آموزش جامع کانفیگ فایروال فورتی‌گیت: راهنمای کامل پیکربندی و امنیت شبکه

راهنمای کامل پیکربندی فایروال فورتی‌گیت

فایروال‌های FortiGate از محصولات پرقدرت و پرکاربرد شرکت Fortinet هستند که برای کسب‌وکارهای کوچک، متوسط و حتی سازمان‌های بزرگ طراحی شده‌اند. این دستگاه‌ها امکانات گسترده‌ای مانند کنترل دسترسی شبکه، VPN، مدیریت FortiGuard، نظارت بر ترافیک اینترنت و اعمال سیاست‌های امنیتی را در اختیار مدیران شبکه قرار می‌دهند.

کانفیگ فایروال فورتی گیت برای امنیت و عملکرد پایدار شبکه ضروری است؛ زیرا بدون تنظیمات درست، دسترسی به اینترنت ممکن است مختل شود، تهدیدهای امنیتی نادیده گرفته شوند و سیاست‌های حفاظتی به‌طور کامل اجرا نگردند.

در این مقاله یک راهنمای جامع و مرحله‌به‌مرحله برای کانفیگ فایروال فورتی گیت ارائه می‌دهیم که شامل تنظیم رابط‌ها، مسیر پیش‌فرض، نام میزبان، دسترسی HTTPS، نکات امنیتی و روش‌های مدیریت پیشرفته است. این راهنما می‌تواند برای مدیران شبکه در سازمان‌های کوچک تا بزرگ یک مرجع کامل و کاربردی باشد.

چرا کانفیگ فایروال فورتی گیت اهمیت دارد؟

کانفیگ فایروال فورتی گیت به صورت اصولی علاوه بر امنیت، باعث می‌شود شبکه شما پایدار، سریع و قابل مدیریت باشد. برخی از مزایای تنظیم صحیح عبارتند از:

• ایجاد شبکه امن و پایدار: جلوگیری از نفوذ، بدافزارها و حملات سایبری.

• دسترسی به خدمات FortiGuard: دریافت بروزرسانی‌های امنیتی، آنتی‌ویروس و فیلتر محتوا.

• مدیریت متمرکز و امن: دسترسی به تنظیمات مدیریتی از طریق HTTPS و SSH بدون خطر نفوذ.

• اعمال سیاست‌های دقیق فایروال: کنترل کامل روی ترافیک ورودی و خروجی در شبکه‌های داخلی (LAN) و خارجی (WAN).

در صورت نبود پیکربندی صحیح، مشکلاتی مانند قطعی اینترنت، دسترسی غیرمجاز و آسیب‌پذیری در برابر تهدیدها رخ خواهد داد. بنابراین تنظیم درست فایروال FortiGate گامی حیاتی برای حفاظت از داده‌ها و دسترسی ایمن کاربران است.

مرحله اول: پیکربندی رابط‌ها (Interfaces)

رابط‌های شبکه بخش اصلی کانفیگ فایروال فورتی گیت هستند و شامل MGMT، WAN و LAN می‌شوند. مدیریت صحیح هر کدام برای امنیت و عملکرد شبکه ضروری است. قبل از شروع، مطمئن شوید که کابل‌ها به درستی متصل هستند و دستگاه روشن است.

1. رابط مدیریت (MGMT)

رابط MGMT در کانفیگ فایروال فورتی گیت برای دسترسی مدیریتی خارج از باند (Out-of-Band) استفاده می‌شود تا مدیریت دستگاه از شبکه داخلی جدا باشد. در مدل‌های رومیزی بدون پورت MGMT اختصاصی، دسترسی مدیریتی درون‌باند (In-Band) از طریق LAN انجام می‌شود.

مزایای Out-of-Band:

دسترسی امن بدون دخالت ترافیک داخلی
جداسازی مدیریت از شبکه کاربران
کاهش ریسک حملات داخلی

مزایای In-Band:

مناسب برای محیط‌های کوچک با تجهیزات محدود
دسترسی مدیریت از همان شبکه LAN

پیکربندی از طریق GUI:

مسیر Network > Interfaces را باز کنید.
رابط MGMT را انتخاب و روی Edit کلیک کنید.
نام مستعار مانند MGMT وارد کنید.
آی‌پی و ماسک شبکه را تنظیم کنید.
دسترسی مدیریتی (Ping, HTTPS, SSH) را فعال کنید.
روی OK کلیک کنید.

پیکربندی از طریق CLI

پس از انجام این مرحله از کانفیگ فایروال فورتی گیت ، می‌توانید فایروال فورتی گیت را از طریق مرورگر یا SSH به صورت امن مدیریت کنید.

2. رابط WAN

رابط WAN برای اتصال به اینترنت استفاده می‌شود. بسته به نیاز، می‌توان از DHCP یا IP ثابت استفاده کرد. استفاده از IP ثابت برای VPN و سیاست‌های امنیتی دقیق‌تر در کانفیگ فایروال فورتی گیت توصیه می‌شود، در حالی که DHCP برای سناریوهای ساده مناسب است.

GUI:
مسیر Network > Interfaces را باز کنید.
پورت WAN را انتخاب و روی Edit کلیک کنید.
نام مستعار مانند WAN وارد کنید.
آی‌پی و ماسک شبکه را تنظیم کنید.
برای دسترسی مدیریتی فقط Ping فعال باشد.
روی OK کلیک کنید.
CLI:

نکات مهم WAN در فورتی گیت:

بررسی اتصال اینترنت با دستور execute ping 8.8.8.8
تنظیم DNS مناسب برای حل نام دامنه‌ها
استفاده از VLAN در صورت نیاز به جداسازی ترافیک

3. رابط LAN

رابط LAN معمولاً یک سوئیچ مجازی داخلی است که به تمام نقاط پایانی شبکه دسترسی می‌دهد. می‌توانید DHCP را فعال کرده و آی‌پی‌های داخلی را مدیریت کنید. این مرحله برای شبکه داخلی حیاتی است.

GUI:
مسیر Network > Interfaces را باز کنید و پورت LAN را انتخاب کنید.
نام مستعار مانند LAN وارد کنید.
آی‌پی و ماسک شبکه را تنظیم کنید.
دسترسی مدیریتی لازم را فعال کنید.
DHCP را فعال کرده و محدوده آی‌پی تعیین کنید.
روی OK کلیک کنید.
CLI:
مرحله دوم: تنظیم مسیر پیش‌فرض (Default Route)
مسیر پیش‌فرض تعیین می‌کند که ترافیک خروجی به کجا هدایت شود وقتی هیچ مسیر مشخصی موجود نباشد. این مرحله برای دسترسی اینترنت و FortiGuard حیاتی است.

GUI:
مسیر Network > Static Routes را باز کنید.
روی Create New کلیک کنید.
مقصد را 0.0.0.0/0 وارد کنید.
Gateway و Interface را مشخص کنید.
روی OK کلیک کنید.
CLI:
نکات:
مسیر پیش‌فرض باید همیشه قبل از اعمال سیاست‌های NAT و Firewall تنظیم شود
اگر چندین ISP دارید، می‌توانید مسیرهای چندگانه (Multiple Default Routes) تعریف کنید
مرحله سوم: تعیین نام میزبان (Hostname)
نام میزبان به شناسایی دستگاه در شبکه کمک می‌کند و هنگام استفاده از FortiCloud یا HA، مدیریت آسان‌تری فراهم می‌آورد.

GUI:
مسیر System > Settings را باز کنید.
نام میزبان وارد کنید.
روی Apply کلیک کنید.
CLI:

نکته: انتخاب نام مناسب در کانفیگ فایروال فورتی گیت برای شناسایی سریع دستگاه‌ها در شبکه‌های بزرگ بسیار مهم است.

مرحله چهارم: اتصال به FortiGuard و اینترنت

FortiGuard خدمات امنیتی و آنتی‌ویروس ارائه می‌دهد و دسترسی به آن ضروری است.

بررسی اتصال:

اطمینان حاصل کنید پورت‌های خروجی TCP/UDP باز هستند
تنظیمات فایروال داخلی می‌توانند دسترسی به FortiGuard را محدود کنند
مرحله پنجم: مدیریت HTTPS با گواهی پیش‌فرض
FortiGate از گواهی Fortinet_GUI_Server برای HTTPS استفاده می‌کند. برای جلوگیری از هشدار مرورگر:

گواهی CA را دانلود کنید
روی کامپیوتر خود نصب کنید
این کار دسترسی HTTPS امن و بدون هشدار مرورگر را تضمین می‌کند.

مرحله ششم: نکات پیشرفته و امنیتی

1. مدیریت چندین FortiGate با FortiManager
برای شبکه‌های بزرگ یا شعب متعدد
مدیریت سیاست‌ها و Firmware به صورت متمرکز
2. استفاده از FortiAnalyzer
تحلیل ترافیک شبکه و گزارش‌دهی
بررسی حملات و تهدیدات
3. پیکربندی VPN
IPSec و SSL VPN برای اتصال امن شعب و کاربران راه دور
مثال CLI برای IPSec VPN:
4. مدیریت کاربران و نقش‌ها
تعریف کاربران با نقش‌های محدود برای مدیریت امن
استفاده از Two-Factor Authentication (2FA) برای مدیران

مرحله هشتم: عیب‌یابی

برای رفع مشکلات رایج:

عدم اتصال به اینترنت:

بررسی مسیر پیش‌فرض: get router info routing-table all
بررسی DNS: execute ping 8.8.8.8
مشکلات FortiGuard:

بررسی اتصال: execute ping update.fortiguard.net
بررسی پورت‌ها: diagnose firewall iprope list
عملکرد کند:

بررسی بار CPU: get system performance status
غیرفعال کردن ویژگی‌های غیرضروری مانند Deep Packet Inspection.
جمع‌بندی نهایی
با انجام مراحل بالا، کانفیگ فایروال فورتی گیت شما آماده است:

اتصال اینترنت و FortiGuard برقرار شده
رابط‌های MGMT، WAN و LAN پیکربندی شدند
مسیر پیش‌فرض و نام میزبان تنظیم شد
دسترسی مدیریتی HTTPS فعال شد
سیاست‌های فایروال و DHCP اعمال شدند
اکنون می‌توانید FortiGate را ثبت کرده و سیاست‌های امنیتی خود را اعمال کنید. شبکه شما با این تنظیمات امن، پایدار و قابل مدیریت خواهد بود.

سوالات متداول (FAQ) درباره کانفیگ فایروال فورتی‌گیت

چگونه بررسی کنم فایروالم به FortiGuard متصل است؟
پاسخ: در CLI دستور execute ping update.fortiguard.net را اجرا کنید. در GUI، به Security Fabric > FortiGuard بروید و وضعیت را بررسی کنید.
چرا اینترنت پس از تنظیم WAN کار نمی‌کند؟
پاسخ: مسیر پیش‌فرض، DNS و سیاست NAT را بررسی کنید. تست اتصال با execute ping 8.8.8.8.
آیا می‌توانم از چند WAN همزمان استفاده کنم؟
پاسخ: بله، با تنظیم SD-WAN در Network > SD-WAN می‌توانید تعادل بار یا Failover ایجاد کنید.
چگونه رابط مدیریت (MGMT) را ایمن کنم؟
پاسخ: دسترسی را به HTTPS و SSH محدود کنید، IP‌های مجاز را تنظیم کنید و 2FA را فعال کنید.
چگونه عملکرد کند فایروال را رفع کنم؟
پاسخ: بار CPU را با get system performance status بررسی کنید و ویژگی‌های سنگین مثل Deep Packet Inspection را غیرفعال کنید.
چگونه VLAN برای شبکه داخلی تنظیم کنم؟
پاسخ: در Network > Interfaces یک رابط VLAN بسازید و VLAN ID و IP را تنظیم کنید.
چگونه SSL VPN برای کاربران راه دور تنظیم کنم؟
پاسخ: در VPN > SSL-VPN Settings رابط WAN و محدوده IP را تنظیم کنید و پورتال را فعال کنید.
چگونه Zero Trust را پیاده‌سازی کنم؟
پاسخ: در Policy & Objects > ZTNA تگ ZTNA تعریف کنید و سیاست فایروال را با آن تنظیم کنید.
چگونه لاگ‌ها را برای تحلیل حملات بررسی کنم؟
پاسخ: به Log & Report > Local Traffic Log بروید یا از diagnose debug flow در CLI استفاده کنید.
چگونه فایروالم را به‌روزرسانی کنم؟
پاسخ: در System > Firmware فایل جدید را آپلود کنید یا از CLI با execute restore image به‌روزرسانی کنید.
چگونه فایروالم را ریست کنم؟
پاسخ: در CLI از execute factoryreset یا در GUI از System > Configuration > Reset استفاده کنید. قبل از ریست، بکاپ بگیرید.
چگونه فایروالم را از راه دور مدیریت کنم؟
پاسخ: HTTPS یا SSH را روی WAN یا MGMT فعال کنید و برای امنیت از VPN و 2FA استفاده کنید.