هنگامی که شما FortiGate را در شبکه مستقر می کنید، می توانید دو حالت NAT یا Transparent انتخاب کنید.
حالت NAT : در FortiGate بسته ها بر اساس لایه 3 ارسال میشود (شبیه روتر) و هر یک از اینترفیس های آن یک آدرس IP دارند.
حالت Transparent : در FortiGate بسته ها بر اساس لایه 2 ارسال میشود (شبیه سوئیج های لایه 2) بنابراین، به جز برای رابط مدیریت (Management)، اینترفیس های آن هیچ آدرس IP ندارند.
در شکل پایین 7 لایه مدل OSI را مشاهده می نمایید . حال بر اساس نیاز ما می بایست یکی از حالت ها را انتخاب نماییم.
اغلب کاربران مدل NAT را انتخاب می نمایند.
حال به ویژگی هریک از مدل ها می پردازیم :
راه اندازی اولیه :
بدین منظور پس از بررسی و انتخاب معماری شبکه و نحوه قرار گیری FortiGate وارد بحث تنظیمات اولیه می شویم. بدین منظور جهت اتصال به یک دستگاه FortiGate، می توان از دو طریق کابل شبکه و یا کابل کنسول استفاده نمود.
اتصال با کابل شبکه :
در بعضی از مدل های FortiGate مانند C 600 و D 1500 دارای یک پورت Mgmtld میباشد و یا در بعضی از مدل مانند E 60 می بایست کابل شبکه را به port1 متصل نمایید.
Ip پیش فرض که توسط خود FortiGate در اینترفیس ها ست شده 192.168.1.99/24 می باشد و دسترسی PING, HTTP, HTTPS, SSH برروی آن فعال می باشد.
کامپیوتر خود را به پورت اشاره شده متصل نمایید و یک IP در رنج شبکه یاد شده به آن تخصیص دهید. (به عنوان مثال 192.168.1.99/24)
مرورگر خود را باز نمایید و ادرس 192.168.1.99 را وارد نمایید، صفحه ورود FortiGate نمایان می گردد. همچنین می توانید از طریق از طریق نرم افزار Putty به محیط CLI متصل شوید. (SSH پورت 22)
وارد صفحه داشبورد FortiGate می شوید. همانند شکل زیر
اتصال با کابل کنسول :
همچنین می توانید از طریق کابل کنسول به محیط CLI متصل شوید. (از طریق نرم افزار Putty)
کابل کنسول را به دستگاه متصل نمایید. پورت مورد نظر را وارد نمایید (بعنوان مثال COM3) و پورت 9600 نوع کانکشن Serial میباشد.
پس از ورود حالت NAT به صورت پیش فرض می باشد. با توجه به توضیحات بالا و نیاز شما، حالت دلخواه تان را می توانید بین NAT و Transparent انتخاب نمایید.
مهم : پس از ورود اولین کاری که انجام می دهید تغییر رمز عبور می باشد، هرگز رمز عبور پیش فرض را قرار ندهید، و از رمز عبور پیچیده و قوی استفاده نمایید. همچنین شما علاوه بر رمز عبور دستی از طریق PKI نیز می توانید به دستگاه متصل شوید.
برای محدود کردن دسترسی کاربران به ویژگی های خاص، می توانید مجوز های زیر را اختصاص دهید :
هنگام اختصاص مجوز در یک نمایه مدیریت، می توانید خواندن و نوشتن، فقط خواندنی یا هیچگونه دسترسی را مشخص نمایید. به طور پیش فرض، یک پروفایل خاص به نام super_admin وجود دارد، که admin نامیده می شود، شما نمی توانید نحوه دسترسی آن را تغییر دهید. prof_admin یک پروفایل پیش فرض دیگر است. و همانند super_admin می باشد با این تفاوت که می توان مجوز ها را تغییر داد
همچنین شما لازم نیست که از یک نمای پیش فرض استفاده کنید. برای مثال می توانید یک نام کاربری ایجاد کنید و نحوه دسترسی را مشخص نمایید. بعنوان مثال فقط خواندنی! (همانند شکل بالا)
ادامه توضیحات در جلسه بعد.......
حالت NAT : در FortiGate بسته ها بر اساس لایه 3 ارسال میشود (شبیه روتر) و هر یک از اینترفیس های آن یک آدرس IP دارند.
حالت Transparent : در FortiGate بسته ها بر اساس لایه 2 ارسال میشود (شبیه سوئیج های لایه 2) بنابراین، به جز برای رابط مدیریت (Management)، اینترفیس های آن هیچ آدرس IP ندارند.
در شکل پایین 7 لایه مدل OSI را مشاهده می نمایید . حال بر اساس نیاز ما می بایست یکی از حالت ها را انتخاب نماییم.
اغلب کاربران مدل NAT را انتخاب می نمایند.
حال به ویژگی هریک از مدل ها می پردازیم :
- در مدل NAT، آدرس مقصد آدرس FortiGate می باشد. به طور معمول FortiGate آدرس مقصد، port و آدرس مبداء را در لایه IP شبکه قبل از ارسال بسته به آدرس شبکه خصوصی سرور بازنویسی (rewritte) خواهد کرد. به عبارت دیگر عمل NAT و port forwarding را انجام می دهد.
- در حالت Transparent، مقصد، آدرس سرور می باشد نه اینترفیس FortiGate، در نتیجه نیاز به بازنویس (rewritte) لایه ها نمی باشد (به استثنای تحلیل و بررسی همگام سازی TCP) بلکه فقط آدرس MAC در فریم بازنویسی می شود، بنابراین، در محیط های پیچیده IP مانند MSSP یا حامل تلفن همراه، پیاده سازی و توسعه میابد. و فقط نیاز به یک IP جهت رابط مدیریت (Management) می باشد بنابراین چون اینترفیس های شبکه دارای یک آدرس IP نیستند، شما باید تأیید کنید که توپولوژی شما در Layer 2 - Ethernet هیچ حلقه ای(Loop) نداشته باشد.
راه اندازی اولیه :
بدین منظور پس از بررسی و انتخاب معماری شبکه و نحوه قرار گیری FortiGate وارد بحث تنظیمات اولیه می شویم. بدین منظور جهت اتصال به یک دستگاه FortiGate، می توان از دو طریق کابل شبکه و یا کابل کنسول استفاده نمود.
اتصال با کابل شبکه :
در بعضی از مدل های FortiGate مانند C 600 و D 1500 دارای یک پورت Mgmtld میباشد و یا در بعضی از مدل مانند E 60 می بایست کابل شبکه را به port1 متصل نمایید.
Ip پیش فرض که توسط خود FortiGate در اینترفیس ها ست شده 192.168.1.99/24 می باشد و دسترسی PING, HTTP, HTTPS, SSH برروی آن فعال می باشد.
کامپیوتر خود را به پورت اشاره شده متصل نمایید و یک IP در رنج شبکه یاد شده به آن تخصیص دهید. (به عنوان مثال 192.168.1.99/24)
مرورگر خود را باز نمایید و ادرس 192.168.1.99 را وارد نمایید، صفحه ورود FortiGate نمایان می گردد. همچنین می توانید از طریق از طریق نرم افزار Putty به محیط CLI متصل شوید. (SSH پورت 22)
- نام کاربری : admin
- رمز عبور را خالی بگذارید.
وارد صفحه داشبورد FortiGate می شوید. همانند شکل زیر
اتصال با کابل کنسول :
همچنین می توانید از طریق کابل کنسول به محیط CLI متصل شوید. (از طریق نرم افزار Putty)
کابل کنسول را به دستگاه متصل نمایید. پورت مورد نظر را وارد نمایید (بعنوان مثال COM3) و پورت 9600 نوع کانکشن Serial میباشد.
پس از ورود حالت NAT به صورت پیش فرض می باشد. با توجه به توضیحات بالا و نیاز شما، حالت دلخواه تان را می توانید بین NAT و Transparent انتخاب نمایید.
مهم : پس از ورود اولین کاری که انجام می دهید تغییر رمز عبور می باشد، هرگز رمز عبور پیش فرض را قرار ندهید، و از رمز عبور پیچیده و قوی استفاده نمایید. همچنین شما علاوه بر رمز عبور دستی از طریق PKI نیز می توانید به دستگاه متصل شوید.
برای محدود کردن دسترسی کاربران به ویژگی های خاص، می توانید مجوز های زیر را اختصاص دهید :
هنگام اختصاص مجوز در یک نمایه مدیریت، می توانید خواندن و نوشتن، فقط خواندنی یا هیچگونه دسترسی را مشخص نمایید. به طور پیش فرض، یک پروفایل خاص به نام super_admin وجود دارد، که admin نامیده می شود، شما نمی توانید نحوه دسترسی آن را تغییر دهید. prof_admin یک پروفایل پیش فرض دیگر است. و همانند super_admin می باشد با این تفاوت که می توان مجوز ها را تغییر داد
همچنین شما لازم نیست که از یک نمای پیش فرض استفاده کنید. برای مثال می توانید یک نام کاربری ایجاد کنید و نحوه دسترسی را مشخص نمایید. بعنوان مثال فقط خواندنی! (همانند شکل بالا)
ادامه توضیحات در جلسه بعد.......