Forti Gate

‫ﻣﻘﺪﻣﻪ‬
‫ﻓﺎﯾﺮوال ﻫﺎ ﯾﺎ دﯾﻮاره ﻫﺎي آﺗﺶ ﯾﮑﯽ از اﺻﻠﯽ ﺗﺮﯾﻦ ﻋﻨﺎﺻﺮ ﻫﺮ ﺷﺒﮑﻪ اي ﻣﯽ ﺑﺎﺷﻨﺪ ﮐﻪ اﻣﺮوزه اﻫﻤﯿﺖ‬
‫زﯾﺎدي ﭘﯿﺪا ﮐﺮده اﻧﺪ‪ .‬ﺑﻪ ﻫﻤﯿﻦ ﺗﺮﺗﯿﺐ اﺳﺘﻔﺎده از ﻓﺎﯾﺮوال ﻫﺎي ﻣﻨﺎﺳﺐ ﯾﮑﯽ از اﻟﺰاﻣﺎت ﻫﺮ ﺷﺒﮑﻪ اي‬
‫ﺑﺪل ﮔﺸﺘﻪ اﺳﺖ و ادﻣﯿﻦ ﻫﺎ ﺑﺎﯾﺪ ﺑﺘﻮاﻧﻨﺪ ﺑﻨﺎ ﺑﻪ درﺧﻮاﺳﺖ ﺳﺎزﻣﺎن ﻫﺎي ﺧﻮد ﻓﺎﯾﺮوال ﻣﻨﺎﺳﺐ را‬
‫ﭘﯿﺸﻨﻬﺎد داده و ﺑﺎ ﺷﻨﺎﺧﺖ ﮐﺎﻣﻞ اﻗﺪام ﺑﻪ ﻧﺼﺐ و ﭘﯿﺎده ﺳﺎزي آﻧﻬﺎ ﻧﻤﺎﯾﻨﺪ‪.‬‬
‫ﯾﮑﯽ از ﻣﺤﺒﻮب ﺗﺮﯾﻦ ‪UTM‬ﻫﺎي ﺣﺎل ﺣﺎﺿﺮ ﺑﺎزار اﯾﺮان ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﮐﻪ ﺷﺮﮐﺖ ﻫﺎي ﻣﺘﻌﺪد‬
‫و ﮐﻠﯿﺪي اﻗﺪام ﺑﻪ اﺳﺘﻔﺎده از اﯾﻦ ﻓﺎﯾﺮوال ﻧﻤﻮده اﻧﺪ‪ .‬ﺑﺎ ﺗﺤﻘﯿﻘﯽ ﻣﺨﺘﺼﺮ ﻣﺘﻮﺟﻪ ﺷﺪم ﮐﻪ ﻫﯿﭻ ﻣﺮﺟﻊ‬
‫ﻓﺎرﺳﯽ ﺟﻬﺖ اراﺋﻪ آﻣﻮزش ﻫﺎي ﻣﺪون و ﻣﻨﻈﻢ ﺑﺮاي اﯾﻦ دﺳﺘﮕﺎه ﻣﺤﺒﻮب وﺟﻮد ﻧﺪاﺷﺘﻪ و ﺗﻤﺎم ﻣﻨﺎﺑﻊ‪،‬‬
‫ﺳﻮرس ﻫﺎي ﺧﺎرﺟﯽ ﻣﯽ ﺑﺎﺷﻨﺪ‪ .‬ﺑﻪ ﻫﻤﯿﻦ دﻟﯿﻞ ﺗﺼﻤﯿﻢ ﮔﺮﻓﺘﻢ ﺑﺎ اﺳﺘﻔﺎده از داﻧﺶ ﻗﺒﻠﯽ و ﮐﺘﺎب‬
‫‪ cookebook‬ﻓﻮرﺗﯽ ﮔﯿﺖ اﻗﺪام ﺑﻪ ﺗﻬﯿﻪ ﯾﮏ ﮐﺘﺎب آﻣﻮزﺷﯽ ﻓﺎرﺳﯽ ﺑﻨﻤﺎﯾﻢ‪ .‬ﺑﻌﻀﯽ از ﻓﺼﻮل اﯾﻦ‬
‫ﮐﺘﺎب ﻧﺴﺒﺖ ﺑﻪ ﺳﻮرس اﺻﻠﯽ ) اﻧﮕﻠﯿﺴﯽ (ﮐﻪ ﮐﻤﺘﺮ ﻣﻮرد اﺳﺘﻔﺎده ﮐﺎرﺑﺮان ﻗﺮار ﻣﯿﮕﺮﻓﺖ ﺣﺬف ﺷﺪه‬
‫اﺳﺖ ﻫﻤﭽﻨﯿﻦ در ﺑﻌﻀﯽ ﻣﻮارد ﺑﺪﻟﯿﻞ ﮔﻨﮓ ﺑﻮدن ﺳﻨﺎرﯾﻮ ﻣﺘﺮﺟﻢ اﻗﺪام ﺑﻪ اﺿﺎﻓﻪ ﮐﺮدن ﺗﻮﺿﯿﺤﺎت‬
‫ﻧﻤﻮده اﺳﺖ‪ .‬ﺷﺎﯾﺎن ذﮐﺮ اﺳﺖ ﮐﺘﺎب ﺣﺎﺿﺮ ﺑﺪون ﻧﻘﺺ ﻧﺒﻮده و ﭘﯿﺸﻨﻬﺎدات و اﻧﺘﻘﺎدات ﺷﻤﺎ ﺧﻮاﻧﻨﺪه‬
‫ﮔﺎن ﻣﺤﺘﺮم ﺳﺒﺐ ﺑﻬﺒﻮد آن ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬
‫ﮐﭙﯽ ﺑﺮداري و ﻧﺸﺮ ﻣﻄﺎﻟﺐ اﯾﻦ ﮐﺘﺎب ﺑﺎ ذﮐﺮ ﻣﻨﺒﻊ ﮐﺎﻣﻼ آزاد ﺑﻮده و ﻫﯿﭻ ﻣﻨﻊ ﻗﺎﻧﻮﻧﯽ وﺟﻮد ﻧﺪارد‪.‬‬
‫اﻣﯿﺪ اﺳﺖ ﺳﻬﻢ ﮐﻮﭼﮑﯽ در ارﺗﻘﺎء ﺳﻄﺢ ﻋﻠﻤﯽ ﻫﻤﻮﻃﻨﺎﻧﻢ داﺷﺘﻪ ﺑﺎﺷﻢ‪.‬‬
‫ﺟﺎ دارد ﺗﻘﺪﯾﺮ و ﺗﺸﮑﺮ ﮐﻨﻢ ازدوﺳﺘﺎن ﻋﺰﯾﺰم آﻗﺎي ﻣﻬﻨﺪس ﻋﻠﯿﺮﺿﺎ ﺗﺮاﺑﯽ و آﻗﺎي ﻣﻬﻨﺪس اﺻﻐﺮ‬
‫ﺳﻠﯿﻤﺎﻧﯽ ﮐﻪ در ﺗﻤﺎم زﻣﯿﻨﻪ ﻫﺎ ﺑﻌﻨﻮان ﺣﺎﻣﯽ و راﻫﻨﻤﺎي ﺑﻨﺪه ﺑﻮدﻧﺪ‪ .‬ﻫﻤﭽﻨﯿﻦ ﺗﺸﮑﺮ ﻣﺨﺼﻮص از‬
‫ﺳﺮﮐﺎر ﺧﺎﻧﻢ ﺷﯿﺮﯾﻦ ﺑﻬﺮوش ﮐﻪ در ﺗﺪوﯾﻦ اﯾﻦ ﮐﺘﺎب ﮐﻤﮏ ﺷﺎﯾﺎﻧﯽ ﺑﻪ ﺑﻨﺪه ﻧﻤﻮدﻧﺪ‪ .‬ﻣﻨﺘﻈﺮ درﯾﺎﻓﺖ‬
‫ﭘﯿﺸﻨﻬﺎدات و اﻧﺘﻘﺎدات ﺷﻤﺎ ﻫﺴﺘﻢ‪.‬‬
‫اﺷﮑﺎن ﭘﺰﺷﮑﯽ‬
‫ﺷﻬﺮﯾﻮرﻣﺎه ‪1394‬‬
‫‪Ashkanp@live.com‬‬
‫‪ FortiNet‬ﯾﮏ ﮐﻤﭙﺎﻧﯽ ﺑﺰرگ ﭼﻨﺪ ﻣﻠﯿﺘﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ در ﺳﺎل ‪ 2000‬ﻣﯿﻼدي ﺗﻮﺳﻂ دو ﺑﺮدار ﺑﻪ ﻧﺎم ﻫﺎي‬
‫‪ Ken‬و ‪ Michael Xie‬ﺗﺎﺳﯿﺲ ﺷﺪ‪ .‬ﺷﺎﯾﺎن ذﮐﺮ اﺳﺖ آﻗﺎي ‪ Ken Xie‬ﺑﻨﯿﺎﻧﮕﺬار و ﻣﺪﯾﺮﻋﺎﻣﻞ ﺳﺎﺑﻖ‬
‫‪ NetScreen‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﺗﻔﮑﺮات ﺣﺎﮐﻢ در ﺷﺮﮐﺖ ﻓﻮرﺗﯽ ﻧﺖ ﻃﻮري اﺳﺖ ﮐﻪ ﻧﻔﺮات ﺣﺎﺿﺮ در ﺷﺮﮐﺖ ﺑﺎﯾﺪ ﺗﺠﺮﺑﻪ‬
‫ي ﺑﺎﻻﯾﯽ در زﻣﯿﻨﻪ اﻣﻨﯿﺖ داﺷﺘﻪ و از ﻧﺒﻮغ و اﺳﺘﻌﺪاد ﺧﺎﺻﯽ ﺑﺮﺧﻮردار ﺑﺎﺷﻨﺪ‪ .‬دﻓﺘﺮ ﻣﺮﮐﺰي اﯾﻦ ﺷﺮﮐﺖ در ﺣﺎل‬
‫ﺣﺎﺿﺮ در ‪ Sunnyvale‬اﯾﺎﻟﺖ ﮐﺎﻟﯿﻔﺮﻧﯿﺎ ﻣﯽ ﺑﺎﺷﺪ‪ .‬اﯾﻦ ﺷﺮﮐﺖ ﯾﮏ رﻫﺒﺮي ﺟﻬﺎﻧﯽ در زﻣﯿﻨﻪ اﻣﻨﯿﺖ ﺷﺒﮑﻪ ﻫﺎي‬
‫ﮐﺎﻣﭙﯿﻮﺗﺮي داﺷﺘﻪ و ﻣﺒﺘﮑﺮ در ﻓﻠﯿﺪﻫﺎي ﺣﻔﺎﻇﺘﯽ ﻣﯽ ﺑﺎﺷﺪ‪ .‬اﯾﻦ ﮐﻤﭙﺎﻧﯽ ﻓﺮوﺷﻨﺪه ﻣﺤﺼﻮﻻت اﻣﻨﯿﺘﯽ ﺑﻮده و راه‬
‫ﺣﻞ ﻫﺎي ﺟﺎﻣﻊ و ﮐﺎﻣﻠﯽ ﺑﺮ اﺳﺎس ﻧﻮع ﻣﺸﺘﺮﯾﺎﻧﺶ اراﺋﻪ ﻣﯽ دﻫﺪ‪ .‬ﺑﻪ ﻃﻮري ﮐﻪ ﺗﺠﻬﯿﺰات اﻣﻨﯿﺘﯽ ﺗﻮﻟﯿﺪ ﺷﺪه در‬
‫اﯾﻦ ﮐﻤﭙﺎﻧﯽ در دﯾﺘﺎﺳﻨﺘﺮﻫﺎ‪ ،‬ﻣﺸﺎﻏﻞ ‪ Enterprise‬و دﻓﺎﺗﺮ ﮐﻮﭼﮏ و ‪ ...‬ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪ .‬ﺳﯿﺴﺘﻢ ﺗﻮزﯾﻊ‬
‫و ﭘﺨﺶ ﻣﺤﺼﻮﻻت ﻓﻮرﺗﯽ ﻧﺖ در ﺳﺮﺗﺎﺳﺮ دﻧﯿﺎ ﮔﺴﺘﺮده ﻣﯽ ﺑﺎﺷﺪ و ﻣﺤﺼﻮﻻت اﯾﻦ ﺷﺮﮐﺖ ﺗﻮﺳﻂ ‪ 20‬ﻫﺰار‬
‫ﭘﺎرﺗﻨﺮي ﮐﻪ وﺟﻮد دارد ﺑﻪ ﻓﺮوش ﻣﯽ رﺳﺪ‪ .‬ﻓﻮرﺗﯽ ﻧﺖ در زﻣﯿﻨﻪ ‪ UTM‬و اﻣﻨﯿﺖ ﺷﺒﮑﻪ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي رﻗﺎﺑﺖ‬
‫ﻧﺰدﯾﮑﯽ را ﺑﺎ ﻣﺤﺼﻮﻻت دﯾﮕﺮ ﺷﺮﮐﺖ ﻫﺎ از ﺟﻤﻠﻪ ‪ Cisco ،Sonic Wall ،Check Point‬دارد‪ .‬اﮔﺮ ﺳﺮي ﺑﻪ ﺳﺎﯾﺖ‬
‫ﻓﻮرﺗﯽ ﻧﺖ ﺑﺰﻧﯿﺪ ﺑﺎ اﯾﻦ ﺷﻌﺎر ﻣﻮاﺟﻪ ﻣﯽ ﺷﻮﯾﺪ‪ ":‬ﺑﺰرگ ﺗﺮﯾﻦ ﻣﺎﻣﻮرﯾﺖ ﻣﺎ آن اﺳﺖ ﮐﻪ ﻧﻮآوراﻧﻪ ﺗﺮﯾﻦ و ﺑﺎﻻﺗﺮﯾﻦ‬
‫ﭘﻠﺘﻔﺮم ﻫﺎي اﻣﻨﯿﺖ ﺷﺒﮑﻪ را ﺑﺮاي زﯾﺮﺳﺎﺧﺖ ﻫﺎي ‪ IT‬ﻓﺮاﻫﻢ ﮐﻨﯿﻢ‪ ".‬ﺑﻪ ﮔﻔﺘﻪ ي ﻣﺪﯾﺮان اﯾﻦ ﺷﺮﮐﺖ آﻣﺮﯾﮑﺎﯾﯽ‬
‫ﻣﺤﺼﻮﻻت ﺗﻮﻟﯿﺪي ﺗﻤﺎم ﺳﻄﻮح ﻣﺸﺎﻏﻞ را ﭘﻮﺷﺶ ﻣﯽ دﻫﺪ از ﺷﺮﮐﺖ ﻫﺎي ﮐﻮﭼﮏ ﺗﺎ دﻓﺎﺗﺮ ﺗﻮزﯾﻊ ﺷﺪه در ﺳﺮاﺳﺮ‬
‫دﻧﯿﺎ‪ .‬آﻧﻬﺎ اﻋﺘﻘﺎد دارﻧﺪ رﻫﺒﺮي ﺑﺎزار را در اﺧﺘﯿﺎر داﺷﺘﻪ و ﺗﻨﻬﺎ ﺑﻪ ﺗﻮﻟﯿﺪات ﺳﺨﺖ اﻓﺰاري ﻓﮑﺮ ﻧﻤﯿﮑﻨﻨﺪ ﺑﻠﮑﻪ ﻓﺮاﻫﻢ‬
‫آوردن ﻣﮑﻤﻞ ﻫﺎي اﻣﻨﯿﺘﯽ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد رﯾﺴﮏ ﻫﺎ ﺑﻪ ﮐﻤﯿﻨﻪ ﻣﻘﺪار ﺧﻮد ﺑﺮﺳﻨﺪ‪.‬‬
‫ﮐﻤﭙﺎﻧﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺪﻋﯽ اﺳﺖ ﮐﻪ ﻣﺸﺘﺮﯾﺎن ﻫﺪف اﺻﻠﯽ ﺷﺮﮐﺖ ﺑﻮده و ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﺗﻮﺳﻌﻪ روزاﻓﺰون اﯾﻦ ﺷﺮﮐﺖ‬
‫ﺑﺎز ﻫﻢ رﺿﺎﯾﺘﻤﻨﺪي ﻣﺸﺘﺮﯾﺎن از اﻫﻢ اﻫﺪاف ﺷﺮﮐﺖ ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫ﻣﺤﺼﻮل اﺻﻠﯽ ﺷﺮﮐﺖ ﻓﻮرﺗﯽ ﻧﺖ‪ Fortigate ،‬ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺷﺎﻣﻞ دو ﻣﺪل ﻓﯿﺰﯾﮑﯽ و ﻣﺠﺎزي ﻣﯽ ﺑﺎﺷﺪ‪ .‬اﯾﻦ‬
‫دﺳﺘﮕﺎه ﺷﺎﻣﻞ ﭘﻠﺘﻔﺮم ﻫﺎي زﯾﺮ اﺳﺖ‪:‬‬
‫‪‬‬ ‫‪Firewall‬‬
‫‪‬‬ ‫‪Virtual Private Network‬‬
‫‪‬‬ ‫‪Application Control‬‬
‫‪‬‬ ‫‪Anti-malware‬‬
‫‪‬‬ ‫‪Intrusion Prevention‬‬
‫‪‬‬ ‫‪Web Filtering‬‬
‫‪‬‬ ‫‪Vulnerability Management‬‬
‫‪‬‬ ‫‪Anti-Spam‬‬
‫‪‬‬ ‫‪Wireless Controller‬‬
‫‪‬‬ ‫‪Wide Area Network Acceleration‬‬
‫‪1‬‬
:‫راه ﺣﻞ ﻫﺎي ﻣﮑﻤﻞ ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ﻓﻮرﺗﯽ ﻧﺖ ﺑﻪ ﺷﻤﺎ ﭘﯿﺸﻨﻬﺎدات وﺳﻮﺳﻪ اﻧﮕﯿﺰي ﻣﯽ دﻫﺪ ﺗﺎ ﺷﺒﮑﻪ اي اﻣﻦ و ﻣﻄﻤﺌﻦ داﺷﺘﻪ ﺑﺎﺷﯿﺪ اﯾﻦ‬
‫راه ﺣﻞ ﻫﺎ ﻣﮑﻤﻞ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻮده و اﯾﻦ اﺑﺰارﻫﺎ در ﮐﻨﺎر ﯾﮑﺪﯾﮕﺮ ﺗﺤﻔﻪ اي درﺧﻮر را ﺑﺮاي ﺷﻤﺎ‬
:‫ﺑﻪ ارﻣﻐﺎن ﻣﯽ آورد‬
 Advanced Threat Protection (FortiSandbox)
 Web Application Firewall (FortiWeb)
 Secure Email Gateway (FortiMail)
 DDoS Protection (FortiDDoS)
 Application Delivery Controllers (FortiADC)
 User Identity Management (FortiAuthenticator, FortiToken)
 Endpoint Security for desktops, laptops and mobile devices (FortiClient)
 Wireless LAN and WAN (FortiWifi, FortiAP, FortiPresence,
FortiExtender and more)
 Enterprise telephone systems (FortiVoice, FortiFone)
 And more….
2
3
‫ﺗﻔﺎوت ﻫﺎي ﺳﻮﺋﯿﭻ ﻣُﺪ و اﯾﻨﺘﺮﻓﯿﺲ ﻣُﺪ‬
‫اﯾﻦ ﻗﺴﻤﺖ درﺑﺮﮔﯿﺮﻧﺪه اﻃﻼﻋﺎﺗﯽ اﺳﺖ ﮐﻪ ﺑﻪ ﺷﻤﺎ ﮐﻤﮏ ﻣﯽ ﻧﻤﺎﯾﺪ ﺗﺎ اﻧﺘﺨﺎب ﮐﻨﯿﺪ ﮐﻪ ﻓﻮرﺗﯽ ﮔﯿﺘﯽ از ﺣﺎﻟﺖ‬
‫‪ Switch mode‬اﺳﺘﻔﺎده ﻧﻤﺎﯾﺪ ﯾﺎ ﺧﯿﺮ! اﯾﻦ ﺗﺼﻤﯿﻢ ﺑﺎﯾﺪ ﻗﺒﻞ از اﺳﺘﻔﺎده از ﻓﻮرﺗﯽ ﮔﯿﺖ ﮔﺮﻓﺘﻪ ﺷﻮد‪.‬‬
‫ﺣﺎﻟﺖ ‪ Internal switch‬ﭼﯿﺴﺖ ؟‬
‫ﺣﺎﻟﺖ ‪ internal switch‬ﺗﻌﯿﯿﻦ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﭘﻮرت ﻫﺎي ﻓﯿﺰﯾﮑﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺗﻮﺳﻂ ﺧﻮد دﺳﺘﮕﺎه ﻣﺪﯾﺮﯾﺖ‬
‫ﺷﻮﻧﺪ‪.‬‬
‫دو ﺣﺎﻟﺖ اﺻﻠﯽ ﺷﺎﻣﻞ ‪ Switch mode‬و ‪ Interface mode‬ﻣﯽ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ Switch mode‬و ‪ Interface mode‬ﭼﻪ ﻫﺴﺘﻨﺪ ؟ و ﭼﺮا ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ؟‬
‫در ﺣﺎﻟﺖ ‪ Switch mode‬ﻫﻤﻪ اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎ ﻗﺴﻤﺘﯽ از ﯾﮏ ‪ Subnet‬ﻣﺸﺎﺑﻪ ﺑﻮده و ﻫﻤﺎﻧﻨﺪ ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﺗﮏ‬
‫دﯾﺪه ﻣﯽ ﺷﻮﻧﺪ ﮐﻪ ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ‪ lan‬ﯾﺎ ‪ internal‬ﻧﺎﻣﯿﺪه ﺷﺪه ﮐﻪ اﯾﻦ ﻧﺎﻣﮕﺬاري ﺑﺴﺘﮕﯽ ﺑﻪ ﻣﺪل ﻓﻮرﺗﯽ‬
‫ﮔﯿﺖ دارد‪ .‬ﺣﺎﻟﺖ ‪ switch mode‬وﻗﺘﯽ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد ﮐﻪ ﻃﺮاﺣﯽ ﺷﺒﮑﻪ ﺳﺎده و اﺑﺘﺪاﯾﯽ ﺑﻮده و ﺑﻪ‬
‫ﻋﺒﺎرﺗﯽ اﻏﻠﺐ ﮐﺎرﺑﺮان در ﯾﮏ ‪ Subnet‬ﻣﺸﺎﺑﻪ ﻗﺮار دارﻧﺪ‪.‬‬
‫در ﺣﺎﻟﺖ ‪ ،Interface‬اﯾﻨﺘﺮﻓﯿﺲ ﻓﯿﺰﯾﮑﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺻﻮرت ﮐﺎﻣﻼ ﺟﺪا اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد و ﻫﺮ اﯾﻨﺘﺮﻓﯿﺲ ‪IP‬‬
‫آدرس ﺧﻮدش را ﺧﻮاﻫﺪ داﺷﺖ‪ .‬ﺗﻨﻈﯿﻤﺎت اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻌﻨﻮان ﻗﺴﻤﺘﯽ از ﺳﺨﺖ اﻓﺰار ﯾﺎ ﻧﺮم اﻓﺰار‬
‫ﺳﻮﺋﯿﭻ ﻫﺎ ﺗﺮﮐﯿﺐ ﺷﺪه و ﭼﻨﺪﯾﻦ اﯾﻨﺘﺮﻓﯿﺲ ﺟﺰﺋﯽ از ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﺗﮏ ﺑﺎﺷﻨﺪ‪.‬اﯾﻦ ﺣﺎﻟﺖ اﯾﺪه ﺧﻮﺑﯽ اﺳﺖ ﺑﺮاي‬
‫ﺷﺒﮑﻪ ﻫﺎﯾﯽ ﮐﻪ داراي ‪ Subnet‬ﻫﺎي ﻣﺘﻔﺎوﺗﯽ ﻣﯽ ﺑﺎﺷﻨﺪ ﺗﺎ ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ ﻗﺴﻤﺖ ﺑﻨﺪي ﺷﻮد‪.‬‬
‫ﮐﺪام ﺣﺎﻟﺖ ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﻓﻌﺎل اﺳﺖ ؟‬
‫ﺣﺎﻟﺖ ﭘﯿﺶ ﻓﺮﺿﯽ ﮐﻪ ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ ﻓﻌﺎل ﺧﻮاﻫﺪ ﺑﻮد ﺑﺴﺘﮕﯽ ﺑﻪ ﻣﺪل دﺳﺘﮕﺎه ﺷﻤﺎ دارد‪ .‬ﺗﻌﯿﯿﻦ اﯾﻨﮑﻪ‬
‫ﮐﺪام ‪ mode‬ﺑﺮ روي دﺳﺘﮕﺎه وﺟﻮد دارد از ﻃﺮﯾﻖ روش زﯾﺮ اﻣﮑﺎن ﭘﺬﯾﺮ اﺳﺖ ‪:‬‬
‫‪System> Network> Interface‬‬
‫‪ LAN‬ﯾﺎ ‪ Interface‬ﺧﻮد را ﺗﻌﯿﯿﻦ ﻧﻤﺎﯾﯿﺪ‪ .‬اﮔﺮ اﯾﻨﺘﺮﻓﯿﺲ ﻣﻮﺟﻮد در ﻟﯿﺴﺖ در ﺳﺘﻮن ‪ Type‬ﺟﺰو ‪physical‬‬
‫‪ interface‬ﻫﺎ ﻗﺮار داد ﭘﺲ دﺳﺘﮕﺎه ﺷﻤﺎ در ﺣﺎﻟﺖ ‪ Switch mode‬اﺳﺖ‪ .‬اﮔﺮ اﯾﻨﺘﺮﻓﯿﺲ ﯾﮏ ‪Hardware switch‬‬
‫اﺳﺖ ﺑﻨﺎﺑﺮاﯾﻦ دﺳﺘﮕﺎه ﺷﻤﺎ در ﺣﺎﻟﺖ ‪ Interface‬ﻗﺮار دارد‪.‬‬
‫‪4‬‬
‫ﭼﮕﻮﻧﻪ ﻣﯽ ﺗﻮاﻧﯿﻢ ‪ mode‬ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺗﻐﯿﯿﺮ دﻫﯿﻢ ؟‬
‫اﮔﺮ ﺷﻤﺎ درﻧﻈﺮ دارﯾﺪ ﺗﺎ ‪ mode‬ﻓﻮرﺗﯽ ﮔﯿﺖ را ﻋﻮض ﻧﻤﺎﯾﯿﺪ اﺑﺘﺪا ﺑﺎﯾﺪ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﻫﯿﭻ ﮐﺪام از ﭘﻮرت ﻫﺎي‬
‫ﻓﯿﺰﯾﮑﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﯿﺪ ﺑﺴﺎزﯾﺪ ﺑﻪ ﺟﺎﯾﯽ در ﻓﻮرﺗﯽ ﮔﯿﺖ ارﺟﺎع ﻧﺸﺪه اﻧﺪ ) ﺟﺎﯾﯽ اﺳﺘﻔﺎده ﻧﺸﺪه اﻧﺪ ( ‪ .‬ﺳﭙﺲ‬
‫ﻣﺮاﺣﻞ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫‪System >Dashboard >Status‬‬
‫ﺳﭙﺲ دﺳﺘﻮرات زﯾﺮ را در ﮐﻨﺴﻮل ‪ CLI‬وارد ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫‪ -1‬دﺳﺘﻮري ﮐﻪ ﺗﻐﯿﯿﺮ دﻫﻨﺪه ي ﺣﺎﻟﺖ ‪ switch mode‬ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ‪:‬‬

‫‪config‬‬ ‫‪system‬‬ ‫‪global‬‬
‫‪set‬‬ ‫‪internal-switch-mode‬‬ ‫‪switch‬‬
‫‪end‬‬
‫‪ -2‬دﺳﺘﻮري ﮐﻪ ﺗﻐﯿﯿﺮ دﻫﻨﺪه ي ﺣﺎﻟﺖ ‪ interface mode‬ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ‪:‬‬
‫‪config‬‬ ‫‪system‬‬ ‫‪global‬‬
‫‪set‬‬ ‫‪internal-switch-mode‬‬ ‫‪interface‬‬
‫‪end‬‬
‫اﺗﺼﺎل ﯾﮏ ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﺑﺎ اﺳﺘﻔﺎده از ﺣﺎﻟﺖ ‪: NAT/Route‬‬
‫در اﯾﻦ ﻣﺜﺎل‪ ،‬ﺷﻤﺎ ﯾﺎد ﻣﯽ ﮔﯿﺮﯾﺪ ﮐﻪ ﭼﮕﻮﻧﻪ ﺗﻨﻈﯿﻤﺎت ﻻزم ﺑﺮ روي دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را اﻧﺠﺎم دﻫﯿﺪ ﺗﺎ ﯾﮏ‬
‫ﺷﺒﮑﻪ داﺧﻠﯽ را ﺑﻪ ﺻﻮرت اﻣﻦ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در ﺣﺎﻟﺖ ‪ ،NAT/Route‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﻤﺎﻧﻨﺪ ﯾﮏ ‪ Gateway‬ﯾﺎ روﺗﺮ ﺑﯿﻦ دو ﺷﺒﮑﻪ ﻧﺼﺐ ﻣﯽ ﺷﻮد‪ .‬در‬
‫ﺑﯿﺸﺘﺮ ﻣﻮارد دﺳﺘﮕﺎه ﺑﯿﻦ ﯾﮏ ﺷﺒﮑﻪ داﺧﻠﯽ و اﯾﻨﺘﺮﻧﺖ ﺑﻮده و ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪ .‬اﯾﻦ ﮐﺎر ﺑﻪ ﻓﻮرﺗﯽ‬
‫ﮔﯿﺖ اﺟﺎره ﻣﯽ دﻫﺪ ﺗﺎ ‪ IP‬آدرس ﻫﺎي ﺷﺒﮑﻪ داﺧﻠﯽ را ﭘﻨﻬﺎن ﻧﻤﻮده و از ‪Network Address Translation‬‬
‫اﺳﺘﻔﺎده ﻧﻤﺎﯾﺪ‪.‬‬
‫‪ -1‬اﺗﺼﺎل دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﮑﻪ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻻﮔﯿﻦ ﺑﺮ روي آن‬

‫‪ -2‬ﭘﯿﮑﺮﺑﻨﺪي ‪ Configure‬اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫‪ -3‬اﺿﺎﻓﻪ ﮐﺮدن ‪default route‬‬
‫‪5‬‬
‫‪ -4‬اﻧﺠﺎم ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪DNS‬‬
‫ﺳﺮور ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫‪ -5‬ﺳﺎﺧﺘﻦ ﭘﺎﻟﺴﯽ ﺟﻬﺖ ﺧﺮوج ﺗﺮاﻓﯿﮏ‬
‫داﺧﻠﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ‬
‫‪ -6‬ﻧﺘﺎﯾﺞ‬
‫‪ .1‬اﺗﺼﺎل دﯾﻮاﯾﺲ ﻫﺎي ﺷﺒﮑﻪ و ﻻﮔﯿﻦ ﮐﺮدن ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬
‫اﯾﻨﺘﺮﻓﯿﺲ ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻧﺖ را ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﻣﯽ ﻧﻤﺎﯾﯿﻢ ) ﻣﻌﻤﻮﻻ ‪ ( WAN1‬ﻫﻤﭽﻨﯿﻦ ﯾﮏ ﮐﺎﻣﭙﯿﻮﺗﺮ‬
‫را ﺑﻪ اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﻣﯽ ﻧﻤﺎﯾﯿﻢ ) ﻣﻌﻤﻮﻻ ‪ .( Port 1‬اﺗﺼﺎل ﻣﺮﺑﻮط را ﺑﺮﻗﺮار ﮐﺮده و اﯾﻨﺘﺮﻧﺖ‬
‫را ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ دﻫﯿﻢ‪.‬‬
‫‪6‬‬
‫از روي ﮐﺎﻣﭙﯿﻮﺗﺮي ﮐﻪ در ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﻣﺮورﮔﺮ و ﺑﻪ ﺻﻮرت وب ﺑﯿﺲ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ﻣﺘﺼﻞ ﻣﯽ ﺷﻮﯾﻢ ‪ .‬ﺑﺮاي اﺗﺼﺎل از اﮐﺎﻧﺖ ‪ admin‬اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﻢ ) ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﯾﻮزرﻧﯿﻢ ‪admin‬‬
‫ﺑﻮده و ﭘﺴﻮردي در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﻧﺸﺪه اﺳﺖ‪( .‬‬
‫‪Username=admin‬‬
‫=‪Password‬‬
‫‪ .2‬ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬
‫ﻣﺴﯿﺮ زﯾﺮ را دﻧﺒﺎل ﮐﻨﯿﺪ ‪:‬‬

‫اﯾﻨﺘﺮﻓﯿﺲ ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻧﺖ را وﯾﺮاﯾﺶ ‪ edit‬ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در ﻗﺴﻤﺖ ‪ Addressing Mode‬ﮔﺰﯾﻨﻪ ‪ Manual‬را اﻧﺘﺨﺎب ﮐﺮده و در ﻓﯿﻠﺪ ‪ IP ، IP/Netmask‬آدرس ﭘﺎﺑﻠﯿﮏ‬
‫ﺧﻮد را وارد ﻧﻤﺎﯾﯿﺪ‬
‫اﯾﻨﺘﺮﻓﯿﺲ ‪) internal‬داﺧﻠﯽ( را وﯾﺮاﯾﺶ ﮐﻨﯿﺪ) ﻣﺜﻼ ﺑﻪ ﺻﻮرت ‪ LAN‬ﻧﺎﻣﮕﺬاري ﮐﻨﯿﺪ(‪ .‬در ﻗﺴﻤﺖ‬
‫‪ Addressing Mode‬ﮔﺰﯾﻨﻪ ‪ Manual‬را اﻧﺘﺨﺎب ﮐﺮده و در ﻓﯿﻠﺪ ‪ IP ، IP/Netmask‬آدرس ﺷﺒﮑﻪ داﺧﻠﯽ‬
‫‪ Private‬ﮐﻪ ﻣﯽ ﺧﻮاﻫﯿﺪ ﺗﻮﺳﻂ اﯾﻦ ‪ IP‬ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﯿﺪ را وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ .3‬اﺿﺎﻓﻪ ﮐﺮدن ‪Defualt route‬‬
‫‪7‬‬
‫ﻣﺴﯿﺮ زﯾﺮ را ﺟﻬﺖ اﺿﺎﻓﻪ ﮐﺮدن ‪route‬ﻫﺎ ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪ ) :‬ﺑﺴﺘﮕﯽ ﺑﻪ ﻣﺪل ﻓﻮرﺗﯽ ﮔﯿﺖ از ﻣﺴﯿﺮﻫﺎي زﯾﺮ اﻗﺪام‬
‫ﻧﻤﺎﯾﯿﺪ(‬
‫) ‪Router >Static >Static Routers ( System> Network> Routing‬‬
‫ﺣﺎﻻ ﯾﮏ ‪ route‬اﺿﺎﻓﻪ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﻗﺴﻤﺖ ‪ Destination IP/Mask‬ﺑﻪ ﺻﻮرت ‪ 0.0.0.0/0.0.0.0‬وارد ﻧﻤﺎﯾﯿﺪ‪ .‬در ﻗﺴﻤﺖ ‪ Device‬اﯾﻨﺘﺮﻓﯿﺲ ﻣﺮﺑﻮط‬
‫ﺑﻪ اﯾﻨﺘﺮﻧﺖ را )‪ (WAN‬اﻧﺘﺨﺎب ﻧﻤﻮده و ‪ Gateway‬را ﺑﺮ اﺳﺎس ﺗﻨﻈﯿﻤﺎت داده ﺷﺪه ‪ ISP‬وارد ﻧﻤﺎﯾﯿﺪ‪ ) .‬ﺑﺮاي‬
‫وارد ﮐﺮدن ‪ Gateway‬ﺑﺎﯾﺪ ‪ IP‬ﻣﺮﺑﻮط ﺑﻪ ‪ Gateway‬ﺳﺮوﯾﺲ دﻫﻨﺪه ي اﯾﻨﺘﺮﻧﺖ ”‪ "ISP‬ﺧﻮد را وارد ﻧﻤﺎﯾﯿﺪ‪ (.‬ﯾﺎ‬
‫ﻣﯽ ﺗﻮاﻧﯿﺪ ﻫﺎب روﺗﺮ ﺑﻌﺪي را ﺑﻌﻨﻮان ‪ Gateway‬اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬اﯾﻦ ﻣﻮﺿﻮع ﮐﺎﻣﻼ ﺑﻪ ﻧﻮع ﺷﺒﮑﻪ ﺷﻤﺎ ﺑﺴﺘﮕﯽ‬
‫دارد‪.‬‬
‫ﻧﮑﺘﻪ‪ :‬ﯾﮏ ‪ Default route‬ﻫﻤﯿﺸﻪ ﺑﻪ ﺻﻮرت ‪ 0.0.0.0/0.0.0.0‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﺑﻪ ﺻﻮرت ﻣﻌﻤﻮل ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﻨﻬﺎ‬
‫ﯾﮏ ‪ default route‬داﺷﺘﻪ ﺑﺎﺷﯿﺪ‪ .‬ﻟﯿﺴﺖ ‪ Static route‬ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﺷﺎﻣﻞ ﯾﮏ ‪ default route‬اﺳﺖ‬
‫ﮐﻪ ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ آن را ‪ delete ، edit‬و ﯾﺎ ‪ add‬ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ .4‬وارد ﮐﺮدن ‪ DNS‬ﺳﺮور ﺑﺮاي ﻓﻮرﺗﯽ ﮔﯿﺖ ) اﺧﺘﯿﺎري (‬
‫ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﺗﻨﻈﯿﻤﺎت ‪ DNS‬ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮ روي ﺳﺮورﻫﺎي ‪ FortiGuard‬ﻣﯽ‬
‫ﺑﺎﺷﺪ‪ .‬اﯾﻦ ﻣﻮرد ﺑﺮاي اﮐﺜﺮ ﺷﺒﮑﻪ ﻫﺎ ﮐﺎﻓﯽ اﺳﺖ‪ .‬اﮔﺮ ﺷﻤﺎ دوﺳﺖ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﺑﻪ راﺣﺘﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ‪DNS‬‬
‫ﺳﺮورﻫﺎي ﺧﻮد را ﺗﻐﯿﯿﺮ دﻫﯿﺪ‪.‬‬
‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫‪System >Network >DNS‬‬
‫و ‪DNS‬ﻫﺎي ‪ Primary‬و ‪ Secondary‬را وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪8‬‬
‫‪ .5‬اﯾﺠﺎد ﯾﮏ ‪ policy‬ﺑﺮاي ﺧﺮوج ﺗﺮاﻓﯿﮏ از ‪ LAN‬ﺑﻪ ‪ ) WAN‬اﺟﺎزه دﺳﺘﺮﺳﯽ ﻣﻨﺎﺑﻊ داﺧﻠﯽ ﺑﻪ اﺳﺘﻔﺎده از‬
‫اﯾﻨﺘﺮﻧﺖ (‬
‫ﻣﺴﯿﺮ زﯾﺮ را ﺟﻬﺖ ﺳﺎﺧﺖ ‪ Policy‬ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫‪Policy & Object> Policy> IPv4‬‬
‫ﺣﺎل ﯾﮏ ‪ policy‬ﻣﻄﺎﺑﻖ ﺑﺎ ﺷﺮاﯾﻂ زﯾﺮ ﻣﯽ ﺳﺎزﯾﻢ ‪:‬‬
‫ﺗﻨﻈﯿﻢ ﮐﺮدن ‪ Incoming Interface‬ﺑﺮ روي اﯾﻨﺘﺮﻓﯿﺲ ‪ (LAN) internal‬و ﺗﻨﻈﯿﻢ ‪Outgoing‬‬ ‫‪‬‬
‫‪ interface‬ﺑﺮ روي اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ اﯾﻨﺘﺮﻧﺖ دارد‪.‬‬
‫‪ ‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ Action‬ﺑﺮ روي ‪ Accept‬ﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ‪.‬‬
‫‪ NAT‬در ﺣﺎﻟﺖ روﺷﻦ ﺗﻨﻈﯿﻢ ﺷﻮد و اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ ﮐﻪ ﮔﺰﯾﻨﻪ ‪Use Destination Interface‬‬ ‫‪‬‬
‫‪ Address‬اﻧﺘﺨﺎب ﺷﺪه ﺑﺎﺷﺪ‪.‬‬
‫‪ ‬در اﻧﺘﻬﺎ ﮔﺰﯾﻨﻪ ‪ Logging Options‬را ﺧﻮاﻫﯿﺪ دﯾﺪ‪.‬اﮔﺮ ﺗﻤﺎﯾﻞ دارﯾﺪ ﻻگ ﻫﺎ را ﺑﻌﺪا ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ‬
‫‪ Log Allowed Traffic‬را ﻓﻌﺎل ﮐﺮده و ﮔﺰﯾﻨﻪ ‪ All Sessions‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪9‬‬
‫‪-6‬ﻧﺘﺎﯾﺞ‬
‫ﺑﻌﺪ از اﻧﺠﺎم ﻣﻮارد ﺑﺎﻻ ﺗﻤﺎم ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎي داﺧﻞ ﺷﺒﮑﻪ ﺷﻤﺎ ﮐﻪ در اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﺴﺘﻨﺪ‬
‫اﯾﻨﺘﺮﻧﺖ ﺧﻮاﻫﻨﺪ داﺷﺖ‪.‬‬
‫ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﻤﺎم اﻃﻼﻋﺎت در ﻣﻮرد ‪ Session‬ﻫﺎ و ﺗﺮاﻓﯿﮏ ﻫﺎ را از ﻃﺮﯾﻖ ﻣﺴﯿﺮ زﯾﺮ ﻣﺸﺎﻫﺪه ﺑﻔﺮﻣﺎﯾﯿﺪ ‪:‬‬
‫‪System> FortiView > All Sessions‬‬
‫ﻫﻤﭽﻨﯿﻦ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﺮاﻓﯿﮏ ﻋﺒﻮري را ﻫﻤﺎﻧﻨﺪ زﯾﺮ ﻓﯿﻠﺘﺮ ﻧﻤﺎﯾﯿﺪ ‪:‬‬

‫‪Scr Interface = LAN‬‬
‫‪Dst nterface=WAN‬‬
‫اﺿﺎﻓﻪ ﮐﺮدن ﻓﻮرﺗﯽ ﮔﯿﺖ در ﺣﺎﻟﺖ ‪ Transparent‬ﺑﺪون اﯾﺠﺎد ﺗﻐﯿﯿﺮ در ﺗﻨﻈﯿﻤﺎت ﻣﻮﺟﻮد‪:‬‬
‫در اﯾﻦ ﻣﺜﺎل ﺷﻤﺎ ﯾﺎد ﻣﯽ ﮔﯿﺮﯾﺪ ﮐﻪ ﭼﮕﻮﻧﻪ ﺑﻪ ﯾﮏ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﺪه و ﺗﻨﻈﯿﻤﺎت را در ﺣﺎﻟﺖ‬
‫‪ Transparent‬اﻧﺠﺎم دﻫﯿﺪ‪ .‬در ﺣﺎﻟﺖ ‪ Transparent‬ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﮑﻦ ﻫﺎي اﻣﻨﯿﺘﯽ را ﺑﺮ روي ﺗﺮاﻓﯿﮏ ﻫﺎ‬
‫اﻋﻤﺎل ﻣﯽ ﻧﻤﺎﯾﺪ اﻣﺎ ﺑﺎﯾﺪ ﺗﻮﺟﻪ داﺷﺖ ﮐﻪ ‪ route‬ﯾﺎ ‪ NAT‬ﺻﻮرت ﻧﻤﯽ ﮔﯿﺮد‪.‬‬
‫ﻧﮑﺘﻪ‪ :‬ﺗﻐﯿﯿﺮ ﺑﻪ ﺣﺎﻟﺖ ‪ Transparet‬ﺑﺎﻋﺚ ﻣﯿﺸﻮد ﺗﻨﻈﯿﻤﺎت ﺻﻮرت ﮔﺮﻓﺘﻪ در ﺣﺎﻟﺖ ‪ NAT/Route‬ﭘﺎك ﺷﻮد‪.‬‬
‫ﺟﻬﺖ ﻧﮕﻬﺪاري از ﺗﻨﻈﯿﻤﺎت ‪ ،NAT/Route‬ﺗﻬﯿﻪ ﺑﮑﺎپ از ﺗﻨﻈﯿﻤﺎت ﺑﺎ اﺳﺘﻔﺎده از وﯾﺠﺖ ‪System‬‬
‫‪ Information‬ﺻﻮرت ﻣﯽ ﮔﯿﺮد‪ .‬ﮐﻪ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﻃﺮﯾﻖ زﯾﺮ اﻗﺪام ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫‪System> Dashboard> Status‬‬
‫‪ -1‬ﺗﻐﯿﯿﺮ دادن ﺣﺎﻟﺖ ﻋﻤﻠﯿﺎﺗﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ‬

‫‪ -2‬ﺗﻨﻈﯿﻢ ‪ DNS‬ﺳﺮورﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫‪ -3‬ﺳﺎﺧﺘﻦ ‪ Policy‬ﺟﻬﺖ ﻋﺒﻮر ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ‬
‫‪ -4‬اﺗﺼﺎل دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﮑﻪ‬
‫‪10‬‬
‫اﺿﺎﻓﻪ ﮐﺮدن ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ در ﺣﺎﻟﺖ ‪ Transparent‬ﺑﺪون ﺗﻐﯿﯿﺮ در ﺗﻨﻈﯿﻤﺎت ﻣﻮﺟﻮد در ﺷﺒﮑﻪ‬
‫‪ .1‬ﺗﻐﯿﯿﺮ در ﺣﺎﻟﺖ ﻋﻤﻠﯿﺎﺗﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬
‫‪System> Dashboard> Status> System Information widget‬‬
‫‪Operation Mode> Change‬‬
‫‪11‬‬
‫‪ Operation Mode‬را ﺑﻪ ﺣﺎﻟﺖ ‪ Transparent‬ﺑﺒﺮﯾﺪ‪ IP .‬و ‪ Default Gateway‬ﮐﻪ از ﻃﺮﯾﻖ ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ‬
‫دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﻣﯽ ﺷﻮﯾﺪ را وارد ﻧﻤﺎﯾﯿﺪ‪ .‬ﺣﺎﻻ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﻮﺳﻂ ‪ GUI‬و ﺑﺎ وارد ﮐﺮدن ‪IP‬‬
‫‪ Management‬ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﯿﺪ‪ .‬در اﯾﻦ ﻣﺜﺎل ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ آدرس‬
‫‪ http://172.20.120.122‬ﺑﻪ دﺳﺘﮕﺎه دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﯿﺪ‪.‬‬
‫‪ .2‬وارد ﮐﺮدن ‪ DNS‬ﺳﺮورﻫﺎ ﺑﺮاي ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬

‫دﺳﺘﮕﺎه ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪ DNS‬ﺳﺮورﻫﺎي ﺧﻮد را از ‪FortiGuard‬‬
‫ﻣﯽ ﮔﯿﺮﻧﺪ‪ ،‬اﯾﻦ ﻣﻮرد در ﺑﯿﺸﺘﺮ ﺷﺒﮑﻪ ﻫﺎ ﺻﺎدق ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﻫﺮﭼﻨﺪ‪ ،‬اﮔﺮ ﺷﻤﺎ ﺑﺨﻮاﻫﯿﺪ ﻣﯽ ﺗﻮاﻧﯿﺪ ‪ DNS‬ﺳﺮورﻫﺎي‬
‫دﻟﺨﻮاه ﺧﻮد را وارد ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫‪System> Network> DNS> add Primary Server and Secondary Server‬‬
‫‪ .3‬درﺳﺖ ﮐﺮدن ﯾﮏ ‪ Policy‬ﺑﺮاي اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺟﻬﺖ ﺧﺮوج ﺗﺮاﻓﯿﮏ داﺧﻠﯽ ﺑﻪ ﺑﯿﺮون ) اﯾﻨﺘﺮﻧﺖ (‪:‬‬
‫ﻣﺴﯿﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫‪Policy & Objects> Policy> IPv4‬‬
‫ﺣﺎل ﯾﮏ ‪ Policy‬ﺟﺪﯾﺪ ﻣﻄﺎﺑﻖ ﺑﺎ ﺗﻨﻈﯿﻤﺎت زﯾﺮ ﻣﯽ ﺳﺎزﯾﻢ‪:‬‬
‫اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ ﮐﻪ ﻣﻌﻤﻮﻟﯽ ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﯽ ﺑﺎﺷﺪ)‪Incoming Interface= (LAN‬‬
‫اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ ﺑﺮ روي اﯾﻨﺘﺮﻧﺖ ﻗﺮار دارد =‪Outgoing Interface‬‬
‫ﻧﮑﺘﻪ‪ :‬ﺑﻪ ﺷﻤﺎ ﺗﻮﺻﯿﻪ ﻣﯽ ﮐﻨﯿﻢ ﻓﻌﻼ از ‪ Security Profiles‬ﻫﺎ اﺳﺘﻔﺎده ﻧﻨﻤﺎﯾﯿﺪ ﺗﺎ زﻣﺎﻧﯽ ﮐﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺑﻪ‬
‫ﺻﻮرت ﮐﺎﻣﻞ ﻧﺼﺐ و راه اﻧﺪازي ﻧﻤﺎﯾﯿﺪ‪ .‬ﺑﻌﺪ از ﻧﺼﺐ ﻧﻬﺎﯾﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ‪ Security profile‬ﻫﺎ را اﻋﻤﺎل ﮐﻨﯿﺪ‪.‬‬
‫ﺟﻬﺖ داﺷﺘﻦ ﻻگ ﮐﺎﻓﯽ اﺳﺖ در ﻗﺴﻤﺖ ‪ Log Allowed Traffic‬را ﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ و ﮔﺰﯾﻨﻪ ‪ All Session‬را‬
‫اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‬
‫‪-4‬اﺗﺼﺎل دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﮑﻪ‪:‬‬
‫‪System> Dashboard> Status> System Resources widget‬‬
‫اﮔﺮ ﮔﺰﯾﻨﻪ ‪ Shutdown‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﺎﻣﻮش ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬
‫ﻫﻤﭽﻨﯿﻦ ﺷﻤﺎ از ﻃﺮﯾﻖ ﻣﺴﯿﺮ زﯾﺮ وارد ﻣﺤﯿﻂ ‪ CLI‬ﺷﺪه ‪:‬‬
‫‪System> Dashboard> Status> CLI Console‬‬
‫و ﺑﺎ دﺳﺘﻮر زﯾﺮ ﻣﯽ ﺗﻮاﻧﯿﺪ دﺳﺘﮕﺎه را ﺧﺎﻣﻮش ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫‪12‬‬
‫‪Execute shutdown‬‬
‫ﺗﺎ زﻣﺎﻧﯽ ﮐﻪ ﺗﻤﺎم ﭼﺮاغ ﻫﺎي روي ﭘﻨﻞ ﺧﺎﻣﻮش ﺷﻮﻧﺪ ) ﺑﻪ ﺟﺰ ﭼﺮاغ ﭘﺎور ( ﺻﺒﺮ ﻧﻤﺎﯾﯿﺪ‪.‬اﮔﺮ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ‬
‫داراي دﮐﻤﻪ ﭘﺎور ﻣﯽ ﺑﺎﺷﺪ ﺟﻬﺖ ﺧﺎﻣﻮش ﺷﺪن دﺳﺘﮕﺎه از آن اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ در ﻏﯿﺮ اﯾﻦ ﺻﻮرت دﺳﺘﮕﺎه را از‬
‫ﺑﺮق ﺟﺪا ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺑﯿﻦ ﺷﺒﮑﻪ داﺧﻠﯽ و‬
‫روﺗﺮ ﻗﺮار دﻫﯿﺪ‪.‬اﯾﻨﺘﺮﻓﯿﺲ ‪ WAN1‬را ﺑﻪ روﺗﺮ داﺧﻠﯽ ﻣﺘﺼﻞ‬
‫ﮐﺮده و اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ را ﺑﻪ ‪ Port1‬ﻣﺘﺼﻞ ﻧﻤﺎﯾﯿﺪ‪ .‬دﺳﺘﮕﺎه‬
‫ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد را روﺷﻦ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪-5‬ﻧﺘﯿﺠﻪ ﮔﯿﺮي‪:‬‬
‫ﺗﻤﺎم ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎﯾﯽ ﮐﻪ در ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ‬
‫ﻫﺴﺘﻨﺪ ﺑﺎﯾﺪ اﯾﻨﺘﺮﻧﺖ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ اﻃﻼﻋﺎت‬
‫ﻣﺮﺑﻮط ﺑﻪ ﺗﺮاﻓﯿﮏ ﭘﺮوﺳﺲ ﺷﺪه ﺗﻮﺳﻂ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻣﯿﺰان ﺑﺴﺘﻪ ﻫﺎي درﯾﺎﻓﺖ و ارﺳﺎل ﺷﺪه را از ﻣﺴﯿﺮ زﯾﺮ‬
‫ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪System> FortiView> All Sessions‬‬
‫اﺳﺘﻔﺎده از ﯾﮏ ﻟﯿﻨﮏ ‪ WAN‬ﺑﺮاي ‪ Redundant‬اﺗﺼﺎل ﻫﺎي اﯾﻨﺘﺮﻧﺖ‬

‫در اﯾﻦ ﻣﺜﺎل‪ ،‬ﺷﻤﺎ ‪ WAN‬ﻟﯿﻨﮑﯽ ﺧﻮاﻫﯿﺪ ﺳﺎﺧﺖ ﮐﻪ ﺗﺎﻣﯿﻦ ﮐﻨﻨﺪه اﯾﻨﺘﺮﻧﺖ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻮده واز دو‬
‫ﺳﺮوﯾﺲ دﻫﻨﺪه اﯾﻨﺘﺮﻧﺖ ﺗﺸﮑﯿﻞ ﺷﺪه و اﯾﻨﺘﺮﻧﺖ ﻫﺎي ورودي را ﺑﻪ ﺻﻮرت ﯾﮏ ﻟﯿﻨﮏ ‪ Redundant‬ﺗﺤﻮﯾﻞ ﻣﯽ‬
‫دﻫﺪ‪ .‬ﻟﯿﻨﮏ ‪ WAN‬اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎ را ﺗﺮﮐﯿﺐ ﮐﺮده و از دو ﮐﺎﻧﮑﺸﻦ ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﺗﺤﻮﯾﻞ ﻣﯽ دﻫﺪ‪.‬‬
‫‪13‬‬
‫اﯾﻦ ﻣﺜﺎل ﺷﺎﻣﻞ ‪ Weighted Load Balancing‬اﺳﺖ ﺑﻨﺎﺑﺮاﯾﻦ ﺑﯿﺸﺘﺮ ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺘﯽ ﺷﻤﺎ ﺗﻮﺳﻂ ﯾﮏ ‪ISP‬‬
‫ﻣﻨﺘﻘﻞ ﻣﯿﺸﻮد‪.‬‬
‫‪ -1‬اﺗﺼﺎل ‪ ISP‬ﻫﺎ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ‬

‫‪ -2‬ﭘﺎك ﮐﺮدن ‪Policy‬ﻫﺎي اﻣﻨﯿﺘﯽ و ‪route‬ﻫﺎﯾﯽ ﮐﻪ در ‪ WAN1‬و ‪ WAN2‬ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ‪.‬‬
‫‪ -3‬ﺳﺎﺧﺖ ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﻟﯿﻨﮏ ‪WAN‬‬
‫‪ -4‬ﺳﺎﺧﺘﻦ ﯾﮏ ‪ default route‬ﺑﺮاي اﯾﻨﺘﺮﻓﯿﺲ ﻟﯿﻨﮏ ‪WAN‬‬
‫‪ Allow -5‬ﮐﺮدن ﺗﺮاﻓﯿﮏ داﺧﻠﯽ ﺟﻬﺖ ﺧﺮوج از ﻟﯿﻨﮏ ‪WAN‬‬
‫‪-6‬ﻧﺘﺎﯾﺞ‬
‫‪ .1‬اﺗﺼﺎل ‪ISP‬ﻫﺎ ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬
‫اﺗﺼﺎﻻت ﻣﺮﺑﻮط ﺑﻪ ‪ ISP‬ﻫﺎ را اﯾﺠﺎد ﮐﺮده و ارﺗﺒﺎﻃﺎت آﻧﻬﺎ ﺑﺎ ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺑﺮﻗﺮار ﻧﻤﺎﯾﯿﺪ‪ .‬ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ‬
‫در ﻣﺜﺎل ﻣﺎ ﺗﺮاﻓﯿﮏ ﺧﺮوﺟﯽ از ‪ WAN1‬ﻧﺴﺒﺖ ﺑﻪ ‪ WAN2‬ﺑﯿﺸﺘﺮ ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ .2‬ﭘﺎك ﮐﺮدن ‪ Security Policy‬ﻫﺎ و ‪route‬ﻫﺎي ﻣﻮرد اﺳﺘﻔﺎده در ‪ WAN1‬و‪: WAN2‬‬
‫اﮔﺮ ﺗﻨﻈﯿﻤﺎت ﮐﻨﻮﻧﯽ ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﺮﻓﺘﻪ ﺑﺎﺷﺪ ﺷﻤﺎ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﯾﮏ ‪ WAN‬ﻟﯿﻨﮏ‬
‫اﯾﻨﺘﺮﻓﯿﺲ اﺿﺎﻓﻪ ﻧﻤﺎﯾﯿﺪ‪ ،‬ﺑﻨﺎﺑﺮاﯾﻦ ﺑﺎﯾﺪ ﻫﺮ ‪ Policy‬و ﯾﺎ ‪route‬ﻫﺎﯾﯽ ﮐﻪ روي ﻫﺮ دو ﻟﯿﻨﮏ ‪ WAN1‬و ‪WAN2‬‬
‫‪14‬‬
‫ﻗﺮار دارﻧﺪ را ﭘﺎك ﻧﻤﺎﯾﯿﺪ‪ .‬ﺑﻌﻀﯽ از ﻣﺪل ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ ﯾﮏ ‪ policy‬ﭘﯿﺶ ﻓﺮض ﺟﻬﺖ دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ‬
‫از ﻃﺮﯾﻖ ‪ WAN1‬دارﻧﺪ‪ .‬اﯾﻦ ‪ policy‬ﻧﯿﺰ ﺑﺎﯾﺪ ﭘﺎك ﺷﻮد‪.‬‬

‫ﺣﺎل ﺗﻤﺎم ‪Policy‬ﻫﺎﯾﯽ ﮐﻪ ﻣﻮرد اﺳﺘﻔﺎده ‪ WAN1‬و ‪ WAN2‬ﻣﯽ ﺑﺎﺷﻨﺪ را ﭘﺎك ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺑﻌﺪ از اﯾﻨﮑﻪ ‪ Policy‬ﻫﺎ را ﭘﺎك ﻧﻤﻮدﯾﺪ ﺗﺮاﻓﯿﮑﯽ از ﺳﻤﺖ ‪ WAN1‬و ‪ WAN2‬ﺑﻪ ﺳﻤﺖ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻧﺨﻮاﻫﺪ‬
‫آﻣﺪ‪.‬‬
‫ﺑﺮاي ﭘﺎك ﮐﺮدن ‪Route‬ﻫﺎ ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫‪Router>Static>Static Routes> delete any route use in WAN1 & WAN2‬‬
‫‪ .3‬ﺳﺎﺧﺘﻦ ﯾﮏ ‪ WAN‬ﻟﯿﻨﮏ اﯾﻨﺘﺮﻓﯿﺲ‪:‬‬

‫‪System> Network> WAN Link Load Balancing‬‬
‫در ﻗﺴﻤﺖ ‪ WAN Load Balancing‬ﮔﺰﯾﻨﻪ ‪ Weight Round Robin‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ .‬اﯾﻦ ﮔﺰﯾﻨﻪ ﺷﻤﺎ را ﻗﺎدر‬
‫ﻣﯽ ﺳﺎزد ﺗﺎ اوﻟﻮﯾﺖ ‪ WAN1‬را ﺑﺎﻻ ﺑﺮده و ﺑﺎﻋﺚ ﺷﻮﯾﺪ ﺗﺮاﻓﯿﮏ ﺑﯿﺸﺘﺮي از ‪ WAN1‬ﻋﺒﻮر ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ WAN1‬را ﺑﻪ ﻟﯿﺴﺖ ‪Interface Members‬ﻫﺎ اﺿﺎﻓﻪ ﮐﺮده و ﺑﺮاي ‪ Weight‬ﮔﺰﯾﻨﻪ ‪ 3‬را وارد ﻧﻤﺎﯾﯿﺪ و در ﻗﺴﻤﺖ‬
‫‪ IP ، Gateway IP‬ﻣﺮﺑﻮط ﺑﻪ ‪ ISP‬ﺧﻮد را ﺗﺎﯾﭗ ﻧﻤﺎﯾﯿﺪ‪ .‬دﻗﯿﻘﺎ ﻫﻤﯿﻦ ﻣﺮاﺣﻞ را ﺑﺮاي ‪ WAN2‬ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪ .‬ﻣﻨﺘﻬﯽ‬
‫در ﻗﺴﻤﺖ ‪ Weight‬ﻣﻘﺪار ‪ 1‬را وارد ﮐﻨﯿﺪ‪.‬‬
‫‪15‬‬
‫ﺗﻨﻈﯿﻤﺎت وزن دﻫﯽ ﺑﺎﻋﺚ ﻣﯿﺸﻮد ﮐﻪ ‪ 75‬درﺻﺪ ﺗﺮاﻓﯿﮏ ﻣﻮرد اﺳﺘﻔﺎده ﺑﺮ روي ‪ WAN1‬و ‪ 25‬درﺻﺪ ﺑﺎﻗﯿﻤﺎﻧﺪه‬
‫ﺑﺮ روي ‪ WAN2‬ﻗﺮار ﮔﯿﺮد‪.‬‬
‫‪ .4‬ﺳﺎﺧﺘﻦ ‪ Defualt route‬ﺑﺮاي ﻟﯿﻨﮏ اﯾﻨﺘﺮﻓﯿﺲ ‪WAN‬‬
‫‪Default route‬اﺿﺎﻓﻪ ﻣﯽ ﻧﻤﺎﯾﯿﻢ >‪Router> Static> Static Routes‬‬

‫ﯾﮏ‬
‫در ﻗﺴﻤﺖ ‪ Device‬ﺑﺎﯾﺪ ‪ WAN Link Interface‬را وارد ﻧﻤﺎﯾﯿﻢ‪.‬‬
‫‪ Allow .5‬ﮐﺮدن ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ ﺑﯿﺮون از ﻃﺮﯾﻖ ‪:WAN Link Interface‬‬
‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﻮده و ﯾﮏ ‪ Policy‬ﺟﺪﯾﺪ ﻣﯽ ﺳﺎزﯾﻢ‪:‬‬

‫در ﻗﺴﻤﺖ ‪ Incoming Interface‬دﺳﺖ ﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ) اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ ﺷﺒﮑﻪ داﺧﻠﯽ را ﻣﯿﺒﯿﻨﺪ ( را‬
‫اﺿﺎﻓﻪ ﻣﯽ ﮐﻨﯿﻢ و در ﻗﺴﻤﺖ ‪ Outgoing Interface‬دﺳﺘﯽ ﮐﻪ در ‪ WAN‬ﻣﯽ ﺑﺎﺷﺪ را اﺿﺎﻓﻪ ﻣﯽ ﮐﻨﯿﻢ‪ .‬در آﺧﺮ‬
‫ﮔﺰﯾﻨﻪ ‪ NAT‬را روﺷﻦ ﻣﯽ ﻧﻤﺎﯾﯿﻢ‪.‬‬
‫‪16‬‬
‫ﺟﻬﺖ ﻣﺸﺎﻫﺪه ﻧﺘﺎﯾﺞ در آﯾﻨﺪه و ﻫﻤﭽﻨﯿﻦ ﺛﺒﺖ وﻗﺎﯾﻊ ﻧﯿﺎز ﺑﻪ ﻻگ ﮔﯿﺮي ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از روﺷﻦ ﮐﺮدن‬
‫ﮔﺰﯾﻨﻪ ‪ Log Allowed Traffic‬و اﻧﺘﺨﺎب ﮔﺰﯾﻨﻪ ‪ All Sessions‬اﯾﻦ اﻣﺮ اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺷﻮد‪.‬‬
‫‪ .6‬ﻧﺘﺎﯾﺞ‪:‬‬
‫ﺣﺎل ﺷﺒﮑﻪ داﺧﻠﯽ ﺷﻤﺎ داراي اﯾﻨﺘﺮﻧﺖ ﻣﯽ ﺑﺎﺷﺪ و ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ ﺑﺎز ﮐﺮدن ﭼﻨﺪ ﺳﺎﯾﺖ آن را آزﻣﺎﯾﺶ ﻧﻤﺎﯾﯿﺪ‬
‫ﺑﺎ ﻃﯽ ﮐﺮدن ﻣﺴﯿﺮ زﯾﺮ ‪:‬‬
‫‪System> FortiView> All Sessions‬‬
‫ﺳﺘﻮن ﻣﺮﺑﻮط ﺑﻪ ‪ Dst Interface‬در ﻗﺴﻤﺖ ﺗﺮاﻓﯿﮏ ﻻگ ﻣﺸﺎﻫﺪه ﻣﯽ ﮔﺮدد‪ .‬اﮔﺮ اﯾﻦ ﮔﺰﯾﻨﻪ دﯾﺪه ﻧﻤﯽ ﺷﻮد‪،‬‬
‫روي ﺳﺘﻮن ﻗﺴﻤﺖ راﺳﺖ‪ ،‬ﮐﻠﯿﮏ ﮐﺮده و ﮔﺰﯾﻨﻪ ‪ Dst Interface‬را از ﻣﻨﻮ ﻣﺮﺑﻮﻃﻪ اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و ﺳﭙﺲ دﮐﻤﻪ‬
‫‪ apply‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬ﻻگ ﻫﺎ ﻧﺸﺎن دﻫﻨﺪه آن اﺳﺖ ﮐﻪ ﺗﺮاﻓﯿﮏ از ﻫﺮ دو ‪ WAN1‬و ‪ WAN2‬ﻋﺒﻮر ﻣﯽ‬
‫ﻧﻤﺎﯾﺪ‪.‬‬
‫‪ WAN1‬را ﻗﻄﻊ و اﻣﺘﺤﺎن ﮐﻨﯿﺪ ﮐﻪ اﯾﻨﺘﺮﻧﺖ ﮐﻼﯾﻨﺖ ﻫﺎ ﻣﺘﺼﻞ ﻣﯽ ﺑﺎﺷﺪ ﯾﺎ ﺧﯿﺮ؟ ﻗﻄﻌﺎ اﯾﻨﺘﺮﻧﺖ وﺻﻞ ﺑﻮده و ﺑﺎ‬
‫ﻣﺸﺎﻫﺪه ﻻگ‪ ،‬ﺷﻤﺎ ﻣﺘﻮﺟﻪ ﻣﯽ ﺷﻮﯾﺪ ﮐﻪ ﺗﻤﺎم ﺗﺮاﻓﯿﮏ از ﻃﺮﯾﻖ ‪ WAN2‬ﻣﻨﺘﻘﻞ ﻣﯽ ﮔﺮدد‪.‬‬
‫‪17‬‬
‫راﻫﻨﻤﺎﯾﯽ ﻫﺎي وﯾﮋه‪ T-shoot :‬ﮐﺮدن ﻧﺼﺐ و راه اﻧﺪازي ‪:‬‬
‫اﮔﺮ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻌﺪ از ﻧﺼﺐ و راه اﻧﺪازي ﮐﺎراﯾﯽ ﻣﻮرد ﻧﻈﺮ را ﻧﺪارد از روش ﻫﺎي زﯾﺮ ﺟﻬﺖ رﻓﻊ ﻋﯿﺐ‬
‫و اﯾﺮاد اﻗﺪام ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺑﯿﺸﺘﺮ روش ﻫﺎي ﻣﻌﺮﻓﯽ ﺷﺪه در ﻫﺮ دو ﺣﺎﻟﺖ ‪ Route/NAT‬و ‪ Transparent‬ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪.‬ﻫﺮ‬
‫ﮔﻮﻧﻪ اﺳﺘﺜﻨﺎﯾﯽ ﻣﺸﺨﺺ ﺷﺪه اﺳﺖ‪.‬‬
‫‪ -1‬اﮔﺮ ﺑﺎ اﺳﺘﻔﺎده از ‪ Ethernet‬ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ دﺳﺘﮕﺎه ﻣﺘﺼﻞ ﺷﻮﯾﺪ از ‪ FortiExplorer‬اﺳﺘﻔﺎده ﮐﻨﯿﺪ‪.‬‬
‫اﮔﺮ ﺗﻮﺳﻂ ‪ CLI‬ﯾﺎ ‪ GUI‬ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ‪ .‬ﻣﻤﮑﻦ اﺳﺖ ﺗﻮﺳﻂ ‪ FortiExplorer‬ﺑﺘﻮاﻧﯿﺪ‬
‫ﺑﻪ دﺳﺘﮕﺎه ﻣﺘﺼﻞ ﺷﻮﯾﺪ‪ .‬ﺑﺮاي درﯾﺎﻓﺖ اﻃﻼﻋﺎت ﺑﯿﺸﺘﺮ از ‪ QuickStart‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ) دﻓﺘﺮﭼﻪ راﻫﻨﻤﺎ(‬
‫ﮐﻤﮏ ﺑﮕﯿﺮﯾﺪ‪.‬‬
‫‪ -2‬ﭼﮏ ﮐﺮدن ﺗﺠﻬﯿﺰات‪.‬‬
‫ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ ﺗﻤﺎم ﺗﺠﻬﯿﺰات ﻣﺮﺗﺒﻂ ﺑﺎ ﺷﺒﮑﻪ روﺷﻦ و درﺳﺖ در ﺣﺎل ﮐﺎر ﻣﯽ ﺑﺎﺷﻨﺪ‪ .‬ﺑﺮ اﺳﺎس راﻫﻨﻤﺎﯾﯽ‬
‫ﻫﺎي ﻣﺸﺨﺺ ﺷﺪه در ‪ Quickstart‬ﺗﺠﻬﯿﺰات را ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﻧﻤﺎﯾﯿﺪ‪ .‬ﻫﻤﭽﻨﯿﻦ اﻃﻼﻋﺎﺗﯽ در ﻣﻮرد‬
‫وﺿﻌﯿﺖ ﭼﺮاغ ﻫﺎي ‪ LED‬دﺳﺘﮕﺎه ﺑﺪﺳﺖ ﺑﯿﺎورﯾﺪ‪.‬‬
‫‪ -3‬ﭼﮏ ﮐﺮدن وﺿﻌﯿﺖ اﺗﺼﺎﻻت ﻓﯿﺰﯾﮑﯽ ﺷﺒﮑﻪ‪.‬‬
‫ﮐﺎﺑﻞ ﻫﺎي ﻣﺘﺼﻞ ﺷﺪه را ﺑﻪ ﺻﻮرت ﮐﺎﻣﻞ ﭼﮏ ﻧﻤﺎﯾﯿﺪ و ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﮐﺎﺑﻞ ﻫﺎي اﺳﺘﻔﺎده ﺷﺪه ﺻﺪﻣﻪ )‬
‫زﺧﻤﯽ ( ﻧﺪﯾﺪه ﺑﺎﺷﻨﺪ‪.‬اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﻧﻤﺎﯾﯿﺪ ﮐﻪ ﮐﺎﺑﻞ ﻫﺎي ارﺗﺒﺎﻃﯽ ﺑﺎ ﺳﺎﯾﺮ دﺳﺘﮕﺎه ﻫﺎ درﺳﺖ و دﻗﯿﻖ ارﺗﺒﺎط‬
‫ﺑﺮﻗﺮار ﮐﺮده ﺑﺎﺷﻨﺪ‪.‬ﻫﻤﭽﻨﯿﻦ وﯾﺠﺖ ﻋﻤﻠﯿﺎﺗﯽ را از ﻃﺮﯾﻖ ‪ System> Dashboard> Status‬ﭼﮏ ﻧﻤﺎﯾﯿﺪ‪،‬‬
‫ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ارﺗﺒﺎط اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎ در ﺣﺎﻟﺖ ﺳﺒﺰ ﺑﺎﺷﺪ‪.‬‬
‫‪ -4‬ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ ﮐﻪ از ﻃﺮﯾﻖ ‪ IP‬آدرس ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ‪.‬‬
‫)‪(Route/NAT mode‬‬
‫از ﻃﺮﯾﻖ ﮐﻨﺴﻮل وب و ﺑﺎ ‪ IP‬دﺳﺘﮕﺎه ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ‪.‬ﺳﻌﯽ ﮐﻨﯿﺪ ‪ IP‬دﺳﺘﮕﺎه را ‪ PING‬ﻧﻤﺎﯾﯿﺪ‪ .‬ﺑﻪ‬
‫ﺻﻮرت ﭘﯿﺶ ﻓﺮض ‪ IP‬دﺳﺘﮕﺎه ‪ 192.168.1.99‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫اﮔﺮ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ دﺳﺘﮕﺎه ﻣﺘﺼﻞ ﺷﻮﯾﺪ‪ IP ،‬ﻣﺮﺑﻮط ﺑﻪ ‪ PC‬ﺧﻮد را ﭼﮏ ﻧﻤﺎﯾﯿﺪ‪ .‬اﮔﺮ ‪ PING‬دﺳﺘﮕﺎه را داﺷﺘﻪ‬
‫وﻟﯽ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﺻﻮرت وب ﺑﻪ ﮐﻨﺴﻮل ﻣﺪﯾﺮﯾﺘﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ ﭼﮏ ﻧﻤﺎﯾﯿﺪ ﮐﻪ ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط‬
‫ﺑﻪ ‪ Administrative Access‬روي اﯾﻨﺘﺮﻓﯿﺲ درﺳﺖ ﺑﺎﺷﺪ‪.‬‬
‫‪18‬‬
‫‪ -5‬ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ ﮐﻪ اﺗﺼﺎل ﺑﻪ ‪ Management IP Address‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ در ﺣﺎﻟﺖ ‪Transparent‬‬
‫وﺟﻮد دارد‪.‬‬
‫از ﺷﺒﮑﻪ داﺧﻠﯽ‪ Ping ،‬ﻣﺮﺑﻮط ﺑﻪ ‪ Management ip‬را ﺑﮕﯿﺮﯾﺪ‪ .‬اﮔﺮ ‪ Ping‬را ﻧﺪاﺷﺘﯿﺪ ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪ip‬‬
‫روي ‪ PC‬ﺧﻮد را ﭼﮏ ﻧﻤﺎﯾﯿﺪ و وﺿﻌﯿﺖ اﺗﺼﺎل ﮐﺎﺑﻞ ﻫﺎ ﺑﻪ ﺳﻮﺋﯿﭻ ﻫﺎ را ﺑﺮرﺳﯽ ﮐﻨﯿﺪ‪ .‬وﻗﺘﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﻣﺮﺣﻠﻪ‬
‫ﺑﻌﺪي ﺑﺮوﯾﺪ ﮐﻪ اﺗﺼﺎل ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ را داﺷﺘﻪ ﺑﺎﺷﯿﺪ‪.‬‬
‫‪ -6‬ﺑﺮرﺳﯽ ﺗﻨﻈﯿﻤﺎت اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ‪.‬‬
‫ﺑﺮرﺳﯽ ﻣﯽ ﮐﻨﯿﻢ ﮐﻪ اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﺘﺼﻞ و ﻫﻤﭽﻨﯿﻦ ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻓﯿﺲ‬
‫اﯾﻨﺘﺮﻧﺖ درﺳﺖ و اﺗﺼﺎﻻت ﺑﺮﻗﺮار ﺑﺎﺷﺪ‪.‬ﻫﻤﭽﻨﯿﻦ ‪ IP‬آدرس ﻫﺎ ﺑﻪ درﺳﺘﯽ وارد ﺷﺪه ﺑﺎﺷﺪ‪.‬‬
‫‪ -7‬ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪Security Profile‬ﻫﺎ را ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫از ﻣﺴﯿﺮ ‪ Policy & Object> Policy> IPv4‬ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ ‪ Policy‬ﻣﺮﺑﻮط ﺑﻪ دﺳﺖ داﺧﻠﯽ ) اﯾﻨﺘﺮﻓﯿﺲ‬
‫ﺷﺒﮑﻪ داﺧﻠﯽ ( ﺑﻪ دﺳﺖ اﯾﻨﺘﺮﻧﺖ ) اﯾﻨﺘﺮﻓﯿﺲ ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻧﺖ ( ﺑﻪ درﺳﺘﯽ اﻋﻤﺎل ﺷﺪه ﺑﺎﺷﺪ‪ .‬ﺳﺘﻮن ﻣﺮﺑﻮط‬
‫ﺑﻪ ‪ Session‬ﻫﺎ را ﭼﮏ ﻧﻤﺎﯾﯿﺪ و ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﺗﺮاﻓﯿﮏ ﺑﻪ درﺳﺘﯽ ﭘﺮدازش ﻣﯽ ﺷﻮد‪ ).‬ﻋﺒﻮر ﻣﯽ ﻧﻤﺎﯾﺪ (‬
‫اﮔﺮ ﺷﻤﺎ از ﺣﺎﻟﺖ ‪ Route/NAT‬اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﺪ‪ ،‬ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪Policy‬ﻫﺎ را ﭼﮏ ﻧﻤﺎﯾﯿﺪ از روﺷﻦ ﺑﻮد‬
‫‪ NAT‬اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ‪ .‬ﻫﻤﭽﻨﯿﻦ ﺗﯿﮏ ﮔﺰﯾﻨﻪ ‪ Use Destination Interface Address‬ﺧﻮرده ﺑﺎﺷﺪ‪.‬‬
‫‪ -8‬ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ ﮐﻪ دﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ دﺳﺘﮕﺎه ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ اﺳﺖ‪.‬‬
‫‪ IP‬آدرس ﺗﻨﻈﯿﻢ ﺷﺪه ﺑﺮ روي دﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را ‪ Ping‬ﮐﻨﯿﺪ‪ .‬اﮔﺮ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ اﯾﻨﺘﺮﻓﯿﺲ‬
‫ﻣﺘﺼﻞ ﺷﻮﯾﺪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﻧﻤﯽ ﺗﻮاﻧﺪ از ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ ﺷﺒﮑﻪ ﺧﺎرﺟﯽ ﭘﮑﺖ ﻫﺎ را ﻣﻨﺘﻘﻞ ﻧﻤﺎﯾﺪ‪.‬‬
‫‪ -9‬ﺑﺮرﺳﯽ ﺗﻨﻈﯿﻤﺎت اﺳﺘﺎﺗﯿﮏ ‪:routing‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Router> Static> Static Routes‬ﺑﺮوﯾﺪ و ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ Default Route‬درﺳﺖ اﺳﺖ‪ .‬در‬
‫ﺑﺨﺶ ‪ Routing Monitor‬ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ ‪ default route‬ﻣﺸﺨﺺ ﺷﺪه در ﻟﯿﺴﺖ ﻫﻤﺎﻧﻨﺪ ﯾﮏ اﺳﺘﺎﺗﯿﮏ ‪route‬‬
‫ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﺑﺮاي ﻫﺮ ﮐﺪام از دﺳﺖ ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ )ﻫﺮ اﯾﻨﺘﺮﻓﯿﺲ( ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﯾﮏ ‪connected route‬‬
‫ﺑﺒﯿﻨﯿﺪ‪.‬‬
‫‪ -10‬ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ ﮐﻪ اﺗﺼﺎل ﺑﺎ ‪ Gateway‬ﻣﺮﺑﻮط ﺑﻪ ‪ ISP‬ﺷﻤﺎ ﺑﺮﻗﺮار اﺳﺖ‪.‬‬
‫ﺑﺮ روي ﺷﺒﮑﻪ داﺧﻠﯽ ‪ IP‬آدرس ﻣﺮﺑﻮط ﺑﻪ ‪ Default gateway‬را ‪ Ping‬ﻧﻤﺎﯾﯿﺪ اﮔﺮ دﺳﺘﺮﺳﯽ ﺑﻪ ‪ gateway‬اﻣﮑﺎن‬
‫ﭘﺬﯾﺮ ﻧﯿﺴﺖ ﺑﺎ ‪ ISP‬ﺧﻮد ﻫﻤﺎﻫﻨﮓ ﺷﻮﯾﺪ ﺗﺎ اﻃﻼﻋﺎت درﺳﺖ را وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪19‬‬
‫‪ -11‬ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ ﮐﻪ ارﺗﺒﺎط دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺎ اﯾﻨﺘﺮﻧﺖ ﺑﺮﻗﺮار ﺑﺎﺷﺪ‪.‬‬
‫ﺑﻪ ‪ CLI‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد رﻓﺘﻪ و از دﺳﺘﻮر ‪ execute ping 8.8.8.8‬اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪ .‬ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ‬
‫ﺟﻬﺖ ﻋﯿﺐ ﯾﺎﺑﯽ از وﺿﻌﯿﺖ ارﺗﺒﺎﻃﯽ ﺧﻮد از دﺳﺘﻮر ‪ execute traceroute 8.8.8.8‬ﻧﯿﺰ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ -12‬ﺑﺮرﺳﯽ ﺗﻨﻈﯿﻤﺎت ‪ DNS‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ و ﮐﻼﯾﻨﺖ ﻫﺎ‬
‫ﺑﺮرﺳﯽ ‪DNS Error‬ﻫﺎ از آﻧﺠﺎ اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺷﻮد ﮐﻪ ﺷﻤﺎ ﯾﮏ آدرس را ‪ Ping‬ﻣﯽ ﮐﻨﯿﺪ و ﺑﺎ ﺟﻮاب ‪name‬‬
‫‪ cannot be resolved‬ﻣﻮاﺟﻪ ﻣﯽ ﺷﻮﯾﺪ‪ .‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﯾﺎ ‪PC‬ﻫﺎ ﻧﻤﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ‪ DNS‬ﺳﺮورﻫﺎ ﻣﺘﺼﻞ ﺷﻮﻧﺪ‬
‫و ﺷﻤﺎ ﺑﺎﯾﺪ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ آدرس ‪DNS‬ﻫﺎ ﺑﻪ درﺳﺘﯽ ﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ‪.‬‬
‫‪ -13‬از وﺻﻞ ﺑﻮدن دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ‪ FortiGuard‬ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ‪.‬‬
‫ﯾﮏ ﺑﺎر ﮐﻪ دﺳﺘﮕﺎه رﺟﯿﺴﺘﺮ ﻣﯽ ﺷﻮد ﺗﻤﺎم آﭘﺪﯾﺖ ﻫﺎ ازﺟﻤﻠﻪ ‪ antivirus‬و ‪ application control‬و ﻏﯿﺮه از‬
‫ﺷﺒﮑﻪ ‪ FortiGuard‬ﮔﺮﻓﺘﻪ ﻣﯽ ﺷﻮد‪ .‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺗﺎ زﻣﺎﻧﯽ در ﺷﺒﮑﻪ ﻣﻔﯿﺪ اﺳﺖ ﮐﻪ ﺑﺘﻮاﻧﺪ در دﺳﺘﺮس‬
‫ﭘﺬﯾﺮي ‪ FortiGuard‬را ﺗﺎﯾﯿﺪ ﻧﻤﺎﯾﯿﺪ‪ ).‬ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد در ارﺗﺒﺎط ﺑﺎﺷﺪ(‬
‫اوﻟﯿﻦ ﻗﺴﻤﺖ‪ ،‬ﭼﮏ ﻧﻤﺎﯾﯿﺪ ﮐﻪ اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ﻻﯾﺴﻨﺲ دﺳﺘﮕﺎه ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد ﻣﻄﺎﺑﻘﺖ دارد‪ .‬ﺑﻪ ﻣﺴﯿﺮ‬
‫‪ System> Config> FortiGuard‬ﺑﺮوﯾﺪ‪ .‬ﮔﺰﯾﻨﻪ ي ‪ Web Filtering and Email Filtering Options‬را ﺑﺎز‬
‫ﻧﻤﺎﯾﯿﺪ و ﮔﺰﯾﻨﻪ ‪ Test Availability‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ .‬ﺑﻌﺪ از ﭼﻨﺪ دﻗﯿﻘﻪ‪ GUI ،‬ﺑﻪ ﺷﻤﺎ ﻣﻮﻓﻘﯿﺖ اﺗﺼﺎل را ﻧﻤﺎﯾﺶ‬
‫ﻣﯽ دﻫﺪ‪.‬‬
‫‪ -14‬ﺗﻐﯿﯿﺮ دادن ‪ MAC Address‬اﯾﻨﺘﺮﻓﯿﺲ ﺧﺎرﺟﯽ )ﺗﻐﯿﯿﺮ ﻣﮏ آدرس دﺳﺖ ﺧﺎرﺟﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ(‪:‬‬
‫ﺑﻌﻀﯽ از ‪ISP‬ﻫﺎ ﺑﻨﺎ ﺑﺮ ﺳﯿﺎﺳﺘﯽ ﮐﻪ دارﻧﺪ ﺗﻤﺎﯾﻞ دارﻧﺪ ﮐﻪ ‪ MAC Address‬دﺳﺘﮕﺎه ﻫﺎي آﻧﻬﺎ ﺑﻪ ﺷﺒﮑﻪ ﻫﺎي‬
‫ﮐﺎﺑﻠﯽ ﺧﻮدﺷﺎن ﻣﺘﺼﻞ ﺷﻮﻧﺪ ﺑﻨﺎ ﺑﺮ ﻫﻤﯿﻦ ﺳﯿﺎﺳﺖ ﺷﻤﺎ ﺑﺎﯾﺪ ‪ MAC Address‬دﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ‬
‫ﮔﯿﺖ ﺧﻮد را ﻋﻮض ﻧﻤﺎﯾﯿﺪ ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از ‪ Command‬زﯾﺮ در ﻣﺤﯿﻂ ‪ CLI‬اﻣﮑﺎن ﭘﺬﯾﺮ اﺳﺖ‪:‬‬
‫‪Config system interface‬‬

‫>‪Edit <interface‬‬
‫>‪Set macaddr <xx:xx:xx:xx:xx:xx‬‬
‫‪End‬‬
‫‪End‬‬
‫‪20‬‬
‫‪ -15‬رﯾﺴﺖ ﮐﺮدن دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ و ﺑﺎزﮔﺮداﻧﺪن آن ﺑﻪ ﺣﺎﻟﺖ ﺗﻨﻈﯿﻤﺎت ﮐﺎرﺧﺎﻧﻪ اي ‪:‬‬
‫اﮔﺮ ﻫﻤﻪ ﭼﯿﺰ ﺑﺎ ﻣﺸﮑﻞ ﻣﻮاﺟﻪ ﺷﺪه اﺳﺖ! دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را رﯾﺴﺖ ﮐﺮده و آن را ﺑﻪ ﺗﻨﻈﯿﻤﺎت ﮐﺎرﺧﺎﻧﻪ اي‬
‫ﺑﺎزﮔﺮداﻧﯿﺪ‪ .‬از ﻃﺮﯾﻖ ﻣﺤﯿﻂ ‪ CLI‬و ﺑﺎ دﺳﺘﻮر ‪ execute factoryreset‬اﯾﻦ اﺗﻔﺎق اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﮔﺮدد‪.‬وﻗﺘﯽ اﯾﻦ‬
‫دﺳﺘﻮر را ﻣﯽ زﻧﯿﺪ ﺑﺎﯾﺪ ﺗﺎﯾﭗ ﮐﻨﯿﺪ ‪ Y‬و اﯾﻨﺘﺮ را ﺑﺰﻧﯿﺪ‪.‬‬
‫رﯾﺴﺖ ﮐﺮدن دﺳﺘﮕﺎه آﻧﺮا ﺑﻪ ﺣﺎﻟﺖ ‪ Route/NAT‬ﺑﺎز ﻣﯿﮕﺮداﻧﺪ‪ .‬ﺑﺎ ﻣﺮاﺟﻌﻪ ﺑﻪ ﺳﺎﯾﺖ ‪support.fortinet.com‬‬
‫اﻃﻼﻋﺎت ﺑﯿﺸﺘﺮي ﮐﺴﺐ ﺧﻮاﻫﯿﺪ ﮐﺮد‪.‬‬
‫ﺛﺒﺖ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ و ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪: System Setting‬‬
‫در اﯾﻦ ﻣﺜﺎل ﺷﻤﺎ ﯾﺎد ﻣﯽ ﮔﯿﺮﯾﺪ ﮐﻪ ﭼﮕﻮﻧﻪ دﺳﺘﮕﺎه ﺧﻮد را رﯾﺠﺴﺘﺮ ﮐﺮده و زﻣﺎن دﺳﺘﮕﺎه را ﺗﻨﻈﯿﻢ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﻫﻤﭽﻨﯿﻦ ﭼﻨﺪ ﯾﻮزر ادﻣﯿﻦ ﺑﺮاي دﺳﺘﮕﺎه ﺳﺎﺧﺘﻪ و از دﺳﺘﺮﺳﯽ ﻫﺎي ﻏﯿﺮﻣﺠﺎز ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﯿﻢ‪.‬‬
‫‪ -1‬ﺛﺒﺖ ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫‪ -2‬ﺗﻨﻈﯿﻢ زﻣﺎن دﺳﺘﮕﺎه‬
‫‪ -3‬ﻣﺤﺪود ﮐﺮدن دﺳﺘﺮﺳﯽ ادﻣﯿﻦ از دﺳﺘﮕﺎه ﻫﺎي ﻣﺠﺎز‬
‫‪ -4‬ﺗﻐﯿﯿﺮ ﭘﺴﻮرد ‪default admin‬‬
‫‪ -5‬ﻧﺘﺎﯾﺞ ﺣﺎﺻﻞ‬
‫‪ .1‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد را ﺛﺒﺖ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺛﺒﺖ ﮐﺮدن دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺷﻤﺎ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دﻫﺪ ﮐﻪ ﺑﺮوزرﺳﺎﻧﯽ ﻫﺎ را از ‪ FortiGuard‬درﯾﺎﻓﺖ‬
‫ﻧﻤﻮده و ﻫﻤﭽﻨﯿﻦ اﻣﮑﺎن درﯾﺎﻓﺖ آﭘﺪﯾﺖ ‪firmware‬ﻫﺎ و دﺳﺘﺮﺳﯽ ﺑﻪ ﺳﺎﭘﻮرت ﻓﻮرﺗﯽ ﻧﺖ اﯾﺠﺎد ﻣﯽ ﺷﻮد‪.‬‬
‫ﻗﺒﻞ از ﺛﺒﺖ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ‪ ،‬ﺣﺘﻤﺎ ﺑﺎﯾﺪ دﻗﺖ ﮐﻨﯿﺪ ﮐﻪ دﺳﺘﮕﺎه داراي اﯾﻨﺘﺮﻧﺖ ﺑﺎﺷﺪ‪.‬‬

‫‪System> Dashboard> Status> License Information Widget‬‬
‫‪21‬‬
‫از ﯾﮏ اﮐﺎﻧﺖ ﺳﺎﭘﻮرت ﻓﻮرﺗﯽ ﻧﺖ اﺳﺘﻔﺎده ﮐﻨﯿﺪ ﯾﺎ ﯾﮏ اﮐﺎﻧﺖ ﺟﺪﯾﺪ ﺑﺴﺎزﯾﺪ‪ .‬ﮐﺸﻮر ﻣﻮرد ﻧﻈﺮ را اﻧﺘﺨﺎب و‬
‫‪ Reseller‬را ﻣﺸﺨﺺ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺗﻮﺻﯿﻪ ﻣﯽ ﮐﻨﯿﻢ ﺟﻬﺖ ﺛﺒﺖ از ﯾﮏ اﮐﺎﻧﺖ ﻣﻌﻤﻮل اﺳﺘﻔﺎده ﮐﻨﯿﺪ‪.‬‬
‫ﺑﻌﺪ از رﺟﯿﺴﺘﺮ ﮐﺮدن دﺳﺘﮕﺎه ﻗﺴﻤﺖ ‪ License Information‬ﺷﻤﺎ ﺑﺎﯾﺪ ﻫﻤﺎﻧﻨﺪ ﺷﮑﻞ زﯾﺮ ﻧﻤﺎﯾﺶ داده ﺷﻮد‪.‬‬
‫‪ .2‬ﺗﻨﻈﯿﻤﺎت ﺳﺎﻋﺖ دﺳﺘﮕﺎه ‪:‬‬

‫‪System> Dashboard> Status > System Information widget‬‬
‫ﮔﺰﯾﻨﻪ ‪ system time‬را اﻧﺘﺨﺎب ﮐﺮده و ﮔﺰﯾﻨﻪ ‪ change‬را ﺑﺰﻧﯿﺪ‪.‬ﺣﺎل از ﻗﺴﻤﺖ ‪ time zone‬ﻣﻨﻄﻘﻪ ﺧﻮد را‬
‫اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ .‬ﺗﻮﺟﻪ ﻧﻤﺎﯾﯿﺪ ﮐﻪ وارد ﮐﺮدن دﺳﺘﯽ زﻣﺎن ﻧﯿﺮ اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﻗﺎﺑﻠﯿﺖ دﯾﮕﺮ وارد ﮐﺮدن‬
‫‪ NTP server‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪22‬‬
‫‪ -3‬ﻣﺤﺪود ﮐﺮدن دﺳﺘﺮﺳﯽ ادﻣﯿﻦ از دﺳﺘﮕﺎه ﻫﺎي ﻣﺸﺨﺺ ‪:‬‬
‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﮐﻨﯿﺪ‪:‬‬

‫‪System> Admin> Administrator‬‬
‫ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪ Admin‬را ادﯾﺖ ﮐﻨﯿﺪ ‪ .‬ﺗﯿﮏ ﮔﺰﯾﻨﻪ ‪Restrict this Admin Login from Trusted Hosts‬‬
‫‪ Only‬را ﺑﺰﻧﯿﺪ و آدرس ‪ IP‬دﺳﺘﮕﺎه ﻫﺎﯾﯽ ﮐﻪ ﺑﺎ آﻧﻬﺎ ﻣﯽ ﺧﻮاﻫﯿﺪ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ را ﺑﺰﻧﯿﺪ‪.‬‬
‫ﺑﺎ وارد ﮐﺮدن ﺳﺎب ﻧﺖ ‪ /32‬ﺗﻨﻬﺎ ﯾﮏ ﮐﺎﻣﭙﯿﻮﺗﺮ را در ‪ Trusted Host‬ﻗﺮار ﻣﯽ دﻫﯿﺪ‪ .‬اﮔﺮ ﺳﺎب ﻧﺖ را در ﺣﺎﻟﺖ‬
‫‪ /24‬ﻗﺮار دﻫﯿﺪ ﯾﮏ ﺳﺎب ﻧﺖ را ﺑﻪ ﺻﻮرت ﮐﺎﻣﻞ در ﺣﺎﻟﺖ ‪ Trusted Host‬ﻗﺮار ﻣﯽ دﻫﯿﺪ‪.‬‬
‫‪ -4‬ﺗﻐﯿﯿﺮ دادن ﭘﺴﻮرد ﭘﯿﺶ ﻓﺮض ‪: admin‬‬
‫‪23‬‬
‫>‪Admin> Administrator System‬‬
‫ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪ Admin‬را وﯾﺮاﯾﺶ ﮐﻨﯿﺪ‪ .‬ﮔﺰﯾﻨﻪ ‪ Change Password‬را ﺑﺰﻧﯿﺪ‪ .‬ﻓﯿﻠﺪ ‪ Old Password‬را‬
‫ﺧﺎﻟﯽ ﺑﮕﺬارﯾﺪ و در ﻓﯿﻠﺪ ‪ New password‬ﭘﺴﻮرد ﻣﻮرد ﻧﻈﺮ را وارد ﻧﻤﺎﯾﯿﺪ‪ .‬ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ﺑﻌﺪ از اﻧﺠﺎم اﯾﻦ‬
‫ﺗﻐﯿﯿﺮات ‪ signed out‬ﻣﯽ ﺷﻮﯾﺪ و ﺑﺎﯾﺪ از ﭘﺴﻮرد ﺟﺪﯾﺪ ﺟﻬﺖ وارد ﺷﺪن اﺳﺘﻔﺎده ﮐﻨﯿﺪ‪.‬‬
‫‪ -5‬ﻧﺘﺎﯾﺞ ‪:‬‬
‫ﺳﻌﯽ ﮐﻨﯿﺪ ﺑﺎ ﯾﻮزر ‪ admin‬و ﺑﺪون وارد ﮐﺮدن ﭘﺴﻮرد ﻻﮔﯿﻦ ﻧﻤﺎﯾﯿﺪ‪ .‬ﻣﺴﻠﻤﺎ ﺑﺎ ﺟﻤﻠﻪ ﻣﻌﺮوف ‪Access is‬‬
‫‪ denied‬ﻣﻮاﺟﻪ ﺧﻮاﻫﯿﺪ ﺷﺪ‪ .‬ﺣﺎل ﺑﺎ ﭘﺴﻮرد ﻣﺮﺣﻠﻪ ﻗﺒﻠﯽ وارد ﺷﻮﯾﺪ‪.‬‬

‫ﺑﻪ ﻗﺴﻤﺖ ‪ Alert Message Console‬ﺗﻮﺟﻪ ﻧﻤﺎﯾﯿﺪ‪ ،‬ﻧﻤﺎﯾﺎﻧﮕﺮ ﺗﻌﺪاد ﺗﻼش ﻫﺎي ﻧﺎﻣﻮﻓﻖ ﺟﻬﺖ ﻻﮔﯿﻦ ﺑﻪ‬
‫ﺳﯿﺴﺘﻢ ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫اﮔﺮ دﺳﺘﺮﺳﯽ ﻫﺎ ﺑﻪ ﺻﻮرت ‪ trusted host‬ﺗﻌﺮﯾﻒ ﺷﺪه اﺳﺖ‪ ،‬در ﺻﻮرﺗﯽ ﮐﻪ ‪ PC‬در ﻟﯿﺴﺖ ﻧﺒﺎﺷﺪ ﺑﺎ ﭘﯿﻐﺎم‬
‫‪ device that is not trusted will be denied‬ﻣﻮاﺟﻪ ﻣﯽ ﺷﻮﯾﺪ‪.‬‬
‫ﺑﻪ روز رﺳﺎﻧﯽ ﻓﺮﯾﻤﻮر دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ‪:‬‬
‫در اﯾﻦ ﻣﺜﺎل ﻧﺴﺨﻪ ي ﻓﺮﯾﻤﻮر ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﺑﺮرﺳﯽ ﻣﯽ ﺷﻮد و اﮔﺮ ﻧﯿﺎز ﺑﺎﺷﺪ ﺑﻪ آﺧﺮﯾﻦ ﻧﺴﺨﻪ ي ﻣﻮﺟﻮد‬
‫ﺑﺮوز رﺳﺎﻧﯽ ﻣﯽ ﮔﺮدد‪ FortiOS.‬ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﻣﻮرد اﺳﺘﻔﺎده در ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﺑﺎ آﭘﺪﯾﺖ ﮐﺮدن ‪FortiOS‬‬
‫ﺷﻤﺎ ﻣﻄﻤﺌﻦ ﻣﯽ ﺷﻮﯾﺪ ﮐﻪ ﺗﻤﺎم اﺑﺰارﻫﺎ و اﻣﮑﺎﻧﺎت اﻣﻨﯿﺘﯽ ﻣﻮﺟﻮد ﺑﺮ روي دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ آﺧﺮﯾﻦ ﻧﺴﺨﻪ‬
‫ارﺗﻘﺎ ﭘﯿﺪا ﮐﺮده اﻧﺪ‪.‬‬
‫ﻗﺒﻞ از آﭘﺪﯾﺖ ﻓﺮﯾﻤﻮر ﺟﺪﯾﺪ ﺣﺘﻤﺎ ﻧﻮت ﻫﺎي ﻣﺮﺑﻮﻃﻪ را ﻣﻄﺎﻟﻌﻪ ﻧﻤﺎﯾﯿﺪ‪ .‬اﯾﻦ ﻣﺴﺘﻨﺪات را ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺳﺎﯾﺖ‬
‫ﻓﻮرﺗﯽ ﮔﯿﺖ داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ -١‬ﻓﺮﯾﻤﻮر ‪ FortiOS‬دﺳﺘﮕﺎه را ﭼﮏ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ -٢‬آﺧﺮﯾﻦ ﻧﺴﺨﻪ ﻣﺮﺑﻮﻃﻪ ﺑﻪ ‪ FortiOS‬را داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ -٣‬ﻓﺮﯾﻤﻮر ‪ FortiGate‬را ﺑﻪ آﺧﺮﯾﻦ ﻧﺴﺨﻪ آﭘﺪﯾﺖ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ -۴‬ﻧﺘﺎﯾﺞ‬
‫‪24‬‬
‫‪ -1‬ﻓﺮﯾﻤﻮر ﺣﺎل ﺣﺎﺿﺮ دﺳﺘﮕﺎه را ﭼﮏ ﻣﯽ ﻧﻤﺎﯾﯿﻢ‬
‫ﺑﺎ وب ﮐﻨﺴﻮل ﺑﻪ دﺳﺘﮕﺎه ﻻﮔﯿﻦ ﻣﯽ ﮐﻨﯿﻢ و ﺑﻪ ﻣﺴﯿﺮ زﯾﺮ ﻣﯽ روﯾﻢ‪:‬‬

‫ﮔﺰﯾﻨﻪ ‪ System Information‬را ﺑﺮرﺳﯽ ﻣﯽ ﮐﻨﯿﻢ‪ .‬در اﯾﻦ ﻗﺴﻤﺖ ﻣﯽ ﺗﻮاﻧﯿﻢ ﻧﺴﺨﻪ ﮐﻨﻮﻧﯽ ﻓﺮﯾﻢ وﯾﺮ را ﻣﺸﺎﻫﺪه‬
‫ﻧﻤﺎﯾﯿﻢ‪.‬‬
‫‪ -2‬داﻧﻠﻮد آﺧﺮﯾﻦ ﻧﺴﺨﻪ ﻓﺮﯾﻤﻮﯾﺮ ‪FortiOS‬‬
‫ﺟﻬﺖ داﻧﻠﻮد آﺧﺮﯾﻦ ﻧﺴﺨﻪ ﻓﺮﯾﻤﻮﯾﺮ دﺳﺘﮕﺎه ﺑﺎﯾﺪ ﺑﻪ ﺳﺎﯾﺖ ‪ http://support.fortinet.com‬ﻣﺮاﺟﻌﻪ ﻧﻤﻮده و ﺑﺎ‬
‫اﺳﺘﻔﺎده از اﮐﺎﻧﺖ ﻓﻮرﺗﯽ ﻧﺖ ﺧﻮد ﻻﮔﯿﻦ و آﺧﺮﯾﻦ ﻧﺴﺨﻪ را داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫اﯾﻦ ﻧﮑﺘﻪ ﺑﺴﯿﺎر ﺣﺎﺋﺰ اﻫﻤﯿﺖ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﻗﺒﻞ از اﯾﻨﮑﻪ ﺷﻤﺎ ﺑﺘﻮاﻧﯿﺪ اﯾﻤﯿﺞ ﻣﺮﺑﻮﻃﻪ را داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ ﺣﺘﻤﺎ ﺑﺎﯾﺪ‬
‫در ﺳﺎﯾﺖ ﻓﻮرﺗﯽ ﻧﺖ اﮐﺎﻧﺖ داﺷﺘﻪ ﺑﺎﺷﯿﺪ‪.‬‬
‫‪Download> Firmware Image‬‬
‫ﻣﺪل ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد را اﻧﺘﺨﺎب و ﺑﺮ اﺳﺎس ﻓﺮﯾﻤﻮﯾﺮ ﻣﻮﺟﻮد آﻧﺮا داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ -3‬آﭘﺪﯾﺖ ﮐﺮدن ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ آﺧﺮﯾﻦ ﻧﺴﺨﻪ ي ﻣﻮﺟﻮد‬

‫از ﺗﻨﻈﯿﻤﺎت ﺧﻮد ﺑﮑﺎپ ﺗﻬﯿﻪ ﻧﻤﺎﯾﯿﺪ‪ .‬اﯾﻦ ﮐﺎر را ﻣﯽ ﺗﻮاﻧﯿﺪ از ﻣﺴﯿﺮ زﯾﺮ ﻣﯿﺴﺮ ﺳﺎزﯾﺪ ‪:‬‬
‫‪System Information widget > System Configuration‬‬
‫‪25‬‬
‫اﯾﻦ ﻧﮑﺘﻪ را ﻫﻤﯿﺸﻪ در ذﻫﻦ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﻗﺒﻞ از اﻧﺠﺎم ﻫﺮ ﺗﻐﯿﯿﺮي ﻣﺨﺼﻮﺻﺎ آﭘﯿﺪت ﻓﺮﯾﻤﻮﯾﺮ ﺣﺘﻤﺎ از دﺳﺘﮕﺎه‬
‫‪ Backup‬ﺗﻬﯿﻪ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺑﻌﺪ از ﺗﻬﯿﻪ ‪ backup‬ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ ﺧﯿﺎﻟﯽ آﺳﻮده ﻧﺴﺨﻪ ﻓﺮﯾﻤﻮر ﺧﻮد را از ﻣﺴﯿﺮ زﯾﺮ آﭘﺪﯾﺖ ﻧﻤﺎﯾﺪ ‪:‬‬
‫‪System Information > Firmware Version> Update‬‬
‫ﺑﻌﺪ از ﮐﻠﯿﮏ ﺑﺮ روي ‪ update‬ﺑﺎﯾﺪ اﯾﻤﯿﺞ داﻧﻠﻮد ﺷﺪه در ﻣﺮاﺣﻞ ﻗﺒﻞ را ﻣﻌﺮﻓﯽ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫وﻗﺘﯽ ﻓﺎﯾﻞ اﯾﻤﯿﺞ ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ آﭘﻠﻮد ﺷﺪ دﺳﺘﮕﺎه رﯾﺴﺘﺎرت ﺷﺪه و ﺻﻔﺤﻪ ﻻﮔﯿﻦ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻇﺎﻫﺮ ﻣﯽ‬
‫ﺷﻮد‪ .‬اﯾﻦ ﭘﺮوﺳﻪ ﻣﻤﮑﻦ اﺳﺖ ﭼﻨﺪ دﻗﯿﻘﻪ ﻃﻮل ﮐﺸﺪ‪.‬‬
‫راه اﻧﺪازي ﺳﺮوﯾﺲ ﻓﻮرﺗﯽ ﮔﺎرد ‪FortiGuard‬‬
‫اﮔﺮ ﺳﺮوﯾﺲ ﻓﻮرﺗﯽ ﮔﺎرد را ﺧﺮﯾﺪاري ﮐﺮده اﯾﺪ و اﯾﻦ ﺳﺮوﯾﺲ را ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮدﺗﺎن ﻓﻌﺎل ﻧﻤﻮده اﯾﺪ‪،‬‬
‫ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺻﻮرت ﮐﺎﻣﻼ ﺧﻮدﮐﺎر ﺑﻪ ﻓﻮرﺗﯽ ﮔﺎرد ﻣﺘﺼﻞ ﻣﯽ ﺷﻮد و اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ﻻﯾﺴﻨﺲ ﺷﻤﺎ و‬
‫ﺳﺮوﯾﺲ ﻫﺎي ﻓﻮرﺗﯽ ﮔﺎرد را ﻧﻤﺎﯾﺶ ﻣﯽ دﻫﺪ‪ .‬در اﯾﻦ ﻣﺜﺎل ﺑﺮرﺳﯽ ﺧﻮاﻫﯿﻢ ﮐﺮد ﮐﻪ آﯾﺎ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ارﺗﺒﺎط ﻻزم را ﺑﺎ ﺷﺒﮑﻪ ﻓﻮرﺗﯽ ﮔﺎرد دارد؟‬
‫‪ -1‬ﺑﺮرﺳﯽ ارﺗﺒﺎﻃﺎت‬
‫‪ -2‬رﻓﻊ ﻣﺸﮑﻞ اﯾﺮادات ارﺗﺒﺎﻃﺎﺗﯽ‬
‫‪26‬‬
‫‪ .1‬ﺑﺮرﺳﯽ ارﺗﺒﺎط‬

‫‪System> Dashboard> Status > license Information widget‬‬
‫ﺗﻤﺎم ﺳﺮوﯾﺲ ﻫﺎ ﺑﺎﯾﺪ داراي ﺗﯿﮏ ﺳﺒﺰ رﻧﮓ ﺑﺎﺷﻨﺪ‪ .‬اﯾﻦ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ارﺗﺒﺎﻃﺎت ﺑﺎ ﻣﻮﻓﻘﯿﺖ ﺑﺮﻗﺮار ﺷﺪه اﺳﺖ‪.‬‬
‫اﮔﺮ ﻋﻼﻣﺖ ﺧﺎﮐﺴﺘﺮي ﺿﺮﺑﺪر وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻧﻤﯽ ﺗﻮاﻧﺪ ارﺗﺒﺎط‬
‫درﺳﺘﯽ ﺑﺎ ﺷﺒﮑﻪ ﻓﻮرﺗﯽ ﮔﺎرد ﺑﺮﻗﺮار ﻧﻤﺎﯾﺪ‪ .‬اﻟﺒﺘﻪ ﺑﺎﯾﺪ ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﻢ اﯾﻦ ﻋﻼﻣﺖ در ﺻﻮرت ﻋﺪم ﺛﺒﺖ دﺳﺘﮕﺎه‬
‫ﻫﻢ ﻧﻤﺎﯾﺶ داده ﻣﯽ ﺷﻮد‪ .‬اﮔﺮ داﯾﺮه اي ﺑﺎ رﻧﮓ ﻧﺎرﻧﺠﯽ و ﺿﺮﺑﺪر ﻣﺸﺨﺺ ﺷﺪه ﺑﺎﺷﺪ ﻧﺸﺎن دﻫﻨﺪه آن اﺳﺖ ﮐﻪ‬
‫دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ارﺗﺒﺎط را ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد ﺑﺮﻗﺮار ﻧﻤﻮده اﺳﺖ اﻣﺎ ﻻﯾﺴﻨﺲ ﻣﻨﻘﻀﯽ ﺷﺪه و ﯾﺎ دﺳﺘﮕﺎه اﮐﺘﯿﻮ‬
‫ﻧﺸﺪه اﺳﺖ‪.‬‬
‫ﻣﯽ ﺗﻮاﻧﯿﻢ وﺿﻌﯿﺖ ارﺗﺒﺎﻃﯽ ﻓﻮرﺗﯽ ﮔﺎرد را از ﻣﺴﯿﺮ زﯾﺮ ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﻢ ‪:‬‬
‫‪System> Config> FortiGuard‬‬
‫‪27‬‬
‫‪ .2‬رﻓﻊ اﯾﺮاد ارﺗﺒﺎﻃﺖ ‪:‬‬

‫‪System> Network> DNS‬‬
‫ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ primary‬و ‪ Secondary‬ﺳﺮور ‪ DNS‬درﺳﺖ ﮐﺎر ﻣﯽ ﮐﻨﻨﺪ‪.‬‬
‫‪28‬‬
‫اﮔﺮ ﺗﺴﺖ ﺷﻤﺎ ﻧﺸﺎن داد ﮐﻪ ‪ DNS‬ﺳﺮور درﺳﺖ اﺳﺖ ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﮐﻨﯿﺪ ‪:‬‬
‫در ﻣﺤﯿﻂ ‪ CLI‬دﺳﺘﻮرات زﯾﺮ را وارد ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫‪execute‬‬ ‫‪ping‬‬ ‫‪guard.fortinet.net‬‬
‫اﮔﺮ ارﺗﺒﺎط ﺷﻤﺎ ﺑﺮﻗﺮار ﺑﺎﺷﺪ‪ CLI ،‬ﮐﻨﺴﻮل ﺑﺎﯾﺪ ﭼﯿﺰي ﺷﺒﯿﻪ ﺑﻪ ﻋﮑﺲ زﯾﺮ را ﺑﻪ ﺷﻤﺎ ﻧﻤﺎﯾﺶ دﻫﺪ‪:‬‬
‫اﮔﺮ ﺳﺮوﯾﺲ ﻓﻮرﺗﯽ ﮔﺎرد در دﺳﺘﺮس ﺑﻮد ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫‪Config> FortiGuard> Web filtering and Email Filtering‬‬
‫ﮔﺰﯾﻨﻪ ‪ Test Availability‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ .‬اﯾﻦ ﮔﺰﯾﻨﻪ ﺑﻪ ﺷﻤﺎ ﻧﻤﺎﯾﺶ ﺧﻮاﻫﺪ داد ﮐﻪ ﮐﺪام ﭘﻮرت ﻫﺎ ﺑﺎز ﻫﺴﺘﻨﺪ‪.‬‬
‫اﮔﺮ ﭘﻮرت ﭘﯿﺶ ﻓﺮض ﻓﻮرﺗﯽ ﮔﯿﺖ ‪ 53‬ﺑﺎﺷﺪ ﻧﺒﺎﯾﺪ آﻧﺒﻼك ﺑﺎﺷﺪ ‪ .‬ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫در ﻗﺴﻤﺖ ‪ Web Filtering and Email Filtering Option‬ﮔﺰﯾﻨﻪ ي ‪ Use Alternate Port 8888‬را اﻧﺘﺨﺎب‬
‫ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ .3‬ﻧﺘﺎﯾﺞ‬
‫در ﻣﺴﯿﺮ ‪:‬‬

‫‪System> Dashboard> Status > License Information Widget‬‬
‫ﺑﻪ ازاء ﻫﺮ ﺳﺮوﯾﺴﯽ ﮐﻪ ﻋﻀﻮ آن ﻫﺴﺘﯿﺪ ﺑﺎﯾﺪ ﺑﺎ ﺗﯿﮏ ﺳﺒﺰ رﻧﮓ ﻧﻤﺎﯾﺎن ﺷﻮد‪ .‬اﯾﻦ ﻧﻤﺎد ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ارﺗﺒﺎط‬
‫ﺑﺮﻗﺮار ﺑﻮده و ﻻﯾﺴﻨﺲ ﻣﻮرد ﺗﺎﯾﯿﺪ ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫در ﻣﺴﯿﺮ ‪:‬‬

‫‪29‬‬
‫ﺗﻤﺎم اﻣﮑﺎﻧﺎت و ﺳﺮوﯾﺲ ﻫﺎ ﺑﺎﯾﺪ ﺑﺎ ﺗﯿﮏ ﺳﺒﺰ رﻧﮓ ﻧﻤﺎﯾﺶ داده ﺷﺪه ﺑﺎﺷﻨﺪ‪ .‬اﯾﻦ ﻧﻤﺎد ﻧﺸﺎن دﻫﻨﺪه ي آن اﺳﺖ‬
‫ﮐﻪ ارﺗﺒﺎﻃﺎت ﺑﻪ ﺻﻮرت ﮐﺎﻣﻼ ﺻﺤﯿﺢ و ﺑﺪون ﻣﺸﮑﻞ ﺑﺮﻗﺮار ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫ﮐﻤﮏ ﻫﺎي وﯾﮋه‪ :‬ﻓﻮرﺗﯽ ﮔﺎرد‬
‫اﯾﻦ ﻗﺴﻤﺖ ﺣﺎوي ﻧﮑﺎﺗﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻪ ﺷﻤﺎ ﮐﻤﮏ ﻣﯽ ﮐﻨﺪ ﺗﺎ در ﭼﺎﻟﺶ ﻫﺎﯾﯽ ﮐﻪ ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد ﺧﻮاﻫﯿﺪ داﺷﺖ‬
‫ﻣﻮﻓﻖ ﺷﻮﯾﺪ‪.‬‬
‫ﺳﺮوﯾﺲ ﻫﺎي ﻓﻮرﺗﯽ ﮔﺎرد ‪ expired‬و ﯾﺎ ‪ unreachable‬ﻣﯽ ﺷﻮد‪:‬‬
‫اول از ﻫﻤﻪ ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ آﯾﺎ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ رﺟﯿﺴﺘﺮ ﺷﺪه اﺳﺖ؟ ﺳﺮوﯾﺲ ﻫﺎي ﻓﻮرﺗﯽ ﮔﺎرد ﺧﺮﯾﺪاري‬
‫ﺷﺪه اﻧﺪ؟ و آﯾﺎ اﯾﻦ ﺳﺮوﯾﺲ ﻫﺎ ‪ Expire‬ﻧﺸﺪه اﻧﺪ ؟!‬
‫ﺳﺮوﯾﺲ ﻫﺎ ﻓﻌﺎل ﻫﺴﺘﻨﺪ اﻣﺎ ﻫﻤﭽﻨﺎن ﺑﺎ ﭘﯿﻐﺎم ‪ Expired/Unreachable‬ﻣﻮاﺟﻪ ﻣﯿﺸﻮﯾﻢ‪:‬‬
‫ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ اﺳﺖ ؟ آﯾﺎ دﺳﺘﮕﺎه اﯾﻨﺘﺮﻧﺖ دارد ؟! ﺑﺮاي اﯾﻨﮑﺎر ﮐﺎﻓﯽ‬
‫اﺳﺖ در ﻣﺤﯿﻂ ‪ CLI‬دﺳﺘﻮر زﯾﺮ را ﺗﺎﯾﭗ ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫‪Execute ping 8.8.8.8‬‬
‫دﺳﺘﻮر زﯾﺮ ﻫﻢ ﻣﯽ ﺗﻮاﻧﺪ در رﻓﻊ ﻋﯿﺐ ﺑﻪ ﺷﻤﺎ ﮐﻤﮏ ﻧﻤﺎﯾﺪ ‪:‬‬

‫‪Execute traceroute 8.8.8.8‬‬
‫ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ اﺳﺖ اﻣﺎ ﻧﻤﯽ ﺗﻮاﻧﺪ ارﺗﺒﺎﻃﯽ ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد ﺑﺮﻗﺮار ﻧﻤﺎﯾﺪ‪:‬‬
‫ﺑﺮرﺳﯽ ﮐﻨﯿﺪ ﮐﻪ ﺗﻨﻈﯿﻤﺎت ﻣﺮﺗﺒﻂ ﺑﺎ ‪ DNS‬درﺳﺖ ﺑﺎﺷﺪ ﻫﻤﭽﻨﯿﻦ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﯾﮏ ‪ Unblocked‬ﭘﻮرت‬
‫ﺑﺮاي ﺗﺮاﻓﯿﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ‪.‬‬
‫اﮔﺮ اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ اﺳﺖ و از ‪ DHCP‬آي ﭘﯽ ﮔﺮﻓﺘﻪ اﺳﺖ ﺑﻪ ﻣﺴﯿﺮ زﯾﺮ ﺑﺮوﯾﺪ‪:‬‬
‫و دﺳﺖ ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻧﺖ ) اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ اﯾﻨﺘﺮﻧﺖ دارد ( را وﯾﺮاﯾﺶ ﻧﻤﺎﯾﯿﺪ‪ .‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﮔﺰﯾﻨﻪ‬
‫‪ Override internal DNS‬اﻧﺘﺨﺎب ﺷﺪه اﺳﺖ‪.‬‬
‫ﺧﻄﺎﻫﺎي ارﺗﺒﺎﻃﯽ ﺑﺎﻗﯽ ﻣﺎﻧﺪه اﺳﺖ !‬
‫دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺎ ﺷﺒﮑﻪ ﻓﻮرﺗﯽ ﮔﺎرد ﺑﻪ وﺳﯿﻠﻪ ارﺳﺎل ﭘﮑﺖ ﻫﺎي ‪ UDP‬ﺑﺎ ﺳﻮرس ﭘﻮرت ﻫﺎي ‪ 1027‬ﯾﺎ‬
‫‪ 1031‬ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﯽ ﻧﻤﺎﯾﺪ و ﭘﻮرت ﻫﺎي ﻣﻘﺼﺪ ‪ 53‬ﯾﺎ ‪ 8888‬ﻣﯽ ﺑﺎﺷﻨﺪ‪ .‬ﺑﺴﺘﻪ ﻫﺎي ﺑﺎزﮔﺸﺘﯽ داراي ﭘﻮرت‬
‫ﻫﺎي ‪ 1027‬ﯾﺎ ‪ 1031‬ﻣﯽ ﺑﺎﺷﻨﺪ‪ .‬اﮔﺮ ‪ ISP‬ﺷﻤﺎ ﭘﮑﺖ ﻫﺎي ‪ UDP‬را در اﯾﻦ رﻧﺞ ﭘﻮرت ﺑﺴﺘﻪ ﺑﺎﺷﺪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ‬
‫ﮔﯿﺖ ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﺪرﺳﺘﯽ ﺑﺎ ﻓﻮرﺗﯽ ﮔﺎرد ارﺗﺒﺎط ﺑﺮﻗﺮار ﻧﻤﺎﯾﺪ‪.‬‬
‫‪30‬‬
‫ﺟﻬﺖ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﭘﻮرت ﺑﻼﮐﯿﻨﮓ ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ در دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد از ﭘﻮرت ﻧﺎﻣﺒﺮﻫﺎي ﺑﺎﻻ اﺳﺘﻔﺎده‬
‫ﻧﻤﺎﯾﯿﺪ ﻣﺜﻞ ‪ 2048‬ﯾﺎ ‪ 20000‬و ‪ ....‬ﺑﺮاي اﺳﺘﻔﺎده از اﯾﻦ روش دﺳﺘﻮرات زﯾﺮ را در ﻣﺤﯿﻂ ‪ CLI‬وارد ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫‪Config system global‬‬
‫‪Set ip-scr-port-range 2048-20000‬‬
‫‪End‬‬
‫اﮔﺮ ﻣﺸﮑﻼت ﺣﻞ ﻧﺸﺪ ﺑﺎ ‪ ISP‬ﺧﻮد ﻫﻤﺎﻫﻨﮓ ﮐﺮده و رﻧﺞ ﭘﻮرﺗﯽ ﮐﻪ ﺑﻼك ﻧﻤﯽ ﺑﺎﺷﺪ را در ﻓﻮرﺗﯽ ﮔﯿﺖ اﺿﺎﻓﻪ‬
‫ﺟﻤﻊ آوري اﻃﻼﻋﺎت از وﺿﻌﯿﺖ ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ ‪:‬‬
‫اﯾﻦ ﻣﺜﺎل ﺑﻪ ﺷﻤﺎ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ﭼﮕﻮﻧﻪ ﻗﺎﺑﻠﯿﺖ ﮐﭙﭽﺮ ﮐﺮدن ﺗﺮاﻓﯿﮏ ﭘﺮوﺳﺲ ﺷﺪه روي دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫را ﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ‪ .‬ﮐﭙﭽﺮ ﮐﺮدن ﻻگ ﻫﺎ ﺷﺮاﯾﻄﯽ را ﺑﺮاي ﺷﻤﺎ ﻓﺮاﻫﻢ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﺘﻮاﻧﯿﺪ در ﻣﻮرد ﺷﺒﮑﻪ ﺧﻮد ﯾﮏ‬
‫دﯾﺪ ﻣﻨﺎﺳﺒﯽ ﺑﺪﺳﺖ ﺑﯿﺎورﯾﺪ‪.‬‬
‫‪ -1‬رﮐﻮرد ﮐﺮدن ﻻگ ﻫﺎ و ﻓﻌﺎل ﺳﺎزي ‪ event‬ﻻگ ﻫﺎ‬
‫‪ -2‬ﻓﻌﺎل ﺳﺎزي ﻻگ ﻫﺎ در ‪Security policies‬‬
‫رﮐﻮرد ﮐﺮدن ﻻگ ﻫﺎ و ﻓﻌﺎل ﺳﺎزي ‪ Event log‬ﻫﺎ‬

‫‪31‬‬
‫‪Log & Report> Log Config> Log Settings‬‬
‫ﺟﺎﯾﯽ ﮐﻪ ﻗﺮار اﺳﺖ ﻻگ ﻫﺎ رﮐﻮرد ﺷﻮد را اﻧﺘﺨﺎب ﮐﻨﯿﺪ‪ .‬ﺷﻤﺎ در ﺻﻮرﺗﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ﻻگ ﻫﺎ را ﺑﺮ روي دﯾﺴﮏ‬
‫ذﺧﯿﺮه ﻧﻤﺎﯾﯿﺪ ﮐﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﻗﺎﺑﻠﯿﺖ ارﺳﺎل ﻻگ ﻫﺎ را ﺳﻤﺖ ﯾﮏ ﻓﻮرﺗﯽ آﻧﺎﻟﯿﺰر ﯾﺎ ﻓﻮرﺗﯽ ﻣﻨﯿﺠﺮ‬
‫داﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻫﺮ ﮐﺪام از اﯾﻦ اﻧﺘﺨﺎب ﻫﺎ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ﻣﯽ دﻫﺪ ﺗﺎ ﻻگ ﻫﺎ ﺛﺒﺖ و ﺑﺎزﺑﯿﻨﯽ ﺷﻮد ﻫﻤﭽﻨﯿﻦ ﺑﺮ اﺳﺎس‬
‫ﻻگ ﺛﺒﺖ ﺷﺪه ﯾﮏ رﯾﭙﻮرت اﯾﺠﺎد ﻧﻤﺎﯾﺪ‪.‬‬
‫در ﺑﯿﺸﺘﺮ ﻣﻮارد‪ ،‬ﺑﻪ ﺷﻤﺎ ﺗﻮﺻﯿﻪ ﻣﯽ ﺷﻮد ﺗﺎ ﮔﺰﯾﻨﻪ ‪ Send Logs to FortiCloud‬را ﻫﻤﺎﻧﻨﺪ ﺷﮑﻞ زﯾﺮ‬
‫اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در ﻣﺮﺣﻠﻪ ﺑﻌﺪي‪ ،‬ﮔﺰﯾﻨﻪ ‪ Event Logging‬را ﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ اﻧﺘﺨﺎب ﮔﺰﯾﻨﻪ ‪ Enable all‬ﻫﻤﻪ ﻧﻮع ﻻگ را ﺛﺒﺖ ﻧﻤﺎﯾﯿﺪ‪ ،‬ﯾﺎ اﻧﻮاع ﻣﺸﺨﺼﯽ از ﻻگ ﻫﺎ ‪ ،‬ﻫﻤﺎﻧﻨﺪ‬
‫‪ ،WiFi activity events‬اﯾﻦ ﻣﻮرد ﺑﻪ ﻧﻮع ﻧﻈﺮ ﺷﻤﺎ ﺑﺴﺘﮕﯽ دارد‪.‬‬
‫در ﻗﺴﻤﺖ ‪ GUI Preferences‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﮔﺰﯾﻨﻪ ‪ Display Logs From‬اﺷﺎره ﺑﻪ ﻣﻘﺼﺪي ﻣﯿﮑﻨﺪ ﮐﻪ‬
‫ﻻگ ﻫﺎ در آﻧﺠﺎ ﺛﺒﺖ ﻣﯽ ﺷﻮد‪.‬ﻣﺜﻼ در ‪.FortiCloud‬‬
‫‪32‬‬
‫‪ .2‬ﻓﻌﺎل ﺳﺎزي ﻻگ ﮔﯿﺮي در ‪:security policies‬‬
‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪IPv4 Policy> Policy & Objects>:‬‬
‫ﺗﺮاﻓﯿﮏ ‪ policy‬ﮐﻪ درﻧﻈﺮ دارﯾﺪ ﺗﺎ ﺑﺎ ﻻگ ﮐﻨﺘﺮل ﻧﻤﺎﯾﯿﺪ ﻣﺸﺨﺺ ﮐﻨﯿﺪ‪.‬‬
‫در ﻗﺴﻤﺖ ‪ ،Logging Options‬ﻣﯽ ﺗﻮاﻧﯿﺪ ﯾﮑﯽ از ﮔﺰﯾﻨﻪ ﻫﺎي ‪ Security Events‬و ﯾﺎ ‪ All Sessions‬را‬
‫اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در ﺑﯿﺸﺘﺮ ﻣﻮارد‪ ،‬ﺷﻤﺎ ﺑﺎﯾﺪ ﮔﺰﯾﻨﻪ ‪Security Events‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ .‬ﮔﺰﯾﻨﻪ ‪ All Sessions‬ﺟﺰﺋﯿﺎت ﮐﺎﻣﻠﯽ‬
‫از ﺗﺮاﻓﯿﮏ را ﺛﺒﺖ ﻣﯽ ﻧﻤﺎﯾﺪ ﮐﻪ اﯾﻦ ﺣﺎﻟﺖ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﻣﻨﺎﺑﻊ و ﻓﻀﺎي ذﺧﯿﺮه ﺳﺎزي ﺑﯿﺸﺘﺮي از ﺳﯿﺴﺘﻢ ﮔﺮﻓﺘﻪ‬
‫ﺷﻮد‪.‬‬
‫ﺟﻬﺖ ﻧﻤﺎﯾﺶ ﺗﺮاﻓﯿﮏ ﻻگ ﻫﺎ ﮐﺎﻓﯽ اﺳﺖ ﺑﻪ ﻣﺴﯿﺮ زﯾﺮ ﺑﺮوﯾﺪ‪:‬‬
‫‪Log & Report> Traffic Log> Forward Traffic Report> Traffic Log> Forward Traffic‬‬
‫ﻻگ ﻫﺎ اﻃﻼﻋﺎت ﻣﺨﺘﻠﻔﯽ از ﺗﺮاﻓﯿﮏ را ﻧﻤﺎﯾﺶ ﻣﯽ دﻫﻨﺪ‪ ،‬اﯾﻦ ﻻگ ﻫﺎ ﺷﺎﻣﻞ ﻣﻮارد ﭼﻮن ﺗﺎرﯾﺦ‪/‬زﻣﺎن‪ ،‬ﻣﺒﺪا‪،‬‬
‫دﯾﻮاﯾﺲ و ﻣﻘﺼﺪ ﻣﯽ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺟﻬﺖ ﺗﻐﯿﯿﺮ ﻧﻮع ﻧﻤﺎﯾﺶ اﻃﻼﻋﺎت ﻣﯽ ﺗﻮاﻧﯿﺪ روي ﯾﮑﯽ از ﺳﺘﻮن ﻫﺎ ﮐﻠﯿﮏ راﺳﺖ ﮐﺮده و ﮔﺰﯾﻨﻪ ‪Column‬‬
‫‪ Settings‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ ﺗﺎ ﺑﺘﻮاﻧﯿﺪ ﺑﻌﻀﯽ ازﺳﺘﻮن ﻫﺎ را ﻓﻌﺎل و ﯾﺎ ﺑﻌﻀﯽ دﯾﮕﺮ را ﻏﯿﺮﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪33‬‬
‫ﺳﺎﺧﺘﻦ ﯾﮏ ‪ Security Policies‬ﺟﻬﺖ اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﻪ ﺷﺒﮑﻪ ‪:‬‬
‫اﯾﻦ ﻣﺜﺎل ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ﭼﻄﻮر ﯾﮏ ‪ Security Policy‬ﺳﺎﺧﺘﻪ و در ‪ Policy table‬اﺟﺮا ﺷﻮد‪ .‬اﯾﻦ ‪Policy‬‬
‫ﻫﺎ ﺟﻬﺖ اﻋﻤﺎل ﺳﯿﺎﺳﺖ ﻫﺎي ﻣﺨﺘﻠﻒ در ﺷﺒﮑﻪ ﻧﻮﺷﺘﻪ و اﺟﺮا ﻣﯽ ﺷﻮد‪.‬‬
‫در اﯾﻦ ﻣﺜﺎل‪ ،‬ﺳﻪ ﭘﺎﻟﺴﯽ ‪ IPv4‬ﮐﺎﻧﻔﯿﮓ ﺧﻮاﻫﺪ ﺷﺪ‪ Policy A .‬ﯾﮏ ﭘﺎﻟﺴﯽ ﮐﻠﯽ ﺧﻮاﻫﺪ ﺑﻮد ﮐﻪ ﺑﻪ ﺷﺒﮑﻪ ‪LAN‬‬
‫اﺟﺎزه دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ را ﻣﯽ دﻫﺪ‪ Policy B .‬اﺟﺎزه دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ را ﻣﯽ دﻫﺪ ﻫﻤﺮاه ﺑﺎ اﻋﻤﺎل ‪web‬‬
‫‪ filtering‬ﺑﺮاي ﯾﮏ ﺳﺮي از ﻣﻮﺑﺎﯾﻞ دﯾﻮاﯾﺲ ﻫﺎﯾﯽ ﮐﻪ از ﻃﺮﯾﻖ ‪ LAN‬ﺑﻪ ﺷﺒﮑﻪ ﻣﺎ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ‪ Policy C.‬ﺑﻪ‬
‫ﺳﯿﺴﺘﻢ ادﻣﯿﻦ اﺟﺎزه ﺧﻮاﻫﺪ داد ﮐﻪ ﻓﻮل اﮐﺴﺲ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﺪ‪).‬ﻧﺎم ﺳﯿﺴﺘﻢ ادﻣﯿﻦ ‪ SysAdmin‬ﻣﯽ‬
‫ﺑﺎﺷﺪ(‬
‫ﭘﺎﻟﺴﯽ ﭼﻬﺎرم‪ ،‬ﭘﺎﻟﺴﯽ ‪ default‬ﯾﻌﻨﯽ "‪ "deny‬ﭘﺎﻟﺴﯽ ﻣﯽ ﺑﺎﺷﺪ‪ .‬اﯾﻦ ﭘﺎﻟﺴﯽ ﻫﻢ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﺧﻮاﻫﺪ‬
‫ﮔﺮﻓﺖ‪.‬‬
‫در اﯾﻦ ﻣﺜﺎل‪ ،‬ﯾﮏ واﯾﺮﻟﺲ ﻧﺘﻮرك ﻫﻢ ﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ ﮐﻪ در ﯾﮏ ‪ Subnet‬ﻣﺸﺘﺮك ﻫﻤﺎﻧﻨﺪ ﯾﮏ ﺷﺒﮑﻪ ﮐﺎﺑﻠﯽ‬
‫در ‪ LAN‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ -1‬ﺗﻨﻈﯿﻤﺎت ‪ Policy A‬ﺗﺎ ﺑﻪ ﺻﻮرت ﻋﻤﻮﻣﯽ دﺳﺘﺮﺳﯽ وب داده ﺷﻮد‪.‬‬
‫‪ -2‬ﺳﺎﺧﺘﻦ ‪ Policy B‬ﺗﺎ ﺑﻪ ﻣﻮﺑﺎﯾﻞ ﻫﺎ اﺟﺎزه دﺳﺘﺮﺳﯽ داده ﺷﻮد‪.‬‬
‫‪ -3‬ﺗﻌﺮﯾﻒ ‪SysadminPC‬‬
‫‪ -4‬ﺳﺎﺧﺘﻦ ‪ Policy C‬ﺑﺮاي اﯾﺠﺎد اﺟﺎزه دﺳﺘﺮﺳﯽ ﺑﻪ ‪SysadminPC‬‬
‫‪ -5‬ﺗﺮﺗﯿﺐ ‪Policy Table‬‬
‫‪34‬‬
‫‪ .1‬ﺗﻨﻈﯿﻤﺎت ‪ Policy A‬ﺑﺮاي دﺳﺘﺮﺳﯽ ﮐﻠﯽ ﺑﻪ وب ‪:‬‬
‫ﺑﺮ اﺳﺎس ﺗﻤﺮﯾﻨﺎت ﻗﺒﻠﯽ ﭘﺎﻟﯿﺴﯽ اﯾﺠﺎد ﻧﻤﺎﯾﯿﺪ ﮐﻪ دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ و ﺳﺮوﯾﺲ ‪ Http‬ﺑﺎز ﺷﻮد‪ .‬در اﯾﻦ‬
‫ﭘﺎﻟﺴﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺳﺮوﯾﺲ ﻫﺎي ‪ Http‬و ‪ Https‬و‪ DNS‬را ﺑﺎز ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﺣﺎﻟﺖ ‪ NAT‬را ‪ Enable‬ﻧﻤﻮده اﯾﺪ‪.‬‬
‫ﭘﺎﯾﯿﻦ ﺻﻔﺤﻪ و در ﻗﺴﻤﺖ ‪ .Logging Options‬ﮔﺰﯾﻨﻪ ‪ Log Allowed Traffic‬را ‪ ON‬ﮐﺮده و ‪All‬‬
‫‪ Sessions‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ .2‬ﺳﺎﺧﺖ ‪ Policy B‬و دﺳﺘﺮﺳﯽ دادن ﺑﻪ دﯾﻮاﯾﺲ ﻫﺎي ﻣﻮﺑﺎﯾﻞ‬
‫ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﻣﻄﺎﺑﻖ ﺑﺎ ﺗﻨﻈﯿﻤﺎت زﯾﺮ ﺟﻬﺖ اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﺮاي ﮐﺎرﺑﺮان ﻣﻮﺑﺎﯾﻠﯽ درﺳﺖ ﻣﯿﮑﻨﯿﻢ ‪.‬‬
‫‪Incoming Interface = LAN‬‬

‫‪Source Address= All‬‬
‫‪Source Device Type= Mobile Devices‬‬
‫)دﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ دﺳﺘﮕﺎه( ‪Outgoing Interface= WAN‬‬
‫‪Service= Http,Https,DNS‬‬
‫‪Enable NAT‬‬
‫در ﻗﺴﻤﺖ ‪ Security Profile‬ﮔﺰﯾﻨﻪ ‪Web Filter‬‬

‫را روﺷﻦ ﮐﺮده و از ﭘﺮوﻓﺎﯾﻞ ‪ Default‬اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﻪ ﻗﺎﺑﻠﯿﺖ ﻫﺎي ‪Proxy‬‬
‫‪ Options‬و ‪ SSL Inspection‬ﻓﻌﺎل ﮔﺮدد‪ .‬اﺳﺘﻔﺎده‬
‫‪35‬‬
‫از ﭘﺮوﻓﺎﯾﻞ ‪ default‬ﺑﺮاي ‪ proxy options‬و ‪ SSL inspection‬اﺟﺎزه ﻣﯽ دﻫﺪ ﺗﺎ ﺗﺮاﻓﯿﮏ ‪ HTTPS‬ﺗﻮﺳﻂ‬
‫دﺳﺘﮕﺎه ﻣﻮرد ﺑﺎزﺑﯿﻨﯽ ﻗﺮار ﮔﯿﺮد‪.‬‬
‫ﻧﮑﺘﻪ‪ :‬اﺳﺘﻔﺎده از ﻗﺎﺑﻠﯿﺖ ﮔﺮوه دﺳﺘﮕﺎه ﻫﺎ )‪ (Device Groups‬ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﻤﺎم دﯾﻮاﯾﺲ ﻫﺎي روي اﯾﻨﺘﺮﻓﯿﺲ‬
‫‪ LAN‬ﺑﻪ ﺻﻮرت اﺗﻮﻣﺎﺗﯿﮏ ﺷﻨﺎﺧﺘﻪ ﺷﻮﻧﺪ‪.‬‬
‫ﻣﺜﻞ ﺑﻘﯿﻪ ﺗﻨﻈﯿﻤﺎت در ‪ Logging Options‬ﻗﺎﺑﻠﯿﺖ ‪ Log Allowed Traffic‬را روﺷﻦ ﮐﺮده و ﮔﺰﯾﻨﻪ ‪All‬‬
‫‪ Sessions‬را اﻧﺘﺨﺎب ﻣﯿﮑﻨﯿﻢ‪.‬‬
‫‪ .3‬ﺗﻌﺮﯾﻒ ﮐﺮدن ‪SysadminPC‬‬

‫‪User & Device> Device Definitaions‬‬
‫ﺣﺎل ﻣﯽ ﺗﻮاﻧﯿﻢ ﯾﮏ ‪ PC‬از ﺳﯿﺴﺘﻢ ﻫﺎي ادﻣﯿﻦ ﻫﺎ در اﯾﻦ ﻗﺴﻤﺖ اﺿﺎﻓﻪ ﻧﻤﺎﯾﯿﻢ ‪.‬‬
‫ﮔﺰﯾﻨﻪ ‪ Alias‬را اﻧﺘﺨﺎب ﮐﺮده و ﺳﭙﺲ ‪ MAC Address‬را وارد ﻧﻤﺎﯾﯿﺪ و در اﻧﺘﻬﺎ ﻧﻮع دﺳﺘﮕﺎه ﺧﻮد را در ﻓﯿﻠﺪ‬
‫‪ Device Type‬ﻣﺸﺨﺺ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ .4‬ﺗﻨﻈﯿﻤﺎت ‪ Policy C‬ﺟﻬﺖ اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﺮاي ‪SysAdminPC‬ﻫﺎ ‪:‬‬

‫ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﺑﺎ ﺷﺮاﯾﻂ زﯾﺮ ﺑﺴﺎزﯾﺪ‪:‬‬
‫‪Incoming Interface= LAN‬‬

‫‪Source Device Type= SysAdminPC‬‬
‫‪Outgoing Interface= WAN‬‬
‫‪Service=All‬‬
‫‪36‬‬
‫‪ .5‬ﺗﺮﺗﯿﺐ ﻗﺮارﮔﯿﺮي ﭘﺎﻟﺴﯽ ﻫﺎ‬

‫ﺣﺎل ﻣﯽ ﺗﻮاﻧﯿﺪ وﺿﻌﯿﺖ ﺟﺪول ﭘﺎﻟﺴﯽ را ﻣﺸﺎﻫﺪه ﮐﻨﯿﺪ )‪(Policy Table‬‬
‫در ﺣﺎل ﺣﺎﺿﺮ ﭘﺎﻟﺴﯽ ﻫﺎﯾﯽ ﮐﻪ ﺳﺎﺧﺘﻪ ﺷﺪه اﻧﺪ ﻋﺒﺎرت اﻧﺪ از ‪ Policy A :‬ﮐﻪ در ﺑﺎﻻﺗﺮﯾﻦ ﻧﻘﻄﻪ ﻗﺮار دارد‪ .‬ﺑﻪ‬
‫دﻧﺒﺎل آن ‪ Policy B‬ﻗﺮار دارد و ﺳﭙﺲ ‪ Policy C‬و در اﻧﺘﻬﺎ ‪ Default Deny Policy‬ﻗﺮار دارد‪ .‬ﺑﻪ ﻣﻨﻈﻮر‬
‫اﯾﺠﺎد ﭘﺎﻟﺴﯽ ﻫﺎي درﺳﺖ رﻋﺎﯾﺖ ﺗﻮاﻟﯽ و اوﻟﻮﯾﺖ ﺑﻨﺪي آﻧﻬﺎ ﺑﺴﯿﺎر ﻣﻬﻢ ﻣﯽ ﺑﺎﺷﺪ‪ .‬اﯾﻦ ﻧﮑﺘﻪ ﺿﺮوري اﺳﺖ ﮐﻪ‬
‫ﻫﻤﯿﺸﻪ در ﻧﻈﺮ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﭘﺎﻟﺴﯽ ﻫﺎ ﺑﻪ ﺗﺮﺗﯿﺐ ﻗﺮارﮔﯿﺮي اﻋﻤﺎل ﻣﯿﺸﻮد‪ .‬ﺑﻨﺎﺑﺮاﯾﻦ ﺑﻪ ﺧﺎﻃﺮ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﻪ‬
‫ﭘﺎﻟﺴﯽ ﻫﺎي ﺧﺎص ﻫﻤﯿﺸﻪ در ﺑﺎﻻ ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ‪.‬‬
‫ﺟﻬﺖ ﻣﺮﺗﺐ ﺳﺎزي ﻣﺠﺪد ﭘﺎﻟﺴﯽ ﻫﺎ‪ ،‬ﻫﺮ ﻗﺴﻤﺘﯽ از ﺳﺘﻮن ﺳﻤﺖ ﭼﭗ را ﮐﻪ ﻣﯽ ﺧﻮاﻫﯿﺪ اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ) در اﯾﻦ‬
‫ﻣﺜﺎل ﻣﺎ ﻗﺴﻤﺖ ‪ Seq.#‬را اﻧﺘﺨﺎب ﮐﺮدﯾﻢ (‪ Policy B .‬را اﻧﺘﺨﺎب ﮐﺮده و آن را در ﻟﯿﺴﺖ ﺑﺎﻻ ﻣﯽ آورﯾﻢ ﺑﻪ‬
‫ﻫﻤﯿﻦ ﺻﻮرت ﻣﯽ ﺗﻮاﻧﯿﻢ ﭘﺎﻟﺴﯽ ﻫﺎ را ﺟﺎﺑﺠﺎ ﮐﺮده و ﻧﺘﺎﯾﺞ را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﻢ‪.‬‬
‫ﺗﻮﺳﻂ ﺳﯿﺴﺘﻢ ادﻣﯿﻦ و ﯾﮏ ﺳﯿﺴﺘﻢ ﻣﻮﺟﻮد درﺷﺒﮑﻪ و ﯾﮏ ﻣﻮﺑﺎﯾﻞ دﯾﻮاﯾﺲ در اﯾﻨﺘﺮﻧﺖ ﭼﺮﺧﯽ ﺑﺰﻧﯿﺪ ) ‪Browse‬‬
‫‪.( Internet‬‬
‫ﺑﻪ ﻣﺴﯿﺮ زﯾﺮ ﺑﺮوﯾﺪ‪:‬‬

‫‪Log & Report>Traffic Log>Forward Traffic‬‬
‫ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﺮاﻓﯿﮏ ﻫﺎي ﻋﺒﻮري ﮐﻪ از ﭘﺎﻟﺴﯽ ﻫﺎي ﻣﺨﺘﻠﻒ ﻋﺒﻮر ﻣﯿﮑﻨﺪ را ﻣﺸﺎﻫﺪه ﮐﻨﯿﺪ‪.‬‬
‫از ﭘﺮوﺗﮑﻞ ‪ SNMP‬ﺟﻬﺖ ﻣﺎﻧﯿﺘﻮر ﮐﺮدن دﺳﺘﮕﺎه اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‬
‫ﭘﺮوﺗﮑﻞ )‪ Simple Management Protocol (SNMP‬ﺟﻬﺖ ﻣﺎﻧﯿﺘﻮر ﮐﺮدن دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﮑﻪ ﻣﻮرد اﺳﺘﻔﺎده‬
‫ﻗﺮار ﻣﯽ ﮔﯿﺮد‪ .‬ﺑﻮﺳﯿﻠﻪ اﻧﺠﺎم ﺗﻨﻈﯿﻤﺎت ﺑﺮ روي ﯾﮏ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﻣﺜﻞ ‪ Fortigate SNMP agent‬ﮐﻪ ﮔﺰارش ﻫﺎي‬
‫ﻣﺮﺑﻮط ﺑﻪ وﺿﻌﯿﺖ و اﻃﻼﻋﺎت ﺳﯿﺴﺘﻢ را ﺑﻪ ‪ SNMP Managers‬ﻫﺎ ارﺳﺎل ﻣﯽ ﻧﻤﺎﯾﺪ‪.‬‬
‫‪37‬‬
‫در اﯾﻦ ﻣﺜﺎل‪ SNMP Agent ،‬ﻣﺮﺑﻮط ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ‪ SNMP‬ﻣﺮﺑﻮط ﺑﻪ ‪ Manager‬اﺟﺎزه ﻣﯽ دﻫﺪ ﺗﺎ‬
‫اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ﺳﯿﺴﺘﻢ را درﯾﺎﻓﺖ ﻧﻤﺎﯾﺪ‪.‬‬
‫‪ .1‬ﺗﻨﻈﯿﻤﺎت ﻣﺮﺗﺒﻂ ﺑﺎ ‪ agent SNMP‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫‪ .2‬ﻓﻌﺎل ﺳﺎزي ‪ SNMP‬ﺑﺮ روي اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫‪ .3‬داﻧﻠﻮد ﮐﺮدن ‪ MIB‬ﻓﺎﯾﻞ ‪ Fortinet‬و ﺗﻨﻈﯿﻤﺎت ﺑﺎ ﯾﮏ ‪SNMP Manager‬‬
‫‪ .1‬ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪SNMP agent‬‬

‫‪System> Config> SNMP‬‬
‫زﯾﺮ ﻗﺴﻤﺖ ‪ SNMP v1/v2‬ﮔﺰﯾﻨﻪ ‪ Create New‬را ﺑﺰﻧﯿﺪ ﺗﺎ ﯾﮏ ‪ community‬ﺟﺪﯾﺪ اﯾﺠﺎد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪38‬‬
‫ﺑﺮاي ﻗﺴﻤﺖ ‪ ،Hosts‬آي ﭘﯽ آدرس ﻣﺮﺑﻮط ﺑﻪ ‪ SNMP Manager‬را وارد ﻧﻤﺎﯾﯿﺪ‪ .‬ﻣﺜﻼ در ﻣﺜﺎل ﻣﺎ‬
‫‪ 192.168.1.114/32‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﺷﻤﺎ ﺑﻪ راﺣﺘﯽ ﻣﯽ ﺗﻮاﻧﯿﺪ ﭼﻨﺪﯾﻦ و ﭼﻨﺪ ‪ SNMP Manager‬داﺷﺘﻪ‬
‫ﺑﺎﺷﯿﺪ ﯾﺎ ﺑﺮاي ﻫﺮ اﯾﻨﺘﺮﻓﯿﺲ ﯾﮏ ‪ SNMP Manager‬داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﺗﺎ ﺑﺎ دﻗﺖ ﻋﻤﻞ ﺑﯿﺸﺘﺮي ﺷﺒﮑﻪ را‬
‫رﺻﺪ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ SNMP Events‬ﻫﺎﯾﯽ ﮐﻪ ﻧﯿﺎز دارﯾﺪ را ﻓﻌﺎل ﮐﻨﯿﺪ‪ .‬در ﺑﯿﺸﺘﺮ ﻣﻮارد ﺗﻤﺎم ﻗﺴﻤﺖ ﻫﺎ ﻓﻌﺎل ﻣﯽ ﮔﺮدد‪.‬‬
‫‪39‬‬
‫‪ .2‬ﻓﻌﺎل ﺳﺎزي ‪ SNMP‬ﺑﺮ روي اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ﻣﺴﯿﺮ زﯾﺮ را ﭘﯿﻤﺎﯾﺶ ﮐﻨﯿﺪ‪:‬‬
‫‪System> Network> Interfaces‬‬
‫ﮔﺰﯾﻨﻪ ‪ Edit‬ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﺷﺒﮑﻪ را ﺑﺰﻧﯿﺪ‪ .‬ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﻪ اﯾﻦ اﯾﻨﺘﺮﻓﯿﺲ ﺑﺎﯾﺪ در ‪) subnet‬‬
‫ﺷﺒﮑﻪ( ﻫﻤﺎن ‪ SNMP Manager‬ﺑﺎﺷﺪ‪ .‬در ﻗﺴﻤﺖ ‪ Administrative Access‬ﺗﯿﮏ ﮔﺰﯾﻨﻪ ‪SNMP‬‬
‫را ﺑﺰﻧﯿﺪ‪.‬‬
‫‪ .3‬داﻧﻠﻮد ﻓﺎﯾﻞ ‪ MIB‬ﻓﻮرﺗﯽ ﻧﺖ و ﺗﻨﻈﯿﻤﺎت ﯾﮏ ‪SNMP Manager‬‬
‫ﺑﺮ اﺳﺎس ‪SNMP Manager‬ي ﮐﻪ ﺷﻤﺎ اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﺪ‪ ،‬ﻣﯿﺘﻮاﻧﯿﺪ ‪ MIB‬ﻓﺎﯾﻞ ﻣﺮﺑﻮط ﺑﻪ ﻓﻮرﺗﯽ‬
‫ﻧﺖ و ﻓﻮرﺗﯽ ﮔﯿﺖ را داﻧﻠﻮد و اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪System> Config> SNMP‬‬
‫‪40‬‬
‫‪ MIB‬ﻓﺎﯾﻞ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻓﻮرﺗﯽ ﻧﺖ را ﻣﺎﻧﻨﺪ ﺷﮑﻞ زﯾﺮ داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫دو ﻧﻮع از ‪ MIB‬ﻓﺎﯾﻞ ﻫﺎ ﺑﺮاي دﺳﺘﮕﺎه ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮﺟﻮد ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪FortiGate MIB .1‬‬
‫‪Fortinet MIB .٢‬‬
‫‪ ForiGate MIB‬ﻓﺎﯾﻞ ﺣﺎوي ‪ Traps‬و ﻓﯿﻠﺪﻫﺎ و اﻃﻼﻋﺎت ﻣﺨﺼﻮﺻﯽ در ﻣﻮرد دﺳﺘﮕﺎه ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ Fortinet MIB‬ﻓﺎﯾﻠﯽ ﺣﺎوي ‪ Traps‬و ﻓﯿﻠﺪﻫﺎ و اﻃﻼﻋﺎﺗﯽ ﮐﻪ ﺑﻪ ﺻﻮرت ﻣﻌﻤﻮل در ﺗﻤﺎم ﻣﺤﺼﻮﻻت ﻓﻮرﺗﯽ ﻧﺖ‬
‫وﺟﻮد دارد‪.‬‬
‫ﺗﻨﻈﯿﻤﺎت ‪ SNMP manager‬را ﺑﺮ ‪ 192.168.1.114‬اﻧﺠﺎم داده ﺗﺎ ‪traps‬ﻫﺎ را از دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫درﯾﺎﻓﺖ ﻧﻤﺎﯾﺪ‪ .‬در ﺻﻮرت ﻧﯿﺎز ‪ MIB‬ﻓﺎﯾﻞ ﻣﺮﺗﺒﻂ ﺑﺎ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻓﻮرﺗﯽ ﻧﺖ را ﻧﺼﺐ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در اﯾﻦ ﻣﺜﺎل ﻣﺎ از ‪ Solarwinds‬ﺟﻬﺖ ﻣﺸﺎﻫﺪه ‪ SNMP Traps‬ﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﻢ‪ .‬در ﺑﺮﻧﺎﻣﻪ‬
‫‪ Solarwinds‬در ﻗﺴﻤﺖ ‪ SNMP> MIB viewer‬را اﺟﺮا ﻧﻤﺎﯾﯿﺪ‪ Select Drive.‬را اﻧﺘﺨﺎب ﮐﺮده و‬
‫‪ IP‬آدرس دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را وارد ﻧﻤﺎﯾﯿﺪ و ‪ Community string‬ﻣﻨﺎﺳﺐ را وارد ﮐﻨﯿﺪ‪.‬‬
‫در ﻧﺮم اﻓﺰار ‪ Solarwinds‬ﺑﻪ ﻗﺴﻤﺖ ‪ Log Management> SNMP Trap Receiver‬رﻓﺘﻪ و‬
‫ﮔﺰﯾﻨﻪ ‪ Launch‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ‪ ،‬از ﻃﺮﯾﻖ ‪ Log & Report> Event Log> System‬ﻣﯽ ﺗﻮاﻧﯿﺪ ‪trap‬ﻫﺎﯾﯽ‬
‫ﮐﻪ ارﺳﺎل ﺷﺪه اﺳﺖ را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪41‬‬
‫اﺳﺘﻔﺎده از ‪ Port Forwarding‬ﺑﺮاي اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﻫﺎي ﻣﺤﺪود ﺑﻪ ﺳﺮورﻫﺎي داﺧﻠﯽ ‪:‬‬
‫در اﯾﻦ ﻣﺜﺎل ﻣﺎ ﺑﻪ ﺷﻤﺎ ﻧﺸﺎن ﻣﯽ دﻫﯿﻢ ﮐﻪ ﭼﻄﻮر از ‪ Virtual IP‬ﺑﺮاي ﺗﻨﻈﯿﻤﺎت ‪ Port Forwarding‬ﺑﺮ روي‬
‫دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪.‬در اﯾﻦ ﻣﺜﺎل ﭘﻮرت ‪ TCP 80‬و ‪ FTP 21‬و ‪ SSH 22‬ﺑﺎز ﻫﺴﺘﻨﺪ و‬
‫ﯾﻮزرﻫﺎي ﺑﯿﺮوﻧﯽ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺗﻮﺳﻂ اﯾﻦ ﭘﻮرت ﻫﺎ ﺑﻪ ﺳﺮورﻫﺎي داﺧﻠﯽ ﻣﺎ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ .1‬ﺳﺎﺧﺘﻦ ‪Virtual IP‬‬
‫‪.2‬اﺿﺎﻓﻪ ﮐﺮدن ‪ Virtual IP‬ﺑﻪ ‪VIP Group‬‬
‫‪ .3‬ﺳﺎﺧﺘﻦ ‪Security Policy‬‬
‫‪.4‬ﻧﺘﺎﯾﺞ‬
‫‪42‬‬
Virtual IP ‫ ﺳﺎﺧﺖ‬.1
:‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‬
Policy & Objects> Objects> Virtual IPs> Create New> Virtual IP
.‫ ﺑﺴﺎزﯾﺪ‬Virtual IP ‫ ﯾﮏ‬80 ‫ ﭘﻮرت‬TCP ‫ را ﻓﻌﺎل و ﺑﺮا ي‬Port Forwarding
43
‫ﯾﮏ ‪ Virtual IP‬ﺛﺎﻧﻮﯾﻪ ﺑﺮاي ﭘﻮرت ‪ 22‬ﻣﯽ ﺳﺎزﯾﻢ‪ .‬در ﻗﺴﻤﺖ ‪ label‬اﺳﻢ ‪ Webserver-SS‬را اﻧﺘﺨﺎب ﻣﯿﮑﻨﯿﻢ‬
‫و ﺑﺮاي ﺳﻮﻣﯽ ﻫﻢ ﭘﻮرت ‪ 21‬را ﺑﺮاي ‪ FTP‬در ﻧﻈﺮ ﻣﯿﮕﯿﺮﯾﻢ‪.‬‬
‫‪ .2‬اﺿﺎﻓﻪ ﮐﺮدن ‪ Virtual IP‬ﺑﻪ ‪VIP group‬‬

‫‪Policy & Objects> Objects> Virtual IPs> Create New> Virtual IP Group.‬‬
‫ﯾﮏ ‪ VIP Group‬ﻣﯽ ﺳﺎزﯾﻢ‪.‬‬
‫‪ .3‬ﺳﺎﺧﺖ ﯾﮏ ‪Security Policy‬‬

‫ﯾﮏ ‪ Security Policy‬ﺑﺴﺎزﯾﺪ ﮐﻪ دﺳﺘﺮﺳﯽ ﺑﻪ ﺳﺮورﻫﺎ از ﭘﺸﺖ ﻓﺎﯾﺮوال اﻣﮑﺎن ﭘﺬﯾﺮ ﺑﺎﺷﺪ‪.‬‬
‫ﺗﻨﻈﯿﻤﺎت را ﻣﻄﺎﺑﻖ ﺑﺎ ﻣﺸﺨﺼﺎت زﯾﺮ اﻋﻤﺎل ﮐﻨﯿﺪ‪:‬‬
‫)دﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ( ‪Incoming Interface = WAN‬‬
‫)دﺳﺖ داﺧﻠﯽ ﮐﻪ ﺳﺮورﻫﺎ از آن ﺳﺎب ﻧﺖ ﻣﯽ ﺑﺎﺷﻨﺪ( ‪Outgoing Interface = LAN‬‬
‫‪Destination = VIP group‬‬

‫‪Service = Allow HTTP, FTP , SSH‬‬
‫ﻣﺴﻠﻤﺎ اﺳﺘﻔﺎده از ‪ Security Profile‬ﻫﺎي ﻣﻨﺎﺳﺐ از ﺳﺮورﻫﺎي ﺷﻤﺎ ﻣﺤﺎﻓﻄﺖ ﺧﻮاﻫﺪ ﮐﺮد‪.‬‬
‫‪44‬‬
‫ﻗﺒﻞ از ﻫﺮﭼﯿﺰ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﭘﻮرت ‪ TCP‬ﺷﻤﺎره ‪ 80‬ﺑﺎز اﺳﺖ و ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺑﯿﺮون ﻓﺎﯾﺮوال ﺑﺎ وب ﺳﺮور‬
‫ارﺗﺒﺎط ﺑﺮﻗﺮار ﮐﻨﯿﺪ‪ .‬ﻫﻤﭽﻨﯿﻦ از ﺑﺎز ﺑﻮدن ﭘﻮرت ﻫﺎي ‪ 22‬و ‪ 21‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ‪.‬‬
‫ﻗﺎﺑﻠﯿﺖ ﻫﺎي اﻣﻨﯿﺘﯽ ‪:‬‬
‫اﯾﻦ ﻓﺼﻞ در ﻣﻮرد ﻗﺎﺑﻠﯿﺖ ﻫﺎي اﻣﻨﯿﺘﯽ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﺻﺤﺒﺖ ﻣﯽ ﻧﻤﺎﯾﺪ‪ .‬اﯾﻦ ﻗﺎﺑﻠﯿﺖ ﻫﺎ ﺷﺎﻣﻞ آﻧﺘﯽ‬
‫وﯾﺮوس‪ ،‬ﻓﯿﻠﺘﺮﯾﻨﮓ وب‪ ،‬ﮐﻨﺘﺮل ﺑﺮﻧﺎﻣﻪ ﻫﺎ‪ ، IPS ،‬اﯾﻤﯿﻞ ﻓﯿﻠﺘﺮﯾﻨﮓ و ‪ DLP‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫ﻫﺮ ﻗﺎﺑﻠﯿﺖ اﻣﻨﯿﺘﯽ ﯾﮏ ﭘﺮوﻓﺎﯾﻞ ﭘﯿﺶ ﻓﺮض دارد‪ .‬ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﭘﺮوﻓﺎﯾﻞ ﻫﺎي ﭘﯿﺶ ﻓﺮض ﺧﻮد را ﺳﺎﺧﺘﻪ و ﺑﺮ‬
‫اﺳﺎس ﺳﺎﺧﺘﺎر و ﺳﯿﺎﺳﺖ ﺷﺒﮑﻪ ي ﺧﻮد از آﻧﻬﺎ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪ .‬ﭘﺮوﻓﺎﯾﻞ ﻫﺎي ﺳﺎﺧﺘﻪ ﺷﺪه ﻗﺎﻋﺪﺗﺎ ﻋﻤﻠﯿﺎﺗﯽ ﻣﯽ‬
‫ﺑﺎﺷﻨﺪ و ﺳﯿﺎﺳﺖ ﻫﺎي اﻣﻨﯿﺘﯽ ﺷﻤﺎ را ﭘﯿﺎده ﺳﺎزي ﻣﯽ ﻧﻤﺎﯾﻨﺪ ﻫﻤﭽﻨﯿﻦ ﺟﻬﺖ ﻣﺎﻧﯿﺘﻮرﯾﻨﮓ ﺷﺒﮑﻪ ﻣﯽ ﺗﻮان از اﯾﻦ‬
‫‪45‬‬
‫ﭘﺮوﻓﺎﯾﻞ ﻫﺎ اﺳﺘﻔﺎده ﻧﻤﻮد‪ .‬اﮔﺮ ﻻزم ﺷﻮد ﺗﺮاﻓﯿﮏ ﻫﺎي داﺧﻠﯽ و ﺧﺎرﺟﯽ ﮐﻪ ﺗﻮﻟﯿﺪ رﯾﺴﮏ ﻣﯽ ﮐﻨﻨﺪ ﺗﻮﺳﻂ اﯾﻦ‬
‫ﭘﺮوﻓﺎﯾﻞ ﻫﺎ ﺑﻼك ﻣﯽ ﺷﻮﻧﺪ‪.‬‬
‫اﯾﻦ ﻗﺴﻤﺖ ﺷﺎﻣﻞ دﺳﺘﻮراﻟﻌﻤﻞ ﻫﺎي زﯾﺮ ﻣﯽ ﺑﺎﺷﺪ‪:‬‬
‫‪ ‬ﮐﻨﺘﺮل ﮐﺮدن ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮاﻧﺎﯾﯽ دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ و اﯾﻨﺘﺮﻧﺖ را دارﻧﺪ‪.‬‬
‫‪ ‬اﺳﺘﻔﺎده ﻧﻤﻮدن از ﻗﺎﺑﻠﯿﺖ ‪ Static URL Filter‬ﺟﻬﺖ ﺑﺴﺘﻦ دﺳﺘﺮﺳﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎي ﻣﺸﺨﺺ‬
‫‪ ‬ﻫﻨﮕﺎﻣﯽ ﮐﻪ از ‪ SSL Inspection‬اﺳﺘﻔﺎده ﻣﯿﮑﻨﯿﺪ اﺧﻄﺎرﻫﺎي اﻣﻨﯿﺘﯽ ﻣﺮﺑﻮط ﺑﻪ ﮔﻮاﻫﯿﻨﺎﻣﻪ اﻣﻨﯿﺘﯽ‬
‫ﺑﺮاي ﺷﻤﺎ ﻇﺎﻫﺮ ﻧﺸﻮد‪.‬‬
‫اﺳﺘﻔﺎده از ﯾﮏ ﮔﻮاﻫﯿﻨﺎﻣﻪ دﻟﺨﻮاه ﺑﺮاي ‪SSL Inspection‬‬ ‫‪‬‬
‫ﮐﻨﺘﺮل ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ و اﯾﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‬
‫در اﯾﻦ ﻣﺜﺎل ﯾﺎد ﻣﯽ ﮔﯿﺮﯾﺪ ﮐﻪ ﭼﮕﻮﻧﻪ از ‪ Application Control‬ﺑﺮاي ﻣﺸﺎﻫﺪه ﺗﺮاﻓﯿﮏ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ و ﻣﺘﻮﺟﻪ‬
‫ﺷﻮﯾﺪ اﮔﺮ ﺑﺮﻧﺎﻣﻪ اي ﻧﺒﺎﯾﺪ از اﯾﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻧﻤﺎﯾﺪ ﭼﺮا و ﭼﮕﻮﻧﻪ در ﺣﺎل اﺳﺘﻔﺎده ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﻫﺮ ﺑﺮﻧﺎﻣﻪ اي ﮐﻪ‬
‫ﻣﺘﻀﺎد ﺑﺎ ﺳﯿﺎﺳﺖ ﻫﺎي ﺷﻤﺎﺳﺖ را ‪ Block‬ﮐﻨﯿﺪ‪ .‬وﻇﯿﻔﻪ ي ﺧﻄﯿﺮ ‪ Application Control‬ﺑﺮاي آن اﺳﺖ ﮐﻪ‬
‫ﺷﻤﺎ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﺑﺮﻧﺎﻣﻪ ﻫﺎي دﻟﺨﻮاه ﺗﺎن ﻧﻤﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺷﺒﮑﻪ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ .1‬ﻓﻌﺎل ﺳﺎزي ‪ Application Control‬و ﭼﻨﺪﯾﻦ ‪Security Profiles‬‬

‫‪ .2‬اﺳﺘﻔﺎده از ‪ Application‬ﭘﺮوﻓﺎﯾﻞ ﻫﺎي ﭘﯿﺶ ﻓﺮض ﺑﺮاي ﻣﺎﻧﯿﺘﻮر ﮐﺮدن ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ‬
‫‪ .3‬اﺿﺎﻓﻪ ﻧﻤﻮدن ‪ Default Profile‬ﺑﻪ ﯾﮏ ‪Security Policy‬‬
‫‪ .4‬ﺑﺮرﺳﯽ ﻧﻤﻮدن داﺷﺒﻮردﻫﺎي ‪Fortiview‬‬
‫‪ .5‬ﺳﺎﺧﺘﻦ ﯾﮏ ‪ Application Profile‬ﺑﺮاي ﻻك ﮐﺮدن ﺑﺮﻧﺎﻣﻪ ﻫﺎ‬
‫‪ .6‬اﺿﺎﻓﻪ ﻧﻤﻮدن ‪ Blocking Sensor‬ﺑﻪ ﯾﮏ ‪Security Policy‬‬
‫‪46‬‬
‫‪ .1‬ﻓﻌﺎل ﺳﺎزي ‪Application Control‬‬
‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ ‪:‬‬

‫‪System> Config> Features‬‬
‫ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ Application Control‬روﺷﻦ اﺳﺖ ‪.‬‬
‫ﮔﺰﯾﻨﻪ ‪ Show More‬اﻧﺘﺨﺎب ﮐﻨﯿﺪ و ‪ Multiple Security Profiles‬را ﻓﻌﺎل ﺳﺎزﯾﺪ‪ .‬ﺗﻨﻈﯿﻤﺎت اﻋﻤﺎل ﺷﺪه را‬
‫‪ Apply‬ﮐﻨﯿﺪ‪.‬‬
‫‪ .2‬اﺳﺘﻔﺎده از ‪ Default application Profile‬ﺑﺮاي ﻣﺎﻧﯿﺘﻮر ﮐﺮدن ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ‬
‫‪47‬‬
‫‪Security Profiles> Application Control‬‬
‫ﭘﺮوﻓﺎﯾﻞ ﭘﯿﺶ ﻓﺮض ﻣﻮﺟﻮد را ﻣﺸﺎﻫﺪه ﻣﯽ ﻧﻤﺎﯾﯿﺪ‪ .‬ﯾﮏ ﻟﯿﺴﺖ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي دﺳﺘﻪ ﺑﻨﺪي ﺷﺪه ﺑﻪ ﻧﻤﺎﯾﺶ‬
‫ﮔﺬاﺷﺘﻪ ﺷﺪه اﺳﺖ‪ .‬ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﺑﯿﺸﺘﺮ دﺳﺘﻪ ﺑﻨﺪي اﻧﺠﺎم ﺷﺪه ﺑﺮاي ﺣﺎﻟﺖ ﻣﺎﻧﯿﺘﻮرﯾﻨﮓ ﺗﻨﻈﯿﻢ ﮔﺮدﯾﺪه‬
‫اﺳﺖ‪ .‬ﺑﻪ ﻣﻨﻈﻮر ﻧﻈﺎرت ﺑﺮ ﺗﻤﺎم اﭘﻠﯿﮑﺸﻦ ﻫﺎ ‪ ،‬ﮔﺰﯾﻨﻪ ‪ All Other Known Application‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و آﻧﻬﺎ‬
‫را ﺑﺮاي ﺣﺎﻟﺖ ﻣﺎﻧﯿﺘﻮر ﺗﻨﻈﯿﻢ ﮐﻨﯿﺪ‪ .‬ﻫﻤﯿﻦ ﮐﺎر را ﺑﺮاي ‪ All Other Unknown Applications‬اﻧﺠﺎم دﻫﯿﺪ‪.‬‬
‫در ﭘﺮوﻓﺎﯾﻞ ﭘﯿﺶ ﻓﺮض ﻗﺎﺑﻠﯿﺖ ‪ Deep Inspection of Cloud Applications‬روﺷﻦ ﻣﯽ ﺑﺎﺷﺪ‪.‬اﯾﻦ ﻗﺎﺑﻠﯿﺖ ﺑﻪ‬
‫ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب ﻣﺜﻞ ‪ Video Streaming‬اﺟﺎزه ﻣﯽ دﻫﺪ ﺗﻮﺳﻂ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺎﻧﯿﺘﻮر ﺷﻮﻧﺪ‪.‬‬
‫‪ .3‬اﺿﺎﻓﻪ ﻧﻤﻮدن ﭘﺮوﻓﺎﯾﻞ ﭘﯿﺶ ﻓﺮض ﺑﻪ ‪Security Policy‬‬

‫ﭘﺎﻟﺴﯽ ﻣﺮﺑﻮط ﺑﻪ دﺳﺘﺮﺳﯽ داﺧﻠﯽ ﺑﻪ‬

‫اﯾﻨﺘﺮﻧﺖ را وﯾﺮاﯾﺶ ﻧﻤﺎﯾﯿﺪ ‪ .‬در ﻗﺴﻤﺖ‬
‫‪ ،Security Profiles‬ﮔﺰﯾﻨﻪ ‪Application‬‬
‫‪ Control‬را روﺷﻦ ﮐﺮده و از ﭘﺮوﻓﺎﯾﻞ‬
‫‪ Defualt‬اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪.‬ﻓﻌﺎل ﺳﺎزي‬
‫‪ Application Control‬ﺑﺎﻋﺚ ﺧﻮاﻫﺪ ﺷﺪ‬
‫ﻗﺎﺑﻠﯿﺖ ‪ SSL Inspection‬ﻫﻢ ﺑﻪ ﺻﻮرت‬
‫ﺧﻮدﮐﺎر ﻓﻌﺎل ﮔﺮدد‪.‬ﺑﻪ ﻣﻨﻈﻮر ﻧﻈﺎرت ﺑﺮ روي‬
‫ﺗﺮاﻓﯿﮏ ‪ Cloud Application‬ﻫﺎ ﭘﺮوﻓﺎﯾﻞ‬
‫‪ Deep-Inspection‬ﺑﺎﯾﺪ اﻧﺘﺨﺎب ﺷﻮد‪.‬‬
‫‪ .4‬ﺑﺮرﺳﯽ داﺷﺒﻮرد ‪FortiView‬‬

‫‪System> Fortiview> Application‬‬
‫‪48‬‬
‫و ﮔﺰﯾﻨﻪ ‪ Now view‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ .‬اﯾﻦ داﺷﺒﻮرد ﺗﺮاﻓﯿﮑﯽ ﮐﻪ در ﺣﺎل ﺣﺎﺿﺮ از ﻓﻮرﺗﯽ ﮔﯿﺖ ﻋﺒﻮر ﻣﯿﮑﻨﺪ را‬
‫ﻧﻤﺎﯾﺶ ﻣﯽ دﻫﺪ )دﺳﺘﻪ ﺑﻨﺪي ﺑﺮ اﺳﺎس ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻣﯽ ﺑﺎﺷﺪ‪ (.‬اﮔﺮ دوﺳﺖ دارﯾﺪ اﻃﻼﻋﺎت ﺑﯿﺸﺘﺮي در ﻣﻮرد ﺗﺮاﻓﯿﮏ‬
‫ﺑﺮﻧﺎﻣﻪ ﻫﺎ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﺑﺮ روي ﺑﺮﻧﺎﻣﻪ ﻧﻤﺎﯾﺶ داده ﺷﺪه ﮐﻠﯿﮏ ﻧﻤﺎﯾﯿﺪ‪ .‬ﺗﺮاﻓﯿﮏ ﻣﺒﺪا‪ ،‬ﺗﺮاﻓﯿﮏ ﻣﻘﺼﺪ و اﻃﻼﻋﺎت‬
‫ﮐﺎﻣﻠﯽ درﺑﺎره ‪ session‬ﻫﺎ ﺑﺪﺳﺖ ﺧﻮاﻫﯿﺪ آورﯾﺪ‪.‬‬
‫ﺑﺮاي ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎﺗﯽ ﻣﺸﺎﺑﻪ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ‪ Cloud‬ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﻣﺴﯿﺮ زﯾﺮ رﻓﺘﻪ‬
‫‪System> Fortiview> Cloud Application‬‬
‫و اﭘﻠﯿﮑﺸﯿﻦ ﻫﺎﯾﯽ ﮐﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﺮﻓﺘﻪ اﻧﺪ را ﻣﺸﺎﻫﺪه و ﻣﺎﻧﯿﺘﻮر ﮐﻨﯿﺪ‪ .‬اﯾﻦ ﻗﺎﺑﻠﯿﺖ ﺑﻪ ﺷﻤﺎ اﯾﻦ اﻣﮑﺎن را‬
‫ﻣﯽ دﻫﺪ ﺗﺎ ﻣﺘﻮﺟﻪ ﺷﻮﯾﺪ ﭼﻪ وﯾﺪﺋﻮﻫﺎﯾﯽ دﯾﺪه ﺷﺪه اﺳﺖ اﻟﺒﺘﻪ اﯾﻦ در ﺷﺮاﯾﻄﯽ اﺳﺖ ﮐﻪ ﺗﺮاﻓﯿﮏ ‪Streaming‬‬
‫‪ Video‬ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺑﺎﺷﺪ‪.‬‬
‫‪ .5‬ﺳﺎﺧﺖ ﯾﮏ ‪ Application Profile‬ﺑﺮاي ﺑﻼك ﮐﺮدن ﺑﺮﻧﺎﻣﻪ ﻫﺎ‬
‫در ﻣﺜﺎل ﺑﺎﻻ‪ ،‬ﺷﻤﺎ ﻓﺮض ﮐﻨﯿﺪ ﺗﺮاﻓﯿﮏ ‪ BitTorrent‬ﺷﻨﺎﺳﺎﯾﯽ ﺷﺪه اﺳﺖ‪ .‬ﺣﺎﻻ وﻗﺖ آن اﺳﺖ ﮐﻪ ﺑﺎ ﺳﺎﺧﺖ ﯾﮏ‬
‫‪ Application‬ﮐﻨﺘﺮﻟﺮ ﮐﻪ ﺗﺮاﻓﯿﮏ ‪ P2P‬را ﺑﻼك ﻣﯿﮑﻨﺪ ﻗﺪرت ﻓﺎﯾﺮوال ﺧﻮد را ﺑﻪ رُخ ﺑﮑﺸﯿﺪ‪.‬‬
‫ﭘﺮوﻓﺎﯾﻞ ﺟﺪﯾﺪ ﺗﻤﺎم ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻣﺮﺗﺒﻂ ﺑﺎ ﯾﻮﺗﯿﻮب را ﻫﻢ ﺑﻼك ﺧﻮاﻫﺪ ﮐﺮد ﺑﺪون اﯾﻨﮑﻪ ﺗﺎﺛﯿﺮ ﻣﻨﻔﯽ ﺑﺮ روي ﺑﻘﯿﻪ‬
‫ي ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ‪ Video/Audio‬ﺑﮕﺬارد‪.‬‬

‫‪Security Profiles> Application Control‬‬
‫ﯾﮏ ﭘﺮوﻓﺎﯾﻞ ﺟﺪﯾﺪ ﺑﺴﺎزﯾﺪ‪.‬‬
‫ﮔﺮوه ﻣﺮﺑﻮط ﺑﻪ ‪ P2P‬را اﻧﺘﺨﺎب ﮐﺮده و آﻧﻬﺎ را ‪ Block‬ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪49‬‬
‫در زﯾﺮ ﻗﺴﻤﺖ ‪ Application Overrides‬ﻗﺴﻤﺖ ‪ Add Signatures‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ .‬ﮐﻠﻤﻪ ‪ Youtube‬را ﺳﺮچ‬
‫ﮐﻨﯿﺪ و ﺗﻤﺎم ‪ signatures‬ﻫﺎي ﻣﺮﺗﺒﻂ ﺑﺎ آن را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ .‬ﻫﻤﺎن ﻃﻮري ﮐﻪ ﻣﺸﺎﻫﺪه ﻣﯿﮑﻨﯿﺪ ﺗﻤﺎم ‪signatures‬‬
‫ﻫﺎ ﺑﻪ ﻟﯿﺴﺖ اﺿﺎﻓﻪ ﺷﺪﻧﺪ و ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ‪ Block‬ﺷﺪﻧﺪ‪ .‬ﮔﺰﯾﻨﻪ ‪Deep Inspection of Cloud Applicartion‬‬
‫را ﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در ﻗﺴﻤﺖ ‪ Security Profile‬دﮐﻤﻪ ‪ Application Control‬را زده ﺗﺎ اﯾﻦ ﻗﺎﺑﻠﯿﺖ ﻓﻌﺎل ﺷﻮد و ﭘﺮوﻓﺎﯾﻞ ﺳﺎﺧﺘﻪ‬
‫ﺷﺪه را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺳﻌﯽ ﮐﻨﯿﺪ وارد ﺳﺎﯾﺖ ‪ www.Youtube.com‬ﺷﻮﯾﺪ‪ .‬ﯾﮏ ﭘﯿﻐﺎم ﻫﺸﺪار درﯾﺎﻓﺖ ﻣﯿﮑﻨﯿﺪ ﮐﻪ ﻇﺎﻫﺮي ﻣﺎﻧﻨﺪ‬
‫ﻋﮑﺲ زﯾﺮ دارد و ﺑﻪ ﺷﻤﺎ اﻋﻼم ﻣﯽ ﮐﻨﺪ ﺳﺎﯾﺖ ﻣﻮرد ﻧﻈﺮ ﺑﻼك ﺷﺪه اﺳﺖ‪.‬‬
‫ﺧﯿﺎﻟﺘﺎن راﺣﺖ ﺑﺎﺷﺪ ﮐﻪ ﺗﺮاﻓﯿﮏ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺑﯿﺖ ﺗﻮرﯾﻨﺖ ﻧﯿﺰ ﺑﻼك ﺧﻮاﻫﻨﺪ ﺷﺪ‪ .‬ﺟﻬﺖ ﮐﺴﺐ‬
‫اﻃﻼﻋﺎت ﺑﯿﺸﺘﺮ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺑﻼك ﺷﺪه ﺑﻪ ﻣﺴﯿﺮ ‪ System> Fortiview> All Session‬رﻓﺘﻪ و ﺣﺎﻟﺖ ‪5‬‬
‫‪ minutes‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫اﺳﺘﻔﺎده از ﻗﺎﺑﻠﯿﺖ ‪ Static URL filter‬ﺟﻬﺖ ﺟﻠﻮﮔﯿﺮي از دﺳﺘﺮﺳﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎي ﻣﺸﺨﺺ‬
‫‪50‬‬
‫وﻗﺘﯽ ﺷﻤﺎ اﺟﺎزه دﺳﺘﺮﺳﯽ ﺑﻪ ﻧﻮع ﺧﺎﺻﯽ از ﻣﺤﺘﻮا را ﻣﯽ دﻫﯿﺪ ﻣﺎﻧﻨﺪ دﺳﺘﻪ ﺑﻨﺪي ‪ Social Network‬ﻫﺎ‪ ،‬ﻣﻤﮑﻦ‬
‫اﺳﺖ ﻓﻮرﺗﯽ ﮔﺎرد در داﺧﻞ اﯾﻦ دﺳﺘﻪ ﺑﻨﺪي ﺳﺎﯾﺖ ﻫﺎﯾﯽ ﺑﺎﺷﻨﺪ ﮐﻪ ﺷﻤﺎ دوﺳﺖ دارﯾﺪ آﻧﻬﺎ را ﺑﻼك ﮐﺮده و اﺟﺎزه‬
‫دﺳﺘﺮﺳﯽ را از ﮐﺎرﺑﺮان ﺑﮕﯿﺮﯾﺪ‪ .‬در اﯾﻦ ﻣﺜﺎل‪ ،‬ﺷﻤﺎ ﯾﺎد ﻣﯽ ﮔﯿﺮد ﮐﻪ ﭼﻄﻮر ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺗﻨﻈﯿﻢ ﻧﻤﺎﯾﯿﺪ ﺗﺎ از‬
‫دﺳﺘﺮﺳﯽ ﺑﻪ ﺷﺒﮑﻪ ﻫﺎي اﺟﺘﻤﺎﻋﯽ ﺧﺎص ﺟﻠﻮﮔﯿﺮي ﮐﻨﺪ‪ .‬اﯾﻦ ﺷﺎﻣﻞ ‪ Sub Domain‬ﻫﺎ ﻣﯽ ﺷﻮد‪ .‬اﯾﻦ ﺑﻪ ﻣﻌﻨﯽ‬
‫اﺳﺖ ﮐﻪ ﯾﮏ ‪ Static URL Filter‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬و ﺑﻮﺳﯿﻠﻪ اﺳﺘﻔﺎده از ‪ SSL Inspection‬اﻧﺠﺎم ﻣﯽ ﺷﻮد‪ .‬ﺷﻤﺎ ﻣﻄﻤﺌﻦ‬
‫ﺧﻮاﻫﯿﺪ ﺷﺪ ﮐﻪ اﯾﻦ وب ﺳﺎﯾﺖ ﺣﺘﯽ ﺑﻮﺳﯿﻠﻪ ﭘﺮوﺗﮑﻞ ‪ SSL‬ﻫﻢ ﺑﻼك ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬
‫در اﯾﻦ ﻣﺜﺎل ‪ Security Profile‬ﺑﺮاي ‪ IPv4‬ﻧﻮﺷﺘﻪ ﻣﯽ ﺷﻮد اﻣﺎ اﯾﻦ روش ﺑﺮاي ‪ IPv6‬ﻫﻢ ﮐﺎر ﺧﻮاﻫﺪ ﮐﺮد‪ .‬ﻫﺮ‬
‫ﺗﻨﻈﯿﻤﯽ در ‪ IPv4‬ﻋﯿﻨﺎ در ‪ IPv6‬ﻫﻢ ﮐﺎرﺑﺮدي ﺧﻮاﻫﺪ ﺑﻮد‪.‬‬
‫‪ -1‬ﺗﺎﯾﯿﺪ ﺳﺮوﯾﺲ ﻓﻮرﺗﯽ ﮔﺎرد ) ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﻢ ﮐﻪ ﺳﺮوﯾﺲ ﻓﻮرﺗﯽ ﮔﺎرد درﺳﺖ ﮐﺎر ﻣﯿﮑﻨﺪ(‬
‫‪ -2‬ﺑﺨﺶ ‪ Web Filter Profile‬را وﯾﺮاﯾﺶ ﮐﻨﯿﺪ‬
‫‪ -3‬ﺗﺎﯾﯿﺪ ﮐﺮدن ‪SSL Inspection Profile‬‬
‫‪ -4‬ﺳﺎﺧﺖ ‪Security Policy‬‬
‫‪ .1‬ﺗﺎﯾﯿﺪ ﺷﺪن ﺻﺤﺖ و درﺳﺘﯽ ﺳﺮوﯾﺲ ﻫﺎي ﻓﻮرﺗﯽ ﮔﺎرد‪:‬‬

‫در ﮔﺠﺖ ‪ ،License Information‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ اﺷﺘﺮاك ﻣﺮﺑﻮط ﺑﻪ ‪ Web Filtering‬ﻓﻌﺎل اﺳﺖ و درﺳﺖ‬
‫ﮐﺎر ﻣﯿﮑﻨﺪ‪ .‬اﮔﺮ اﺷﺘﺮاك را داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﺳﺮوﯾﺲ ﺳﺒﺰ ﺧﻮاﻫﺪ ﺑﻮد‪ ) .‬ﺑﻪ ﺷﮑﻞ زﯾﺮ دﻗﺖ ﮐﻨﯿﺪ(‬
‫‪51‬‬
‫‪ .2‬وﯾﺮاﯾﺶ ‪Web Filter Profile‬‬
‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﮐﻨﯿﺪ ‪:‬‬

‫‪Security Profiles> Web Filter‬‬
‫و ‪ Web Filter Profile‬ﭘﯿﺶ ﻓﺮض دﺳﺘﮕﺎه را وﯾﺮاﯾﺶ ﮐﻨﯿﺪ‪ .‬ﺗﻨﻈﯿﻢ ﻣﺮﺑﻮط ﺑﻪ ‪ Inspection Mode‬را در ﺣﺎﻟﺖ‬
‫‪ Proxy‬ﻗﺮار دﻫﯿﺪ‪.‬‬
‫‪ FortiGuard Categories‬را ﻓﻌﺎل ﮐﻨﯿﺪ‪ .‬در ﻗﺴﻤﺖ ﻣﺮﺑﻮط ﺑﻪ ‪ Social Network‬ﺗﻤﺎم زﯾﺮﮔﺮوه ﻫﺎ را در ﺣﺎﻟﺖ‬
‫‪ Allow‬ﻗﺮار ﺑﺪﻫﯿﺪ و ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﻫﻤﻪ ﭼﯿﺰ درﺳﺖ ﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ‪ .‬ﺟﻬﺖ اﯾﺠﺎد ﻣﻤﻨﻮﻋﯿﺖ ﺑﺮاي دﯾﺪن ﯾﮏ‬
‫‪ Social Netwrok‬ﺳﺎﯾﺖ از اﯾﻦ دﺳﺘﻪ ﺑﻨﺪي‪ ،‬ﺑﻪ ‪ Static URL Filter‬ﺑﺮوﯾﺪ‪ ،‬ﺗﯿﮏ ﻗﺴﻤﺖ ‪Enable URL Filter‬‬
‫را ﺑﺰﻧﯿﺪ و ﺑﻌﺪ ‪ Create New‬را اﻧﺘﺨﺎب ﮐﻨﯿﺪ‪:‬‬
‫ﺑﺮاي ﺳﺎﺧﺘﻦ وب ﻓﯿﻠﺘﺮ ﺟﺪﯾﺪ‪ URL ،‬ﺳﺎﯾﺘﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﯿﺪ ﺑﻼك ﮐﻨﯿﺪ را وارد ﻧﻤﺎﯾﯿﺪ‪ .‬اﮔﺮ در ﻧﻈﺮ دارﯾﺪ ﺗﻤﺎم‬
‫‪ Subdomain‬ﻫﺎي ﺳﺎﯾﺖ را ﻓﻠﯿﺘﺮ ﮐﻨﯿﺪ از ﻋﻼﻣﺖ * اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪ .‬ﻣﺜﻼ وارد ﮐﻨﯿﺪ ‪*cloob.com :‬‬
‫در ﻗﺴﻤﺖ ‪ Type‬ﮔﺰﯾﻨﻪ ‪ Wildcard‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و ‪ Action‬را در ﺣﺎﻟﺖ ‪ Block‬ﻗﺮار دﻫﯿﺪ و ‪ Status‬را در‬
‫ﺣﺎﻟﺖ ‪ Enable‬ﻗﺮار دﻫﯿﺪ‪.‬‬
‫‪ .3‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ SSL Inspection Profile‬ﻣﻮرد ﺗﺎﯾﯿﺪ اﺳﺖ‬

‫‪Policy & Objects> Policy> SSL Inspection‬‬
‫‪ Certificate-inspection‬را وﯾﺮاﯾﺶ ﮐﻨﯿﺪ‪ .‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ CA Certificate‬روي ‪ Policy‬ﺗﻌﺮﯾﻒ ﺷﺪه ﻗﺮار‬

‫ﺑﮕﯿﺮد‪.‬‬
‫‪52‬‬
‫در ﻗﺴﻤﺖ ‪ Inspection Method‬ﮔﺰﯾﻨﻪ ‪ SSL Certification Inspection‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و ‪SSH Deep‬‬
‫‪ Scan‬را روﺷﻦ ﮐﻨﯿﺪ‪.‬‬
‫‪ .4‬ﺳﺎﺧﺖ ﯾﮏ ‪: Security Policy‬‬

‫ﮔﺰﯾﻨﻪ ‪ Create New‬را اﻧﺘﺨﺎب ﮐﺮده و ﺑﺮ اﺳﺎس ﺗﻮﺿﯿﺤﺎت زﯾﺮ ﺗﻨﻈﯿﻤﺎت را اﻧﺠﺎم دﻫﯿﺪ‪:‬‬
‫‪Incoming Interface= internal Network‬‬
‫)‪Outgoing Interface= Internet Facing (WAN‬‬
‫در زﯾﺮ ﻗﺴﻤﺖ ‪ Security Profiles‬ﻗﺴﻤﺖ ‪ Web Filter‬را ﺑﻪ ﺣﺎﻟﺖ ‪ ON‬ﺑﺮده و ‪ default‬را اﻧﺘﺨﺎب ﻣﯽ ﮐﻨﯿﻢ‪.‬‬
‫ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ‪ SSL/SSH Inspection‬ﻓﻌﺎل ﻣﯽ ﮔﺮدد‪.‬‬
‫ﺑﻌﺪ از ﺳﺎﺧﺖ ‪ Policy‬ﺟﺪﯾﺪ‪ ،‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ اﯾﻦ ‪ Policy‬در ﺑﺎﻻي ﻟﯿﺴﺖ ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ‪ .‬ﺑﺮاي ﺟﺎﺑﺠﺎ ﮐﺮدن‬
‫‪ Policy‬ﻓﻘﻂ ﮐﺎﻓﯽ اﺳﺖ آن را ﺑﻪ ﺳﻤﺖ ﺑﺎﻻ و ﯾﺎ ﭘﺎﯾﯿﻦ ﺣﺮﮐﺖ دﻫﯿﺪ‪.‬‬
‫ﺳﺎﯾﺖ ﻫﺎي زﯾﺮ را ﺑﺎزدﯾﺪ ﮐﻨﯿﺪ ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ Website‬ﺑﻼﮐﯿﻨﮓ ﺑﺪرﺳﺘﯽ ﮐﺎر ﻣﯿﮑﻨﺪ‪:‬‬
‫‪Cloob.com‬‬
‫‪Attachment.cloob.com‬‬
‫‪Upload.cloob.com‬‬
‫ﺻﻔﺤﻪ ي ‪ Web Page Blocked‬ﺑﺎﯾﺪ ﻧﻤﺎﯾﺶ داده ﺷﻮد!!‬
‫اﮔﺮ ﺷﻤﺎ از ﭘﺮوﺗﮑﻞ ‪ Https‬ﻫﻢ ﺑﺮاي ﺑﺎزدﯾﺪ از ﺳﺎﯾﺖ ﻫﺎي ﺑﻼك ﺷﺪه اﺳﺘﻔﺎده ﮐﻨﯿﺪ ﻣﺸﺎﻫﺪه ﺧﻮاﻫﯿﺪ ﮐﺮد ﮐﻪ ﺑﺎ‬
‫وﺟﻮد اﯾﻦ ﭘﺮوﺗﮑﻞ ﺑﺎز ﻫﻢ اﯾﻦ ﺳﺎﯾﺖ ﻫﺎ ﺑﻼك ﻣﯽ ﺷﻮﻧﺪ‪.‬‬
‫ﺟﻠﻮﮔﯿﺮي ﮐﺮدن از اﻋﻼم اﺧﻄﺎر ‪ Certificate‬وﻗﺘﯽ ﮐﻪ ‪ SSL full inspection‬ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪.‬‬
‫اﯾﻦ ﻣﺜﺎل ﺑﺮاي ﺷﻤﺎ ﺷﺮح ﺧﻮاﻫﺪ داد ﮐﻪ ﭼﮕﻮﻧﻪ ﮐﺎرﺑﺮاﻧﺘﺎن اﺧﻄﺎر ‪ Certificate Security‬ﻣﯽ ﮔﯿﺮﻧﺪ در ﺣﺎﻟﯽ‬
‫ﮐﻪ ﺷﻤﺎ ﺣﺎﻟﺖ ‪ SSL Inspection‬را ﻓﻌﺎل ﮐﺮده اﯾﺪ‪(deep inspection).‬‬
‫‪53‬‬
‫وﻗﺘﯽ ﮐﺎرﺑﺮان ﭘﯿﻐﺎم ﺧﻄﺎ را ﻣﺸﺎﻫﺪه ﻣﯽ ﮐﻨﻨﺪ اوﻟﯿﻦ ﮐﺎري ﮐﻪ ﺑﻪ ذﻫﻦ آﻧﻬﺎ ﺧﻄﻮر ﻣﯿﮑﻨﺪ زدن دﮐﻤﻪ ‪Continue‬‬
‫ﻣﯽ ﺑﺎﺷﺪ‪ .‬اﯾﻦ ﻋﺎدت ﺑﺪ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺷﻤﺎ ﺗﺸﻮﯾﻖ ﺷﻮﯾﺪ ﺑﺮاي اﯾﻨﮑﻪ ﻓﺮاﻫﻢ آوردن ‪ SSL CA‬ﻓﻮرﺗﯽ ﮔﯿﺖ ﺗﺎ‬
‫روي ﻣﺮورﮔﺮﻫﺎي ﮐﺎرﺑﺮان ﻧﺼﺐ ﻧﻤﺎﯾﯿﺪ‪ .‬ﺧﻄﺎي ﻣﺮﺑﻮط ﺑﻪ ‪ Certificate‬ﺗﻨﻬﺎ زﻣﺎﻧﯽ دﯾﺪه ﻣﯽ ﺷﻮد ﮐﻪ ‪SSL‬‬
‫‪ Inspection‬در ﺣﺎﻟﺖ ‪ Deep‬ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﺑﮕﯿﺮد‪.‬‬
‫‪ .1‬ﻣﺸﺎﻫﺪه ﮐﺮدن وﺿﻌﯿﺖ ‪Deep-inspection SSL Profile‬‬
‫‪ .2‬ﻓﻌﺎل ﺳﺎزي ﺗﻨﻈﯿﻤﺎت ‪ Certificate‬در ﻗﺴﻤﺖ ‪Web-based manager‬‬
‫‪ .3‬داﻧﻠﻮد ﮔﻮاﻫﯿﻨﺎﻣﻪ ‪Fortinet_CA_SSLProxy‬‬
‫‪ .4‬وارد ﮐﺮدن ‪ CA certificate‬در داﺧﻞ ﻣﺮورﮔﺮ وب‬
‫‪ .1‬ﻣﺸﺎﻫﺪه ي ﭘﺮوﻓﺎﯾﻞ ‪deep-inspection SSL‬‬

‫‪Policy & Objects>SSL/SSH Inspection‬‬
‫در ﺳﻤﺖ راﺳﺖ ﺑﺎﻻﺗﺮﯾﻦ ﻗﺴﻤﺖ ﺻﻔﺤﻪ از ﻣﻨﻮي ﻣﺸﺨﺺ ﺷﺪه در ﺷﮑﻞ ﮔﺰﯾﻨﻪ ‪ deep-inspection‬را اﻧﺘﺨﺎب‬
‫‪54‬‬
‫ﻧﮑﺘﻪ‪ :‬ﭘﺮوﻓﺎﯾﻞ ‪ deep-inspection‬ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺑﻪ ﺻﻮرت داﺋﻤﯽ ﺗﺮاﻓﯿﮏ ﮐﺪﮔﺬاري ﺷﺪه و ‪SSL inspection‬‬
‫اﻋﻤﺎل ﺷﻮد‪.‬‬
‫در اﯾﻦ ‪ ،Policy‬دﺳﺘﻪ ﺑﻨﺪي ﺳﺎﯾﺖ ﻫﺎﯾﯽ ﻣﺎﻧﻨﺪ ‪Health and wellness, Personal Privacy, Finance‬ﻣﺘﻤﺎﯾﺰ‬
‫ﺷﺪه و اﯾﻦ ‪ Policy‬ﺑﻪ اﯾﻦ ﮔﻮﻧﻪ از ﺳﺎﯾﺖ ﻫﺎ اﻋﻤﺎل ﻧﻤﯽ ﮔﺮدد‪ .‬ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﻣﺎﻧﻨﺪ ‪ itunes‬و ‪ Dropbox‬ﮐﻪ ﻧﯿﺎزﻣﻨﺪ‬
‫‪ certificate‬ﻫﺎ ﯾﮑﺘﺎ )‪ (Unique‬ﻣﯽ ﺑﺎﺷﻨﺪ ﻧﯿﺰ از اﯾﻦ دﺳﺘﻪ ﺑﻨﺪي ﻣﺘﻤﺎﯾﺰ ﻣﯽ ﮔﺮدﻧﺪ‪.‬‬
‫‪ .2‬ﻓﻌﺎل ﮐﺮدن ﺗﻨﻈﯿﻤﺎت ‪ Certificate‬در ﻗﺴﻤﺖ ﻣﺪﯾﺮﯾﺘﯽ وب‬

‫‪System>Config>Features‬‬
‫ﺑﺮ روي ﮔﺰﯾﻨﻪ ‪ Show More‬ﮐﻠﯿﮏ ﻧﻤﺎﯾﯿﺪ و ﻗﺴﻤﺖ ‪ Certificate‬را ﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ‪ .‬دﮐﻤﻪ ‪ Apply‬را ﺑﺰﻧﯿﺪ‪.‬‬
‫‪ .3‬داﻧﻠﻮد ﻧﻤﻮدن ‪Fortinet_CA_SSLProxy certificate‬‬

‫‪System>Certificates>Local Certificates‬‬
‫ﺣﺎل ‪ Fortinet_CA_SSLProxy certificate‬را داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ CA certificate .4‬را داﺧﻞ ﻣﺮورﮔﺮ وب وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺑﺮاي اﯾﻨﺘﺮﻧﺖ اﮐﺴﭙﻠﻮرر‪:‬‬
‫ﻣﺮاﺣﻞ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫‪Tools>Internet Options>Content>Certificates >Trusted Root Certification Authorities‬‬
‫‪55‬‬
‫ﺗﻮﺳﻂ ‪ Wizard‬ﻇﺎﻫﺮ ﺷﺪه ‪ certificate‬را وارد ﻧﻤﺎﯾﯿﺪ‪ .‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ Certificate‬در داﺧﻞ ‪Trusted‬‬
‫‪ Root Certification Authorities‬وارد ﺷﺪه اﺳﺖ‪.‬‬
‫ﯾﮏ اﺧﻄﺎري ﺑﻪ ﺷﻤﺎ داده ﺧﻮاﻫﺪ ﺷﺪ ﺑﻪ اﯾﻦ ﺧﺎﻃﺮ ﮐﻪ ‪ Certificate‬ﺻﺎدر ﺷﺪه ‪ Self signed‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﻫﯿﭻ‬
‫ﻣﺸﮑﻠﯽ اﯾﺠﺎد ﻧﺨﻮاﻫﺪ ﺷﺪ و ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ ﺧﯿﺎﻟﯽ آﺳﻮده ‪ certificate‬را ‪ install‬ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺑﺮاي ﻣﺮورﮔﺮ ﻓﺎﯾﺮﻓﺎﮐﺲ‪:‬‬

‫‪Menu>Options or Preferences>Advanced >Certificates‬‬
‫ﻣﯽ ﺗﻮاﻧﯿﺪ ﮔﻮاﻫﯿﻨﺎﻣﻪ ي ﺻﺎدر ﺷﺪه ﺗﻮﺳﻂ ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺑﻪ داﺧﻞ ﻣﺮورﮔﺮ وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺑﺮاي ﻣﺮورﮔﺮ ﮐﺮوم و ﺳﺎﻓﺎري‪:‬‬
‫وارد ﻣﺤﻠﯽ ﺷﻮﯾﺪ ﮐﻪ ‪ Fortinet_CA_SSLProxy‬را داﻧﻠﻮد ﮐﺮدﯾﺪ و ﺳﭙﺲ ﮔﻮاﻫﯿﻨﺎﻣﻪ را ﻧﺼﺐ ﻧﻤﺎﯾﯿﺪ‪ .‬ﻣﺮاﺣﻞ‬
‫ﻣﺮﺑﻮط ﺑﻪ ﻧﺼﺐ ‪ Certificate‬ﻇﺎﻫﺮ ﻣﯽ ﺷﻮد‪ .‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ Certificate‬در داﺧﻞ ‪Trusted Root‬‬
‫‪ Certification Authorities‬ﻧﺼﺐ ﺷﻮد‪ .‬ﭘﺲ از اﻧﺠﺎم اﯾﻦ ﮐﺎر ﭘﯿﻐﺎم اﺧﻄﺎري را ﻣﺸﺎﻫﺪه ﺧﻮاﻫﯿﺪ ﮐﺮد دﻟﯿﻞ‬
‫‪56‬‬
‫اﯾﻦ ﭘﯿﻐﺎم ‪ Self Signed‬ﺑﻮدن ‪ certificate‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ اﯾﻦ ‪ Certificate‬ﮐﺎﻣﻼ اﻣﻦ و ﺑﺪون‬
‫ﻣﺸﮑﻞ ﻣﯽ ﺑﺎﺷﺪ ﭘﺲ ﺑﺎ ﺧﯿﺎﻟﯽ آﺳﻮده آﻧﺮا ﻧﺼﺐ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در ﺻﻮرت ﻧﺎدﯾﺪه ﮔﺮﻓﺘﻦ ﺧﻄﺎﻫﺎي ﻣﺮورﮔﺮ در ﻣﻮرد ‪ Certificate‬ﺑﺎز ﻫﻢ ﻣﻨﻮ ﺑﺎر ﺑﺎﻻي ﺻﻔﺤﻪ رﻧﮓ ﻗﺮﻣﺰي ﺧﻮاﻫﺪ‬
‫داﺷﺖ ﮐﻪ ﺑﺸﺪت روي اﻋﺼﺎب ﮐﺎرﺑﺮان اﺳﺖ ﮐﻪ ﺑﺎ ﻧﺼﺐ ‪ Fortigate SSL CA Certification‬ﻣﺸﮑﻼت ﺣﻞ‬
‫ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬
‫‪57‬‬
‫ﺑﻌﺪ از ﻧﺼﺐ ‪ FortiGate SSL CA Certificate‬ﻫﯿﭻ ﮔﻮﻧﻪ اﺧﻄﺎر ﯾﺎ ﭘﯿﻐﺎم ﺧﻄﺎﯾﯽ ﻧﺒﺎﯾﺪ ﺑﺮاي ﺷﻤﺎ ﻧﻤﺎﯾﺶ داده‬
‫ﺷﻮد زﯾﺮا ﺑﺨﺶ ‪ SSL Content inspection‬ﮐﺎر ﺧﻮد را ﺑﺪرﺳﺘﯽ اﻧﺠﺎم ﻣﯽ دﻫﺪ‪ .‬ﺑﻪ ﻃﻮر ﻣﺜﺎل در ﺣﺎل ﺣﺎﺿﺮ‬
‫‪ iTunes‬ﺑﺪون دادن ﭘﯿﻐﺎم ‪ Crtificate‬اﺟﺮا ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬
‫اﺳﺘﻔﺎده از ﯾﮏ ‪ Certificate‬دﻟﺨﻮاه ﺑﺮاي ‪:SSL Inspection‬‬
‫اﯾﻦ دﺳﺘﻮراﻟﻌﻤﻞ ﺑﻪ ﺷﻤﺎ آﻣﻮزش ﻣﯽ دﻫﺪ ﮐﻪ ﭼﻄﻮر از دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮاي ﺳﺎﺧﺘﻦ ﯾﮏ ‪Certificate‬‬
‫دﻟﺨﻮاه اﺳﺘﻔﺎده ﮐﻨﯿﺪ و اﯾﻦ ‪ Certificat‬ﺑﻮﺳﯿﻠﻪ ﯾﮏ ‪ CA‬ﺳﺮور ﺻﺎدر ﺷﻮد‪.‬‬
‫اﯾﻦ دﺳﺘﻮراﻟﻌﻤﻞ ﺑﻪ ﺷﻤﺎ ﻧﺸﺎن ﺧﻮاﻫﺪ داد ﮐﻪ ﭼﻄﻮر ‪ CA Certificate‬در دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ وارد ﻧﻤﺎﯾﯿﺪ و‬
‫ﭼﮕﻮﻧﻪ ‪ Certificate‬را در ﭘﺮوﻓﺎﯾﻞ ‪ SSL Inspection‬وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﯾﮏ ‪ Certificate‬ﺑﺎ ‪ CA=True‬و ﯾﺎ ‪ KeyUsage=Certsign‬ﯾﮏ ﻣﺘﺎ دﯾﺘﺎ اﯾﺠﺎد ﻣﯽ ﮐﻨﺪ ﺗﺎ در ‪deep inspection‬‬
‫ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮد‪.‬‬
‫وﻗﺘﯽ ‪ Certificate‬ﭘﯿﺶ ﻓﺮض ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد ﮐﻪ ﺑﺎ وارد ﮐﺮدن ﯾﮏ ‪Certificate‬‬
‫دﻟﺨﻮاه از ﯾﮏ ‪ CA‬ﺷﻨﺎﺧﺘﻪ ﺷﺪه دﯾﮕﺮ‪ ،‬ﯾﮏ زﻧﺠﯿﺮه ﻗﺎﺑﻞ اﻋﺘﻤﺎد اﯾﺠﺎد ﺷﻮد ﮐﻪ از ﻗﺒﻞ وﺟﻮد ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬اﯾﻦ‬
‫ﺷﺮاﯾﻂ ﺑﻪ ﮐﺎرﺑﺮان ﺷﺒﮑﻪ اﺟﺎزه ﻣﯽ دﻫﺪ ﺗﺎ ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﻤﺎﻧﻨﺪ ﯾﮏ ‪ CA‬ﺗﺮاﺳﺖ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ .1‬ﺳﺎﺧﺖ ﯾﮏ ‪(certificate signing request) CSR‬‬
‫‪ .2‬وارد ﮐﺮدن ﯾﮏ ‪ signed server certificate‬از ﯾﮏ روت ﺳﺮور ‪CA‬‬
‫‪ .3‬ﺳﺎﺧﺖ ﯾﮏ ﭘﺮوﻓﺎﯾﻞ ‪SSL Inspection‬‬
‫‪ .4‬ﺗﻨﻈﯿﻤﺎت ﯾﮏ ﻓﺎﯾﺮوال ﭘﺎﻟﺴﯽ‬
‫‪58‬‬
‫‪ .1‬درﺳﺖ ﮐﺮدن ﯾﮏ ‪:CSR‬‬

‫ﺣﺎل ﮔﺰﯾﻨﻪ ي ‪ Generate‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در ﺻﻔﺤﻪ ي ‪ Generate Certificate Signing Request‬ﻓﯿﻠﺪﻫﺎي ﻣﺮﺑﻮﻃﻪ را ﭘُﺮ ﻧﻤﺎﯾﯿﺪ‪ .‬ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ‬
‫ﺣﺪاﮐﺜﺮ ﭘﻨﺞ ‪ Organization Unit‬وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﻣﻤﮑﻦ اﺳﺖ ﺷﻤﺎ ‪ Subject Alternative Names‬را ﺑﺮاي ‪Certificate‬ﻫﺎﯾﯽ ﮐﻪ ‪ valid‬ﻫﺴﺘﻨﺪ وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺟﺪاﺳﺎزي ﻧﺎم ﻫﺎ ﺑﺎ اﺳﺘﻔﺎده از ﮐﺎﻣﺎ ﺻﻮرت ﻣﯽ ﭘﺬﯾﺮد‪.‬‬

‫در اﯾﻦ ﻗﺴﻤﺖ ﻣﯽ ﺗﻮاﻧﯿﺪ ﻟﯿﺴﺖ ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ‪ .‬وﺿﻌﯿﺖ ‪ CSR‬ﺳﺎﺧﺘﻪ ﺷﺪه ﻫﻢ در ﻟﯿﺴﺖ ﺑﻪ‬
‫ﺻﻮرت ‪ Pending‬ﻗﺎﺑﻞ ﻣﺸﺎﻫﺪه ﻣﯽ ﺑﺎﺷﺪ‪ Certificate.‬ﻣﻮرد ﻧﻈﺮ ﺧﻮد را اﻧﺘﺨﺎب ﮐﺮده و ﮔﺰﯾﻨﻪ ‪ Download‬را‬
‫ﺑﺰﻧﯿﺪ‪ .‬اﯾﻦ ‪ CSR‬ﺑﺎﯾﺪ ﺗﻮﺳﻂ ﯾﮏ ‪ Enterprise root CA‬اراﺋﻪ ﺷﻮد ﺗﺎ ﺑﺘﻮاﻧﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮد‪ .‬وﻗﺘﯽ اﯾﻦ‬
‫ﻓﺎﯾﻞ اراﺋﻪ ﺷﺪ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ template‬ﺑﺮاي ﯾﮏ ‪ Subordinate Certification Authority‬ﻣﻮرد اﺳﺘﻔﺎده‬
‫ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ‪.‬‬
‫‪ .2‬وارد ﮐﺮدن ﯾﮏ ‪ signed server certificate‬از ﯾﮏ ‪:enterprise root CA‬‬
‫‪59‬‬
‫اوﻟﯿﻦ ﺑﺎري ﮐﻪ ﯾﮏ ‪ CSR‬ﺗﻮﺳﻂ ﯾﮏ ‪ enterprise root CA‬ﻣﻮرد ﻗﺒﻮل واﻗﻊ ﺷﺪ‪ ،‬ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ داﺧﻞ دﺳﺘﮕﺎه‬
‫ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬

‫و ﺑﺮ روي ﮔﺰﯾﻨﻪ ‪ Import‬ﮐﻠﯿﮏ ﻧﻤﺎﯾﯿﺪ‪ .‬در ﻗﺴﻤﺖ ‪ Type‬از ﻣﻨﻮي ﭘﺎﯾﯿﻦ اﻓﺘﺎدﻧﯽ ‪ Drop Down Menu‬ﮔﺰﯾﻨﻪ‬
‫‪ Local Certificate‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و ﺑﺮ روي دﮐﻤﻪ ‪ Choose file‬ﮐﻠﯿﮏ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ Certificate‬را ﮐﻪ در ﻧﻈﺮ دارﯾﺪ وارد ﻧﻤﺎﯾﯿﺪ ‪ locate‬ﮐﺮده و آﻧﺮا اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ .‬ﮔﻮاﻫﯿﻨﺎﻣﻪ ي ﭘﺬﯾﺮﻓﺘﻪ ﺷﺪه‬
‫ﺗﻮﺳﻂ ‪ CA‬در ﻗﺴﻤﺖ ﻟﻮﮐﺎل ﻗﺎﺑﻞ ﻣﺸﺎﻫﺪه ﺧﻮاﻫﺪ ﺑﻮد‪.‬‬
‫‪ .3‬ﺳﺎﺧﺖ ﯾﮏ ‪:SSL Inspection Profile‬‬
‫ﺑﺮاي اﺳﺘﻔﺎده ﮐﺮدن از ﮔﻮاﻫﯿﻨﺎﻣﻪ ﺻﺎدر ﺷﺪه ﺑﺮاي ﺷﻤﺎ ﯾﮏ ‪ SSL Inspection profile‬ﻧﯿﺎز ﻣﯽ ﺑﺎﺷﺪ‬
‫‪Policy & Objects>Policy>SSL/SSH Inspection‬‬
‫ﺳﺎﺧﺖ ﯾﮏ ‪ SSL Inspection Profile‬در ﻣﻨﻮي ﭘﺎﯾﯿﻦ اﻓﺘﺎدﻧﯽ ‪ CA Certificate‬ﮔﻮاﻫﯿﻨﺎﻣﻪ اي ﮐﻪ ‪Import‬‬

‫ﮐﺮدﯾﺪ را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ Inspection Method .‬را در ﺣﺎﻟﺖ ‪ Full SSL Inspection‬ﻗﺮار داده و ﺗﯿﮏ ﮔﺰﯾﻨﻪ‬
‫‪ Inspect All Port‬را ﺑﺰﻧﯿﺪ‪.‬‬
‫ﻣﻤﮑﻦ اﺳﺖ ﺷﻤﺎ ﺑﺨﻮاﻫﯿﺪ دﺳﺘﻪ ﺑﻨﺪي وب ﺳﺎﯾﺖ ﻫﺎ را اﻧﺘﺨﺎب ﮐﺮده و آدرس ﻫﺎﯾﯽ ﮐﻪ از ‪SSL Inspection‬‬
‫ﻣﻌﺎف ﻫﺴﺘﻨﺪ را ﻣﺸﺨﺺ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ .4‬وﯾﺮاﯾﺶ ‪ Internet Policy‬ﻣﻮرد اﺳﺘﻔﺎده ﺟﻬﺖ ‪ SSL inspection profile‬ﺟﺪﯾﺪ‪:‬‬

‫‪Policy & Objects >Policy>IPv4‬‬
‫ﭘﺎﻟﯿﺴﯽ ﮐﻨﺘﺮﻟﺮ ﻣﺮﺑﻮط ﺑﻪ ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺖ را وﯾﺮاﯾﺶ ﻧﻤﺎﯾﯿﺪ‬
‫در ﻗﺴﻤﺖ ‪ ،Security Profiles‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ SSL Inspection‬و ‪ Web Filter‬روﺷﻦ ﻣﯽ ﺑﺎﺷﻨﺪ‪ .‬از‬
‫ﻣﻨﻮي ﭘﺎﯾﯿﻦ اﻓﺘﺎدﻧﯽ ‪ SSL Inspection‬ﭘﺮوﻓﺎﯾﻞ ﺟﺪﯾﺪ را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ .‬وب ﻓﯿﻠﺘﺮ روي ﺣﺎﻟﺖ ﭘﯿﺶ ﻓﺮض‬
‫ﺑﺎﻗﯽ ﺑﻤﺎﻧﺪ‪.‬‬
‫‪60‬‬
‫وﻗﺘﯽ ﮐﻪ ﯾﮏ وب ﺳﺎﯾﺖ ‪ HTTPS‬را ﺑﻪ ﺻﻮرت ﻧﺮﻣﺎل ﻣﺸﺎﻫﺪه ﻣﯽ ﮐﻨﯿﺪ ﻣﻤﮑﻦ اﺳﺖ ﯾﮏ ﭘﯿﻐﺎم اﺧﻄﺎر ﻇﺎﻫﺮ‬
‫ﺷﻮد اﻟﺒﺘﻪ اﯾﻦ اﺗﻔﺎق در ﺷﺮاﯾﻄﯽ رخ ﻣﯽ دﻫﺪ ﮐﻪ ﺷﻤﺎ از ‪ Self-signed certificate‬اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫اﮔﺮ ﺷﻤﺎ از ﯾﮏ ﮔﻮاﻫﯿﻨﺎﻣﻪ ﺗﻮﺳﻂ ﯾﮏ ‪ CA‬ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺻﺎدر ﺷﺪه ﺑﺎﺷﺪ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ ﭘﯿﻐﺎم اﺧﻄﺎر ﻧﺒﺎﯾﺪ‬
‫ﻧﻤﺎﯾﺶ داده ﺷﻮد‪.‬‬
‫اﮔﺮ اﻃﻼﻋﺎت ﻣﺮﺗﺒﻂ ﺑﺎ ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎي ﺻﺎدر ﺷﺪه ﺑﺮاي ﻫﺮ وب ﺳﺎﯾﺖ را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ اﻃﻼﻋﺎﺗﯽ در ﻣﻮرد‬
‫وﺿﻌﯿﺖ ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ ﺗﺎرﯾﺦ ﺻﺪور و ﺗﺎرﯾﺦ اﻧﻘﻀﺎ و ﺳﺎﯾﺮ ﻣﻮارد ﺑﺪﺳﺖ ﻣﯽ آورﯾﺪ‪.‬‬
‫در ﺣﺎل ﺣﺎﺿﺮ ﯾﮏ ﮐﺎرﺑﺮ ﻣﻌﻤﻮﻟﯽ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﺻﻮرت دﺳﺘﯽ ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ را ‪ import‬ﮐﺮده ﺗﺎ ‪ trust‬ﻻزم را‬
‫ﺑﺪﺳﺖ آورد اﻣﺎ در ﺷﺒﮑﻪ ﻫﺎي وﯾﻨﺪوزي ﮐﺎرﺑﺮي ﮐﻪ ﺟﺰو ‪ Domain‬ﺑﺎﺷﺪ ادﻣﯿﻦ ﺳﯿﺴﺘﻢ ﻣﯽ ﺗﻮاﻧﺪ از ﻃﺮﯾﻖ‬
‫‪ Group policy‬ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ را ﻓﻮرس ﻧﻤﺎﯾﺪ‪.‬‬
‫اﺟﺎزه دﺳﺘﺮﺳﯽ ﺑﻪ ﺷﺒﮑﻪ ﺑﺮ اﺳﺎس زﻣﺎﻧﺒﺪي و ﻧﻮع دﺳﺘﮕﺎه‪:‬‬
‫در اﯾﻦ ﻣﺜﺎل‪ ،‬ﯾﻮزر و دﯾﻮاﯾﺲ ﻫﺎي اﺣﺮاز ﻫﻮﯾﺖ ﺷﺪه ‪ authentication‬دﺳﺘﺮﺳﯽ ﻣﺘﻔﺎوﺗﯽ ﻧﺴﺒﺖ ﺑﻪ ﺳﺎﯾﺮ‬
‫ﭘﺮﺳﻨﻞ ﺧﻮاﻫﺪ داﺷﺖ ﮐﻪ اﯾﻦ ﭘﺎﻟﺴﯽ ﺷﺎﻣﻞ ﺗﻤﺎم وﻗﺖ و ﯾﺎ ﻧﯿﻤﻪ وﻗﺖ ﺑﻮده و ﺗﺮاﻓﯿﮏ ﺑﺮاي ﻣﻮﺑﺎﯾﻞ ﻫﺎ ﺑﺴﺘﻪ‬
‫ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬
‫در اﯾﻦ اﯾﻨﺠﺎ‪ ،‬ﯾﮏ ﺷﺒﮑﻪ واﯾﺮﻟﺲ در ﯾﮏ ‪ subnet‬ﻫﻤﺎﻧﻨﺪ ﺷﺒﮑﻪ ‪ LAN‬ﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ و ﮐﺎرﺑﺮان در ﺣﺎل‬
‫اﺳﺘﻔﺎده ﻣﯽ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ .1‬ﺗﻌﺮﯾﻒ ﮐﺮدن دو ﮐﺎرﺑﺮ و دو ‪User Groups‬‬
‫‪ .2‬ﺳﺎﺧﺖ ﯾﮏ زﻣﺎﻧﺒﺪي ﺑﺮاي ﮐﺎرﺑﺮان ﭘﺎره وﻗﺖ‬
‫‪ .3‬ﺗﻌﺮﯾﻒ ﮐﺮدن ﯾﮏ ﮔﺮوﻫﯽ ﮐﻪ ﺷﺎﻣﻞ دﯾﻮاﯾﺲ ﻫﺎ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ اﯾﻦ ﮔﺮوه ﺷﺎﻣﻞ ‪ mobile phone‬ﻫﺎ‬
‫ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ .4‬ﺳﺎﺧﺖ ﯾﮏ ﭘﺎﻟﺴﯽ ﺑﺮاي ﮐﺎرﮐﻨﺎن ﺗﻤﺎم وﻗﺖ‬
‫‪ .5‬ﺳﺎﺧﺖ ﯾﮏ ﭘﺎﻟﺴﯽ ﭘﺎره وﻗﺖ ﺑﺮاي ﮐﺎرﮐﻨﺎن و اﻋﻤﺎل زﻣﺎﻧﺒﺪي‬
‫‪ .6‬ﺳﺎﺧﺖ ﭘﺎﻟﺴﯽ ﮐﻪ ﺗﺮاﻓﯿﮏ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ﻣﻮﺑﺎﯾﻞ را ﺑﻼك ﻣﯽ ﮐﻨﺪ‬
‫ﺷﻤﺎﺗﯿﮑﯽ ﺧﻼﺻﻪ از ﺳﻨﺎرﯾﻮﯾﯽ ﮐﻪ ﻗﺼﺪ اﻧﺠﺎم آن را دارﯾﻢ‪:‬‬
‫‪61‬‬
‫‪ .1‬ﺗﻌﺮﯾﻒ ﮐﺮدن دو ﯾﻮزر و دو ﯾﻮزر ﮔﺮوه‬
‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‬

‫‪User & Device > User > User Definitions‬‬
‫ﺳﺎﺧﺖ دو ﮐﺎرﺑﺮ ﺟﺪﯾﺪ ) در اﯾﻦ ﻣﺜﺎل ‪ ،‬از ﻧﺎم ﻫﺎي داود و روﻣﯿﻨﺎ اﺳﺘﻔﺎده ﻣﯿﮑﻨﯿﻢ(‬
‫ﻫﺮ دو ﯾﻮزر در ﻟﯿﺴﺖ ﯾﻮزرﻫﺎ ﻧﻤﺎﯾﺶ داده ﻣﯽ ﺷﻮﻧﺪ‪.‬‬
‫‪62‬‬
‫‪User & Device > User > User Groups‬‬
‫ﯾﮏ ﯾﻮزرﮔﺮوپ ﺑﺎ اﺳﻢ ‪ Full Time‬ﺑﺴﺎزﯾﺪ و ﮐﺎرﺑﺮ داود را ﺑﻪ آن اﺿﺎﻓﻪ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﯾﻮزرﮔﺮوپ دوم را ﺳﺎﺧﺘﻪ و ﻧﺎم ‪ Part-Time‬را ﺑﻪ آن اﺧﺘﺼﺎص ﺑﺪﻫﯿﺪ و ﮐﺎرﺑﺮ روﻣﯿﻨﺎ را ﺑﻪ آن اﺿﺎﻓﻪ ﮐﻨﯿﺪ‪.‬‬
‫‪ .2‬ﺳﺎﺧﺖ ﯾﮏ زﻣﺎﻧﺒﻨﺪي ﺑﺮاي ﮐﺎرﺑﺮان ﻧﯿﻤﻪ وﻗﺖ ‪:‬‬
‫‪Policy & Objects > Objects > Schedules‬‬
‫‪63‬‬
‫ﯾﮏ زﻣﺎﻧﺒﻨﺪي در ﻣﺤﺪوده ي زﻣﺎﻧﯽ ﻣﺸﺨﺺ ﺑﺴﺎزﯾﺪ‪ .‬ﺗﻨﻈﯿﻤﺎت را ﺑﺮ اﺳﺎس زﻣﺎﻧﺒﻨﺪي ﻣﻨﺎﺳﺐ و دﻟﺨﻮاه ﺧﻮد‬
‫اﻧﺠﺎم دﻫﯿﺪ‪.‬‬
‫‪ .3‬ﺗﻌﯿﯿﻦ ﮐﺮدن ﯾﮏ ﮔﺮوه از دﺳﺘﮕﺎه ﻫﺎ ﮐﻪ ﺷﺎﻣﻞ ﻣﻮﺑﺎﯾﻞ ﻫﺎ ﻣﯽ ﺷﻮﻧﺪ‬

‫‪User & Device > Device >Device Groups‬‬
‫ﯾﮏ ﮔﺮوه ﺟﺪﯾﺪ ﺑﺴﺎزﯾﺪ‪.‬‬
‫ﻣﺪل ﻫﺎي ﻣﺨﺘﻠﻒ از ﻣﻮﺑﺎﯾﻞ را ﻋﻀﻮ ﮔﺮوه ﮐﻨﯿﺪ‪.‬‬
‫‪ .4‬ﺳﺎﺧﺖ ﭘﺎﻟﺴﯽ ﺑﺮاي ﭘﺮﺳﻨﻞ ﺗﻤﺎم وﻗﺖ‪:‬‬

‫‪Policy & Objects > Policy> IPv4‬‬
‫ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﺑﺴﺎزﯾﺪ‪...‬‬
‫اﯾﻨﺘﺮﻓﯿﺲ ورودي ﺧﻮد را ﺷﺒﮑﻪ داﺧﻠﯽ درﻧﻈﺮ ﮔﺮﻓﺘﻪ در ﮔﺰﯾﻨﻪ )‪ Source User(s‬ﮔﺮوه ‪ full-time‬را اﻧﺘﺨﺎب‬
‫ﻧﻤﺎﯾﯿﺪ و ﺑﺮاي ‪ outgoing Interface‬دﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ را در ﻧﻈﺮ ﮔﺮﻓﺘﻪ و ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ Schedule‬روي ﺣﺎﻟﺖ‬
‫‪ always‬ﻗﺮار دارد‪ NAT .‬را روﺷﻦ ﮐﻨﯿﺪ‪.‬‬
‫در ﻗﺴﻤﺖ ‪ logging Options‬ﺣﺎﻟﺖ ‪ Log Allowed Traffic‬را روﺷﻦ ﮐﺮده و ﮔﺰﯾﻨﻪ ‪ All Sessions‬را اﻧﺘﺨﺎب‬
‫‪ .5‬ﺳﺎﺧﺖ ﯾﮏ ﭘﺎﻟﺴﯽ ﺑﺮاي ﭘﺮﺳﻨﻞ ﯾﺎره وﻗﺖ‬
‫‪64‬‬
‫‪Policy & Objects >Policy > IPv4‬‬
‫ﺣﺎل ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﺑﺎ ﻣﺸﺨﺼﺎت زﯾﺮ ﺑﺴﺎزﯾﺪ‪:‬‬

‫‪Incoming Interface = Local Network‬‬
‫‪Source User(S) = Part-time Group‬‬
‫‪Outgoing Interface = Internet Interface‬‬
‫‪Schedule = part-time schedule‬‬
‫‪NAT Turn on‬‬
‫ﻫﻤﺎﻧﻨﺪ ﺗﻨﻈﯿﻤﺎت ﻗﺒﻠﯽ از ﺑﺨﺶ ‪ Logging Options‬ﮔﺰﯾﻨﻪ ‪ Log Allowed Traffic‬را روﺷﻦ ﮐﺮده و ﮔﺰﯾﻨﻪ‬
‫‪ All Sessions‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ System> Dashboard> Status‬ﺑﺮوﯾﺪ و دﺳﺘﻮرات زﯾﺮ را در ﻣﺤﯿﻂ ‪ CLI‬وارد ﻧﻤﺎﯾﯿﺪ ﺟﻬﺖ وارد‬
‫ﮐﺮدن ﭘﺎﻟﺴﯽ ﻣﺮﺑﻮط ﺑﻪ ‪ part-time‬ﺣﺘﻤﺎ از ‪ ID number‬اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫اﯾﻦ دﺳﺘﻮر ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد اﮔﺮ ‪Session‬ﻫﺎي ﯾﻮزر ﺑﺎ ﺳﯿﺴﺘﻢ ﺑﺮﻗﺮار ﺑﺎﺷﺪ ﺑﻌﺪ از اﺗﻤﺎم زﻣﺎن اﺳﺘﻔﺎده ‪Session‬ﻫﺎ‬
‫ﺑﺴﺘﻪ ﺷﺪه و ارﺗﺒﺎط ﮐﺎرﺑﺮ ﻗﻄﻊ ﺷﻮد‪.‬‬
‫‪config‬‬ ‫‪firewall‬‬ ‫‪policy‬‬
‫‪edit 2‬‬
‫‪set‬‬ ‫‪schedule-timeout‬‬ ‫‪enable‬‬
‫‪end‬‬
‫‪end‬‬
‫‪ .6‬ﺳﺎﺧﺖ ﯾﮏ ﭘﺎﻟﺴﯽ ﮐﻪ ﺗﺮاﻓﯿﮏ ﻣﺮﺑﻮط ﺑﻪ ﻣﻮﺑﺎﯾﻞ ﻫﺎ را ﺑﻼك ﻣﯿﮑﻨﺪ‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Policy & Objects> Policy> IPv4‬رﻓﺘﻪ و ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﻣﻄﺎﺑﻖ ﺑﺎ ﺗﻨﻈﯿﻤﺎت زﯾﺮﺑﺴﺎزﯾﺪ‪.‬‬
‫‪Incoming Interface = Local Network‬‬
‫‪Source Device = Mobile Devices‬‬
‫‪Outgoing Interface = Internet‬‬
‫‪Action = DENY‬‬
‫‪Log Violation Traffic = Turned On‬‬
‫اﯾﻦ ﭘﺎﻟﺴﯽ وﻗﺘﯽ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد ﮐﻪ در ﺑﺎﻻي ﭘﺎﻟﺴﯽ ﻫﺎي دﯾﮕﺮ ﻗﺮار ﮔﯿﺮد‪ .‬ﺑﺮاي ﺑﺎﻻ ﺑﺮدن اوﻟﻮﯾﺖ‬
‫اﯾﻦ ﭘﺎﻟﺴﯽ ﮐﺎﻓﯽ اﺳﺖ در ﮔﻮﺷﻪ ي ﺳﻤﺖ راﺳﺖ آن ﮐﻠﯿﮏ ﮐﺮده و در ﺣﺎﻟﯽ ﮐﻪ ﻣﻮس را ﻧﮕﻪ داﺷﺘﻪ اﯾﺪ آن را ﺑﻪ‬
‫ﺑﺎﻻ ﻫﺪاﯾﺖ ﮐﻨﯿﺪ ‪.‬‬
‫‪.7‬ﻧﺘﺎﯾﺞ‬
‫‪65‬‬
‫ﺟﻬﺖ اﺳﺘﻔﺎده از اﯾﻨﺘﺮﻧﺖ ﺷﻤﺎ ﺻﻔﺤﻪ ي ﻣﺮﺑﻮط ﺑﻪ ‪ Authentication‬را ﻣﺸﺎﻫﺪه ﺧﻮاﻫﯿﺪ ﮐﺮد‪ .‬ﺑﺮاي ﻻﮔﯿﻦ‬
‫ﺷﺪن از اﮐﺎﻧﺖ ‪ davood‬اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪ .‬اﯾﻦ اﮐﺎﻧﺖ در ﺗﻤﺎم ﺳﺎﻋﺎت اﺟﺎزه اﺳﺘﻔﺎده را ﺧﻮاﻫﺪ داﺷﺖ‪.‬‬
‫از ﻃﺮﯾﻖ ﻣﺴﯿﺮ ‪ User & Device> Monitor>Firewall‬ﮐﺎرﺑﺮ ‪ davood‬را اﻧﺘﺨﺎب ﮐﺮده و ﮔﺰﯾﻨﻪ‬
‫‪ De-authenticate‬را ﺑﺰﻧﯿﺪ‪.‬اﯾﻦ ﺑﺎر از ﻃﺮﯾﻖ ﯾﻮزر روﻣﯿﻨﺎ ﺳﻌﯽ ﮐﻨﯿﺪ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﺷﻮﯾﺪ‪ .‬ﺑﻌﺪ از اﯾﻨﮑﻪ‬
‫‪ Authentication‬اﺗﻔﺎق ﻣﯽ اﻓﺘﺪ ﺷﻤﺎ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ اﯾﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﯿﺪ! اﯾﻦ ﻧﮑﺘﻪ را ﺑﻪ ﺧﺎﻃﺮ‬
‫ﺑﺴﭙﺎرﯾﺪ ﮐﻪ ﺗﻤﺎم دﺳﺘﮕﺎه ﻫﺎي ﻣﻮﺑﺎﯾﻞ ﻫﻢ اﯾﻨﺘﺮﻧﺖ ﻧﺨﻮاﻫﺪ داﺷﺖ‪.‬‬
‫اﻃﻼﻋﺎت در ﻣﻮرد ‪Session‬ﻫﺎي ﺑﻼك ﺷﺪه از ﻃﺮﯾﻖ ‪ System > Fortiview>All Session‬ﻗﺎﺑﻞ دﺳﺘﯿﺎﺑﯽ‬
‫اﺳﺖ‪.‬‬
‫‪IPsec VPN‬‬
‫اﯾﻦ ﻗﺴﻤﺖ ﺣﺎوي اﻃﻼﻋﺎﺗﯽ در ﻣﻮرد اﻧﺠﺎم ﺗﻨﻈﯿﻤﺎت اﻧﻮاع ﻣﺨﺘﻠﻒ ‪ IPsec VPN‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﻫﻤﭽﻨﯿﻦ روش ﻫﺎي‬
‫ﻣﺘﻔﺎوﺗﯽ از اﺣﺮاز ﻫﻮﯾﺖ ﮐﺎرﺑﺮان در ‪ IPsec VPN‬در اﯾﻦ ﻓﺼﻞ ﺷﺮح داده ﺧﻮاﻫﺪ ﺷﺪ‪.‬‬
‫‪ IPsec VPN‬از ﭘﺮوﺗﮑﻞ اﻣﻨﯿﺘﯽ اﯾﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻣﯿﮑﻨﺪ ﺗﺎ ﯾﮏ ‪ Virtual Private Netwrok‬ﺳﺎﺧﺘﻪ و ﺷﻤﺎ ﺑﺎ‬
‫اﺳﺘﻔﺎده از ﺑﺴﺘﺮ اﯾﻨﺘﺮﻧﺖ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ )ﺧﺼﻮﺻﯽ( ﺧﻮد دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﯿﺪ‪ .‬ﺑﻪ ﻣﻨﻈﻮر اﺗﺼﺎل ﺑﻪ ﯾﮏ‬
‫‪ ،IPsec VPN‬ﮐﺎرﺑﺮان ﻣﻠﺰم ﻫﺴﺘﻨﺪ ‪ IPsec VPN‬ﮐﻼﯾﻨﺖ را ﺑﺮ روي ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎ و ﯾﺎ ﻣﻮﺑﺎﯾﻞ ﻫﺎي ﺧﻮد ﻧﺼﺐ و‬
‫) ﻫﻤﺎﻧﻨﺪ ‪. ( FortiClient‬‬ ‫ﺗﻨﻈﯿﻢ ﻧﻤﺎﯾﻨﺪ ‪.‬‬
‫اﯾﻦ ﺑﺨﺶ ﺣﺎوي دﺳﺘﻮراﻟﻌﻤﻞ ﻫﺎي زﯾﺮ ﻣﯽ ﺑﺎﺷﺪ‪:‬‬
‫‪66‬‬
‫ﭘﯿﮑﺮﺑﻨﺪي ﯾﮏ ‪ IPsec VPN‬ﺑﺮاي دﺳﺘﮕﺎه ﻫﺎي ‪IOS‬‬ ‫‪‬‬
‫راﻫﻨﻤﺎﯾﯽ ﻫﺎي وﯾﮋه ﺑﺮاي ‪IPsec VPN‬‬ ‫‪‬‬
‫‪ ‬اﺳﺘﻔﺎده از ‪ IPsec VPN‬ﺑﺮاي اﯾﺠﺎد ارﺗﺒﺎط ﺑﯿﻦ دو ﺷﻌﺒﻪ‬
‫ﭘﯿﮑﺮﺑﻨﺪي ‪ IPsec VPN‬ﺟﻬﺖ ارﺗﺒﺎط ﺑﯿﻦ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻣﺎﯾﮑﺮوﺳﺎﻓﺖ ‪Azure‬‬ ‫‪‬‬
‫‪ ‬راه اﻧﺪازي ‪ BGP‬ﺑﺮ روي ‪ dynamic IPsec VPN‬ﺑﯿﻦ دو دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ﭘﯿﮑﺮﺑﻨﺪي ﯾﮏ ‪ IPsec VPN‬ﺑﺮاي دﺳﺘﮕﺎه ﻫﺎي ‪:iOS‬‬
‫اﯾﻦ دﺳﺘﻮراﻟﻌﻤﻞ اﺳﺘﻔﺎده از وﯾﺰارد ‪ IPsec VPN‬ﺟﻬﺖ دﺳﺘﺮﺳﯽ ﮔﺮوﻫﯽ از ﮐﺎرﺑﺮان راه دور ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ‬
‫ﺷﺮﮐﺖ را ﻓﺮاﻫﻢ ﻣﯽ ﺳﺎزد‪ .‬اﯾﻦ ﻧﮑﺘﻪ ﻗﺎﺑﻞ ذﮐﺮ اﺳﺖ ﮐﻪ اﯾﻦ ﮐﺎرﺑﺮان از ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ‪ iOS‬اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ‪.‬‬
‫‪ -1‬ﺳﺎﺧﺖ ﯾﮏ ﮔﺮوه از ﮐﺎرﺑﺮاﻧﯽ ﮐﻪ داراي ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ‪ iOS‬ﻫﺴﺘﻨﺪ‪.‬‬
‫‪ -2‬اﺿﺎﻓﻪ ﮐﺮدن ﯾﮏ ﻓﺎﯾﺮوال آدرس ﺑﺮاي ﺷﺒﮑﻪ ﻣﺤﻠﯽ‬
‫‪ -3‬ﭘﯿﮑﺮﺑﻨﺪي ‪ IPsec VPN‬ﺑﺎ اﺳﺘﻔﺎده از وﯾﺰارد‬
‫‪ -4‬ﺳﺎﺧﺖ ﯾﮏ ‪ Security Policy‬ﺑﺮاي دﺳﺘﯿﺎﺑﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ‬
‫‪ -5‬ﭘﯿﮑﺮﺑﻨﺪي ‪ VPN‬ﺑﺮ روي دﺳﺘﮕﺎه ‪iOS‬‬
‫‪ .1‬ﺳﺎﺧﺖ ﯾﮏ ﮔﺮوه از ﮐﺎرﺑﺮاﻧﯽ ﮐﻪ از ‪ iOS‬اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ User & Device> User> User Definition‬ﺑﺮوﯾﺪ‪.‬‬
‫‪67‬‬
‫ﺑﺎ اﺳﺘﻔﺎده از وﯾﺰارد ﺗﻮﺿﯿﺢ داده ﺷﺪه در ﻣﺮاﺣﻞ ﻗﺒﻠﯽ ﯾﮏ ‪ Local User‬ﺟﺪﯾﺪ ﺑﺴﺎزﯾﺪ‪ .‬ﺳﻌﯽ ﮐﻨﯿﺪ در ﺗﻤﺎم‬
‫ﻣﺮاﺣﻞ اﻃﻼﻋﺎت را ﺑﺎ دﻗﺖ وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺑﻪ ﻗﺴﻤﺖ ‪ User & Devices> User> User Groups‬وارد ﺷﻮﯾﺪ‪ .‬ﯾﮏ ﯾﻮزر ﮔﺮوپ ﺑﺮاي ﮐﺎرﺑﺮان ‪ iOS‬ﺑﺴﺎزﯾﺪ‬
‫و ﮐﺎرﺑﺮ ﺳﺎﺧﺘﻪ ﺷﺪه در ﻣﺮﺣﻠﻪ ﻗﺒﻞ را ﺑﻪ آن اﺿﺎﻓﻪ ﮐﻨﯿﺪ‬
‫‪ .2‬ﺑﻪ ﻣﺴﯿﺮ ‪ Policy & Objects> Objects> Addresses‬ﺑﺮوﯾﺪ‪ .‬ﯾﮏ ﻓﺎﯾﺮوال آدرس ﺑﺮاي ﺷﺒﮑﻪ داﺧﻠﯽ‬
‫اﺿﺎﻓﻪ ﮐﻨﯿﺪ ﮐﻪ ﺷﺎﻣﻞ ‪ Subnet‬و ‪ Local Host‬ﺑﺎﺷﺪ‪.‬‬
‫‪68‬‬
‫‪ .3‬ﭘﯿﮑﺮﺑﻨﺪي ‪ IPsec VPN‬ﺑﺎ اﺳﺘﻔﺎده از ‪ IPsec VPN‬وﯾﺰارد‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ VPN> IPSec> Wizard‬ﺑﺮوﯾﺪ‪.‬‬
‫ﯾﮏ ﻧﺎم ﺑﺮاي ‪ VPN connection‬اﻧﺘﺨﺎب ﮐﺮده و ﮔﺰﯾﻨﻪ ‪ Dial UP – iOS‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫دﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ ﺗﺮاﻓﯿﮏ از آن وارد ﻣﯽ ﺷﻮد )‪ Pre-shared Key .(Incoming Interface‬را‬
‫اﻧﺘﺨﺎب ﮐﻨﯿﺪ ﺗﺎ ‪ Authentication Method‬اﻧﺠﺎم ﺷﻮد‪.‬‬
‫ﺑﻌﺪ از وارد ﮐﺮدن ‪ pre-shared key‬ﯾﻮزر ﮔﺮوه ﻣﺮﺑﻮط ﺑﻪ ‪ iOS‬را اﻧﺘﺨﺎب ﮐﺮده و ‪ Next‬ﮐﻨﯿﺪ‬
‫‪ LAN‬را ﺑﺮ روي اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ ﺗﻨﻈﯿﻢ ﮐﻨﯿﺪ و در ﻗﺴﻤﺖ ‪ Local Address‬آدرس ﺷﺒﮑﻪ داﺧﻠﯽ ﺧﻮد را‬
‫ﺑﺪﻫﯿﺪ‪ .‬رﻧﺞ ‪ IP‬ﻣﺮﺑﻮط ﺑﻪ ﮐﺎرﺑﺮان ‪ VPN‬را ﻣﺸﺨﺺ ﮐﻨﯿﺪ‪ .‬ﺷﮑﻞ زﯾﺮ ﮐﺎﻣﻼ ﮔﻮﯾﺎي ﺗﻤﺎم ﻣﻮارد ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪69‬‬
‫‪ .4‬ﺳﺎﺧﺘﻦ ‪ Security Profile‬ﺑﺮاي اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Policy & Objects> Policy> IPv4‬ﺑﺮوﯾﺪ و ﯾﮏ ‪ security policy‬ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﻣﺸﺨﺼﺎت زﯾﺮ‬
‫ﺑﺴﺎزﯾﺪ در اﯾﻦ ﭘﺎﻟﺴﯽ ﻣﺎ ﺑﻪ ﮐﺎرﺑﺮان رﯾﻤﻮﺗﯽ ‪ iOS‬دار اﺟﺎزه ﻣﯽ دﻫﯿﻢ از ﻃﺮﯾﻖ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ اﯾﻨﺘﺮﻧﺖ‬
‫دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ .5‬ﭘﯿﮑﺮﺑﻨﺪي ‪ VPN‬ﺑﺮ روي دﺳﺘﮕﺎه ﻫﺎي ‪iOS‬‬
‫ﻣﺴﯿﺮ زﯾﺮ را در ‪ iPad‬ﺧﻮد ﻃﯽ ﮐﻨﯿﺪ‪:‬‬

‫‪Settings> General> VPN> add VPN configuration‬‬
‫آدرس ﺳﺮور ‪ VPN‬را وارد ﻧﻤﺎﯾﯿﺪ‪ ،‬ﯾﻮزرﻧﯿﻢ و ﭘﺴﻮرد را در ﻓﯿﻠﺪﻫﺎي ﻣﺸﺨﺺ وارد ﻧﻤﺎﯾﯿﺪ در ﻣﺮﺣﻠﻪ آﺧﺮ ‪pre-‬‬
‫‪ shared‬را در ﻓﯿﻠﺪ ‪ secret‬وارد ﮐﻨﯿﺪ‪.‬‬
‫‪70‬‬
‫در دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﻗﺴﻤﺖ ‪ VPN> Monitor>IPsec Monitor‬رﻓﺘﻪ و وﺿﻌﯿﺖ ﺗﺎﻧﻞ را ﻣﺸﺎﻫﺪه ﮐﻨﯿﺪ‪.‬‬
‫ﻫﻤﭽﻨﯿﻦ ﮐﺎرﺑﺮان ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﯽ ﺗﻮاﻧﻨﺪ از دﺳﺘﮕﺎه ﻫﺎي ‪ iOS‬ﺧﻮد اﺳﺘﻔﺎده ﮐﻨﻨﺪ‪.‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Log & Report> Traffic Log> Forward Traffic‬ﺑﺮوﯾﺪ ﺗﺎ وﺿﻌﯿﺖ ﺗﺮاﻓﯿﮏ را ﻣﺸﺎﻫﺪه ﮐﻨﯿﺪ‪.‬‬
‫ﺑﺎ اﻧﺘﺨﺎب ﯾﮑﯽ از ﺳﻄﺮﻫﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺟﺰﺋﯿﺎت ﺑﯿﺸﺘﺮي را ﺑﺒﯿﻨﯿﺪ‪.‬‬
‫ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﺎرﺑﺮاﻧﯽ ﮐﻪ ﺗﻮﺳﻂ دﺳﺘﮕﺎه ﻫﺎي ‪ iOS‬ﺧﻮد ﺑﻪ ﺷﺒﮑﻪ ﺷﻤﺎ ﻣﺘﺼﻞ ﺷﺪه اﻧﺪ ﺑﻪ اﯾﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﯽ‬
‫دارﻧﺪ اﻟﺒﺘﻪ اﯾﻦ دﺳﺘﺮﺳﯽ ﺗﻮﺳﻂ ﻓﻮرﺗﯽ ﮔﯿﺖ داده ﻣﯽ ﺷﻮد‪.‬‬
‫راﻫﻨﻤﺎﯾﯽ در ﻣﻮرد ‪IPsec VPN‬‬
‫ﻣﻄﺎﻟﺐ ﮔﺮدآوري ﺷﺪه در اﯾﻦ ﺑﺨﺶ ﮐﻤﮏ ﺧﻮاﻫﺪ ﮐﺮد ﺗﺎ ‪ IPsec VPN‬را ﺑﻪ راﺣﺘﯽ راه اﻧﺪازي ﮐﻨﯿﺪ‪.‬‬
‫‪The options to configure policy-based IPsec VPN are unavailable‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ System > Config > Feature‬ﺑﺮوﯾﺪ‪ .‬ﮔﺰﯾﻨﻪ ‪ Show more‬را اﻧﺘﺨﺎب ﮐﺮده و ﻗﺎﺑﻠﯿﺖ ‪Policy-based‬‬
‫‪ IPsec VPN‬را ﻓﻌﺎل ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪The VPN connection attempt fails‬‬
‫اﮔﺮ در اﺗﺼﺎل ﻣﺸﮑﻼﺗﯽ دارﯾﺪ ﻣﻮارد زﯾﺮ را ﭼﮏ ﮐﻨﯿﺪ‪:‬‬
‫‪ ‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﻫﺮ دو ‪ Pre-shared key‬ﮐﺎﻣﻼ درﺳﺖ اﺳﺖ و ﺑﺎ ﯾﮑﺪﯾﮕﺮ ﻣﻄﺎﺑﻘﺖ دارد‪.‬‬

‫‪ ‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﺗﻨﻈﯿﻤﺎت اﻧﺘﻬﺎﯾﯽ ﻫﺮ دو ﻃﺮف ﯾﮑﺴﺎن و ﺑﺮ اﺳﺎس ﺗﻨﻈﯿﻤﺎت ﭘﯿﺸﻨﻬﺎدي اﻧﺠﺎم ﺷﺪه‬
‫اﺳﺖ‪.‬‬
‫‪ ‬اﮔﺮ ﺳﺮوﯾﺲ ﻫﺎﯾﯽ ﻣﺜﻞ ‪ DHCP/DNS‬ﻣﺸﮑﻞ دارﻧﺪ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺗﺮاﻓﯿﮏ ﻫﺎي ﺧﻮد را ﺑﻪ‬
‫ﺑﯿﺮون‪/‬داﺧﻞ ﻫﺪاﯾﺖ ﮐﻨﻨﺪ‪.‬‬
‫‪ ‬ﭼﮏ ﮐﻨﯿﺪ ﮐﻪ اﺳﺘﺎﺗﯿﮏ ‪ route‬ﻫﺎ ﺑﻪ درﺳﺘﯽ ﭘﯿﮑﺮﺑﻨﺪي ﺷﺪه اﻧﺪ ﺗﺎ ﺗﺮاﻓﯿﮏ ‪ VPN‬ﺑﺘﻮاﻧﺪ ‪ route‬ﺷﻮد‪.‬‬
‫‪ ‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ دﺳﺘﮕﺎه ‪ FortiGate‬در ﺣﺎﻟﺖ ‪ NAT/ROUTE‬ﺑﺎﺷﺪ‪.‬‬
‫‪ ‬ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪ NAT‬را ﭼﮏ ﮐﻨﯿﺪ‪ .‬ﻗﺎﺑﻠﯿﺖ ‪ NAT Traversal‬در ﻓﺎز‪ 1‬را ﭘﯿﮑﺮﺑﻨﺪي ﮐﻨﯿﺪ در ﺣﺎﻟﯽ‬
‫ﮐﻪ ﻗﺎﺑﻠﯿﺖ‪ NAT‬در ‪ Security Profile‬ﻏﯿﺮﻓﻌﺎل ﻣﯽ ﮐﻨﯿﺪ‪.‬‬
‫ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﻫﺮ دو ‪VPN‬ﻫﺎ از ﺣﺎﻟﺖ ‪ Main‬اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ‪ ،‬ﻣﮕﺮ اﯾﻨﮑﻪ ﭼﻨﺪﯾﻦ ‪Dail-up‬‬ ‫‪‬‬
‫‪ tunnel‬در ﺣﺎل اﺳﺘﻔﺎده ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ ‬اﮔﺮ ﺷﻤﺎ از ﭼﻨﺪ ‪ IPsec VPN‬اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﯿﺪ ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﻫﺮ ‪ ID‬ﺑﻪ درﺳﺘﯽ روي ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ﭘﯿﮑﺮﺑﻨﺪي ﺷﺪه اﺳﺖ و ‪Client‬ﻫﺎ داراي ‪ Local ID‬ﻣﺸﺨﺼﯽ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪71‬‬
‫‪ ‬اﮔﺮ ﺷﻤﺎ از ‪ FortiClient‬اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﯿﺪ اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ ﮐﻪ ﻧﺴﺨﻪ ي آن ﺑﺎ ﻓﺮﯾﻤﻮﯾﺮ ﻓﻮرﺗﯽ‬
‫ﮔﯿﺖ ﻫﻤﺨﻮاﻧﯽ داﺷﺘﻪ ﺑﺎﺷﺪ اﯾﻦ ﮐﺎر را ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ ﺧﻮاﻧﺪن دﺳﺘﻮراﻟﻌﻤﻞ ﻫﺎي ‪ FortiOS‬ﺑﻪ اﻧﺠﺎم‬
‫ﺑﺮﺳﺎﻧﯿﺪ‪.‬‬
‫‪ ‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ Quick Mode Selector‬ﺑﻪ درﺳﺘﯽ ﭘﯿﮑﺮﺑﻨﺪي ﺷﺪه اﺳﺖ‬
‫‪ ‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ﺗﻨﻈﯿﻤﺎت دو ﺳﺮ ﺗﺎﻧﻞ ﯾﮑﺴﺎن و ﺷﺒﯿﻪ ﯾﮑﺪﯾﮕﺮ ﺑﺎﺷﺪ و دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺗﻨﻈﯿﻤﺎﺗﺶ‬
‫ﺑﺮاي ‪ Enable as Server‬ﻓﻌﺎل ﺷﺪه ﺑﺎﺷﺪ‪.‬‬
‫‪ ‬اﮔﺮ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﭘﺸﺖ ‪ NAT‬اﺳﺖ‪ ،‬دﺳﺘﮕﺎﻫﯽ ﻣﺜﻞ ﯾﮏ روﺗﺮ‪ ،‬ﭘﻮرت ﻓﻮرواردﯾﻨﮓ را ﺑﺮاي‬
‫‪ UDP‬ﭘﻮرت ﻫﺎي ‪ 500‬و ‪ 4500‬ﻓﻌﺎل ﮐﻨﯿﺪ‪.‬‬
‫‪ ‬ﺗﻤﺎم ﭘﯿﮑﺮﺑﻨﺪي ﻫﺎﯾﯽ ﮐﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻧﮕﺮﻓﺘﻪ اﻧﺪ و در ﻓﺎزﻫﺎي ‪ 1‬و‪ 2‬ﻗﺮار دارﻧﺪ را ﭘﺎك ﮐﻨﯿﺪ‪ .‬اﮔﺮ‬
‫ﯾﮏ ﻧﻤﻮﻧﻪ ﺗﮑﺮاري از ‪ VPN‬ﻣﺸﺨﺺ ﺷﺪ دﺳﺘﮕﺎه را رﯾﺴﺖ ﮐﻨﯿﺪ ﺗﺎ ﺗﻤﺎم ورودي ﻫﺎ ﭘﺎك ﺷﻮد‪.‬‬
‫اﮔﺮ ﻫﻨﻮز ﻫﻢ ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ‪ VPN Tunnel‬ﻣﺘﺼﻞ ﺷﻮﯾﺪ‪ ،‬دﺳﺘﻮر ﻣﺮﺑﻮط ﺑﻪ ‪ diagnostic‬را در ‪CLI‬‬ ‫‪‬‬
‫ﺑﺰﻧﯿﺪ‪:‬‬
‫‪diag‬‬ ‫‪debug application ike‬‬ ‫‪-1‬‬
‫‪diag‬‬ ‫‪debug enable‬‬
‫‪ ‬وﻗﺘﯽ ﭘﺮوﺳﻪ ‪ diag‬ﺗﻤﺎم ﺷﺪ دﺳﺘﻮر زﯾﺮ را وارد ﮐﻨﯿﺪ‪:‬‬
‫‪diag‬‬ ‫‪debug reset‬‬
‫‪diag‬‬ ‫‪debug disable‬‬
‫‪The VPN tunnel goes down frequently.‬‬

‫اﮔﺮ ‪ VPN Tunnel‬ﺷﻤﺎ ﻗﻄﻊ ﻣﯽ ﺷﻮد‪ ،‬ﻓﺎز ‪ 2‬را ﭼﮏ ﻧﻤﺎﯾﯿﺪ و ‪ Key life‬را اﻓﺰاﯾﺶ دﻫﯿﺪ و ﯾﺎ ‪Autokey‬‬ ‫‪‬‬
‫‪ Kepp Alive‬را اﻓﺰاﯾﺶ دﻫﯿﺪ‪.‬‬
‫اﺳﺘﻔﺎده از ‪ IPsec VPN‬ﺟﻬﺖ ﺑﺮﻗﺮاري ارﺗﺒﺎط ﺑﯿﻦ دو دﻓﺘﺮ‪:‬‬
‫در اﯾﻦ ﻣﺜﺎل‪ ،‬ﺷﻤﺎ اﺟﺎزه ﺧﻮاﻫﯿﺪ داد ﮐﻪ دو ﺷﺒﮑﻪ داﺧﻠﯽ ﮐﻪ ﭘﺸﺖ ﻓﺎﯾﺮوال ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﺴﺘﻨﺪ و در دو دﻓﺘﺮ‬
‫ﻣﺠﺰا ﻗﺮار دارﻧﺪ ﺑﺎ ﯾﮑﺪﯾﮕﺮ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻧﻤﺎﯾﻨﺪ‪ .‬ﺷﺎﯾﺎن ذﮐﺮ اﺳﺖ اﯾﻦ ارﺗﺒﺎط ‪ route-based‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ VPN‬در ﻫﺮ دو ﻃﺮف ﺑﻮﺳﯿﻠﻪ ‪ Wizard‬ﺗﻌﺮﯾﻒ ﺷﺪه و در دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺳﺎﺧﺘﻪ ﻣﯽ ﺷﻮد‪.‬‬
‫در اﯾﻦ ﻣﺜﺎل‪ ،‬ﯾﮏ دﻓﺘﺮ ﻣﺮﮐﺰي ﺑﻪ اﺳﻢ ‪ HQ‬و ﯾﮏ ﺷﻌﺒﻪ ﺑﻪ اﺳﻢ ‪ Branch‬وﺟﻮد دارد‪.‬‬
‫‪ .1‬ﭘﯿﮑﺮﺑﻨﺪي ‪ VPN‬ﻣﺮﺑﻮط ﺑﻪ ‪HQ‬‬
‫‪ .2‬ﭘﯿﮑﺮﺑﻨﺪي ‪ VPN‬ﻣﺮﺑﻮط ﺑﻪ ‪Branch‬‬
‫‪72‬‬
‫‪ .1‬ﭘﯿﮑﺮﺑﻨﺪي ‪ IPsec VPN‬ﻣﺮﺑﻮط ﺑﻪ ‪HQ‬‬
‫در ﻓﻮرﺗﯽ ﮔﯿﺖ دﻓﺘﺮ ﻣﺮﮐﺰي ‪ HQ‬ﺑﻪ ﻣﺴﯿﺮ ‪ VPN> IPsec>Wizard‬رﻓﺘﻪ و ﮔﺰﯾﻨﻪ ‪Site to Site – FortiGate‬‬
‫را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در ﻣﺮﺣﻠﻪ ‪ IP،Authentication‬آدرس ﻣﺮﺑﻮط ﺑﻪ ﺷﻌﺒﻪ ‪ Branch‬را در ﻗﺴﻤﺖ ‪ Remote Gateway‬وارد ﻣﯽ‬
‫ﮐﻨﯿﻢ ) ‪ Valid IP‬ﻃﺮف ﻣﻘﺎﺑﻞ را وارد ﻣﯽ ﮐﻨﯿﻢ(‪ .‬در ﻣﺮﺣﻠﻪ ﺑﻌﺪي اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ در ﻧﻈﺮ دارﯾﺪ ﺗﺎ ﺑﺎ آن ﭘﮑﺖ‬
‫ﻫﺎ ﺧﺎرج ﺷﻮﻧﺪ را ﻣﺸﺨﺺ ﻣﯽ ﻧﻤﺎﯾﯿﺪ‪ .‬ﻣﻨﻈﻮر ﻫﻤﺎن ‪ Outgoing Interface‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬اﮔﺮ ﻣﯽ ﺧﻮاﻫﯿﺪ از ﯾﮏ‬
‫‪ Interface‬ﻣﺠﺰا اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﮔﺰﯾﻨﻪ ‪ Change‬اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪ Pre-shared Key .‬ﻣﻮرد ﻧﻈﺮ‬
‫ﺧﻮد را وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪73‬‬
‫در ﻗﺴﻤﺖ ‪ ،Policy & Routing‬دﺳﺖ داﺧﻠﯽ ﺷﺒﮑﻪ ﺧﻮد را ﻣﺸﺨﺺ ﮐﻨﯿﺪ ﻣﻨﻈﻮر از دﺳﺖ داﺧﻠﯽ ﻫﻤﺎن ‪Local‬‬
‫‪ Interface‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ‪ Subnet‬ﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﺸﺨﺺ ﻣﯽ ﺷﻮد‪ .‬در ﻗﺴﻤﺖ ‪Remote‬‬
‫‪ subnet‬ﺳﺎب ﻧﺖ ‪ Subnet‬ﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ‪ Branch‬را ﻣﺸﺨﺺ ﻧﻤﺎﯾﯿﺪ‪ ) .‬در اﯾﻦ ﻗﺴﻤﺖ ‪ IP‬آدرس و‬
‫‪ Subnet‬ﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ روﺑﺮو را وارد ﻣﯽ ﻧﻤﺎﯾﯿﻢ‪(.‬ﺷﮑﻞ ﺑﻪ درﺳﺘﯽ ﮔﻮﯾﺎي ﺗﻤﺎﻣﯽ ﻣﻄﺎﻟﺐ ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫ﺻﻔﺤﻪ ‪ summary‬ﻧﺸﺎن دﻫﻨﺪه ي ﭘﯿﮑﺮﺑﻨﺪي اﯾﺠﺎد ﺷﺪه ﺗﻮﺳﻂ ﺷﻤﺎ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺣﺎوي اﻃﻼﻋﺎﺗﯽ از وﺿﻌﯿﺖ‬
‫ﺳﺎﺧﺖ ‪ VPN IPsec‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ .2‬ﭘﯿﮑﺮﺑﻨﺪي ‪ IPsec VPN‬در ‪:Branch‬‬
‫ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺮﺑﻮط ﺑﻪ ‪ Branch‬ﻻﮔﯿﻦ ﮐﺮده و ﻣﺴﯿﺮ ‪ VPN> IPsec> Wizard‬را ﻃﯽ ﮐﻨﯿﺪ و ﮔﺰﯾﻨﻪ‬
‫‪ Site to Site – FortiGate‬را اﻧﺘﺨﺎب ﮐﻨﯿﺪ‪.‬‬
‫‪74‬‬
‫در ﻣﺮﺣﻠﻪ ‪ ، Authentication‬آي ﭘﯽ آدرس ﻣﺮﺑﻮط ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮﺟﻮد در ‪ HQ‬را در ﻗﺴﻤﺖ‬
‫‪ Remote Gateway‬وارد ﻧﻤﺎﯾﯿﺪ‪ .‬ﺑﻌﺪ از وارد ﮐﺮدن ‪ Outgoing Interface ،Gateway‬ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر اﺿﺎﻓﻪ‬
‫ﻣﯽ ﺷﻮد‪ .‬اﮔﺮ ﺗﻤﺎﯾﻞ دارﯾﺪ از اﯾﻨﺮﻓﯿﺲ ﺟﺪاﮔﺎﻧﻪ اي اﺳﺘﻔﺎده ﮐﻨﯿﺪ ﮐﺎﻓﯽ اﺳﺖ ﺑﺮ روي ﻟﯿﻨﮏ ‪ Change‬ﮐﻠﯿﮏ‬
‫‪ Pre-shared Key‬اﺳﺘﻔﺎده ﺷﺪه در ‪ HQ‬را وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫در ﻗﺴﻤﺖ ‪ ،Policy and Routing‬اﯾﻨﺘﺮﻓﯿﺲ ﻣﺮﺑﻮط ﺑﻪ ‪ LAN‬را اﻧﺘﺨﺎب ﮐﺮده ﺗﺎ ‪ Subnet‬ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر‬
‫اﺿﺎﻓﻪ ﺷﻮد‪ .‬در ﻗﺴﻤﺖ ‪ Remote Subnets‬آي ﭘﯽ آدرس و ﺳﺎب ﻧﺖ ‪ subnet‬ﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ روﺑﺮوﯾﯽ ) در‬
‫اﯾﻦ ﺳﻨﺎرﯾﻮ ﻣﻨﻈﻮر ﺷﺒﮑﻪ ‪ HQ‬ﻣﯽ ﺑﺎﺷﺪ( وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪75‬‬
‫ﻫﻤﺎﻧﻨﺪ ﻗﺒﻞ ﯾﮏ ﺻﻔﺤﻪ ﻣﺮﺑﻮط ﺑﻪ ﺧﻼﺻﻪ اي از ﺗﻨﻈﯿﻤﺎت ﺻﻮرت ﮔﺮﻓﺘﻪ ﻇﺎﻫﺮ ﻣﯽ ﺷﻮد ﮐﻪ ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ‬
‫ﺑﺎزﻧﮕﺮي ﮐﻮﺗﺎﻫﯽ ﻧﺴﺒﺖ ﺑﻪ ﺗﻨﻈﯿﻤﺎت داﺷﺘﻪ ﺑﺎﺷﯿﺪ‪.‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ VPN> Monitor> IPsec Monitor‬ﺑﺮوﯾﺪ ﺗﺎ وﺿﻌﯿﺖ ‪ VPN Tunnel‬ﺧﻮد را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ‪ Status‬وي ﭘﯽ ان در ﺣﺎﻟﺖ ‪ UP‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫ﮐﺎرﺑﺮي ﮐﻪ در ﺷﺒﮑﻪ ي دﻓﺘﺮ ‪ HQ‬ﻧﺸﺴﺘﻪ اﺳﺖ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺮاﺣﺘﯽ ﺑﻪ ﺗﻤﺎم آدرس ﻫﺎي ﺷﺒﮑﻪ ﻣﻮﺟﻮد در دﻓﺘﺮ‬
‫‪ Branch‬دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺑﺮﻋﮑﺲ اﯾﻦ ﻗﻀﯿﻪ ﻫﻢ ﺑﻪ روﺷﺘﯽ ﺻﺎدق اﺳﺖ‪.‬‬
‫ﭘﯿﮑﺮﺑﻨﺪي ‪ IPsec VPN‬ﺑﯿﻦ ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻣﺎﯾﮑﺮوﺳﺎﻓﺖ ‪Azure‬‬
‫در ﺗﻤﺮﯾﻨﯽ ﮐﻪ ﻣﺸﺎﻫﺪه ﺧﻮاﻫﯿﺪ ﮐﺮد ﺑﺮاي ﺷﻤﺎ ﺗﻮﺿﯿﺢ ﻣﯽ دﻫﯿﻢ ﮐﻪ ﭼﮕﻮﻧﻪ ﯾﮏ ‪ IPsec VPN‬را ﭘﯿﮑﺮﺑﻨﺪي‬
‫ﮐﻨﯿﺪ‪ .‬در اﯾﻦ ﻣﺜﺎل ﯾﮏ ﻃﺮف دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻗﺮار داﺷﺘﻪ و در ﻃﺮف دﯾﮕﺮ ﯾﮏ ‪ host‬ﮐﻪ روي آن ‪Microsoft‬‬
‫‪ Azure‬ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ‪ .‬ﺑﺮاي ﭘﯿﺎده ﺳﺎزي ﺷﻤﺎ ﺑﺎﯾﺪ ﯾﮏ ﭘﺮوﻓﺎﯾﻞ ‪ Microsoft Azure‬داﺷﺘﻪ ﺑﺎﺷﯿﺪ‪.‬‬
‫ﻣﺜﺎل ﺑﻪ ﺷﻤﺎ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ﭼﻄﻮر ﺗﺎﻧﻞ را ﺑﯿﻦ دو ﻃﺮف ﭘﯿﮑﺮﺑﻨﺪي ﮐﺮده‪ ،‬ﺗﺎ از ﻫﺮ ﮔﻮﻧﻪ ‪ overlapping‬روي‬
‫ﺳﺎﺑﻨﺖ ﻫﺎ ﺟﻠﻮﮔﯿﺮي ﺷﻮد‪ .‬ﯾﮏ ﺗﺎﻧﻞ اﻣﻦ را ﻣﯽ ﺗﻮاﻧﯿﻢ ﺑﺎ اﯾﺠﺎد ﭘﺮوﻓﺎﯾﻞ اﻣﻨﯿﺘﯽ ﻣﻨﺎﺳﺐ اﯾﺠﺎد ﮐﻨﯿﻢ‪.‬‬
‫‪ .1‬ﭘﯿﮑﺮﺑﻨﺪي ‪Microsoft Azure‬‬
‫‪ .2‬ﺳﺎﺧﺖ ‪Virtual network gateway‬‬
‫‪ .3‬ﭘﯿﮑﺮﺑﻨﺪي ﺗﺎﻧﻞ‪Fortigate‬‬
‫‪ .4‬ﺳﺎﺧﺘﻦ آدرس ﻫﺎي ﻓﺎﯾﺮوال ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫‪ .5‬ﺳﺎﺧﺘﻦ ﭘﺎﻟﺴﯽ ﻓﺎﯾﺮوال ﺑﺮاي ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫‪76‬‬
‫‪ .1‬ﭘﯿﮑﺮﺑﻨﺪي ﺷﺒﮑﻪ ﻣﺠﺎزي ‪Microsoft Azure‬‬
‫ﺑﺮ روي ‪ Microsoft Azure‬ﻻﮔﯿﻦ ﮐﻨﯿﺪ و از ﮔﻮﺷﻪ ي ﺳﻤﺖ ﭼﭗ ﮔﺰﯾﻨﻪ ‪ New‬را ﮐﻠﯿﮏ ﮐﻨﯿﺪ ﺗﺎ ﺳﺮوﯾﺲ‬
‫ﺟﺪﯾﺪي را اﺿﺎﻓﻪ ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫ﻣﻄﺎﺑﻖ ﻋﮑﺲ ﺑﺎﻻ ﻣﺴﯿﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪.‬‬

‫‪Network Services> Virtual Network> Custom Create‬‬
‫در زﯾﺮ ﮔﺰﯾﻨﻪ ’‪ ‘Virtual Netwrok Details‬و در ﻓﯿﻠﺪ ‪ Name‬و ‪ Location‬ﻧﺎم و ﺷﻬﺮي را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪77‬‬
‫در ﭘﺎﯾﯿﻦ ﻗﺴﻤﺖ ’‪ ‘DNS Servers and VPN Connectivity‬ﺗﯿﮏ ﮔﺰﯾﻨﻪ ‪Configure a site-to-site VPN‬‬
‫را ﺑﺰﻧﯿﺪ و اﮔﺮ ﻧﯿﺎز ﺑﻮد اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ‪ DNS Server‬را وارد ﻧﻤﺎﯾﯿﺪ ‪ Next .‬ﮐﻨﯿﺪ‬
‫ﭘﺎﯾﯿﻦ ﻗﺴﻤﺖ ’‪ ‘Site-to-Site Connectivity‬ﯾﮏ ﻧﺎم و ‪ IP Address‬ﻣﺮﺑﻮط ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ را وارد‬
‫ﻗﺴﻤﺖ ‪ ،address Space‬ﺷﺎﻣﻞ ﯾﮏ ‪ Starting IP‬و ‪ CIDR‬ﺑﺮاي ﺗﺎﻧﻞ ﻣﯽ ﺑﺎﺷﺪ‪ ،‬اﯾﻦ ﻣﻮارد ﺑﺎﻋﺚ ﻣﯿﺸﻮد‬
‫‪ overlapping‬در ﺳﺎﺑﻨﺖ ﻫﺎ اﯾﺠﺎد ﻧﺸﻮد‪ .‬ﺑﺎ دﮐﻤﻪ ‪ Next‬وارد ﻣﺮﺣﻠﻪ ﺑﻌﺪي ﺷﻮﯾﺪ‪.‬‬
‫ﻗﺴﻤﺖ ’‪ ‘Virtual Network Address Spaces‬آدرس ﻫﺎي ﻣﻮرد ﻧﻈﺮ ﯾﺎ ﺗﻨﻈﯿﻤﺎت دﻟﺨﻮاه ﺧﻮدﺗﺎن را ﭘﯿﮑﺮﺑﻨﺪي‬
‫ﮐﻨﯿﺪ‪ .‬دﮐﻤﻪ ‪ add gateway subnet‬را اﻧﺘﺨﺎب ﮐﻨﯿﺪ ﺗﺎ ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪ Gateway‬را اﻧﺠﺎم دﻫﯿﺪ‪.‬‬
‫ﺑﻌﺪ از ﺑﻪ ﭘﺎﯾﺎن رﺳﺎﻧﺪن ﺗﻨﻈﯿﻤﺎت ﺑﺎﯾﺪ ﮐﻤﯽ ﺻﺒﻮر ﺑﺎﺷﯿﺪ ﺗﺎ ﺑﺎ اﻧﺪك زﻣﺎﻧﯽ ﺻﺒﺮ و ﺗﺤﻤﻞ ﺗﻐﯿﯿﺮات اﻋﻤﺎل ﺷﻮد‪.‬‬
‫ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ اﯾﻦ زﻣﺎن ﻃﻮﻻﻧﯽ ﻧﺨﻮاﻫﺪ ﺑﻮد‪.‬‬
‫‪ .2‬ﺳﺎﺧﺘﻦ ‪ virtual network gateway‬ﺑﺮاي ‪Microsoft Azure‬‬
‫‪78‬‬
‫ﻣﻄﺎﺑﻖ ﺑﺎ ﺷﮑﻞ ﺑﺮ روي ﻧﺎم ‪ virtual network‬ﺳﺎﺧﺘﻪ ﺷﺪه ﮐﻠﯿﮏ ﮐﻨﯿﺪ‪ .‬در زﯾﺮ ‪ ،virtual network‬ﺑﻪ‬
‫‪ Dashboard‬ﺑﺮوﯾﺪ‪ .‬اﺧﻄﺎري ﺑﻪ ﺷﻤﺎ داده ﻣﯽ ﺷﻮد ﮐﻪ ‪ gateway‬ﻫﻨﻮز ﺳﺎﺧﺘﻪ ﻧﺸﺪه اﺳﺖ‪ .‬در اﯾﻦ ﻗﺴﻤﺖ‬
‫‪ gateway‬ﺧﻮاﻫﯿﺪ ﺳﺎﺧﺖ‪.‬‬

‫‪Create Gateway> Dynamic Routing> Select YES‬‬
‫ﻣﺪت زﻣﺎن ﮐﻮﺗﺎﻫﯽ ﻃﻮل ﻣﯽ ﮐﺸﺪ ﺗﺎ ‪ virtual network gateway‬ﺳﺎﺧﺘﻪ ﺷﺪه و اﺟﺮا ﮔﺮدد‪ .‬ﭘﺲ از ﻃﯽ ﮐﺮدن‬
‫ﻣﺮاﺣﻞ ﺑﺎﻻ ‪ Azure‬ﺑﻪ ﺷﻤﺎ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ‪ gateway‬ﺳﺎﺧﺘﻪ ﺷﺪه اﺳﺖ‪ .‬وﻗﺘﯽ ﮐﺎرﻫﺎ ﺑﻪ ﭘﺎﯾﺎن رﺳﯿﺪ‪ ،‬اﺳﺘﺎﺗﻮس‬
‫ﺗﻐﯿﯿﺮ ﮐﺮده و ﺑﻪ ﺷﻤﺎ ﯾﮏ ‪ Gateway IP Address‬ﻣﯽ دﻫﺪ‪.‬‬
‫‪79‬‬
‫دﮐﻤﻪ ‪ Manage Key‬را ﺑﺰﻧﯿﺪ‪:‬‬
‫ﭘﻨﺠﺮه ﻣﺮﺑﻮط ﺑﻪ ’‪ ‘Manage Shared Key‬ﻧﻤﺎﯾﺎن ﻣﯽ ﺷﻮد‪ .‬ﮐﻠﯿﺪ ﻧﻤﺎﯾﺶ داده ﺷﺪه را ﮐﭙﯽ ﮐﻨﯿﺪ‪ .‬ﺑﺮاي اﻧﺘﺨﺎب‬
‫ﮐﻠﯿﺪ ﻣﺘﻔﺎوت ﻣﯽ ﺗﻮاﻧﯿﺪ دﮐﻤﻪ ‪ regenerate key‬را ﺑﺰﻧﯿﺪ‪ .‬وﻗﺘﯽ اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﺮدﯾﺪ ﮐﻪ ﮐﻠﯿﺪ ﮐﭙﯽ ﺷﺪه اﺳﺖ‬
‫دﮐﻤﻪ ‪ Checkmark‬را ﺑﺰﻧﯿﺪ‪.‬‬
‫اﻻن وﻗﺖ آن اﺳﺖ ﮐﻪ ﺑﻪ ﺳﺮاغ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮوﯾﻢ‪:‬‬
‫‪ .3‬ﭘﯿﮑﺮﺑﻨﺪي ﺗﺎﻧﻞ ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ VPN> IPsec> Wizard‬ﺑﺮوﯾﺪ و ‪ Custom VPN Tunnel‬را اﻧﺘﺨﺎب ﮐﻨﯿﺪ‪ .‬ﯾﮏ ﻧﺎم ﺑﺮاي ﺗﺎﻧﻞ اﻧﺘﺨﺎب‬
‫ﮔﺬاﺷﺘﻪ و ﮔﺰﯾﻨﻪ ‪ Next‬را ﺑﺰﻧﯿﺪ‪:‬‬
‫‪80‬‬
‫در ﻗﺴﻤﺖ ‪ Remote Gateway‬آي ﭘﯽ ﻣﺮﺑﻮط ﺑﻪ ‪ Microsoft Azure‬را وارد ﻧﻤﺎﯾﯿﺪ‪ Local Interface .‬را در‬
‫ﺣﺎﻟﺖ ‪ WAN1‬ﻗﺮار دﻫﯿﺪ‪ .‬در ﻗﺴﻤﺖ ‪ Authentication‬ﮐﻠﯿﺪ ﺳﺎﺧﺘﻪ ﺷﺪه ﺗﻮﺳﻂ ‪ Microsoft Azure‬را وارد‬
‫ﻧﻤﺎﯾﯿﺪ ‪.‬‬
‫ﮔﺰﯾﻨﻪ ‪ NAT Traversal‬و ‪ Dead Peer Detection‬را ﻏﯿﺮﻓﻌﺎل ﮐﻨﯿﺪ‪.‬‬
‫در ﻗﺴﻤﺖ ‪ Authentication‬ﻣﻄﻤﺌﻦ ﺷﻮﯾﺪ ﮐﻪ ‪ IKEv2‬و در ﻗﺴﻤﺖ ‪ DH Group‬ﮔﺰﯾﻨﻪ ‪ 2‬را اﻧﺘﺨﺎب ﮐﺮده اﯾﺪ‪.‬‬
‫‪ Keylife‬را در ﺣﺎﻟﺖ ‪ 56600 Sec‬ﻗﺮار دﻫﯿﺪ‪.‬‬
‫‪81‬‬
‫در ﻓﺎز دوم‪ ،‬ﻓﯿﻠﺪ ‪ Local Address‬را ﺑﺎ ‪ IP Adss‬ﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﻘﺎﺑﻞ ﭘﺮ ﺧﻮاﻫﯿﻢ ﮐﺮد‬
‫)‪ (Microsoft Azure‬و ﻓﯿﻠﺪ ﻣﺮﺑﻮط ﺑﻪ ‪ Remote Address‬را ﺑﺎ ‪ IP‬ﺛﺎﺑﺖ ﺷﺒﮑﻪ ي ﻣﻘﺎﺑﻞ ﭘﺮ ﻣﯿﮑﻨﯿﻢ ‪.‬‬
‫‪ Encryption‬را ﻣﻄﺎﺑﻖ ﺑﺎ ﻓﺎز ‪ 1‬ﻗﺮار ﻣﯽ دﻫﯿﻢ و در اﯾﻦ ﻣﺮﺣﻠﻪ ‪ Keylife‬را ﺑﺎ ﻋﺪد ‪ 7200 Sec‬ﺗﻨﻈﯿﻢ ﻣﯽ ﮐﻨﯿﻢ‪.‬‬
‫‪ .4‬ﺳﺎﺧﺘﻦ آدرس ﻫﺎي ﻓﺎﯾﺮوال ﺑﺮاي ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Policy & Objects> Objects> Addresses‬ﻣﺮاﺟﻌﻪ ﮐﻨﯿﺪ و ﺑﺮاي ﺷﺒﮑﻪ داﺧﻠﯽ ﯾﮏ ‪firewall‬‬
‫‪ address‬ﭘﯿﮑﺮﺑﻨﺪي ﮐﻨﯿﺪ‪.‬‬
‫ﯾﮏ آﺑﺠﮑﺖ ﺑﺮاي ‪ Microsoft Azure‬ﺑﺴﺎزﯾﺪ ﮐﻪ ﺣﺎوي اﻃﻼﻋﺎت زﯾﺮ ﺑﺎﺷﺪ‪:‬‬
‫دﻟﺨﻮاه =‪Name‬‬
‫‪Subnet/IP Range = 10.11.12.0/255.255.255.0‬‬

‫‪Interface= any‬‬
‫‪Visibility= enable‬‬
‫‪ .5‬ﺳﺎﺧﺘﻦ ‪ Firewall Policy‬در ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Policy & Objects> Policy> IPv4‬ﺑﺮوﯾﺪ و ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﺑﺮاي اﺗﺼﺎل ‪ site-to-site‬ﺑﺴﺎزﯾﺪ‪.‬‬
‫‪82‬‬
‫ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ آﻣﻮﺧﺘﻪ ﻫﺎي ﻗﺒﻠﯽ ‪ Source Address‬و ‪ Destination Address‬از آﺑﺠﮑﺖ ﻫﺎي ﺳﺎﺧﺘﻪ ﺷﺪه در‬
‫ﻣﺮاﺣﻞ ﻗﺒﻠﯽ را ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار دﻫﯿﺪ‪ .‬وﻗﺘﯽ ﮐﺎرﻫﺎ اﻧﺠﺎم ﺷﺪ‪ ،‬ﯾﮏ ﭘﺎﻟﺴﯽ ﺟﺪﯾﺪ ﺑﺮاي ﮐﺎﻧﮑﺸﻦ ﻫﺎي ﻣﺸﺎﺑﻪ ﮐﻪ‬
‫اﺟﺎزه ورود ﺗﺮاﻓﯿﮏ را داﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺑﺴﺎزﯾﺪ‪ .‬اﯾﻦ ﺑﺎر ‪ Source Address‬و ‪ Destination Address‬ﺟﺎﺑﺠﺎ ﻣﯽ‬
‫ﺷﻮد‪.‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ VPN> Monitor> IPsec Monitor‬ﺑﺮوﯾﺪ‪ .‬ﺑﺮ روي ﺗﺎﻧﻞ ﺳﺎﺧﺘﻪ ﺷﺪه ﮐﻠﯿﮏ راﺳﺖ ﮐﺮده و ﮔﺰﯾﻨﻪ‬
‫‪ Bring Up‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ ﺗﺎ ﺗﺎﻧﻞ ﻓﻌﺎل ﺷﻮد‪.‬‬
‫ﺟﻬﺖ ﻓﻌﺎل ﺳﺎزي ﻻگ ﻫﺎ ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫‪Log & Report> Event Log>VPN‬‬
‫ﺟﻬﺖ ﮐﺴﺐ اﻃﻼﻋﺎت ﺑﯿﺸﺘﺮ ﮐﺎﻓﯽ اﺳﺖ ﯾﮑﯽ از ورودي ﻫﺎ را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺑﻪ داﺷﺒﻮرد ‪ Microsoft Azure‬ﺑﺎزﮔﺮدﯾﺪ‪ .‬وﺿﻌﯿﺖ ﺗﺎﻧﻞ زده ﺷﺪه ﻧﻤﺎﯾﺶ داده ﻣﯽ ﺷﻮد ﮐﻪ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ‬
‫ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﯽ ﺑﺎﺷﺪ ﯾﺎ ﺧﯿﺮ ؟ ‪ Data In‬و ‪ Data Out‬ﺑﻪ ﻧﻤﺎﯾﺎﻧﮕﺮ اﯾﻦ ﻣﻮرد اﺳﺖ ﮐﻪ ﭼﻪ ﻣﻘﺪار ﺗﺮاﻓﯿﮏ در‬
‫ﺣﺎل ﻋﺒﻮر ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪83‬‬
‫راه اﻧﺪازي ‪ BGP‬ﺑﺮ روي ‪ IPsec VPN‬ﺑﯿﻦ دو ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬
‫اﯾﻦ ﻣﺜﺎل ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ﭼﮕﻮﻧﻪ ﯾﮏ ﺗﺎﻧﻞ ‪ IPsec VPN‬داﯾﻨﺎﻣﯿﮏ ﺑﺰﻧﯿﻢ و اﺟﺎزه دﻫﯿﻢ ﺗﺎ ‪ BGP‬از ﻃﺮﯾﻖ‬
‫اﯾﻦ ﺗﺎﻧﻞ ﻣﺘﺼﻞ ﺷﻮد‪.‬‬
‫‪ .1‬ﭘﯿﮑﺮﺑﻨﺪي ‪ IPsec‬در ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎره ‪1‬‬
‫‪ .2‬ﭘﯿﮑﺮﺑﻨﺪي ‪ IPsec‬در ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎره ‪2‬‬
‫‪ .3‬ﺗﺎﯾﯿﺪ ‪ UP‬ﺷﺪن ﺗﺎﻧﻞ‬
‫‪ .4‬ﭘﯿﮑﺮﺑﻨﺪي ‪ BGP‬در ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎره ‪1‬‬
‫‪ .5‬ﭘﯿﮑﺮﺑﻨﺪي ‪ BGP‬در ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎره ‪2‬‬
‫‪ .1‬ﭘﯿﮑﺮﺑﻨﺪي ‪ IPsec‬در ﻓﻮرﺗﯽ ﮔﯿﺖ ‪1‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ VPN> IPsec> Wizard‬رﻓﺘﻪ و ‪ Site to Site – FortiGate‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ‪ Next .‬ﮐﻨﯿﺪ‬
‫‪84‬‬
‫ﻣﻄﺎﺑﻖ ﻣﻌﻤﻮل ﻓﯿﻠﺪﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ‪ Remote Gateway‬و ‪ Outgoing Interface‬و ‪ Pre-shared key‬را ﭘﺮ ﻣﯽ‬
‫ﮐﻨﯿﻢ و ‪ Next‬را ﻣﯽ زﻧﯿﻢ‪.‬‬
‫در ﻗﺴﻤﺖ ‪ Local interface‬ﮐﺎرت ﺷﺒﮑﻪ داﺧﻠﯽ را اﻧﺘﺨﺎب ﮐﺮده و در ﻗﺴﻤﺖ ‪ Local Subnet‬ﺳﺎﺑﻨﺖ ﻣﺮﺑﻮط‬
‫ﺑﻪ ﺷﺒﮑﻪ ﺧﻮدﻣﺎن را وارد ﻣﯽ ﮐﻨﯿﻢ‪ .‬در ﻗﺴﻤﺖ ‪ Remote Subnet‬ﻫﻢ ﺳﺎﺑﻨﺖ ﺷﺒﮑﻪ ﻣﻘﺎﺑﻞ را وارد ﻣﯽ ﮐﻨﯿﻢ‪.‬‬
‫‪85‬‬
‫ﻃﺒﻖ آﻣﻮﺧﺘﻪ ﻫﺎي ﻗﺒﻠﯽ ﻓﺎزﻫﺎي دوم و ﺳﻮم را ﻃﯽ ﮐﺮده و ارﺗﺒﺎﻃﺎت را اﯾﺠﺎد ﻣﯽ ﻧﻤﺎﯾﯿﻢ‬
‫‪ .2‬ﭘﯿﮑﺮﺑﻨﺪي ‪ IPsec‬در ﻓﻮرﺗﯽ ﮔﯿﺖ ‪2‬‬
‫ﻣﺮاﺣﻞ را ﻣﻄﺎﺑﻖ ﺑﺎ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎره ‪ 1‬ﭘﯿﺶ ﻣﯽ ﺑﺮﯾﻢ ﺗﻨﻬﺎ در وارد ﮐﺮدن ‪ IP Address‬ﻣﺮﺑﻮط ﺑﻪ ‪Remote‬‬
‫دﻗﺖ ﻣﯽ ﮐﻨﯿﻢ ﭼﻮن اﯾﻦ ﺗﻨﻬﺎ ﻓﯿﻠﺪي اﺳﺖ ﮐﻪ ﺗﻐﯿﯿﺮ ﻣﯽ ﮐﻨﺪ‪.‬‬
‫‪ .3‬ﻣﻄﻤﺌﻦ ﻣﯽ ﺷﻮﯾﻢ ﮐﻪ ﺗﺎﻧﻞ ﺑﺮﻗﺮار اﺳﺖ‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ VPN> Monitor> IPsec Monitor‬ﻣﯽ روﯾﻢ ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮﯾﻢ ﮐﻪ ارﺗﺒﺎط ‪ UP‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ .4‬ﭘﯿﮑﺮﺑﻨﺪي ‪ BGP‬در ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ System> Status‬رﻓﺘﻪ و ‪ CLI Console‬را ﺑﺎز ﻣﯽ ﮐﻨﯿﻢ و دﺳﺘﻮرات زﯾﺮ را وارد ﻣﯽ ﮐﻨﯿﻢ ‪:‬‬
‫‪86‬‬
‫‪ .5‬ﺗﻨﻄﯿﻤﺎت ‪ BGP‬در ﻓﻮرﺗﯽ ﮔﯿﺖ دوم ‪:‬‬
‫ﻫﻤﺎﻧﻨﺪ ﻓﻮرﺗﯽ ﮔﯿﺖ اول ﻣﺮاﺣﻞ را اﻧﺠﺎم داده و وارد ﻣﺤﯿﻂ ‪ CLI‬ﻣﯽ ﺷﻮﯾﻢ و دﺳﺘﻮرات زﯾﺮ را ﻣﯿﺰﻧﯿﻢ‪:‬‬
‫از ﻓﻮرﺗﯽ ﮔﯿﺖ ‪ 1‬ﺑﻪ ﻣﺴﯿﺮ ‪ Router> Monitor> Router Monitor‬رﻓﺘﻪ و ﭼﮏ ﻣﯽ ﮐﻨﯿﻢ ﮐﻪ آﯾﺎ روﺗﺮ‬
‫روﺑﺮوﯾﯽ ﺑﻪ درﺳﺘﯽ ﺧﻮد را ‪ Advertised‬ﮐﺮده اﺳﺖ و دو روﺗﺮ ﺷﺒﮑﻪ ﻫﺎي روﺑﺮوي ﺧﻮد را ﻣﯽ ﺑﯿﻨﻨﺪ ؟!‬
‫‪87‬‬
‫از ﻓﻮرﺗﯽ ﮔﯿﺖ ‪ 2‬ﺑﻪ ﻣﺴﯿﺮ ‪ Router> Monitor> Routing Monitor‬رﻓﺘﻪ و ﻣﻄﻤﺌﻦ ﻣﯽ ﺷﻮﯾﻢ ﮐﻪ ‪Route‬‬
‫ﻫﺎ ﺗﻮﺳﻂ ﭘﺮوﺗﮑﻞ ‪ BGP‬از ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ درﺳﺘﯽ و ﺑﺎ ﻣﻮﻓﻘﯿﺖ ‪ advertised‬ﺷﺪه اﻧﺪ‪.‬‬
‫‪SSL VPN‬‬
‫در اﯾﻦ ﻗﺴﻤﺖ اﻃﻼﻋﺎﺗﯽ در ﻣﻮرد ﭘﯿﮑﺮﺑﻨﺪي اﻧﻮاع ‪ SSL VPN‬ﺑﺪﺳﺖ ﺧﻮاﻫﯿﺪ آورد ﻫﻤﭽﻨﯿﻦ روش ﻫﺎي ﻣﺨﺘﻠﻒ‬
‫اﺣﺮاز ﻫﻮﯾﺖ ﮐﺎرﺑﺮان در ‪ SSL VPN‬ﺑﻪ ﺷﻤﺎ آﻣﻮﺧﺘﻪ ﻣﯽ ﺷﻮد‪.‬‬
‫‪ SSL VPN‬از ‪ Secure Socket Layer‬ﺟﻬﺖ اﯾﺠﺎد ‪ VPN‬اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ ﮐﻪ ﻗﺎﺑﻠﯿﺖ دﺳﺘﺮﺳﯽ ﺑﻪ ﺷﺒﮑﻪ‬
‫ﺧﺼﻮﺻﯽ ﺗﺤﺖ ﺑﺴﺘﺮ اﯾﻨﺘﺮﻧﺖ را ﺑﻪ ﺷﻤﺎ ﻣﯽ دﻫﺪ‪ .‬ارﺗﺒﺎط از ﻃﺮﯾﻖ ‪ SSL VPN‬ﺗﻮﺳﻂ ﯾﮏ ﻣﺮورﮔﺮ ﺻﻮرت ﻣﯽ‬
‫ﮔﯿﺮد و ﻫﯿﭻ ﺑﺮﻧﺎﻣﻪ ي ﺟﺎﻧﺒﯽ ﻣﻮرد ﻧﯿﺎز ﻧﻤﯽ ﺑﺎﺷﺪ‪.‬‬
‫اﯾﻦ ﺑﺨﺶ ﺷﺎﻣﻞ دﺳﺘﻮراﻟﻌﻤﻞ ﻫﺎي اﺳﺖ‪:‬‬
‫اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﺮاي ﮐﺎرﺑﺮان راه دور ﺑﺎ اﺳﺘﻔﺎده از ‪SSL VPN‬‬ ‫‪‬‬
‫ﻓﺮاﻫﻢ ﮐﺮدن دﺳﺘﺮﺳﯽ ﺑﺮاي ﮐﺎرﺑﺮان راه دور ﺑﺎ اﺳﺘﻔﺎده از ‪SSL VPN‬‬
‫در اﯾﻦ ﻣﺜﺎل ﺷﻤﺎ ﺧﻮاﻫﯿﺪ دﯾﺪ ﮐﻪ ﭼﻄﻮر ﻗﺎﺑﻠﯿﺖ اﺗﺼﺎل ﺑﻪ ﻣﻨﺎﺑﻊ ﺷﺮﮐﺖ و اﺳﺘﻔﺎده از اﯾﻨﺘﺮﻧﺖ ﺑﻪ ﮐﺎرﺑﺮان راه دور‬
‫ﺗﻮﺳﻂ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ داده ﻣﯽ ﺷﻮد‪ .‬در ﻓﺎز اﺗﺼﺎل‪ ،‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮرﺳﯽ ﻣﯽ ﮐﻨﺪ ﮐﻪ آﯾﺎ آﻧﺘﯽ‬
‫وﯾﺮوس ﺑﺮ روي ﺳﯿﺴﺘﻢ ﮐﺎرﺑﺮ راه دور ﻧﺼﺐ ﻣﯽ ﺑﺎﺷﺪ ﯾﺎ ﺧﯿﺮ؟‬
‫‪ .1‬ﺳﺎﺧﺖ ﯾﮏ ﭘﺮﺗﺎل ‪ SSL VPN‬ﺑﺮاي ﮐﺎرﺑﺮان راه دور‬
‫‪ .2‬ﺳﺎﺧﺘﻦ ﯾﮏ ﮐﺎرﺑﺮ و ﯾﮏ ﮔﺮوه‬
‫‪ .3‬اﺿﺎﻓﻪ ﮐﺮدن ﯾﮏ آدرس ﺑﺮاي ﺷﺒﮑﻪ داﺧﻠﯽ‬

‫‪88‬‬
‫‪ .4‬ﭘﯿﮑﺮﺑﻨﺪي ﺗﺎﻧﻞ ‪SSL VPN‬‬
‫‪ .5‬اﺿﺎﻓﻪ ﮐﺮدن ‪ Security Policy‬ﺑﺮاي دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ و ﺷﺒﮑﻪ داﺧﻠﯽ‬
‫‪ .6‬ﺗﻨﻈﯿﻤﺎت دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮاي ﺑﺮرﺳﯽ ﻣﻮﺟﻮد ﺑﻮدن آﻧﺘﯽ وﯾﺮوس ﺑﺮ روي دﺳﺘﮕﺎه ﮐﺎرﺑﺮان راه‬
‫دور‬
‫‪ .1‬ﺳﺎﺧﺘﻦ ﯾﮏ ﭘﻮرﺗﺎل ‪ SSL VPN‬ﺑﺮاي ﮐﺎرﺑﺮان راه دور‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ VPN> SSL> Portals‬ﺑﺮوﯾﺪ‪ .‬دﮐﻤﻪ ‪ Create New‬را ﺑﺰﻧﯿﺪ و ﯾﮏ اﺳﻢ ﺑﺮاي ﭘﺮﺗﺎل ﺧﻮد اﻧﺘﺨﺎب‬
‫ﮐﻨﯿﺪ‪ .‬ﻫﻤﭽﻨﯿﻦ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﭘﻮرﺗﺎل ‪ full-access‬را وﯾﺮاﯾﺶ ﮐﻨﯿﺪ‪.‬‬
‫ﭘﻮرﺗﺎل ‪ full-access‬اﺟﺎزه ﻣﯽ دﻫﺪ ﮐﻪ از ﺣﺎﻟﺖ ﺗﺎﻧﻞ و ﯾﺎ ﺣﺎﻟﺖ وب اﺳﺘﻔﺎده ﮐﻨﯿﺪ‪ .‬در اﯾﻦ ﺳﻨﺎرﯾﻮ ﻣﺎ از ﻫﺮ دو‬
‫ﺣﺎﻟﺖ اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﻢ‪.‬‬
‫‪ Enable Split Tunneling‬ﻓﻌﺎل ﻧﻤﯽ ﺑﺎﺷﺪ ﺑﻨﺎﺑﺮاﯾﻦ ﻫﻤﻪ ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺖ از ﻃﺮﯾﻖ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻨﺘﻘﻞ ﻣﯽ ﺷﻮد‬
‫و اﯾﻦ ﺑﺴﺘﮕﯽ ﺑﻪ ﺳﯿﺎﺳﺖ ﻫﺎي اﻣﻨﯿﺘﯽ ﺷﺮﮐﺖ ﺷﻤﺎ دارد‪.‬‬
‫‪89‬‬
‫در ﻗﺴﻤﺖ ‪ Predefined Bookmarks‬ﮔﺰﯾﻨﻪ ‪ Create New‬را ﺑﺰﻧﯿﺪ ﺗﺎ ﯾﮏ ‪ bookmark‬ﺑﺮاي اﺗﺼﺎل ﺑﺴﺎزﯾﺪ‪.‬‬
‫‪Bookmark‬ﻫﺎ وﻗﺘﯽ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد ﮐﻪ ﺷﻤﺎ در ﻧﻈﺮ داﺷﺘﻪ ﺑﺎﺷﯿﺪ از ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ ﺻﻮرت‬
‫ﻟﯿﻨﮏ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﯾﻮزرﻧﯿﻢ و ﭘﺴﻮرد ﺑﺎﯾﺪ در ﻗﺴﻤﺖ ‪ New Bookmark‬وارد ﺷﻮد‪ .‬ﺷﻤﺎ ﺑﺎﯾﺪ ﯾﻮزر را در ﻗﺴﻤﺖ ﺑﻌﺪي ﺑﺴﺎزﯾﺪ‪.‬‬
‫ﺳﺎﺧﺘﻦ ﯾﮏ ﮐﺎرﺑﺮ و ﯾﮏ ﮔﺮوه‬
‫‪90‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ User & Device> User> User Definition‬ﺑﺮوﯾﺪ‪ .‬ﯾﮏ ﮐﺎرﺑﺮ راه دور ﺑﺎ اﺳﺘﻔﺎده از ‪ Wizard‬اﺿﺎﻓﻪ‬
‫ﮐﻨﯿﺪ‪ .‬در اﯾﻦ ﻣﺜﺎل اﺳﻢ ﮐﺎرﺑﺮ ﻣﺎ ‪ twhite‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﻪ اﯾﻦ ﮐﺎرﺑﺮ ﺑﺎﯾﺪ ﻣﺸﺎﺑﻪ ﻫﻤﺎن ﺑﺎﺷﺪ ﮐﻪ‬
‫در ﻗﺴﻤﺖ ‪ predefined bookmark‬ﺳﺎﺧﺘﯿﺪ‪.‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ User & Devices> User> User Groups‬ﺑﺮوﯾﺪ‪ .‬ﯾﻮزر ’‪ ‘twhite‬ﺑﻪ ﮔﺮوه ‪ SSL VPN‬اﺿﺎﻓﻪ‬
‫ﮐﻨﯿﺪ‪.‬‬
‫‪ .3‬اﺿﺎﻓﻪ ﮐﺮدن آدرس ﺑﺮاي ﺷﺒﮑﻪ داﺧﻠﯽ‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Policy & Objects> Objects> Addresses‬ﺑﺮوﯾﺪ‪ .‬آدرس ﻣﺮﺑﻮط ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﺧﻮد را در‬
‫ﻗﺴﻤﺖ ‪ Subnet / IP Range‬وارد ﻧﻤﺎﯾﯿﺪ‪ .‬ﻫﻤﭽﻨﯿﻦ اﯾﻨﺘﺮﻓﯿﺲ داﺧﻠﯽ را ﻫﻢ اﻧﺘﺨﺎب ﮐﻨﯿﺪ‪.‬‬
‫‪ .4‬ﺗﻨﻈﯿﻤﺎت ﺗﺎﻧﻞ ‪SSL VPN‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ VPN > SSL > Setting‬ﻣﺮاﺟﻌﻪ ﮐﻨﯿﺪ و از ﻗﺴﻤﺖ )‪ Listen on Interface(s‬اﯾﻨﺘﺮﻓﯿﺴﯽ ﮐﻪ ﻣﺮﺑﻮط‬
‫ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﺷﻤﺎ ﻣﯽ ﺑﺎﺷﺪ را اﻧﺘﺨﺎب ﮐﻨﯿﺪ در اﯾﻨﺠﺎ ﻣﺎ ‪ Wan1‬را اﻧﺘﺨﺎب ﻣﯽ ﮐﻨﯿﻢ‪.‬‬
‫در ﻗﺴﻤﺖ ‪ Listen Port‬ﭘﻮرت ‪ 443‬و ‪ Specify Custome IP Ranges‬را اﻧﺘﺨﺎب ﮐﻨﯿﺪ‪.‬‬
‫در زﯾﺮ ﮔﺰﯾﻨﻪ ‪ Authentication portal Mapping‬ﻗﺴﻤﺖ ‪ SSL VPN Group‬را اﻧﺘﺨﺎب ﮐﻨﯿﺪ‪.‬‬
‫‪ .5‬اﺿﺎﻓﻪ ﮐﺮدن ‪ Security Policies‬ﺟﻬﺖ دﺳﺘﺮﺳﯽ ﺑﻪ ﺷﺒﮑﻪ ﻫﺎي داﺧﻠﯽ و اﯾﻨﺘﺮﻧﺖ‬
‫‪91‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Policy & Objects >Policy >IPv4‬ﺑﺮوﯾﺪ‪ .‬ﯾﮏ ‪ Security Policy‬ﺗﻌﺮﯾﻒ ﮐﻨﯿﺪ ﮐﻪ اﺟﺎزه دﺳﺘﺮﺳﯽ‬
‫ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﺎ اﺳﺘﻔﺎده از ‪ ssl.root VPN‬را داﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫‪ Incoming Interface‬را ﺑﺮاي ‪ ssl.root‬ﺗﻨﻈﯿﻢ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ Source Address‬را ﺑﺮاي ‪ all‬اﻧﺘﺨﺎب ﻧﻤﺎﯾﯿﺪ و ‪ source User‬را ﺑﺮاي ﮔﺮوه ﺳﺎﺧﺘﻪ ﺷﺪه در ﻣﺮﺣﻠﻪ دوم اﻧﺘﺨﺎب‬
‫ﮐﻨﯿﺪ‪.‬‬
‫‪ Outgoing Interface‬را ﺑﺮاي ﺷﺒﮑﻪ داﺧﻠﯽ اﻧﺘﺨﺎب ﮐﻨﯿﺪ ﺑﺎ اﯾﻦ ﮐﺎر ﮐﺎرﺑﺮان راه دور ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ‬
‫دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ Destination Address‬را در ﺣﺎﻟﺖ ‪ all‬ﻗﺮار دﻫﯿﺪ و ‪ NAT‬را ﺑﻪ ﺣﺎﻟﺖ ‪ Enable‬ﺑﺒﺮﯾﺪ و ﺗﻨﻈﯿﻤﺎت دﻟﺨﻮاه ﺧﻮد‬
‫را ﺑﺮاي ﻓﺎﯾﺮوال و ‪Security Option‬ﻫﺎ اﻧﺠﺎم ﺑﺪﻫﯿﺪ‪.‬‬
‫ﯾﮏ ‪ Security Policy‬دﯾﮕﺮ ﺟﻬﺖ دﺳﺘﺮﺳﯽ ‪SSL VPN‬ﻫﺎ ﺑﻪ اﯾﻨﺘﺮﻧﺖ اﯾﺠﺎد ﮐﻨﯿﺪ‪ .‬ﺑﺮاي اﯾﻦ ﭘﺎﻟﺴﯽ ‪Incoming‬‬
‫‪ Interface‬را ﺑﺮاي ‪ ssl.root‬ﺗﻨﻈﯿﻢ ﮐﻨﯿﺪ و ‪ Outgoing Interface‬را در ﺣﺎﻟﺖ ‪ wan1‬ﺗﻨﻈﯿﻢ ﮐﻨﯿﺪ‪.‬‬
‫‪ . 6‬ﺗﻨﻈﯿﻢ ﮐﺮدن دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺟﻬﺖ ﺗﺸﺨﯿﺺ ﺑﺮﻧﺎﻣﻪ آﻧﺘﯽ وﯾﺮوس ﮐﺎرﺑﺮان‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ system> status> Dashboard‬ﺑﺮوﯾﺪ‪ .‬در ‪ CLI‬ﮐﻨﺴﻮل دﺳﺘﻮرات زﯾﺮ وارد ﻧﻤﺎﯾﯿﺪ‪ .‬ﺑﺎ وارد ﮐﺮدن‬
‫دﺳﺘﻮرات زﯾﺮ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮﯾﺪ وﺿﻌﯿﺖ آﻧﺘﯽ وﯾﺮوس ﮐﺎرﺑﺮان راه دور ﻣﻮرد آزﻣﺎﯾﺶ ﻗﺮار ﺑﮕﯿﺮد‪.‬‬
‫‪#‬‬ ‫‪config‬‬ ‫‪vpn‬‬ ‫‪ssl‬‬ ‫‪web‬‬ ‫‪portal‬‬
‫)‪(portal‬‬ ‫‪#‬‬ ‫‪edit‬‬ ‫‪full-access‬‬
‫)‪(full-access‬‬ ‫‪#‬‬ ‫‪set‬‬ ‫‪host-check av‬‬
‫)‪(full-access‬‬ ‫‪#‬‬ ‫‪end‬‬
‫ﺑﺎ اﺳﺘﻔﺎده از اﺣﺮاز ﻫﻮﯾﺖ ﺳﺎﺧﺘﻪ ﺷﺪه در ﻗﺴﻤﺖ دوم ﺑﻪ ﭘﻮرﺗﺎل ﻻﮔﯿﻦ ﮐﻨﯿﺪ‪.‬‬
‫‪92‬‬
‫دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ وﺿﻌﯿﺖ ﻫﺎﺳﺖ را ﻣﻮرد ﺑﺮرﺳﯽ ﻗﺮار ﻣﯽ دﻫﺪ‪.‬‬
‫ﺑﻌﺪ از ﭼﮏ ﺷﺪن ﺷﺮاﯾﻂ ﻫﺎﺳﺖ ﭘﻮرﺗﺎل ﻧﻤﺎﯾﺶ داده ﻣﯽ ﺷﻮد‪.‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ VPN> Monitor> SSL-VPN Monitor‬ﺑﺮوﯾﺪ ﺗﺎ ﻟﯿﺴﺖ ﮐﺎرﺑﺮان ‪ SSL‬را ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Log & Report > Traffic Log > Forward Traffic‬ﺑﺮوﯾﺪ و ﺟﺰﺋﯿﺎت ﻣﻮرد ﻧﯿﺎز ﺧﻮد در ﻣﻮرد‬
‫‪SSL‬ﻫﺎي ﻣﺘﺼﻞ ﺷﺪه ﺑﺪﺳﺖ آورﯾﺪ‪.‬‬
‫‪93‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Log & Report > Traffic Log > Forward Traffic‬ﺑﺮوﯾﺪ‪ .‬دﺳﺘﺮﺳﯽ ﺑﻪ اﯾﻨﺘﺮﻧﺖ از ﻃﺮﯾﻖ‬
‫دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺻﻮرت ﻫﻤﺰﻣﺎن ﺻﻮرت ﻣﯽ ﭘﺬﯾﺮد‪ .‬روي ﻫﺮ ﺳﻄﺮ ﮐﻠﯿﮏ ﻧﻤﺎﯾﯿﺪ ﻣﯽ ﺗﻮاﻧﯿﺪ اﻃﻼﻋﺎت‬
‫ﺑﯿﺸﺘﺮي ﮐﺴﺐ ﮐﻨﯿﺪ‪.‬‬
‫ﭘﯿﮑﺮﺑﻨﺪي ﻣﻌﻤﺎري ‪ Redundant‬ﺟﻬﺖ اﺳﺘﻔﺎده از دو ﻓﻮرﺗﯽ ﮔﯿﺖ و ﺳﻮﺋﯿﭽﯿﻨﮓ داﺧﻠﯽ‬
‫دﺳﺘﻮراﻟﻌﻤﻞ ﻫﺎي زﯾﺮ ﺑﺮاي ﻣﺸﺘﺮﯾﺎﻧﯽ ﻣﻔﯿﺪ اﺳﺖ ﮐﻪ از ﻣﻌﻤﺎري ﭼﻨﺪ ﺳﺎﯾﺖ و ﻓﺎﯾﺮوال ﻫﺎي ‪ Redundant‬اﺳﺘﻔﺎده‬
‫ﻣﯽ ﻧﻤﺎﯾﻨﺪ‪ .‬اﯾﻦ روش ﻫﺎ ﺑﺮاي ﻣﺸﺘﺮﯾﺎﻧﯽ در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪه ﮐﻪ ﮐﺎﻫﺶ ﻟﻮازم ﯾﮏ ﺑﺨﺶ و اﻓﺰاﯾﺶ اﻣﻨﯿﺖ ﺑﺮاي‬
‫آﻧﻬﺎ در اوﻟﻮﯾﺖ ﻣﯽ ﺑﺎﺷﺪ و ﻫﻤﭽﻨﯿﻦ ﮐﺎﻫﺶ ﻫﺰﯾﻨﻪ ﻫﺎ ﺑﺮاي ﮐﺎرﻓﺮﻣﺎ ﻣﻬﻢ ﻣﯽ ﺑﺎﺷﺪ‪ ،‬ﺑﻠﻪ ﻫﺪف ﮐﺎﻣﻼ ﺳﺎده اﺳﺖ ‪:‬‬
‫ﻗﺎﺑﻠﯿﺖ اﻃﻤﯿﻨﺎن و ﻣﻘﺮون ﺑﻪ ﺻﺮﻓﻪ ﺑﻮدن‪.‬‬
‫‪ FortiOS 5.2‬اﻣﮑﺎﻧﺎت ﺑﺴﯿﺎر زﯾﺎدي ﻣﻌﺮﻓﯽ ﮐﺮده اﺳﺖ ﮐﻪ ﻣﺎ درﺻﺪد ﻫﺴﺘﯿﻢ در اﯾﻦ ﺗﻨﻈﯿﻤﺎت اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﻢ‪،‬‬
‫ﺑﻨﺎﺑﺮاﯾﻦ ﺑﻌﻀﯽ از اﯾﻦ ﺗﻨﻈﯿﻤﺎت ﺑﺮ روي ‪ FortiOS 5.0.x‬ﯾﺎ ﻗﺒﻞ از آن اﻣﮑﺎن ﭘﺬﯾﺮ ﻧﻤﯽ ﺑﺎﺷﺪ‪ .‬اﯾﻦ دﺳﺘﻮرات‬
‫درﺳﺮي ‪ FortiGate 1xxD/2xxD‬ﻗﺎﺑﻞ اﺟﺮا ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ دﺳﺘﻮراﺗﯽ ﮐﻪ ﺑﻪ ﺷﻤﺎ ﯾﺎد داده ﻣﯽ ﺷﻮد‪ ،‬ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ ﻣﺸﺘﺮﯾﺎن ﮐﻮﭼﮏ ﭘﯿﺸﻨﻬﺎداﺗﯽ ﺑﺪﻫﯿﺪ ﮐﻪ‬
‫زﯾﺮﺳﺎﺧﺖ اﻣﻦ و ﮐﺎﻣﻠﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ ﮐﻪ ﺑﺮ اﺳﺎس دﯾﺪﮔﺎه ﻫﺎي ‪UTM‬ي ﺗﻨﻈﯿﻢ ﺷﺪه اﺳﺖ‪ .‬در اﯾﻨﺠﺎ ﻣﺎ ﻣﯽ‬
‫ﺧﻮاﻫﯿﻢ ﻗﺎﺑﻠﯿﺖ ﻫﺎي اﻣﻨﯿﺘﯽ زﯾﺎدي را روي ﯾﮏ دﺳﺘﮕﺎه ﯾﺎ ﮐﻼﺳﺘﺮ اﯾﺠﺎد و ﻣﺘﻤﺮﮐﺰ ﮐﻨﯿﻢ‪.‬‬
‫‪94‬‬
‫دﺳﺘﻮراﻟﻌﻤﻞ ﻫﺎ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﻪ ﺑﻪ ﺻﻮرت ﮐﺎﻣﻞ ‪ installation‬اﻧﺠﺎم ﺷﻮد‪ .‬اﯾﻦ ﻣﻮارد ﺑﻪ ﺑﺨﺶ ﻫﺎي زﯾﺮ‬
‫ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮد‪:‬‬
‫‪ .1‬ﺳﻨﺎرﯾﻮ‬
‫اﯾﻦ ﻗﺴﻤﺖ در ﻣﻮرد ﻣﺸﮑﻼﺗﯽ ﮐﻪ وﺟﻮد داﺷﺘﻪ و ﺗﻮﺳﻂ ﺗﻮﭘﻮﻟﻮژي ﺷﺒﮑﻪ ﺟﺪﯾﺪ ﺣﻞ ﺧﻮاﻫﺪ ﺷﺪ ﺗﻮﺿﯿﺤﺎﺗﯽ ﻣﯽ‬
‫دﻫﺪ ﮐﻪ ﺷﺎﻣﻞ ﻣﻮارد و ﻣﺸﮑﻼﺗﯽ اﺳﺖ ﮐﻪ ﺗﻮﺳﻂ ﺗﻮﭘﻮﻟﻮژي ﻫﺎ ﺣﻞ ﻣﯽ ﺷﻮد‪.‬‬
‫‪ .2‬ﺗﻮﭘﻮﻟﻮژي‬
‫اﯾﻦ ﺑﺨﺶ ﺷﺎﻣﻞ دﯾﺎﮔﺮاﻣﯽ از ﺗﻮﭘﻮﻟﻮژي ﺟﺪﯾﺪ اﺳﺖ‪ .‬ﻫﻤﭽﻨﯿﻦ ﻟﯿﺴﺘﯽ از وﯾﮋﮔﯽ ﻫﺎي ﮐﻠﯿﺪي اﺳﺖ‪.‬‬
‫اﯾﻦ ﻧﻮع از ﻣﻌﻤﺎري ﻫﺎ و ﺗﻮﺿﯿﺤﺎت ﮐﻪ ﻣﺸﮑﻼت ﺷﻨﺎﺳﺎﯾﯽ ﺷﺪه در ﺳﻨﺎرﯾﻮي ﻗﺒﻠﯽ را ﺷﻨﺎﺳﺎﯾﯽ و ﺣﻞ ﻣﯽ‬
‫ﮐﻨﺪ‪.‬‬
‫‪ .3‬ﭘﯿﮑﺮﺑﻨﺪي‬
‫اﯾﻦ ﺑﺨﺶ دﺳﺘﻮراﻟﻌﻤﻠﯽ ﻣﺮﺣﻠﻪ ﺑﻪ ﻣﺮﺣﻠﻪ ﺗﻬﯿﻪ ﮐﺮده و ﺑﺮاي ﭘﯿﮑﺮﺑﻨﺪي ﻓﻮرﺗﯽ ﮔﯿﺖ در ﺣﺎﻟﺖ ﺗﻮﭘﻮﻟﻮژي ﺟﺪﯾﺪ‬
‫ﮐﺎرﺑﺮدي ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ .1‬ﺳﻨﺎرﯾﻮ‬
‫در ﺳﻨﺎرﯾﻮ اﺳﺘﺎﻧﺪارد‪ ،‬ﻣﺎ ﻓﺮض ﺗﻮﭘﻮﻟﻮژي زﯾﺮ را ﺑﻌﻨﻮان ﻧﻘﻄﻪ ﺷﺮوع در ﻧﻈﺮ ﻣﯽ ﮔﯿﺮﯾﻢ‪:‬‬
‫‪95‬‬
‫ﻣﺸﺘﺮﯾﺎﻧﯽ ﮐﻪ ﺗﻤﺎﯾﻞ دارﻧﺪ از ﻫﺮﮔﻮﻧﻪ ﻗﻄﻌﯽ و ﺧﺮاﺑﯽ اﺟﺘﻨﺎب ﮐﻨﻨﺪ اﻏﻠﺐ از ﺗﻮﭘﻮﻟﻮژي ﺑﺎﻻ اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﻨﺪ‪.‬‬
‫اﯾﻦ ﻣﺸﺘﺮﯾﺎن ﺑﻪ دو دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ در ﺣﺎﻟﺖ ‪ Active/Pasive‬ﻧﯿﺎز دارﻧﺪ‪ .‬ﺑﻨﺎﺑﺮاﯾﻦ دو ﻋﺪد ﺳﻮﺋﯿﭻ در ﺷﺒﮑﻪ‬
‫داﺧﻠﯽ ﺟﻬﺖ ﺗﻘﺴﯿﻢ ‪) payload‬ﺟﺎﺑﺠﺎﯾﯽ ﺑﺎر( ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﺎ ﻧﯿﺎز ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ ‬ﭼﻬﺎر دﺳﺘﮕﺎه ﻣﻮرد ﻧﯿﺎز ﻣﯽ ﺑﺎﺷﺪ ﺗﺎ ﺑﺘﻮاﻧﯿﻢ ﻧﻈﺎرت و ﻣﺪﯾﺮﯾﺖ درﺳﺘﯽ داﺷﺘﻪ ﺑﺎﺷﯿﻢ‪.‬‬
‫‪ ‬ادﻣﯿﻦ ﻫﺎ ﺑﺎﯾﺪ ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﻨﺪ ﮐﻪ ﭼﮕﻮﻧﻪ ﺑﺎ ‪ Firewall OS‬و ‪ Switch OS‬ﮐﺎر ﮐﻨﻨﺪ‪.‬‬
‫‪ ‬اﮔﺮ ﯾﮏ ﺳﻮﺋﯿﭻ ‪ fail‬ﺷﻮد‪ .‬ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎ ﻧﻤﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ اﯾﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ ‬اﻏﻠﺐ ﭘﻮرت ﻫﺎي ﻓﺎﯾﺮوال ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻧﻤﯽ ﮔﯿﺮد‪.‬‬
‫‪ .2‬ﺗﻮﭘﻮﻟﻮژي‬
‫‪96‬‬
‫در اﯾﻦ ﻗﺴﻤﺖ‪ ،‬ﻧﮕﺎﻫﯽ ﻣﯽ اﻧﺪازﯾﻢ ﺑﻪ ﻫﺪف ﺗﻮﭘﻮﻟﻮژي و ﺳﻨﺎرﯾﻮﻫﺎﯾﯽ ﺑﺮاي ‪ failover‬ﻓﻮرﺗﯽ ﮔﯿﺖ‪ .‬در اﻧﺘﻬﺎ ﻣﺎ در‬
‫ﻣﻮرد ﻧﻘﺎط ﻗﻮت ﺻﺤﺒﺖ ﻣﯽ ﮐﻨﯿﻢ و ﺑﺮ اﺳﺎس اﻫﺪاف ﺗﻮﭘﻮﻟﻮژي ﺗﺼﻤﯿﻢ ﻻزم را اﺗﺨﺎذ ﺧﻮاﻫﯿﻢ ﮐﺮد‪.‬‬
‫‪ 1-2‬ﻫﺪف ﺗﻮﭘﻮﻟﻮژي‬
‫در اﯾﻦ ﺗﻮﭘﻮﻟﻮژي‪ ،‬ﻣﺎ ﻧﻤﯽ ﺗﻮاﻧﯿﻢ از ﺳﻮﺋﯿﭻ ﻫﺎي اﺿﺎﻓﯽ اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﻢ‪ .‬و ﺑﻪ ﺟﺎي آن از راه ﺣﻞ ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ﻫﺎي ﯾﮑﺴﺎن ﺷﺪه ) ﺗﺮﮐﯿﺐ ﺷﺪه ( ﺳﻮﺋﯿﭽﯽ در ﻫﺮ دو ﺣﺎﻟﺖ ‪ master‬و ‪ slave‬اﺳﺘﻔﺎده ﻣﯽ ﻧﻤﺎﯾﯿﻢ‪.‬‬
‫ادﻣﯿﻦ ﻟﯿﻨﮏ ﺑﯿﻦ دو دﺳﺘﮕﺎه ﻓﯿﺰﯾﮑﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺳﻮﺋﯿﭻ ﺷﺪه را ﺑﻪ ﺻﻮرت ‪ trunk‬ﮐﺎﻧﻔﯿﮓ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﮐﺎﻧﻔﯿﻨﮓ‬
‫ﻣﺮﺑﻮط ﺑﻪ ﺳﺎب ﻧﺖ ﻫﺎ و ‪VLAN‬ﻫﺎ از ﯾﮑﯽ ﺑﻪ دﯾﮕﺮي ﻣﻨﺘﻘﻞ ﺷﻮد‪.‬‬
‫در ﺣﺎﻟﺖ ﮐﻼﺳﺘﺮ از ‪ FGCP‬اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد‪ ،‬در ﺣﺎﻟﺖ ‪ slave‬ﻓﺎﯾﺮوال ﻣﯽ ﺗﻮاﻧﺪ ﺗﺮاﻓﯿﮏ را ﺑﺮاي ﺑﻘﯿﻪ ﺗﻮﺳﻂ‬
‫ﻟﯿﻨﮏ ﺗﺮاﻧﮏ ارﺳﺎل ﻧﻤﺎﯾﺪ‪.‬‬
‫ﺷﮑﻞ زﯾﺮ ﺗﻮﺻﯿﻒ ﮐﻨﻨﺪه ﻣﻮارد ﺑﺎﻻ ﻣﯽ ﺑﺎﺷﺪ‪:‬‬
‫‪97‬‬
‫‪Fortigate Failover 2-2‬‬
‫ﻣﻮرد اول‪Link failure :‬‬
‫دﯾﺎﮔﺮام زﯾﺮ ﻧﻤﺎﯾﺶ دﻫﻨﺪه ي ﺟﺮﯾﺎن ﻋﺒﻮري ﺗﺮاﻓﯿﮏ ﻣﯽ ﺑﺎﺷﺪ‪:‬‬
‫‪ ‬ﻣﺎﻧﯿﺘﻮر ﮐﺮدن ﭘﻮرت ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻧﺖ‪ ،‬در ﺣﺎﻟﺘﯽ ﮐﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ اﺻﻠﯽ از ﮐﺎر ﺑﯿﻔﺘﺪ‪.‬‬
‫‪ ‬ﻟﯿﻨﮏ ﺑﯿﻦ روﺗﺮ و ﻓﻮرﺗﯽ ﮔﯿﺖ اﺻﻠﯽ از ﮐﺎر ﺑﯿﻔﺘﺪ‪.‬‬
‫‪98‬‬
‫ﻣﻮرد دوم‪ :‬ﻓﻮرﺗﯽ ﮔﯿﺖ اﺻﻠﯽ از ﮐﺎر ﺑﯿﻔﺘﺪ‪:‬‬
‫اﮔﺮ دﺳﺘﮕﺎه اﺻﻠﯽ ﺑﻪ ﺻﻮرت ﮐﺎﻣﻞ از ﮐﺎر ﺑﯿﻔﺘﺪ‪ ،‬ادﻣﯿﻦ ﺑﺎﯾﺪ ﺑﻪ ﺻﻮرت دﺳﺘﯽ ﺳﯿﮕﻤﻨﺖ ﻣﺮﺑﻮط ﺑﻪ ‪ LAN‬را ﺑﻪ‬
‫ﻓﺎﯾﺮوال ﺳﺎﻟﻢ ﻣﺘﺼﻞ ﮐﻨﺪ‪ ،‬در اﯾﻦ ﺗﻮﭘﻮﻟﻮژي ﻓﻘﻂ ﯾﮏ ﺳﻮﺋﯿﭻ ﻣﯽ ﺗﻮاﻧﺪ از ﮐﺎر ﺑﯿﻔﺘﻨﺪ‪.‬‬
‫‪99‬‬
‫‪ 3-2‬ﻣﺰﯾﺖ ﻫﺎي ﮐﻠﯿﺪي‬
‫اﯾﻦ ﺗﻮﭘﻮﻟﻮژي ﻧﻘﺎط ﮐﻠﯿﺪي را ﺑﺮاي ﺷﻤﺎ ﺑﻪ ارﻣﻐﺎن ﻣﯽ آورد‪:‬‬
‫‪ ‬ﻓﻘﻂ دو دﺳﺘﮕﺎه ﻣﻮرد ﻧﯿﺎز ﻣﯽ ﺑﺎﺷﺪ‪ ،‬در ﺻﻮرﺗﯽ ﮐﻪ در ﺗﻮﭘﻮﻟﻮژي اﺳﺘﺎﻧﺪارد ‪ 4‬دﺳﺘﮕﺎه ﻣﻮرد ﻧﯿﺎز ﺑﻮد‪.‬‬
‫‪ ‬ﺑﺮاي ادﻣﯿﻦ ﻫﺎ ﻣﺪﯾﺮﯾﺖ اﻣﻨﯿﺖ و ﺳﻮﺋﯿﭽﯿﻨﺖ روي ﯾﮏ دﯾﻮاﯾﺲ ﺑﺴﯿﺎر راﺣﺖ ﺗﺮ اﺳﺖ‪.‬‬
‫‪ ‬اﺳﺘﻔﺎده از ‪ FortiManager‬ﺟﻬﺖ ﻣﺪﯾﺮﯾﺖ ﯾﮑﭙﺎرﭼﻪ از دﺳﺘﮕﺎه ﻫﺎ‬
‫‪ ‬ﺗﻨﻬﺎ ﯾﮏ ﮐﻼﺳﺘﺮ ﺟﻬﺖ ﻧﻈﺎرت وﺟﻮد دارد‪.‬‬
‫‪ .3‬ﭘﯿﮑﺮﺑﻨﺪي‬
‫در اﯾﻦ ﻗﺴﻤﺖ‪ ،‬ﻣﺎ ﺗﻮﭘﻮﻟﻮژي ﺷﺒﮑﻪ اي ﺑﺎﻻ را ﻣﺠﺪدا اﯾﺠﺎد ﺧﻮاﻫﯿﻢ ﮐﺮد‪ .‬ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ ﮐﻪ روﺗﺮ ﭼﮕﻮﻧﻪ‬
‫ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﺳﻮﺋﯿﭻ دارد‪.‬‬
‫‪100‬‬
‫ﻗﺪم اول‪ :‬ﭘﯿﮑﺮﺑﻨﺪي ﺳﺨﺖ اﻓﺰاري ﺳﻮﺋﯿﭻ‬
‫ﺑﻪ ﺻﻮرت ﭘﯿﺶ ﻓﺮض ﻓﻮرﺗﯽ ﮔﯿﺖ ﻫﺎي ﺳﺮي ‪ ، 1xxD,2xxD‬دﺳﺘﮕﺎه ﺑﺮ روي ‪ interface‬ﻣُﺪ ﻣﯽ ﺑﺎﺷﺪ و ﺗﻤﺎم‬
‫ﭘﻮرت ﻫﺎي داﺧﻠﯽ ﺑﻪ ﺳﻮﺋﯿﭽﯽ ﺑﻪ ﻧﺎم ‪ LAN‬ﻣﺘﺼﻞ ﻣﯽ ﺑﺎﺷﻨﺪ‪ .‬در اﯾﻦ ﻣﺜﺎل ﻣﺎ ﺑﻪ ﭘﻮرت ﻫﺎي ‪ 39‬و ‪ 40‬ﺑﺮاي‬
‫ﺗﺮاﻧﮏ ﺷﺪن و ‪ HA‬ﻧﯿﺎز دارﯾﻢ‪.‬‬
‫اوﻟﯿﻦ ﻗﺪم ﭘﺎك ﮐﺮدن ﭘﻮرت ﻫﺎي ‪ 39‬و ‪ 40‬از ‪ LAN‬ﺳﻮﺋﯿﭻ ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﺑﺎ وﯾﺮاﯾﺶ اﯾﻨﺘﺮﻓﯿﺲ ‪ LAN‬ﺷﺮوع ﻣﯽ‬
‫ﮐﻨﯿﻢ‪.‬اﮔﺮ دﺳﺘﮕﺎه در ﺣﺎﻟﺖ ﺳﻮﺋﯿﭻ ﻣُﺪ ﺑﺎﺷﺪ‪ ،‬ﺑﺎﯾﺪ دوﺑﺎره ﺗﻨﻈﯿﻢ ﺷﺪه و ﺑﻪ ﻣُﺪ ‪ Interface‬ﺑﺮود‪.‬‬
‫‪101‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ System > Network > Interface‬رﻓﺘﻪ و ﺑﺮ روي ‪ LAN‬داﺑﻞ ﮐﻠﯿﮏ ﮐﻨﯿﺪ‪ .‬ﭘﻮرت ﻫﺎي ‪ 39‬و ‪ 40‬را‬
‫از ﻟﯿﺴﺖ ﭘﺎك ﻧﻤﺎﯾﯿﺪ‪ .‬ﺳﭙﺲ ﺗﻨﻈﯿﻤﺎت ‪ IP/Network Mask‬را ﺑﺮ اﺳﺎس زﯾﺮ وارد ﮐﻨﯿﺪ‪:‬‬
‫‪IP/Network Mask : 192.168.100.1/255.255.255.0‬‬
‫وﻗﺘﯽ ﮐﺎر ﺗﻤﺎم ﺷﺪ ﺗﻨﻈﯿﻤﺎت را اﻋﻤﺎل ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫ﺣﺎﻻ وﺿﻌﯿﺖ اﯾﻨﺘﺮﻓﯿﺲ ﺷﻤﺎ ﭼﯿﺰي ﺷﺒﯿﻪ ﻋﮑﺲ زﯾﺮ ﺑﺎﯾﺪ ﻣﯽ ﺑﺎﺷﺪ‪:‬‬
‫ﺑﺮاي اﯾﻨﮑﻪ ﭘﻮرت ﺗﺮاﻧﮏ ﺑﺪرﺳﺘﯽ ﮐﺎر ﮐﻨﺪ ﻣﺎ ﺑﺎﯾﺪ ‪ VLAN ID‬را روي ﺳﻮﺋﯿﭻ ﺗﻨﻈﯿﻢ ﮐﻨﯿﻢ‪ .‬اﯾﻦ ﻓﻘﻂ در ‪CLI‬‬
‫اﻧﺠﺎم ﭘﺬﯾﺮ ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫در اوﻟﯿﻦ ﻗﺪم ﻣﺎ ﺑﺎﯾﺪ ﻗﺎﺑﻠﯿﺖ ‪ globally‬را ﻓﻌﺎل ﻧﻤﺎﯾﯿﻢ‪ .‬دﺳﺘﻮرات در زﯾﺮ ﻧﻤﺎﯾﺶ داده ﺷﺪه اﺳﺖ‪:‬‬
‫‪FGT1‬‬ ‫‪#‬‬ ‫‪config‬‬ ‫‪system‬‬ ‫‪global‬‬
‫‪FGT1‬‬ ‫)‪(global‬‬ ‫‪#‬‬ ‫‪set‬‬ ‫‪virtual-switch-vlan‬‬
‫‪102‬‬
enable
FGT1 (global) # end
FGT1 # show system global
config system global
set fgd-alert-subscription advisory
latest-threat
set hostname “FGT1”
set internal-switch-mode interface
set optimize antivirus
set timezone 04
set virtual-switch-vlan enable
end
:‫ ﺻﻮرت ﻣﯿﮕﯿﺮد‬VLAN ID ‫ و ﺗﻨﻈﯿﻢ‬Vswitch ‫در ﻣﺮﺣﻠﻪ ﺑﻌﺪي وﯾﺮاﯾﺶ‬

FGT1 # config system virtual-switch
FGT1 (virtual-switch) # edit lan
FGT1 (lan) # set vlan 100
FGT1 (lan) # end
.‫ را در اﯾﻨﺘﺮﻓﯿﺲ ﻟﯿﺴﺖ ﻣﺸﺎﻫﺪه ﻧﻤﺎﯾﯿﺪ‬VLAN Switch ‫ﺑﻌﺪ از زدن دﺳﺘﻮرات ﺑﺎﻻ از اﻻن ﺷﻤﺎ ﺑﺎﯾﺪ ﺑﺘﻮاﻧﯿﺪ‬
‫ ﺗﻨﻈﯿﻢ ﺗﺮاﻧﮏ ﭘﻮرت‬:‫ﻣﺮﺣﻠﻪ دوم‬
‫ ﭘﯿﮑﺮﺑﻨﺪي‬.‫ ﻫﺮ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ‬virtual Switch ‫ﻣﻮرد اﺳﺘﻔﺎده ي ﭘﻮرت ﺗﺮاﻧﮏ ﺑﺮاي ﻋﺒﻮر ﺗﺮاﻓﯿﮏ ﺑﯿﻦ دو‬
:‫ﭘﻮرت ﺗﺮاﻧﮏ ﻓﻘﻂ ﺑﺎ دﺳﺘﻮرات زﯾﺮ اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺑﺎﺷﺪ‬
FGT1 # config system interface
FGT1 (interface) # edit port39
FGT1 (port39) # set trunk enable
FGT1 (port39) # end
FGT1 # show system interface port39
config system interface
edit “port39”
set vdom “root”
set type physical
set trunk enable
set snmp-index 10
next
end
.‫در ﺣﺎل ﺣﺎﺿﺮ ﺷﻤﺎ ﺑﺎﯾﺪ ﺑﺘﻮاﻧﯿﺪ ﭘﻮرت ﺗﺮاﻧﮏ را در اﯾﻨﺘﺮﻓﯿﺲ ﻟﯿﺴﺖ ﻣﺸﺎﻫﺪه ﮐﻨﯿﺪ‬
HA ‫ ﭘﯿﮑﺮﺑﻨﺪي‬:‫ﻣﺮﺣﻠﻪ ﺳﻮم‬
103
‫ﺣﺎﻻ ﻧﻮﺑﺖ ﺑﻪ ‪ High Availability‬رﺳﯿﺪه اﺳﺖ‪ .‬ﭘﻮرت ‪ 40‬ﺑﺮاي ‪ heartbeat/Sync‬ﺟﻬﺖ ارﺗﺒﺎط ﺑﯿﻦ اﻋﻀﺎي‬
‫ﮐﻼﺳﺘﺮ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪ .‬ﭘﻮرت ‪ WAN1‬ﻫﻢ ﺑﺮاي ﻣﺎﻧﯿﺘﻮر ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪.‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ System> Config> HA‬رﻓﺘﻪ و ‪ High Availability‬را ﻣﺎﻧﻨﺪ زﯾﺮ ﺗﻨﻈﯿﻢ ﻧﻤﺎﯾﯿﺪ‪:‬‬
‫ﻣﺮﺣﻠﻪ ﭼﻬﺎرم ‪:‬ﭘﯿﮑﺮﺑﻨﺪي ‪WAN IP routing‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ System > Network > Interface‬ﺑﺮوﯾﺪ و ‪ WAN1‬را وﯾﺮاﯾﺶ ﮐﻨﯿﺪ دﻗﯿﻘﺎ ﻣﺎﻧﻨﺪ زﯾﺮ‪:‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Router > Static > Static Routes‬ﺑﺮوﯾﺪ و ﯾﮏ ‪ route‬ﻫﻤﺎﻧﻨﺪ ﺗﻮﺿﯿﺤﺎت زﯾﺮ ﺑﺴﺎزﯾﺪ‪:‬‬
‫ﻣﺮﺣﻠﻪ ﭘﻨﺠﻢ‪ :‬ﭘﯿﮑﺮﺑﻨﺪي ﭘﺎﻟﺴﯽ ﻫﺎي ﻓﺎﯾﺮوال‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ Policy & Objects > Policy > IPv4‬ﺑﺮوﯾﺪ و ﭘﺎﻟﺴﯽ ﻫﺎي دﻟﺨﻮاه ﺧﻮد را ﭘﯿﮑﺮﺑﻨﺪي ﮐﻨﯿﺪ‪.‬‬
‫ﻣﺮﺣﻠﻪ ﺷﺸﻢ‪ :‬ﺗﮑﺮار ﺗﻨﻈﯿﻤﺎت ﺑﺮ روي دﺳﺘﮕﺎه دوم‬

‫‪104‬‬
‫وﻗﺘﯽ ﺑﺮاي اوﻟﯿﻦ ﺑﺎر ﻓﻮرﺗﯽ ﮔﯿﺖ را ﺗﻨﻈﯿﻢ ﻣﯽ ﮐﻨﯿﺪ‪ ،‬آﺳﺎن ﺗﺮﯾﻦ راه ﺑﺮاي اﻧﺠﺎم ﺗﻨﻈﯿﻤﺎت ﺑﺮ روي دﺳﺘﮕﺎه دوم‬
‫ﺗﻬﯿﻪ ﯾﮏ ﺑﮑﺎپ از ﺗﻨﻈﯿﻤﺎت دﺳﺘﮕﺎه اول و ﺑﺎزﯾﺎﺑﯽ ﺑﺮ روي دﺳﺘﮕﺎه دوم ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫ﺑﻪ ﻣﺴﯿﺮ ‪ System > Dashboard > Status‬ﺑﺮوﯾﺪ واز ﻗﺴﻤﺖ ‪ System Configuration‬ﮔﺰﯾﻨﻪ ‪ Backup‬را‬
‫اﻧﺘﺨﺎب ﮐﻨﯿﺪ‪ .‬ﺑﺎ اﺳﺘﻔﺎده از ﻫﻤﯿﻦ ﻣﺴﯿﺮ و اﻧﺘﺨﺎب ﮔﺰﯾﻨﻪ ‪ Restore‬ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﻨﻈﯿﻤﺎت را ﺑﺮ روي دﺳﺘﮕﺎه دوم‬
‫ﺑﺎزﯾﺎﺑﯽ ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪105‬‬
‫واژه ﻧﺎﻣﻪ ‪:‬‬
‫‪ Boarder Gateway Protocol :BGP‬در درﺟﻪ ي اول ﺟﻬﺖ اﺳﺘﻔﺎده و اﺗﺼﺎل ﺷﺒﮑﻪ ﻫﺎي ﺑﺰرگ ﻗﺮار دارد‪.‬‬
‫اﯾﻦ ﭘﺮوﺗﮑﻞ ﻣﯽ ﺗﻮاﻧﺪ ﭼﻨﺪ ‪ ISP‬ﯾﺎ ﺑﯿﺸﺘﺮ را ﺑﺎ ﯾﮑﺪﯾﮕﺮ ﻣﺘﺼﻞ ﻧﻤﺎﯾﺪ‪ ،‬ﯾﺎ ﺑﯿﻦ ‪ autonomous‬ﺳﯿﺴﺘﻢ ﻫﺎ ارﺗﺒﺎط‬
‫ﺑﺮﻗﺮار ﻧﻤﺎﯾﺪ‪ .‬اﮔﺮ ﺷﻤﺎ در اﯾﻦ ﺷﺮاﯾﻂ از ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﯿﺪ ﮐﺎﻣﻼ ﺟﻮاﺑﮕﻮي ﺷﻤﺎ ﺧﻮاﻫﺪ ﺑﻮد‪.‬‬
‫‪ :Certificates‬در ﺷﺒﮑﻪ‪ ،‬ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ ﺷﺎﻣﻞ ﮐﻠﯿﺪﻫﺎي ﻋﻤﻮﻣﯽ‪ ،‬ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎي دﯾﺠﯿﺘﺎﻟﯽ‪ ،‬ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎي‬
‫ﺷﻨﺎﺳﺎﯾﯽ ﺗﺎﻣﯿﻦ ﮐﻨﻨﺪه اﻣﻀﺎﻫﺎي دﯾﺠﯿﺘﺎﻟﯽ ﻣﯽ ﺑﺎﺷﺪ ﺑﺮاي وب ﺳﺎﯾﺖ ﻫﺎ ﯾﺎ ﺳﺎﯾﺮ ارﺗﺒﺎﻃﺎت اﻟﮑﺘﺮوﻧﯿﮑﯽ ﺑﻪ ﺷﻤﺎ‬
‫اﺟﺎزه ﻣﯽ دﻫﺪ ﮐﻪ ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ آﯾﺎ ﯾﮏ ﻫﻮﯾﺖ دﯾﺠﯿﺘﺎل ﻣﺸﺮوع و درﺳﺖ ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ‬
‫از ﮔﻮاﻫﯿﻨﺎﻣﻪ ﻫﺎ ﺑﺮاي ﭼﯿﺰﻫﺎي زﯾﺎدي ﺷﺎﻣﻞ ﺑﺎزرﺳﯽ ‪ SSL‬و اﻋﺘﺒﺎرﺳﻨﺠﯽ ﮐﺎرﺑﺮان اﺳﺘﻔﺎده ﻧﻤﺎﯾﺪ‪.‬‬
‫‪ Command Line Interface :CLI‬ﺑﺮ اﺳﺎس ﺗﮑﺴﺖ ﺑﻮده و ﺟﻬﺖ ﭘﯿﮑﺮﺑﻨﺪي دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ در ﻣﺤﯿﻂ‬
‫ﮐﺎﻣﻨﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪ .‬ﺑﯿﺸﺘﺮ ﻣﺮاﺣﻞ در اﯾﻦ ﮐﺘﺎب ﺑﻪ ﺻﻮرت ﮔﺮاﻓﯿﮑﺎل دﻧﺒﺎل ﺷﺪه اﺳﺖ‪ ،‬اﻣﺎ ﺑﻌﻀﯽ‬
‫از از ﺗﻨﻈﯿﻤﺎت ﺗﻨﻬﺎ در ﻣﺤﯿﻂ دﺳﺘﻮري ﻣﻮﺟﻮد ﻣﯽ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ Dynamic Host Configuration Protocol :DHCP‬ﯾﮏ ﭘﺮوﺗﮑﻠﯽ از ﺷﺒﮑﻪ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻪ دﺳﺘﮕﺎه ﻫﺎي‬
‫ﺷﺒﮑﻪ اﺟﺎزه درﯾﺎﻓﺖ ﺑﻌﻀﯽ از ﭘﺎراﻣﺘﺮﻫﺎ را ﻣﯽ دﻫﺪ‪ .‬ﯾﮑﯽ از اﯾﻦ ﭘﺎراﻣﺘﺮﻫﺎ ‪ IP Address‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﯾﮏ دﺳﺘﮕﺎه‬
‫ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ اﯾﻦ وﻇﯿﻔﻪ را ﺑﺮﻋﻬﺪه ﮔﺮﻓﺘﻪ و ﻫﻤﺎﻧﻨﺪ ﯾﮏ ‪ DHCP‬ﺳﺮور ﻋﻤﻞ ﻧﻤﺎﯾﺪ ﺗﺎ دﺳﺘﮕﺎه ﻫﺎي‬
‫ﻣﻮﺟﻮد در ﺷﺒﮑﻪ ي ﺷﻤﺎ ‪ IP‬درﯾﺎﻓﺖ ﻧﻤﺎﯾﻨﺪ‪.‬‬
‫‪ Demilitarized Zone :DMZ‬ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻪ ﮐﺎرﺑﺮان ﺧﺎرﺟﯽ ﺑﺎ دﺳﺘﺮﺳﯽ اﻣﻦ و‬
‫ﺣﻔﺎﻇﺖ ﺷﺪه اﺟﺎزه ﻣﯽ دﻫﺪ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬اﯾﻦ دﺳﺘﺮﺳﯽ ﺑﺪون دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﺳﺎﯾﺮ‬
‫ﻗﺴﻤﺖ ﻫﺎي ﺷﺒﮑﻪ ﺻﻮرت ﻣﯽ ﮔﯿﺮد‪ .‬اﯾﻦ ﮐﺎر اﻏﻠﺐ ﺑﺮاي ‪ subnet‬ﻫﺎﯾﯽ ﺷﺎﻣﻞ وب ﺳﺮورﻫﺎ اﻧﺠﺎم ﻣﯽ ﺷﻮد‪ .‬ﺑﯿﺸﺘﺮ‬
‫ﻣﻮاردي ﮐﻪ ﺑﺎﯾﺪ از ﺑﯿﺮون ﺑﻪ آﻧﻬﺎ دﺳﺘﺮﺳﯽ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬اﯾﻨﺘﺮﻓﯿﺲ ‪ DMZ‬ﻓﻘﻂ ﺑﻪ ﺗﺮاﻓﯿﮑﯽ اﺟﺎزه ﻋﺒﻮر ﻣﯽ‬
‫دﻫﺪ ﮐﻪ ﺻﺮﯾﺤﺎ در ﺗﻨﻈﯿﻤﺎت ﻓﻮرﺗﯽ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺑﻌﻀﯽ از ﻣﺪل ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ اﯾﻨﺘﺮﻓﯿﺲ‪ DMZ‬ﻧﺪارﻧﺪ‬
‫اﻟﺒﺘﻪ ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺳﺎﯾﺮ اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎ ﺟﻬﺖ اﯾﻦ ﻣﻮرد اﺳﺘﻔﺎده ﻧﻤﺎﯾﯿﺪ‪.‬‬
‫‪ Domain Name System :DNS‬ﺑﻮﺳﯿﻠﻪ دﺳﺘﮕﺎه ﻫﺎﯾﯽ ﮐﻪ ﻣﺘﺼﻞ ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻫﺴﺘﻨﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ‬
‫ﮔﯿﺮد ﺗﺎ وب ﺳﺎﯾﺖ ﻫﺎ را ﺑﻮﺳﯿﻠﻪ ‪ mapping‬ﮐﺮدن ﯾﮏ اﺳﻢ داﻣﯿﻦ ﺑﻪ ‪ IP‬آدرس ﺷﻨﺎﺳﺎﯾﯽ ﻧﻤﺎﯾﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‬
‫‪ DNS‬ﺳﺮورﻧﺎم ‪ fortigate.com‬را ﺑﻪ ‪ IP‬آدرس ‪ 66.171.121.34‬ﺗﺒﺪﯾﻞ ﻣﯽ ﮐﻨﺪ‪ .‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺸﺨﺺ‬
‫ﻣﯽ ﻧﻤﺎﯾﺪ ﮐﻪ ﮐﺪام ‪ DNS‬ﺳﺮور در ﺷﺒﮑﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮد‪ .‬ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ وﻇﯿﻔﻪ ﯾﮏ ‪DNS‬‬
‫ﺳﺮور را ﻧﯿﺰ ﺑﺮﻋﻬﺪه ﺑﮕﯿﺮد‪.‬‬
‫‪106‬‬
‫‪ Equal Cost Multipath Routing:ECMP‬اﺟﺎزه ﻣﯽ دﻫﺪ ﺑﻪ ﻫﺎپ ﻫﺎي ﺑﻌﺪي ﮐﻪ ﭘﮑﺖ ﻫﺎي ارﺳﺎﻟﯽ را ﺑﺮاي‬
‫ﯾﮏ ﻣﻘﺼﺪ ارﺳﺎل ﻧﻤﺎﯾﻨﺪ ﺗﺎ ﺑﯿﻦ ﭼﻨﺪﯾﻦ ﻣﺴﯿﺮ‪ ،‬ﺑﻬﺘﺮﯾﻦ اﻧﺘﺨﺎب ﺷﻮد‪ ECMP .‬ﺗﻮﺳﻂ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﺮاي اﻫﺪاف‬
‫ﻣﺘﻌﺪدي ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪ .‬ﯾﮑﯽ از آﻧﻬﺎ ‪ load balancing‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ :Explicit Proxy‬ﺣﺎﻟﺘﯽ از ﭘﯿﮑﺮﺑﻨﺪي ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻪ ﮐﻼﯾﻨﺖ ﻫﺎ اﺟﺎزه ﻣﯽ دﻫﺪ ﺗﺎ درﺧﻮاﺳﺖ ﻫﺎﯾﺸﺎن را ﺑﻪ‬
‫ﯾﮏ ﭘﺮوﮐﺴﯽ ﺳﺮور ارﺳﺎل ﻧﻤﺎﯾﻨﺪ‪ .‬وﻗﺘﯽ ﯾﮏ ﺳﺮور ﺑﻌﻨﻮان واﺳﻂ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد ﺑﺮاي درﺧﻮاﺳﺖ‬
‫ﻫﺎﯾﯽ ﮐﻪ از ﻃﺮف ﮐﻼﯾﻨﺖ ﻫﺎ ارﺳﺎل ﻣﯽ ﺷﻮد‪ .‬ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ وﻗﺘﯽ از ﺣﺎﻟﺖ ‪ explicit proxy‬اﺳﺘﻔﺎده ﻣﯽ‬
‫ﮐﻨﺪ‪ ،‬ﮐﻼﯾﻨﺖ ﻫﺎ ‪IP‬آدرس ﻫﺎ و ﺷﻤﺎره ﭘﻮرت ﻫﺎ را ﺑﺮاي ﭘﺮوﮐﺴﯽ ﺳﺮور ارﺳﺎل ﻣﯽ ﮐﻨﻨﺪ‪.‬‬
‫‪ :FortiAP‬دﺳﺘﮕﺎه اﮐﺴﺲ ﭘﻮﯾﻨﺖ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﯾﮏ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﺪﯾﺮﯾﺖ ﺷﻮد‪ .‬ﺑﯿﺸﺘﺮ‬
‫وﻇﺎﯾﻒ ‪ FortiAP‬ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ دﺳﺘﮕﺎه ‪ FortiWiFi‬اﻧﺠﺎم ﺷﻮد‪.‬‬
‫‪ :FortiOS‬ﺳﯿﺴﺘﻢ ﻋﺎﻣﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻮﺳﯿﻠﻪ ‪ Fortigate‬و ‪ FortiWiFi‬ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪ .‬ﺑﺮاي ﻓﻬﻢ‬
‫ﺑﻬﺘﺮ ﻣﯽ ﺗﻮان ﺑﻪ ﯾﮏ ﻓﺮﯾﻤﻮر ﺗﺸﺒﯿﻪ ﮐﺮد‪.‬‬
‫‪ :Gateway‬اﮔﺮ دﺳﺘﮕﺎﻫﯽ ﻧﺘﻮاﻧﺪ آدرس ﻣﻘﺼﺪ را در ﺳﺎﺑﻨﺖ ﺧﻮد ﭘﯿﺪا ﮐﻨﺪ ﭘﮑﺖ را ﺑﻪ ‪ Gateway‬ﺧﻮد ﺗﺤﻮﯾﻞ‬
‫ﻣﯽ دﻫﺪ‪.‬‬
‫‪ ،Graphical User Interface :GUI‬ﺑﯿﺸﺘﺮ اﻓﺮاد اﺳﻢ ‪ web-based manager‬ﻣﯽ ﺷﻨﺎﺳﻨﺪ‪ ،‬ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ‬
‫ﮔﺮاﻓﯿﮑﯽ ﻣﯽ ﺑﺎﺷﺪ ﺟﻬﺖ اﻧﺠﺎم ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ﺟﺎي اﺳﺘﻔﺎده از دﺳﺘﻮرات ﺧﺸﮏ و ﺧﺴﺘﻪ‬
‫ﮐﻨﻨﺪه ي ‪CLI‬‬
‫‪ Hypertext Transfer Protocol :HTTP‬ﭘﺮوﺗﮑﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺟﻬﺖ ارﺗﺒﺎﻃﺎت اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد و ﻧﺎ اﻣﻦ‬
‫ﺑﻮده‪ ،‬ﺷﺎﻣﻞ اﯾﻨﺘﺮﻧﺖ و دﺳﺘﯿﺎﺑﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎ اﺳﺖ‪ .‬ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ ﺗﺮاﻓﯿﮏ ﻫﺎي ﻣﺮﺑﻮط ﺑﻪ اﯾﻦ ﭘﺮوﺗﮑﻞ‬
‫را ﻧﯿﺰ ﻣﺪﯾﺮﯾﺖ ﮐﻨﺪ‪.‬‬
‫‪ Hypertext Transfer Protocol Secure :HTTPS‬ﭘﺮوﺗﮑﻞ اﻣﻦ ‪ HTTP‬ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ارﺗﺒﺎﻃﺎت را ﺑﺎ ﭘﺮوﺗﮑﻞ‬
‫اﻣﻦ اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺳﺎزد‪.‬‬
‫‪ :Interfaces‬ﻧﻘﻄﻪ اي ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ارﺗﺒﺎﻃﺎت ﺑﯿﻦ دو ﺑﺨﺶ ﻣﺘﻔﺎوت در اﯾﻦ ﻗﺴﻤﺖ اﻧﺠﺎم ﻣﯽ ﺷﻮد‪ .‬اﯾﻦ ﻧﻘﺎط‬
‫ﻣﯽ ﺗﻮاﻧﺪ ﻓﯿﺰﯾﮑﯽ ﺑﺎﺷﺪ‪ ،‬ﻣﺎﻧﻨﺪ ‪ Ethernet‬ﭘﻮرت ﻫﺎ روي ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ‪ ،‬ﯾﺎ ﺑﻪ ﺻﻮرت ﻣﻨﻄﻘﯽ ﻫﻤﺎﻧﻨﺪ ﯾﮏ ‪VPN‬‬
‫‪Portal‬‬
‫‪ :IPsec‬ﺟﻬﺖ اﯾﺠﺎد اﻣﻨﯿﺖ در ارﺗﺒﺎﻃﺎت ﺑﮑﺎر ﺑﺮده ﻣﯽ ﺷﻮد ﺑﻪ ﻃﻮري ﮐﻪ ﻫﺮ ﭘﮑﺖ ﯾﮏ ‪ session‬ﮐﺪﮔﺬاري ﻣﯽ‬
‫ﺷﻮد‪ .‬ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﺎﺳﺎ از اﯾﻦ ﭘﺮوﺗﮑﻞ ﺟﻬﺖ ارﺗﺒﺎط ‪ VPN‬اﺳﺘﻔﺎده ﻣﯿﮑﻨﺪ‪.‬‬
‫‪107‬‬
‫‪ Lightweight Directory Access Protocol :LDAP‬ﭘﺮوﺗﮑﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﺑﺮاي دﺳﺘﺮﺳﯽ و ﻧﮕﻬﺪاري از ﺳﺮوﯾﺲ‬
‫ﻫﺎي ﺗﻮزﯾﻊ ﯾﺎﻓﺘﻪ ‪ directory information‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﺳﺮورﻫﺎي ‪ LDAP‬ﺑﻪ ﺻﻮرت ﻣﻌﻤﻮل ﺑﺎ ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ﺑﺮاي ﺑﺤﺚ ‪ authenticate‬ﮐﺎرﺑﺮان ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ‪.‬‬
‫‪ Media Access Control address :MAC address‬ﯾﮏ ﺷﻨﺎﺳﻪ ﺧﺎص و ﻫﻤﺘﺎ ﻣﯽ ﺑﺎﺷﺪ ﺑﺮاي اﯾﻨﺘﺮﻓﯿﺲ ﺷﺒﮑﻪ‬
‫ﺟﻬﺖ ارﺗﺒﺎﻃﺎت‪ .‬ﯾﮏ ﻣﮏ آدرس ﺑﻪ ﯾﮏ دﯾﻮاﯾﺲ داده ﻣﯽ ﺷﻮد اﯾﻦ ﻣﮏ آدرس ﺗﻮﺳﻂ ﮐﺎرﺧﺎﻧﻪ ﺳﺎزﻧﺪه داده ﻣﯽ‬
‫ﺷﻮد و ﺑﻪ ﻫﯿﭻ ﻋﻨﻮان ﺷﺒﯿﻪ ‪ IP‬آدرس ﻧﻤﯽ ﺑﺎﺷﺪ و ﺑﻪ ﺻﻮرت ﻧﺮﻣﺎل ﻗﺎﺑﻞ ﺗﻐﯿﯿﺮ ﻧﻤﯽ ﺑﺎﺷﺪ‪ .‬ﻣﮏ آدرس در ‪6‬‬
‫ﻗﺴﻤﺖ دوﺗﺎﯾﯽ از اﻋﺪاد ﻫﮕﺰادﺳﯿﻤﺎل ﺗﺸﮑﯿﻞ ﺷﺪه اﺳﺖ ﮐﻪ ﺗﻮﺳﻂ ﮐﺎﻟﻮن از ﯾﮑﺪﯾﮕﺮ ﺟﺪا ﻣﯽ ﺷﻮﻧﺪ‪ .‬ﺑﺮاي ﻣﺜﺎل‬
‫‪ . 01:23:45:67:89:ab‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺷﻤﺎ ﺷﻨﺎﺳﺎﯾﯽ ﺧﻮاﻫﺪ ﮐﺮد دﯾﻮاﯾﺲ ﻫﺎﯾﯽ ﮐﻪ از ﻣﮏ آدرس اﺳﺘﻔﺎده‬
‫ﻣﯽ ﮐﻨﻨﺪ‪.‬‬
‫‪ :Multicast‬ﯾﮏ ﻣِﺘُﺪ از ارﺗﺒﺎط ﺑﻪ ﺻﻮرت ﮔﺮوﻫﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ اﻃﻼﻋﺎت ﺑﺮاي ﯾﮏ ﮔﺮوه ارﺳﺎل ﻣﯽ ﺷﻮد‪.‬ﻓﻮرﺗﯽ‬
‫ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ از ﺗﺮاﻓﯿﮏ ﻣﺎﻟﺘﯽ ﮐﺴﺖ ﺟﻬﺖ اﯾﺠﺎد ارﺗﺒﺎط ﺑﯿﻦ دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﮑﻪ اﺳﺘﻔﺎده ﻧﻤﺎﯾﺪ‪.‬‬
‫‪ Network Address Translation :NAT‬ﯾﮏ ﭘﺮوﺳﻪ اﺳﺖ ﮐﻪ ﺑﺮاي ﺗﻐﯿﯿﺮات و ﯾﺎ ﺗﺮﺟﻤﻪ ‪ IP‬آدرس ﻫﺎي ﻣﺒﺪا‬
‫ﯾﺎ ﻣﻘﺼﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪ .‬اﺳﺘﻔﺎده اﺻﻠﯽ از ‪ NAT‬اﺟﺎزه دادن ﺑﻪ ﭼﻨﺪﯾﻦ دﯾﻮاﯾﺲ ﺷﺒﮑﻪ ﺑﺮ روي‬
‫ﺑﺴﺘﺮ داﺧﻠﯽ ﺟﻬﺖ دﺳﺘﺮﺳﯽ ﺑﻪ ﺑﯿﺮون ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ‪ IP‬ﭘﺎﺑﻠﯿﮏ وﻗﺘﯽ ﮐﻪ ﻗﺼﺪ اﺳﺘﻔﺎده از اﯾﻨﺘﺮﻧﺖ را دارﻧﺪ‪.‬‬
‫ﻓﻮرﺗﯽ ﮔﯿﺖ از ﮐﺎرﺑﺮدﻫﺎي ﺑﯿﺸﻤﺎر ‪ NAT‬ﭘﺸﺘﯿﺒﺎﻧﯽ ﻣﯽ ﮐﻨﺪ‪.‬‬
‫‪ :Packet‬ﯾﮏ ﻗﺴﻤﺘﯽ از دﯾﺘﺎ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﯿﻦ دﯾﻮاﯾﺲ ﻫﺎي ارﺗﺒﺎﻃﯽ ارﺳﺎل ﻣﯽ ﺷﻮد‪ .‬ﯾﮏ ﭘﮑﺖ ﺷﺎﻣﻞ دو‬
‫ﻗﺴﻤﺖ ﭘﯿﺎم و اﻃﻼﻋﺎت ﮐﻨﺘﺮﻟﯽ ﻣﯽ ﺑﺎﺷﺪ‪ ،‬ﻫﻤﺎﻧﻨﺪ آدرس ﻣﺒﺪا ) ‪ IP‬آدرﺳﯽ دﺳﺘﮕﺎﻫﯽ ﮐﻪ ﭘﮑﺖ را ﻣﯽ ﻓﺮﺳﺘﺪ(‬
‫و آدرس ﻣﻘﺼﺪ ) ‪ IP‬آدرس دﺳﺘﮕﺎﻫﯽ ﮐﻪ ﺑﺴﺘﻪ را ارﺳﺎل ﮐﺮده اﺳﺖ(‬
‫‪ :PING‬ﯾﮏ دﺳﺘﻮر ﺑﺴﯿﺎر ﺳﻮدﻣﻨﺪ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ دﺳﺘﻮر ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ ﻣﺘﻮﺟﻪ ﺷﻮﯾﺪ ﮐﻪ ﯾﮏ‬
‫دﺳﺘﮕﺎه ﺑﻪ ﺷﺒﮑﻪ ﻣﺘﺼﻞ ﻣﯽ ﺑﺎﺷﺪ ﯾﺎ ﺧﯿﺮ ؟ ﻫﻤﭽﻨﯿﻦ ﺑﺎ اﺳﺘﻔﺎده از زﻣﺎن ‪ reply‬ﻣﺘﻮﺟﻪ ﻣﯽ ﺷﻮﯾﺪ زﻣﺎن ﺑﺎزﮔﺸﺖ‬
‫ﭼﻪ ﻣﻘﺪاري ﻣﯽ ﺑﺎﺷﺪ‪ .‬ﭘﺮوﺗﮑﻠﯽ ﮐﻪ ﭘﯿﻨﮓ اﺳﺘﻔﺎده ﻣﯿﮑﻨﺪ ‪ ICMP‬ﻣﯽ ﺑﺎﺷﺪ‪ .‬اﮔﺮ ‪ ICMP‬روي ﻣﻘﺼﺪ ﻓﻌﺎل ﺑﺎﺷﺪ‪،‬‬
‫در ﻣﺤﯿﻂ ‪ CLI‬ﻣﯽ‬ ‫‪execute‬‬ ‫دﺳﺘﻮر‪ping‬‬ ‫ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﯿﺪ دﺳﺘﮕﺎه ﻣﻘﺼﺪ را ﭘﯿﻨﮓ ﮐﻨﯿﺪ‪ .‬ﺷﻤﺎ ﺑﺎ اﺳﺘﻔﺎده از‬
‫ﺗﻮاﻧﯿﺪ از وﺿﻌﯿﺖ دﺳﺘﮕﺎه ﻣﻘﺼﺪ آﮔﺎه ﺷﻮﯾﺪ‪.‬‬
‫‪ :Port Number‬ﺷﻤﺎره ﭘﻮرت ﻧﻘﺎط ﭘﺎﯾﺎﻧﯽ ارﺗﺒﺎﻃﺎت اﺳﺖ ﮐﻪ در ارﺗﺒﺎﻃﺎت ﺷﺒﮑﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪.‬‬
‫ﭘﻮرت ﻫﺎي ﻣﺨﺘﻠﻒ در ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻣﺨﺘﻠﻒ ﻓﺮق ﻣﯽ ﮐﻨﺪ‪.‬‬
‫‪ :RADIUS‬ﻣﺪﯾﺮﯾﺖ ‪ Authorization,Authentication,Accounting– AAA‬ﺑﺮاي ﮐﺎرﺑﺮان ﮐﻪ از راه دور‬

‫ﻣﺘﺼﻞ ﻣﯽ ﺷﻮﻧﺪ و از ﺳﺮوﯾﺲ ﻫﺎي ﺷﺒﮑﻪ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ ﺗﻮﺳﻂ اﯾﻦ ﺑﺨﺶ اﻧﺠﺎم ﻣﯽ ﺷﻮد‪ Radius .‬ﺳﺮورﻫﺎ‬
‫‪108‬‬
‫ﺑﻪ ﺻﻮرت ﻣﻌﻤﻮل ﺑﺎ ﯾﮏ ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ اﯾﻨﮑﺎر ﺑﺮاي ﮐﺎرﺑﺮاﻧﯽ ﮐﻪ در داﺧﻞ ‪ SSO‬اﺣﺮاز‬
‫ﻫﻮﯾﺖ ﺷﺪه اﻧﺪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪.‬‬
‫‪ :Session‬ﯾﮏ ‪ session‬دﯾﺎﻟﻮﮔﯽ ﻫﺴﺖ ﺑﯿﻦ دو ﯾﺎ ﺑﯿﺸﺘﺮ دﺳﺘﮕﺎه ﻫﺎي ارﺗﺒﺎﻃﯽ ﮐﻪ ﺷﺎﻣﻞ ﻫﻤﻪ ﭘﯿﺎم ﻫﺎي ﻋﺒﻮري‬
‫ﺑﯿﻦ دﺳﺘﮕﺎه ﻫﺎ اﺳﺖ‪ .‬ﺑﺮاي ﻣﺜﺎل ﯾﮏ ‪ session‬وﻗﺘﯽ ﮐﻪ ﯾﮏ ﮐﺎرﺑﺮ از ﯾﮏ ﺳﺎﯾﺖ ﺑﺎزدﯾﺪ ﻣﯿﮑﻨﺪ ﺳﺎﺧﺘﻪ ﻣﯽ ﺷﻮد‪.‬‬
‫‪ session‬ﻫﺎ ﺑﺮاي ﺗﻤﺎم ارﺗﺒﺎﻃﺎت ﺑﯿﻦ ﮐﺎرﺑﺮان ﮐﺎﻣﭙﯿﻮﺗﺮ و وب ﺳﺮور ﻫﺎ ﮐﺎرﺑﺮد دارد‪ Session .‬ﻫﺎ ﺑﻮﺳﯿﻠﻪ ﯾﮏ‬
‫دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ردﯾﺎﺑﯽ ﻣﯽ ﺷﻮﻧﺪ ﺑﻪ ﺷﺮﻃﯽ ﮐﻪ در ﻗﺴﻤﺖ اﯾﺠﺎد ﻻگ اﻧﺘﺨﺎب ﺷﺪه ﺑﺎﺷﺪ‪.‬‬
‫‪ Session Initiation Protocol :SIP‬ﺑﺮاي ﮐﻨﺘﺮل ‪ session‬ﻫﺎي ارﺗﺒﺎﻃﺎﺗﯽ ﻣﺎﻟﺘﯽ ﻣﺪﯾﺎ ﻫﻤﺎﻧﻨﺪ ‪ voice‬و وﯾﺪﺋﻮ‬
‫ﺗﺤﺖ ﺑﺴﺘﺮ اﯾﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد‪ .‬ﻓﻮرﺗﯽ ﮔﯿﺖ از اﯾﻦ ﭘﺮوﺗﮑﻞ ﺑﺮاي ﻋﺒﻮر ﺻﺪا ﺑﺮ روي ‪ IP‬اﺳﺘﻔﺎده ﻣﯿﮑﻨﺪ‪.‬‬
‫‪ Simple Network Managemet Protocol :SNMP‬ﭘﺮوﺗﮑﻠﯽ اﺳﺖ ﮐﻪ ﺳﺨﺖ اﻓﺰارﻫﺎي روي ﺷﺒﮑﻪ ﺷﻤﺎ را‬
‫ﻣﺎﻧﯿﺘﻮر ﻣﯽ ﮐﻨﺪ‪ .‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ از ﭘﺮوﺗﮑﻞ ‪ SNMP‬اﺳﺘﻔﺎده ﮐﻨﺪ ﺗﺎ وﻗﺎﯾﻌﯽ ﻣﺎﻧﻨﺪ ﻣﯿﺰان‬
‫اﺳﺘﻔﺎده از ‪ CPU‬و ‪VPN Tunnel‬ﻫﺎ و ‪ ...‬را ﻣﺎﻧﯿﺘﻮر ﻧﻤﺎﯾﺪ‪.‬‬
‫‪ Secure Shell :SSH‬ﭘﺮوﺗﮑﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﺮاي اﯾﺠﺎد اﻣﻨﯿﺖ ﺳﺮوﯾﺲ ﻫﺎ در ﺷﺒﮑﻪ اﺳﺘﻔﺎده ﻣﯿﺸﻮد‪ .‬ﺷﺎﻣﻞ‬
‫دﺳﺘﺮﺳﯽ راه دور از ﻃﺮﯾﻖ ‪ command-line‬ﻣﯽ ﺑﺎﺷﺪ‪ SSH .‬ﻣﯽ ﺗﻮاﻧﺪ ﺟﻬﺖ دﺳﺘﺮﺳﯽ ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ‬
‫ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﺑﮕﯿﺮد‪.‬‬
‫‪ Service Set Identifier :SSID‬اﺳﻤﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ اﮐﺴﺲ ﭘﻮﯾﻨﺖ ‪ broadcast‬ﻣﯽ ﮐﻨﺪ ﺗﺎ ﮐﺎرﺑﺮان ﺷﺒﮑﻪ‬
‫واﯾﺮﻟﺲ ﺑﻪ آن ﻣﺘﺼﻞ ﺷﻮﻧﺪ‪.‬‬
‫‪ Secure Socket Layer :SSL‬ﭘﺮوﺗﮑﻠﯽ ﺑﺮاي رﻣﺰﮔﺬاري اﻃﻼﻋﺎﺗﯽ ﮐﻪ در ﺷﺒﮑﻪ رد و ﺑﺪل ﻣﯽ ﺷﻮﻧﺪ‪ SSL .‬ﻣﯽ‬
‫ﺗﻮاﻧﺪ ﺟﻬﺖ ارﺗﺒﺎﻃﺎت اﻣﻦ در ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﺘﻔﺎده ﺷﻮد‪ .‬ﻫﻤﭽﻨﯿﻦ ﺑﺮاي رﻣﺰﮔﺬاري ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺖ ﻣﻮرد اﺳﺘﻔﺎده‬
‫ﻗﺮار ﻣﯽ ﮔﯿﺮد و ﺑﺮاي اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﮐﺎرﺑﺮان راه دور از ﻃﺮﯾﻖ ‪ VPN‬ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪.‬‬
‫‪ :SSL inspection‬ﺑﺮاي اﺳﺘﻔﺎده ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ ﺗﺎ ﺗﺮاﻓﯿﮏ را اﺳﮑﻦ ﮐﺮده ﯾﺎ ‪session‬ﻫﺎي ارﺗﺒﺎﻃﯽ ﮐﻪ از‬
‫‪ SSL‬ﺑﺮاي رﻣﺰﮔﺬاري اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ ﺑﺮرﺳﯽ ﻧﻤﺎﯾﺪ‪.‬‬
‫‪ :SSO‬ﻗﺎﺑﻠﯿﺘﯽ ﮐﻪ ﺑﻪ ﮐﺎرﺑﺮ اﺟﺎزه ﻣﯽ دﻫﺪ ﺑﺎ ﯾﮑﺒﺎر ﻻﮔﯿﻦ ﺷﺪن ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ﯾﮏ ﺳﺮي از دﺳﺘﺮﺳﯽ ﻫﺎي‬
‫ﻣﺸﺨﺺ را داﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫‪ :Static route‬اﻋﻤﺎل ﺗﻨﻈﯿﻤﺎت دﺳﺘﯽ روﺗﯿﻨﮓ ﮐﻪ ﺛﺎﺑﺖ ﺑﻮده و ﻗﺎﺑﻠﯿﺖ ﺗﻐﯿﯿﺮ ﻧﺪارد و ﺑﻪ ﺻﻮرت دﺳﺘﯽ اﺿﺎﻓﻪ و‬
‫ﯾﺎ ﮐﻢ ﻣﯽ ﺷﻮد‪.‬‬
‫‪109‬‬
‫‪ :Subnet‬ﯾﮏ ‪ Subnetwork‬ﯾﺎ ‪ Subnet‬ﯾﮏ ﺳﯿﮕﻤﻨﺘﯽ از ﺷﺒﮑﻪ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﻪ ﺻﻮرت ﻓﯿﺰﯾﮑﺎﻟﯽ و ﯾﺎ ﻣﻨﻄﻘﯽ‬
‫ﺟﺪا ﺷﺪه اﺳﺖ‪ .‬ﺟﺪا ﮐﺮدن ﺷﺒﮑﻪ ﺑﻪ ﺳﺎب ﻧﺖ ﻫﺎي ﻣﺨﺘﻠﻒ ﺑﺎﻋﺚ اﯾﺰوﻟﻪ ﮐﺮدن ﺗﺮاﻓﯿﮏ ﻋﺒﻮري ﺷﺪه و ﺑﻪ ﮐﺎراﯾﯽ‬
‫ﺷﺒﮑﻪ ﮐﻤﮏ ﺷﺎﯾﺎﻧﯽ ﻣﯽ ﻧﻤﺎﯾﺪ‪.‬‬
‫‪ :Subnet Mask‬ﯾﮏ ﻗﺴﻤﺘﯽ از آدرس ‪ IP‬ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺗﻌﯿﯿﻦ ﻣﯽ ﮐﻨﺪ اﮔﺮ دو آدرس در ﯾﮏ ﺳﺎب ﻧﺖ ﻣﺸﺎﺑﻪ‬
‫ﻫﺴﺘﻨﺪ ﺑﺘﻮاﻧﻨﺪ ﺑﻪ ﯾﮑﺪﯾﮕﺮ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ Virtual Local Area Network :VLAN‬ﺑﻪ ﺻﻮرت ﻣﻨﻄﻘﯽ ‪ LAN‬ﺑﻪ ﻗﺴﻤﺖ ﻫﺎي ﮐﻮﭼﮏ ﺗﺮي ﺗﻘﺴﯿﻢ ﻣﯽ‬
‫ﺷﻮد ﮐﻪ وﻇﺎﯾﻒ و ﮐﺎراﯾﯽ ﻣﺴﺘﻘﻞ ﺗﺮي داﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺗﻮاﻧﺪ ‪vlan‬ﻫﺎي ﻣﺨﺘﻠﻔﯽ را اﯾﺠﺎد‬
‫ﮐﺮده ﺗﺎ ﮐﺎرﺑﺮان ﺑﺘﻮاﻧﻨﺪ ﺑﺎ ﺳﻄﻮح دﺳﺘﺮﺳﯽ ﻣﺘﻔﺎوﺗﯽ ﺑﻪ آﻧﻬﺎ دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ Virtual Domain :VDOM‬ﺑﺮاي ﺗﻘﺴﯿﻢ ﯾﮏ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ دو ﯾﺎ ﺑﯿﺸﺘﺮ ﻓﻮرﺗﯽ ﮔﯿﺖ اﺳﺘﻔﺎده ﻣﯽ‬
‫ﺷﻮد ﮐﻪ ﻫﻤﻪ ي آﻧﻬﺎ داراي ‪ FortiOS‬ﺑﻮده و ﻗﺎﺑﻠﯿﺖ ﻫﺎي ﻣﺠﺰاﯾﯽ دارﻧﺪ و ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺻﻮرت ﻣﺴﺘﻘﻞ ﻣﺪﯾﺮﯾﺖ‬
‫ﺑﺸﻮﻧﺪ‪.‬‬
‫‪ Voice Over Internet :VoIP‬ﭘﺮوﺗﮑﻠﯽ ﮐﻪ ﺑﺎﻋﺚ اﯾﺠﺎد ارﺗﺒﺎﻃﺎت ﺻﻮﺗﯽ ﻣﯿﺸﻮد و ‪session‬ﻫﺎي ﻣﺎﻟﺘﯽ ﻣﺪﯾﺎ را‬
‫روي ﭘﺮوﺗﮑﻞ اﯾﻨﺘﺮﻧﺖ ﻋﺒﻮر ﻣﯽ دﻫﺪ‪.‬‬
‫‪ Virtual Private Network:VPN‬دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﺷﺒﮑﻪ داﺧﻠﯽ از ﻃﺮﯾﻖ ﺑﺴﺘﺮ اﯾﻨﺘﺮﻧﺖ و اﯾﺠﺎد دﺳﺘﺮﺳﯽ ﺑﺮاي‬
‫ﮐﺎرﺑﺮان راه دور ﺟﻬﺖ اﺳﺘﻔﺎده از ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ داﺧﻠﯽ ﻣﯽ ﺑﺎﺷﺪ‪ .‬دو ﻧﻮع اﺻﻠﯽ از وي ﭘﯽ ان ﮐﻪ ﺗﻮﺳﻂ ﻓﻮرﺗﯽ‬
‫ﮔﯿﺖ ﺗﻨﻈﯿﻢ ﻣﯽ ﺷﻮد ﺷﺎﻣﻞ ‪ IPsec VPN :‬و ‪ SSL VPN‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫‪ WAN :WAN/WAN1‬ﯾﺎ ‪ WAN1‬ﭘﻮرﺗﯽ ﺑﺮ روي ‪ Fortigate‬ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ در اﻏﻠﺐ ﻣﻮارد ﺟﻬﺖ اﺗﺼﺎل دﺳﺘﮕﺎه‬
‫ﺑﻪ اﯾﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد‪ .‬ﺑﻌﻀﯽ از ﻣﺪل ﻫﺎ‪ ،‬ﻓﻮرﺗﯽ ﮔﯿﺖ داراي ﭘﻮرﺗﯽ ﺑﻪ اﺳﻢ ‪ WAN2‬ﻣﯽ ﺑﺎﺷﻨﺪ ﮐﻪ ﺟﻬﺖ‬
‫ﻟﯿﻨﮏ ‪ Redundant‬ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد‪.‬‬
‫‪110‬‬

Forti Gate

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Forti Gate

Uploaded by

Copyright:

Available Formats

‫ﻣﻘﺪﻣﻪ‬

‫ﺣﺎﻟﺖ ‪ Internal switch‬ﭼﯿﺴﺖ ؟‬

‫دو ﺣﺎﻟﺖ اﺻﻠﯽ ﺷﺎﻣﻞ ‪ Switch mode‬و ‪ Interface mode‬ﻣﯽ ﺑﺎﺷﻨﺪ‪.‬‬

‫ﺳﭙﺲ دﺳﺘﻮرات زﯾﺮ را در ﮐﻨﺴﻮل ‪ CLI‬وارد ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫‪ -1‬دﺳﺘﻮري ﮐﻪ ﺗﻐﯿﯿﺮ دﻫﻨﺪه ي ﺣﺎﻟﺖ ‪ switch mode‬ﻓﻮرﺗﯽ ﮔﯿﺖ ﻣﯽ ﺑﺎﺷﺪ‪:‬‬

‫‪ -1‬اﺗﺼﺎل دﺳﺘﮕﺎه ﻫﺎي ﺷﺒﮑﻪ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ و ﻻﮔﯿﻦ ﺑﺮ روي آن‬

‫‪ .1‬اﺗﺼﺎل دﯾﻮاﯾﺲ ﻫﺎي ﺷﺒﮑﻪ و ﻻﮔﯿﻦ ﮐﺮدن ﺑﺮ روي ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬

‫‪ .2‬ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻓﯿﺲ ﻫﺎي ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را دﻧﺒﺎل ﮐﻨﯿﺪ ‪:‬‬

‫اﯾﻨﺘﺮﻓﯿﺲ ﻣﺮﺑﻮط ﺑﻪ اﯾﻨﺘﺮﻧﺖ را وﯾﺮاﯾﺶ ‪ edit‬ﻧﻤﺎﯾﯿﺪ‪.‬‬

‫‪ .3‬اﺿﺎﻓﻪ ﮐﺮدن ‪Defualt route‬‬

‫) ‪Router >Static >Static Routers ( System> Network> Routing‬‬

‫ﺣﺎﻻ ﯾﮏ ‪ route‬اﺿﺎﻓﻪ ﻧﻤﺎﯾﯿﺪ‪.‬‬

‫‪ .4‬وارد ﮐﺮدن ‪ DNS‬ﺳﺮور ﺑﺮاي ﻓﻮرﺗﯽ ﮔﯿﺖ ) اﺧﺘﯿﺎري (‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫و ‪DNS‬ﻫﺎي ‪ Primary‬و ‪ Secondary‬را وارد ﻧﻤﺎﯾﯿﺪ‪.‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﺟﻬﺖ ﺳﺎﺧﺖ ‪ Policy‬ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫ﺣﺎل ﯾﮏ ‪ policy‬ﻣﻄﺎﺑﻖ ﺑﺎ ﺷﺮاﯾﻂ زﯾﺮ ﻣﯽ ﺳﺎزﯾﻢ ‪:‬‬

‫ﻫﻤﭽﻨﯿﻦ ﻣﯽ ﺗﻮاﻧﯿﺪ ﺗﺮاﻓﯿﮏ ﻋﺒﻮري را ﻫﻤﺎﻧﻨﺪ زﯾﺮ ﻓﯿﻠﺘﺮ ﻧﻤﺎﯾﯿﺪ ‪:‬‬

‫‪ -1‬ﺗﻐﯿﯿﺮ دادن ﺣﺎﻟﺖ ﻋﻤﻠﯿﺎﺗﯽ ﻓﻮرﺗﯽ ﮔﯿﺖ‬

‫‪ .2‬وارد ﮐﺮدن ‪ DNS‬ﺳﺮورﻫﺎ ﺑﺮاي ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬

‫اﺳﺘﻔﺎده از ﯾﮏ ﻟﯿﻨﮏ ‪ WAN‬ﺑﺮاي ‪ Redundant‬اﺗﺼﺎل ﻫﺎي اﯾﻨﺘﺮﻧﺖ‬

‫‪ -1‬اﺗﺼﺎل ‪ ISP‬ﻫﺎ ﺑﻪ ﻓﻮرﺗﯽ ﮔﯿﺖ‬

‫‪ .1‬اﺗﺼﺎل ‪ISP‬ﻫﺎ ﺑﻪ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ‪:‬‬

‫‪ .2‬ﭘﺎك ﮐﺮدن ‪ Security Policy‬ﻫﺎ و ‪route‬ﻫﺎي ﻣﻮرد اﺳﺘﻔﺎده در ‪ WAN1‬و‪: WAN2‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫ﺑﺮاي ﭘﺎك ﮐﺮدن ‪Route‬ﻫﺎ ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫‪ .3‬ﺳﺎﺧﺘﻦ ﯾﮏ ‪ WAN‬ﻟﯿﻨﮏ اﯾﻨﺘﺮﻓﯿﺲ‪:‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫‪ .4‬ﺳﺎﺧﺘﻦ ‪ Defualt route‬ﺑﺮاي ﻟﯿﻨﮏ اﯾﻨﺘﺮﻓﯿﺲ ‪WAN‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫‪Default route‬اﺿﺎﻓﻪ ﻣﯽ ﻧﻤﺎﯾﯿﻢ >‪Router> Static> Static Routes‬‬

‫در ﻗﺴﻤﺖ ‪ Device‬ﺑﺎﯾﺪ ‪ WAN Link Interface‬را وارد ﻧﻤﺎﯾﯿﻢ‪.‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﻮده و ﯾﮏ ‪ Policy‬ﺟﺪﯾﺪ ﻣﯽ ﺳﺎزﯾﻢ‪:‬‬

‫‪ -1‬اﮔﺮ ﺑﺎ اﺳﺘﻔﺎده از ‪ Ethernet‬ﻧﻤﯽ ﺗﻮاﻧﯿﺪ ﺑﻪ دﺳﺘﮕﺎه ﻣﺘﺼﻞ ﺷﻮﯾﺪ از ‪ FortiExplorer‬اﺳﺘﻔﺎده ﮐﻨﯿﺪ‪.‬‬

‫‪ -2‬ﭼﮏ ﮐﺮدن ﺗﺠﻬﯿﺰات‪.‬‬

‫‪ -3‬ﭼﮏ ﮐﺮدن وﺿﻌﯿﺖ اﺗﺼﺎﻻت ﻓﯿﺰﯾﮑﯽ ﺷﺒﮑﻪ‪.‬‬

‫‪ -6‬ﺑﺮرﺳﯽ ﺗﻨﻈﯿﻤﺎت اﯾﻨﺘﺮﻓﯿﺲ ﻓﻮرﺗﯽ ﮔﯿﺖ‪.‬‬

‫‪ -7‬ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪Security Profile‬ﻫﺎ را ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ‪.‬‬

‫‪ -8‬ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ ﮐﻪ دﺳﺖ اﯾﻨﺘﺮﻧﺘﯽ دﺳﺘﮕﺎه ﺑﻪ اﯾﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ اﺳﺖ‪.‬‬

‫‪ -9‬ﺑﺮرﺳﯽ ﺗﻨﻈﯿﻤﺎت اﺳﺘﺎﺗﯿﮏ ‪:routing‬‬

‫‪ -10‬ﺑﺮرﺳﯽ ﻧﻤﺎﯾﯿﺪ ﮐﻪ اﺗﺼﺎل ﺑﺎ ‪ Gateway‬ﻣﺮﺑﻮط ﺑﻪ ‪ ISP‬ﺷﻤﺎ ﺑﺮﻗﺮار اﺳﺖ‪.‬‬

‫‪ -12‬ﺑﺮرﺳﯽ ﺗﻨﻈﯿﻤﺎت ‪ DNS‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ و ﮐﻼﯾﻨﺖ ﻫﺎ‬

‫‪ -13‬از وﺻﻞ ﺑﻮدن دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺑﻪ ‪ FortiGuard‬ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ‪.‬‬

‫‪Config system interface‬‬

‫ﺛﺒﺖ دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ و ﺗﻨﻈﯿﻤﺎت ﻣﺮﺑﻮط ﺑﻪ ‪: System Setting‬‬

‫‪ -1‬ﺛﺒﺖ ﻓﻮرﺗﯽ ﮔﯿﺖ‬

‫‪ -2‬ﺗﻨﻈﯿﻢ زﻣﺎن دﺳﺘﮕﺎه‬

‫‪ -3‬ﻣﺤﺪود ﮐﺮدن دﺳﺘﺮﺳﯽ ادﻣﯿﻦ از دﺳﺘﮕﺎه ﻫﺎي ﻣﺠﺎز‬

‫‪ -4‬ﺗﻐﯿﯿﺮ ﭘﺴﻮرد ‪default admin‬‬

‫‪ .1‬دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ﺧﻮد را ﺛﺒﺖ ﻧﻤﺎﯾﯿﺪ‪.‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫ﺗﻮﺻﯿﻪ ﻣﯽ ﮐﻨﯿﻢ ﺟﻬﺖ ﺛﺒﺖ از ﯾﮏ اﮐﺎﻧﺖ ﻣﻌﻤﻮل اﺳﺘﻔﺎده ﮐﻨﯿﺪ‪.‬‬

‫‪ .2‬ﺗﻨﻈﯿﻤﺎت ﺳﺎﻋﺖ دﺳﺘﮕﺎه ‪:‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﮐﻨﯿﺪ‪:‬‬

‫‪ -4‬ﺗﻐﯿﯿﺮ دادن ﭘﺴﻮرد ﭘﯿﺶ ﻓﺮض ‪: admin‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﮐﻨﯿﺪ‪:‬‬

‫ﻣﺴﯿﺮ زﯾﺮ را ﻃﯽ ﻧﻤﺎﯾﯿﺪ‪:‬‬

‫ﺑﻪ روز رﺳﺎﻧﯽ ﻓﺮﯾﻤﻮر دﺳﺘﮕﺎه ﻓﻮرﺗﯽ ﮔﯿﺖ ‪:‬‬

‫‪ -١‬ﻓﺮﯾﻤﻮر ‪ FortiOS‬دﺳﺘﮕﺎه را ﭼﮏ ﻧﻤﺎﯾﯿﺪ‪.‬‬

‫‪ -٢‬آﺧﺮﯾﻦ ﻧﺴﺨﻪ ﻣﺮﺑﻮﻃﻪ ﺑﻪ ‪ FortiOS‬را داﻧﻠﻮد ﻧﻤﺎﯾﯿﺪ‪.‬‬

‫‪ -٣‬ﻓﺮﯾﻤﻮر ‪ FortiGate‬را ﺑﻪ آﺧﺮﯾﻦ ﻧﺴﺨﻪ آﭘﺪﯾﺖ ﻧﻤﺎﯾﯿﺪ‪.‬‬