نصب و راه اندازی فایروال فورتی گیت Fortinet

در عصر فناوری امروز فایروال ها یک بخش جدایی ناپذیر و بسیار مهم شبکه هستند. فایرول ها جزو اولین دستگاه امنیتی می باشند که هر سازمان باید برای شبکه خود تهیه کند. در این مقاله قصد داریم تا نحوه نصب و راه اندازی فایروال فورتی گیت Fortinet که یکی از بهترین فایروال فورتی نت دنیا است را یاد بگیرید.

قابلیت های مختلف این فایروال مانند: IPS، آنتی ویروس، Webfilter ،email filer ،application control و … می توانید به صورت همه جانبه از شبکه سازمان خود در برابر تهدیدات مختلف محافظت کنید. همچنین امکان دسترسی های از راه دور را به صورت کاملا امن از طریق ارتباطاتی مانند SSL VPN را خواهید داشت. ما در نصب و راه اندازی فایروال فورتی گیت Fortinet قصد داریم تا به صورت تصویری به شما آموزش دهیم.

فایروال فورتی گیت چیست:

فایروال فورتی گیت محصول شرکت فورتی نت (Fortinet) می باشد. شرکت فورتی نت یک از برترین و بهترین شرکت های فعال در حوزه امنیت شبکه است و فایروال این شرکت تحت نام Fortigate در حال حاضر یکی از برترین فایروال های دنیا می باشد. فایروال فورتی گیت به عنوان Next-Generation Firewall (NGFW) شناخته می شود.

فایروال های سنتی که امکان کنترل و فیلترینگ ترافیک را تنها تا لایه چهارم می توانستند انجام دهند اما فایروال های نسل جدید می توانند تا لایه هفتم این کنترل و فیلترینگ را انجام دهند. به طور مثال سازمان شما یک وب سایت دارد که بروی اینترنت پابلیش شده است با فایروال های سنتی ما می توانیم اجازه عبور ترافیک وب (HTTP/HTTPS) به سمت سرورها را مجاز و سایر ترافیک ها را مسدود کنیم .

با این کار امنیت وب سرور را افزایش داده ایم اما بازهم ما کنترلی رو محتوای ترافیک وب نداریم و ممکن است حملاتی مانند Cross-Site Scripting (XSS) روی وب سایت ما انجام شود و با توجه به بستر آن که از طریق ترافیک وب این حمله انجام می شود فایروال سنتی ما متوجه آن نمی شود و اجازه عبور ترافیک را می دهد و وب سرور ما درگیر این حمله شود.

اما فایروال های نسل جدید (NGFW) این امکان را دارند که با استفاده از قابلیت های مانند IPS این حملات را در لایه بالاتر و در لایه Application شناسایی و جلوی این قبیل حملات را بگیرند. فایروال فورتی گیت به عنوان یک فایروال نسل جدید امکانات بسیاری در اختیار ما قرار می دهد تا بتوانیم در تمام لایه ها کنترل و فیلترینگ دقیق و کاملی داشته باشیم. برخی از این قابلیت های امنیتی به شرح زیر است و در این دوره به آنها پرداخته ایم:

• IPS
• AntiVirus
• Web Filtering
• Application Control
• DNS Filter
• EndPoint Control
• DLP
• و …

نصب و راه اندازی فایروال فورتی گیت Fortinet:

در ابتدای نصب و راه اندازی فایروال فورتی گیت Fortinet باید به وسیله کابل console به کنسول مدیریتی فایروال وصل شوید. برای انجام این کار می توان ازنرم افزار هایی مانند putty برای متصل شدن استفاده کنید. هنگامی که وارد کنسول دستگاه شدید username=admin را وارد کنید و بدون وارد کردن password وارد بخش command می شوید.

به وسیله استفاده از دستورات show system interface می توانید تنظیمات interface های فایروال را ببینید، برای Config کردن اولیه جهت وصل شدن به web console از دستورات زیر استفاده می کنید.

به وسیله استفاده از دستور edit port اینترفیس مورد نظر را انتخاب  کنید و با دستور set ip و set allowaccess تنظیمات مورد نیاز برای وصل شدن به کنسول web را وارد کنید. در این قسمت از متصل کردن شبکه به فایروال از طریق web console می توانید وارد محیط گرافیکی فایروال شوید.

در این قسمت با وارد کردن عبارت user = admin می توانید وارد صفحه تنظیمات فایروال شوید.

در  نتیجه در این قسمت نحوه متصل شدن به کنسول مدیریتی فایروال فورتی گیت را آموختید. در بخش بعدی قصد توضیح تنظیمات سیستم را خواهیم داشت با ما همراه باشید.

• تنظیمات سیستم

در بخش اول تنظیمات سیستم یک داشبورد وجود دارد. در این تنظیمات یک گزینه status وجود دارد آن را انتخاب کنید. جهت تغییر نحوه نمایش، اضافه کردن، و یا حتی برگردوندن به تنظبمات کارخانه یا پیش فرض باید به صورت زیر عمل کنید:

با انتخاب هریک از گزینه های بالا میتوانید تنظیمات را به شکل دلخواهتان اعمال کنید. جهت مشاهده مشخصات و ویژگی های فنی و دقیق دستگاه میتوانید در صحفه پایین بر گزینه widget کلیک کرده و گزینه های دلخواهتان را اضافه کنید. به تصویر زیر نگاه کنید.

اطلاعات و داده های  مرتبط با وضعیت دستگاه در این صفحه  قابل مشاهده می باشد. که در ادامه به بررسی هر یک از این اطلاعات می پردازیم.

• گزینه HA status: در دسترس بودن از قابلیت های مهم فایروال فورتی گیت است که نیازمند دو دستگاه از یک مدل با Firmware version هم اندازه می باشد. همانطور که میبینید در حال حاضر به صورت standalone می باشد و تنظیمات HA انجام نشده است.
• گزینه Host Name: نام و مدل دستگاه فایروال را به شما نشان میدهد.
• Serial number: هر یکی از فایروال ها دارای شماره سریال هستند که باهم متفاوت است.
• گزینه Operation mode: فایروال Fortinet می تواند در دو حالت Nat و Transparent کار کند، که ما حالت nat\route را انتخاب می کنیم چون در حالت transparent نمی توان از route یا nat استفاده کرد.
• گزینه System time: این گزینه ساعت سیسم را نمایش می دهد که بهتر است همیشه تنظیم باشد و اگر غیر از این باشد تنظیم تجهیزات و سرورهای شبکه، سبب بروز مشکلات در سازمان می شود.
• Firmware version: نسخه های جدید دستگاه باعث اضافه شدن ویژگی های جدید و از بین رفتن باگ ها (در صورت موجود) و مانیتورینگ بهتر بر روی ترافیک دستگاه می شود .در نتیجه بهتر است پس از تست شدن نسخه نهایی دستگاه مورد نظر از شرکت های طرف قرارداد نسخه جدیدتر را تهیه و آپدیت کنید.
• System configuration: شامل موارد زیر است:

1. Backup: جهت تهیه ی نسخه پشتیبان از فایروال، این گزینه بک آپ استفاده میشود.
2. Restore: فایل backup را می توان با این Restore فراخوانی کرد، در اینجا باید بگوییم که اگر بعد از گرفتن نسخه پشتیبان از دستگاه تنظیماتی را بر روی فایروال انجام داده باشید با restore کردن فایل backup تنظیمات جدید در دسترس نخواهید داشت.
3. Revisions: فرض کنید شما می خواهید HA یا VPN بر روی فایروال راه اندازی کنید ولی تخصص لازم برای تنظیمات آن را ندارید. بهتر است با استفاده از این گزینه یک revisions از دستگاه گرفته تا زمانی که تنظیمات به درستی اعمال نشد و یا مشکلی بر روی دستگاه پیش آمد با انتخاب revision ای که save کردیم تنظیمات را به قبل بر گردانید.

• Current administrator: تنظیمات دسترسی و تغییرات administrator user از گزینه قابل نمایش و تغییر است.
• Uptime: مدت زمان روشن بودن دستگاه را نشان می دهد.
• Virtual domain: استفاده بهینه از دستگاه و تقسیم منابع آن به چندین بخش مجزا در شبکه

بیشتر بخوانید: Network segmentation چیست

برخی ویژگی های فیزیکی فایروال ها:

در ادامه نصب و راه اندازی فایروال فورتی گیت Fortinet در این بخش به برخی ویژگی های فیزیکی فایروال میپردازیم:

• منبع فایروال

در این قسمت از مقاله قصد داریم تا در رابطه با میزان فضای استفاده شده از سیستم مثل دیسک، رم، سی پی یو و همچنین ریست و خاموش روشن کردن دستگاه صحبت کنیم.

•  اطلاعات لایسنس

وضعیت لایسنس دستگاه در این پنجره قابل مشاهده می باشد. دستگاه هایی که به صورت باندل هستند دارای وضعیت Register و دستگاه های Offline به صورت Unregister می باشند ولی با گرفتن Update ماهانه از شرکت های پشتیبان می توان از update های جدید دستگاه استفاده نمود.

با فعال نمودن هر یک از این گزینه ها می توان دستگاه را برای تنظیمات لازم جهت اعمال ویژگی جدید آماده نمود. (به عنوان مثال با فعال نمودن ipv6 دستگاه آمادگی لازم برای تنظیمات ipv6 را در فایروال ایجاد می کند)

جهت دسترسی آسان و ساده تر به کنسول fortigate پنجره ای به عنوان cli موجود می باشد که می توان تنظیمات مورد نیاز را از طریق command بر روی فایروال اعمال نمود.

جهت مدیریت بهتر و کارامد تر دستگاه می توان برای هر Interface، گرافی جهت مشاهده میزان استفاده از پهنای باند شبکه بر روی Interface ها ایجاد نمود.

توسط این گزینه می توان سیاست هایی را که در سازمان ها بر روی فایروال تنظیم و پیکربندی (filtering) می شود، مشاهده نمود و از ترافیک های ارسالی و دریافتی شبکه با اطلاع بود و همچنین monitoring بسته های ارسالی و دریافتی را مشاهده کنیم.

نحوه جلوگیری حملات DOS به سیستم:

واژه DDOS نیز به معنی همان حملات DoS می باشد اما با این تفاوت که در حالت DDOS از چندین سیستم مختلف حملات انجام میشوند. علاوه بر این تکنولوژي ها در فایروال Fortigate ویژگی IPv4 DoS Policy توانایی جلوگیری از حملات و ایفا کردن نقش یک DDOS Mitigation را در شبکه ما دارد.

روش ها و مباحث مختلفی برای جلوگیری از رخدادن حملات DoS و مقاوم سازی دیوایس مورد نظرمان وجود دارد، برای مثال ما میتوانیم از DDOS Mitigation های مختلفی مانند FortiDDOS که یکی از محصولات شرکت Fortinet میباشد استفاده نماییم والبته ما DDOS Mitigation های مختلف دیگری را نیز داریم که عبارتند از:

• Verisign 
• Radware
• Cloudflare 
• Arbor
• Nexusguard
• F5 DDoS Protection

ابتدا وارد مسیر System -> Feature Visibility شوید و گزینه DoS Policy را فعال سازی کنید.

پس از آن وارد مسیر Policy & Object -> IPv4 DoS Policy شوید و بر روی گزینه Create New کلیک کنید.

در فیلد های پایین باید براساس نیازتان آنها را پیکربندی کنید.

در قسمت اول Incoming Interface مورد نظرتان را انتخاب بسازید (رابطی که بسته ها از آن وارد میشوند برای مثال: رابط WAN) و پس از آن نیز قسمت Source و Destination را بر روی ALL قرار بدهید.در قسمت Service نیز میتوانید سرویس مورد نظرتان را انتخاب کنید و یا بر روی ALL قرار دهید.

در قسمت های L3 Anomalies و L4 Anomalies میتوان فرآیند های خودتان را برحسب نیاز تعیین کنید برای مثال میتوانید حملات مختلف را در این قسمت ببینید و فعال سازی کنید، قسمت Threshold تعیین کننده بسته های غیرعادی و قسمت Action نیز تعیین کننده واکنشی که باید برای نقض کردن قوانین مورد نظر در نظرگرفت که باید براساس نیازتان پیکربندی شوند.