Professional Documents
Culture Documents
ﻓﺎﯾﺮوال ﻫﺎ ﯾﺎ دﯾﻮاره ﻫﺎي آﺗﺶ ﯾﮑﯽ از اﺻﻠﯽ ﺗﺮﯾﻦ ﻋﻨﺎﺻﺮ ﻫﺮ ﺷﺒﮑﻪ اي ﻣﯽ ﺑﺎﺷﻨﺪ ﮐﻪ اﻣﺮوزه اﻫﻤﯿﺖ
زﯾﺎدي ﭘﯿﺪا ﮐﺮده اﻧﺪ .ﺑﻪ ﻫﻤﯿﻦ ﺗﺮﺗﯿﺐ اﺳﺘﻔﺎده از ﻓﺎﯾﺮوال ﻫﺎي ﻣﻨﺎﺳﺐ ﯾﮑﯽ از اﻟﺰاﻣﺎت ﻫﺮ ﺷﺒﮑﻪ اي
ﺑﺪل ﮔﺸﺘﻪ اﺳﺖ و ادﻣﯿﻦ ﻫﺎ ﺑﺎﯾﺪ ﺑﺘﻮاﻧﻨﺪ ﺑﻨﺎ ﺑﻪ درﺧﻮاﺳﺖ ﺳﺎزﻣﺎن ﻫﺎي ﺧﻮد ﻓﺎﯾﺮوال ﻣﻨﺎﺳﺐ را
ﭘﯿﺸﻨﻬﺎد داده و ﺑﺎ ﺷﻨﺎﺧﺖ ﮐﺎﻣﻞ اﻗﺪام ﺑﻪ ﻧﺼﺐ و ﭘﯿﺎده ﺳﺎزي آﻧﻬﺎ ﻧﻤﺎﯾﻨﺪ.
ﯾﮑﯽ از ﻣﺤﺒﻮب ﺗﺮﯾﻦ UTMﻫﺎي ﺣﺎل ﺣﺎﺿﺮ ﺑﺎزار اﯾﺮان ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ .ﮐﻪ ﺷﺮﮐﺖ ﻫﺎي ﻣﺘﻌﺪد
و ﮐﻠﯿﺪي اﻗﺪام ﺑﻪ اﺳﺘﻔﺎده از اﯾﻦ ﻓﺎﯾﺮوال ﻧﻤﻮده اﻧﺪ .ﺑﺎ ﺗﺤﻘﯿﻘﯽ ﻣﺨﺘﺼﺮ ﻣﺘﻮﺟﻪ ﺷﺪم ﮐﻪ ﻫﯿﭻ ﻣﺮﺟﻊ
ﻓﺎرﺳﯽ ﺟﻬﺖ اراﺋﻪ آﻣﻮزش ﻫﺎي ﻣﺪون و ﻣﻨﻈﻢ ﺑﺮاي اﯾﻦ دﺳﺘﮕﺎه ﻣﺤﺒﻮب وﺟﻮد ﻧﺪاﺷﺘﻪ و ﺗﻤﺎم ﻣﻨﺎﺑﻊ،
ﺳﻮرس ﻫﺎي ﺧﺎرﺟﯽ ﻣﯽ ﺑﺎﺷﻨﺪ .ﺑﻪ ﻫﻤﯿﻦ دﻟﯿﻞ ﺗﺼﻤﯿﻢ ﮔﺮﻓﺘﻢ ﺑﺎ اﺳﺘﻔﺎده از داﻧﺶ ﻗﺒﻠﯽ و ﮐﺘﺎب
cookebookﻓﻮرﺗﯽ ﮔﯿﺖ اﻗﺪام ﺑﻪ ﺗﻬﯿﻪ ﯾﮏ ﮐﺘﺎب آﻣﻮزﺷﯽ ﻓﺎرﺳﯽ ﺑﻨﻤﺎﯾﻢ .ﺑﻌﻀﯽ از ﻓﺼﻮل اﯾﻦ
ﮐﺘﺎب ﻧﺴﺒﺖ ﺑﻪ ﺳﻮرس اﺻﻠﯽ ) اﻧﮕﻠﯿﺴﯽ (ﮐﻪ ﮐﻤﺘﺮ ﻣﻮرد اﺳﺘﻔﺎده ﮐﺎرﺑﺮان ﻗﺮار ﻣﯿﮕﺮﻓﺖ ﺣﺬف ﺷﺪه
اﺳﺖ ﻫﻤﭽﻨﯿﻦ در ﺑﻌﻀﯽ ﻣﻮارد ﺑﺪﻟﯿﻞ ﮔﻨﮓ ﺑﻮدن ﺳﻨﺎرﯾﻮ ﻣﺘﺮﺟﻢ اﻗﺪام ﺑﻪ اﺿﺎﻓﻪ ﮐﺮدن ﺗﻮﺿﯿﺤﺎت
ﻧﻤﻮده اﺳﺖ .ﺷﺎﯾﺎن ذﮐﺮ اﺳﺖ ﮐﺘﺎب ﺣﺎﺿﺮ ﺑﺪون ﻧﻘﺺ ﻧﺒﻮده و ﭘﯿﺸﻨﻬﺎدات و اﻧﺘﻘﺎدات ﺷﻤﺎ ﺧﻮاﻧﻨﺪه
ﮔﺎن ﻣﺤﺘﺮم ﺳﺒﺐ ﺑﻬﺒﻮد آن ﺧﻮاﻫﺪ ﺷﺪ.
ﮐﭙﯽ ﺑﺮداري و ﻧﺸﺮ ﻣﻄﺎﻟﺐ اﯾﻦ ﮐﺘﺎب ﺑﺎ ذﮐﺮ ﻣﻨﺒﻊ ﮐﺎﻣﻼ آزاد ﺑﻮده و ﻫﯿﭻ ﻣﻨﻊ ﻗﺎﻧﻮﻧﯽ وﺟﻮد ﻧﺪارد.
اﻣﯿﺪ اﺳﺖ ﺳﻬﻢ ﮐﻮﭼﮑﯽ در ارﺗﻘﺎء ﺳﻄﺢ ﻋﻠﻤﯽ ﻫﻤﻮﻃﻨﺎﻧﻢ داﺷﺘﻪ ﺑﺎﺷﻢ.
ﺟﺎ دارد ﺗﻘﺪﯾﺮ و ﺗﺸﮑﺮ ﮐﻨﻢ ازدوﺳﺘﺎن ﻋﺰﯾﺰم آﻗﺎي ﻣﻬﻨﺪس ﻋﻠﯿﺮﺿﺎ ﺗﺮاﺑﯽ و آﻗﺎي ﻣﻬﻨﺪس اﺻﻐﺮ
ﺳﻠﯿﻤﺎﻧﯽ ﮐﻪ در ﺗﻤﺎم زﻣﯿﻨﻪ ﻫﺎ ﺑﻌﻨﻮان ﺣﺎﻣﯽ و راﻫﻨﻤﺎي ﺑﻨﺪه ﺑﻮدﻧﺪ .ﻫﻤﭽﻨﯿﻦ ﺗﺸﮑﺮ ﻣﺨﺼﻮص از
ﺳﺮﮐﺎر ﺧﺎﻧﻢ ﺷﯿﺮﯾﻦ ﺑﻬﺮوش ﮐﻪ در ﺗﺪوﯾﻦ اﯾﻦ ﮐﺘﺎب ﮐﻤﮏ ﺷﺎﯾﺎﻧﯽ ﺑﻪ ﺑﻨﺪه ﻧﻤﻮدﻧﺪ .ﻣﻨﺘﻈﺮ درﯾﺎﻓﺖ
ﭘﯿﺸﻨﻬﺎدات و اﻧﺘﻘﺎدات ﺷﻤﺎ ﻫﺴﺘﻢ.
اﺷﮑﺎن ﭘﺰﺷﮑﯽ
ﺷﻬﺮﯾﻮرﻣﺎه 1394
Ashkanp@live.com
FortiNetﯾﮏ ﮐﻤﭙﺎﻧﯽ ﺑﺰرگ ﭼﻨﺪ ﻣﻠﯿﺘﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ در ﺳﺎل 2000ﻣﯿﻼدي ﺗﻮﺳﻂ دو ﺑﺮدار ﺑﻪ ﻧﺎم ﻫﺎي
Kenو Michael Xieﺗﺎﺳﯿﺲ ﺷﺪ .ﺷﺎﯾﺎن ذﮐﺮ اﺳﺖ آﻗﺎي Ken Xieﺑﻨﯿﺎﻧﮕﺬار و ﻣﺪﯾﺮﻋﺎﻣﻞ ﺳﺎﺑﻖ
NetScreenﻣﯽ ﺑﺎﺷﺪ .ﺗﻔﮑﺮات ﺣﺎﮐﻢ در ﺷﺮﮐﺖ ﻓﻮرﺗﯽ ﻧﺖ ﻃﻮري اﺳﺖ ﮐﻪ ﻧﻔﺮات ﺣﺎﺿﺮ در ﺷﺮﮐﺖ ﺑﺎﯾﺪ ﺗﺠﺮﺑﻪ
ي ﺑﺎﻻﯾﯽ در زﻣﯿﻨﻪ اﻣﻨﯿﺖ داﺷﺘﻪ و از ﻧﺒﻮغ و اﺳﺘﻌﺪاد ﺧﺎﺻﯽ ﺑﺮﺧﻮردار ﺑﺎﺷﻨﺪ .دﻓﺘﺮ ﻣﺮﮐﺰي اﯾﻦ ﺷﺮﮐﺖ در ﺣﺎل
ﺣﺎﺿﺮ در Sunnyvaleاﯾﺎﻟﺖ ﮐﺎﻟﯿﻔﺮﻧﯿﺎ ﻣﯽ ﺑﺎﺷﺪ .اﯾﻦ ﺷﺮﮐﺖ ﯾﮏ رﻫﺒﺮي ﺟﻬﺎﻧﯽ در زﻣﯿﻨﻪ اﻣﻨﯿﺖ ﺷﺒﮑﻪ ﻫﺎي
ﮐﺎﻣﭙﯿﻮﺗﺮي داﺷﺘﻪ و ﻣﺒﺘﮑﺮ در ﻓﻠﯿﺪﻫﺎي ﺣﻔﺎﻇﺘﯽ ﻣﯽ ﺑﺎﺷﺪ .اﯾﻦ ﮐﻤﭙﺎﻧﯽ ﻓﺮوﺷﻨﺪه ﻣﺤﺼﻮﻻت اﻣﻨﯿﺘﯽ ﺑﻮده و راه
ﺣﻞ ﻫﺎي ﺟﺎﻣﻊ و ﮐﺎﻣﻠﯽ ﺑﺮ اﺳﺎس ﻧﻮع ﻣﺸﺘﺮﯾﺎﻧﺶ اراﺋﻪ ﻣﯽ دﻫﺪ .ﺑﻪ ﻃﻮري ﮐﻪ ﺗﺠﻬﯿﺰات اﻣﻨﯿﺘﯽ ﺗﻮﻟﯿﺪ ﺷﺪه در
اﯾﻦ ﮐﻤﭙﺎﻧﯽ در دﯾﺘﺎﺳﻨﺘﺮﻫﺎ ،ﻣﺸﺎﻏﻞ Enterpriseو دﻓﺎﺗﺮ ﮐﻮﭼﮏ و ...ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد .ﺳﯿﺴﺘﻢ ﺗﻮزﯾﻊ
و ﭘﺨﺶ ﻣﺤﺼﻮﻻت ﻓﻮرﺗﯽ ﻧﺖ در ﺳﺮﺗﺎﺳﺮ دﻧﯿﺎ ﮔﺴﺘﺮده ﻣﯽ ﺑﺎﺷﺪ و ﻣﺤﺼﻮﻻت اﯾﻦ ﺷﺮﮐﺖ ﺗﻮﺳﻂ 20ﻫﺰار
ﭘﺎرﺗﻨﺮي ﮐﻪ وﺟﻮد دارد ﺑﻪ ﻓﺮوش ﻣﯽ رﺳﺪ .ﻓﻮرﺗﯽ ﻧﺖ در زﻣﯿﻨﻪ UTMو اﻣﻨﯿﺖ ﺷﺒﮑﻪ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي رﻗﺎﺑﺖ
ﻧﺰدﯾﮑﯽ را ﺑﺎ ﻣﺤﺼﻮﻻت دﯾﮕﺮ ﺷﺮﮐﺖ ﻫﺎ از ﺟﻤﻠﻪ Cisco ،Sonic Wall ،Check Pointدارد .اﮔﺮ ﺳﺮي ﺑﻪ ﺳﺎﯾﺖ
ﻓﻮرﺗﯽ ﻧﺖ ﺑﺰﻧﯿﺪ ﺑﺎ اﯾﻦ ﺷﻌﺎر ﻣﻮاﺟﻪ ﻣﯽ ﺷﻮﯾﺪ ":ﺑﺰرگ ﺗﺮﯾﻦ ﻣﺎﻣﻮرﯾﺖ ﻣﺎ آن اﺳﺖ ﮐﻪ ﻧﻮآوراﻧﻪ ﺗﺮﯾﻦ و ﺑﺎﻻﺗﺮﯾﻦ
ﭘﻠﺘﻔﺮم ﻫﺎي اﻣﻨﯿﺖ ﺷﺒﮑﻪ را ﺑﺮاي زﯾﺮﺳﺎﺧﺖ ﻫﺎي ITﻓﺮاﻫﻢ ﮐﻨﯿﻢ ".ﺑﻪ ﮔﻔﺘﻪ ي ﻣﺪﯾﺮان اﯾﻦ ﺷﺮﮐﺖ آﻣﺮﯾﮑﺎﯾﯽ
ﻣﺤﺼﻮﻻت ﺗﻮﻟﯿﺪي ﺗﻤﺎم ﺳﻄﻮح ﻣﺸﺎﻏﻞ را ﭘﻮﺷﺶ ﻣﯽ دﻫﺪ از ﺷﺮﮐﺖ ﻫﺎي ﮐﻮﭼﮏ ﺗﺎ دﻓﺎﺗﺮ ﺗﻮزﯾﻊ ﺷﺪه در ﺳﺮاﺳﺮ
دﻧﯿﺎ .آﻧﻬﺎ اﻋﺘﻘﺎد دارﻧﺪ رﻫﺒﺮي ﺑﺎزار را در اﺧﺘﯿﺎر داﺷﺘﻪ و ﺗﻨﻬﺎ ﺑﻪ ﺗﻮﻟﯿﺪات ﺳﺨﺖ اﻓﺰاري ﻓﮑﺮ ﻧﻤﯿﮑﻨﻨﺪ ﺑﻠﮑﻪ ﻓﺮاﻫﻢ
آوردن ﻣﮑﻤﻞ ﻫﺎي اﻣﻨﯿﺘﯽ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد رﯾﺴﮏ ﻫﺎ ﺑﻪ ﮐﻤﯿﻨﻪ ﻣﻘﺪار ﺧﻮد ﺑﺮﺳﻨﺪ.
ﮐﻤﭙﺎﻧﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺪﻋﯽ اﺳﺖ ﮐﻪ ﻣﺸﺘﺮﯾﺎن ﻫﺪف اﺻﻠﯽ ﺷﺮﮐﺖ ﺑﻮده و ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﺗﻮﺳﻌﻪ روزاﻓﺰون اﯾﻦ ﺷﺮﮐﺖ
ﺑﺎز ﻫﻢ رﺿﺎﯾﺘﻤﻨﺪي ﻣﺸﺘﺮﯾﺎن از اﻫﻢ اﻫﺪاف ﺷﺮﮐﺖ ﻣﯽ ﺑﺎﺷﺪ.
ﻣﺤﺼﻮل اﺻﻠﯽ ﺷﺮﮐﺖ ﻓﻮرﺗﯽ ﻧﺖ Fortigate ،ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺷﺎﻣﻞ دو ﻣﺪل ﻓﯿﺰﯾﮑﯽ و ﻣﺠﺎزي ﻣﯽ ﺑﺎﺷﺪ .اﯾﻦ
دﺳﺘﮕﺎه ﺷﺎﻣﻞ ﭘﻠﺘﻔﺮم ﻫﺎي زﯾﺮ اﺳﺖ:
Firewall
Virtual Private Network
Application Control
Anti-malware
Intrusion Prevention
Web Filtering
Vulnerability Management
Anti-Spam
Wireless Controller
Wide Area Network Acceleration
1
:راه ﺣﻞ ﻫﺎي ﻣﮑﻤﻞ ﻓﻮرﺗﯽ ﮔﯿﺖ
ﻓﻮرﺗﯽ ﻧﺖ ﺑﻪ ﺷﻤﺎ ﭘﯿﺸﻨﻬﺎدات وﺳﻮﺳﻪ اﻧﮕﯿﺰي ﻣﯽ دﻫﺪ ﺗﺎ ﺷﺒﮑﻪ اي اﻣﻦ و ﻣﻄﻤﺌﻦ داﺷﺘﻪ ﺑﺎﺷﯿﺪ اﯾﻦ
راه ﺣﻞ ﻫﺎ ﻣﮑﻤﻞ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻮده و اﯾﻦ اﺑﺰارﻫﺎ در ﮐﻨﺎر ﯾﮑﺪﯾﮕﺮ ﺗﺤﻔﻪ اي درﺧﻮر را ﺑﺮاي ﺷﻤﺎ
:ﺑﻪ ارﻣﻐﺎن ﻣﯽ آورد
Advanced Threat Protection (FortiSandbox)
Web Application Firewall (FortiWeb)
Secure Email Gateway (FortiMail)
DDoS Protection (FortiDDoS)
Application Delivery Controllers (FortiADC)
User Identity Management (FortiAuthenticator, FortiToken)
Endpoint Security for desktops, laptops and mobile devices (FortiClient)
Wireless LAN and WAN (FortiWifi, FortiAP, FortiPresence,
FortiExtender and more)
Enterprise telephone systems (FortiVoice, FortiFone)
And more….
2
3
ﺗﻔﺎوت ﻫﺎي ﺳﻮﺋﯿﭻ ﻣُﺪ و اﯾﻨﺘﺮﻓﯿﺲ ﻣُﺪ
اﯾﻦ ﻗﺴﻤﺖ درﺑﺮﮔﯿﺮﻧﺪه اﻃﻼﻋﺎﺗﯽ اﺳﺖ ﮐﻪ ﺑﻪ ﺷﻤﺎ ﮐﻤﮏ ﻣﯽ ﻧﻤﺎﯾﺪ ﺗﺎ اﻧﺘﺨﺎب ﮐﻨﯿﺪ ﮐﻪ ﻓﻮرﺗﯽ ﮔﯿﺘﯽ از ﺣﺎﻟﺖ
Switch modeاﺳﺘﻔﺎده ﻧﻤﺎﯾﺪ ﯾﺎ ﺧﯿﺮ! اﯾﻦ ﺗﺼﻤﯿﻢ ﺑﺎﯾﺪ ﻗﺒﻞ از اﺳﺘﻔﺎده از ﻓﻮرﺗﯽ ﮔﯿﺖ ﮔﺮﻓﺘﻪ ﺷﻮد.
ﺣﺎﻟﺖ internal switchﺗﻌﯿﯿﻦ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﭘﻮرت ﻫﺎي ﻓﯿﺰﯾﮑﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺗﻮﺳﻂ ﺧﻮد دﺳﺘﮕﺎه ﻣﺪﯾﺮﯾﺖ
ﺷﻮﻧﺪ.
Switch modeو Interface modeﭼﻪ ﻫﺴﺘﻨﺪ ؟ و ﭼﺮا ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ؟
در ﺣﺎﻟﺖ Switch modeﻫﻤﻪ اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎ ﻗﺴﻤﺘﯽ از ﯾﮏ Subnetﻣﺸﺎﺑﻪ ﺑﻮده و ﻫﻤﺎﻧﻨﺪ ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﺗﮏ
دﯾﺪه ﻣﯽ ﺷﻮﻧﺪ ﮐﻪ ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض lanﯾﺎ internalﻧﺎﻣﯿﺪه ﺷﺪه ﮐﻪ اﯾﻦ ﻧﺎﻣﮕﺬاري ﺑﺴﺘﮕﯽ ﺑﻪ ﻣﺪل ﻓﻮرﺗﯽ
ﮔﯿﺖ دارد .ﺣﺎﻟﺖ switch modeوﻗﺘﯽ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد ﮐﻪ ﻃﺮاﺣﯽ ﺷﺒﮑﻪ ﺳﺎده و اﺑﺘﺪاﯾﯽ ﺑﻮده و ﺑﻪ
ﻋﺒﺎرﺗﯽ اﻏﻠﺐ ﮐﺎرﺑﺮان در ﯾﮏ Subnetﻣﺸﺎﺑﻪ ﻗﺮار دارﻧﺪ.
در ﺣﺎﻟﺖ ،Interfaceاﯾﻨﺘﺮﻓﯿﺲ ﻓﯿﺰﯾﮑﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺻﻮرت ﮐﺎﻣﻼ ﺟﺪا اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد و ﻫﺮ اﯾﻨﺘﺮﻓﯿﺲ IP
آدرس ﺧﻮدش را ﺧﻮاﻫﺪ داﺷﺖ .ﺗﻨﻈﯿﻤﺎت اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻌﻨﻮان ﻗﺴﻤﺘﯽ از ﺳﺨﺖ اﻓﺰار ﯾﺎ ﻧﺮم اﻓﺰار
ﺳﻮﺋﯿﭻ ﻫﺎ ﺗﺮﮐﯿﺐ ﺷﺪه و ﭼﻨﺪﯾﻦ اﯾﻨﺘﺮﻓﯿﺲ ﺟﺰﺋﯽ از ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﺗﮏ ﺑﺎﺷﻨﺪ.اﯾﻦ ﺣﺎﻟﺖ اﯾﺪه ﺧﻮﺑﯽ اﺳﺖ ﺑﺮاي
ﺷﺒﮑﻪ ﻫﺎﯾﯽ ﮐﻪ داراي Subnetﻫﺎي ﻣﺘﻔﺎوﺗﯽ ﻣﯽ ﺑﺎﺷﻨﺪ ﺗﺎ ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ ﻗﺴﻤﺖ ﺑﻨﺪي ﺷﻮد.
ﮐﺪام ﺣﺎﻟﺖ ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﻓﻌﺎل اﺳﺖ ؟
ﺣﺎﻟﺖ ﭘﯿﺶ ﻓﺮﺿﯽ ﮐﻪ ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ ﻓﻌﺎل ﺧﻮاﻫﺪ ﺑﻮد ﺑﺴﺘﮕﯽ ﺑﻪ ﻣﺪل دﺳﺘﮕﺎه ﺷﻤﺎ دارد .ﺗﻌﯿﯿﻦ اﯾﻨﮑﻪ
ﮐﺪام modeﺑﺮ روي دﺳﺘﮕﺎه وﺟﻮد دارد از ﻃﺮﯾﻖ روش زﯾﺮ اﻣﮑﺎن ﭘﺬﯾﺮ اﺳﺖ :
System> Network> Interface
LANﯾﺎ Interfaceﺧﻮد را ﺗﻌﯿﯿﻦ ﻧﻤﺎﯾﯿﺪ .اﮔﺮ اﯾﻨﺘﺮﻓﯿﺲ ﻣﻮﺟﻮد در ﻟﯿﺴﺖ در ﺳﺘﻮن Typeﺟﺰو physical
interfaceﻫﺎ ﻗﺮار داد ﭘﺲ دﺳﺘﮕﺎه ﺷﻤﺎ در ﺣﺎﻟﺖ Switch modeاﺳﺖ .اﮔﺮ اﯾﻨﺘﺮﻓﯿﺲ ﯾﮏ Hardware switch
اﺳﺖ ﺑﻨﺎﺑﺮاﯾﻦ دﺳﺘﮕﺎه ﺷﻤﺎ در ﺣﺎﻟﺖ Interfaceﻗﺮار دارد.
4
ﭼﮕﻮﻧﻪ ﻣﯽ ﺗﻮاﻧﯿﻢ modeﻓﻮرﺗﯽ ﮔﯿﺖ را ﺗﻐﯿﯿﺮ دﻫﯿﻢ ؟
اﮔﺮ ﺷﻤﺎ درﻧﻈﺮ دارﯾﺪ ﺗﺎ modeﻓﻮرﺗﯽ ﮔﯿﺖ را ﻋﻮض ﻧﻤﺎﯾﯿﺪ اﺑﺘﺪا ﺑﺎﯾﺪ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﻫﯿﭻ ﮐﺪام از ﭘﻮرت ﻫﺎي
ﻓﯿﺰﯾﮑﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﯿﺪ ﺑﺴﺎزﯾﺪ ﺑﻪ ﺟﺎﯾﯽ در ﻓﻮرﺗﯽ ﮔﯿﺖ ارﺟﺎع ﻧﺸﺪه اﻧﺪ ) ﺟﺎﯾﯽ اﺳﺘﻔﺎده ﻧﺸﺪه اﻧﺪ ( .ﺳﭙﺲ
ﻣﺮاﺣﻞ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ:
System >Dashboard >Status
در اﯾﻦ ﻣﺜﺎل ،ﺷﻤﺎ ﯾﺎد ﻣﯽ ﮔﯿﺮﯾﺪ ﮐﻪ ﭼﮕﻮﻧﻪ ﺗﻨﻈﯿﻤﺎت ﻻزم ﺑﺮ روي دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را اﻧﺠﺎم دﻫﯿﺪ ﺗﺎ ﯾﮏ
ﺷﺒﮑﻪ داﺧﻠﯽ را ﺑﻪ ﺻﻮرت اﻣﻦ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﻧﻤﺎﯾﯿﺪ.
در ﺣﺎﻟﺖ ،NAT/Routeدﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﻤﺎﻧﻨﺪ ﯾﮏ Gatewayﯾﺎ روﺗﺮ ﺑﯿﻦ دو ﺷﺒﮑﻪ ﻧﺼﺐ ﻣﯽ ﺷﻮد .در
ﺑﯿﺸﺘﺮ ﻣﻮارد دﺳﺘﮕﺎه ﺑﯿﻦ ﯾﮏ ﺷﺒﮑﻪ داﺧﻠﯽ و اﯾﻨﺘﺮﻧﺖ ﺑﻮده و ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد .اﯾﻦ ﮐﺎر ﺑﻪ ﻓﻮرﺗﯽ
ﮔﯿﺖ اﺟﺎره ﻣﯽ دﻫﺪ ﺗﺎ IPآدرس ﻫﺎي ﺷﺒﮑﻪ داﺧﻠﯽ را ﭘﻨﻬﺎن ﻧﻤﻮده و از Network Address Translation
اﺳﺘﻔﺎده ﻧﻤﺎﯾﺪ.
اﯾﻨﺘﺮﻓﯿﺲ ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻧﺖ را ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﻣﯽ ﻧﻤﺎﯾﯿﻢ ) ﻣﻌﻤﻮﻻ ( WAN1ﻫﻤﭽﻨﯿﻦ ﯾﮏ ﮐﺎﻣﭙﯿﻮﺗﺮ
را ﺑﻪ اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﻣﯽ ﻧﻤﺎﯾﯿﻢ ) ﻣﻌﻤﻮﻻ .( Port 1اﺗﺼﺎل ﻣﺮﺑﻮط را ﺑﺮﻗﺮار ﮐﺮده و اﯾﻨﺘﺮﻧﺖ
را ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ دﻫﯿﻢ.
6
از روي ﮐﺎﻣﭙﯿﻮﺗﺮي ﮐﻪ در ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﻣﺮورﮔﺮ و ﺑﻪ ﺻﻮرت وب ﺑﯿﺲ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ
ﻣﺘﺼﻞ ﻣﯽ ﺷﻮﯾﻢ .ﺑﺮاي اﺗﺼﺎل از اﮐﺎﻧﺖ adminاﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﻢ ) ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﯾﻮزرﻧﯿﻢ admin
ﺑﻮده و ﭘﺴﻮردي در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﻧﺸﺪه اﺳﺖ( .
Username=admin
=Password
در ﻗﺴﻤﺖ Addressing Modeﮔﺰﯾﻨﻪ Manualرا اﻧﺘﺨﺎب ﮐﺮده و در ﻓﯿﻠﺪ IP ، IP/Netmaskآدرس ﭘﺎﺑﻠﯿﮏ
ﺧﻮد را وارد ﻧﻤﺎﯾﯿﺪ
اﯾﻨﺘﺮﻓﯿﺲ ) internalداﺧﻠﯽ( را وﯾﺮاﯾﺶ ﮐﻨﯿﺪ) ﻣﺜﻼ ﺑﻪ ﺻﻮرت LANﻧﺎﻣﮕﺬاري ﮐﻨﯿﺪ( .در ﻗﺴﻤﺖ
Addressing Modeﮔﺰﯾﻨﻪ Manualرا اﻧﺘﺨﺎب ﮐﺮده و در ﻓﯿﻠﺪ IP ، IP/Netmaskآدرس ﺷﺒﮑﻪ داﺧﻠﯽ
Privateﮐﻪ ﻣﯽ ﺧﻮاﻫﯿﺪ ﺗﻮﺳﻂ اﯾﻦ IPﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﯿﺪ را وارد ﻧﻤﺎﯾﯿﺪ.
7
ﻣﺴﯿﺮ زﯾﺮ را ﺟﻬﺖ اﺿﺎﻓﻪ ﮐﺮدن routeﻫﺎ ﻃﯽ ﻧﻤﺎﯾﯿﺪ ) :ﺑﺴﺘﮕﯽ ﺑﻪ ﻣﺪل ﻓﻮرﺗﯽ ﮔﯿﺖ از ﻣﺴﯿﺮﻫﺎي زﯾﺮ اﻗﺪام
ﻧﻤﺎﯾﯿﺪ(
ﻗﺴﻤﺖ Destination IP/Maskﺑﻪ ﺻﻮرت 0.0.0.0/0.0.0.0وارد ﻧﻤﺎﯾﯿﺪ .در ﻗﺴﻤﺖ Deviceاﯾﻨﺘﺮﻓﯿﺲ ﻣﺮﺑﻮط
ﺑﻪ اﯾﻨﺘﺮﻧﺖ را ) (WANاﻧﺘﺨﺎب ﻧﻤﻮده و Gatewayرا ﺑﺮ اﺳﺎس ﺗﻨﻈﯿﻤﺎت داده ﺷﺪه ISPوارد ﻧﻤﺎﯾﯿﺪ ) .ﺑﺮاي
وارد ﮐﺮدن Gatewayﺑﺎﯾﺪ IPﻣﺮﺑﻮط ﺑﻪ Gatewayﺳﺮوﯾﺲ دﻫﻨﺪه ي اﯾﻨﺘﺮﻧﺖ ” "ISPﺧﻮد را وارد ﻧﻤﺎﯾﯿﺪ (.ﯾﺎ
ﻣﯽ ﺗﻮاﻧﯿﺪ ﻫﺎب روﺗﺮ ﺑﻌﺪي را ﺑﻌﻨﻮان Gatewayاﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.اﯾﻦ ﻣﻮﺿﻮع ﮐﺎﻣﻼ ﺑﻪ ﻧﻮع ﺷﺒﮑﻪ ﺷﻤﺎ ﺑﺴﺘﮕﯽ
دارد.
ﻧﮑﺘﻪ :ﯾﮏ Default routeﻫﻤﯿﺸﻪ ﺑﻪ ﺻﻮرت 0.0.0.0/0.0.0.0ﻣﯽ ﺑﺎﺷﺪ .ﺑﻪ ﺻﻮرت ﻣﻌﻤﻮل ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﻨﻬﺎ
ﯾﮏ default routeداﺷﺘﻪ ﺑﺎﺷﯿﺪ .ﻟﯿﺴﺖ Static routeﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﺷﺎﻣﻞ ﯾﮏ default routeاﺳﺖ
ﮐﻪ ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ آن را delete ، editو ﯾﺎ addﻧﻤﺎﯾﯿﺪ.
ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﺗﻨﻈﯿﻤﺎت DNSﻫﺎي ﻣﺮﺑﻮط ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮ روي ﺳﺮورﻫﺎي FortiGuardﻣﯽ
ﺑﺎﺷﺪ .اﯾﻦ ﻣﻮرد ﺑﺮاي اﮐﺜﺮ ﺷﺒﮑﻪ ﻫﺎ ﮐﺎﻓﯽ اﺳﺖ .اﮔﺮ ﺷﻤﺎ دوﺳﺖ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﺑﻪ راﺣﺘﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ DNS
ﺳﺮورﻫﺎي ﺧﻮد را ﺗﻐﯿﯿﺮ دﻫﯿﺪ.
8
.5اﯾﺠﺎد ﯾﮏ policyﺑﺮاي ﺧﺮوج ﺗﺮاﻓﯿﮏ از LANﺑﻪ ) WANاﺟﺎزه دﺳﺘﺮﺳﯽ ﻣﻨﺎﺑﻊ داﺧﻠﯽ ﺑﻪ اﺳﺘﻔﺎده از
اﯾﻨﺘﺮﻧﺖ (
ﺗﻨﻈﯿﻢ ﮐﺮدن Incoming Interfaceﺑﺮ روي اﯾﻨﺘﺮﻓﯿﺲ (LAN) internalو ﺗﻨﻈﯿﻢ Outgoing
interfaceﺑﺮ روي اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ اﯾﻨﺘﺮﻧﺖ دارد.
ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ Actionﺑﺮ روي Acceptﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ.
NATدر ﺣﺎﻟﺖ روﺷﻦ ﺗﻨﻈﯿﻢ ﺷﻮد و اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ ﮐﻪ ﮔﺰﯾﻨﻪ Use Destination Interface
Addressاﻧﺘﺨﺎب ﺷﺪه ﺑﺎﺷﺪ.
در اﻧﺘﻬﺎ ﮔﺰﯾﻨﻪ Logging Optionsرا ﺧﻮاﻫﯿﺪ دﯾﺪ.اﮔﺮ ﺗﻤﺎﯾﻞ دارﯾﺪ ﻻگ ﻫﺎ را ﺑﻌﺪا ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ
Log Allowed Trafficرا ﻓﻌﺎل ﮐﺮده و ﮔﺰﯾﻨﻪ All Sessionsرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
9
-6ﻧﺘﺎﯾﺞ
ﺑﻌﺪ از اﻧﺠﺎم ﻣﻮارد ﺑﺎﻻ ﺗﻤﺎم ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎي داﺧﻞ ﺷﺒﮑﻪ ﺷﻤﺎ ﮐﻪ در اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﺴﺘﻨﺪ
اﯾﻨﺘﺮﻧﺖ ﺧﻮاﻫﻨﺪ داﺷﺖ.
ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﻤﺎم اﻃﻼﻋﺎت در ﻣﻮرد Sessionﻫﺎ و ﺗﺮاﻓﯿﮏ ﻫﺎ را از ﻃﺮﯾﻖ ﻣﺴﯿﺮ زﯾﺮ ﻣﺸﺎﻫﺪه ﺑﻔﺮﻣﺎﯾﯿﺪ :
System> FortiView > All Sessions
اﺿﺎﻓﻪ ﮐﺮدن ﻓﻮرﺗﯽ ﮔﯿﺖ در ﺣﺎﻟﺖ Transparentﺑﺪون اﯾﺠﺎد ﺗﻐﯿﯿﺮ در ﺗﻨﻈﯿﻤﺎت ﻣﻮﺟﻮد:
در اﯾﻦ ﻣﺜﺎل ﺷﻤﺎ ﯾﺎد ﻣﯽ ﮔﯿﺮﯾﺪ ﮐﻪ ﭼﮕﻮﻧﻪ ﺑﻪ ﯾﮏ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﺪه و ﺗﻨﻈﯿﻤﺎت را در ﺣﺎﻟﺖ
Transparentاﻧﺠﺎم دﻫﯿﺪ .در ﺣﺎﻟﺖ Transparentﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﮑﻦ ﻫﺎي اﻣﻨﯿﺘﯽ را ﺑﺮ روي ﺗﺮاﻓﯿﮏ ﻫﺎ
اﻋﻤﺎل ﻣﯽ ﻧﻤﺎﯾﺪ اﻣﺎ ﺑﺎﯾﺪ ﺗﻮﺟﻪ داﺷﺖ ﮐﻪ routeﯾﺎ NATﺻﻮرت ﻧﻤﯽ ﮔﯿﺮد.
ﻧﮑﺘﻪ :ﺗﻐﯿﯿﺮ ﺑﻪ ﺣﺎﻟﺖ Transparetﺑﺎﻋﺚ ﻣﯿﺸﻮد ﺗﻨﻈﯿﻤﺎت ﺻﻮرت ﮔﺮﻓﺘﻪ در ﺣﺎﻟﺖ NAT/Routeﭘﺎك ﺷﻮد.
ﺟﻬﺖ ﻧﮕﻬﺪاري از ﺗﻨﻈﯿﻤﺎت ،NAT/Routeﺗﻬﯿﻪ ﺑﮑﺎپ از ﺗﻨﻈﯿﻤﺎت ﺑﺎ اﺳﺘﻔﺎده از وﯾﺠﺖ System
Informationﺻﻮرت ﻣﯽ ﮔﯿﺮد .ﮐﻪ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﻃﺮﯾﻖ زﯾﺮ اﻗﺪام ﻧﻤﺎﯾﯿﺪ:
System> Dashboard> Status
10
اﺿﺎﻓﻪ ﮐﺮدن ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ در ﺣﺎﻟﺖ Transparentﺑﺪون ﺗﻐﯿﯿﺮ در ﺗﻨﻈﯿﻤﺎت ﻣﻮﺟﻮد در ﺷﺒﮑﻪ
.1ﺗﻐﯿﯿﺮ در ﺣﺎﻟﺖ ﻋﻤﻠﯿﺎﺗﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ:
ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ:
System> Dashboard> Status> System Information widget
Operation Mode> Change
11
Operation Modeرا ﺑﻪ ﺣﺎﻟﺖ Transparentﺑﺒﺮﯾﺪ IP .و Default Gatewayﮐﻪ از ﻃﺮﯾﻖ ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ
دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﻣﯽ ﺷﻮﯾﺪ را وارد ﻧﻤﺎﯾﯿﺪ .ﺣﺎﻻ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﻮﺳﻂ GUIو ﺑﺎ وارد ﮐﺮدن IP
Managementﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﯿﺪ .در اﯾﻦ ﻣﺜﺎل ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ آدرس
http://172.20.120.122ﺑﻪ دﺳﺘﮕﺎه دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﯿﺪ.
12
Execute shutdown
ﺗﺎ زﻣﺎﻧﯽ ﮐﻪ ﺗﻤﺎم ﭼﺮاغ ﻫﺎي روي ﭘﻨﻞ ﺧﺎﻣﻮش ﺷﻮﻧﺪ ) ﺑﻪ ﺟﺰ ﭼﺮاغ ﭘﺎور ( ﺻﺒﺮ ﻧﻤﺎﯾﯿﺪ.اﮔﺮ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ
داراي دﮐﻤﻪ ﭘﺎور ﻣﯽ ﺑﺎﺷﺪ ﺟﻬﺖ ﺧﺎﻣﻮش ﺷﺪن دﺳﺘﮕﺎه از آن اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ در ﻏﯿﺮ اﯾﻦ ﺻﻮرت دﺳﺘﮕﺎه را از
ﺑﺮق ﺟﺪا ﻧﻤﺎﯾﯿﺪ.
ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺑﯿﻦ ﺷﺒﮑﻪ داﺧﻠﯽ و
روﺗﺮ ﻗﺮار دﻫﯿﺪ.اﯾﻨﺘﺮﻓﯿﺲ WAN1را ﺑﻪ روﺗﺮ داﺧﻠﯽ ﻣﺘﺼﻞ
ﮐﺮده و اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ را ﺑﻪ Port1ﻣﺘﺼﻞ ﻧﻤﺎﯾﯿﺪ .دﺳﺘﮕﺎه
ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد را روﺷﻦ ﻧﻤﺎﯾﯿﺪ.
-5ﻧﺘﯿﺠﻪ ﮔﯿﺮي:
ﺗﻤﺎم ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎﯾﯽ ﮐﻪ در ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ
ﻫﺴﺘﻨﺪ ﺑﺎﯾﺪ اﯾﻨﺘﺮﻧﺖ داﺷﺘﻪ ﺑﺎﺷﻨﺪ .ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ اﻃﻼﻋﺎت
ﻣﺮﺑﻮط ﺑﻪ ﺗﺮاﻓﯿﮏ ﭘﺮوﺳﺲ ﺷﺪه ﺗﻮﺳﻂ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻣﯿﺰان ﺑﺴﺘﻪ ﻫﺎي درﯾﺎﻓﺖ و ارﺳﺎل ﺷﺪه را از ﻣﺴﯿﺮ زﯾﺮ
ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ.
System> FortiView> All Sessions
13
اﯾﻦ ﻣﺜﺎل ﺷﺎﻣﻞ Weighted Load Balancingاﺳﺖ ﺑﻨﺎﺑﺮاﯾﻦ ﺑﯿﺸﺘﺮ ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺘﯽ ﺷﻤﺎ ﺗﻮﺳﻂ ﯾﮏ ISP
ﻣﻨﺘﻘﻞ ﻣﯿﺸﻮد.
اﺗﺼﺎﻻت ﻣﺮﺑﻮط ﺑﻪ ISPﻫﺎ را اﯾﺠﺎد ﮐﺮده و ارﺗﺒﺎﻃﺎت آﻧﻬﺎ ﺑﺎ ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺑﺮﻗﺮار ﻧﻤﺎﯾﯿﺪ .ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ
در ﻣﺜﺎل ﻣﺎ ﺗﺮاﻓﯿﮏ ﺧﺮوﺟﯽ از WAN1ﻧﺴﺒﺖ ﺑﻪ WAN2ﺑﯿﺸﺘﺮ ﻣﯽ ﺑﺎﺷﺪ.
اﮔﺮ ﺗﻨﻈﯿﻤﺎت ﮐﻨﻮﻧﯽ ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﺮﻓﺘﻪ ﺑﺎﺷﺪ ﺷﻤﺎ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﯾﮏ WANﻟﯿﻨﮏ
اﯾﻨﺘﺮﻓﯿﺲ اﺿﺎﻓﻪ ﻧﻤﺎﯾﯿﺪ ،ﺑﻨﺎﺑﺮاﯾﻦ ﺑﺎﯾﺪ ﻫﺮ Policyو ﯾﺎ routeﻫﺎﯾﯽ ﮐﻪ روي ﻫﺮ دو ﻟﯿﻨﮏ WAN1و WAN2
14
ﻗﺮار دارﻧﺪ را ﭘﺎك ﻧﻤﺎﯾﯿﺪ .ﺑﻌﻀﯽ از ﻣﺪل ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ ﯾﮏ policyﭘﯿﺶ ﻓﺮض ﺟﻬﺖ دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ
از ﻃﺮﯾﻖ WAN1دارﻧﺪ .اﯾﻦ policyﻧﯿﺰ ﺑﺎﯾﺪ ﭘﺎك ﺷﻮد.
ﺣﺎل ﺗﻤﺎم Policyﻫﺎﯾﯽ ﮐﻪ ﻣﻮرد اﺳﺘﻔﺎده WAN1و WAN2ﻣﯽ ﺑﺎﺷﻨﺪ را ﭘﺎك ﻧﻤﺎﯾﯿﺪ.
ﺑﻌﺪ از اﯾﻨﮑﻪ Policyﻫﺎ را ﭘﺎك ﻧﻤﻮدﯾﺪ ﺗﺮاﻓﯿﮑﯽ از ﺳﻤﺖ WAN1و WAN2ﺑﻪ ﺳﻤﺖ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻧﺨﻮاﻫﺪ
آﻣﺪ.
در ﻗﺴﻤﺖ WAN Load Balancingﮔﺰﯾﻨﻪ Weight Round Robinرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ .اﯾﻦ ﮔﺰﯾﻨﻪ ﺷﻤﺎ را ﻗﺎدر
ﻣﯽ ﺳﺎزد ﺗﺎ اوﻟﻮﯾﺖ WAN1را ﺑﺎﻻ ﺑﺮده و ﺑﺎﻋﺚ ﺷﻮﯾﺪ ﺗﺮاﻓﯿﮏ ﺑﯿﺸﺘﺮي از WAN1ﻋﺒﻮر ﻧﻤﺎﯾﯿﺪ.
WAN1را ﺑﻪ ﻟﯿﺴﺖ Interface Membersﻫﺎ اﺿﺎﻓﻪ ﮐﺮده و ﺑﺮاي Weightﮔﺰﯾﻨﻪ 3را وارد ﻧﻤﺎﯾﯿﺪ و در ﻗﺴﻤﺖ
IP ، Gateway IPﻣﺮﺑﻮط ﺑﻪ ISPﺧﻮد را ﺗﺎﯾﭗ ﻧﻤﺎﯾﯿﺪ .دﻗﯿﻘﺎ ﻫﻤﯿﻦ ﻣﺮاﺣﻞ را ﺑﺮاي WAN2ﻃﯽ ﻧﻤﺎﯾﯿﺪ .ﻣﻨﺘﻬﯽ
در ﻗﺴﻤﺖ Weightﻣﻘﺪار 1را وارد ﮐﻨﯿﺪ.
15
ﺗﻨﻈﯿﻤﺎت وزن دﻫﯽ ﺑﺎﻋﺚ ﻣﯿﺸﻮد ﮐﻪ 75درﺻﺪ ﺗﺮاﻓﯿﮏ ﻣﻮرد اﺳﺘﻔﺎده ﺑﺮ روي WAN1و 25درﺻﺪ ﺑﺎﻗﯿﻤﺎﻧﺪه
ﺑﺮ روي WAN2ﻗﺮار ﮔﯿﺮد.
Allow .5ﮐﺮدن ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ ﺑﯿﺮون از ﻃﺮﯾﻖ :WAN Link Interface
در ﻗﺴﻤﺖ Incoming Interfaceدﺳﺖ ﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ) اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ ﺷﺒﮑﻪ داﺧﻠﯽ را ﻣﯿﺒﯿﻨﺪ ( را
اﺿﺎﻓﻪ ﻣﯽ ﮐﻨﯿﻢ و در ﻗﺴﻤﺖ Outgoing Interfaceدﺳﺘﯽ ﮐﻪ در WANﻣﯽ ﺑﺎﺷﺪ را اﺿﺎﻓﻪ ﻣﯽ ﮐﻨﯿﻢ .در آﺧﺮ
ﮔﺰﯾﻨﻪ NATرا روﺷﻦ ﻣﯽ ﻧﻤﺎﯾﯿﻢ.
16
ﺟﻬﺖ ﻣﺸﺎﻫﺪه ﻧﺘﺎﯾﺞ در آﯾﻨﺪه و ﻫﻤﭽﻨﯿﻦ ﺛﺒﺖ وﻗﺎﯾﻊ ﻧﯿﺎز ﺑﻪ ﻻگ ﮔﯿﺮي ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از روﺷﻦ ﮐﺮدن
ﮔﺰﯾﻨﻪ Log Allowed Trafficو اﻧﺘﺨﺎب ﮔﺰﯾﻨﻪ All Sessionsاﯾﻦ اﻣﺮ اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺷﻮد.
.6ﻧﺘﺎﯾﺞ:
ﺣﺎل ﺷﺒﮑﻪ داﺧﻠﯽ ﺷﻤﺎ داراي اﯾﻨﺘﺮﻧﺖ ﻣﯽ ﺑﺎﺷﺪ و ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ ﺑﺎز ﮐﺮدن ﭼﻨﺪ ﺳﺎﯾﺖ آن را آزﻣﺎﯾﺶ ﻧﻤﺎﯾﯿﺪ
ﺑﺎ ﻃﯽ ﮐﺮدن ﻣﺴﯿﺮ زﯾﺮ :
System> FortiView> All Sessions
ﺳﺘﻮن ﻣﺮﺑﻮط ﺑﻪ Dst Interfaceدر ﻗﺴﻤﺖ ﺗﺮاﻓﯿﮏ ﻻگ ﻣﺸﺎﻫﺪه ﻣﯽ ﮔﺮدد .اﮔﺮ اﯾﻦ ﮔﺰﯾﻨﻪ دﯾﺪه ﻧﻤﯽ ﺷﻮد،
روي ﺳﺘﻮن ﻗﺴﻤﺖ راﺳﺖ ،ﮐﻠﯿﮏ ﮐﺮده و ﮔﺰﯾﻨﻪ Dst Interfaceرا از ﻣﻨﻮ ﻣﺮﺑﻮﻃﻪ اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و ﺳﭙﺲ دﮐﻤﻪ
applyرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.ﻻگ ﻫﺎ ﻧﺸﺎن دﻫﻨﺪه آن اﺳﺖ ﮐﻪ ﺗﺮاﻓﯿﮏ از ﻫﺮ دو WAN1و WAN2ﻋﺒﻮر ﻣﯽ
ﻧﻤﺎﯾﺪ.
WAN1را ﻗﻄﻊ و اﻣﺘﺤﺎن ﮐﻨﯿﺪ ﮐﻪ اﯾﻨﺘﺮﻧﺖ ﮐﻼﯾﻨﺖ ﻫﺎ ﻣﺘﺼﻞ ﻣﯽ ﺑﺎﺷﺪ ﯾﺎ ﺧﯿﺮ؟ ﻗﻄﻌﺎ اﯾﻨﺘﺮﻧﺖ وﺻﻞ ﺑﻮده و ﺑﺎ
ﻣﺸﺎﻫﺪه ﻻگ ،ﺷﻤﺎ ﻣﺘﻮﺟﻪ ﻣﯽ ﺷﻮﯾﺪ ﮐﻪ ﺗﻤﺎم ﺗﺮاﻓﯿﮏ از ﻃﺮﯾﻖ WAN2ﻣﻨﺘﻘﻞ ﻣﯽ ﮔﺮدد.
17
راﻫﻨﻤﺎﯾﯽ ﻫﺎي وﯾﮋه T-shoot :ﮐﺮدن ﻧﺼﺐ و راه اﻧﺪازي :
اﮔﺮ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻌﺪ از ﻧﺼﺐ و راه اﻧﺪازي ﮐﺎراﯾﯽ ﻣﻮرد ﻧﻈﺮ را ﻧﺪارد از روش ﻫﺎي زﯾﺮ ﺟﻬﺖ رﻓﻊ ﻋﯿﺐ
و اﯾﺮاد اﻗﺪام ﻧﻤﺎﯾﯿﺪ.
ﺑﯿﺸﺘﺮ روش ﻫﺎي ﻣﻌﺮﻓﯽ ﺷﺪه در ﻫﺮ دو ﺣﺎﻟﺖ Route/NATو Transparentﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد.ﻫﺮ
ﮔﻮﻧﻪ اﺳﺘﺜﻨﺎﯾﯽ ﻣﺸﺨﺺ ﺷﺪه اﺳﺖ.
اﮔﺮ ﺗﻮﺳﻂ CLIﯾﺎ GUIﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ .ﻣﻤﮑﻦ اﺳﺖ ﺗﻮﺳﻂ FortiExplorerﺑﺘﻮاﻧﯿﺪ
ﺑﻪ دﺳﺘﮕﺎه ﻣﺘﺼﻞ ﺷﻮﯾﺪ .ﺑﺮاي درﯾﺎﻓﺖ اﻃﻼﻋﺎت ﺑﯿﺸﺘﺮ از QuickStartدﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ) دﻓﺘﺮﭼﻪ راﻫﻨﻤﺎ(
ﮐﻤﮏ ﺑﮕﯿﺮﯾﺪ.
ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ ﺗﻤﺎم ﺗﺠﻬﯿﺰات ﻣﺮﺗﺒﻂ ﺑﺎ ﺷﺒﮑﻪ روﺷﻦ و درﺳﺖ در ﺣﺎل ﮐﺎر ﻣﯽ ﺑﺎﺷﻨﺪ .ﺑﺮ اﺳﺎس راﻫﻨﻤﺎﯾﯽ
ﻫﺎي ﻣﺸﺨﺺ ﺷﺪه در Quickstartﺗﺠﻬﯿﺰات را ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﻧﻤﺎﯾﯿﺪ .ﻫﻤﭽﻨﯿﻦ اﻃﻼﻋﺎﺗﯽ در ﻣﻮرد
وﺿﻌﯿﺖ ﭼﺮاغ ﻫﺎي LEDدﺳﺘﮕﺎه ﺑﺪﺳﺖ ﺑﯿﺎورﯾﺪ.
ﮐﺎﺑﻞ ﻫﺎي ﻣﺘﺼﻞ ﺷﺪه را ﺑﻪ ﺻﻮرت ﮐﺎﻣﻞ ﭼﮏ ﻧﻤﺎﯾﯿﺪ و ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﮐﺎﺑﻞ ﻫﺎي اﺳﺘﻔﺎده ﺷﺪه ﺻﺪﻣﻪ )
زﺧﻤﯽ ( ﻧﺪﯾﺪه ﺑﺎﺷﻨﺪ.اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﻧﻤﺎﯾﯿﺪ ﮐﻪ ﮐﺎﺑﻞ ﻫﺎي ارﺗﺒﺎﻃﯽ ﺑﺎ ﺳﺎﯾﺮ دﺳﺘﮕﺎه ﻫﺎ درﺳﺖ و دﻗﯿﻖ ارﺗﺒﺎط
ﺑﺮﻗﺮار ﮐﺮده ﺑﺎﺷﻨﺪ.ﻫﻤﭽﻨﯿﻦ وﯾﺠﺖ ﻋﻤﻠﯿﺎﺗﯽ را از ﻃﺮﯾﻖ System> Dashboard> Statusﭼﮏ ﻧﻤﺎﯾﯿﺪ،
ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ارﺗﺒﺎط اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎ در ﺣﺎﻟﺖ ﺳﺒﺰ ﺑﺎﺷﺪ.
-4ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ ﮐﻪ از ﻃﺮﯾﻖ IPآدرس ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ.
)(Route/NAT mode
از ﻃﺮﯾﻖ ﮐﻨﺴﻮل وب و ﺑﺎ IPدﺳﺘﮕﺎه ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ.ﺳﻌﯽ ﮐﻨﯿﺪ IPدﺳﺘﮕﺎه را PINGﻧﻤﺎﯾﯿﺪ .ﺑﻪ
ﺻﻮرت ﭘﯿﺶ ﻓﺮض IPدﺳﺘﮕﺎه 192.168.1.99ﻣﯽ ﺑﺎﺷﺪ.
اﮔﺮ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ دﺳﺘﮕﺎه ﻣﺘﺼﻞ ﺷﻮﯾﺪ IP ،ﻣﺮﺑﻮط ﺑﻪ PCﺧﻮد را ﭼﮏ ﻧﻤﺎﯾﯿﺪ .اﮔﺮ PINGدﺳﺘﮕﺎه را داﺷﺘﻪ
وﻟﯽ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﺻﻮرت وب ﺑﻪ ﮐﻨﺴﻮل ﻣﺪﯾﺮﯾﺘﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ ﭼﮏ ﻧﻤﺎﯾﯿﺪ ﮐﻪ ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط
ﺑﻪ Administrative Accessروي اﯾﻨﺘﺮﻓﯿﺲ درﺳﺖ ﺑﺎﺷﺪ.
18
-5ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ ﮐﻪ اﺗﺼﺎل ﺑﻪ Management IP Addressدﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ در ﺣﺎﻟﺖ Transparent
وﺟﻮد دارد.
از ﺷﺒﮑﻪ داﺧﻠﯽ Ping ،ﻣﺮﺑﻮط ﺑﻪ Management ipرا ﺑﮕﯿﺮﯾﺪ .اﮔﺮ Pingرا ﻧﺪاﺷﺘﯿﺪ ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ip
روي PCﺧﻮد را ﭼﮏ ﻧﻤﺎﯾﯿﺪ و وﺿﻌﯿﺖ اﺗﺼﺎل ﮐﺎﺑﻞ ﻫﺎ ﺑﻪ ﺳﻮﺋﯿﭻ ﻫﺎ را ﺑﺮرﺳﯽ ﮐﻨﯿﺪ .وﻗﺘﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﻣﺮﺣﻠﻪ
ﺑﻌﺪي ﺑﺮوﯾﺪ ﮐﻪ اﺗﺼﺎل ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ را داﺷﺘﻪ ﺑﺎﺷﯿﺪ.
ﺑﺮرﺳﯽ ﻣﯽ ﮐﻨﯿﻢ ﮐﻪ اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﺘﺼﻞ و ﻫﻤﭽﻨﯿﻦ ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻓﯿﺲ
اﯾﻨﺘﺮﻧﺖ درﺳﺖ و اﺗﺼﺎﻻت ﺑﺮﻗﺮار ﺑﺎﺷﺪ.ﻫﻤﭽﻨﯿﻦ IPآدرس ﻫﺎ ﺑﻪ درﺳﺘﯽ وارد ﺷﺪه ﺑﺎﺷﺪ.
از ﻣﺴﯿﺮ Policy & Object> Policy> IPv4ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ Policyﻣﺮﺑﻮط ﺑﻪ دﺳﺖ داﺧﻠﯽ ) اﯾﻨﺘﺮﻓﯿﺲ
ﺷﺒﮑﻪ داﺧﻠﯽ ( ﺑﻪ دﺳﺖ اﯾﻨﺘﺮﻧﺖ ) اﯾﻨﺘﺮﻓﯿﺲ ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻧﺖ ( ﺑﻪ درﺳﺘﯽ اﻋﻤﺎل ﺷﺪه ﺑﺎﺷﺪ .ﺳﺘﻮن ﻣﺮﺑﻮط
ﺑﻪ Sessionﻫﺎ را ﭼﮏ ﻧﻤﺎﯾﯿﺪ و ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﺗﺮاﻓﯿﮏ ﺑﻪ درﺳﺘﯽ ﭘﺮدازش ﻣﯽ ﺷﻮد ).ﻋﺒﻮر ﻣﯽ ﻧﻤﺎﯾﺪ (
اﮔﺮ ﺷﻤﺎ از ﺣﺎﻟﺖ Route/NATاﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﺪ ،ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ Policyﻫﺎ را ﭼﮏ ﻧﻤﺎﯾﯿﺪ از روﺷﻦ ﺑﻮد
NATاﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ .ﻫﻤﭽﻨﯿﻦ ﺗﯿﮏ ﮔﺰﯾﻨﻪ Use Destination Interface Addressﺧﻮرده ﺑﺎﺷﺪ.
IPآدرس ﺗﻨﻈﯿﻢ ﺷﺪه ﺑﺮ روي دﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را Pingﮐﻨﯿﺪ .اﮔﺮ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ اﯾﻨﺘﺮﻓﯿﺲ
ﻣﺘﺼﻞ ﺷﻮﯾﺪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﻧﻤﯽ ﺗﻮاﻧﺪ از ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ ﺷﺒﮑﻪ ﺧﺎرﺟﯽ ﭘﮑﺖ ﻫﺎ را ﻣﻨﺘﻘﻞ ﻧﻤﺎﯾﺪ.
ﺑﻪ ﻣﺴﯿﺮ Router> Static> Static Routesﺑﺮوﯾﺪ و ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ Default Routeدرﺳﺖ اﺳﺖ .در
ﺑﺨﺶ Routing Monitorﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ default routeﻣﺸﺨﺺ ﺷﺪه در ﻟﯿﺴﺖ ﻫﻤﺎﻧﻨﺪ ﯾﮏ اﺳﺘﺎﺗﯿﮏ route
ﻣﯽ ﺑﺎﺷﺪ .ﺑﺮاي ﻫﺮ ﮐﺪام از دﺳﺖ ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ )ﻫﺮ اﯾﻨﺘﺮﻓﯿﺲ( ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﯾﮏ connected route
ﺑﺒﯿﻨﯿﺪ.
ﺑﺮ روي ﺷﺒﮑﻪ داﺧﻠﯽ IPآدرس ﻣﺮﺑﻮط ﺑﻪ Default gatewayرا Pingﻧﻤﺎﯾﯿﺪ اﮔﺮ دﺳﺘﺮﺳﯽ ﺑﻪ gatewayاﻣﮑﺎن
ﭘﺬﯾﺮ ﻧﯿﺴﺖ ﺑﺎ ISPﺧﻮد ﻫﻤﺎﻫﻨﮓ ﺷﻮﯾﺪ ﺗﺎ اﻃﻼﻋﺎت درﺳﺖ را وارد ﻧﻤﺎﯾﯿﺪ.
19
-11ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ ﮐﻪ ارﺗﺒﺎط دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺎ اﯾﻨﺘﺮﻧﺖ ﺑﺮﻗﺮار ﺑﺎﺷﺪ.
ﺑﻪ CLIدﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد رﻓﺘﻪ و از دﺳﺘﻮر execute ping 8.8.8.8اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ .ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ
ﺟﻬﺖ ﻋﯿﺐ ﯾﺎﺑﯽ از وﺿﻌﯿﺖ ارﺗﺒﺎﻃﯽ ﺧﻮد از دﺳﺘﻮر execute traceroute 8.8.8.8ﻧﯿﺰ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ.
ﺑﺮرﺳﯽ DNS Errorﻫﺎ از آﻧﺠﺎ اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺷﻮد ﮐﻪ ﺷﻤﺎ ﯾﮏ آدرس را Pingﻣﯽ ﮐﻨﯿﺪ و ﺑﺎ ﺟﻮاب name
cannot be resolvedﻣﻮاﺟﻪ ﻣﯽ ﺷﻮﯾﺪ .دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﯾﺎ PCﻫﺎ ﻧﻤﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ DNSﺳﺮورﻫﺎ ﻣﺘﺼﻞ ﺷﻮﻧﺪ
و ﺷﻤﺎ ﺑﺎﯾﺪ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ آدرس DNSﻫﺎ ﺑﻪ درﺳﺘﯽ ﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ.
ﯾﮏ ﺑﺎر ﮐﻪ دﺳﺘﮕﺎه رﺟﯿﺴﺘﺮ ﻣﯽ ﺷﻮد ﺗﻤﺎم آﭘﺪﯾﺖ ﻫﺎ ازﺟﻤﻠﻪ antivirusو application controlو ﻏﯿﺮه از
ﺷﺒﮑﻪ FortiGuardﮔﺮﻓﺘﻪ ﻣﯽ ﺷﻮد .دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺗﺎ زﻣﺎﻧﯽ در ﺷﺒﮑﻪ ﻣﻔﯿﺪ اﺳﺖ ﮐﻪ ﺑﺘﻮاﻧﺪ در دﺳﺘﺮس
ﭘﺬﯾﺮي FortiGuardرا ﺗﺎﯾﯿﺪ ﻧﻤﺎﯾﯿﺪ ).ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد در ارﺗﺒﺎط ﺑﺎﺷﺪ(
اوﻟﯿﻦ ﻗﺴﻤﺖ ،ﭼﮏ ﻧﻤﺎﯾﯿﺪ ﮐﻪ اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ﻻﯾﺴﻨﺲ دﺳﺘﮕﺎه ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد ﻣﻄﺎﺑﻘﺖ دارد .ﺑﻪ ﻣﺴﯿﺮ
System> Config> FortiGuardﺑﺮوﯾﺪ .ﮔﺰﯾﻨﻪ ي Web Filtering and Email Filtering Optionsرا ﺑﺎز
ﻧﻤﺎﯾﯿﺪ و ﮔﺰﯾﻨﻪ Test Availabilityرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ .ﺑﻌﺪ از ﭼﻨﺪ دﻗﯿﻘﻪ GUI ،ﺑﻪ ﺷﻤﺎ ﻣﻮﻓﻘﯿﺖ اﺗﺼﺎل را ﻧﻤﺎﯾﺶ
ﻣﯽ دﻫﺪ.
-14ﺗﻐﯿﯿﺮ دادن MAC Addressاﯾﻨﺘﺮﻓﯿﺲ ﺧﺎرﺟﯽ )ﺗﻐﯿﯿﺮ ﻣﮏ آدرس دﺳﺖ ﺧﺎرﺟﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ(:
ﺑﻌﻀﯽ از ISPﻫﺎ ﺑﻨﺎ ﺑﺮ ﺳﯿﺎﺳﺘﯽ ﮐﻪ دارﻧﺪ ﺗﻤﺎﯾﻞ دارﻧﺪ ﮐﻪ MAC Addressدﺳﺘﮕﺎه ﻫﺎي آﻧﻬﺎ ﺑﻪ ﺷﺒﮑﻪ ﻫﺎي
ﮐﺎﺑﻠﯽ ﺧﻮدﺷﺎن ﻣﺘﺼﻞ ﺷﻮﻧﺪ ﺑﻨﺎ ﺑﺮ ﻫﻤﯿﻦ ﺳﯿﺎﺳﺖ ﺷﻤﺎ ﺑﺎﯾﺪ MAC Addressدﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ
ﮔﯿﺖ ﺧﻮد را ﻋﻮض ﻧﻤﺎﯾﯿﺪ ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از Commandزﯾﺮ در ﻣﺤﯿﻂ CLIاﻣﮑﺎن ﭘﺬﯾﺮ اﺳﺖ:
20
-15رﯾﺴﺖ ﮐﺮدن دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ و ﺑﺎزﮔﺮداﻧﺪن آن ﺑﻪ ﺣﺎﻟﺖ ﺗﻨﻈﯿﻤﺎت ﮐﺎرﺧﺎﻧﻪ اي :
اﮔﺮ ﻫﻤﻪ ﭼﯿﺰ ﺑﺎ ﻣﺸﮑﻞ ﻣﻮاﺟﻪ ﺷﺪه اﺳﺖ! دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را رﯾﺴﺖ ﮐﺮده و آن را ﺑﻪ ﺗﻨﻈﯿﻤﺎت ﮐﺎرﺧﺎﻧﻪ اي
ﺑﺎزﮔﺮداﻧﯿﺪ .از ﻃﺮﯾﻖ ﻣﺤﯿﻂ CLIو ﺑﺎ دﺳﺘﻮر execute factoryresetاﯾﻦ اﺗﻔﺎق اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﮔﺮدد.وﻗﺘﯽ اﯾﻦ
دﺳﺘﻮر را ﻣﯽ زﻧﯿﺪ ﺑﺎﯾﺪ ﺗﺎﯾﭗ ﮐﻨﯿﺪ Yو اﯾﻨﺘﺮ را ﺑﺰﻧﯿﺪ.
رﯾﺴﺖ ﮐﺮدن دﺳﺘﮕﺎه آﻧﺮا ﺑﻪ ﺣﺎﻟﺖ Route/NATﺑﺎز ﻣﯿﮕﺮداﻧﺪ .ﺑﺎ ﻣﺮاﺟﻌﻪ ﺑﻪ ﺳﺎﯾﺖ support.fortinet.com
اﻃﻼﻋﺎت ﺑﯿﺸﺘﺮي ﮐﺴﺐ ﺧﻮاﻫﯿﺪ ﮐﺮد.
در اﯾﻦ ﻣﺜﺎل ﺷﻤﺎ ﯾﺎد ﻣﯽ ﮔﯿﺮﯾﺪ ﮐﻪ ﭼﮕﻮﻧﻪ دﺳﺘﮕﺎه ﺧﻮد را رﯾﺠﺴﺘﺮ ﮐﺮده و زﻣﺎن دﺳﺘﮕﺎه را ﺗﻨﻈﯿﻢ ﻧﻤﺎﯾﯿﺪ.
ﻫﻤﭽﻨﯿﻦ ﭼﻨﺪ ﯾﻮزر ادﻣﯿﻦ ﺑﺮاي دﺳﺘﮕﺎه ﺳﺎﺧﺘﻪ و از دﺳﺘﺮﺳﯽ ﻫﺎي ﻏﯿﺮﻣﺠﺎز ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﯿﻢ.
-5ﻧﺘﺎﯾﺞ ﺣﺎﺻﻞ
ﺛﺒﺖ ﮐﺮدن دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺷﻤﺎ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دﻫﺪ ﮐﻪ ﺑﺮوزرﺳﺎﻧﯽ ﻫﺎ را از FortiGuardدرﯾﺎﻓﺖ
ﻧﻤﻮده و ﻫﻤﭽﻨﯿﻦ اﻣﮑﺎن درﯾﺎﻓﺖ آﭘﺪﯾﺖ firmwareﻫﺎ و دﺳﺘﺮﺳﯽ ﺑﻪ ﺳﺎﭘﻮرت ﻓﻮرﺗﯽ ﻧﺖ اﯾﺠﺎد ﻣﯽ ﺷﻮد.
ﻗﺒﻞ از ﺛﺒﺖ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ،ﺣﺘﻤﺎ ﺑﺎﯾﺪ دﻗﺖ ﮐﻨﯿﺪ ﮐﻪ دﺳﺘﮕﺎه داراي اﯾﻨﺘﺮﻧﺖ ﺑﺎﺷﺪ.
21
از ﯾﮏ اﮐﺎﻧﺖ ﺳﺎﭘﻮرت ﻓﻮرﺗﯽ ﻧﺖ اﺳﺘﻔﺎده ﮐﻨﯿﺪ ﯾﺎ ﯾﮏ اﮐﺎﻧﺖ ﺟﺪﯾﺪ ﺑﺴﺎزﯾﺪ .ﮐﺸﻮر ﻣﻮرد ﻧﻈﺮ را اﻧﺘﺨﺎب و
Resellerرا ﻣﺸﺨﺺ ﻧﻤﺎﯾﯿﺪ.
ﺑﻌﺪ از رﺟﯿﺴﺘﺮ ﮐﺮدن دﺳﺘﮕﺎه ﻗﺴﻤﺖ License Informationﺷﻤﺎ ﺑﺎﯾﺪ ﻫﻤﺎﻧﻨﺪ ﺷﮑﻞ زﯾﺮ ﻧﻤﺎﯾﺶ داده ﺷﻮد.
ﮔﺰﯾﻨﻪ system timeرا اﻧﺘﺨﺎب ﮐﺮده و ﮔﺰﯾﻨﻪ changeرا ﺑﺰﻧﯿﺪ.ﺣﺎل از ﻗﺴﻤﺖ time zoneﻣﻨﻄﻘﻪ ﺧﻮد را
اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ .ﺗﻮﺟﻪ ﻧﻤﺎﯾﯿﺪ ﮐﻪ وارد ﮐﺮدن دﺳﺘﯽ زﻣﺎن ﻧﯿﺮ اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺑﺎﺷﺪ .ﻗﺎﺑﻠﯿﺖ دﯾﮕﺮ وارد ﮐﺮدن
NTP serverﻣﯽ ﺑﺎﺷﺪ.
22
-3ﻣﺤﺪود ﮐﺮدن دﺳﺘﺮﺳﯽ ادﻣﯿﻦ از دﺳﺘﮕﺎه ﻫﺎي ﻣﺸﺨﺺ :
ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ Adminرا ادﯾﺖ ﮐﻨﯿﺪ .ﺗﯿﮏ ﮔﺰﯾﻨﻪ Restrict this Admin Login from Trusted Hosts
Onlyرا ﺑﺰﻧﯿﺪ و آدرس IPدﺳﺘﮕﺎه ﻫﺎﯾﯽ ﮐﻪ ﺑﺎ آﻧﻬﺎ ﻣﯽ ﺧﻮاﻫﯿﺪ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ را ﺑﺰﻧﯿﺪ.
ﺑﺎ وارد ﮐﺮدن ﺳﺎب ﻧﺖ /32ﺗﻨﻬﺎ ﯾﮏ ﮐﺎﻣﭙﯿﻮﺗﺮ را در Trusted Hostﻗﺮار ﻣﯽ دﻫﯿﺪ .اﮔﺮ ﺳﺎب ﻧﺖ را در ﺣﺎﻟﺖ
/24ﻗﺮار دﻫﯿﺪ ﯾﮏ ﺳﺎب ﻧﺖ را ﺑﻪ ﺻﻮرت ﮐﺎﻣﻞ در ﺣﺎﻟﺖ Trusted Hostﻗﺮار ﻣﯽ دﻫﯿﺪ.
23
>Admin> Administrator System
ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ Adminرا وﯾﺮاﯾﺶ ﮐﻨﯿﺪ .ﮔﺰﯾﻨﻪ Change Passwordرا ﺑﺰﻧﯿﺪ .ﻓﯿﻠﺪ Old Passwordرا
ﺧﺎﻟﯽ ﺑﮕﺬارﯾﺪ و در ﻓﯿﻠﺪ New passwordﭘﺴﻮرد ﻣﻮرد ﻧﻈﺮ را وارد ﻧﻤﺎﯾﯿﺪ .ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ﺑﻌﺪ از اﻧﺠﺎم اﯾﻦ
ﺗﻐﯿﯿﺮات signed outﻣﯽ ﺷﻮﯾﺪ و ﺑﺎﯾﺪ از ﭘﺴﻮرد ﺟﺪﯾﺪ ﺟﻬﺖ وارد ﺷﺪن اﺳﺘﻔﺎده ﮐﻨﯿﺪ.
-5ﻧﺘﺎﯾﺞ :
ﺳﻌﯽ ﮐﻨﯿﺪ ﺑﺎ ﯾﻮزر adminو ﺑﺪون وارد ﮐﺮدن ﭘﺴﻮرد ﻻﮔﯿﻦ ﻧﻤﺎﯾﯿﺪ .ﻣﺴﻠﻤﺎ ﺑﺎ ﺟﻤﻠﻪ ﻣﻌﺮوف Access is
deniedﻣﻮاﺟﻪ ﺧﻮاﻫﯿﺪ ﺷﺪ .ﺣﺎل ﺑﺎ ﭘﺴﻮرد ﻣﺮﺣﻠﻪ ﻗﺒﻠﯽ وارد ﺷﻮﯾﺪ.
ﺑﻪ ﻗﺴﻤﺖ Alert Message Consoleﺗﻮﺟﻪ ﻧﻤﺎﯾﯿﺪ ،ﻧﻤﺎﯾﺎﻧﮕﺮ ﺗﻌﺪاد ﺗﻼش ﻫﺎي ﻧﺎﻣﻮﻓﻖ ﺟﻬﺖ ﻻﮔﯿﻦ ﺑﻪ
ﺳﯿﺴﺘﻢ ﻣﯽ ﺑﺎﺷﺪ.
اﮔﺮ دﺳﺘﺮﺳﯽ ﻫﺎ ﺑﻪ ﺻﻮرت trusted hostﺗﻌﺮﯾﻒ ﺷﺪه اﺳﺖ ،در ﺻﻮرﺗﯽ ﮐﻪ PCدر ﻟﯿﺴﺖ ﻧﺒﺎﺷﺪ ﺑﺎ ﭘﯿﻐﺎم
device that is not trusted will be deniedﻣﻮاﺟﻪ ﻣﯽ ﺷﻮﯾﺪ.
در اﯾﻦ ﻣﺜﺎل ﻧﺴﺨﻪ ي ﻓﺮﯾﻤﻮر ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﺑﺮرﺳﯽ ﻣﯽ ﺷﻮد و اﮔﺮ ﻧﯿﺎز ﺑﺎﺷﺪ ﺑﻪ آﺧﺮﯾﻦ ﻧﺴﺨﻪ ي ﻣﻮﺟﻮد
ﺑﺮوز رﺳﺎﻧﯽ ﻣﯽ ﮔﺮدد FortiOS.ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﻣﻮرد اﺳﺘﻔﺎده در ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ .ﺑﺎ آﭘﺪﯾﺖ ﮐﺮدن FortiOS
ﺷﻤﺎ ﻣﻄﻤﺌﻦ ﻣﯽ ﺷﻮﯾﺪ ﮐﻪ ﺗﻤﺎم اﺑﺰارﻫﺎ و اﻣﮑﺎﻧﺎت اﻣﻨﯿﺘﯽ ﻣﻮﺟﻮد ﺑﺮ روي دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ آﺧﺮﯾﻦ ﻧﺴﺨﻪ
ارﺗﻘﺎ ﭘﯿﺪا ﮐﺮده اﻧﺪ.
ﻗﺒﻞ از آﭘﺪﯾﺖ ﻓﺮﯾﻤﻮر ﺟﺪﯾﺪ ﺣﺘﻤﺎ ﻧﻮت ﻫﺎي ﻣﺮﺑﻮﻃﻪ را ﻣﻄﺎﻟﻌﻪ ﻧﻤﺎﯾﯿﺪ .اﯾﻦ ﻣﺴﺘﻨﺪات را ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺳﺎﯾﺖ
ﻓﻮرﺗﯽ ﮔﯿﺖ داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ.
-۴ﻧﺘﺎﯾﺞ
24
-1ﻓﺮﯾﻤﻮر ﺣﺎل ﺣﺎﺿﺮ دﺳﺘﮕﺎه را ﭼﮏ ﻣﯽ ﻧﻤﺎﯾﯿﻢ
ﮔﺰﯾﻨﻪ System Informationرا ﺑﺮرﺳﯽ ﻣﯽ ﮐﻨﯿﻢ .در اﯾﻦ ﻗﺴﻤﺖ ﻣﯽ ﺗﻮاﻧﯿﻢ ﻧﺴﺨﻪ ﮐﻨﻮﻧﯽ ﻓﺮﯾﻢ وﯾﺮ را ﻣﺸﺎﻫﺪه
ﻧﻤﺎﯾﯿﻢ.
ﺟﻬﺖ داﻧﻠﻮد آﺧﺮﯾﻦ ﻧﺴﺨﻪ ﻓﺮﯾﻤﻮﯾﺮ دﺳﺘﮕﺎه ﺑﺎﯾﺪ ﺑﻪ ﺳﺎﯾﺖ http://support.fortinet.comﻣﺮاﺟﻌﻪ ﻧﻤﻮده و ﺑﺎ
اﺳﺘﻔﺎده از اﮐﺎﻧﺖ ﻓﻮرﺗﯽ ﻧﺖ ﺧﻮد ﻻﮔﯿﻦ و آﺧﺮﯾﻦ ﻧﺴﺨﻪ را داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ.
اﯾﻦ ﻧﮑﺘﻪ ﺑﺴﯿﺎر ﺣﺎﺋﺰ اﻫﻤﯿﺖ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﻗﺒﻞ از اﯾﻨﮑﻪ ﺷﻤﺎ ﺑﺘﻮاﻧﯿﺪ اﯾﻤﯿﺞ ﻣﺮﺑﻮﻃﻪ را داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ ﺣﺘﻤﺎ ﺑﺎﯾﺪ
در ﺳﺎﯾﺖ ﻓﻮرﺗﯽ ﻧﺖ اﮐﺎﻧﺖ داﺷﺘﻪ ﺑﺎﺷﯿﺪ.
ﻣﺪل ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد را اﻧﺘﺨﺎب و ﺑﺮ اﺳﺎس ﻓﺮﯾﻤﻮﯾﺮ ﻣﻮﺟﻮد آﻧﺮا داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ.
از ﺗﻨﻈﯿﻤﺎت ﺧﻮد ﺑﮑﺎپ ﺗﻬﯿﻪ ﻧﻤﺎﯾﯿﺪ .اﯾﻦ ﮐﺎر را ﻣﯽ ﺗﻮاﻧﯿﺪ از ﻣﺴﯿﺮ زﯾﺮ ﻣﯿﺴﺮ ﺳﺎزﯾﺪ :
System Information widget > System Configuration
25
اﯾﻦ ﻧﮑﺘﻪ را ﻫﻤﯿﺸﻪ در ذﻫﻦ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﻗﺒﻞ از اﻧﺠﺎم ﻫﺮ ﺗﻐﯿﯿﺮي ﻣﺨﺼﻮﺻﺎ آﭘﯿﺪت ﻓﺮﯾﻤﻮﯾﺮ ﺣﺘﻤﺎ از دﺳﺘﮕﺎه
Backupﺗﻬﯿﻪ ﻧﻤﺎﯾﯿﺪ.
ﺑﻌﺪ از ﺗﻬﯿﻪ backupﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ ﺧﯿﺎﻟﯽ آﺳﻮده ﻧﺴﺨﻪ ﻓﺮﯾﻤﻮر ﺧﻮد را از ﻣﺴﯿﺮ زﯾﺮ آﭘﺪﯾﺖ ﻧﻤﺎﯾﺪ :
System Information > Firmware Version> Update
ﺑﻌﺪ از ﮐﻠﯿﮏ ﺑﺮ روي updateﺑﺎﯾﺪ اﯾﻤﯿﺞ داﻧﻠﻮد ﺷﺪه در ﻣﺮاﺣﻞ ﻗﺒﻞ را ﻣﻌﺮﻓﯽ ﻧﻤﺎﯾﯿﺪ.
-4ﻧﺘﺎﯾﺞ
وﻗﺘﯽ ﻓﺎﯾﻞ اﯾﻤﯿﺞ ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ آﭘﻠﻮد ﺷﺪ دﺳﺘﮕﺎه رﯾﺴﺘﺎرت ﺷﺪه و ﺻﻔﺤﻪ ﻻﮔﯿﻦ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻇﺎﻫﺮ ﻣﯽ
ﺷﻮد .اﯾﻦ ﭘﺮوﺳﻪ ﻣﻤﮑﻦ اﺳﺖ ﭼﻨﺪ دﻗﯿﻘﻪ ﻃﻮل ﮐﺸﺪ.
اﮔﺮ ﺳﺮوﯾﺲ ﻓﻮرﺗﯽ ﮔﺎرد را ﺧﺮﯾﺪاري ﮐﺮده اﯾﺪ و اﯾﻦ ﺳﺮوﯾﺲ را ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮدﺗﺎن ﻓﻌﺎل ﻧﻤﻮده اﯾﺪ،
ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺻﻮرت ﮐﺎﻣﻼ ﺧﻮدﮐﺎر ﺑﻪ ﻓﻮرﺗﯽ ﮔﺎرد ﻣﺘﺼﻞ ﻣﯽ ﺷﻮد و اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ﻻﯾﺴﻨﺲ ﺷﻤﺎ و
ﺳﺮوﯾﺲ ﻫﺎي ﻓﻮرﺗﯽ ﮔﺎرد را ﻧﻤﺎﯾﺶ ﻣﯽ دﻫﺪ .در اﯾﻦ ﻣﺜﺎل ﺑﺮرﺳﯽ ﺧﻮاﻫﯿﻢ ﮐﺮد ﮐﻪ آﯾﺎ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ
ارﺗﺒﺎط ﻻزم را ﺑﺎ ﺷﺒﮑﻪ ﻓﻮرﺗﯽ ﮔﺎرد دارد؟
-1ﺑﺮرﺳﯽ ارﺗﺒﺎﻃﺎت
-3ﻧﺘﺎﯾﺞ
26
.1ﺑﺮرﺳﯽ ارﺗﺒﺎط
ﺗﻤﺎم ﺳﺮوﯾﺲ ﻫﺎ ﺑﺎﯾﺪ داراي ﺗﯿﮏ ﺳﺒﺰ رﻧﮓ ﺑﺎﺷﻨﺪ .اﯾﻦ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ارﺗﺒﺎﻃﺎت ﺑﺎ ﻣﻮﻓﻘﯿﺖ ﺑﺮﻗﺮار ﺷﺪه اﺳﺖ.
اﮔﺮ ﻋﻼﻣﺖ ﺧﺎﮐﺴﺘﺮي ﺿﺮﺑﺪر وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻧﻤﯽ ﺗﻮاﻧﺪ ارﺗﺒﺎط
درﺳﺘﯽ ﺑﺎ ﺷﺒﮑﻪ ﻓﻮرﺗﯽ ﮔﺎرد ﺑﺮﻗﺮار ﻧﻤﺎﯾﺪ .اﻟﺒﺘﻪ ﺑﺎﯾﺪ ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﻢ اﯾﻦ ﻋﻼﻣﺖ در ﺻﻮرت ﻋﺪم ﺛﺒﺖ دﺳﺘﮕﺎه
ﻫﻢ ﻧﻤﺎﯾﺶ داده ﻣﯽ ﺷﻮد .اﮔﺮ داﯾﺮه اي ﺑﺎ رﻧﮓ ﻧﺎرﻧﺠﯽ و ﺿﺮﺑﺪر ﻣﺸﺨﺺ ﺷﺪه ﺑﺎﺷﺪ ﻧﺸﺎن دﻫﻨﺪه آن اﺳﺖ ﮐﻪ
دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ارﺗﺒﺎط را ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد ﺑﺮﻗﺮار ﻧﻤﻮده اﺳﺖ اﻣﺎ ﻻﯾﺴﻨﺲ ﻣﻨﻘﻀﯽ ﺷﺪه و ﯾﺎ دﺳﺘﮕﺎه اﮐﺘﯿﻮ
ﻧﺸﺪه اﺳﺖ.
ﻣﯽ ﺗﻮاﻧﯿﻢ وﺿﻌﯿﺖ ارﺗﺒﺎﻃﯽ ﻓﻮرﺗﯽ ﮔﺎرد را از ﻣﺴﯿﺮ زﯾﺮ ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﻢ :
System> Config> FortiGuard
27
.2رﻓﻊ اﯾﺮاد ارﺗﺒﺎﻃﺖ :
28
اﮔﺮ ﺗﺴﺖ ﺷﻤﺎ ﻧﺸﺎن داد ﮐﻪ DNSﺳﺮور درﺳﺖ اﺳﺖ ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﮐﻨﯿﺪ :
System> Dashboard> Status
اﮔﺮ ارﺗﺒﺎط ﺷﻤﺎ ﺑﺮﻗﺮار ﺑﺎﺷﺪ CLI ،ﮐﻨﺴﻮل ﺑﺎﯾﺪ ﭼﯿﺰي ﺷﺒﯿﻪ ﺑﻪ ﻋﮑﺲ زﯾﺮ را ﺑﻪ ﺷﻤﺎ ﻧﻤﺎﯾﺶ دﻫﺪ:
ﮔﺰﯾﻨﻪ Test Availabilityرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ .اﯾﻦ ﮔﺰﯾﻨﻪ ﺑﻪ ﺷﻤﺎ ﻧﻤﺎﯾﺶ ﺧﻮاﻫﺪ داد ﮐﻪ ﮐﺪام ﭘﻮرت ﻫﺎ ﺑﺎز ﻫﺴﺘﻨﺪ.
اﮔﺮ ﭘﻮرت ﭘﯿﺶ ﻓﺮض ﻓﻮرﺗﯽ ﮔﯿﺖ 53ﺑﺎﺷﺪ ﻧﺒﺎﯾﺪ آﻧﺒﻼك ﺑﺎﺷﺪ .ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ:
System> Config> FortiGuard
در ﻗﺴﻤﺖ Web Filtering and Email Filtering Optionﮔﺰﯾﻨﻪ ي Use Alternate Port 8888را اﻧﺘﺨﺎب
ﻧﻤﺎﯾﯿﺪ.
.3ﻧﺘﺎﯾﺞ
ﺑﻪ ازاء ﻫﺮ ﺳﺮوﯾﺴﯽ ﮐﻪ ﻋﻀﻮ آن ﻫﺴﺘﯿﺪ ﺑﺎﯾﺪ ﺑﺎ ﺗﯿﮏ ﺳﺒﺰ رﻧﮓ ﻧﻤﺎﯾﺎن ﺷﻮد .اﯾﻦ ﻧﻤﺎد ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ارﺗﺒﺎط
ﺑﺮﻗﺮار ﺑﻮده و ﻻﯾﺴﻨﺲ ﻣﻮرد ﺗﺎﯾﯿﺪ ﻣﯽ ﺑﺎﺷﺪ.
29
ﺗﻤﺎم اﻣﮑﺎﻧﺎت و ﺳﺮوﯾﺲ ﻫﺎ ﺑﺎﯾﺪ ﺑﺎ ﺗﯿﮏ ﺳﺒﺰ رﻧﮓ ﻧﻤﺎﯾﺶ داده ﺷﺪه ﺑﺎﺷﻨﺪ .اﯾﻦ ﻧﻤﺎد ﻧﺸﺎن دﻫﻨﺪه ي آن اﺳﺖ
ﮐﻪ ارﺗﺒﺎﻃﺎت ﺑﻪ ﺻﻮرت ﮐﺎﻣﻼ ﺻﺤﯿﺢ و ﺑﺪون ﻣﺸﮑﻞ ﺑﺮﻗﺮار ﻣﯽ ﺑﺎﺷﺪ.
اﯾﻦ ﻗﺴﻤﺖ ﺣﺎوي ﻧﮑﺎﺗﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻪ ﺷﻤﺎ ﮐﻤﮏ ﻣﯽ ﮐﻨﺪ ﺗﺎ در ﭼﺎﻟﺶ ﻫﺎﯾﯽ ﮐﻪ ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد ﺧﻮاﻫﯿﺪ داﺷﺖ
ﻣﻮﻓﻖ ﺷﻮﯾﺪ.
اول از ﻫﻤﻪ ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ آﯾﺎ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ رﺟﯿﺴﺘﺮ ﺷﺪه اﺳﺖ؟ ﺳﺮوﯾﺲ ﻫﺎي ﻓﻮرﺗﯽ ﮔﺎرد ﺧﺮﯾﺪاري
ﺷﺪه اﻧﺪ؟ و آﯾﺎ اﯾﻦ ﺳﺮوﯾﺲ ﻫﺎ Expireﻧﺸﺪه اﻧﺪ ؟!
ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ اﺳﺖ ؟ آﯾﺎ دﺳﺘﮕﺎه اﯾﻨﺘﺮﻧﺖ دارد ؟! ﺑﺮاي اﯾﻨﮑﺎر ﮐﺎﻓﯽ
اﺳﺖ در ﻣﺤﯿﻂ CLIدﺳﺘﻮر زﯾﺮ را ﺗﺎﯾﭗ ﻧﻤﺎﯾﯿﺪ:
Execute ping 8.8.8.8
ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ اﺳﺖ اﻣﺎ ﻧﻤﯽ ﺗﻮاﻧﺪ ارﺗﺒﺎﻃﯽ ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد ﺑﺮﻗﺮار ﻧﻤﺎﯾﺪ:
ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ ﺗﻨﻈﯿﻤﺎت ﻣﺮﺗﺒﻂ ﺑﺎ DNSدرﺳﺖ ﺑﺎﺷﺪ ﻫﻤﭽﻨﯿﻦ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﯾﮏ Unblockedﭘﻮرت
ﺑﺮاي ﺗﺮاﻓﯿﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ.
اﮔﺮ اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ اﺳﺖ و از DHCPآي ﭘﯽ ﮔﺮﻓﺘﻪ اﺳﺖ ﺑﻪ ﻣﺴﯿﺮ زﯾﺮ ﺑﺮوﯾﺪ:
System> Network> Interface
و دﺳﺖ ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻧﺖ ) اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ اﯾﻨﺘﺮﻧﺖ دارد ( را وﯾﺮاﯾﺶ ﻧﻤﺎﯾﯿﺪ .ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﮔﺰﯾﻨﻪ
Override internal DNSاﻧﺘﺨﺎب ﺷﺪه اﺳﺖ.
دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺎ ﺷﺒﮑﻪ ﻓﻮرﺗﯽ ﮔﺎرد ﺑﻪ وﺳﯿﻠﻪ ارﺳﺎل ﭘﮑﺖ ﻫﺎي UDPﺑﺎ ﺳﻮرس ﭘﻮرت ﻫﺎي 1027ﯾﺎ
1031ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﯽ ﻧﻤﺎﯾﺪ و ﭘﻮرت ﻫﺎي ﻣﻘﺼﺪ 53ﯾﺎ 8888ﻣﯽ ﺑﺎﺷﻨﺪ .ﺑﺴﺘﻪ ﻫﺎي ﺑﺎزﮔﺸﺘﯽ داراي ﭘﻮرت
ﻫﺎي 1027ﯾﺎ 1031ﻣﯽ ﺑﺎﺷﻨﺪ .اﮔﺮ ISPﺷﻤﺎ ﭘﮑﺖ ﻫﺎي UDPرا در اﯾﻦ رﻧﺞ ﭘﻮرت ﺑﺴﺘﻪ ﺑﺎﺷﺪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ
ﮔﯿﺖ ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﺪرﺳﺘﯽ ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد ارﺗﺒﺎط ﺑﺮﻗﺮار ﻧﻤﺎﯾﺪ.
30
ﺟﻬﺖ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﭘﻮرت ﺑﻼﮐﯿﻨﮓ ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ در دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد از ﭘﻮرت ﻧﺎﻣﺒﺮﻫﺎي ﺑﺎﻻ اﺳﺘﻔﺎده
ﻧﻤﺎﯾﯿﺪ ﻣﺜﻞ 2048ﯾﺎ 20000و ....ﺑﺮاي اﺳﺘﻔﺎده از اﯾﻦ روش دﺳﺘﻮرات زﯾﺮ را در ﻣﺤﯿﻂ CLIوارد ﻧﻤﺎﯾﯿﺪ:
Config system global
Set ip-scr-port-range 2048-20000
End
اﮔﺮ ﻣﺸﮑﻼت ﺣﻞ ﻧﺸﺪ ﺑﺎ ISPﺧﻮد ﻫﻤﺎﻫﻨﮓ ﮐﺮده و رﻧﺞ ﭘﻮرﺗﯽ ﮐﻪ ﺑﻼك ﻧﻤﯽ ﺑﺎﺷﺪ را در ﻓﻮرﺗﯽ ﮔﯿﺖ اﺿﺎﻓﻪ
ﻧﻤﺎﯾﯿﺪ.
اﯾﻦ ﻣﺜﺎل ﺑﻪ ﺷﻤﺎ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ﭼﮕﻮﻧﻪ ﻗﺎﺑﻠﯿﺖ ﮐﭙﭽﺮ ﮐﺮدن ﺗﺮاﻓﯿﮏ ﭘﺮوﺳﺲ ﺷﺪه روي دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ
را ﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ .ﮐﭙﭽﺮ ﮐﺮدن ﻻگ ﻫﺎ ﺷﺮاﯾﻄﯽ را ﺑﺮاي ﺷﻤﺎ ﻓﺮاﻫﻢ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﺘﻮاﻧﯿﺪ در ﻣﻮرد ﺷﺒﮑﻪ ﺧﻮد ﯾﮏ
دﯾﺪ ﻣﻨﺎﺳﺒﯽ ﺑﺪﺳﺖ ﺑﯿﺎورﯾﺪ.
-3ﻧﺘﺎﯾﺞ
ﺟﺎﯾﯽ ﮐﻪ ﻗﺮار اﺳﺖ ﻻگ ﻫﺎ رﮐﻮرد ﺷﻮد را اﻧﺘﺨﺎب ﮐﻨﯿﺪ .ﺷﻤﺎ در ﺻﻮرﺗﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ﻻگ ﻫﺎ را ﺑﺮ روي دﯾﺴﮏ
ذﺧﯿﺮه ﻧﻤﺎﯾﯿﺪ ﮐﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﻗﺎﺑﻠﯿﺖ ارﺳﺎل ﻻگ ﻫﺎ را ﺳﻤﺖ ﯾﮏ ﻓﻮرﺗﯽ آﻧﺎﻟﯿﺰر ﯾﺎ ﻓﻮرﺗﯽ ﻣﻨﯿﺠﺮ
داﺷﺘﻪ ﺑﺎﺷﺪ .ﻫﺮ ﮐﺪام از اﯾﻦ اﻧﺘﺨﺎب ﻫﺎ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﯽ دﻫﺪ ﺗﺎ ﻻگ ﻫﺎ ﺛﺒﺖ و ﺑﺎزﺑﯿﻨﯽ ﺷﻮد ﻫﻤﭽﻨﯿﻦ ﺑﺮ اﺳﺎس
ﻻگ ﺛﺒﺖ ﺷﺪه ﯾﮏ رﯾﭙﻮرت اﯾﺠﺎد ﻧﻤﺎﯾﺪ.
در ﺑﯿﺸﺘﺮ ﻣﻮارد ،ﺑﻪ ﺷﻤﺎ ﺗﻮﺻﯿﻪ ﻣﯽ ﺷﻮد ﺗﺎ ﮔﺰﯾﻨﻪ Send Logs to FortiCloudرا ﻫﻤﺎﻧﻨﺪ ﺷﮑﻞ زﯾﺮ
اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ اﻧﺘﺨﺎب ﮔﺰﯾﻨﻪ Enable allﻫﻤﻪ ﻧﻮع ﻻگ را ﺛﺒﺖ ﻧﻤﺎﯾﯿﺪ ،ﯾﺎ اﻧﻮاع ﻣﺸﺨﺼﯽ از ﻻگ ﻫﺎ ،ﻫﻤﺎﻧﻨﺪ
،WiFi activity eventsاﯾﻦ ﻣﻮرد ﺑﻪ ﻧﻮع ﻧﻈﺮ ﺷﻤﺎ ﺑﺴﺘﮕﯽ دارد.
در ﻗﺴﻤﺖ GUI Preferencesﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﮔﺰﯾﻨﻪ Display Logs Fromاﺷﺎره ﺑﻪ ﻣﻘﺼﺪي ﻣﯿﮑﻨﺪ ﮐﻪ
ﻻگ ﻫﺎ در آﻧﺠﺎ ﺛﺒﺖ ﻣﯽ ﺷﻮد.ﻣﺜﻼ در .FortiCloud
32
.2ﻓﻌﺎل ﺳﺎزي ﻻگ ﮔﯿﺮي در :security policies
در ﻗﺴﻤﺖ ،Logging Optionsﻣﯽ ﺗﻮاﻧﯿﺪ ﯾﮑﯽ از ﮔﺰﯾﻨﻪ ﻫﺎي Security Eventsو ﯾﺎ All Sessionsرا
اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
در ﺑﯿﺸﺘﺮ ﻣﻮارد ،ﺷﻤﺎ ﺑﺎﯾﺪ ﮔﺰﯾﻨﻪ Security Eventsرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ .ﮔﺰﯾﻨﻪ All Sessionsﺟﺰﺋﯿﺎت ﮐﺎﻣﻠﯽ
از ﺗﺮاﻓﯿﮏ را ﺛﺒﺖ ﻣﯽ ﻧﻤﺎﯾﺪ ﮐﻪ اﯾﻦ ﺣﺎﻟﺖ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﻣﻨﺎﺑﻊ و ﻓﻀﺎي ذﺧﯿﺮه ﺳﺎزي ﺑﯿﺸﺘﺮي از ﺳﯿﺴﺘﻢ ﮔﺮﻓﺘﻪ
ﺷﻮد.
.3ﻧﺘﺎﯾﺞ
Log & Report> Traffic Log> Forward Traffic Report> Traffic Log> Forward Traffic
ﻻگ ﻫﺎ اﻃﻼﻋﺎت ﻣﺨﺘﻠﻔﯽ از ﺗﺮاﻓﯿﮏ را ﻧﻤﺎﯾﺶ ﻣﯽ دﻫﻨﺪ ،اﯾﻦ ﻻگ ﻫﺎ ﺷﺎﻣﻞ ﻣﻮارد ﭼﻮن ﺗﺎرﯾﺦ/زﻣﺎن ،ﻣﺒﺪا،
دﯾﻮاﯾﺲ و ﻣﻘﺼﺪ ﻣﯽ ﺑﺎﺷﻨﺪ.
ﺟﻬﺖ ﺗﻐﯿﯿﺮ ﻧﻮع ﻧﻤﺎﯾﺶ اﻃﻼﻋﺎت ﻣﯽ ﺗﻮاﻧﯿﺪ روي ﯾﮑﯽ از ﺳﺘﻮن ﻫﺎ ﮐﻠﯿﮏ راﺳﺖ ﮐﺮده و ﮔﺰﯾﻨﻪ Column
Settingsرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ ﺗﺎ ﺑﺘﻮاﻧﯿﺪ ﺑﻌﻀﯽ ازﺳﺘﻮن ﻫﺎ را ﻓﻌﺎل و ﯾﺎ ﺑﻌﻀﯽ دﯾﮕﺮ را ﻏﯿﺮﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ.
33
ﺳﺎﺧﺘﻦ ﯾﮏ Security Policiesﺟﻬﺖ اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﻪ ﺷﺒﮑﻪ :
اﯾﻦ ﻣﺜﺎل ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ﭼﻄﻮر ﯾﮏ Security Policyﺳﺎﺧﺘﻪ و در Policy tableاﺟﺮا ﺷﻮد .اﯾﻦ Policy
ﻫﺎ ﺟﻬﺖ اﻋﻤﺎل ﺳﯿﺎﺳﺖ ﻫﺎي ﻣﺨﺘﻠﻒ در ﺷﺒﮑﻪ ﻧﻮﺷﺘﻪ و اﺟﺮا ﻣﯽ ﺷﻮد.
در اﯾﻦ ﻣﺜﺎل ،ﺳﻪ ﭘﺎﻟﺴﯽ IPv4ﮐﺎﻧﻔﯿﮓ ﺧﻮاﻫﺪ ﺷﺪ Policy A .ﯾﮏ ﭘﺎﻟﺴﯽ ﮐﻠﯽ ﺧﻮاﻫﺪ ﺑﻮد ﮐﻪ ﺑﻪ ﺷﺒﮑﻪ LAN
اﺟﺎزه دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ را ﻣﯽ دﻫﺪ Policy B .اﺟﺎزه دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ را ﻣﯽ دﻫﺪ ﻫﻤﺮاه ﺑﺎ اﻋﻤﺎل web
filteringﺑﺮاي ﯾﮏ ﺳﺮي از ﻣﻮﺑﺎﯾﻞ دﯾﻮاﯾﺲ ﻫﺎﯾﯽ ﮐﻪ از ﻃﺮﯾﻖ LANﺑﻪ ﺷﺒﮑﻪ ﻣﺎ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ Policy C.ﺑﻪ
ﺳﯿﺴﺘﻢ ادﻣﯿﻦ اﺟﺎزه ﺧﻮاﻫﺪ داد ﮐﻪ ﻓﻮل اﮐﺴﺲ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﺪ).ﻧﺎم ﺳﯿﺴﺘﻢ ادﻣﯿﻦ SysAdminﻣﯽ
ﺑﺎﺷﺪ(
ﭘﺎﻟﺴﯽ ﭼﻬﺎرم ،ﭘﺎﻟﺴﯽ defaultﯾﻌﻨﯽ " "denyﭘﺎﻟﺴﯽ ﻣﯽ ﺑﺎﺷﺪ .اﯾﻦ ﭘﺎﻟﺴﯽ ﻫﻢ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﺧﻮاﻫﺪ
ﮔﺮﻓﺖ.
در اﯾﻦ ﻣﺜﺎل ،ﯾﮏ واﯾﺮﻟﺲ ﻧﺘﻮرك ﻫﻢ ﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ ﮐﻪ در ﯾﮏ Subnetﻣﺸﺘﺮك ﻫﻤﺎﻧﻨﺪ ﯾﮏ ﺷﺒﮑﻪ ﮐﺎﺑﻠﯽ
در LANﻣﯽ ﺑﺎﺷﺪ.
-3ﺗﻌﺮﯾﻒ SysadminPC
-6ﻧﺘﺎﯾﺞ
34
.1ﺗﻨﻈﯿﻤﺎت Policy Aﺑﺮاي دﺳﺘﺮﺳﯽ ﮐﻠﯽ ﺑﻪ وب :
ﺑﺮ اﺳﺎس ﺗﻤﺮﯾﻨﺎت ﻗﺒﻠﯽ ﭘﺎﻟﯿﺴﯽ اﯾﺠﺎد ﻧﻤﺎﯾﯿﺪ ﮐﻪ دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ و ﺳﺮوﯾﺲ Httpﺑﺎز ﺷﻮد .در اﯾﻦ
ﭘﺎﻟﺴﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺳﺮوﯾﺲ ﻫﺎي Httpو Httpsو DNSرا ﺑﺎز ﻧﻤﺎﯾﯿﺪ.
ﭘﺎﯾﯿﻦ ﺻﻔﺤﻪ و در ﻗﺴﻤﺖ .Logging Optionsﮔﺰﯾﻨﻪ Log Allowed Trafficرا ONﮐﺮده و All
Sessionsرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﻣﻄﺎﺑﻖ ﺑﺎ ﺗﻨﻈﯿﻤﺎت زﯾﺮ ﺟﻬﺖ اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﺮاي ﮐﺎرﺑﺮان ﻣﻮﺑﺎﯾﻠﯽ درﺳﺖ ﻣﯿﮑﻨﯿﻢ .
Service= Http,Https,DNS
Enable NAT
35
از ﭘﺮوﻓﺎﯾﻞ defaultﺑﺮاي proxy optionsو SSL inspectionاﺟﺎزه ﻣﯽ دﻫﺪ ﺗﺎ ﺗﺮاﻓﯿﮏ HTTPSﺗﻮﺳﻂ
دﺳﺘﮕﺎه ﻣﻮرد ﺑﺎزﺑﯿﻨﯽ ﻗﺮار ﮔﯿﺮد.
ﻧﮑﺘﻪ :اﺳﺘﻔﺎده از ﻗﺎﺑﻠﯿﺖ ﮔﺮوه دﺳﺘﮕﺎه ﻫﺎ ) (Device Groupsﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﻤﺎم دﯾﻮاﯾﺲ ﻫﺎي روي اﯾﻨﺘﺮﻓﯿﺲ
LANﺑﻪ ﺻﻮرت اﺗﻮﻣﺎﺗﯿﮏ ﺷﻨﺎﺧﺘﻪ ﺷﻮﻧﺪ.
ﻣﺜﻞ ﺑﻘﯿﻪ ﺗﻨﻈﯿﻤﺎت در Logging Optionsﻗﺎﺑﻠﯿﺖ Log Allowed Trafficرا روﺷﻦ ﮐﺮده و ﮔﺰﯾﻨﻪ All
Sessionsرا اﻧﺘﺨﺎب ﻣﯿﮑﻨﯿﻢ.
ﺣﺎل ﻣﯽ ﺗﻮاﻧﯿﻢ ﯾﮏ PCاز ﺳﯿﺴﺘﻢ ﻫﺎي ادﻣﯿﻦ ﻫﺎ در اﯾﻦ ﻗﺴﻤﺖ اﺿﺎﻓﻪ ﻧﻤﺎﯾﯿﻢ .
ﮔﺰﯾﻨﻪ Aliasرا اﻧﺘﺨﺎب ﮐﺮده و ﺳﭙﺲ MAC Addressرا وارد ﻧﻤﺎﯾﯿﺪ و در اﻧﺘﻬﺎ ﻧﻮع دﺳﺘﮕﺎه ﺧﻮد را در ﻓﯿﻠﺪ
Device Typeﻣﺸﺨﺺ ﻧﻤﺎﯾﯿﺪ.
36
.5ﺗﺮﺗﯿﺐ ﻗﺮارﮔﯿﺮي ﭘﺎﻟﺴﯽ ﻫﺎ
در ﺣﺎل ﺣﺎﺿﺮ ﭘﺎﻟﺴﯽ ﻫﺎﯾﯽ ﮐﻪ ﺳﺎﺧﺘﻪ ﺷﺪه اﻧﺪ ﻋﺒﺎرت اﻧﺪ از Policy A :ﮐﻪ در ﺑﺎﻻﺗﺮﯾﻦ ﻧﻘﻄﻪ ﻗﺮار دارد .ﺑﻪ
دﻧﺒﺎل آن Policy Bﻗﺮار دارد و ﺳﭙﺲ Policy Cو در اﻧﺘﻬﺎ Default Deny Policyﻗﺮار دارد .ﺑﻪ ﻣﻨﻈﻮر
اﯾﺠﺎد ﭘﺎﻟﺴﯽ ﻫﺎي درﺳﺖ رﻋﺎﯾﺖ ﺗﻮاﻟﯽ و اوﻟﻮﯾﺖ ﺑﻨﺪي آﻧﻬﺎ ﺑﺴﯿﺎر ﻣﻬﻢ ﻣﯽ ﺑﺎﺷﺪ .اﯾﻦ ﻧﮑﺘﻪ ﺿﺮوري اﺳﺖ ﮐﻪ
ﻫﻤﯿﺸﻪ در ﻧﻈﺮ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﭘﺎﻟﺴﯽ ﻫﺎ ﺑﻪ ﺗﺮﺗﯿﺐ ﻗﺮارﮔﯿﺮي اﻋﻤﺎل ﻣﯿﺸﻮد .ﺑﻨﺎﺑﺮاﯾﻦ ﺑﻪ ﺧﺎﻃﺮ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﻪ
ﭘﺎﻟﺴﯽ ﻫﺎي ﺧﺎص ﻫﻤﯿﺸﻪ در ﺑﺎﻻ ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ.
ﺟﻬﺖ ﻣﺮﺗﺐ ﺳﺎزي ﻣﺠﺪد ﭘﺎﻟﺴﯽ ﻫﺎ ،ﻫﺮ ﻗﺴﻤﺘﯽ از ﺳﺘﻮن ﺳﻤﺖ ﭼﭗ را ﮐﻪ ﻣﯽ ﺧﻮاﻫﯿﺪ اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ) در اﯾﻦ
ﻣﺜﺎل ﻣﺎ ﻗﺴﻤﺖ Seq.#را اﻧﺘﺨﺎب ﮐﺮدﯾﻢ ( Policy B .را اﻧﺘﺨﺎب ﮐﺮده و آن را در ﻟﯿﺴﺖ ﺑﺎﻻ ﻣﯽ آورﯾﻢ ﺑﻪ
ﻫﻤﯿﻦ ﺻﻮرت ﻣﯽ ﺗﻮاﻧﯿﻢ ﭘﺎﻟﺴﯽ ﻫﺎ را ﺟﺎﺑﺠﺎ ﮐﺮده و ﻧﺘﺎﯾﺞ را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﻢ.
.6ﻧﺘﺎﯾﺞ
ﺗﻮﺳﻂ ﺳﯿﺴﺘﻢ ادﻣﯿﻦ و ﯾﮏ ﺳﯿﺴﺘﻢ ﻣﻮﺟﻮد درﺷﺒﮑﻪ و ﯾﮏ ﻣﻮﺑﺎﯾﻞ دﯾﻮاﯾﺲ در اﯾﻨﺘﺮﻧﺖ ﭼﺮﺧﯽ ﺑﺰﻧﯿﺪ ) Browse
.( Internet
ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﺮاﻓﯿﮏ ﻫﺎي ﻋﺒﻮري ﮐﻪ از ﭘﺎﻟﺴﯽ ﻫﺎي ﻣﺨﺘﻠﻒ ﻋﺒﻮر ﻣﯿﮑﻨﺪ را ﻣﺸﺎﻫﺪه ﮐﻨﯿﺪ.
ﭘﺮوﺗﮑﻞ ) Simple Management Protocol (SNMPﺟﻬﺖ ﻣﺎﻧﯿﺘﻮر ﮐﺮدن دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﮑﻪ ﻣﻮرد اﺳﺘﻔﺎده
ﻗﺮار ﻣﯽ ﮔﯿﺮد .ﺑﻮﺳﯿﻠﻪ اﻧﺠﺎم ﺗﻨﻈﯿﻤﺎت ﺑﺮ روي ﯾﮏ ﺑﺮﻧﺎﻣﻪ ،ﻣﺜﻞ Fortigate SNMP agentﮐﻪ ﮔﺰارش ﻫﺎي
ﻣﺮﺑﻮط ﺑﻪ وﺿﻌﯿﺖ و اﻃﻼﻋﺎت ﺳﯿﺴﺘﻢ را ﺑﻪ SNMP Managersﻫﺎ ارﺳﺎل ﻣﯽ ﻧﻤﺎﯾﺪ.
37
در اﯾﻦ ﻣﺜﺎل SNMP Agent ،ﻣﺮﺑﻮط ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ SNMPﻣﺮﺑﻮط ﺑﻪ Managerاﺟﺎزه ﻣﯽ دﻫﺪ ﺗﺎ
اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ﺳﯿﺴﺘﻢ را درﯾﺎﻓﺖ ﻧﻤﺎﯾﺪ.
.4ﻧﺘﺎﯾﺞ
38
ﺑﺮاي ﻗﺴﻤﺖ ،Hostsآي ﭘﯽ آدرس ﻣﺮﺑﻮط ﺑﻪ SNMP Managerرا وارد ﻧﻤﺎﯾﯿﺪ .ﻣﺜﻼ در ﻣﺜﺎل ﻣﺎ
192.168.1.114/32ﻣﯽ ﺑﺎﺷﺪ .ﺷﻤﺎ ﺑﻪ راﺣﺘﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ﭼﻨﺪﯾﻦ و ﭼﻨﺪ SNMP Managerداﺷﺘﻪ
ﺑﺎﺷﯿﺪ ﯾﺎ ﺑﺮاي ﻫﺮ اﯾﻨﺘﺮﻓﯿﺲ ﯾﮏ SNMP Managerداﺷﺘﻪ ﺑﺎﺷﯿﺪ ﺗﺎ ﺑﺎ دﻗﺖ ﻋﻤﻞ ﺑﯿﺸﺘﺮي ﺷﺒﮑﻪ را
رﺻﺪ ﻧﻤﺎﯾﯿﺪ.
SNMP Eventsﻫﺎﯾﯽ ﮐﻪ ﻧﯿﺎز دارﯾﺪ را ﻓﻌﺎل ﮐﻨﯿﺪ .در ﺑﯿﺸﺘﺮ ﻣﻮارد ﺗﻤﺎم ﻗﺴﻤﺖ ﻫﺎ ﻓﻌﺎل ﻣﯽ ﮔﺮدد.
39
.2ﻓﻌﺎل ﺳﺎزي SNMPﺑﺮ روي اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ
ﻣﺴﯿﺮ زﯾﺮ را ﭘﯿﻤﺎﯾﺶ ﮐﻨﯿﺪ:
System> Network> Interfaces
ﮔﺰﯾﻨﻪ Editﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﺷﺒﮑﻪ را ﺑﺰﻧﯿﺪ .ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﻪ اﯾﻦ اﯾﻨﺘﺮﻓﯿﺲ ﺑﺎﯾﺪ در ) subnet
ﺷﺒﮑﻪ( ﻫﻤﺎن SNMP Managerﺑﺎﺷﺪ .در ﻗﺴﻤﺖ Administrative Accessﺗﯿﮏ ﮔﺰﯾﻨﻪ SNMP
را ﺑﺰﻧﯿﺪ.
.3داﻧﻠﻮد ﻓﺎﯾﻞ MIBﻓﻮرﺗﯽ ﻧﺖ و ﺗﻨﻈﯿﻤﺎت ﯾﮏ SNMP Manager
ﺑﺮ اﺳﺎس SNMP Managerي ﮐﻪ ﺷﻤﺎ اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﺪ ،ﻣﯿﺘﻮاﻧﯿﺪ MIBﻓﺎﯾﻞ ﻣﺮﺑﻮط ﺑﻪ ﻓﻮرﺗﯽ
ﻧﺖ و ﻓﻮرﺗﯽ ﮔﯿﺖ را داﻧﻠﻮد و اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ.
ﺑﻪ ﻣﺴﯿﺮ زﯾﺮ ﺑﺮوﯾﺪ:
System> Config> SNMP
40
MIBﻓﺎﯾﻞ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻓﻮرﺗﯽ ﻧﺖ را ﻣﺎﻧﻨﺪ ﺷﮑﻞ زﯾﺮ داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ.
دو ﻧﻮع از MIBﻓﺎﯾﻞ ﻫﺎ ﺑﺮاي دﺳﺘﮕﺎه ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮﺟﻮد ﻣﯽ ﺑﺎﺷﺪ.
FortiGate MIB .1
Fortinet MIB .٢
ForiGate MIBﻓﺎﯾﻞ ﺣﺎوي Trapsو ﻓﯿﻠﺪﻫﺎ و اﻃﻼﻋﺎت ﻣﺨﺼﻮﺻﯽ در ﻣﻮرد دﺳﺘﮕﺎه ﻣﯽ ﺑﺎﺷﺪ.
Fortinet MIBﻓﺎﯾﻠﯽ ﺣﺎوي Trapsو ﻓﯿﻠﺪﻫﺎ و اﻃﻼﻋﺎﺗﯽ ﮐﻪ ﺑﻪ ﺻﻮرت ﻣﻌﻤﻮل در ﺗﻤﺎم ﻣﺤﺼﻮﻻت ﻓﻮرﺗﯽ ﻧﺖ
وﺟﻮد دارد.
ﺗﻨﻈﯿﻤﺎت SNMP managerرا ﺑﺮ 192.168.1.114اﻧﺠﺎم داده ﺗﺎ trapsﻫﺎ را از دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ
درﯾﺎﻓﺖ ﻧﻤﺎﯾﺪ .در ﺻﻮرت ﻧﯿﺎز MIBﻓﺎﯾﻞ ﻣﺮﺗﺒﻂ ﺑﺎ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻓﻮرﺗﯽ ﻧﺖ را ﻧﺼﺐ ﻧﻤﺎﯾﯿﺪ.
.4ﻧﺘﺎﯾﺞ
در اﯾﻦ ﻣﺜﺎل ﻣﺎ از Solarwindsﺟﻬﺖ ﻣﺸﺎﻫﺪه SNMP Trapsﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﻢ .در ﺑﺮﻧﺎﻣﻪ
Solarwindsدر ﻗﺴﻤﺖ SNMP> MIB viewerرا اﺟﺮا ﻧﻤﺎﯾﯿﺪ Select Drive.را اﻧﺘﺨﺎب ﮐﺮده و
IPآدرس دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را وارد ﻧﻤﺎﯾﯿﺪ و Community stringﻣﻨﺎﺳﺐ را وارد ﮐﻨﯿﺪ.
در ﻧﺮم اﻓﺰار Solarwindsﺑﻪ ﻗﺴﻤﺖ Log Management> SNMP Trap Receiverرﻓﺘﻪ و
ﮔﺰﯾﻨﻪ Launchرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
در دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ،از ﻃﺮﯾﻖ Log & Report> Event Log> Systemﻣﯽ ﺗﻮاﻧﯿﺪ trapﻫﺎﯾﯽ
ﮐﻪ ارﺳﺎل ﺷﺪه اﺳﺖ را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ.
41
اﺳﺘﻔﺎده از Port Forwardingﺑﺮاي اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﻫﺎي ﻣﺤﺪود ﺑﻪ ﺳﺮورﻫﺎي داﺧﻠﯽ :
در اﯾﻦ ﻣﺜﺎل ﻣﺎ ﺑﻪ ﺷﻤﺎ ﻧﺸﺎن ﻣﯽ دﻫﯿﻢ ﮐﻪ ﭼﻄﻮر از Virtual IPﺑﺮاي ﺗﻨﻈﯿﻤﺎت Port Forwardingﺑﺮ روي
دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ.در اﯾﻦ ﻣﺜﺎل ﭘﻮرت TCP 80و FTP 21و SSH 22ﺑﺎز ﻫﺴﺘﻨﺪ و
ﯾﻮزرﻫﺎي ﺑﯿﺮوﻧﯽ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺗﻮﺳﻂ اﯾﻦ ﭘﻮرت ﻫﺎ ﺑﻪ ﺳﺮورﻫﺎي داﺧﻠﯽ ﻣﺎ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
.4ﻧﺘﺎﯾﺞ
42
Virtual IP ﺳﺎﺧﺖ.1
43
ﯾﮏ Virtual IPﺛﺎﻧﻮﯾﻪ ﺑﺮاي ﭘﻮرت 22ﻣﯽ ﺳﺎزﯾﻢ .در ﻗﺴﻤﺖ labelاﺳﻢ Webserver-SSرا اﻧﺘﺨﺎب ﻣﯿﮑﻨﯿﻢ
ﯾﮏ Security Policyﺑﺴﺎزﯾﺪ ﮐﻪ دﺳﺘﺮﺳﯽ ﺑﻪ ﺳﺮورﻫﺎ از ﭘﺸﺖ ﻓﺎﯾﺮوال اﻣﮑﺎن ﭘﺬﯾﺮ ﺑﺎﺷﺪ.
ﻣﺴﻠﻤﺎ اﺳﺘﻔﺎده از Security Profileﻫﺎي ﻣﻨﺎﺳﺐ از ﺳﺮورﻫﺎي ﺷﻤﺎ ﻣﺤﺎﻓﻄﺖ ﺧﻮاﻫﺪ ﮐﺮد.
44
.4ﻧﺘﺎﯾﺞ
ﻗﺒﻞ از ﻫﺮﭼﯿﺰ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﭘﻮرت TCPﺷﻤﺎره 80ﺑﺎز اﺳﺖ و ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺑﯿﺮون ﻓﺎﯾﺮوال ﺑﺎ وب ﺳﺮور
ارﺗﺒﺎط ﺑﺮﻗﺮار ﮐﻨﯿﺪ .ﻫﻤﭽﻨﯿﻦ از ﺑﺎز ﺑﻮدن ﭘﻮرت ﻫﺎي 22و 21ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ.
اﯾﻦ ﻓﺼﻞ در ﻣﻮرد ﻗﺎﺑﻠﯿﺖ ﻫﺎي اﻣﻨﯿﺘﯽ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﺻﺤﺒﺖ ﻣﯽ ﻧﻤﺎﯾﺪ .اﯾﻦ ﻗﺎﺑﻠﯿﺖ ﻫﺎ ﺷﺎﻣﻞ آﻧﺘﯽ
وﯾﺮوس ،ﻓﯿﻠﺘﺮﯾﻨﮓ وب ،ﮐﻨﺘﺮل ﺑﺮﻧﺎﻣﻪ ﻫﺎ ، IPS ،اﯾﻤﯿﻞ ﻓﯿﻠﺘﺮﯾﻨﮓ و DLPﻣﯽ ﺑﺎﺷﺪ.
ﻫﺮ ﻗﺎﺑﻠﯿﺖ اﻣﻨﯿﺘﯽ ﯾﮏ ﭘﺮوﻓﺎﯾﻞ ﭘﯿﺶ ﻓﺮض دارد .ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﭘﺮوﻓﺎﯾﻞ ﻫﺎي ﭘﯿﺶ ﻓﺮض ﺧﻮد را ﺳﺎﺧﺘﻪ و ﺑﺮ
اﺳﺎس ﺳﺎﺧﺘﺎر و ﺳﯿﺎﺳﺖ ﺷﺒﮑﻪ ي ﺧﻮد از آﻧﻬﺎ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ .ﭘﺮوﻓﺎﯾﻞ ﻫﺎي ﺳﺎﺧﺘﻪ ﺷﺪه ﻗﺎﻋﺪﺗﺎ ﻋﻤﻠﯿﺎﺗﯽ ﻣﯽ
ﺑﺎﺷﻨﺪ و ﺳﯿﺎﺳﺖ ﻫﺎي اﻣﻨﯿﺘﯽ ﺷﻤﺎ را ﭘﯿﺎده ﺳﺎزي ﻣﯽ ﻧﻤﺎﯾﻨﺪ ﻫﻤﭽﻨﯿﻦ ﺟﻬﺖ ﻣﺎﻧﯿﺘﻮرﯾﻨﮓ ﺷﺒﮑﻪ ﻣﯽ ﺗﻮان از اﯾﻦ
45
ﭘﺮوﻓﺎﯾﻞ ﻫﺎ اﺳﺘﻔﺎده ﻧﻤﻮد .اﮔﺮ ﻻزم ﺷﻮد ﺗﺮاﻓﯿﮏ ﻫﺎي داﺧﻠﯽ و ﺧﺎرﺟﯽ ﮐﻪ ﺗﻮﻟﯿﺪ رﯾﺴﮏ ﻣﯽ ﮐﻨﻨﺪ ﺗﻮﺳﻂ اﯾﻦ
ﭘﺮوﻓﺎﯾﻞ ﻫﺎ ﺑﻼك ﻣﯽ ﺷﻮﻧﺪ.
ﮐﻨﺘﺮل ﮐﺮدن ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮاﻧﺎﯾﯽ دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ و اﯾﻨﺘﺮﻧﺖ را دارﻧﺪ.
اﺳﺘﻔﺎده ﻧﻤﻮدن از ﻗﺎﺑﻠﯿﺖ Static URL Filterﺟﻬﺖ ﺑﺴﺘﻦ دﺳﺘﺮﺳﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎي ﻣﺸﺨﺺ
ﻫﻨﮕﺎﻣﯽ ﮐﻪ از SSL Inspectionاﺳﺘﻔﺎده ﻣﯿﮑﻨﯿﺪ اﺧﻄﺎرﻫﺎي اﻣﻨﯿﺘﯽ ﻣﺮﺑﻮط ﺑﻪ ﮔﻮاﻫﯿﻨﺎﻣﻪ اﻣﻨﯿﺘﯽ
ﺑﺮاي ﺷﻤﺎ ﻇﺎﻫﺮ ﻧﺸﻮد.
اﺳﺘﻔﺎده از ﯾﮏ ﮔﻮاﻫﯿﻨﺎﻣﻪ دﻟﺨﻮاه ﺑﺮاي SSL Inspection
ﮐﻨﺘﺮل ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ و اﯾﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ
در اﯾﻦ ﻣﺜﺎل ﯾﺎد ﻣﯽ ﮔﯿﺮﯾﺪ ﮐﻪ ﭼﮕﻮﻧﻪ از Application Controlﺑﺮاي ﻣﺸﺎﻫﺪه ﺗﺮاﻓﯿﮏ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ و ﻣﺘﻮﺟﻪ
ﺷﻮﯾﺪ اﮔﺮ ﺑﺮﻧﺎﻣﻪ اي ﻧﺒﺎﯾﺪ از اﯾﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻧﻤﺎﯾﺪ ﭼﺮا و ﭼﮕﻮﻧﻪ در ﺣﺎل اﺳﺘﻔﺎده ﻣﯽ ﺑﺎﺷﺪ .ﻫﺮ ﺑﺮﻧﺎﻣﻪ اي ﮐﻪ
ﻣﺘﻀﺎد ﺑﺎ ﺳﯿﺎﺳﺖ ﻫﺎي ﺷﻤﺎﺳﺖ را Blockﮐﻨﯿﺪ .وﻇﯿﻔﻪ ي ﺧﻄﯿﺮ Application Controlﺑﺮاي آن اﺳﺖ ﮐﻪ
ﺷﻤﺎ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﺑﺮﻧﺎﻣﻪ ﻫﺎي دﻟﺨﻮاه ﺗﺎن ﻧﻤﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺷﺒﮑﻪ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
46
.1ﻓﻌﺎل ﺳﺎزي Application Control
ﮔﺰﯾﻨﻪ Show Moreاﻧﺘﺨﺎب ﮐﻨﯿﺪ و Multiple Security Profilesرا ﻓﻌﺎل ﺳﺎزﯾﺪ .ﺗﻨﻈﯿﻤﺎت اﻋﻤﺎل ﺷﺪه را
Applyﮐﻨﯿﺪ.
47
ﻣﺴﯿﺮ زﯾﺮ را ﭘﯿﻤﺎﯾﺶ ﮐﻨﯿﺪ:
Security Profiles> Application Control
ﭘﺮوﻓﺎﯾﻞ ﭘﯿﺶ ﻓﺮض ﻣﻮﺟﻮد را ﻣﺸﺎﻫﺪه ﻣﯽ ﻧﻤﺎﯾﯿﺪ .ﯾﮏ ﻟﯿﺴﺖ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي دﺳﺘﻪ ﺑﻨﺪي ﺷﺪه ﺑﻪ ﻧﻤﺎﯾﺶ
ﮔﺬاﺷﺘﻪ ﺷﺪه اﺳﺖ .ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﺑﯿﺸﺘﺮ دﺳﺘﻪ ﺑﻨﺪي اﻧﺠﺎم ﺷﺪه ﺑﺮاي ﺣﺎﻟﺖ ﻣﺎﻧﯿﺘﻮرﯾﻨﮓ ﺗﻨﻈﯿﻢ ﮔﺮدﯾﺪه
اﺳﺖ .ﺑﻪ ﻣﻨﻈﻮر ﻧﻈﺎرت ﺑﺮ ﺗﻤﺎم اﭘﻠﯿﮑﺸﻦ ﻫﺎ ،ﮔﺰﯾﻨﻪ All Other Known Applicationرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و آﻧﻬﺎ
را ﺑﺮاي ﺣﺎﻟﺖ ﻣﺎﻧﯿﺘﻮر ﺗﻨﻈﯿﻢ ﮐﻨﯿﺪ .ﻫﻤﯿﻦ ﮐﺎر را ﺑﺮاي All Other Unknown Applicationsاﻧﺠﺎم دﻫﯿﺪ.
در ﭘﺮوﻓﺎﯾﻞ ﭘﯿﺶ ﻓﺮض ﻗﺎﺑﻠﯿﺖ Deep Inspection of Cloud Applicationsروﺷﻦ ﻣﯽ ﺑﺎﺷﺪ.اﯾﻦ ﻗﺎﺑﻠﯿﺖ ﺑﻪ
ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب ﻣﺜﻞ Video Streamingاﺟﺎزه ﻣﯽ دﻫﺪ ﺗﻮﺳﻂ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺎﻧﯿﺘﻮر ﺷﻮﻧﺪ.
48
و ﮔﺰﯾﻨﻪ Now viewرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ .اﯾﻦ داﺷﺒﻮرد ﺗﺮاﻓﯿﮑﯽ ﮐﻪ در ﺣﺎل ﺣﺎﺿﺮ از ﻓﻮرﺗﯽ ﮔﯿﺖ ﻋﺒﻮر ﻣﯿﮑﻨﺪ را
ﻧﻤﺎﯾﺶ ﻣﯽ دﻫﺪ )دﺳﺘﻪ ﺑﻨﺪي ﺑﺮ اﺳﺎس ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻣﯽ ﺑﺎﺷﺪ (.اﮔﺮ دوﺳﺖ دارﯾﺪ اﻃﻼﻋﺎت ﺑﯿﺸﺘﺮي در ﻣﻮرد ﺗﺮاﻓﯿﮏ
ﺑﺮﻧﺎﻣﻪ ﻫﺎ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﺑﺮ روي ﺑﺮﻧﺎﻣﻪ ﻧﻤﺎﯾﺶ داده ﺷﺪه ﮐﻠﯿﮏ ﻧﻤﺎﯾﯿﺪ .ﺗﺮاﻓﯿﮏ ﻣﺒﺪا ،ﺗﺮاﻓﯿﮏ ﻣﻘﺼﺪ و اﻃﻼﻋﺎت
ﮐﺎﻣﻠﯽ درﺑﺎره sessionﻫﺎ ﺑﺪﺳﺖ ﺧﻮاﻫﯿﺪ آورﯾﺪ.
ﺑﺮاي ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎﺗﯽ ﻣﺸﺎﺑﻪ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي Cloudﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﻣﺴﯿﺮ زﯾﺮ رﻓﺘﻪ
System> Fortiview> Cloud Application
و اﭘﻠﯿﮑﺸﯿﻦ ﻫﺎﯾﯽ ﮐﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﺮﻓﺘﻪ اﻧﺪ را ﻣﺸﺎﻫﺪه و ﻣﺎﻧﯿﺘﻮر ﮐﻨﯿﺪ .اﯾﻦ ﻗﺎﺑﻠﯿﺖ ﺑﻪ ﺷﻤﺎ اﯾﻦ اﻣﮑﺎن را
ﻣﯽ دﻫﺪ ﺗﺎ ﻣﺘﻮﺟﻪ ﺷﻮﯾﺪ ﭼﻪ وﯾﺪﺋﻮﻫﺎﯾﯽ دﯾﺪه ﺷﺪه اﺳﺖ اﻟﺒﺘﻪ اﯾﻦ در ﺷﺮاﯾﻄﯽ اﺳﺖ ﮐﻪ ﺗﺮاﻓﯿﮏ Streaming
Videoﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺑﺎﺷﺪ.
در ﻣﺜﺎل ﺑﺎﻻ ،ﺷﻤﺎ ﻓﺮض ﮐﻨﯿﺪ ﺗﺮاﻓﯿﮏ BitTorrentﺷﻨﺎﺳﺎﯾﯽ ﺷﺪه اﺳﺖ .ﺣﺎﻻ وﻗﺖ آن اﺳﺖ ﮐﻪ ﺑﺎ ﺳﺎﺧﺖ ﯾﮏ
Applicationﮐﻨﺘﺮﻟﺮ ﮐﻪ ﺗﺮاﻓﯿﮏ P2Pرا ﺑﻼك ﻣﯿﮑﻨﺪ ﻗﺪرت ﻓﺎﯾﺮوال ﺧﻮد را ﺑﻪ رُخ ﺑﮑﺸﯿﺪ.
ﭘﺮوﻓﺎﯾﻞ ﺟﺪﯾﺪ ﺗﻤﺎم ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻣﺮﺗﺒﻂ ﺑﺎ ﯾﻮﺗﯿﻮب را ﻫﻢ ﺑﻼك ﺧﻮاﻫﺪ ﮐﺮد ﺑﺪون اﯾﻨﮑﻪ ﺗﺎﺛﯿﺮ ﻣﻨﻔﯽ ﺑﺮ روي ﺑﻘﯿﻪ
ي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ Video/Audioﺑﮕﺬارد.
49
در زﯾﺮ ﻗﺴﻤﺖ Application Overridesﻗﺴﻤﺖ Add Signaturesرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ .ﮐﻠﻤﻪ Youtubeرا ﺳﺮچ
ﮐﻨﯿﺪ و ﺗﻤﺎم signaturesﻫﺎي ﻣﺮﺗﺒﻂ ﺑﺎ آن را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ .ﻫﻤﺎن ﻃﻮري ﮐﻪ ﻣﺸﺎﻫﺪه ﻣﯿﮑﻨﯿﺪ ﺗﻤﺎم signatures
ﻫﺎ ﺑﻪ ﻟﯿﺴﺖ اﺿﺎﻓﻪ ﺷﺪﻧﺪ و ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر Blockﺷﺪﻧﺪ .ﮔﺰﯾﻨﻪ Deep Inspection of Cloud Applicartion
را ﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ.
در ﻗﺴﻤﺖ Security Profileدﮐﻤﻪ Application Controlرا زده ﺗﺎ اﯾﻦ ﻗﺎﺑﻠﯿﺖ ﻓﻌﺎل ﺷﻮد و ﭘﺮوﻓﺎﯾﻞ ﺳﺎﺧﺘﻪ
ﺷﺪه را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
.7ﻧﺘﺎﯾﺞ
ﺳﻌﯽ ﮐﻨﯿﺪ وارد ﺳﺎﯾﺖ www.Youtube.comﺷﻮﯾﺪ .ﯾﮏ ﭘﯿﻐﺎم ﻫﺸﺪار درﯾﺎﻓﺖ ﻣﯿﮑﻨﯿﺪ ﮐﻪ ﻇﺎﻫﺮي ﻣﺎﻧﻨﺪ
ﻋﮑﺲ زﯾﺮ دارد و ﺑﻪ ﺷﻤﺎ اﻋﻼم ﻣﯽ ﮐﻨﺪ ﺳﺎﯾﺖ ﻣﻮرد ﻧﻈﺮ ﺑﻼك ﺷﺪه اﺳﺖ.
ﺧﯿﺎﻟﺘﺎن راﺣﺖ ﺑﺎﺷﺪ ﮐﻪ ﺗﺮاﻓﯿﮏ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺑﯿﺖ ﺗﻮرﯾﻨﺖ ﻧﯿﺰ ﺑﻼك ﺧﻮاﻫﻨﺪ ﺷﺪ .ﺟﻬﺖ ﮐﺴﺐ
اﻃﻼﻋﺎت ﺑﯿﺸﺘﺮ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺑﻼك ﺷﺪه ﺑﻪ ﻣﺴﯿﺮ System> Fortiview> All Sessionرﻓﺘﻪ و ﺣﺎﻟﺖ 5
minutesرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
اﺳﺘﻔﺎده از ﻗﺎﺑﻠﯿﺖ Static URL filterﺟﻬﺖ ﺟﻠﻮﮔﯿﺮي از دﺳﺘﺮﺳﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎي ﻣﺸﺨﺺ
50
وﻗﺘﯽ ﺷﻤﺎ اﺟﺎزه دﺳﺘﺮﺳﯽ ﺑﻪ ﻧﻮع ﺧﺎﺻﯽ از ﻣﺤﺘﻮا را ﻣﯽ دﻫﯿﺪ ﻣﺎﻧﻨﺪ دﺳﺘﻪ ﺑﻨﺪي Social Networkﻫﺎ ،ﻣﻤﮑﻦ
اﺳﺖ ﻓﻮرﺗﯽ ﮔﺎرد در داﺧﻞ اﯾﻦ دﺳﺘﻪ ﺑﻨﺪي ﺳﺎﯾﺖ ﻫﺎﯾﯽ ﺑﺎﺷﻨﺪ ﮐﻪ ﺷﻤﺎ دوﺳﺖ دارﯾﺪ آﻧﻬﺎ را ﺑﻼك ﮐﺮده و اﺟﺎزه
دﺳﺘﺮﺳﯽ را از ﮐﺎرﺑﺮان ﺑﮕﯿﺮﯾﺪ .در اﯾﻦ ﻣﺜﺎل ،ﺷﻤﺎ ﯾﺎد ﻣﯽ ﮔﯿﺮد ﮐﻪ ﭼﻄﻮر ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺗﻨﻈﯿﻢ ﻧﻤﺎﯾﯿﺪ ﺗﺎ از
دﺳﺘﺮﺳﯽ ﺑﻪ ﺷﺒﮑﻪ ﻫﺎي اﺟﺘﻤﺎﻋﯽ ﺧﺎص ﺟﻠﻮﮔﯿﺮي ﮐﻨﺪ .اﯾﻦ ﺷﺎﻣﻞ Sub Domainﻫﺎ ﻣﯽ ﺷﻮد .اﯾﻦ ﺑﻪ ﻣﻌﻨﯽ
اﺳﺖ ﮐﻪ ﯾﮏ Static URL Filterﻣﯽ ﺑﺎﺷﺪ .و ﺑﻮﺳﯿﻠﻪ اﺳﺘﻔﺎده از SSL Inspectionاﻧﺠﺎم ﻣﯽ ﺷﻮد .ﺷﻤﺎ ﻣﻄﻤﺌﻦ
ﺧﻮاﻫﯿﺪ ﺷﺪ ﮐﻪ اﯾﻦ وب ﺳﺎﯾﺖ ﺣﺘﯽ ﺑﻮﺳﯿﻠﻪ ﭘﺮوﺗﮑﻞ SSLﻫﻢ ﺑﻼك ﺧﻮاﻫﺪ ﺷﺪ.
در اﯾﻦ ﻣﺜﺎل Security Profileﺑﺮاي IPv4ﻧﻮﺷﺘﻪ ﻣﯽ ﺷﻮد اﻣﺎ اﯾﻦ روش ﺑﺮاي IPv6ﻫﻢ ﮐﺎر ﺧﻮاﻫﺪ ﮐﺮد .ﻫﺮ
ﺗﻨﻈﯿﻤﯽ در IPv4ﻋﯿﻨﺎ در IPv6ﻫﻢ ﮐﺎرﺑﺮدي ﺧﻮاﻫﺪ ﺑﻮد.
-1ﺗﺎﯾﯿﺪ ﺳﺮوﯾﺲ ﻓﻮرﺗﯽ ﮔﺎرد ) ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﻢ ﮐﻪ ﺳﺮوﯾﺲ ﻓﻮرﺗﯽ ﮔﺎرد درﺳﺖ ﮐﺎر ﻣﯿﮑﻨﺪ(
-5ﻧﺘﺎﯾﺞ
در ﮔﺠﺖ ،License Informationﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ اﺷﺘﺮاك ﻣﺮﺑﻮط ﺑﻪ Web Filteringﻓﻌﺎل اﺳﺖ و درﺳﺖ
ﮐﺎر ﻣﯿﮑﻨﺪ .اﮔﺮ اﺷﺘﺮاك را داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﺳﺮوﯾﺲ ﺳﺒﺰ ﺧﻮاﻫﺪ ﺑﻮد ) .ﺑﻪ ﺷﮑﻞ زﯾﺮ دﻗﺖ ﮐﻨﯿﺪ(
51
.2وﯾﺮاﯾﺶ Web Filter Profile
و Web Filter Profileﭘﯿﺶ ﻓﺮض دﺳﺘﮕﺎه را وﯾﺮاﯾﺶ ﮐﻨﯿﺪ .ﺗﻨﻈﯿﻢ ﻣﺮﺑﻮط ﺑﻪ Inspection Modeرا در ﺣﺎﻟﺖ
Proxyﻗﺮار دﻫﯿﺪ.
FortiGuard Categoriesرا ﻓﻌﺎل ﮐﻨﯿﺪ .در ﻗﺴﻤﺖ ﻣﺮﺑﻮط ﺑﻪ Social Networkﺗﻤﺎم زﯾﺮﮔﺮوه ﻫﺎ را در ﺣﺎﻟﺖ
Allowﻗﺮار ﺑﺪﻫﯿﺪ و ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﻫﻤﻪ ﭼﯿﺰ درﺳﺖ ﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ .ﺟﻬﺖ اﯾﺠﺎد ﻣﻤﻨﻮﻋﯿﺖ ﺑﺮاي دﯾﺪن ﯾﮏ
Social Netwrokﺳﺎﯾﺖ از اﯾﻦ دﺳﺘﻪ ﺑﻨﺪي ،ﺑﻪ Static URL Filterﺑﺮوﯾﺪ ،ﺗﯿﮏ ﻗﺴﻤﺖ Enable URL Filter
را ﺑﺰﻧﯿﺪ و ﺑﻌﺪ Create Newرا اﻧﺘﺨﺎب ﮐﻨﯿﺪ:
ﺑﺮاي ﺳﺎﺧﺘﻦ وب ﻓﯿﻠﺘﺮ ﺟﺪﯾﺪ URL ،ﺳﺎﯾﺘﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﯿﺪ ﺑﻼك ﮐﻨﯿﺪ را وارد ﻧﻤﺎﯾﯿﺪ .اﮔﺮ در ﻧﻈﺮ دارﯾﺪ ﺗﻤﺎم
Subdomainﻫﺎي ﺳﺎﯾﺖ را ﻓﻠﯿﺘﺮ ﮐﻨﯿﺪ از ﻋﻼﻣﺖ * اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ .ﻣﺜﻼ وارد ﮐﻨﯿﺪ *cloob.com :
در ﻗﺴﻤﺖ Typeﮔﺰﯾﻨﻪ Wildcardرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و Actionرا در ﺣﺎﻟﺖ Blockﻗﺮار دﻫﯿﺪ و Statusرا در
ﺣﺎﻟﺖ Enableﻗﺮار دﻫﯿﺪ.
ﮔﺰﯾﻨﻪ Create Newرا اﻧﺘﺨﺎب ﮐﺮده و ﺑﺮ اﺳﺎس ﺗﻮﺿﯿﺤﺎت زﯾﺮ ﺗﻨﻈﯿﻤﺎت را اﻧﺠﺎم دﻫﯿﺪ:
Incoming Interface= internal Network
)Outgoing Interface= Internet Facing (WAN
Enable NAT
در زﯾﺮ ﻗﺴﻤﺖ Security Profilesﻗﺴﻤﺖ Web Filterرا ﺑﻪ ﺣﺎﻟﺖ ONﺑﺮده و defaultرا اﻧﺘﺨﺎب ﻣﯽ ﮐﻨﯿﻢ.
ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر SSL/SSH Inspectionﻓﻌﺎل ﻣﯽ ﮔﺮدد.
ﺑﻌﺪ از ﺳﺎﺧﺖ Policyﺟﺪﯾﺪ ،ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ اﯾﻦ Policyدر ﺑﺎﻻي ﻟﯿﺴﺖ ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ .ﺑﺮاي ﺟﺎﺑﺠﺎ ﮐﺮدن
Policyﻓﻘﻂ ﮐﺎﻓﯽ اﺳﺖ آن را ﺑﻪ ﺳﻤﺖ ﺑﺎﻻ و ﯾﺎ ﭘﺎﯾﯿﻦ ﺣﺮﮐﺖ دﻫﯿﺪ.
.5ﻧﺘﺎﯾﺞ
ﺳﺎﯾﺖ ﻫﺎي زﯾﺮ را ﺑﺎزدﯾﺪ ﮐﻨﯿﺪ ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ Websiteﺑﻼﮐﯿﻨﮓ ﺑﺪرﺳﺘﯽ ﮐﺎر ﻣﯿﮑﻨﺪ:
Cloob.com
Attachment.cloob.com
Upload.cloob.com
اﮔﺮ ﺷﻤﺎ از ﭘﺮوﺗﮑﻞ Httpsﻫﻢ ﺑﺮاي ﺑﺎزدﯾﺪ از ﺳﺎﯾﺖ ﻫﺎي ﺑﻼك ﺷﺪه اﺳﺘﻔﺎده ﮐﻨﯿﺪ ﻣﺸﺎﻫﺪه ﺧﻮاﻫﯿﺪ ﮐﺮد ﮐﻪ ﺑﺎ
وﺟﻮد اﯾﻦ ﭘﺮوﺗﮑﻞ ﺑﺎز ﻫﻢ اﯾﻦ ﺳﺎﯾﺖ ﻫﺎ ﺑﻼك ﻣﯽ ﺷﻮﻧﺪ.
ﺟﻠﻮﮔﯿﺮي ﮐﺮدن از اﻋﻼم اﺧﻄﺎر Certificateوﻗﺘﯽ ﮐﻪ SSL full inspectionﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد.
اﯾﻦ ﻣﺜﺎل ﺑﺮاي ﺷﻤﺎ ﺷﺮح ﺧﻮاﻫﺪ داد ﮐﻪ ﭼﮕﻮﻧﻪ ﮐﺎرﺑﺮاﻧﺘﺎن اﺧﻄﺎر Certificate Securityﻣﯽ ﮔﯿﺮﻧﺪ در ﺣﺎﻟﯽ
ﮐﻪ ﺷﻤﺎ ﺣﺎﻟﺖ SSL Inspectionرا ﻓﻌﺎل ﮐﺮده اﯾﺪ(deep inspection).
53
وﻗﺘﯽ ﮐﺎرﺑﺮان ﭘﯿﻐﺎم ﺧﻄﺎ را ﻣﺸﺎﻫﺪه ﻣﯽ ﮐﻨﻨﺪ اوﻟﯿﻦ ﮐﺎري ﮐﻪ ﺑﻪ ذﻫﻦ آﻧﻬﺎ ﺧﻄﻮر ﻣﯿﮑﻨﺪ زدن دﮐﻤﻪ Continue
ﻣﯽ ﺑﺎﺷﺪ .اﯾﻦ ﻋﺎدت ﺑﺪ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺷﻤﺎ ﺗﺸﻮﯾﻖ ﺷﻮﯾﺪ ﺑﺮاي اﯾﻨﮑﻪ ﻓﺮاﻫﻢ آوردن SSL CAﻓﻮرﺗﯽ ﮔﯿﺖ ﺗﺎ
روي ﻣﺮورﮔﺮﻫﺎي ﮐﺎرﺑﺮان ﻧﺼﺐ ﻧﻤﺎﯾﯿﺪ .ﺧﻄﺎي ﻣﺮﺑﻮط ﺑﻪ Certificateﺗﻨﻬﺎ زﻣﺎﻧﯽ دﯾﺪه ﻣﯽ ﺷﻮد ﮐﻪ SSL
Inspectionدر ﺣﺎﻟﺖ Deepﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﺑﮕﯿﺮد.
.5ﻧﺘﺎﯾﺞ
در ﺳﻤﺖ راﺳﺖ ﺑﺎﻻﺗﺮﯾﻦ ﻗﺴﻤﺖ ﺻﻔﺤﻪ از ﻣﻨﻮي ﻣﺸﺨﺺ ﺷﺪه در ﺷﮑﻞ ﮔﺰﯾﻨﻪ deep-inspectionرا اﻧﺘﺨﺎب
ﻧﻤﺎﯾﯿﺪ.
54
ﻧﮑﺘﻪ :ﭘﺮوﻓﺎﯾﻞ deep-inspectionﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺑﻪ ﺻﻮرت داﺋﻤﯽ ﺗﺮاﻓﯿﮏ ﮐﺪﮔﺬاري ﺷﺪه و SSL inspection
اﻋﻤﺎل ﺷﻮد.
در اﯾﻦ ،Policyدﺳﺘﻪ ﺑﻨﺪي ﺳﺎﯾﺖ ﻫﺎﯾﯽ ﻣﺎﻧﻨﺪ Health and wellness, Personal Privacy, Financeﻣﺘﻤﺎﯾﺰ
ﺷﺪه و اﯾﻦ Policyﺑﻪ اﯾﻦ ﮔﻮﻧﻪ از ﺳﺎﯾﺖ ﻫﺎ اﻋﻤﺎل ﻧﻤﯽ ﮔﺮدد .ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﻣﺎﻧﻨﺪ itunesو Dropboxﮐﻪ ﻧﯿﺎزﻣﻨﺪ
certificateﻫﺎ ﯾﮑﺘﺎ ) (Uniqueﻣﯽ ﺑﺎﺷﻨﺪ ﻧﯿﺰ از اﯾﻦ دﺳﺘﻪ ﺑﻨﺪي ﻣﺘﻤﺎﯾﺰ ﻣﯽ ﮔﺮدﻧﺪ.
ﺑﺮ روي ﮔﺰﯾﻨﻪ Show Moreﮐﻠﯿﮏ ﻧﻤﺎﯾﯿﺪ و ﻗﺴﻤﺖ Certificateرا ﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ .دﮐﻤﻪ Applyرا ﺑﺰﻧﯿﺪ.
55
ﺗﻮﺳﻂ Wizardﻇﺎﻫﺮ ﺷﺪه certificateرا وارد ﻧﻤﺎﯾﯿﺪ .ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ Certificateدر داﺧﻞ Trusted
Root Certification Authoritiesوارد ﺷﺪه اﺳﺖ.
ﯾﮏ اﺧﻄﺎري ﺑﻪ ﺷﻤﺎ داده ﺧﻮاﻫﺪ ﺷﺪ ﺑﻪ اﯾﻦ ﺧﺎﻃﺮ ﮐﻪ Certificateﺻﺎدر ﺷﺪه Self signedﻣﯽ ﺑﺎﺷﺪ .ﻫﯿﭻ
ﻣﺸﮑﻠﯽ اﯾﺠﺎد ﻧﺨﻮاﻫﺪ ﺷﺪ و ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ ﺧﯿﺎﻟﯽ آﺳﻮده certificateرا installﻧﻤﺎﯾﯿﺪ.
ﻣﯽ ﺗﻮاﻧﯿﺪ ﮔﻮاﻫﯿﻨﺎﻣﻪ ي ﺻﺎدر ﺷﺪه ﺗﻮﺳﻂ ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺑﻪ داﺧﻞ ﻣﺮورﮔﺮ وارد ﻧﻤﺎﯾﯿﺪ.
وارد ﻣﺤﻠﯽ ﺷﻮﯾﺪ ﮐﻪ Fortinet_CA_SSLProxyرا داﻧﻠﻮد ﮐﺮدﯾﺪ و ﺳﭙﺲ ﮔﻮاﻫﯿﻨﺎﻣﻪ را ﻧﺼﺐ ﻧﻤﺎﯾﯿﺪ .ﻣﺮاﺣﻞ
ﻣﺮﺑﻮط ﺑﻪ ﻧﺼﺐ Certificateﻇﺎﻫﺮ ﻣﯽ ﺷﻮد .ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ Certificateدر داﺧﻞ Trusted Root
Certification Authoritiesﻧﺼﺐ ﺷﻮد .ﭘﺲ از اﻧﺠﺎم اﯾﻦ ﮐﺎر ﭘﯿﻐﺎم اﺧﻄﺎري را ﻣﺸﺎﻫﺪه ﺧﻮاﻫﯿﺪ ﮐﺮد دﻟﯿﻞ
56
اﯾﻦ ﭘﯿﻐﺎم Self Signedﺑﻮدن certificateﻣﯽ ﺑﺎﺷﺪ .ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ اﯾﻦ Certificateﮐﺎﻣﻼ اﻣﻦ و ﺑﺪون
ﻣﺸﮑﻞ ﻣﯽ ﺑﺎﺷﺪ ﭘﺲ ﺑﺎ ﺧﯿﺎﻟﯽ آﺳﻮده آﻧﺮا ﻧﺼﺐ ﻧﻤﺎﯾﯿﺪ.
.5ﻧﺘﺎﯾﺞ
در ﺻﻮرت ﻧﺎدﯾﺪه ﮔﺮﻓﺘﻦ ﺧﻄﺎﻫﺎي ﻣﺮورﮔﺮ در ﻣﻮرد Certificateﺑﺎز ﻫﻢ ﻣﻨﻮ ﺑﺎر ﺑﺎﻻي ﺻﻔﺤﻪ رﻧﮓ ﻗﺮﻣﺰي ﺧﻮاﻫﺪ
داﺷﺖ ﮐﻪ ﺑﺸﺪت روي اﻋﺼﺎب ﮐﺎرﺑﺮان اﺳﺖ ﮐﻪ ﺑﺎ ﻧﺼﺐ Fortigate SSL CA Certificationﻣﺸﮑﻼت ﺣﻞ
ﺧﻮاﻫﺪ ﺷﺪ.
57
ﺑﻌﺪ از ﻧﺼﺐ FortiGate SSL CA Certificateﻫﯿﭻ ﮔﻮﻧﻪ اﺧﻄﺎر ﯾﺎ ﭘﯿﻐﺎم ﺧﻄﺎﯾﯽ ﻧﺒﺎﯾﺪ ﺑﺮاي ﺷﻤﺎ ﻧﻤﺎﯾﺶ داده
ﺷﻮد زﯾﺮا ﺑﺨﺶ SSL Content inspectionﮐﺎر ﺧﻮد را ﺑﺪرﺳﺘﯽ اﻧﺠﺎم ﻣﯽ دﻫﺪ .ﺑﻪ ﻃﻮر ﻣﺜﺎل در ﺣﺎل ﺣﺎﺿﺮ
iTunesﺑﺪون دادن ﭘﯿﻐﺎم Crtificateاﺟﺮا ﺧﻮاﻫﺪ ﺷﺪ.
اﯾﻦ دﺳﺘﻮراﻟﻌﻤﻞ ﺑﻪ ﺷﻤﺎ آﻣﻮزش ﻣﯽ دﻫﺪ ﮐﻪ ﭼﻄﻮر از دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮاي ﺳﺎﺧﺘﻦ ﯾﮏ Certificate
دﻟﺨﻮاه اﺳﺘﻔﺎده ﮐﻨﯿﺪ و اﯾﻦ Certificatﺑﻮﺳﯿﻠﻪ ﯾﮏ CAﺳﺮور ﺻﺎدر ﺷﻮد.
اﯾﻦ دﺳﺘﻮراﻟﻌﻤﻞ ﺑﻪ ﺷﻤﺎ ﻧﺸﺎن ﺧﻮاﻫﺪ داد ﮐﻪ ﭼﻄﻮر CA Certificateدر دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ وارد ﻧﻤﺎﯾﯿﺪ و
ﭼﮕﻮﻧﻪ Certificateرا در ﭘﺮوﻓﺎﯾﻞ SSL Inspectionوارد ﻧﻤﺎﯾﯿﺪ.
ﯾﮏ Certificateﺑﺎ CA=Trueو ﯾﺎ KeyUsage=Certsignﯾﮏ ﻣﺘﺎ دﯾﺘﺎ اﯾﺠﺎد ﻣﯽ ﮐﻨﺪ ﺗﺎ در deep inspection
ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮد.
وﻗﺘﯽ Certificateﭘﯿﺶ ﻓﺮض ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد ﮐﻪ ﺑﺎ وارد ﮐﺮدن ﯾﮏ Certificate
دﻟﺨﻮاه از ﯾﮏ CAﺷﻨﺎﺧﺘﻪ ﺷﺪه دﯾﮕﺮ ،ﯾﮏ زﻧﺠﯿﺮه ﻗﺎﺑﻞ اﻋﺘﻤﺎد اﯾﺠﺎد ﺷﻮد ﮐﻪ از ﻗﺒﻞ وﺟﻮد ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ .اﯾﻦ
ﺷﺮاﯾﻂ ﺑﻪ ﮐﺎرﺑﺮان ﺷﺒﮑﻪ اﺟﺎزه ﻣﯽ دﻫﺪ ﺗﺎ ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﻤﺎﻧﻨﺪ ﯾﮏ CAﺗﺮاﺳﺖ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
.5ﻧﺘﺎﯾﺞ
58
.1درﺳﺖ ﮐﺮدن ﯾﮏ :CSR
در ﺻﻔﺤﻪ ي Generate Certificate Signing Requestﻓﯿﻠﺪﻫﺎي ﻣﺮﺑﻮﻃﻪ را ﭘُﺮ ﻧﻤﺎﯾﯿﺪ .ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ
ﺣﺪاﮐﺜﺮ ﭘﻨﺞ Organization Unitوارد ﻧﻤﺎﯾﯿﺪ.
ﻣﻤﮑﻦ اﺳﺖ ﺷﻤﺎ Subject Alternative Namesرا ﺑﺮاي Certificateﻫﺎﯾﯽ ﮐﻪ validﻫﺴﺘﻨﺪ وارد ﻧﻤﺎﯾﯿﺪ.
ﺟﺪاﺳﺎزي ﻧﺎم ﻫﺎ ﺑﺎ اﺳﺘﻔﺎده از ﮐﺎﻣﺎ ﺻﻮرت ﻣﯽ ﭘﺬﯾﺮد.
در اﯾﻦ ﻗﺴﻤﺖ ﻣﯽ ﺗﻮاﻧﯿﺪ ﻟﯿﺴﺖ ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ .وﺿﻌﯿﺖ CSRﺳﺎﺧﺘﻪ ﺷﺪه ﻫﻢ در ﻟﯿﺴﺖ ﺑﻪ
ﺻﻮرت Pendingﻗﺎﺑﻞ ﻣﺸﺎﻫﺪه ﻣﯽ ﺑﺎﺷﺪ Certificate.ﻣﻮرد ﻧﻈﺮ ﺧﻮد را اﻧﺘﺨﺎب ﮐﺮده و ﮔﺰﯾﻨﻪ Downloadرا
ﺑﺰﻧﯿﺪ .اﯾﻦ CSRﺑﺎﯾﺪ ﺗﻮﺳﻂ ﯾﮏ Enterprise root CAاراﺋﻪ ﺷﻮد ﺗﺎ ﺑﺘﻮاﻧﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮد .وﻗﺘﯽ اﯾﻦ
ﻓﺎﯾﻞ اراﺋﻪ ﺷﺪ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ templateﺑﺮاي ﯾﮏ Subordinate Certification Authorityﻣﻮرد اﺳﺘﻔﺎده
ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ.
59
اوﻟﯿﻦ ﺑﺎري ﮐﻪ ﯾﮏ CSRﺗﻮﺳﻂ ﯾﮏ enterprise root CAﻣﻮرد ﻗﺒﻮل واﻗﻊ ﺷﺪ ،ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ داﺧﻞ دﺳﺘﮕﺎه
ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد وارد ﻧﻤﺎﯾﯿﺪ.
و ﺑﺮ روي ﮔﺰﯾﻨﻪ Importﮐﻠﯿﮏ ﻧﻤﺎﯾﯿﺪ .در ﻗﺴﻤﺖ Typeاز ﻣﻨﻮي ﭘﺎﯾﯿﻦ اﻓﺘﺎدﻧﯽ Drop Down Menuﮔﺰﯾﻨﻪ
Local Certificateرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و ﺑﺮ روي دﮐﻤﻪ Choose fileﮐﻠﯿﮏ ﻧﻤﺎﯾﯿﺪ.
Certificateرا ﮐﻪ در ﻧﻈﺮ دارﯾﺪ وارد ﻧﻤﺎﯾﯿﺪ locateﮐﺮده و آﻧﺮا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ .ﮔﻮاﻫﯿﻨﺎﻣﻪ ي ﭘﺬﯾﺮﻓﺘﻪ ﺷﺪه
ﺗﻮﺳﻂ CAدر ﻗﺴﻤﺖ ﻟﻮﮐﺎل ﻗﺎﺑﻞ ﻣﺸﺎﻫﺪه ﺧﻮاﻫﺪ ﺑﻮد.
ﺑﺮاي اﺳﺘﻔﺎده ﮐﺮدن از ﮔﻮاﻫﯿﻨﺎﻣﻪ ﺻﺎدر ﺷﺪه ﺑﺮاي ﺷﻤﺎ ﯾﮏ SSL Inspection profileﻧﯿﺎز ﻣﯽ ﺑﺎﺷﺪ
Policy & Objects>Policy>SSL/SSH Inspection
ﻣﻤﮑﻦ اﺳﺖ ﺷﻤﺎ ﺑﺨﻮاﻫﯿﺪ دﺳﺘﻪ ﺑﻨﺪي وب ﺳﺎﯾﺖ ﻫﺎ را اﻧﺘﺨﺎب ﮐﺮده و آدرس ﻫﺎﯾﯽ ﮐﻪ از SSL Inspection
ﻣﻌﺎف ﻫﺴﺘﻨﺪ را ﻣﺸﺨﺺ ﻧﻤﺎﯾﯿﺪ.
در ﻗﺴﻤﺖ ،Security Profilesﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ SSL Inspectionو Web Filterروﺷﻦ ﻣﯽ ﺑﺎﺷﻨﺪ .از
ﻣﻨﻮي ﭘﺎﯾﯿﻦ اﻓﺘﺎدﻧﯽ SSL Inspectionﭘﺮوﻓﺎﯾﻞ ﺟﺪﯾﺪ را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ .وب ﻓﯿﻠﺘﺮ روي ﺣﺎﻟﺖ ﭘﯿﺶ ﻓﺮض
ﺑﺎﻗﯽ ﺑﻤﺎﻧﺪ.
.5ﻧﺘﺎﯾﺞ
60
وﻗﺘﯽ ﮐﻪ ﯾﮏ وب ﺳﺎﯾﺖ HTTPSرا ﺑﻪ ﺻﻮرت ﻧﺮﻣﺎل ﻣﺸﺎﻫﺪه ﻣﯽ ﮐﻨﯿﺪ ﻣﻤﮑﻦ اﺳﺖ ﯾﮏ ﭘﯿﻐﺎم اﺧﻄﺎر ﻇﺎﻫﺮ
ﺷﻮد اﻟﺒﺘﻪ اﯾﻦ اﺗﻔﺎق در ﺷﺮاﯾﻄﯽ رخ ﻣﯽ دﻫﺪ ﮐﻪ ﺷﻤﺎ از Self-signed certificateاﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ.
اﮔﺮ ﺷﻤﺎ از ﯾﮏ ﮔﻮاﻫﯿﻨﺎﻣﻪ ﺗﻮﺳﻂ ﯾﮏ CAﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺻﺎدر ﺷﺪه ﺑﺎﺷﺪ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ ﭘﯿﻐﺎم اﺧﻄﺎر ﻧﺒﺎﯾﺪ
ﻧﻤﺎﯾﺶ داده ﺷﻮد.
اﮔﺮ اﻃﻼﻋﺎت ﻣﺮﺗﺒﻂ ﺑﺎ ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎي ﺻﺎدر ﺷﺪه ﺑﺮاي ﻫﺮ وب ﺳﺎﯾﺖ را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ اﻃﻼﻋﺎﺗﯽ در ﻣﻮرد
وﺿﻌﯿﺖ ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ ﺗﺎرﯾﺦ ﺻﺪور و ﺗﺎرﯾﺦ اﻧﻘﻀﺎ و ﺳﺎﯾﺮ ﻣﻮارد ﺑﺪﺳﺖ ﻣﯽ آورﯾﺪ.
در ﺣﺎل ﺣﺎﺿﺮ ﯾﮏ ﮐﺎرﺑﺮ ﻣﻌﻤﻮﻟﯽ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﺻﻮرت دﺳﺘﯽ ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ را importﮐﺮده ﺗﺎ trustﻻزم را
ﺑﺪﺳﺖ آورد اﻣﺎ در ﺷﺒﮑﻪ ﻫﺎي وﯾﻨﺪوزي ﮐﺎرﺑﺮي ﮐﻪ ﺟﺰو Domainﺑﺎﺷﺪ ادﻣﯿﻦ ﺳﯿﺴﺘﻢ ﻣﯽ ﺗﻮاﻧﺪ از ﻃﺮﯾﻖ
Group policyﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ را ﻓﻮرس ﻧﻤﺎﯾﺪ.
در اﯾﻦ ﻣﺜﺎل ،ﯾﻮزر و دﯾﻮاﯾﺲ ﻫﺎي اﺣﺮاز ﻫﻮﯾﺖ ﺷﺪه authenticationدﺳﺘﺮﺳﯽ ﻣﺘﻔﺎوﺗﯽ ﻧﺴﺒﺖ ﺑﻪ ﺳﺎﯾﺮ
ﭘﺮﺳﻨﻞ ﺧﻮاﻫﺪ داﺷﺖ ﮐﻪ اﯾﻦ ﭘﺎﻟﺴﯽ ﺷﺎﻣﻞ ﺗﻤﺎم وﻗﺖ و ﯾﺎ ﻧﯿﻤﻪ وﻗﺖ ﺑﻮده و ﺗﺮاﻓﯿﮏ ﺑﺮاي ﻣﻮﺑﺎﯾﻞ ﻫﺎ ﺑﺴﺘﻪ
ﺧﻮاﻫﺪ ﺷﺪ.
در اﯾﻦ اﯾﻨﺠﺎ ،ﯾﮏ ﺷﺒﮑﻪ واﯾﺮﻟﺲ در ﯾﮏ subnetﻫﻤﺎﻧﻨﺪ ﺷﺒﮑﻪ LANﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ و ﮐﺎرﺑﺮان در ﺣﺎل
اﺳﺘﻔﺎده ﻣﯽ ﺑﺎﺷﻨﺪ.
.3ﺗﻌﺮﯾﻒ ﮐﺮدن ﯾﮏ ﮔﺮوﻫﯽ ﮐﻪ ﺷﺎﻣﻞ دﯾﻮاﯾﺲ ﻫﺎ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ اﯾﻦ ﮔﺮوه ﺷﺎﻣﻞ mobile phoneﻫﺎ
ﻣﯽ ﺑﺎﺷﺪ.
.7ﻧﺘﺎﯾﺞ
61
.1ﺗﻌﺮﯾﻒ ﮐﺮدن دو ﯾﻮزر و دو ﯾﻮزر ﮔﺮوه
ﺳﺎﺧﺖ دو ﮐﺎرﺑﺮ ﺟﺪﯾﺪ ) در اﯾﻦ ﻣﺜﺎل ،از ﻧﺎم ﻫﺎي داود و روﻣﯿﻨﺎ اﺳﺘﻔﺎده ﻣﯿﮑﻨﯿﻢ(
62
ﺑﻪ ﻣﺴﯿﺮ زﯾﺮ ﺑﺮوﯾﺪ:
User & Device > User > User Groups
ﯾﻮزرﮔﺮوپ دوم را ﺳﺎﺧﺘﻪ و ﻧﺎم Part-Timeرا ﺑﻪ آن اﺧﺘﺼﺎص ﺑﺪﻫﯿﺪ و ﮐﺎرﺑﺮ روﻣﯿﻨﺎ را ﺑﻪ آن اﺿﺎﻓﻪ ﮐﻨﯿﺪ.
63
ﯾﮏ زﻣﺎﻧﺒﻨﺪي در ﻣﺤﺪوده ي زﻣﺎﻧﯽ ﻣﺸﺨﺺ ﺑﺴﺎزﯾﺪ .ﺗﻨﻈﯿﻤﺎت را ﺑﺮ اﺳﺎس زﻣﺎﻧﺒﻨﺪي ﻣﻨﺎﺳﺐ و دﻟﺨﻮاه ﺧﻮد
اﻧﺠﺎم دﻫﯿﺪ.
اﯾﻨﺘﺮﻓﯿﺲ ورودي ﺧﻮد را ﺷﺒﮑﻪ داﺧﻠﯽ درﻧﻈﺮ ﮔﺮﻓﺘﻪ در ﮔﺰﯾﻨﻪ ) Source User(sﮔﺮوه full-timeرا اﻧﺘﺨﺎب
ﻧﻤﺎﯾﯿﺪ و ﺑﺮاي outgoing Interfaceدﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ را در ﻧﻈﺮ ﮔﺮﻓﺘﻪ و ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ Scheduleروي ﺣﺎﻟﺖ
alwaysﻗﺮار دارد NAT .را روﺷﻦ ﮐﻨﯿﺪ.
در ﻗﺴﻤﺖ logging Optionsﺣﺎﻟﺖ Log Allowed Trafficرا روﺷﻦ ﮐﺮده و ﮔﺰﯾﻨﻪ All Sessionsرا اﻧﺘﺨﺎب
ﻧﻤﺎﯾﯿﺪ.
64
ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﮐﻨﯿﺪ:
Policy & Objects >Policy > IPv4
ﻫﻤﺎﻧﻨﺪ ﺗﻨﻈﯿﻤﺎت ﻗﺒﻠﯽ از ﺑﺨﺶ Logging Optionsﮔﺰﯾﻨﻪ Log Allowed Trafficرا روﺷﻦ ﮐﺮده و ﮔﺰﯾﻨﻪ
All Sessionsرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
ﺑﻪ ﻣﺴﯿﺮ System> Dashboard> Statusﺑﺮوﯾﺪ و دﺳﺘﻮرات زﯾﺮ را در ﻣﺤﯿﻂ CLIوارد ﻧﻤﺎﯾﯿﺪ ﺟﻬﺖ وارد
ﮐﺮدن ﭘﺎﻟﺴﯽ ﻣﺮﺑﻮط ﺑﻪ part-timeﺣﺘﻤﺎ از ID numberاﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ.
اﯾﻦ دﺳﺘﻮر ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد اﮔﺮ Sessionﻫﺎي ﯾﻮزر ﺑﺎ ﺳﯿﺴﺘﻢ ﺑﺮﻗﺮار ﺑﺎﺷﺪ ﺑﻌﺪ از اﺗﻤﺎم زﻣﺎن اﺳﺘﻔﺎده Sessionﻫﺎ
ﺑﺴﺘﻪ ﺷﺪه و ارﺗﺒﺎط ﮐﺎرﺑﺮ ﻗﻄﻊ ﺷﻮد.
config firewall policy
edit 2
set schedule-timeout enable
end
end
ﺑﻪ ﻣﺴﯿﺮ Policy & Objects> Policy> IPv4رﻓﺘﻪ و ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﻣﻄﺎﺑﻖ ﺑﺎ ﺗﻨﻈﯿﻤﺎت زﯾﺮﺑﺴﺎزﯾﺪ.
Incoming Interface = Local Network
Source Device = Mobile Devices
Outgoing Interface = Internet
Action = DENY
Log Violation Traffic = Turned On
اﯾﻦ ﭘﺎﻟﺴﯽ وﻗﺘﯽ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد ﮐﻪ در ﺑﺎﻻي ﭘﺎﻟﺴﯽ ﻫﺎي دﯾﮕﺮ ﻗﺮار ﮔﯿﺮد .ﺑﺮاي ﺑﺎﻻ ﺑﺮدن اوﻟﻮﯾﺖ
اﯾﻦ ﭘﺎﻟﺴﯽ ﮐﺎﻓﯽ اﺳﺖ در ﮔﻮﺷﻪ ي ﺳﻤﺖ راﺳﺖ آن ﮐﻠﯿﮏ ﮐﺮده و در ﺣﺎﻟﯽ ﮐﻪ ﻣﻮس را ﻧﮕﻪ داﺷﺘﻪ اﯾﺪ آن را ﺑﻪ
ﺑﺎﻻ ﻫﺪاﯾﺖ ﮐﻨﯿﺪ .
.7ﻧﺘﺎﯾﺞ
65
ﺟﻬﺖ اﺳﺘﻔﺎده از اﯾﻨﺘﺮﻧﺖ ﺷﻤﺎ ﺻﻔﺤﻪ ي ﻣﺮﺑﻮط ﺑﻪ Authenticationرا ﻣﺸﺎﻫﺪه ﺧﻮاﻫﯿﺪ ﮐﺮد .ﺑﺮاي ﻻﮔﯿﻦ
ﺷﺪن از اﮐﺎﻧﺖ davoodاﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ .اﯾﻦ اﮐﺎﻧﺖ در ﺗﻤﺎم ﺳﺎﻋﺎت اﺟﺎزه اﺳﺘﻔﺎده را ﺧﻮاﻫﺪ داﺷﺖ.
از ﻃﺮﯾﻖ ﻣﺴﯿﺮ User & Device> Monitor>Firewallﮐﺎرﺑﺮ davoodرا اﻧﺘﺨﺎب ﮐﺮده و ﮔﺰﯾﻨﻪ
De-authenticateرا ﺑﺰﻧﯿﺪ.اﯾﻦ ﺑﺎر از ﻃﺮﯾﻖ ﯾﻮزر روﻣﯿﻨﺎ ﺳﻌﯽ ﮐﻨﯿﺪ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ .ﺑﻌﺪ از اﯾﻨﮑﻪ
Authenticationاﺗﻔﺎق ﻣﯽ اﻓﺘﺪ ﺷﻤﺎ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ اﯾﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﯿﺪ! اﯾﻦ ﻧﮑﺘﻪ را ﺑﻪ ﺧﺎﻃﺮ
ﺑﺴﭙﺎرﯾﺪ ﮐﻪ ﺗﻤﺎم دﺳﺘﮕﺎه ﻫﺎي ﻣﻮﺑﺎﯾﻞ ﻫﻢ اﯾﻨﺘﺮﻧﺖ ﻧﺨﻮاﻫﺪ داﺷﺖ.
اﻃﻼﻋﺎت در ﻣﻮرد Sessionﻫﺎي ﺑﻼك ﺷﺪه از ﻃﺮﯾﻖ System > Fortiview>All Sessionﻗﺎﺑﻞ دﺳﺘﯿﺎﺑﯽ
اﺳﺖ.
IPsec VPN
اﯾﻦ ﻗﺴﻤﺖ ﺣﺎوي اﻃﻼﻋﺎﺗﯽ در ﻣﻮرد اﻧﺠﺎم ﺗﻨﻈﯿﻤﺎت اﻧﻮاع ﻣﺨﺘﻠﻒ IPsec VPNﻣﯽ ﺑﺎﺷﺪ .ﻫﻤﭽﻨﯿﻦ روش ﻫﺎي
ﻣﺘﻔﺎوﺗﯽ از اﺣﺮاز ﻫﻮﯾﺖ ﮐﺎرﺑﺮان در IPsec VPNدر اﯾﻦ ﻓﺼﻞ ﺷﺮح داده ﺧﻮاﻫﺪ ﺷﺪ.
IPsec VPNاز ﭘﺮوﺗﮑﻞ اﻣﻨﯿﺘﯽ اﯾﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻣﯿﮑﻨﺪ ﺗﺎ ﯾﮏ Virtual Private Netwrokﺳﺎﺧﺘﻪ و ﺷﻤﺎ ﺑﺎ
اﺳﺘﻔﺎده از ﺑﺴﺘﺮ اﯾﻨﺘﺮﻧﺖ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ )ﺧﺼﻮﺻﯽ( ﺧﻮد دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﯿﺪ .ﺑﻪ ﻣﻨﻈﻮر اﺗﺼﺎل ﺑﻪ ﯾﮏ
،IPsec VPNﮐﺎرﺑﺮان ﻣﻠﺰم ﻫﺴﺘﻨﺪ IPsec VPNﮐﻼﯾﻨﺖ را ﺑﺮ روي ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎ و ﯾﺎ ﻣﻮﺑﺎﯾﻞ ﻫﺎي ﺧﻮد ﻧﺼﺐ و
) ﻫﻤﺎﻧﻨﺪ . ( FortiClient ﺗﻨﻈﯿﻢ ﻧﻤﺎﯾﻨﺪ .
66
ﭘﯿﮑﺮﺑﻨﺪي ﯾﮏ IPsec VPNﺑﺮاي دﺳﺘﮕﺎه ﻫﺎي IOS
راﻫﻨﻤﺎﯾﯽ ﻫﺎي وﯾﮋه ﺑﺮاي IPsec VPN
اﺳﺘﻔﺎده از IPsec VPNﺑﺮاي اﯾﺠﺎد ارﺗﺒﺎط ﺑﯿﻦ دو ﺷﻌﺒﻪ
ﭘﯿﮑﺮﺑﻨﺪي IPsec VPNﺟﻬﺖ ارﺗﺒﺎط ﺑﯿﻦ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻣﺎﯾﮑﺮوﺳﺎﻓﺖ Azure
راه اﻧﺪازي BGPﺑﺮ روي dynamic IPsec VPNﺑﯿﻦ دو دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ
اﯾﻦ دﺳﺘﻮراﻟﻌﻤﻞ اﺳﺘﻔﺎده از وﯾﺰارد IPsec VPNﺟﻬﺖ دﺳﺘﺮﺳﯽ ﮔﺮوﻫﯽ از ﮐﺎرﺑﺮان راه دور ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ
ﺷﺮﮐﺖ را ﻓﺮاﻫﻢ ﻣﯽ ﺳﺎزد .اﯾﻦ ﻧﮑﺘﻪ ﻗﺎﺑﻞ ذﮐﺮ اﺳﺖ ﮐﻪ اﯾﻦ ﮐﺎرﺑﺮان از ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ iOSاﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ.
-6ﻧﺘﺎﯾﺞ
67
ﺑﺎ اﺳﺘﻔﺎده از وﯾﺰارد ﺗﻮﺿﯿﺢ داده ﺷﺪه در ﻣﺮاﺣﻞ ﻗﺒﻠﯽ ﯾﮏ Local Userﺟﺪﯾﺪ ﺑﺴﺎزﯾﺪ .ﺳﻌﯽ ﮐﻨﯿﺪ در ﺗﻤﺎم
ﻣﺮاﺣﻞ اﻃﻼﻋﺎت را ﺑﺎ دﻗﺖ وارد ﻧﻤﺎﯾﯿﺪ.
ﺑﻪ ﻗﺴﻤﺖ User & Devices> User> User Groupsوارد ﺷﻮﯾﺪ .ﯾﮏ ﯾﻮزر ﮔﺮوپ ﺑﺮاي ﮐﺎرﺑﺮان iOSﺑﺴﺎزﯾﺪ
و ﮐﺎرﺑﺮ ﺳﺎﺧﺘﻪ ﺷﺪه در ﻣﺮﺣﻠﻪ ﻗﺒﻞ را ﺑﻪ آن اﺿﺎﻓﻪ ﮐﻨﯿﺪ
.2ﺑﻪ ﻣﺴﯿﺮ Policy & Objects> Objects> Addressesﺑﺮوﯾﺪ .ﯾﮏ ﻓﺎﯾﺮوال آدرس ﺑﺮاي ﺷﺒﮑﻪ داﺧﻠﯽ
اﺿﺎﻓﻪ ﮐﻨﯿﺪ ﮐﻪ ﺷﺎﻣﻞ Subnetو Local Hostﺑﺎﺷﺪ.
68
.3ﭘﯿﮑﺮﺑﻨﺪي IPsec VPNﺑﺎ اﺳﺘﻔﺎده از IPsec VPNوﯾﺰارد
ﯾﮏ ﻧﺎم ﺑﺮاي VPN connectionاﻧﺘﺨﺎب ﮐﺮده و ﮔﺰﯾﻨﻪ Dial UP – iOSرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
دﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ ﺗﺮاﻓﯿﮏ از آن وارد ﻣﯽ ﺷﻮد ) Pre-shared Key .(Incoming Interfaceرا
اﻧﺘﺨﺎب ﮐﻨﯿﺪ ﺗﺎ Authentication Methodاﻧﺠﺎم ﺷﻮد.
ﺑﻌﺪ از وارد ﮐﺮدن pre-shared keyﯾﻮزر ﮔﺮوه ﻣﺮﺑﻮط ﺑﻪ iOSرا اﻧﺘﺨﺎب ﮐﺮده و Nextﮐﻨﯿﺪ
LANرا ﺑﺮ روي اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ ﺗﻨﻈﯿﻢ ﮐﻨﯿﺪ و در ﻗﺴﻤﺖ Local Addressآدرس ﺷﺒﮑﻪ داﺧﻠﯽ ﺧﻮد را
ﺑﺪﻫﯿﺪ .رﻧﺞ IPﻣﺮﺑﻮط ﺑﻪ ﮐﺎرﺑﺮان VPNرا ﻣﺸﺨﺺ ﮐﻨﯿﺪ .ﺷﮑﻞ زﯾﺮ ﮐﺎﻣﻼ ﮔﻮﯾﺎي ﺗﻤﺎم ﻣﻮارد ﻣﯽ ﺑﺎﺷﺪ.
69
.4ﺳﺎﺧﺘﻦ Security Profileﺑﺮاي اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ
ﺑﻪ ﻣﺴﯿﺮ Policy & Objects> Policy> IPv4ﺑﺮوﯾﺪ و ﯾﮏ security policyﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﻣﺸﺨﺼﺎت زﯾﺮ
ﺑﺴﺎزﯾﺪ در اﯾﻦ ﭘﺎﻟﺴﯽ ﻣﺎ ﺑﻪ ﮐﺎرﺑﺮان رﯾﻤﻮﺗﯽ iOSدار اﺟﺎزه ﻣﯽ دﻫﯿﻢ از ﻃﺮﯾﻖ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ اﯾﻨﺘﺮﻧﺖ
دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
آدرس ﺳﺮور VPNرا وارد ﻧﻤﺎﯾﯿﺪ ،ﯾﻮزرﻧﯿﻢ و ﭘﺴﻮرد را در ﻓﯿﻠﺪﻫﺎي ﻣﺸﺨﺺ وارد ﻧﻤﺎﯾﯿﺪ در ﻣﺮﺣﻠﻪ آﺧﺮ pre-
sharedرا در ﻓﯿﻠﺪ secretوارد ﮐﻨﯿﺪ.
.6ﻧﺘﺎﯾﺞ
70
در دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﻗﺴﻤﺖ VPN> Monitor>IPsec Monitorرﻓﺘﻪ و وﺿﻌﯿﺖ ﺗﺎﻧﻞ را ﻣﺸﺎﻫﺪه ﮐﻨﯿﺪ.
ﻫﻤﭽﻨﯿﻦ ﮐﺎرﺑﺮان ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﯽ ﺗﻮاﻧﻨﺪ از دﺳﺘﮕﺎه ﻫﺎي iOSﺧﻮد اﺳﺘﻔﺎده ﮐﻨﻨﺪ.
ﺑﻪ ﻣﺴﯿﺮ Log & Report> Traffic Log> Forward Trafficﺑﺮوﯾﺪ ﺗﺎ وﺿﻌﯿﺖ ﺗﺮاﻓﯿﮏ را ﻣﺸﺎﻫﺪه ﮐﻨﯿﺪ.
ﺑﺎ اﻧﺘﺨﺎب ﯾﮑﯽ از ﺳﻄﺮﻫﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺟﺰﺋﯿﺎت ﺑﯿﺸﺘﺮي را ﺑﺒﯿﻨﯿﺪ.
ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﺎرﺑﺮاﻧﯽ ﮐﻪ ﺗﻮﺳﻂ دﺳﺘﮕﺎه ﻫﺎي iOSﺧﻮد ﺑﻪ ﺷﺒﮑﻪ ﺷﻤﺎ ﻣﺘﺼﻞ ﺷﺪه اﻧﺪ ﺑﻪ اﯾﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﯽ
دارﻧﺪ اﻟﺒﺘﻪ اﯾﻦ دﺳﺘﺮﺳﯽ ﺗﻮﺳﻂ ﻓﻮرﺗﯽ ﮔﯿﺖ داده ﻣﯽ ﺷﻮد.
ﻣﻄﺎﻟﺐ ﮔﺮدآوري ﺷﺪه در اﯾﻦ ﺑﺨﺶ ﮐﻤﮏ ﺧﻮاﻫﺪ ﮐﺮد ﺗﺎ IPsec VPNرا ﺑﻪ راﺣﺘﯽ راه اﻧﺪازي ﮐﻨﯿﺪ.
The options to configure policy-based IPsec VPN are unavailable
ﺑﻪ ﻣﺴﯿﺮ System > Config > Featureﺑﺮوﯾﺪ .ﮔﺰﯾﻨﻪ Show moreرا اﻧﺘﺨﺎب ﮐﺮده و ﻗﺎﺑﻠﯿﺖ Policy-based
IPsec VPNرا ﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ.
The VPN connection attempt fails
71
اﮔﺮ ﺷﻤﺎ از FortiClientاﺳﺘﻔﺎده ﻣﯽ ﮐﻨﯿﺪ اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ ﮐﻪ ﻧﺴﺨﻪ ي آن ﺑﺎ ﻓﺮﯾﻤﻮﯾﺮ ﻓﻮرﺗﯽ
ﮔﯿﺖ ﻫﻤﺨﻮاﻧﯽ داﺷﺘﻪ ﺑﺎﺷﺪ اﯾﻦ ﮐﺎر را ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ ﺧﻮاﻧﺪن دﺳﺘﻮراﻟﻌﻤﻞ ﻫﺎي FortiOSﺑﻪ اﻧﺠﺎم
ﺑﺮﺳﺎﻧﯿﺪ.
ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ Quick Mode Selectorﺑﻪ درﺳﺘﯽ ﭘﯿﮑﺮﺑﻨﺪي ﺷﺪه اﺳﺖ
ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﺗﻨﻈﯿﻤﺎت دو ﺳﺮ ﺗﺎﻧﻞ ﯾﮑﺴﺎن و ﺷﺒﯿﻪ ﯾﮑﺪﯾﮕﺮ ﺑﺎﺷﺪ و دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺗﻨﻈﯿﻤﺎﺗﺶ
ﺑﺮاي Enable as Serverﻓﻌﺎل ﺷﺪه ﺑﺎﺷﺪ.
اﮔﺮ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﭘﺸﺖ NATاﺳﺖ ،دﺳﺘﮕﺎﻫﯽ ﻣﺜﻞ ﯾﮏ روﺗﺮ ،ﭘﻮرت ﻓﻮرواردﯾﻨﮓ را ﺑﺮاي
UDPﭘﻮرت ﻫﺎي 500و 4500ﻓﻌﺎل ﮐﻨﯿﺪ.
ﺗﻤﺎم ﭘﯿﮑﺮﺑﻨﺪي ﻫﺎﯾﯽ ﮐﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻧﮕﺮﻓﺘﻪ اﻧﺪ و در ﻓﺎزﻫﺎي 1و 2ﻗﺮار دارﻧﺪ را ﭘﺎك ﮐﻨﯿﺪ .اﮔﺮ
ﯾﮏ ﻧﻤﻮﻧﻪ ﺗﮑﺮاري از VPNﻣﺸﺨﺺ ﺷﺪ دﺳﺘﮕﺎه را رﯾﺴﺖ ﮐﻨﯿﺪ ﺗﺎ ﺗﻤﺎم ورودي ﻫﺎ ﭘﺎك ﺷﻮد.
اﮔﺮ ﻫﻨﻮز ﻫﻢ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ VPN Tunnelﻣﺘﺼﻞ ﺷﻮﯾﺪ ،دﺳﺘﻮر ﻣﺮﺑﻮط ﺑﻪ diagnosticرا در CLI
ﺑﺰﻧﯿﺪ:
diag debug application ike -1
diag debug enable
وﻗﺘﯽ ﭘﺮوﺳﻪ diagﺗﻤﺎم ﺷﺪ دﺳﺘﻮر زﯾﺮ را وارد ﮐﻨﯿﺪ:
diag debug reset
diag debug disable
در اﯾﻦ ﻣﺜﺎل ،ﺷﻤﺎ اﺟﺎزه ﺧﻮاﻫﯿﺪ داد ﮐﻪ دو ﺷﺒﮑﻪ داﺧﻠﯽ ﮐﻪ ﭘﺸﺖ ﻓﺎﯾﺮوال ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﺴﺘﻨﺪ و در دو دﻓﺘﺮ
ﻣﺠﺰا ﻗﺮار دارﻧﺪ ﺑﺎ ﯾﮑﺪﯾﮕﺮ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻧﻤﺎﯾﻨﺪ .ﺷﺎﯾﺎن ذﮐﺮ اﺳﺖ اﯾﻦ ارﺗﺒﺎط route-basedﻣﯽ ﺑﺎﺷﺪ.
VPNدر ﻫﺮ دو ﻃﺮف ﺑﻮﺳﯿﻠﻪ Wizardﺗﻌﺮﯾﻒ ﺷﺪه و در دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺳﺎﺧﺘﻪ ﻣﯽ ﺷﻮد.
در اﯾﻦ ﻣﺜﺎل ،ﯾﮏ دﻓﺘﺮ ﻣﺮﮐﺰي ﺑﻪ اﺳﻢ HQو ﯾﮏ ﺷﻌﺒﻪ ﺑﻪ اﺳﻢ Branchوﺟﻮد دارد.
72
.1ﭘﯿﮑﺮﺑﻨﺪي IPsec VPNﻣﺮﺑﻮط ﺑﻪ HQ
در ﻓﻮرﺗﯽ ﮔﯿﺖ دﻓﺘﺮ ﻣﺮﮐﺰي HQﺑﻪ ﻣﺴﯿﺮ VPN> IPsec>Wizardرﻓﺘﻪ و ﮔﺰﯾﻨﻪ Site to Site – FortiGate
را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
در ﻣﺮﺣﻠﻪ IP،Authenticationآدرس ﻣﺮﺑﻮط ﺑﻪ ﺷﻌﺒﻪ Branchرا در ﻗﺴﻤﺖ Remote Gatewayوارد ﻣﯽ
ﮐﻨﯿﻢ ) Valid IPﻃﺮف ﻣﻘﺎﺑﻞ را وارد ﻣﯽ ﮐﻨﯿﻢ( .در ﻣﺮﺣﻠﻪ ﺑﻌﺪي اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ در ﻧﻈﺮ دارﯾﺪ ﺗﺎ ﺑﺎ آن ﭘﮑﺖ
ﻫﺎ ﺧﺎرج ﺷﻮﻧﺪ را ﻣﺸﺨﺺ ﻣﯽ ﻧﻤﺎﯾﯿﺪ .ﻣﻨﻈﻮر ﻫﻤﺎن Outgoing Interfaceﻣﯽ ﺑﺎﺷﺪ .اﮔﺮ ﻣﯽ ﺧﻮاﻫﯿﺪ از ﯾﮏ
Interfaceﻣﺠﺰا اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﮔﺰﯾﻨﻪ Changeاﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ Pre-shared Key .ﻣﻮرد ﻧﻈﺮ
ﺧﻮد را وارد ﻧﻤﺎﯾﯿﺪ.
73
در ﻗﺴﻤﺖ ،Policy & Routingدﺳﺖ داﺧﻠﯽ ﺷﺒﮑﻪ ﺧﻮد را ﻣﺸﺨﺺ ﮐﻨﯿﺪ ﻣﻨﻈﻮر از دﺳﺖ داﺧﻠﯽ ﻫﻤﺎن Local
Interfaceﻣﯽ ﺑﺎﺷﺪ .ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر Subnetﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﺸﺨﺺ ﻣﯽ ﺷﻮد .در ﻗﺴﻤﺖ Remote
subnetﺳﺎب ﻧﺖ Subnetﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ Branchرا ﻣﺸﺨﺺ ﻧﻤﺎﯾﯿﺪ ) .در اﯾﻦ ﻗﺴﻤﺖ IPآدرس و
Subnetﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ روﺑﺮو را وارد ﻣﯽ ﻧﻤﺎﯾﯿﻢ(.ﺷﮑﻞ ﺑﻪ درﺳﺘﯽ ﮔﻮﯾﺎي ﺗﻤﺎﻣﯽ ﻣﻄﺎﻟﺐ ﻣﯽ ﺑﺎﺷﺪ.
ﺻﻔﺤﻪ summaryﻧﺸﺎن دﻫﻨﺪه ي ﭘﯿﮑﺮﺑﻨﺪي اﯾﺠﺎد ﺷﺪه ﺗﻮﺳﻂ ﺷﻤﺎ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺣﺎوي اﻃﻼﻋﺎﺗﯽ از وﺿﻌﯿﺖ
ﺳﺎﺧﺖ VPN IPsecﻣﯽ ﺑﺎﺷﺪ.
ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺮﺑﻮط ﺑﻪ Branchﻻﮔﯿﻦ ﮐﺮده و ﻣﺴﯿﺮ VPN> IPsec> Wizardرا ﻃﯽ ﮐﻨﯿﺪ و ﮔﺰﯾﻨﻪ
Site to Site – FortiGateرا اﻧﺘﺨﺎب ﮐﻨﯿﺪ.
74
در ﻣﺮﺣﻠﻪ ، Authenticationآي ﭘﯽ آدرس ﻣﺮﺑﻮط ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮﺟﻮد در HQرا در ﻗﺴﻤﺖ
Remote Gatewayوارد ﻧﻤﺎﯾﯿﺪ .ﺑﻌﺪ از وارد ﮐﺮدن Outgoing Interface ،Gatewayﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر اﺿﺎﻓﻪ
ﻣﯽ ﺷﻮد .اﮔﺮ ﺗﻤﺎﯾﻞ دارﯾﺪ از اﯾﻨﺮﻓﯿﺲ ﺟﺪاﮔﺎﻧﻪ اي اﺳﺘﻔﺎده ﮐﻨﯿﺪ ﮐﺎﻓﯽ اﺳﺖ ﺑﺮ روي ﻟﯿﻨﮏ Changeﮐﻠﯿﮏ
ﻧﻤﺎﯾﯿﺪ.
در ﻗﺴﻤﺖ ،Policy and Routingاﯾﻨﺘﺮﻓﯿﺲ ﻣﺮﺑﻮط ﺑﻪ LANرا اﻧﺘﺨﺎب ﮐﺮده ﺗﺎ Subnetﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر
اﺿﺎﻓﻪ ﺷﻮد .در ﻗﺴﻤﺖ Remote Subnetsآي ﭘﯽ آدرس و ﺳﺎب ﻧﺖ subnetﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ روﺑﺮوﯾﯽ ) در
اﯾﻦ ﺳﻨﺎرﯾﻮ ﻣﻨﻈﻮر ﺷﺒﮑﻪ HQﻣﯽ ﺑﺎﺷﺪ( وارد ﻧﻤﺎﯾﯿﺪ.
75
ﻫﻤﺎﻧﻨﺪ ﻗﺒﻞ ﯾﮏ ﺻﻔﺤﻪ ﻣﺮﺑﻮط ﺑﻪ ﺧﻼﺻﻪ اي از ﺗﻨﻈﯿﻤﺎت ﺻﻮرت ﮔﺮﻓﺘﻪ ﻇﺎﻫﺮ ﻣﯽ ﺷﻮد ﮐﻪ ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ
ﺑﺎزﻧﮕﺮي ﮐﻮﺗﺎﻫﯽ ﻧﺴﺒﺖ ﺑﻪ ﺗﻨﻈﯿﻤﺎت داﺷﺘﻪ ﺑﺎﺷﯿﺪ.
.3ﻧﺘﺎﯾﺞ
ﺑﻪ ﻣﺴﯿﺮ VPN> Monitor> IPsec Monitorﺑﺮوﯾﺪ ﺗﺎ وﺿﻌﯿﺖ VPN Tunnelﺧﻮد را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ.
ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ Statusوي ﭘﯽ ان در ﺣﺎﻟﺖ UPﻣﯽ ﺑﺎﺷﺪ.
ﮐﺎرﺑﺮي ﮐﻪ در ﺷﺒﮑﻪ ي دﻓﺘﺮ HQﻧﺸﺴﺘﻪ اﺳﺖ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺮاﺣﺘﯽ ﺑﻪ ﺗﻤﺎم آدرس ﻫﺎي ﺷﺒﮑﻪ ﻣﻮﺟﻮد در دﻓﺘﺮ
Branchدﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﺪ .ﺑﺮﻋﮑﺲ اﯾﻦ ﻗﻀﯿﻪ ﻫﻢ ﺑﻪ روﺷﺘﯽ ﺻﺎدق اﺳﺖ.
در ﺗﻤﺮﯾﻨﯽ ﮐﻪ ﻣﺸﺎﻫﺪه ﺧﻮاﻫﯿﺪ ﮐﺮد ﺑﺮاي ﺷﻤﺎ ﺗﻮﺿﯿﺢ ﻣﯽ دﻫﯿﻢ ﮐﻪ ﭼﮕﻮﻧﻪ ﯾﮏ IPsec VPNرا ﭘﯿﮑﺮﺑﻨﺪي
ﮐﻨﯿﺪ .در اﯾﻦ ﻣﺜﺎل ﯾﮏ ﻃﺮف دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻗﺮار داﺷﺘﻪ و در ﻃﺮف دﯾﮕﺮ ﯾﮏ hostﮐﻪ روي آن Microsoft
Azureﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ .ﺑﺮاي ﭘﯿﺎده ﺳﺎزي ﺷﻤﺎ ﺑﺎﯾﺪ ﯾﮏ ﭘﺮوﻓﺎﯾﻞ Microsoft Azureداﺷﺘﻪ ﺑﺎﺷﯿﺪ.
ﻣﺜﺎل ﺑﻪ ﺷﻤﺎ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ﭼﻄﻮر ﺗﺎﻧﻞ را ﺑﯿﻦ دو ﻃﺮف ﭘﯿﮑﺮﺑﻨﺪي ﮐﺮده ،ﺗﺎ از ﻫﺮ ﮔﻮﻧﻪ overlappingروي
ﺳﺎﺑﻨﺖ ﻫﺎ ﺟﻠﻮﮔﯿﺮي ﺷﻮد .ﯾﮏ ﺗﺎﻧﻞ اﻣﻦ را ﻣﯽ ﺗﻮاﻧﯿﻢ ﺑﺎ اﯾﺠﺎد ﭘﺮوﻓﺎﯾﻞ اﻣﻨﯿﺘﯽ ﻣﻨﺎﺳﺐ اﯾﺠﺎد ﮐﻨﯿﻢ.
.3ﭘﯿﮑﺮﺑﻨﺪي ﺗﺎﻧﻞFortigate
.6ﻧﺘﺎﯾﺞ
76
.1ﭘﯿﮑﺮﺑﻨﺪي ﺷﺒﮑﻪ ﻣﺠﺎزي Microsoft Azure
ﺑﺮ روي Microsoft Azureﻻﮔﯿﻦ ﮐﻨﯿﺪ و از ﮔﻮﺷﻪ ي ﺳﻤﺖ ﭼﭗ ﮔﺰﯾﻨﻪ Newرا ﮐﻠﯿﮏ ﮐﻨﯿﺪ ﺗﺎ ﺳﺮوﯾﺲ
ﺟﺪﯾﺪي را اﺿﺎﻓﻪ ﻧﻤﺎﯾﯿﺪ:
در زﯾﺮ ﮔﺰﯾﻨﻪ ’ ‘Virtual Netwrok Detailsو در ﻓﯿﻠﺪ Nameو Locationﻧﺎم و ﺷﻬﺮي را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
77
در ﭘﺎﯾﯿﻦ ﻗﺴﻤﺖ ’ ‘DNS Servers and VPN Connectivityﺗﯿﮏ ﮔﺰﯾﻨﻪ Configure a site-to-site VPN
را ﺑﺰﻧﯿﺪ و اﮔﺮ ﻧﯿﺎز ﺑﻮد اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ DNS Serverرا وارد ﻧﻤﺎﯾﯿﺪ Next .ﮐﻨﯿﺪ
ﭘﺎﯾﯿﻦ ﻗﺴﻤﺖ ’ ‘Site-to-Site Connectivityﯾﮏ ﻧﺎم و IP Addressﻣﺮﺑﻮط ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را وارد
ﻧﻤﺎﯾﯿﺪ.
ﻗﺴﻤﺖ ،address Spaceﺷﺎﻣﻞ ﯾﮏ Starting IPو CIDRﺑﺮاي ﺗﺎﻧﻞ ﻣﯽ ﺑﺎﺷﺪ ،اﯾﻦ ﻣﻮارد ﺑﺎﻋﺚ ﻣﯿﺸﻮد
overlappingدر ﺳﺎﺑﻨﺖ ﻫﺎ اﯾﺠﺎد ﻧﺸﻮد .ﺑﺎ دﮐﻤﻪ Nextوارد ﻣﺮﺣﻠﻪ ﺑﻌﺪي ﺷﻮﯾﺪ.
ﻗﺴﻤﺖ ’ ‘Virtual Network Address Spacesآدرس ﻫﺎي ﻣﻮرد ﻧﻈﺮ ﯾﺎ ﺗﻨﻈﯿﻤﺎت دﻟﺨﻮاه ﺧﻮدﺗﺎن را ﭘﯿﮑﺮﺑﻨﺪي
ﮐﻨﯿﺪ .دﮐﻤﻪ add gateway subnetرا اﻧﺘﺨﺎب ﮐﻨﯿﺪ ﺗﺎ ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ Gatewayرا اﻧﺠﺎم دﻫﯿﺪ.
ﺑﻌﺪ از ﺑﻪ ﭘﺎﯾﺎن رﺳﺎﻧﺪن ﺗﻨﻈﯿﻤﺎت ﺑﺎﯾﺪ ﮐﻤﯽ ﺻﺒﻮر ﺑﺎﺷﯿﺪ ﺗﺎ ﺑﺎ اﻧﺪك زﻣﺎﻧﯽ ﺻﺒﺮ و ﺗﺤﻤﻞ ﺗﻐﯿﯿﺮات اﻋﻤﺎل ﺷﻮد.
ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ اﯾﻦ زﻣﺎن ﻃﻮﻻﻧﯽ ﻧﺨﻮاﻫﺪ ﺑﻮد.
78
ﻣﻄﺎﺑﻖ ﺑﺎ ﺷﮑﻞ ﺑﺮ روي ﻧﺎم virtual networkﺳﺎﺧﺘﻪ ﺷﺪه ﮐﻠﯿﮏ ﮐﻨﯿﺪ .در زﯾﺮ ،virtual networkﺑﻪ
Dashboardﺑﺮوﯾﺪ .اﺧﻄﺎري ﺑﻪ ﺷﻤﺎ داده ﻣﯽ ﺷﻮد ﮐﻪ gatewayﻫﻨﻮز ﺳﺎﺧﺘﻪ ﻧﺸﺪه اﺳﺖ .در اﯾﻦ ﻗﺴﻤﺖ
gatewayﺧﻮاﻫﯿﺪ ﺳﺎﺧﺖ.
ﻣﺪت زﻣﺎن ﮐﻮﺗﺎﻫﯽ ﻃﻮل ﻣﯽ ﮐﺸﺪ ﺗﺎ virtual network gatewayﺳﺎﺧﺘﻪ ﺷﺪه و اﺟﺮا ﮔﺮدد .ﭘﺲ از ﻃﯽ ﮐﺮدن
ﻣﺮاﺣﻞ ﺑﺎﻻ Azureﺑﻪ ﺷﻤﺎ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ gatewayﺳﺎﺧﺘﻪ ﺷﺪه اﺳﺖ .وﻗﺘﯽ ﮐﺎرﻫﺎ ﺑﻪ ﭘﺎﯾﺎن رﺳﯿﺪ ،اﺳﺘﺎﺗﻮس
ﺗﻐﯿﯿﺮ ﮐﺮده و ﺑﻪ ﺷﻤﺎ ﯾﮏ Gateway IP Addressﻣﯽ دﻫﺪ.
79
دﮐﻤﻪ Manage Keyرا ﺑﺰﻧﯿﺪ:
ﭘﻨﺠﺮه ﻣﺮﺑﻮط ﺑﻪ ’ ‘Manage Shared Keyﻧﻤﺎﯾﺎن ﻣﯽ ﺷﻮد .ﮐﻠﯿﺪ ﻧﻤﺎﯾﺶ داده ﺷﺪه را ﮐﭙﯽ ﮐﻨﯿﺪ .ﺑﺮاي اﻧﺘﺨﺎب
ﮐﻠﯿﺪ ﻣﺘﻔﺎوت ﻣﯽ ﺗﻮاﻧﯿﺪ دﮐﻤﻪ regenerate keyرا ﺑﺰﻧﯿﺪ .وﻗﺘﯽ اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﺮدﯾﺪ ﮐﻪ ﮐﻠﯿﺪ ﮐﭙﯽ ﺷﺪه اﺳﺖ
دﮐﻤﻪ Checkmarkرا ﺑﺰﻧﯿﺪ.
ﺑﻪ ﻣﺴﯿﺮ VPN> IPsec> Wizardﺑﺮوﯾﺪ و Custom VPN Tunnelرا اﻧﺘﺨﺎب ﮐﻨﯿﺪ .ﯾﮏ ﻧﺎم ﺑﺮاي ﺗﺎﻧﻞ اﻧﺘﺨﺎب
ﮔﺬاﺷﺘﻪ و ﮔﺰﯾﻨﻪ Nextرا ﺑﺰﻧﯿﺪ:
80
در ﻗﺴﻤﺖ Remote Gatewayآي ﭘﯽ ﻣﺮﺑﻮط ﺑﻪ Microsoft Azureرا وارد ﻧﻤﺎﯾﯿﺪ Local Interface .را در
ﺣﺎﻟﺖ WAN1ﻗﺮار دﻫﯿﺪ .در ﻗﺴﻤﺖ Authenticationﮐﻠﯿﺪ ﺳﺎﺧﺘﻪ ﺷﺪه ﺗﻮﺳﻂ Microsoft Azureرا وارد
ﻧﻤﺎﯾﯿﺪ .
در ﻗﺴﻤﺖ Authenticationﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ IKEv2و در ﻗﺴﻤﺖ DH Groupﮔﺰﯾﻨﻪ 2را اﻧﺘﺨﺎب ﮐﺮده اﯾﺪ.
Keylifeرا در ﺣﺎﻟﺖ 56600 Secﻗﺮار دﻫﯿﺪ.
81
در ﻓﺎز دوم ،ﻓﯿﻠﺪ Local Addressرا ﺑﺎ IP Adssﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﻘﺎﺑﻞ ﭘﺮ ﺧﻮاﻫﯿﻢ ﮐﺮد
) (Microsoft Azureو ﻓﯿﻠﺪ ﻣﺮﺑﻮط ﺑﻪ Remote Addressرا ﺑﺎ IPﺛﺎﺑﺖ ﺷﺒﮑﻪ ي ﻣﻘﺎﺑﻞ ﭘﺮ ﻣﯿﮑﻨﯿﻢ .
Encryptionرا ﻣﻄﺎﺑﻖ ﺑﺎ ﻓﺎز 1ﻗﺮار ﻣﯽ دﻫﯿﻢ و در اﯾﻦ ﻣﺮﺣﻠﻪ Keylifeرا ﺑﺎ ﻋﺪد 7200 Secﺗﻨﻈﯿﻢ ﻣﯽ ﮐﻨﯿﻢ.
ﺑﻪ ﻣﺴﯿﺮ Policy & Objects> Objects> Addressesﻣﺮاﺟﻌﻪ ﮐﻨﯿﺪ و ﺑﺮاي ﺷﺒﮑﻪ داﺧﻠﯽ ﯾﮏ firewall
addressﭘﯿﮑﺮﺑﻨﺪي ﮐﻨﯿﺪ.
دﻟﺨﻮاه =Name
ﺑﻪ ﻣﺴﯿﺮ Policy & Objects> Policy> IPv4ﺑﺮوﯾﺪ و ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﺑﺮاي اﺗﺼﺎل site-to-siteﺑﺴﺎزﯾﺪ.
82
ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ آﻣﻮﺧﺘﻪ ﻫﺎي ﻗﺒﻠﯽ Source Addressو Destination Addressاز آﺑﺠﮑﺖ ﻫﺎي ﺳﺎﺧﺘﻪ ﺷﺪه در
ﻣﺮاﺣﻞ ﻗﺒﻠﯽ را ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار دﻫﯿﺪ .وﻗﺘﯽ ﮐﺎرﻫﺎ اﻧﺠﺎم ﺷﺪ ،ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﺑﺮاي ﮐﺎﻧﮑﺸﻦ ﻫﺎي ﻣﺸﺎﺑﻪ ﮐﻪ
اﺟﺎزه ورود ﺗﺮاﻓﯿﮏ را داﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺑﺴﺎزﯾﺪ .اﯾﻦ ﺑﺎر Source Addressو Destination Addressﺟﺎﺑﺠﺎ ﻣﯽ
ﺷﻮد.
.6ﻧﺘﺎﯾﺞ
ﺑﻪ ﻣﺴﯿﺮ VPN> Monitor> IPsec Monitorﺑﺮوﯾﺪ .ﺑﺮ روي ﺗﺎﻧﻞ ﺳﺎﺧﺘﻪ ﺷﺪه ﮐﻠﯿﮏ راﺳﺖ ﮐﺮده و ﮔﺰﯾﻨﻪ
Bring Upرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ ﺗﺎ ﺗﺎﻧﻞ ﻓﻌﺎل ﺷﻮد.
ﺟﻬﺖ ﮐﺴﺐ اﻃﻼﻋﺎت ﺑﯿﺸﺘﺮ ﮐﺎﻓﯽ اﺳﺖ ﯾﮑﯽ از ورودي ﻫﺎ را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ.
ﺑﻪ داﺷﺒﻮرد Microsoft Azureﺑﺎزﮔﺮدﯾﺪ .وﺿﻌﯿﺖ ﺗﺎﻧﻞ زده ﺷﺪه ﻧﻤﺎﯾﺶ داده ﻣﯽ ﺷﻮد ﮐﻪ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ
ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﯽ ﺑﺎﺷﺪ ﯾﺎ ﺧﯿﺮ ؟ Data Inو Data Outﺑﻪ ﻧﻤﺎﯾﺎﻧﮕﺮ اﯾﻦ ﻣﻮرد اﺳﺖ ﮐﻪ ﭼﻪ ﻣﻘﺪار ﺗﺮاﻓﯿﮏ در
ﺣﺎل ﻋﺒﻮر ﻣﯽ ﺑﺎﺷﺪ.
83
راه اﻧﺪازي BGPﺑﺮ روي IPsec VPNﺑﯿﻦ دو ﻓﻮرﺗﯽ ﮔﯿﺖ:
اﯾﻦ ﻣﺜﺎل ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ﭼﮕﻮﻧﻪ ﯾﮏ ﺗﺎﻧﻞ IPsec VPNداﯾﻨﺎﻣﯿﮏ ﺑﺰﻧﯿﻢ و اﺟﺎزه دﻫﯿﻢ ﺗﺎ BGPاز ﻃﺮﯾﻖ
اﯾﻦ ﺗﺎﻧﻞ ﻣﺘﺼﻞ ﺷﻮد.
.6ﻧﺘﺎﯾﺞ
ﺑﻪ ﻣﺴﯿﺮ VPN> IPsec> Wizardرﻓﺘﻪ و Site to Site – FortiGateرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ Next .ﮐﻨﯿﺪ
84
ﻣﻄﺎﺑﻖ ﻣﻌﻤﻮل ﻓﯿﻠﺪﻫﺎي ﻣﺮﺑﻮط ﺑﻪ Remote Gatewayو Outgoing Interfaceو Pre-shared keyرا ﭘﺮ ﻣﯽ
ﮐﻨﯿﻢ و Nextرا ﻣﯽ زﻧﯿﻢ.
در ﻗﺴﻤﺖ Local interfaceﮐﺎرت ﺷﺒﮑﻪ داﺧﻠﯽ را اﻧﺘﺨﺎب ﮐﺮده و در ﻗﺴﻤﺖ Local Subnetﺳﺎﺑﻨﺖ ﻣﺮﺑﻮط
ﺑﻪ ﺷﺒﮑﻪ ﺧﻮدﻣﺎن را وارد ﻣﯽ ﮐﻨﯿﻢ .در ﻗﺴﻤﺖ Remote Subnetﻫﻢ ﺳﺎﺑﻨﺖ ﺷﺒﮑﻪ ﻣﻘﺎﺑﻞ را وارد ﻣﯽ ﮐﻨﯿﻢ.
85
ﻃﺒﻖ آﻣﻮﺧﺘﻪ ﻫﺎي ﻗﺒﻠﯽ ﻓﺎزﻫﺎي دوم و ﺳﻮم را ﻃﯽ ﮐﺮده و ارﺗﺒﺎﻃﺎت را اﯾﺠﺎد ﻣﯽ ﻧﻤﺎﯾﯿﻢ
ﻣﺮاﺣﻞ را ﻣﻄﺎﺑﻖ ﺑﺎ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎره 1ﭘﯿﺶ ﻣﯽ ﺑﺮﯾﻢ ﺗﻨﻬﺎ در وارد ﮐﺮدن IP Addressﻣﺮﺑﻮط ﺑﻪ Remote
دﻗﺖ ﻣﯽ ﮐﻨﯿﻢ ﭼﻮن اﯾﻦ ﺗﻨﻬﺎ ﻓﯿﻠﺪي اﺳﺖ ﮐﻪ ﺗﻐﯿﯿﺮ ﻣﯽ ﮐﻨﺪ.
ﺑﻪ ﻣﺴﯿﺮ VPN> Monitor> IPsec Monitorﻣﯽ روﯾﻢ ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮﯾﻢ ﮐﻪ ارﺗﺒﺎط UPﻣﯽ ﺑﺎﺷﺪ.
ﺑﻪ ﻣﺴﯿﺮ System> Statusرﻓﺘﻪ و CLI Consoleرا ﺑﺎز ﻣﯽ ﮐﻨﯿﻢ و دﺳﺘﻮرات زﯾﺮ را وارد ﻣﯽ ﮐﻨﯿﻢ :
86
.5ﺗﻨﻄﯿﻤﺎت BGPدر ﻓﻮرﺗﯽ ﮔﯿﺖ دوم :
ﻫﻤﺎﻧﻨﺪ ﻓﻮرﺗﯽ ﮔﯿﺖ اول ﻣﺮاﺣﻞ را اﻧﺠﺎم داده و وارد ﻣﺤﯿﻂ CLIﻣﯽ ﺷﻮﯾﻢ و دﺳﺘﻮرات زﯾﺮ را ﻣﯿﺰﻧﯿﻢ:
.6ﻧﺘﺎﯾﺞ
از ﻓﻮرﺗﯽ ﮔﯿﺖ 1ﺑﻪ ﻣﺴﯿﺮ Router> Monitor> Router Monitorرﻓﺘﻪ و ﭼﮏ ﻣﯽ ﮐﻨﯿﻢ ﮐﻪ آﯾﺎ روﺗﺮ
روﺑﺮوﯾﯽ ﺑﻪ درﺳﺘﯽ ﺧﻮد را Advertisedﮐﺮده اﺳﺖ و دو روﺗﺮ ﺷﺒﮑﻪ ﻫﺎي روﺑﺮوي ﺧﻮد را ﻣﯽ ﺑﯿﻨﻨﺪ ؟!
87
از ﻓﻮرﺗﯽ ﮔﯿﺖ 2ﺑﻪ ﻣﺴﯿﺮ Router> Monitor> Routing Monitorرﻓﺘﻪ و ﻣﻄﻤﺌﻦ ﻣﯽ ﺷﻮﯾﻢ ﮐﻪ Route
ﻫﺎ ﺗﻮﺳﻂ ﭘﺮوﺗﮑﻞ BGPاز ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ درﺳﺘﯽ و ﺑﺎ ﻣﻮﻓﻘﯿﺖ advertisedﺷﺪه اﻧﺪ.
SSL VPN
در اﯾﻦ ﻗﺴﻤﺖ اﻃﻼﻋﺎﺗﯽ در ﻣﻮرد ﭘﯿﮑﺮﺑﻨﺪي اﻧﻮاع SSL VPNﺑﺪﺳﺖ ﺧﻮاﻫﯿﺪ آورد ﻫﻤﭽﻨﯿﻦ روش ﻫﺎي ﻣﺨﺘﻠﻒ
اﺣﺮاز ﻫﻮﯾﺖ ﮐﺎرﺑﺮان در SSL VPNﺑﻪ ﺷﻤﺎ آﻣﻮﺧﺘﻪ ﻣﯽ ﺷﻮد.
SSL VPNاز Secure Socket Layerﺟﻬﺖ اﯾﺠﺎد VPNاﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ ﮐﻪ ﻗﺎﺑﻠﯿﺖ دﺳﺘﺮﺳﯽ ﺑﻪ ﺷﺒﮑﻪ
ﺧﺼﻮﺻﯽ ﺗﺤﺖ ﺑﺴﺘﺮ اﯾﻨﺘﺮﻧﺖ را ﺑﻪ ﺷﻤﺎ ﻣﯽ دﻫﺪ .ارﺗﺒﺎط از ﻃﺮﯾﻖ SSL VPNﺗﻮﺳﻂ ﯾﮏ ﻣﺮورﮔﺮ ﺻﻮرت ﻣﯽ
ﮔﯿﺮد و ﻫﯿﭻ ﺑﺮﻧﺎﻣﻪ ي ﺟﺎﻧﺒﯽ ﻣﻮرد ﻧﯿﺎز ﻧﻤﯽ ﺑﺎﺷﺪ.
اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﺮاي ﮐﺎرﺑﺮان راه دور ﺑﺎ اﺳﺘﻔﺎده از SSL VPN
ﻓﺮاﻫﻢ ﮐﺮدن دﺳﺘﺮﺳﯽ ﺑﺮاي ﮐﺎرﺑﺮان راه دور ﺑﺎ اﺳﺘﻔﺎده از SSL VPN
در اﯾﻦ ﻣﺜﺎل ﺷﻤﺎ ﺧﻮاﻫﯿﺪ دﯾﺪ ﮐﻪ ﭼﻄﻮر ﻗﺎﺑﻠﯿﺖ اﺗﺼﺎل ﺑﻪ ﻣﻨﺎﺑﻊ ﺷﺮﮐﺖ و اﺳﺘﻔﺎده از اﯾﻨﺘﺮﻧﺖ ﺑﻪ ﮐﺎرﺑﺮان راه دور
ﺗﻮﺳﻂ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ داده ﻣﯽ ﺷﻮد .در ﻓﺎز اﺗﺼﺎل ،دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮرﺳﯽ ﻣﯽ ﮐﻨﺪ ﮐﻪ آﯾﺎ آﻧﺘﯽ
وﯾﺮوس ﺑﺮ روي ﺳﯿﺴﺘﻢ ﮐﺎرﺑﺮ راه دور ﻧﺼﺐ ﻣﯽ ﺑﺎﺷﺪ ﯾﺎ ﺧﯿﺮ؟
.6ﺗﻨﻈﯿﻤﺎت دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮاي ﺑﺮرﺳﯽ ﻣﻮﺟﻮد ﺑﻮدن آﻧﺘﯽ وﯾﺮوس ﺑﺮ روي دﺳﺘﮕﺎه ﮐﺎرﺑﺮان راه
دور
.7ﻧﺘﺎﯾﺞ
ﺑﻪ ﻣﺴﯿﺮ VPN> SSL> Portalsﺑﺮوﯾﺪ .دﮐﻤﻪ Create Newرا ﺑﺰﻧﯿﺪ و ﯾﮏ اﺳﻢ ﺑﺮاي ﭘﺮﺗﺎل ﺧﻮد اﻧﺘﺨﺎب
ﮐﻨﯿﺪ .ﻫﻤﭽﻨﯿﻦ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﭘﻮرﺗﺎل full-accessرا وﯾﺮاﯾﺶ ﮐﻨﯿﺪ.
ﭘﻮرﺗﺎل full-accessاﺟﺎزه ﻣﯽ دﻫﺪ ﮐﻪ از ﺣﺎﻟﺖ ﺗﺎﻧﻞ و ﯾﺎ ﺣﺎﻟﺖ وب اﺳﺘﻔﺎده ﮐﻨﯿﺪ .در اﯾﻦ ﺳﻨﺎرﯾﻮ ﻣﺎ از ﻫﺮ دو
ﺣﺎﻟﺖ اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﻢ.
Enable Split Tunnelingﻓﻌﺎل ﻧﻤﯽ ﺑﺎﺷﺪ ﺑﻨﺎﺑﺮاﯾﻦ ﻫﻤﻪ ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺖ از ﻃﺮﯾﻖ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻨﺘﻘﻞ ﻣﯽ ﺷﻮد
و اﯾﻦ ﺑﺴﺘﮕﯽ ﺑﻪ ﺳﯿﺎﺳﺖ ﻫﺎي اﻣﻨﯿﺘﯽ ﺷﺮﮐﺖ ﺷﻤﺎ دارد.
89
در ﻗﺴﻤﺖ Predefined Bookmarksﮔﺰﯾﻨﻪ Create Newرا ﺑﺰﻧﯿﺪ ﺗﺎ ﯾﮏ bookmarkﺑﺮاي اﺗﺼﺎل ﺑﺴﺎزﯾﺪ.
Bookmarkﻫﺎ وﻗﺘﯽ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد ﮐﻪ ﺷﻤﺎ در ﻧﻈﺮ داﺷﺘﻪ ﺑﺎﺷﯿﺪ از ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ ﺻﻮرت
ﻟﯿﻨﮏ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ.
ﯾﻮزرﻧﯿﻢ و ﭘﺴﻮرد ﺑﺎﯾﺪ در ﻗﺴﻤﺖ New Bookmarkوارد ﺷﻮد .ﺷﻤﺎ ﺑﺎﯾﺪ ﯾﻮزر را در ﻗﺴﻤﺖ ﺑﻌﺪي ﺑﺴﺎزﯾﺪ.
90
ﺑﻪ ﻣﺴﯿﺮ User & Device> User> User Definitionﺑﺮوﯾﺪ .ﯾﮏ ﮐﺎرﺑﺮ راه دور ﺑﺎ اﺳﺘﻔﺎده از Wizardاﺿﺎﻓﻪ
ﮐﻨﯿﺪ .در اﯾﻦ ﻣﺜﺎل اﺳﻢ ﮐﺎرﺑﺮ ﻣﺎ twhiteﻣﯽ ﺑﺎﺷﺪ .ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﻪ اﯾﻦ ﮐﺎرﺑﺮ ﺑﺎﯾﺪ ﻣﺸﺎﺑﻪ ﻫﻤﺎن ﺑﺎﺷﺪ ﮐﻪ
در ﻗﺴﻤﺖ predefined bookmarkﺳﺎﺧﺘﯿﺪ.
ﺑﻪ ﻣﺴﯿﺮ User & Devices> User> User Groupsﺑﺮوﯾﺪ .ﯾﻮزر ’ ‘twhiteﺑﻪ ﮔﺮوه SSL VPNاﺿﺎﻓﻪ
ﮐﻨﯿﺪ.
ﺑﻪ ﻣﺴﯿﺮ Policy & Objects> Objects> Addressesﺑﺮوﯾﺪ .آدرس ﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﺧﻮد را در
ﻗﺴﻤﺖ Subnet / IP Rangeوارد ﻧﻤﺎﯾﯿﺪ .ﻫﻤﭽﻨﯿﻦ اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ را ﻫﻢ اﻧﺘﺨﺎب ﮐﻨﯿﺪ.
ﺑﻪ ﻣﺴﯿﺮ VPN > SSL > Settingﻣﺮاﺟﻌﻪ ﮐﻨﯿﺪ و از ﻗﺴﻤﺖ ) Listen on Interface(sاﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ ﻣﺮﺑﻮط
ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﺷﻤﺎ ﻣﯽ ﺑﺎﺷﺪ را اﻧﺘﺨﺎب ﮐﻨﯿﺪ در اﯾﻨﺠﺎ ﻣﺎ Wan1را اﻧﺘﺨﺎب ﻣﯽ ﮐﻨﯿﻢ.
در ﻗﺴﻤﺖ Listen Portﭘﻮرت 443و Specify Custome IP Rangesرا اﻧﺘﺨﺎب ﮐﻨﯿﺪ.
در زﯾﺮ ﮔﺰﯾﻨﻪ Authentication portal Mappingﻗﺴﻤﺖ SSL VPN Groupرا اﻧﺘﺨﺎب ﮐﻨﯿﺪ.
91
ﺑﻪ ﻣﺴﯿﺮ Policy & Objects >Policy >IPv4ﺑﺮوﯾﺪ .ﯾﮏ Security Policyﺗﻌﺮﯾﻒ ﮐﻨﯿﺪ ﮐﻪ اﺟﺎزه دﺳﺘﺮﺳﯽ
ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﺎ اﺳﺘﻔﺎده از ssl.root VPNرا داﺷﺘﻪ ﺑﺎﺷﺪ.
Source Addressرا ﺑﺮاي allاﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و source Userرا ﺑﺮاي ﮔﺮوه ﺳﺎﺧﺘﻪ ﺷﺪه در ﻣﺮﺣﻠﻪ دوم اﻧﺘﺨﺎب
ﮐﻨﯿﺪ.
Outgoing Interfaceرا ﺑﺮاي ﺷﺒﮑﻪ داﺧﻠﯽ اﻧﺘﺨﺎب ﮐﻨﯿﺪ ﺑﺎ اﯾﻦ ﮐﺎر ﮐﺎرﺑﺮان راه دور ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ
دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
Destination Addressرا در ﺣﺎﻟﺖ allﻗﺮار دﻫﯿﺪ و NATرا ﺑﻪ ﺣﺎﻟﺖ Enableﺑﺒﺮﯾﺪ و ﺗﻨﻈﯿﻤﺎت دﻟﺨﻮاه ﺧﻮد
را ﺑﺮاي ﻓﺎﯾﺮوال و Security Optionﻫﺎ اﻧﺠﺎم ﺑﺪﻫﯿﺪ.
ﯾﮏ Security Policyدﯾﮕﺮ ﺟﻬﺖ دﺳﺘﺮﺳﯽ SSL VPNﻫﺎ ﺑﻪ اﯾﻨﺘﺮﻧﺖ اﯾﺠﺎد ﮐﻨﯿﺪ .ﺑﺮاي اﯾﻦ ﭘﺎﻟﺴﯽ Incoming
Interfaceرا ﺑﺮاي ssl.rootﺗﻨﻈﯿﻢ ﮐﻨﯿﺪ و Outgoing Interfaceرا در ﺣﺎﻟﺖ wan1ﺗﻨﻈﯿﻢ ﮐﻨﯿﺪ.
. 6ﺗﻨﻈﯿﻢ ﮐﺮدن دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺟﻬﺖ ﺗﺸﺨﯿﺺ ﺑﺮﻧﺎﻣﻪ آﻧﺘﯽ وﯾﺮوس ﮐﺎرﺑﺮان
ﺑﻪ ﻣﺴﯿﺮ system> status> Dashboardﺑﺮوﯾﺪ .در CLIﮐﻨﺴﻮل دﺳﺘﻮرات زﯾﺮ وارد ﻧﻤﺎﯾﯿﺪ .ﺑﺎ وارد ﮐﺮدن
دﺳﺘﻮرات زﯾﺮ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮﯾﺪ وﺿﻌﯿﺖ آﻧﺘﯽ وﯾﺮوس ﮐﺎرﺑﺮان راه دور ﻣﻮرد آزﻣﺎﯾﺶ ﻗﺮار ﺑﮕﯿﺮد.
# config vpn ssl web portal
)(portal # edit full-access
)(full-access # set host-check av
)(full-access # end
.7ﻧﺘﺎﯾﺞ
ﺑﺎ اﺳﺘﻔﺎده از اﺣﺮاز ﻫﻮﯾﺖ ﺳﺎﺧﺘﻪ ﺷﺪه در ﻗﺴﻤﺖ دوم ﺑﻪ ﭘﻮرﺗﺎل ﻻﮔﯿﻦ ﮐﻨﯿﺪ.
92
دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ وﺿﻌﯿﺖ ﻫﺎﺳﺖ را ﻣﻮرد ﺑﺮرﺳﯽ ﻗﺮار ﻣﯽ دﻫﺪ.
ﺑﻪ ﻣﺴﯿﺮ VPN> Monitor> SSL-VPN Monitorﺑﺮوﯾﺪ ﺗﺎ ﻟﯿﺴﺖ ﮐﺎرﺑﺮان SSLرا ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ.
ﺑﻪ ﻣﺴﯿﺮ Log & Report > Traffic Log > Forward Trafficﺑﺮوﯾﺪ و ﺟﺰﺋﯿﺎت ﻣﻮرد ﻧﯿﺎز ﺧﻮد در ﻣﻮرد
SSLﻫﺎي ﻣﺘﺼﻞ ﺷﺪه ﺑﺪﺳﺖ آورﯾﺪ.
93
ﺑﻪ ﻣﺴﯿﺮ Log & Report > Traffic Log > Forward Trafficﺑﺮوﯾﺪ .دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ از ﻃﺮﯾﻖ
دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺻﻮرت ﻫﻤﺰﻣﺎن ﺻﻮرت ﻣﯽ ﭘﺬﯾﺮد .روي ﻫﺮ ﺳﻄﺮ ﮐﻠﯿﮏ ﻧﻤﺎﯾﯿﺪ ﻣﯽ ﺗﻮاﻧﯿﺪ اﻃﻼﻋﺎت
ﺑﯿﺸﺘﺮي ﮐﺴﺐ ﮐﻨﯿﺪ.
دﺳﺘﻮراﻟﻌﻤﻞ ﻫﺎي زﯾﺮ ﺑﺮاي ﻣﺸﺘﺮﯾﺎﻧﯽ ﻣﻔﯿﺪ اﺳﺖ ﮐﻪ از ﻣﻌﻤﺎري ﭼﻨﺪ ﺳﺎﯾﺖ و ﻓﺎﯾﺮوال ﻫﺎي Redundantاﺳﺘﻔﺎده
ﻣﯽ ﻧﻤﺎﯾﻨﺪ .اﯾﻦ روش ﻫﺎ ﺑﺮاي ﻣﺸﺘﺮﯾﺎﻧﯽ در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪه ﮐﻪ ﮐﺎﻫﺶ ﻟﻮازم ﯾﮏ ﺑﺨﺶ و اﻓﺰاﯾﺶ اﻣﻨﯿﺖ ﺑﺮاي
آﻧﻬﺎ در اوﻟﻮﯾﺖ ﻣﯽ ﺑﺎﺷﺪ و ﻫﻤﭽﻨﯿﻦ ﮐﺎﻫﺶ ﻫﺰﯾﻨﻪ ﻫﺎ ﺑﺮاي ﮐﺎرﻓﺮﻣﺎ ﻣﻬﻢ ﻣﯽ ﺑﺎﺷﺪ ،ﺑﻠﻪ ﻫﺪف ﮐﺎﻣﻼ ﺳﺎده اﺳﺖ :
ﻗﺎﺑﻠﯿﺖ اﻃﻤﯿﻨﺎن و ﻣﻘﺮون ﺑﻪ ﺻﺮﻓﻪ ﺑﻮدن.
FortiOS 5.2اﻣﮑﺎﻧﺎت ﺑﺴﯿﺎر زﯾﺎدي ﻣﻌﺮﻓﯽ ﮐﺮده اﺳﺖ ﮐﻪ ﻣﺎ درﺻﺪد ﻫﺴﺘﯿﻢ در اﯾﻦ ﺗﻨﻈﯿﻤﺎت اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﻢ،
ﺑﻨﺎﺑﺮاﯾﻦ ﺑﻌﻀﯽ از اﯾﻦ ﺗﻨﻈﯿﻤﺎت ﺑﺮ روي FortiOS 5.0.xﯾﺎ ﻗﺒﻞ از آن اﻣﮑﺎن ﭘﺬﯾﺮ ﻧﻤﯽ ﺑﺎﺷﺪ .اﯾﻦ دﺳﺘﻮرات
درﺳﺮي FortiGate 1xxD/2xxDﻗﺎﺑﻞ اﺟﺮا ﻣﯽ ﺑﺎﺷﺪ.
ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ دﺳﺘﻮراﺗﯽ ﮐﻪ ﺑﻪ ﺷﻤﺎ ﯾﺎد داده ﻣﯽ ﺷﻮد ،ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﻣﺸﺘﺮﯾﺎن ﮐﻮﭼﮏ ﭘﯿﺸﻨﻬﺎداﺗﯽ ﺑﺪﻫﯿﺪ ﮐﻪ
زﯾﺮﺳﺎﺧﺖ اﻣﻦ و ﮐﺎﻣﻠﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ ﮐﻪ ﺑﺮ اﺳﺎس دﯾﺪﮔﺎه ﻫﺎي UTMي ﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ .در اﯾﻨﺠﺎ ﻣﺎ ﻣﯽ
ﺧﻮاﻫﯿﻢ ﻗﺎﺑﻠﯿﺖ ﻫﺎي اﻣﻨﯿﺘﯽ زﯾﺎدي را روي ﯾﮏ دﺳﺘﮕﺎه ﯾﺎ ﮐﻼﺳﺘﺮ اﯾﺠﺎد و ﻣﺘﻤﺮﮐﺰ ﮐﻨﯿﻢ.
94
دﺳﺘﻮراﻟﻌﻤﻞ ﻫﺎ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﻪ ﺑﻪ ﺻﻮرت ﮐﺎﻣﻞ installationاﻧﺠﺎم ﺷﻮد .اﯾﻦ ﻣﻮارد ﺑﻪ ﺑﺨﺶ ﻫﺎي زﯾﺮ
ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮد:
.1ﺳﻨﺎرﯾﻮ
اﯾﻦ ﻗﺴﻤﺖ در ﻣﻮرد ﻣﺸﮑﻼﺗﯽ ﮐﻪ وﺟﻮد داﺷﺘﻪ و ﺗﻮﺳﻂ ﺗﻮﭘﻮﻟﻮژي ﺷﺒﮑﻪ ﺟﺪﯾﺪ ﺣﻞ ﺧﻮاﻫﺪ ﺷﺪ ﺗﻮﺿﯿﺤﺎﺗﯽ ﻣﯽ
دﻫﺪ ﮐﻪ ﺷﺎﻣﻞ ﻣﻮارد و ﻣﺸﮑﻼﺗﯽ اﺳﺖ ﮐﻪ ﺗﻮﺳﻂ ﺗﻮﭘﻮﻟﻮژي ﻫﺎ ﺣﻞ ﻣﯽ ﺷﻮد.
.2ﺗﻮﭘﻮﻟﻮژي
اﯾﻦ ﺑﺨﺶ ﺷﺎﻣﻞ دﯾﺎﮔﺮاﻣﯽ از ﺗﻮﭘﻮﻟﻮژي ﺟﺪﯾﺪ اﺳﺖ .ﻫﻤﭽﻨﯿﻦ ﻟﯿﺴﺘﯽ از وﯾﮋﮔﯽ ﻫﺎي ﮐﻠﯿﺪي اﺳﺖ.
اﯾﻦ ﻧﻮع از ﻣﻌﻤﺎري ﻫﺎ و ﺗﻮﺿﯿﺤﺎت ﮐﻪ ﻣﺸﮑﻼت ﺷﻨﺎﺳﺎﯾﯽ ﺷﺪه در ﺳﻨﺎرﯾﻮي ﻗﺒﻠﯽ را ﺷﻨﺎﺳﺎﯾﯽ و ﺣﻞ ﻣﯽ
ﮐﻨﺪ.
.3ﭘﯿﮑﺮﺑﻨﺪي
اﯾﻦ ﺑﺨﺶ دﺳﺘﻮراﻟﻌﻤﻠﯽ ﻣﺮﺣﻠﻪ ﺑﻪ ﻣﺮﺣﻠﻪ ﺗﻬﯿﻪ ﮐﺮده و ﺑﺮاي ﭘﯿﮑﺮﺑﻨﺪي ﻓﻮرﺗﯽ ﮔﯿﺖ در ﺣﺎﻟﺖ ﺗﻮﭘﻮﻟﻮژي ﺟﺪﯾﺪ
ﮐﺎرﺑﺮدي ﻣﯽ ﺑﺎﺷﺪ.
.1ﺳﻨﺎرﯾﻮ
در ﺳﻨﺎرﯾﻮ اﺳﺘﺎﻧﺪارد ،ﻣﺎ ﻓﺮض ﺗﻮﭘﻮﻟﻮژي زﯾﺮ را ﺑﻌﻨﻮان ﻧﻘﻄﻪ ﺷﺮوع در ﻧﻈﺮ ﻣﯽ ﮔﯿﺮﯾﻢ:
95
ﻣﺸﺘﺮﯾﺎﻧﯽ ﮐﻪ ﺗﻤﺎﯾﻞ دارﻧﺪ از ﻫﺮﮔﻮﻧﻪ ﻗﻄﻌﯽ و ﺧﺮاﺑﯽ اﺟﺘﻨﺎب ﮐﻨﻨﺪ اﻏﻠﺐ از ﺗﻮﭘﻮﻟﻮژي ﺑﺎﻻ اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﻨﺪ.
اﯾﻦ ﻣﺸﺘﺮﯾﺎن ﺑﻪ دو دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ در ﺣﺎﻟﺖ Active/Pasiveﻧﯿﺎز دارﻧﺪ .ﺑﻨﺎﺑﺮاﯾﻦ دو ﻋﺪد ﺳﻮﺋﯿﭻ در ﺷﺒﮑﻪ
داﺧﻠﯽ ﺟﻬﺖ ﺗﻘﺴﯿﻢ ) payloadﺟﺎﺑﺠﺎﯾﯽ ﺑﺎر( ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﺎ ﻧﯿﺎز ﻣﯽ ﺑﺎﺷﺪ.
ﭼﻬﺎر دﺳﺘﮕﺎه ﻣﻮرد ﻧﯿﺎز ﻣﯽ ﺑﺎﺷﺪ ﺗﺎ ﺑﺘﻮاﻧﯿﻢ ﻧﻈﺎرت و ﻣﺪﯾﺮﯾﺖ درﺳﺘﯽ داﺷﺘﻪ ﺑﺎﺷﯿﻢ.
ادﻣﯿﻦ ﻫﺎ ﺑﺎﯾﺪ ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﻨﺪ ﮐﻪ ﭼﮕﻮﻧﻪ ﺑﺎ Firewall OSو Switch OSﮐﺎر ﮐﻨﻨﺪ.
اﮔﺮ ﯾﮏ ﺳﻮﺋﯿﭻ failﺷﻮد .ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎ ﻧﻤﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ اﯾﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
اﻏﻠﺐ ﭘﻮرت ﻫﺎي ﻓﺎﯾﺮوال ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻧﻤﯽ ﮔﯿﺮد.
.2ﺗﻮﭘﻮﻟﻮژي
96
در اﯾﻦ ﻗﺴﻤﺖ ،ﻧﮕﺎﻫﯽ ﻣﯽ اﻧﺪازﯾﻢ ﺑﻪ ﻫﺪف ﺗﻮﭘﻮﻟﻮژي و ﺳﻨﺎرﯾﻮﻫﺎﯾﯽ ﺑﺮاي failoverﻓﻮرﺗﯽ ﮔﯿﺖ .در اﻧﺘﻬﺎ ﻣﺎ در
ﻣﻮرد ﻧﻘﺎط ﻗﻮت ﺻﺤﺒﺖ ﻣﯽ ﮐﻨﯿﻢ و ﺑﺮ اﺳﺎس اﻫﺪاف ﺗﻮﭘﻮﻟﻮژي ﺗﺼﻤﯿﻢ ﻻزم را اﺗﺨﺎذ ﺧﻮاﻫﯿﻢ ﮐﺮد.
1-2ﻫﺪف ﺗﻮﭘﻮﻟﻮژي
در اﯾﻦ ﺗﻮﭘﻮﻟﻮژي ،ﻣﺎ ﻧﻤﯽ ﺗﻮاﻧﯿﻢ از ﺳﻮﺋﯿﭻ ﻫﺎي اﺿﺎﻓﯽ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﻢ .و ﺑﻪ ﺟﺎي آن از راه ﺣﻞ ﻓﻮرﺗﯽ ﮔﯿﺖ
ﻫﺎي ﯾﮑﺴﺎن ﺷﺪه ) ﺗﺮﮐﯿﺐ ﺷﺪه ( ﺳﻮﺋﯿﭽﯽ در ﻫﺮ دو ﺣﺎﻟﺖ masterو slaveاﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﻢ.
ادﻣﯿﻦ ﻟﯿﻨﮏ ﺑﯿﻦ دو دﺳﺘﮕﺎه ﻓﯿﺰﯾﮑﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺳﻮﺋﯿﭻ ﺷﺪه را ﺑﻪ ﺻﻮرت trunkﮐﺎﻧﻔﯿﮓ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﮐﺎﻧﻔﯿﻨﮓ
ﻣﺮﺑﻮط ﺑﻪ ﺳﺎب ﻧﺖ ﻫﺎ و VLANﻫﺎ از ﯾﮑﯽ ﺑﻪ دﯾﮕﺮي ﻣﻨﺘﻘﻞ ﺷﻮد.
در ﺣﺎﻟﺖ ﮐﻼﺳﺘﺮ از FGCPاﺳﺘﻔﺎده ﻣﯽ ﺷﻮد ،در ﺣﺎﻟﺖ slaveﻓﺎﯾﺮوال ﻣﯽ ﺗﻮاﻧﺪ ﺗﺮاﻓﯿﮏ را ﺑﺮاي ﺑﻘﯿﻪ ﺗﻮﺳﻂ
ﻟﯿﻨﮏ ﺗﺮاﻧﮏ ارﺳﺎل ﻧﻤﺎﯾﺪ.
97
Fortigate Failover 2-2
ﻣﺎﻧﯿﺘﻮر ﮐﺮدن ﭘﻮرت ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻧﺖ ،در ﺣﺎﻟﺘﯽ ﮐﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ اﺻﻠﯽ از ﮐﺎر ﺑﯿﻔﺘﺪ.
ﻟﯿﻨﮏ ﺑﯿﻦ روﺗﺮ و ﻓﻮرﺗﯽ ﮔﯿﺖ اﺻﻠﯽ از ﮐﺎر ﺑﯿﻔﺘﺪ.
98
ﻣﻮرد دوم :ﻓﻮرﺗﯽ ﮔﯿﺖ اﺻﻠﯽ از ﮐﺎر ﺑﯿﻔﺘﺪ:
اﮔﺮ دﺳﺘﮕﺎه اﺻﻠﯽ ﺑﻪ ﺻﻮرت ﮐﺎﻣﻞ از ﮐﺎر ﺑﯿﻔﺘﺪ ،ادﻣﯿﻦ ﺑﺎﯾﺪ ﺑﻪ ﺻﻮرت دﺳﺘﯽ ﺳﯿﮕﻤﻨﺖ ﻣﺮﺑﻮط ﺑﻪ LANرا ﺑﻪ
ﻓﺎﯾﺮوال ﺳﺎﻟﻢ ﻣﺘﺼﻞ ﮐﻨﺪ ،در اﯾﻦ ﺗﻮﭘﻮﻟﻮژي ﻓﻘﻂ ﯾﮏ ﺳﻮﺋﯿﭻ ﻣﯽ ﺗﻮاﻧﺪ از ﮐﺎر ﺑﯿﻔﺘﻨﺪ.
99
3-2ﻣﺰﯾﺖ ﻫﺎي ﮐﻠﯿﺪي
ﻓﻘﻂ دو دﺳﺘﮕﺎه ﻣﻮرد ﻧﯿﺎز ﻣﯽ ﺑﺎﺷﺪ ،در ﺻﻮرﺗﯽ ﮐﻪ در ﺗﻮﭘﻮﻟﻮژي اﺳﺘﺎﻧﺪارد 4دﺳﺘﮕﺎه ﻣﻮرد ﻧﯿﺎز ﺑﻮد.
ﺑﺮاي ادﻣﯿﻦ ﻫﺎ ﻣﺪﯾﺮﯾﺖ اﻣﻨﯿﺖ و ﺳﻮﺋﯿﭽﯿﻨﺖ روي ﯾﮏ دﯾﻮاﯾﺲ ﺑﺴﯿﺎر راﺣﺖ ﺗﺮ اﺳﺖ.
اﺳﺘﻔﺎده از FortiManagerﺟﻬﺖ ﻣﺪﯾﺮﯾﺖ ﯾﮑﭙﺎرﭼﻪ از دﺳﺘﮕﺎه ﻫﺎ
ﺗﻨﻬﺎ ﯾﮏ ﮐﻼﺳﺘﺮ ﺟﻬﺖ ﻧﻈﺎرت وﺟﻮد دارد.
.3ﭘﯿﮑﺮﺑﻨﺪي
در اﯾﻦ ﻗﺴﻤﺖ ،ﻣﺎ ﺗﻮﭘﻮﻟﻮژي ﺷﺒﮑﻪ اي ﺑﺎﻻ را ﻣﺠﺪدا اﯾﺠﺎد ﺧﻮاﻫﯿﻢ ﮐﺮد .ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﻪ روﺗﺮ ﭼﮕﻮﻧﻪ
ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﺳﻮﺋﯿﭻ دارد.
100
ﻗﺪم اول :ﭘﯿﮑﺮﺑﻨﺪي ﺳﺨﺖ اﻓﺰاري ﺳﻮﺋﯿﭻ
ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﺎي ﺳﺮي ، 1xxD,2xxDدﺳﺘﮕﺎه ﺑﺮ روي interfaceﻣُﺪ ﻣﯽ ﺑﺎﺷﺪ و ﺗﻤﺎم
ﭘﻮرت ﻫﺎي داﺧﻠﯽ ﺑﻪ ﺳﻮﺋﯿﭽﯽ ﺑﻪ ﻧﺎم LANﻣﺘﺼﻞ ﻣﯽ ﺑﺎﺷﻨﺪ .در اﯾﻦ ﻣﺜﺎل ﻣﺎ ﺑﻪ ﭘﻮرت ﻫﺎي 39و 40ﺑﺮاي
ﺗﺮاﻧﮏ ﺷﺪن و HAﻧﯿﺎز دارﯾﻢ.
اوﻟﯿﻦ ﻗﺪم ﭘﺎك ﮐﺮدن ﭘﻮرت ﻫﺎي 39و 40از LANﺳﻮﺋﯿﭻ ﻣﯽ ﺑﺎﺷﺪ .ﺑﺎ وﯾﺮاﯾﺶ اﯾﻨﺘﺮﻓﯿﺲ LANﺷﺮوع ﻣﯽ
ﮐﻨﯿﻢ.اﮔﺮ دﺳﺘﮕﺎه در ﺣﺎﻟﺖ ﺳﻮﺋﯿﭻ ﻣُﺪ ﺑﺎﺷﺪ ،ﺑﺎﯾﺪ دوﺑﺎره ﺗﻨﻈﯿﻢ ﺷﺪه و ﺑﻪ ﻣُﺪ Interfaceﺑﺮود.
101
ﺑﻪ ﻣﺴﯿﺮ System > Network > Interfaceرﻓﺘﻪ و ﺑﺮ روي LANداﺑﻞ ﮐﻠﯿﮏ ﮐﻨﯿﺪ .ﭘﻮرت ﻫﺎي 39و 40را
از ﻟﯿﺴﺖ ﭘﺎك ﻧﻤﺎﯾﯿﺪ .ﺳﭙﺲ ﺗﻨﻈﯿﻤﺎت IP/Network Maskرا ﺑﺮ اﺳﺎس زﯾﺮ وارد ﮐﻨﯿﺪ:
IP/Network Mask : 192.168.100.1/255.255.255.0
ﺣﺎﻻ وﺿﻌﯿﺖ اﯾﻨﺘﺮﻓﯿﺲ ﺷﻤﺎ ﭼﯿﺰي ﺷﺒﯿﻪ ﻋﮑﺲ زﯾﺮ ﺑﺎﯾﺪ ﻣﯽ ﺑﺎﺷﺪ:
ﺑﺮاي اﯾﻨﮑﻪ ﭘﻮرت ﺗﺮاﻧﮏ ﺑﺪرﺳﺘﯽ ﮐﺎر ﮐﻨﺪ ﻣﺎ ﺑﺎﯾﺪ VLAN IDرا روي ﺳﻮﺋﯿﭻ ﺗﻨﻈﯿﻢ ﮐﻨﯿﻢ .اﯾﻦ ﻓﻘﻂ در CLI
اﻧﺠﺎم ﭘﺬﯾﺮ ﻣﯽ ﺑﺎﺷﺪ.
در اوﻟﯿﻦ ﻗﺪم ﻣﺎ ﺑﺎﯾﺪ ﻗﺎﺑﻠﯿﺖ globallyرا ﻓﻌﺎل ﻧﻤﺎﯾﯿﻢ .دﺳﺘﻮرات در زﯾﺮ ﻧﻤﺎﯾﺶ داده ﺷﺪه اﺳﺖ:
FGT1 # config system global
FGT1 )(global # set virtual-switch-vlan
102
enable
FGT1 (global) # end
FGT1 # show system global
config system global
set fgd-alert-subscription advisory
latest-threat
set hostname “FGT1”
set internal-switch-mode interface
set optimize antivirus
set timezone 04
set virtual-switch-vlan enable
end
. را در اﯾﻨﺘﺮﻓﯿﺲ ﻟﯿﺴﺖ ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪVLAN Switch ﺑﻌﺪ از زدن دﺳﺘﻮرات ﺑﺎﻻ از اﻻن ﺷﻤﺎ ﺑﺎﯾﺪ ﺑﺘﻮاﻧﯿﺪ
ﭘﯿﮑﺮﺑﻨﺪي. ﻫﺮ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪvirtual Switch ﻣﻮرد اﺳﺘﻔﺎده ي ﭘﻮرت ﺗﺮاﻧﮏ ﺑﺮاي ﻋﺒﻮر ﺗﺮاﻓﯿﮏ ﺑﯿﻦ دو
:ﭘﻮرت ﺗﺮاﻧﮏ ﻓﻘﻂ ﺑﺎ دﺳﺘﻮرات زﯾﺮ اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺑﺎﺷﺪ
FGT1 # config system interface
FGT1 (interface) # edit port39
FGT1 (port39) # set trunk enable
FGT1 (port39) # end
FGT1 # show system interface port39
config system interface
edit “port39”
set vdom “root”
set type physical
set trunk enable
set snmp-index 10
next
end
.در ﺣﺎل ﺣﺎﺿﺮ ﺷﻤﺎ ﺑﺎﯾﺪ ﺑﺘﻮاﻧﯿﺪ ﭘﻮرت ﺗﺮاﻧﮏ را در اﯾﻨﺘﺮﻓﯿﺲ ﻟﯿﺴﺖ ﻣﺸﺎﻫﺪه ﮐﻨﯿﺪ
HA ﭘﯿﮑﺮﺑﻨﺪي:ﻣﺮﺣﻠﻪ ﺳﻮم
103
ﺣﺎﻻ ﻧﻮﺑﺖ ﺑﻪ High Availabilityرﺳﯿﺪه اﺳﺖ .ﭘﻮرت 40ﺑﺮاي heartbeat/Syncﺟﻬﺖ ارﺗﺒﺎط ﺑﯿﻦ اﻋﻀﺎي
ﮐﻼﺳﺘﺮ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد .ﭘﻮرت WAN1ﻫﻢ ﺑﺮاي ﻣﺎﻧﯿﺘﻮر ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد.
ﺑﻪ ﻣﺴﯿﺮ System> Config> HAرﻓﺘﻪ و High Availabilityرا ﻣﺎﻧﻨﺪ زﯾﺮ ﺗﻨﻈﯿﻢ ﻧﻤﺎﯾﯿﺪ:
ﺑﻪ ﻣﺴﯿﺮ System > Network > Interfaceﺑﺮوﯾﺪ و WAN1را وﯾﺮاﯾﺶ ﮐﻨﯿﺪ دﻗﯿﻘﺎ ﻣﺎﻧﻨﺪ زﯾﺮ:
ﺑﻪ ﻣﺴﯿﺮ Router > Static > Static Routesﺑﺮوﯾﺪ و ﯾﮏ routeﻫﻤﺎﻧﻨﺪ ﺗﻮﺿﯿﺤﺎت زﯾﺮ ﺑﺴﺎزﯾﺪ:
ﺑﻪ ﻣﺴﯿﺮ Policy & Objects > Policy > IPv4ﺑﺮوﯾﺪ و ﭘﺎﻟﺴﯽ ﻫﺎي دﻟﺨﻮاه ﺧﻮد را ﭘﯿﮑﺮﺑﻨﺪي ﮐﻨﯿﺪ.
ﺑﻪ ﻣﺴﯿﺮ System > Dashboard > Statusﺑﺮوﯾﺪ واز ﻗﺴﻤﺖ System Configurationﮔﺰﯾﻨﻪ Backupرا
اﻧﺘﺨﺎب ﮐﻨﯿﺪ .ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﯿﻦ ﻣﺴﯿﺮ و اﻧﺘﺨﺎب ﮔﺰﯾﻨﻪ Restoreﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﻨﻈﯿﻤﺎت را ﺑﺮ روي دﺳﺘﮕﺎه دوم
ﺑﺎزﯾﺎﺑﯽ ﻧﻤﺎﯾﯿﺪ.
105
واژه ﻧﺎﻣﻪ :
Boarder Gateway Protocol :BGPدر درﺟﻪ ي اول ﺟﻬﺖ اﺳﺘﻔﺎده و اﺗﺼﺎل ﺷﺒﮑﻪ ﻫﺎي ﺑﺰرگ ﻗﺮار دارد.
اﯾﻦ ﭘﺮوﺗﮑﻞ ﻣﯽ ﺗﻮاﻧﺪ ﭼﻨﺪ ISPﯾﺎ ﺑﯿﺸﺘﺮ را ﺑﺎ ﯾﮑﺪﯾﮕﺮ ﻣﺘﺼﻞ ﻧﻤﺎﯾﺪ ،ﯾﺎ ﺑﯿﻦ autonomousﺳﯿﺴﺘﻢ ﻫﺎ ارﺗﺒﺎط
ﺑﺮﻗﺮار ﻧﻤﺎﯾﺪ .اﮔﺮ ﺷﻤﺎ در اﯾﻦ ﺷﺮاﯾﻂ از ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﯿﺪ ﮐﺎﻣﻼ ﺟﻮاﺑﮕﻮي ﺷﻤﺎ ﺧﻮاﻫﺪ ﺑﻮد.
:Certificatesدر ﺷﺒﮑﻪ ،ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ ﺷﺎﻣﻞ ﮐﻠﯿﺪﻫﺎي ﻋﻤﻮﻣﯽ ،ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎي دﯾﺠﯿﺘﺎﻟﯽ ،ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎي
ﺷﻨﺎﺳﺎﯾﯽ ﺗﺎﻣﯿﻦ ﮐﻨﻨﺪه اﻣﻀﺎﻫﺎي دﯾﺠﯿﺘﺎﻟﯽ ﻣﯽ ﺑﺎﺷﺪ ﺑﺮاي وب ﺳﺎﯾﺖ ﻫﺎ ﯾﺎ ﺳﺎﯾﺮ ارﺗﺒﺎﻃﺎت اﻟﮑﺘﺮوﻧﯿﮑﯽ ﺑﻪ ﺷﻤﺎ
اﺟﺎزه ﻣﯽ دﻫﺪ ﮐﻪ ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ آﯾﺎ ﯾﮏ ﻫﻮﯾﺖ دﯾﺠﯿﺘﺎل ﻣﺸﺮوع و درﺳﺖ ﻣﯽ ﺑﺎﺷﺪ .ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ
از ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ ﺑﺮاي ﭼﯿﺰﻫﺎي زﯾﺎدي ﺷﺎﻣﻞ ﺑﺎزرﺳﯽ SSLو اﻋﺘﺒﺎرﺳﻨﺠﯽ ﮐﺎرﺑﺮان اﺳﺘﻔﺎده ﻧﻤﺎﯾﺪ.
Command Line Interface :CLIﺑﺮ اﺳﺎس ﺗﮑﺴﺖ ﺑﻮده و ﺟﻬﺖ ﭘﯿﮑﺮﺑﻨﺪي دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ در ﻣﺤﯿﻂ
ﮐﺎﻣﻨﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد .ﺑﯿﺸﺘﺮ ﻣﺮاﺣﻞ در اﯾﻦ ﮐﺘﺎب ﺑﻪ ﺻﻮرت ﮔﺮاﻓﯿﮑﺎل دﻧﺒﺎل ﺷﺪه اﺳﺖ ،اﻣﺎ ﺑﻌﻀﯽ
از از ﺗﻨﻈﯿﻤﺎت ﺗﻨﻬﺎ در ﻣﺤﯿﻂ دﺳﺘﻮري ﻣﻮﺟﻮد ﻣﯽ ﺑﺎﺷﻨﺪ.
Dynamic Host Configuration Protocol :DHCPﯾﮏ ﭘﺮوﺗﮑﻠﯽ از ﺷﺒﮑﻪ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻪ دﺳﺘﮕﺎه ﻫﺎي
ﺷﺒﮑﻪ اﺟﺎزه درﯾﺎﻓﺖ ﺑﻌﻀﯽ از ﭘﺎراﻣﺘﺮﻫﺎ را ﻣﯽ دﻫﺪ .ﯾﮑﯽ از اﯾﻦ ﭘﺎراﻣﺘﺮﻫﺎ IP Addressﻣﯽ ﺑﺎﺷﺪ .ﯾﮏ دﺳﺘﮕﺎه
ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ اﯾﻦ وﻇﯿﻔﻪ را ﺑﺮﻋﻬﺪه ﮔﺮﻓﺘﻪ و ﻫﻤﺎﻧﻨﺪ ﯾﮏ DHCPﺳﺮور ﻋﻤﻞ ﻧﻤﺎﯾﺪ ﺗﺎ دﺳﺘﮕﺎه ﻫﺎي
ﻣﻮﺟﻮد در ﺷﺒﮑﻪ ي ﺷﻤﺎ IPدرﯾﺎﻓﺖ ﻧﻤﺎﯾﻨﺪ.
Demilitarized Zone :DMZﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻪ ﮐﺎرﺑﺮان ﺧﺎرﺟﯽ ﺑﺎ دﺳﺘﺮﺳﯽ اﻣﻦ و
ﺣﻔﺎﻇﺖ ﺷﺪه اﺟﺎزه ﻣﯽ دﻫﺪ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ .اﯾﻦ دﺳﺘﺮﺳﯽ ﺑﺪون دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﺳﺎﯾﺮ
ﻗﺴﻤﺖ ﻫﺎي ﺷﺒﮑﻪ ﺻﻮرت ﻣﯽ ﮔﯿﺮد .اﯾﻦ ﮐﺎر اﻏﻠﺐ ﺑﺮاي subnetﻫﺎﯾﯽ ﺷﺎﻣﻞ وب ﺳﺮورﻫﺎ اﻧﺠﺎم ﻣﯽ ﺷﻮد .ﺑﯿﺸﺘﺮ
ﻣﻮاردي ﮐﻪ ﺑﺎﯾﺪ از ﺑﯿﺮون ﺑﻪ آﻧﻬﺎ دﺳﺘﺮﺳﯽ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ .اﯾﻨﺘﺮﻓﯿﺲ DMZﻓﻘﻂ ﺑﻪ ﺗﺮاﻓﯿﮑﯽ اﺟﺎزه ﻋﺒﻮر ﻣﯽ
دﻫﺪ ﮐﻪ ﺻﺮﯾﺤﺎ در ﺗﻨﻈﯿﻤﺎت ﻓﻮرﺗﯽ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ .ﺑﻌﻀﯽ از ﻣﺪل ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ اﯾﻨﺘﺮﻓﯿﺲ DMZﻧﺪارﻧﺪ
اﻟﺒﺘﻪ ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺳﺎﯾﺮ اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎ ﺟﻬﺖ اﯾﻦ ﻣﻮرد اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ.
Domain Name System :DNSﺑﻮﺳﯿﻠﻪ دﺳﺘﮕﺎه ﻫﺎﯾﯽ ﮐﻪ ﻣﺘﺼﻞ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻫﺴﺘﻨﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ
ﮔﯿﺮد ﺗﺎ وب ﺳﺎﯾﺖ ﻫﺎ را ﺑﻮﺳﯿﻠﻪ mappingﮐﺮدن ﯾﮏ اﺳﻢ داﻣﯿﻦ ﺑﻪ IPآدرس ﺷﻨﺎﺳﺎﯾﯽ ﻧﻤﺎﯾﺪ .ﺑﺮاي ﻣﺜﺎل
DNSﺳﺮورﻧﺎم fortigate.comرا ﺑﻪ IPآدرس 66.171.121.34ﺗﺒﺪﯾﻞ ﻣﯽ ﮐﻨﺪ .دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺸﺨﺺ
ﻣﯽ ﻧﻤﺎﯾﺪ ﮐﻪ ﮐﺪام DNSﺳﺮور در ﺷﺒﮑﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮد .ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ وﻇﯿﻔﻪ ﯾﮏ DNS
ﺳﺮور را ﻧﯿﺰ ﺑﺮﻋﻬﺪه ﺑﮕﯿﺮد.
106
Equal Cost Multipath Routing:ECMPاﺟﺎزه ﻣﯽ دﻫﺪ ﺑﻪ ﻫﺎپ ﻫﺎي ﺑﻌﺪي ﮐﻪ ﭘﮑﺖ ﻫﺎي ارﺳﺎﻟﯽ را ﺑﺮاي
ﯾﮏ ﻣﻘﺼﺪ ارﺳﺎل ﻧﻤﺎﯾﻨﺪ ﺗﺎ ﺑﯿﻦ ﭼﻨﺪﯾﻦ ﻣﺴﯿﺮ ،ﺑﻬﺘﺮﯾﻦ اﻧﺘﺨﺎب ﺷﻮد ECMP .ﺗﻮﺳﻂ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮاي اﻫﺪاف
ﻣﺘﻌﺪدي ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد .ﯾﮑﯽ از آﻧﻬﺎ load balancingﻣﯽ ﺑﺎﺷﺪ.
:Explicit Proxyﺣﺎﻟﺘﯽ از ﭘﯿﮑﺮﺑﻨﺪي ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻪ ﮐﻼﯾﻨﺖ ﻫﺎ اﺟﺎزه ﻣﯽ دﻫﺪ ﺗﺎ درﺧﻮاﺳﺖ ﻫﺎﯾﺸﺎن را ﺑﻪ
ﯾﮏ ﭘﺮوﮐﺴﯽ ﺳﺮور ارﺳﺎل ﻧﻤﺎﯾﻨﺪ .وﻗﺘﯽ ﯾﮏ ﺳﺮور ﺑﻌﻨﻮان واﺳﻂ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد ﺑﺮاي درﺧﻮاﺳﺖ
ﻫﺎﯾﯽ ﮐﻪ از ﻃﺮف ﮐﻼﯾﻨﺖ ﻫﺎ ارﺳﺎل ﻣﯽ ﺷﻮد .ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ وﻗﺘﯽ از ﺣﺎﻟﺖ explicit proxyاﺳﺘﻔﺎده ﻣﯽ
ﮐﻨﺪ ،ﮐﻼﯾﻨﺖ ﻫﺎ IPآدرس ﻫﺎ و ﺷﻤﺎره ﭘﻮرت ﻫﺎ را ﺑﺮاي ﭘﺮوﮐﺴﯽ ﺳﺮور ارﺳﺎل ﻣﯽ ﮐﻨﻨﺪ.
:FortiAPدﺳﺘﮕﺎه اﮐﺴﺲ ﭘﻮﯾﻨﺖ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﯾﮏ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺪﯾﺮﯾﺖ ﺷﻮد .ﺑﯿﺸﺘﺮ
وﻇﺎﯾﻒ FortiAPﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ دﺳﺘﮕﺎه FortiWiFiاﻧﺠﺎم ﺷﻮد.
:FortiOSﺳﯿﺴﺘﻢ ﻋﺎﻣﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻮﺳﯿﻠﻪ Fortigateو FortiWiFiﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد .ﺑﺮاي ﻓﻬﻢ
ﺑﻬﺘﺮ ﻣﯽ ﺗﻮان ﺑﻪ ﯾﮏ ﻓﺮﯾﻤﻮر ﺗﺸﺒﯿﻪ ﮐﺮد.
:Gatewayاﮔﺮ دﺳﺘﮕﺎﻫﯽ ﻧﺘﻮاﻧﺪ آدرس ﻣﻘﺼﺪ را در ﺳﺎﺑﻨﺖ ﺧﻮد ﭘﯿﺪا ﮐﻨﺪ ﭘﮑﺖ را ﺑﻪ Gatewayﺧﻮد ﺗﺤﻮﯾﻞ
ﻣﯽ دﻫﺪ.
،Graphical User Interface :GUIﺑﯿﺸﺘﺮ اﻓﺮاد اﺳﻢ web-based managerﻣﯽ ﺷﻨﺎﺳﻨﺪ ،ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ
ﮔﺮاﻓﯿﮑﯽ ﻣﯽ ﺑﺎﺷﺪ ﺟﻬﺖ اﻧﺠﺎم ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺟﺎي اﺳﺘﻔﺎده از دﺳﺘﻮرات ﺧﺸﮏ و ﺧﺴﺘﻪ
ﮐﻨﻨﺪه ي CLI
Hypertext Transfer Protocol :HTTPﭘﺮوﺗﮑﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺟﻬﺖ ارﺗﺒﺎﻃﺎت اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد و ﻧﺎ اﻣﻦ
ﺑﻮده ،ﺷﺎﻣﻞ اﯾﻨﺘﺮﻧﺖ و دﺳﺘﯿﺎﺑﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎ اﺳﺖ .ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ ﺗﺮاﻓﯿﮏ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ اﯾﻦ ﭘﺮوﺗﮑﻞ
را ﻧﯿﺰ ﻣﺪﯾﺮﯾﺖ ﮐﻨﺪ.
Hypertext Transfer Protocol Secure :HTTPSﭘﺮوﺗﮑﻞ اﻣﻦ HTTPﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ارﺗﺒﺎﻃﺎت را ﺑﺎ ﭘﺮوﺗﮑﻞ
اﻣﻦ اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺳﺎزد.
:Interfacesﻧﻘﻄﻪ اي ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ارﺗﺒﺎﻃﺎت ﺑﯿﻦ دو ﺑﺨﺶ ﻣﺘﻔﺎوت در اﯾﻦ ﻗﺴﻤﺖ اﻧﺠﺎم ﻣﯽ ﺷﻮد .اﯾﻦ ﻧﻘﺎط
ﻣﯽ ﺗﻮاﻧﺪ ﻓﯿﺰﯾﮑﯽ ﺑﺎﺷﺪ ،ﻣﺎﻧﻨﺪ Ethernetﭘﻮرت ﻫﺎ روي ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ ،ﯾﺎ ﺑﻪ ﺻﻮرت ﻣﻨﻄﻘﯽ ﻫﻤﺎﻧﻨﺪ ﯾﮏ VPN
Portal
:IPsecﺟﻬﺖ اﯾﺠﺎد اﻣﻨﯿﺖ در ارﺗﺒﺎﻃﺎت ﺑﮑﺎر ﺑﺮده ﻣﯽ ﺷﻮد ﺑﻪ ﻃﻮري ﮐﻪ ﻫﺮ ﭘﮑﺖ ﯾﮏ sessionﮐﺪﮔﺬاري ﻣﯽ
ﺷﻮد .ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﺎﺳﺎ از اﯾﻦ ﭘﺮوﺗﮑﻞ ﺟﻬﺖ ارﺗﺒﺎط VPNاﺳﺘﻔﺎده ﻣﯿﮑﻨﺪ.
107
Lightweight Directory Access Protocol :LDAPﭘﺮوﺗﮑﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﺑﺮاي دﺳﺘﺮﺳﯽ و ﻧﮕﻬﺪاري از ﺳﺮوﯾﺲ
ﻫﺎي ﺗﻮزﯾﻊ ﯾﺎﻓﺘﻪ directory informationﻣﯽ ﺑﺎﺷﺪ .ﺳﺮورﻫﺎي LDAPﺑﻪ ﺻﻮرت ﻣﻌﻤﻮل ﺑﺎ ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ
ﺑﺮاي ﺑﺤﺚ authenticateﮐﺎرﺑﺮان ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ.
Media Access Control address :MAC addressﯾﮏ ﺷﻨﺎﺳﻪ ﺧﺎص و ﻫﻤﺘﺎ ﻣﯽ ﺑﺎﺷﺪ ﺑﺮاي اﯾﻨﺘﺮﻓﯿﺲ ﺷﺒﮑﻪ
ﺟﻬﺖ ارﺗﺒﺎﻃﺎت .ﯾﮏ ﻣﮏ آدرس ﺑﻪ ﯾﮏ دﯾﻮاﯾﺲ داده ﻣﯽ ﺷﻮد اﯾﻦ ﻣﮏ آدرس ﺗﻮﺳﻂ ﮐﺎرﺧﺎﻧﻪ ﺳﺎزﻧﺪه داده ﻣﯽ
ﺷﻮد و ﺑﻪ ﻫﯿﭻ ﻋﻨﻮان ﺷﺒﯿﻪ IPآدرس ﻧﻤﯽ ﺑﺎﺷﺪ و ﺑﻪ ﺻﻮرت ﻧﺮﻣﺎل ﻗﺎﺑﻞ ﺗﻐﯿﯿﺮ ﻧﻤﯽ ﺑﺎﺷﺪ .ﻣﮏ آدرس در 6
ﻗﺴﻤﺖ دوﺗﺎﯾﯽ از اﻋﺪاد ﻫﮕﺰادﺳﯿﻤﺎل ﺗﺸﮑﯿﻞ ﺷﺪه اﺳﺖ ﮐﻪ ﺗﻮﺳﻂ ﮐﺎﻟﻮن از ﯾﮑﺪﯾﮕﺮ ﺟﺪا ﻣﯽ ﺷﻮﻧﺪ .ﺑﺮاي ﻣﺜﺎل
. 01:23:45:67:89:abدﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﺷﻨﺎﺳﺎﯾﯽ ﺧﻮاﻫﺪ ﮐﺮد دﯾﻮاﯾﺲ ﻫﺎﯾﯽ ﮐﻪ از ﻣﮏ آدرس اﺳﺘﻔﺎده
ﻣﯽ ﮐﻨﻨﺪ.
:Multicastﯾﮏ ﻣِﺘُﺪ از ارﺗﺒﺎط ﺑﻪ ﺻﻮرت ﮔﺮوﻫﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ اﻃﻼﻋﺎت ﺑﺮاي ﯾﮏ ﮔﺮوه ارﺳﺎل ﻣﯽ ﺷﻮد.ﻓﻮرﺗﯽ
ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ از ﺗﺮاﻓﯿﮏ ﻣﺎﻟﺘﯽ ﮐﺴﺖ ﺟﻬﺖ اﯾﺠﺎد ارﺗﺒﺎط ﺑﯿﻦ دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﮑﻪ اﺳﺘﻔﺎده ﻧﻤﺎﯾﺪ.
Network Address Translation :NATﯾﮏ ﭘﺮوﺳﻪ اﺳﺖ ﮐﻪ ﺑﺮاي ﺗﻐﯿﯿﺮات و ﯾﺎ ﺗﺮﺟﻤﻪ IPآدرس ﻫﺎي ﻣﺒﺪا
ﯾﺎ ﻣﻘﺼﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد .اﺳﺘﻔﺎده اﺻﻠﯽ از NATاﺟﺎزه دادن ﺑﻪ ﭼﻨﺪﯾﻦ دﯾﻮاﯾﺲ ﺷﺒﮑﻪ ﺑﺮ روي
ﺑﺴﺘﺮ داﺧﻠﯽ ﺟﻬﺖ دﺳﺘﺮﺳﯽ ﺑﻪ ﺑﯿﺮون ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ IPﭘﺎﺑﻠﯿﮏ وﻗﺘﯽ ﮐﻪ ﻗﺼﺪ اﺳﺘﻔﺎده از اﯾﻨﺘﺮﻧﺖ را دارﻧﺪ.
ﻓﻮرﺗﯽ ﮔﯿﺖ از ﮐﺎرﺑﺮدﻫﺎي ﺑﯿﺸﻤﺎر NATﭘﺸﺘﯿﺒﺎﻧﯽ ﻣﯽ ﮐﻨﺪ.
:Packetﯾﮏ ﻗﺴﻤﺘﯽ از دﯾﺘﺎ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﯿﻦ دﯾﻮاﯾﺲ ﻫﺎي ارﺗﺒﺎﻃﯽ ارﺳﺎل ﻣﯽ ﺷﻮد .ﯾﮏ ﭘﮑﺖ ﺷﺎﻣﻞ دو
ﻗﺴﻤﺖ ﭘﯿﺎم و اﻃﻼﻋﺎت ﮐﻨﺘﺮﻟﯽ ﻣﯽ ﺑﺎﺷﺪ ،ﻫﻤﺎﻧﻨﺪ آدرس ﻣﺒﺪا ) IPآدرﺳﯽ دﺳﺘﮕﺎﻫﯽ ﮐﻪ ﭘﮑﺖ را ﻣﯽ ﻓﺮﺳﺘﺪ(
و آدرس ﻣﻘﺼﺪ ) IPآدرس دﺳﺘﮕﺎﻫﯽ ﮐﻪ ﺑﺴﺘﻪ را ارﺳﺎل ﮐﺮده اﺳﺖ(
:PINGﯾﮏ دﺳﺘﻮر ﺑﺴﯿﺎر ﺳﻮدﻣﻨﺪ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ دﺳﺘﻮر ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﻣﺘﻮﺟﻪ ﺷﻮﯾﺪ ﮐﻪ ﯾﮏ
دﺳﺘﮕﺎه ﺑﻪ ﺷﺒﮑﻪ ﻣﺘﺼﻞ ﻣﯽ ﺑﺎﺷﺪ ﯾﺎ ﺧﯿﺮ ؟ ﻫﻤﭽﻨﯿﻦ ﺑﺎ اﺳﺘﻔﺎده از زﻣﺎن replyﻣﺘﻮﺟﻪ ﻣﯽ ﺷﻮﯾﺪ زﻣﺎن ﺑﺎزﮔﺸﺖ
ﭼﻪ ﻣﻘﺪاري ﻣﯽ ﺑﺎﺷﺪ .ﭘﺮوﺗﮑﻠﯽ ﮐﻪ ﭘﯿﻨﮓ اﺳﺘﻔﺎده ﻣﯿﮑﻨﺪ ICMPﻣﯽ ﺑﺎﺷﺪ .اﮔﺮ ICMPروي ﻣﻘﺼﺪ ﻓﻌﺎل ﺑﺎﺷﺪ،
در ﻣﺤﯿﻂ CLIﻣﯽ execute دﺳﺘﻮرping ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ دﺳﺘﮕﺎه ﻣﻘﺼﺪ را ﭘﯿﻨﮓ ﮐﻨﯿﺪ .ﺷﻤﺎ ﺑﺎ اﺳﺘﻔﺎده از
ﺗﻮاﻧﯿﺪ از وﺿﻌﯿﺖ دﺳﺘﮕﺎه ﻣﻘﺼﺪ آﮔﺎه ﺷﻮﯾﺪ.
:Port Numberﺷﻤﺎره ﭘﻮرت ﻧﻘﺎط ﭘﺎﯾﺎﻧﯽ ارﺗﺒﺎﻃﺎت اﺳﺖ ﮐﻪ در ارﺗﺒﺎﻃﺎت ﺷﺒﮑﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد.
ﭘﻮرت ﻫﺎي ﻣﺨﺘﻠﻒ در ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻣﺨﺘﻠﻒ ﻓﺮق ﻣﯽ ﮐﻨﺪ.
108
ﺑﻪ ﺻﻮرت ﻣﻌﻤﻮل ﺑﺎ ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ اﯾﻨﮑﺎر ﺑﺮاي ﮐﺎرﺑﺮاﻧﯽ ﮐﻪ در داﺧﻞ SSOاﺣﺮاز
ﻫﻮﯾﺖ ﺷﺪه اﻧﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد.
:Sessionﯾﮏ sessionدﯾﺎﻟﻮﮔﯽ ﻫﺴﺖ ﺑﯿﻦ دو ﯾﺎ ﺑﯿﺸﺘﺮ دﺳﺘﮕﺎه ﻫﺎي ارﺗﺒﺎﻃﯽ ﮐﻪ ﺷﺎﻣﻞ ﻫﻤﻪ ﭘﯿﺎم ﻫﺎي ﻋﺒﻮري
ﺑﯿﻦ دﺳﺘﮕﺎه ﻫﺎ اﺳﺖ .ﺑﺮاي ﻣﺜﺎل ﯾﮏ sessionوﻗﺘﯽ ﮐﻪ ﯾﮏ ﮐﺎرﺑﺮ از ﯾﮏ ﺳﺎﯾﺖ ﺑﺎزدﯾﺪ ﻣﯿﮑﻨﺪ ﺳﺎﺧﺘﻪ ﻣﯽ ﺷﻮد.
sessionﻫﺎ ﺑﺮاي ﺗﻤﺎم ارﺗﺒﺎﻃﺎت ﺑﯿﻦ ﮐﺎرﺑﺮان ﮐﺎﻣﭙﯿﻮﺗﺮ و وب ﺳﺮور ﻫﺎ ﮐﺎرﺑﺮد دارد Session .ﻫﺎ ﺑﻮﺳﯿﻠﻪ ﯾﮏ
دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ردﯾﺎﺑﯽ ﻣﯽ ﺷﻮﻧﺪ ﺑﻪ ﺷﺮﻃﯽ ﮐﻪ در ﻗﺴﻤﺖ اﯾﺠﺎد ﻻگ اﻧﺘﺨﺎب ﺷﺪه ﺑﺎﺷﺪ.
Session Initiation Protocol :SIPﺑﺮاي ﮐﻨﺘﺮل sessionﻫﺎي ارﺗﺒﺎﻃﺎﺗﯽ ﻣﺎﻟﺘﯽ ﻣﺪﯾﺎ ﻫﻤﺎﻧﻨﺪ voiceو وﯾﺪﺋﻮ
ﺗﺤﺖ ﺑﺴﺘﺮ اﯾﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد .ﻓﻮرﺗﯽ ﮔﯿﺖ از اﯾﻦ ﭘﺮوﺗﮑﻞ ﺑﺮاي ﻋﺒﻮر ﺻﺪا ﺑﺮ روي IPاﺳﺘﻔﺎده ﻣﯿﮑﻨﺪ.
Simple Network Managemet Protocol :SNMPﭘﺮوﺗﮑﻠﯽ اﺳﺖ ﮐﻪ ﺳﺨﺖ اﻓﺰارﻫﺎي روي ﺷﺒﮑﻪ ﺷﻤﺎ را
ﻣﺎﻧﯿﺘﻮر ﻣﯽ ﮐﻨﺪ .دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ از ﭘﺮوﺗﮑﻞ SNMPاﺳﺘﻔﺎده ﮐﻨﺪ ﺗﺎ وﻗﺎﯾﻌﯽ ﻣﺎﻧﻨﺪ ﻣﯿﺰان
اﺳﺘﻔﺎده از CPUو VPN Tunnelﻫﺎ و ...را ﻣﺎﻧﯿﺘﻮر ﻧﻤﺎﯾﺪ.
Secure Shell :SSHﭘﺮوﺗﮑﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﺮاي اﯾﺠﺎد اﻣﻨﯿﺖ ﺳﺮوﯾﺲ ﻫﺎ در ﺷﺒﮑﻪ اﺳﺘﻔﺎده ﻣﯿﺸﻮد .ﺷﺎﻣﻞ
دﺳﺘﺮﺳﯽ راه دور از ﻃﺮﯾﻖ command-lineﻣﯽ ﺑﺎﺷﺪ SSH .ﻣﯽ ﺗﻮاﻧﺪ ﺟﻬﺖ دﺳﺘﺮﺳﯽ ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ
ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﺑﮕﯿﺮد.
Service Set Identifier :SSIDاﺳﻤﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ اﮐﺴﺲ ﭘﻮﯾﻨﺖ broadcastﻣﯽ ﮐﻨﺪ ﺗﺎ ﮐﺎرﺑﺮان ﺷﺒﮑﻪ
واﯾﺮﻟﺲ ﺑﻪ آن ﻣﺘﺼﻞ ﺷﻮﻧﺪ.
Secure Socket Layer :SSLﭘﺮوﺗﮑﻠﯽ ﺑﺮاي رﻣﺰﮔﺬاري اﻃﻼﻋﺎﺗﯽ ﮐﻪ در ﺷﺒﮑﻪ رد و ﺑﺪل ﻣﯽ ﺷﻮﻧﺪ SSL .ﻣﯽ
ﺗﻮاﻧﺪ ﺟﻬﺖ ارﺗﺒﺎﻃﺎت اﻣﻦ در ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﺘﻔﺎده ﺷﻮد .ﻫﻤﭽﻨﯿﻦ ﺑﺮاي رﻣﺰﮔﺬاري ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺖ ﻣﻮرد اﺳﺘﻔﺎده
ﻗﺮار ﻣﯽ ﮔﯿﺮد و ﺑﺮاي اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﮐﺎرﺑﺮان راه دور از ﻃﺮﯾﻖ VPNﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد.
:SSL inspectionﺑﺮاي اﺳﺘﻔﺎده ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ ﺗﺎ ﺗﺮاﻓﯿﮏ را اﺳﮑﻦ ﮐﺮده ﯾﺎ sessionﻫﺎي ارﺗﺒﺎﻃﯽ ﮐﻪ از
SSLﺑﺮاي رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ ﺑﺮرﺳﯽ ﻧﻤﺎﯾﺪ.
:SSOﻗﺎﺑﻠﯿﺘﯽ ﮐﻪ ﺑﻪ ﮐﺎرﺑﺮ اﺟﺎزه ﻣﯽ دﻫﺪ ﺑﺎ ﯾﮑﺒﺎر ﻻﮔﯿﻦ ﺷﺪن ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ﯾﮏ ﺳﺮي از دﺳﺘﺮﺳﯽ ﻫﺎي
ﻣﺸﺨﺺ را داﺷﺘﻪ ﺑﺎﺷﺪ.
:Static routeاﻋﻤﺎل ﺗﻨﻈﯿﻤﺎت دﺳﺘﯽ روﺗﯿﻨﮓ ﮐﻪ ﺛﺎﺑﺖ ﺑﻮده و ﻗﺎﺑﻠﯿﺖ ﺗﻐﯿﯿﺮ ﻧﺪارد و ﺑﻪ ﺻﻮرت دﺳﺘﯽ اﺿﺎﻓﻪ و
ﯾﺎ ﮐﻢ ﻣﯽ ﺷﻮد.
109
:Subnetﯾﮏ Subnetworkﯾﺎ Subnetﯾﮏ ﺳﯿﮕﻤﻨﺘﯽ از ﺷﺒﮑﻪ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻪ ﺻﻮرت ﻓﯿﺰﯾﮑﺎﻟﯽ و ﯾﺎ ﻣﻨﻄﻘﯽ
ﺟﺪا ﺷﺪه اﺳﺖ .ﺟﺪا ﮐﺮدن ﺷﺒﮑﻪ ﺑﻪ ﺳﺎب ﻧﺖ ﻫﺎي ﻣﺨﺘﻠﻒ ﺑﺎﻋﺚ اﯾﺰوﻟﻪ ﮐﺮدن ﺗﺮاﻓﯿﮏ ﻋﺒﻮري ﺷﺪه و ﺑﻪ ﮐﺎراﯾﯽ
ﺷﺒﮑﻪ ﮐﻤﮏ ﺷﺎﯾﺎﻧﯽ ﻣﯽ ﻧﻤﺎﯾﺪ.
:Subnet Maskﯾﮏ ﻗﺴﻤﺘﯽ از آدرس IPﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺗﻌﯿﯿﻦ ﻣﯽ ﮐﻨﺪ اﮔﺮ دو آدرس در ﯾﮏ ﺳﺎب ﻧﺖ ﻣﺸﺎﺑﻪ
ﻫﺴﺘﻨﺪ ﺑﺘﻮاﻧﻨﺪ ﺑﻪ ﯾﮑﺪﯾﮕﺮ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
Virtual Local Area Network :VLANﺑﻪ ﺻﻮرت ﻣﻨﻄﻘﯽ LANﺑﻪ ﻗﺴﻤﺖ ﻫﺎي ﮐﻮﭼﮏ ﺗﺮي ﺗﻘﺴﯿﻢ ﻣﯽ
ﺷﻮد ﮐﻪ وﻇﺎﯾﻒ و ﮐﺎراﯾﯽ ﻣﺴﺘﻘﻞ ﺗﺮي داﺷﺘﻪ ﺑﺎﺷﺪ .دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ vlanﻫﺎي ﻣﺨﺘﻠﻔﯽ را اﯾﺠﺎد
ﮐﺮده ﺗﺎ ﮐﺎرﺑﺮان ﺑﺘﻮاﻧﻨﺪ ﺑﺎ ﺳﻄﻮح دﺳﺘﺮﺳﯽ ﻣﺘﻔﺎوﺗﯽ ﺑﻪ آﻧﻬﺎ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
Virtual Domain :VDOMﺑﺮاي ﺗﻘﺴﯿﻢ ﯾﮏ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ دو ﯾﺎ ﺑﯿﺸﺘﺮ ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﺘﻔﺎده ﻣﯽ
ﺷﻮد ﮐﻪ ﻫﻤﻪ ي آﻧﻬﺎ داراي FortiOSﺑﻮده و ﻗﺎﺑﻠﯿﺖ ﻫﺎي ﻣﺠﺰاﯾﯽ دارﻧﺪ و ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺻﻮرت ﻣﺴﺘﻘﻞ ﻣﺪﯾﺮﯾﺖ
ﺑﺸﻮﻧﺪ.
Voice Over Internet :VoIPﭘﺮوﺗﮑﻠﯽ ﮐﻪ ﺑﺎﻋﺚ اﯾﺠﺎد ارﺗﺒﺎﻃﺎت ﺻﻮﺗﯽ ﻣﯿﺸﻮد و sessionﻫﺎي ﻣﺎﻟﺘﯽ ﻣﺪﯾﺎ را
روي ﭘﺮوﺗﮑﻞ اﯾﻨﺘﺮﻧﺖ ﻋﺒﻮر ﻣﯽ دﻫﺪ.
Virtual Private Network:VPNدﺳﺘﯿﺎﺑﯽ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ از ﻃﺮﯾﻖ ﺑﺴﺘﺮ اﯾﻨﺘﺮﻧﺖ و اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﺮاي
ﮐﺎرﺑﺮان راه دور ﺟﻬﺖ اﺳﺘﻔﺎده از ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﯽ ﺑﺎﺷﺪ .دو ﻧﻮع اﺻﻠﯽ از وي ﭘﯽ ان ﮐﻪ ﺗﻮﺳﻂ ﻓﻮرﺗﯽ
ﮔﯿﺖ ﺗﻨﻈﯿﻢ ﻣﯽ ﺷﻮد ﺷﺎﻣﻞ IPsec VPN :و SSL VPNﻣﯽ ﺑﺎﺷﺪ.
WAN :WAN/WAN1ﯾﺎ WAN1ﭘﻮرﺗﯽ ﺑﺮ روي Fortigateﻣﯽ ﺑﺎﺷﺪ ﮐﻪ در اﻏﻠﺐ ﻣﻮارد ﺟﻬﺖ اﺗﺼﺎل دﺳﺘﮕﺎه
ﺑﻪ اﯾﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد .ﺑﻌﻀﯽ از ﻣﺪل ﻫﺎ ،ﻓﻮرﺗﯽ ﮔﯿﺖ داراي ﭘﻮرﺗﯽ ﺑﻪ اﺳﻢ WAN2ﻣﯽ ﺑﺎﺷﻨﺪ ﮐﻪ ﺟﻬﺖ
ﻟﯿﻨﮏ Redundantﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد.
110