يشرح هذا الدليل بناء مجموعة قواعد عاملة على فورتي جيت بالكامل من سطر أوامر FortiOS. سطر الأوامر أسرع وقابل للبرمجة وأقل عرضة للأخطاء بكثير من النقر عبر الواجهة الرسومية في الأعمال المتكررة، وهو الطريقة الموثوقة الوحيدة لتوثيق التهيئة بصيغة شيفرة. تتبع الأوامر أدناه صياغة FortiOS الحديثة (الإصدار 7.x) وهي مؤكَّدة وفق وثائق فورتينت؛ وأسماء الكائنات وعناوين IP وأسماء المنافذ هي أمثلة، فاستبدلها بقيمك الخاصة.
اتصل بجهاز فورتي جيت عبر SSH أو منفذ الكونسول وسجّل الدخول كمسؤول قبل أن تبدأ.
1. إنشاء كائنات العناوين
لا تستخدم عناوين IP الخام مباشرةً داخل السياسات أبداً. عرّف كائنات عناوين مُسمّاة أولاً حتى تُقرأ السياسات بوضوح ويُعاد استخدام الكائنات. هنا ننشئ شبكة LAN داخلية وخادم ويب داخلياً واحداً وكائن FQDN.
config firewall address
edit "LAN_Subnet"
set subnet 192.168.10.0 255.255.255.0
next
edit "WebServer_Internal"
set subnet 192.168.10.50 255.255.255.255
next
edit "Updates_FQDN"
set type fqdn
set fqdn "updates.example.com"
next
endللنطاق بدل الشبكة، استخدم set type iprange مع set start-ip وset end-ip. ولتجميع الكائنات المترابطة استخدم config firewall addrgrp.
2. بناء سياسة خروج بأقل الصلاحيات مع SNAT
تربط سياسة جدار الحماية منفذ/منطقة المصدر بمنفذ/منطقة الوجهة وتقرر الإجراء. تتيح هذه السياسة لشبكة LAN الوصول إلى الإنترنت، وتفعّل ترجمة عنوان المصدر بحيث تُترجَم العناوين الداخلية إلى عنوان منفذ الخروج، وتفعّل التسجيل، وترفق ملفات الأمان.
config firewall policy
edit 0
set name "LAN_to_Internet"
set srcintf "port2"
set dstintf "port1"
set srcaddr "LAN_Subnet"
set dstaddr "all"
set action accept
set schedule "always"
set service "HTTP" "HTTPS" "DNS"
set nat enable
set utm-status enable
set ssl-ssh-profile "certificate-inspection"
set av-profile "default"
set ips-sensor "default"
set application-list "default"
set logtraffic all
next
endملاحظات: تحرير المعرّف 0 يخبر FortiOS بتعيين المعرّف الحر التالي تلقائياً. والأمر set nat enable ينفّذ ترجمة عنوان المصدر باستخدام عنوان منفذ الخروج؛ وللترجمة إلى تجمّع مختلف، عرّف تجمّع عناوين عبر config firewall ippool ثم أضف set ippool enable وset poolname. تجنّب استخدام set srcaddr "all" وset dstaddr "all" مع set service "ALL" على حركة المرور الإنتاجية، فهذه هي القاعدة الفضفاضة التي تُبطل عمل جدار الحماية.
3. نشر خادم داخلي عبر عنوان IP افتراضي (DNAT)
لجعل خادم ويب داخلي قابلاً للوصول من الإنترنت، يستخدم FortiOS عنوان IP افتراضياً (VIP) لتنفيذ ترجمة عنوان الوجهة. يربط الـ VIP عنواناً عاماً/خارجياً (ومنفذاً اختيارياً) بالخادم الداخلي، ثم تسمح السياسة بمرور الحركة.
config firewall vip
edit "VIP_WebServer"
set extip 203.0.113.10
set mappedip "192.168.10.50"
set extintf "port1"
set portforward enable
set protocol tcp
set extport 443
set mappedport 443
next
endالآن اسمح بحركة الدخول إلى ذلك الـ VIP. يكون عنوان الوجهة في السياسة هو كائن الـ VIP، ولا تُفعّل ترجمة العناوين على سياسة الدخول هذه (فالـ VIP يتولى ترجمة الوجهة مسبقاً):
config firewall policy
edit 0
set name "Internet_to_WebServer"
set srcintf "port1"
set dstintf "port2"
set srcaddr "all"
set dstaddr "VIP_WebServer"
set action accept
set schedule "always"
set service "HTTPS"
set logtraffic all
next
end4. اختياري: التحويل إلى Central NAT
افتراضياً يستخدم FortiOS ترجمة العناوين المعتمدة على السياسة (الأمر set nat enable الموضّح أعلاه). تفضّل البيئات الأكبر أو الأكثر تعقيداً أحياناً Central NAT الذي ينقل ترجمة المصدر والوجهة إلى جداول مخصَّصة ومرتّبة مستقلة عن سياسات الأمان. فعّله عالمياً أولاً:
config system settings
set central-nat enable
endثم عرّف سلوك ترجمة المصدر في جدول Central SNAT:
config firewall central-snat-map
edit 1
set orig-addr "LAN_Subnet"
set srcintf "port2"
set dst-addr "all"
set dstintf "port1"
set nat enable
next
endعند تفعيل Central NAT تستمر عناوين الـ VIP في تولّي ترجمة الوجهة لكنها لم تعد مرفقة داخل سياسة جدار الحماية. اختر نموذجاً واحداً والتزم به، فخلط النماذج الذهنية هو ما يولّد أخطاء ترجمة العناوين.
5. إضافة نفق IPsec بين موقعين (IKEv2)
اربط فرعاً بالمقر الرئيسي عبر نفق IPsec قائم على المسار. تحدّد المرحلة الأولى النظير والتشفير، وتحدّد المرحلة الثانية الشبكات المحمية.
config vpn ipsec phase1-interface
edit "VPN_to_Branch"
set interface "port1"
set ike-version 2
set peertype any
set proposal aes256-sha256
set dhgrp 14
set remote-gw 198.51.100.20
set psksecret <مفتاح-مشترك-قوي>
next
end
config vpn ipsec phase2-interface
edit "VPN_to_Branch_P2"
set phase1name "VPN_to_Branch"
set proposal aes256-sha256
set dhgrp 14
set src-subnet 192.168.10.0 255.255.255.0
set dst-subnet 192.168.20.0 255.255.255.0
next
endأضف مساراً ثابتاً يوجّه الشبكة البعيدة إلى واجهة النفق، ثم سياسة للسماح بمرور الحركة في الاتجاهين:
config router static
edit 0
set dst 192.168.20.0 255.255.255.0
set device "VPN_to_Branch"
next
endتأكد من أن الطرفين يستخدمان مقترحات المرحلة الأولى/الثانية ومجموعات Diffie-Hellman المتطابقة، فاختلاف المقترحات هو السبب الأول للأنفاق التي لا تعمل أبداً.
6. التحقق واستكشاف الأخطاء
بعد تطبيق التغييرات، تحقّق قبل أن تثق. هذه الأوامر التشخيصية هي جوهر استكشاف أخطاء فورتي جيت:
# تتبّع كيفية معالجة الحزمة بالضبط (مطابقة السياسة، الترجمة، سبب الإسقاط)
diagnose debug flow filter addr 192.168.10.50
diagnose debug flow show function-name enable
diagnose debug enable
diagnose debug flow trace start 10
# مراقبة الحركة الحية على واجهة (المستوى 4 يعرض الترويسات والواجهة)
diagnose sniffer packet port1 'host 203.0.113.10' 4
# معرفة السياسة التي طابقتها الجلسة
diagnose firewall iprope lookup <src-ip> <src-port> <dst-ip> <dst-port> <protocol> <interface> <pol_type>
# حالة نفق IPsec
diagnose vpn tunnel list
diagnose vpn ike gateway list
# أوقف التصحيح عند الانتهاء
diagnose debug disable
diagnose debug resetمُخرَج diagnose debug flow هو الأداة الأكثر قيمة على الإطلاق: فهو يخبرك بدقة أي سياسة طابقتها الحزمة (أو أنها لم تطابق أياً منها)، وما إذا طُبِّقت الترجمة، والسبب الدقيق لأي إسقاط، ما يُلغي التخمين.
هل تحتاج إلى مساعدة؟
تهيئة فورتي جيت بشكل صحيح عبر مواقع متعددة مع التوافر العالي وتقنية SD-WAN والإدارة المركزية هي حيث تتحوّل الأخطاء الصغيرة إلى انقطاعات. تقوم سكايلاين بـتركيب وتهيئة ودعم أجهزة فورتي جيت من فورتينت في جميع أنحاء السعودية. تصفّح فئة جدران الحماية وأمن الشبكات، أو اطّلع على السوق بالكامل، أو تواصل معنا / اتصل على +966 50 993 9334.
Comments
0 total · 0 threads