پیکربندی فایروال فورتی‌ گیت

راهنمای جامع راه‌ اندازی و پیکربندی فایروال فورتی گیت fortigate

/ فایروال / از

تامین امنیت شبکه برای کسب‌ و کارها، به ویژه کسب‌ و کارهای کوچک، امری حیاتی است. فایروال‌ های فورتی‌ گیت (FortiGate) از شرکت فایروال فورتی‌ نت (Fortinet) به عنوان راه‌ حل‌های مدیریت تهدیدات یکپارچه (UTM – Unified Threat Management) شناخته می‌شوند که مجموعه‌ای از قابلیت‌های امنیتی پیشرفته را در یک دستگاه واحد ارائه می‌دهند. این دستگاه‌ها شامل قابلیت‌های پیشرفته فایروالینگ، جلوگیری از نفوذ (Intrusion Prevention)، آنتی‌ ویروس در سطح شبکه و فیلترینگ وب قدرتمند هستند. هدف این مقاله، آموزش فایروال فورتی گیت و ارائه یک راهنمای جامع برای راه‌ اندازی و پیکربندی فایروال فورتی‌ گیت بر اساس منابع ارائه شده است، تا بتوانید شبکه‌ای امن و قابل اعتماد بعد از خرید فایروال ایجاد کنید.

راه اندازی فایروال فورتی گیت fortigate

راه‌ اندازی فایروال FortiGate شامل پیکربندی اولیه رابط‌ها، شبکه مدیریت، VLANهای داخلی و تنظیمات WAN یا SD-WAN است. در این فرآیند ابتدا آدرس IP مدیریت تغییر داده می‌ شود و تنظیمات DHCP و دسترسی مدیریتی روی آن اعمال می‌گردد. سپس VLANهای داخلی برای جداسازی شبکه‌ ها (مانند شبکه کارکنان و مهمان) ایجاد شده و ارتباط آنها با سوئیچ‌های خارجی از طریق پیکربندی Tagged و Untagged برقرار می‌شود. در ادامه، لینک‌های اینترنتی WAN به‌صورت مستقل یا در قالب SD-WAN برای بهینه‌ سازی مصرف پهنای باند، Failover و Load Balancing پیکربندی می‌شوند. همچنین با تعریف Performance SLA و قوانین SD-WAN، می‌توان کیفیت لینک‌ها را پایش کرده و مسیر ترافیک را بر اساس اولویت یا کیفیت بهینه‌سازی کرد. این مراحل به FortiGate امکان می‌ دهد شبکه‌ای ایمن، پایدار و انعطاف‌پذیر ارائه دهد.

برای مشاوره رایگان با متخصصان رسام تماس بگیرید

انتخاب سخت‌ افزار مناسب برای پیکربندی fortigate فایروال فورتی گیت

خط تولید فایروال fortigate بسیار گسترده است. اگر در انتخاب سخت‌افزار مناسب نیاز به کمک دارید، می‌توانید با شرکای فورتی‌ گیت مانند Cross Talk Solutions تماس بگیرید. هنگام انتخاب مدل، مهم است که به مشخصات فنی (Datasheet) دستگاه توجه کنید. فایروال‌های UTM برخلاف روترهای استاندارد، برای پردازش داده‌ها از CPU و RAM زیادی استفاده می‌کنند. بنابراین، نباید فرض کرد که مدل انتخابی شما می‌تواند تمام ترافیک شبکه را با سرعت رابط‌های فیزیکی خود پردازش کند. به عنوان مثال، مدل FortiGate 70F پهنای باند IPS و فایروال نسل بعدی بیش از ۱ گیگابیت بر ثانیه دارد، اما حفاظت در برابر تهدیدات (Threat Protection) آن حدود ۸۰۰ مگابیت بر ثانیه است. ویژگی‌های پیشرفته مانند فیلترینگ اکسپلیسیت پراکسی و رمزگشایی SSL معمولاً در مدل‌های رده بالاتر فورتی‌ گیت موجود هستند، اگرچه در مدل ۷۰F نیز پشتیبانی می‌شوند. برای استفاده حداکثری از اشتراک UTM، مطمئن شوید که مدل شما از رمزگشایی SSL پشتیبانی می‌کند.

راه‌ اندازی اولیه فایروال فورتی‌ گیت

لازم است بدانید که هنگام خرید فایروال فورتی گیت، فایروال سخت افزاری فورتی‌ گیت شما با یک برچسب در بالای دستگاه عرضه می‌شود که آدرس IP پیش‌فرض برای کامپیوتر شما، آدرس IP فورتی‌ گیت و پورتی که باید به آن متصل شوید را نشان می‌دهد. معمولاً می‌توانید کامپیوتر خود را روی IP مشخص شده تنظیم کرده و به آدرس IP فورتی‌ گیت وارد شوید. در برخی موارد، ممکن است با اتصال به پورت مشخص شده، یک آدرس IP از DHCP دریافت کنید.

پس از اتصال، باید به واسط کاربری وب فورتی‌ گیت با استفاده از آدرس IP آن وارد شوید. اعتبارنامه پیش‌ فرض برای ورود معمولاً admin بدون هیچ رمزی است. اولین قدم پس از ورود، تغییر رمز عبور پیش‌فرض است که دستگاه شما را مجبور به انجام آن می‌کند. پس از تغییر رمز عبور و ورود مجدد، به صفحه‌ای هدایت می‌شوید که از شما می‌خواهد دستگاه خود را ثبت کرده و لایسنس‌ های مرتبط را فعال کنید. همچنین می‌توانید تنظیم کنید که آیا وصله‌های امنیتی به صورت خودکار اعمال شوند یا خیر.

پیکربندی رابط‌ ها و شبکه‌ها

فایروال فورتی‌ گیت دارای پورت‌ های مختلفی است که می‌ توانند به عنوان پورت WAN یا LAN پیکربندی شوند. در مدل ۷۰F، پورت‌هایی مانند DMZ، WAN1، WAN2 و پورت‌ های داخلی (Internal Interface) وجود دارند. پورت‌ های داخلی معمولاً در یک گروه به نام “VLAN switch” قرار می‌ گیرند.

  • پیکربندی شبکه مدیریت: معمولاً اولین کاری که باید انجام دهید، تغییر آدرس IP شبکه مدیریت از آدرس پیش‌فرض است. این رابط معمولاً همان رابط داخلی است که سوئیچ‌ها و اکسس‌پوینت‌های دیگر به آن متصل می‌شوند. می‌توانید آدرس IP و زیرشبکه این رابط را تغییر دهید. هنگام پیکربندی رابط‌ها و VLANها، تصمیم بگیرید که آیا می‌خواهید دسترسی مدیریتی (مانند HTTPS یا SSH) بر روی آن فعال باشد یا خیر. اگر آدرس زیرشبکه را تغییر دهید، باید تنظیمات سرور DHCP روی آن رابط را نیز به‌روزرسانی کنید. پس از اعمال تغییرات، ممکن است نیاز باشد آدرس IP کامپیوتر خود را به‌روز کرده و مجدداً با IP جدید وارد شوید.
  • ایجاد شبکه‌های داخلی اضافی (VLANs): می‌توانید رابط‌های جدیدی از نوع VLAN ایجاد کنید تا شبکه‌های داخلی مختلفی مانند شبکه کارکنان (Employee Network) و شبکه مهمان (Guest Network) داشته باشید. این VLANها معمولاً زیرمجموعه رابط داخلی اصلی (Root Interface) قرار می‌گیرند و هر کدام یک شناسه VLAN (VLAN ID) منحصر به فرد دارند. برای این شبکه‌ها می‌توانید زیرشبکه (Subnet) و سرور DHCP را پیکربندی کنید. مهم است که مشخص کنید آیا دسترسی مدیریتی به فورتی‌گیت از این شبکه‌ها مجاز است یا خیر.
  • اتصال به سوئیچ‌های خارجی: اگر از سوئیچ‌ های خارجی (مانند UniFi) برای ارائه این شبکه‌ها به کاربران استفاده می‌کنید، باید توجه داشته باشید که فورتی‌گیت ترافیک این VLANها را به صورت Tagged ارسال می‌کند. بنابراین باید در سوئیچ خارجی، پورت‌های متصل به فورتی‌گیت و همچنین پورت‌های متصل به دستگاه‌های کاربران را با VLAN ID مناسب پیکربندی کنید. FortiGate با سوئیچ‌ها و اکسس‌ پوینت‌های UniFi به خوبی کار می‌کند.

تنظیمات WAN و SD-WAN: فورتی‌ گیت می‌ تواند به چندین لینک اینترنت (WAN) متصل شود. می‌ توانید این لینک‌ها را به صورت مستقل یا در یک گروه SD-WAN استفاده کنید. استفاده از SD-WAN به شما امکان می‌دهد تا از چندین اتصال اینترنت به صورت بهینه استفاده کنید، مثلاً برای Failover (پشتیبان‌ گیری خودکار در صورت قطع شدن یک خط) یا Load Balancing (تقسیم بار ترافیک بین خطوط).

  • ایجاد اعضای SD-WAN: برای افزودن یک رابط WAN به گروه SD-WAN، ابتدا باید مطمئن شوید که آن رابط در جای دیگری (مانند خط‌مشی‌های فایروال یا سرویس‌های دیگر) ارجاع داده نشده باشد. ممکن است لازم باشد خط‌مشی فایروال پیش‌فرض که از WAN استفاده می‌کند را حذف کنید. سپس به بخش SD-WAN رفته و اعضای جدیدی برای WAN1 و WAN2 (یا لینک‌های اینترنت دیگر) ایجاد کنید. اگر ارائه‌دهنده سرویس اینترنت شما DHCP است، قسمت Gateway را خالی بگذارید؛ فورتی‌گیت اطلاعات را به صورت خودکار پیدا می‌کند. برای اتصال Static، آدرس Gateway را دستی وارد کنید.
  • تنظیم Performance SLA: برای نظارت بر عملکرد لینک‌های WAN در SD-WAN، می‌توانید Performance SLA ایجاد کنید. این قابلیت می‌تواند با ارسال پینگ به آدرس‌هایی مانند Cloudflare و Quad9، کیفیت و وضعیت لینک‌ها را بررسی کند. می‌توانید فاصله زمانی پینگ‌ها و تعداد پینگ‌های ناموفق برای اعلام وضعیت “Down” یا “Inactive” برای یک لینک را تنظیم کنید.
  • قانون SD-WAN (SD-WAN Rule): قوانین SD-WAN در واقع قوانین مسیریابی هستند و مستقیماً مربوط به امنیت فایروال نیستند. با استفاده از این قوانین، مشخص می‌کنید که ترافیک بر اساس چه معیاری (مانند آدرس مقصد) از کدام لینک WAN عبور کند و از چه استراتژی استفاده شود (مثلاً Best Quality بر اساس SLA یا Interface Preference برای اولویت‌بندی لینک‌ها). می‌توانید اولویت لینک‌ها را (مثلاً WAN1 بر WAN2 اولویت داشته باشد) تنظیم کنید.
مرحلهتوضیحات
پیکربندی رابط‌ها (Interfaces)پورت‌های مختلف مانند WAN1، WAN2، DMZ و پورت‌های داخلی (Internal) وجود دارند که معمولاً پورت‌های داخلی در یک گروه به نام VLAN Switch قرار می‌گیرند.
پیکربندی شبکه مدیریت (Management Network)تغییر آدرس IP پیش‌فرض رابط داخلی، تنظیم زیرشبکه (Subnet) جدید، فعال/غیرفعال کردن دسترسی مدیریتی (HTTPS/SSH) و به‌روزرسانی تنظیمات DHCP در این رابط.
ایجاد VLANهای داخلیتعریف VLANهای جدید برای شبکه‌های مختلف مانند Employee Network و Guest Network با VLAN ID و Subnet مجزا. همچنین مشخص کردن اینکه آیا دسترسی مدیریتی از این VLANها مجاز باشد یا خیر.
اتصال به سوئیچ‌های خارجیهنگام استفاده از سوئیچ‌هایی مانند UniFi، پورت‌های متصل به فورتی‌گیت باید Tagged شوند و پورت‌های متصل به کاربران Untagged با VLAN مناسب باشند.
تنظیمات WAN و SD-WANاتصال به چندین لینک اینترنت (WAN) و استفاده از آنها به صورت مستقل یا در یک گروه SD-WAN برای Failover و Load Balancing.
ایجاد اعضای SD-WANافزودن رابط‌های WAN (مانند WAN1 و WAN2) به گروه SD-WAN، حذف خط‌مشی‌های پیش‌فرض وابسته، و پیکربندی Gateway (DHCP یا Static).
تنظیم Performance SLAنظارت بر کیفیت لینک‌های WAN با ارسال پینگ به آدرس‌های مشخص (مانند Cloudflare و Quad9) و تعیین معیارهای وضعیت Down/Inactive.
قوانین SD-WAN (SD-WAN Rules)تعریف قوانین مسیریابی ترافیک بر اساس معیارهایی مانند Best Quality (SLA) یا Interface Preference برای اولویت‌بندی لینک‌ها (مثلاً اولویت WAN1 بر WAN2).

ایجاد خط‌ مشی‌های(Firewall Policies) برای پیکربندی فایروال فورتی‌ گیت

خط‌مشی‌ های فایروال نحوه عبور ترافیک بین رابط‌ ها و بخش‌ های مختلف شبکه را تعیین می‌کنند. اصل در فایروال فورتی‌ گیت، “Implicit Deny” یا رد کردن پیش‌فرض است. به این معنی که هر ترافیکی که صراحتاً در یک خط‌ مشی مجاز نشده باشد، مسدود خواهد شد. این یک اقدام امنیتی بسیار خوب است.

  • ساخت خط‌مشی پایه LAN به WAN: برای ایجاد یک خط‌مشی جدید، به بخش Policy and Objects > Firewall Policy بروید و Create New را انتخاب کنید. نامی برای خط‌مشی انتخاب کنید (مانند LAN to WAN یا Allow Management to WAN).
    • Incoming Interface: رابطی که ترافیک از آن وارد می‌شود (مثلاً رابط LAN یا رابط داخلی/شبکه مدیریت).
    • Outgoing Interface: رابطی که ترافیک به سمت آن هدایت می‌شود (مثلاً رابط WAN یا لینک مجازی SD-WAN).
    • Source: مبدأ ترافیک. می‌توانید آن را روی “all” تنظیم کنید یا بر اساس کاربران یا اشیاء آدرس (برای دستگاه‌ها، ماشین‌ها یا زیرشبکه‌های خاص) محدود کنید.
    • Destination: مقصد ترافیک. می‌توانید آن را روی “all” تنظیم کنید.
    • Service: سرویس یا پورت‌های مورد استفاده. می‌توانید آن را روی “all” تنظیم کنید.
    • NAT: برای ترافیک خروجی از شبکه داخلی (LAN) به سمت اینترنت (WAN)، حتماً باید NAT (Network Address Translation) فعال باشد. اما برای ارتباطات داخلی (LAN به LAN) معمولاً NAT فعال نمی‌شود.
  • خط‌مشی‌های مجزا برای شبکه‌های مختلف: توصیه می‌شود برای شبکه‌های داخلی مختلف (مانند مدیریت، کارکنان، مهمان) خط‌مشی‌های فایروال جداگانه ایجاد کنید. این به شما امکان می‌دهد تا پروفایل‌های امنیتی متفاوتی را برای هر شبکه اعمال کنید. اگر نیاز به ارتباط بین VLANهای داخلی دارید، باید خط‌مشی‌های فایروال جداگانه‌ای برای مجاز کردن این ترافیک اضافه کنید، زیرا به طور پیش‌فرض این ارتباط مسدود است.

استفاده از پروفایل‌های امنیتی (Security Profiles)

یکی از مهم‌ترین ویژگی‌های فورتی‌ گیت که مزیت اصلی آن محسوب می‌شود، وجود مجموعه‌ای از پروفایل‌ های امنیتی (مانند آنتی‌ویروس، فیلتر وب، فیلتر DNS و غیره) است که می‌توان آن‌ها را روی خط‌مشی‌های فایروال اعمال کرد. برای فعال کردن این قابلیت‌ها، باید آن‌ها را در خط‌مشی‌های فایروال مربوطه فعال کنید.

  • فعال‌سازی پروفایل‌ها: در تنظیمات خط‌ مشی فایروال، بخش مربوط به Security Profiles را پیدا کرده و پروفایل‌های مورد نظر مانند Antivirus، Web Filter و DNS Filter را فعال کنید.
  • سفارشی‌ سازی پروفایل‌ها: پروفایل‌های امنیتی بسیار قابل تنظیم هستند. می‌توانید آن‌ها را ویرایش کنید، پروفایل‌های جدید بسازید، موارد خاصی را در لیست سفید (Whitelist) یا لیست سیاه (Blacklist) قرار دهید. فورتی‌ گیت به طور مداوم دسته‌بندی‌ها و امضاهای جدید را اضافه و به‌روزرسانی می‌کند.
    • آنتی‌ویروس: به صورت پیش‌فرض ترافیک بر روی پروتکل‌هایی مانند HTTP, SMTP, POP3, IMAP, FTP و CIFS را برای وجود بدافزار اسکن می‌کند. اقدام پیش‌فرض در صورت شناسایی بدافزار، مسدود کردن ترافیک است. می‌توانید این اقدام را به Allow, Monitor, Block, Warning یا Authenticate تغییر دهید. قابلیت Authenticate به شما امکان می‌دهد با استفاده از سرورهای SSO شخص ثالث (مانند G Suite یا Office 365)، کاربران خاصی را بر اساس سطح دسترسی آن‌ها تأیید هویت کنید.
    • فیلترینگ: می‌توانید سطوح مختلف فیلترینگ را برای کاربردهای مختلف (مانند محدود کردن دسترسی دانش‌آموزان نسبت به معلمان) تعریف کنید.
  • بازرسی SSL (SSL Inspection): یکی از قابلیت‌های قدرتمند فورتی‌گیت، توانایی رمزگشایی ترافیک HTTPS است. از آنجایی که امروزه بیشتر ترافیک وب رمزگذاری شده است (HTTPS)، بدون رمزگشایی SSL، فایروال نمی‌تواند محتوای ترافیک را به طور کامل برای بدافزارها یا محتوای نامناسب اسکن کند. با فعال‌سازی بازرسی SSL، فایروال به عنوان یک واسطه (Man-in-the-Middle) عمل کرده و ترافیک را رمزگشایی، بازرسی و سپس مجدداً رمزگذاری می‌کند. برای جلوگیری از خطاهای امنیتی در مرورگرهای کاربران، لازم است گواهینامه مرجع صدور (CA Certificate) فایروال را روی کامپیوترهای شبکه مستقر کنید. این قابلیت برای محیط‌های سازمانی که نیاز به بازرسی عمیق ترافیک رمزگذاری شده دارند، حیاتی است. راهنمایی‌ ها و اسناد زیادی برای راه‌ اندازی این قابلیت وجود دارد و شرکای فورتی‌گیت می‌توانند در این زمینه کمک کنند. حتی اگر بازرسی SSL را فعال نکنید، قوانین امنیتی همچنان اعمال می‌شوند، اما اثربخشی آن‌ها کمتر خواهد بود.

ریست سخت‌ افزاری (Hard Reset)

در صورت نیاز به بازگرداندن دستگاه به تنظیمات کارخانه، می‌توانید از ریست سخت‌ افزاری استفاده کنید. در مدل FortiGate 60D، دکمه ریست در پشت دستگاه، نزدیک دکمه پاور قرار دارد. می‌توانید با استفاده از یک شیء نوک‌تیز (مانند پین) این دکمه را فشار داده و نگه دارید تا دستگاه ریست شود.

🔒 آیا آماده‌اید امنیت شبکه‌تان را حرفه‌ای‌تر کنید؟

اگر قصد خرید فایروال فورتی‌ گیت را دارید یا به مشاوره برای انتخاب مدل مناسب نیاز دارید، شرکت رسام به عنوان یکی از تأمین‌ کنندگان معتبر تجهیزات شبکه و Fortinet در ایران، آماده ارائه بهترین راهکارهاست.

✅ مشاوره تخصصی رایگان
✅ تامین تجهیزات اورجینال با گارانتی معتبر
✅ پشتیبانی فنی و نصب در محل یا ریموت
✅ قیمت رقابتی همراه با موجودی متنوع مدل‌ها (FortiGate 40F، ۶۰F، ۱۰۰F و…)

📞 همین حالا با کارشناسان ما تماس بگیرید و بهترین مدل فورتی‌ گیت را برای کسب‌ و کار خود انتخاب کنید.

نتیجه‌گیری:

فایروال‌ های فورتی‌ گیت راه‌حل‌های امنیتی جامعی را برای محافظت از شبکه‌های شما در برابر تهدیدات مختلف ارائه می‌دهند. با پیکربندی صحیح رابط‌ها، شبکه‌ها، قوانین SD-WAN و خط‌ مشی‌های فایروال و همچنین فعال‌ سازی و سفارشی‌ سازی پروفایل‌ های امنیتی پیشرفته مانند آنتی‌ویروس، فیلتر وب و بازرسی SSL، می‌توانید سطح امنیت شبکه خود را به میزان قابل توجهی افزایش دهید. به خاطر داشته باشید که اصل “Implicit Deny” به این معنی است که باید صراحتاً ترافیک مورد نیاز را در خط‌ مشی‌ها مجاز کنید.