آموزش پیکربندی قابلیت Geo-IP در Fortigate
قابلیت Geo-IP در Fortigate | در این آموزش قرار است توضیح دهیم چطور دسترسی یک آیپی و یا یک کشور را به سرور های خودمان باز و یا بسته کنیم، این کار زمانی کاربرد دارد که برای مثال متوجه می شوید از سمت یک آدرس و یا یک کشور خاص شما درحال دریافت اتک هستید و میخواهید جلوی آن را بگیرید.
اول از هر چیز باید بدانید که فورتی گیت نیاز دارد تا آپدیت های FortiGuard Distribution Network و Firmware & General Updates را دریافت کند تا لیست کشور های خود را بروزرسانی کند،دیتابیس کشور ها بر اساس تقسیم بندی های آیپی iana database می باشد.
سناریو ما به این صورت است که میخواهیم دسترسی کشور های ایران و آلمان را به سرور خود باز کنیم و برای مثال داریم اتک از سمت کشور های روسیه و چین دریافت می کنیم و میخواهیم از این دو کشور به هیچ عنوان به سرور ما دسترسی نداشته باشند.
برای این کار اول از همه وارد بخش Addresses شده و چهارتا Address برای هر کشور وارد می کنیم.
در زمان ساخت Address شما باید Type را روی Geography قرار دهید و کشور مورد نظر خود را انتخاب کنید، برای هر 4 کشور مورد نظر خودمان این کار را انجام می دهیم.
حالا دوتا Address Group ایجاد می کنیم یکی برای کشور های مجاز و یکی برای کشور های غیرمجاز
در آخر نیز ما نیاز داریم تا پالیسی خود را ویرایش کنیم تا مشخص کنیم این لیست آیپی ها کجا استفاده شود.
در مرحله اول پالیسی که مربوط به این است که به سرور های داخلی ما دسترسی داشته باشد انتخاب می کنیم و در قسمت Source ما گروهی که مجاز هست را انتخاب می کنیم و اکشن را روی ACCEPT قرار می دهیم.
در مرحله دوم ما یک کپی از پالیسی قبلی میگیریم و یک پالیسی جدید اضافه می کنیم و اینبار در قسمت Source کشور های غیرمجاز را انتخاب می کنیم و اکشن را روی DENY قرار می دهیم، با این کار در صورتی که کاربری از کشور مورد نظر درخواستی ارسال کند جلوی آن گرفته می شود.
توجه داشته باشید که در این سناریو حتما لازم نبود ما کشور های مجاز را مشخص کنیم و فقط میتوانستیم از کشور های غیرمجاز استفاده کنیم ولی برای این که هر دو حالت استفاده آن را نمایش بدیم این کار را انجام دادیم.
