اطلاعیه

بستن
هنوز اطلاعیه ای در دست نیست.

نحوه باز کردن یا مسدود کردن دسترسی یک سیستم در فایروال FortiGate

بستن
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

    نحوه باز کردن یا مسدود کردن دسترسی یک سیستم در فایروال FortiGate

    در این بخش، ما به شما نحوه اتصال یک سرور به اینترنت از طریق فایروال FortiGate (فورتی گیت) آموزش داده می شود. بدین منظور ابتدا می بایست Policy و نحوه استفاده از آن را در فایروال FortiGate را آموزش دهیم.
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: fortigate.png مشاهده: 0 حجم: 74.7 کیلو بایت


    همچنین توصیه میشود مطالعه فرمایید :

    آموزش نصب و راه اندازی فایروال فورتی گیت (FortiGate) (به زودی)

    آموزش راه اندازی VPN در فایروال FortiGate (به زودی)



    تعریف Policy

    بر اساس یک تعریف ساده بطور کلی Policy کنترل می کند که آیا یک ترافیک خاص مجاز به عبور از فایروال است یا خیر؟ این تصمیم براساس تنظیماتی که برای اجزای Policy در نظر می گیریم، گرفته می شود. همچنین اگر Policy های اعمالی ترافیکی را مسدود نکنند، فایروال می تواند با استفاده از Anti virus- application Control – Web filtering و ... ترافیک را مسدود نماید ، (که البته این ویژگی ها نیاز به فعالسازی و پیکربندی دارند که در جلسات بعدی به آن اشاره خواهیم کرد) برای مثال، آدرس شبکه مقصد حاوی یک ویروس است. در صورت فعال کردن ویژگی آنتی ویروس و اعمال تنظیمات آن ترافیک ارسالی را مسدود می نمایند در غیر این صورت، ترافیک مجاز به عبور از فایروال است. هر Policy که ما تعریف می کنیم می تواند با یک نوع خاصی از ترافیک منطبق باشد و با توجه به اجزایی که برای آن Policy تعریف کرده ایم، کنترل امنیتی را اعمال می کند.


    اجزای Policy

    برای پیکربندی یک Policy باید اجزای آن به درستی و بر اساس نیاز مقدار دهی شوند. این اجزا عبارت اند از :
    • Source and Destination IP address
    • Device ID/type or user
    • Interface or zone
    • Ingress and egress
    • Network service(s): IP protocol and port number
    • Schedule: applies during configured times
    • Action: accept or deny
    • ...


    پیکربندی Policy

    از طریق Policy شما قادر خواهید بود هر نوع ترافیک عبوری از فایروال خود را کنترل نمایید. باید دقت نمایید که به درستی Policy ها با نوع کنترل امنیتی که می خواهید اعمال نمایید، مطابقت دهید. یک نکته بسیار مهم این است که عدم تطابق Policy های نوشته شده با ترافیک عبوری، باعث می شود FortiGate در نهایت بسته را Drop نماید. که به این موضوع اصطلاحاً Implicit deny گفته می شود. در واقع هر گاه ترافیک عبوری با هیچ کدام از Policy های نوشته شده ی ما مطابقت نداشته باشد، طبق آخرین Policy که توسط خود فایروال در نظر گرفته می شود، ترافیک Drop می گردد.


    معیارهای سازگاری و اقدامات

    حالا می دانیم که یک Policy در فایروال چیست. در این بخش خواهید آموخت که چگونه یک Policy با یک نوع ترافیک خاص منطبق می شود.
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 1.png مشاهده: 0 حجم: 80.4 کیلو بایت





    حال سوال این است، هنگامی که یک Packet وارد فایروال FortiGate می شود، چگونه با یک Policy تطبیق پیدا می کند؟می دانیم که هر Policy دارای اجزایی است که شما می توانید با استفاده از آنها ترافیک های عبوری را کنترل نمایید.
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 2.png مشاهده: 0 حجم: 109.9 کیلو بایت





    برای شروع کنترل ترافیک در FortiGate، ابتدا باید Interface های ورودی و خروجی ترافیک را مشخص کنیم. Packet های ترافیک از طریق یک Interface ورودی وارد می شوند و از طریق مسیر یابی، از مسیری که ما در Policy ها ایجاد می کنیم از یک Interface خروجی، خارج می شوند. interface ها در هر Policy ،Source و Destination را مشخص می کنند.
    برای درک بهتر مسئله فرض کنید شبکه یک شرکت دارای سه Zone اینترنت (Internet)، شبکه داخلی (Internal Network) و سرور ها (Server Farm) می باشد. بنابراین دارای سه Interface مجزا می باشیم. می خواهیم از طریق یک Policy بر روی فایروال به یک سرور با آدرس IP 32/192.168.1.100 که در Zone سرور می باشد اجازه دهیم به اینترنت متصل شود. به شکل زیر توجه کنید :
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 3.png مشاهده: 0 حجم: 96.7 کیلو بایت






    برای ایجاد این دسترسی ابتدا باید مراحل زیر را بررسی نماییم :


    مرحله اول : برقراری ارتباط اینترنت

    در مثال بالا جهت برقراری ارتباط اینترنت از یک رنج آدرس شبکه 172.30.30.10/28 استفاده نموده ایم که شامل 16 عدد IP Valid بوده و از ISP ارائه دهنده سرویس اینترنت دریافت نموده ایم. ابتدا پیکربندی ارتباط اینترنت را بررسی می نماییم.

    IP آدرس 28/172.30.30.10 را به عنوان اینترفیس WAN فایروال در نظر می گیریم. (بطور کلی شبکه اینترنت را یک شبکه WAN در نظر می گیریم و در FortiGate Interface یی که سمت اینترنت است را طبق قرارداد WAN Interface می نامیم) برای اعمال تنظیمات این Interface از طریق مسیر Network >Interface>Port (Number (Optional)) اقدام نمایید.

    ما در این مثال Interface سمت اینترنت را Wan 2 نامیدیم. نحوه تنظیمات به شرح زیر می باشد :
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 4.png مشاهده: 0 حجم: 66.0 کیلو بایت






    آدرس IP 172.30.30.1 را به عنوان Gateway جهت دسترسی به اینترنت در نظر می گیریم (در صورت عدم اطلاع آدرس IP Gateway را از ISP سوال کنید) بدین منظور از طریق مسیر Network>Static Route اقدام نمایید.
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 5.png مشاهده: 0 حجم: 52.8 کیلو بایت





    بعد از اعمال Default Route ارتباط اینترنت را تست نمایید(طبق شکل بالا)

    وارد محیط CLI شوید و یکی از IP هایی که قابلیت PING را دارد، تست نمایید. (به عنوان مثال 8.8.8.8 را تست نمایید)

    دستور Ping در FortiGate به صورت exe ping 8.8.8.8 می باشد.
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 6.png مشاهده: 0 حجم: 6.8 کیلو بایت







    مرحله دوم : برقراری ارتباط شبکه داخلی

    جهت برقراری ارتباط شبکه داخلی نیاز به یک دستگاه سوئیچ می باشد که سرور ها و کلاینت ها به آن متصل شوند. در این قسمت با توجه به داشتن چند ZONE مجزا ما از یک سوئیچ استفاده می کینم ( از قابلیت VLAN بندی سوئیچ استفاده می نماییم) در این مثال از یک سوئیچ 24 پورت سیسکو استفاده کردیم که 12 پورت آن را در VLAN 2 به عنوان شبکه داخلی کلاینت ها در نظر می گیریم و 12 پورت آن را در VLAN 1 به عنوان شبکه سرو ها در نظر می گیریم.

    از سوئیچ به تعداد UP –link 2 (با توجه به دو VLAN مجزایی که داریم به Port (Interface) های 1 و 2 فایروال متصل می کنیم). (نحوه اتصال سوئیچ و فایروال لایه 2 می باشد )
    دقت داشته باشید در این آموزش ما فایروال را در حالت Interface Mode قرار داده اییم. ( Interface ها مجزا از یکدیگر هستند)

    در نظر داشته باشید IP هایی که به Interface ها تخصیص می دهیم به عنوان Gateway هر شبکه متصل به آن Interface (شبکه داخلی هر ZONE) در نظر گرفته می شود.
    • Port 1 (Server Side ) : 192.168.1.1 /24
    • Port 2 (Client Side ) : 192.168.2.1 /24

    توضیحات : 24/ برابر با 255.255.255.0 = Subnet Mask
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 7.png مشاهده: 0 حجم: 76.3 کیلو بایت






    مرحله سوم : اعمال Policy و ایجاد دسترسی ها

    جهت دسترسی کلاینت ها و سرورها به اینترنت، نیاز به اعمال Policy می باشد. حال قصد داریم دسترسی سرور 192.168.1.100 را به اینترنت برقرار کنیم : نیازمندی های ما به عنوان اجزای Policy در این مثال به شرح زیر می باشد :
    • Incoming Interface : اینترفیس ورودی ترافیک سرور
    • Outgoing Interface : اینترفیس خروجی ترافیک سرور به سمت اینترنت
    • Source Address : آدرس شبکه سروری که قرار است دسترسی به اینترنت داشته باشد
    • Destination Address : آدرس مقصد (اینترنت) جهت دسترسی
    • Schedule : مدت زمان دسترسی
    • Service : نوع پروتکل
    • Action : Policy فعال یا غیر فعال بودن
    • NAT : Use Outgoing interface به عنوان آدرس سرور برای مسائل امنیتی استفاده از آدرس اینترفیس خروجی
    • Log : Securty Events/ All Sessions ها بسته به نیاز ما می تواند فعال شود Log

    برای تعریف آدرس مبدا و مقصد از طریق مسیر Policy & Object > Addeesses > Create New اقدام نمایید.

    Create New شامل دو بخش می باشد :
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 8.png مشاهده: 0 حجم: 4.2 کیلو بایت
    • Address : ایجاد آدرس
    • Address Group : ایجاد گروهی از آدرس ها

    در این مرحله با توجه به شکل زیر عمل می کنیم :
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 9.png مشاهده: 0 حجم: 18.1 کیلو بایت






    متد Type شامل موارد زیر می باشد :
    • FQDN : بر اساس نام دامنه
    • IP / Netmask : آدرس شبکه
    • Geography : منطقه جفرافیایی / بر اساس کشور
    • IP Range : بر اساس رنج شبکه
    • Wildcard FQDN : بر اساس نام دامنه با این تفاوت که همه زیر مجموعه را شامل می شود.

    برای مثال :
    کد PHP:
    FQDN www.google.com
    Ip 
    Netmask 192.168.1.0/24
    Geography 
    Iran
    Ip Range 
    192.168.1.100/32,192.168.1.200/32
    Wildcard FQDN 
    : *.google.com
    *.goole.com account.google.comapi.google.com

    حال جهت اعمال Policy از طریق مسیر Policy & Object > Ipv4Policy> Create New اقدام نمایید.
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 10.png مشاهده: 0 حجم: 136.5 کیلو بایت






    حال Policy مورد نظر اعمال گردید و سرور شما به اینترنت متصل گردید.


    مرحله چهارم : تنظیمات سرور

    به مسیر Control Panel\Network and Internet\Network Connections رفته و تنظیمات شبکه را مطابق با شکل انجام دهید.
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 11.png مشاهده: 0 حجم: 57.6 کیلو بایت






    هم اکنون سرور شما به اینترنت دسترسی دارد. این مسئله از طریق دستور PING در سرور قابل مشاهده می باشد :
    برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: 12.png مشاهده: 0 حجم: 57.4 کیلو بایت






    با آرزوی موفقیت ...
    آخرین ویرایش توسط Habili; در تاریخ/ساعت 03-10-2019, 12:13 PM.

درباره انجمن منطقه لینوکسی ها

انجمن منطقه لینوکسی ها با هدف ارتقاء سطح علمی کاربران در سطح جهانی و همچنین کمک به بالا بردن سطح علمی عمومی در زمینه های تخصصی فوق پایه گذاری شده است. انجمن منطقه لینوکسی ها از طریق کارشناسان و متخصصان پاسخگوی سوالات گوناگون کاربران مبتدی یا پیشرفته میباشد تا حد امکان تلاش شده که محیطی متنوع و کاربر پسند و به دور از هرگونه حاشیه جهت فعالیت کاربران در این انجمن ایجاد شود. لذا ما به صورت مستمر برای پیشرفت کمی و کیفی محتوی و اطلاعات انجمنمان میکوشیم که این برای ما ارزشمند و حائز اهمیت است. کلیه حقوق،اطلاعات و مقالات در این انجمن متعلق به سایت منطقه لینوکسی ها میباشد، و هرگونه نسخه برداری بدون ذکر منبع مورد پیگرد قانونی خواهد شد.

شبکه های اجتماعی
در حال انجام ...
X