10 اشتباه رایج امنیتی در پیکربندی FortiGate و نحوه رفع آن‌ها

FortiGate یکی از محبوب‌ترین و قدرتمندترین فایروال‌های سازمانی در جهان است که توسط شرکت Fortinet تولید می‌شود. این دستگاه در هزاران سازمان کوچک، متوسط و بزرگ در سراسر ایران و جهان استفاده می‌شود.

در میان برندهای مختلف، فایروال‌های FortiGate به دلیل عملکرد قدرتمند، امکانات امنیتی گسترده و قیمت مناسب، محبوبیت زیادی در سازمان‌ها و دیتاسنترها پیدا کرده‌اند. اما داشتن یک FortiGate قوی به تنهایی کافی نیست؛ پیکربندی اشتباه می‌تواند امنیت کل شبکه را به خطر بیندازد.

طبق گزارش‌های امنیتی، بیش از 60% از نفوذهای موفق به شبکه‌های سازمانی، نه از طریق آسیب‌پذیری‌های نرم‌افزاری، بلکه از طریق misconfiguration یا پیکربندی اشتباه دستگاه‌های امنیتی رخ می‌دهند. در این مقاله، 10 اشتباه رایج امنیتی در پیکربندی FortiGate را بررسی می‌کنیم و راه‌حل‌های عملی برای رفع هر کدام ارائه می‌دهیم.

وضعیت خطرناک (اشتباه رایج)	وضعیت امن و استاندارد (راه‌حل)	بخش تنظیمات (Configuration)
استفاده از یوزرنیم و پسورد پیش‌فرض یا ضعیف (مانند Fortinet123)	تغییر پسورد به حداقل ۱۲ کاراکتر پیچیده + فعال‌سازی admin-lockout برای مسدودسازی خودکار Brute-force	اطلاعات احراز هویت ادمین
باز بودن پورت‌های HTTPS (443) و SSH (22) روی اینترفیس اینترنت (WAN)	غیرفعال کردن دسترسی روی WAN + استفاده از قابلیت Trusted Hosts یا اتصال مدیریت صرفاً از طریق VPN	دسترسی مدیریتی (Management)
احراز هویت تک‌مرحله‌ای (فقط با رمز عبور)	فعال‌سازی تایید هویت دو مرحله‌ای (2FA) با استفاده از FortiToken یا اتصال به RADIUS / ایمیل	امنیت ورود کاربران و ادمین‌ها
ایجاد پالیسی‌های باز و خطرناک با مقادیر ANY / ANY / ANY	رعایت اصل کمترین دسترسی (Least Privilege) و مشخص کردن دقیقِ Source، Destination و Serviceها	قوانین دسترسی فایروال (Policies)
استفاده از حالت Certificate Inspection یا غیرفعال بودن کامل آن	فعال‌سازی Deep SSL Inspection برای بازگشایی و اسکن کامل پکت‌های HTTPS و جلوگیری از عبور بدافزارهای پنهان	بازرسی ترافیک رمزنگاری‌شده
غیرفعال رها کردن موتور IPS یا استفاده از پروفایل‌های پیش‌فرض و ضعیف	ایجاد IPS Profile سفارشی، ست کردن اکشن روی Block برای خطرات High/Critical و آپدیت روزانه امضاها	سیستم جلوگیری از نفوذ (IPS)
غیرفعال کردن لاگ ترافیک برای صرفه‌جویی در فضا یا عدم ذخیره‌سازی بیرونی	فعال‌سازی لاگ جامع روی تمام پالیسی‌ها و ارسال خودکار لاگ‌ها به FortiAnalyzer یا سرور Syslog خارجی	ثبت وقایع و نظارت (Logging)
قرار دادن تمام تجهیزات، سرورها و کاربران در یک ساب‌نت یا VLAN واحد (شبکه Flat)	پیاده‌سازی Network Segmentation با تعریف Zoneها و VLANهای تفکیک‌شده (مثل USERS، SERVERS، DMZ)	معماری و ساختار شبکه
غیرفعال بودن مکانیزم‌های کنترلی مسیر برگشت پکت‌ها	فعال‌سازی RPF (Reverse Path Forwarding) روی اینترفیس‌های متصل به اینترنت جهت مسدودسازی پکت‌های اسنیف یا جعلی	جلوگیری از جعل هویت (Anti-Spoofing)
فراموش کردن به‌روزرسانی سیستم‌عامل FortiOS و رها کردن دستگاه با آسیب‌پذیری‌های روز صفر	آپدیت منظم به نسخه‌های پایدار، مطالعه Release Notes، بکاپ‌گیری منظم پیش از تغییرات و آپدیت خودکار امضاها	مدیریت فریمور و سیستم‌عامل

اگر وضعیت شبکه شما در هر یک از ردیف‌های بالا در حالت “وضعیت خطرناک” قرار دارد، بدون معطلی به بخش مربوطه در ادامه مقاله مراجعه کنید تا دستورات و کدهای CLI اختصاصی فورتی‌گیت برای رفع سریع آن را دریافت کنید.

لازم به ذکر است، اگرچه FortiGate یک محیط گرافیکی فوق‌العاده منسجم دارد، اما برای امنیت در سطح Enterprise و Hardening واقعی دستگاه، چاره‌ای جز رفاقت با محیط CLI و دستورات متنی ندارید!

 

1- استفاده از رمز عبور پیش‌فرض یا ضعیف در پیکربندی Fortigate:

• مشکل:

یکی از ابتدایی‌ترین اما خطرناک‌ترین اشتباهات پیکربندی فایروال FortiGate، تغییر ندادن رمز عبور پیش‌فرض admin است. بسیاری از مدیران شبکه پس از نصب اولیه FortiGate، رمز عبور را تغییر نمی‌دهند یا از رمزهای ساده مانند Fortinet123 استفاده می‌کنند.

• خطر:

مهاجمان اغلب از ابزارهای اسکن خودکار استفاده می‌کنند که رمزهای پیش‌فرض تجهیزات شبکه را امتحان می‌کنند. دسترسی به پنل مدیریت فورتی گیت با رمز پیش‌فرض، به معنی در اختیار گرفتن کامل شبکه است.

• راه‌حل:

مسیر کلیک در محیط گرافیکی (GUI):

برای تغییر رمز عبور و سخت‌گیرانه کردن سیاست‌های ورود، به مسیر زیر بروید:

System > Administrators

اکانت ادمین مورد نظر را انتخاب کرده و روی Edit کلیک کنید. در پنجره باز شده گزینه Change Password را بزنید.

تنظیم قفل حساب (Lockout) در گرافیک:

System > Settings

اسکرول کنید تا به بخش Administrator Settings برسید. در اینجا گزینه‌های Login Attempts (تعداد دفعات مجاز ورود ناموفق) و Lockout Duration (مدت زمان قفل ماندن حساب) را طبق استاندارد تنظیم کنید.

تغییر رمز عبور ادمین از CLI:

config system admin
edit admin
set password YourStr0ng!Password#2026
next
end

نکات مهم برای رمز عبور قوی:

• حداقل 12 کاراکتر
• ترکیب حروف بزرگ، کوچک، اعداد و کاراکترهای خاص
• عدم استفاده از اطلاعات شخصی یا نام سازمان
• تغییر دوره‌ای هر 90 روز

فعال‌سازی قفل حساب پس از ورودهای ناموفق در محیط CLI:

config system global
set admin-lockout-threshold 5
set admin-lockout-duration 300
end

2- خطر باز گذاشتن پورت مدیریت FortiGate روی WAN:

• مشکل:

یکی از 10 اشتباه رایج امنیتی در پیکربندی FortiGate که در شبکه‌های ایرانی مشاهده می‌شود، دسترسی مستقیم به پورت HTTPS یا SSH مدیریت FortiGate از طریق اینترنت است. بسیاری از سازمان‌ها برای راحتی مدیریت از راه دور، پورت 443 یا 22 را روی آدرس WAN باز می‌گذارند.

• خطر:

اگر رابط مدیریت از اینترنت در دسترس باشد:

• حملات Brute Force به صورت 24/7 انجام می‌شود.
• آسیب‌پذیری‌های جدید FortiOS (مانند CVE-2022-40684) می‌توانند مستقیماً مورد سوءاستفاده قرار گیرند.
• دسترسی غیرمجاز در صورت لو رفتن رمز عبور

• راه‌حل:

مسیر کلیک در محیط گرافیکی (GUI):

برای بستن دسترسی‌های مدیریتی از روی اینترنت:

Network > Interfaces

روی اینترفیس متصل به اینترنت خود (معمولاً wan1 یا wan2) دوبار کلیک کنید تا وارد بخش Edit Interface شوید. در بخش Administrative Access، تیک گزینه‌های HTTPS و SSH را کاملاً بردارید و تنظیمات را ذخیره کنید.

محدود کردن ادمین به آی‌پي‌های خاص (Trusted Hosts):

System > Administrators

روی کاربر ادمین کلیک کرده و Edit را بزنید. گزینه Restrict login to trusted hosts را فعال کنید و آی‌پي‌های مجاز شبکه داخلی خود را وارد نمایید.

 

محدود کردن دسترسی مدیریت به IP مشخص با کامند در محیط CLI:

گام اول: حذف دسترسی‌های مدیریتی (HTTPS/SSH) از روی پورت اینترنت

config system interface
edit “wan1”
set allowaccess ping
next
end

گام دوم: مطمئن شدن از باز بودن دسترسی مدیریت روی پورت شبکه داخلی (LAN)

config system interface
edit “internal”
set allowaccess ping https ssh
next
end

گام سوم: محدود کردن ادمین به آی‌پی‌های امن داخلی و رنج کاربران VPN

config system admin
edit admin
set trusthost1 192.168.1.0 255.255.255.0 # رنج شبکه داخلی شرکت
set trusthost2 10.10.10.0 255.255.255.0 # رنج آی‌پي اختصاص یافته به کاربران VPN
next
end

3- چرا فعال نکردن 2FA در FortiGate یک اشتباه امنیتی جدی است؟

• مشکل:

حتی با داشتن رمز عبور قوی، اگر احراز هویت دو مرحله‌ای فعال نباشد، یک رمز عبور لو رفته می‌تواند منجر به دسترسی کامل مهاجم شود.

• راه‌حل با FortiToken

مسیر کلیک در محیط گرافیکی (GUI):

System > Administrators

ادمین مورد نظر را ویرایش (Edit) کنید. گزینه Two-factor Authentication را فعال کرده و از منوی کشویی، نوع آن را روی FortiToken (یا Email) قرار دهید و توکن اختصاص داده شده را انتخاب کنید.

راه‌حل اول: فعال‌سازی 2FA با FortiToken (محیط متنی CLI):

config system admin
edit admin
set two-factor fortitoken
set fortitoken “FTKxxxxxxxxxx”
next
end

راه‌حل دوم: فعال‌سازی 2FA رایگان از طریق ایمیل (محیط متنی CLI):

config system admin
edit admin
set two-factor email
set email-to “admin@yourcompany.ir”
next
end

راه‌حل سوم: احراز هویت دو مرحله‌ای سازمانی (FortiAuthenticator / RADIUS):

برای سازمان‌های بزرگ، مدیریت تک‌تک توکن‌ها روی فایروال منطقی نیست. در این حالت، فورتی‌گیت را به یک سرور RADIUS یا FortiAuthenticator متصل می‌کنیم تا احراز هویت متمرکز انجام شود:

• گام اول: تعریف سرور RADIUS یا FortiAuthenticator در فایروال

config user radius
edit “Corporate-FAC”
set server “192.168.1.50”
set secret “YourRadiusSecretKey”
next
end

• گام دوم: ارجاع ادمین‌ها به سرور احراز هویت خارجی

config system admin
edit “Domain-Admin”
set remote-auth enable
set remote-group “Corporate-FAC”
set accprofile “super_admin”
next
end

توصیه مدیریتی: برای سازمان‌های بزرگ و انترپرایز، یکپارچه‌سازی FortiGate با FortiAuthenticator مبتنی بر LDAP / Active Directory، بستری فوق‌العاده ایمن، متمرکز و هماهنگ با سیاست‌های کلان امنیت سازمان فراهم می‌کند.

 

4- چرا پالیسی ANY/ANY/ANY در FortiGate یک اشتباه امنیتی خطرناک است؟

• مشکل:

یکی از اشتباهات کلاسیک مدیران شبکه، ایجاد پالیسی‌هایی با تنظیمات ANY/ANY/ANY است. این رویکرد که اغلب برای حل سریع مشکلات ارتباطی استفاده می‌شود، در عمل هیچ امنیتی ارائه نمی‌دهد.

• خطر:

– ترافیک مخرب بدون هیچ فیلتری عبور می‌کند.
– نقض اصل Least Privilege
– در صورت نفوذ به یک سیستم، Lateral Movement آسان می‌شود.

مسیر کلیک در محیط گرافیکی (GUI):

برای بازبینی، اصلاح یا نوشتن یک قانون دقیق و محدودکننده:

Policy & Objects > Firewall Policy

برای اصلاح پالیسی‌های قدیمی روی آن‌ها دوبار کلیک کنید. در زمان ساخت یا ویرایش پالیسی، به جای انتخاب گزینه all در بخش‌های Source و Destination یا انتخاب ALL در بخش Service، حتماً روی علامت + کلیک کرده و فقط ساب‌نت‌ها و پورت‌های مورد نیاز (مثل HTTP, HTTPS, DNS) را به صورت تفکیک‌شده تیک بزنید.

راه‌حل: اصل Least Privilege در پالیسی‌ها

اشتباه:

پالیسی خطرناک – هرگز از این استفاده نکنید.

config firewall policy
edit 1
set srcintf “internal”
set dstintf “wan1”
set srcaddr “all”
set dstaddr “all”
set service “ALL”
set action accept
next
end

صحیح:

پالیسی دقیق و محدود

config firewall policy
edit 1
set name “Users-to-Internet-HTTP”
set srcintf “internal”
set dstintf “wan1”
set srcaddr “all”  # پیشنهاد می‌شود اینجا رنج IP کاربران خود را معرفی کنید
set dstaddr “all”
set service “HTTP” “HTTPS” “DNS” # بستن تمام پورت‌های اضافی و باز گذاشتن پورت‌های حیاتی وب
set action accept
set logtraffic all # ثبت لاگ برای تمام نشست‌ها
set inspection-mode flow # فعال‌سازی قابلیت‌های امنیتی UTM
set ssl-ssh-profile “certificate-inspection”
set av-profile “default”
set webfilter-profile “default”
set application-list “default”
next
end

بررسی و پاکسازی پالیسی‌های قدیمی و بدون استفاده:

برای اینکه در محیط CLI سریعاً متوجه شوید کدام پالیسی‌ها در فایروال شما هیچ ترافیکی از آن‌ها عبور نکرده (Hit Count صفر داشته‌اند) تا آن‌ها را پاکسازی کنید، از دستور زیر استفاده کنید:

diagnose firewall policy list | grep “hit_count: 0”

5- چرا فعال نکردن SSL Inspection در فورتی گیت یک اشتباه امنیتی بزرگ است؟

• مشکل:

بسیاری از سازمان‌ها SSL Deep Inspection را به دلیل نگرانی‌های مربوط به کارایی یا مشکلات Certificate فعال نمی‌کنند. این اشتباه به مهاجمان اجازه می‌دهد ترافیک مخرب را در داخل HTTPS پنهان کنند.

بیش از 80% از ترافیک اینترنت رمزنگاری شده است. بدون SSL Inspection، فایروال شما عملاً کور است.

• راه‌حل:

مسیر کلیک در محیط گرافیکی (GUI):

– گام اول (ساخت پروفایل): به مسیر Security Profiles > SSL/SSH Inspection بروید. روی Create New کلیک کنید. نام پروفایل را وارد کرده و حالت بازرسی را روی Deep Inspection قرار دهید.

– گام دوم (اعمال روی پالیسی): به مسیر Policy & Objects > Firewall Policy بروید. پالیسی خروجی اینترنت کاربران را ویرایش کنید. اسکرول کنید تا به بخش Security Profiles برسید. تیک گزینه SSL Inspection را روشن کرده و پروفایل ساختگی خود (Deep Inspection) را انتخاب کنید.

فعال کردن SSL Inspection در فورتی گیت

ایجاد SSL/SSH Inspection Profile در محیط CLI:

config firewall ssl-ssh-profile
edit “deep-inspection-custom”
set comment “Deep SSL Inspection for corporate users”

تنظیم بازرسی عمیق روی پروتکل‌های مختلف:

set ssl-deep-inspection enable

تعیین رفتار فایروال در مواجهه با گواهی‌های مختلف:

set server-cert-mode re-sign
set server-cert “Fortinet_CA_Intrinsic”

فعال‌سازی بازرسی روی پورت‌های استاندارد HTTPS و FTPS:

config https
set status deep-inspection
end
config ftps
set status deep-inspection
end
next
end

 

اعمال SSL Inspection به پالیسی فایروال:

config firewall policy
edit 1
set ssl-ssh-profile “deep-inspection-custom”
next
end

نکته: به جای عدد 1 در دستور edit 1، باید شماره ID پالیسی خروجی اینترنت سازمان خود را وارد کنید

نکته مهم: بلافاصله پس از اعمال این پالیسی، ترافیک HTTPS کاربران بازرسی می‌شود. برای اینکه کاربران روی سیستم‌های خود با خطای Certificate Warning (Untrusted) مواجه نشوند، حتماً باید فایل گواهی فایروال (که در این کد Fortinet_CA_Intrinsic است) را دانلود کرده و از طریق Active Directory GPO در بخش Trusted Root Certification Authorities تمام کامپیوترهای شبکه نصب (Install) کنید.

 

6- چرا پیکربندی نادرست IPS در FortiGate شبکه شما را آسیب‌پذیر می‌کند؟

• مشکل:

FortiGate دارای یک موتور IPS قدرتمند است، اما بسیاری از مدیران آن را فعال نمی‌کنند یا با تنظیمات پیش‌فرض ضعیف رها می‌کنند.

• راه‌حل:

مسیر کلیک در محیط گرافیکی (GUI):

– گام اول: به مسیر Security Profiles > Intrusion Prevention بروید.

– گام دوم: روی Create New کلیک کنید تا یک سنسور جدید بسازید. در بخش IPS Signatures and Filters روی Add Filter کلیک کرده و فیلتری بر اساس Severity ایجاد کنید؛ دسته‌بندی‌های High و Critical را انتخاب کرده و اکشن آن‌ها را از حالت Default به Block تغییر دهید.

– گام سوم: این پروفایل را مانند بخش قبل، در منوی Firewall Policy و در زیرمجموعه پروفایل‌های امنیتی قانون مورد نظرتان فعال کنید.

 

پیکربندی IPS در FortiGate:

config ips sensor
edit “corporate-ips-profile”
set comment “IPS Profile for corporate environment”
config entries
edit 1
set rule severity high critical
set action block
set log enable
next
end
next
end

اعمال پروفایل IPS به پالیسی فایروال: (یادآوری: به جای عدد 1، آیدی پالیسی خود را جایگزین کنید).

config firewall policy
edit 1
set ips-sensor “corporate-ips-profile”
next
end

به‌روزرسانی خودکار امضاهای IPS:

config system autoupdate schedule
set frequency daily
set time “02:00”
end

7- خطر غیرفعال بودن Logging در FortiGate و تأثیر آن بر امنیت شبکه:

• مشکل:

بدون لاگ مناسب، در صورت وقوع حادثه امنیتی، هیچ اطلاعاتی برای Forensics و تحلیل در اختیار ندارید. بسیاری از سازمان‌ها لاگینگ را برای صرفه‌جویی در فضا غیرفعال می‌کنند.

• راه‌حل:

مسیر کلیک در محیط گرافیکی (GUI):

– تنظیمات کلی لاگ: به مسیر Log & Report > Log Settings بروید و مطمئن شوید که وضعیت ثبت وقایع روشن است و محل ذخیره‌سازی (مثلاً FortiAnalyzer یا Syslog) به درستی کانفیگ شده است.

– فعال‌سازی روی هر پالیسی: به مسیر Policy & Objects > Firewall Policy بروید. رول مورد نظر را ادیت کنید. در انتهای صفحه و در بخش Log Traffic، برای پالیسی‌ها و پورت‌های حساس به جای حالت پیش‌فرض Log Security Events، حتماً گزینه All Sessions را انتخاب کنید تا تمامی نشست‌ها (حتی پکت‌های سالم) ثبت شوند.

برای ثبت لاگ پکت‌های بلاک شده توسط فایروال نیز، تیک گزینه Implicit Deny را در انتهای لیست پالیسی‌ها راست‌کلیک کرده و لاگ آن را روشن کنید.

 

فعال‌سازی لاگ جامع در محیط CLI:

config log setting
set fwpolicy-implicit-log enable # فعال‌سازی لاگ برای رول‌های پنهان و پکت‌های Drop شده
set resolve-ip enable # حل نام دامنه‌ها بر اساس آی‌پی در لاگ‌ها
end

• راه‌حل اول: ارسال لاگ‌ها به FortiAnalyzer (محیط متنی CLI):

config log fortianalyzer setting
set status enable
set server “192.168.1.100” # آدرس آی‌پی سرور فورتی‌آنالایزر شما
set upload-option realtime # ارسال لاگ‌ها به صورت آنی و در لحظه
set reliable enable # تضمین تحویل پکت‌های لاگ بدون گم شدن
end

• راه‌حل دوم: ارسال لاگ‌ها به Syslog یا سرورهای SIEM خارجی (محیط متنی CLI):

اگر در سازمان از سیستم‌های مدیریت رویداد مثل Splunk یا اکانت‌های سیام استفاده می‌کنید، از این کد استفاده کنید:

config log syslogd setting
set status enable
set server “192.168.1.200” # آدرس آی‌پی سرور سیام یا سیس‌لاگ
set port 514
set facility local7
set format rfc5424 # فرمت استاندارد و جهانی ارسال لاگ
end

توصیه: از FortiAnalyzer یا SIEM مانند Splunk برای تحلیل متمرکز لاگ‌ها استفاده کنید. نگه‌داری لاگ برای حداقل 90 روز توصیه می‌شود.

 

8- خطر نبود Network Segmentation در FortiGate و گسترش آسان حملات:

• مشکل:

قرار دادن تمام دستگاه‌ها در یک VLAN یا سابنت، در صورت نفوذ به یک دستگاه، به مهاجم امکان دسترسی به کل شبکه را می‌دهد.

• راه‌حل: تعریف Zones و VLAN‌های جداگانه

تعریف Zones در محیط گرافیکی (GUI):

– ساخت زون‌ها: به مسیر Network > Interfaces بروید. روی Create New کلیک کرده و گزینه Zone را انتخاب کنید. زون‌های اختصاصی خود (مثل SERVERS یا USERS) را ایجاد و اینترفیس‌های مربوطه را به آن‌ها متصل کنید.

– نوشتن قانون بین زون‌ها: به مسیر Policy & Objects > Firewall Policy بروید و با کلیک روی Create New، در فیلد های Incoming Interface و Outgoing Interface به جای کل شبکه، زون‌های تفکیک‌شده‌ای که ساختید را قرار دهید تا ترافیک بین زون‌ها کاملاً تحت کنترل فایروال قرار گیرد.

 

ایجاد Zone‌های امنیتی در محیط CLI:

config system zone
edit “DMZ”
set intrazone deny # مسدودسازی ارتباط داخلی تجهیزات DMZ بدون اجازه فایروال
set interface “dmz”
next
edit “SERVERS”
set intrazone deny # جلوگیری از آلودگی متقابل سرورها در صورت هک شدن یکی از آن‌ها
set interface “internal2”
next
edit “USERS”
set intrazone deny
set interface “internal1”
next
end

تعریف پالیسی بین Zones:

پس از ساخت زون‌ها، ترافیک میان آن‌ها کاملاً قطع می‌شود. حالا باید یک رول دقیق برای باز کردن پورت‌های اختصاصی (مثل سرویس‌های مایکروسافتی اشتراک فایل و پرینت) بنویسیم:

config firewall policy
edit 10
set name “Users-to-Servers-Restricted”
set srcintf “USERS”
set dstintf “SERVERS”
set srcaddr “all”
set dstaddr “all” # پیشنهاد می‌شود آبجکت سرورهای خود را جایگزین کنید
set service “SMB” “SAMBA” # باز کردن دقیق پورت‌های اشتراک فایل و پرینت و بستن بقیه پورت‌ها
set action accept
set logtraffic all
next
end

9- خطر عدم پیکربندی Anti-Spoofing و RPF در FortiGate:

• مشکل:

بدون Reverse Path Forwarding (RPF)، مهاجمان می‌توانند IP های جعلی (Spoofed) ارسال کنند که تشخیص منبع حملات را دشوار می‌کند.

• راه‌حل:

قابلیتی مثل RPF (Reverse Path Forwarding) به صورت پیش‌فرض در لایه هسته فورتی‌گیت فعال است (در حالت Strict). اما در محیط گرافیکی (GUI)، فورتی‌گیت هیچ دکمه یا گزینه‌ای برای خاموش/روشن کردن یا تغییر حالت آن به Loose ندارد، بنابراین برای مدیریت دقیق این بخش، حتماً باید از محیط متنی (CLI) استفاده کنید.

config system settings
set asymroute disable
end

این کامند، مسیر‌یابی نامتقارن (Asymmetric Routing) را در فورتی‌گیت غیرفعال می‌کند. این کار پیشنیاز اصلی کارکرد درست RPF است. وقتی این گزینه غیرفعال باشد (Disable)، فورتی‌گیت پکت‌هایی را که از یک مسیر آمده‌اند ولی مسیر برگشتشان از جای دیگری است، بلاک می‌کند. این دقیقاً همان جلوی ضربه زدن به امنیت و Anti-Spoofing را می‌گیرد.

محدودیت نرخ ICMP در محیط گرافیکی (GUI):

اگرچه خود RPF دکمه‌ای در گرافیک ندارد، اما برای مانیتورینگ و مسدودسازی حملات مشابه آی‌پي‌های جعلی در محیط وب، به مسیر زیر بروید:

Policy & Objects > DoS Policy

روی Create New کلیک کنید. در اینترفیس ورودی (معمولاً wan1)، می‌توانید برای انواع پکت‌های مشکوک لایه 3 و 4 (مثل حملات ICMP/UDP/TCP Spoofing و Flood) سقف مجاز (Threshold) تعیین کنید و اکشن آن‌ها را روی Block بگذارید.

فعال‌سازی RPF روی اینترفیس WAN در محیط CLI:

برای فعال‌سازی یا تغییر حالت RPF روی خود اینترفیس متصل به اینترنت (که در گرافیک وجود ندارد)، این کد را قرار دهید:

config system interface
edit “wan1”
set src-check enable
next
end

در سیستم‌عامل فورتی‌گیت، دستور set src-check enable همان چیزی است که مکانیزم Strict RPF را روی پورت WAN فعال می‌کند. یعنی فایروال چک می‌کند که آیا آی‌پي مبدا پکت ورودی، دقیقاً با جدول مسیریابی (Routing Table) فایروال برای آن پورت همخوانی دارد یا خیر. اگر هکری آی‌پي را جعل کرده باشد، پکت در نطفه خفه (Drop) می‌شود.

محدودیت نرخ ICMP برای جلوگیری از اطلاعات‌یابی در محیط CLI:

برای اینکه به هکرها اجازه ندهید با ارسال سیل‌آسای پکت‌های پینگ، فایروال شما را اسکن یا کشف (Reconnaissance) کنند، نرخ پاسخ‌دهی به ترافیک ICMP را در لایه عمومی سیستم محدود کنید:

config system global
set icmp-accept-redirect disable
end

اعمال محدودیت سقف مجاز پینگ در سنسور DoS برای پورت WAN

config firewall DoS-policy
edit 1
set interface “wan1”
set srcaddr “all”
set dstaddr “all”
config icmp
edit “icmp_flood”
set status enable
set action block
set threshold 100 # مسدودسازی در صورت عبور از 100 پکت پینگ در ثانیه
next
end
next
end

10- فراموش کردن به‌روزرسانی FortiOS:

• مشکل:

FortiOS مانند هر نرم‌افزار دیگری دارای آسیب‌پذیری است. نادیده گرفتن به‌روزرسانی‌ها می‌تواند سیستم را در برابر آسیب‌پذیری‌های شناخته‌شده آسیب‌پذیر نگه دارد. آسیب‌پذیری‌هایی مانند CVE-2022-40684 (Authentication Bypass) که کلاً شبکه‌های زیادی را تحت تأثیر قرار داد.

• راه‌حل:

مسیر کلیک در محیط گرافیکی (GUI):

برای بررسی نسخه فعلی سیستم‌عامل، وضعیت لایسنس‌ها و آپدیت امنیتی فریمور:

– در دشبورد اصلی (Dashboard > Status):

به ویجت System Information نگاه کنید. در مقابل گزینه Firmware، نسخه فعلی فایروال شما نوشته شده است. اگر آپدیت جدیدی آمده باشد، یک علامت هشدار یا گزینه Update در کنار آن ظاهر می‌شود.

– مسیر اختصاصی آپدیت:

به مسیر System > Firmware بروید. در این صفحه می‌توانید ماتریس ارتقا (Upgrade Path) پیشنهادی خود فورتی‌نت را ببینید، فایل فریمور جدید را آپلود کنید یا به صورت آنلاین آن را ارتقا دهید.

– تنظیم آپدیت خودکار امضاها در گرافیک:

System > FortiGuard

اسکرول کنید تا به بخش FortiGuard Updates برسید. در اینجا گزینه All FortiGuard Packages Auto-Update را روشن کنید و زمان‌بندی آن را روی حالت روزانه (Daily) قرار دهید تا امضاهای IPS و آنتی‌ویروس همیشه بدون دخالت شما به‌روز باشند.

بررسی نسخه فعلی سیستم عامل در محیط CLI:

get system status

این اصلی‌ترین، استانداردترین و رایج‌ترین دستور در فورتی‌گیت برای دیدن مشخصات کلی دستگاه است. شما با زدن این دستور، نسخه دقیق سیستم‌عامل (Firmware)، شماره سریال، لایسنس‌ها و مدت زمان روشن بودن دستگاه (Uptime) را می‌بیند.

فعال‌سازی به‌روزرسانی خودکار امضاها (نه firmware):

config system autoupdate schedule
set frequency daily
set time “03:00”
end

نکته فنی: در فورتی‌گیت نیازی به دستور set status enable در این بخش نیست؛ همین که فرکانس را روی daily یا weekly می‌گذارید، سیستم به طور خودکار زمان‌بندی را فعال می‌کند.

توصیه برای Firmware:

– قبل از به‌روزرسانی firmware، حتماً backup تهیه کنید.

– ابتدا در محیط تست اعمال کنید.

– Release Notes را مطالعه کنید.

– برای محیط‌های حساس، 2 تا 4 هفته پس از انتشار، منتظر hotfix‌های اولیه بمانید.

تهیه نسخه پشتیبان (Backup) از کانفیگ دستگاه قبل از ارتقا:

قبل از هر تغییر مهم یا آپدیت فریمور، حتماً با دستور زیر نسخه پشتیبان را روی یک سرور FTP خارجی ارسال کنید:

execute backup config ftp “backup-file.conf” 192.168.1.50 “ftp-username” “ftp-password”

نام فایل باید به صورت دستی یا از طریق سیستم‌های اتوماسیون نام‌گذاری شود.

توصیه‌های طلایی برای مدیریت فریمور و هاردنینگ:

بررسی اصالت فریمور: با اجرای کامند زیر در CLI، مطمئن شوید فایروال همیشه اصالت و امضای دیجیتال فریمورهای آپلود شده را قبل از نصب بررسی می‌کند تا فریمورهای دست‌کاری شده هرگز روی دستگاه لود نشوند:

config system global
set firmware-signature-check enable
end

چک لیست امنیتی FortiGate:

برای راحتی بیشتر، خلاصه اقدامات امنیتی ضروری را در زیر آورده‌ایم:

1. تغییر رمز عبور پیش‌فرض ادمین
2. غیرفعال کردن دسترسی مدیریت از WAN
3. فعال‌سازی Two-Factor Authentication
4. بازبینی و سخت‌گیری پالیسی‌های Firewall
5. فعال‌سازی SSL Deep Inspection
6. پیکربندی IPS با امضاهای به‌روز
7. فعال‌سازی و تنظیم Logging جامع
8. پیاده‌سازی Network Segmentation
9. فعال‌سازی Anti-Spoofing و RPF
10. به‌روزرسانی منظم FortiOS و امضاها

 

ابزارهای مفید برای Audit امنیت FortiGate:

1- FortiGate Security Fabric Assessment

از طریق پنل مدیریت:

Security Fabric > Security Rating

2- Fortinet Security Advisory

همیشه آخرین آسیب‌پذیری‌های FortiGate را از سایت رسمی دنبال کنید:

https://www.fortiguard.com/psirt

3- CIS Benchmark for FortiGate

مرکز CIS یک راهنمای جامع برای hardening FortiGate منتشر کرده که رایگان قابل دانلود است.

 

سوالات متداول:

1- آیا فعال کردن SSL Deep Inspection سرعت اینترنت سازمان را کاهش می‌دهد؟

بله، باز کردن و رمزگشایی ترافیک HTTPS نیاز به پردازش سنگین CPU دارد. به همین دلیل پیشنهاد می‌شود ترافیک‌های امن و شناخته شده (مثل سایت‌های بانکی یا آپدیت‌های رسمی) را در پروفایل SSL Inspection استثنا (Exempt) کنید تا بار پردازشی کاهش یابد.

2- اگر دسترسی مدیریت فایروال روی WAN را ببندیم، چطور از راه دور به آن وصل شویم؟

بهترین و امن‌ترین روش، راه‌اندازی SSL-VPN یا IPsec VPN روی فورتی‌گیت است. شما ابتدا یک تونل امن به فایروال می‌زنید، احراز هویت می‌شوید و سپس به IP داخلی (LAN) فایروال دسترسی مدیریتی پیدا می‌کنید.

3- تفاوت Packet Loss با Packet Drop در لاگ‌های فورتی‌گیت چیست؟

در تحلیل لاگ‌ها دقت کنید؛ Packet Loss معمولاً ناشی از مشکلات سخت‌افزاری، نویز یا خرابی کابل است، اما Packet Drop زمانی رخ می‌دهد که فایروال بر اساس قوانین امنیتی (مثل فیلترینگ یا ACL) به صورت کاملاً عمدی جلوی عبور یک پکت را می‌گیرد.

 

جمع‌بندی:

FortiGate یک ابزار امنیتی قدرتمند است، اما قدرت آن تنها زمانی به کار می‌آید که به درستی پیکربندی شده باشد. بیشترین خطرات امنیتی نه از ضعف خود دستگاه، بلکه از اشتباهات پیکربندی نشأت می‌گیرند.
مهم‌ترین نکاتی که باید به یاد بسپارید:

1- اصل Least Privilege را در تمام پالیسی‌ها رعایت کنید.

2- هیچ‌گاه رابط مدیریت را مستقیماً روی اینترنت باز نگذارید.

3- بدون SSL Inspection و IPS فعال، فایروال شما نصفه‌کاره است.

4- لاگینگ جامع و نگه‌داری لاگ‌ها برای Forensics ضروری است.

5- به‌روزرسانی منظم FortiOS تنها راه مقابله با آسیب‌پذیری‌های جدید است.

اگر از این مقاله برایتان مفید بود، سوالات و تجربیات خود در پیکربندی FortiGate را در بخش نظرات با ما در میان بگذارید.

خرید انواع فایروال فورتیگیت از مسترشبکه بزرگترین فروشگاه اینترنتی تجهیزات شبکه با گارانتی معتبر