در این مقاله آموزشی می خواهیم با هم پیکره بندی یعنی" انجام تنظیمات  اولیه فایروال فورتی گیت" FortiGate  را یاد بگیریم. قبل از اینکه به آموزش این مدل فایروال بپردازیم ابتدا با خود مقوله فایروال آشنا بشویم که بدانیم یک فایروال چی هست و چرا کاربرد این دستگاه ها در شبکه از اهمیت بسزایی برخودار است.

فایروال در شبکه حکم ایست بازرسی را دارد و وظیفه اش بازرسی از بسته هایی هست که قصد ورود به  و یا خروج از یک شبکه را دارند. بازرسی بر اساس یک سری شرایط که مورد نظر ادمین های شبکه یا همان مدیران شبکه است  انجام می شود و اگر بسته شرایط مورد نظر را احراز کرد  مجوز ورود به شبکه یا خروج از شبکه را دریافت می کند که  در دنیای امنیت و شبکه بسته هایی که مورد پذیرش واقع می شوند اصطلاحا permit یا accept می شوند  و یا در صورت عدم احراز شرایط فایروال، بسته مورد پذیرش واقع نمی شود و مجوز ورود و یا خروج را پیدا نمی کند و در اصطلاح شبکه deny یا drop می شود.

 فایروال ها که ترجمه فارسی ان "دیواره آتش" می شود این روزها از اهمیت زیادی برخوردار هستند و عملا می توان گفت امنیت یک شبکه بدون فایروال برقرار نخواهد شد. فایروال ها علاوه بر کنترل ترافیک های شبکه امروزه از قابلیت های خیلی زیادی برخوردار هستند . قابلیت هایی همچون آنتی ویروس، شناسایی انواع مختلف حملات سایبری، مانیتورینگ و سایر ویژگی هایی که در آینده با ادامه آموزش دوره فایروال فورتیگیت با آنها بیشتر آشنا خواهید شد. با توجه به پیشرفت های زیادی که در فناوری های مورد استفاده در فایروال ها واقع شده امروزه فایروال هایی که از این پیشرفت های جدید برخوردار شده اند را لقب فایروال های نسل جدید یا next generation firewall می دهند و این نوع فایروال ها نسبت به نسل قبلی و فایروال های قدیمی از امکانات و  قابلیت های بسیار بیشتری برخوردار هستند.

فایروال فورتیگیت نیز جزو NGF ها یا همان فایروال های نسل آینده به حساب می آیند. فایروال های FortiGate بدلیل همین قابلیت ها امروزه خیلی طرفدار پیدا کرده اند و در بسیاری از سازمان ها برای امن سازی شبکه ها مورد استفاده قرار می گیرد و یادگیری مهارت پیکره بندی یا "کانفیگ" این دستگاه ها جزو مهارت های ضروری در مدیریت و امن سازی شبکه محسوب می شود. 

پیش نیازها و ابزارهای ضروری دوره آموزشی پیکر بندی اولیه فایروال FortiGate

کمپانی Fortinet که تولید کننده فایروال های FortiGate است  فرض را بر این گذاشته است که افرادی که با دستگاه های FortiGate کار میکنند مباحث پایه و امنیت را بلد هستند.

بنابراین گذراندن دوره های network+ و security+ جزو پیشنیاز های صد در صد ضروری و  الزامی است و گذراندن دوره های Linux essential، lpic1 و یا windows 10 mcsa جهت داشتن شناخت بهتر از فایروال ها نیز پیشنهاد میشود. البته چون در این مقاله اموزشی بدلیل محدودیت در استفاده از دستگاه فیزیکی یا اپلاینس فایروال از فناوری مجازی سازی استفاده می کنیم بنابراین علاقمندان باید حداقل دانش کاربری نرم افزار VMware workstation  را نیز داشته باشند.

ابزارهای مورد نیاز

-         نرم افزار VMware Workstation Pro نسخه 17.0.2

 نکته: 

شما میتوانید از نسخه های دیگر هم استفاده کنید

شماره نسخه یا ورژن vmware workstation

-         فایل    OVF  که درواقع یک ماشین مجازی اماده و نصب شده از  از سیستم عامل دستگاه فایروال fortigate است

متاسفانه این فایل اماده از سیستم عامل این دستگاه را نمیتوانید از وب سایت فورتینت دانلود کنید بدلیل اینکه متاسفانه کشور ما در تحریم های بین المللی قرار دارد و  پس از ثبت نام در وب سایت کمپانی فورتینت با اخطار زیر مواجه می شوید و عملا ارائه خدمات به کشور ما را محدود کرده است.

اخطار عدم سرویس دهی فورتیگیت به کشور ایران

ما در این اموزش از نسخه مجازی 64 بیتی v5.6.2,build1486  استفاده میکنیم.

دستور نمایش نسخه سیستم عامل فایروال فورتیگیت

نکته مهم :

شما میتونین ovf های زیادی را از توی اینترنت و سایت های مختلف دانلود کنید و تست کنید، یادتان باشد این ovf ها میتوانند سالم نباشند و علی رغم اینکه در ظاهر درست اجرا می شوند ولی در عمل هنگام تست یک سناریو جواب ندهند ، در چنین مواردی بر اسا س تجربه به شما میگویم با یکی دو  تا تست برای رفع ایراد دیگه خیلی خودتان را معطل نکنید و سعی کنید یکی ovf دیگه را پیدا کنید و تست کنید

-         مرورگر به جهت اتصال از طریق وب به فایروال fortigate

خب بریم که با هم در ادامه نحوه نصب  و راه اندازی یک دستگاه فایروال فورتیگیت رو ببینیم

قدم اول : نصب فایروال مجازی فورتیگیت

ابتدا باید در نرم افزار vmware  مسیر فایل ovf را مشخص کنید 

نحوه نصب و راه اندازی فایروال فورتیگیت در vmware workstation

File > open > fortigate.ovf

معرفی فایل ovf از فایروال فورتیگیت به vmware workstation

پس از معرفی فایل ovf به vmware  در مرحله بعد اول باید به ماشین مجازی که ران میشود یک نام اختصاص دهید مثلا این نام رو اختصاص بدید fortigate-vm

و در قسمت پایین ان باید مسیر یا محل ذخیره سازی ماشین مجازی را مشخص کنید تا ان را در رایانه خود ذخیره کنید. مثلا در پارتیشن یا درایو E:/fortigate ذخیره کنید .به شکل زیر دقت کنید

محل ذخیره سازی ماشین مجازی فایروال فورتیگیت در vmware workstation

پس یادتان باشد در خط اول باید به ماشین مجازی خود که در واقع فایروال مجازی شما است باید نام اختصاص دهید و در خط پایین تر باید مسیر ذخیره سازی را مشخص کنید که ماشین مجازی شما در ان مسیر ذخیره شود

در مرحله بعد با این دو گزینه مواجه می شوید

Agent name که در واقع نامی است که شما به فورتیگیت خود اختصاص میدهید تا اگر بعدها خواستید این دستگاه را به سامانه ابری فورتیگیت وصل کنید از طریق نام شناسایی شود که ما با این گزینه کاری نداریم و شما میتوانید این را خالی بگذارید.

گزینه بعدی servicemanageip است که در واقع شما میتوانید یک ادرس ip برای مدیریت فایروال به دستگاه اختصاص بدهید ، البته فایروال فورتیگیت خودش به صورت پیش فرض دارای ادرس پیش فرض هست تابتوانیم به دستگاه وصل بشویم و ینابراین در اینمرحله هم نیازی به ثبت ادرس ای پی در این مرحله نداریم و شما میتوانید این گزینه را هم خالی بگذارید. 

نحوه اختصاص نام اجنت به فایروال فورتیگیت در مراجل نصب فایروال مجازی

حالا گزینه import را بزنید تا ماشین مجازی شما اماده بهره برداری شود. و در ادامه شما با شکل زیر مواجه می شوید

نمایش مراحل بوت شدن فایروال فورتیگیت

شکل قبل به شما نشان می دهد که ماشین مجازی ران شده و در حال پیشرفت و بارگذاری است و در انتهای این فرایند شما باید گزینه لاگین یا ورود به سیستم را مشاهده کنید ، مطابق شکل زیر:

نمایش بوت کامل فایروال مجازی فورتیگیت

در این مرحله فایروال مجازی شما اماده شده و شما میتوانید از این فایروال مجازی استفاده کنید.

حالا که ماشین مجازی یعنی فایروال مجازی ما  آماده شده ببینیم چندتا اینترفیس داره ، برای این کار یک کلیک راست بر روی ماشین مجازی بکنید و گزینه setting رو مطابق شکل زیر بزنید

نحوه تنظیمات پیش فرض ماشین مجازی فایروال فورتیگیت

خب حالا ببینیم تنظیمات پیش فرض که توسط کمپانی Fortinet در نظر گرفته شده چی هست.

نمایش تنظیمات پیش فرض فایروال فورتیگیت در vmware workstation

مقدار حافظه ram به میزان 1 گیگابایت و 1 عدد پردازشگر به دستگاه اختصاص داده شده ، دو دستگاه هارد دیسک از نوع scsi و ده کارت شبکه یا اصطلاحا اینترفیس شبکه که به صورت bridge در نظر گرفته شده. البته من اولین کارت شبکه رو به vmnet1 اختصاص دادم.

نکته :

 اینترفیس فایروال مجازی یا همان کارت شبکه ای که نرم افزار مجازی سازی به فایروال مجازی اختصاص داده در حالت بریج است یعنی در گروه کارت شبکه فیزیکی سیستم عامل شما قرار گرفته است. شما میتوانید ان را به تنظیمات دلخواه خود تغییر دهید.

نکته کلیدی:

دستگاه سخت افزاری  (appliance) فورتیگیت به طور پیش فرض به اولین اینترفیس یعنی eth1 خود ادرس ای پی 192.168.1.99 را اختصاص می دهد اما در حالت مجازی به این اینترفیس ادرس ای پی اختصاص نمی دهد بنابراین شما باید بواسطه ورود از طریق کنسول خط فرمان به این اینترفیس ادرس ای پی اختصاص دهید

برای اینکار باید در کنسول مطابق شکل زیر با نام کاربری و رمز عبور لاگین یا ورود نمایید

فورتیگیت دارای  نام کاربری و رمز عبور پیش فرض بدین شرح است :

User name: admin

Password: empty  به عبارتی رمز عبور ندارد

نمایش کنسول لاگین به فایروال فورتیگیت

رمز عبور یا پسورد را خالی بگذارید و اینتر را بزنید

تا وارد محیط کاربری فورتیگیت شوید

نمایش صفحه ورود و خوشامد گویی فایروال فورتیگیت

تبریک، شما وارد کنسول فایروال فورتیگیت شده اید

حالا باید به اینترفیس فایروال ادرس ای پی  (ip address)  اختصاص دهید برای این کار باید دستور زیر را بزنید

#config  system  interface

با این دستور شما وارد بخش انجام تنظیمات اینترفیس ها می شوید و میتوانید تنظیمات مورد نظر خود را بر روی اینترفیس های منتخب خود اعمال کنید

با زدن دستور بالا پرامپت فورتیگیت از  این شکل زیر 

نمایش پرامپت prompt فایروال فورتیگیت

به شکل زیر تبدیل می شود

نمایش پرامپت برای تنظیمات اینترفیس فایروال فورتیگیت

ما نیاز داریم به اینترفیس یا همان پورت فایروال ادرس ای پی اختصاص بدهیم تا بتوانیم ان را در شبکه فراخوانی کنیم

بنابراین به اولین پورت فایروال یعنی port1 ادرس ای پی اختصاص میدهیم با دستور زیر

(interface)# edit port1

نکته :

بین کلمه port  و عدد یک فاصله یا space نگذارید

نحوه نوشتم شماره پورت در هنگام انجام تنظیمات اینترفیش فایروال فورتیگیت

با زدن دستور بالا وارد بخش تنظیمات پورت میشوید

به این بخش های مختلف mode یا لایه layer و زیر لایه sublayer نیز می گویند

با زدن دستور end از هر لایه خارج میشویم.

درواقع  با دستور edit port  قابلیت ویرایش را در اینترفیس فعال می کنیم تا بتوانیم به ان ادرس ای پی اختصاص دهیم

 

اکنون با دستور set ip  ادرس مور دنظر خود را بر روی اینترفیس شماره یک ست می نماییم.

Set ip 192.168.1.99 255.255.255.0

نحوه اختصاص ادرس آی پی به اینترفیس فایروال فورتیگیت

برای اینکه مطمئن شوید که ادرس ای پی بر روی پورت شماره یک اعمال شده از دستور زیر استفاده کنید

Show system interface

خروجی باید مطابق شکل زیر باشد و ادرس آی پی را مانند بالا مشاهده کنید

نمایش خروجی اختصاص ادرس ای پی به اینترفیس فایروال فورتیگیت

تا اینجا توانستیم بر روی اینترفیس فایروال ادرس ای پی ست نماییم ، اکنون وقت ان است که به فایروال وصل شویم و از طریق کنسول وب تنظیمات دلخواه خود را انجام دهیم

نکته کلیدی:

فایروال ها برای ممانعت از نفوذ طراحی شده اند و به صورت پیش فرض مانع از ورود ترافیک ها به داخل خود و شبکه می شوند بنابراین وقتی ما بخواهیم به فایروال وصل شویم ترافیک ما برای اتصال به فایروال به صورت پیش فرض مورد پذیرش قرار نمی گیرد و فایروال اجازه وصل شدن نمی دهد پس باید فایروال را به گونه ای تنظیم کنیم تا ترافیک های مورد نظر ما را تا این مرحله پذیرش کند تا ما بتوانیم به ان وصل یا کانکت شویم.

پس بر روی اینترفیس شماره یک که ادرس ای پی ست کردیم باید اجازه ورود ترافیک مورد نظر خود را بدهیم

با دستور append allowaccess مطابق شکل زیر این کار را انجام میدهیم

نمایش دستور append allow access در فایروال فورتیگیت

با دستور append allow access اجازه دادیم سه پروتکل http, telnet و  ping بتوانند با فایروال ارتباط برقرار کنند

به عبارتی میتوانیم از طریق وب و تلنت (telnet) وصل شویم به فایروال و آن را از طریق ping هم ببینیم

 

نحوه اتصال به فایروال مجازی

مرورگر خود را اجرا کنید، کروم، فایرفاکس و یا هر مرورگری که با ان راحت تر هستید و در قسمت ادرس بار ادرس ای پی پیش فرض فایروال را فراخوانی کنید.

http://192.168.1.99

با صفحه لاگین یا ورود به فایروال در صفحه وب مواجه میشوید مانند شکل زیر:

صفحه وب ورود یا لاگین login به پنل مدیریتی فایروال فورتیگیت

نام کاربری و رمز عبور را قبلا در بخش قبلی گفتیم

پس از ورود با این صفحه مواجه می شوید

نمایش پنل وب مدیریت فایروال فورتیگیت

تغییر رمز عبور

نکته بسیار مهم:

اولین کاری که به عنوان یک ادمین باید انجام دهید تغییر رمز عبور پیش فرض است

به  پنل وب در  مسیر زیر بروید

System >>> administrators >>> edit administrator >>>

نحوه تغییر رمز عبور در پنل مدیریتی فایروال فورتیگیت

گزینه change password  رمز عبور را تغییر دهید.

 

تنظیمات تاریخ و زمان

تنظیم بودن تاریخ و زمان در فایروال بسیار مهم است

برای تنظیم کردن زمان نیز در پنل مدیریتی وب به مسیر زیر مراجعه کنید

System >>> settings >>

نحوه انجام تنظیمات مربوط به تاریخ و زمان فایروال فورتیگیت

تغییر نام دستگاه

شما میتوانید نام دستگاه را نیز تغییر دهید برای این کار نیز به این مسیر مراجعه کنید

System >>> settings>>> system setting >>> host name

نحوه تغییر نام host name دستگاه فایروال فورتیگیت

و سپس به شکل زیر 

نمایش بخش host name در فایروال فورتیگیت

نکته :

فایروال فورتیگیت در پنل وب، کنسول خط فرمان را در اختیار شما قرار می دهد

کافی است در پنل وب یه بخش سمت راست و بالای صفحه دقت کنید و این ایکون رو کلیک کنید

نحوه دسترسی به کنسول خط فرمان در پنل وب مدیریت فایروال فورتیگیت

 

اختصاص نام به اینترفیس ها

برای مدیریت شبکه های مختلف بهتر است به اینترفیس های مختلف نیز یک نام متناسب با شبکه ای که به ان متصل هستند اختصاص دهید

برای اختصاص نام به اینترفیس به مسیر زیر مراجعه کنید

Network >>> interfaces >>> click on port number >>> edit 

نحوه اختصاص نام name به اینترفیس فایروال فورتیگیت

 

و سپس

اختصاص نام alias به اینترفیس فایروال فورتیگیت

در قسمت Alias یک نام به اینترفیس بر اساس نقشی که در شبکه شما دارد اختصاص دهید

مانند LAN,WAN و ...

 

اینها بخشی از موارد اولیه بود که جهت پیکره بندی اولیه فایروال فورتیگیت نیاز داشتیم تا با انها اشنا شویم.