بسحب البوليس ي الخاصة لألعلى ..الخ.
دائما تقوم بترتيب البوليس ي بحيث تكون البوليس ي الخاصة باالعلى والبوليس ي العامه تحت وهكذا ..
مثال :
سوف نقوم بإنشاء 2بوليس ي واحده خاصه(األكثرتعقيدا) وواحده عامه
العامه :نمنع عمليه ال ـ pingلكل ال ـ ( subnetالشبكة الداخليه)
الخاصة:اسمح لجهاز server1ان يعمل ال ـ. ping
بحيث تصبح البوليس ي األكثر(تعقيدا)(الخاصة)هي التي في األعلى والبوليس ي العامه في األسفل ..
حيث اآلن الجهاز server1لو حاول يعمل ping 8.8.8.8 –tسوف تنجح العملية ..
اما باقي االجهزه في ال ـ subnet1سوف لن يقدروا ..
نالحظ اول رول (بوليس ي) اسمها privateوبتقول بأن الجهازاللي اسمه server1يمكنه ان يعمل ping
وهذا صحيح ..فلو قمت بعمل بينج الى أي موقع من الجهاز server1فانه سيتمكن من ذلك ..
لكن ملا ان حاولت ان تفتح أي موقع سواء www.google.comاو غيره فأنك سيتمكن من فتحه بالرغم
من اني حددت فقط بأن pingهو اللي مسموح !!
الجواب هو :
اول رول سمحت فقط له بعمل pingفقط ومن ثم سوف ينزل الى الرول الثانية التي اسمها public
والتي تقول بأن ال ـ subnet1كلها ال يمكنها الوصول الى ال ـ pingولم تقل له بأنك تمنع أي ش يء ()allبل
حددت بأنك تمنع فقط ال ـ. ping
طيب ملاذا الزال الجهاز server1قادرعلى فتح جميع املواقع !!
االجابةهي بسبب الرول املسماة 3والتي مضلله باللون األحمركما بالصورة أعاله والتي بتسمح بكل
السيرفس ( )allوهذه فكره ترتيب البوليس ي ..
طيب السيناروا األخير:
ماذا لو قمت بعمل تعطيل ()disabledللبوليس ي التي باسم !! 3كما بالصورة ادناه
فأن الجهاز server1يستطيع فقط ان بقوم بعمل pingألي موقع ولكنه لن يتمكن من فتح أي موقع ألن
ال توجد رول بتسمح له بذلك باإلضافة ان اخربوليس ي(االفتراض ي)( )Implicit policyبتمنع أي ترافيك
بحسب الصوره ادناه ..
اخرمثال :
لو قمت بإنشاء بوليس ي كما بالصورة ادناه
هل
يستمكن الجهاز server1من ان يعمل ping؟ ملاذا؟؟
هل سيتمكن الجهاز server1من ان يفتح أي موقع ؟؟ملاذا؟؟
االجابةعلى السؤال األول هي نعم ألن البوليس ي األولى بتسمح ال ـ. ping
االجابةعن السؤال الثاني هي ال ..
لن يتمكن الجهاز server1ان يفتح أي موقع وهذا بسبب الرول رقم 2املسماة publicوذلك ألني عملت
all services =denyفمجرد ان ال ـ denyحصل فأن الفورتي جيت ال ينظرالى البوليس ي اللي تحته ..
بالرغم ان البوليس ي األخيرة التي باالسم 3مفعله وتتيح لكل االجهزه ان تصل الى االنترنت وألي موقع ..
❖ Managing devices
يقصد بها اداره األجهزة..
ال ـ( fortiOSنظام التشغيل التابع للفورتي جيت )يستطيع اداره والتحكم بكل االجهزه املوجودة بالشبكة
حيث يقوم باكتشاف االجهزه( )pc,laptop,tablet,mobileسواء كنت وايرلس او واير.
حيث الفورتي جيت بيتعرف ويراقب كل االجهزه املوصله بالشبكة سواء كانت تلك االجهزه
وايرلس(مرتبطة ب ـ ) access pointاو واير(موصله بالسويتش).
أي ان الفورتي جيت يعمل على جلب املعلومات التالية بعد توصيلها بالشبكة لكي استطيع التحكم بها
بعد ذلك عبرالبوليس ي :
املاك ادرس
االيبي للجهاز
نظام التشغيل لألجهزة
اسم الجهاز
مالحظة :
الفورتي جيت بيتحكم باملستخدمين وباألجهزة ..
نقوم بفتح الفورتي جيت ونتأكد بأن الفورتي جيت بيشوف االجهزه عبرأي من interfaceحيث كل
االجهزه بتسجل نفسها بشكل اوتوماتيكي في املكان التالي :
> User&Device>Device Inventory
حيث يمكنك اظهاراملعلومات(األعمدة)وذلك بالنقربالزر األيمن على الشريط املظلل باألحمرومن ثم
نختارالخيارات املراد اظهارها ثم applyكما بالصورة ادناه
حيث سوف يظهرلك حالة االجهزه املتعرف عليها () offline , onlineأي الجهازشغال حاليا ام طافي !!
حيث الفورتي لكي يقوم بعمل كشف وجلب للمعلومات أعاله يجب ان تقوم بتفعيل خيارمعين على
الـ interfaceسواء كانت هذه االجهزه اخذت ايبي من dhcp server on FGاو dhcp serverمستقل او
االجهزه لم تأخذ ايبيهات أصال او اخذت .. static ip
مثال لو اريد ان اجلب املعلومات أعاله لألجهزة املتوصله عبرال interfaceمثال lan1أي االجهزه
املتوصله بالشبكة الداخليه يجب ان أقوم بتفعيل الخيارالتالي على ال ـ .. lan 1 interface
حيث الخيار Device detectionال يكون مفعل بشكل افتراض ي ويجب تفعيله
لو اردت تكتشف وتتعرف( )detectعلى جميع املعلومات املذكورة سابقا لتلك االجهزه واملوصله على
املنفذ lan1مثال ..
فمجرد الحصول على جميع املعلومات لتلك االجهزه كما بالصورة ادناه
فنقوم بتسميه تلك االجهزه بحسب املاك وذلك بالنقربالزر األيمن على اسم الجهاز()pc3
كما
بالصورة ادناه قمت بإنشاء عنوان باسم PC3_IPبحسب االيبي ..
فلذلك لو قمت بإنشاء بوليس ي فيمكنني ان اتحكم بهذا الجهازسواء باملاك او بااليبي كما بالصورة ادناه
..
وتكرر نفس العملية لكل االجهزه التي تظهرلك والتي تم اكتشافها ..
قمت بعمل ( permanentأي تم عمل حضرللجهاز 192.168.2.180بشكل دائم) لذا سوف يتم عمل له
بلوك من كل ش يء بشكل دائم في الخيارالتالي :
حيث تم وضعه بمنطقة الحجر()Quarantineحيث جهازالفورتي جيت بيعمل حظر( )banلألجهزة التي
يكتشف بوجود بها اختراق او فايروسات ويمكنك فك الحظربالذهاب الى
فنذهب الى اجهزه الكالينت والتي هي على الشبكة الداخليه ونعمل لكروت الشبكة disabled
و enabledلتتمكن من الحصول على ايبي من ال ـ. dhcp server
من الخيار Add from DHCP client Listسوف يظهرلك كل االجهزه التي اخذت ايبي من ال ـdhcp server
ومن ثم يمكنك اختياراملاك وااليبي لعمل ( reservedحجز)بحيث هذا الجهازصاحب املاك الفالني
دائما اعطيه االيبي الفالني...
كما بالصورة أعاله تم حظراملاك ادرس بأن يحصل على ايبي عن طريق dhcp serverفعند عمل
disabledو enabledلجهازالكالينت الذي له هذا املاك ادرس فأنه لن يجد ايبي مهما حصل ...
اما الصوره أعاله تم كتابه املاك ادرس للجهازالذي تريد حجزله االيبي 192.168.2.130
فندخل على جهازالكالينت ونعمل disabledومن ثم enabledلكرت الشبكة ونالحظ بأنه حصل على
االيبي 192.168.2.130كما بالصورة ادناه
املاك ادرس الغيرمعروف قم بتخصيص له ايبي من dhcp serverوهذا بشكل افتراض ي كما بالصورة
أعاله.
حيث ان ال ـ DHCP serverيقوم بتخصيص ايبي لكل جهازبالشكبه ..
حيث لو قمنا بتغييرالخاصية الى unknown mac address =Blockفأن أي جهازلن يحصل على ايبي
من dhcp serverاال لو كان معروف ..
نالحظ بأن الجهاز PC3معمول له حظرولن يحصل على االنترنت مهما حصل اال لو قمت بحذف االيبي
من الـ Quarantine Monitorوذلك بتحديد الجهازوالضغط على الخيار .Delete
تم السماح للجهاز pc3بالحصول على االنترنت اال ان الجهازلم يتمكن من الحصول على االنترنت ألنه
معمول له .. Ban ip
FortiClient
اآلن سوف نشرح تقنيه اداره االجهزه بواسطة تقنيه ()Agent Basedأي سيتم تنزيل
برنامج()forticlientعلى االجهزه التي تديرادارتها سواء كانت اجهزه كمبيوتر او البتوب او ايباد او موبايل
بأنواعها سواء كانت االجهزه بنفس شبكة ال LANاو موجودة على شبكة ال ـ( WANعلى االنترنت)حيث
سيقوم فورتي جيت فايروول بتوفيرالحمايه لألجهزة التي بعيده عن الشبكة الداخليه وذلك عبربرنامج
الفورتي كالينت .
حيث لو كان لديك فورتي جيت فأن النوع Basicسوف يتيح لك كل املزايا املحدده أعاله بحسب الجدول
أعاله .
ولكن لو لم يكن لديك فورتي جيت فايروول فيمكن االستفاده من الفورتي كالينت ك web filteringو
Antivirusفقط .
اما النوع Registered with fortiGateفأن اهم ميزه يوفرها لي الفورتي كالينت هي Centralized
managementأي اداره مركزيه أي سيتم التحكم بشكل مركزي بكل الفورتي كالينت عن طريق الفورتي
جيت فايروول.
يجب عليك قبل ماتقوم بشراء الفورتي كالينت فأنك تبحث عن جهازالفورتي جيت الى حد كم
بيدعم . forticlients
مثل FG 30-90بيدعم فقط الى . 200 forticlients
حيث الصوره توضح موديل الجهازالفورتي جيت وعدد االجهزه التي يدعمها الفورتي كالينت .
مالحظة :اشتراك الفورتي جارد يختلف عن اشتراك الفورتي كالينت ..
: Authentication
في الشركات الكبيرة بتحتوي على اكثرمن جهازفورتي جيت فايروول بالشبكة فلو قام املستخدم بإدخال
اليوزرنيم والباسورد فأن الفورتي جيت يقوم بارسال الطلب الى server authenticationسواء كان
هذا السيرفر() pop3,LDAP,RADIUS,TACACS+,للتحقق من اليوزرنيم والباسورد الذي ادخله
املستخدم .
Local authentication
طريقة عمل local authenticationعلى الفايروول .
أوال سنقوم بإنشاء حسابات محليه (يوزرنيم وباسورد)على الفورتي جيت حيث بشكل افتراض ي يكون
لدينا يوزرباسم Guestونوعه localكما بالصورة ادناه
حيث سنختارنوع اليوزرالذي نريد انشاءه هو ( local userأي ان اليوزرنيم والباسورد موجودين على
الفورتي جيت نفسه)
او تريد انشاءه باي أنواع أخرى :
ثم لو تريد تحديد ايميل لهذا اليوزرحيث لو لديك اشتراك من فورتي جارد ل ـ Messaging services
فيمكنك استخدام خاصيه ال ـ smsويمكنك تخطي خطوه االيميل وال ـ . sms
كما بالصورة أعاله نعمل Enableلهذا اليوزرولو تحب نضع هذا اليوزرألي مجموعة منشأه مسبقا
(.)User group
ثم ننقرعلى الزر Submitألتمام عمليه االنشاء ..
تم االنشاء اليوزر Anwarوبنفس الطريقة تم انشاء يوزرباسم hosamكما بالصورة ادناه
طريقة انشاء user groupباسم Managersونوعها Firewallواضافة اليوزرات السابقة الى هذه
الجروب .
حيث ممكن للموظفين بالشركة استخدام اليوزرات أعاله بدال عن االيبي ..
حيث عند تطبيق البوليس ي حنختاراليوزروسوف استخدمها في عمليه ال ـ . authentication
أي اني اريد املستخدمين يطلعوا على االنترنت عن طريق اليوزرنيم والباسورد وليس عن طريق االيبي ..
حيث لن يحصل الجهازعلى االنترنت مالم يقوم بفتح متصفح االنترنت ويظهرلك واجهه ( )portalويكتب
اليوزرنيم والباسورد .
اآلن سوف نقوم بإنشاء بوليس ي بيسمح للموظفين بالحصول على االنترنت بشرط يكون لديهم local
usersفقط وليس عن طريق االيبي ..
مالحظة:تم أضافه العنوان allوبهذا يصبح ( )Anwar+hosam/allطبق البوليس ي ليوزرات معينه من
ال allوهو ضروري لكي يتم قبول البوليس ي ألنه يجب على األقل وجود عنوان ( )addressواأل سوف
يظهرلك رساله الخطأ التالية :
وأيضا ممكن اختيارالجروب املسماة Managersوالتي تحتوي على اليوزرات ()hosam+Anwarبدال من
اختياراليوزرات واحد واحد
اآلن نقوم بالدخول الى احدى اجهزه الشبكة الداخليه فنالحظ بأن االنترنت ليس موجود حاليا على
الجهاز
وبمجرد فتح متصفح االنترنت نالحظ ظهور واجهه فسنقوم بإدخال يوزرنيم وباسورد hosamوالباسورد
123والذي قمنا بإدخاله سابقا وبعد ذلك يصبح الجهازقادرعلى الوصول الى االنترنت حتى بعد اعاده
تشغيل الجهاز.. .
وملعرفة اليوزرات التي تمكنت من الوصول الى االنترنت من نوع local users
Authentication timeout
السياسة األخرى التي يتم تطبيقها على local usersاسمها ِ Authentication timeoutبأن لو لم
يستخدم االنترنت خالل فتره معينه فأنه يجب ان يعمل
re-authenticationمره أخرى .
حيث االفتراض ي بعد 300دقيقه بدون ان يقوم اليوزرباستخدام االنترنت فيجب عليه ادخال اليوزرنيم
والباسورد مره أخرى ..
طريقة تعديل ال ـ replacement messageحيث أي رساله تظهربالفورتي جيت يمكنك تعديلها ،
اآلن سنقوم بتعديل الرساله التابعه لـ authenticationوتحديدا الشاشة Login Pageوأيضا شاشه
Login failed Pageفي حالة انك أدخلت يوزرنيم او باسورد خطأ .
ولو تريد ارجاع الشاشة كما كانت فنقوم بعمل restore defaultsثم save
مالحظة :
يوجد خيارين آلظهارالرسائل بالفورتي جيت هما extend viewواألخر Simple Viewحيث الخيار
Extend viewبيظهركل الرسائل على مستوى الفورتي جيت اما simple Viewفيظهرلك الرسائل
األساسية فقط..
لتقييد الدخول الى الفورتي جيت ألكثرمن ( administratorتحدد sessionواحده فقط)كنوع من
ال ـ securityوذلك عبراالوامرالتالية :
Managing guests
هي عباره عن اداره الزوارالقادمين للشركه حيث يكونوا لفتره مؤقته فقط حيث يمكن لجهازالفورتي
جيت ان يعطيك حسابات مؤقته تنتهي بعد فتره معينه .
حيث سيتم انشاء حسابات لهؤالء الزواربشكل عشوائي عبرالفورتي جيت نفسه او بنفس االيميالت
الشخصيه لكل زائراو نقوم بتخصيص حسابات بشكل يدوي .
وسيتم تسليم الزائرلحساباتهم اما عن طريق طباعه الحسابات او ارساله بااليميل او عبر. SMS
لكي أقوم بعمل هذا الش ي يجب تخصيص جروب للزوار()Guests groupتحتوي على عدد من الحسابات
.
نقوم االن بإنشاء جروب باسم Guest1ونوعه guest
حيث لو كان عددهم كبيرجدا فانك سوف تقوم بتفعيل الخيارBatch Guest Account Creation
االن سوف نقوم بإنشاء الحسابات بشكل منفرد وليس مره واحده لذا لن نقوم بتفعيل هذا الخيار
لذا أوال قم بإنشاء ال ـ Guest groupبالنوع الي تريده مثال emailاو auto generatedاو specifyمثال
سوف نختارالنوع Email
نالحظ كما بالصورة أعاله بأننا اخترنا بان الباسورد سوف يتم توليده بشكل اوتوماتيكي عبرالفورتي
جيت()Auto Generatedوبأنه سوف تكون نهاية الحساب بعد 4ساعات من وقت انشاء الحساب ..
لذا عند انشاء الحساب سوف يكون ال ـ idهو نفسه االيميل الخاص بالزائر
مالحظة:
لو قمت بجعل Password=disabledفان عند انشاء اليوزرلن يطالبك بالباسورد ابدا ..
كما بالصورة أعاله يتبين بأن ال ـ User Idهو عباره عن ايميل الزائرويجب ان تقوم بكتابته مثال
Mohamed.marfadi@gmail.comفي الخانه Emailواال لن تتم عمليه االنشاء لهذا الحساب ويتبين
بأن مده انتهاء الحساب بعد 4ساعات .
حيث سيتم ارسال الحساب على ايميل الزائراملحدد أعاله بشرط انك تكون قد فعلت بأن الفورتي جيت
يمكنه االرسال عبرااليميل..
حيث قمت بإنشاء الحسابات بحسب االيميل كما بالصورة اعاله ..
وملعرفة الباسورد الذي قام الفورتي جيت بتوليده بشكل اوتوماتيكي نقوم بالنقرعلى الحساب نقرتين
بزر الفاره االيسروسوف يظهرلك كما بالصورة ادناه
لذا عن انشاء اليوزرفي هذا النوع فانك لن تقوم بكتابه اليوزرنيم وال الباسورد
كما نالحظ بأن خيارانشاء الباسورد هو Auto Generatedأي بأن الفورتي جيت هو الذي يقوم بإنشاء
ه لكل حساب ..
كما الصوره أعاله قمنا بكتابه اسم الحساب hosamبشكل مانوال ..
الخالصة :
تم انشاء 50حساب بشكل اوتوماتيكي فيمكنك طباعتها او ارسالها للزوارباي طريقة ..
➢ ثم بعد ذلك سنقوم بإنشاء بوليس ي ونحدد بها الجروب املسماة ( )Guest1في ال ـ.Source
لو تريد مثال احدى موظفي االيتي عندك ال تريد ان تعطيه صالحيه كامله على الفورتي جيت وتريد فقط
ان يديرحسابات الزوار( )Guest usersنقوم بالخطوات التالية :
كما بالصورة أعاله تم انشاء يوزرباسم guest_adminيقوم بإدارة الجروب املسماة . Guest1
االن اليوزر guest_adminيمكنه اداره الجروب املسماة Guest1من انشاء يوزروالتعديل عليه وحذف
اليوزرات التابعه للجروب Guest1وأيضا عمل Purgeوطباعه اليوزرات ..الخ ..
نحن في الدروس السابقة لكي نصل الى االنترنت عبرالفورتي يجب ان يكون لدينا يوزرفي الفورتي جيت
لذا لكي افتح االنترنت على أي جهازيوجد لدينا خطوتين
-1ادخال اليوزرنيم والباسورد للويندوز(للجهازاول مره)أي login to computer
-2ادخال اليوزرنيم والباسورد( )local accountاملوجود بالفورتي جيت
وبهذا استطيع الوصول الى االنترنت
اذا لدينا خطوتين لكي يتمكن الجهازمن الوصول الى االنترنت ...
ولتخفيض العملتين السابقتين الى عمليه واحده فقط
أي االعتماد على اليوزرنيم والباسورد املوجودين في ال ـ ADفقط .
وذلك لتعريف كل اليوزرات و الجروبات املوجودة في ADعلى الفورتي جيت .
وبذلك يمكنني التحكم بكل اليوزرات و الجروبات عبرالفورتي جيت كأنهم local usersوذلك عبرعمل
integrationال ـ ADمع . fortigate
ولكي نقوم بعمل integrateللفورتي جيت مع ال ADيجب ان تقوم بالخطوات التالية :
-1تحديد ال Ldap serverللفورتي جيت أي من هو ال ـAD server
-2عمل اعدادات لل ـ Ldap serverلكي يعمل single sing onأي يجب تفعل خاصيه single sign
onعلى الفورتي جيت .
-3سنقوم بإنشاء FSSO groupتحتوي بداخلها على اليوزرات او الجروبات املوجودة على ال ـAD
-4انشاء بوليس ي ونختارالجروب التي قمنا بأنشائها بالخطوة رقم 3والتي تحتوي على املستخدمين
الذي سوف نطبق عليهم فكره . Single sign on
حيث أي شخص ليس لديه حساب في ال ـ ADلن يستطيع الوصول الى االنترنت عبرالفورتي جيت ألنك في
البوليس ي قمت بتخصيص FSSO groupاال لو انت سمحت بذلك .
االن سنقوم بعمل AD serverبااليبي 192.168.2.11ونقوم بإنشاء يوزرات على الAD
تم أضافه ال ـ OUمن ال ـ ADالى الفورتي جيت لكي أتمكن من ان اتحكم فيها الحقا عبرالفورتي جيت
لو كانت العملية لم تتم بنجاح فيكون السهم باللون األحمرليديل على فشل العملية ..
اآلن سنقوم بإنشاء يوليس ي ونختارمنها اليوزرات مثال User1و User2فقط ..
حيث هما فقط لهما الحق بالوصول الى االنترنت ..
مالحظة :
لو قمنا باختيارالـ OUكامله كما بالصورة ادناه فأن اليوزرات التي بداخل تلك ال OUلن تستطيع
الوصول الى االنترنت وكأن الفورتي جيت ال يتعرف على ال ـ.. OU
البوليس ي أعاله لن تجعل اليوزرات التي بداخل ال ـ Ouاملسماة ITيحصلوا على االنترنت ..
حيث انشاءنا جروب باسم FSSO-IT-Gوهي من نوع FSSOوستحتوي على كل اليوزرات التي بداخل
ال ـ OUاملوجودة على ال ADواملسماة . IT
اآلن سنقوم بالتعديل على البوليس ي السابقة لنقوم باختيارالجروب املسماة FSSO-IT-Gكما بالصورة
ادناه
نقوم بتحديد اليوزرات املراد استثنائها من عمليه ال ـ monitoringعبربرنامج FSSO Agentحيث تم
استثناء اليوزرAdministrator
كما بالصورة أعاله قم بكتابه باسورد (ليش شرط ان يكون نفس باسورد الدومين ادمن)حيث ستحتاج
لها لعمليه االتصال بين الفورتي جيت وبرنامج FSSOويفضل ان يكون معقد
هنا الباسورد هي نفسها التي قمنا بإنشائها في برنامج FSSOعلى سيرفرالدومين ()ADوهناك طريقتين
للحصول على اليوزرات والجروبات التي موجودة على سيرفرال ـ ADاما نقوم باختيارالخيار Localكما
بالصورة أعاله ومن ثم نختارال ـ LDAP SERVERالذي قمنا بإنشاء ه سابقا ..
كما بالصورة أعاله سنقوم بتحديد الجروبات واليوزرات املوجودة في ال ـ ADوالتي تريد أضافتها
()intergratedمع الفورتي جيت
لو كان السهم باللون األحمرفذلك يعني بأن االتصال بين الفورتي جيت
وال ـ ADغيرسليم نتأكد بأن لفايروول على سيرفرال ـ ADمقفول ..
االن سنقوم بإنشاء جروب من نوع FSSOونقوم بأضافه اليوزرات او الجروبات التي قمنا باختيارها
سابقا ( )selectedفي الخطوات السابقة حيث هذه الجروب سيتم تطبيق بوليس ي معينه عليها الحقا ..
تم
اختيارالجروب املسماة IT-GROUPواملوجودة على AD
تم تطبيق البوليس ي على الجروب من نوع FSSOواسمها FSSO-GROUP-ITوالتي قمنا بانشائها سابقا ...
كما بالصورة ادناه يتبين بأن االتصال بين الفورتي جيت وال ـ ADسليم ..
كما قلنا سابقا لو تريد مراقبه اليوزرات التي ضمن FSSOمن حيث املده التي يعمل عليها وااليبي وحجم
الترافيك كما بالصورة ادناه ...
كما بالصورة أعاله تم أضافه كل الجروبات وال ـ OUاملوجودة على االكتف دايركتوري الى الفورتي جيت
(عددها 48عنصر)...
Antivirus
ماهي أنواع ال ـ antivirus DataBase؟
: Normal antivirus signatures Database .1هذا النوع موجود في أي جهازفورتي جيت انت
تشتريه بغض النظرعن نوعه حيث الداتا بيزاملوجودة فيه بيتم اعدادها من قبل الفورتي
جارد( )FortiGuardمن قبل فريق البحث لشركه الفورتي نت حيث تحتوي ال ـ databaseلهذا
النوع على اشهرأنواع الفايروسات حيث الجهازعندما يقوم بالفحص يقوم بعمل مقارنه ما بين
امللفات التي تصل اليه من خارج الشبكة وبين ال signaturesاملوجودة في الداتا بيزفلو وجد بأن
امللف له signatureمتشابه مع التي موجودة لديه في ال ـ DBفيقوم الجهازباعتبارهذا امللف على
انه فايروس وبيعمل له ال ـ actionاملناسب .
: Extended .2هذا النوع متوفرفي اغلب موديالت فورتي جيت (ليس جميعها)حيث بتحتوي على
النوع األول ( DB+)Normalعلى الفايروسات الغيرفعاله او غيرنشطه حيث ممكن هذا
الفايروسات ممكن تتنشط ويعاد نشاطها مره أخرى فبهذا يكون الفورتي جيت لديه معلومة عن
هذا النوع من الفايروسات ..
: Extreme .3موجود هذا النوع من قواعد البيانات على بعض اجهزه الفورتي جيت حيث هي
قاعده بيانات ضخمه وبتحتوي على DBالنوعين السابقين +قاعده كبيره من الفايروسات حيث
تكون مساحه هذا النوع كبيره جدا ولكنها توفراكبرامان وحمايه للشبكة .
حيث أي جهازقبل ماتشتريه يمكنك معرفة ماذا يدعم من قاعده بيانات من الفايروسات من األنواع
السابقة ..
كيف تفرق بني قواعد بيانات الفايروسات على جهاز الفورتي جيت ؟
بيتم ذلك عبرال ـ cliويجب ان يكون على جهازحقيقي
كما بالصورة أعاله تبين بأن الجهازيدعم جميع األنواع الثالثه حيث
بعد كتابه االمر
? #set default-db
ثم تكتب ؟ سيقوم بإظهارلك كل انواع القواعد الذي يدعمها الجهازويمكنك اختيارالنوع املناسب لك
مثال extreme
حيث ال ـ extremeهو النوع األفضل واالقوى ..
ثم نقوم بتحميل ال 2ملفات املشاراليهم بالون األخضرومن ثم نقوم بعمل لهم Uploadمن
الفورتي جيت فايروول .
: Automatic )bجعل الفورتي جيت يعمل على تنزيل التحديثات من (FDN)fortiGuard
بمجرد وجود تحديثات جديده .وبهذا يصبح ال ـ. UP to Date DB
حيث تقوم بتفعيل للخيار Accept push updatesبحيث أي تحديث جديد موجود على FDNبيتم
تنزيلها تلقائيا الى الفورتي جيت فايروول بدون تدخل منك .
او يمكنك عبرخياراخربأنك تعمل schedule updatesوتحدد األيام الذي يقوم فيها الفورتي جيت
بتنزيل التحديثات من . FDN
مثال يمكنك تحديد أيام واوقات معينه لعمل التحديث (أوقات خارج الدوام)
حيث ان ال ـ antivirusبدون تحديث ليس له أي قيمه ...
كما بالصورة أعاله تبين بأن الترخيص لل ـ Antivirusغيرموجود نظرا ألن نسخه عباره عن VMتجريبي ...
الوقت والتاريخ لعمليه اكتشاف الفايروس ويحدد له املصدرواسم امللف املعمول له detectedوما هو
اسم الفايروس ومن هو اليوزرالذي حصل عنده ال ـ detectionوبعض التفاصيل وماه والـ actionالذي
حصل لهذا الفايروس ..
❖ طريقة تفعيل الــ antivirusعلى الفورتي جيت وعمل محايه للشبكة من
أي تهديدات :
كما بالصورة أعاله يتبين بأن 2بروفايل موجود بشكل افتراض ي وال يمكن حذفهما ..
ويمكنك انشاء بروفايالت جديد وتخصصها كما تشاء ومن ثم سيتم اختيارها الحقا في البوليس ي ...
حيث تقوم بكتابه اسم البروفايل وفي حالة اكتشاف فايروس هل تقوم بعمل blockأي سيمنع امللفات
املصابه بالفايروس من الدخول الى الشبكة او Monitorوبهذا سيتم السماح للملفات املصابه باملرور
الى الشبكة باإلضافة الى قيامه بتسجيل logsعلى الفورتي جيت بان هذا امللف مصاب
ومن ثم تحدد البرتوكوالت التي سيتم عمل لها فحص من قبل ال ـAV
تالحظ كما بالصورة أعاله بأن خيارالحذف والتعديل واإلضافة غيرمتاح بعد قيام بإلغاء تفعيل
الخاصية التالية .. Multiple security profiles:
➢ : Antivirus Mode
الفحص األكثرشموال
واالعمق و االطول
وقت حيث يتم تقسيم
امللفات(للباكت) الى أجزاء
يعتمد على مبدا ال ـ bufferingأي يأخذ نسخه من امللفات ويحصل لها
التخزين املؤقت أي ان كل الباكت cachingعلى الفورتي جيت قبل تسليمه
وامللفات التي تصل للفورتي جيت ال يتم تخزينها الى الكالينت حيث ال يوجد عمليه
بشكل مؤقت على جهازالفورتي جيت تقسيم للباكت ثم يقوم بإرسالها
الى محرك مكافح الفايروسات ليتم عمل
فحص لها ففي
حالة كانت سليمه فأنه يتم تسليمها
الى املستلم اما لو كانت مصابه
فيتم حذف امللف املصاب
في حالة لم يجد أي أصابه للملف
بعد عمليه الفحص
يتم ارساله الى الهدف اما في حالة وجود
أصابه في امللفات
يأخذ actionمعين ويعمل رساله للهدف
كنوع من التحذيربأن امللف مصاب
Default buffering=10 mألي
إعداد /حممد املرفدي الصفحة 313من 469
أساسيات فورتي جيت
جهازفورتي جيت .
فلو كان امللف حجمه اكبرمن 10ميجا
فأن هناك حالتين
اما يتم عمليه تمريرامللف الى الهدف
بدون فحص
او ان يتم عمل له . Block
يمكن التعديل على قيمه ال ـbuffering size
يقوم بعمل فحص للترافيك http, smtp,pop3,imapويعمل لها Blockفي حالة يحتوي على فايروس .
: Content Disarm and Reconstructionبيجعل الفورتي جيت يأخذ أي ملف(…) pdf,doc,
➢ Web filtering
عباره عن التحكم في املحتوى الذي يصل الى املستخدم او الذي يصل اليه املستخدم .
او بمعنى أوضح عباره عن فلتره ال ـ httpو httpلكي يصل للمستخدم املحتوى اآلمن واملسموح به ..
:Flow )2ال يعتمد على ال ـ Bufferingحيث يمرر البيانات الى الهدف بدون تخزين حيث انه اقل دقه
من البروكس ي ويعتبراسرع نمط .
:DNS )3ال يعتمد على ال ـ Bufferingحيث يقوم بعمليه تحويل من اسم الى ايبي حيث شركه فورتي
نت لديها dns serverويمكن االعتماد عليه لعمليه فلتره املواقع ،حيث يعتبرهذا النمط دقيق
ألنه يعتمد على ال ـ dns serverالتابع لفورتي نت حيث يتعبرسريع ولكن ليس اسرع من ال flow
mode
حيث يعتبراقل اعدادات .
• مالحظة :عمليه الفحص تكون على ايبي املوقع واسم املوقع
حيث ستقوم بإنشاء بروفايل خاص ب web filteringوتخصصه لناس معينين.
يجب ان تتأكد بان الفورتي جيت متوصل بشكل سليم مع الفورتي جارد وأيضا لديك ترخيص
(.)license
نالحظ بأن رساله الخطأ توضح بأن الفورتي جارد ليس متاح على ال fortigate vmحيث يجب ان تكون
مشترك بخدمه الفورتي جارد لكي تتمكن من استخدامها ولكننا سوف نشرحها بشكل نظري ...
توجد عده تصنيفات عامه وتحت كل تصنيف عام تكون عده تصنيفات فرعيه وكل تصنيف فرعي
يحتوي على مئات من املواقع
مثال التصنيف املسمى security Riskيحتوي على 6تصنيفات فرعيه( )Sub categoriesوهي كالتالي
Malicious Websites
Phishing
Spam
Spam URL
Dynamic DNS
New observed Domain
New Registered Domain
فلو تريد اغالق كل مواقع phishingفأنه يجلب عليك ان تقوم بإغالق التصنيف املسمى phishing
وهكذا كما بالصورة ادناه
حيث بمجرد النقرعلى sub categoriesبالزر األيمن يظهرلك ال ـ actionsاملراد اختياره مثل Allow
,Monitor,Block,Warning,Authenticate
مثال التصنيف ) General Interest-Personal (35يحتوي على 35تصنيف فرعي كما باملربع البرتقالي
حيث تقوم باختيارال ـ actionsاملناسب ثم تقوم بإعطاء اسم للبروفايل ومن ثم تنش ى بوليس ي وتختارهذا
البروفايل لهذا البوليس ي لكي يتم تطبيقه ..
مثال :
لو تريد اغالق مواقع التواصل االجتماعية مثل الفيسبوك وتويتروأيضا اغالق مواقع االخبارمثل
صحافه 24و موقع bbc.comوغيرها ..
فأننا سنقوم أوال بإنشاء بروفايل باسم Block social networking&News
فعند محاوله فتح أي موقع اخباري مثل BBCفأنه ستظهرلك رساله بان املوقع مغلق باإلضافة الى
املعلومات بايبي الجهاز 192.168.2.121الذي حاول يفتح املوقع وأيضا ال categoryالذي ينتمي لها هذا
املوقع هو News and Mediaوالذي تم اغالقه بواسطتها ..
فلو قمت بفتح موقع الفيسبوك https:\\facebook.comفانه سوف يفتح معك بشكل طبيعي بالرغم
انه مصنف تحت Social networkوذلك ألنك طلبت املوقع ب httpsوليس httpولتفادي هذه املشكله
يجب ان تقوم بتفعيل خاصيه
مالحظة :
لو كان املوقع املراد الوصول اليه httpوهو ضمن التصنيف املعمول له Blockفسوف تظهررساله
الغلق( )Web page Blockedمن فورتي جيت كما بالصورة ادناه
اما عن طريق متصفح Internet explorerظهرلك رساله ال ـ Web Page Blockedكما بالصورة أعاله ..
وفي جميع األحوال لن تستطيع الوصول الى تلك املواقع سواء httpاو https
: Allow -1السماح للوصول ألي موقع يندرج تحت ال ـ categoryالتي عملت لها allow
: Block -2منع الوصول ألي موقع يندرج تحت ال ـ categoryالتي عملت لها block
: Monitor -3مراقبه أي شخص من الوصول الى أي موقع يندرج تحت categoryقمت
بعمل لها .. monitor
تم عمل مراقبه New and Mediaو Social Networkingكما بالصورة أعاله
كما بالصورة أعاله تم انشاء بوليس ي بحيث يتم مراقبه اليوزراملسمى Hosamعند الوصول الى Social
networking & new and Media
حيث املفترض عندما يقوم اليوزر Hosamبفتح موقع مثل فيسبوك او صحافه نت او غيرها من املواقع
ضمن التصنيف ال ـSocail networking & new and Media
فانه سوف يطلب منه يوزرنيم وباسورد وبد إدخالها من قبل hosamفان املوقع سوف يفتح طبيعي
وملراجعه ال ـ logsلليوزر
حيث يظهرلك الوقت واسم اليوزروال ـ actionواملوقع الذي تم الوصول اليه من قبل اليوزر
وال ـ categoryاملندرج تحتها هذا املوقع وغيرها من املعلومات ..
أي ان يوزرمعمول له Monitorفاني ممكن اطلع على ال ـ logsكما بالصورة أعاله ..
لو كنت تريد فتح مثال مواقع معينه مثل الفيسبوك وتويترلفتره محدده ولكن بدون تحديد الوقت (مثال
15دقيقه في اليوم لكل يوزر) ليس محدد الوقت املسموح ،بل أي وقت سوف يستخدمه اليوزرسوف
يتم اعطاءه 15دقيقه فقط بغض النظرعن الوقت وبعدها سوف يتم عمل blockلتلك املواقع ..
فمثال بعض املوظفين سوف يفتحوا املواقع صباحا ملده ربع ساعه والبعض االخرظهرا والخ وهكذا حيث
سيتم حساب وقت كل يوزرعلى حده وبعد انتهاء الوقت سوف يتم عمل Blockلهذه ال ـ . category
➢ يوجد في الفورتي جيت خاصيه جميله جدا اسمها ال ـ Quotaحيث يتم تطبيق ال ـ quotaعلى
ال ـ categoryالتي ال ـ actionلها Monitorاو authenticateاو warningفقط
عندما اريد انشاء Quotaوذلك بالنقرعلى الخيار Create Newفأنه يجب ان تكون ال ـ categoryمن
احدى األنواع الثالثه التي ذكرت سابقا لكي أتمكن من انشاء ال ـquota
تم السماح 15دقيقه لليوزرمن الوصول الى مواقع االخبار ومواقع التواصل االجتماعي فقط ...
حيث بمجرد انتهاء ال ـ 15دقيق للموظف فانه سيتم عمل Blockلتلك املوافق مباشره ..
: Warrningمعناها بأنه تم اغالق املوقع في الشبكة حيث ستظهرلك رساله تحذيريه لليوزرتوضح بان
املوقع الذي قمت بطلبه محجوب لو تريد فتحه سوف تفتحه على مسؤليتك وستصبح متراقب من قبل
الفورتي جيت
حيث سيظهررساله تحذيريه كل فتره تحددها انت بأن املوقع متراقب من قبل مديرالشبكة ألنك فتحن
موقع مندرج تحت categoryمعمول لها . Warning
حيث كل 5دقائق يظهرلك رساله تحذيريه لو انت ال زلت فاتح أي موقع ضمن التصنيف املحدد سابقا
(.)Alchol
حيث لو قام املستخدم بفتح أي موقع ينتمي لهذا التصنيف سوف تظهرله رساله ال ـ Blockكما بالصورة
التالية
حيث أي يوزرمن الجروب املختاره سوف يفتح موقع من مواقع األلعاب سوف يظهرله نافذه البورتال
(يوزرنيم وباسورد)..الخ
الخالصة :
فيجب عليك ادخال اليوزرنيم والباسورد ألحد اليوزرات التي تنتمي للجروب املحدده.
مالحظة :
ال ـ warningيعتبرنفس ال ـ authenticateاال انه في حالة ال ـ authenticateيطلب منك يوزرنيم وباسورد
..
ننش ى ssl/ssh inspectionونجعلها Full SSl Inspectionثم نختارها في البوليس ي كما بالصورة التالية :
نالحظ بأننا اخترنا البروفايل املسمى deep-inspectionوالذي تم تجهيزه سابقا ونالحظ بأن هناك hint
يقول فيها عند اختيار full SSl inspectionفان اليوزرات سوف يحتاجوا ان تقوم باستيراد تلك الشهادة
على متصفحاتهم ..
نقوم بنسخها على اجهزه املوظفين ثم نستوردها على متصفحاتهم كما بالخطوات التالية
قمنا بإنشاء بروفايل جديد وتم تفعيل الخيار URL Filterثم نقوم بإنشاء ال ـ static urlكما بالصورة
ادناه
يوجد لدينا عده أنماط(أنواع-اشكال-طرق)تكتب فيها املواقع لكي تطبق عليها actionمعين .
: Simple )1تكتب ال ـ urlملوقع صراحه كالتالي
www.bab.comاو bab.comكل يؤدي نفس الغرض ..
كما
بالصورة أعاله تم انشاء البروفايل باسم profile 1
تم
تطبيق البوليس ي وتم اختيارالبروفايل profile 1في Web Filter
او
فأن املوقع www.bab.comسوف يكون متاح وسيتم اغالق باقي املواقع كامله ..
لذا ترتيب ال ـ URLمهم جدا جدا وهو نفس فكره ال ـ Policyحيث يتم تطبيقها من اعلى الى اسفل ..
مالحظة :
مالحظة :ال ـ scoreموجود فقط على CLIوليس بواسطة ال ـ GUIحيث يمكنك تعديل قيمه ال ـ scoreحيث
القيمة االفتراضية هي 10ويمكنك تغييرها ..
ثم
create New
حيث pattern Typeنحدد النمط الذي سوف اكتب فيها الكلمه التي سنقوم بعمل لها فلتره
هل Wildcardام Regular Expression
: Regular Expressionحيث هنا يتم استخدام تعبيرات معينه في بعض لغات البرمجه ونحن في اغلب
األوقات نستخدم النمط األول ( )Wildcard
: Languageاللغه التي كاتب فيها الكلمه او الجمله وال توجد اللغه العربيه
حيث تم الدخول الى وضع webfilterحيث سيتم التعديل على البروفايل املسمى Defaultوبالتحديد
الكلمه sexوالتي تم انشائها مسبقا في . web filter content
حيث قمنا بإظهار االعدادات السابقة عبراالمر show full-configurationللكلمه sexحيث نالحظ بأن
ال ـscore=10
ثم نقوم بتعديل القيمة الى .. 9
Application controller
التطبيقات مثل أي برامج الدردشه او الرسائل الفوريه ( )Instant messageمثل سكايب ياهو
ماسنانجرو واتساب
مثل فيسبوك او تويتر او تطبيقات browser basedاو التطبيقات التي تعتمد على املتصفح
حيث الفورتي جيت له القدرة بالتحكم بالتطبيق وايضا خصائص التطبيق نفسه.
االجابةبأني ممكن اسمح للفيسبوك عبرال web filerولكني اريد اغالق خاصيه معينه في الفيسبوك
مثل منع التعليق او ... likeالخ في الفيسبوك او منع فتح الفيديوهات على الفيسبوك بالرغم ان
الفيسبوك بشكل عام مفتوح
حيث هذا ال يتم اال عبرال ـ .. application controller
Forigate’s signatureهو الش ي الذي بيعتمد عليه ال ـ app controlفي التحكم بالتطبيقات حيث
يحتوي ال ـ signatureعلى portالتطبيق و servicesو ip’sو URlلكل تطبيق .
:Traffic shapeتخصيص ترافيك معين لطبيق معين حيث ال traffic shaperيحتوي على 5اشكال :
) : Gurantee(80kاضمن بأن الترافيك سوف يأخذ 80كيلو لتطبيق معين على األقل .
: High priorityاضمن بأن لدي اعلى اولويه لترافيك باملرور..
: Low priorityاخذ اقل اولويه للترافيك
: Medium priorityاخذ اولويه متوسطه
: Sharedتخصيص مثال 1ميجا لترافيك معين حيث الناس تتشارك فيه .
مثال تخصيص 1ميجا مثال لتطبيق الفيسبوك حيث ان جميع األشخاص في الشركة الذين سيتخدمو
الفيسبوك سوف يتشاركوا ب 1ميجا .
إعداد /حممد املرفدي الصفحة 363من 469
أساسيات فورتي جيت
حيث نقوم بإنشاء بروفايل معين لل ـ app controlولسكن اسمه Block Social app
حيث سنقوم باغالق كل التطبيقات التي تستخدم مواقع التواصل االجتماعي مثل فيسبوك او تويتراو
..الخ
مع التأكيد من تفعيل الخاصية SSL Inspection=deep-inspectionلكي يتمكن من التحكم باي تطبيق
او موقع يستخدم ..)https( ssl protocol
بتحتوي على تصنيفات حيث تم تقسيم كل مجموعة من التطبيقات املتشابهه في الخصائص بتصنيف
معين .
مالحظة :تم السماح لكل التطبيقات الغيرمعروفه( ()Unknown Applicationsالفورتي جيت ليس
لديه signatureلهذا التطبيقات ) ..
حيث بمجرد النقرعلى أي categoryيمكنك تطبيق أي actionتريده كما بالصورة ادناه ..
يمكن ان أقوم بتصفح كل ال ـ(signaturesالتطبيقات)التي بيتحكم بها الفورتي جيت وذلك كالتالي :
حيث ستظهرلك كل التطبيقات التي تندرج تحت هذا التصنيف كما بالصورة ادناه
كما بالصورة أعاله تم البحث عن كلمه facebookداخل هذا التصنيف املسمى social networking
حيث الفيسبوك يمكنك التحكم بكل خصائصه من هنا ...
حيث نالحظ كما بالوصوره أعاله عمود باسم Nameيوضح اسم التطبيق
وايضا عمود باسم Categoryيبين التصنيف املنتمي له هذه التطبيق (soical Media-sports-news-
)... p2p
والعمود الثالث باسم Technologyيوضح التقنيه التي بيشتغل فيها التطبيق ..
هل يعمل عن طريق املتصفح ( )Browser- based
او تطبيق يعمل بتقنيه ( )Client-serverأي ان التطبيق يعمل ك clientومرتبط ب ـ serverمثل برنامج
كاسبرسكاي حيث يأخذ التحديث من السيرفرالتابع ملوقع كاسبر..
او تطبيق يعمل بتقنيه ()peer -to-peer
والعمود الرابع باسم popularityبمعني الشعبيه (الشهره)حيث يظهرلك نجوم بعدد شهره التطبيق ..
العمود الخامس باسم Riskويوضح مدى خطوره التطبيق (خطر، criticalمرتفع ، elevatedمنخفض
، lowمتوسط ، Mediumليس خطر).. None
بهذه الطريقة سيتم اغالق كل مواقع التواصل االجتماعي ويظهرللمستخدم الرساله التالية :
كما بالصورة أعاله يظهرلنا اسم التصنيف الذي ينتمي اليه موقع الفيسبوك ()Social Mediaوال ـurl
الذي حاول الوصول اليه اليوزرصاحب االيبي املحدد بالصورة ...
كما بالصورة أعاله تم البحث عن التطبيق facebookفي خانه البحث وظهرت كل التطبيقات التي باسم
facebook
حيث اول تطبيق يظهرلك مثال facebookبدون أي اضافات يعتبرالتطبيق العام (موقع الفيسبوك
كامل مع الخصائص املدرجة تحته)...
حيث نحدد بالزر األيمن للخاصية وليكن منع زر اعجبني بالفيسبوك ثم نختارالخيارAdd Selected
حيث يظهرلك كل التطبيقات التي حاول اليوزرالوصول اليها والتي في األصل معمول لها Blockاو
... Monitor
حيث سيوضح لك اسم التطبيق والتصنيف الذي ينتمي له التطبيق ودرجه الخطوره وحجم استهالك
االنترنت ...الخ
مثال اخر:
اريد اغالق قط الفيديوهات عاليه الدقه () HDفقط من على اليوتيوب ...
طبعا توجد تصنيف()Categoryاسمها Updateواألفضل ان تتركها مثال تحديث مكافح الفايروسات او
تحديث ويندوز ..الخ
: Permeantسيتم حظرااليبي (الجهاز)بشكل دائم ولفك الحظرلهذا الجهازيتم الدخول بحسب
الخطوات التالية :
حيث يمكن ان يقوم اليوزربتغييررقم ال ـ portللبروتوكول وبهذا يتم التحايل على الفورتي جيت ..
فيمكن بواسطة الخاصية املذكورة أعاله بأن امنع عمليه تغييررقم ال ـ portلبرتوكول معين ..
وهكذا ..
حيث لو حاول احد تغييررقم البورت ألحدى البروتوكوالت أعاله سيتم عمل . Block
❖ Email filter
كيفيه فلتره االيميالت على الفورتي جيت ..
أي عمليه اداره االيميالت الغيرمرغوب فيها ()spam emailعبرجهازالفورتي جيت سواء وصل االيميل
الى ال ـ Inboxاو ال ـ.. Junk
حيث الفورتي جيت معتمد على خدمه من الفورتي جارد اسمها FortiGuard Anti spam servicesاو
تسمى Email filteringوالتي تحتوي على قاعده بيانات والذي تحدد ما اذا كان ال ـ ipاو االيميل او URlغير
مرغوب ام ال ..
إعداد /حممد املرفدي الصفحة 383من 469
أساسيات فورتي جيت
حيث اسم االشتراك التي يجب ان تشترك بها هو Email filteringويجب ان يكون معمول له License
نقوم باظهارخاصيه Email filterكما بالصورة ادناه لكي تظهرفي . security profiles
االن يمكنك أضافه بروفايل باسم Mail filter1وذلك من خالل النقرعلى الزر Create New
حيث بمجرد تفعيل الخيار Enable Spam Detection and Filteringتظهرلك الجدول املسمى Spam
Detection by protocolكما بالصورة أعاله والذي يقصد به عمليه كشف عن االسبام ايميل واعمل
لها فلتره ..
حيث يقصد بالجدول أعاله بأن أي ايميل بيستخدم ال IMAPاو POP3في االستالم او يستحدم SMTP
في االرسال فأن تم الكشف عليه بأنه spamفأن ال ـ actionالذي ستقوم به في ال ـ imapهو اما Tagاو
pass
: Passمعناها مرر االيميل بدون ماتعمل له أي actionوهذا اجراء غيرموص ى به .
اما ال ـ smtpوهو البروتوكول املستخدم لعمليه ارسال االيميل فأن ال ـ actionاالفتراض ي له هو Discard
أي ان أي ايميل أقوم بإرساله (من داخل الشبكة الخاصة بي) فال تعتبره على انه spamحتى وان كان
كذلك،أي ال تقم بعمل له tagبانه spamألنه من الغيرمنطقي بأن ترسل ايميل من شبكتك الداخليه
ويظهرللمستلم في العنوان او ال ـ Headerبانه .. spam
➢ ماهي الطرق التي يستخدمها الفورتي جيت لكي يساعدك الكتشاف االسبام
امييل ؟
حيث يتم تفعيل كل الخيارات الخمسه أعاله كما بالصورة التالية :
)Bاالعتماد على الفورتي جيت نفسه وبدون الحاجه الى اليسنز(. )Local Spam Filtering
: Helo DNS Lookup -1يتم التأكد هل dominالتابع لإليميل موجود في Public
DNSفلو لم يكن موجود فسيعتبرهذا الدومين اسبام .
Return Email DNS check -2
: Black white List -3سيتم عمل قائمه سوداء وبيضاء بشكل يدوي كما بالتالي :
سيتم انشاء قائمه بيضاء او سوداء وذلك بالنقرعلى الزر Create New
أي
ايميل يأتي من االيبي 24/192.168.1.6سيتم تطبيق عليه
ال ـ action=mark as Spamأي علم عليه بأنه اسبام ايميل .
*******************************************************************
حيث ال ـ actionاحدى الخيارات التالية :
: Mark as Reject -1ارفض االرسال واالستالم من هذا االيميل نهائيا مره أخرى .
: Mark as Spam -2جعل االيميل ك اسبام
: Mark as Clear -3مسح االيميل
طريقة الـ ـ : Email Wildcardلو انت تستلم ايميالت مزعجه من دومين معين ايميل محدد فيمكنك
استخدام هذه الطريقة حيث هنا يمكن استخدام الرموز مثل * ..
حيث أي ايميل من الدومين *@XX.COMسيتم رفضه ..
طريقة : Email Regular Expressionنفس النوع السابق ولكن ال يمكن استخدام الرموز مثل * ..
إعداد /حممد املرفدي الصفحة 391من 469
أساسيات فورتي جيت
عباره عن ارسال تنبيهات ()alertملدراء الشبكة الذي يتحكموا بجهازالفورتي جيت باألحداث التي
بتحدث في الشبكة وذلك كنوع من التحذيروالتنبيه والقيام بحدث معين.
حيث في حالة حدوث أي حدث( )Eventفأن جهازالفورتي جيت سوف يقوم بعمليه التنبيه ()alertولك
باإلرسال الى االيميل او الى املوبايل عبر .. SMS Getaway
أي يمكنك عمل شبكة كامله مكونه من عده اجهزه (كمبيوترات،سيرفراتن،IP PHONEروترات
،سويتشات واكسس بوينت ...الخ حيث يتم ذلك عبراالنترنت بشكل آمن وبهذا يمكن ان أوصل الى
السيرفرات ..الخ عن بعد عبراالنترنت وأيضا يمكنك الوصول الى ال ـ ERPمن البيت عبراالنترنت .
➢ أي بيانات متر عرب الــ VPNتكون آمنه ألنها بتمر ب 3أشياء اساسيه(مميزات) :
.1توفيرقناه ( )Tunnelتمرمن خاللها البيانات من املصدرالى الهدف لذا تحقق املوثوقية واألمان .
.2البيانات بتمربشكل مشفرخالل القناه من املصدرالى الهدف
.3يكون لها باسورد مشتركه تسمى( )pre shared keyما بين املصدروالهدف .
هذا النوع معناه بأن كل طرف لديه جهازفورتي جيت يوجد ما بينهم قناه (.)tunnel
حيث كما بالصورة أعاله يوضح بأنه يجب ان يكون لدى كل جهازفورتي جيت Real ipكما موضح أعاله
الطرف األول االيبي هو( )a.1.2.3والطرف االخر(.)b.4.5.6
أي ان جهاز ( pc1يجب ان يكون منزل عليه برنامج ) forticlientيستطيع الوصول الى الشبكة الداخليه
24/10.10.1.0وليس العكس .
مالحظة pc1 :يمكن ان يكون كمبيوتراو موبيل بمختلف انظمه التشغيل .
حيث يمكن للجهازالوصول الى مصادرالشبكة املوجودة على الشبكة 24/10.10.1.0وكأنك اخذت هذا
الجهازووصلته بالسويتش املوجود بالفرع البعيد (. )24/10.10.1.0
حيث هذا الشكل يعتبرنفس الشكل األول ( )peer-to-peerأي الند بالند .
حيث أي فايروول يجب ان يدعم هذه األنواع من بروتوكوالت ال ـ VPNوهما IPSec VPNو SSL VPN
احدى اهم ميزات الـ VPNهي عمليه تشفيرالبيانات التي بتمرمن املصدرالى الهدف وذلك لزياده األمان و
املوثوقية .
حيث بتتم عمليه التشفيرفي املصدر(بأحدى خوارزميات التشفير)وعمليه فك التشفيرفي الهدف ..
لزياده األمان واملوثوقية يقوم ال vpnبين طرفي االتصال باستخدام باسورد متفق عليها بين الطرفين
وتسمى ب ـ preshared keyاو RSA certificate
: IPSec VPNيمكن من خالله ان تقوم بربط فرعين ( )site to siteاو . point to site
كما بالصورة أعاله فأننا سوف نسمح ليوزر(جهاز)بالوصول الى الشبكة الداخيه عبر. IPSec vpn
حيث يجب ان يكون لدي real ipللمنفذ Wan1مثال 78.93.188.90حيث ان هذا االيبي متاح على
االنترنت وأيضا متاح من داخل الشبكة الداخليه بعكس ال private ipللشبكة الداخليه
24/192.168.2.0الذي يكون متاح فقط من داخل الشبكة الداخليه .
حيث wan1هو الذي سيقوم باستالم االتصال القادم من املستخدمين من برع الشبكة (Remote user
)كما بالصورة املوضحه أعاله .
حيث الجهازسوف يتصل بااليبي 78.93.188.90عبربرنامج الفورتي كالينت
. fortiClient
حيث تم تحديد اسم للـ tunnelباسم IPSec_tunnelونوعها Remote Accessوكما بالصورة أعاله فأن
اجهزه اليوزرممكن ان تكون ويندوز او ماك او اندرويد .
كما بالصورة أعاله تم تحديد نوع ال ـ incoming interfaceالذي سيتقبل االتصال وهو كما شرحنا
سابقا سيكون wan1الذي عليه ال ـreal ip
وسوف نكتب ال ـ preshared keyالتي سيتم إعطاءها للمستخدمين الذي سوف يدخلوا من خارج
الشبكة ()Remote users
كما بالصورة أعاله تم تحدد local interface =lan1وهي الشبكة الداخليه وبالتحديد local
address=Internal_networkالتي تم تحديدها سابقا . 24/192.168.2.0
وتم تحديد االيبيهات التي سوف يحصل عليها اجهزه ال ـ remote usersمن جهازالفورتي جيت بمجرد
االتصال ب ـ vpnوهي 10.10.10.1الى 10.10.10.5أي خمسه اجهزه .
وتوجد لدينا خاصيتين :
Enable ipv4 SplitTunnelحيث عند تفعيلها فانت تسمح لل remote usersبالوصول الى شبكات
محدده ..
Allow Endpoint Regsterationعند تفعيها فأنت بذلك تفعل عمليه ال ـ registrationعلى برنامج
.. forticlient
حيث الكالينت( )remote user vpnيمكن يعمل تسجيل على الفورتي جيت
تم انشاء ال ـ vpn tunnelوحالتها Inactiveألن ال يوجد أي اتصال حاليا عليها من أي يوزرفمجرد
االتصال يصبح الحالة . active
نالحظ بأنه بمجرد انشاء ال ـ tunnelتم انشاء بوليس ي كما بالصورة ادناه
تم
انشاء البوليس ي وبهذا اصبح جهازالفورتي جيت اصبح جاهزالستقبال االتصال عبرvpn connection
بعد ذلك سوف نقوم بعمل اإلعدادات على برنامج الفورتي كالينت ..
حيث تم تحديد نوع االتصال هو IPsec VPNثم أي اسم لالتصال وليكن Marfadi
و remote Getawayهو ايبي WAN1وهو ل real ipاملحدد 78.93.188.90
ثم نقوم بإدخال اليوزرنيم والباسورد لليوزرمثال marfadi1والذي قمنا بإنشائه في اول الخطوات ثم
نقوم بعمل اتصال ..
ال ـ VPNتعتبرمن احدى الوسائل األساسية للوصول الى INTERNAL NETWORKمن أي مكان بالعالم
مثال كما يحصل حاليا بسبب جائحه كورونا ()work at homeعبراالنترنت .
: Tunneling mode -2هو الشكل املعتاد الذي من خالله بعمل vpnحيث فورتي جيت بتستخدم
برنامج تابع لها يسمى Forticlientبيتم تنزيله على الويندوز او املاك او اندرويد
حيث نريد الوصول عبراالبتوب الى الفايل سيرفرو باقي السيرفرات املوجودة في الشبكة الداخليه كما
بالصورة أعاله ..
حيث ال ـ ssl vpnيحتاج بعض اإلعدادات على الفورتي جيت لكي يتم تنفيذه :
-1يحتاج الى انشاء local userو local Groupلديهم صالحيه ال ـ vpn
Listen interface -2وهو ال ـ WANيكون عليه real ip
Security policy -3تسمح بمرورالترافيك ما بين الشبكة الداخليه وال ـ vpnوما بين ال ـ vpnواالنترنت لو
اردت اجعل املستخدمين الي برع الشبكة مثال جهاز(االبتوب)يستخدم االنترنت من خالل الشبكة
الداخليه الخاصة بي .
ثم نقوم بكتابه االيميل الخاص بي في حالة تم نسيان الباسورد سيقوم بإرساله الى االيميل في حالة قمت
بعمل reset password
نالحظ كما بالصورة أعاله بان الفورتي جيت بشكل افتراض ي يوجد بداخله portal 3كالتالي :
: Full-accessهنا لهم صالحيات بانهم يوصوا الى vpnسواء عبرال tunnel modeاو web
access
: Tunnel-accessهذه صالحيات خاصه ب tunnel mode
: Web-accessهذه خاصه بالويب اكسس حيث اليوزرات التي سوف يتم وضعهم هنا سيتم
اعطائهم صالحيات بأنهم يوصلوا الى vpnعبرالويب مود .
حيث قمنا بتحديد كرت ال ـ WANوالذي عليه real ipويفضل تغييرال listening port fromمن
443الى مثال 4430بحيث يمكن اداره الفورتي جيت نفسه عبر)https( 443من خارج الشبكة عبر
االنترنت وكما يمكن الوصول الى vpn web modeعبرالبورت . 4430
كما بالصورة أعاله يمكن الوصول عبرال vpnمن أي جهاز وأيضا يفضل ال تقوم بتغيرالشهادة
واتركها كما هي .
أيضا يتم ترك االعدادات كما بالصورة أعاله بحيث الفورتي جيت هو من يقوم بتعين االيبي
لليوزرات التابعه لل ـ. VPN
وكما نترك ال ـ dns serverهو نفسه التابع للفورتي جيت .
نالحظ كما بالصورة أعاله بأنه تم انشاء Ruleتسمح بالوصول من خارج الشبكة(عبر ) VPNالى
الشبكة الداخلية لكن كل اليوزرات التي عبرال ـ VPNلن تستطيع الوصول الى االنترنت ابدا ويجب
ان نقوم بإنشاء Ruleتسمح للناس بعد ما يقوموا بعمل vpnان يكون لديهم انترنت عبر HQأي
الشبكة الداخلية حيث سيتعامل معهم الفورتي جيت ك. proxy server
حيث نالحظ بأن ال ـ Outgoing interface =SD-Wanحيث جهازالفورتي جيت معمول دمج ألكثر
من خط ولذا اليوزرات التابعه ل ـ vpnوالتي تم تحديدها ب ـ sourceسوف تحصل على االنترنت عبر
SD-Wanلجهازالفورتي جيت .
اآلن لدي Rule 2التي تسمح بالترافيك بين ال ـ VPNو LOCAL NETWORK
حيث الرابط( )URLالتي بواسطته يمكنك الوصول الى الشبكة الداخليه عبرال ـ VPN Web
modeهو ip wan of fortigate+4430والذي تم اعداداه سابقا
كما بالصورة التالية :
كما بالصورة أعاله فأن ال ـ bookmarkالتي قمنا بأنشائها سابقا باسم SRVموجودة وهو
Remote Desktopللسيرفر 192.168.10.100وبمجرد النقرمرتين عليه يفتح لنا السيرفر...
او يمكنك عبرال ـ Quick Connectionsان تصل الى أي Serviceتريدها سواء HTTP/HTTPS
..RDP SSH Pingالخ
وهذه الطريقة األولى vpn/sslعبرweb mode
إعداد /حممد املرفدي الصفحة 431من 469
أساسيات فورتي جيت
و الطريقة األخرى عبرالفورتي كالينت كما بالصورة التالية :
حيث يمكنك تنزيل برنامج الفورتي كالينت عبرموقع الفورتي جيت نفسه او من الصفحة التابعه
ل ـ web accessكما بالصورة أعاله ...
ثم نقوم بعمل installللتطبيق
فمجرد ادخال اليوزرنيم والباسورد وعمل connectفانه سوف يتصل ويمكنك بعد ذلك
الوصول الى HQومنها الى السيرفرات ...
كما بالصورة أعاله توضح بأن اسم ال ـ tunnelهو tunnel1ونوعيه الربط هو site to siteحيث
تم اختيارالجهازاملوجود بالفرع البعيد هو فورتي جيت.. 2
ثم نكتب ال ـ remote subnetوهي للشبكة البعيده واملوجودة على site 2وهو 24/192.168.30.0
مالحظة :سيقوم الفورتي جيت بإنشاء Network objectل ـ . 24/192.168.2.0
وأيضا لل ـ 192.168.30.0/24وهي ل ـ remote subnetكما بالصورة ادناه .
نالحظ بانه تم انشاء عناوين ومجموعات بشكل تلقائيه كما بالصوه أعاله ..
وأيضا سيتم انشاء سياستين ( )two policiesبشكل تلقائي كما بالصورة ادناه
سوف نقوم بتكرارنفس العملية ولكن على الـ Site 2أي على الفورتي جيت ...2
تمت العملية على ال ـ site1وسوف نكرر نفس العملية على ال ـ site 2
لكن في حال ال ـ site1لديه static ipفاني سوف أقوم باستخدامه ...
: Traffic priorityوظيفتها إعطاء اولويه من يأخذ سرعات حيث الذي لديه priorityاعلى هو
من يكون له األولوية في السرعات .
انوع ال ـ: traffic shaper
: Sharedيتم تقاسم الـ traffic shaperحيث 400كيلو سوف تقسم على عدد األشخاص .
: Per ipيتم تخصيص traffic shaperلكل ايبي أي سيتم تخصيص 400كيلو لكل شخص .
حيث أقول للفورتي جيت لو وصل لك اتصال عبربورت معين قم بإدخاله الى السيرفرالفالني ..
حيث interface :wan3وهو البورت الي موصل عليه ال ـ static ipوهو 172.20.120.236
فبعد ذلك يجب ان أنش ئ بوليس ي تسمح باالتصال من خارج الشبكة الى داخل الشبكة
( internetالى .) local network
حيث بمجرد الدخول الى 172.20.120.236:777سوف يتم تحويلك الى السيرفر 192.168.2.11مباشره.
➢ طريقة انشاء virtual groupحبيث أقوم بضم الــ virtual ip’s 4بداخلها ..
سنقوم بإعداد البوليس ي التي تسمح باالتصال من خارج الشبكة الى الشبكة الداخليه
فأحيانا تحصل هجمات تسمى DOSحيث بيتم ارسال كميه طلبات كثيره جدا على خدمه معينه
من اجل ايقافها ...
مثال سيرفرعليه remote desktop connectionبيستلم االتصال عبرالبورت ، 3389
حيث ممكن استغالل هذا البورت املفتوح بحيث أقوم انا كا هاكربارسال SYNو السيرفرسوف
يرد ب ـ ACK ,SYNو تتكرالعملية بيني وبين السيرفرالى ان تتم عمليه إيقاف الخدمة ()RDPألن
هناك أدوات وبرامج تقوم بعمليه ارسال مالئين من SYNفي توزيعه كالي لينكس ..
وهذا يسبب بأن الخدمة التابعة ل ـ RDPاملوجودة في السيرفرتصبح Downوتسمى هذا العملية
TCP syn flooding attackوتعتبرنوع من أنواع ال ـ. DOS attack
يوجد أيضا هجمات أخرى مثل ال ـ ICMP syn flooding attackو UDP floodingوغيرها وكلها
تندرج تحت ال ـ. DOS attack
فالفورتي جيت عنده خاصيه جميله اسمها IPV4 Dos policyحيث تستخدم هذه امليزه من اجل
منع والتحكم بهذا النوع من الهجمات ..
إعداد /حممد املرفدي الصفحة 454من 469
أساسيات فورتي جيت
اآلن سنقوم بإنشاء policyتمنع هذه النوعيه من الهجمات من برع الشبكة(من االنترنت)
الصور أعاله توضح بان عمليه الفحص والتحكم بال ـ connectionالقادم الى ال ـ wan interface
حيث سيتم عمل logلالتصال القادم من او الى source ipو Destination ipوتعدى الـ. 5000
أيضا يتم عمل Blockل ـ tcp_syn_floodلو وصل عدد الجلسات عن 1000لبورت معين ..وهكذا
بهذا انا قمت بتأمين الترافيك الذي يأتي عبرال ـ wan interfaceسواء على شكل tcpاو udpاو
icmpمن هجمات ال ـ. DOS
➢ : DNS Filtering
عباره عن خاصيه بالفورتي جيت استطيع ان اعمل بها web filteringبواسطة ال ـDNS
الفورتي جيت سوف يقوم بإغالق الوصول ألي Domainsخاص بال ـ.. Botnet
كما يمكننا اغالق المواقع عبر FortiGuard Category Based Filterكما بالصورة ادناه
يعني ممكن تقفل ال ـ www.marfadi.com/testو بنفس الوقت تكون سامح ان املستخدمين يفتحوا
Www.Marfadi.com/users
لكن ال ـ DNS filterبيقفل عبرال ـ DNS Queriesمن البداية أصال ..
يعني ال يعمل resolveل ـ www.marfadi.comأصال ..
اخلامتة
الحمد هلل تعالى الذي وفقنا في تقديم هذا الكتاب ،وها هي القطرات األخيرة في مشوارهذا الكتاب،
وقد كان الكتاب يتكلم عن فورتي جيت فايروول ،وقد بذلنا كل الجهد والبذل لكي يخرج هذا
الكتاب بهذا الشكل .ونرجو من هللا أن تكون رحلة ممتعة وشيقة لكل مبتدأ في هذا املوضوع،
وكذلك نرجو أن تكون قد أرتقت بدرجات العقل الفكر ،حيث لم يكن هذا الجهد بالجهد اليسير
حيث استغرق تقريبا 8اشهرمن االستماع لفيديوهات مختلفة والبحث في الفورتي جيت من
مصادرمختلفة ،ونحن ال ندعى الكمال فإن الكمال هلل عزوجل فقط وانا أصال شخص مبتدأ في
الفورتي جيت وهذا اجتهاد بسيط مني وال ادعي االحتراف فيه ،ونحن قدمنا كل الجهد لهذا
الكتاب ،فإن وفقنا فمن هللا عزوجل وإن أخفقنا فمن أنفسنا ،وكفانا نحن شرف املحاولة،
ً ً
واخيرا نرجو أن يكون هذا الكتاب قد نال إعجابكم .وصل اللهم وسلم وبارك تسليما كثيرا على
معلمنا األول وحبيبنا سيدنا محمد عليه أفضل الصالة والسالم ..