FortinetFortinet NSE 4

آموزش نصب و راه اندازی فایروال FortiGate بر روی EVE-NG

FortiGate - Next Generation Firewall (NGFW)

FortiGate | در این آموزش و آموزش های بعدی می خواهیم مرحله به مرحله با هم فایروال FortiGate نصب و کانفیگ کنیم، تمام آموزش ها بر روی EVE-NG پیاده سازی می شود پس پیشنهاد میکنم حتما EVE-NG را از اینجا دانلود نمایید.

دستگاه FortiGate فورتی گیت چیست؟

UTM شرکت فورتی نت  Fortinet در سال 2002 به دنیای امنیت معرفی گردید، شرکت فورتی نت نام این تجهیز امنیتی منحصر به فرد را فورتی گیت FortiGate نهاد که در واقع می توان از آن به عنوان سیستم یکپارچه مدیریت تهدیدات استفاده نمود. در گذشته تجهیزات امنیتی که در لایه های مختلف شبکه استفاده می گردید به صورت Standalone وجود داشت و باعث این می شد که نظارت و بررسی تجهیزات علاوه بر هزینه بسیار بالا همواره با مشکلاتی همچون عدم مدیریت صحیح، نداشتن نظارت کافی بر عملکرد تجهیزات، سازمان ها را با مخاطراتی مواجه نمایند، بدین سبب با استفاده از تجهیز امنیتی FortiGate می توان از مدیریت یکپارچه همراه با نظارت بر فعالیت شبکه را تحت کنترل قرار دهند.

از ویژگی های منحصر به فرد تجهیزات شرکت فورتی نت Fortinet استفاده از تراشه سخت افزاری ASIC می باشد و با استفاده از سیستم عامل انحصاری فورتی نت به نام FortiOS توانسته است تجهیزات بسیار قدرتمند همراه با کارایی مثال زدنی را به ارمغان آورد.

قابلیت های UTM فورتیگیت FortiGate:

  • Firewall, VPN, and Traffic Shaping
  • Intrusion Prevention (IPS)
  • Antivirus/Antispyware/Antimalware
  • Integrated Wireless Controller
  • Antispam
  • VoIP Support
  • Layer 2/3 routing
  • Application Control
  • IPv6 Support
  • Web Filtering
  • WAN Optimization & Web Caching

قابلیت آنتی ویروس فورتی گیت FortiGate

آنتی ویروس فایروال فورتی گیت FortiGate قابلیت شناسایی موارد ذیل را دارد:

  • Virus
  • Worm
  • Spyware
  • FortiGate  قادر است بصورت Real time ترافیک های ورودی و خروجی را اسکن نماید.
  • کاهش کدهای مخربی که توسط کلاینت ها ایجاد می گردد از طریق آنتی ویروس فورتی گیت امکان پذیر است.
  • عملکرد شناسایی ویروس ها به وسیله فورتی گیت بر اساس ساختار Signiature Base می باشد واز طریق FortiGourd به روزرسانی می شود.
  • فورتی گیت باتوجه به استفاده از تراشه سخت افزاری FortiAsic عملکرد قابل توجهی در شناسایی بلادرنگ ویروس ها انجام می دهد.
ویژگی DLP فایروال فورتی گیت FortiGate
ویژگی DLP فایروال فورتی گیت FortiGate

ویژگی DLP فایروال فورتی گیت FortiGate

قابلیت های DLP)Data Leak Prevention) فورتی گیت FortiGate ، ویژگی مثال زدنی DLP فورتی گیت باعث جلوگیری از نشر اطلاعات مهم و حساس شما می گردد. با انجام تنظیمات DLP قادر خواهید بود از انتقال فایل های مهم سازمان توسط کاربران جلوگیری نمایید، این فایل ها می تواند دارای فرمت های رایج باشند از جمله PDF ،عکس هایی دارای پسوندهای مختلف و…

این امکان وجود دارد براساس تعریف های مدنظر و براساس سیاست های سازمان بسته های خروجی با پالیسی های انجام شده بررسی گردد و پالیسی برروی ترافیک عبوری میتواند سه حالت Block ،Log only، Archive باشد. به عنوان مثال تمامی موارد امنیتی کلاینت های سازمان با پالیسی های مختلف رعایت گردیده است و تنها راه انتقال اطلاعات ازطریق سرویس ایمیل می باشد و بخشنامه مهم سازمان شما به هیج وجه نباید در اختیار دیگران باشد این فایل دارای فرمت PDF وحجم 600K می باشد، حال با فعال سازی DLP بدین صورت که اگر کاربری فایلی را که بیش از 500K حجم داشت و قصد انتقال آن فایل را داشت جلوگیری نموده و گزارش کاربر مورد نظر را براساس IP مشخص می نماید.

تجهیزات فورتی گیت Fortigate می تواند امنیت پیشرفته ای را دربرابر تهدیدات و حملات شبکه ای و مخاطراتی که در استفاده از برنامه های کاربردی رخ میدهد به نحو بسیارمطلوبی انجام دهد. از دیگرنکات حائز اهمیت فورتی گیت بروزرسانی مستقیم از شرکت FortiGuard می باشد که همواره فورتی گیت را در مقابل حملات و تهدیدات جدید آماده می نماید.

قابلیت ها و ویژگی های منحصر به فرد فورتی گیت سبب شده است در چند سال اخیر به عنوان محبوب ترین UTM طبق گزارشات مجله معتبر گارتنر معرفی گردد.

Fortinet is a Leader in the 2021 Gartner® Magic Quadrant™ for Network Firewalls
Fortinet is a Leader in the 2021 Gartner® Magic Quadrant™ for Network Firewalls

دسترس پذیری و  افزونگی به وسیله فورتی

امروزه بسیاری از کسب و کارها که به نوعی سرویسی را ارائه می دهند نیازمند دارا بودن شرایط پایدار در ارائه سرویس مورد نظر می باشند، حساسیت برقراری سرویس هایی که ارائه میگردد به قدری بالا می باشد که حتی در مواردی که دچار اختلال گردد علاوه بر خسارات مالی می تواند خسارات جبران ناپذیر جانی را در پی داشته باشد.

هدف از High Availability یا HA بدین جهت است که همواره جریان ترافیک شبکه بصورت پایدار برقرار باشد و در صورت به وجود آمدن هرنوع مشکلی برای تجهیزات همچنان ارتباط برقرار باشد و شبکه مختل نگردد. تجهیزاتی  که در شبکه  نقش امنیتی را ایفا میکنند می بایست  از قابلیت HA  پشتیبانی نمایند تا در صورت به وجود آمدن هرگونه اختلالی ،ترافیک شبکه همچنان بدون هیچ گونه موردی و با رعایت موارد امنیتی به کار خود ادامه دهد. تجهیزات فورتی نت Fortinet هم قابلیت HA (دسترس پذیری) را به دو صورت Active-Active  و Active-Passive دارا می باشند.

راهنمای دوره ها و اخذ مدارک بین المللی Fortinet

NSE Certification Levels
NSE Certification Levels

آموزش نصب و راه اندازی فایروال FortiGate بر روی EVE-NG

همانطور که گفتیم قرار آموزش ها بر روی EVE-NG پیاده بشه پس بعد این که ماشین EVE خود را دانلود و فعال کردید میریم که FortiGate مورد نیاز خود را روی آن نصب نماییم، در اینجا نسخه Fortinet FGT v6.4.1 را دانلود نمایید.

حالا به کمک نرم افزار WinSCP به EVE خود مصل شده و فلدر extract شده Fortinet FGT v6.4.1 را در مسیر زیر قرار دهید.

/opt/unetlab/addons/qemu/
سپس وارد ماشین eve شده و دستور زیر را بنویسید:
/opt/unetlab/wrappers/unl_wrapper -a fixpermissions
سناریوی ما در EVE-NG به صورت زیر می باشد که قرار هست به مرور در آموزش های آینده تکمیلتر بشه
آموزش FortiGate
آموزش FortiGate
در اینجام ما در حال حاضر سه اینترفیس داریم که یکی به اینترنت وصل هست ، یکی به سیستم کلاینت با رنج 192.168.1.0/24 و دیگری به سرور DMZ ما با رنج 172.31.0.0/24 ، در اولین مرحله باید تنظیمات اولیه Fortinet را انجام دهیم.

تنظیمات اولیه Fortinet

وقتی که برای اولین بار به Fortinet کانکت بشید با یوزر پیشورض admin و بدون پسورد می توانید لاگین کنید که بعد از آن از شما می خواهد که یک پسورد وارد کنید.

01

پس از ورود باید یک IP برای دستگاه مشخص کنیم تا بتونیم به وحیط گرافیکی آن نیز متصل شویم، برای این که بتونیم port های دستگاه را ببینیم از دستور زیر استفاده میکنیم.

show system interface
که خروجی آن به این صورت می باشد:
FD-XXX # show system interface 
config system interface
    edit "port1"
    end
در این سناریو ما به port4 میخوایم IP دستی بدهیم پس به صورت زیر عمل می کنیم، و در آخر با دستور set allowaccess اجازه استفاده از http https ping ssh را می دهیم و سپس با دستور end از تنظیمات خارج شده و ذخیره می کنیم.
config system interface
  edit port4
  set ip 192.168.160.120 255.255.255.0
  set allowaccess http https ping ssh
  end

نکته: در صورتی که شما یک Fortigate فیزیکی دارید Default IP address آن به صورت پیشفرض 192.168.1.99 با Default Username و Password به صورت admin و no password می باشد.

Fortigate 30E
Fortigate 30E

در این جا تنظیمات VM ما روی حالت NAT با مشخصات زیر و gateway 192.168.160.2/24 می باشد.

vm

حالا ما میتوانیم با IP 192.168.160.120 وارد پنل Fortinet شویم، برای شروع وارد Settings شده و Host Name و تنظیمات ساعت را انجام می دهیم، در این قسمت در صورت نیاز میتوانید پورت های ورود به سیستم و مواردی مصل Idle Time را نیز تغییر دهید.


02

آموزش FortiGate
آموزش FortiGate

حالا از قسمت Network وارد Interface می شویم تا تنظیمات اینترفیس ها را بر اساس سنارویی که داریم انجام دهیم.

آموزش FortiGate
آموزش FortiGate

تمام تنظیمات را بر اساس عکس های زیر بر روی هر اینترفیس انجام می دهیم:

آموزش FortiGate
آموزش FortiGate
آموزش FortiGate
آموزش FortiGate
آموزش FortiGate
آموزش FortiGate

حالا برای این که به Forti خود اینترنت بدهیم یک Static Route اضافه می کنیم با Gateway که در بالا بر روی VM خود ایجاد کرده بودیم 192.168.160.2

08

اگه همه چیز را درست انجام داده باشیم به کمک CLI Console که داخل پنل وجود داره باید امکان ping به خارج از شبکه را داشته باشیم.

09

حالا برای این که کلاینت ما بتونه از DHCP ای پی بگیره وارد port1 شده و تنظیمات آن را انجام می دهیم.

آموزش FortiGate
آموزش FortiGate

در صورتی که بخواهید خود Fortinet در نقش DHCP Server قرار داشته باشد تنظیمات و رنج IP مورد نظر خود را به صورت زیر وارد می کنیم همچنین تنظیمات DNS Server را نیز وارد می کنیم.

آموزش FortiGate
آموزش FortiGate

فورتی گت می تواند هم در Mode سرور باشد و در صورت داشتم DHCP سرور در شبکه خود، در مود Relay، همچین می توانید تنظیمات NTP سرور را در بخش Advance وارد نمایید.

آموزش FortiGate
آموزش FortiGate

اگه همه چیز درست انجام شده باشد، کلاینت ما IP را از DHCP دریافت می کند.

آموزش FortiGate
آموزش FortiGate

همچنین از بخش Add from DHCP Client میتوانید کلاینت هایی که IP گرفته اند را مشاهده کنید.

آموزش FortiGate

آموزش FortiGate

در حال حاضر ما فقط IP دادیم به کلاینت و همانطور که در تصویر زیر مشخص هست کلاینت به اینترنت دسترسی ندارد، برای این که دسترسی به اینترنت کلاینت را نیز فعال کنیم باید برای آن یک پالیسی بنویسیم.

آموزش FortiGate
آموزش FortiGate

حالا وارد بخش Policy & Object شده و سپس وارد Firewall Policy می شویم، همانطور که مشخص است ما یک پالیسی داریم که غیر قابل حذف می باشد که در حالت پیشفرض همه چیز را Deny می کند. توجه داشته باشید که در فایروال ها ترتیب رول هایی که نوشته می شود مهم است برای همین همیشه اخرین رول همه چیز را Deny می کند تا زمانی که شما اجاره عبور پکتی را ندهید جلوی تمام پکت ها را می گیرد.

Implicit Deny
Implicit Deny

یک New Policy ایجاد می کنیم کهتمام ترافیک ما از port1 اجازه خروج از port4 را داشته باشد، همچین اجازه NAT را نیز به این پالیسی می دهیم.

آموزش FortiGate
آموزش FortiGate

برای این که دقیق تر مشخص کنیم چه گروه یا سیستمی شامل این پالیسی می شود از قسمت Source کلاین خودمان را اضافه (Create) می کنیم.

آموزش FortiGate
آموزش FortiGate

آدرس کلاینت خود را می دهیم:

آموزش FortiGate

آموزش FortiGate
آموزش FortiGate

آموزش FortiGate

در صورت نیاز به ذخیره تمام لاگ ها و فعالیت ها Log Allowed Traffic را روی All Sessions قرار می دهیم.

آموزش FortiGate

از قسمت Servise گزینه ALL را انتخاب می کنیم تا به تمام پروتکل ها اجازه عبور را بدهیم.

آموزش FortiGate

حالا اگه همه چیز درست انجام شده باشد کلاینت ما نیز باید به اینترنت متصل شده باشد.

آموزش FortiGate
آموزش FortiGate

همچنین از بخش Log & Report و بخش Forward Traffic میتوانید ترافیک زنده شبکه خود را ببینید.

آموزش FortiGate

حالا وارد محیط سرور DMZ خود شده و IP های مورد نظر را به صورت دستی برای آن ست می کنیم:

26

در صورتی که همه چی درست باشد سرور DMZ ما باید بتواند Gateway خود را با آدرس 172.31.0.1 ببیند:

27

حالا یک پالیسی ایجاد می کنیم که کلاینت ما اجازه ping و rdp به سرور DMZ را داشته باشد، برای این کار مثل قبل اول مشخصات سرور را وارد می کنیم.

28

سپس مثل تصویر های زیر اجازه استفاده از RDP و ICMP برای ping را می دهیم.

29 30

اگه همه چی درست باشد از کلاینت باید بتوانیم آدرس سرور یعنی 172.31.0.10 را ping داشته باشیم.

31

Publish سرور DMZ با استفاده از Virtual IP (VIP) port forwarding

آموزش FortiGate
آموزش FortiGate

با کمک Virtual IP (VIP) port forwarding شما میتوانید اجازه Publish شدن یک سرور را در خارج از شبکه بدید، در این سناریو ما میخوایم اگر از بیرون شبکه کسی آدرس 192.168.160.120 را با پورت 3389 RDP زد بتونه به سرور ما یعنی 172.31.0.10 ریموت بزنه، برای این کار از قسمت firewall policy وارد Virtual IP شده و یک New Virtual IP جدید ایجاد می کنیم.

New Virtual IP
New Virtual IP

اسم آن را Publish-srv قرار داده ایم حالا بر اساس سناریو ما External IP address/range ما یا همان آیپی Public ما که در این سناریو از 192.168.160.120 استفاده کرده ایم را وارد می کنیم و در

همچنین در قسمت Port Forwarding مشخص میکنیم که پورت 3389 External service port به پورت 3389 Map to port ما

Port Forwarding
Port Forwarding

حالا Virtual IP ما ایجاد شده است ولی برای این که بتونید از آن استفاده کنید باید firewall policy آن را نیز ایجاد کنید، همانطور که در عکس زیر مشخص است ما یک نام به اسم Publish وارد کردیم و Incoming Interface را بر اساس سناریو port4 قرار دادیم و Outgoing Interface را port2 وارد کردیم.

در قسمت Destination نیز همان Publish-srv که در مرحله قبل ایجاد کردیم را اضافه میکنیم و در Service نیز RDP را add میکنیم با انتخاب Action ACCEPT اجازه را به این policy می دهیم، چون به NAT نیاز نداریم آن را خاموش کرده و در صورتی که میخواید تمام موارد Log گرفته شود از Log Allowed Traffic گزینه All Sessions را انتخاب میکنیم.

firewall policy
firewall policy

کار تمام است و شما الان باید بتونید از خارج شبکه به کمک RDP با ادرس 192.168.160.120 به سرور

MSTSC
MSTSC
Shares:

1 Comment

  • mostafa
    mostafa
    2022-04-29 at 19:05

    سلام fortigate man dar eve turn on nemishe albate faghat forti nist balke hame device ha hastan bejooz switch and router and virtual machine

    Reply

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *