FortiGate Essentials by Mohamed Marfadi PDF

‫أساسيات فورتي جيت‬
‫إعداد ‪/‬حممد املرفدي‬

‫الفهرس‬
‫املقدمة ‪1 ..............................................................................................................................‬‬
‫كلمة شكر وعرفان ‪2 ..............................................................................................................‬‬
‫مقدمة عن فورتي جيت ‪3 .......................................................................................................‬‬
‫طريقة تنزيل و ضبط اعدادات ‪4 ...................................................................... FortiGate vm‬‬
‫ضبط اعدادات كرت الشبكة على جهازالكالينت(‪12 .......................................................)Client‬‬
‫طريقة عمل ‪ reset‬لعدد األيام (‪ )14‬لل ـ‪18 ........................................................................... VM‬‬
‫مشكله ظهور بان االيسنز(‪ )License‬قد انتهى ‪20 .......................................................................‬‬
‫طريقة عمل باك اب لإلعدادات التابعه لل ـ‪ VM‬وكيفيه استعادتها ‪20 ...........................................‬‬
‫شرح مكونات وواجهات الفورتي جيت ‪23 .................................................................................‬‬
‫طريقة تغييرباسورد األدمن (‪)admin‬بواسطة ‪24 ............................................................... CLI‬‬
‫إيقاف او اعاده التشغيل او تغييرالباسورد او للخروج من الفورتي ويب عبر‪24 .......................... GUI‬‬
‫شرح ال‪25 ..................................................................................................... DASHBOARD‬‬
‫شرح القوائم ‪29 ....................................................................................................................‬‬
‫شرح استخدامات ومعلومات ال‪29 ............................................................................. Widget‬‬
‫طريقة توصيل االنترنت لجهازالفورتي جيت ‪39 .........................................................................‬‬
‫متى احتاج الى عمل ترقيه –تحديث‪ -‬للـ ‪ Firmware‬التابع لجهازالفورتي ‪44 .................................‬‬
‫طرق ترقيه النظام ‪44 ............................................................................. Upgrade firmware‬‬
‫عمليه ال ـ ‪45 ....................................................................................................... downgrade‬‬
‫‪45 .................................................................................. Administration types &profiles‬‬
‫طريقة انشاء يوزرجديد بواسطة ‪47 ................................................................................. CLI‬‬

‫لحذف يوزربواسطة ‪49 ................................................................................................... CLI‬‬
‫ما هو ‪ FortiGuard‬؟ ‪52 .......................................................................................................‬‬
‫‪53 .......................................................... SD-WAN=WAN Link Load Balancing SD-WAN‬‬
‫طريقة انشاء ‪ SD-WAN Rule‬جديده ‪61 ................................................................................‬‬
‫جعل ال ـ ‪ https traffic‬يطلع عبرال ـ ‪62 .......................................................................... wan 2‬‬
‫جعل ال ـ ‪ http traffic‬يطلع عبرال ـ ‪63 ............................................................................ wan1‬‬
‫انشاء ‪ SLA‬باسم ‪ INTERNET‬حيث تقوم بفحص الخط األفضل ‪64 .........................................‬‬
‫طريقة اظهارميزه جديده مثال تريد اظهارالخاصية(‪66 ............................................ )features‬‬
‫طريقة انشاء ‪ Rule policy‬جديده ‪67 ....................................................................................‬‬
‫شرح ‪70 .............................................................................................................. Schedule‬‬
‫طريقة انشاء ‪70 ................................................................................................ schedule‬‬
‫تحديد أيام محدده ووقت محدد مره واحده فقط وينتهي ‪73 ....................................................‬‬
‫أنواع ال ـ ‪ actions‬في ال ـ ‪74 ............................................................................................ policy‬‬
‫‪75 .............................................................................................................. Traffic shapers‬‬
‫‪76 ............................................................................................ APPLICATION CONTROL‬‬
‫‪82 ...................................................................................................................... Web Filter‬‬
‫ما هو ال ـ‪82 .......................................................................................................... fortiguard‬‬
‫ماهي فكره ال ـ ‪82 .................................................................................................. Fortiguard‬‬
‫طريقة انشاء ‪83 ......................................................................................... web filter profile‬‬
‫طريقة اغالق موقع معين باإلضافة الى ‪ sub domain‬بواسطة ال ‪89 .......................... web filter‬‬
‫بعض التمارين واألمثلة حول ال ـ‪ web filter‬واستخدام ‪90 ................................ static URL filter‬‬

98 ............………………………………………………………………… Web category based filtering
101 .......................................................................................... Web category usage quota
105 ........................................................................ Web Category Based Filter Overriding
107 .................................................................................................... Web Rating Override
109 ................................................................................................... Web Profile overrides
110 ....................................................................................................................... ADDRESS
112 ........................................................................................................... Fortinet solution
113 .......................................................................................................................... Firewall
114 ............................................................................................... ‫تسلسل واشكال الفايرووول‬
116 ................................................................ Bandwidth ,Throughput ,Concurrent Sessions
118 ..................................................................................................................................FortiGate Series
119 .............................................................................................. .......... ‫موديالت فورتي جيت‬
119 ......................................................................................Operating system OS key features 5 2
120 ............................................................................................................................Home lab Design
121 ..................................................................................FortiGate basics Registering FortiGate
121................................................................ ‫ لجهاز الفورتي جيت‬Registration ‫طريقة عمل‬
122 ............................................................................................................ features‫ماهي ال‬

126 ................................................................................... ‫ في الفورتي جيت‬Revisions ‫ما هو‬
129 .............................................................................NTP server(Network time protocol)
131 ............................................................................................................. ‫تصميم الشبكة‬
133 ................................................................................................. Advice administration
‫حممد املرفدي‬/ ‫إعداد‬

136 ......................................... ‫طريقة رفع مستوى األمان عند الوصول الى جهاز الفورتي جيت‬
144 .................................................................................................... Trusted hosts ‫ما هو‬
147 ..................................................................................................... Interface ip address
153 .............................................................Static route(default gateway)(static gateway)
156 ................................................................................................... Password recovery
158 ............................................................MAINTAINER MODE‫ ل ـ‬DISABLE ‫طريقة عمل‬
159 ....................................................................................................... Password policy

162 .................................................................... ‫ على الفورتي‬DHCP server ‫كيف تفعيل‬
165 ............................................‫) التي يتم تطبيقها على اجهزه الكالينت‬Cmd(‫بعض األوامر‬

168 ................................................. dhcp server‫ في ال ـ‬leased duration ‫طريقة تعديل ال ـ‬
172 .................…….………………………………………………….DNS(domain name service)
173 .................................................................................................................FortiGuard Concept
175 ...................................................................Fortiguard distribution network (FDN)
178 .............................................................................................................................FortiExplorer
179....................................................................................... Fortigate firewall policy
180 .............................................................)‫ األساسية )الضرورية‬objects ‫ماهي انواع ال ـ‬
182 ............................................................................................... ‫طريقة انشاء البوليس ي‬
185 ......................................................................................................Firewall objects

193.............................................................................. address list ‫شرح بعض اعمده الـ‬
201 ............................................................................................‫ ؟‬services‫ماهي أنواع ال ـ‬

206 ........................................................................................ service group ‫ما هو ال ـ‬
208 .......................................................................................................... ...Schedule
208 ............................................................................... ‫ جديد‬schedule ‫طريقة انشاء‬
214 ............................................................................. schedule group ‫طريقة انشاء‬
219 ........................................................................................................ Policy order

224 ............................................................................................. Managing devices
225 ..................................................................‫كيف يقوم فورتي جيت بأداره األجهزة ؟‬
232 ................................................................................. Access control list (ACL)
233 ..................................................................................... Mac reservation ‫ما هو‬
243 ........................................................................................................ FortiClient
245 ................................................................ ‫طريقة تنزيل الفورتي كالينت على االجهزه‬
246 ................................................................................................... Authentication
247 ..........................‫ (التحقق من الهوية) في الفورتي جيت‬authentication ‫ماهي طرق ال ـ‬
248 ..........................................................................................Local authentication
256 .............................................................................. Max invalid authentication
257 ..................................................................................... Authentication timeout
261 .................................................Restricting number of concurrent user logons
262 ................................................................................................Managing guests
273 ............................................................................FSSO(fortinet single sign on)
279 .........................................................Poll Active Directory server ‫الطريقة األولى‬
284 ................................. AD‫ بين الفورتي جيت وال ـ‬integeration ‫الطريقة الثانية لعمل الـ‬

‫الطريقة الثانية(خياراخر) لعمل ‪ integration‬عبراختيارال ـ‪302 ............Collector Agent‬‬
‫‪303 ............................................................................................................. Antivirus‬‬
‫كيف تفرق بين قواعد بيانات الفايروسات على جهازالفورتي جيت ؟‪304 ...........................‬‬
‫كيف بيتم عمليه التحديث لل‪ Antivirus DB‬؟‪304 .........................................................‬‬
‫طريقة تفعيل ال ـ ‪ antivirus‬على الفورتي جيت وعمل حمايه للشبكة من أي تهديدات ‪309 ...‬‬
‫طريقة انشاء بروفايل جديد ل ـ‪309 .................................................................. antivirus‬‬
‫طريقة اختيارالبروفايل مخصص في البوليس ي ‪311 .........................................................‬‬
‫‪312 ................................................................................................. Antivirus Mode‬‬
‫متى يتم استخدام ‪ flow base‬ومتى يتم استخدام ‪ proxy base‬؟‪314 ...............................‬‬
‫ماهي طريقة عمل مكافح الفايروسات في الفورتي‪314 ......................................................‬‬
‫‪316 ........................................................................Antivirus Profile configuration‬‬
‫‪317 ..................................................................................................... Web filtering‬‬
‫أسباب التحكم في ‪317 ........................................................................ Web filtering‬‬
‫‪318 .......................................................................................... Web filtering mode‬‬
‫ماهي الخيارات املتاحة على الفورتي جيت بخصوص ال ـ‪319 .......................web filtering‬‬
‫ماهي عالقه فورتي جاربالفورتي جيت ‪320 ...................................................................‬‬
‫كيفيه التعامل مع ال ـ ‪ fortiguard category‬في ال ـ‪321 ................................... web filter‬‬
‫أنواع ال ـ ‪332 ................................................................................................... action‬‬
‫‪348 ............................................................................................ Web URL filtering‬‬
‫‪357 ........................................................................................... Web content filter‬‬
‫‪362 .....................................................................................Application controller‬‬

363 ............................................................................ Application control action
363 ...................................................................................... Traffic shape‫ما هو ال ـ‬
370 ...................................... Application control‫طريقة التحكم في التطبيقات عبرال ـ‬
371 ................. category ‫)التي بتكون مندرجه تحت ال ـ‬signatures(‫ملعرفة ماهي البرامج‬
373 ....................................................................Application and Filter Overrides
379 ...................................................................... ‫)لجهازمعين‬ban(‫طريقة عمل حظر‬
383 ........................................................................................................ Email filter
387 ....‫ماهي الطرق التي يستخدمها الفورتي جيت لكي يساعدك الكتشاف االسبام ايميل ؟‬
393 .................................................................................. Logging and monitoring
395 ........................................................................ VPN(Virtual private Network)
396 ....................................... )VPN Tunnel designs( ‫ او يسمى‬VPN‫اشكال االتصال ال ـ‬
398 ..................................................................................... VPN ‫أنواع بروتوكوالت ال ـ‬
398 ............................................................................................... VPN Encryption
400 ................................................................. IPSec Client/server‫التطبيق العملي ل ـ‬
413 ............................................................................................. IPSec SITE to SITE
416 ...................................................................................................... vpn over SSL
435 ......................................................................VPN SITE TO SITE ‫تمرين اخرحول‬
440 .................................................... VPN SITE TO SITE DYNAMIC DNS(DDNS)
442 ............................................................................................. Network address
443 ................................................................................................... Traffic shaper
445 .......................................................................................... traffic shaper‫انوع ال ـ‬

445 .................................................................. Traffic shaping policy ‫طريقة انشاء‬
447 ........................................................................................................... Virtual IP
448 ....................................................................................... Virtual ip ‫طريقة انشاء‬
450 ..................................................................................................... Virtual group
451 ..................... ‫ بداخلها‬virtual ip’s 4‫ بحيث أقوم بضم ال ـ‬virtual group ‫طريقة انشاء‬
454 ........................................................................ IPV4 DOS policy configuration
457 ..................................................................................................... DNS Filtering
459 ................................................................. web filter And dns filter‫الفرق بين ال‬
460 ....................................................................................................................................... ‫الخاتمة‬

‫املقدمــــــــة‬
‫بسم هللا الرحمن الرحيم ونصلى ونسلم على أشرف املرسلين سيدنا محمد‬
‫صلى هللا عليه وسلم رسولنا الكريم الذي علم األمة ‪،‬‬
‫سوف نعرض لكم موضوع من أهم املوضوعات التي تواجهنا كمهندس ي تقنيه‬
‫معلومات ‪،‬‬
‫وهذا املوضوع مهما تحدثت وكتبت لن اوفيه حقه ‪،‬ولكن سنحاول بقدر‬
‫اإلمكان ان نعرض لكم أهم الجوانب واملعلومات الخاصة باملوضوع‬
‫" ‪ "FortiGate UTM firewall‬وندعو هللا ان يوفقنا لهذا ‪..‬‬
‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 1‬من ‪469‬‬

‫كلمه شكر وعرفان‬
‫وحب وعرفان إلى من بالحب غمروني وبجميل السجايا أدبوني إلى أبي ّ‬
‫وأمي إلى من كان‬ ‫رسالة شكر ّ‬
‫حبهما يجري في عروق دمي إلى من كانت ابتسامتي تزيل شقاهم وسعادتي ترسم االبتسامة على‬
‫شفاهم إلى من أحببتهم حتى سارحبهم في الوجدان إلى من أمرني ربي بطاعتهم واإلحسان لهم أبي‬
‫حبي الكبيرلعظمتكم حروف العشق عجزت عن نظم أجمل‬ ‫الحب عجزت عن وصف ّ‬ ‫ّ‬ ‫ّ‬
‫وأمي كلمات‬
‫وأمي حفظكم هللا‬ ‫السعادة في قلبي أبي ّ‬ ‫سر ّ‬
‫القصائد واأللحان فيكم أنتم قلبي‪ ،‬أنتم فرحي أنتم ّ‬
‫ُ‬ ‫ّ‬
‫وأبقاكم لناظري ّأمي أبي أنتم قلبي النابض حبكم يسري في شراييني كيف ال وأنتم أول من نظرت‬
‫حبكما في قلبي كملء األرض بل يطاول‬ ‫إليهما أول أصوات سمعتها أول اسمين نطقت بها شفتاي ّ‬
‫ّ‬ ‫عنان ّ‬
‫السماء إلى شمعة دربي وبلسم جروحي إلى من سهروا الليالي من أجلي‪ ،‬من أجل راحتي ورسم‬
‫ّ‬ ‫ّ‬ ‫ُ‬
‫عشت ّ‬
‫حقهما إلى من أوصاني ّربي بطاعتهما دون‬ ‫الدهركله لن أوفي‬ ‫البسمة على شفاتي إلى من إذا‬
‫ً‬ ‫ّ‬ ‫معصيته إلى سبب نجاحي وسعادتي في ّ‬
‫الدنيا واآلخرة إلى جنتي شكرا ّأمي الحنونة أبي الغالي‬
‫حفظكم هللا وعافاكم ‪..‬‬
‫شكرا لكل افراد اسرتي ‪...‬‬
‫واشكر كل أصدقائي وكل من وقفوا معي حتى بكلمه تشجيع ‪...‬‬
‫اسال هللا ان يحفظ اليمن كافه والحديدة خاصه وان يعم األمن واألمان في كل ارجاء اليمن ‪.‬‬

‫مقدمة عن فورتي جيت ‪FortiGate‬‬
‫الفورتي جيت هو التطور الطبيعي للفايرول نظرا النتشارالفيروسات وامللفات الخبيثة فأصبحت‬
‫الجدران النارية غيركافيه لتامين الشبكات ومن هنا ظهرمصطلح ال ـ ‪UTM( Unified Threat‬‬
‫)‪Management‬‬
‫تعني إدارة التهديدات املجمعة او املوحدة بمعني توفيراكثرمن حمايه للشبكة‪.‬‬
‫حيث يقدم مجموعه واسعه من الوظائف االمنية في جهازواحد يدعى ‪ FortiGate‬ويعمل هذا‬
‫املنتج كأحد حلول ‪ UTM‬املعروفة وهي ان يعمل ك ـ ‪WAN acceleration , firewall , vpn , ips ,‬‬
‫‪ Web filtering , antivirus , antispam ,‬والعديد من الوظائف التي ال غنى عنها لبناء شبكة‬
‫عمالقة مؤمنة ‪،،‬هناك العديد من املوديالت الصغيرة والكبيرة لتغطية جميع االحتياجات‪.‬‬

‫❖ طريقة تنزيل وضبط اعدادات الـــ‪: VM FortiGate‬‬


‫نالحظ بالصورة ادناه بظهور كروت شبكة افتراضيه (وهميه)تابعه ل ـ‪vmware work station‬‬

‫نقوم باختيارمكان ‪ fortigate vm‬والتي باسم ‪FortiGate-VM64.ovf‬‬

‫نكتب اسم لل ـ‪ vm‬مثال ‪FortiGate-VM64 FORTIGATE-MARFADI‬‬

‫ونحدد مكان حفظ نسخه ال ـ‪ vm‬ثم نقوم بعمل استيراد ‪...‬‬
‫موافق‪...‬‬

‫نالحظ بالصورة أعاله بان الرام ‪ 1‬جيجا والهارد ‪..‬وعدد ‪ 8‬كروت شبكة نوع ‪Bridge‬‬
‫نقوم بتجهيزكروت الشبكة الوهمية التابعه ل ـ‪vm fortigate‬‬
‫كما بالصورة أعاله تم ضبط كرت الشبكة ‪ lan1‬ك ـ)‪Vmnet1(host only‬‬

‫اما كرت الشبكة ‪ lan2‬والذي وسوف يتم تغييره الى ‪ WAN‬سيتم ضبط إعداداته كما بالصورة أعاله‬
‫‪Bridge connected directory to the physical network‬‬
‫وذلك لكي يكون قادرعلى الوصول الى الروتر(املودم)ألنه سوف يكون موصل مع كرت الشبكة الوايرلس‬
‫التابع لالبتوب حيث سنقوم بجعل اعدادات كرت الشبكة ال ـ‪ WAN‬بااليبي ‪ .. 192.168.1.60‬ثم سوف‬
‫نقوم بضبط اعدادات كرت الشبكة الوهمي التابع لـ‪ VMWARE‬كما بالخطوات التالية ‪:‬‬

‫جعلنا كرت الشبكة الوهمي )‪ Vnet1(host only‬من ‪. subnet 192.168.2.0‬‬
‫وأيضا ضبط الكرت ‪ vmnet0‬بانه من نوع ‪bridge‬‬

‫ضبط اعدادات كرت الشبكة على جهاز الكالينت(‪:)Client‬‬

‫يجب ضبط اعدادات كرت الشبكة ل ـ اجهزه الكالينت كما بالصورة التالية حيث يتم توصيله بنفس‬
‫السويتش التابع لكرت الشبكة ‪ lan1‬التابع ‪VM FortiGate‬‬
‫نقوم بتشغيل ال ـ‪VM fortiGate‬‬
‫جااااري التشغيل ‪...‬‬

‫قم بإدخال اسم املستخدم ‪ admin‬والباسورد االفتراض ي هو فارغ(‪)blank‬‬

‫تم تغييرالباسورد االفتراض ي الى ‪ admin‬مثال بدال عن فااارغ(‪... )blank‬‬

‫حيث االن ال يمكننا الوصول الى ال‪ vm FortiGate‬عبركرت الشبكة ‪ lan1‬عبراالبتوب الحقيقي ألن كل‬
‫جهازفي سويتش مختلف ‪..‬‬
‫لذا سيتم الوصول الى الفورتي جيت من على الجهازالوهمي لويندوز ‪( 8.1‬الكالينت)والذي هو أصال‬
‫موصل على نفس السويتش مع كرت الشبكة ‪ lan1‬ل ـ‪.. vm fortigate‬‬
‫كرت الشبكة ال ـ‪ lan1‬التابع للفورتي جيت موصل بنفس السويتش لجهازالكالينت عبرالسويتش‬
‫‪ VMnet1‬ونوعه ‪.. Host only‬‬

‫لذا االن سوف نقوم بتجهيزكرت الشبكة ال ـ‪ port1‬والتابع ل ـ‪ VM‬وذلك كما باألوامرادناه ‪.‬‬
‫حيث عند كتابه األوامرالخاصة بتجهيزكرت الشبكة ‪ port 1‬بااليبي ‪192.168.2.20‬‬
‫‪Config system interface‬‬
‫‪Edit port1‬‬
‫‪Set ip 192.168.2.20 255.255.255.0‬‬
‫فأنه تظهررساله الخطأ(فقط على ‪ )Vm FortiGate‬كما بالصورة‬
‫"‪"Can't change dynamic ip‬‬
‫وذلك ألن كرت الشبكة بيوزع ايبيهات أوتوماتيكية ‪ DHCP‬لذا سوف نقوم بتحول الكرت الى ‪ static‬كما‬
‫باألمرالتالي ‪:‬‬
‫‪Config system interface‬‬
‫‪Edit port1‬‬
‫‪Set mode static‬‬
‫‪Set ip 192.168.2.20 255.255.255.0‬‬
‫‪Set allowaccess https http ping ssh telnet‬‬
‫حيث قمنا بتحديد ايبي للكرت ‪ port1‬وحولناه الى كرت ثابت ثم حددنا له االيبي‬
‫‪ 192.168.2.20‬وسمحنا بالوصول اليه عن طريق ‪ https‬و ‪ http‬و‪ ping‬و‪ ssh‬و ‪.. telnet‬‬
‫عملية البينج غيرشغاااااااااال من االبتوب نفسه(‪ )Host‬وذلك ألن كرت الشبكة ‪ lan1‬على‬
‫)‪ Vnet1(host only‬أي غيرموصول بسويتش واحد مع كرت الشبكة الخاص باالبتوب ‪...‬‬
‫حيث كرت الشبكة الوايرلس لالبتوب هو ‪ 192.168.1.121‬وكرت الشبكة ‪ lan1‬ل ـ ‪ vm fortigate‬هو‬
‫‪..192.192.168.2.20‬‬
‫لذا سنقوم بتجهيز ‪ vm win 8.1‬ونجعل كرت الشبكة موصل على السوتش الوهمي‬
‫)‪ Vnet1(host only‬لكي يكون موصل مع كرت الشبكة ‪ lan1‬ل ـ‪. vm fortigate‬‬

‫ثم سنفتح الفورتي من خالص الويب (‪)192.168.2.20‬بواسطة متصفح من على جهازالكالينت ( ‪win‬‬
‫‪)8.1‬‬
‫مالحظة‪lan1:192.168.2.20 :‬‬
‫سنقوم بالدخول الى الفورتي عبرالويب وذلك من جهازالكالينت ‪ 8.1‬عبرااليبي ‪ 192.168.2.20‬كما‬
‫بالصورة ادناه ‪...‬‬

‫❖ طريقة عمل ‪ reset‬لعدد األيام (‪ )14‬للــ‪: VM‬‬
‫الفرتة التجريبية لــ ‪ fortigate vm‬هي ‪ 14‬يوم‪ ،‬لذا قبل ما تنتهي الفرتة التجريبية فأنك تقوم بأخذ‬
‫باك اب للفورتي جيت كما سيتم الشرح الحقا ثم عمل ‪ Reset‬لـــ‪ VM‬كما باخلطوات التالية ‪:‬‬
‫‪ -1‬اخذ نسخه باك اب من االعدادات (سيتم شرحة الحقا)‬
‫‪-2‬عمل ‪ reset‬للــ‪ vm‬بكتابه االمر كما بالصورة ادناه‬
‫يتم حاليا عمل استعاده اعدادات املصنع (‪)Reset‬‬

‫ضبط اإلعدادات من باسورد وأيضا ضبط اعدادات كروت الشبكة مره أخرى كما مت شرحه سابقا وذلك بدال من ان‬
‫تقوم حبذف ال‪ vm‬وتقم بتنزيله مره أخرى ‪...‬‬
‫‪LAN1=PORT1=192.168.2.20‬‬
‫‪LAN2=WAN=192.168.1.60‬‬
‫‪WIN 8.1=192.168.2.140‬‬

‫❖ مشكله ظهور بان االيسنز(‪ )License‬قد انتهى كما بالصورة ادناه بالرغم اني‬
‫مل استخدمه اال لساعه فقط ‪..‬‬
‫‪E‬‬
‫فقمت بتنزيل ال ـ‪ VM‬واعدادها مره أخرى ‪....‬واشتغلت واعطت لي ‪ 14‬يوم تجريبي‪..‬‬
‫طريقة عمل باك اب لإلعدادات التابعه للــ‪ VM‬وكيفيه استعادتها ‪:‬‬ ‫❖‬


‫لالستعادة ‪...‬‬

‫❖ شرح مكونات وواجهات الفورتي جيت ‪:‬‬

‫ال ‪ Dashboard‬توضح لنا معلومات حول النظام مثل اسم الجهاز والسيريال وإصدار‬
‫الفريم ويروالتاريخ والوقت للجهازالفايروول ومتى تاريخ انتهاء االيسزنزلكل خدمه‪.‬‬
‫طريقة تغييراسم الجهازبواسطة األوامر‪:‬‬
‫بعد تعديل اسم الجهازواعاده التشغيل‬

‫❖ طريقة تغيري باسورد األدمن (‪)admin‬بواسطة ‪CLI‬‬
‫حيث يجب ان تقوم بكتابه االمر ‪ end‬بعد األوامرأعاله لكي يتمكن من حفظ التغيرات‪..‬‬
‫حيث اصبح الباسورد لليوزر ‪ admin‬هو ‪. 123‬‬
‫*****************‬
‫إيقاف او اعاده التشغيل او تغيري الباسورد او للخروج من الفورتي ويب ‪،‬‬
‫عرب ‪ GUI‬كما بالصورة ادناه ‪..‬‬

‫شرح ال‪: DASHBOARD‬‬

‫هي القوائم املوجودة على يسارالشاشة واملشاراليها باملربع األحمرحيث ممكن أضافه أي قائمة وتسميها‬
‫حسب ما تريد وتضيف اليها نوافذ(‪..)Widget‬‬
‫مثال سوف نقوم بأضافه ‪ Dashboard‬باسم ‪ IMPORTANT‬وسوف نظيف اليها نوافذ محدده‬

‫اآلن سوف نقوم بإضافة نافذه جديده لل ـ‪ DASHBOARD‬املسماة ‪IMPORTANT‬‬
‫حيث سنضيف نوافذ كما بالصورة ادناه‬

‫وللتحكم من حيث حذف او تصغيراو تكبيرحجم النافذه على ال ـ ‪ DASHBOAARD‬نتبع الخطوات كما‬
‫بالصور ادناه ‪...‬‬

‫حيث يمكنك تعديل حجم او حذف أي نافذة (‪)Widget‬من الـ‪. Dashboard‬‬

‫مالحظات ‪:‬‬
‫ممكن نقل النوافذ(‪ )Widget‬من مكان الى اخربواسطة السحب واالفالت ‪.‬‬ ‫‪-‬‬
‫ال يمكن حذف ال ـ‪. Main Dashboard‬‬ ‫‪-‬‬
‫في حالة قمت بتعديالت على ال ‪ Dashboard‬وتريد استعادتها كما كانت افتراضيا فأننا ننقرعلى‬ ‫‪-‬‬
‫الرمزالعجله ثم ‪ Reset Dashboard‬ثم ‪OK‬‬
‫❖ شرح القوائم ‪:‬‬

‫‪: Dashboard -1‬‬
‫هي عباره عن لوحه التحكم ‪،‬حيث بشكل افتراض ي يتم انشاء ‪ Main dashboard‬وتحتوي على‬
‫نوافذ(‪ )Widget‬حيث كل نافذه تعرض معلومات مختلفة عن األخرى مثل‬
‫‪System information ,license ,forti cloud,adinistrators,security fabric,current usage ,‬‬
‫ويمكن أضافه ‪ dashboard‬او ‪ widget‬كما تم شرحه سابقا ‪...‬‬
‫شرح استخدامات ومعلومات ال‪: Widget‬‬
‫‪: System information‬‬ ‫‪-A‬‬

‫مثل ‪، system time&date، Mode، firmware، hostname‬‬
‫‪: License‬‬ ‫‪-B‬‬
‫مثل اليسنز‪IPS,Web filtering,Antivirus,anti spam ,fortiguard‬‬

‫‪: Forticloud‬‬ ‫‪-C‬‬
‫في حالة كنت مشترك في هذه الخدمة فانك عند تفعيلها فانه تتاح لك امكانيه فتح واستعراض أي تقرير‬
‫من أي مكان بالعالم وليس فقط من على جهازالفورتي نفسه حيث كل التقاريرتكون على سيرفرفي‬
‫الكالود‪.‬‬
‫‪: Administrators Widget‬‬ ‫‪-D‬‬

‫يعرض لك معلومات عن اليوزرات الذي ياكسسو(يوصلوا)الى جهازالفورتي مثل يوزر ‪ admin‬او‬
‫‪ Marfadi‬ويعرض لك البروفايل الخاص بهم ونوع الوصول هل هو ‪ https‬او ‪ http‬او‪ ssh‬وهكذا ‪...‬‬
‫‪: Security fabric‬‬ ‫‪-2‬‬
‫هي عباره عن خاصية عرض فقط(‪ )View‬لكل االجهزه التابعه لشركه فورتي من معلومات حول الشبكة‬
‫وعرض تفاصيل عن الشبكة ومتابعة ال‪ logs‬والترافيك ‪...‬الخ‬
‫في الشركات الكبيرة يوجد لديهم اكثرمن جهازحمايه(فايروول)في الشركة مثال ممكن يكون لديهم جهاز‬
‫‪-fortianaliyzer-forimail‬‬
‫حيث على األقل يجب ان يكون لديك ‪ fortigate‬و ‪ fortianalyzer‬لكي تفعل(تعمل)هذه الخاصية ‪،‬‬
‫توجد طريقتين للعرض ‪:‬‬
‫‪Physical topology‬‬ ‫‪-1‬‬
‫يمكنك بواسطته ان تظهر ‪ Topology‬للفورتي جيت كما بالصورة أعاله ‪...‬‬

‫‪Logical topology‬‬ ‫‪-2‬‬
‫حيث بمجرد تمريرمؤشراملاوس على العناصربيوضح لك مثال االيبهات وال ـ‪... interface‬الخ‬
‫‪: Security Rating -3‬‬
‫غيرمتاح في ‪ VM‬ولكن فعليا يتم استخدامه كآليه فحص لألجهزة التابعه لفورتي نت مثال‬
‫‪ FortiAnalyzer‬و غيرها ‪...‬‬
‫‪: Automation -4‬‬

‫فكره ال ـ‪ Automation‬قائمه على ‪(Trigger‬حدث)فأما يحدث(‪ )true‬واما ال يحدث‬
‫(‪ )False‬فلوا كان ‪ true‬قم بعمل ‪ action‬معين ‪.‬‬
‫حيث لو الحظ الفورتي جيت ش ي معين انا بحدده فقم بعمل ‪action‬‬
‫مثال لو قمت بعمل اعاده تشغيل لجهازالفورتي جيت فقم بإرسال أوامرعبر‪cli‬‬
‫كما بالصورة أعاله قمنا بالنقرعلى الحدث ‪Reboot‬‬

‫فنقوم للفورتي جيت في حالة حصل اعاده تشغيل للفورتي جيت قم بعمل ال ـ ‪ action‬كما‬
‫بالصورة التالية وليكن ‪ CLI Scripts‬مثال عمل ‪ping 8.8.8.8‬‬

‫مثال اريد اعمل ‪ Ban‬او حضرلجهازبمجرد حصل له ‪Hacked‬‬
‫بعد حصول املشكلة ب‪ 5‬ثواني قم بعمل ‪ BAN‬للجهازهذا ‪..‬‬

‫‪: FortiView‬‬ ‫‪-3‬‬
‫هو نظام مراقبة للشبكة الخاصة بك مثل ال ـ‪ LOGS‬و عمل فلتربحسب االيبي او فلتربحسب برنامج معين‬
‫او فلتربحسب يوزرمعين والخ‬
‫حيث قائمه الـ‪ Monitor‬تعرض لك معلومات ‪ real time‬ف نفس الوقت وحقيقيه عن تفاصيل مثل من‬
‫اخد ‪ dhcp‬او اي حالة ال ‪ VPN‬وهكذا تختلف عن ال ‪ fortiview‬اللي يعرض لك احداث مسجله مش‬
‫شرط تكون‪. real time‬‬
‫‪: Networks -4‬‬
‫يقوم بعرض معلومات عن كروت الشبكة و تندرج تحت هذه القائمة ‪:‬‬
‫‪:Interfaces -1‬‬
‫يعرض معلومات عن كل املنافذ (‪ )ports‬للفورتي مثل ‪ lan‬و ‪Wan‬‬
‫‪: DNS -2‬‬
‫يوضح ال‪ DNS‬املستخدم هل هو التابع لفورتي مثال او التابع لجوجل مثل‬
‫‪ 8.8.8.8‬او ‪ 8.8.4.4‬او غيرها ‪..‬‬
‫‪: Packet capture -3‬‬

‫يستخدم لعمل مراقبه لجهازمعين مثال جهازصاحب االيبي ‪ 192.168.20.140‬عند الخروج الى االنترنت‬
‫عبراملنفذ ‪ WAN‬حيث يتم حفضها في ملف من نوع ‪ Cab‬حيث يمكن فتح هذا امللف ببرنامج متخصص‬
‫بمتابعة املشاكل ‪:‬‬
‫>‪Network>packet capture>create New>enable filter‬‬

‫)‪Max pacjet to save:4000 (by default‬‬
‫‪Host(s):192.168.20.40‬‬ ‫ممكن تعمل مدى ايبيهات‬
‫‪Port(s):443‬‬ ‫‪https‬مراقبه الترافيك التابع‬
‫‪OK‬‬
‫أي ان االيبي ‪ 192.168.20.140‬اذا استخدم ‪ HTTPS‬مثل فتح موقع معين فان ذلك سيتم حفظه داخل‬
‫امللف لعمل متابعه وتحليل للمشاكل ‪..‬‬

‫‪ :SD-WAN -4‬اسمها أيضا ‪ WAN LOAD BALANCED‬تستخدم لعمل ‪load‬‬

‫‪ balance‬لعدد ‪ 2‬خطوط مثال في حالة توقف احدى خطوط االنترنت فأن الخط االخر يعمل‬
‫بشكل اوتوماتيكي ‪..‬‬
‫‪: Static route -5‬‬

‫تعمل ‪ Route‬بحيث تقول لو وصل اليك احد من ال ‪ internal‬واراد ان يخرج الى ‪external‬‬
‫(االنترنت)خرجه من ال ـ ‪ interface‬مثال ‪ WAN‬كذا ‪...‬‬
‫>‪Network >Static Route>Create New‬‬

‫‪Destination:0.0.0.0/0.0.0.0‬‬
‫)‪Device:port2(WAN‬‬
‫‪Gateway :192.168.1.1‬‬
‫حيث ‪ 192.168.1.1‬هو ايبي الروتر‪..‬‬
‫‪: System‬‬ ‫‪-5‬‬
‫‪ : Administrator -1‬يظهرلك يوزرباسم ‪ admin‬وهو االفتراض ي حيث له الحق بالوصول الى‬

‫الفورتي جيت من أي جهاز‪ 0/0.0.0.0 Trusted Hosts‬حيث ان البروفايل الخاص به نوعه‬
‫‪Super_admin‬‬
‫‪ : Admin profiles -2‬هو البروفايل الي له الحق بالوصول الى الفورتي جيت حيث بشكل افتراض ي‬
‫‪ super_admin‬و ‪ prof_admin‬ويمكنك ان تقوم بتخصيص بروفايل وتحدد نوع صالحيه الوصول‬
‫بحسب ما تريد‪.‬‬

‫‪ : Firmware‬يعرض لك اإلصدارالحالي ل ـ‪ OS‬الخاص بجهازالفورتي وممكن تعمل ‪Upload‬‬ ‫‪-3‬‬
‫لل ـ‪ Firmware‬وأيضا يعرض لك اإلصدارات املتاحة ويمكن عمل ترقيه (‪)upgrade‬او انزال‬
‫(‪ )downgrade‬من هنا‪.‬‬
‫‪ : Settings -4‬ممكن تعدل اسم الجهازمن ‪، Hostname‬وايضا يعرض لك الوقت والتاريخ الحالي‬
‫ويمكنك تغييراملنطقة الزمنية لجهازالفورتي ‪،‬‬
‫يمكنك أيضا تعديل رقم البورت االفتراض ي ‪ http=80‬الى أي رقم تريده وايضا ‪.. https:443‬‬
‫ويمكنك أيضا تعديل الثيم ‪ theme‬للواجهة من الوان او لغة العرض وايضا لتعديل وقت انتهاء الجلسة‬
‫لصفحة الدخول (‪ )login‬وذلك بتعديل قيمه ‪ idle timeout:2‬حيث سيتم اغالق الـ‪ login‬بعد مرور‬
‫دقيقتين بدون ان تستخدم ‪. GUI‬‬
‫‪ : HA -5‬في حالة وجود جهازفورتي جيت وحيد بالشركة فأن النمط هو ‪ Mode=standalone‬اما في‬
‫حالة وجود اكثرمن جهازفورتي في الشركة فان النمط (‪)Mode‬ممكن ان يكون ‪ active-active‬او‬
‫‪ active-passive‬أي يستخدم كنوع من الباك اب بحيث لو تعطل او توفق احدى اجهزه الفورتي فأن‬
‫االخريعمل بشكل تلقائي بدون توقف للشبكة ‪.‬‬
‫‪ : SNMP -6‬احدى بروتوكوالت املراقبة حيث يقوم بمراقبه حالة جهازالفورتي ويرسل كل ش ي الى‬
‫سيرفريسمى ‪. SNMP server‬‬
‫‪ : Replacement Messages‬هي عباره عن الرسائل التي تظهرلك كأدمن للفورتي او كيوزرفي‬ ‫‪-7‬‬
‫حاالت مختلفة مثل فتح مواقع محجوبه او خطأ في الولوج الى الفورتي جيت ‪...‬الخ‬
‫ويمكنك تعديل الرسائل كما تريد ‪..‬‬

‫‪ : FortiGuard -8‬في هذه القائمة تظهرلك حالة ال ـ ‪ licenses‬الخاصة بجهازالفورتي مثل‬

‫‪ Web filter،Antispam،Antivirus،IPS‬وايضا متابعه حالة التحديث لهم ‪..‬‬
‫‪ : Certificate‬لو قمت بتفعيل خاصيه ‪ SSL Inspection‬فيجب عليك ان تقوم بإنشاء شهاده ‪..‬‬ ‫‪-9‬‬
‫‪: Policy&Objects -6‬‬

‫‪: Ipv4 policy‬هذه القائمة التي من خاللها يمكنك انشاء او تعديل ‪،، )Rule( policy‬‬ ‫‪-1‬‬
‫‪ : Ipv4 Dos policy -2‬هذه القائمة من خاللها تستطيع عمل ‪ policy‬لحماية الشبكة من هجوم‬
‫املخترقون من نوع ‪ Dos attack‬حيث يتم تطبيق هذه البوليس ي على منفذ ال ـ‪ WAN‬ألن الهجوم ال يأتي اال‬
‫عبر‬
‫‪Incoming interface :wan‬‬
‫‪: Address‬إلنشاء عناوين لألجهزة ‪.‬‬ ‫‪-3‬‬
‫‪: Internet service database‬تحتوي على معلومات بجميع الخدمات املتاحه على االنترنت مثل‬ ‫‪-4‬‬
‫‪ DNS‬التابع لجوجل ‪..‬‬
‫‪ : Schedule‬ممكن تحديد وقت معين حيث يتم استخدامها مع البوليس ي‪.‬‬ ‫‪-5‬‬
‫‪ : Traffic shaper -6‬تسمح لك بتحديد ‪ max bandwidth‬او ‪ limit bandwidth‬لجهازمعين لكي ال‬
‫يستهلك االنترنت بالشبكة ‪..‬‬
‫‪: Security profiles‬تستخدم لحمايه الشبكة من الهجمات ‪.‬‬ ‫‪-7‬‬
‫‪: Antivirus‬عمل سكان للترافيك الداخل او الخارج من الشبكة ‪.‬‬ ‫‪-1‬‬

‫‪ : Web filter‬تستخدم لتحديد الوصول للمواقع(سماح او منع)‪.‬‬ ‫‪-2‬‬
‫‪ : Application filter‬تتحكم بالترافيك الذي داخل او خارج بواسطة التطبيقات وليس عن طريق‬ ‫‪-3‬‬
‫البورت ‪.‬‬
‫‪: Intrusion prevention‬تسمى أيضا ب ‪ IPs‬تستخدم لحمايه الشبكة من عمليه الهاك (‪)HACK‬‬ ‫‪-4‬‬
‫‪: SSL/SSg inspections -5‬في حالة تفعيل ‪ ssl/ssh inspect‬فانه يتم عمل ‪deep inspections‬‬
‫للترافيك من نوع ‪. HTTPS‬‬
‫‪: SSL INSPECTION‬‬
‫عندما نقوم مثال بعمل ‪ Block‬ملوقع الفيسبوك عبرال ـ‪ Web filter‬فان الفورتي جيت يواجه مشكله‬
‫وهي ان لواليوزرفتح موقع الفيسبوك بجلسه مشفره أي عبر‪ https‬فأن الفورتي جيت ال يعرف ما بداخل‬
‫هذه الجلسة اال لو قمت بتفعيل خاصيه ‪.. ssl inspection‬‬
‫حيث افضل طريقة هي ‪ Deep ssl inspection‬من حيث الفحص وبنفس الوقت تكون بطئ نواعا ما ‪..‬‬
‫‪: User&Device‬‬ ‫‪-8‬‬
‫‪ : User definition‬اليوزرلكي يصل للشبكة سواء انترنت او غيرها يجب ان يكون لديه يوزر‬ ‫‪-1‬‬
‫اكاونت و كلمه سرولذا يتم انشاء ‪. local user‬‬
‫‪ : User groups -2‬يتم انشاء جروب لكي يتم أضافه اليوزرات اليها وبذلك يسهل عمليه تطبيق‬
‫البوليس ي عليهم جميعا بدال من تطبيق بوليس ي على مستوى اليوزر‪.‬‬
‫‪ : Device Inventory‬تجميع معلومات عن األجهزه املوجودة بالشبكة‬ ‫‪-3‬‬
‫‪ : Single sign-on -4‬تسمى ‪ SSO‬حيث عن تفعيل هذه الخاصية (دمجها مع ال ‪) active directory‬‬
‫فأن اليوزرال يحتاج الى ادخال يوزرنيم وباسورد اكثرمن مره بل يكفي ان يدخل اليوزرنيم والباسورد عن‬
‫عمل ‪ login‬بجهازه مره واحده فقط ‪،‬‬
‫اما ان لم تكن هذه الخاصية مفعله فأن اليوزرسوف يضطرالى ادخال اليوزر نيم والباسورد الخاص‬
‫بالدخول الى الويندوز باإلضافة لليوزرنيم والباسورد الخاص بالفورتي الذي تم انشاءه مسبقا من قائمه‬
‫‪ User definition‬للوصول الى االنترنت ‪.‬‬

‫‪ :WiFI &switch controller‬في حالة وجود ‪ fortiAP‬بالشبكة وتريد عمل له اداره‬ ‫‪-9‬‬
‫وتحكم كامل بواسطة الفورتي ‪...‬حيث ‪ fotiAP‬هو عباره عن اكسس بوينت ولكن خاص بشركه فورتي نت‬
‫‪.‬‬
‫‪: Log & Reports -10‬‬
‫‪: Monitor -11‬‬
‫طريقة توصيل االنرتنت جلهاز الفورتي جيت ‪:‬‬ ‫❖‬

‫يجب ان يكون جهازالفورتي جيت موصال باإلنترنت لكي يتمكن من عمل ‪ registration‬وأيضا عمل‬
‫‪ update‬لكال من ‪ Antivirus DB‬و ‪ IPs DB‬و ‪ Antispam DB‬و ‪... Web filtering DB‬الخ‬
‫و ايضا ألنه سيكون هو الجيتواي(‪ )Gateway‬لألجهزة املوجودة بالشبكة‬
‫و ايضا لو اردت عمل ‪ update‬ل ـ ‪ firmware‬الخاص بك ‪.‬‬
‫وللقيام بذلك جيب ان تقوم باخلطوات التالية ‪:‬‬

‫اظافه ايبي ل ـ‪WAN PORT‬‬ ‫‪-1‬‬
‫اظافه ‪DNS‬‬ ‫‪-2‬‬
‫عمل ‪ static route‬بحيث أي احد يريد ان يصل الى االنترنت يجب ان يخرج عبراملنفذ ‪WAN‬‬ ‫‪-3‬‬
‫اخلطوة األوىل ‪:‬‬

‫>‪Network>Interfaces>port2>Edit>alias(Write WAN)>Role=WAN‬‬
‫‪Addressing mode :manual or DHCP‬‬
‫حيث ‪ manual‬سوف تقوم بكتابه ‪255.255.255.0/192.168.1.60‬‬
‫ولو اخترت ‪ DHCP‬فأنه سوف يأخذ بشكل اوتو من الروتر‪..‬‬
‫حيث من املمكن تحديد طريقة الوصول الى املنفذ ال‪ WAN‬بأكثرمن طريقة مثل ‪ HTTPS‬و ‪ HTTP‬ووالخ‬
‫ولكن كنوع من السيكيورتي يتم فقط السماح بالوصول الى البورت عبرال ـ‪. PING‬‬
‫حيث بعد ذلك يمكن من االبتوب الشخص ي(‪ )Host‬ان تعمل‬
‫‪ Ping 192.168.1.60‬وهو ايبي بورت ال ـ‪WAN‬‬

‫ثم ‪. OK‬‬
‫تالحظ بان املنفذ ‪ WAN‬حصل على ايبي ‪ 192.168.1.105‬وكما هو ظاهربان ال‪ ping‬مفتوح ‪...‬‬
‫نحن سوف نجعل كرت ‪ lan2=wan‬ايبي ‪static‬‬

‫‪ 192.168.1.60‬كما بالصورة أدناه‬
‫حيث يمكنك بعد ذلك ان تدخل الى اعدادات الفورتي جيت عبرالويب من نفس االبتوب (‪)Host‬وذلك‬
‫بكتابه ايبي ‪ wan‬وهو ‪ 192.168.1.60‬في متصفح االنترنت وبهذا يكون قد قللت استهالك ال‪resources‬‬
‫لالبتوب عند العمل والتطبيق والتعلم ‪،‬‬
‫حيث ليس هناك داعي الدخول الى اعدادات الفورتي جيت عبرجهازالكالينت ‪..‬‬
‫اخلطوة الثانية ‪:‬‬

‫ضبط اعدادت ال ـ‪ DNS‬لجهازالفورتي جيت كما بالخطوات التالية ‪:‬‬
‫‪Network >DNS>Specify>:8.8.8.8 8.8.4.4‬‬
‫‪>apply‬‬

‫اخلطوة الثالثة ‪:‬‬

‫>‪Network>static route>create New‬‬
‫أي يمكنك الخروج الى أي شبكة ‪Destination:subnet 0.0.0.0/0.0.0.0‬‬
‫‪Gateway:192.168.1.1‬‬ ‫ايبي املودم‬
‫)‪Interface :port2(WAN‬‬
‫‪OK‬‬
‫ثم نقوم بالدخول الى ‪ CLI‬عبر‪ GUI‬ثم نكتب االمر‬
‫‪Execute ping 8.8.8.8‬‬
‫فتالحظ بان االنترنت اصبح متاح لجهازالفورتي جيت اآلن ‪..‬‬

‫❖ مىت احتاج اىل عمل ترقيه –حتديث‪ -‬للـ ‪ Firmware‬التابع جلهاز الفورتي‪:‬‬
‫أضافه مميزات جديده لإلصدارالجديد‬ ‫‪-1‬‬
‫تحسين وحل مشكله في ميزه معينه في اإلصدارالجديد‬ ‫‪-2‬‬
‫بسبب أضافه ‪ bugs‬لحل بعض الثغرات باإلصدارالقديم‬ ‫‪-3‬‬
‫قبل عميه ال ـ ‪(Upgrade‬ترقيه) يجب ان تقوم بالتالي ‪:‬‬

‫‪ -1‬يجب ان يكون لديك باك اب لل ـ‪ Current configuration‬حيث لو حصل أي مشكله اثناء عمليه‬
‫الترقية نقوم باالستعادة‬
‫يجب ان تتأكد من وجود نسخه ‪ current firmware‬حيث لو حدث مشكله اثناء االستعادة فانك‬ ‫‪-2‬‬
‫ستقوم بإعادة تثبيت النسخة ومن ثم عمل استعاده ل ـ ‪ configuration‬التي قمت بها في الخطوة رقم ‪1‬‬
‫‪ -3‬يجب ان يكون لديك ‪ Upgrade path‬ألنه ال يمكن ان تقوم بعمل ترقيه من اصدار‪ 5.0‬الى ‪6.00‬‬
‫مباشره بل يجب ان تقوم بالترقية بالتدريج بحسب ‪ upgrade path‬مثال من ‪ 5.0‬الى ‪ 5.6‬والخ الى ان تصل‬
‫الى اإلصداراملطلوب ‪6.0‬‬
‫❖ طرق ترقيه النظام ‪: Upgrade firmware‬‬

‫بواسطة ال ـ‪ fortiGuard‬أي ان نقوم بتنزيل اإلصدارالحديث من االنترنت مباشره بواسطة شركة‬ ‫‪-1‬‬
‫فورتي جيت‬
‫‪ -2‬بواسطة ‪( local device‬أي ان تكون نسخه ال ‪ OS‬في جهازك‬
‫ثم نقوم بالخطوات التالية‬
‫> ‪System >upload firmware >select file>choose the file of OS>Backup config and upgrade‬‬
‫ثم سيتم اعاده التشغيل مرتين ‪...‬‬
‫ثم نتأكد من نجاح عمليه الترقية وكذلك من ان االعدادات الزالت سليمه وذلك بالدخول الى‬
‫> ‪Main>firmware‬‬

‫❖ عمليه الــ ‪ downgrade‬هي نفس خطوات الــ ‪... Upgrade‬‬
‫‪: Administration types &profiles‬‬

‫‪ :Admin profiles‬من خالله تحدد اليوزرالذي سوف يعمل ‪ login‬على الفورتي جيت يعمل ماذا!‬
‫ويشوف ماذا !!! ويتحكم بماذا ‪...‬‬
‫البروفايالت االفتراضية هما ‪ super admin‬و ‪prof admin‬‬

‫نالحظ بان البروفايل أعاله من نوع ‪ super_admin‬غير قابل للتعديل‪..‬‬
‫نالحظ من الصوره أعاله بأن البروفايل ‪ prof_admin‬قابل للتعديل ‪..‬‬

‫‪ : Super admin‬له ‪ full access‬عل كل مكونات الفورتي جيت مثل ‪delete‬او ‪ create‬ل ـ ‪other‬‬
‫‪ administrator‬ويعمل باك اب واستعاده وأيضا ترقيه او تنزيل لنسخه ال ‪.. firmware‬‬

‫ال يمكنك ان تقوم بعمل تعديل او حذف على ‪، super_admin profile‬‬
‫يفضل انشاء يوزرجديد وتعديل االسم ‪ admin‬الى أي اسم اخركنوع من السيكيوريتي او حذف اليوزر‬
‫‪ admin‬بعد انشاء يوزراخرنوع ‪. super_admin‬‬
‫كما تالحظ بالصورة أعاله فانه ال يمكن حذف البروفايل ولكنك يمكن تعديله ‪...‬‬
‫طريقة انشاء يوزر جديد بواسطة ‪: CLI‬‬ ‫❖‬
‫‪#config system admin‬‬
‫‪#edit marfadi‬‬
‫‪#set password 123‬‬
‫‪#set accprofile prof_admin or super_admin‬‬
‫‪#end‬‬

‫تم انشاء يوزرباسم ‪ marfadi‬وباسورد ‪ 123‬وانشاء بروفايل نوع ‪ prof_admin‬او ‪ super_admin‬بحسب‬

‫ما تريد ‪..‬‬
‫ثم حفظ االعدادات ‪...‬‬

‫حلذف يوزر بواسطة ‪: CLI‬‬ ‫❖‬

‫‪#config system admin‬‬
‫‪#delete marfadi‬‬
‫‪End‬‬
‫كما بالصورة أعاله اليوزر ‪ admin‬له الحق ان يحذف اليوزر‪.. marfadi‬‬
‫‪ : Prof_admin‬يتم إنشاءه بشكل افتراض ي وهو نفس ‪ super admin‬لكنه يمكن عمل تعديل على‬
‫العناصرمثل ‪ firewall‬و ‪ log&report‬و‪ network‬ووالخ‬
‫حيث ممكن نعملها ‪ none‬او ‪ read‬او ‪ write‬او ‪ custom‬للعناصروأيضا ال يمكنك حذف البروفايل‬
‫املسمى ‪. prof_admin‬‬
‫حيث ال‪ prof_admin‬ال يمكن عمل تغييرللباسورد ‪..‬‬

‫وأيضا اليوزرمن نوع ‪ prof_admin‬ال يمكنه انشاء يوزرمن نوع ‪. super_admin‬‬
‫تالحظ بالصورة أعاله بأن اليوزراملسمى ‪ admin‬من نوع ‪super_admin profile‬‬
‫طريقة انشاء ‪ custom profile‬أي نقوم بتخصيص مجموعة محدده من العناصرالتي من حق اليوزرات‬
‫التي في هذا الجروب (البروفايل)ان تصل اليها ‪..‬‬
‫مثل سوف انش ى بروفايل باسم ‪Yasser Ossimi‬‬

‫>‪System >admin profile>create New‬‬
‫ثم سنحدد العناصرالتي ممكن الوصول اليها فقط كما بالصورة ادناه ‪..‬‬

‫ثم ‪... OK‬‬
‫االن سوف نقوم بإنشاء يوزرباسم ‪ Yasser‬وسوف يكون نوع البروفايل الخاص به هو ‪Yasser ossimi‬‬
‫حيث هذه املره سيتم انشاء اليوزرعن طريق ال ـ‪ GUI‬كما بالصورة ادناه‬
‫>‪System>administrators>Create New>administrator‬‬

‫نالحظ بأنه تم انشاء يوزرباسم ‪ Yasser‬تابع للبروفايل الذي تم تخصيصه سابقا باسم ‪Yasser Ossimi‬‬
‫ما هو ‪ FortiGuard‬؟‬ ‫❖‬

‫هو خدمه في الكالود يتم الوصول اليه عن طريق االنترنت ‪،‬‬
‫يتم تحديث كل من ‪..Application control ، Web filter،IPs،antispam،Antivirus‬الخ املوجود في‬
‫جهازالفورتي جيت عبر‪.. Fortiguard‬‬
‫حيث أي فايروس جديد يتم عمل ‪ update‬وتنزيله الى جهازالفورتي جيت وأيضا أي هجمات جديده يتم‬
‫تنزيل ‪ update‬جديد لها وهكذا ‪..‬‬
‫لذا يجب ان تكون مشترك ( ‪) license‬مع ‪Fortiguard‬‬

‫‪SD-WAN=WAN Link Load Balancing‬‬ ‫❖‬
‫تحويل اكثرمن ‪ physical interfaces‬الى ‪ logical interface‬واحد فقط ‪...‬‬

‫‪Network>SD-WAN>status:enable>create New>interfaces:‬‬
‫ثم نقوم بتحديد كروت الشبكة املراد دمجها (‪)load balance‬‬
‫لنفترض بان لدينا ‪ 2‬خطوط انترنت موصله على كروت الشبكة ‪WAN‬و ‪ WAN2‬ثم نحدد خوارزميه‬
‫لتوزيع االنترنت للمستخدمين‪.‬‬
‫أوال نقوم بضبط اعداد كرت ال ـ‪ wan2‬كما بالصورة ادناه‬


‫ثم نالحظ بانه تم انشاء ‪ logical interface‬باسم ‪ SD-WAN‬كما بالصورة ادناه ‪...‬‬

‫تفعيل خاصيه ال ـ‪ sdwan‬بعد أضافه ‪ 2‬كروت ال ـ‪wan‬‬
‫‪ : Performance SLA‬يتم من خالله انشاء ‪ monitoring profile‬مثال ‪SLA1‬‬

‫مثال سوف أقول للفورتي جيت بأن قوم بعمل ‪ ping 8.8.8.8‬و ‪ping 8.8.4.4‬‬
‫حيث عبرالخيار‪ Participants‬تقوم بتحديد من اين سيقوم بعمليه ال ـ ‪ ping‬هل من خالل الخط ‪wan1‬‬
‫مثال او عبر‪ wan2‬او عن طريق االثنين ‪.‬‬
‫مثال سوف أقوم بعمليه ال‪ ping‬عبر‪wan1‬‬
‫سوف نقوم بإنشاء ‪ SLA‬كما بالصورة ادناه باسم ‪SLA1‬‬

‫وسيتم الفحص (‪ 8.8.8.8 ) ping‬و ‪ 8.8.4.4‬عبرالخط ‪wan1‬‬
‫حيث سيتم عمليه ارسال الفحص (‪ )ping‬الى ‪ 8.8.8.8‬و ‪ 8.8.4.4‬كل ‪ 500‬ملي ثانية ‪-‬أي كل نصف ثانية‬
‫قم بعمل ارسال ‪- echo request‬‬

‫‪ -1‬حيث سيتم عمليه ارسال الفحص (‪ )ping‬الى ‪ 8.8.8.8‬و ‪ 8.8.4.4‬كل ‪ 500‬ملي ثانية ‪-‬أي كل نصف‬
‫ثانية قم بعمل ارسال ‪- echo request‬‬
‫‪ -2‬فلو تم ارسال ‪ echo request 5‬الى ‪ 8.8.8.8 , 8.8.4.4‬ولم تستلم أي رد (‪)echo reply‬‬
‫فأعتبربأن الخط ‪ wan1‬في حالة ‪ down‬ففي هذه الحالة فان ‪ wan1‬لن يدخل في عمليه ال ـ ‪load‬‬
‫)‪ balance(SDWAN‬مع مالحظة بأنه سيتم ارسال ‪echo request‬في هذا الفترة كل ‪ 500‬ثانية ولن‬
‫يتوقف عن عمليه االرسال بالرغم ان الخط ‪. down‬‬
‫‪ -3‬بعد ان اصبح الخط ‪ wan1=down‬فبأي وقت لو حصل ‪ echo reply‬لعدد ‪ 5‬مرات فاجعل‬
‫ال ـ‪wan1=up‬‬
‫انشاء ‪ monitoring profile‬للخط ‪ wan2‬عبرالبروفايل ‪sal2‬‬

‫مالحظة ‪:‬ال يمكن فحص نفس السيرفرمثال ان تجعل عمليه ال ـ ‪ ping‬ل ـ‪ sla1‬و ‪sla2‬‬
‫على نفس ايبي ‪ 8.8.8.8‬و ‪ 8.8.4.4‬لذا تم تغييرهم ‪..‬‬
‫عمليه ال ـ ‪ sd-wan‬سيتم تطبيقها عبر ‪ SD-Wan rules‬بحيث لو تركتها بشكل افتراض ي كما بالصورة ادناه‬

‫أي انني لم أقوم بإنشاء ‪ Rule‬فأن الرول االفتراضية هي حيث عند النقرعليها مرتين‬
‫تظهرلك ال ـ‪ criteria‬املطبقة هي ‪ Source IP‬حيث يمكنك تغييرها ‪..‬‬
‫مثال يمكنك تغيرها الى ‪: Sessions‬‬
‫حيث يمكنني تغييرالنسبة مثال ‪ %60‬ل ـ‪ WAN1‬و ‪ %40‬ل ـ‪WAN2‬‬
‫مثال لو كان لدينا ‪ 1000‬جلسه (‪ )Sessions‬فأن الفورتي جيت سوف يقوم بتوزيعها بنسبه ‪ %60‬عبر‬
‫‪ WAN1‬و ‪ %40‬عبر‪. WAN2‬‬
‫****************************************************************‬
‫اما النوع االخراملسمى ‪: Source-Destination IP‬‬

‫لو ال ـ ‪ source ip‬وال‪ destination ip‬يكونوا ثابتين على نفس ال ـ‪ interface‬يتم إخراجه عبرنفس‬
‫ال ـ‪interface‬‬
‫اما لو ال ـ ‪ source‬رايح على ‪ destination‬مختلف فأنه يتم اخارجه عبر ‪ interface‬اخر‬
‫‪From 192.168.1.20‬‬ ‫‪to 8.8.8.8 >>>WAN1‬‬
‫‪From 192.168.1.40‬‬ ‫‪to 8.8.8.8 >>>WAN2‬‬
‫‪From 192.168.1.50‬‬ ‫‪to 8.8.8.8 >>>WAN1‬‬
‫‪From 192.168.1.60‬‬ ‫‪to 8.8.8.8 >>>WAN2‬‬
‫وهكذا‪....‬‬
‫‪From 192.168.1.20‬‬ ‫‪to 4.2.2.2 >>>WAN2‬‬
‫*******************************************************‬
‫النوع الثالث ‪: Volume‬‬
‫هذا النوع من الخوارزميات تعتمد على كميه ال ـ‪bytes‬‬

‫فلوا كانت لدينا ‪ packets‬بحجم مثال ‪ 1000‬بايت فأن ‪ %70‬منها سوف تكون عبر‪ WAN1‬و ‪ %30‬البقيه‬
‫ستكون عبرال ـ‪WAN2‬‬

‫فلوا لم نقم بإنشاء أي ‪ SD-WAN Rule‬وتركناها افتراض ي فان أي ترافيك سوف يتم تطبيق‬
‫ال ـ ‪ rule‬االفتراضية كما بالصورة أدناه وسيتم تطبيق ال ـ‪ criteria‬بحسب ما تم اختياره ‪..‬‬
‫❖ طريقة انشاء ‪ SD-WAN Rule‬جديده كما بالتايل ‪:‬‬
‫✓ جعل ال‪ ICMP traffic‬يطلع عبرال ـ‪: WAN1‬‬

‫أي ان أي عمليه ‪ ping‬اريدها تطلع عبرال‪ wan1‬بالتحديد ‪.‬‬

‫مالحظة ‪ protocol number:‬ل ـ‪ ICMP‬هو ‪ 1‬حيث يمكنك البحث في جوجل عن ارقام ‪protocol‬‬
‫‪. numbers‬‬
‫❖ جعل الــ ‪ https traffic‬يطلع عرب الــ ‪: wan 2‬‬

‫❖ جعل الــ ‪ http traffic‬يطلع عرب الــ ‪: wan 1‬‬

‫❖ انشاء ‪ SLA‬باسم ‪ INTERNET‬حيث تقوم بفحص اخلط األفضل للخروج منه‬
‫تمت عمليه انشاء ‪ SLA‬كما بالصورة ادناه حيث يتم عمل ‪ check‬على جوجل ‪ 8.8.8.8‬ويطلع من‬
‫اقل خط منهم ‪...‬‬
‫حيث بيتم تنفيذ ال ـ‪ sla‬على الخطين ‪ wan1 ,wan2‬عن طريق البينج على جوجل وبيتم تحديد‬
‫احسن خط على حسب األرقام املوجودة‬
‫ال ـ ‪: latency‬يحسب التأخيرفي الخطين ‪ wan1 ,wan2‬والتأخيراألقل بيتم اختياره على انه افضل‬
‫خط ‪.‬‬
‫حيث ال ـ ‪ latency‬هي الوقت الذي يقطعه الباكت(‪)ping‬من املصدرالى الهدف(‪. )8.8.8.8‬‬
‫أي ‪ 88‬نفسها ‪..‬‬

‫الــ‪ : jitters‬يحسب الفرق في الوقت بين الباكت األول والثاني واالقل فارق بيتم اختياره‬
‫كأفضل خط ‪.‬‬
‫‪Jitters=89-88=1‬‬
‫ال ـ‪: packet loss‬هذا يقصد به الفقد في البيانات حيث ممكن يكون احدى الخطوط بيفقد‬
‫بيانات اثناء االرسال واالستقبال وهذه مهمه في استخدام التلفونات واملكاملات حيث يسبب تقطع‬
‫في الصوت حيث الخط الذي فيه فقط في البيانات لن يقوم ‪ sd-wan‬باختياره وسيختارالخط‬
‫االخر‪.‬‬
‫اآلن سنقوم بعمل ‪ Rule‬لتحديد ال ـ ‪ interface‬األفضل للخروج منه بحسب‬

‫‪ SLA=INTERNET‬التي قمنا بإنشائها سابقا‬

)features(‫❖ طريقة اظهار ميزه جديده مثال تريد اظهار اخلاصية‬
outgoing ‫ او‬incoming interface ‫ والتي تتيح لك تحديد اكثرمن‬Multiple interface policies

: ‫ وذلك بالخطوات التالية‬policy ‫ عند عمل‬interface
System>features visibility >Multiple interface policies :enable .
‫حممد املرفدي‬/ ‫إعداد‬ 469 ‫ من‬66 ‫الصفحة‬

‫نالحظ عند تفعيل الخاصية أعاله باننا قادرين على اختياراكثرمن كرت عند انشاء الرول بعكس لو كانت‬
‫الخاصية غيرمفعله فأننا نستطيع فقط أضافه(اختيار)كرت واحد فقط كما بالصورة ادناه ‪..‬‬
‫طريقة انشاء ‪ Rule policy‬جديده ‪:‬‬ ‫❖‬

‫> اسم الرول ‪Policy&object>ipv4 policy>Create New>Name:‬‬
‫‪Incoming interface:port1,outgoing interface:wan1,‬‬

‫يوزراو عنوان كمبيوتراو جروب معين في الدومين‪Source:‬‬
‫املصدر‪:‬‬
‫‪،subnet،ip : Address‬‬
‫‪ : User‬ممكن يكون يوزرعادي على الفورتي جيت او يوزرعلى الدومين(‪)AD‬‬
‫‪: Device‬ربط جهازبواسطة املاك ادرس‬
‫الى أي مكان ‪Destination :all‬‬
‫كما بالصورة أعاله سيتم تطبيق رول (سياسه) اسمها ‪ full_access‬وطبق على منفذ الدخل‬
‫‪ Port1‬والخارج عبر)‪ wan(port2‬ويطبق فقط على جهازالكمبيوتراملسمى ‪ pc1‬وهذا تم انشاءه مسبقا‬
‫‪،‬والى أي مكان (‪.. )all‬‬

‫طريقة جمع (دمج)اكثرمن منفذ (‪ )interface‬لكي يصبحوا ‪ logical interface‬واحد وذلك بواسطة‬
‫ال ـ ‪: zone‬‬
‫أي اسم تريد‪Network>interface>Create New>Zone>Name:‬‬
‫‪ >OK‬نختاراملنافذ املراد دمجها ‪>Interface member :‬‬
‫حيث سوف يصبح لدينا كرت وهمي باسم ‪ TOTAL WAN‬كما بالصورة ادناه‬

‫مالحظة ‪:‬ال يمكن حذف ال ـ ‪ zone‬اذا كانت مستخدمه في أي رول ‪،‬لذا لو تريد حذف ال ـ ‪ zone‬املسماة‬
‫‪ TOTAL WAN‬يجب أوال حذفه من البوليس ي أعاله‪...‬‬
‫شرح ‪:Schedule‬‬
‫أنواع ال ـ ‪:schedule‬‬
‫‪ : Onetime schedule‬يتم تنفيذها مره واحده فقط ثم تلتغي ‪.‬‬ ‫‪-1‬‬
‫‪: Recurring schedule‬يتم تنفيذها بشكل مستمر‬ ‫‪-2‬‬
‫❖ طريقة انشاء ‪: schedule‬‬

‫‪Policy&objects>schedules>Create New>schedule >type: Recurring‬‬
‫تختاراأليام املطلوبة‪ >Days:‬أي اسم تريده‪>Name:‬‬

‫نحدد ‪ START TIME‬و ‪... Stop Time‬‬

‫تم تحديد اسم ل ـ ‪ schedule‬باسم ‪ Work_time‬وتم تحديد أيام العمل والوقت ‪.‬‬
‫• عمليه تكرار‪ schedule‬معين ‪:‬‬

‫مثال اريد انسخ نفس االعدادات واالوقات ل ـ‪ work_time‬وانشائها في ‪ schedule‬جديده مثال باسم‬
‫‪ time2‬مثال‬
‫حيث الخيار‪ Clone‬يقوم بنسخ كل العنصروبكل مواصفاته ‪...‬‬
‫فقط قمنا بكتابه اسم ال ـ ‪ schedule‬الجديد باسم ‪ time2‬ونالحظ بان األوقات واأليام كما في‬
‫ال ـ‪ work_time‬كما بالصورة ادناه‬
‫** *** **** ***‬

‫حتديد أيام حمدده ووقت حمدد مره واحده فقط وينتهي ‪...‬‬ ‫❖‬
‫❖‬ ‫>‪Policy&objects>schedules>Create New>schedule >type: Onetime‬‬
‫❖‬ ‫بداية الوقت‪ :start time:‬بداية التاريخ ‪ >start date :‬أي اسم تريده‪>Name:‬‬
‫❖‬ ‫نهاية الوقت‪ >stop time :‬نهاية التاريخ> ‪>stop date‬‬
‫كما تالحظ بالصورة أعاله يبين بانه تم انشاء ‪ schedule‬عدد ‪ 2‬باسم‬

‫‪ Work_time‬و ‪ Open day‬ويمكن استخدامهم اثناء انشاء الرول(البوليس ي)كما بالصورة ادناه ‪..‬‬

‫أنواع الـــ ‪ actions‬يف الــ ‪: policy‬‬ ‫❖‬
‫‪ : Accept‬املوافقة وتمريرالباكت (الترافيك)‬ ‫‪-1‬‬

‫‪ : Deny‬منع مرورالباكت ‪drop‬‬ ‫‪-2‬‬
‫حيث في اإلصدارات القديمة يوجد نوع ثالث وهو ‪learn‬‬
‫‪: Learn‬يستخدم ملعرفة حركه الترافيك(الباكت)في الشبكة ‪،‬حيث بعد ما أقوم بتطبيق‬ ‫‪-3‬‬
‫البوليس ي املناسبة ‪ ،‬ممكن ان تقوم بمراقبه ماذا يفعل املوظفين بالشركة حيث‬
‫‪ Learn=accept‬باإلضافة الى تسجيل كل ال‪ logs‬على شكل تقاريرويتم معرفة ال ـ‪ logs‬عن طريق التالي ‪:‬‬
‫>‪Log&reports>learning report‬‬

‫❖ ‪: Traffic shapers‬‬
‫هو عباره عن عمليه تحديد ال ـ ‪. Bandwidth‬‬
‫أنواع ال ‪: traffic shapers‬‬

‫‪Per-ip traffic shaper‬‬ ‫‪-1‬‬
‫تحديد مثال ‪ 5‬ميجا لكل جهازاو ايبي حيث يكون سرعه هذا الجهازهو ‪ 5‬ميجا ‪.‬‬
‫‪: Shared traffic shaper‬‬ ‫‪-2‬‬

‫تحديد مثال ‪ 5‬ميجا لألجهزة كامال يتم تقاسمها جميعا أي ان سرعتهم جميعا هي ‪ 5‬ميجا ‪.‬‬
‫نحدد النوع املناسب ‪Policy&object >traffic shapers>Create New>type:‬‬

‫>‬

‫تم تحديد ‪ 300‬كيلو لكل ايبي (جهاز) كما بالصورة اعاله‪....‬‬
‫❖ ‪APPLICATION CONTROL‬‬
‫هو عباره عن عمليه تحكم ومراقبه لكل التطبيقات التي سيتم تشغيلها على الشق‪r‬بكه‬
‫مثال(فيسوك‪،‬يوتيوب‪،‬جوجل ‪)...‬حيث عن طريق ‪ APP CONTROL‬ممكن اقلل من استهالك االنترنت او‬
‫من الثغرات املتواجدة في تلك التطبيقات ‪.‬‬

‫‪ Application control‬مقسم الى ثالث اقسام ‪:‬‬
‫‪: Categories‬تحتوي على قوائم(تصنيفات)مقسمه بحسب النوع ‪..‬‬ ‫‪-1‬‬
‫حيث كمجموعة برامج(تطبيقات)يتم وضعها في التصنيف الخاص به مثال تطبيقات األلعاب تكون‬
‫مصنفه تحت ‪، games category‬وتطبيقات البروكس ي وال‪ vpn‬تحت التصنيف ‪proxy category‬‬
‫حيث ممكن ان تقوم لهذا التصنيف ال ـ ‪ action‬املناسب اما ‪ allow‬او ‪ Monitor‬او ‪ Block‬او‬
‫‪ quarantine‬و ‪... View signature‬‬
‫حيث يمكنك اختيار التصنيف المناسب للبروفايل المراد إنشاؤه ‪...‬‬

‫كما بالصورة أعاله يمكنك اختيارال ـ‪ action‬املناسب للتصنيف ‪ ...‬فأذا اردت مثال معرفة على ماذا‬
‫يحتوي هذا التصنيف فتقوم باختيارالخيار ‪ View Signatures‬وسوف تظهرلك البرامج التي تنتمي لهذا‬
‫التصنيف ‪..‬‬
‫حيث ممكن البحث عن برنامج معين لتعرف هل ينتمي لهذا التصنيف وذلك عبركتابه البرنامج في خانه‬
‫‪ search‬ثم ال‪ Enter‬لتظهرالنتائج ‪...‬‬
‫‪ : Application overrides‬ممكن بواسطته ان امنع او اسمح لتطبيقات معينه بعكس الخيار‬ ‫‪-2‬‬
‫األول الذي ال يمكنني ان اختارتطبيقات معينه بتصنيف معين ‪..‬‬

‫حيث في الخياراألول اما اختارالتصنيف كامال او ال ‪...‬‬
‫حيث تختار‪ Create New‬ثم‪ application tab‬ثم تقوم باختيارالتطبيق او التطبيقات املطلوبة ثم ننقر‬
‫على الزر ‪... Add selected‬‬

‫نالحظ كما بالصورة أعاله تم اختيارتطبيقات معينه مثل ‪ Psiphon3‬و‪ TeamViewer‬و‪anydesk‬‬

‫وال ـ‪ action‬هو ‪.. Block‬‬
‫‪: Filter overrides‬انشاء تصنيف (‪ )category‬يكون فيها جميع أنواع التطبيقات التي تكون‬ ‫‪-3‬‬
‫خطورتها عليه ‪.‬‬
‫مالحظة ‪:‬‬
‫في حالة قمت بتطبيق (تفعيل) الثالثة األنواع أعاله في بروفايل واحد فأنه يتم أوال تطبيق حسب األولوية‬
‫‪Application overrides‬‬ ‫‪-1‬‬
‫‪Filter overrides‬‬ ‫‪-2‬‬
‫‪Categories‬‬ ‫‪-3‬‬
‫مثال لو قمنا بالسماح لتطبيق ال‪ Anydesk‬في الخيار‪Categories‬‬
‫وبنفس البروفايل قمت بمنع التطبيق نفسه في الخيار ‪ Application overrides‬فأنه سوف يتم تطبيق‬
‫املنع لهذا التطبيق ألن األولوية ل ـ ‪ application override‬عن ‪. Categories‬‬

‫ال‪: ACTION‬‬
‫‪ : Allow‬السماح لهذا النوع من التطبيقات‬ ‫‪-1‬‬
‫‪ : Monitor‬السماح لهذا التطبيق مع توليد ‪logs‬‬ ‫‪-2‬‬
‫‪ Block‬منع التطبيق مع توليد ‪logs‬‬ ‫‪-3‬‬
‫‪: Quarantine‬منع ولكن مرتبط بزمن محدد ‪..‬اي ان اليوزرالذي سيحاول فتح تطبيق معين فأن‬ ‫‪-4‬‬
‫فورتي جيت سوف يقوم بعمل ‪( ban‬حظر)لهذا االيبي حيث بعدها لن يستطيع هذا االيبي ان يطلع‬
‫انترنت ملده معينه يتم تحديدها مسبقا ‪..‬‬
‫‪: View Signature‬معرفة التوقيع لهذا التنصيف‬ ‫‪-5‬‬
‫هناك بعض الخيارات ‪:‬‬

‫‪: Allow and log DNS traffic‬‬ ‫‪-1‬‬
‫ينصح بتفعيله في بداية مرحله التعلم (‪ )learning‬ملعرفة التطبيقات املستخدمة ولكن ينصح بإيقافها‬
‫بعد ذلك ألنها تعمل على اهداراملعالج ‪.‬‬
‫‪: Replacement messages for Http-based application -2‬‬

‫عند تفعيلها سيتم اظهاررساله عند اليوزرعندما يحاول فتح تطبيق غيرمسموح به بأن التطبيق مغلق‬
‫(‪.)Blocked‬‬

‫❖ ‪Web Filter‬‬
‫هي عمليه تحكم ومراقبه مواقع االنترنت التي يحاول املستخدم الوصول اليها وحمايه الشبكة املحلية من‬
‫املواقع الغيرموثوقة ‪....‬‬
‫❖ ما هو الــ‪: fortiguard‬‬
‫هي عباره عن اشتراك يتم ما بين الفورتي جيت و الفورتي جارد تيم من خالله تم تقسيم ‪ URL‬الى‬
‫مجموعات ‪،‬‬
‫بحيث تتم عمليه التقسيم عندما يقوم صاحب املوقع بإنشاء موقعه فأنه ملزم بأن يقوم بتصنيف‬
‫املوقع هل سياس ي او رياض ي او ‪...‬الخ‬
‫أيضا توجد خوارزميات في الفورتي جارد تعمل على تصنيف ال ـ‪ URL‬على حسب محتوى املوقع نفسه ‪...‬‬
‫❖ ماهي فكره الــ ‪ Fortiguard‬؟‬

‫عندما اليوزريطلب موقع مثل ‪ www.facebook.com‬فأن جهازالفورتي جيت يرسل طلب الى الفورتي‬
‫جارد ملعرفة تصنيف هذا املوقع وبعد ذلك يتم تخزينه(‪)cache‬على جهازالفورتي جيت ‪..‬‬
‫بحيث لو قام يوزراخربطلب نفس املوقع فال يحتاج الى عمل طلب الى الفورتي جارد ‪..‬‬
‫حيث بعد ما يحصل جهاز الفورتي على تصنيف املوقع فأنه يعمل له ‪ action‬املناسب ‪...‬‬

‫❖ طريقة انشاء ‪: web filter profile‬‬
‫نختاراسم مناسب‪Security profile>web filter>+>Name:‬‬

‫‪>fortiguard category based filter:enabled‬‬
‫حيث نحدد التصنيف(‪)category‬ثم بالزر األيمن عليها ثم نختارال‪ action‬املناسب لهذا التصنيف هل‬
‫‪block‬او ‪ allow‬او ‪.. monitor‬‬
‫مالحظة‪ :‬في تصنيف اسمه ‪ local categories‬ويوجد بداخله نوعين(تصنيفين) هما ‪ Custom 1‬و‬
‫‪ custom 2‬حيث ممكن تخصيص مواقع و أضافته اليها ‪..‬‬
‫حيث تستطيع أضافه أي مواقع اليها مثال موقع ‪ www.bab.com‬وذلك بالخطوات التالية‬
‫>‪Security profile >web rating overrides >create New‬‬

‫‪URL:www.bab.com‬‬
‫‪Override to :‬‬
‫‪Category: custom category‬‬
‫‪Sub category: custom 1‬‬
‫‪ok‬‬
‫كما بالصورة ادناه ‪....‬‬
‫ثم نذهب الى‬

Web filter>+>fortiguard category based filter =enable>
Local categories>‫ثم نختار‬custom 1
custom 1 ‫ املراد تطبيقه على التصنيف‬action ‫ ونختارنوع ال ـ‬custom 1 ‫حيث ننقربالزر األيمن على‬
..custom 1 ‫ املوجودة في ال‬URL‫ على قائمه ال ـ‬action‫وبذلك سوف يتم تطبيق ال ـ‬
custom 1 ‫تقوم بتحديد املواقع املراد السمح لها في‬: ‫الفكره‬

custom 2‫واملواقع املراد منعها في ال‬
************************
Static URL filter
Security profile>web filter>URL filter:enable>Create New>
URL: www.kooora.com
Type:simple
Action:block
Status:enable
OK

‫حيث ممكن أضافه اكثرمن موقع بنفس القائمة حتى وان كانت بـ ‪ action‬مختلفة ‪..‬‬
‫وكما بالصورة ادناه في البوليس ي(الرول) تم اختيارال ـ ‪ web filter‬املسمى ‪ Web-sites‬والتي تم انشاءها‬
‫كما بالصورة أعاله ‪...‬‬

‫اآلن سوف نجرب نفتح املوقع املسمى ‪ www.kooora.com‬على جهازالكالينت والذي تم اغالقه كما هو‬
‫موضح بالصورة أعاله ‪..‬‬
‫*************************************************************‬
‫‪content filter‬‬
‫يتم عمل ال ـ ‪ action‬بحسب املحتوى لهذا املوقع وذلك كالتالي‬
‫‪security profiles>web filter>content filter:enable‬‬

‫‪>create New>Pattern Type:WildCard‬‬
‫‪>patern :sex‬‬
‫‪>action:Block‬‬
‫‪Status:enable‬‬
‫‪OK‬‬

‫مالحظة هامه ‪:‬‬

‫األولوية تكون حسب الترتيب التالي ‪:‬‬
‫‪Static URl filter‬‬ ‫‪-1‬‬
‫‪Fortiguard filter‬‬ ‫‪-2‬‬
‫‪Web content filter‬‬ ‫‪-3‬‬
‫يعني في حالة تعارض الثالث التصنيفات أعاله فأن األولوية بحسب الترتيب أعاله ‪...‬‬
‫في حالة اردت ان تطبق الى ‪ web filter‬على املواقع ‪ https‬فأنه يجب تفعيل خاصيه ‪ssl-certficate‬‬
‫‪ inspection=deep inspection‬عند انشاء ‪. policy‬‬

web filter ‫ بواسطة ال‬sub domain ‫❖ طريقة اغالق موقع معني باإلضافة اىل‬
Security profiles>web filter>+>static URL filter >url filter >+create
new>URL:*fcebook.com
Action:block
Ok
‫ وذلك بسبب الشهادة ولتفادي هذه الرساله‬https ‫ عند فتح موقع‬insecure connection ‫طهور رساله‬
‫نقوم بالخطوات التالية‬
Security profiles>ssl/ssh inspection>download certificate>
‫ثم من املتصفح في اجهزه الكالينت نقوم با استيراد الشهادة‬
Option>privact&security>certificate>view certificates?authorities >import>trusted this
CA to identify websites>ok
.‫ لن تظهرلك مجددا‬https ‫حيث بعدها نغلق املتصفح ونفتحه فأذا فتحت موقع‬

‫بعض التمارين واألمثلة حول الــ‪ web filter‬واستخدام ‪: static URL filter‬‬ ‫❖‬
‫اغلق الفيسبوك واليوتيوب عن قسم تقنيه املعلومات والسماح لباقي املواقع بشرط عمل‬
‫تسجيل ل ـ‪ logs‬للمواقع ‪:‬‬

‫كما بالصورة أعاله فأن ‪ URL‬ممكن كتابتها بأحدى الصيغ التالية ‪:‬‬
‫‪: Simple‬سوف يقوم بتنفيذ مثال ال ـ‪ action=block‬على املوقع الذي يحتوي على نفس الصيغة‬
‫بالضبط(حرفيا) مثال ‪ www.facebook.com‬فلو املستخدم حاول يدخل على املوقع فلو قام اليوزر‬
‫بالدخول على ‪ login.facebook.com‬فان موقع فيسبوك سوف يشتغل معه طبيعي وهذا النوع غير‬
‫محبب ‪.‬‬
‫‪ : Regular Expression‬مثال لو كان ال ـ‪ url‬مكتوب ‪ facebook.com‬فأن أي رابط يحتوي على‬

‫‪ facebook.com‬سوف يتم تطبيق ال ـ‪ action‬عليه فمثال لو اليوزركتب‬
‫‪ Login.facebook.com‬فأنه أيضا سوف ينطبق عليه ال ـ‪ action‬وهكذا ‪..‬‬
‫مالحظة ‪:‬هذا النوع ال يمكن استخدام الرموز مثال ‪*.facebook.com‬‬
‫‪: Wildcard‬‬
‫مثال لو كتبت في ‪ url‬املوقع ‪ *facebook.com‬فأن اليوزرلو حاول يدخل على أي رابط يحتوي على‬
‫‪ facebook.com‬فأنه سوف يطبق عليه ال ـ‪. action‬‬
‫كمان ممكن ان تستخدم الطريقة *‪ *facebook‬فأن أي موقع الرابط له بيحتوي على ‪ facebook‬سوف‬
‫يتم تطبيق ال ـ ‪ action‬عليه ‪..‬‬
‫أنواع ال ـ ‪: action‬‬
‫‪: Exempt‬يعتبرمثل ال ـ ‪ allow‬أي السماح للترافيك‬
‫‪ : Allow‬السماح للترافيك ولكن يتم تمريرالترافيك الى بروكس ي سيرفراخر‪...‬‬
‫‪ : Monitor‬السماح مع عمل ‪ log‬للترافيك ‪.‬‬
‫‪ : Block‬امنع الترافيك ‪..‬‬

‫كما بالصورة أعاله تم انشاء ‪ web filter security profile‬باسم ‪ IT_DEP‬يقوم باغالق الفيسبوك‬
‫واليوتيوب ‪..‬‬

‫في الصورة أعاله في حالة تفعيل الخيار‪ Block invalid URL‬فان عند فتح أي موقع غيرصحيح سوف‬
‫يعمل له ‪ block‬او أي موقع يعتمد على الشهادة وفيها ‪ warning‬فأنه سيتم عمل لها ‪ Block‬حيث يعتبر‬
‫هذا املوقع ‪ invalid‬ويقوم بعمل منع للموقع‪.‬‬
‫‪ : Enforce 'Safe Search' on Google, Yahoo!, Bing, Yandex‬تجبربان عمليه البحث االمن في محركات‬
‫البحث جوجل وياهو وبينج وياندكس ‪..‬‬
‫‪ : Restrict YouTube Access‬فلو الخياركان ‪ Strict‬فهذا يعني يتم فقط فتح الفيدوهات التعليميه‬
‫فقط في اليوتيوب‪.‬‬
‫ال ـ‪ : moderate‬يشغل جميع الفيديوهات ماعدا فيديوهات العري وال ـ‪ porn‬وغيرها ‪.‬‬
‫‪ : Log all search keywords‬عمل تسجيل لل ـ‪ logs‬لكلمات البحث على اليوتيوب ‪.‬‬

‫‪ : Restrict Google account usage to specific domains‬تقيد حسابات جوجل بحيث يمكن‬
‫تستخدمها فقط في الشركة في التسجيل بفيسبوك ويوتيوب كما بالصورة أعاله ‪..‬‬
‫‪ : Restrict YouTube access to specific channels‬ممكن تحديد قنوات محدده على اليوتيوب فقط‬
‫للسماح فيها مثال نسخ رابط القناه‬

‫سيتم السماح لهذه القناه بالتحديد ‪...‬‬

‫❖ لو اريد مراقبه وتسجيل الــ‪ logs‬أي موقع يتم تصفحه وذلك كما بالصورة ادناه‬
‫‪..‬‬
‫وال يفضل عمل مثل هذا ألنه يسبب حمل شديد على جهازالفورتي جيت ‪...‬‬
‫كما بالصورة أعاله تم انشاء ال ـ ‪ web filter security profile‬باسم ‪. IT_DEP‬‬

‫‪: Web category based filtering‬‬
‫ال ـ‪ category based filter‬تستخدم لتطبيق ‪ action‬معين على تصنيف معين من املواقع(مثال تريد اغالق‬
‫كل مواقع الرياضه)‪ ،‬فبدال من استخدام كتابه كل موقع على حده كما بالطريقة السابقة في ‪Static URl‬‬
‫‪ filter‬فهذا صعب جدا ‪.‬‬
‫فبواسطة ال ـ ‪ web category based‬يتم فقط اختيارالتصنيف(‪ )category‬املطلوب تطبيق ال ـ‪action‬‬
‫عليه ‪....‬‬
‫مالحظة ‪ :‬ال ـ ‪ FortiGuard category based filter‬ال يعمل على النسخة ال ـ‪VM‬‬
‫التجريبية ويجب شراء ال ـ ‪ license‬كما بالرسالة التحذيرية املوضحة أعاله‬
‫‪"Warning: This device is not licensed for the FortiGuard web filtering service.‬‬
‫‪Traffic may be blocked if this option is enabled.‬‬
‫"‬
‫حيث الفورتي جيت مقسم ال ـ‪ category‬الى قسمين ‪:‬‬
‫‪: Main category -1‬القائمة الرئيسية مثال ‪Adult/Mature content‬‬
‫‪: Sub category -2‬القائمة الفرعية حيث تحتوي كما بالصورة ادناه على ‪ 15‬تصنيف فرعي ‪...‬‬

‫فيمكنك اغالق مثال مواقع القماراملسمى ‪. Gambling‬‬
‫فلو تريد اختياركل ال ـ ‪ sub category‬للتصنيف الرئيس ي املسمى ‪Adult/Mature‬‬

‫فأنك تقوم بعمل تحديد الكل بالنقرعلى ‪ Alt+A‬ثم تختارال ـ ‪ action‬املناسبه كما بالصورة ادناه‬


‫‪: Web category usage quota‬‬
‫ال ـ ‪ Warning action‬يقصد به عمل تحذيرلليوزرالذي يدخل للمواقع مثال ‪Gambling‬‬

‫ويكون دخول املوقع على مسؤوليه املستخدم ‪.‬‬
‫حيث بمجرد النقرعلى الزر ‪ warning‬تظهرلك الرسالة التالية‬
‫حيث ستظهررساله التحذيرمدتها ‪ 5‬دقائق ‪...‬‬
‫ال ـ ‪: Authenticate action‬‬

‫حيث يظهرللمستخدم يوزرنيم وباسورد للدخول للموقع مثال عند دخول اليوزرألي موقع ضمن‬
‫التصنيف ‪. sex education‬‬

‫حيث تم أضافه جروب ال ـ‪ IT‬فيجب على اليوزراملراد فتح أي موقع تنتمي ل ـ ‪ sex education‬ان يكون‬
‫ضمن ال ـ‪ IT group‬حيث يجب ان يقوم بإدخال يوزرنيم وباسورد ألي حساب ضمن ال ـ‪.IT group‬‬

‫اآلن سنقوم بعمل ‪ Quota‬لتصنيف معين وليكن ال ـ ‪ online meeting‬بحيث نحدد مثال ساعه ونصف‬
‫فقط وبعدها يتم الخروج من املوقع ‪..‬‬
‫حيث ال يمكن عمل ‪ quota‬اال للتصنيفات املعمول لها ‪ Monitor‬او ‪ Authenticate‬او ‪ Warning‬في‬
‫ال ـ ‪... FortiGuard web category filter‬‬
‫حيث يتم استخدام مواقع التصنيف ‪ Online meeting‬ملده ساعتين ونصف ومن ثم ظهور رساله‬
‫ال ـ ‪authenticate‬‬

‫أيضا اريد ان اسمح ان يتم فتح مواقع ال ‪streaming media and download‬‬
‫‪ 500‬ميجا فقط ‪..‬‬

‫‪: Web Category Based Filter Overriding‬‬
‫تعمل ‪(override‬تجاوز) ألي تصنيف معمول لها ‪ block‬في ال ـ‪Fortiguard web category‬‬
‫ل ـ ‪ group‬معين‪.‬‬
‫مثال اريد انا اسمح لجروب اسمه ‪ IT_Managers‬بأن يتجاوز غلق مواقع ال ـ‪ Security Risk‬الذي تم‬
‫اغالقه في ال ـ‪، Fortiguard web category‬وبهذا اليوزرات التي تحت الجروب ‪ IT_Managers‬سوف‬
‫يسمح لهم بالوصول الى املواقع املدرجه تحت التصنيف ‪. Security Risk‬‬

‫نالحظ بأنه تم عمل تجاوز ‪ -override-‬لهذا البروفايل للجروب املسماة ‪ IT_Managers‬بحيث يتم تطبيق‬
‫ال ـ‪ profile‬اخرمثال اسمه ‪ allow-all‬على اليوزرات التي تندرج تحت الجروب ‪...IT_Managers‬‬

‫‪: Web Rating Override‬‬
‫في حالة كان لدينا موقع مثال ‪ www.bab.com‬ونفترض بأن املوقع ليس له تصنيف معين او الفورتي جيت‬
‫غيرقادرعلى معرفة ال ـ‪ category‬التي يندرج تحتها ‪.‬‬
‫او ان هذا املوقع موجود في ‪ category‬وتريد نقله الى ‪ category‬أخرى فأن بواسطة ال ـ ‪Web Rating‬‬
‫‪ Override‬يمكن عمل ذلك ‪.‬‬

‫تم تصنيف موقع ‪ www.bab.com‬بانه ينتمي الى ‪General Interest-Business‬‬

‫تحت التصنيف الفرعي املسمى ‪. Finance and banking‬‬
‫حيث أي موقع تريد معرفة الى أي تصنيف ينتمي نقوم بالخطوات التالية ‪:‬‬
‫بالنقرعلى الزر ‪ Lookup rating‬سيتم معرفة التصنيف للموقع ‪ www.bab.com‬ولكن نظرا ألني اعمل‬
‫ب ‪ fortigate vm‬وال تحتوي على ‪ FortiGuard web filtering license‬فأني غيرقادرعلى االستفاده من‬
‫هذه الخاصية ‪..‬‬

‫‪: Web Profile overrides‬‬

‫يستخدم في حالة وجود يوزراو جروب معين او ايبي معين مطبق عليه ‪ web filter profile‬معين وتريد في‬
‫وقت معين ان يتطبق عليه ‪ web filter profile‬اخر‪...‬‬
‫كما بالصور أعاله يتبين بأن اليوزراملسمى ‪ marfadi‬الذي باألصل ضمن الجروب ال ـ‪IT_Managers‬‬
‫والذي في األصل مطبق عليها ‪ web filter profile =IT_Dep‬ولكن سيتم‬
‫تطبيق ال ـ‪ web filter profile =allow-all‬في هذه الفترة الى تاريخ ‪ 2020-08-23‬الساعة ‪. 15:55:00‬‬

‫‪:ADDRESS‬‬
‫طريقة انشاء عنوان بحسب املاك ادرس للجهاز‬

‫تم تحديد هذا العنوان للجهازبحسب املاك ادرس‬
‫بحسب الصوره أعاله تم انشاء الرول(البوليس ي)باسم ‪ allow_all‬حيث املصدرعنوان باسم ‪PC-Client-‬‬
‫‪ MAC‬وهو عنوان املاك ادرس للجهازالكالينت(‪.)win 8.1‬‬
‫❖ ‪Fortinet solution‬‬
‫الفورتي جيت ‪:‬هو ال‪ UTM‬او الفايروول او الجهازالرئيس ي بالشبكة حيث يوجد منه نوعين‬
‫هاردويريسمى ‪appliance‬‬ ‫‪-1‬‬
‫‪ -2‬سوفتوير ‪ vm‬حيث ممكن تشتغل عليه على ‪ VMware‬او ‪ESXI‬‬
‫وكالهما يقدموا نفس املميزات او الخدمات‬
‫حيث يستخدم الفورتي جيت‪:‬‬

‫حمايه الترافيك من الهجمات‬ ‫‪-1‬‬
‫حمايه من الفايروسات وال ـ‪WORMS‬‬ ‫‪-2‬‬
‫حمايه من االسبام‬ ‫‪-3‬‬
‫يعمل ك ‪Bandwidth management‬‬ ‫‪-4‬‬
‫يعمل ك ‪ fail over‬و ‪redundancy‬‬ ‫‪-5‬‬
‫حيث يستطيع العمل مع ‪AD‬‬
‫ماهي اجهزه الفورتي نت ‪:‬‬

‫‪Fortigate‬‬ ‫‪-1‬‬
‫‪ Fortimail‬وينقسم الى نوعين ‪:‬‬ ‫‪-2‬‬
‫‪ Security filter‬أي يتم أضافه هذه امليزة الى سيرفرامليل الخاص بك مثل سيرفرال ـ ‪exchange‬‬ ‫‪-1‬‬
‫‪server‬‬
‫‪ : Mail server -2‬يعمل ك ‪ mail server‬مثله مثل ال ـ ‪ exchange server‬ويعتب اقوى ‪..‬‬
‫‪: Fortimanager‬عباره عن جهازيعمل لك تحكم بكل اجهزه الفورتي التي عندك بالشبكة حتى‬ ‫‪-3‬‬
‫‪ 5000‬جهازـتحكم كامل بالسياسات واالعدادات واداره التحديثات ويعمل أيضا مع الجهاز‬
‫‪fortianalyzer‬‬

‫‪ : Fortianalyzer‬جهازيقوم بعمل تحليل الترافيك بشكل كامل وأيضا البروتوكوالت التي تمر‬ ‫‪-4‬‬
‫بالشبكة ويعطيك تقاريرتفصيليه وبشكل رسومات عن الشبكة والـ ‪ logs‬حيث يعمل دمج كامل مع جهاز‬
‫ال ـ ‪. fortimanager‬‬
‫‪: fortiDatabase -5‬عباره عن جهازيوفرلك حمايه من الهجمات الخاصة ب ‪( database‬قواعد‬
‫البيانات)‬
‫‪: fortiWeb -6‬عباره عن حل للشركات املتوسطة والكبيرة فقط حيث يستخدم لحمايه التطبيقات‬
‫من هجمات ‪ SQL injection‬و ‪ attack Dos‬مثل لو كان لديك تطبيق على الكالود وتريد حمايته‬
‫‪: Forticlient‬برنامج مثله مثل مكافح الكاسبرالذي بينزل على الجهازالخاص بك ( ‪End point‬‬ ‫‪-7‬‬
‫)حيث الفورتي كالينت يعمل ك ‪ antivirus‬و ‪ web filter‬و فايروول ومن مميزاته بانه مجاني ولو عندك‬
‫جهازفورتي جيت فأنك ممكن ان تستفيد من ميزات إضافية ‪..‬‬
‫‪: Fortiswitch‬هو عباره عن جهازمثله مثل سويتشات سيسكو وغيرها‬ ‫‪-8‬‬
‫‪ : fortiAP‬عباره عن جهازيعتبرمن الحلول القوية والرائعة في اداره والتحكم بالوايرلس ‪..‬‬ ‫‪-9‬‬
‫❖‪: Firewall‬‬
‫الفرق بين ال ـ ‪ Firewall‬و ‪ Next Generation firewall‬و ‪UTM‬‬
‫الفايروول ‪:‬عباره عن مبدا يقوم بتحقيق األمان للشبكات من خالل التحكم ب ال ـ ‪incoming or outgoing‬‬
‫‪ traffic‬من خالل قواعد (ٌ‪)rules‬معموله على هذا الجهاز مسبقا ‪.‬‬
‫حيث الفايرول يوجد منه نوعين‬
‫هاردوير‪ :‬يعتبر اقوى من السوفتوير واكثر ثبات و يحقق مبدا األمان‬ ‫‪-1‬‬
‫مثل جهاز ‪ fortigate firewall‬من شركه فورتي نت ‪،‬‬
‫عائله ‪ Netscreen firewall‬من شركه جونيبر‬
‫منتج ‪ ASA firewall‬من شركه سيسكو‬
‫و أيضا منتج اسمه ‪paloalto firewall‬‬
‫حيث كل واحد مهم له مزيا ونقاط ضعف حيث تختار املنتج املناسب لك للمتطلبات التي تحتاجها وايضا‬
‫الدعم الفني ‪..‬‬
‫سوفتوير ‪:‬مثل ‪ Zonealarm‬من شركه شيك بوينت و ‪ pfsense‬من شركه كومودو‬ ‫‪-2‬‬
‫‪ Forefront‬من شركه مايكروسوفت مثل ‪ TMG‬وااليزا‬
‫➢ تسلسل واشكال الفايرووول ‪:‬‬
‫كما بالصور أعاله‬

‫‪: Transparent firewall layer 2‬‬ ‫‪-1‬‬
‫يشتغل على الطبقة الثانية فقط ال غير ‪.‬‬
‫ال يحتوي على ايبي اال ايبي الذي عن طريقة بنعمل اداره وتحكم للفايرول‬
‫ال يعمل ‪nating‬‬
‫يعمل فحص للترافيك باستخدام ‪ flow based‬ويمررها على الرول التي قمت بإعداداتها على الفايروول‬
‫مسبقا ‪.‬‬

‫‪ First generation‬او يسمى ‪ traditional firewall‬واحيانا يسمى ‪ packet filter‬ألنه يعمل على‬ ‫‪-2‬‬
‫الطبقة الثالثه ‪..‬‬
‫يتعامل مع ال ـ‪ IP‬اال انه في ‪network layer‬‬
‫يستطيع عمل فلتر على مستوى الباكت وأيضا يستطيع عمل ‪ NATING‬و ‪(VPN‬ربط بين الشبكة الدخلية‬
‫وشبكة أخرى)‬
‫‪: Second generation‬يعمل في الطبقة الرابعة وهي (‪ ) transport layer‬حيث يعتبر الجيل الثاني‬ ‫‪-3‬‬
‫من الفايروول (ال يقصد بها ‪ ) next generation‬ألن ال ـ ‪ next generation‬حاجه اعلى من ال ـ ‪second‬‬
‫‪ . generation‬حيث تم االنتقال من الطبقة الثانية الى الطبقة الرابعة ‪.‬‬
‫‪: Next generation‬يسمى اختصارا ‪ NGFW‬حيث‬ ‫‪-4‬‬
‫في هذا النوع تم التعامل مع الطبقة الساعة (‪)Application layer‬حيث بدا التعامل مع على مستوى‬
‫التطبيقات وظهر معانا أيضا ‪ IPS‬و ‪ bandwidth management‬و ‪ web filter‬و ‪... application filter‬ومن‬
‫عيوبه هو البطئ مقارنه باألنواع السابقة ألنه كلما حققت حمايه وامان زياده فانه يكون على حساب‬
‫السرعة‪.‬‬
‫)‪: UTM(Unified threat management‬‬ ‫‪-5‬‬

‫عباره عن جهاز لديه القدرة على تأدية عده مهام (خصائص) من خالل جهاز واحد حيث يتعبر فايروول و‬
‫‪ next generation firewall‬و يحقق لك ال ـ ‪ load balancing‬و )‪ data leak prevention (PLD‬و ‪gateway‬‬
‫‪ antispam‬و ‪ gateway Antivirus‬و ‪ app firewall‬و هذا هو النوع اللي سوف نشرحه ونتعامل معه حيث‬
‫هذا الجهاز يحقق لك كل نقاط الحمايه في الشبكة من خالل جهاز واحد فقط وهو ‪. UTM‬‬

‫‪Bandwidth ,Throughput ,Concurrent Sessions‬‬
‫مصطلحات مهمه ‪:‬‬
‫‪ : Bandwidth‬هو اقص ى عدد للباكت تمر داخل القناه (اي القدرة االستيعابية‬ ‫‪-1‬‬
‫لهذه القناه) ‪..‬‬
‫‪: Throughput‬هو عدد الباكت التي بيمر حاليا عندما الجهاز يتعامل(يتصل) مع‬ ‫‪-2‬‬
‫جهاز اخر ‪...‬‬
‫‪: Concurrent sessions‬هي عباره عم عدد ال ‪ )sessions )connections‬الذي‬ ‫‪-3‬‬
‫يستطيع فيه الفايروول التعامل معها بنفس الوقت ‪.‬‬
‫حيث عند فتح صفحة انترنت تعتبر جلسه او ‪session‬‬
‫او فتحت برنامج سكايب يعتبر جلسه وهكذا ‪...‬‬


‫‪FortiGate Series‬‬
‫كما باصوره أعالهألحدى منتجات الفايروول فورتي جيت ‪..‬‬
‫‪ 6‬منافذ شبكة (‪)Lan‬‬ ‫•‬

‫‪ 2‬منافذ ‪ wan‬تستطيع توصيل فيها ‪ 2‬خطوط انترنت ‪..‬‬ ‫•‬
‫واملنفذ ‪ DMZ‬تستطيع توصيل السيرفرات التي سوف يتم الوصول اليها عبر االنترنت (سيرفرات‬ ‫•‬
‫موجودة بالشبكة الداخليه ولكنك سوف تسمح بالوصول اليها من خارج الشبكة عبر االنترنت)‪.‬‬
‫منفذ الـ‪ USB‬يستخدمألخذ نسخه باك اب من االعدادات الخاصة بالجهاز او لو اردت أضافه‬ ‫•‬
‫‪ firmware‬جديد للجهاز ‪.‬‬
‫‪: Console port‬يستخدم لعمل االعدادات لجهاز الفورتي ويستخدم ذلك عندما تقوم بشراء جهاز‬ ‫•‬
‫فايروول جديد ‪.‬‬

‫موديالت فورتي جيت ‪:‬‬
‫‪ : Entry level‬تستخدم للشركات واالعمال الصغيرة ‪.‬‬ ‫‪-1‬‬
‫‪ : MID RANGE‬تستخدم للشركات الكبيرة ‪.‬‬ ‫‪-2‬‬
‫‪ : HIGH-END‬يستخدم لشركات مزودي الخدمة (‪)ISP‬وهو اقوى األنواع‬ ‫‪-3‬‬
‫‪: Virtual appliances‬يتم تنزيلها على احدى منتجات االنظمة الوهمية ومن ثم يعمل كفايروول ‪.‬‬ ‫‪-4‬‬
‫يتم تحديد موديل معين للشراء وذلك بحسب احتياجاتك في العمل وذلك بعد ما تقرا موصفات املوديل‬
‫وأيضا يجب ان تحدد احتياجاتك انت‬
‫مثال كم لديك خطوط انترنت وكم سرعتهم‬
‫وماهي الخصائص او املميزات التي سوف تحتاجها بالشركة عندك‪.‬‬
‫هل ستحتاج ‪ vpn‬ام ال! وان كان نعم كم عدد الناس الذين سوف يعملوا معاك ‪vpn‬‬
‫‪Operating system OS key features 5 2‬‬

‫ماهي مميزات ال‪ fortiOS‬او نظام التشغيل لجهاز الفورتي جيت‬
‫حيث أي جهاز فورتي جيت يكون في نفس املميزات(الخصائص) أعاله تقريبا ‪...‬‬
‫‪Home lab Design‬‬

‫أي جهاز فورتي جيت فايروول (حقيقي وليس وهمي )يكون االيبي االفتراض ي له هو ‪192.168.1.99‬‬
‫ويمكنك الوصول اليه عبر ال‪ PING‬و ‪ HTTP‬و ‪ HTTPS‬وذلك عبر أي منفذ ‪ lan‬في الجهاز ‪...‬‬
‫حيث املنفذ ‪ lan1‬يكون مفعل عليه ‪ DHCP‬أي بمجرد توصيل كيبل الشبكة لل ـ‪ port1‬الى االبتوب الخاص‬
‫بك فأن كرت الشبكة في االبتوب سوف يأخذ ايبي من نفس الرينج ‪. 192.168.1.0‬‬
‫بعكس لو قمت بتوصيل الكيبل بين االبتوب و …‪ port2,3,‬فأنه يجب عليك ان تكتب ايبي لكرت الشبكة‬
‫لالبتوب من نفس الرينج ‪ 192.168.1.0‬بشكل يدوي ‪..‬‬
‫اليوزر نيم االفتراض ي يكون ‪ admin‬والباسورد (ال يوجد باسورد)‬
‫األشياء (املميزات)التي توجد بالفايروول معتمده بشكل رئيس ي على الترخيص(اليسنز) مثل‬
‫‪Antivirus‬‬ ‫‪-1‬‬
‫‪Antispam‬‬ ‫‪-2‬‬
‫‪Web filter‬‬ ‫‪-3‬‬
‫‪Ips‬‬ ‫‪-4‬‬
‫وهذه األشياء يجب ان تشتريها وتجددها سنويا من شركه فورتي جيت ‪..‬‬
‫لكي تتمكن من تنزيل ال ـ‪ vm fortigate‬يجب ان يكون لديك حساب على‬
‫‪https://support.fortinet.com‬‬
‫ولن تتمكن من انشاء حساب اال لو كنت مشتري جهاز من شركه فورتي جيت‪..‬‬
‫حيث عن طريق الرابط أعاله يمكنك عمل تسجيل لجهاز الفورتي جيت التابع لك او عمل تجديد‬
‫للترخيص للجهاز(أيضا يمكنك عمل هذا أيضا من خالل صفحة الويب التابع لجهاز الفورتي جيت‬
‫نفسه) وأيضا يمكنك تنزيل ال‪ firmware‬الجديد او قطع ‪ ticket‬للتواصل مع شركه فورتي في حالة‬
‫مواجهه مشكله ما او عمل ‪ chatting‬معهم ‪..‬‬

‫‪FortiGate basics Registering FortiGate‬‬

‫عند شراء جهاز جديد يجب ان تعمل له تسجيل في موقع الدعم الخاص بفورتي نت وذلك لكي تقوم‬
‫بتفعيل الجهاز الخاص بك وبهذا تسمح لجهاز الفورتي جيت الخاص بك بأن يستلم التحديثات من‬
‫الفورتي جارد (‪)fortiguard‬الخاصة ب‪ IPS‬و ‪ AV‬و ‪ Antispam‬و ‪ web filtering‬و ‪. application control‬‬
‫وأيضا لكي تتمكن من عمل ‪ upgrade OS‬للجهاز‪..‬‬
‫ولكي تقوم بالتسجيل يجب ان يكون جهاز الفورتي جيت موصل باإلنترنت ‪.‬‬
‫جلهاز الفورتي جيت ‪:‬‬ ‫‪Registration‬‬ ‫❖ طريقة عمل‬
‫القوائم الرئيسية للفورتي جيت ‪:‬‬
‫‪ : System‬هي االعدادات الرئيسية للفورتي جيت‬ ‫‪-1‬‬

‫‪: Policy&objects‬‬ ‫‪-2‬‬
‫الـ ـ‪ policy‬هي السالح الخاص بك في الفورتي جيت الذي يتم استخدامه لتطبيق كل الروالت على الشبكة‬
‫الخاصة بك او على املستخدمين ‪.‬‬
‫ال ـ‪ objects‬هي اللي بيتطبق عليها البوليس ي مثل ‪ address –services-schedule-traffic shaper‬وغيرها ‪..‬‬
‫‪: Security profiles‬‬ ‫‪-3‬‬

‫هي االعدادات األمنية مثل الويب فلتر او ‪IPS‬‬
‫‪: User& devises‬‬ ‫‪-4‬‬

‫خاص باملستخدمين واألجهزة التي سيتعامل معها الفورتي جيت‪.‬‬
‫‪: Logs&reports‬عباره عن التقارير وال ـ ‪ logs‬على أي ش ي يحصل لدي في الشبكة ‪.‬‬ ‫‪-5‬‬
‫ما هو ‪:operation mode‬هي طريقة عمل جهاز الفورتي جيت‪،‬حيث الفورتي جيت يعمل في ‪ mode 2‬هما‬
‫‪NAT mode‬‬ ‫‪-1‬‬

‫‪Transparent mode‬‬ ‫‪-2‬‬
‫مالحظة‪:‬‬
‫جهاز الفورتي جيت ال يحتوي على ازرار إيقاف التشغيل او اعاده التشغيل بل يمكنك ذلك من ‪ CLI‬او من‬
‫‪. GUI‬‬
‫ماهي ال‪: features‬‬
‫هي الوظائف التي اجعل جهاز الفورتي جيت يلعبها مثال ‪ VPN‬و ‪AV‬و ‪ IPS‬و‪.... IPV6‬الخ‬
‫بعض الوظائف ال تحتاجها في الشبكة عندك مثل ‪ IPv6‬فاألفضل إيقاف هذه الوظيفة (‪)features‬لكي‬
‫نقلل من استهالك مصادر الجهاز(‪ )Ram,HDD,CPU‬وتزويد عمره االفتراض ي فاألفضل تعمل لها ‪.. OFF‬‬

‫كما بالصورة أعاله فأن جهاز الفورتي جيت ال يدعم ‪. IPV6‬‬
‫حيث ال ـ‪ features‬مقسمه الى جزئين ‪:‬‬
‫‪: Core Features‬هي الخصائص الخاصة بالشبكة ليس لها عالقه ب ـ‪ security‬مثل ‪advanced‬‬ ‫‪-1‬‬
‫‪ routing‬و ‪ IPv6‬و ‪ VPN‬حيث استطيع تشغيلها بدون ترخيص ( ‪.)license‬‬
‫‪ : Security features‬هي الخصائص الخاصة بالحماية مثل ‪AV,application control,ips,web‬‬ ‫‪-2‬‬
‫‪ filter,email filter‬وهذه الخصائص ال تعمل اال بترخيص‬
‫ويمكن تعديل الخصائص من ‪ features set‬واختيار املناسب لك مثال ‪ full UTM‬حيث سيقوم بتشغيل‬
‫كل الخائص(‪)features‬‬

‫تم تحديد كل ‪ security features‬كما بالصورة أعاله‪..‬‬

‫عند اختيار ‪. features set=NGFW‬‬
‫ولدينا خيار يسمى ‪ADVANCE THREAT PROTECTION=ATP‬‬
‫حيث هنا قمنا فقط بتفعيل الخاصية ولكننا لم نقم بعد بتطبيقها على أي احد بالشبكة (أي تطبيقها‬
‫كروول على اليوزرات او االجهزه)‪.‬‬
‫فلو تريد مثال جعل جهاز الفورتي جيت يعمل ك‪ dns server‬فأننا نقوم بتفعيل الخاصية ‪DNS‬‬
‫‪ Database‬وليس فقط ‪.dns forwarder‬‬

‫فبمجرد تفعيل ‪ DNS Database‬فأنه تظهر لك قائمه باسم‬
‫‪ DNS SERVER‬كما بالصورة ادناه‬
‫ما هو ‪ Revisions‬يف الفورتي جيت ‪:‬‬

‫هي عباره عن عمليه باك اب ولكن بدون ما اقوم بحفظ نسخه الباك اب ( ‪)configuration file‬في مكان‬
‫معين ‪..‬‬
‫حيث بمجرد ما اعمل ‪ revisions‬كأني عملت ‪ checkpoint‬او نسخه احتياطيه لإلعدادات وحفظتها على‬
‫نفس جهاز الفورتي جيت‪..‬‬
‫واستطيع ارجاها باي وقت ‪...‬‬

‫حيث كما بالصورة أعاله تم عمل نسخه باك اب لإلعدادات وتم حفضها على جهاز الفورتي جيت نفسه‬
‫‪...‬‬
‫االن سنقوم بعمليه االستعادة ل ـ‪ checkpoint‬كما بالصورة التالية‬

‫سيتم استرجاع النسخة باالعدادات التي كانت عليها في تلك اللحظة بعد اعاده تشغيل الجهاز ‪..‬‬
‫واألفضل كما انك تأخذ نسخه باك اب العادية باإلضافة الى طريقة ‪ revisions‬بحيث لو تعطل جهاز‬
‫الفورتي جيت فأنك لن تستطيع بإخذ باك اب من داخل الجهاز نفسه الخاصة ب ‪...revision‬‬

‫❖)‪NTP server(Network time protocol‬‬

‫حيث سنجعل جهاز الفورتي جيت يعمل ك ‪ NTP server‬أي جعل االجهزه تأخذ الوقت والتاريخ من جهاز‬
‫الفورتي جيت ‪..‬‬
‫نقوم أوال بالتأكد بأن الوقت والتاريخ واملنطقة الزمنية على الفورتي جيت مضبوطة حيث سيتم عمل‬
‫مزامنه للوقت والتاريخ بين جهاز الفورتي وسيرفر ‪ fortiguard ntp server‬كل ‪ 60‬دقيقه‪.‬‬
‫حيث سيتم تفعيل ‪ ntp serer‬على املنفذ ‪ port1‬وهو املنفذ الذي موصول عليه الشبكة املحلية لألجهزة‬
‫بالشبكة وسيتم توزيع الوقت والتاريخ لألجهزة املتوصله باملنفذ ‪port1‬‬

‫تم الحفظ باإلعدادات كما بالصورة أعاله ‪...‬‬
‫ثم من على اجهزه الشبكة نقوم بتعديل االعدادات لديهم بأن ال ‪ ntp server‬هو عباره عن ايبي‬
‫‪ 192.168.2.20‬وهو ‪ port1‬للفورتي جيت‪.‬‬

‫❖ تصميم الشبكة ‪:‬‬
‫الفورتي جيت سوف يكون ‪ Edge‬الحافه (حافه الشبكة)‪.‬‬
‫كما بالصورة أعاله فأن الفورتي جيت يكون في املنتصف أي بين االنترنت والشبكة الداخلية لذا يسمى‬
‫‪ edge‬ألنه هو اللي يحمي الشبكة الداخليه من الهجمات القادمة من االنترنت‪..‬‬
‫هناك طرفين واحد امام الفورتي جيت(االنترنت) والطرف االخر خلف الفورتي جيت وهو الشبكة‬
‫الداخليه(‪.) LAN‬‬
‫في اجهزه تكون في املنتصف تسمى ‪ DMZ‬او الشبكة املعزولة ‪..‬‬
‫حيث ال ـ‪ DMZ‬هي شبكة معزولة ومرتبطة بالفورتي جيت لكنها ليست ‪ LAN‬وال هي ‪ internet‬هي ما بين‬
‫االثنين ‪.‬‬
‫حيث ال ـ‪ DMZ‬مكان بيتم وضع السيرفرات التي على الشبكة املحلية ولكنك تريدها ان تكون متاحه للناس‬
‫ان يصلوا اليها من برع الشبكة (أي من خالل االنترنت)‬

‫حيث هي مرتبطة بـ‪ lan‬ألنها موجودة أصال في الشبكة املحلية ومرتبطة باإلنترنت ألن أي احد يريد ان‬
‫يصل اليها عبر االنترنت ممكن أيضا ان يستفيد من خدمات هذه السيرفرات ‪..‬‬
‫مثل خدمه ‪ Web server‬او ‪. mail server‬‬
‫أي ش ي خلف الفورتي جيت يسمى ‪ LAN‬مهما كان اسمه سواء سيرفرات او اكسس بوينت او اجهزه عاديه‬
‫او سويتشات ‪..‬الخ وجميعها سوف تكون تحت سيطرة الفورتي جيت ‪.‬‬
‫السيرفرات التي ستوفرها على االنترنت مهما كانت الخدمة املقدمه يجب ان تكون خلف الفايرول وفي‬
‫‪ DMZ‬لكي تحمي تلك السيرفرات‪.‬‬
‫سيناريوا اخر للتصميم الشبكة للربط بين الفروع ‪:‬‬
‫نفترض لديك مركز رئيس ي وفرع اخر في مكان اخر وكل فرع يوجد لديه انترنت وايضا يحتوي على جهاز‬
‫فورتي جيت ‪.‬‬
‫حيث الفرعين متوصلين مع بعض عبر االنترنت عن طريق ال ـ‪.VPN‬‬
‫حيث يصبح الفرعين متوصلين مع بعص وكانهم شبكة واحده ‪..‬‬

‫وأيضا لو لدي جهاز موبايل او البتوب موجود في دوله أخرى حيث استطيع ان اتحكم بهذا الجهاز عبر‬
‫الفورتي جيت املوجود باملركز الرئيس ي عبر برنامج يسمى كالينت ايند بوينت يتم نزوله على االبتوب او‬
‫املوبايل‪..‬‬
‫‪Advice administration‬‬
‫طرق التعامل مع جهاز الفورتي جيت والتحكم فيه من اعدادات وغيرها ‪..‬‬
‫)‪: Web GUI(http,https‬يجب ان يكون لديك متصفح انترنت تدخل من خالله بااليبي التابع‬ ‫‪-1‬‬
‫للفورتي جيت‪.‬‬
‫)‪: CLI(console,Telnet,ssh,GUI widget‬هنا يتم التعامل مع جهاز الفورتي جيت باالوامر‬ ‫‪-2‬‬
‫‪ command line‬باحدى الطرق التالية ‪:‬‬
‫‪ :console – A‬توصيل كيبل كونسول لالبتوب وبواسطة برنامج مثل ‪ putty‬وبتوصل للفورتي جيت بدون‬
‫ماتحتاج الى ايبي الفورتي جيت (حتى لو مش عارف االيبي للجهاز يتم استخدام هذه الطريقة)‪.‬‬

‫‪ :telnet -B‬يتم الدخول الى الفورتي جيت عبر برنامج مثل ‪ putty‬بواسطة ايبي الفورتي جيت من أي مكان‬
‫بالشبكة ‪.‬‬
‫‪ : SSH-C‬يتم الدخول الى الفورتي جيت عبر برنامج مثل ‪ putty‬بواسطة ايبي الفورتي جيت من أي مكان‬
‫بالشبكة حيث يعتبر نفس ال‪ telnet‬ولكنه اكثر امانا ألنه مشفر ‪.‬‬

‫مالحظة‪:‬ال يمكنك الوصول الى الفورتي جيت سواء ‪ ssh‬او ‪ telnet‬عبر برنامج ال ـ ‪ putty‬اال بعد عمل االمر‬
‫‪Set allowaccess ssh telent‬‬
‫لكرت الشبكة الخاص بالفورتي املراد الوصول اليه ‪..‬‬
‫‪: GUI Widget – D‬شاشه سوداء مثل ‪ CMD‬يتم الوصول اليها من ‪ GUI‬كما بالصورة ادناه ‪.‬‬

‫❖ طريقة رفع مستوى األمان عند الوصول اىل جهاز الفورتي جيت ‪..‬‬
‫حيث البورتات االفتراضية حسب الصوره أعاله فاألفضل تغيير ارقام البورتات مثال ‪ https:443‬ويتم‬
‫تحويله الى ‪ 4433‬مثال‬
‫ولذا عند الدخول الى الفورتي جيت يجب ان تقوم بكتابه البورت كما التالي‪:‬‬
‫‪192.168.2.20:4433‬‬
‫وهكذا ‪..‬‬
‫خيار ‪:5= idle timeout‬هذه الخاصية بتجبر الفورتي جيت على عمل ‪ logout‬بعد مرور ‪ 5‬دقائق وبعدها‬
‫تجبر اليوزر بإدخال اليوزرنيم والباسورد مره أخرى كنوع من األمان ‪.‬‬
‫‪Device administration‬‬
‫‪ : Administrator‬األشخاص الذي لهم صالحيات للدخول للفورتي جيت والتعامل معه وعمل اداره‬
‫للجهاز وأنواع ال ـ ‪ administrator‬هي‪:‬‬

‫‪: )super admin( Full admin‬هو الذي له صالحيات على كل الفورتي جيت بدون أي تقييد‬ ‫‪-1‬‬
‫‪ : Prof admin‬هو نوع من ال ـ ‪ administrator‬الذي لديه صالحيات عاليه جدا ضمن بيئه اسمها‬ ‫‪-2‬‬
‫‪) SVD( single virtual domain‬‬
‫‪: Custom profile‬الوصول الى صالحيات محدده حيث أقوم بتحديدها انا له‪.‬‬ ‫‪-3‬‬
‫‪ : Admin profile‬هي االعدادت التي أقوم بإعدادهاألحدى الـ‪ administrator‬أعاله لكي يصل اليها ‪..‬‬
‫‪ : Permission‬هي الصالحيات (‪ ) read,write,none‬التي سيتم تحديدها لل ـ‪. administrator‬‬

‫طريقة انشاء ‪ administrator‬جديد ‪:‬‬

‫اسم ال ـ‪ administrator‬هو ‪ hosam‬ونوعه ‪ local user‬وتم تحديد الباسورد له وأيضا يجب ان تحدد‬
‫‪ administrator profile‬لهذا اليوزر بإحدى األنواع كما ذكرناها أعاله ‪..‬‬
‫حيث لو تريد ان تقوم بتخصيص ‪ custom profile‬فيجب عليك انشاء أوال ‪ custom profile‬وذلك بحسب‬
‫الصوره ادناه‬
‫حيث اسم البروفايل هو ‪ show_only‬وله صالحيات القراءه فقط على كل األشياء(األشياء )التي سوف‬
‫اتعامل معاها كما بالصورة أعاله ‪..‬‬
‫حيث صالحيه ال‪ none‬معناها بأن هذه الشاشة لن تظهر نهائيا لليوزر‪.‬‬
‫و ‪: read‬للقراءه فقط وال يمكنك التعديل عليها ‪،‬‬
‫و ‪: read/write‬يمكنك التعديل على الشاشات ‪..‬‬

‫يوجد لدينا االن ‪ 3‬بروفايالت كما بالصورة أعاله ‪...‬‬

‫اآلن يمكننا تحديد البروفايل املناسب مثال ‪ show_only‬لليوزر ‪ hosam‬كما بالصورة ادناه‬

‫كما بالصورة أعاله يوجد لدينا ‪ 2‬يوزرات ‪..‬‬
‫االن سوف ندخل للفورتي جيت من خالل اليوزر الذي أنشأناه سابقا‬

‫نالحظ بان الشاشات بهذا اليوزر هي ‪ read only‬وال يمكن لهذا اليوزر التعديل ‪...‬‬
‫سوف نقوم بإنشاء بروفايل جديد باسم ‪ Yasser-it‬حيث تم إخفاء عنه بعض الشاشات مثل ‪security‬‬
‫‪ fabric‬و ‪، fortiView‬‬
‫كما تم تحديد صالحيه ‪ read/write‬بعض الشاشات وتخصيص بعضها كما بالضور ادناه ‪:‬‬


‫االن سنقوم بإنشاء يوزر باسم ‪ Yasser‬مثال ونحدد له البروفايل ‪. Yasser-it‬‬

‫سيتم الدخول لهذا اليوزر بالصالحيات والشاشات التي تم تحديدها بالبروفايل ‪. Yasser-it‬‬
‫❖ مالحظة ‪:‬‬
‫ممكن تعطي يوزر معين بأن يكون له صالحيات لـ ‪ vpn connection‬بالشركة فقط فلذا ليس له داعي ان‬
‫يفتح كل الصالحيات ويعدل عليها وبهذا انا رفعت مستوى األمان وقمت بعمل تخصيص لألعمال ‪..‬‬
‫➢ ما هو ‪: Trusted hosts‬‬

‫هذا الخيار معناه قم بتقييد اليوزر املسمى ‪ Yasser‬بأنه ال يمكنه الدخول الى الفورتي جيت اال عن طريق‬
‫اجهزه معينه (جهاز موثوق فيه)مثال احدد جهاز معين عندي بالشبكة فقط وليكن‬
‫‪ 255.255.255.255/192.168.2.140‬حيث لو حاول هذا اليوزر بالدخول الى الفورتي جيت من أي جهاز‬
‫اخر فأنه لن يستطيع ذلك ‪.‬‬
‫أي ان اليوزر ‪ Yasser‬لن يستطيع الدخول الى الفورتي جيت اإل من الجهاز ‪ 192.168.2.140‬حتى وان كان‬
‫لديه اليوزر نيم والباسورد ‪..‬‬
‫قمنا بالدخول الى الفورتي جيت من خالل جهاز الكالينت ‪192.168.2.140‬‬

‫فلو قمت بتغيير ايبي الجهاز الى ‪ 192.168.2.160‬بدال عن ‪ 192.168.2.140‬فان اليوزر ‪ Yasser‬ال يمكنه‬
‫الدخول الى الفورتي جيت بالرغم من ان اليوزر نيم والباسورد صحيحين ‪..‬‬

‫❖ ‪Interface ip address‬‬
‫للتعامل مع الـ ‪ interfaces‬التابعه للفورتي جيت كما بالصورة التالية‬
‫حيث يظهر لك كل ال ـ ‪ interfaces‬لجهاز الفورتي جيت‬
‫حيث بتوضح اسم ال ـ ‪ interfaces‬ونوعه وااليبي وطريقة الوصول اليه)‪... )administrative access‬‬
‫حيث في ال ـ ‪ vm‬يتم تسميه ال ـ‪ interfaces‬ب ‪ port‬ويمكن التعديل على تلك األسماء كما تريد ‪،‬‬
‫اما بجهاز الفورتي الحقيقي يكون اسمه ‪ internal‬او ‪wan1‬او ‪ wan2‬او ‪. dmz‬‬
‫فعندما تريد ضبط اعدادات ‪ interface‬معين وليكن ‪ port1‬فأننا ننقر عليه نقرتين فتكون كما بالشكل‬
‫التالي‬

‫اسم ال ـ‪ interface‬هو ‪ port1‬ويمكن عمل له ‪ alias‬باي اسم تريد ان تعبر عن هذا املنفذ مثال ‪ lan1‬ونحدد‬
‫طريقة تحديد(تعيين) االيبي للـ‪ interface‬هل ‪manual or dhcp‬‬
‫حيث يفضل في ال ـ‪ lan‬يكون ‪ manual‬اما لل ـ‪ wan‬يكون ‪dhcp‬‬
‫ونالحظ بأن طريقة الوصول كما بالصورة أعاله لهذا ‪ interface‬عن طريق ‪https http ping telnet ssh‬‬
‫اما خيار ‪ secondary ip address‬فهو في حالة تريد إعطاء ال ـ‪ interface‬اكثر من ايبي حيث يمكنك الوصول‬
‫اليه بأي ايبي منهم‪..‬‬


‫حيث اصبح لدينا ‪ 2‬ايبي لل ـ‪ interface‬املسمى ‪ lan1‬وهما‬

‫‪ 192.168.2.20‬و ‪10.0.0.20‬‬
‫حيث نقوم بالدخول على جهاز الكالينت ‪ 192.168.2.140‬ونظيف لكرت الشبكة ايبي إضافي من نفس‬
‫الرينج مثال ‪10.0.0.140‬‬

‫كما بالصورة أعاله تمكنا بالدخول الى الفورتي عبر االيبي ‪ 10.0.0.20‬طبيعي جدا ‪..‬‬

‫اما في ال ـ ‪ interface‬الذي سنجعله ك ‪ wan‬فأننا سنجعله يأخذ االيبي من ‪ dhcp server‬وهو‬
‫الروتر(املودم) ألننا ليس بحاجه ان ادخل الى الفورتي جيت من خالله في الواقع لذا ليس من الضروره‬
‫ان تقوم بجعله ‪static ip‬‬
‫تم تحديد بأن تعيين االيبي للبورت ‪ port2‬سيكون من خالل ‪dhcp server‬‬
‫كما بالصورة أعاله تم اخذ االيبي ‪ 192.168.1.102‬من الروتر(املودم)الخاص بي في البيت ‪..‬‬

‫مالحظة‪:‬في حالة ‪ dhcp‬فأنه ال يحتوي على خاصيه ‪. secondary ip address‬‬

‫❖ )‪Static route(default gateway)(static gateway‬‬
‫طريقة لجعل جهاز الفورتي جيت يطلع الى االنترنت(يحصل على االنترنت)‪.‬‬
‫ملاذا نريد ان يحصل جهاز الفورتي جيت على االنترنت ‪:‬‬

‫‪ – 1‬ألن الفورتي جيت هو البوابه للشبكة الداخليه فلو كان الفورتي جيت غير قادر على الوصول الى‬
‫االنترنت فأكيد جميع االجهزه بالشبكة الداخليه لن يوصلوا الى االنترنت ‪.‬‬
‫جهاز الفورتي جيت يجب ان يكون واصل له انترنت لكي يحصل على التحديث من الفورتي جارد‬ ‫‪-3‬‬
‫فبدون انترنت ال يمكن للفورتي جيت تجديد االيسنز وال يستطيع تحديث قواعد بيانات كل من ال‪AV‬‬
‫و‪ IPS‬و‪ Web filtering‬و ‪...‬الخ‬
‫الفكره في ‪ static route‬هي عمليه توجيه البيانات من الشبكة الداخليه(‪ )lan‬الى االنترنت ‪...‬‬
‫أوال نقوم بتعيين ايبي لكرت ال ـ ‪ wan‬من نفس رينج الروتر او نجعله يأخذ من ‪. DHCP‬‬

‫ثم نتأكد فقط من اعدادات ال ـ‪ dns‬للفورتي جيت بالرغم ان بشكل افتراض ي تكون مفعله ‪fortiguard‬‬
‫‪DNS‬‬

‫أخيرا يجب ان نقوم بتحديد ال ـ‪static route‬‬
‫حيث قمنا بإنشاء ‪static route‬‬

‫حيث قمنا بعمل التالي ‪:‬‬
‫لو أي شخص يريد الوصول الى ال‪ 0.0.0.0/0.0.0.0‬الذي هو االنترنت (شبكة االنترنت)عن طريق املنفذ‬
‫)‪ wan(port2‬خرجني عبر الجيتواي ‪ 192.168.1.1‬الذي هو ايبي الروتر(املودم) ‪.‬‬
‫بعدها ندخل الى ‪ cli‬ونختبر هل جهاز الفورتي حصل على االنترنت ام ال‬
‫‪Execute ping google.com‬‬

‫كما بالصورة أعاله توضح بأن الفورتي جيت حاصل على االنترنت حاليا‪...‬‬
‫‪ :Password recovery‬طريقة الستعاده الباسورد في حالة نسيان الباسورد التابع‬

‫لل ـ ‪ admin‬وذلك كالتالي‪:‬‬
‫ندخل عن طريق الكونسول بواسطة تركيب كيبل الكونسول للفورتي جيت ثم بواسطة برنامج الـ‬ ‫‪-1‬‬
‫‪ Putty‬و باإلعدادات كما بالصورة ادناه‬

‫ثم الدخول في وضع الصيانة(‪ )maintainer‬نقوم بتعين باسورد جديده ليوزر ال ـ‪admin‬‬ ‫‪-2‬‬
‫حيث في هذا الوضع سوف اكتب اليوزرنيم هو ‪maintainer‬‬
‫والباسورد هو السيريال الخاص بجهاز الفورتي جيت‬
‫ثم اكتب األوامر التالية ‪:‬‬

‫ثم نقوم بإعادة تشغيل الفورتي بواسطة االمر‬

‫‪#execute reboot‬‬
‫ومن ثم ندخل باليوزر ‪ admin‬والباسورد التي تم تعينها وهي ‪. 1010‬‬
‫مالحظة‪:‬هذه الطريقة يجب أن يكون ‪ maintainer mode‬يكون ‪ enabled‬لكي استطيع ان اطبق هذه‬
‫الطريقة وللعلم هذا ال‪ mode‬مفعل بشكل افتراض ي فلو قمت بجعلها ‪ DISABLED‬فلن تتمكن من تطبيق‬
‫هذه الطريقة ‪..‬‬
‫مالحظة‪:‬في شاشه ال‪ maintainer mode‬يعطيك فقط ‪ 14‬ثانية فقط إلدخال اليوزرنيم والباسورد لذا‬
‫يجب ان تكون سريع في كتابه ‪ maintainer‬والباسورد ‪..‬‬
‫❖ طريقة عمل ‪ DISABLE‬لــ‪ MAINTAINER MODE‬كما باألوامر التالية ‪:‬‬
‫‪#config sys global‬‬

‫‪#set admin-maintainer disable‬‬
‫‪#end‬‬
‫ولو تريد تفعيها مره أخرى نكتب ‪. enable‬‬
‫‪: Password policy‬سياسه اعدادات الباسورد عند الوصول للفورتي جيت مثال يوزرنيم ‪ admin‬حيث‬
‫ممكن الباسورد له ‪ 123‬وهذا غير آمن ويجب ان تكون اكثر تعقيدا‬
‫لذا يجب ان تفرض على الفورتي جيت ان يجبر ال ـ‪ administrator‬ان يقوموا بتعيين باسوردات معقده‬
‫كما بالصورة أعاله‬

‫تم تفعيل ‪ password policy‬ليكون ليوزرات ال‪ admin‬الذي يقوموا بعمل اداره لجهاز الفورتي‬ ‫‪-1‬‬
‫جيت وايضا لـ‪ pre-shared key‬الخاص ب ‪ IPsec‬الخاص ب ـ‪( vpn‬وهو الباسورد الذي يكون بين الكالينت‬
‫والسيرفر في حالة االتصال بطريقة ‪.) vpn‬حيث ممكن تحديد مستوى ال‪password policy‬ألحداهما‬
‫فقط وليس لكليهما ‪.‬‬
‫طول الباسورد يكون على االقل ‪ 8‬حرف‬ ‫‪-2‬‬
‫ثم حسب ما تريد هل تريد ان تجبر االدمن ان يجعل الباسورد يحتوي على حروف كبيتل و اسمول‬ ‫‪-3‬‬
‫وأرقام ورموز وأيضا ان تجعل مده انتهاء الباسورد هي ‪ 90‬يوم بعدها يطلب من االدمن تغيرها اجباري ‪...‬‬

‫مثال ‪:‬‬
‫بحسب الصوره أعاله ‪:‬‬

‫اقل عدد من الحروف(ارقام او رموز)للباسورد هو ‪10‬‬
‫على األقل يجب ان يكون هناك حرف واحد كبتل في الباسورد‬
‫على األقل يجب ان يكون لديك ‪ 3‬حروف سمول في الباسورد‬
‫على األقل يجب ان يكون لديك ‪ 3‬ارقام في الباسورد‬
‫يحتوي على األقل رمز واحد (‪)special‬مثال ! @ ‪# $‬‬
‫يجب خالل ‪ 60‬يوم ان تقوم بتغيير الباسورد‬

‫نالحظ كما بالصورة أعاله بأنه عند مطالبتي بتعيين الباسورد تم االشاره الى تعقيدات الباسورد ‪..‬‬
‫‪M@rfadi123‬‬

‫كيف تفعيل ‪ DHCP server‬على الفورتي جيت حبيث االجهزه بالشبكة‬ ‫❖‬
‫تأخذ االعدادات (‪) DNS،Gateway،IP‬من جهاز الفورتي جيت ‪:‬‬
‫‪: Dhcp client‬هي ال ـ‪ service‬التي بتتيح لك بأن تستفيد من خدمات السيرفر (‪)Dhcp server‬حيث يجب ان‬
‫تكون ‪ started‬و ‪ enabled‬في جهاز الكالينت(‪.) by default‬‬
‫*صوره من جهاز الكالينت ‪..‬‬
‫حيث ال ‪ dhcp server‬سوف يقوم بتوزيع االعدادات التاليةألجهزه الكالينت ‪..‬‬

‫حيث بمجرد ان تقوم بتفعيل الخيار ‪ Obtain an IP address automatically‬في كروت الشبكةالجهزه‬
‫الكالينت فأن ال‪ dhcp server‬سيقوم بتوزيع االعدادات كما بالصورة أعاله اما في حالة عدم وجود‬
‫‪ dhcp server‬شغال بالشبكة فأن اجهزه الكالينت ستأخذ ايبي من ‪apipa(automatic private ip‬‬
‫)‪ address‬وهذا رينج من االيبيهات يبدا من ‪ 169.254.255.254- 169.254.0.1‬حيث سياخذ الكالينت هذا‬
‫االيبي الى ان يصبح ال‪ dhcp server‬متاح بالشبكة ويوزع ايبي للكالينت ‪..‬‬
‫حيث ساقوم بتفعيل الـ‪ dhcp server‬في جهاز الفورتي جيت على ال ـ ‪ lan1 interface‬ألن هذا الكرت الذي‬
‫متوصل بالشبكة الداخليه لكي يوزع االعدادات لكل اجهزه في الشبكة الداخليه ‪...‬‬

‫بمجرد ان تقوم بتفعيل الخيار ‪ Obtain an IP address automatically‬في كروت الشبكةالجهزه الكالينت‬
‫فأن جهاز الكالينت هو الذي يطلب االعدادات من ال ـ ‪ dhcp server‬وذلك عن طريق عمل رساله‬
‫‪ broadcasts‬في الشبكة لكل االجهزه‪،‬‬
‫فـ‪ dhcp server‬هو الذي سيرد على هذا الجهاز بال ‪ configuration‬باإلضافة الى فتره العقد او‬
‫االيجار(وهي الفترة التي سيحتفظ فيها الكالينت باالعدادات املرسله من ‪ dhcp server‬في الشبكة وبعد‬
‫ذلك ينتهي )حيث يسمى هذا العقد ب ـ ‪. leased duration‬‬
‫حيث نفترض بان ‪ leased duration =7 days‬فأن بعد ‪ 7‬أيام سيفقد الكالينت االعدادات املرسله من‬
‫‪ dhcp server‬ويجب ان يقوم بعدها الكالينت بعمليه الطلب مره أخرى ‪..‬‬
‫اآلن سنقوم بعمل االعدادات على جهاز الفورتي جيت ‪:‬‬
‫يجب ان يكون الكرت ‪ lan1‬يأخذ ‪ static ip‬أي ‪... Manual‬‬
‫كما بالصورة ادناه قمنا بتفعيل ال‪dhcp server‬‬

‫وأيضا الرينج من االيبيهات التي سيتم توزيعها سوف تكون ‪ 192.168.20.254-192.168.20.21‬حيث كل‬
‫اجهزه الكالينت سوف يكون االيبي التابع لها من نفس هذا الرينج ‪..‬‬
‫وأيضا سيقوم بتوزيع ال‪mask=255.255.255.0‬‬

‫و ‪ Default getwat=Same as interface ip‬والذي سيكون نفس ايبي كرت ال ـ‪lan1=192.168.2.20‬‬
‫‪ DNS server= Same as system DNS‬والذي سيكون نفس ايبي كرت ‪ dns‬التابع للفورتي جيت والذي‬
‫قمنا بتحديده سابقا في قائمه ال ـ‪ dns‬كالتالي ‪8.8.4.4 8.8.8.8‬‬
‫او تختار ‪ Same as interface ip‬وسوف يكون هو ايبي ال ـ‪ lan1‬للفورتي جيت‬

‫ويمكنك تخصيص أي ايبي تريده وذلك بتحديد الخيار ‪ Specify‬وتكتب االيبي املطلوب توزيعه ك ‪DNS‬‬
‫مثال ايبي الدومين ‪. DC‬‬
‫بعض األوامر(‪ )Cmd‬التي يتم تطبيقها على اجهزه الكالينت ‪:‬‬

‫‪Ipconfig‬‬
‫امر يقوم باستعراض كل االعدادات لكروت الشبكة من ‪dns,gateway,ip ,mask‬‬

‫‪Ipconfig /release‬‬
‫معناها افقد (تخلص)من االيبي اللي عندك (على جهاز الكالينت)‬
‫حيث يصبح كرت الشبكة للكالينت بال أي ايبي وال أي اعدادات‪.‬‬

‫‪Ipconfig /renew‬‬
‫معناه ابحث لي عن اعدادات جديده من أي ‪dhcp server‬‬
‫او ممكن عمل ‪ disable‬و ‪ enable‬لكرت الشبكة على جهاز الكالينت بدال عن هذا االمر ‪..‬‬

‫نالحظ كما بالصورة أعاله بأن جهاز الكالينت اخذ االعدادات من ال‪dhcp server .‬‬
‫في حالة اردت ان تعرف ماهي األجهزة التي اخذت اعدادات من ال ‪ dhcp server‬عن طريق الفورتي جيت‬
‫نقوم بالدخول كما بالصورة ادناه‪.‬‬
‫حيث اسم الجهاز الكالينت هو ‪ pc1‬واملاك ادرس موجود وااليبي الذي اخذه هذا الجهاز وأيضا ‪leased‬‬
‫‪duration‬‬
‫طريقة تعديل الــ ‪ leased duration‬يف الــ‪dhcp server :‬‬ ‫❖‬
‫القيمة االفتراض ي ل ـ ‪leased duration‬هي ‪ 7‬أيام حيث يمكن تعديل هذه القيمة من خالل ‪ CLI‬في الفورتي‬
‫جيت كما بالتالي‪:‬‬
‫حيث الهدف من تعديل الفترة (القيمة)هو تقليل ال ‪ traffic‬ما بين الكالينت والسيرفر حيث في الغالب‬
‫اجهزه الكالينت من نوع ‪ PC‬مش محتاج ان تقوم بتغيير االيبي كل فتره وأخرى ألن تلك االجهزه ثاتبه في‬
‫الشركة بعكس اجهزه املوبايل و االبتوبات التي ممكن تتغير كل فتره وفتره‪..‬‬
‫لذا بحسب السيناريو عندك بالشركة فلو كانت اجهزه ‪ pc‬فاألفضل ان تقوم بزياده فتره ‪leased‬‬
‫‪ duration‬لكي نقلل من ال ـ‪traffic‬‬
‫االن سنبدأ عمليه التعديل من خالل للفورتي جيت‪:‬‬

‫دائما فتره ال ‪ leased duration‬ستكون التعديل بالفورتي بالثواني فقط ويجب ان يكون ما بين‬
‫‪ 300‬ثانية – ‪ 8640000‬ثانية ‪،‬اي ما بين ‪ 5‬دقائق الى ‪ 100‬يوم‬
‫وفي حالة اردت ان تكون الفترة غير محدودة فنكتب القيمة ‪0‬‬
‫حيث لحساب عدد الثواني مثال ل ـ ‪30‬يوم‬
‫‪24 hours x60 min x60 sec x 30 days= 2592000 sec‬‬
‫ثم سنقوم بتنفيذ االمر ‪ ipconfig /renew‬على جهاز الكالينت وسنالحظ بأنه تم تعديل ال ‪leased‬‬
‫‪duration‬‬
‫بعد كتابه االمر ‪ ipconfig /all‬في جهاز الكالينت ظهرت كل املعلومات لهذا الجهاز ‪(ip,mac address‬‬
‫) ‪,subnet mask,gateway,dns, leased obtained,leased expires‬‬
‫حيث سنقوم يتعديل ال ـ ‪ lease time‬الى ‪ 3‬اشهر =‪ 7776000‬ثانية ‪..‬‬

‫وأيضا كما بالصورة أعاله من الفورتي جيت بأن ال ‪ leased duration‬هو ‪ 3‬اشهر‪..‬‬
‫فلو اردنا عمل تعيين ايبي محدد لجهاز ما وليكم ‪PC1‬‬
‫نقوم بالدخول الى ‪ dhcp Monitor‬ثم نحدد الجهاز املراد تخصيص ايبي محدد وليكن مثال‬
‫‪ 192.168.2.21‬ومن ثم نختار التبويب املسمى ‪Reservation‬‬
‫ثم ‪ create‬ثم‬
‫نالحظ بأن الجهاز الكالينت املسمى ‪ pc1‬كان اخذ ايبي ‪ 192.168.2.21‬واالن سوف نجعله دائما يأخذ‬
‫االيبي‪192.168.2.121‬‬

‫تم تحديد بأن الجهاز ‪ PC1‬صاحب املاك ادرس أعاله يجب تخصيص له االيبي ‪. 192.168.2.121‬‬
‫االن سوف ندخل على الكالينت ونعمل له االمر‬
‫‪Ipconfig /renew‬‬
‫او اعداه تشغيل للجهاز او ‪ disable‬و ‪ enable‬لكرت الشبكة فسنالحظ بان الجهاز اخذ االيبي‬
‫‪192.168.2.121‬كما تم تحديده‪.‬‬
‫وايضا في الفورتي جيت نالحظ بأن الجهاز اخذ ‪ reserved‬كما بالصورة ادناه االيبي‪192.168.2.121‬‬

‫)‪DNS(domain name service‬‬

‫ال ـ ‪ dsn‬عباره عن ش ي اختياري بالشركة حيث انه مهم في حاالت كثيره ولكنه ليس أساس ي‪..‬‬
‫و وظيفته هي تحويل من االسم الى االيبي او العكس ‪ ،‬عند طلب موقع معين مثال ‪ www.bab.com‬فأن‬
‫ال ـ ‪ dns‬يقوم بعمل ‪ resolve‬من االسم الى االيبي ألن الشبكة‪-‬األجهزة‪ -‬ال تعرف تتعامل مع األسماء بل مع‬
‫االيبيهات فقط‪..‬‬
‫فلوا اردت معرفة االيبي ألي جهاز كمبيوتر او ألي موقع فأننا نقوم بعمل بينج وهو سيظهر لك االيبي‬
‫لهذا الجهاز او املوقع‬
‫‪Ping bab.com‬‬
‫حيث يحتوي ال ‪ dns server‬على ‪ database‬مكونه من)‪records from name to ip(host‬‬

‫او )‪from ip to name (ptr‬‬
‫حيث الفورتي جيت يشتغل ك ‪ dns forwarder‬او ‪. dns server‬‬
‫حيث لو كانت ال ‪ database‬موجودة على جهاز الفورتي جيت فهذا يعمل ك‪dns server‬‬
‫ام الخيار ‪ dns forwarder‬فهذا يعني بان الفورتي جيت ال يوجد لديه ‪ database‬لـ ‪ dns‬ولكنه بيسال ‪dns‬‬
‫‪ server‬اخر ‪.‬في حالة يوزر طلب موقع مثال ياهو فأن الفورتي جيت اكيد غير مخزن ال ‪ database‬لكل‬
‫املواقع بالعالم لذا سيتم بتحويل الطلب الى ‪ dns forwarder‬الذي قمنا بأعداده سابقا ‪8.8.8.8 , 8.8.4.4‬‬
‫اما ان قام يوزر بطلب الوصول الى طابعه او أي ‪ resources‬بالشبكة فأن ال ‪ database‬تكون موجودة و‬
‫مخزنه على الفورتي جيت وهنا سوف يكون ‪. dns server‬‬
‫الخالصة‪:‬‬
‫لو أي احد سال ال ـ ‪ dns‬التابع للفورتي جيت عن أي ش ي غير موجودة عنده على ال ـ ‪ database‬فأنه سوف‬
‫يقوم بتحويله الى‪dns forwarder‬‬
‫وهو‪google dns server‬‬
‫‪8.8.8.8 ,8.8.4.4‬‬
‫‪FortiGuard Concept‬‬
‫الفورتي جارد‪ (FDN):‬هي عباره عن شبكة كبيره مسؤوله عن توزيع التحديثات الخاصة ب ـ‬
‫‪Ips‬‬ ‫‪-1‬‬
‫‪App Control‬‬ ‫‪-2‬‬
‫‪Antivirus‬‬ ‫‪-3‬‬
‫‪Web filtering‬‬ ‫‪-4‬‬
‫‪Email filtering‬‬ ‫‪-5‬‬
‫‪Vulnerability scanning‬‬ ‫‪-6‬‬
‫‪Message services‬‬ ‫‪-7‬‬

‫‪DDNS‬‬ ‫‪-8‬‬
‫على اجهزه الفورتي جيت املشتركه عند الفورتي جارد‪.‬‬
‫حيث بمجرد ما تشتري جهاز الفورتي جيت تقوم بعمل تسجيل على ‪ fortiguard‬لكي يصل اليك التحديثات‬
‫لالشياء أعاله حيث انها خدمه سنويه حيث بعضها خدمات اختياريه ممكن تشترك فيها وممكن ال مثل‬
‫‪messaging service‬‬
‫‪: Ips‬يحتوي على حلول لتهديهات او الهجمات ‪ attack‬حيث يقوم ‪ IPS‬باكتشاف هذا النوع من أنواع‬
‫الهجمات من خالل سلوكها بغض النظر نوعه او اسمه ويعمل له‪Block .‬‬
‫‪ :App control‬عباره عن نظام موجود على جهاز الفورتي جيت تقدر من خالله التحكم بأكثر من ‪1000‬‬
‫تطبيق على اجهزه الكالينت‬
‫‪ :Antivirus‬عباره عن نظام موجود على الفورتي جيت ويحتاج الى اليسنز لكي يتمكن الجهاز من عمل‬
‫التحديث من الفورتي جارد‬
‫‪ :Web filtering‬يقوم بتوفير خدمه ‪ web category‬حيث يحتوي على اآلف التصنيفات( تحتوي على‬
‫ماليين املواقع)مثال لو تريد اغالق كل املواقع التابعه للرياضه فأنك بمجرد اختيار ال ‪category sports‬‬
‫سيتم اغالق جميع املواقع الرياضية بالشبكة لديك‪..‬‬
‫حيث توجد الكثير من التصنيفات )‪ (categories‬مثل ‪social media ,sport,porn,email,streaming‬‬

‫وغيرها‬
‫‪ :Email filtering‬يحميك من االسبام وغيرها لكي يحميك من الهجمات التي تأتي من خالل االيميالت‬
‫‪ :Vulnerability scanning‬مبدا بيتعامل مع الكونفجيراشن والباتشات‬
‫‪: Messaging service‬تعطيك رسائل تحذيريه لإليميل و ‪ sms‬لكي يصل اليك عند وصول هجوم معين‪.‬‬

‫‪: DDNS‬هي عباره عن خدمه تستفيد منها بمجرد االشتراك مع فورتي جارد بتسمح لك ان تكون لديك‬
‫‪dns‬اكثر امانا باإلضافة الى الحصول تلقائيا على ‪ web filtering‬حتى لو لم تقم بعمل ‪ web filter‬على‬
‫جهاز الفورتي جيت‪..‬‬
‫حيث الخدمات الثمانيه املذكورة أعاله لو تقم بتجديدها فأن جهاز الفورتي جيت سوف يعمل كروتر‬
‫و ‪ vpn‬لكن ك ‪ security profile‬لن يعمل اال بتجديد االشتراك في الفورتي جارد‬
‫حيث يوجد عالمات توضح حالة الخدمات التي لديك كما بالشرح ادناه ‪:‬‬
‫الرمادي‪ :‬بأنك مشترك بالخدمة ولكن يوجد مشكله باالتصال مع الفورتي جارد فييجب ان تحل لها‬
‫البرتقالي‪:‬انت غير مشترك بالخدمة‬
‫األصفر‪:‬الخدمة أصبحت منتهيه ويجب تجديدها لتصبح خضراء‬
‫األخضر‪:‬الخدمة شغاله بدون أي مشاكل ان يوجد اتصال ب ‪ FDN‬التابع للفورتي جارد‪.‬‬
‫حيث بمجرد اقتراب موعد انتهاء االشتراك تقوم شركه فورتي جيت بأرسال ايميل بقرب انتهاء االشتراك‪..‬‬
‫)‪Fortiguard distribution network (FDN‬‬

‫من خالل هذه الشاشة يمكنك متابعه العقد)االشتراك(الخاص بك مع الفورتي نت متى ينتهي ومن‬
‫الشخص الذي قام بتسجيل العقد وااليميل أيضا‪..‬‬
‫وأيضا يوضح لك كل خدمه )‪ (security profile‬متى ينتهي الاليسنز الخاص بها‬
‫وتقدر تعمل تحديث )‪(Manual‬من خاللها للخدمات التي موجودة لديك ومتى اخر تحديث حصل‪ ..‬الخ‬
‫فلو اردت ان تقوم بعمل تحديث من ال ـ ‪FDN‬ا تلقائي بمجرد وجود تحديث جديد بشرط ان يكون جهاز‬
‫الفورتي جيت متصل باإلنترنت نقوم بالخيار التالي‪:‬‬
‫‪Accept push updates‬‬

‫ولو تريد ان تعمل تحديث االن نقوم بالنقر على الزر ‪ Update AV&IPS Definitions‬حيث ينفع هذا‬
‫الخيار في حالة جهاز الفورتي جيت كان متوقف عن التحديث ألي سبب فتريد ان تقوم بتحديثه حاال‪...‬‬
‫وبعد كذا سوف يقوم بتنزيل أي تحديث جديد بشكل اوتوماتيكي ألن الخيار االخر قمنا بتفعيله‬
‫‪Accept push updates‬‬
‫او يمكنك تحديد أوقات محدده لعمليه التحديث من ال ‪ FDN‬وذلك بتفعيل الخيار‬
‫‪Schedule updates‬‬
‫ونحدد الوقت واليوم لعمليه التحديث‪...‬‬
‫كل يوم الساعة ‪ 12‬صباحا بيتم البحث عن التحديثات من ال ـ‪FDN .‬‬

‫ولكن األفضل جعل الخيار ‪ allow push updates‬لكي يقوم بتنزيل التحديث بمجرد وجود تحديث جديد‬
‫على‪FDN .‬‬
‫في خيار اخر على مستوى ‪ web filter cache‬و‪antispam cache‬‬
‫الكاش هو التخزين‪،‬‬
‫حيث جهاز الفورتي جيت بيستلم طلبات كثيره من االجهزه املوجودة بالشبكة الداخليه ملوقع معين او‬
‫على ايبي معين ترسل له ايميل فالذي يحصل كاالتي ان جهاز الفورتي جيت بيتصل مع ال ـ ‪ FDN‬بيقول له‬
‫لدي طلب وصل لي بخصوص املوقع الفالني هل املوقع هذا في القائمة السوداء او يوجد فيه مشكله فأن‬
‫في كال الحالتين يجب ان يقوم ال ـ ‪ FDN‬بالرد على جهاز الفورتي جيت حيث هذه املعلومة ستصل الى‬
‫جهاز الفورتي جيت وبدوره جهاز الفورتي جيت سيقوم بتوصيلها لجهاز الكالينت سواء ‪ BLOCK‬او‬
‫‪ALLOW‬حيث يقوم جهاز الفورتي جيت باالحتفاظ بهذه املعلومة عنده ملده ‪ 60‬دقيقه كما بالصورة‬
‫أعاله‪..‬‬
‫حيث لو أي جهاز كالينت طلب نفس املوقع خالل تلك الفترة فأن الفورتي جيت ال يقوم بالذهاب الى‬
‫ال ‪FDN‬مره أخرى بل جهاز الفورتي جيت هو الذي يرد على جهاز الكالينت مباشره فبذلك قمنا بتوفير‬
‫الترافيك والوقت بين الفورتي جيت وال ـ ‪FDN‬وبهذا يتم زياده سرعه الشبكة لدي‪.‬‬
‫أيضا نفس الكالم بيحصل على مستوى‪ANTISPAM ...‬‬
‫حيث يمكن تعديل تلك القيم من ‪ 5‬دقائق الى يوم كامل فقط‪..‬‬

‫مالحظة‪ :‬البورت االفتراض ي لوصول الفورتي جيت الى الفورتي جارد هو ‪ 8888‬كما بالصورة اداناه‬
‫‪FortiExplorer‬‬
‫هو عباره عن تطبيق نستطيع بواسطته عمل اداره االعدادات األساسية فقط لجهاز الفورتي جيت‬
‫سواء بواسطة ال ـ ‪ web‬او بواسطة ال ـ ‪CLI‬من خالل منفذ ‪ USB management‬التابع لجهاز الفورتي‬
‫جيت‪ ،‬حيث هذا املنفذ موجود في بعض اجهزه الفورتي جيت وليست جميعها‪.‬‬
‫حيث تقوم بتوصيل منفذ ‪ USB MGMT‬باالبتوب ومن ثم بواسطة التطبيق ‪ fortiExplorer‬الذي يمكنك‬
‫تنزيله مجانا‪.‬‬
‫يمكن عن طريقة عمل تغيير للباسورد الخاص بال ـ‪ administrator .‬واختيار املنطقة الزمنية وإعدادات‬
‫كروت الشبكة‪ ...‬الخ‬
‫حيث بعد تنزيله على الكمبيوتر( االبتوب)املوصل بمنفذ ال ـ ‪USB MGMT‬سوف يظهر لك البرنامج على‬
‫شكل ‪ wizard‬حيث تقوم باإلعدادات األساسية فقط‪..‬‬

‫مالحظة ‪:‬ال يمكن تطبيق ‪ FortiExplorer‬على ‪ fortigate VM‬بل على فايروول حقيقي‬
‫‪Fortigate firewall policy‬‬

‫حيث سنستخدمه في عمليه الترافيك و ال ـ ‪ vpn‬و ‪ traffic shaper‬و ‪ security‬وغيرها‪..‬‬
‫ماهي البوليس ي‪:‬‬
‫مجموعة من القواعد تتحكم في الترافيك اما بالسماح او املنع)‪ (allow,deny‬أي انك تستطيع التحكم‬
‫بالترافيك من ‪ internal to external‬او العكس او من ‪ vpn to internal‬و يمكنك التحكم‬
‫بالخدمات )‪(services‬او تريد ترافيك يمر في وقت معين وترافيك في أوقات أخرى يتم منعه‪ ...‬الخ كل ذلك‬
‫يتم عن طريق البوليس ي‪..‬‬
‫اذا البوليس ي هي سالحك في أي فايروول تستخدمه‪...‬‬
‫مالحظة‪:‬أي فايروول بوليس ي يكون بشكل افتراض ي‪Deny any any‬‬
‫أي امنع أي ترافيك يخرج الى أي مكان لذا ال يمكن ألي ترافيك ان يمر اال لو قمت بعمل بوليس ي تسمح‬
‫بذلك‪...‬‬
‫تكون موجودة بشكل افتراض ي بكل فايروول وال يمكن حذفها ابدا او التعديل عليها‪...‬‬
‫شرح البوليس ي االفتراضية (‪ )Implicit Deny‬املشار لها باللون األحمر بالصورة أعاله ‪..‬‬
‫لو في أي ‪ source‬ورايح الى أي ‪ Destination‬في أي وقت وبأي خصائص و ‪ services‬قم بمنعها ‪.‬‬
‫أي امنع كل ش يء ‪.‬‬
‫لكي تقوم بإنشاء أي بوليس ي يجب ان تقوم أوال بإنشاء مجموعة من العناصر حيث العناصر هي التي‬
‫بتتكون منها البوليس ي حيث تسمى هذه العناصر ب ـ ‪ objects‬حيث تصنف الى صنفين احدهما ضروري‬
‫وال غنى عنها واألخرى اختياريه‪.‬‬
‫❖ ماهي انواع الـــ ‪ objects‬األساسية )الضرورية)‬

‫‪ Interfaces -1‬يجب ان يكون لدي على األقل ‪ 2‬كروت واحد ‪ lan‬واألخر‪wan ..‬‬
‫حيث ال ـ ‪ interface‬له أنواع ممكن يكون ‪ physical interface‬او‪virtual interface‬‬
‫طريقة عمل‪virtual interface :‬‬
‫> ‪Create New>interface‬‬
‫تم إعطاء اسم للكرت باسم ‪ vlan1‬وعنوان له مثال ‪ virtual interface 1‬ونوعه ‪ Vlan‬أي انه كرت وهمي‬
‫وليس حقيقي لذا يجب ان يكون جزء من كرت حقيقي(ابن من الكرت الحقيقي ) ولذ تم اختيار ‪LAN1‬‬
‫وبعدها تم إعطاء الكرت االيبي ‪ 192.168.3.100/255.255.255.0‬واعطائها ‪administrative access‬‬
‫ل ـ ‪https ping‬حيث بعد ذلك يصبح هذا املنفذ املسمى ‪ VLAN1‬كانه منفذ حقيقي ويمكن تطبيق عليه أي‬
‫بوليس ي‬
‫حيث ظهر االن ‪ interface‬باسم ‪ VLAN1‬ونوعه ‪ VLAN‬يتفرع من ال ـ ‪ interface‬الحقيقي ‪LAN1‬‬
‫لذا في حالة انشاء البوليس ي فأن ال ـ ‪ object‬املسمى ‪ interface‬ممكن يكون ‪ physical interface‬او ‪VLAN‬‬
‫او ‪ ANY‬أي حاجه‪..‬‬
‫‪ Address :‬الناس التي حيتم تطبيق البوليس ي وينقسموا الى األنواع‬ ‫‪-1‬‬
‫التالية‪:‬‬

‫‪Subnet :‬‬ ‫‪-1‬‬
‫‪Ip range‬‬ ‫‪-2‬‬
‫‪Geography :‬‬ ‫‪-3‬‬
‫‪FQDN (fully qualified domain name) :‬‬ ‫‪-4‬‬
‫‪Device mac address‬‬ ‫‪-5‬‬
‫فلو اخترت الخيار ‪ All‬فهذا يعني بأنه كل العناوين‪..‬‬
‫‪ Services :‬تتكون من حاجتين اما‬ ‫‪-2‬‬

‫بروتوكول )……‪(dns,http,https,ping,smtp,pop,ssh‬او بورت )‪(53,80,‬حيث يعتبر هذا الخيار من اقص ى‬
‫أنواع التحكم بالشبكة حيث استطيع التحكم بالبورت والسيرفيس‪.‬‬
‫حيث لو اخترت بروتوكول معين وليكن ‪ https‬فهذا يعني بأنه هو فقط الذي سيتطبق عليه البوليس ي اما‬
‫لو اردت كل البروتوكوالت يتم التطبيق عليها فنختار‪All .‬‬
‫‪ Sechdual :‬متى تريد تطبيق هذه البوليس ي!! هل في أوقات معينه‬ ‫‪-3‬‬
‫او مره واحده فقط فلو اخترت الخيار ‪ Always‬يعني باي وقت‪.‬‬
‫‪ Action :‬تسمح ‪ allow‬لهذه البوليس ي‬ ‫‪-4‬‬
‫‪ Deny‬تمتع هذه البوليس ي‪..‬‬

‫❖ طريقة انشاء البوليسي‪:‬‬
‫ثم نقوم باختيار ال ـ ‪ objects‬كما تكلمنا عنها سابقا‬
‫‪ : Name‬اسم البوليس ي‬
‫‪ : Incoming interface‬ال ـ ‪interface‬الذي سيمر منه الترافيك‬
‫‪ : Outgoing interface‬ال ـ ‪interface‬الذي سيمر اليه الترافيك‬
‫‪: Source‬‬

‫تصميم الشبكة لدينا كما بالرسمة التالية‪:‬‬
‫حيث اجهزه الشبكة املحلية سوف يكون ال ‪ Gateway‬لهم هو ‪ 192.168.2.20‬وهو نفس ايبي كرت‬
‫الشبكة ‪ LAN1‬في الفورتي جيت‪.‬‬
‫حيث ال يمكن ألي جهاز من اجهزه الشبكة املحلية ان يطلع الى خارج الشبكة اال عن طريق هذا االيبي‪.‬‬
‫كما بالصورة أعالهألحد اجهزه الكالينت في الشبكة الداخليه الذي يوضح اعدادات كرت الشبكة من‬
‫ايبي وبوابه افتراضيه و‪DNS ..‬‬

‫❖ انشاء اول بوليس ي في الفورتي جيت للسماح للجهاز الكالينت الحصول على االنترنت‬
‫اسم البوليس ي)الرول)‪:allow_all‬‬
‫توجيه الترافيك من ‪ LAN1‬الى ‪ WAN1‬و اسمح ألي عنوان ان يخرج الى أي عنوان وبأي وقت وبأي خدمه‬
‫سواء ‪ http‬او‪ https ...‬الخ‪.‬‬
‫يجب ان تقوم بتفعيل الخيار ‪ NAT‬ألنه طاملا أي شبكة تريد ان تتواصل مع شبكة أخرى ب ـ ‪subnet‬‬
‫مختلفه فالزم يكون هناك عمليه ال ـ ‪NAT‬لذا يجب تفعيل هذا الخيار لكي يعمل ‪ NAT‬بين الشبكة‬
‫الدخلية)‪ (LAN‬وبين االنترنت‪(WAN)..‬‬
‫ثم موافق‪...‬‬
‫مالحظة‪ :‬أي جهاز في الشبكة املحلية سوف يحصل على االنترنت بمجرد انشاء هذه الرول‪.‬‬
‫وكما بالصورة أعاله نقوم بتفعيل هذا البوليس ي فلو قمت بعمل ‪ disable‬لهذا الخيار فأن هذه البوليس ي‬
‫ستكون موجودة ولكن غير مفعله فلذا لن يتم تطبيقها ‪.‬فلو انت ال تريد حذف البوليس ي بشكل نهائي بل‬
‫ال اريد تفعيلها فاننا نقوم بعمل الخيار‪Enable this policy=off .‬‬

‫نالحظ بالصورة أعاله بان البوليس ي ‪ allow_all‬معمول لها ‪. disabled‬‬
‫‪Firewall objects‬‬
‫هي مجموعة العناصر التي أقوم بأنشائها لكي يتم اختيارها في البوليس ي‪.‬وهذا ما تم ذكره سابقا‪...‬‬
‫‪: Address‬‬
‫نالحظ بالصورة ادناه بأن هناك مجموعة من العناوين التي موجودة بشكل افتراض ي‪..‬‬

‫وألنشاء عنوان جديد نقوم بالخطوات التالية‪:‬‬
‫‪: Subnet‬‬
‫هذا النوع بيعبر فيها عن الشبكة‪Network ((Subnet‬‬
‫او تعبر فيها عن جهاز معين( ايبي محدد)‬
‫او تعبر فيها عن كل العناوين)‪(all ip’s‬‬
‫الطريقة األولى‪:‬‬
‫التعبير عن شبكة كامله(شبكة معينه)‬

‫‪ 192.168.2.0/24‬او ‪ 192.168.2.0/255.255.255‬كل الطرق صحيحه وبعدها تم ربط هذه ال ـ ‪subnet‬‬

‫املسماة ‪ subnet1‬بكرت الشبكة‪LAN1 .‬‬
‫نالحظ كما بالصورة ادناه بان العنوان تم اظهاره‪...‬‬
‫الطريقة الثانية‪:‬‬
‫التعبير فيها عن جهاز معين‪ -‬ايبي محدد‪-‬‬
‫اما اني اكتبه بالطريقة التالية‬
‫‪192.168.2.144/32‬او‪192.168.2.144/255.255.255.255‬‬
‫لكي اعبر عن جهاز معين( ٍ)‪Single host‬‬

‫نالحظ بأن العنوين املضلل يعبر عن جهاز معين اسمه ‪ pc1‬وله ايبي‪192.168.2.144 .‬‬
‫الطريقة الثالثه‪:‬‬
‫تعبر فيها عن كل العناوين(كل الشبكات)‪) (all ip’s‬‬
‫حيث يتم كتباتها كالتالي ‪ 0.0.0.0/0.0.0.0‬أي كل الشبكات‪.‬‬

‫نالحظ بان كل العناوين وبكل األنواع موجودة التي أنشأناها كما بالصورة أعاله‪.‬‬
‫فعند انشاء البوليس ي(الرول )وعند اختيار ال ـ ‪ source address‬و ‪ destination address‬فأنه يظهر لنا‬
‫العناوين التي قمنا بانشائها سابقا‬
‫كما بالصورة ادناه‬

‫فلو اخترت العنوان ‪ pc1‬والذي له االيبي املحدد‪192.168.2.144‬‬
‫فان فقط الجهاز صاحب االيبي ‪ 192.168.2.144/32‬هو الذي سيستطيع ان يحصل على االنترنت فقط‬
‫من اجهزه الشبكة الداخليه‪..‬‬
‫‪: Ip range‬‬
‫يعبر عن مدى معين من االيبيهات( من‪ -‬الى)وأريد ان اخصصه لكي أقوم بتطبيق بوليس ي معينه عليه‪.‬‬
‫على سبيل املثال لدينا رينج ايبهات مخصصه للسيرفرات من‪192.168.2.1 -192.168.2.30‬‬
‫حيث يمكنني ان اطبق عليهم بوليس ي معينه‪..‬‬
‫حيث يتم استخدام ال ـ ‪ ip range‬مع ‪ VPN‬فأذا كان لديك‪vpn clients‬‬

‫ويريدوا ان يصلوا الى الشبكة الداخليه عبر الفورتي جيت من خارج الشركة( من املنزل مثال)فستقوم‬
‫بتوزيع مجموعة ايبيهات محدده )‪(range ip‬كما قمنا بعمل بالسابق‪..‬‬
‫‪: FQDN‬‬
‫بيتم استخدامه من اجل الويب سيرفر (خارجي) او ويب سيرفر داخل الشبكة او يمكن استخدامه في ‪load‬‬
‫‪ balancing‬حيث سوف نقوم بإنشاء ‪ FQDN‬ملوقع معين لكي استطيع االتصال به عبر االسم بدال عن‬
‫االيبي‬
‫فيمكن كتابته بعده صيغ‪:‬‬
‫‪www.marfadi.com‬‬
‫‪marfadi.com‬‬
‫‪*.marfadi.com‬‬
‫‪ : Geography‬انشاء عنوان بحسب املوقع( املنطقة الجغرافيه)‬
‫مثال لديك موظفين موجودين في مصر ويدروا الدخول الى الشبكة الداخليه التي عندي عبر الفورتي‬
‫جيت بواسطة ال ـ‪vpn‬‬
‫حيث قمت بعمل بوليس ي وتقول فيها انا اريد فقط ال ـ ‪ VPN Clients‬القادم من مصر فقط فلو أي‬
‫شخص حاول الدخول من دوله أخرى فلن يقدر ألني حددت العنوان باملنطقة( مصر‬
‫او مثال سمعت عن هجمات الكترونيه من دوله معينه فتقوم بإنشاء عنوان بحسب املنطقة تلك ومن ثم‬
‫تعمل بوليس ي تمنع فيها املنطقة املحدده‪.‬‬
‫‪MAC DEVICE :‬‬ ‫‪-1‬‬
‫عمل عنوان بحسب املاك ادرس للجهاز‬

‫ماهي فكره ال ـ‪Address group :‬‬
‫الجروب هي مجموعة من العناوين‪..‬‬
‫حيث ساقوم بإنشاء جروب باسم ‪ Group1‬واختار منها أي عنوان اريده من العناوين التي قمت بإنشاء‬
‫ها سابقا لكي اطبق عليهم ش يء معين‪..‬‬
‫طريقة انشاء‪Address group‬‬

‫❖ شرح بعض اعمده الـ ‪: address list‬‬

‫‪ : Visibility‬هو عمود يوضح بأن العنوان املحدد متاح (‪ )visible‬او مخفي(‪ )Hidden‬وهذا معناه بأن هذا‬
‫العنوان سوف يظهر او ال في البوليس ي ‪..‬‬
‫فلو معمول له صح فأن هذا العنوان سيكون متاح وسوف يظهر في البوليس ي ‪.‬‬
‫اما لو كان معمول له ‪ X‬فهذا يعني بأن العنوان لن يظهر في البوليس ي ‪.‬‬
‫نالحظ بان العنوان ‪ pc1‬معمول له ‪ visible‬لذا سوف يكون متاح في البوليس ي كما بالصورة التالية‪:‬‬

‫فلو قمنا بتغيير الخاصية الى ‪ Hidden‬للعنوان ‪ pc1‬كما بالصورة التالية‪:‬‬
‫فنالحظ بان الخاصية في ‪ address list‬للعنوان ‪ pc1‬أصبحت‪Hidden .‬‬

‫لذا عند محاوله اختيار العنوان ‪ pc1‬في البوليس ي فانه لن يظهر أصال‬
‫نالحظ كما بالصورة أعاله بأن العنوان ‪ PC1‬غير متاح حاليا‪...‬‬
‫‪Visibility‬مرتبط ب ـ‪interface ..‬‬
‫مثال العنوان ‪ pc1‬في عمود ال ـ ‪ interface‬غير مكتوب فيه أي ش يء فهذا يعني بأن العنوان ‪ pc1‬مرتبط مع‬
‫‪ any interface‬اي سوف يظهر ألي ‪ interface‬سواء ‪ lan‬او‪wan .‬‬

‫نالحظ بالصورة أعاله بأن العنوان ‪ PC-Client-MAC‬معمول له ‪ visible‬ومرتبط مع ال )‪LAN1(port1‬‬

‫‪interface‬فهذا يعني بأن هذا العنوان لن يظهر اال لو كان ال ـ ‪interface‬نوع ‪ LAN1‬ماعدا ذلك فانه لن‬
‫يظهر كما بالصور ادناه‪:‬‬
‫حيث ظهر الـعنوان ‪ PC-Client-MAC‬في خانه ال ـ ‪source‬الن‪incoming interface =lan1‬‬
‫اما العنوان ‪ PC-Client-MAC‬في خانه ال ـ ‪ destination‬فانه ال يظهر وذلك ألن ‪outgoing‬‬

‫)‪interface=WAN(port2‬ألننا قمنا بربط العنوان ‪ PC-Client-MAC‬مع ال ـ ‪ interface lan1‬فقط‪..‬‬

‫نالحظ بالصورة أعاله بأن ‪ PC-Client-MAC‬لم يظهر في ‪ Destination‬ألن ال ـ ‪Outgoing interface =wan‬‬
‫لذا لن يظهر ال‪ PC-Client-MAC‬اال ان كان ‪ outgoing interface =lan1‬ألني في األساسرابط العنوان‬
‫‪PC-Client-MAC‬مع ال ـ‪interface =lan1 .‬‬
‫الخالصة‪:‬‬
‫العنوان لو تم ربطه بال ـ ‪ interface‬نوعه ‪ any‬فهذا يعني بان هذا العنوان سيظهر في كل ال ـ‪interfaces .‬‬
‫اما لو تم ربط العنوان بال ـ ‪interface‬مثال ‪ LAN1‬فهذا يعني بأن هذا العنوان لن يظهر اال مع ال ـ ‪interface‬‬
‫‪ Lan1‬فلو تم اختيار ال ـ ‪interface =lan2‬مثال فأن هذا العنوان لن يظهر‪..‬‬
‫‪Incoming interface= source‬‬
‫‪Outgoing interface=Destination‬‬
‫‪ : Ref‬عمود فيه ارقام يدل على ربط (استخدام)هذا العنوان مع أشياء في الفورتي جيت سواء مع بوليس ي‬
‫او جروب او غيرها ‪...‬‬

‫نالحظ بأن العنوان ‪ pc1‬ال ـ‪ ref=2‬وهذا يدل بأن العنوان مرتبط مع ‪ 2‬أشياء فبمجرد النقر على العدد ‪2‬‬
‫يقتح لك مكان الربط‬
‫كما بالصورة أعاله فأن العنوان مرتبط مع ‪.. address group=G2‬‬

‫وال ـ‪... policy = 1‬‬
‫فلو حددت على الجروب ‪ G2‬ثم نقرت على ‪ edit‬سوف يفتح لك الجروب املسماة ‪ G2‬كما بالصورة ادناه‬
‫فيمكنك التعديل على الجروب او حذف العنوان ‪ pc2‬من هذا الجروب ‪...‬الخ ‪.‬‬
‫عند النقر على ال ـ )‪policy(1‬ثم ‪ Edit‬سوف يظهر شاشه ال ـ ‪policy‬كما بالصورة التالية‪:‬‬
‫‪Services‬‬

‫عباره عن بروتوكوالت وبورتات حيث أي نظام تشغيل يحتوي على بورتات يستخدمها لكي يقوم بعمليه‬
‫االرسال واالستقبال للبيانات مع جهاز اخر‪.‬‬
‫حيث كل بروتوكل يسخدم بورت معين حيث من ‪ 1-1024‬هذا ارقام بورتات محجوزة لألعمال القياسية‬
‫ومن‪1025- 65535‬‬
‫يمكن استخدامه ألي تطبيق‪..‬‬
‫لو قدرت تتحكم في البروتوكوالت والبورتات فأنك تستطيع التحكم بالتطبيقات التي يستخدمها‬
‫املستخدم‪..‬‬
‫الفورتي جيت يستخدم الـسيرفس لتحديد رقم البورت لعمل‬
‫‪ Accept or deny‬للترافيك‬
‫‪ All‬معناها كل البورتات ‪..‬‬
‫حيث تظهر لك كل السيرفيس املوجودة بالفورتي جيت بشكل افتراض ي حيث تم تقسيم البروتوكوالت‬
‫بشكل تصنيفات كما بالصورة ادناه‪.‬‬
‫حيث توضح التصنيف مثال ويب اكسس او ايميالت او ريموت اكسس‪ ..‬الخ وماهي البروتوكوالت املدرجه‬
‫تحته وكم ارقامها‬

‫الصوره أعاله توضح التصنيف الخاص بالوصول عن بعد وماهي البروتوكوالت وأرقام البورتات‬
‫املتسخدمة في هذا التصنيف‪.‬‬
‫ماهي أنواع الـــ‪ services‬؟‬
‫‪Services‬‬ ‫‪-1‬‬
‫‪: Service group‬مجموعة من الـ ‪ services‬سوف تقوم بتطبيق بوليس ي معينه عليهم حيث‬ ‫‪-2‬‬
‫تعتبر كنوع من التنظيم ‪.‬‬
‫‪: Category‬مجموعة من الـ ‪ services‬تتشابه في نفس الخصائص مثل ‪ category‬خاصه‬ ‫‪-3‬‬
‫بـ ‪ web access‬الخاصة بتصفح االنترنت حيث تحتوي على ‪ http‬و ‪ https‬او الخاصة باستقبال‬
‫وارسال االيميل‬
‫املسماة ‪ email‬وتحتوي على البروتوكوالت االتيه ‪ imap,pop,smtp‬وغيرها‬

‫مثال اريد انشاء ‪ services‬لجهاز ال ـ‪ DVR‬حيث اريد تخصيص بورتات معينه للتعامل مع هذا الجهاز ‪:‬‬
‫‪ Show in Service List‬لكي تظهر معك بالبوليس ي ‪.‬‬
‫‪ TCP : Protocol‬يكون اكثر موثوقية ولكن بطئ مقارنه بالبروتوكول ‪ UDP‬الذي يعتبر اقل موثوقية واكثر‬
‫سرعه ‪..‬‬
‫البروتوكوالت التي من نوع ‪ TCP‬هي ‪ HTTP‬و‪... HTTPS‬الخ‬
‫‪ UDP‬يستخدم لنقل البيانات التي تحتاج الى سرعه وال تهتم بالوثوقيه(يعني في حالة نقصان او ضياع‬
‫البيانات في االرسال فأنه ال يقوم بإعادة االرسال مره اخرى بعكس ال ـ‪ )TCP‬مثل الصوت والفيديو وغيرها‬
‫ومن اشهر البروتوكوالت التي بيتعامل مع ‪ UDP‬هي ( ‪)DNS-VOIP-NTP-media stream protocols‬‬
‫حيث تختار نوع البروتوكول هل ‪ TCP‬او ‪ UDP‬حسب السيرفيس املستخدمة‬

‫‪: SCTP‬هذا النوع من البروتوكوالت يعتبر يجمع بين الـ ‪ tcp‬و ‪ udp‬حيث انه سريع وبنفس الوقت موثوق‬
‫كما بالصورة أعاله تم انشاء ‪ service‬باسم ‪ NVR‬وسوف تندرج تحت التصنيف ‪ Uncategorized‬ونوع‬
‫البروتوكول سوف يكون ‪ UDP‬والبورت االفتراض ي ألغلب اجهزه ال ـ‪ NVR‬تكون ‪ 10000‬حيث اخترنا نوع‬
‫البروتوكول ‪ UDP‬ألننا سوف ننقل بيانات من نوع ‪ streaming‬أي فيديو وصوت ‪..‬الخ‬
‫وايضا اجهزه ال ـ‪ NVR‬تستخدم ال ـ‪ ip‬وهذا يحتاج الى البروتوكول ‪ TCP‬والبورت أيضا ‪.. 10000‬‬
‫حيث قمنا بتحديد بأن ال ـ‪ nvr‬سوف يكون هدف(‪ )Destination Port‬وليس مصدرأي اننا لو اردنا‬
‫الوصول الى جهازال ـ‪ nvr‬سوف يكون على البورت ‪10000‬‬
‫اما لو اردنا ان نقوم بتحديد اكثرونريد ان نقوم بإخراج جهازالـ‪ nvr‬من بورت معين فأننا سوف بتفعيل‬
‫الخيار ‪.. Specify Source Ports‬‬

‫تمت االضافة بنجاح لل ـ‪ service‬املسماة ‪.. NVR‬‬
‫حيث يمكن استخدامها في البوليس ي كما بالصورة ادناه‬
‫فمن ال ـ ‪ services‬االفتراضية التي منشاه أصال هي ‪ all_tcp‬كما موضح بالصوره‬

‫نوع ال ـ‪ Destination port=Tcp‬البورت من ‪. 65535-1‬‬
‫وأيضا ال ـ ‪ service‬الخاصة ب ـ ‪ http‬كما بالصورة ادناه‬
‫وأيضا ل ـ ‪ pop‬كما بالصورة ادناه ‪...‬‬

‫ما هو الـــ ‪: service group‬‬

‫هي عمليه انشاء ‪ group‬تتكون من مجموعة من ال ـ ‪ service‬التي أنشأناها مسبقا ‪.‬‬

‫وبهذا قمنا بإنشاء مجموعة اسمها ‪ Marfadi_group‬تحتوي على مجموعة من ال ـ ‪ service‬كما باالصوره‬
‫أعاله ‪..‬‬
‫فبهذا لو اردنا تطبيق البوليس ي ونختارال ـ‪ Marfadi_group‬التي انشاناها مؤخرا ‪..‬‬

‫‪:Schedule‬‬
‫هي عباره عن احدى العناصرالتي سيتم اختيارها عند انشاء البوليس ي ‪.‬‬
‫ملاذا أقوم بعمل جدول زمني (‪ )schedule‬عند تطبيق البوليس ي ؟‬
‫ألن بعض األحيان اريد ان أقوم بتطبيق البوليس ي في وقت معين او حدث معين ‪.‬حيث ال يمكنك ان تنش ى‬
‫بوليس ي بدون تحديد ال ـ ‪ schedule‬حيث القيمة االفتراضية له هي ‪ always‬يعني ان هذا البوليس ي سوف‬
‫تطبق بشكل دائم‪.‬‬
‫ال ـ ‪ schedule‬مقسم الى نوعين ‪:‬‬
‫‪: Recurring‬بوليس ي سوف تطبق بشكل متكرر مثال اريد تطبيقها كل أسبوع او كل يوم او كل يوم‬ ‫‪-1‬‬
‫معين او مريتن باألسبوع ‪..‬الخ أي ان العملية متكرره ‪.‬‬
‫‪ : One-time‬بوليس ي سوف تطبق مره واحده و في وقت محدد فقط ‪.‬‬ ‫‪-2‬‬
‫طريقة انشاء ‪ schedule‬جديد ‪:‬‬ ‫➢‬

‫ثم نحدد النوع كما شرحناه سابقا ‪..‬‬

‫حيث نالحظ بأنه يوجد لدينا ‪ 3‬قيم افتراضيه من ال ـ ‪ schedule‬كما بالصورة ادناه‬
‫حيث االختيار‪ always‬معناها طبق البوليس ي بشكل دائم ‪.‬‬
‫اما الخيار‪ none‬وهذا معناها بان ال تقوم بتطبيق البوليس ي وكأنك عملت في ال ـ‪ action=deny‬أي ال احد‬
‫سوف يتم تطبيق هذه البوليس ي عليه ‪..‬‬

‫كما بالصورة أعاله يوضح بأن الخيار ‪ always‬سيتم تطبيقه في كل األيام وفي كل األوقات من ‪00:00:00‬‬
‫الى ‪00:00:00‬‬
‫اما الخيار‪ none‬فهذا يعني بأنه لن يتطبق بأي يوم و ال في أي وقت ‪.‬‬
‫مثال سوف أقوم بإنشاء ‪ schedule‬باسم ‪ work_time‬أي أوقات العمل بالشركة ‪:‬‬

‫االن سوف نقوم بإنشاء ‪ schedule‬باسم ‪ update‬حيث لن تعمل اال مره واحده وبتاريخ معين ووقت‬
‫معين‬

‫النوع ‪ One-time‬يستخدم في حالة كان لديك في الشركة اجتماع في تاريخ معين مره واحده ويحتاجوا‬
‫يفتحوا مثال موقع معين وليكن اليوتيوب فأننا سوف أنش ئ هذه ال ‪ schedule‬واختارها في البوليس ي‬
‫حيث هذه البوليس ي سوف يتم تطبيقها مره واحده وبيوم واحد فقط ولن تتكرر ‪..‬‬
‫االن بعد انشاء ال ـ ‪ schedule‬سوف نختارها عند انشاء البوليس ي ما نريده هل‬
‫‪: always,none,work_time,update‬‬

‫➢ طريقة انشاء ‪: schedule group‬‬

‫يتم استخدامها إلنشاء مجموعة مكونه من اكثرمن ‪ schedule‬بغض النظرعن نوعها هل ‪ one-time‬او‬
‫‪.. recurring‬‬

‫نفترض بأن لدينا شركه مواعيد العمل فيها من ‪ 8‬ص الى ‪ 3‬عصرا كل يوم ماعدا الجمعه ‪➢ ..‬‬
‫يعني نريد االنترنت على اجهزه الكالينت يكون فيها متاح خالل دوام العمل فقط ‪..‬‬
‫اما في السيرفرات يكون االنترنت طوال الوقت ‪.‬‬
‫الحل ‪:‬‬
‫‪ – 1‬انشاء عنوان باسم ‪ subnet1‬تحتوي على رينج الشكبه الداخليه كامله‬
‫(‪)255.255.255.0/192.168.2.0‬‬
‫‪ – 2‬السيرفرات سوف نقوم بعمل ايبيهات استاتيك حيث سيتم انشاء عنوان باسم ‪ server1‬بايبي‬
‫‪. 192.168.2.122‬‬
‫‪ – 3‬انشاء ‪ schedule‬باسم ‪ work_time‬حيكون أوقات العمل ‪.‬‬
‫‪ – 4‬انشاء ‪ 2‬بوليس ي التي سوف تنفذ مانريده أعاله ‪...‬‬
‫الحل ‪:‬‬

‫كما بالصورة أعاله تم انشاء العناوين للكالينت من ال ـ‪ subnet1‬وهي من الرينج (‪)32/192.168.2.0‬و‬

‫أيضا للسيرفرتم تحديد العنوان ‪ server1‬وتم تحديد االيبي ‪. 192.168.2.122‬‬
‫تم انشاء ‪ schedule‬باسم ‪ work_time‬مسموح فيها من ‪ 8‬صباحا الى ‪ 3‬عصرا لكل أيام االسبوع ماعد‬
‫الجمعه ‪..‬‬
‫اآلن سوف نقوم بإنشاء البوليس ي باسم ‪allow_internet‬‬

‫كما‬
‫بالصورة أعاله توضح البوليس ي ‪ allow_internet‬بانه سوف يسمح االنترنت ل ـ ‪( subnet1‬التي ستكون‬
‫هي اجهزه الكالينت )في أوقات العمل من السبت الى الخميس (‪ 8‬صباحا‪ 3-‬عصرا)فقط ‪.‬‬
‫سوف نظيف بوليس ي أخرى باسم ‪ allow_internet_for_server‬والتي ستسمح فيها للسيرفرات بأن تصل‬
‫الى االنترنت في كل أوقات األسبوع كما بالصورة ادناه‬

‫حيث العنوان ‪ server1‬تم إعطائه االيبي ‪ 192.168.2.122‬ولذا فقط السيرفرصاحب هذا العنوان‬
‫سوف يكون لديه انترنت طوال اليوم حيث نالحظ بان ال ـ ‪. schedule =always‬‬

‫❖ ‪Policy order‬‬
‫عباره عن ترتيب البوليس ي ‪..‬‬
‫حيث أحيانا بيحصل تداخل في البوليس ي(‪ )overlap‬حيث بمجرد انشاء البوليس ي فأن الفورتي جيت‬
‫بيعطيها رقم يسمى ‪.. policy id‬‬
‫حيث البوليس ي يتم تطبيقها أوال بحسب ال ـ ‪( policy id‬من فوق الى تحت)‪.‬‬
‫حيث اول بوليس ي يكون رقمها ‪ 1‬ثم ‪ 2‬ثم ‪.... 3‬الخ ولتفادي تداخل البوليس ي يتم ترتيب البوليس ي يدويا‬
‫وذلك بسحب البوليس ي الخاصة لألعلى ‪..‬الخ‪.‬‬
‫دائما تقوم بترتيب البوليس ي بحيث تكون البوليس ي الخاصة باالعلى والبوليس ي العامه تحت وهكذا ‪..‬‬
‫سوف نقوم بإنشاء ‪ 2‬بوليس ي واحده خاصه(األكثرتعقيدا) وواحده عامه‬
‫العامه ‪:‬نمنع عمليه ال ـ ‪ ping‬لكل ال ـ ‪( subnet‬الشبكة الداخليه)‬
‫الخاصة‪:‬اسمح لجهاز‪ server1‬ان يعمل ال ـ‪. ping‬‬

‫كما بالصورة أعاله تم انشاء بوليس ي عامه باسم ‪ public‬بتمنع ال ـ‪ ping‬على كل ال ـ‪. subnet1‬‬
‫ثم سنقوم بإنشاء بوليس ي خاصه باسم ‪ private‬حيث نسمح للجهاز‪ server1‬بأن يعمل ‪.. ping‬‬
‫ثم نالحظ كيف اصبح ترتيب البوليس ي ‪..‬‬
‫االن أي جهازمن الشبكة الداخليه(‪ 192.168.2.0/32)subnet1‬سوف يحاول يعمل ‪ ping‬ألي موقع‬

‫مثال ‪ ping 8.8.8.8 –t‬فانه لن يستطيع حتى وان كان الجهازهو ‪ server1‬وذلك ألن ترتيب البوليس ي‬
‫بيطبق من اعلى الى اسفل‪..‬لكننا لو قمنا بإعادةترتيب البوليس ي وذلك بالسحب واالفالت كما بالصورة‬
‫ادناه‬

‫وتصبح البوليس ي بهذا الترتيب ‪:‬‬
‫بحيث تصبح البوليس ي األكثر(تعقيدا)(الخاصة)هي التي في األعلى والبوليس ي العامه في األسفل ‪..‬‬
‫حيث اآلن الجهاز‪ server1‬لو حاول يعمل ‪ ping 8.8.8.8 –t‬سوف تنجح العملية ‪..‬‬
‫اما باقي االجهزه في ال ـ‪ subnet1‬سوف لن يقدروا ‪..‬‬
‫مثال اخر ‪:‬‬

‫لو قمنا بإنشاء ‪ 2‬بوليس ي كما بالصورة ادناه‬
‫حيث األولى بتسمح للجهاز‪ server1‬انه يعمل ‪ ping‬فقط ألي مكان مثال‬
‫فلوا قام بفتح أي موقع لن يفتح معاه ابدا ألن البوليس ي املسماة ‪ public‬تمنع أي سيرفيس (‪.)all‬‬

‫نالحظ اول رول (بوليس ي) اسمها ‪ private‬وبتقول بأن الجهازاللي اسمه ‪ server1‬يمكنه ان يعمل ‪ping‬‬
‫وهذا صحيح ‪..‬فلو قمت بعمل بينج الى أي موقع من الجهاز ‪ server1‬فانه سيتمكن من ذلك ‪..‬‬
‫لكن ملا ان حاولت ان تفتح أي موقع سواء ‪ www.google.com‬او غيره فأنك سيتمكن من فتحه بالرغم‬
‫من اني حددت فقط بأن ‪ ping‬هو اللي مسموح !!‬
‫الجواب هو ‪:‬‬
‫اول رول سمحت فقط له بعمل ‪ ping‬فقط ومن ثم سوف ينزل الى الرول الثانية التي اسمها ‪public‬‬
‫والتي تقول بأن ال ـ‪ subnet1‬كلها ال يمكنها الوصول الى ال ـ ‪ ping‬ولم تقل له بأنك تمنع أي ش يء (‪)all‬بل‬
‫حددت بأنك تمنع فقط ال ـ‪. ping‬‬
‫طيب ملاذا الزال الجهاز‪ server1‬قادرعلى فتح جميع املواقع !!‬
‫االجابةهي بسبب الرول املسماة ‪ 3‬والتي مضلله باللون األحمركما بالصورة أعاله والتي بتسمح بكل‬
‫السيرفس (‪ )all‬وهذه فكره ترتيب البوليس ي ‪..‬‬
‫طيب السيناروا األخير‪:‬‬
‫ماذا لو قمت بعمل تعطيل (‪)disabled‬للبوليس ي التي باسم ‪ !! 3‬كما بالصورة ادناه‬

‫فأن الجهاز ‪ server1‬يستطيع فقط ان بقوم بعمل ‪ ping‬ألي موقع ولكنه لن يتمكن من فتح أي موقع ألن‬
‫ال توجد رول بتسمح له بذلك باإلضافة ان اخربوليس ي(االفتراض ي)(‪ )Implicit policy‬بتمنع أي ترافيك‬
‫بحسب الصوره ادناه ‪..‬‬
‫اخرمثال ‪:‬‬
‫لو قمت بإنشاء بوليس ي كما بالصورة ادناه‬

‫هل‬
‫يستمكن الجهاز‪ server1‬من ان يعمل ‪ ping‬؟ ملاذا؟؟‬
‫هل سيتمكن الجهاز‪ server1‬من ان يفتح أي موقع ؟؟ملاذا؟؟‬
‫االجابةعلى السؤال األول هي نعم ألن البوليس ي األولى بتسمح ال ـ‪. ping‬‬
‫االجابةعن السؤال الثاني هي ال ‪..‬‬
‫لن يتمكن الجهاز ‪ server1‬ان يفتح أي موقع وهذا بسبب الرول رقم ‪ 2‬املسماة ‪ public‬وذلك ألني عملت‬
‫‪ all services =deny‬فمجرد ان ال ـ‪ deny‬حصل فأن الفورتي جيت ال ينظرالى البوليس ي اللي تحته ‪..‬‬
‫بالرغم ان البوليس ي األخيرة التي باالسم ‪ 3‬مفعله وتتيح لكل االجهزه ان تصل الى االنترنت وألي موقع ‪..‬‬
‫❖ ‪Managing devices‬‬
‫يقصد بها اداره األجهزة‪..‬‬
‫ال ـ‪( fortiOS‬نظام التشغيل التابع للفورتي جيت )يستطيع اداره والتحكم بكل االجهزه املوجودة بالشبكة‬
‫حيث يقوم باكتشاف االجهزه(‪ )pc,laptop,tablet,mobile‬سواء كنت وايرلس او واير‪.‬‬
‫حيث الفورتي جيت بيتعرف ويراقب كل االجهزه املوصله بالشبكة سواء كانت تلك االجهزه‬
‫وايرلس(مرتبطة ب ـ‪ ) access point‬او واير(موصله بالسويتش)‪.‬‬

‫❖ كيف يقوم فورتي جيت بإدارة األجهزة ؟‬

‫يعمل بأحدى الطرق ‪:‬‬
‫‪:Agent based – 1‬يكون هنالك وكيل ( برنامج الفورتي كالينت)يتم تنزيله على تلك االجهزه ‪.‬‬
‫‪: Agentless – 2‬بدون وكيل على تلك االجهزه ‪.‬‬
‫االن سنتعامل مع طريقة ‪: Agentless‬‬

‫يتم توصيل تلك االجهزه بالشبكة بالفورتي نت سواء بالسويتش او باالكسس بوينت حيث مثال اعطى‬
‫الباسورد ألي احد مثال يريد الوصول الى شبكة الوايرلس وبهذا انا قمت بتجميع املعلومات لألجهزة‬
‫بالشبكة سواء وايراو وايرلس حيث بعد ذلك يتم التحكم بتلك االجهزه عبراملاك ادرس ( ‪mac‬‬
‫‪)address‬حيث ستتمكن من السماح او منع تلك االجهزه بحسب املاك ادرس ‪.‬‬
‫بعد ذلك سوف استخدم البوليس ي للتحكم بهذه االجهزه مثال اريد امنع كل االجهزه من نوع الجالكس ي‬
‫اومن نوع ابل ‪...‬الخ من الوصول الى االنترنت والسماح لالنواع األخرى مثل بالك بيري او الوندوز ‪..‬الخ أي‬
‫ان جهازالفورتي جيت اصبح بيتحكم باألجهزة بحسب نظام التشغيل لتلك االجهزه ‪.‬‬
‫او مثال عمل بوليس ي معينه باني امنع االجهزه التي بالشبكة التي نظام التشغيل من نوع لينكس ‪..‬‬
‫وبذلك أصبحت قادربالتحكم على االجهزه بحسب نظام التشغيل لتلك االجهزه او بحسب ال ـ ‪ category‬او‬
‫بحسب املاك ادرس او اسم الجهازاو بااليبي للجهاز‪.‬‬
‫أي ان الفورتي جيت يعمل على جلب املعلومات التالية بعد توصيلها بالشبكة لكي استطيع التحكم بها‬
‫بعد ذلك عبرالبوليس ي ‪:‬‬
‫املاك ادرس‬
‫االيبي للجهاز‬
‫نظام التشغيل لألجهزة‬
‫اسم الجهاز‬

‫اسم اليوزر(في حالة كان الجهازضمن الدومين)‬
‫اظهارمتى اخرظهور للجهازوعلى أي من ‪ interface‬موصل هذا الجهاز(‪.... lan2،lan1‬الخ)‬
‫الفورتي جيت بيتحكم باملستخدمين وباألجهزة ‪..‬‬
‫نقوم بفتح الفورتي جيت ونتأكد بأن الفورتي جيت بيشوف االجهزه عبرأي من ‪ interface‬حيث كل‬
‫االجهزه بتسجل نفسها بشكل اوتوماتيكي في املكان التالي ‪:‬‬
‫> ‪User&Device>Device Inventory‬‬
‫حيث يمكنك اظهاراملعلومات(األعمدة)وذلك بالنقربالزر األيمن على الشريط املظلل باألحمرومن ثم‬
‫نختارالخيارات املراد اظهارها ثم ‪ apply‬كما بالصورة ادناه‬
‫حيث سوف يظهرلك حالة االجهزه املتعرف عليها (‪) offline , online‬أي الجهازشغال حاليا ام طافي !!‬

‫وأيضا يظهرلك اسم الجهاز(‪، )Device host name‬‬

‫اسم اليوزر(يقوم بإظهاراسم اليوزرلو كان اليوزرضمن الدومين )‬
‫العنوان (االيبي)‬
‫وال ـ‪ interface‬املتوصل عليه الجهاز‬
‫ونوع نظام التشغيل للجهازهل ‪ 7‬او ‪ 8.1‬او ‪10‬‬
‫وايضا هل يحتوي على فورتي كالينت وماهو إصداره‬
‫ومتى اخرظهور للجهاز‬
‫املاك ادرس لألجهزة‬
‫حيث الفورتي لكي يقوم بعمل كشف وجلب للمعلومات أعاله يجب ان تقوم بتفعيل خيارمعين على‬
‫الـ ‪ interface‬سواء كانت هذه االجهزه اخذت ايبي من ‪ dhcp server on FG‬او ‪ dhcp server‬مستقل او‬
‫االجهزه لم تأخذ ايبيهات أصال او اخذت ‪.. static ip‬‬
‫مثال لو اريد ان اجلب املعلومات أعاله لألجهزة املتوصله عبرال‪ interface‬مثال ‪ lan1‬أي االجهزه‬
‫املتوصله بالشبكة الداخليه يجب ان أقوم بتفعيل الخيارالتالي على ال ـ ‪.. lan 1 interface‬‬

‫حيث الخيار ‪ Device detection‬ال يكون مفعل بشكل افتراض ي ويجب تفعيله‬
‫لو اردت تكتشف وتتعرف(‪ )detect‬على جميع املعلومات املذكورة سابقا لتلك االجهزه واملوصله على‬
‫املنفذ ‪ lan1‬مثال ‪..‬‬
‫فمجرد الحصول على جميع املعلومات لتلك االجهزه كما بالصورة ادناه‬
‫فنقوم بتسميه تلك االجهزه بحسب املاك وذلك بالنقربالزر األيمن على اسم الجهاز(‪)pc3‬‬

‫او نقوم بأضافه هذا الجهازبااليبي‬

‫كما‬
‫بالصورة ادناه قمت بإنشاء عنوان باسم ‪ PC3_IP‬بحسب االيبي ‪..‬‬
‫فلذلك لو قمت بإنشاء بوليس ي فيمكنني ان اتحكم بهذا الجهازسواء باملاك او بااليبي كما بالصورة ادناه‬
‫‪..‬‬
‫وبهذا استطعت ان اتحكم بالجهازعبراملاك ادرس لهذا الجهازاو عبرااليبي ‪.‬‬
‫وتكرر نفس العملية لكل االجهزه التي تظهرلك والتي تم اكتشافها ‪..‬‬

‫قمت بعمل ‪( permanent‬أي تم عمل حضرللجهاز‪ 192.168.2.180‬بشكل دائم) لذا سوف يتم عمل له‬
‫بلوك من كل ش يء بشكل دائم في الخيارالتالي ‪:‬‬

‫حيث تم وضعه بمنطقة الحجر(‪)Quarantine‬حيث جهازالفورتي جيت بيعمل حظر(‪ )ban‬لألجهزة التي‬
‫يكتشف بوجود بها اختراق او فايروسات ويمكنك فك الحظربالذهاب الى‬
‫ونحذف الجهازاملحظور لكي يتم رفع الحظر(‪)remove ban‬‬
‫)‪: Access control list (ACL‬‬

‫عباره عن التحكم بقائمه(مجموعة من االجهزه) من انها توصل الى مصادرالشبكة ( ‪.) service‬‬
‫حيث يتم تسجيل االجهزه في قائمه ‪ Devices inventory‬حتى وان لم يحصل ذلك الجهازعلى ايبي بعد‬
‫(أي ان الجهازمثال يأخذ ايبي ‪ 0.0.0.0‬او ايبي من الـ‪)169.254.x.x ipipa‬فجهازالفورتي جيت بيسجل‬
‫املاك ادرس لهذا الجهازفي قائمه ‪ Devices inventory‬حتى وان لم يحصل على ايبي بعد ‪.‬‬

‫ولتفعيل خاصيه ‪ ACL‬يجب ان تقوم بتفعيل ‪ DHCP server‬على جهازالفورتي جيت نفسه وليس‬
‫كسرفرمستقل وبهذه يقوم بالفورتي جيت بتوزيع االيبيهات لكل االجهزه املوجودة في الشبكة الداخليه ‪..‬‬
‫واملفترض بأن ليس أي جهازيتوصل بالشبكة لدي يحصل على ايبي بل فقط االجهزه التي اثق فيها باملاك‬
‫ادرس ‪،،‬وبهذا اصبحنا نتحكم بالقائمة (‪ )lists‬باألجهزة التي لدي بالفورتي جيت من خالل املاك ادرس‬
‫عبر‪. ACL‬‬
‫ما هو ‪: Mac reservation‬‬

‫نربط بين االيبي وبين املاك لألجهزة‬
‫أي كل مره يأتي الجهازصاحب املاك الفالني فأن ‪ dhcp server‬يعطيه االيبي الفالني في كل مره ‪..‬‬
‫فلو قمنا بتفعيل ال ‪ dhcp server‬على البورت ‪ LAN1‬كما بالصورة ادناه‬
‫فنذهب الى اجهزه الكالينت والتي هي على الشبكة الداخليه ونعمل لكروت الشبكة ‪disabled‬‬
‫و ‪ enabled‬لتتمكن من الحصول على ايبي من ال ـ‪. dhcp server‬‬

‫نالحظ بأن الجهاز‪ pc3‬حصل على ايبي ‪ 192.168.2.30‬من ‪dhcp server‬‬
‫ندخل على كرت ‪ LAN1‬ثم نختارالخيار‪Advanced‬‬

‫من الخيار‪ Add from DHCP client List‬سوف يظهرلك كل االجهزه التي اخذت ايبي من ال ـ‪dhcp server‬‬
‫ومن ثم يمكنك اختياراملاك وااليبي لعمل ‪( reserved‬حجز)بحيث هذا الجهازصاحب املاك الفالني‬
‫دائما اعطيه االيبي الفالني‪...‬‬

‫نالحظ بأنه تم حجز(‪)reserved‬االيبي ‪ 192.168.2.30‬للماك ادرس املشارله باالحمر‪..‬‬
‫فأذا اردت انشاء ‪ reserve ip‬مانوال‬


‫كما بالصورة أعاله تم حظراملاك ادرس بأن يحصل على ايبي عن طريق ‪ dhcp server‬فعند عمل‬
‫‪ disabled‬و ‪ enabled‬لجهازالكالينت الذي له هذا املاك ادرس فأنه لن يجد ايبي مهما حصل ‪...‬‬
‫اما الصوره أعاله تم كتابه املاك ادرس للجهازالذي تريد حجزله االيبي ‪192.168.2.130‬‬

‫فندخل على جهازالكالينت ونعمل ‪ disabled‬ومن ثم ‪ enabled‬لكرت الشبكة ونالحظ بأنه حصل على‬
‫االيبي ‪ 192.168.2.130‬كما بالصورة ادناه‬

‫املاك ادرس الغيرمعروف قم بتخصيص له ايبي من ‪ dhcp server‬وهذا بشكل افتراض ي كما بالصورة‬
‫أعاله‪.‬‬
‫حيث ان ال ـ‪ DHCP server‬يقوم بتخصيص ايبي لكل جهازبالشكبه ‪..‬‬
‫حيث لو قمنا بتغييرالخاصية الى ‪ unknown mac address =Block‬فأن أي جهازلن يحصل على ايبي‬
‫من ‪ dhcp server‬اال لو كان معروف ‪..‬‬

‫حيث بالخيارأعاله لن يتمكن أي جهازمن الحصول على ايبي من ‪. DHCP SERVER‬‬

‫كيفيه حظرايبي معين من الحصول على االنترنت ‪:‬‬
‫نالحظ بأن منطقه الحجرالى اآلن فارغ‬
‫اآلن سوف نقوم بعمل حجرلاليبي ‪.. 192.168.2.30‬‬

‫نالحظ بأن الجهاز‪ PC3‬معمول له حظرولن يحصل على االنترنت مهما حصل اال لو قمت بحذف االيبي‬
‫من الـ ‪ Quarantine Monitor‬وذلك بتحديد الجهازوالضغط على الخيار ‪.Delete‬‬

‫تم السماح للجهاز‪ pc3‬بالحصول على االنترنت اال ان الجهازلم يتمكن من الحصول على االنترنت ألنه‬
‫معمول له ‪.. Ban ip‬‬
‫‪FortiClient‬‬
‫اآلن سوف نشرح تقنيه اداره االجهزه بواسطة تقنيه (‪)Agent Based‬أي سيتم تنزيل‬
‫برنامج(‪)forticlient‬على االجهزه التي تديرادارتها سواء كانت اجهزه كمبيوتر او البتوب او ايباد او موبايل‬
‫بأنواعها سواء كانت االجهزه بنفس شبكة ال‪ LAN‬او موجودة على شبكة ال ـ‪( WAN‬على االنترنت)حيث‬
‫سيقوم فورتي جيت فايروول بتوفيرالحمايه لألجهزة التي بعيده عن الشبكة الداخليه وذلك عبربرنامج‬
‫الفورتي كالينت ‪.‬‬
‫➢ حيث الفورتي كالينت يقدم الخدمات التالية ‪:‬‬

‫‪ antivirus – 1‬على اجهزه املوظفين ‪.‬‬
‫‪ Web filtering – 2‬على اجهزه املوظفين‬
‫‪ Application control – 3‬حيث سيقوم بالتحكم بالتطبيقات التي موجودة عند املستخدمين‬
‫‪VPN – 4‬‬
‫‪mobile configuration - 5‬‬
‫يمكن تنزيل الفورتي كالينت مجاني على أي االجهزه ‪.‬‬

‫حيث يوجد اصدارين من الفورتي كالينت ‪:‬‬
‫‪:Basic -1‬نسخه مجانيه‬
‫‪ : Registered -2‬نسخه غير مجانيه حيث يجب ان تسجل وتجدد كل سنه‬
‫حيث لو كان لديك فورتي جيت فأن النوع ‪ Basic‬سوف يتيح لك كل املزايا املحدده أعاله بحسب الجدول‬
‫أعاله ‪.‬‬
‫ولكن لو لم يكن لديك فورتي جيت فايروول فيمكن االستفاده من الفورتي كالينت ك ‪ web filtering‬و‬
‫‪ Antivirus‬فقط ‪.‬‬
‫اما النوع ‪ Registered with fortiGate‬فأن اهم ميزه يوفرها لي الفورتي كالينت هي ‪Centralized‬‬
‫‪ management‬أي اداره مركزيه أي سيتم التحكم بشكل مركزي بكل الفورتي كالينت عن طريق الفورتي‬
‫جيت فايروول‪.‬‬
‫يجب عليك قبل ماتقوم بشراء الفورتي كالينت فأنك تبحث عن جهازالفورتي جيت الى حد كم‬
‫بيدعم ‪. forticlients‬‬
‫مثل ‪ FG 30-90‬بيدعم فقط الى ‪. 200 forticlients‬‬

‫فاذا كان لديك عدد اجهزه تريد تنزل عليها فورتي كالينت اكثرمن ‪ 200‬جهازفيجب عليك ان تقوم بشراء‬
‫جهازفايروول فورتي جيت بحيث يدعم عدد اكبرمن الفورتي كالينت ‪..‬‬
‫حيث النسخ (الفورتي كالينت)يجب ان تقوم بتجديدها سنويا ‪..‬‬
‫حيث الصوره توضح موديل الجهازالفورتي جيت وعدد االجهزه التي يدعمها الفورتي كالينت ‪.‬‬
‫مالحظة ‪:‬اشتراك الفورتي جارد يختلف عن اشتراك الفورتي كالينت ‪..‬‬
‫❖ طريقة تنزيل الفورتي كالينت على االجهزه ‪:‬‬

‫‪ -1‬تنزيل الفورتي كالينت على اجهزه املستخدمين في حالة عدم وجود دومين ‪:‬‬
‫يتم تنزيل الفورتي كالينت بعد تنزيله من املوقع‪( forticlient.com‬مجانا) او من ‪ Dashboard‬ثم‬
‫‪ Forticlient‬تقوم بتنزيل ملف بالكيلو بايت ومن ثم تقوم بتنزيله على كل اجهزه املوظفين حيث اثناء‬
‫التثبيت يجب ان تكون االجهزه متاح عليها االنترنت لكي يعمل اتصال مع ال ـ ‪ FDN‬لكي ينزل منه التحديث ‪.‬‬
‫او من السوق بالي (‪)google play‬ألجهزه االندرويد ‪.‬‬
‫أحيانا تكون هنالك اجهزه مفيرسه وال يمكن تنزيل عليها برنامج الفورتي كالينت من الوضع الطبيعي بل‬
‫يحتاج الدخول الى الوضع اآلمن مع الشبكة (‪)safe mode with networking‬ومن ثم نقوم بتنزيل‬
‫برنامج الفورتي كالينت حيث ستظهرلك رساله خطا تجاهلها واعمل اعاده تشغيل للويندوز ومن ثم‬
‫ادخل على الوضع الطبيعي ستالحظ بأن التطبيق يعمل تنزيل بشكل طبيعي ‪..‬‬
‫‪ - 2‬نشرالفورتي كالينت عبرالجروب بوليس ي من سيرفرالدومين (‪)Deploy‬على االجهزه في الشبكة‪ ،‬حيث‬

‫يجب ان يكون الفورتي كالينت امتداده ‪ MSI‬وليس ‪( exe‬يتم تحويله عبربرنامج ‪.) third party‬‬

‫طريقة عمل ‪ integration‬بين الفورتي كالينت و الفورتي جيت لكي نتمكن من عمل تحكم مركزي بكل‬
‫الفورتي كالينت عبرالفورتي جيت (تحديث من الفورتي جيت لألجهزة وجميع البيانات لتلك االجهزه‬
‫متواجدة في الفورتي جيت ‪...‬الخ)‬
‫➢ شروط عمل ‪ integrate‬بين الفورتي جيت و الفورتي كالينت ‪:‬‬

‫‪ -1‬تفعيل خاصيه ‪ FortiClient access‬على ال ـ ‪ interface‬مثال ‪ LAN1‬وبذلك انت تسمح لألجهزة‬
‫التي مثبت عليها الفورتي كالينت من الوصول الى الفورتي جيت ‪.‬‬
‫‪: Authentication‬‬
‫يتم استخدام ال ـ ‪ authentication‬في امن الشبكات ‪.‬‬
‫ماذا يقصد بعمليه ال ـ ‪ authentication‬؟‬

‫يقصد بها املصادقة ويتم استخدام اليوزرنيم وكلمه السر للتأكد(التحقق) من هويه املستخدمين ‪..‬‬
‫أي عمليه التأكد بأن الشخص الذي يستخدم اليوزرنيم والباسورد هو الشخص الحقيقي وذلك عبر‬
‫ال ـ ‪. authentication‬‬

‫❖ ماهي طرق الــ ‪( authentication‬التحقق من الهوية) في الفورتي جيت ‪:‬‬

‫➢ ‪: Local authentication‬اليوزرنيم والباسورد املعتمد عليهم في عمليه املصادقة تكون مخزنه‬
‫على جهازالفورتي جيت نفسه‬
‫‪: Server authentication -1‬‬
‫في الشركات الكبيرة بتحتوي على اكثرمن جهازفورتي جيت فايروول بالشبكة فلو قام املستخدم بإدخال‬
‫اليوزرنيم والباسورد فأن الفورتي جيت يقوم بارسال الطلب الى ‪ server authentication‬سواء كان‬
‫هذا السيرفر(‪) pop3,LDAP,RADIUS,TACACS+,‬للتحقق من اليوزرنيم والباسورد الذي ادخله‬
‫املستخدم ‪.‬‬
‫‪ : Certificate authentication -1‬يقوم جهازالفورتي جيت بإصدارشهاده (‪)RSAx 509‬لجهاز‬

‫الكمبيوترالتابع للكالينت ياخذها الجهازويتحقق منها كلما يطلب مصدرمن مصادرالشبكة‬

‫حيث الذي يقوم بإصدارالشهادة يسمى ‪ CA‬حيث ‪ CA‬ممكن يكون جهازكمبيوتراو جهازالفورتي جيت‬
‫وممكن تكون شركه خارجيه ‪..‬‬
‫‪: Two factor authentication -2‬‬

‫يحتوي على عامل إضافي بجانب الي وزنيم والباسورد حيث تعتبرمستوى اعلى من التحقق ‪..‬‬
‫هذا العامل اسمه ال ـ ‪ token‬لرفع مستوى الحمايه ‪.‬‬
‫ال ـ‪ token‬معناها رمز‪..‬‬
‫حيث الفورتي جيت بيستخدم طريقة ال ـ ‪ token‬بانه بيقوم بتوليد )‪ OTP(one time password‬وهي‬
‫عباره عن باسورد إضافية يجب ان أقوم بإدخالها بعد ادخال اليوزرنيم والباسورد األولى ‪.‬‬
‫حيث الباسورد الثانية سيقوم جهازالفورتي جيت بتوليدها كل ‪ 60‬ثانية ويرسلها على جهازاخرمثال‬
‫‪ SMS‬او ايميل حيث بعد ادخال اليوزرنيم والباسورد وبالباسورد الثانية املرسله عبر‪ SMS‬او غيرها‬
‫سيتم عمل تحقق وتأكد من عمليه ال ـ ‪ authentication‬وبعدها سيسمح لك بالوصول الى مصادر‬
‫الشبكة لو كانت العملية تمت بنجاح ‪..‬‬
‫حيث أصبحت العملية معقده على الهاكرعلى االختراق ‪..‬‬
‫‪Local authentication‬‬
‫طريقة عمل ‪ local authentication‬على الفايروول ‪.‬‬
‫أوال سنقوم بإنشاء حسابات محليه (يوزرنيم وباسورد)على الفورتي جيت حيث بشكل افتراض ي يكون‬
‫لدينا يوزرباسم ‪ Guest‬ونوعه ‪ local‬كما بالصورة ادناه‬

‫حيث سنختارنوع اليوزرالذي نريد انشاءه هو ‪( local user‬أي ان اليوزرنيم والباسورد موجودين على‬
‫الفورتي جيت نفسه)‬
‫او تريد انشاءه باي أنواع أخرى ‪:‬‬
‫حيث كل يوزرمن األنواع أعاله سوف تكون له اعدادات معينه ‪..‬‬

‫نحن االن سنختارالنوع األول ‪. Local User‬‬
‫حيث بعد ذلك سنكتب اليوزرنيم والباسورد التي سنعتمد عليهم في عمليه املصادقة بعد ذلك ‪..‬‬
‫ثم لو تريد تحديد ايميل لهذا اليوزرحيث لو لديك اشتراك من فورتي جارد ل ـ ‪Messaging services‬‬
‫فيمكنك استخدام خاصيه ال ـ‪ sms‬ويمكنك تخطي خطوه االيميل وال ـ ‪. sms‬‬

‫كما بالصورة أعاله نعمل ‪ Enable‬لهذا اليوزرولو تحب نضع هذا اليوزرألي مجموعة منشأه مسبقا‬
‫(‪.)User group‬‬
‫ثم ننقرعلى الزر ‪ Submit‬ألتمام عمليه االنشاء ‪..‬‬
‫تم االنشاء اليوزر‪ Anwar‬وبنفس الطريقة تم انشاء يوزرباسم ‪ hosam‬كما بالصورة ادناه‬
‫طريقة انشاء ‪ user group‬باسم ‪ Managers‬ونوعها ‪ Firewall‬واضافة اليوزرات السابقة الى هذه‬
‫الجروب ‪.‬‬

‫حيث ممكن للموظفين بالشركة استخدام اليوزرات أعاله بدال عن االيبي ‪..‬‬
‫حيث عند تطبيق البوليس ي حنختاراليوزروسوف استخدمها في عمليه ال ـ ‪. authentication‬‬
‫أي اني اريد املستخدمين يطلعوا على االنترنت عن طريق اليوزرنيم والباسورد وليس عن طريق االيبي ‪..‬‬
‫حيث لن يحصل الجهازعلى االنترنت مالم يقوم بفتح متصفح االنترنت ويظهرلك واجهه (‪ )portal‬ويكتب‬
‫اليوزرنيم والباسورد ‪.‬‬
‫اآلن سوف نقوم بإنشاء بوليس ي بيسمح للموظفين بالحصول على االنترنت بشرط يكون لديهم ‪local‬‬
‫‪ users‬فقط وليس عن طريق االيبي ‪..‬‬

‫مالحظة‪:‬تم أضافه العنوان ‪ all‬وبهذا يصبح (‪ )Anwar+hosam/all‬طبق البوليس ي ليوزرات معينه من‬
‫ال ‪ all‬وهو ضروري لكي يتم قبول البوليس ي ألنه يجب على األقل وجود عنوان (‪ )address‬واأل سوف‬
‫يظهرلك رساله الخطأ التالية ‪:‬‬
‫وأيضا ممكن اختيارالجروب املسماة ‪ Managers‬والتي تحتوي على اليوزرات (‪)hosam+Anwar‬بدال من‬
‫اختياراليوزرات واحد واحد‬
‫اآلن نقوم بالدخول الى احدى اجهزه الشبكة الداخليه فنالحظ بأن االنترنت ليس موجود حاليا على‬
‫الجهاز‬

‫وبمجرد فتح متصفح االنترنت نالحظ ظهور واجهه فسنقوم بإدخال يوزرنيم وباسورد ‪ hosam‬والباسورد‬
‫‪ 123‬والذي قمنا بإدخاله سابقا وبعد ذلك يصبح الجهازقادرعلى الوصول الى االنترنت حتى بعد اعاده‬
‫تشغيل الجهاز‪.. .‬‬
‫وملعرفة اليوزرات التي تمكنت من الوصول الى االنترنت من نوع ‪local users‬‬

‫نالحظ تم دخول اليوزر‪ hosam‬وااليبي الخاص به هو ‪ 192.168.2.30‬وتم استخدام ‪ 9‬ميجا من الترافيك‬
‫ونوعه ‪. firewall‬‬
‫طريقة الغاء املصادقة (‪)authentication‬ليوزرمعين من يوزرات ال ـ ‪ local user‬وبذلك لن يستطيع‬

‫الجهازالوصول الى االنترنت مالم يقوم بعمل املصادقة وإدخال اليوزرنيم والباسورد مره أخرى على‬
‫متصفح االنترنت ‪..‬‬

‫اصبح االن ال يوجد أي يوزرمن نوع )‪.. firewall (local user‬‬

‫بمجرد ادخال اليوزرنيم والباسورد على الجهازمن قبل املستخدم يتم أضافته على القائمة ‪firewall‬‬
‫‪ User Monitor‬كما بالصورة التالية ‪:‬‬
‫‪Max invalid authentication‬‬

‫يجب تطبيق سياسه للحد من عدد املحاوالت الخاطئة(يوزرنيم او باسورد خطأ) املسموح فيها بعد ذلك‬
‫نقوم بتطبيق عقوبه بأنه سوف يكون غيرمسموح لهذا اليوزرلوقت معين من ادخال اليوزرنيم‬
‫والباسورد ‪.‬‬

‫مثال بعد ‪ 5‬محاوالت ادخال خاطئه فأننا نقوم بإغالق الحساب‬

‫ملده ‪ 300‬ثانية(‪ 5‬دقائق) ‪.‬‬
‫اي ان اليوزرلن يتمكن من املصادقة ألن البورتال (نافذه اليوزرنيم والباسورد لن تظهرخالل ‪ 5‬دقائق)‬
‫‪Authentication timeout‬‬
‫السياسة األخرى التي يتم تطبيقها على ‪ local users‬اسمها ِ‪ Authentication timeout‬بأن لو لم‬
‫يستخدم االنترنت خالل فتره معينه فأنه يجب ان يعمل‬
‫‪ re-authentication‬مره أخرى ‪.‬‬
‫حيث االفتراض ي بعد ‪ 300‬دقيقه بدون ان يقوم اليوزرباستخدام االنترنت فيجب عليه ادخال اليوزرنيم‬
‫والباسورد مره أخرى ‪..‬‬

‫طريقة تعديل ال ـ ‪ replacement message‬حيث أي رساله تظهربالفورتي جيت يمكنك تعديلها ‪،‬‬
‫اآلن سنقوم بتعديل الرساله التابعه لـ ‪ authentication‬وتحديدا الشاشة ‪ Login Page‬وأيضا شاشه‬
‫‪ Login failed Page‬في حالة انك أدخلت يوزرنيم او باسورد خطأ ‪.‬‬
‫نحدد الشاشة املراد تغيرها ثم ‪edit‬‬

‫ثم نقوم بتعديل ما نريده بكل سهوله ‪..‬‬

‫ونالحظ الشاشة بعد التعديل‬

‫ولو تريد ارجاع الشاشة كما كانت فنقوم بعمل ‪ restore defaults‬ثم ‪save‬‬
‫يوجد خيارين آلظهارالرسائل بالفورتي جيت هما ‪ extend view‬واألخر‪ Simple View‬حيث الخيار‬
‫‪ Extend view‬بيظهركل الرسائل على مستوى الفورتي جيت اما ‪ simple View‬فيظهرلك الرسائل‬
‫األساسية فقط‪..‬‬

‫‪Restricting number of concurrent user logons‬‬

‫كم عدد ال ـ ‪ sessions‬الذي مسموح ال ـ ‪ administrator‬يقدروا يعملوا ‪ login‬على الفورتي جيت او‬
‫‪ session‬واحده فقط عبرالويب ‪،‬حيث الوضع الطبيعي بأنه مسموح لعدد ‪ session‬غيرمحدود ‪..‬‬
‫لتقييد الدخول الى الفورتي جيت ألكثرمن ‪( administrator‬تحدد ‪ session‬واحده فقط)كنوع من‬
‫ال ـ ‪ security‬وذلك عبراالوامرالتالية ‪:‬‬
‫ولو اردت اعادتها كما كانت كما بالصورة ادناه‪..‬‬

‫‪Managing guests‬‬
‫هي عباره عن اداره الزوارالقادمين للشركه حيث يكونوا لفتره مؤقته فقط حيث يمكن لجهازالفورتي‬
‫جيت ان يعطيك حسابات مؤقته تنتهي بعد فتره معينه ‪.‬‬
‫حيث سيتم انشاء حسابات لهؤالء الزواربشكل عشوائي عبرالفورتي جيت نفسه او بنفس االيميالت‬
‫الشخصيه لكل زائراو نقوم بتخصيص حسابات بشكل يدوي ‪.‬‬
‫وسيتم تسليم الزائرلحساباتهم اما عن طريق طباعه الحسابات او ارساله بااليميل او عبر‪. SMS‬‬
‫لكي أقوم بعمل هذا الش ي يجب تخصيص جروب للزوار(‪)Guests group‬تحتوي على عدد من الحسابات‬
‫‪.‬‬
‫نقوم االن بإنشاء جروب باسم ‪ Guest1‬ونوعه ‪guest‬‬
‫حيث لو كان عددهم كبيرجدا فانك سوف تقوم بتفعيل الخيار‪Batch Guest Account Creation‬‬

‫االن سوف نقوم بإنشاء الحسابات بشكل منفرد وليس مره واحده لذا لن نقوم بتفعيل هذا الخيار‬
‫لذا سوف تقوم باختيارنوع ال ـ‪ User ID‬بحسب الخيارات التالية‪:‬‬

‫‪: Email‬حيث يكون اسم حساب الزائرهو نفسه ايميل الزائر‪.‬‬
‫‪: Auto generated‬أي ان الفورتي هو الذي سوف يقوم بإنشاء أسماء الحسابات(اليوزرات)بشكل‬
‫اوتوماتكي ‪.‬‬
‫‪: Specify‬تقوم بكتابه اسم الحساب(اليوزر)(‪ ) ID‬بنفسك ‪..‬‬
‫حيث لن تسطيع ان قوم بإنشاء يوزرمن نوع ‪ guest‬اال لو كنت قد أنشأت جروب من نوع ‪ guest‬أوال لذا‬
‫لو حاولت الدخول الى ‪ Guest management‬قبل انشاء الجروب سوف تظهرلك رساله تحذيريه كما‬
‫بالصورة التالية ‪:‬‬

‫لذا أوال قم بإنشاء ال ـ‪ Guest group‬بالنوع الي تريده مثال ‪ email‬او ‪ auto generated‬او ‪ specify‬مثال‬
‫سوف نختارالنوع ‪Email‬‬
‫نالحظ كما بالصورة أعاله بأننا اخترنا بان الباسورد سوف يتم توليده بشكل اوتوماتيكي عبرالفورتي‬
‫جيت(‪)Auto Generated‬وبأنه سوف تكون نهاية الحساب بعد ‪ 4‬ساعات من وقت انشاء الحساب ‪..‬‬
‫لذا عند انشاء الحساب سوف يكون ال ـ‪ id‬هو نفسه االيميل الخاص بالزائر‬
‫لو قمت بجعل ‪ Password=disabled‬فان عند انشاء اليوزرلن يطالبك بالباسورد ابدا ‪..‬‬

‫كما بالصورة أعاله يتبين بأن ال ـ‪ User Id‬هو عباره عن ايميل الزائرويجب ان تقوم بكتابته مثال‬
‫‪ Mohamed.marfadi@gmail.com‬في الخانه ‪ Email‬واال لن تتم عمليه االنشاء لهذا الحساب ويتبين‬
‫بأن مده انتهاء الحساب بعد ‪ 4‬ساعات ‪.‬‬
‫حيث سيتم ارسال الحساب على ايميل الزائراملحدد أعاله بشرط انك تكون قد فعلت بأن الفورتي جيت‬
‫يمكنه االرسال عبرااليميل‪..‬‬
‫حيث قمت بإنشاء الحسابات بحسب االيميل كما بالصورة اعاله ‪..‬‬

‫يمكنك التحكم بالحساب من حيث ارسال الباسورد الى ايميل املوظف او مده انتهاء الحساب فورا او‬
‫حذف الحساب او التعديل عليه او تجديد مده الحساب ‪...‬‬
‫وهناك خياراسمه ‪ purge‬حيث عند النقرعليه يقوم بحذف كل الحسابات التي انتهت مدتها ويتبقى لك‬
‫الحسابات التي الزالت ‪. valid‬‬
‫حيث نالحظ بأن الخيار‪ Purge‬ال يفعل اال لو كان هناك حسابات منتهيه كما بالصورة ادناه‬
‫وملعرفة الباسورد الذي قام الفورتي جيت بتوليده بشكل اوتوماتيكي نقوم بالنقرعلى الحساب نقرتين‬
‫بزر الفاره االيسروسوف يظهرلك كما بالصورة ادناه‬
‫االن سوف أقوم بتغييرنوع الجروب ‪ Guest1‬الى ‪Auto Generated‬‬

‫لذا عن انشاء اليوزرفي هذا النوع فانك لن تقوم بكتابه اليوزرنيم وال الباسورد‬
‫حتى ال ـ‪ email‬يمكنك تركه فارغا ‪...‬‬
‫تم انشاء الحساب اوتوماتيكيا باسم ‪user0022‬‬

‫النوع األخيرمن ‪ Guest group‬هو ‪ specify‬أي انك سوف تقوم بإنشاء اسم اليوزربشكل يدوي ‪.‬‬
‫كما نالحظ بأن خيارانشاء الباسورد هو ‪ Auto Generated‬أي بأن الفورتي جيت هو الذي يقوم بإنشاء‬
‫ه لكل حساب ‪..‬‬
‫كما الصوره أعاله قمنا بكتابه اسم الحساب ‪ hosam‬بشكل مانوال ‪..‬‬
‫الخالصة ‪:‬‬

‫الخيار ‪( Expiration‬متى سينتهي الحساب) هناك خيارين‬
‫‪: Start countdown‬‬
‫‪: On Account creation‬أي سيتم احتساب فتره االنتهاء(‪ 4‬ساعات مثال)منذ انشاء الحساب ‪..‬‬
‫‪ : After First Login‬سيتم احتساب فتره انتهاء الحساب من بعد اول دخول للحساب من قبل الزائر‪..‬‬
‫نالحظ عند انشاء الحساب‬
‫باننا قمنا بكتابه اسم اليوزروالباسورد بشكل مانول ‪...‬‬
‫لو اردت انشاء حسابات بشكل اوتوماتيكي لعدد مثال ‪ 50‬يوزر‪.‬‬


‫تم انشاء ‪ 50‬حساب بشكل اوتوماتيكي فيمكنك طباعتها او ارسالها للزوارباي طريقة ‪..‬‬
‫➢ ثم بعد ذلك سنقوم بإنشاء بوليس ي ونحدد بها الجروب املسماة (‪ )Guest1‬في ال ـ‪.Source‬‬
‫لو تريد مثال احدى موظفي االيتي عندك ال تريد ان تعطيه صالحيه كامله على الفورتي جيت وتريد فقط‬
‫ان يديرحسابات الزوار(‪ )Guest users‬نقوم بالخطوات التالية ‪:‬‬

‫كما بالصورة أعاله تم انشاء يوزرباسم ‪ guest_admin‬يقوم بإدارة الجروب املسماة ‪. Guest1‬‬
‫االن اليوزر‪ guest_admin‬يمكنه اداره الجروب املسماة ‪ Guest1‬من انشاء يوزروالتعديل عليه وحذف‬
‫اليوزرات التابعه للجروب ‪ Guest1‬وأيضا عمل ‪ Purge‬وطباعه اليوزرات ‪..‬الخ ‪..‬‬

‫)‪FSSO(fortinet single sign on‬‬
‫نحن في الدروس السابقة لكي نصل الى االنترنت عبرالفورتي يجب ان يكون لدينا يوزرفي الفورتي جيت‬
‫لذا لكي افتح االنترنت على أي جهازيوجد لدينا خطوتين‬
‫‪ -1‬ادخال اليوزرنيم والباسورد للويندوز(للجهازاول مره)أي ‪login to computer‬‬
‫‪ -2‬ادخال اليوزرنيم والباسورد(‪ )local account‬املوجود بالفورتي جيت‬
‫وبهذا استطيع الوصول الى االنترنت‬
‫اذا لدينا خطوتين لكي يتمكن الجهازمن الوصول الى االنترنت ‪...‬‬
‫ولتخفيض العملتين السابقتين الى عمليه واحده فقط‬
‫أي االعتماد على اليوزرنيم والباسورد املوجودين في ال ـ‪ AD‬فقط ‪.‬‬
‫وذلك لتعريف كل اليوزرات و الجروبات املوجودة في ‪ AD‬على الفورتي جيت ‪.‬‬
‫وبذلك يمكنني التحكم بكل اليوزرات و الجروبات عبرالفورتي جيت كأنهم ‪ local users‬وذلك عبرعمل‬
‫‪ integration‬ال ـ‪ AD‬مع ‪. fortigate‬‬

‫‪ LDAP server‬ممكن يكون ‪AD server in windows‬‬
‫او لينكس او نوفل ‪...‬الخ ‪.‬‬
‫‪ Ldap‬هي ‪ DB‬الخاصة بالحسابات‬
‫نحن سوف نتعامل مع ‪ ldap server in Microsoft‬وهو ‪AD server‬‬
‫ولكي نقوم بعمل ‪ integrate‬للفورتي جيت مع ال‪ AD‬يجب ان تقوم بالخطوات التالية ‪:‬‬
‫‪ -1‬تحديد ال‪ Ldap server‬للفورتي جيت أي من هو ال ـ‪AD server‬‬
‫‪ -2‬عمل اعدادات لل ـ ‪ Ldap server‬لكي يعمل ‪ single sing on‬أي يجب تفعل خاصيه ‪single sign‬‬
‫‪ on‬على الفورتي جيت ‪.‬‬
‫‪ -3‬سنقوم بإنشاء ‪ FSSO group‬تحتوي بداخلها على اليوزرات او الجروبات املوجودة على ال ـ‪AD‬‬
‫‪ -4‬انشاء بوليس ي ونختارالجروب التي قمنا بأنشائها بالخطوة رقم ‪ 3‬والتي تحتوي على املستخدمين‬
‫الذي سوف نطبق عليهم فكره ‪. Single sign on‬‬
‫حيث أي شخص ليس لديه حساب في ال ـ‪ AD‬لن يستطيع الوصول الى االنترنت عبرالفورتي جيت ألنك في‬
‫البوليس ي قمت بتخصيص ‪ FSSO group‬اال لو انت سمحت بذلك ‪.‬‬
‫االن سنقوم بعمل ‪ AD server‬بااليبي ‪ 192.168.2.11‬ونقوم بإنشاء يوزرات على ال‪AD‬‬

‫مالحظة‪:‬قم باغالق الفايروول للويندوز سيرفر‪)Active directory( 2012‬‬

‫نقوم بإنشاء يوزرات على ال ـ‪ AD‬كالتالي ‪:‬‬
‫‪ Admin‬ونوعه ‪domain admins‬‬
‫‪ User3،User2،User1‬ونوعه ‪domain users‬‬

‫نتاكد من جهازالكالينت(‪)Win 8.1‬معمول له ‪ Joined‬للدومين وان السيرفر‪AD‬‬

‫بيقدروا يوصلوا لبعض (موصلين على سويتش واحد ‪)Vnet1‬وبيقدروا يعملوا ‪ ping‬بينهم البعض ‪..‬‬
‫االن سنقوم بأضافه ال ـ ‪ ldap server‬الذي هو ‪)192.168.2.11( AD‬الى الفورتي جيت‬

‫كما بالصورة أعاله تبين بأن االتصال بسيرفرال ـ ‪ ldap‬سليم ‪..‬‬
‫بعد النقرعلى الزر ‪ browse‬نقوم باختيارالدومين كما بالصورة ادناه‬

‫كما بالصورة أعاله تم أضافه ال ـ ‪ ldap server‬بنجاح ‪...‬‬

‫الخطوة الثانية ‪:‬‬

‫نقوم بضبط االعدادت لتفعيل خاصيه ‪FSSO‬‬
‫هناك طريقتين لعمل ذلك وهما‬
‫الطريقة األوىل ‪Poll Active Directory server‬‬

‫وهي الطريقة التي سنعمل عليها اآلن‬
‫و الطريقة األخرى هي ‪Fortinet Single Sign-on Agent‬‬
‫وسوف يتم شرحها آلحقا ‪..‬‬

‫قمنا باختيارالوحده التنظيميه (‪ )OU‬املسماة ‪ IT‬والتي تحتوي على اليوزرات ‪ User3،User2،User1‬من‬

‫قائمه اليوزرات التي موجودة في ال ـ‪ AD‬لكي أتمكن من رؤيتها على الفورتي جيت حيث بعد التحديد ننقر‬
‫بالزر األيمن ثم ‪.. Add Selected‬‬
‫تم أضافه ال ـ‪ OU‬من ال ـ‪ AD‬الى الفورتي جيت لكي أتمكن من ان اتحكم فيها الحقا عبرالفورتي جيت‬

‫تم أضافه ال ـ‪ OU‬املسماة ‪.. IT‬‬
‫تمت بنجاح كما بالصور ادناه توجد عالمه صح خضراء‬
‫لو كانت العملية لم تتم بنجاح فيكون السهم باللون األحمرليديل على فشل العملية ‪..‬‬
‫اآلن سنقوم بإنشاء يوليس ي ونختارمنها اليوزرات مثال ‪ User1‬و ‪ User2‬فقط ‪..‬‬
‫حيث هما فقط لهما الحق بالوصول الى االنترنت ‪..‬‬

‫لو قمنا باختيارالـ‪ OU‬كامله كما بالصورة ادناه فأن اليوزرات التي بداخل تلك ال‪ OU‬لن تستطيع‬
‫الوصول الى االنترنت وكأن الفورتي جيت ال يتعرف على ال ـ‪.. OU‬‬

‫البوليس ي أعاله لن تجعل اليوزرات التي بداخل ال ـ‪ Ou‬املسماة ‪ IT‬يحصلوا على االنترنت ‪..‬‬
‫الخطوة الثالثه ‪:‬‬

‫لذا من األفضل انشاء جروبات من نوع ‪ FSSO‬لكي نتمكن من استخدامها في البوليس ي كما بالخطوات‬
‫ادناه‬
‫حيث انشاءنا جروب باسم ‪ FSSO-IT-G‬وهي من نوع ‪ FSSO‬وستحتوي على كل اليوزرات التي بداخل‬
‫ال ـ‪ OU‬املوجودة على ال‪ AD‬واملسماة ‪. IT‬‬

‫اآلن سنقوم بالتعديل على البوليس ي السابقة لنقوم باختيارالجروب املسماة ‪ FSSO-IT-G‬كما بالصورة‬
‫ادناه‬
‫❖ الطريقة الثانية لعمل الـ ‪ integeration‬بني الفورتي جيت والــ‪ AD‬تسمى‬
‫‪Fortinet Single Sign-on Agent‬‬

‫يتم تنزيل برنامج اسمه ‪ FSSO‬على سيرفرالدومين(‪)AD‬‬

‫قم بكتابه كلمه السرالتابعه للدومين ادمن لل ـ‪AD‬‬


‫نقوم بتحديد اليوزرات املراد استثنائها من عمليه ال ـ ‪ monitoring‬عبربرنامج ‪ FSSO Agent‬حيث تم‬
‫استثناء اليوزر‪Administrator‬‬



‫كما بالصورة أعاله قم بكتابه باسورد (ليش شرط ان يكون نفس باسورد الدومين ادمن)حيث ستحتاج‬
‫لها لعمليه االتصال بين الفورتي جيت وبرنامج ‪ FSSO‬ويفضل ان يكون معقد‬

‫سنقوم بإنشاء ‪ LDAP SERVER‬كما بالصورة ادناه‬



‫تم انشاء ‪ LDAP SERVER‬بنجاح باسم ‪ LDAP_SERVER‬والذي سنستخدمه الحقا ‪..‬‬

‫هنا الباسورد هي نفسها التي قمنا بإنشائها في برنامج ‪ FSSO‬على سيرفرالدومين (‪)AD‬وهناك طريقتين‬
‫للحصول على اليوزرات والجروبات التي موجودة على سيرفرال ـ‪ AD‬اما نقوم باختيارالخيار‪ Local‬كما‬
‫بالصورة أعاله ومن ثم نختارال ـ‪ LDAP SERVER‬الذي قمنا بإنشاء ه سابقا ‪..‬‬

‫كما بالصورة أعاله سنقوم بتحديد الجروبات واليوزرات املوجودة في ال ـ‪ AD‬والتي تريد أضافتها‬
‫(‪)intergrated‬مع الفورتي جيت‬
‫بعد تحديد اليوزرات املطلوب أضافتها الى الفورتي جيت‬
‫كما بالصورة أعاله تبين بأن عدد العناصرالتي تم أضافتها هي ‪6‬‬

‫تالحظ العدد هنا ‪ 4‬عناصرتم إضافتها ومن ثم نختار‪OK‬‬
‫لو كان السهم باللون األحمرفذلك يعني بأن االتصال بين الفورتي جيت‬
‫وال ـ‪ AD‬غيرسليم نتأكد بأن لفايروول على سيرفرال ـ‪ AD‬مقفول ‪..‬‬
‫االن سنقوم بإنشاء جروب من نوع ‪ FSSO‬ونقوم بأضافه اليوزرات او الجروبات التي قمنا باختيارها‬
‫سابقا (‪ )selected‬في الخطوات السابقة حيث هذه الجروب سيتم تطبيق بوليس ي معينه عليها الحقا ‪..‬‬

‫تم‬
‫اختيارالجروب املسماة ‪ IT-GROUP‬واملوجودة على ‪AD‬‬

‫تم تطبيق البوليس ي على الجروب من نوع ‪ FSSO‬واسمها ‪ FSSO-GROUP-IT‬والتي قمنا بانشائها سابقا ‪...‬‬

‫ملراقبه اليوزرات التي ضمن ‪... fsso‬‬
‫كما بالصورة ادناه يتبين بأن االتصال بين الفورتي جيت وال ـ ‪ AD‬سليم ‪..‬‬
‫كما قلنا سابقا لو تريد مراقبه اليوزرات التي ضمن ‪ FSSO‬من حيث املده التي يعمل عليها وااليبي وحجم‬
‫الترافيك كما بالصورة ادناه ‪...‬‬

‫يظهرلك كل الجلسات املستخدمة وحجم الترافيك واملده ‪..‬‬

‫❖ هذه هي الطريقة الثانية(خيار اخر ) لعمل ‪ integration‬عرب اختيار‬

‫الــ‪Collector Agent‬‬
‫كما بالصورة أعاله تم أضافه كل الجروبات وال ـ‪ OU‬املوجودة على االكتف دايركتوري الى الفورتي جيت‬
‫(عددها ‪ 48‬عنصر)‪...‬‬

‫‪Antivirus‬‬
‫ماهي أنواع ال ـ ‪ antivirus DataBase‬؟‬
‫‪: Normal antivirus signatures Database .1‬هذا النوع موجود في أي جهازفورتي جيت انت‬
‫تشتريه بغض النظرعن نوعه حيث الداتا بيزاملوجودة فيه بيتم اعدادها من قبل الفورتي‬
‫جارد(‪ )FortiGuard‬من قبل فريق البحث لشركه الفورتي نت حيث تحتوي ال ـ ‪ database‬لهذا‬
‫النوع على اشهرأنواع الفايروسات حيث الجهازعندما يقوم بالفحص يقوم بعمل مقارنه ما بين‬
‫امللفات التي تصل اليه من خارج الشبكة وبين ال ‪ signatures‬املوجودة في الداتا بيزفلو وجد بأن‬
‫امللف له ‪ signature‬متشابه مع التي موجودة لديه في ال ـ‪ DB‬فيقوم الجهازباعتبارهذا امللف على‬
‫انه فايروس وبيعمل له ال ـ ‪ action‬املناسب ‪.‬‬
‫‪: Extended .2‬هذا النوع متوفرفي اغلب موديالت فورتي جيت (ليس جميعها)حيث بتحتوي على‬
‫النوع األول (‪ DB+)Normal‬على الفايروسات الغيرفعاله او غيرنشطه حيث ممكن هذا‬
‫الفايروسات ممكن تتنشط ويعاد نشاطها مره أخرى فبهذا يكون الفورتي جيت لديه معلومة عن‬
‫هذا النوع من الفايروسات ‪..‬‬
‫‪: Extreme .3‬موجود هذا النوع من قواعد البيانات على بعض اجهزه الفورتي جيت حيث هي‬
‫قاعده بيانات ضخمه وبتحتوي على ‪ DB‬النوعين السابقين ‪+‬قاعده كبيره من الفايروسات حيث‬
‫تكون مساحه هذا النوع كبيره جدا ولكنها توفراكبرامان وحمايه للشبكة ‪.‬‬
‫حيث أي جهازقبل ماتشتريه يمكنك معرفة ماذا يدعم من قاعده بيانات من الفايروسات من األنواع‬
‫السابقة ‪..‬‬
‫➢ مالحظة ‪:‬نسخه ‪ fortigate VM‬ال يوجد بها ‪ licence‬لل ـ ‪. Antivirus‬‬

‫كيف تفرق بني قواعد بيانات الفايروسات على جهاز الفورتي جيت ؟‬
‫بيتم ذلك عبرال ـ‪ cli‬ويجب ان يكون على جهازحقيقي‬
‫كما بالصورة أعاله تبين بأن الجهازيدعم جميع األنواع الثالثه حيث‬
‫بعد كتابه االمر‬
‫? ‪#set default-db‬‬
‫ثم تكتب ؟ سيقوم بإظهارلك كل انواع القواعد الذي يدعمها الجهازويمكنك اختيارالنوع املناسب لك‬
‫مثال ‪extreme‬‬
‫حيث ال ـ ‪ extreme‬هو النوع األفضل واالقوى ‪..‬‬
‫كيف بيتم عمليه التحديث لل‪ Antivirus DB‬؟‬

‫‪:Manual )a‬ستقوم بتحميل ملف من امللفات عبر(‪) fortiGuard service update‬وتعمل لهذا‬
‫امللف ‪ upload‬للجهازويقوم بتحديث ال ـ‪Antivirus DB‬‬

‫ثم نقوم بتحميل ال‪ 2‬ملفات املشاراليهم بالون األخضرومن ثم نقوم بعمل لهم ‪ Upload‬من‬
‫الفورتي جيت فايروول ‪.‬‬
‫‪ : Automatic )b‬جعل الفورتي جيت يعمل على تنزيل التحديثات من (‪FDN)fortiGuard‬‬
‫بمجرد وجود تحديثات جديده ‪.‬وبهذا يصبح ال ـ‪. UP to Date DB‬‬

‫حيث تقوم بتفعيل للخيار‪ Accept push updates‬بحيث أي تحديث جديد موجود على ‪ FDN‬بيتم‬
‫تنزيلها تلقائيا الى الفورتي جيت فايروول بدون تدخل منك ‪.‬‬
‫او يمكنك عبرخياراخربأنك تعمل ‪ schedule updates‬وتحدد األيام الذي يقوم فيها الفورتي جيت‬
‫بتنزيل التحديثات من ‪. FDN‬‬

‫مثال يمكنك تحديد أيام واوقات معينه لعمل التحديث (أوقات خارج الدوام)‬
‫حيث ان ال ـ ‪ antivirus‬بدون تحديث ليس له أي قيمه ‪...‬‬
‫ملعرفة ال ـ ‪ licenses‬التابع لجهازالفورتي جيت ككل‬

‫كما بالصورة أعاله تبين بأن الترخيص لل ـ ‪ Antivirus‬غيرموجود نظرا ألن نسخه عباره عن ‪ VM‬تجريبي ‪...‬‬
‫حيث يحتوي ال ـ ‪ Antivirus‬على‬

‫‪ AV Definitions‬و ‪ AV Engine‬و ‪Mobile Malware‬‬
‫أي ش ي قام جهازالفورتي جيت بعمل له ‪ Detection‬بيتم تسجيله كما بالصورة ادنا ه‬
‫الوقت والتاريخ لعمليه اكتشاف الفايروس ويحدد له املصدرواسم امللف املعمول له ‪ detected‬وما هو‬
‫اسم الفايروس ومن هو اليوزرالذي حصل عنده ال ـ ‪ detection‬وبعض التفاصيل وماه والـ ‪ action‬الذي‬
‫حصل لهذا الفايروس ‪..‬‬

‫❖ طريقة تفعيل الــ ‪ antivirus‬على الفورتي جيت وعمل محايه للشبكة من‬
‫أي تهديدات ‪:‬‬
‫كما بالصورة أعاله يتبين بأن ‪ 2‬بروفايل موجود بشكل افتراض ي وال يمكن حذفهما ‪..‬‬
‫ويمكنك انشاء بروفايالت جديد وتخصصها كما تشاء ومن ثم سيتم اختيارها الحقا في البوليس ي ‪...‬‬
‫➢ طريقة انشاء بروفايل جديد لــ‪: antivirus‬‬

‫حيث تقوم بكتابه اسم البروفايل وفي حالة اكتشاف فايروس هل تقوم بعمل ‪ block‬أي سيمنع امللفات‬
‫املصابه بالفايروس من الدخول الى الشبكة او ‪ Monitor‬وبهذا سيتم السماح للملفات املصابه باملرور‬
‫الى الشبكة باإلضافة الى قيامه بتسجيل ‪ logs‬على الفورتي جيت بان هذا امللف مصاب‬
‫ومن ثم تحدد البرتوكوالت التي سيتم عمل لها فحص من قبل ال ـ‪AV‬‬
‫كما بالصورة أعاله تم انشاء بروفايل جديد باسم ‪AV-FOR-Network‬‬

‫حيث يمكنك حذف او نسخ او التعديل عليه كما هي األسهم املشاراليها في الصوره أعاله ‪..‬‬

‫➢ طريقة اختيارالبروفايل مخصص في البوليس ي ‪:‬‬
‫تم تحديد البروفايل املسمى ‪ AV-FOR-Network‬والذي قمنا بإنشائه مسبقا ‪..‬‬

‫يجب ان تقوم بتفعيل ال ـ ‪ antivirus‬في كل بوليس ي وذلك لألهمية ‪..‬‬

‫في حالة اردت تعمل حمايه للفورتي جيت بحيث ال يستطيع احد انشاء بروفايالت جديده مثل ‪app‬‬
‫‪ control‬او ‪ AV‬او ً ‪.. web filter‬الخ‬
‫تالحظ كما بالصورة أعاله بأن خيارالحذف والتعديل واإلضافة غيرمتاح بعد قيام بإلغاء تفعيل‬
‫الخاصية التالية ‪.. Multiple security profiles:‬‬
‫➢ ‪: Antivirus Mode‬‬

‫‪Proxy base mode‬‬ ‫‪Flow base mode‬‬
‫الفحص األكثرشموال‬
‫واالعمق و االطول‬
‫وقت حيث يتم تقسيم‬
‫امللفات(للباكت) الى أجزاء‬
‫يعتمد على مبدا ال ـ ‪ buffering‬أي‬ ‫يأخذ نسخه من امللفات ويحصل لها‬
‫التخزين املؤقت أي ان كل الباكت‬ ‫‪ caching‬على الفورتي جيت قبل تسليمه‬
‫وامللفات التي تصل للفورتي جيت ال يتم تخزينها‬ ‫الى الكالينت حيث ال يوجد عمليه‬
‫بشكل مؤقت على جهازالفورتي جيت‬ ‫تقسيم للباكت ثم يقوم بإرسالها‬
‫الى محرك مكافح الفايروسات ليتم عمل‬
‫فحص لها ففي‬
‫حالة كانت سليمه فأنه يتم تسليمها‬
‫الى املستلم اما لو كانت مصابه‬
‫فيتم حذف امللف املصاب‬
‫في حالة لم يجد أي أصابه للملف‬
‫بعد عمليه الفحص‬
‫يتم ارساله الى الهدف اما في حالة وجود‬
‫أصابه في امللفات‬
‫يأخذ ‪ action‬معين ويعمل رساله للهدف‬
‫كنوع من التحذيربأن امللف مصاب‬
‫‪ Default buffering=10 m‬ألي‬
‫جهازفورتي جيت ‪.‬‬
‫فلو كان امللف حجمه اكبرمن ‪ 10‬ميجا‬
‫فأن هناك حالتين‬
‫اما يتم عمليه تمريرامللف الى الهدف‬
‫بدون فحص‬
‫او ان يتم عمل له ‪. Block‬‬
‫يمكن التعديل على قيمه ال ـ‪buffering size‬‬
‫❖ مىت يتم استخدام ‪ flow base‬ومىت يتم استخدام ‪ proxy base‬؟‬

‫هذا يعتمد على شكل الشبكة ‪..‬‬
‫مثال لو هناك هجمات كثيره فاألفضل ان تختار‪proxy base‬‬
‫اما لو كان لدي شبكتين داخليه فيمكن استخدام ال ـ ‪ flow base‬ألنه اسرع وبنفس الوقت الهجمات التي‬
‫تكون في الشبكات الداخليه اقل بكثيرمن الهجمات التي تأتي من خارج الشبكة(االنترنت) ‪.‬‬
‫ممكن تستخدم ‪ flow base‬لو كان سرعه االنترنت لديك بسيطة فاألفضل تستخدم ال ـ ‪ flow base‬ألن‬
‫عمليه الفحص تكون اقل بعكس عمليه ال ـ ‪ proxy‬التي تكون عمليه الفحص ادق ولهذا يتم استهالك‬
‫االنترنت ‪..‬‬
‫❖ ماهي طريقة عمل مكافح الفايروسات يف الفورتي جيت (يتعامل املكافح‬

‫بالفورتي جيت مع أي ملف على شكل مراحل)؟‬
‫املرحله األولى ‪ Antivirus protection‬ويسمى بالتهديدات الصريحه‪:‬‬

‫محرك البحث(‪ )DB‬لدى مكافح الفايروسات أوال يقوم بالبحث على التهديدات الصريحه حيث لو قمت‬
‫باستالم ملفات وهذه امللفات بتحتوي على تهديد صريح (‪) malware‬فيتم عمل ‪ action‬مناسب ‪.‬‬
‫املرحله الثانية ‪:)Grayware( specific function‬‬

‫تعتبرهذه املرحله الثانية من مراحل تعامل مكافح الفايروسات التابع لفورتي جيت ‪،‬في هذه ااملرحله يتم‬
‫البحث عن البرمجيات التي تعتبر(‪)Grayware‬حيث امللفات او البرمجيات في هذه الحالة ال تعتبرمؤذيه‬
‫أي انها غيرصريحه بالتهديد و ال امنه ‪.‬‬
‫هذه الخاصية بشكل افتراض ي غيرمفعله باجهزه الفورتي جيت فلو تريد تفعيلها لزياده نسبه األمان‬
‫فيكون ذلك عبر‪ CLI‬كما بالصورة ادناه ‪..‬‬
‫املرحله الثالثه ‪( Heuristics‬االستدالل) ‪:‬‬

‫لو تم تفعيل هذه الخاصية فأن ‪ AV‬لو وجد أي مؤشر(اشتباه) بأن امللف يحتوي على فايروس سوف‬
‫يقوم بعمل ‪ action‬لهذه امللفات ‪..‬‬
‫حيث هذه الخاصية بشكل افتراض ي غيرمفعله ويوجد لهذه الخاصية أيضا ‪ pass‬أي في حالة االشتباه قم‬
‫بالسماح لها باملرورالى الشبكة الداخليه وأيضا في خاصيه ‪ Block‬حيث في حالة االشتباه اعمل لها‬
‫‪ Block‬وال تجعل امللفات تمرالى الشبكة الداخليه ‪...‬‬
‫ولتفعيل هذه الخاصية عبر‪CLi‬‬

‫حيث هذه الخاصية بشكل افتراض ي تكون ‪disabled‬‬

‫ونحن جعلناها االن ‪ Block‬أي في حالة االشتباه قم بعمل ‪ Block‬للملفات ‪..‬‬
‫➢ ‪: Antivirus Profile configuration‬‬
‫يقوم بعمل فحص للترافيك ‪ http, smtp,pop3,imap‬ويعمل لها ‪ Block‬في حالة يحتوي على فايروس ‪.‬‬
‫‪: Content Disarm and Reconstruction‬بيجعل الفورتي جيت يأخذ أي ملف(…‪) pdf,doc,‬‬

‫وفحصه والتأكد من احتوائه على الهايبرلينك ‪،‬حيث فكره الهايبرلينك هي ملف ضارداخل ملف عادي‬
‫وعند تمكين هذا الخياربيتم التعامل مع هذا امللف ‪،‬حيث يقوم الفورتي جيت بحذف الهايبرلنك واصبح‬
‫لديك امللف الحقيقي فقط فهو حسب الخيارات أعاله بيقول لك هل تريد ان اطبق على امللف الحقيقي ‪-‬‬
‫السليم‪ Original File Destination -‬احدى الخيارات ادناه ‪:‬‬
‫‪ : FortiSandbox‬في حالة كان عندك ترخيص ‪fortisandbox‬‬
‫‪: File Quarantine‬حيث يقوم باالحتفاظ بامللف الحقيقي في الفورتي جيت وفي هذه الحالة يجب ان‬
‫يكون لديك هارد داخل الفورتي جيت ‪.‬‬
‫‪: Discard‬حذف امللف األصلي ‪.‬‬
‫‪ : Treat Windows Executables in Email Attachments as Viruses‬هذا الخياربيقوم بحذف‬
‫امللفات املرفقة التي تصل عبرااليميل فيها ‪ exe‬او ‪ msi‬او أي ملف تنفيذي ‪.‬‬
‫➢ ‪Web filtering‬‬
‫عباره عن التحكم في املحتوى الذي يصل الى املستخدم او الذي يصل اليه املستخدم ‪.‬‬
‫او بمعنى أوضح عباره عن فلتره ال ـ‪ http‬و ‪ http‬لكي يصل للمستخدم املحتوى اآلمن واملسموح به ‪..‬‬
‫أسباب التحكم يف ‪: Web filtering‬‬

‫‪ -1‬فقدان اإلنتاجية بسبب ان املوظفين يهدرون اوقاتهم بالتصفح ألن له الحق بالوصول الى‬
‫كل املواقع ‪.‬‬
‫‪ -2‬بطئ االنترنت بسبب اهدارالترافيك ففي فتح املواقع مثل اليوتيوب واأللعاب‪.‬‬
‫‪ -3‬تسريب املعلومات الهامه خارج الشركة‬
‫‪ -4‬التعرض للهجمات عبراملواقع‬
‫‪ -5‬تجنب أي مسؤليه قانونيه بسبب تنزيل احد املوظفين لبرمجيات غيرمصرحه ‪.‬‬
‫الهجات التي تصل عبرالويب ‪:‬‬

‫‪ -‬البرامج التجسسيه والبرمجيات الضارة ‪.‬‬
‫‪ -‬التصيد عبرااليميالت وغيرها ‪.‬‬
‫‪ -‬استخدام موقع مزيف رغم انه مشابه للموقع الحقيقي ‪.‬‬
‫‪ -‬مواقع التحميل (‪)peer to peer‬حيث ممكن املوظف يقوم بتنزيل ملفات تحتوي على فايروسات ‪.‬‬
‫‪ -‬استهالك االنترنت عبرمواقع ال ـ‪)audio+video ( streaming media‬‬
‫‪Web filtering mode‬‬
‫يوجد لدى فورتي جيت ‪ 3‬أنماط مختلفه ‪:‬‬
‫‪:Proxy )1‬بيعتمد على ال ـ ‪ Buffering‬أي عمليه تخزين البيانات لفتره محدده لحين إتمام عمليه‬
‫الفحص ثم تمريرالبيانات الى الهدف (اليوزر)‬
‫دقيق في عمليه الفحص ولكنه بطئ بسبب عمليه ال ـ‪.buffering‬‬
‫اعداداته كثيره ‪.‬‬
‫‪:Flow )2‬ال يعتمد على ال ـ‪ Buffering‬حيث يمرر البيانات الى الهدف بدون تخزين حيث انه اقل دقه‬
‫من البروكس ي ويعتبراسرع نمط ‪.‬‬
‫‪:DNS )3‬ال يعتمد على ال ـ‪ Buffering‬حيث يقوم بعمليه تحويل من اسم الى ايبي حيث شركه فورتي‬
‫نت لديها ‪ dns server‬ويمكن االعتماد عليه لعمليه فلتره املواقع ‪،‬حيث يعتبرهذا النمط دقيق‬
‫ألنه يعتمد على ال ـ ‪ dns server‬التابع لفورتي نت حيث يتعبرسريع ولكن ليس اسرع من ال ‪flow‬‬
‫‪mode‬‬
‫حيث يعتبراقل اعدادات ‪.‬‬
‫• مالحظة ‪:‬عمليه الفحص تكون على ايبي املوقع واسم املوقع‬
‫حيث ستقوم بإنشاء بروفايل خاص ب ‪ web filtering‬وتخصصه لناس معينين‪.‬‬

‫تم تطبيق بروفايل معين في ال ـ‪ web filter‬على بوليس ي معينه ‪..‬‬
‫➢ ماهي اخليارات املتاحة على الفورتي جيت خبصوص الــ‪web filtering‬‬

‫‪:Static URL Web filter )1‬عمليه التحكم في موقع معين بالضبط او التحكم على دومين كامل ‪.‬‬
‫حيث بهذا النوع ستقوم بكتابه املوقع بنفسك ‪.‬‬
‫‪: Web content filter )2‬تمكنك من فلتره املحتوى املطلوب بناء على كلمات محدده على صفحة‬
‫الويب او أنماط معينه او جمل معينه‬
‫‪: fortiGuard web filter )3‬يمكنك بوساطتها ان تتحكم بمالئين املواقع من خالل التصنيفات التي‬
‫معموله عبرشركه فورتي جيت‬

‫➢ شرح مفصل لألنواع املذكورة أعاله ‪:‬‬

‫‪: fortiGuard web filter )1‬‬
‫عباره عن حل بيتم ادارته من قبل شركه فورتي نت حيث ال يمكنك االستفاده منه اال لو قمت بعمليه‬
‫تجديد االشتراك كل سنه ‪..‬‬
‫حيث لو لم تكن مشترك بهذه الخدمة فانك لن تقدرالتحكم باملواقع بحسب التصنيف‪.‬‬
‫حيث ال ـ ‪ vm‬ال تكون مفعله ولذا ال يمكننا استخدام النوع ‪. fortiGuard web filter‬‬
‫فمثال لو تريد اغالق مواقع ال ـ ‪ social networking‬التي تقدربمئات املواقع فأنه من الصعب اغالقها عبر‬
‫الطريقة ‪ Static Url web filter‬اما عبر ‪ FortiGuard web filter‬فستكون سهله جدا حيث بخيارواحد‬
‫يمكنك اغالق كل مواقع التواصل االجتماعي (‪..)categoring‬‬
‫‪ rating )2‬أي تقييم املواقع مثل (موقع خبيث‪) ...،‬‬
‫➢ ماهي عالقه فورتي جاربالفورتي جيت ‪:‬‬

‫اليوزرعندما يطلب أي موقع فأن الفورتي جيت يأخذ الطلب ويرسله ألقرب سيرفرلفورتي جارد بشرط‬
‫ان يكون جهازالفورتي جيت مشترك ( ‪.)License‬‬
‫فلو كان الطلب (املوقع)الذي طلبه اليوزرممنوع(‪)Block‬فيقوم سيرفرفورتي جارد بإرسال رساله الى‬
‫جهازالفورتي جيت بأن املوقع محجوب والذي بدوره يقوم بإظهاررساله لليوزربأن املوقع مغلق ‪.‬‬
‫حيث يعتبرالفورتي جيت وسيط بين اليوزروالفورتي جارد سيرفر‬
‫يجب ان تتأكد بان الفورتي جيت متوصل بشكل سليم مع الفورتي جارد وأيضا لديك ترخيص‬
‫(‪.)license‬‬

‫يجب ان تتأكد بأن ال ‪ licenses‬شغال بشكل سليم كما بالصورة أعاله‬

‫وأيضا تتأكد من ال ـ ‪ connectivity‬بين الفورتي جيت والفورتي جارد كما بالصورة ادناه‬
‫➢ كيفيه التعامل مع الـــ ‪ fortiguard category‬يف الــ‪: web filter‬‬

‫نالحظ بأن رساله الخطأ توضح بأن الفورتي جارد ليس متاح على ال‪ fortigate vm‬حيث يجب ان تكون‬
‫مشترك بخدمه الفورتي جارد لكي تتمكن من استخدامها ولكننا سوف نشرحها بشكل نظري ‪...‬‬
‫توجد عده تصنيفات عامه وتحت كل تصنيف عام تكون عده تصنيفات فرعيه وكل تصنيف فرعي‬
‫يحتوي على مئات من املواقع‬
‫مثال التصنيف املسمى ‪ security Risk‬يحتوي على ‪ 6‬تصنيفات فرعيه( ‪ )Sub categories‬وهي كالتالي‬
‫‪Malicious Websites‬‬
‫‪Phishing‬‬
‫‪Spam‬‬
‫‪Spam URL‬‬
‫‪Dynamic DNS‬‬
‫‪New observed Domain‬‬
‫‪New Registered Domain‬‬

‫فلو تريد اغالق كل مواقع ‪ phishing‬فأنه يجلب عليك ان تقوم بإغالق التصنيف املسمى ‪phishing‬‬
‫وهكذا كما بالصورة ادناه‬
‫حيث بمجرد النقرعلى ‪ sub categories‬بالزر األيمن يظهرلك ال ـ ‪ actions‬املراد اختياره مثل ‪Allow‬‬
‫‪,Monitor,Block,Warning,Authenticate‬‬

‫مثال التصنيف )‪ General Interest-Personal (35‬يحتوي على ‪ 35‬تصنيف فرعي كما باملربع البرتقالي‬


‫‪: Advertising‬تحتوي على كل املواقع اإلعالنية ‪.‬‬

‫‪ : Education‬يحتوي على كل املواقع التعليميه(املدارس والجامعات ‪..‬الخ) ‪.‬‬
‫‪ : Health and Wellness‬يحتوي على كل مواقع الصحه ‪.‬‬
‫‪: News and Media‬يحتوي على مواقع االخبار‪.‬‬
‫‪:Personal Vehicles‬يحتوي على مواقع الشاحنات والسيارت‬
‫‪ : Personal Privacy‬يحتوي على املواقع الشخصيه‬
‫‪: Sports‬مواقع الرياضه‬
‫‪ : Shopping‬مواقع التسويق‬
‫‪: Social Networking‬الشبكات االجتماعية مثل الفيسبوك والتويتروالجوجل بالس‬
‫‪: Games‬مواقع االلعاب‬
‫‪ : Web Chat‬مواقع الشات حيث يختلف عن ‪app chat‬‬

‫حيث تقوم باختيارال ـ ‪ actions‬املناسب ثم تقوم بإعطاء اسم للبروفايل ومن ثم تنش ى بوليس ي وتختارهذا‬
‫البروفايل لهذا البوليس ي لكي يتم تطبيقه ‪..‬‬
‫لو تريد اغالق مواقع التواصل االجتماعية مثل الفيسبوك وتويتروأيضا اغالق مواقع االخبارمثل‬
‫صحافه ‪ 24‬و موقع ‪ bbc.com‬وغيرها ‪..‬‬
‫فأننا سنقوم أوال بإنشاء بروفايل باسم ‪Block social networking&News‬‬

‫وسنقوم بالسماح لكل ال ـ ‪ categories‬ماعدا ال ـ ‪ social networking‬و ‪ New and media‬سوف نقوم‬
‫بإغالقها كما بالصورة ادناه ‪..‬‬
‫فعند محاوله فتح أي موقع اخباري مثل ‪ BBC‬فأنه ستظهرلك رساله بان املوقع مغلق باإلضافة الى‬
‫املعلومات بايبي الجهاز‪ 192.168.2.121‬الذي حاول يفتح املوقع وأيضا ال ‪ category‬الذي ينتمي لها هذا‬
‫املوقع هو ‪ News and Media‬والذي تم اغالقه بواسطتها ‪..‬‬
‫فلو قمت بفتح موقع الفيسبوك ‪ https:\\facebook.com‬فانه سوف يفتح معك بشكل طبيعي بالرغم‬
‫انه مصنف تحت ‪ Social network‬وذلك ألنك طلبت املوقع ب ‪ https‬وليس ‪ http‬ولتفادي هذه املشكله‬
‫يجب ان تقوم بتفعيل خاصيه‬

‫‪ ssl inspection=certificates-inspection‬وبذلك تجعل الفورتي جيت يقوم بفحص أي موقع ‪https‬‬
‫وبهذا سوف يتم غلق املواقع االجتماعية‪،‬‬
‫اي ان أي شخص يريد الوصول الى موقع ضمن تصنيف الشبكات االجتماعية او املواقع اإلخبارية سواء‬
‫كان ‪ http‬او ‪ https‬فانه سوف يتم اغالقها ‪..‬‬
‫لو كان املوقع املراد الوصول اليه ‪ http‬وهو ضمن التصنيف املعمول له ‪ Block‬فسوف تظهررساله‬
‫الغلق(‪ )Web page Blocked‬من فورتي جيت كما بالصورة ادناه‬

‫اما لو قمت بتفعيل خاصيه ‪ ssl inspection‬فأن رساله الغلق ‪ Web page Blocked‬لن تظهربهذا‬
‫الشكل(باغلب املتصفحات) مع مواقع ال ـ‪ https‬بل تظهرلك رساله الخطأ كما بالتالي وذلك بحسب‬
‫املتصفح‬
‫وهذا عن طريق متصفح اخرلنفس املوقع‬
‫اما عن طريق متصفح ‪ Internet explorer‬ظهرلك رساله ال ـ‪ Web Page Blocked‬كما بالصورة أعاله ‪..‬‬
‫وفي جميع األحوال لن تستطيع الوصول الى تلك املواقع سواء ‪ http‬او ‪https‬‬

‫بواسطة ‪ fortiguard categories‬سوف تستطيع اغالق آلف املواقع بحسب تصنيفها بنقرزر واحده‬
‫بدون الحاجه الى كتابه املواقع يدويا ‪...‬‬
‫طريقة معرفة تصنيف أي موقع ‪..‬‬
‫مثال موقع ‪ www.bab.com‬لو تريد معرفة تصنيفه‬
‫نقوم بالدخول الى املوقع التالي ‪https://fortiguard.com‬‬
‫ثم كما بالصورة التالية‬
‫نكتب املواقع املراد معرفة ال ـ ‪ category‬التابع له ثم ‪enter‬‬

‫سوف يظهرلك التصنيف للموقع كما بالصورة ادناه‬

‫اذا املوقع ‪ www.bab.com‬يقع ضمن التصنيف ‪. news and Media‬‬
‫أنواع الـــ ‪: action‬‬
‫‪: Allow -1‬السماح للوصول ألي موقع يندرج تحت ال ـ ‪ category‬التي عملت لها ‪allow‬‬
‫‪ : Block -2‬منع الوصول ألي موقع يندرج تحت ال ـ ‪ category‬التي عملت لها ‪block‬‬
‫‪: Monitor -3‬مراقبه أي شخص من الوصول الى أي موقع يندرج تحت ‪ category‬قمت‬
‫بعمل لها ‪.. monitor‬‬

‫حيث املراقبة سوف تكون في ال ـ ‪ logs‬حيث سيظهرلك ماذا فتح من موقع ومتى ومن الشخص الذي فتح‬
‫املوقع ولكن بشرط يجب ان يكون اليوزرموجود في ‪( local users‬حسابات محليه)التابع للفورتي جيت‬
‫أي ان اليوزرلو أراد الوصول الى االنترنت يجب ان يقوم بإدخال اليوزرينم وباسورد حيث سيتم عمل‬
‫‪ Monitor‬لهذا اليوزرات فقط ‪.‬‬
‫فاذا قمت بإنشاء يوزرمحلي باسم ‪ Hosam‬وباسورد ‪ 123‬على الفورتي جيت‬

‫وأريد مراقبه ال ـ ‪ category‬املسماة ‪ social networking‬سوف نقوم بالتالي ‪:‬‬

‫تم عمل مراقبه ‪ New and Media‬و ‪ Social Networking‬كما بالصورة أعاله‬

‫كما بالصورة أعاله تم انشاء بوليس ي بحيث يتم مراقبه اليوزراملسمى ‪ Hosam‬عند الوصول الى ‪Social‬‬
‫‪networking & new and Media‬‬
‫حيث املفترض عندما يقوم اليوزر‪ Hosam‬بفتح موقع مثل فيسبوك او صحافه نت او غيرها من املواقع‬
‫ضمن التصنيف ال ـ‪Socail networking & new and Media‬‬
‫فانه سوف يطلب منه يوزرنيم وباسورد وبد إدخالها من قبل ‪ hosam‬فان املوقع سوف يفتح طبيعي‬
‫وملراجعه ال ـ ‪ logs‬لليوزر‬

‫حيث يظهرلك الوقت واسم اليوزروال ـ ‪ action‬واملوقع الذي تم الوصول اليه من قبل اليوزر‬
‫وال ـ ‪ category‬املندرج تحتها هذا املوقع وغيرها من املعلومات ‪..‬‬
‫أي ان يوزرمعمول له ‪ Monitor‬فاني ممكن اطلع على ال ـ ‪ logs‬كما بالصورة أعاله ‪..‬‬
‫لو كنت تريد فتح مثال مواقع معينه مثل الفيسبوك وتويترلفتره محدده ولكن بدون تحديد الوقت (مثال‬
‫‪ 15‬دقيقه في اليوم لكل يوزر) ليس محدد الوقت املسموح‪ ،‬بل أي وقت سوف يستخدمه اليوزرسوف‬
‫يتم اعطاءه ‪ 15‬دقيقه فقط بغض النظرعن الوقت وبعدها سوف يتم عمل ‪ block‬لتلك املواقع ‪..‬‬
‫فمثال بعض املوظفين سوف يفتحوا املواقع صباحا ملده ربع ساعه والبعض االخرظهرا والخ وهكذا حيث‬
‫سيتم حساب وقت كل يوزرعلى حده وبعد انتهاء الوقت سوف يتم عمل ‪ Block‬لهذه ال ـ ‪. category‬‬
‫➢ يوجد في الفورتي جيت خاصيه جميله جدا اسمها ال ـ ‪ Quota‬حيث يتم تطبيق ال ـ‪ quota‬على‬
‫ال ـ ‪ category‬التي ال ـ ‪ action‬لها ‪ Monitor‬او ‪ authenticate‬او ‪ warning‬فقط‬

‫عندما اريد انشاء ‪ Quota‬وذلك بالنقرعلى الخيار‪ Create New‬فأنه يجب ان تكون ال ـ ‪ category‬من‬
‫احدى األنواع الثالثه التي ذكرت سابقا لكي أتمكن من انشاء ال ـ‪quota‬‬
‫نقوم بتحديد نوع ال ـ‪ Quota‬هل بالوقت ام بالترافيك(بالحجم)‬

‫ونقوم بتحديد ال ـ ‪ category‬املراد تطبيق ‪ quota‬عليها ‪.‬‬

‫تم السماح ‪ 15‬دقيقه لليوزرمن الوصول الى مواقع االخبار ومواقع التواصل االجتماعي فقط ‪...‬‬
‫حيث بمجرد انتهاء ال ـ‪ 15‬دقيق للموظف فانه سيتم عمل ‪ Block‬لتلك املوافق مباشره ‪..‬‬

‫‪: Warrning‬معناها بأنه تم اغالق املوقع في الشبكة حيث ستظهرلك رساله تحذيريه لليوزرتوضح بان‬
‫املوقع الذي قمت بطلبه محجوب لو تريد فتحه سوف تفتحه على مسؤليتك وستصبح متراقب من قبل‬
‫الفورتي جيت‬
‫حيث سيظهررساله تحذيريه كل فتره تحددها انت بأن املوقع متراقب من قبل مديرالشبكة ألنك فتحن‬
‫موقع مندرج تحت ‪ category‬معمول لها ‪. Warning‬‬
‫حيث مثال سوف نعمل ‪ warning‬لل ـ ‪ category‬املسماة ‪Alchol‬‬

‫فمجرد تنقربالزر األيمن على ال ـ ‪ Alchol‬وتختارال ـ‪ action=warning‬فأنه سوف تفتح لك نافذه كم بالتالي‬

‫حيث كل ‪ 5‬دقائق يظهرلك رساله تحذيريه لو انت ال زلت فاتح أي موقع ضمن التصنيف املحدد سابقا‬
‫(‪.)Alchol‬‬
‫حيث لو قام املستخدم بفتح أي موقع ينتمي لهذا التصنيف سوف تظهرله رساله ال ـ ‪ Block‬كما بالصورة‬
‫التالية‬

‫فلو تريد ان تفتح املوقع فقم باختيارالخيار ‪. Proceed‬‬

‫فبعد ‪ 5‬دقائق سوف يتم اغالق الصفحة ثم ظهور رساله ال ـ ‪ Web Page Blocked‬فلو تريد ان تفتح‬
‫املوقع على مسؤليتك فثم باختيار ‪.Proceed‬‬
‫حيث يصبح كل املواقع املندرجه متراقبه عبرالفورتي جيت ويمكن استعراض كل ال ـ ‪ logs‬كما بالتالي ‪:‬‬
‫‪ : Authenticate‬متى تريد ان تجعل البورتال يطلب يوزرنيم وباسورد ؟‬

‫حيث أي احد يحاول يفتح أي موقع يندرج تحت ال ـ ‪ category‬املعمول لها ‪ Authenticate‬فأنه سوف‬
‫يطلب منه يوزرنيم وباسورد ‪.‬‬

‫قمنا بإنشاء ‪ action‬نوعها ‪ Authenticate‬على ال ـ ‪ category‬املسماة ‪Games‬‬
‫حيث أي يوزرمن الجروب املختاره سوف يفتح موقع من مواقع األلعاب سوف يظهرله نافذه البورتال‬
‫(يوزرنيم وباسورد)‪..‬الخ‬

‫أي احد يحاول يوصل للمواقع املدرجه تحت تصنيف األلعاب الذي انت عامل عليها ‪authenticate‬‬
‫فانه سوف يطلب منه يوزرنيم وباسورد ‪.‬اي كل ‪ 5‬دقائق وف يظهرله البورتال اللي بيطالب منه اليوزرنيم‬
‫والباسورد لكي يعمل ‪ reauthentication‬ويستطيع الوصول الى تلك املواقع ‪...‬‬
‫ثم بعد النقرعلى الزر ‪ proceed‬فأنه سوف تظهرلك الشاشة التالية‬
‫فيجب عليك ادخال اليوزرنيم والباسورد ألحد اليوزرات التي تنتمي للجروب املحدده‪.‬‬
‫ال ـ ‪ warning‬يعتبرنفس ال ـ ‪ authenticate‬اال انه في حالة ال ـ ‪ authenticate‬يطلب منك يوزرنيم وباسورد‬
‫‪..‬‬

‫أحيانا ال يعمل معي ال ـ ‪ web filter by category‬وخصوصا ال ـ ‪ warning‬لذا يجب عليك التأكد بأنك‬
‫قمت باألشياء التالية لكي تعمل معك بشكل صحيح ‪:‬‬
‫➢ توجد اعدادات معينه ل ـ ‪ ssl‬أي للمواقع التي تكون ‪ https‬وليس ‪ http‬يجب ان تكون مضبط‬
‫االعدادات بشكل سليم لكي يعمل معك ال ـ ‪ web filtering‬أيضا يجب ان تكون عامل الشهادة‬
‫‪ certificate‬بشكل سليم ومستوردها على متصفحات واجهزه الكالينت ‪..‬‬
‫ننش ى ‪ ssl/ssh inspection‬ونجعلها ‪ Full SSl Inspection‬ثم نختارها في البوليس ي كما بالصورة التالية ‪:‬‬

‫نالحظ بأننا اخترنا البروفايل املسمى ‪ deep-inspection‬والذي تم تجهيزه سابقا ونالحظ بأن هناك ‪hint‬‬
‫يقول فيها عند اختيار ‪ full SSl inspection‬فان اليوزرات سوف يحتاجوا ان تقوم باستيراد تلك الشهادة‬
‫على متصفحاتهم ‪..‬‬
‫اآلن سوف نقوم بتصديرالشهادة من الفورتي جيت كالتالي ‪:‬‬

‫نقوم بنسخها على اجهزه املوظفين ثم نستوردها على متصفحاتهم كما بالخطوات التالية‬


‫نالحظ بالصورة أعاله بأن الشهادة تم استيرادها بنجاح وعند النقرعليها نقرتين تظهرلك تفاصيل‬
‫الشهادة ‪..‬‬
‫❖ ‪Web URL filtering‬‬

‫توجد ‪ 4‬أنواع مهمه في ‪web URL filter‬‬
‫قمنا بإنشاء بروفايل جديد وتم تفعيل الخيار‪ URL Filter‬ثم نقوم بإنشاء ال ـ ‪ static url‬كما بالصورة‬
‫ادناه‬

‫يوجد لدينا عده أنماط(أنواع‪-‬اشكال‪-‬طرق)تكتب فيها املواقع لكي تطبق عليها ‪ action‬معين ‪.‬‬
‫‪ : Simple )1‬تكتب ال ـ ‪ url‬ملوقع صراحه كالتالي‬
‫‪ www.bab.com‬او ‪ bab.com‬كل يؤدي نفس الغرض ‪..‬‬

‫كما‬
‫بالصورة أعاله تم انشاء البروفايل باسم ‪profile 1‬‬

‫تم‬
‫تطبيق البوليس ي وتم اختيارالبروفايل ‪ profile 1‬في ‪Web Filter‬‬
‫توجد عده طرق للتحكم بالويب بواسطة ‪: Static Url‬‬
‫الطريقة األولى ‪:‬‬

‫لو قمت بإغالق للموقع ‪www.yahoo.com‬‬
‫فأن أي موقع يندرج تحت هذا املوقع سيتم اغالقه أيضا كما بالصورة ادناه‬

‫الطريقة الثانية ‪:‬‬

‫اما في حالة تريد بالتحكم بموقع معين(صفحة معينه)في املوقع عن طريق املساراو ما يسمى ال ـ‪ URL‬مثال‬
‫السماح فقط بصفحة معينه مثال ‪ translate.google.com‬وهو مترجم جوجل ومنع جوجل بشكل كامل‬
‫‪..‬‬
‫حيث قمنا بالسماح ملترجم جوجل فقط واغالق كل ش ي في جوجل ‪...‬‬
‫الطريقة الثالثه ‪:‬‬

‫اما في حالة تريد ان تقوم بالتحكم باي موقع ينتهي مثل ‪ www.fortinet.com‬بغض النظرعن أي‬
‫صفحة تحت هذا املوقع (‪ )Sub domain‬لهذا املوقع مثل ‪ support.fortinet.com‬حيث انه يندرج تحت‬
‫املوقع ‪. www.fortinet.com‬‬

‫حيث أي ‪ sub domain‬يندرج تحت املوقع ‪ Fortinet.com‬مثل ‪ support.fortinet.com‬او غيرها سيتم‬

‫اغالقه بغض النظرعن اسم املوقع ‪...‬‬
‫توجد ‪ 3‬أنماط استطيع ان اتحكم باي موقع في الويب فلتر‪:‬‬
‫وهي ‪Simple -Regular Expression-Wildcard‬‬

‫في النوع ‪Simple‬‬
‫اما نكتب بالصيغه ‪ www.bab.com‬او ‪ bab.com‬مباشره‬
‫اما األنواع ‪ Regular Expression‬و ‪ Wildcard‬فأنه تستخدم عندما تريد استخدام رموز‬
‫مثال لو اردت التحكم بالدومين املسمى ‪ cisco‬بغض النظرهل هو ‪ cisco.com‬او ‪ cisco.net‬حيث كليهما‬
‫بيفتح لك نفس املوقع ‪..‬‬
‫فبواسطة ‪ Regular Expression‬او ‪ Wildcard‬يمكنك التحكم بالدومين املسمى ‪ cisco‬بغض النظرهل‬

‫هو ‪ .com‬او ‪ .net‬او ‪.org‬‬
‫كما بالصورة ادناه‬
‫او‬
‫يمكن استخدام الرموز بالطريقة التالية‬

‫‪ *.cisco.com‬أي ان أي ‪ sub domain‬سوف يتم التحكم به ‪..‬‬
‫كما بالصورة التالية‬

‫فلو اردت ان تقوم بإغالق كل املواقع‬

‫*‪ *.‬أي قم بالتحكم باي موقع تحت أي ش ي ‪..‬‬

‫ترتيب ال ـ ‪ URL‬لها اهميه ‪..‬‬

‫حيث يتم تطبيق ال ـ‪ URL‬من األعلى الى اسفل (يبدا بتطبيق املواقع من األعلى وهكذا )‪..‬‬
‫مثال لو اردت اغالق كل املواقع ماعدا صفحة ‪www.bab.com‬‬

‫فبحسب الترتيب أعاله فأنه سوف يتم اغالق كل املواقع بما فيها املوقع ‪ www.bab.com‬اما لو قمنا‬
‫بإعادةترتيب ال ـ ‪ URL Filter‬كما بالصورة التالية‬
‫فأن املوقع ‪ www.bab.com‬سوف يكون متاح وسيتم اغالق باقي املواقع كامله ‪..‬‬
‫لذا ترتيب ال ـ ‪ URL‬مهم جدا جدا وهو نفس فكره ال ـ ‪ Policy‬حيث يتم تطبيقها من اعلى الى اسفل ‪..‬‬
‫‪Web content filter‬‬

‫عباره عن عمليه التحكم بمحتوى املوقع (صفحات االنترنت)بناء على الكلمات او الجمل او الرموز التي‬
‫تكون داخل الصفحة ‪.‬‬
‫مثال لو كانت الصفحة تحتوي على كلمه ‪ sex‬اعمل لها ‪ Block‬حيث ان جهاز الفورتي جيت بيعمل ‪scan‬‬
‫للصفحة بحيث لو وجد الكلمه التي يبحث عنها فأنه يقوم بتطبيق ‪ action‬معين ‪.‬‬
‫بشرط ان عمليه الفحص تصل الى ‪ score‬معين حيث يعرف ال ـ ‪ score‬بانها قيمه او رقم معين لكل كلمه‬
‫او جمله او رمزداخل الفورتي جيت فلتر‪..‬‬
‫بحيث لو وصل مجموع ال ـ ‪ score‬الى ال ـ ‪ threeshold‬فان الفورتي جيت سيقوم بتطبيق ال ـ ‪ action‬املعين‬
‫س واء ‪ allow‬او ‪ block‬اما اذا لم يصل ال ـ‪ score‬لهذا املوقع الى قيمه ال ـ ‪ threehold‬فأن ال ـ ‪ action‬ال‬
‫يطبق ابدا على هذه الصفحة ‪...‬‬

‫حيث ال ـ ‪ threeshold‬هو الحد وهي نتيجه جمع ال ـ ‪ score‬للكلمات او الجمل او الرموز املفلتره على‬
‫الفورتي جيت الى ان تصل للحد ‪..‬‬
‫حيث ال ـ ‪ threeshold‬يساوي ‪10‬‬
‫و ال ـ ‪ score‬ألي جمله او كلمه او رمزهو الرقم ‪. 10‬‬
‫حيث أي كلمه انا عامل لها فلترعلى الفورتي جيت مثال(‪)sex‬فلو وجدها فأن ال ـ ‪ score‬سيكون ‪ 10‬ولذا‬
‫يتم الوصول الى قيمه ال ـ‪ threehold‬وبهذا سيتم تطبيق ال ـ ‪ action‬على هذا املوقع ‪.‬‬
‫مالحظة ‪:‬ال ـ ‪ score‬موجود فقط على ‪ CLI‬وليس بواسطة ال ـ‪ GUI‬حيث يمكنك تعديل قيمه ال ـ ‪ score‬حيث‬
‫القيمة االفتراضية هي ‪ 10‬ويمكنك تغييرها ‪..‬‬
‫نقوم بتفعيل الخيار‪Content Filter‬‬

‫ثم‬
‫‪create New‬‬
‫حيث ‪ pattern Type‬نحدد النمط الذي سوف اكتب فيها الكلمه التي سنقوم بعمل لها فلتره‬
‫هل ‪ Wildcard‬ام ‪Regular Expression‬‬
‫‪ : Wildcard‬للتحكم بكلمه او جمله او رمزولديك الى حد ‪ 80‬حرف فقط ‪.‬‬
‫‪ : Regular Expression‬حيث هنا يتم استخدام تعبيرات معينه في بعض لغات البرمجه ونحن في اغلب‬
‫األوقات نستخدم النمط األول ( ‪)Wildcard‬‬

‫حيث ال ـ ‪ : Pattern‬هي الكلمه او الجمله او الرمزالذي سوف نعمل لها فلتره ‪.‬‬
‫‪ : Language‬اللغه التي كاتب فيها الكلمه او الجمله وال توجد اللغه العربيه‬
‫‪ : Action‬الحدث الذي سنقوم به عندما تصل ال ـ ‪ score‬الى قيمه ال ـ ‪. threeshold‬‬
‫‪ : Status‬هل تريد تطبيقها ام ال‬
‫أي صفحة تحتوي على كلمه ‪ sex‬سيتم عمل ‪ Block‬لها ‪..‬‬
‫طريقة تعديل قيمه ال ـ ‪ score‬بوسطه ال ـ‪command line‬‬

‫حيث تم الدخول الى وضع ‪ webfilter‬حيث سيتم التعديل على البروفايل املسمى ‪ Default‬وبالتحديد‬
‫الكلمه ‪ sex‬والتي تم انشائها مسبقا في ‪. web filter content‬‬
‫حيث قمنا بإظهار االعدادات السابقة عبراالمر ‪ show full-configuration‬للكلمه ‪ sex‬حيث نالحظ بأن‬
‫ال ـ‪score=10‬‬
‫ثم نقوم بتعديل القيمة الى ‪.. 9‬‬

‫‪Application controller‬‬
‫عباره عن التحكم بالتطبيقات (السوفتوير)(البرامج)على الشبكة ‪.‬‬

‫حيث الفورتي جيت لديه االمكانيه بأنه يكتشف ويحلل أي ترافيك موجود في الشبكة اعتماد على‬
‫التطبيقات ويقوم باخذ ‪ action‬معين ‪.‬‬
‫التطبيقات مثل أي برامج الدردشه او الرسائل الفوريه (‪ )Instant message‬مثل سكايب ياهو‬
‫ماسنانجرو واتساب‬
‫مثل فيسبوك او تويتر‬ ‫او تطبيقات ‪ browser based‬او التطبيقات التي تعتمد على املتصفح‬
‫حيث الفورتي جيت له القدرة بالتحكم بالتطبيق وايضا خصائص التطبيق نفسه‪.‬‬
‫فالسؤال هو ما الفرق بين الويب فلترواالبلكيشن كنترول ؟؟‬

‫حيث لو قمت باغالق موقع فيسبوك عبرال ـ ‪ web filter‬فبهذا انا قفلت املوقع فما الحاجه الى اغالق‬
‫الفيسبوك أيضا من ال ـ ‪!!! application control‬‬
‫االجابةبأني ممكن اسمح للفيسبوك عبرال ‪ web filer‬ولكني اريد اغالق خاصيه معينه في الفيسبوك‬
‫مثل منع التعليق او ‪... like‬الخ في الفيسبوك او منع فتح الفيديوهات على الفيسبوك بالرغم ان‬
‫الفيسبوك بشكل عام مفتوح‬
‫حيث هذا ال يتم اال عبرال ـ ‪.. application controller‬‬
‫حيث في ‪ application controller‬اقدراتحكم في سلوكيات او خصائص التطبيق ‪.‬‬
‫حيث ال ـ ‪ application controller‬بيستطيع التحكم بالتطبيقات اعتماد على ‪.. IPS‬‬

‫حيث ‪ ips‬لديه اقدره على تحليل الترافيك ويكتشف أي تطبيق حتى ان كان هذا التطبيق ال يستخدم‬
‫البورتات القياسيه (‪.)Non standard protocols‬‬

‫الفورتي جيت بيعتمد على ال‪ application control database‬والتي تكون على شكل قائمه موجودة على‬
‫الفورتي جيت حيث يتم تحديث تلك القائمة بشكل مستمرعبر ‪. FortiGuard App control License‬‬
‫‪ Forigate’s signature‬هو الش ي الذي بيعتمد عليه ال ـ ‪ app control‬في التحكم بالتطبيقات حيث‬
‫يحتوي ال ـ‪ signature‬على ‪ port‬التطبيق و ‪ services‬و ‪ ip’s‬و ‪ URl‬لكل تطبيق ‪.‬‬
‫‪:Application control action‬‬

‫يوجد لدى الفورتي جيت ‪ 4‬أنواع من ال ـ‪: action‬‬
‫‪: Allow‬اسمح لكل ش يء‬ ‫‪)1‬‬
‫‪: Monitor‬اسمح مع تسجيل االحداث(‪)logs‬‬ ‫‪)2‬‬
‫‪: Block‬منع مع تسجيل االحداث(‪)logs‬‬ ‫‪)3‬‬
‫‪: Quarantine‬عند الدخول على هذا التطبيق فأن فورتي جيت‬ ‫‪)4‬‬
‫سيقوم بعمل ‪ ban‬اليبي اليوزرالذي حاول الوصول لهذا التطبيق ‪.‬‬
‫ماهو الـــ‪: Traffic shape‬‬
‫‪ :Traffic shape‬تخصيص ترافيك معين لطبيق معين حيث ال ‪ traffic shaper‬يحتوي على ‪ 5‬اشكال ‪:‬‬
‫)‪ : Gurantee(80k‬اضمن بأن الترافيك سوف يأخذ ‪ 80‬كيلو لتطبيق معين على األقل ‪.‬‬
‫‪: High priority‬اضمن بأن لدي اعلى اولويه لترافيك باملرور‪..‬‬
‫‪ : Low priority‬اخذ اقل اولويه للترافيك‬
‫‪: Medium priority‬اخذ اولويه متوسطه‬
‫‪ : Shared‬تخصيص مثال ‪ 1‬ميجا لترافيك معين حيث الناس تتشارك فيه ‪.‬‬
‫مثال تخصيص ‪ 1‬ميجا مثال لتطبيق الفيسبوك حيث ان جميع األشخاص في الشركة الذين سيتخدمو‬
‫الفيسبوك سوف يتشاركوا ب‪ 1‬ميجا ‪.‬‬
‫حيث نقوم بإنشاء بروفايل معين لل ـ‪ app control‬ولسكن اسمه ‪Block Social app‬‬
‫حيث سنقوم باغالق كل التطبيقات التي تستخدم مواقع التواصل االجتماعي مثل فيسبوك او تويتراو‬
‫‪..‬الخ‬

‫تم االنشاء ‪...‬‬

‫ثم عند تطبيق البوليس ي نقوم بتفعيل ‪ app control‬واختيارالبروفايل الذي أنشأناه مسبقا ‪..‬‬
‫مع التأكيد من تفعيل الخاصية ‪ SSL Inspection=deep-inspection‬لكي يتمكن من التحكم باي تطبيق‬
‫او موقع يستخدم ‪..)https( ssl protocol‬‬

‫كما نالحظ بالصورة ادناه بأن ال ‪ app control‬بيقسم الى ‪categories‬‬
‫بتحتوي على تصنيفات حيث تم تقسيم كل مجموعة من التطبيقات املتشابهه في الخصائص بتصنيف‬
‫معين ‪.‬‬
‫مالحظة ‪ :‬تم السماح لكل التطبيقات الغيرمعروفه( ‪()Unknown Applications‬الفورتي جيت ليس‬
‫لديه ‪ signature‬لهذا التطبيقات ) ‪..‬‬
‫حيث بمجرد النقرعلى أي ‪ category‬يمكنك تطبيق أي ‪ action‬تريده كما بالصورة ادناه ‪..‬‬

‫يمكن ان أقوم بتصفح كل ال ـ‪(signatures‬التطبيقات)التي بيتحكم بها الفورتي جيت وذلك كالتالي ‪:‬‬
‫كما يمكنني ان اظهرال ـ ‪ signatures‬لتصنيف معين كما بالصورة التالية ‪:‬‬

‫حيث ستظهرلك كل التطبيقات التي تندرج تحت هذا التصنيف كما بالصورة ادناه‬
‫حيث يمكن البحث عن أي تطبيق تريده للتأكد من وجوده في هذ التصنيف ‪...‬‬

‫كما بالصورة أعاله تم البحث عن كلمه ‪ facebook‬داخل هذا التصنيف املسمى ‪social networking‬‬
‫حيث الفيسبوك يمكنك التحكم بكل خصائصه من هنا ‪...‬‬
‫حيث نالحظ كما بالوصوره أعاله عمود باسم ‪ Name‬يوضح اسم التطبيق‬
‫وايضا عمود باسم ‪ Category‬يبين التصنيف املنتمي له هذه التطبيق (‪soical Media-sports-news-‬‬
‫‪)... p2p‬‬
‫والعمود الثالث باسم ‪ Technology‬يوضح التقنيه التي بيشتغل فيها التطبيق ‪..‬‬
‫هل يعمل عن طريق املتصفح ( ‪)Browser- based‬‬
‫او تطبيق يعمل بتقنيه (‪ )Client-server‬أي ان التطبيق يعمل ك ‪ client‬ومرتبط ب ـ‪ server‬مثل برنامج‬
‫كاسبرسكاي حيث يأخذ التحديث من السيرفرالتابع ملوقع كاسبر‪..‬‬
‫او تطبيق يعمل بتقنيه (‪)peer -to-peer‬‬
‫والعمود الرابع باسم ‪ popularity‬بمعني الشعبيه (الشهره)حيث يظهرلك نجوم بعدد شهره التطبيق ‪..‬‬
‫العمود الخامس باسم ‪ Risk‬ويوضح مدى خطوره التطبيق (خطر‪، critical‬مرتفع ‪، elevated‬منخفض‬
‫‪، low‬متوسط ‪، Medium‬ليس خطر‪).. None‬‬

‫❖ طريقة التحكم يف التطبيقات عرب الــ‪: Application control‬‬

‫مثال لو اريد اغالق كل مواقع التواصل االجتماعي (فيسبوك‪،‬تويتر‪،‬انستجرام ‪.)....‬‬

‫بهذه الطريقة سيتم اغالق كل مواقع التواصل االجتماعي ويظهرللمستخدم الرساله التالية ‪:‬‬
‫كما بالصورة أعاله يظهرلنا اسم التصنيف الذي ينتمي اليه موقع الفيسبوك (‪)Social Media‬وال ـ‪url‬‬
‫الذي حاول الوصول اليه اليوزرصاحب االيبي املحدد بالصورة ‪...‬‬
‫➢ لمعرفة ماهي البرامج(‪)signatures‬التي بتكون مندرجه تحت الـــ ‪: category‬‬

‫طريقة التحكم بخاصية معينه داخل املوقع وليس كل املوقع ‪:‬‬

‫التحديد لتطبيق معين او لخاصية معينه داخل التطبيق يكون من الخيار‬

‫‪Application and Filter Overrides‬‬
‫مثال اريد افتح الفيسبوك ولكن اقفل خاصيه اعجبني ‪:‬‬
‫كما بالصورة أعاله تم البحث عن التطبيق ‪ facebook‬في خانه البحث وظهرت كل التطبيقات التي باسم‬
‫‪facebook‬‬
‫حيث اول تطبيق يظهرلك مثال ‪ facebook‬بدون أي اضافات يعتبرالتطبيق العام (موقع الفيسبوك‬
‫كامل مع الخصائص املدرجة تحته)‪...‬‬
‫فمثال ‪ facebook.app‬هذا يعني التطبيق نفسه وليس ال‪URL‬‬

‫حيث ال ـ‪ action‬هو ‪ Block‬التي سوف نحدده للتطبيقات التي سوف نختارها كما بالصورة التالية ‪:‬‬
‫مثال اريد اغالق خاصيه معينه في الفيسبوك وليكن اغالق النشروالدخول وزراعجبني‬
‫حيث نحدد بالزر األيمن للخاصية وليكن منع زر اعجبني بالفيسبوك ثم نختارالخيار‪Add Selected‬‬

‫تم تحديد الخصائص التالية بالفيسبوك (‪) Like ,Login,post‬‬
‫لو تريد متابعه ومراقبه ال ـ‪ logs‬كما بالصورة التالية‬

‫حيث يظهرلك كل التطبيقات التي حاول اليوزرالوصول اليها والتي في األصل معمول لها ‪ Block‬او‬
‫‪... Monitor‬‬
‫حيث سيوضح لك اسم التطبيق والتصنيف الذي ينتمي له التطبيق ودرجه الخطوره وحجم استهالك‬
‫االنترنت ‪...‬الخ‬
‫مثال اخر‪:‬‬
‫اريد اغالق قط الفيديوهات عاليه الدقه (‪) HD‬فقط من على اليوتيوب ‪...‬‬

‫طبعا توجد تصنيف(‪)Category‬اسمها ‪ Update‬واألفضل ان تتركها مثال تحديث مكافح الفايروسات او‬
‫تحديث ويندوز ‪..‬الخ‬

‫فيمكنك السماح للتطبيق املناسب او منع التحديث لتطبيق ما ‪...‬‬

‫مثال اريد السماح للكاسبروالفايرفوكس ان يعملوا تحديث‬

‫➢ طريقة عمل حظر (‪)ban‬جلهاز معني ‪...‬‬

‫لنفترض بأن الجهازصاحب االيبي ‪ 192.168.2.121‬نريد عمل له حظر‪..‬‬
‫حيث نالحظ بان االنترنت شغال قبل عمليه الحظر‪..‬‬
‫اآلن سوف نعمل ال ـ‪ ban‬للجهازكما بالخطوات التالية ‪:‬‬

‫كما بالصورة أعاله سوف يسالك هل تريد الحظرلهذا الجهاز‬

‫‪: Temporary‬أي موقت ولفتره زمنيه محدده وليكم دقيقه واحده فقط وبعدها يتم فك الحظربشكل‬
‫تلقائي ‪.‬‬
‫‪: Permeant‬سيتم حظرااليبي (الجهاز)بشكل دائم ولفك الحظرلهذا الجهازيتم الدخول بحسب‬
‫الخطوات التالية ‪:‬‬

‫‪: Network Protocol Enforcement‬‬

‫هذه الخاصية موجودة في ال ـ ‪ Application control‬حيث كما نعلم توجد لكل بروتكول بورت معين‬
‫بشكل افتراض ي كما بالتالي ‪:‬‬
‫‪Default port Number‬‬ ‫‪Protocol‬‬

‫‪80‬‬ ‫‪http‬‬
‫‪443‬‬ ‫‪https‬‬
‫‪22‬‬ ‫‪Ssh‬‬
‫‪23‬‬ ‫‪telnet‬‬
‫‪53‬‬ ‫‪Dns‬‬
‫حيث يمكن ان يقوم اليوزربتغييررقم ال ـ ‪ port‬للبروتوكول وبهذا يتم التحايل على الفورتي جيت ‪..‬‬
‫فيمكن بواسطة الخاصية املذكورة أعاله بأن امنع عمليه تغييررقم ال ـ‪ port‬لبرتوكول معين ‪..‬‬

‫وهكذا ‪..‬‬
‫حيث لو حاول احد تغييررقم البورت ألحدى البروتوكوالت أعاله سيتم عمل ‪. Block‬‬
‫❖ ‪Email filter‬‬
‫كيفيه فلتره االيميالت على الفورتي جيت ‪..‬‬
‫أي عمليه اداره االيميالت الغيرمرغوب فيها (‪)spam email‬عبرجهازالفورتي جيت سواء وصل االيميل‬
‫الى ال ـ ‪ Inbox‬او ال ـ‪.. Junk‬‬
‫حيث الفورتي جيت معتمد على خدمه من الفورتي جارد اسمها ‪ FortiGuard Anti spam services‬او‬
‫تسمى ‪ Email filtering‬والتي تحتوي على قاعده بيانات والذي تحدد ما اذا كان ال ـ‪ ip‬او االيميل او ‪ URl‬غير‬
‫مرغوب ام ال ‪..‬‬
‫حيث اسم االشتراك التي يجب ان تشترك بها هو ‪ Email filtering‬ويجب ان يكون معمول له ‪License‬‬
‫نقوم باظهارخاصيه ‪ Email filter‬كما بالصورة ادناه لكي تظهرفي ‪. security profiles‬‬
‫نالحظ ظهور الخاصية االن ‪..‬‬
‫االن يمكنك أضافه بروفايل باسم ‪ Mail filter1‬وذلك من خالل النقرعلى الزر ‪Create New‬‬

‫حيث بمجرد تفعيل الخيار ‪ Enable Spam Detection and Filtering‬تظهرلك الجدول املسمى ‪Spam‬‬
‫‪ Detection by protocol‬كما بالصورة أعاله والذي يقصد به عمليه كشف عن االسبام ايميل واعمل‬
‫لها فلتره ‪..‬‬
‫حيث يقصد بالجدول أعاله بأن أي ايميل بيستخدم ال ‪ IMAP‬او ‪ POP3‬في االستالم او يستحدم ‪SMTP‬‬
‫في االرسال فأن تم الكشف عليه بأنه ‪ spam‬فأن ال ـ ‪ action‬الذي ستقوم به في ال ـ‪ imap‬هو اما ‪ Tag‬او‬
‫‪pass‬‬
‫‪: Pass‬معناها مرر االيميل بدون ماتعمل له أي ‪ action‬وهذا اجراء غيرموص ى به ‪.‬‬

‫‪: Tag‬أي تعمل عالمه على االيميل سواء على ‪ Subject‬الخاص بااليميل او في ال ـ‪ headers‬وبهذا سيتم‬
‫استالمه في ال ـ ‪ spam folder‬او ال ـ‪ junk folder‬وبنفس الوقت معمول له في العنوان او ال‪ header‬بانه‬
‫‪ spam‬او أي كلمه حددتها في الخانه ‪.tag format‬‬
‫ونفس الكالم مع بروتوكول االستقبال الـ‪... pop3‬‬
‫اما ال ـ‪ smtp‬وهو البروتوكول املستخدم لعمليه ارسال االيميل فأن ال ـ ‪ action‬االفتراض ي له هو ‪Discard‬‬
‫أي ان أي ايميل أقوم بإرساله (من داخل الشبكة الخاصة بي) فال تعتبره على انه ‪ spam‬حتى وان كان‬
‫كذلك‪،‬أي ال تقم بعمل له ‪ tag‬بانه ‪ spam‬ألنه من الغيرمنطقي بأن ترسل ايميل من شبكتك الداخليه‬
‫ويظهرللمستلم في العنوان او ال ـ‪ Header‬بانه ‪.. spam‬‬

‫➢ ماهي الطرق التي يستخدمها الفورتي جيت لكي يساعدك الكتشاف االسبام‬
‫امييل ؟‬
‫يعتمد على احدى الطرق ‪:‬‬
‫‪ )A‬االعتماد على الفورتي جارد ( ‪: )fortigurd spam filtering license‬‬

‫‪: Ip Address check .1‬أي ايميل او رساله تمرعبرجهازالفورتي جيت ستخضع لفحص من خالل‬
‫الفورتي جارد (سيتم ارسالها الى الفورتي جارد) فلو وجد بأن االيبي املرسل منه االيميل موجود‬
‫بالقائمة السوداء فسيتم عمل اشاره على انه ‪ Spam‬ويتم وضعه في مجلد االسبام لإليميل اما في‬
‫حالة كان االيميل سليم فسيتم تمريره الى الهدف بدون أي مشاكل ‪..‬‬

‫‪: URL Check .2‬أي ‪(URL‬سواء عنوان البريد او أي رابط في محتوى الرساله نفسها) سيتم فحصه‬
‫عبرالفورتي جارد فلو كان نظيف سيتم تمريره الى الهدف بدون أي مشاكل وان كان فيه مشكله‬
‫فسيتم عمل عليه عالمه بأنه اسبام وارساله الى مجلد االسبام ‪.‬‬
‫‪: Detect Phising URLs in emils .3‬سيتم الكشف عن روابط التصيد وسيتم اخضاع‬
‫الروابط(‪ )URL‬للفحص في ‪ URL Phising List‬فلو وجد هذا الرابط في تلك القائمة فأما سيقوم‬
‫بحذف الرابط (‪)URL‬كامال او سيترك لك الرابط ولكن سيحذف منه الرابط املشبوه فحتى لو‬
‫نقرت على الرابط ال يتم تحويلك الى ال ـ‪.. phishing URL‬‬
‫‪: Emil checksum Check .4‬يتم فحص طريقة كتابه االيميل نفسه (هل طريقة مفهومه ومكتوب‬
‫بلغه معروفه ام ال )‪.‬فلو كانت الطريقة معروفه فيتم تمريرااليميل ماعدا ذلك سيتم عمل له‬
‫عالمه بأنه ‪. spam mail‬‬
‫‪ :Spam submission .5‬تجعل ‪ fortiGurd antispm service‬يعدل االيميل من اسبام الى ايميل‬
‫عادي ‪..‬‬
‫حيث لو افترضنا بأن ايميل معين تم تصنيفه من قبل الفورتي جارد عن طريق الخطأ على انه اسبام فلو‬
‫قمنا بتفعيل هذه الخاصية فأن أي ايميل سيتم وصوله الى ال ـ‪ spam folder‬فيمكنك تعديله ومعالجته‬
‫بأن هذا االيميل سليم وليس اسبام وبهذا سيتم ارساله الى الفورتي جارد بحيث مره أخرى سيتم وصوله‬
‫بشكل طبيعي‪.‬‬
‫حيث يتم تفعيل كل الخيارات الخمسه أعاله كما بالصورة التالية ‪:‬‬

‫‪ )B‬االعتماد على الفورتي جيت نفسه وبدون الحاجه الى اليسنز(‪. )Local Spam Filtering‬‬
‫‪: Helo DNS Lookup -1‬يتم التأكد هل ‪ domin‬التابع لإليميل موجود في ‪Public‬‬
‫‪ DNS‬فلو لم يكن موجود فسيعتبرهذا الدومين اسبام ‪.‬‬
‫‪Return Email DNS check -2‬‬
‫‪: Black white List -3‬سيتم عمل قائمه سوداء وبيضاء بشكل يدوي كما بالتالي ‪:‬‬
‫سيتم انشاء قائمه بيضاء او سوداء وذلك بالنقرعلى الزر ‪Create New‬‬

‫أي‬
‫ايميل يأتي من االيبي ‪ 24/192.168.1.6‬سيتم تطبيق عليه‬
‫ال ـ‪ action=mark as Spam‬أي علم عليه بأنه اسبام ايميل ‪.‬‬
‫*******************************************************************‬
‫حيث ال ـ ‪ action‬احدى الخيارات التالية ‪:‬‬
‫‪ : Mark as Reject -1‬ارفض االرسال واالستالم من هذا االيميل نهائيا مره أخرى ‪.‬‬
‫‪ : Mark as Spam -2‬جعل االيميل ك اسبام‬
‫‪ : Mark as Clear -3‬مسح االيميل‬

‫طريقة الـ ـ‪ : Email Wildcard‬لو انت تستلم ايميالت مزعجه من دومين معين ايميل محدد فيمكنك‬
‫استخدام هذه الطريقة حيث هنا يمكن استخدام الرموز مثل * ‪..‬‬
‫حيث أي ايميل من الدومين‪ *@XX.COM‬سيتم رفضه ‪..‬‬
‫طريقة ‪: Email Regular Expression‬نفس النوع السابق ولكن ال يمكن استخدام الرموز مثل * ‪..‬‬

‫❖ ‪: Logging and monitoring‬‬
‫عباره عن ارسال تنبيهات (‪)alert‬ملدراء الشبكة الذي يتحكموا بجهازالفورتي جيت باألحداث التي‬
‫بتحدث في الشبكة وذلك كنوع من التحذيروالتنبيه والقيام بحدث معين‪.‬‬
‫حيث في حالة حدوث أي حدث(‪ )Event‬فأن جهازالفورتي جيت سوف يقوم بعمليه التنبيه (‪)alert‬ولك‬
‫باإلرسال الى االيميل او الى املوبايل عبر ‪.. SMS Getaway‬‬
‫شروط تنفيذ عمليه ‪ logging and monitoring‬كالتالي ‪:‬‬

‫‪ .1‬ان يكون ال ـ‪ Fortigate device‬يستطيع الوصول الى االنترنت ‪.‬‬
‫‪ .2‬ان يكون لديك ‪ SMTP server‬مثل جوجل او ياهو او أي شركه استضافة مثل ‪ blue host‬او‬
‫‪ Hostator‬او غيرها حيث الذي يهمك هو االعدادات األساسية لعمليه االرسال مثل رقم املنفذ‬
‫مثال ‪ smtp =25 ,26,465,587‬واإلعدادات تختلف من شركه الى أخرى ‪mail.marfadi.com‬‬
‫وأيضا تقوم بتحديد االيميل الذي سوف ترسل منه وأيضا االيميل الذي سوف يستقبل رسائل‬
‫ال ـ ‪. alert‬‬
‫‪ .3‬تفعيل عمليه ال ـ ‪ events‬حيث بشكل افتراض ي تكون غيرمفعله(‪ )deactivate‬على الفورتي جيت‬
‫وأيضا تحدد االحداث في حالة حدوثها يتم ارسال ايميل (‪ )alert‬أليميل يتم تحديده مسبقا ‪..‬‬
‫اآلن سوف نقوم بتفعيل ال ـ ‪ smtp server‬على الفورتي جيت مثال ‪smtp.gmail.com‬‬
‫حيث سيتم االرسال عبرااليميل الخيار‪Mohamed.marfadi@gmil.com Default Reply To‬‬

‫حيث بمجرد تمكين ال ـ ‪ smtp server‬كما بالصورة أعاله فأن خيارال ـ‬
‫‪ Email Alert Settings‬تظهرلك كما بالصورة ادناه ‪...‬‬

‫)‪VPN(Virtual private Network‬‬
‫ما املقصود ب ـ‪ VPN‬؟‬

‫عباره عن شبكة خاصه افتراضيه أي عباره عن تكوين شبكة بين عده اطراف بواسطة االنترنت ‪.‬‬
‫حيث هدف ال ـ‪ VPN‬هو السماح للوصول الى مصادرالشبكة(سيرفرات‪،‬طابعات‪،‬ملفات‪....،‬الخ)عن بعد‬
‫بواسطة االنترنت حيث تصبح وكأنك موجود داخل الشبكة الداخليه(املحلية)‪.‬‬
‫أي يمكنك عمل شبكة كامله مكونه من عده اجهزه (كمبيوترات‪،‬سيرفراتن‪،IP PHONE‬روترات‬
‫‪،‬سويتشات واكسس بوينت ‪...‬الخ حيث يتم ذلك عبراالنترنت بشكل آمن وبهذا يمكن ان أوصل الى‬
‫السيرفرات ‪..‬الخ عن بعد عبراالنترنت وأيضا يمكنك الوصول الى ال ـ‪ ERP‬من البيت عبراالنترنت ‪.‬‬

‫➢ أي بيانات متر عرب الــ‪ VPN‬تكون آمنه ألنها بتمر ب‪ 3‬أشياء اساسيه(مميزات) ‪:‬‬
‫‪ .1‬توفيرقناه (‪ )Tunnel‬تمرمن خاللها البيانات من املصدرالى الهدف لذا تحقق املوثوقية واألمان ‪.‬‬
‫‪ .2‬البيانات بتمربشكل مشفرخالل القناه من املصدرالى الهدف‬
‫‪ .3‬يكون لها باسورد مشتركه تسمى(‪ )pre shared key‬ما بين املصدروالهدف ‪.‬‬
‫➢ اشكال االتصال الــ‪ VPN‬او يسمى (‪: )VPN Tunnel designs‬‬
‫‪ Site-to-site VPN .1‬او ‪:peer to peer‬‬
‫هذا النوع معناه بأن كل طرف لديه جهازفورتي جيت يوجد ما بينهم قناه (‪.)tunnel‬‬
‫حيث كما بالصورة أعاله يوضح بأنه يجب ان يكون لدى كل جهازفورتي جيت ‪ Real ip‬كما موضح أعاله‬
‫الطرف األول االيبي هو(‪ )a.1.2.3‬والطرف االخر(‪.)b.4.5.6‬‬
‫حيث يوجد لدينا كما بالصورة أعاله ‪ 2‬فروع (شبكتين محليتين)‬

‫‪ 24/192.168.10.0‬واألخرى ‪ 24/10.10.1.0‬مع العلم يمكن ان تربط اكثرمن فرع(شبكة)بشرط توفر‬
‫لديك في كل فرع جهازفورتي جيت وأيضا ‪. real ip‬‬

‫حيث نالحظ بأن كل شبكة داخليه لها ‪ PRIVATE IP‬مختلف عن األخرى ولكن عن طريق ال ـ‪ vpn‬فأن تلك‬
‫الشبكات املختلفه تتصل مع بعض بشكل طبيعي ‪.‬‬
‫‪ CLIENT-SERVER .2‬او يسمى ‪:FortiClient-to-Fortigate vpn‬‬
‫أي ان جهاز ‪( pc1‬يجب ان يكون منزل عليه برنامج ‪ ) forticlient‬يستطيع الوصول الى الشبكة الداخليه‬
‫‪ 24/10.10.1.0‬وليس العكس ‪.‬‬
‫مالحظة‪ pc1 :‬يمكن ان يكون كمبيوتراو موبيل بمختلف انظمه التشغيل ‪.‬‬
‫حيث يمكن للجهازالوصول الى مصادرالشبكة املوجودة على الشبكة ‪ 24/10.10.1.0‬وكأنك اخذت هذا‬
‫الجهازووصلته بالسويتش املوجود بالفرع البعيد (‪. )24/10.10.1.0‬‬
‫‪: Another VPN vendors and fortigate unit .3‬‬

‫حيث هذا النوع من االشكال(‪ )site to site‬أي ربط اكثرمن فرع بحيث يكون احدى األطراف هو جهاز‬
‫الفورتي جيت والطرف االخرأي جهازفايروول يتعامل مع بروتوكوالت ال ـ ‪ vpn‬سواء كان من شركة‬
‫سيسكو مثال ‪ ASA‬او مثال ايزا من مايكروسوفت او غيرها ‪..‬‬

‫حيث هذا الشكل يعتبرنفس الشكل األول (‪ )peer-to-peer‬أي الند بالند ‪.‬‬
‫➢ أنواع بروتوكوالت الــ ‪: VPN‬‬
‫حيث أي فايروول يجب ان يدعم هذه األنواع من بروتوكوالت ال ـ‪ VPN‬وهما ‪ IPSec VPN‬و ‪SSL VPN‬‬
‫‪: IPSec VPN‬تستخدم مع التطبيقات القديمه (‪)windows application‬بعكس ال ـ‪ SSL VPN‬بيعمل‬

‫ال ‪ tunnel‬مع ‪ http link‬ويستخدم ال ـ ‪ web application‬مع امكانيته استخدامه مع ال ‪windows‬‬
‫‪ application‬ولكن بشكل نادر‪..‬‬
‫حيث كليهما يحقق اعلى درجة من األمان و املوثوقية للبيانات ‪...‬‬
‫‪: VPN Encryption‬‬
‫احدى اهم ميزات الـ‪ VPN‬هي عمليه تشفيرالبيانات التي بتمرمن املصدرالى الهدف وذلك لزياده األمان و‬
‫املوثوقية ‪.‬‬

‫حيث بتتم عمليه التشفيرفي املصدر(بأحدى خوارزميات التشفير)وعمليه فك التشفيرفي الهدف ‪..‬‬
‫لزياده األمان واملوثوقية يقوم ال ‪ vpn‬بين طرفي االتصال باستخدام باسورد متفق عليها بين الطرفين‬
‫وتسمى ب ـ ‪ preshared key‬او ‪RSA certificate‬‬
‫حيث يعتبرالفورتي جيت من اشهراألشياء التي بتحقق لك ‪VPN server‬‬

‫و الفورتي كالينت من اشهراألشياء التي بتحقق لك ان يكون لديك ‪ VPN client‬سواء على اجهزه موبايل‬
‫او كمبيوتروبغض النظرعن نوع نظام التشغيل ‪..‬‬
‫‪ : IPSec VPN‬يمكن من خالله ان تقوم بربط فرعين ( ‪ )site to site‬او ‪. point to site‬‬

‫‪: SSL vpn‬ال يمكن استخدامه للربط بين الفروع بطريقة ‪ Site to site‬بل يستخدم في ربط ‪point to‬‬
‫‪ site‬أي بين جهازكمبيوتر و روترمثال يعني الزم تتصل بيوزرنيم وباسورد ‪..‬‬
‫➢ التطبيق العملي لــ‪: IPSec Client/server‬‬
‫كما بالصورة أعاله فأننا سوف نسمح ليوزر(جهاز)بالوصول الى الشبكة الداخيه عبر‪. IPSec vpn‬‬
‫حيث يجب ان يكون لدي ‪ real ip‬للمنفذ ‪ Wan1‬مثال ‪ 78.93.188.90‬حيث ان هذا االيبي متاح على‬
‫االنترنت وأيضا متاح من داخل الشبكة الداخليه بعكس ال ‪ private ip‬للشبكة الداخليه‬
‫‪ 24/192.168.2.0‬الذي يكون متاح فقط من داخل الشبكة الداخليه ‪.‬‬
‫حيث ‪ wan1‬هو الذي سيقوم باستالم االتصال القادم من املستخدمين من برع الشبكة (‪Remote user‬‬
‫)كما بالصورة املوضحه أعاله ‪.‬‬
‫حيث الجهازسوف يتصل بااليبي ‪ 78.93.188.90‬عبربرنامج الفورتي كالينت‬
‫‪. fortiClient‬‬

‫حيث الفكره التي اريد ان احققها هي اني اسمح للجهازاملنزل عليه برنامج الفورتي كالينت الوصول الى أي‬
‫جهازبالشبكة الدخلية وذلك بعد تأسيس االتصال عبر ‪ IPsec‬بشرط يكون لديه اليوزرنيم والباسورد ‪.‬‬
‫حيث يمكن لعدد كبيرمن ‪ Clients‬الوصول الى الفورتي جيت بنفس الوقت ‪.‬‬
‫ويمكنك ان تقوم بعمل ‪ policy‬بحيث تحدد الشبكات او االجهزه املراد الوصول اليها فقط ‪..‬‬
‫فبهذه الطريقة اصبح الجهازالبعيد(‪)remote user‬مثله مثل أي جهازداخل الشبكة الداخليه ‪..‬‬
‫ولتطبيق هذا العملية يجب ان تحقق املتطلبات التالية ‪:‬‬
‫‪ .1‬يكون لدي يوزرمحلي على الفورتي جيت (‪)user‬حيث هذا اليوزر(الحساب)سوف يتم اعطاءه‬
‫لليوزرالبعيد (‪)remote user‬للسماح االتصال بالفورتي جيت ‪،‬كما يمكن انشاء جروبات‬
‫لتصنيف مثال جروب للمدراء وجروب للتسويق وجروب لاليتي ‪...‬الخ حيث ان الجروب ليست ش ي‬
‫أساس ي ولكن كنوع من التنظيم ‪.‬‬
‫‪ .2‬ان يكون لدي عناوين (‪ )address‬للشبكة الداخليه لتعريف الفورتي جيت بعنوان الشبكة‬
‫الدخلية لكي اسمح بعد ذلك ألي شخص من خارج الشبكة (‪ )remote user‬بالوصول اليها ‪.‬‬
‫‪ .3‬انشاء ‪ IPSec tunnel‬واحدد فيها ‪ preshared key‬او الشهادة لكي اجعل االخرين يتصلوا بها ‪.‬‬
‫‪ .4‬انشاء بوليس ي لكي اسمح للترافيك من ال ـ‪ remote user‬الى الشبكة الداخليه حيث سيكون لدينا‬
‫‪ 2‬بوليس ي‬
‫البوليس ي األولى لكي اسمح بالترافيك الوصول من الفورتي جيت الى الشبكة الداخليه وهذه البوليس ي‬
‫يتم انشاءها جهازالفورتي جيت بشكل اوتوماتيكي بمجرد انشاء ال ـ‪tunnel‬‬
‫اما البوليس ي الثانية سيتم انشاءها بحيث تسمح بوصول الترافيك من جهازاليوزر(‪ )remote user‬الى‬
‫جهازالفورتي جيت (الى ال ـ‪) wan1 interface‬‬
‫‪ .5‬سنقوم بعمل اعدادات معينه لبرنامج الفورتي كالينت على اجهزه اليوزر(‪.)remote user‬‬
‫التطبيق العملي ‪:‬‬

‫الخطوة األولى ‪:‬‬
‫انشاء ‪ local user‬بعدد األشخاص املراد السماح لهم كما بالتالي ‪:‬‬


‫كما بالصورة أعاله تم انشاء ‪ 2‬يوزر‪.‬‬

‫ثم نقوم بإنشاء جروب باسم ‪ vpn_users‬ونضعهما فيه ‪.‬‬

‫الخطوة الثانية ‪:‬‬

‫انشاء العناوين للشبكة الداخليه‬

‫الخطوة الثالثه ‪:‬‬

‫انشاء ‪IPSEC tunnel‬‬

‫حيث تم تحديد اسم للـ ‪ tunnel‬باسم ‪ IPSec_tunnel‬ونوعها ‪ Remote Access‬وكما بالصورة أعاله فأن‬
‫اجهزه اليوزرممكن ان تكون ويندوز او ماك او اندرويد ‪.‬‬
‫كما بالصورة أعاله تم تحديد نوع ال ـ ‪ incoming interface‬الذي سيتقبل االتصال وهو كما شرحنا‬
‫سابقا سيكون ‪ wan1‬الذي عليه ال ـ‪real ip‬‬
‫وسوف نكتب ال ـ ‪ preshared key‬التي سيتم إعطاءها للمستخدمين الذي سوف يدخلوا من خارج‬
‫الشبكة (‪)Remote users‬‬

‫تم تختارالجروب املسموح لها توصل لل ـ ‪ tunnel‬املسماة ‪IPSec_tunnel‬‬
‫مثال ‪ vpn_users‬والتي بداخلها اليوزرات ‪ marfadi1‬و ‪marfadi2‬‬
‫كما بالصورة أعاله تم تحدد ‪ local interface =lan1‬وهي الشبكة الداخليه وبالتحديد ‪local‬‬
‫‪ address=Internal_network‬التي تم تحديدها سابقا ‪. 24/192.168.2.0‬‬
‫وتم تحديد االيبيهات التي سوف يحصل عليها اجهزه ال ـ‪ remote users‬من جهازالفورتي جيت بمجرد‬
‫االتصال ب ـ ‪ vpn‬وهي ‪ 10.10.10.1‬الى ‪ 10.10.10.5‬أي خمسه اجهزه ‪.‬‬
‫وتوجد لدينا خاصيتين ‪:‬‬
‫‪ Enable ipv4 SplitTunnel‬حيث عند تفعيلها فانت تسمح لل‪ remote users‬بالوصول الى شبكات‬
‫محدده ‪..‬‬
‫‪ Allow Endpoint Regsteration‬عند تفعيها فأنت بذلك تفعل عمليه ال ـ ‪ registration‬على برنامج‬
‫‪.. forticlient‬‬
‫حيث الكالينت(‪ )remote user vpn‬يمكن يعمل تسجيل على الفورتي جيت‬

‫حيث هذه الخاصية يمكن من خاللها تطبيق بروفايل على هذا اليوزر(الكالينت)‬
‫فبهذا يمكن تطبيق على جهازاليوزرأي بروفايل (‪)web filter,app control,anti viruse,ips‬وكانه جهاز‬
‫على الشبكة الداخليه وبهذا أصبحت االجهزه التي تعمل ‪ remote vpn‬مؤمنه أيضا ‪..‬‬
‫‪: Save Password‬‬

‫عندما تتم عمليه االتصال للكالينت مع الفورتي جيت فهل تريد السماح بعمل ‪ save‬للباسورد على‬
‫جهازه ام ال !‬
‫‪:Auto Connect‬‬
‫هل تريد بأن تجعل الشخص(‪ )Remote user‬يعمل ‪ Auto connect‬أي بمجرد ان نظام التشغيل يعمل‬
‫فانه يتم االتصال بالفورتي جيت عبرال ـ‪ VPN‬بواسطة ال ‪ forticlient‬ام ال !!‬
‫)‪: Always Up (Keep Alive‬‬

‫جعل االتصال شغال على طول بحيث لو حصل مشكله او فصل باإلنترنت على جهازاليوزرفأنه بمجرد‬
‫ما يعود االنترنت للجهازتتم عمليه االتصال مباشره حيث كل ‪ 3‬دقائق يقوم الفورتي كالينت بعمل اعاده‬
‫اتصال ‪..‬‬

‫تم انشاء ال ـ‪ vpn tunnel‬وحالتها ‪ Inactive‬ألن ال يوجد أي اتصال حاليا عليها من أي يوزرفمجرد‬
‫االتصال يصبح الحالة ‪. active‬‬
‫نالحظ بأنه بمجرد انشاء ال ـ ‪ tunnel‬تم انشاء بوليس ي كما بالصورة ادناه‬

‫بعد ذلك يجب ان تقوم بتوجيه الترافيك القادم من الخارج (‪)remote users‬الى الفورتي جيت وذلك‬
‫بإنشاء البوليس ي كالتالي ‪:‬‬
‫بحيث نقول أي اتصال من ‪ ipsec_tunnel‬وهو ال ـ‪ virtual interface‬بأي ايبي سأل على ال ـ‪ WAN1‬بأي‬
‫ايبي اسمح له بالوصول كما بالصورة ادناه‬

‫تم‬
‫انشاء البوليس ي وبهذا اصبح جهازالفورتي جيت اصبح جاهزالستقبال االتصال عبر‪vpn connection‬‬
‫بعد ذلك سوف نقوم بعمل اإلعدادات على برنامج الفورتي كالينت ‪..‬‬

‫حيث تم تحديد نوع االتصال هو‪ IPsec VPN‬ثم أي اسم لالتصال وليكن ‪Marfadi‬‬
‫و ‪ remote Getaway‬هو ايبي ‪ WAN1‬وهو ل ‪ real ip‬املحدد ‪78.93.188.90‬‬
‫ثم نقوم بإدخال اليوزرنيم والباسورد لليوزرمثال ‪ marfadi1‬والذي قمنا بإنشائه في اول الخطوات ثم‬
‫نقوم بعمل اتصال ‪..‬‬

‫جاااااااااااااااري االتصال ‪...‬‬

‫لألسف لن تتم عمليه االتصال لعدم توفر ‪ REAL IP‬لدي ‪...‬‬
‫‪IPSec SITE to SITE‬‬

‫ويسمى أيضا ‪PEER to PEER‬‬

‫بحسب الصوره أعاله فأننا سوف نقوم بعمليه ربط فرعين ببعض (الحديده ‪،‬عدن)عبرالفورتي جيت‬
‫بواسطة االنترنت بحيث الجهازالذي بفرع الحديده يستطيع الوصول بالجهازاملوجود بعدن والعكس ‪...‬‬
‫نالحظ بأن هنالك جهازفورتي جيت في كل فرع وأيضا ‪ real ip‬لكل فرع ‪.‬‬
‫قمنا بأعداد ال ‪ vm‬للفرع ‪ADEN‬‬

‫نالحظ بأننا جعلنا كرت الشبكة(‪ )LAN‬لفرع الحديده هو ‪VMnet1‬‬

‫سوف نجعل كرت الشبكة لجهازالكمبيوتر‪ PC-HOD‬املوجود بفرع الحديده على السويتش ‪.. VMnet1‬‬
‫والكرت االخر(‪ )WAN1‬لفرع الحديده هو ‪VMnet10‬‬
‫وسوف نجعل كرت الشبكة(‪ )LAN‬لفرع عدن هو ‪VMnet4‬‬
‫سوف نجعل كرت الشبكة لجهازالكمبيوتراملوجود بفرع الحديده على السويتش ‪.. VMnet4‬‬
‫والكرت االخر(‪ )WAN1‬لفرع عدن هو ‪VMnet10‬‬
‫وبهذا الطريقة وكأننا جعلنا االثنين ال ـ‪ Vm‬مربوطين على االنترنت لعمل محاكاه ‪..‬‬
‫فنالحظ بأن جهازالكمبيوتراملوجود في الفرع الحديده في شبكة مختلفه وأيضا على سويتش مختلف عن‬
‫جهازالكمبيوتراملوجود في الفرع عدن ‪..‬‬
‫نحن نريد تحقيق عمليه االتصال فيما بين الجهازين ‪ PC-HOD‬مع ‪ PC-ADEN‬بواسطة ‪. IPSec vpn‬‬
‫ال ـ‪ VPN‬تعتبرمن احدى الوسائل األساسية للوصول الى ‪ INTERNAL NETWORK‬من أي مكان بالعالم‬
‫مثال كما يحصل حاليا بسبب جائحه كورونا (‪)work at home‬عبراالنترنت ‪.‬‬

‫حيث الفورتي جيت تقدم لنا اكثرمن طريقة لعمل ‪: vpn‬‬

‫‪vpn over IP SEC -1‬‬
‫‪vpn over SSL -2‬‬
‫حيث ال ـ ‪ vpn/ssl‬بيتم بطريقتين ‪:‬‬

‫‪ : web mode -1‬هي عباره عن صفحة انترنت من خاللها يتم الوصول الى الشبكة الداخليه الخاصة بي‬
‫واقدرأوصل الى سيرفس معينه انا محددها مسبقا او الى كل ال ـ ‪ services‬هذا حسب ما تريده وكل‬
‫هذا بيتم عبر ‪ web interface‬مثال ‪ IE‬او ‪.. Mozilla firefox‬الخ‬
‫حيث شكل ال ‪ web mode‬كما بالصورة ادناه‬
‫والذي من خالله يمكنه الوصول الى ال ـ ‪ services‬كما بالصورة ادناه‬

‫‪ : Tunneling mode -2‬هو الشكل املعتاد الذي من خالله بعمل ‪ vpn‬حيث فورتي جيت بتستخدم‬
‫برنامج تابع لها يسمى ‪ Forticlient‬بيتم تنزيله على الويندوز او املاك او اندرويد‬
‫كما بالصورة ادناه سوف نقوم بشرح التصميم لل ـ ‪: lab‬‬

‫حيث نريد الوصول عبراالبتوب الى الفايل سيرفرو باقي السيرفرات املوجودة في الشبكة الداخليه كما‬
‫بالصورة أعاله ‪..‬‬
‫حيث ال ـ ‪ ssl vpn‬يحتاج بعض اإلعدادات على الفورتي جيت لكي يتم تنفيذه ‪:‬‬
‫‪ -1‬يحتاج الى انشاء ‪ local user‬و ‪ local Group‬لديهم صالحيه ال ـ ‪vpn‬‬
‫‪ Listen interface -2‬وهو ال ـ‪ WAN‬يكون عليه ‪real ip‬‬
‫‪ Security policy -3‬تسمح بمرورالترافيك ما بين الشبكة الداخليه وال ـ‪ vpn‬وما بين ال ـ‪ vpn‬واالنترنت لو‬
‫اردت اجعل املستخدمين الي برع الشبكة مثال جهاز(االبتوب)يستخدم االنترنت من خالل الشبكة‬
‫الداخليه الخاصة بي ‪.‬‬
‫االن سوف نقوم بعمليه التطبيق عمليا ‪:‬‬

‫تم انشاء ‪ local user‬باسم ‪hmada.glal‬‬
‫ثم نقوم بكتابه االيميل الخاص بي في حالة تم نسيان الباسورد سيقوم بإرساله الى االيميل في حالة قمت‬
‫بعمل ‪reset password‬‬
‫حيث حالة الحساب هي ‪. Enabled‬‬

‫تمت عمليه االنشاء ‪..‬‬
‫اآلن سنقوم بإنشاء ‪ group‬كما بالصورة ادناه‬
‫اسمها ‪ VPN-SSL-group‬ونوعها لوكالي (‪)Firewall‬‬

‫ثم نقوم بأضافه اليوزرات اليها ‪..‬‬
‫نالحظ كما بالصورة أعاله بان الفورتي جيت بشكل افتراض ي يوجد بداخله ‪ portal 3‬كالتالي ‪:‬‬
‫‪: Full-access‬هنا لهم صالحيات بانهم يوصوا الى ‪ vpn‬سواء عبرال‪ tunnel mode‬او ‪web‬‬
‫‪access‬‬
‫‪: Tunnel-access‬هذه صالحيات خاصه ب ‪tunnel mode‬‬
‫‪ : Web-access‬هذه خاصه بالويب اكسس حيث اليوزرات التي سوف يتم وضعهم هنا سيتم‬
‫اعطائهم صالحيات بأنهم يوصلوا الى ‪ vpn‬عبرالويب مود ‪.‬‬

‫حيث سنقوم بالتعديل على ‪: full-access‬‬

‫كما بالصورة أعاله تم اغالق الخيار‪Enable Split Tunneling‬‬
‫ولو اردت أضافه ‪ Bookmarks‬لل ـ ‪web access mode‬‬

‫تم أضافه ‪ bookmark‬حيث سيتم الوصول الى السيرفر ‪ 192.168.10.100‬عبرال ـ ‪remote‬‬
‫‪)RDP( Desktop‬حيث تم كتابه اليوزرنيم والباسورد التابع للسيرفر‬
‫بعد ذلك نقوم بالذهاب الى ‪SSL-VPN-Settings‬‬
‫حيث قمنا بتحديد كرت ال ـ‪ WAN‬والذي عليه ‪ real ip‬ويفضل تغييرال‪ listening port from‬من‬
‫‪ 443‬الى مثال ‪ 4430‬بحيث يمكن اداره الفورتي جيت نفسه عبر‪)https( 443‬من خارج الشبكة عبر‬
‫االنترنت وكما يمكن الوصول الى ‪ vpn web mode‬عبرالبورت ‪. 4430‬‬

‫كما بالصورة أعاله يمكن الوصول عبرال‪ vpn‬من أي جهاز وأيضا يفضل ال تقوم بتغيرالشهادة‬
‫واتركها كما هي ‪.‬‬
‫أيضا يتم ترك االعدادات كما بالصورة أعاله بحيث الفورتي جيت هو من يقوم بتعين االيبي‬
‫لليوزرات التابعه لل ـ‪. VPN‬‬
‫وكما نترك ال ـ ‪ dns server‬هو نفسه التابع للفورتي جيت ‪.‬‬

‫يتم تحديد اليوزرات التي لهم صالحيات للوصول عبرال ـ‪ VPN‬للفورتي جيت ‪.‬‬
‫حيث بشكل افتراض ي يكون ‪ All other users/groups‬لديها ‪full-access‬‬
‫حيث أي ‪ local users‬بالفورتي جيت له حق الوصول ‪..‬‬
‫ويمكن تحديد فقط الجروب التي قمنا بإنشائها سابقا كما بالصورة التالية ‪:‬‬

‫اخرالخطوات نقوم بعمل ‪ Rule‬تسمح بمرورالترافيك ما بين ال ـ ‪ vpn‬و ‪ local network‬وبين‬
‫ال ـ‪ VPN‬وبين االنترنت ‪.‬‬
‫قمنا بتسميه ال ـ ‪ rule‬باسم ‪ssl-vpn-to-localnetwork‬‬

‫ونقوم بتحديد ال ـ ‪ incoming interface‬حيكون )‪SSL-VPN-tunnel interface(ssl.root‬‬
‫و ‪ outgoing interface‬سيكون ‪ lan‬أي كرت الشبكة الداخليه‬
‫حيث ال ـ ‪ source‬هم األشخاص(الجروب)التي تم أنشائها سابقا وهو ‪vpn-ssl-group‬‬
‫وال ـ ‪ destination‬سيكون ‪ all‬أي كل اجهزه الشبكة الداخليه ونقوم بتفعيل خيارال ـ‪nat‬‬
‫في خيارات ال ـ ‪ security profiles‬حيث يمكنني تفعيل ال ـ ‪ً Antivirus‬و ال ـ ‪ web filter‬و‬
‫ال ـ ‪ Application control‬و‪ IPS‬على تلك ال ـ ‪. Rules‬‬
‫كما بالصور ادناه‬


‫نالحظ كما بالصورة أعاله بأنه تم انشاء ‪ Rule‬تسمح بالوصول من خارج الشبكة(عبر‪ ) VPN‬الى‬
‫الشبكة الداخلية لكن كل اليوزرات التي عبرال ـ‪ VPN‬لن تستطيع الوصول الى االنترنت ابدا ويجب‬
‫ان نقوم بإنشاء ‪ Rule‬تسمح للناس بعد ما يقوموا بعمل ‪ vpn‬ان يكون لديهم انترنت عبر‪ HQ‬أي‬
‫الشبكة الداخلية حيث سيتعامل معهم الفورتي جيت ك‪. proxy server‬‬
‫اآلن سنقوم بعمليه انشاء تلك ال ـ‪ Rule‬باسم ‪:ssl-vpn-to-internet‬‬

‫حيث نالحظ بأن ال ـ‪ Outgoing interface =SD-Wan‬حيث جهازالفورتي جيت معمول دمج ألكثر‬
‫من خط ولذا اليوزرات التابعه ل ـ‪ vpn‬والتي تم تحديدها ب ـ ‪ source‬سوف تحصل على االنترنت عبر‬
‫‪ SD-Wan‬لجهازالفورتي جيت ‪.‬‬
‫اآلن لدي ‪ Rule 2‬التي تسمح بالترافيك بين ال ـ‪ VPN‬و ‪LOCAL NETWORK‬‬
‫حيث الرابط(‪ )URL‬التي بواسطته يمكنك الوصول الى الشبكة الداخليه عبرال ـ ‪VPN Web‬‬
‫‪ mode‬هو ‪ ip wan of fortigate+4430‬والذي تم اعداداه سابقا‬
‫كما بالصورة التالية ‪:‬‬

‫كما بالصورة أعاله فأن ال ـ ‪ bookmark‬التي قمنا بأنشائها سابقا باسم ‪ SRV‬موجودة وهو‬
‫‪ Remote Desktop‬للسيرفر ‪ 192.168.10.100‬وبمجرد النقرمرتين عليه يفتح لنا السيرفر‪...‬‬
‫او يمكنك عبرال ـ ‪ Quick Connections‬ان تصل الى أي ‪ Service‬تريدها سواء ‪HTTP/HTTPS‬‬
‫‪..RDP SSH Ping‬الخ‬
‫وهذه الطريقة األولى ‪ vpn/ssl‬عبر‪web mode‬‬
‫و الطريقة األخرى عبرالفورتي كالينت كما بالصورة التالية ‪:‬‬
‫حيث يمكنك تنزيل برنامج الفورتي كالينت عبرموقع الفورتي جيت نفسه او من الصفحة التابعه‬
‫ل ـ ‪ web access‬كما بالصورة أعاله ‪...‬‬
‫ثم نقوم بعمل ‪ install‬للتطبيق‬

‫حيث نوع االتصال هو ‪ SSL-VPN‬واسمه مثال ‪ HQ-VPN‬ونضع االيبي لـ‪ WAN‬في ‪Remote‬‬
‫‪ Gateway‬ونحدد البورت ‪ 4430‬ثم نختار ‪ Save logging‬لو تريد الفورتي كالينت ال يطلب‬
‫اليوزرنيم كل مره عند تشغيله‬
‫اما انت تريده ان يطالب املستخدم بكتابه اليوزرنيم والباسورد في كل مره فنختارالخيار‬
‫‪prompt on login‬‬

‫فمجرد ادخال اليوزرنيم والباسورد وعمل ‪ connect‬فانه سوف يتصل ويمكنك بعد ذلك‬
‫الوصول الى ‪ HQ‬ومنها الى السيرفرات ‪...‬‬

‫➢ مترين اخر حول ‪:VPN SITE TO SITE‬‬
‫كما بالصورة أعاله توضح بأن اسم ال ـ ‪ tunnel‬هو ‪ tunnel1‬ونوعيه الربط هو ‪ site to site‬حيث‬
‫تم اختيارالجهازاملوجود بالفرع البعيد هو فورتي جيت‪.. 2‬‬

‫كما بالصورة أعاله تبين بأن االيبي لجهازالفورتي جيت‪ 2‬املوجود في ال ـ ‪ site‬البعيد هو ‪10.0.0.1‬‬
‫وهو ال ـ‪.. real Ip‬‬
‫وتختارال ـ ‪ wan interface‬للفورتي جيت‪ 1‬للـ‪ site‬الذي سوف يخرج منه الى ‪. 10.0.0.1‬‬
‫ونكتب كلمه السر(‪.. )pre-shared Key‬‬
‫حيث سنحدد ال ـ ‪ local interface‬للسايت ‪ FortiGate1‬وهو ال ـ‪LAN1‬‬

‫وبشكل تلقائي سوف يتعرف على الشبكة كما بالضورة أعاله ‪24/192.168.2.0‬‬
‫وهي الشبكة التي نريد ربطها مع الفرع البعيد (‪)site 2‬‬
‫ثم نكتب ال ـ ‪ remote subnet‬وهي للشبكة البعيده واملوجودة على ‪ site 2‬وهو ‪24/192.168.30.0‬‬
‫مالحظة ‪:‬سيقوم الفورتي جيت بإنشاء ‪ Network object‬ل ـ ‪. 24/192.168.2.0‬‬
‫وأيضا لل ـ ‪ 192.168.30.0/24‬وهي ل ـ‪ remote subnet‬كما بالصورة ادناه ‪.‬‬

‫نالحظ بانه تم انشاء عناوين ومجموعات بشكل تلقائيه كما بالصوه أعاله ‪..‬‬
‫وأيضا سيتم انشاء سياستين (‪ )two policies‬بشكل تلقائي كما بالصورة ادناه‬
‫تم انشاء ‪ policy 2‬كما بالصورة أعاله ‪...‬‬

‫‪-1‬تسمح للترافيك من ال ـ ‪ local site‬الى ‪remote site‬‬

‫‪-2‬تسمح للترافيك من الـ‪ remote site‬الى ال ـ‪. local site‬‬
‫*مالحظة ‪:‬ال يتم تفعيل الـ ـ‪.. NAT‬‬

‫أيضا سيتم انشاء ‪ static route‬بشكل تلقائي كما بالصورة ادناه‬

‫سوف نقوم بتكرارنفس العملية ولكن على الـ‪ Site 2‬أي على الفورتي جيت ‪...2‬‬

‫)‪: VPN SITE TO SITE DYNAMIC DNS(DDNS‬‬
‫ربط فرعين بواسطة فورتي جيت عبرال ـ‪ DDNS‬وليس عبرال ـ ‪static ip‬‬
‫حيث توجد مواقع كثيره تستطيع بواسطتها انشاء ‪ DDNS‬مثل موقع ‪no-ip.com‬‬
‫حيث نفترض بأن ال ـ‪ site 1‬لديه ‪ Static IP‬وال ـ‪ site 2‬لديه ‪. DDNS‬‬
‫لنفترض بأن ال ـ‪ DDNS‬لل ـ‪ site‬البعيد هو ‪ marfadi.com‬كما بالصورة أعاله ‪..‬‬

‫كما بالصورة أعاله ‪ .‬كم تم باإلعدادات ال ـ ‪ vpn site to site‬سابقا‬
‫تمت العملية على ال ـ‪ site1‬وسوف نكرر نفس العملية على ال ـ ‪site 2‬‬
‫لكن في حال ال ـ‪ site1‬لديه ‪ static ip‬فاني سوف أقوم باستخدامه ‪...‬‬

‫‪: Network address‬‬
‫طريقة انشاء عناوين بالفورتي جيت‬
‫تم انشاء عنوان باسم ‪ marfadi_pc‬وتم تخصيص ايبي له ‪192.168.2.121‬‬

‫‪: Traffic shaper‬‬
‫هي عمليه تخصيص سرعه معينه سواء ل ـ ‪ download traffic‬او ‪upload traffic‬‬
‫بحسب الجدول أعاله يوضح ‪ Shaper‬بأن‬

‫‪ : Guarantees Bandwidth‬فأن اقل سرعه بيعطيها الفورتي جيت هي ‪ 200‬كيلو بايت بالثانية‬
‫سواء لعمليه ال ـ ‪ download‬او ال ـ ‪. Upload‬‬
‫‪ : Maximum Bandwidth‬اقص ى سرعه هي ‪ 400‬كيلو بايت بالثانية سواء لعمليه ال ـ ‪download‬‬
‫او ال ـ ‪. Upload‬‬
‫‪: KBps‬كيلو بايت بالثانية‬
‫‪ : Kbps‬كيلو بت بالثانية‬
‫‪KBPS=8 Kbps‬‬
‫حيث سوف نقوم بإنشاء ‪ Traffic shaper‬كما بالخطوات التالية‪:‬‬

‫االن سوف نقوم بإنشاء ‪ traffic shaper for upload‬لل ـ‪ IT‬مثال‬

‫‪ : Traffic priority‬وظيفتها إعطاء اولويه من يأخذ سرعات حيث الذي لديه ‪ priority‬اعلى هو‬
‫من يكون له األولوية في السرعات ‪.‬‬
‫انوع ال ـ‪: traffic shaper‬‬
‫‪: Shared‬يتم تقاسم الـ ‪ traffic shaper‬حيث ‪ 400‬كيلو سوف تقسم على عدد األشخاص ‪.‬‬
‫‪ : Per ip‬يتم تخصيص ‪ traffic shaper‬لكل ايبي أي سيتم تخصيص ‪ 400‬كيلو لكل شخص ‪.‬‬
‫طريقة انشاء ‪: Traffic shaping policy‬‬

‫تم انشاء بوليس ي ملوظفي االيتي(‪)FSSo-Group-IT‬حيث‬

‫‪ Shared shaper‬يقصد بها ال ـ‪Upload‬‬
‫‪ Reverse shaper‬يقصد بها ال ـ ‪ download‬حيث تم تحديد ال ـ ‪traffic shaper‬الذي قمنا بإنشائها‬
‫سابقا باسم ‪ IT-shaper-Download‬و ‪IT-shaper-Upload‬‬
‫وبهذا أي يوزرضمن الجروب ‪ FSSO-GROUP-IT‬سوف يطبق عليها سياسه ‪traffic shaping‬‬
‫كما بالصورة ادناه ‪...‬‬

‫أي بوليس ي موجودة في قائمه ال ـ‪ IPv4 Policy‬فانه سوف يتم املرورعلى ال ‪traffic shaping‬‬
‫‪ policy‬كما بالصورة أعاله سيتم املرورعلى البوليس ي املسماة ‪ IT_traffic_shiping_policy‬فان‬
‫لم تطابق السياسة فأنه يمرعلى البوليس ي املسماة ‪ Implicit‬والذي معناه ال تطبق ‪traffic‬‬
‫‪ shaping‬على هذا البوليس ي ‪...‬‬

‫أي لو كانت ال ـ ‪ rule‬ال تطبق عليها احدى ‪ traffic shaping policy‬فأنها تمرعلى السياسة املسماة‬
‫‪ Implicit‬وهي موجودة بشكل افتراض ي ‪ ..‬والتي تعني ال تطبق على هذه السياسة أي ‪traffic‬‬
‫‪... shaping policy‬‬
‫‪ : Virtual IP‬عمليه الوصول من برع الشبكة الى جهازمعين في الشبكة الداخلية‪.‬‬

‫مثال ‪:‬الوصول الي سيرفرموجود بالشبكة الداخليه عم طريق ال‪ remote desktop protocol‬او ما يسمى‬
‫(‪ )RDP‬ويسمى بعمليه ال ـ ‪. publishing‬‬
‫او تريد مثال عمل ‪ publish‬لـ‪ web server‬املوجود بالشركة وتريد الوصول اليه من خارج الشركة‪..‬‬
‫حيث أقول للفورتي جيت لو وصل لك اتصال عبربورت معين قم بإدخاله الى السيرفرالفالني ‪..‬‬
‫حيث ‪ wan1=172.20.120.236‬هو ‪.. public ip‬‬

‫فلو وصل لك أي اتصال الى املنفذ ‪ wan1‬عبرال ـ‪ port‬مثال ‪ 777‬فقم بتحويله الى االيبي التابع للسيرفر‬
‫‪ 192.168.2.11‬عبرال ـ‪ 3389 port‬وهو البورت االفتراض ي ل ـ‪. RDP‬‬
‫حيث قمنا بتغييرالبورت االفتراض ي ل ـ‪ rdp‬الى ‪ 777‬كنوع من األمان وتجنبا من فايروس التشفير(الفديه)‬
‫‪....‬‬
‫➢ طريقة انشاء ‪: Virtual ip‬‬
‫حيث ‪ interface :wan3‬وهو البورت الي موصل عليه ال ـ ‪ static ip‬وهو ‪172.20.120.236‬‬
‫‪ : External IP address‬هو االيبي ال ـ ‪ static‬الذي سيستقبل ال ـ ‪connection‬‬

‫‪ : Mapped IP address‬هو االيبي ال ‪ private‬وهو ايبي السيرفر ‪ server1‬وهو ‪. 192.168.2.11‬‬

‫حيث سنقوم بتمكين الخيار ‪port forwarding‬‬

‫ونضع البورت ‪ external =777‬وال‪3389 =map to port‬‬
‫حيث اللي واصل لك عبرالبورت ‪ 777‬قم بتحويله الى البورت ‪. 3389‬‬
‫فبعد ذلك يجب ان أنش ئ بوليس ي تسمح باالتصال من خارج الشبكة الى داخل الشبكة‬
‫(‪ internet‬الى ‪.) local network‬‬

‫تم انشاء البوليس ي ‪....‬‬

‫اآلن سنقوم بتجربة الوصول الى السيرفر‪ server1‬وذلك كالتالي‬
‫حيث بمجرد الدخول الى ‪ 172.20.120.236:777‬سوف يتم تحويلك الى السيرفر ‪ 192.168.2.11‬مباشره‪.‬‬
‫‪: Virtual group‬‬

‫نفترض لدينا ‪ 4‬سيرفرات معمول لهم ‪virtual ip 4‬‬
‫مثال ‪ server4_RDP ، server3_RDP، server2_RDP ، server1_RDP‬كما بالصورة ادناه ‪..‬‬

‫يجب ‪ External port‬يختلف من ‪ virtual ip‬آلخر‪...‬‬
‫➢ طريقة انشاء ‪ virtual group‬حبيث أقوم بضم الــ‪ virtual ip’s 4‬بداخلها ‪..‬‬

‫سنقوم بإعداد البوليس ي التي تسمح باالتصال من خارج الشبكة الى الشبكة الداخليه‬

‫كما بالصورة أعاله تم تحديد ال ـ‪destination = Servers_RDP_Group‬‬

‫فبدال من أضافه ال ـ‪ virtual ip’s 4‬فقط نقوم باختيار‪. virtual group‬‬

‫➢ ‪: IPV4 DOS policy configuration‬‬

‫الـ ـ ‪ TCP Connection‬عموما بيتم ارسال ‪ SYN‬من قبل املرسل ويتم الرد عليك من قبل املستلم‬
‫ب ـ‪ ACK ,SYN‬بأن ال ـ ‪ port‬مفتوح و جاهزلالستالم ومن بعد ذلك تبدا عمليه االرسال وتبدا الجلسة‬
‫بينهما ‪...‬‬
‫فأحيانا تحصل هجمات تسمى ‪ DOS‬حيث بيتم ارسال كميه طلبات كثيره جدا على خدمه معينه‬
‫من اجل ايقافها ‪...‬‬
‫مثال سيرفرعليه ‪ remote desktop connection‬بيستلم االتصال عبرالبورت ‪، 3389‬‬
‫حيث ممكن استغالل هذا البورت املفتوح بحيث أقوم انا كا هاكربارسال ‪ SYN‬و السيرفرسوف‬
‫يرد ب ـ‪ ACK ,SYN‬و تتكرالعملية بيني وبين السيرفرالى ان تتم عمليه إيقاف الخدمة (‪)RDP‬ألن‬
‫هناك أدوات وبرامج تقوم بعمليه ارسال مالئين من ‪ SYN‬في توزيعه كالي لينكس ‪..‬‬
‫وهذا يسبب بأن الخدمة التابعة ل ـ ‪ RDP‬املوجودة في السيرفرتصبح ‪ Down‬وتسمى هذا العملية‬
‫‪ TCP syn flooding attack‬وتعتبرنوع من أنواع ال ـ‪. DOS attack‬‬
‫يوجد أيضا هجمات أخرى مثل ال ـ ‪ ICMP syn flooding attack‬و ‪ UDP flooding‬وغيرها وكلها‬
‫تندرج تحت ال ـ‪. DOS attack‬‬
‫فالفورتي جيت عنده خاصيه جميله اسمها ‪ IPV4 Dos policy‬حيث تستخدم هذه امليزه من اجل‬
‫منع والتحكم بهذا النوع من الهجمات ‪..‬‬
‫اآلن سنقوم بإنشاء ‪ policy‬تمنع هذه النوعيه من الهجمات من برع الشبكة(من االنترنت)‬

‫الصور أعاله توضح بان عمليه الفحص والتحكم بال ـ ‪ connection‬القادم الى ال ـ ‪wan interface‬‬
‫حيث سيتم عمل ‪ log‬لالتصال القادم من او الى ‪ source ip‬و ‪ Destination ip‬وتعدى الـ‪. 5000‬‬
‫أيضا يتم عمل ‪ Block‬ل ـ‪ tcp_syn_flood‬لو وصل عدد الجلسات عن ‪ 1000‬لبورت معين ‪..‬وهكذا‬
‫بهذا انا قمت بتأمين الترافيك الذي يأتي عبرال ـ‪ wan interface‬سواء على شكل ‪ tcp‬او ‪ udp‬او‬
‫‪ icmp‬من هجمات ال ـ‪. DOS‬‬

‫➢ ‪: DNS Filtering‬‬
‫عباره عن خاصيه بالفورتي جيت استطيع ان اعمل بها ‪ web filtering‬بواسطة ال ـ‪DNS‬‬
‫‪: Redirect botnet C&C requests to Block Portal‬‬
‫الفورتي جيت سوف يقوم بإغالق الوصول ألي ‪ Domains‬خاص بال ـ‪.. Botnet‬‬
‫‪: Enforce 'Safe Search' on Google, Bing, YouTube‬‬

‫عند تفعيل هذه الخاصية فان عمليه البحث ستكون أمنه ويتم استخدام هذا الخيار خصوصا في المدارس ‪،‬حيث‬
‫سيمنع الوصول او البحث عن أي موقع محضور او غير مناسب فلو قام اليوزر البحث مثال عن مواقع اباحيه او‬
‫مواقع تجاره األسلحة ‪..‬الخ سيتم منعه وعمل له ‪.‬‬
‫كما يمكننا اغالق المواقع عبر ‪ FortiGuard Category Based Filter‬كما بالصورة ادناه‬
‫استخدام ‪ Static Domain Filter‬ألغالق المواقع ‪:‬‬

‫عمل ‪ Block‬ملوقع الفيسبوك ‪...‬‬
‫➢ الفرق بني ال‪: web filter And dns filter‬‬
‫الويب فلتريعمل ‪ Block‬للموقع عبرال ـ‪URL‬‬
‫يعني ممكن تقفل ال ـ‪ www.marfadi.com/test‬و بنفس الوقت تكون سامح ان املستخدمين يفتحوا‬
‫‪Www.Marfadi.com/users‬‬
‫لكن ال ـ‪ DNS filter‬بيقفل عبرال ـ ‪ DNS Queries‬من البداية أصال ‪..‬‬
‫يعني ال يعمل ‪ resolve‬ل ـ‪ www.marfadi.com‬أصال ‪..‬‬

‫اخلامتة‬
‫الحمد هلل تعالى الذي وفقنا في تقديم هذا الكتاب‪ ،‬وها هي القطرات األخيرة في مشوارهذا الكتاب‪،‬‬
‫وقد كان الكتاب يتكلم عن فورتي جيت فايروول ‪ ،‬وقد بذلنا كل الجهد والبذل لكي يخرج هذا‬
‫الكتاب بهذا الشكل‪ .‬ونرجو من هللا أن تكون رحلة ممتعة وشيقة لكل مبتدأ في هذا املوضوع‪،‬‬
‫وكذلك نرجو أن تكون قد أرتقت بدرجات العقل الفكر‪ ،‬حيث لم يكن هذا الجهد بالجهد اليسير‬
‫حيث استغرق تقريبا ‪ 8‬اشهرمن االستماع لفيديوهات مختلفة والبحث في الفورتي جيت من‬
‫مصادرمختلفة‪ ،‬ونحن ال ندعى الكمال فإن الكمال هلل عزوجل فقط وانا أصال شخص مبتدأ في‬
‫الفورتي جيت وهذا اجتهاد بسيط مني وال ادعي االحتراف فيه ‪ ،‬ونحن قدمنا كل الجهد لهذا‬
‫الكتاب‪ ،‬فإن وفقنا فمن هللا عزوجل وإن أخفقنا فمن أنفسنا‪ ،‬وكفانا نحن شرف املحاولة‪،‬‬
‫ً‬ ‫ً‬
‫واخيرا نرجو أن يكون هذا الكتاب قد نال إعجابكم‪ .‬وصل اللهم وسلم وبارك تسليما كثيرا على‬
‫معلمنا األول وحبيبنا سيدنا محمد عليه أفضل الصالة والسالم ‪..‬‬
‫من لديه أي مالحظات او انتقاد فنرجو التواصل عبر الواتس اب ‪00967772898598‬‬

‫او عبر صفحتي بالفيسبوك ‪https://www.facebook.com/profile.php?id=100014064451982‬‬

FortiGate Essentials by Mohamed Marfadi PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

FortiGate Essentials by Mohamed Marfadi PDF

Uploaded by

Copyright:

Available Formats

‫أساسيات فورتي جيت‬

‫إعداد ‪/‬حممد املرفدي‬

‫إعداد ‪/‬حممد املرفدي‬

‫إعداد ‪/‬حممد املرفدي‬

116 ................................................................ Bandwidth ,Throughput ,Concurrent Sessions

118 ..................................................................................................................................FortiGate Series

119 .............................................................................................. .......... ‫موديالت فورتي جيت‬

119 ......................................................................................Operating system OS key features 5 2

120 ............................................................................................................................Home lab Design

121 ..................................................................................FortiGate basics Registering FortiGate

121................................................................ ‫ لجهاز الفورتي جيت‬Registration ‫طريقة عمل‬

122 ............................................................................................................ features‫ماهي ال‬

129 .............................................................................NTP server(Network time protocol)

131 ............................................................................................................. ‫تصميم الشبكة‬

133 ................................................................................................. Advice administration

‫حممد املرفدي‬/ ‫إعداد‬

147 ..................................................................................................... Interface ip address

153 .............................................................Static route(default gateway)(static gateway)

156 ................................................................................................... Password recovery

158 ............................................................MAINTAINER MODE‫ ل ـ‬DISABLE ‫طريقة عمل‬

159 ....................................................................................................... Password policy

165 ............................................‫) التي يتم تطبيقها على اجهزه الكالينت‬Cmd(‫بعض األوامر‬

173 .................................................................................................................FortiGuard Concept

175 ...................................................................Fortiguard distribution network (FDN)

185 ......................................................................................................Firewall objects

201 ............................................................................................‫ ؟‬services‫ماهي أنواع ال ـ‬

‫حممد املرفدي‬/ ‫إعداد‬

208 .......................................................................................................... ...Schedule

208 ............................................................................... ‫ جديد‬schedule ‫طريقة انشاء‬

214 ............................................................................. schedule group ‫طريقة انشاء‬

219 ........................................................................................................ Policy order

‫حممد املرفدي‬/ ‫إعداد‬

‫إعداد ‪/‬حممد املرفدي‬

‫حممد املرفدي‬/ ‫إعداد‬

‫حممد املرفدي‬/ ‫إعداد‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 1‬من ‪469‬‬

‫كلمه شكر وعرفان‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 2‬من ‪469‬‬

‫مقدمة عن فورتي جيت ‪FortiGate‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 3‬من ‪469‬‬

‫❖ طريقة تنزيل وضبط اعدادات الـــ‪: VM FortiGate‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 4‬من ‪469‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 5‬من ‪469‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 6‬من ‪469‬‬

‫نقوم باختيارمكان ‪ fortigate vm‬والتي باسم ‪FortiGate-VM64.ovf‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 7‬من ‪469‬‬

‫نكتب اسم لل ـ‪ vm‬مثال ‪FortiGate-VM64 FORTIGATE-MARFADI‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 8‬من ‪469‬‬

‫كما بالصورة أعاله تم ضبط كرت الشبكة ‪ lan1‬ك ـ)‪Vmnet1(host only‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 9‬من ‪469‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 10‬من ‪469‬‬

‫جعلنا كرت الشبكة الوهمي )‪ Vnet1(host only‬من ‪. subnet 192.168.2.0‬‬

‫وأيضا ضبط الكرت ‪ vmnet0‬بانه من نوع ‪bridge‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 11‬من ‪469‬‬

‫ضبط اعدادات كرت الشبكة على جهاز الكالينت(‪:)Client‬‬

‫نقوم بتشغيل ال ـ‪VM fortiGate‬‬

‫جااااري التشغيل ‪...‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 12‬من ‪469‬‬

‫قم بإدخال اسم املستخدم ‪ admin‬والباسورد االفتراض ي هو فارغ(‪)blank‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 13‬من ‪469‬‬

‫تم تغييرالباسورد االفتراض ي الى ‪ admin‬مثال بدال عن فااارغ(‪... )blank‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 14‬من ‪469‬‬

‫إعداد ‪/‬حممد املرفدي‬ ‫الصفحة ‪ 16‬من ‪469‬‬