آموزش راه اندازی SD WAN در فایروال فورتیگیت ( Fortigate )

نویسنده: امیرحسین تنگسیری نژاد

تاریخ انتشار: 1399/08/18

آموزش راه اندازی SD WAN در فایروال فورتیگیت ( Fortigate )

ویژگی فوق العاده جالبی که در Fortigate 5.6 معرفی گردید ویژگی SD WAN میباشد که ماهیت اصلی آن ایجاد Internet Redundancy از طریق لایه دو شبکه بدون نیاز به استفاده از ویژگی های سخت افزاری و قطعات مختلف و یا استفاده از Load Balancer ها. در واقع ویژگی SD WAN این امکان را در Fortigate برای ما فراهم میسازد که بتوانیم از طریق دیوایس خودمان به دو ISP مختلف به طور همزمان متصل باشیم. در ن مقاله ما یادمیگیریم که چگونه فرآیند و ویژگی‌ SD WAN را در فایروال Fortigate خودمان پیاده سازی کنیم

نحوه پیکربندی SD WAN در Fortigate

در سناریو من یک شبکه داخلی وجود دارد و از طریق فایروال Fortigate به سمت بیرون ارتباطات خود را دارند

تا اینجای سناریو مشکلی وجود ندارد اما در سمت بیرون Fortigate قرار است به دو ISP مختلف متصل شود به این گونه که ISP1 من مقدار 75 درصد از بار را برعهده بگیرد و ISP2 من نیز مقدار 25 درصد از بار را برعهده بگیرد
اولین مرحله باید Policy های که برای دسترسی به اینترنت از طریق رابط های WAN ایجاد شده اند را پاک کنیم.

در محله دوم به مسیر Network -> SD-WAN در محیط وب فایروالمان میرویم و گزینه Enable را فعال میکنیم؛ پس از آن بر روی گزینه Create New کلیک میکنیم و رابط های WAN خودمان را به آن معرفی میسازیم.

برای اینکه تعادل بار را تنظیم کنیم و یا الگوریتم آن را تقییر دهیم در قسمت پایین این فرآیند را به راحتی میتوانید انجام دهید و همانطور که اول مقاله اشاره داشتیم گفتیم که قرار است 25 درصد از بار اینترنت ما از رابط WAN2 و 75درصد دیگر آن از رابط WAN1 انتقال داده شود(اینکار را از قسمت Weight مانند تصویر زیر میتوانید انجام دهید)

حال در آخر نیز وارد مسیر Policy & Object -> IPv4 Policy میشویم و بر روی Create New کلیک میکنیم تا یک Policy دیگر و جدید را به منظور ایجاد ارتباط بین شبکه داخلی و دو ISP مان را پیکربندی می‌کنیم.پیکربندی Policy به شکل زیر میباشد:

موفق باشید.

امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و سرپرست تیم SOC و CSIRT بانک مسکن ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات کاربران (7)

کاربر توسینسو

1399/10/18

ممنون از شما

کاربران من عضو domain نیستند ونمیخوام که عضو دومین بشن، من صرفا برای احراز هویت کاربران در dmz یک اکتیو دایرکتوری راه انداختم و کاربر داخلش تعریف کردم و در فایروال یک ldap تعریف کردم

و در شبکه هر کاربر که بخواد از اینترنت استفاده کنه باید نام کاربری و رمز عبورشو بزنه

ولی اصلا کاربر پسند نیست

اصلا قابل مقایسه با کریو کنترل نیست

در کریو هر کاربر میتونه خودش پسوردشو تغییر بده

میزان مصرف روزانه و ماهانه اش رو ببینه و کلی اطلاعات دیگه

و در صورتی که بخواد اینترنت سیستمشو قطع کنه خیلی راحت وارد پرتال خودش میشه و log out میکنه

ولی من همچین امکاناتی در fortigate ندیدم

حالا کنجکاو شدم برم دنبال forti authenticator و ببینم میتونم کاری کنم یا نه

خیلی خیلی ممنون که راهنمایی کردید

امیرحسین تنگسیری نژاد نویسنده

1399/10/18

خواهش میکنم...
اینجور که میگید معلومه توی شبکه Active Directory دارید و حالا میخواید احراز هویت کاربران رو بزارید به عهده FortiGate براینکار ویژگی FSSO میتونه راهکار خوبی باشه اگر صرفا فقط کاربران AD مدنظر باشه.

نکته: ویژگی FSSO قبلا با عنوان FSAE معرفی میشد اگرجایی برخورد کردید فکرنکنید متفاوت هستند
متوجه نمیشم یعنی چی کاربر نمیتونه LogOut کنه
و سوال اخرتون حقیقتا تابحال به این موضوع برخورد نکردم و بعید میدونم بشه احراز هویت کاربران رو از طریق FortiGate رو انداخت بروی Kerio Control چون خوده FortiGate چندین حالت مختلف برای احراز هویت داره که هرکدوم براساس سناریو خاصی مورد استفاده قرار میگیرند.
برای مثال درنظر بگیریم کاربرانی داشته باشید که عضو AD نباشند خب در این صورت FSSO راهکار خوبی نیست
و یا درنظر بگیریم کاربران قراره از طریق SSL VPN به شبکه متصل شند و درون FortiGate احراز هویت بشوند خب اینجاهم باز سناریو چیز دیگری میشه و ما میتونیم از راهکار های خاصی استفاده کنیم برای مثال استفاده از یک Radius Server مجزا مثله FortiAuthenticator یا از Certificate استفاده کنیم

کاربر توسینسو

1399/10/18

خیلی خیلی ممنونم

برای توضیح تخصصی،فنی و کاملی که دادید

واقعا ممنونم

در مورد احراز هویت کاربران چه راهکاریو پیشنهاد میدید؟

من در حال حاضر یک اکتیو دایرکتوری در dmz ایجاد کردم

و در آن کاربر ایجاد کردم ولی اصلا قابل انعطاف نیست

مثلا اگر یک کاربر لاگین کنه دیگه نمیتونه logout کنه

من قبلا از کریو کنترل استفاده میکردم که به شدت user friendly بود

حالا میخواستم بدونم چه راهکاری وجود داره ؟مثلا میشه از کریو کنترل به عنوان احراز هویت کاربران در فورتیگیت استفاده کرد

ممنون و سپاس فراوان

امیرحسین تنگسیری نژاد نویسنده

1399/10/18

الان شبکه شما به خوبی داره کار میکنه؟ اگر به خوبی داره کار میکنه و گروه های مختلفتون از Internet Line های مورد نظر ترافیک هاشون عبور پیدا میکنه که اوکیه دست نزنید بهش نیاز به کانفینگ خاص دیگه ایی نیست
راجب سوال دومتون:
ببینید PBR همونطور که از اسمش پیداست این امکان رو به شما میده که ترافیک هاتون رو براساس یک سری قوانین عبور بدید و به نوعی امکان مهندسی ترافیک یا همون Traffic Engineering به شما داده میشه توی شبکه شما که مفهومی هست که توی تقریبا اکثر Vendor ها که توانایی Routing دارند وجود داره و امکان استفاده ازش وجود داره اما خب نحوه پیکربندی متفاوت هست برای مثال ما توی Cisco برای پیکربندی PBR از route-map استفاده میکنیم و یا توی Mikrotik از از ویژگی Mark Routing استفاده میکنیم و توی Fortigate هم که هم از طریق Cli هم Web Access این امکان به صورت کامل وجود داره برای انجام...
ولی بیاید دقیق تر موضوع خوده PBR روباهم بررسی کنیم اصولا شبکه های ما وقتی که یک Routing درون اونها برقرار میشه مسیریابی بسته هارو براساس RIB یا همون Routing Information Base خودشون که جدول مسیریابی خودشون هست انجام میدهند و وقتی بسته خاصی به دستشون بیاد مستقیما در IP Header اون بخش Dst IP رو چک میکنند و اصولا در اینجا ما مسیریابی بسته هامون براساس آدرس مقصد هستش و براساس اون آدرس مقصد بهترین مسیر رو از RIB انتخاب میکنند و عمل ارسال کردن اون رو انجام میدهند اما گاهی پیش میاد که ما قصد داشته باشیم برای مثال اگر ترافیک ما از آدرس 192.168.10.0/24 به سمت دیوایس مورد نظرما رسید به جای اینکه از Interface 1 ارسال بشه که اولویت داره براش بیاد از Interface 2 ارسال بشه که هر دو اینها میتونند بسته رو برسونن به مقصد خاص خودش و در اینجاست که PBR میتونه مسیریابی رو بیاره روی Source IP Address نه Dst IP Address و حالا شاید بگید چرا اینکارو انجام بدیم؟! فرض کنید شما دوتا مسیر دارید برای رسیدن به آدرس مورد نظر با این آدرس 172.16.1.1 دوتا Interface و راه دارید روی روتر خب در اینجا یکی از Interface های شما به عنوان Best Route انتخاب میشه و اولویت ‌داره برای ارسال اما اون Interface از لحاظ داشتن Delay و Jitter و Packet Loss برای شما درحدی باشه که دچار مشکل شود برای ترافیک هاتون برای مثال ترافیک های حساسی مثله Voice و Video در اینجا شما یک لینک دیگر هم دارید که اون برای ارسال این ترافیک خیلی بهتره اما Best Route نیست خب اینجا PBR کمکتون میکنه.
علاوه بر این میتونیم به شکل دیگه هم عمل کنیم و سخت ترش کنیم بگیم ‌برای مثال اگر بسته ایی به دستت رسید که Source IP اون برابر با 192.168.10.0/24 بود و خواست بسته بره به سمت پورت های 80,443 اونوقت بیا این بسته رو از سمت Internet Line 2 عبور بده و از Internet Line 1 ارسالش نکن

کاربر توسینسو

1399/10/18

ممنون از توضيح واضح و کاملی که دادید

من در حال حاضر یک AD راه انداختم و داخل آن 2تا گروه ایجاد کردم

یکی با عنوان limited و دیگری با نام unlimited

همانطوری که شما گفتيد هم Distance و Priority برای Internet Line هم یکسان و عدد 1 گذاشتم

داخل policy دو عدد rule تعريف کردم

در رول اولی برای گروه limited لینک اینترنت سرعت پایین قرار دادم

در رول دوم برای گروه unlimited لینک اینترنت سرعت بالا قرار دادم

با این توضيحات بازهم باید کار دیگری بکنم یا کافی هستش؟

اگر در مورد PBR یا Policy Based Routing که گفتيد توضيح بیشتری بديد ممنون میشم

با تشکر

امیرحسین تنگسیری نژاد نویسنده

1399/10/18

سلام خسته نباشید.
ببینید ما توی Fortigate سناریو های متنوع و تکنیکی های مختلفی داریم برای مواقعی که شما چندین لینک دارید که میشه گفت سناریو های استفاده شده امروزی به نوعی دارند ویژگی های مثله SD-WAN و WAN LLB که توی ورژن های 5.6 و قبل و بعدش تاحدودی استفاده میشد دارند محو میکنند چون هم ساده ترند هم بهتر هم داشتن مدیریت بیشتر و انعطاف پذیری بالاتر.
و اما تکنیکی که دارید انجام میدید و پیاده سازی میکنید در تجهیز Fortigate با عنوان Link Redundancy شناخته میشه که درصورت خرابی یکی از Internet Line ها از بعدی استفاده کند و نکته مهم اینجاست چیزی که شما میخواید اصلا نه Load Balancing هست نه Link Redundancy پس شما نباید سراغ این راهکار ها بروید.

ولی برای پیاده سازی این موضوع ما درنظر میگیریم شما دو بخش توی شبکه دارید همونطور که اعلام کردید یکی بخش LAN-1 و یکی بخش LAN-2 و قراره LAN-1 از WAN-1 بره بیرون و LAN-2 از WAN-2 یک مفهوم و ویژگی پرکاربرد برای این موضوع هست که حتی توی تجهیزات دیگه مثله روتر های Cisco و فایروال های سخت افزاری دیگر هم استفاده میشه به منظور تفکیک سازی ترافیک های داخلی و عبور اونها از لینک های خاص با عنوان PBR یا Policy Based Routing شما به این شکل عمل میکنید که میگید ترافیک های خاصی با این قوانین برای مثال Source IP و Port و Protocol که برای LAN-1 هست رو از WAN-1 عبور بده.
و اینکه این نکات رو هم حتما در حین پیکربندی PBR توجه داشته باشید که میباشد Internet Line هاتون Distance و Priority یکسان داشته باشند و PBR رو براین اساس بنویسید که بگه LAN-1 بره به WAN-1 و LAN-2 بره به WAN-2

نکته: PBR کارایی ها و وظایف دیگری هم دارد اما برای سناریو شما هم میتونید از اون استفاده کنید هم ماهیت اون صرفا فقط این سناریو نیست

موفق و پیروز باشید‌

کاربر توسینسو

1399/10/18

ممنون برای توضيحات عالی

سوالی که داشتم این بود که چطوری میشه که شبکه را تقسیم کرد

به این شکل که من 2تا اینترنت دارم

3تا از کاربران فقط با اینترنت 1

3کاربر دیگر با اینترنت 2

عملا لود بالانس دستی میخوام

جون موقع rule نوشتن زمانی که outgoing interface روی لینک 2میگذارم اینترنت قطع میشه و زمانی وصل میشه که لینک اینترنت 1به صورت disable باشد

لطفا راهنمایی بفرمایید

با تشکر