44 0 40MB
أساسيات فورتي جيت
إعداد /حممد املرفدي
أساسيات فورتي جيت
الفهرس املقدمة 1 .............................................................................................................................. كلمة شكر وعرفان 2 .............................................................................................................. مقدمة عن فورتي جيت 3 ....................................................................................................... طريقة تنزيل و ضبط اعدادات 4 ...................................................................... FortiGate vm ضبط اعدادات كرت الشبكة على جهازالكالينت(12 .......................................................)Client طريقة عمل resetلعدد األيام ( )14لل ـ18 ........................................................................... VM مشكله ظهور بان االيسنز( )Licenseقد انتهى 20 ....................................................................... طريقة عمل باك اب لإلعدادات التابعه لل ـ VMوكيفيه استعادتها 20 ........................................... شرح مكونات وواجهات الفورتي جيت 23 .................................................................................
طريقة تغييرباسورد األدمن ()adminبواسطة 24 ............................................................... CLI إيقاف او اعاده التشغيل او تغييرالباسورد او للخروج من الفورتي ويب عبر24 .......................... GUI شرح ال25 ..................................................................................................... DASHBOARD
شرح القوائم 29 .................................................................................................................... شرح استخدامات ومعلومات ال29 ............................................................................. Widget طريقة توصيل االنترنت لجهازالفورتي جيت 39 ......................................................................... متى احتاج الى عمل ترقيه –تحديث -للـ Firmwareالتابع لجهازالفورتي 44 ................................. طرق ترقيه النظام 44 ............................................................................. Upgrade firmware عمليه ال ـ 45 ....................................................................................................... downgrade 45 .................................................................................. Administration types &profiles طريقة انشاء يوزرجديد بواسطة 47 ................................................................................. CLI إعداد /حممد املرفدي
أساسيات فورتي جيت
لحذف يوزربواسطة 49 ................................................................................................... CLI ما هو FortiGuard؟ 52 ....................................................................................................... 53 .......................................................... SD-WAN=WAN Link Load Balancing SD-WAN طريقة انشاء SD-WAN Ruleجديده 61 ................................................................................ جعل ال ـ https trafficيطلع عبرال ـ 62 .......................................................................... wan 2
جعل ال ـ http trafficيطلع عبرال ـ 63 ............................................................................ wan1 انشاء SLAباسم INTERNETحيث تقوم بفحص الخط األفضل 64 ......................................... طريقة اظهارميزه جديده مثال تريد اظهارالخاصية(66 ............................................ )features
طريقة انشاء Rule policyجديده 67 .................................................................................... شرح 70 .............................................................................................................. Schedule طريقة انشاء 70 ................................................................................................ schedule تحديد أيام محدده ووقت محدد مره واحده فقط وينتهي 73 .................................................... أنواع ال ـ actionsفي ال ـ 74 ............................................................................................ policy 75 .............................................................................................................. Traffic shapers 76 ............................................................................................ APPLICATION CONTROL 82 ...................................................................................................................... Web Filter ما هو ال ـ82 .......................................................................................................... fortiguard ماهي فكره ال ـ 82 .................................................................................................. Fortiguard طريقة انشاء 83 ......................................................................................... web filter profile طريقة اغالق موقع معين باإلضافة الى sub domainبواسطة ال 89 .......................... web filter
بعض التمارين واألمثلة حول ال ـ web filterواستخدام 90 ................................ static URL filter إعداد /حممد املرفدي
أساسيات فورتي جيت
98 ............………………………………………………………………… Web category based filtering 101 .......................................................................................... Web category usage quota 105 ........................................................................ Web Category Based Filter Overriding 107 .................................................................................................... Web Rating Override 109 ................................................................................................... Web Profile overrides 110 ....................................................................................................................... ADDRESS 112 ........................................................................................................... Fortinet solution 113 .......................................................................................................................... Firewall
114 ............................................................................................... تسلسل واشكال الفايرووول
116 ................................................................ Bandwidth ,Throughput ,Concurrent Sessions 118 ..................................................................................................................................FortiGate Series 119 .............................................................................................. .......... موديالت فورتي جيت
119 ......................................................................................Operating system OS key features 5 2 120 ............................................................................................................................Home lab Design 121 ..................................................................................FortiGate basics Registering FortiGate
121................................................................ لجهاز الفورتي جيتRegistration طريقة عمل 122 ............................................................................................................ featuresماهي ال 126 ................................................................................... في الفورتي جيتRevisions ما هو 129 .............................................................................NTP server(Network time protocol) 131 ............................................................................................................. تصميم الشبكة 133 ................................................................................................. Advice administration حممد املرفدي/ إعداد
أساسيات فورتي جيت
136 ......................................... طريقة رفع مستوى األمان عند الوصول الى جهاز الفورتي جيت 144 .................................................................................................... Trusted hosts ما هو
147 ..................................................................................................... Interface ip address 153 .............................................................Static route(default gateway)(static gateway) 156 ................................................................................................... Password recovery 158 ............................................................MAINTAINER MODE ل ـDISABLE طريقة عمل
159 ....................................................................................................... Password policy 162 .................................................................... على الفورتيDHCP server كيف تفعيل
165 ............................................) التي يتم تطبيقها على اجهزه الكالينتCmd(بعض األوامر 168 ................................................. dhcp server في ال ـleased duration طريقة تعديل ال ـ 172 .................…….………………………………………………….DNS(domain name service)
173 .................................................................................................................FortiGuard Concept 175 ...................................................................Fortiguard distribution network (FDN) 178 .............................................................................................................................FortiExplorer 179....................................................................................... Fortigate firewall policy 180 .............................................................) األساسية )الضروريةobjects ماهي انواع ال ـ 182 ............................................................................................... طريقة انشاء البوليس ي
185 ......................................................................................................Firewall objects 193.............................................................................. address list شرح بعض اعمده الـ 201 ............................................................................................ ؟servicesماهي أنواع ال ـ حممد املرفدي/ إعداد
أساسيات فورتي جيت
206 ........................................................................................ service group ما هو ال ـ 208 .......................................................................................................... ...Schedule 208 ............................................................................... جديدschedule طريقة انشاء 214 ............................................................................. schedule group طريقة انشاء
219 ........................................................................................................ Policy order 224 ............................................................................................. Managing devices
225 ..................................................................كيف يقوم فورتي جيت بأداره األجهزة ؟ 232 ................................................................................. Access control list (ACL) 233 ..................................................................................... Mac reservation ما هو 243 ........................................................................................................ FortiClient 245 ................................................................ طريقة تنزيل الفورتي كالينت على االجهزه 246 ................................................................................................... Authentication 247 .......................... (التحقق من الهوية) في الفورتي جيتauthentication ماهي طرق ال ـ
248 ..........................................................................................Local authentication 256 .............................................................................. Max invalid authentication 257 ..................................................................................... Authentication timeout 261 .................................................Restricting number of concurrent user logons 262 ................................................................................................Managing guests 273 ............................................................................FSSO(fortinet single sign on) 279 .........................................................Poll Active Directory server الطريقة األولى 284 ................................. AD بين الفورتي جيت وال ـintegeration الطريقة الثانية لعمل الـ حممد املرفدي/ إعداد
أساسيات فورتي جيت
الطريقة الثانية(خياراخر) لعمل integrationعبراختيارال ـ302 ............Collector Agent
303 ............................................................................................................. Antivirus كيف تفرق بين قواعد بيانات الفايروسات على جهازالفورتي جيت ؟304 ........................... كيف بيتم عمليه التحديث لل Antivirus DB؟304 .........................................................
طريقة تفعيل ال ـ antivirusعلى الفورتي جيت وعمل حمايه للشبكة من أي تهديدات 309 ... طريقة انشاء بروفايل جديد ل ـ309 .................................................................. antivirus طريقة اختيارالبروفايل مخصص في البوليس ي 311 ......................................................... 312 ................................................................................................. Antivirus Mode متى يتم استخدام flow baseومتى يتم استخدام proxy base؟314 ............................... ماهي طريقة عمل مكافح الفايروسات في الفورتي314 ......................................................
316 ........................................................................Antivirus Profile configuration 317 ..................................................................................................... Web filtering أسباب التحكم في 317 ........................................................................ Web filtering 318 .......................................................................................... Web filtering mode ماهي الخيارات املتاحة على الفورتي جيت بخصوص ال ـ319 .......................web filtering ماهي عالقه فورتي جاربالفورتي جيت 320 ...................................................................
كيفيه التعامل مع ال ـ fortiguard categoryفي ال ـ321 ................................... web filter أنواع ال ـ 332 ................................................................................................... action 348 ............................................................................................ Web URL filtering 357 ........................................................................................... Web content filter
362 .....................................................................................Application controller إعداد /حممد املرفدي
أساسيات فورتي جيت
363 ............................................................................ Application control action 363 ...................................................................................... Traffic shapeما هو ال ـ
370 ...................................... Application controlطريقة التحكم في التطبيقات عبرال ـ 371 ................. category )التي بتكون مندرجه تحت ال ـsignatures(ملعرفة ماهي البرامج 373 ....................................................................Application and Filter Overrides 379 ...................................................................... )لجهازمعينban(طريقة عمل حظر
383 ........................................................................................................ Email filter 387 ....ماهي الطرق التي يستخدمها الفورتي جيت لكي يساعدك الكتشاف االسبام ايميل ؟
393 .................................................................................. Logging and monitoring 395 ........................................................................ VPN(Virtual private Network) 396 ....................................... )VPN Tunnel designs( او يسمىVPNاشكال االتصال ال ـ 398 ..................................................................................... VPN أنواع بروتوكوالت ال ـ
398 ............................................................................................... VPN Encryption 400 ................................................................. IPSec Client/serverالتطبيق العملي ل ـ 413 ............................................................................................. IPSec SITE to SITE 416 ...................................................................................................... vpn over SSL 435 ......................................................................VPN SITE TO SITE تمرين اخرحول 440 .................................................... VPN SITE TO SITE DYNAMIC DNS(DDNS) 442 ............................................................................................. Network address 443 ................................................................................................... Traffic shaper 445 .......................................................................................... traffic shaperانوع ال ـ حممد املرفدي/ إعداد
أساسيات فورتي جيت
445 .................................................................. Traffic shaping policy طريقة انشاء 447 ........................................................................................................... Virtual IP
448 ....................................................................................... Virtual ip طريقة انشاء 450 ..................................................................................................... Virtual group 451 ..................... بداخلهاvirtual ip’s 4 بحيث أقوم بضم ال ـvirtual group طريقة انشاء 454 ........................................................................ IPV4 DOS policy configuration 457 ..................................................................................................... DNS Filtering
459 ................................................................. web filter And dns filterالفرق بين ال 460 ....................................................................................................................................... الخاتمة
حممد املرفدي/ إعداد
أساسيات فورتي جيت
املقدمــــــــة
بسم هللا الرحمن الرحيم ونصلى ونسلم على أشرف املرسلين سيدنا محمد صلى هللا عليه وسلم رسولنا الكريم الذي علم األمة ، سوف نعرض لكم موضوع من أهم املوضوعات التي تواجهنا كمهندس ي تقنيه معلومات ، وهذا املوضوع مهما تحدثت وكتبت لن اوفيه حقه ،ولكن سنحاول بقدر اإلمكان ان نعرض لكم أهم الجوانب واملعلومات الخاصة باملوضوع " "FortiGate UTM firewallوندعو هللا ان يوفقنا لهذا ..
الصفحة 1من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كلمه شكر وعرفان وحب وعرفان إلى من بالحب غمروني وبجميل السجايا أدبوني إلى أبي ّ رسالة شكر ّ وأمي إلى من كان حبهما يجري في عروق دمي إلى من كانت ابتسامتي تزيل شقاهم وسعادتي ترسم االبتسامة على شفاهم إلى من أحببتهم حتى سارحبهم في الوجدان إلى من أمرني ربي بطاعتهم واإلحسان لهم أبي الحب عجزت عن وصف ّ ّ ّ حبي الكبيرلعظمتكم حروف العشق عجزت عن نظم أجمل وأمي كلمات سر ّ السعادة في قلبي أبي ّ القصائد واأللحان فيكم أنتم قلبي ،أنتم فرحي أنتم ّ وأمي حفظكم هللا ّ ُ وأبقاكم لناظري ّأمي أبي أنتم قلبي النابض حبكم يسري في شراييني كيف ال وأنتم أول من نظرت إليهما أول أصوات سمعتها أول اسمين نطقت بها شفتاي ّ حبكما في قلبي كملء األرض بل يطاول ّ عنان ّ السماء إلى شمعة دربي وبلسم جروحي إلى من سهروا الليالي من أجلي ،من أجل راحتي ورسم ّ ّ ُ عشت ّ حقهما إلى من أوصاني ّربي بطاعتهما دون الدهركله لن أوفي البسمة على شفاتي إلى من إذا ً ّ معصيته إلى سبب نجاحي وسعادتي في ّ الدنيا واآلخرة إلى جنتي شكرا ّأمي الحنونة أبي الغالي حفظكم هللا وعافاكم .. شكرا لكل افراد اسرتي ... واشكر كل أصدقائي وكل من وقفوا معي حتى بكلمه تشجيع ... اسال هللا ان يحفظ اليمن كافه والحديدة خاصه وان يعم األمن واألمان في كل ارجاء اليمن .
الصفحة 2من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مقدمة عن فورتي جيت FortiGate الفورتي جيت هو التطور الطبيعي للفايرول نظرا النتشارالفيروسات وامللفات الخبيثة فأصبحت الجدران النارية غيركافيه لتامين الشبكات ومن هنا ظهرمصطلح ال ـ UTM( Unified Threat )Management تعني إدارة التهديدات املجمعة او املوحدة بمعني توفيراكثرمن حمايه للشبكة. حيث يقدم مجموعه واسعه من الوظائف االمنية في جهازواحد يدعى FortiGateويعمل هذا املنتج كأحد حلول UTMاملعروفة وهي ان يعمل ك ـ WAN acceleration , firewall , vpn , ips , Web filtering , antivirus , antispam ,والعديد من الوظائف التي ال غنى عنها لبناء شبكة عمالقة مؤمنة ،،هناك العديد من املوديالت الصغيرة والكبيرة لتغطية جميع االحتياجات.
الصفحة 3من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ طريقة تنزيل وضبط اعدادات الـــ: VM FortiGate
الصفحة 4من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 5من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بالصورة ادناه بظهور كروت شبكة افتراضيه (وهميه)تابعه ل ـvmware work station
الصفحة 6من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نقوم باختيارمكان fortigate vmوالتي باسم FortiGate-VM64.ovf
الصفحة 7من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نكتب اسم لل ـ vmمثال FortiGate-VM64 FORTIGATE-MARFADI ونحدد مكان حفظ نسخه ال ـ vmثم نقوم بعمل استيراد ...
موافق...
الصفحة 8من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بالصورة أعاله بان الرام 1جيجا والهارد ..وعدد 8كروت شبكة نوع Bridge نقوم بتجهيزكروت الشبكة الوهمية التابعه ل ـvm fortigate
كما بالصورة أعاله تم ضبط كرت الشبكة lan1ك ـ)Vmnet1(host only
الصفحة 9من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اما كرت الشبكة lan2والذي وسوف يتم تغييره الى WANسيتم ضبط إعداداته كما بالصورة أعاله Bridge connected directory to the physical network وذلك لكي يكون قادرعلى الوصول الى الروتر(املودم)ألنه سوف يكون موصل مع كرت الشبكة الوايرلس التابع لالبتوب حيث سنقوم بجعل اعدادات كرت الشبكة ال ـ WANبااليبي .. 192.168.1.60ثم سوف نقوم بضبط اعدادات كرت الشبكة الوهمي التابع لـ VMWAREكما بالخطوات التالية :
الصفحة 10من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
جعلنا كرت الشبكة الوهمي ) Vnet1(host onlyمن . subnet 192.168.2.0
وأيضا ضبط الكرت vmnet0بانه من نوع bridge
الصفحة 11من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ضبط اعدادات كرت الشبكة على جهاز الكالينت(:)Client يجب ضبط اعدادات كرت الشبكة ل ـ اجهزه الكالينت كما بالصورة التالية حيث يتم توصيله بنفس السويتش التابع لكرت الشبكة lan1التابع VM FortiGate
نقوم بتشغيل ال ـVM fortiGate
جااااري التشغيل ... الصفحة 12من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
قم بإدخال اسم املستخدم adminوالباسورد االفتراض ي هو فارغ()blank
الصفحة 13من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم تغييرالباسورد االفتراض ي الى adminمثال بدال عن فااارغ(... )blank حيث االن ال يمكننا الوصول الى ال vm FortiGateعبركرت الشبكة lan1عبراالبتوب الحقيقي ألن كل جهازفي سويتش مختلف .. لذا سيتم الوصول الى الفورتي جيت من على الجهازالوهمي لويندوز ( 8.1الكالينت)والذي هو أصال موصل على نفس السويتش مع كرت الشبكة lan1ل ـ.. vm fortigate كرت الشبكة ال ـ lan1التابع للفورتي جيت موصل بنفس السويتش لجهازالكالينت عبرالسويتش VMnet1ونوعه .. Host only الصفحة 14من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
لذا االن سوف نقوم بتجهيزكرت الشبكة ال ـ port1والتابع ل ـ VMوذلك كما باألوامرادناه . حيث عند كتابه األوامرالخاصة بتجهيزكرت الشبكة port 1بااليبي 192.168.2.20 Config system interface Edit port1 Set ip 192.168.2.20 255.255.255.0 فأنه تظهررساله الخطأ(فقط على )Vm FortiGateكما بالصورة ""Can't change dynamic ip
وذلك ألن كرت الشبكة بيوزع ايبيهات أوتوماتيكية DHCPلذا سوف نقوم بتحول الكرت الى staticكما باألمرالتالي : Config system interface Edit port1 Set mode static Set ip 192.168.2.20 255.255.255.0 الصفحة 15من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Set allowaccess https http ping ssh telnet حيث قمنا بتحديد ايبي للكرت port1وحولناه الى كرت ثابت ثم حددنا له االيبي 192.168.2.20وسمحنا بالوصول اليه عن طريق httpsو httpو pingو sshو .. telnet
عملية البينج غيرشغاااااااااال من االبتوب نفسه( )Hostوذلك ألن كرت الشبكة lan1على ) Vnet1(host onlyأي غيرموصول بسويتش واحد مع كرت الشبكة الخاص باالبتوب ... حيث كرت الشبكة الوايرلس لالبتوب هو 192.168.1.121وكرت الشبكة lan1ل ـ vm fortigateهو ..192.192.168.2.20 لذا سنقوم بتجهيز vm win 8.1ونجعل كرت الشبكة موصل على السوتش الوهمي ) Vnet1(host onlyلكي يكون موصل مع كرت الشبكة lan1ل ـ. vm fortigate
الصفحة 16من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم سنفتح الفورتي من خالص الويب ()192.168.2.20بواسطة متصفح من على جهازالكالينت ( win )8.1 مالحظةlan1:192.168.2.20 : سنقوم بالدخول الى الفورتي عبرالويب وذلك من جهازالكالينت 8.1عبرااليبي 192.168.2.20كما بالصورة ادناه ...
الصفحة 17من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ طريقة عمل resetلعدد األيام ( )14للــ: VM الفرتة التجريبية لــ fortigate vmهي 14يوم ،لذا قبل ما تنتهي الفرتة التجريبية فأنك تقوم بأخذ باك اب للفورتي جيت كما سيتم الشرح الحقا ثم عمل Resetلـــ VMكما باخلطوات التالية : -1اخذ نسخه باك اب من االعدادات (سيتم شرحة الحقا) -2عمل resetللــ vmبكتابه االمر كما بالصورة ادناه
يتم حاليا عمل استعاده اعدادات املصنع ()Reset
الصفحة 18من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ضبط اإلعدادات من باسورد وأيضا ضبط اعدادات كروت الشبكة مره أخرى كما مت شرحه سابقا وذلك بدال من ان تقوم حبذف ال vmوتقم بتنزيله مره أخرى ... LAN1=PORT1=192.168.2.20 LAN2=WAN=192.168.1.60 WIN 8.1=192.168.2.140
الصفحة 19من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ مشكله ظهور بان االيسنز( )Licenseقد انتهى كما بالصورة ادناه بالرغم اني مل استخدمه اال لساعه فقط ..
E فقمت بتنزيل ال ـ VMواعدادها مره أخرى ....واشتغلت واعطت لي 14يوم تجريبي..
❖
طريقة عمل باك اب لإلعدادات التابعه للــ VMوكيفيه استعادتها :
الصفحة 20من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 21من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
لالستعادة ...
الصفحة 22من 469
إعداد /حممد املرفدي
❖ شرح مكونات وواجهات الفورتي جيت :
أساسيات فورتي جيت
ال Dashboardتوضح لنا معلومات حول النظام مثل اسم الجهاز والسيريال وإصدار الفريم ويروالتاريخ والوقت للجهازالفايروول ومتى تاريخ انتهاء االيسزنزلكل خدمه.
طريقة تغييراسم الجهازبواسطة األوامر:
بعد تعديل اسم الجهازواعاده التشغيل
الصفحة 23من 469
إعداد /حممد املرفدي
❖ طريقة تغيري باسورد األدمن ()adminبواسطة CLI
أساسيات فورتي جيت
حيث يجب ان تقوم بكتابه االمر endبعد األوامرأعاله لكي يتمكن من حفظ التغيرات.. حيث اصبح الباسورد لليوزر adminهو . 123 *****************
إيقاف او اعاده التشغيل او تغيري الباسورد او للخروج من الفورتي ويب ، عرب GUIكما بالصورة ادناه ..
الصفحة 24من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
شرح ال: DASHBOARD هي القوائم املوجودة على يسارالشاشة واملشاراليها باملربع األحمرحيث ممكن أضافه أي قائمة وتسميها حسب ما تريد وتضيف اليها نوافذ(..)Widget
مثال سوف نقوم بأضافه Dashboardباسم IMPORTANTوسوف نظيف اليها نوافذ محدده
الصفحة 25من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اآلن سوف نقوم بإضافة نافذه جديده لل ـ DASHBOARDاملسماة IMPORTANT
حيث سنضيف نوافذ كما بالصورة ادناه
الصفحة 26من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وللتحكم من حيث حذف او تصغيراو تكبيرحجم النافذه على ال ـ DASHBOAARDنتبع الخطوات كما بالصور ادناه ...
الصفحة 27من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث يمكنك تعديل حجم او حذف أي نافذة ()Widgetمن الـ. Dashboard مالحظات : الصفحة 28من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
-
ممكن نقل النوافذ( )Widgetمن مكان الى اخربواسطة السحب واالفالت .
-
ال يمكن حذف ال ـ. Main Dashboard
-
في حالة قمت بتعديالت على ال Dashboardوتريد استعادتها كما كانت افتراضيا فأننا ننقرعلى الرمزالعجله ثم Reset Dashboardثم OK
❖ شرح القوائم : : Dashboard -1 هي عباره عن لوحه التحكم ،حيث بشكل افتراض ي يتم انشاء Main dashboardوتحتوي على نوافذ( )Widgetحيث كل نافذه تعرض معلومات مختلفة عن األخرى مثل System information ,license ,forti cloud,adinistrators,security fabric,current usage , ويمكن أضافه dashboardاو widgetكما تم شرحه سابقا ...
شرح استخدامات ومعلومات ال: Widget -A
: System information
مثل ، system time&date، Mode، firmware، hostname -B
: License
مثل اليسنزIPS,Web filtering,Antivirus,anti spam ,fortiguard
الصفحة 29من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Forticloud
-C
في حالة كنت مشترك في هذه الخدمة فانك عند تفعيلها فانه تتاح لك امكانيه فتح واستعراض أي تقرير من أي مكان بالعالم وليس فقط من على جهازالفورتي نفسه حيث كل التقاريرتكون على سيرفرفي الكالود. -D
: Administrators Widget
يعرض لك معلومات عن اليوزرات الذي ياكسسو(يوصلوا)الى جهازالفورتي مثل يوزر adminاو Marfadiويعرض لك البروفايل الخاص بهم ونوع الوصول هل هو httpsاو httpاو sshوهكذا ...
-2
: Security fabric
هي عباره عن خاصية عرض فقط( )Viewلكل االجهزه التابعه لشركه فورتي من معلومات حول الشبكة وعرض تفاصيل عن الشبكة ومتابعة ال logsوالترافيك ...الخ في الشركات الكبيرة يوجد لديهم اكثرمن جهازحمايه(فايروول)في الشركة مثال ممكن يكون لديهم جهاز -fortianaliyzer-forimail حيث على األقل يجب ان يكون لديك fortigateو fortianalyzerلكي تفعل(تعمل)هذه الخاصية ، توجد طريقتين للعرض : -1
Physical topology
يمكنك بواسطته ان تظهر Topologyللفورتي جيت كما بالصورة أعاله ... الصفحة 30من 469
إعداد /حممد املرفدي
-2
أساسيات فورتي جيت
Logical topology
حيث بمجرد تمريرمؤشراملاوس على العناصربيوضح لك مثال االيبهات وال ـ... interfaceالخ
: Security Rating -3
غيرمتاح في VMولكن فعليا يتم استخدامه كآليه فحص لألجهزة التابعه لفورتي نت مثال FortiAnalyzerو غيرها ...
: Automation -4 الصفحة 31من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فكره ال ـ Automationقائمه على (Triggerحدث)فأما يحدث( )trueواما ال يحدث ( )Falseفلوا كان trueقم بعمل actionمعين . حيث لو الحظ الفورتي جيت ش ي معين انا بحدده فقم بعمل action مثال لو قمت بعمل اعاده تشغيل لجهازالفورتي جيت فقم بإرسال أوامرعبرcli
كما بالصورة أعاله قمنا بالنقرعلى الحدث Reboot فنقوم للفورتي جيت في حالة حصل اعاده تشغيل للفورتي جيت قم بعمل ال ـ actionكما بالصورة التالية وليكن CLI Scriptsمثال عمل ping 8.8.8.8
الصفحة 32من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مثال اريد اعمل Banاو حضرلجهازبمجرد حصل له Hacked
بعد حصول املشكلة ب 5ثواني قم بعمل BANللجهازهذا .. الصفحة 33من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
-3
: FortiView
هو نظام مراقبة للشبكة الخاصة بك مثل ال ـ LOGSو عمل فلتربحسب االيبي او فلتربحسب برنامج معين او فلتربحسب يوزرمعين والخ حيث قائمه الـ Monitorتعرض لك معلومات real timeف نفس الوقت وحقيقيه عن تفاصيل مثل من اخد dhcpاو اي حالة ال VPNوهكذا تختلف عن ال fortiviewاللي يعرض لك احداث مسجله مش شرط تكون. real time : Networks -4 يقوم بعرض معلومات عن كروت الشبكة و تندرج تحت هذه القائمة : :Interfaces -1 يعرض معلومات عن كل املنافذ ( )portsللفورتي مثل lanو Wan : DNS -2 يوضح ال DNSاملستخدم هل هو التابع لفورتي مثال او التابع لجوجل مثل 8.8.8.8او 8.8.4.4او غيرها .. : Packet capture -3 يستخدم لعمل مراقبه لجهازمعين مثال جهازصاحب االيبي 192.168.20.140عند الخروج الى االنترنت عبراملنفذ WANحيث يتم حفضها في ملف من نوع Cabحيث يمكن فتح هذا امللف ببرنامج متخصص بمتابعة املشاكل : >Network>packet capture>create New>enable filter )Max pacjet to save:4000 (by default ممكن تعمل مدى ايبيهات httpsمراقبه الترافيك التابع
Host(s):192.168.20.40 Port(s):443 OK
أي ان االيبي 192.168.20.140اذا استخدم HTTPSمثل فتح موقع معين فان ذلك سيتم حفظه داخل امللف لعمل متابعه وتحليل للمشاكل .. الصفحة 34من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
:SD-WAN -4اسمها أيضا WAN LOAD BALANCEDتستخدم لعمل load balanceلعدد 2خطوط مثال في حالة توقف احدى خطوط االنترنت فأن الخط االخر يعمل بشكل اوتوماتيكي .. : Static route -5 تعمل Routeبحيث تقول لو وصل اليك احد من ال internalواراد ان يخرج الى external (االنترنت)خرجه من ال ـ interfaceمثال WANكذا ... >Network >Static Route>Create New Destination:0.0.0.0/0.0.0.0 )Device:port2(WAN Gateway :192.168.1.1 حيث 192.168.1.1هو ايبي الروتر..
-5
: System
: Administrator -1يظهرلك يوزرباسم adminوهو االفتراض ي حيث له الحق بالوصول الى الفورتي جيت من أي جهاز 0/0.0.0.0 Trusted Hostsحيث ان البروفايل الخاص به نوعه Super_admin
: Admin profiles -2هو البروفايل الي له الحق بالوصول الى الفورتي جيت حيث بشكل افتراض ي super_adminو prof_adminويمكنك ان تقوم بتخصيص بروفايل وتحدد نوع صالحيه الوصول بحسب ما تريد.
الصفحة 35من 469
إعداد /حممد املرفدي
-3
أساسيات فورتي جيت
: Firmwareيعرض لك اإلصدارالحالي ل ـ OSالخاص بجهازالفورتي وممكن تعمل Upload
لل ـ Firmwareوأيضا يعرض لك اإلصدارات املتاحة ويمكن عمل ترقيه ()upgradeاو انزال ( )downgradeمن هنا. : Settings -4ممكن تعدل اسم الجهازمن ، Hostnameوايضا يعرض لك الوقت والتاريخ الحالي ويمكنك تغييراملنطقة الزمنية لجهازالفورتي ، يمكنك أيضا تعديل رقم البورت االفتراض ي http=80الى أي رقم تريده وايضا .. https:443 ويمكنك أيضا تعديل الثيم themeللواجهة من الوان او لغة العرض وايضا لتعديل وقت انتهاء الجلسة لصفحة الدخول ( )loginوذلك بتعديل قيمه idle timeout:2حيث سيتم اغالق الـ loginبعد مرور دقيقتين بدون ان تستخدم . GUI
: HA -5في حالة وجود جهازفورتي جيت وحيد بالشركة فأن النمط هو Mode=standaloneاما في حالة وجود اكثرمن جهازفورتي في الشركة فان النمط ()Modeممكن ان يكون active-activeاو active-passiveأي يستخدم كنوع من الباك اب بحيث لو تعطل او توفق احدى اجهزه الفورتي فأن االخريعمل بشكل تلقائي بدون توقف للشبكة .
: SNMP -6احدى بروتوكوالت املراقبة حيث يقوم بمراقبه حالة جهازالفورتي ويرسل كل ش ي الى سيرفريسمى . SNMP server
-7
: Replacement Messagesهي عباره عن الرسائل التي تظهرلك كأدمن للفورتي او كيوزرفي
حاالت مختلفة مثل فتح مواقع محجوبه او خطأ في الولوج الى الفورتي جيت ...الخ ويمكنك تعديل الرسائل كما تريد .. الصفحة 36من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: FortiGuard -8في هذه القائمة تظهرلك حالة ال ـ licensesالخاصة بجهازالفورتي مثل Web filter،Antispam،Antivirus،IPSوايضا متابعه حالة التحديث لهم ..
-9
: Certificateلو قمت بتفعيل خاصيه SSL Inspectionفيجب عليك ان تقوم بإنشاء شهاده ..
: Policy&Objects -6 : Ipv4 policyهذه القائمة التي من خاللها يمكنك انشاء او تعديل ،، )Rule( policy -1 : Ipv4 Dos policy -2هذه القائمة من خاللها تستطيع عمل policyلحماية الشبكة من هجوم املخترقون من نوع Dos attackحيث يتم تطبيق هذه البوليس ي على منفذ ال ـ WANألن الهجوم ال يأتي اال عبر Incoming interface :wan -3 -4
: Addressإلنشاء عناوين لألجهزة . : Internet service databaseتحتوي على معلومات بجميع الخدمات املتاحه على االنترنت مثل
DNSالتابع لجوجل .. : Scheduleممكن تحديد وقت معين حيث يتم استخدامها مع البوليس ي. -5 : Traffic shaper -6تسمح لك بتحديد max bandwidthاو limit bandwidthلجهازمعين لكي ال يستهلك االنترنت بالشبكة ..
-7
: Security profilesتستخدم لحمايه الشبكة من الهجمات .
-1
: Antivirusعمل سكان للترافيك الداخل او الخارج من الشبكة . الصفحة 37من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
-2
: Web filterتستخدم لتحديد الوصول للمواقع(سماح او منع).
-3
: Application filterتتحكم بالترافيك الذي داخل او خارج بواسطة التطبيقات وليس عن طريق
البورت . : Intrusion preventionتسمى أيضا ب IPsتستخدم لحمايه الشبكة من عمليه الهاك ()HACK -4 : SSL/SSg inspections -5في حالة تفعيل ssl/ssh inspectفانه يتم عمل deep inspections للترافيك من نوع . HTTPS : SSL INSPECTION عندما نقوم مثال بعمل Blockملوقع الفيسبوك عبرال ـ Web filterفان الفورتي جيت يواجه مشكله وهي ان لواليوزرفتح موقع الفيسبوك بجلسه مشفره أي عبر httpsفأن الفورتي جيت ال يعرف ما بداخل هذه الجلسة اال لو قمت بتفعيل خاصيه .. ssl inspection حيث افضل طريقة هي Deep ssl inspectionمن حيث الفحص وبنفس الوقت تكون بطئ نواعا ما .. -8
: User&Device
-1
: User definitionاليوزرلكي يصل للشبكة سواء انترنت او غيرها يجب ان يكون لديه يوزر
اكاونت و كلمه سرولذا يتم انشاء . local user : User groups -2يتم انشاء جروب لكي يتم أضافه اليوزرات اليها وبذلك يسهل عمليه تطبيق البوليس ي عليهم جميعا بدال من تطبيق بوليس ي على مستوى اليوزر. -3
: Device Inventoryتجميع معلومات عن األجهزه املوجودة بالشبكة
: Single sign-on -4تسمى SSOحيث عن تفعيل هذه الخاصية (دمجها مع ال ) active directory فأن اليوزرال يحتاج الى ادخال يوزرنيم وباسورد اكثرمن مره بل يكفي ان يدخل اليوزرنيم والباسورد عن عمل loginبجهازه مره واحده فقط ، اما ان لم تكن هذه الخاصية مفعله فأن اليوزرسوف يضطرالى ادخال اليوزر نيم والباسورد الخاص بالدخول الى الويندوز باإلضافة لليوزرنيم والباسورد الخاص بالفورتي الذي تم انشاءه مسبقا من قائمه User definitionللوصول الى االنترنت .
الصفحة 38من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
-9
:WiFI &switch controllerفي حالة وجود fortiAPبالشبكة وتريد عمل له اداره
وتحكم كامل بواسطة الفورتي ...حيث fotiAPهو عباره عن اكسس بوينت ولكن خاص بشركه فورتي نت . : Log & Reports -10 : Monitor -11 ❖
طريقة توصيل االنرتنت جلهاز الفورتي جيت :
يجب ان يكون جهازالفورتي جيت موصال باإلنترنت لكي يتمكن من عمل registrationوأيضا عمل updateلكال من Antivirus DBو IPs DBو Antispam DBو ... Web filtering DBالخ و ايضا ألنه سيكون هو الجيتواي( )Gatewayلألجهزة املوجودة بالشبكة و ايضا لو اردت عمل updateل ـ firmwareالخاص بك . وللقيام بذلك جيب ان تقوم باخلطوات التالية : -1
اظافه ايبي ل ـWAN PORT
-2 -3
اظافه DNS عمل static routeبحيث أي احد يريد ان يصل الى االنترنت يجب ان يخرج عبراملنفذ WAN
اخلطوة األوىل :
الصفحة 39من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
>Network>Interfaces>port2>Edit>alias(Write WAN)>Role=WAN Addressing mode :manual or DHCP حيث manualسوف تقوم بكتابه 255.255.255.0/192.168.1.60 ولو اخترت DHCPفأنه سوف يأخذ بشكل اوتو من الروتر.. حيث من املمكن تحديد طريقة الوصول الى املنفذ ال WANبأكثرمن طريقة مثل HTTPSو HTTPووالخ ولكن كنوع من السيكيورتي يتم فقط السماح بالوصول الى البورت عبرال ـ. PING حيث بعد ذلك يمكن من االبتوب الشخص ي( )Hostان تعمل Ping 192.168.1.60وهو ايبي بورت ال ـWAN
الصفحة 40من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم . OK
تالحظ بان املنفذ WANحصل على ايبي 192.168.1.105وكما هو ظاهربان ال pingمفتوح ... نحن سوف نجعل كرت lan2=wanايبي static الصفحة 41من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
192.168.1.60كما بالصورة أدناه
حيث يمكنك بعد ذلك ان تدخل الى اعدادات الفورتي جيت عبرالويب من نفس االبتوب ()Hostوذلك بكتابه ايبي wanوهو 192.168.1.60في متصفح االنترنت وبهذا يكون قد قللت استهالك الresources لالبتوب عند العمل والتطبيق والتعلم ، حيث ليس هناك داعي الدخول الى اعدادات الفورتي جيت عبرجهازالكالينت .. اخلطوة الثانية : ضبط اعدادت ال ـ DNSلجهازالفورتي جيت كما بالخطوات التالية : Network >DNS>Specify>:8.8.8.8 8.8.4.4 >apply
الصفحة 42من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اخلطوة الثالثة :
>Network>static route>create New أي يمكنك الخروج الى أي شبكة Destination:subnet 0.0.0.0/0.0.0.0 ايبي املودم
Gateway:192.168.1.1 )Interface :port2(WAN OK
ثم نقوم بالدخول الى CLIعبر GUIثم نكتب االمر Execute ping 8.8.8.8 فتالحظ بان االنترنت اصبح متاح لجهازالفورتي جيت اآلن ..
الصفحة 43من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ مىت احتاج اىل عمل ترقيه –حتديث -للـ Firmwareالتابع جلهاز الفورتي: -1 -2
أضافه مميزات جديده لإلصدارالجديد تحسين وحل مشكله في ميزه معينه في اإلصدارالجديد
-3
بسبب أضافه bugsلحل بعض الثغرات باإلصدارالقديم
قبل عميه ال ـ (Upgradeترقيه) يجب ان تقوم بالتالي : -1يجب ان يكون لديك باك اب لل ـ Current configurationحيث لو حصل أي مشكله اثناء عمليه الترقية نقوم باالستعادة -2
يجب ان تتأكد من وجود نسخه current firmwareحيث لو حدث مشكله اثناء االستعادة فانك
ستقوم بإعادة تثبيت النسخة ومن ثم عمل استعاده ل ـ configurationالتي قمت بها في الخطوة رقم 1 -3يجب ان يكون لديك Upgrade pathألنه ال يمكن ان تقوم بعمل ترقيه من اصدار 5.0الى 6.00 مباشره بل يجب ان تقوم بالترقية بالتدريج بحسب upgrade pathمثال من 5.0الى 5.6والخ الى ان تصل الى اإلصداراملطلوب 6.0
❖ طرق ترقيه النظام : Upgrade firmware -1
بواسطة ال ـ fortiGuardأي ان نقوم بتنزيل اإلصدارالحديث من االنترنت مباشره بواسطة شركة
فورتي جيت -2بواسطة ( local deviceأي ان تكون نسخه ال OSفي جهازك ثم نقوم بالخطوات التالية > System >upload firmware >select file>choose the file of OS>Backup config and upgrade ثم سيتم اعاده التشغيل مرتين ... ثم نتأكد من نجاح عمليه الترقية وكذلك من ان االعدادات الزالت سليمه وذلك بالدخول الى > Main>firmware
الصفحة 44من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ عمليه الــ downgradeهي نفس خطوات الــ ... Upgrade
: Administration types &profiles :Admin profilesمن خالله تحدد اليوزرالذي سوف يعمل loginعلى الفورتي جيت يعمل ماذا! ويشوف ماذا !!! ويتحكم بماذا ...
البروفايالت االفتراضية هما super adminو prof admin
الصفحة 45من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بان البروفايل أعاله من نوع super_adminغير قابل للتعديل..
نالحظ من الصوره أعاله بأن البروفايل prof_adminقابل للتعديل .. : Super adminله full accessعل كل مكونات الفورتي جيت مثل deleteاو createل ـ other administratorويعمل باك اب واستعاده وأيضا ترقيه او تنزيل لنسخه ال .. firmware
الصفحة 46من 469
إعداد /حممد املرفدي
ال يمكنك ان تقوم بعمل تعديل او حذف على ، super_admin profile
أساسيات فورتي جيت
يفضل انشاء يوزرجديد وتعديل االسم adminالى أي اسم اخركنوع من السيكيوريتي او حذف اليوزر adminبعد انشاء يوزراخرنوع . super_admin
كما تالحظ بالصورة أعاله فانه ال يمكن حذف البروفايل ولكنك يمكن تعديله ... ❖
طريقة انشاء يوزر جديد بواسطة : CLI #config system admin #edit marfadi #set password 123 #set accprofile prof_admin or super_admin #end
الصفحة 47من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم انشاء يوزرباسم marfadiوباسورد 123وانشاء بروفايل نوع prof_adminاو super_adminبحسب ما تريد .. ثم حفظ االعدادات ...
الصفحة 48من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖
حلذف يوزر بواسطة : CLI #config system admin #delete marfadi End
كما بالصورة أعاله اليوزر adminله الحق ان يحذف اليوزر.. marfadi : Prof_adminيتم إنشاءه بشكل افتراض ي وهو نفس super adminلكنه يمكن عمل تعديل على العناصرمثل firewallو log&reportو networkووالخ حيث ممكن نعملها noneاو readاو writeاو customللعناصروأيضا ال يمكنك حذف البروفايل املسمى . prof_admin حيث ال prof_adminال يمكن عمل تغييرللباسورد ..
الصفحة 49من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وأيضا اليوزرمن نوع prof_adminال يمكنه انشاء يوزرمن نوع . super_admin
تالحظ بالصورة أعاله بأن اليوزراملسمى adminمن نوع super_admin profile طريقة انشاء custom profileأي نقوم بتخصيص مجموعة محدده من العناصرالتي من حق اليوزرات التي في هذا الجروب (البروفايل)ان تصل اليها .. مثل سوف انش ى بروفايل باسم Yasser Ossimi >System >admin profile>create New ثم سنحدد العناصرالتي ممكن الوصول اليها فقط كما بالصورة ادناه ..
الصفحة 50من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم ... OK االن سوف نقوم بإنشاء يوزرباسم Yasserوسوف يكون نوع البروفايل الخاص به هو Yasser ossimi حيث هذه املره سيتم انشاء اليوزرعن طريق ال ـ GUIكما بالصورة ادناه >System>administrators>Create New>administrator
الصفحة 51من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بأنه تم انشاء يوزرباسم Yasserتابع للبروفايل الذي تم تخصيصه سابقا باسم Yasser Ossimi ❖
ما هو FortiGuard؟
هو خدمه في الكالود يتم الوصول اليه عن طريق االنترنت ، يتم تحديث كل من ..Application control ، Web filter،IPs،antispam،Antivirusالخ املوجود في جهازالفورتي جيت عبر.. Fortiguard حيث أي فايروس جديد يتم عمل updateوتنزيله الى جهازالفورتي جيت وأيضا أي هجمات جديده يتم تنزيل updateجديد لها وهكذا .. لذا يجب ان تكون مشترك ( ) licenseمع Fortiguard الصفحة 52من 469
إعداد /حممد املرفدي
❖
أساسيات فورتي جيت
SD-WAN=WAN Link Load Balancing
تحويل اكثرمن physical interfacesالى logical interfaceواحد فقط ... Network>SD-WAN>status:enable>create New>interfaces: ثم نقوم بتحديد كروت الشبكة املراد دمجها ()load balance لنفترض بان لدينا 2خطوط انترنت موصله على كروت الشبكة WANو WAN2ثم نحدد خوارزميه لتوزيع االنترنت للمستخدمين. أوال نقوم بضبط اعداد كرت ال ـ wan2كما بالصورة ادناه
الصفحة 53من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 54من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم نالحظ بانه تم انشاء logical interfaceباسم SD-WANكما بالصورة ادناه ...
الصفحة 55من 469
إعداد /حممد املرفدي
تفعيل خاصيه ال ـ sdwanبعد أضافه 2كروت ال ـwan
أساسيات فورتي جيت
: Performance SLAيتم من خالله انشاء monitoring profileمثال SLA1 مثال سوف أقول للفورتي جيت بأن قوم بعمل ping 8.8.8.8و ping 8.8.4.4 حيث عبرالخيار Participantsتقوم بتحديد من اين سيقوم بعمليه ال ـ pingهل من خالل الخط wan1 مثال او عبر wan2او عن طريق االثنين . مثال سوف أقوم بعمليه ال pingعبرwan1
سوف نقوم بإنشاء SLAكما بالصورة ادناه باسم SLA1 وسيتم الفحص ( 8.8.8.8 ) pingو 8.8.4.4عبرالخط wan1 حيث سيتم عمليه ارسال الفحص ( )pingالى 8.8.8.8و 8.8.4.4كل 500ملي ثانية -أي كل نصف ثانية قم بعمل ارسال - echo request
الصفحة 56من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
-1حيث سيتم عمليه ارسال الفحص ( )pingالى 8.8.8.8و 8.8.4.4كل 500ملي ثانية -أي كل نصف ثانية قم بعمل ارسال - echo request -2فلو تم ارسال echo request 5الى 8.8.8.8 , 8.8.4.4ولم تستلم أي رد ()echo reply فأعتبربأن الخط wan1في حالة downففي هذه الحالة فان wan1لن يدخل في عمليه ال ـ load ) balance(SDWANمع مالحظة بأنه سيتم ارسال echo requestفي هذا الفترة كل 500ثانية ولن يتوقف عن عمليه االرسال بالرغم ان الخط . down -3بعد ان اصبح الخط wan1=downفبأي وقت لو حصل echo replyلعدد 5مرات فاجعل ال ـwan1=up
انشاء monitoring profileللخط wan2عبرالبروفايل sal2
الصفحة 57من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة :ال يمكن فحص نفس السيرفرمثال ان تجعل عمليه ال ـ pingل ـ sla1و sla2 على نفس ايبي 8.8.8.8و 8.8.4.4لذا تم تغييرهم ..
عمليه ال ـ sd-wanسيتم تطبيقها عبر SD-Wan rulesبحيث لو تركتها بشكل افتراض ي كما بالصورة ادناه
الصفحة 58من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
أي انني لم أقوم بإنشاء Ruleفأن الرول االفتراضية هي حيث عند النقرعليها مرتين تظهرلك ال ـ criteriaاملطبقة هي Source IPحيث يمكنك تغييرها ..
مثال يمكنك تغيرها الى : Sessions
حيث يمكنني تغييرالنسبة مثال %60ل ـ WAN1و %40ل ـWAN2
مثال لو كان لدينا 1000جلسه ( )Sessionsفأن الفورتي جيت سوف يقوم بتوزيعها بنسبه %60عبر WAN1و %40عبر. WAN2 **************************************************************** الصفحة 59من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اما النوع االخراملسمى : Source-Destination IP لو ال ـ source ipوال destination ipيكونوا ثابتين على نفس ال ـ interfaceيتم إخراجه عبرنفس ال ـinterface اما لو ال ـ sourceرايح على destinationمختلف فأنه يتم اخارجه عبر interfaceاخر to 8.8.8.8 >>>WAN1
From 192.168.1.20
to 8.8.8.8 >>>WAN2
From 192.168.1.40
to 8.8.8.8 >>>WAN1
From 192.168.1.50
to 8.8.8.8 >>>WAN2
From 192.168.1.60
وهكذا.... to 4.2.2.2 >>>WAN2
From 192.168.1.20
******************************************************* النوع الثالث : Volume
هذا النوع من الخوارزميات تعتمد على كميه ال ـbytes فلوا كانت لدينا packetsبحجم مثال 1000بايت فأن %70منها سوف تكون عبر WAN1و %30البقيه ستكون عبرال ـWAN2 الصفحة 60من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فلوا لم نقم بإنشاء أي SD-WAN Ruleوتركناها افتراض ي فان أي ترافيك سوف يتم تطبيق ال ـ ruleاالفتراضية كما بالصورة أدناه وسيتم تطبيق ال ـ criteriaبحسب ما تم اختياره ..
❖ طريقة انشاء SD-WAN Ruleجديده كما بالتايل : ✓ جعل ال ICMP trafficيطلع عبرال ـ: WAN1 أي ان أي عمليه pingاريدها تطلع عبرال wan1بالتحديد .
الصفحة 61من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة protocol number:ل ـ ICMPهو 1حيث يمكنك البحث في جوجل عن ارقام protocol . numbers
❖ جعل الــ https trafficيطلع عرب الــ : wan 2
الصفحة 62من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ جعل الــ http trafficيطلع عرب الــ : wan 1
الصفحة 63من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ انشاء SLAباسم INTERNETحيث تقوم بفحص اخلط األفضل للخروج منه
تمت عمليه انشاء SLAكما بالصورة ادناه حيث يتم عمل checkعلى جوجل 8.8.8.8ويطلع من اقل خط منهم ... حيث بيتم تنفيذ ال ـ slaعلى الخطين wan1 ,wan2عن طريق البينج على جوجل وبيتم تحديد احسن خط على حسب األرقام املوجودة ال ـ : latencyيحسب التأخيرفي الخطين wan1 ,wan2والتأخيراألقل بيتم اختياره على انه افضل خط . حيث ال ـ latencyهي الوقت الذي يقطعه الباكت()pingمن املصدرالى الهدف(. )8.8.8.8
أي 88نفسها ..
الصفحة 64من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الــ : jittersيحسب الفرق في الوقت بين الباكت األول والثاني واالقل فارق بيتم اختياره كأفضل خط .
Jitters=89-88=1 ال ـ: packet lossهذا يقصد به الفقد في البيانات حيث ممكن يكون احدى الخطوط بيفقد بيانات اثناء االرسال واالستقبال وهذه مهمه في استخدام التلفونات واملكاملات حيث يسبب تقطع في الصوت حيث الخط الذي فيه فقط في البيانات لن يقوم sd-wanباختياره وسيختارالخط االخر.
اآلن سنقوم بعمل Ruleلتحديد ال ـ interfaceاألفضل للخروج منه بحسب SLA=INTERNETالتي قمنا بإنشائها سابقا
الصفحة 65من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
)features(❖ طريقة اظهار ميزه جديده مثال تريد اظهار اخلاصية outgoing اوincoming interface والتي تتيح لك تحديد اكثرمنMultiple interface policies : وذلك بالخطوات التاليةpolicy عند عملinterface System>features visibility >Multiple interface policies :enable .
حممد املرفدي/ إعداد
469 من66 الصفحة
أساسيات فورتي جيت
نالحظ عند تفعيل الخاصية أعاله باننا قادرين على اختياراكثرمن كرت عند انشاء الرول بعكس لو كانت الخاصية غيرمفعله فأننا نستطيع فقط أضافه(اختيار)كرت واحد فقط كما بالصورة ادناه ..
❖
طريقة انشاء Rule policyجديده : > اسم الرول Policy&object>ipv4 policy>Create New>Name:
Incoming interface:port1,outgoing interface:wan1, يوزراو عنوان كمبيوتراو جروب معين في الدومينSource: الصفحة 67من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
املصدر: ،subnet،ip : Address : Userممكن يكون يوزرعادي على الفورتي جيت او يوزرعلى الدومين()AD : Deviceربط جهازبواسطة املاك ادرس
الى أي مكان Destination :all
كما بالصورة أعاله سيتم تطبيق رول (سياسه) اسمها full_accessوطبق على منفذ الدخل Port1والخارج عبر) wan(port2ويطبق فقط على جهازالكمبيوتراملسمى pc1وهذا تم انشاءه مسبقا ،والى أي مكان (.. )all
الصفحة 68من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
طريقة جمع (دمج)اكثرمن منفذ ( )interfaceلكي يصبحوا logical interfaceواحد وذلك بواسطة ال ـ : zone
أي اسم تريدNetwork>interface>Create New>Zone>Name: >OKنختاراملنافذ املراد دمجها >Interface member :
حيث سوف يصبح لدينا كرت وهمي باسم TOTAL WANكما بالصورة ادناه
الصفحة 69من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة :ال يمكن حذف ال ـ zoneاذا كانت مستخدمه في أي رول ،لذا لو تريد حذف ال ـ zoneاملسماة TOTAL WANيجب أوال حذفه من البوليس ي أعاله...
شرح :Schedule أنواع ال ـ :schedule -1 -2
: Onetime scheduleيتم تنفيذها مره واحده فقط ثم تلتغي . : Recurring scheduleيتم تنفيذها بشكل مستمر
❖ طريقة انشاء : schedule Policy&objects>schedules>Create New>schedule >type: Recurring تختاراأليام املطلوبة >Days:أي اسم تريده>Name:
الصفحة 70من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نحدد START TIMEو ... Stop Time تم تحديد اسم ل ـ scheduleباسم Work_timeوتم تحديد أيام العمل والوقت .
• عمليه تكرار scheduleمعين :
الصفحة 71من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مثال اريد انسخ نفس االعدادات واالوقات ل ـ work_timeوانشائها في scheduleجديده مثال باسم time2مثال حيث الخيار Cloneيقوم بنسخ كل العنصروبكل مواصفاته ...
فقط قمنا بكتابه اسم ال ـ scheduleالجديد باسم time2ونالحظ بان األوقات واأليام كما في ال ـ work_timeكما بالصورة ادناه
** *** **** *** الصفحة 72من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖
حتديد أيام حمدده ووقت حمدد مره واحده فقط وينتهي ...
>Policy&objects>schedules>Create New>schedule >type: Onetime
❖
بداية الوقت :start time:بداية التاريخ >start date :أي اسم تريده>Name:
❖
نهاية الوقت >stop time :نهاية التاريخ> >stop date
❖
كما تالحظ بالصورة أعاله يبين بانه تم انشاء scheduleعدد 2باسم Work_timeو Open dayويمكن استخدامهم اثناء انشاء الرول(البوليس ي)كما بالصورة ادناه ..
الصفحة 73من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖
أنواع الـــ actionsيف الــ : policy
-1
: Acceptاملوافقة وتمريرالباكت (الترافيك)
-2
: Denyمنع مرورالباكت drop
حيث في اإلصدارات القديمة يوجد نوع ثالث وهو learn -3
: Learnيستخدم ملعرفة حركه الترافيك(الباكت)في الشبكة ،حيث بعد ما أقوم بتطبيق
البوليس ي املناسبة ،ممكن ان تقوم بمراقبه ماذا يفعل املوظفين بالشركة حيث Learn=acceptباإلضافة الى تسجيل كل ال logsعلى شكل تقاريرويتم معرفة ال ـ logsعن طريق التالي : >Log&reports>learning report
الصفحة 74من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ : Traffic shapers هو عباره عن عمليه تحديد ال ـ . Bandwidth أنواع ال : traffic shapers -1
Per-ip traffic shaper
تحديد مثال 5ميجا لكل جهازاو ايبي حيث يكون سرعه هذا الجهازهو 5ميجا . -2
: Shared traffic shaper
تحديد مثال 5ميجا لألجهزة كامال يتم تقاسمها جميعا أي ان سرعتهم جميعا هي 5ميجا . نحدد النوع املناسب Policy&object >traffic shapers>Create New>type: >
الصفحة 75من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم تحديد 300كيلو لكل ايبي (جهاز) كما بالصورة اعاله....
❖ APPLICATION CONTROL هو عباره عن عمليه تحكم ومراقبه لكل التطبيقات التي سيتم تشغيلها على الشقrبكه مثال(فيسوك،يوتيوب،جوجل )...حيث عن طريق APP CONTROLممكن اقلل من استهالك االنترنت او من الثغرات املتواجدة في تلك التطبيقات . الصفحة 76من 469
إعداد /حممد املرفدي
Application controlمقسم الى ثالث اقسام :
أساسيات فورتي جيت
: Categoriesتحتوي على قوائم(تصنيفات)مقسمه بحسب النوع .. -1 حيث كمجموعة برامج(تطبيقات)يتم وضعها في التصنيف الخاص به مثال تطبيقات األلعاب تكون مصنفه تحت ، games categoryوتطبيقات البروكس ي وال vpnتحت التصنيف proxy category حيث ممكن ان تقوم لهذا التصنيف ال ـ actionاملناسب اما allowاو Monitorاو Blockاو quarantineو ... View signature
حيث يمكنك اختيار التصنيف المناسب للبروفايل المراد إنشاؤه ...
الصفحة 77من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله يمكنك اختيارال ـ actionاملناسب للتصنيف ...فأذا اردت مثال معرفة على ماذا يحتوي هذا التصنيف فتقوم باختيارالخيار View Signaturesوسوف تظهرلك البرامج التي تنتمي لهذا التصنيف ..
حيث ممكن البحث عن برنامج معين لتعرف هل ينتمي لهذا التصنيف وذلك عبركتابه البرنامج في خانه searchثم ال Enterلتظهرالنتائج ...
-2
: Application overridesممكن بواسطته ان امنع او اسمح لتطبيقات معينه بعكس الخيار
األول الذي ال يمكنني ان اختارتطبيقات معينه بتصنيف معين .. الصفحة 78من 469
إعداد /حممد املرفدي
حيث في الخياراألول اما اختارالتصنيف كامال او ال ...
أساسيات فورتي جيت
حيث تختار Create Newثم application tabثم تقوم باختيارالتطبيق او التطبيقات املطلوبة ثم ننقر على الزر ... Add selected
الصفحة 79من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ كما بالصورة أعاله تم اختيارتطبيقات معينه مثل Psiphon3و TeamViewerوanydesk وال ـ actionهو .. Block
: Filter overridesانشاء تصنيف ( )categoryيكون فيها جميع أنواع التطبيقات التي تكون -3 خطورتها عليه . مالحظة : في حالة قمت بتطبيق (تفعيل) الثالثة األنواع أعاله في بروفايل واحد فأنه يتم أوال تطبيق حسب األولوية -1
Application overrides
-2
Filter overrides
-3
Categories
مثال لو قمنا بالسماح لتطبيق ال Anydeskفي الخيارCategories وبنفس البروفايل قمت بمنع التطبيق نفسه في الخيار Application overridesفأنه سوف يتم تطبيق املنع لهذا التطبيق ألن األولوية ل ـ application overrideعن . Categories الصفحة 80من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ال: ACTION -1 -2
: Allowالسماح لهذا النوع من التطبيقات : Monitorالسماح لهذا التطبيق مع توليد logs
-3
Blockمنع التطبيق مع توليد logs
-4
: Quarantineمنع ولكن مرتبط بزمن محدد ..اي ان اليوزرالذي سيحاول فتح تطبيق معين فأن
فورتي جيت سوف يقوم بعمل ( banحظر)لهذا االيبي حيث بعدها لن يستطيع هذا االيبي ان يطلع انترنت ملده معينه يتم تحديدها مسبقا .. -5
: View Signatureمعرفة التوقيع لهذا التنصيف
هناك بعض الخيارات : -1
: Allow and log DNS traffic
ينصح بتفعيله في بداية مرحله التعلم ( )learningملعرفة التطبيقات املستخدمة ولكن ينصح بإيقافها بعد ذلك ألنها تعمل على اهداراملعالج . : Replacement messages for Http-based application -2 عند تفعيلها سيتم اظهاررساله عند اليوزرعندما يحاول فتح تطبيق غيرمسموح به بأن التطبيق مغلق (.)Blocked
الصفحة 81من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ Web Filter هي عمليه تحكم ومراقبه مواقع االنترنت التي يحاول املستخدم الوصول اليها وحمايه الشبكة املحلية من املواقع الغيرموثوقة ....
❖ ما هو الــ: fortiguard هي عباره عن اشتراك يتم ما بين الفورتي جيت و الفورتي جارد تيم من خالله تم تقسيم URLالى مجموعات ، بحيث تتم عمليه التقسيم عندما يقوم صاحب املوقع بإنشاء موقعه فأنه ملزم بأن يقوم بتصنيف املوقع هل سياس ي او رياض ي او ...الخ أيضا توجد خوارزميات في الفورتي جارد تعمل على تصنيف ال ـ URLعلى حسب محتوى املوقع نفسه ...
❖ ماهي فكره الــ Fortiguard؟ عندما اليوزريطلب موقع مثل www.facebook.comفأن جهازالفورتي جيت يرسل طلب الى الفورتي جارد ملعرفة تصنيف هذا املوقع وبعد ذلك يتم تخزينه()cacheعلى جهازالفورتي جيت .. بحيث لو قام يوزراخربطلب نفس املوقع فال يحتاج الى عمل طلب الى الفورتي جارد .. حيث بعد ما يحصل جهاز الفورتي على تصنيف املوقع فأنه يعمل له actionاملناسب ... الصفحة 82من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ طريقة انشاء : web filter profile
نختاراسم مناسبSecurity profile>web filter>+>Name: >fortiguard category based filter:enabled حيث نحدد التصنيف()categoryثم بالزر األيمن عليها ثم نختارال actionاملناسب لهذا التصنيف هل blockاو allowاو .. monitor
مالحظة :في تصنيف اسمه local categoriesويوجد بداخله نوعين(تصنيفين) هما Custom 1و custom 2حيث ممكن تخصيص مواقع و أضافته اليها .. حيث تستطيع أضافه أي مواقع اليها مثال موقع www.bab.comوذلك بالخطوات التالية >Security profile >web rating overrides >create New URL:www.bab.com الصفحة 83من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Override to :
Category: custom category Sub category: custom 1 ok كما بالصورة ادناه ....
ثم نذهب الى الصفحة 84من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Web filter>+>fortiguard category based filter =enable> Local categories>ثم نختارcustom 1 custom 1 املراد تطبيقه على التصنيفaction ونختارنوع ال ـcustom 1 حيث ننقربالزر األيمن على ..custom 1 املوجودة في الURL على قائمه ال ـactionوبذلك سوف يتم تطبيق ال ـ custom 1 تقوم بتحديد املواقع املراد السمح لها في: الفكره custom 2واملواقع املراد منعها في ال
************************ Static URL filter Security profile>web filter>URL filter:enable>Create New> URL: www.kooora.com Type:simple Action:block Status:enable OK
حممد املرفدي/ إعداد
469 من85 الصفحة
أساسيات فورتي جيت
حيث ممكن أضافه اكثرمن موقع بنفس القائمة حتى وان كانت بـ actionمختلفة .. وكما بالصورة ادناه في البوليس ي(الرول) تم اختيارال ـ web filterاملسمى Web-sitesوالتي تم انشاءها كما بالصورة أعاله ...
الصفحة 86من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اآلن سوف نجرب نفتح املوقع املسمى www.kooora.comعلى جهازالكالينت والذي تم اغالقه كما هو موضح بالصورة أعاله .. *************************************************************
content filter يتم عمل ال ـ actionبحسب املحتوى لهذا املوقع وذلك كالتالي security profiles>web filter>content filter:enable >create New>Pattern Type:WildCard >patern :sex >action:Block Status:enable OK
الصفحة 87من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة هامه : األولوية تكون حسب الترتيب التالي : -1
Static URl filter
-2 -3
Fortiguard filter Web content filter
يعني في حالة تعارض الثالث التصنيفات أعاله فأن األولوية بحسب الترتيب أعاله ...
في حالة اردت ان تطبق الى web filterعلى املواقع httpsفأنه يجب تفعيل خاصيه ssl-certficate inspection=deep inspectionعند انشاء . policy
الصفحة 88من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
web filter بواسطة الsub domain ❖ طريقة اغالق موقع معني باإلضافة اىل Security profiles>web filter>+>static URL filter >url filter >+create new>URL:*fcebook.com Action:block Ok وذلك بسبب الشهادة ولتفادي هذه الرسالهhttps عند فتح موقعinsecure connection طهور رساله نقوم بالخطوات التالية Security profiles>ssl/ssh inspection>download certificate> ثم من املتصفح في اجهزه الكالينت نقوم با استيراد الشهادة Option>privact&security>certificate>view certificates?authorities >import>trusted this CA to identify websites>ok . لن تظهرلك مجدداhttps حيث بعدها نغلق املتصفح ونفتحه فأذا فتحت موقع
حممد املرفدي/ إعداد
469 من89 الصفحة
أساسيات فورتي جيت
❖
بعض التمارين واألمثلة حول الــ web filterواستخدام : static URL filter اغلق الفيسبوك واليوتيوب عن قسم تقنيه املعلومات والسماح لباقي املواقع بشرط عمل تسجيل ل ـ logsللمواقع :
الصفحة 90من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله فأن URLممكن كتابتها بأحدى الصيغ التالية : : Simpleسوف يقوم بتنفيذ مثال ال ـ action=blockعلى املوقع الذي يحتوي على نفس الصيغة بالضبط(حرفيا) مثال www.facebook.comفلو املستخدم حاول يدخل على املوقع فلو قام اليوزر بالدخول على login.facebook.comفان موقع فيسبوك سوف يشتغل معه طبيعي وهذا النوع غير محبب . : Regular Expressionمثال لو كان ال ـ urlمكتوب facebook.comفأن أي رابط يحتوي على facebook.comسوف يتم تطبيق ال ـ actionعليه فمثال لو اليوزركتب Login.facebook.comفأنه أيضا سوف ينطبق عليه ال ـ actionوهكذا .. مالحظة :هذا النوع ال يمكن استخدام الرموز مثال *.facebook.com : Wildcard مثال لو كتبت في urlاملوقع *facebook.comفأن اليوزرلو حاول يدخل على أي رابط يحتوي على facebook.comفأنه سوف يطبق عليه ال ـ. action كمان ممكن ان تستخدم الطريقة * *facebookفأن أي موقع الرابط له بيحتوي على facebookسوف يتم تطبيق ال ـ actionعليه ..
أنواع ال ـ : action الصفحة 91من 469
إعداد /حممد املرفدي
: Exemptيعتبرمثل ال ـ allowأي السماح للترافيك
أساسيات فورتي جيت
: Allowالسماح للترافيك ولكن يتم تمريرالترافيك الى بروكس ي سيرفراخر... : Monitorالسماح مع عمل logللترافيك . : Blockامنع الترافيك ..
الصفحة 92من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم انشاء web filter security profileباسم IT_DEPيقوم باغالق الفيسبوك واليوتيوب ..
الصفحة 93من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
في الصورة أعاله في حالة تفعيل الخيار Block invalid URLفان عند فتح أي موقع غيرصحيح سوف
يعمل له blockاو أي موقع يعتمد على الشهادة وفيها warningفأنه سيتم عمل لها Blockحيث يعتبر هذا املوقع invalidويقوم بعمل منع للموقع.
: Enforce 'Safe Search' on Google, Yahoo!, Bing, Yandexتجبربان عمليه البحث االمن في محركات البحث جوجل وياهو وبينج وياندكس .. : Restrict YouTube Accessفلو الخياركان Strictفهذا يعني يتم فقط فتح الفيدوهات التعليميه فقط في اليوتيوب. ال ـ : moderateيشغل جميع الفيديوهات ماعدا فيديوهات العري وال ـ pornوغيرها .
: Log all search keywordsعمل تسجيل لل ـ logsلكلمات البحث على اليوتيوب .
الصفحة 94من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Restrict Google account usage to specific domainsتقيد حسابات جوجل بحيث يمكن تستخدمها فقط في الشركة في التسجيل بفيسبوك ويوتيوب كما بالصورة أعاله .. : Restrict YouTube access to specific channelsممكن تحديد قنوات محدده على اليوتيوب فقط للسماح فيها مثال نسخ رابط القناه
الصفحة 95من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
سيتم السماح لهذه القناه بالتحديد ...
الصفحة 96من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ لو اريد مراقبه وتسجيل الــ logsأي موقع يتم تصفحه وذلك كما بالصورة ادناه ..
وال يفضل عمل مثل هذا ألنه يسبب حمل شديد على جهازالفورتي جيت ...
كما بالصورة أعاله تم انشاء ال ـ web filter security profileباسم . IT_DEP
الصفحة 97من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Web category based filtering
ال ـ category based filterتستخدم لتطبيق actionمعين على تصنيف معين من املواقع(مثال تريد اغالق كل مواقع الرياضه) ،فبدال من استخدام كتابه كل موقع على حده كما بالطريقة السابقة في Static URl filterفهذا صعب جدا . فبواسطة ال ـ web category basedيتم فقط اختيارالتصنيف( )categoryاملطلوب تطبيق ال ـaction عليه ....
مالحظة :ال ـ FortiGuard category based filterال يعمل على النسخة ال ـVM التجريبية ويجب شراء ال ـ licenseكما بالرسالة التحذيرية املوضحة أعاله "Warning: This device is not licensed for the FortiGuard web filtering service. Traffic may be blocked if this option is enabled. " حيث الفورتي جيت مقسم ال ـ categoryالى قسمين : : Main category -1القائمة الرئيسية مثال Adult/Mature content : Sub category -2القائمة الفرعية حيث تحتوي كما بالصورة ادناه على 15تصنيف فرعي ...
الصفحة 98من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فيمكنك اغالق مثال مواقع القماراملسمى . Gambling
فلو تريد اختياركل ال ـ sub categoryللتصنيف الرئيس ي املسمى Adult/Mature فأنك تقوم بعمل تحديد الكل بالنقرعلى Alt+Aثم تختارال ـ actionاملناسبه كما بالصورة ادناه
الصفحة 99من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 100من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Web category usage quota
ال ـ Warning actionيقصد به عمل تحذيرلليوزرالذي يدخل للمواقع مثال Gambling ويكون دخول املوقع على مسؤوليه املستخدم . حيث بمجرد النقرعلى الزر warningتظهرلك الرسالة التالية
حيث ستظهررساله التحذيرمدتها 5دقائق ... ال ـ : Authenticate action حيث يظهرللمستخدم يوزرنيم وباسورد للدخول للموقع مثال عند دخول اليوزرألي موقع ضمن التصنيف . sex education الصفحة 101من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث تم أضافه جروب ال ـ ITفيجب على اليوزراملراد فتح أي موقع تنتمي ل ـ sex educationان يكون ضمن ال ـ IT groupحيث يجب ان يقوم بإدخال يوزرنيم وباسورد ألي حساب ضمن ال ـ.IT group الصفحة 102من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اآلن سنقوم بعمل Quotaلتصنيف معين وليكن ال ـ online meetingبحيث نحدد مثال ساعه ونصف فقط وبعدها يتم الخروج من املوقع ..
حيث ال يمكن عمل quotaاال للتصنيفات املعمول لها Monitorاو Authenticateاو Warningفي ال ـ ... FortiGuard web category filter حيث يتم استخدام مواقع التصنيف Online meetingملده ساعتين ونصف ومن ثم ظهور رساله ال ـ authenticate
الصفحة 103من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
أيضا اريد ان اسمح ان يتم فتح مواقع ال streaming media and download 500ميجا فقط ..
الصفحة 104من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Web Category Based Filter Overriding تعمل (overrideتجاوز) ألي تصنيف معمول لها blockفي ال ـFortiguard web category ل ـ groupمعين. مثال اريد انا اسمح لجروب اسمه IT_Managersبأن يتجاوز غلق مواقع ال ـ Security Riskالذي تم اغالقه في ال ـ، Fortiguard web categoryوبهذا اليوزرات التي تحت الجروب IT_Managersسوف يسمح لهم بالوصول الى املواقع املدرجه تحت التصنيف . Security Risk
الصفحة 105من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بأنه تم عمل تجاوز -override-لهذا البروفايل للجروب املسماة IT_Managersبحيث يتم تطبيق ال ـ profileاخرمثال اسمه allow-allعلى اليوزرات التي تندرج تحت الجروب ...IT_Managers
الصفحة 106من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Web Rating Override في حالة كان لدينا موقع مثال www.bab.comونفترض بأن املوقع ليس له تصنيف معين او الفورتي جيت غيرقادرعلى معرفة ال ـ categoryالتي يندرج تحتها . او ان هذا املوقع موجود في categoryوتريد نقله الى categoryأخرى فأن بواسطة ال ـ Web Rating Overrideيمكن عمل ذلك .
الصفحة 107من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم تصنيف موقع www.bab.comبانه ينتمي الى General Interest-Business تحت التصنيف الفرعي املسمى . Finance and banking حيث أي موقع تريد معرفة الى أي تصنيف ينتمي نقوم بالخطوات التالية :
بالنقرعلى الزر Lookup ratingسيتم معرفة التصنيف للموقع www.bab.comولكن نظرا ألني اعمل ب fortigate vmوال تحتوي على FortiGuard web filtering licenseفأني غيرقادرعلى االستفاده من هذه الخاصية .. الصفحة 108من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Web Profile overrides يستخدم في حالة وجود يوزراو جروب معين او ايبي معين مطبق عليه web filter profileمعين وتريد في وقت معين ان يتطبق عليه web filter profileاخر...
كما بالصور أعاله يتبين بأن اليوزراملسمى marfadiالذي باألصل ضمن الجروب ال ـIT_Managers والذي في األصل مطبق عليها web filter profile =IT_Depولكن سيتم تطبيق ال ـ web filter profile =allow-allفي هذه الفترة الى تاريخ 2020-08-23الساعة . 15:55:00
الصفحة 109من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
:ADDRESS طريقة انشاء عنوان بحسب املاك ادرس للجهاز
الصفحة 110من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم تحديد هذا العنوان للجهازبحسب املاك ادرس
بحسب الصوره أعاله تم انشاء الرول(البوليس ي)باسم allow_allحيث املصدرعنوان باسم PC-Client- MACوهو عنوان املاك ادرس للجهازالكالينت(.)win 8.1 الصفحة 111من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ Fortinet solution الفورتي جيت :هو ال UTMاو الفايروول او الجهازالرئيس ي بالشبكة حيث يوجد منه نوعين -1
هاردويريسمى appliance
-2سوفتوير vmحيث ممكن تشتغل عليه على VMwareاو ESXI وكالهما يقدموا نفس املميزات او الخدمات حيث يستخدم الفورتي جيت: -1
حمايه الترافيك من الهجمات
-2 -3
حمايه من الفايروسات وال ـWORMS حمايه من االسبام
-4 -5
يعمل ك Bandwidth management يعمل ك fail overو redundancy
حيث يستطيع العمل مع AD
ماهي اجهزه الفورتي نت : -1
Fortigate
-2
Fortimailوينقسم الى نوعين :
-1
Security filterأي يتم أضافه هذه امليزة الى سيرفرامليل الخاص بك مثل سيرفرال ـ exchange
server : Mail server -2يعمل ك mail serverمثله مثل ال ـ exchange serverويعتب اقوى .. -3
: Fortimanagerعباره عن جهازيعمل لك تحكم بكل اجهزه الفورتي التي عندك بالشبكة حتى
5000جهازـتحكم كامل بالسياسات واالعدادات واداره التحديثات ويعمل أيضا مع الجهاز fortianalyzer
الصفحة 112من 469
إعداد /حممد املرفدي
-4
أساسيات فورتي جيت
: Fortianalyzerجهازيقوم بعمل تحليل الترافيك بشكل كامل وأيضا البروتوكوالت التي تمر
بالشبكة ويعطيك تقاريرتفصيليه وبشكل رسومات عن الشبكة والـ logsحيث يعمل دمج كامل مع جهاز ال ـ . fortimanager : fortiDatabase -5عباره عن جهازيوفرلك حمايه من الهجمات الخاصة ب ( databaseقواعد البيانات) : fortiWeb -6عباره عن حل للشركات املتوسطة والكبيرة فقط حيث يستخدم لحمايه التطبيقات من هجمات SQL injectionو attack Dosمثل لو كان لديك تطبيق على الكالود وتريد حمايته : Forticlientبرنامج مثله مثل مكافح الكاسبرالذي بينزل على الجهازالخاص بك ( End point -7 )حيث الفورتي كالينت يعمل ك antivirusو web filterو فايروول ومن مميزاته بانه مجاني ولو عندك جهازفورتي جيت فأنك ممكن ان تستفيد من ميزات إضافية .. -8 -9
: Fortiswitchهو عباره عن جهازمثله مثل سويتشات سيسكو وغيرها : fortiAPعباره عن جهازيعتبرمن الحلول القوية والرائعة في اداره والتحكم بالوايرلس ..
❖: Firewall الفرق بين ال ـ Firewallو Next Generation firewallو UTM الفايروول :عباره عن مبدا يقوم بتحقيق األمان للشبكات من خالل التحكم ب ال ـ incoming or outgoing trafficمن خالل قواعد (ٌ)rulesمعموله على هذا الجهاز مسبقا . حيث الفايرول يوجد منه نوعين -1
هاردوير :يعتبر اقوى من السوفتوير واكثر ثبات و يحقق مبدا األمان
مثل جهاز fortigate firewallمن شركه فورتي نت ، عائله Netscreen firewallمن شركه جونيبر منتج ASA firewallمن شركه سيسكو و أيضا منتج اسمه paloalto firewall حيث كل واحد مهم له مزيا ونقاط ضعف حيث تختار املنتج املناسب لك للمتطلبات التي تحتاجها وايضا الدعم الفني .. الصفحة 113من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
-2
سوفتوير :مثل Zonealarmمن شركه شيك بوينت و pfsenseمن شركه كومودو
Forefrontمن شركه مايكروسوفت مثل TMGوااليزا
➢ تسلسل واشكال الفايرووول :
كما بالصور أعاله -1
: Transparent firewall layer 2
يشتغل على الطبقة الثانية فقط ال غير . ال يحتوي على ايبي اال ايبي الذي عن طريقة بنعمل اداره وتحكم للفايرول ال يعمل nating يعمل فحص للترافيك باستخدام flow basedويمررها على الرول التي قمت بإعداداتها على الفايروول مسبقا . الصفحة 114من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
-2
First generationاو يسمى traditional firewallواحيانا يسمى packet filterألنه يعمل على
الطبقة الثالثه .. يتعامل مع ال ـ IPاال انه في network layer يستطيع عمل فلتر على مستوى الباكت وأيضا يستطيع عمل NATINGو (VPNربط بين الشبكة الدخلية وشبكة أخرى)
-3
: Second generationيعمل في الطبقة الرابعة وهي ( ) transport layerحيث يعتبر الجيل الثاني
من الفايروول (ال يقصد بها ) next generationألن ال ـ next generationحاجه اعلى من ال ـ second . generationحيث تم االنتقال من الطبقة الثانية الى الطبقة الرابعة . -4
: Next generationيسمى اختصارا NGFWحيث
في هذا النوع تم التعامل مع الطبقة الساعة ()Application layerحيث بدا التعامل مع على مستوى التطبيقات وظهر معانا أيضا IPSو bandwidth managementو web filterو ... application filterومن عيوبه هو البطئ مقارنه باألنواع السابقة ألنه كلما حققت حمايه وامان زياده فانه يكون على حساب
السرعة. -5
): UTM(Unified threat management
عباره عن جهاز لديه القدرة على تأدية عده مهام (خصائص) من خالل جهاز واحد حيث يتعبر فايروول و next generation firewallو يحقق لك ال ـ load balancingو ) data leak prevention (PLDو gateway antispamو gateway Antivirusو app firewallو هذا هو النوع اللي سوف نشرحه ونتعامل معه حيث هذا الجهاز يحقق لك كل نقاط الحمايه في الشبكة من خالل جهاز واحد فقط وهو . UTM
الصفحة 115من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Bandwidth ,Throughput ,Concurrent Sessions
مصطلحات مهمه : -1
: Bandwidthهو اقص ى عدد للباكت تمر داخل القناه (اي القدرة االستيعابية
لهذه القناه) .. -2
: Throughputهو عدد الباكت التي بيمر حاليا عندما الجهاز يتعامل(يتصل) مع
جهاز اخر ... -3
: Concurrent sessionsهي عباره عم عدد ال )sessions )connectionsالذي
يستطيع فيه الفايروول التعامل معها بنفس الوقت . حيث عند فتح صفحة انترنت تعتبر جلسه او session او فتحت برنامج سكايب يعتبر جلسه وهكذا ...
الصفحة 116من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 117من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
FortiGate Series
كما باصوره أعالهألحدى منتجات الفايروول فورتي جيت .. •
6منافذ شبكة ()Lan
•
2منافذ wanتستطيع توصيل فيها 2خطوط انترنت ..
•
واملنفذ DMZتستطيع توصيل السيرفرات التي سوف يتم الوصول اليها عبر االنترنت (سيرفرات
موجودة بالشبكة الداخليه ولكنك سوف تسمح بالوصول اليها من خارج الشبكة عبر االنترنت). •
منفذ الـ USBيستخدمألخذ نسخه باك اب من االعدادات الخاصة بالجهاز او لو اردت أضافه
firmwareجديد للجهاز . •
: Console portيستخدم لعمل االعدادات لجهاز الفورتي ويستخدم ذلك عندما تقوم بشراء جهاز
فايروول جديد .
الصفحة 118من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
موديالت فورتي جيت : -1
: Entry levelتستخدم للشركات واالعمال الصغيرة .
-2
: MID RANGEتستخدم للشركات الكبيرة .
-3
: HIGH-ENDيستخدم لشركات مزودي الخدمة ()ISPوهو اقوى األنواع
-4
: Virtual appliancesيتم تنزيلها على احدى منتجات االنظمة الوهمية ومن ثم يعمل كفايروول .
يتم تحديد موديل معين للشراء وذلك بحسب احتياجاتك في العمل وذلك بعد ما تقرا موصفات املوديل وأيضا يجب ان تحدد احتياجاتك انت مثال كم لديك خطوط انترنت وكم سرعتهم وماهي الخصائص او املميزات التي سوف تحتاجها بالشركة عندك. هل ستحتاج vpnام ال! وان كان نعم كم عدد الناس الذين سوف يعملوا معاك vpn
Operating system OS key features 5 2 ماهي مميزات ال fortiOSاو نظام التشغيل لجهاز الفورتي جيت
حيث أي جهاز فورتي جيت يكون في نفس املميزات(الخصائص) أعاله تقريبا ... الصفحة 119من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Home lab Design أي جهاز فورتي جيت فايروول (حقيقي وليس وهمي )يكون االيبي االفتراض ي له هو 192.168.1.99 ويمكنك الوصول اليه عبر ال PINGو HTTPو HTTPSوذلك عبر أي منفذ lanفي الجهاز ... حيث املنفذ lan1يكون مفعل عليه DHCPأي بمجرد توصيل كيبل الشبكة لل ـ port1الى االبتوب الخاص بك فأن كرت الشبكة في االبتوب سوف يأخذ ايبي من نفس الرينج . 192.168.1.0 بعكس لو قمت بتوصيل الكيبل بين االبتوب و … port2,3,فأنه يجب عليك ان تكتب ايبي لكرت الشبكة
لالبتوب من نفس الرينج 192.168.1.0بشكل يدوي .. اليوزر نيم االفتراض ي يكون adminوالباسورد (ال يوجد باسورد)
األشياء (املميزات)التي توجد بالفايروول معتمده بشكل رئيس ي على الترخيص(اليسنز) مثل -1
Antivirus
-2
Antispam
-3
Web filter
-4
Ips
وهذه األشياء يجب ان تشتريها وتجددها سنويا من شركه فورتي جيت .. لكي تتمكن من تنزيل ال ـ vm fortigateيجب ان يكون لديك حساب على https://support.fortinet.com ولن تتمكن من انشاء حساب اال لو كنت مشتري جهاز من شركه فورتي جيت.. حيث عن طريق الرابط أعاله يمكنك عمل تسجيل لجهاز الفورتي جيت التابع لك او عمل تجديد للترخيص للجهاز(أيضا يمكنك عمل هذا أيضا من خالل صفحة الويب التابع لجهاز الفورتي جيت نفسه) وأيضا يمكنك تنزيل ال firmwareالجديد او قطع ticketللتواصل مع شركه فورتي في حالة مواجهه مشكله ما او عمل chattingمعهم .. الصفحة 120من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
FortiGate basics Registering FortiGate عند شراء جهاز جديد يجب ان تعمل له تسجيل في موقع الدعم الخاص بفورتي نت وذلك لكي تقوم بتفعيل الجهاز الخاص بك وبهذا تسمح لجهاز الفورتي جيت الخاص بك بأن يستلم التحديثات من الفورتي جارد ()fortiguardالخاصة ب IPSو AVو Antispamو web filteringو . application control وأيضا لكي تتمكن من عمل upgrade OSللجهاز.. ولكي تقوم بالتسجيل يجب ان يكون جهاز الفورتي جيت موصل باإلنترنت .
❖ طريقة عمل
Registration
جلهاز الفورتي جيت :
القوائم الرئيسية للفورتي جيت : -1
: Systemهي االعدادات الرئيسية للفورتي جيت
-2
: Policy&objects
الـ ـ policyهي السالح الخاص بك في الفورتي جيت الذي يتم استخدامه لتطبيق كل الروالت على الشبكة الخاصة بك او على املستخدمين . ال ـ objectsهي اللي بيتطبق عليها البوليس ي مثل address –services-schedule-traffic shaperوغيرها .. -3
: Security profiles
هي االعدادات األمنية مثل الويب فلتر او IPS
-4
: User& devises
خاص باملستخدمين واألجهزة التي سيتعامل معها الفورتي جيت. -5
: Logs&reportsعباره عن التقارير وال ـ logsعلى أي ش ي يحصل لدي في الشبكة .
ما هو :operation modeهي طريقة عمل جهاز الفورتي جيت،حيث الفورتي جيت يعمل في mode 2هما -1
NAT mode الصفحة 121من 469
إعداد /حممد املرفدي
-2
أساسيات فورتي جيت
Transparent mode
مالحظة: جهاز الفورتي جيت ال يحتوي على ازرار إيقاف التشغيل او اعاده التشغيل بل يمكنك ذلك من CLIاو من . GUI
ماهي ال: features هي الوظائف التي اجعل جهاز الفورتي جيت يلعبها مثال VPNو AVو IPSو.... IPV6الخ
بعض الوظائف ال تحتاجها في الشبكة عندك مثل IPv6فاألفضل إيقاف هذه الوظيفة ()featuresلكي
نقلل من استهالك مصادر الجهاز( )Ram,HDD,CPUوتزويد عمره االفتراض ي فاألفضل تعمل لها .. OFF
الصفحة 122من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله فأن جهاز الفورتي جيت ال يدعم . IPV6 حيث ال ـ featuresمقسمه الى جزئين : -1
: Core Featuresهي الخصائص الخاصة بالشبكة ليس لها عالقه ب ـ securityمثل advanced
routingو IPv6و VPNحيث استطيع تشغيلها بدون ترخيص ( .)license -2
: Security featuresهي الخصائص الخاصة بالحماية مثل AV,application control,ips,web
filter,email filterوهذه الخصائص ال تعمل اال بترخيص ويمكن تعديل الخصائص من features setواختيار املناسب لك مثال full UTMحيث سيقوم بتشغيل كل الخائص()features
الصفحة 123من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم تحديد كل security featuresكما بالصورة أعاله..
الصفحة 124من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
عند اختيار . features set=NGFW ولدينا خيار يسمى ADVANCE THREAT PROTECTION=ATP
حيث هنا قمنا فقط بتفعيل الخاصية ولكننا لم نقم بعد بتطبيقها على أي احد بالشبكة (أي تطبيقها
كروول على اليوزرات او االجهزه).
فلو تريد مثال جعل جهاز الفورتي جيت يعمل ك dns serverفأننا نقوم بتفعيل الخاصية DNS Databaseوليس فقط .dns forwarder الصفحة 125من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فبمجرد تفعيل DNS Databaseفأنه تظهر لك قائمه باسم DNS SERVERكما بالصورة ادناه
ما هو Revisionsيف الفورتي جيت : هي عباره عن عمليه باك اب ولكن بدون ما اقوم بحفظ نسخه الباك اب ( )configuration fileفي مكان معين .. حيث بمجرد ما اعمل revisionsكأني عملت checkpointاو نسخه احتياطيه لإلعدادات وحفظتها على نفس جهاز الفورتي جيت.. واستطيع ارجاها باي وقت ...
الصفحة 126من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث كما بالصورة أعاله تم عمل نسخه باك اب لإلعدادات وتم حفضها على جهاز الفورتي جيت نفسه ...
االن سنقوم بعمليه االستعادة ل ـ checkpointكما بالصورة التالية
الصفحة 127من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
سيتم استرجاع النسخة باالعدادات التي كانت عليها في تلك اللحظة بعد اعاده تشغيل الجهاز ..
واألفضل كما انك تأخذ نسخه باك اب العادية باإلضافة الى طريقة revisionsبحيث لو تعطل جهاز الفورتي جيت فأنك لن تستطيع بإخذ باك اب من داخل الجهاز نفسه الخاصة ب ...revision
الصفحة 128من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖)NTP server(Network time protocol حيث سنجعل جهاز الفورتي جيت يعمل ك NTP serverأي جعل االجهزه تأخذ الوقت والتاريخ من جهاز الفورتي جيت ..
نقوم أوال بالتأكد بأن الوقت والتاريخ واملنطقة الزمنية على الفورتي جيت مضبوطة حيث سيتم عمل مزامنه للوقت والتاريخ بين جهاز الفورتي وسيرفر fortiguard ntp serverكل 60دقيقه. حيث سيتم تفعيل ntp sererعلى املنفذ port1وهو املنفذ الذي موصول عليه الشبكة املحلية لألجهزة بالشبكة وسيتم توزيع الوقت والتاريخ لألجهزة املتوصله باملنفذ port1
الصفحة 129من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم الحفظ باإلعدادات كما بالصورة أعاله ... ثم من على اجهزه الشبكة نقوم بتعديل االعدادات لديهم بأن ال ntp serverهو عباره عن ايبي 192.168.2.20وهو port1للفورتي جيت.
الصفحة 130من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ تصميم الشبكة :
الفورتي جيت سوف يكون Edgeالحافه (حافه الشبكة). كما بالصورة أعاله فأن الفورتي جيت يكون في املنتصف أي بين االنترنت والشبكة الداخلية لذا يسمى edgeألنه هو اللي يحمي الشبكة الداخليه من الهجمات القادمة من االنترنت.. هناك طرفين واحد امام الفورتي جيت(االنترنت) والطرف االخر خلف الفورتي جيت وهو الشبكة الداخليه(.) LAN في اجهزه تكون في املنتصف تسمى DMZاو الشبكة املعزولة ..
حيث ال ـ DMZهي شبكة معزولة ومرتبطة بالفورتي جيت لكنها ليست LANوال هي internetهي ما بين االثنين . حيث ال ـ DMZمكان بيتم وضع السيرفرات التي على الشبكة املحلية ولكنك تريدها ان تكون متاحه للناس ان يصلوا اليها من برع الشبكة (أي من خالل االنترنت)
الصفحة 131من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث هي مرتبطة بـ lanألنها موجودة أصال في الشبكة املحلية ومرتبطة باإلنترنت ألن أي احد يريد ان يصل اليها عبر االنترنت ممكن أيضا ان يستفيد من خدمات هذه السيرفرات .. مثل خدمه Web serverاو . mail server
أي ش ي خلف الفورتي جيت يسمى LANمهما كان اسمه سواء سيرفرات او اكسس بوينت او اجهزه عاديه او سويتشات ..الخ وجميعها سوف تكون تحت سيطرة الفورتي جيت .
مالحظة: السيرفرات التي ستوفرها على االنترنت مهما كانت الخدمة املقدمه يجب ان تكون خلف الفايرول وفي DMZلكي تحمي تلك السيرفرات.
سيناريوا اخر للتصميم الشبكة للربط بين الفروع : نفترض لديك مركز رئيس ي وفرع اخر في مكان اخر وكل فرع يوجد لديه انترنت وايضا يحتوي على جهاز فورتي جيت .
حيث الفرعين متوصلين مع بعض عبر االنترنت عن طريق ال ـ.VPN حيث يصبح الفرعين متوصلين مع بعص وكانهم شبكة واحده ..
الصفحة 132من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وأيضا لو لدي جهاز موبايل او البتوب موجود في دوله أخرى حيث استطيع ان اتحكم بهذا الجهاز عبر الفورتي جيت املوجود باملركز الرئيس ي عبر برنامج يسمى كالينت ايند بوينت يتم نزوله على االبتوب او املوبايل..
Advice administration طرق التعامل مع جهاز الفورتي جيت والتحكم فيه من اعدادات وغيرها .. -1
): Web GUI(http,httpsيجب ان يكون لديك متصفح انترنت تدخل من خالله بااليبي التابع
للفورتي جيت. -2
): CLI(console,Telnet,ssh,GUI widgetهنا يتم التعامل مع جهاز الفورتي جيت باالوامر
command lineباحدى الطرق التالية : :console – Aتوصيل كيبل كونسول لالبتوب وبواسطة برنامج مثل puttyوبتوصل للفورتي جيت بدون ماتحتاج الى ايبي الفورتي جيت (حتى لو مش عارف االيبي للجهاز يتم استخدام هذه الطريقة).
الصفحة 133من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
:telnet -Bيتم الدخول الى الفورتي جيت عبر برنامج مثل puttyبواسطة ايبي الفورتي جيت من أي مكان
بالشبكة . : SSH-Cيتم الدخول الى الفورتي جيت عبر برنامج مثل puttyبواسطة ايبي الفورتي جيت من أي مكان بالشبكة حيث يعتبر نفس ال telnetولكنه اكثر امانا ألنه مشفر .
الصفحة 134من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة:ال يمكنك الوصول الى الفورتي جيت سواء sshاو telnetعبر برنامج ال ـ puttyاال بعد عمل االمر Set allowaccess ssh telent لكرت الشبكة الخاص بالفورتي املراد الوصول اليه .. : GUI Widget – Dشاشه سوداء مثل CMDيتم الوصول اليها من GUIكما بالصورة ادناه .
الصفحة 135من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ طريقة رفع مستوى األمان عند الوصول اىل جهاز الفورتي جيت ..
حيث البورتات االفتراضية حسب الصوره أعاله فاألفضل تغيير ارقام البورتات مثال https:443ويتم تحويله الى 4433مثال ولذا عند الدخول الى الفورتي جيت يجب ان تقوم بكتابه البورت كما التالي: 192.168.2.20:4433 وهكذا .. خيار :5= idle timeoutهذه الخاصية بتجبر الفورتي جيت على عمل logoutبعد مرور 5دقائق وبعدها
تجبر اليوزر بإدخال اليوزرنيم والباسورد مره أخرى كنوع من األمان .
Device administration : Administratorاألشخاص الذي لهم صالحيات للدخول للفورتي جيت والتعامل معه وعمل اداره للجهاز وأنواع ال ـ administratorهي: الصفحة 136من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
-1
: )super admin( Full adminهو الذي له صالحيات على كل الفورتي جيت بدون أي تقييد
-2
: Prof adminهو نوع من ال ـ administratorالذي لديه صالحيات عاليه جدا ضمن بيئه اسمها
) SVD( single virtual domain -3
: Custom profileالوصول الى صالحيات محدده حيث أقوم بتحديدها انا له.
: Admin profileهي االعدادت التي أقوم بإعدادهاألحدى الـ administratorأعاله لكي يصل اليها .. : Permissionهي الصالحيات ( ) read,write,noneالتي سيتم تحديدها لل ـ. administrator طريقة انشاء administratorجديد :
الصفحة 137من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اسم ال ـ administratorهو hosamونوعه local userوتم تحديد الباسورد له وأيضا يجب ان تحدد administrator profileلهذا اليوزر بإحدى األنواع كما ذكرناها أعاله .. حيث لو تريد ان تقوم بتخصيص custom profileفيجب عليك انشاء أوال custom profileوذلك بحسب الصوره ادناه
حيث اسم البروفايل هو show_onlyوله صالحيات القراءه فقط على كل األشياء(األشياء )التي سوف اتعامل معاها كما بالصورة أعاله .. حيث صالحيه ال noneمعناها بأن هذه الشاشة لن تظهر نهائيا لليوزر. و : readللقراءه فقط وال يمكنك التعديل عليها ، و : read/writeيمكنك التعديل على الشاشات ..
الصفحة 138من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
يوجد لدينا االن 3بروفايالت كما بالصورة أعاله ... اآلن يمكننا تحديد البروفايل املناسب مثال show_onlyلليوزر hosamكما بالصورة ادناه
الصفحة 139من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله يوجد لدينا 2يوزرات ..
االن سوف ندخل للفورتي جيت من خالل اليوزر الذي أنشأناه سابقا
الصفحة 140من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بان الشاشات بهذا اليوزر هي read onlyوال يمكن لهذا اليوزر التعديل ... سوف نقوم بإنشاء بروفايل جديد باسم Yasser-itحيث تم إخفاء عنه بعض الشاشات مثل security fabricو ، fortiView كما تم تحديد صالحيه read/writeبعض الشاشات وتخصيص بعضها كما بالضور ادناه : الصفحة 141من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 142من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
االن سنقوم بإنشاء يوزر باسم Yasserمثال ونحدد له البروفايل . Yasser-it
الصفحة 143من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
سيتم الدخول لهذا اليوزر بالصالحيات والشاشات التي تم تحديدها بالبروفايل . Yasser-it
❖ مالحظة : ممكن تعطي يوزر معين بأن يكون له صالحيات لـ vpn connectionبالشركة فقط فلذا ليس له داعي ان يفتح كل الصالحيات ويعدل عليها وبهذا انا رفعت مستوى األمان وقمت بعمل تخصيص لألعمال ..
➢ ما هو : Trusted hosts
الصفحة 144من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
هذا الخيار معناه قم بتقييد اليوزر املسمى Yasserبأنه ال يمكنه الدخول الى الفورتي جيت اال عن طريق اجهزه معينه (جهاز موثوق فيه)مثال احدد جهاز معين عندي بالشبكة فقط وليكن 255.255.255.255/192.168.2.140حيث لو حاول هذا اليوزر بالدخول الى الفورتي جيت من أي جهاز اخر فأنه لن يستطيع ذلك .
أي ان اليوزر Yasserلن يستطيع الدخول الى الفورتي جيت اإل من الجهاز 192.168.2.140حتى وان كان
لديه اليوزر نيم والباسورد .. قمنا بالدخول الى الفورتي جيت من خالل جهاز الكالينت 192.168.2.140
الصفحة 145من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فلو قمت بتغيير ايبي الجهاز الى 192.168.2.160بدال عن 192.168.2.140فان اليوزر Yasserال يمكنه الدخول الى الفورتي جيت بالرغم من ان اليوزر نيم والباسورد صحيحين ..
الصفحة 146من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ Interface ip address للتعامل مع الـ interfacesالتابعه للفورتي جيت كما بالصورة التالية حيث يظهر لك كل ال ـ interfacesلجهاز الفورتي جيت
حيث بتوضح اسم ال ـ interfacesونوعه وااليبي وطريقة الوصول اليه)... )administrative access حيث في ال ـ vmيتم تسميه ال ـ interfacesب portويمكن التعديل على تلك األسماء كما تريد ، اما بجهاز الفورتي الحقيقي يكون اسمه internalاو wan1او wan2او . dmz
فعندما تريد ضبط اعدادات interfaceمعين وليكن port1فأننا ننقر عليه نقرتين فتكون كما بالشكل التالي
الصفحة 147من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اسم ال ـ interfaceهو port1ويمكن عمل له aliasباي اسم تريد ان تعبر عن هذا املنفذ مثال lan1ونحدد طريقة تحديد(تعيين) االيبي للـ interfaceهل manual or dhcp حيث يفضل في ال ـ lanيكون manualاما لل ـ wanيكون dhcp ونالحظ بأن طريقة الوصول كما بالصورة أعاله لهذا interfaceعن طريق https http ping telnet ssh
اما خيار secondary ip addressفهو في حالة تريد إعطاء ال ـ interfaceاكثر من ايبي حيث يمكنك الوصول اليه بأي ايبي منهم..
الصفحة 148من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 149من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث اصبح لدينا 2ايبي لل ـ interfaceاملسمى lan1وهما 192.168.2.20و 10.0.0.20 حيث نقوم بالدخول على جهاز الكالينت 192.168.2.140ونظيف لكرت الشبكة ايبي إضافي من نفس الرينج مثال 10.0.0.140
الصفحة 150من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تمكنا بالدخول الى الفورتي عبر االيبي 10.0.0.20طبيعي جدا ..
الصفحة 151من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اما في ال ـ interfaceالذي سنجعله ك wanفأننا سنجعله يأخذ االيبي من dhcp serverوهو
الروتر(املودم) ألننا ليس بحاجه ان ادخل الى الفورتي جيت من خالله في الواقع لذا ليس من الضروره ان تقوم بجعله static ip
تم تحديد بأن تعيين االيبي للبورت port2سيكون من خالل dhcp server
كما بالصورة أعاله تم اخذ االيبي 192.168.1.102من الروتر(املودم)الخاص بي في البيت .. مالحظة:في حالة dhcpفأنه ال يحتوي على خاصيه . secondary ip address
الصفحة 152من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ )Static route(default gateway)(static gateway طريقة لجعل جهاز الفورتي جيت يطلع الى االنترنت(يحصل على االنترنت). ملاذا نريد ان يحصل جهاز الفورتي جيت على االنترنت : – 1ألن الفورتي جيت هو البوابه للشبكة الداخليه فلو كان الفورتي جيت غير قادر على الوصول الى االنترنت فأكيد جميع االجهزه بالشبكة الداخليه لن يوصلوا الى االنترنت . -3
جهاز الفورتي جيت يجب ان يكون واصل له انترنت لكي يحصل على التحديث من الفورتي جارد
فبدون انترنت ال يمكن للفورتي جيت تجديد االيسنز وال يستطيع تحديث قواعد بيانات كل من الAV و IPSو Web filteringو ...الخ الفكره في static routeهي عمليه توجيه البيانات من الشبكة الداخليه( )lanالى االنترنت ...
أوال نقوم بتعيين ايبي لكرت ال ـ wanمن نفس رينج الروتر او نجعله يأخذ من . DHCP
الصفحة 153من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم نتأكد فقط من اعدادات ال ـ dnsللفورتي جيت بالرغم ان بشكل افتراض ي تكون مفعله fortiguard
DNS
الصفحة 154من 469
إعداد /حممد املرفدي
أخيرا يجب ان نقوم بتحديد ال ـstatic route
أساسيات فورتي جيت
حيث قمنا بإنشاء static route حيث قمنا بعمل التالي : لو أي شخص يريد الوصول الى ال 0.0.0.0/0.0.0.0الذي هو االنترنت (شبكة االنترنت)عن طريق املنفذ ) wan(port2خرجني عبر الجيتواي 192.168.1.1الذي هو ايبي الروتر(املودم) . بعدها ندخل الى cliونختبر هل جهاز الفورتي حصل على االنترنت ام ال
Execute ping google.com
الصفحة 155من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله توضح بأن الفورتي جيت حاصل على االنترنت حاليا...
:Password recoveryطريقة الستعاده الباسورد في حالة نسيان الباسورد التابع لل ـ adminوذلك كالتالي: -1
ندخل عن طريق الكونسول بواسطة تركيب كيبل الكونسول للفورتي جيت ثم بواسطة برنامج الـ
Puttyو باإلعدادات كما بالصورة ادناه
الصفحة 156من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
-2
ثم الدخول في وضع الصيانة( )maintainerنقوم بتعين باسورد جديده ليوزر ال ـadmin
حيث في هذا الوضع سوف اكتب اليوزرنيم هو maintainer والباسورد هو السيريال الخاص بجهاز الفورتي جيت ثم اكتب األوامر التالية : الصفحة 157من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم نقوم بإعادة تشغيل الفورتي بواسطة االمر
#execute reboot ومن ثم ندخل باليوزر adminوالباسورد التي تم تعينها وهي . 1010 مالحظة:هذه الطريقة يجب أن يكون maintainer modeيكون enabledلكي استطيع ان اطبق هذه الطريقة وللعلم هذا ال modeمفعل بشكل افتراض ي فلو قمت بجعلها DISABLEDفلن تتمكن من تطبيق هذه الطريقة .. مالحظة:في شاشه ال maintainer modeيعطيك فقط 14ثانية فقط إلدخال اليوزرنيم والباسورد لذا يجب ان تكون سريع في كتابه maintainerوالباسورد ..
❖ طريقة عمل DISABLEلــ MAINTAINER MODEكما باألوامر التالية : #config sys global #set admin-maintainer disable الصفحة 158من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ولو تريد تفعيها مره أخرى نكتب . enable : Password policyسياسه اعدادات الباسورد عند الوصول للفورتي جيت مثال يوزرنيم adminحيث ممكن الباسورد له 123وهذا غير آمن ويجب ان تكون اكثر تعقيدا لذا يجب ان تفرض على الفورتي جيت ان يجبر ال ـ administratorان يقوموا بتعيين باسوردات معقده
كما بالصورة أعاله -1
تم تفعيل password policyليكون ليوزرات ال adminالذي يقوموا بعمل اداره لجهاز الفورتي
جيت وايضا لـ pre-shared keyالخاص ب IPsecالخاص ب ـ( vpnوهو الباسورد الذي يكون بين الكالينت والسيرفر في حالة االتصال بطريقة .) vpnحيث ممكن تحديد مستوى الpassword policyألحداهما
فقط وليس لكليهما . -2
طول الباسورد يكون على االقل 8حرف
-3
ثم حسب ما تريد هل تريد ان تجبر االدمن ان يجعل الباسورد يحتوي على حروف كبيتل و اسمول
وأرقام ورموز وأيضا ان تجعل مده انتهاء الباسورد هي 90يوم بعدها يطلب من االدمن تغيرها اجباري ...
الصفحة 159من 469
إعداد /حممد املرفدي
#end
أساسيات فورتي جيت
مثال :
بحسب الصوره أعاله : اقل عدد من الحروف(ارقام او رموز)للباسورد هو 10 على األقل يجب ان يكون هناك حرف واحد كبتل في الباسورد على األقل يجب ان يكون لديك 3حروف سمول في الباسورد على األقل يجب ان يكون لديك 3ارقام في الباسورد يحتوي على األقل رمز واحد ()specialمثال ! @ # $ يجب خالل 60يوم ان تقوم بتغيير الباسورد
الصفحة 160من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ كما بالصورة أعاله بأنه عند مطالبتي بتعيين الباسورد تم االشاره الى تعقيدات الباسورد .. مثال : M@rfadi123
الصفحة 161من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖
كيف تفعيل DHCP serverعلى الفورتي جيت حبيث االجهزه بالشبكة
تأخذ االعدادات () DNS،Gateway،IPمن جهاز الفورتي جيت :
: Dhcp clientهي ال ـ serviceالتي بتتيح لك بأن تستفيد من خدمات السيرفر ()Dhcp serverحيث يجب ان تكون startedو enabledفي جهاز الكالينت(.) by default
*صوره من جهاز الكالينت .. حيث ال dhcp serverسوف يقوم بتوزيع االعدادات التاليةألجهزه الكالينت ..
الصفحة 162من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث بمجرد ان تقوم بتفعيل الخيار Obtain an IP address automaticallyفي كروت الشبكةالجهزه الكالينت فأن ال dhcp serverسيقوم بتوزيع االعدادات كما بالصورة أعاله اما في حالة عدم وجود dhcp serverشغال بالشبكة فأن اجهزه الكالينت ستأخذ ايبي من apipa(automatic private ip ) addressوهذا رينج من االيبيهات يبدا من 169.254.255.254- 169.254.0.1حيث سياخذ الكالينت هذا االيبي الى ان يصبح ال dhcp serverمتاح بالشبكة ويوزع ايبي للكالينت .. حيث ساقوم بتفعيل الـ dhcp serverفي جهاز الفورتي جيت على ال ـ lan1 interfaceألن هذا الكرت الذي متوصل بالشبكة الداخليه لكي يوزع االعدادات لكل اجهزه في الشبكة الداخليه ... مالحظة :
الصفحة 163من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
بمجرد ان تقوم بتفعيل الخيار Obtain an IP address automaticallyفي كروت الشبكةالجهزه الكالينت فأن جهاز الكالينت هو الذي يطلب االعدادات من ال ـ dhcp serverوذلك عن طريق عمل رساله broadcastsفي الشبكة لكل االجهزه، فـ dhcp serverهو الذي سيرد على هذا الجهاز بال configurationباإلضافة الى فتره العقد او االيجار(وهي الفترة التي سيحتفظ فيها الكالينت باالعدادات املرسله من dhcp serverفي الشبكة وبعد ذلك ينتهي )حيث يسمى هذا العقد ب ـ . leased duration حيث نفترض بان leased duration =7 daysفأن بعد 7أيام سيفقد الكالينت االعدادات املرسله من
dhcp serverويجب ان يقوم بعدها الكالينت بعمليه الطلب مره أخرى ..
اآلن سنقوم بعمل االعدادات على جهاز الفورتي جيت : يجب ان يكون الكرت lan1يأخذ static ipأي ... Manual
كما بالصورة ادناه قمنا بتفعيل الdhcp server
الصفحة 164من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وأيضا الرينج من االيبيهات التي سيتم توزيعها سوف تكون 192.168.20.254-192.168.20.21حيث كل اجهزه الكالينت سوف يكون االيبي التابع لها من نفس هذا الرينج .. وأيضا سيقوم بتوزيع الmask=255.255.255.0 و Default getwat=Same as interface ipوالذي سيكون نفس ايبي كرت ال ـlan1=192.168.2.20
DNS server= Same as system DNSوالذي سيكون نفس ايبي كرت dnsالتابع للفورتي جيت والذي قمنا بتحديده سابقا في قائمه ال ـ dnsكالتالي 8.8.4.4 8.8.8.8 او تختار Same as interface ipوسوف يكون هو ايبي ال ـ lan1للفورتي جيت ويمكنك تخصيص أي ايبي تريده وذلك بتحديد الخيار Specifyوتكتب االيبي املطلوب توزيعه ك DNS مثال ايبي الدومين . DC
بعض األوامر( )Cmdالتي يتم تطبيقها على اجهزه الكالينت : Ipconfig امر يقوم باستعراض كل االعدادات لكروت الشبكة من dns,gateway,ip ,mask
الصفحة 165من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Ipconfig /release معناها افقد (تخلص)من االيبي اللي عندك (على جهاز الكالينت) حيث يصبح كرت الشبكة للكالينت بال أي ايبي وال أي اعدادات.
الصفحة 166من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Ipconfig /renew معناه ابحث لي عن اعدادات جديده من أي dhcp server
او ممكن عمل disableو enableلكرت الشبكة على جهاز الكالينت بدال عن هذا االمر ..
الصفحة 167من 469
إعداد /حممد املرفدي
نالحظ كما بالصورة أعاله بأن جهاز الكالينت اخذ االعدادات من الdhcp server .
أساسيات فورتي جيت
في حالة اردت ان تعرف ماهي األجهزة التي اخذت اعدادات من ال dhcp serverعن طريق الفورتي جيت نقوم بالدخول كما بالصورة ادناه.
حيث اسم الجهاز الكالينت هو pc1واملاك ادرس موجود وااليبي الذي اخذه هذا الجهاز وأيضا leased duration ❖
طريقة تعديل الــ leased durationيف الــdhcp server :
القيمة االفتراض ي ل ـ leased durationهي 7أيام حيث يمكن تعديل هذه القيمة من خالل CLIفي الفورتي جيت كما بالتالي: حيث الهدف من تعديل الفترة (القيمة)هو تقليل ال trafficما بين الكالينت والسيرفر حيث في الغالب اجهزه الكالينت من نوع PCمش محتاج ان تقوم بتغيير االيبي كل فتره وأخرى ألن تلك االجهزه ثاتبه في الشركة بعكس اجهزه املوبايل و االبتوبات التي ممكن تتغير كل فتره وفتره.. لذا بحسب السيناريو عندك بالشركة فلو كانت اجهزه pcفاألفضل ان تقوم بزياده فتره leased durationلكي نقلل من ال ـtraffic
االن سنبدأ عمليه التعديل من خالل للفورتي جيت:
الصفحة 168من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
دائما فتره ال leased durationستكون التعديل بالفورتي بالثواني فقط ويجب ان يكون ما بين 300ثانية – 8640000ثانية ،اي ما بين 5دقائق الى 100يوم وفي حالة اردت ان تكون الفترة غير محدودة فنكتب القيمة 0 حيث لحساب عدد الثواني مثال ل ـ 30يوم
24 hours x60 min x60 sec x 30 days= 2592000 sec
ثم سنقوم بتنفيذ االمر ipconfig /renewعلى جهاز الكالينت وسنالحظ بأنه تم تعديل ال leased duration
بعد كتابه االمر ipconfig /allفي جهاز الكالينت ظهرت كل املعلومات لهذا الجهاز (ip,mac address ) ,subnet mask,gateway,dns, leased obtained,leased expires حيث سنقوم يتعديل ال ـ lease timeالى 3اشهر = 7776000ثانية ..
الصفحة 169من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وأيضا كما بالصورة أعاله من الفورتي جيت بأن ال leased durationهو 3اشهر..
فلو اردنا عمل تعيين ايبي محدد لجهاز ما وليكم PC1 نقوم بالدخول الى dhcp Monitorثم نحدد الجهاز املراد تخصيص ايبي محدد وليكن مثال 192.168.2.21ومن ثم نختار التبويب املسمى Reservation ثم createثم نالحظ بأن الجهاز الكالينت املسمى pc1كان اخذ ايبي 192.168.2.21واالن سوف نجعله دائما يأخذ االيبي192.168.2.121
الصفحة 170من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم تحديد بأن الجهاز PC1صاحب املاك ادرس أعاله يجب تخصيص له االيبي . 192.168.2.121
االن سوف ندخل على الكالينت ونعمل له االمر Ipconfig /renew او اعداه تشغيل للجهاز او disableو enableلكرت الشبكة فسنالحظ بان الجهاز اخذ االيبي 192.168.2.121كما تم تحديده.
وايضا في الفورتي جيت نالحظ بأن الجهاز اخذ reservedكما بالصورة ادناه االيبي192.168.2.121 الصفحة 171من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
)DNS(domain name service ال ـ dsnعباره عن ش ي اختياري بالشركة حيث انه مهم في حاالت كثيره ولكنه ليس أساس ي.. و وظيفته هي تحويل من االسم الى االيبي او العكس ،عند طلب موقع معين مثال www.bab.comفأن ال ـ dnsيقوم بعمل resolveمن االسم الى االيبي ألن الشبكة-األجهزة -ال تعرف تتعامل مع األسماء بل مع االيبيهات فقط..
فلوا اردت معرفة االيبي ألي جهاز كمبيوتر او ألي موقع فأننا نقوم بعمل بينج وهو سيظهر لك االيبي لهذا الجهاز او املوقع Ping bab.com حيث يحتوي ال dns serverعلى databaseمكونه من)records from name to ip(host الصفحة 172من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
او )from ip to name (ptr حيث الفورتي جيت يشتغل ك dns forwarderاو . dns server
حيث لو كانت ال databaseموجودة على جهاز الفورتي جيت فهذا يعمل كdns server ام الخيار dns forwarderفهذا يعني بان الفورتي جيت ال يوجد لديه databaseلـ dnsولكنه بيسال dns serverاخر .في حالة يوزر طلب موقع مثال ياهو فأن الفورتي جيت اكيد غير مخزن ال databaseلكل املواقع بالعالم لذا سيتم بتحويل الطلب الى dns forwarderالذي قمنا بأعداده سابقا 8.8.8.8 , 8.8.4.4
اما ان قام يوزر بطلب الوصول الى طابعه او أي resourcesبالشبكة فأن ال databaseتكون موجودة و مخزنه على الفورتي جيت وهنا سوف يكون . dns server الخالصة: لو أي احد سال ال ـ dnsالتابع للفورتي جيت عن أي ش ي غير موجودة عنده على ال ـ databaseفأنه سوف يقوم بتحويله الىdns forwarder وهوgoogle dns server 8.8.8.8 ,8.8.4.4
FortiGuard Concept الفورتي جارد (FDN):هي عباره عن شبكة كبيره مسؤوله عن توزيع التحديثات الخاصة ب ـ -1
Ips
-2
App Control
-3
Antivirus
-4
Web filtering
-5
Email filtering
-6
Vulnerability scanning
-7
Message services الصفحة 173من 469
إعداد /حممد املرفدي
-8
DDNS
أساسيات فورتي جيت
على اجهزه الفورتي جيت املشتركه عند الفورتي جارد. حيث بمجرد ما تشتري جهاز الفورتي جيت تقوم بعمل تسجيل على fortiguardلكي يصل اليك التحديثات لالشياء أعاله حيث انها خدمه سنويه حيث بعضها خدمات اختياريه ممكن تشترك فيها وممكن ال مثل messaging service : Ipsيحتوي على حلول لتهديهات او الهجمات attackحيث يقوم IPSباكتشاف هذا النوع من أنواع الهجمات من خالل سلوكها بغض النظر نوعه او اسمه ويعمل لهBlock . :App controlعباره عن نظام موجود على جهاز الفورتي جيت تقدر من خالله التحكم بأكثر من 1000 تطبيق على اجهزه الكالينت :Antivirusعباره عن نظام موجود على الفورتي جيت ويحتاج الى اليسنز لكي يتمكن الجهاز من عمل التحديث من الفورتي جارد :Web filteringيقوم بتوفير خدمه web categoryحيث يحتوي على اآلف التصنيفات( تحتوي على
ماليين املواقع)مثال لو تريد اغالق كل املواقع التابعه للرياضه فأنك بمجرد اختيار ال category sports سيتم اغالق جميع املواقع الرياضية بالشبكة لديك.. حيث توجد الكثير من التصنيفات ) (categoriesمثل social media ,sport,porn,email,streaming وغيرها :Email filteringيحميك من االسبام وغيرها لكي يحميك من الهجمات التي تأتي من خالل االيميالت :Vulnerability scanningمبدا بيتعامل مع الكونفجيراشن والباتشات : Messaging serviceتعطيك رسائل تحذيريه لإليميل و smsلكي يصل اليك عند وصول هجوم معين.
الصفحة 174من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: DDNSهي عباره عن خدمه تستفيد منها بمجرد االشتراك مع فورتي جارد بتسمح لك ان تكون لديك dnsاكثر امانا باإلضافة الى الحصول تلقائيا على web filteringحتى لو لم تقم بعمل web filterعلى جهاز الفورتي جيت..
حيث الخدمات الثمانيه املذكورة أعاله لو تقم بتجديدها فأن جهاز الفورتي جيت سوف يعمل كروتر و vpnلكن ك security profileلن يعمل اال بتجديد االشتراك في الفورتي جارد حيث يوجد عالمات توضح حالة الخدمات التي لديك كما بالشرح ادناه : الرمادي :بأنك مشترك بالخدمة ولكن يوجد مشكله باالتصال مع الفورتي جارد فييجب ان تحل لها البرتقالي:انت غير مشترك بالخدمة األصفر:الخدمة أصبحت منتهيه ويجب تجديدها لتصبح خضراء األخضر:الخدمة شغاله بدون أي مشاكل ان يوجد اتصال ب FDNالتابع للفورتي جارد. حيث بمجرد اقتراب موعد انتهاء االشتراك تقوم شركه فورتي جيت بأرسال ايميل بقرب انتهاء االشتراك..
)Fortiguard distribution network (FDN من خالل هذه الشاشة يمكنك متابعه العقد)االشتراك(الخاص بك مع الفورتي نت متى ينتهي ومن الشخص الذي قام بتسجيل العقد وااليميل أيضا.. وأيضا يوضح لك كل خدمه ) (security profileمتى ينتهي الاليسنز الخاص بها وتقدر تعمل تحديث )(Manualمن خاللها للخدمات التي موجودة لديك ومتى اخر تحديث حصل ..الخ فلو اردت ان تقوم بعمل تحديث من ال ـ FDNا تلقائي بمجرد وجود تحديث جديد بشرط ان يكون جهاز الفورتي جيت متصل باإلنترنت نقوم بالخيار التالي: Accept push updates الصفحة 175من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ولو تريد ان تعمل تحديث االن نقوم بالنقر على الزر Update AV&IPS Definitionsحيث ينفع هذا الخيار في حالة جهاز الفورتي جيت كان متوقف عن التحديث ألي سبب فتريد ان تقوم بتحديثه حاال... وبعد كذا سوف يقوم بتنزيل أي تحديث جديد بشكل اوتوماتيكي ألن الخيار االخر قمنا بتفعيله Accept push updates او يمكنك تحديد أوقات محدده لعمليه التحديث من ال FDNوذلك بتفعيل الخيار Schedule updates ونحدد الوقت واليوم لعمليه التحديث... كل يوم الساعة 12صباحا بيتم البحث عن التحديثات من ال ـFDN .
الصفحة 176من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ولكن األفضل جعل الخيار allow push updatesلكي يقوم بتنزيل التحديث بمجرد وجود تحديث جديد علىFDN . في خيار اخر على مستوى web filter cacheوantispam cache الكاش هو التخزين، حيث جهاز الفورتي جيت بيستلم طلبات كثيره من االجهزه املوجودة بالشبكة الداخليه ملوقع معين او
على ايبي معين ترسل له ايميل فالذي يحصل كاالتي ان جهاز الفورتي جيت بيتصل مع ال ـ FDNبيقول له لدي طلب وصل لي بخصوص املوقع الفالني هل املوقع هذا في القائمة السوداء او يوجد فيه مشكله فأن في كال الحالتين يجب ان يقوم ال ـ FDNبالرد على جهاز الفورتي جيت حيث هذه املعلومة ستصل الى جهاز الفورتي جيت وبدوره جهاز الفورتي جيت سيقوم بتوصيلها لجهاز الكالينت سواء BLOCKاو ALLOWحيث يقوم جهاز الفورتي جيت باالحتفاظ بهذه املعلومة عنده ملده 60دقيقه كما بالصورة أعاله.. حيث لو أي جهاز كالينت طلب نفس املوقع خالل تلك الفترة فأن الفورتي جيت ال يقوم بالذهاب الى ال FDNمره أخرى بل جهاز الفورتي جيت هو الذي يرد على جهاز الكالينت مباشره فبذلك قمنا بتوفير الترافيك والوقت بين الفورتي جيت وال ـ FDNوبهذا يتم زياده سرعه الشبكة لدي. أيضا نفس الكالم بيحصل على مستوىANTISPAM ... حيث يمكن تعديل تلك القيم من 5دقائق الى يوم كامل فقط.. الصفحة 177من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة :البورت االفتراض ي لوصول الفورتي جيت الى الفورتي جارد هو 8888كما بالصورة اداناه
FortiExplorer هو عباره عن تطبيق نستطيع بواسطته عمل اداره االعدادات األساسية فقط لجهاز الفورتي جيت سواء بواسطة ال ـ webاو بواسطة ال ـ CLIمن خالل منفذ USB managementالتابع لجهاز الفورتي جيت ،حيث هذا املنفذ موجود في بعض اجهزه الفورتي جيت وليست جميعها. حيث تقوم بتوصيل منفذ USB MGMTباالبتوب ومن ثم بواسطة التطبيق fortiExplorerالذي يمكنك تنزيله مجانا. يمكن عن طريقة عمل تغيير للباسورد الخاص بال ـ administrator .واختيار املنطقة الزمنية وإعدادات كروت الشبكة ...الخ حيث بعد تنزيله على الكمبيوتر( االبتوب)املوصل بمنفذ ال ـ USB MGMTسوف يظهر لك البرنامج على شكل wizardحيث تقوم باإلعدادات األساسية فقط.. الصفحة 178من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة :ال يمكن تطبيق FortiExplorerعلى fortigate VMبل على فايروول حقيقي
Fortigate firewall policy حيث سنستخدمه في عمليه الترافيك و ال ـ vpnو traffic shaperو securityوغيرها.. ماهي البوليس ي: مجموعة من القواعد تتحكم في الترافيك اما بالسماح او املنع) (allow,denyأي انك تستطيع التحكم
بالترافيك من internal to externalاو العكس او من vpn to internalو يمكنك التحكم بالخدمات )(servicesاو تريد ترافيك يمر في وقت معين وترافيك في أوقات أخرى يتم منعه ...الخ كل ذلك يتم عن طريق البوليس ي.. اذا البوليس ي هي سالحك في أي فايروول تستخدمه...
مالحظة:أي فايروول بوليس ي يكون بشكل افتراض يDeny any any أي امنع أي ترافيك يخرج الى أي مكان لذا ال يمكن ألي ترافيك ان يمر اال لو قمت بعمل بوليس ي تسمح بذلك...
تكون موجودة بشكل افتراض ي بكل فايروول وال يمكن حذفها ابدا او التعديل عليها... شرح البوليس ي االفتراضية ( )Implicit Denyاملشار لها باللون األحمر بالصورة أعاله .. لو في أي sourceورايح الى أي Destinationفي أي وقت وبأي خصائص و servicesقم بمنعها . الصفحة 179من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
أي امنع كل ش يء .
لكي تقوم بإنشاء أي بوليس ي يجب ان تقوم أوال بإنشاء مجموعة من العناصر حيث العناصر هي التي بتتكون منها البوليس ي حيث تسمى هذه العناصر ب ـ objectsحيث تصنف الى صنفين احدهما ضروري وال غنى عنها واألخرى اختياريه.
❖ ماهي انواع الـــ objectsاألساسية )الضرورية) Interfaces -1يجب ان يكون لدي على األقل 2كروت واحد lanواألخرwan .. حيث ال ـ interfaceله أنواع ممكن يكون physical interfaceاوvirtual interface طريقة عملvirtual interface : > Create New>interface تم إعطاء اسم للكرت باسم vlan1وعنوان له مثال virtual interface 1ونوعه Vlanأي انه كرت وهمي وليس حقيقي لذا يجب ان يكون جزء من كرت حقيقي(ابن من الكرت الحقيقي ) ولذ تم اختيار LAN1 وبعدها تم إعطاء الكرت االيبي 192.168.3.100/255.255.255.0واعطائها administrative access ل ـ https pingحيث بعد ذلك يصبح هذا املنفذ املسمى VLAN1كانه منفذ حقيقي ويمكن تطبيق عليه أي بوليس ي حيث ظهر االن interfaceباسم VLAN1ونوعه VLANيتفرع من ال ـ interfaceالحقيقي LAN1 لذا في حالة انشاء البوليس ي فأن ال ـ objectاملسمى interfaceممكن يكون physical interfaceاو VLAN او ANYأي حاجه..
-1
Address :الناس التي حيتم تطبيق البوليس ي وينقسموا الى األنواع
التالية: الصفحة 180من 469
إعداد /حممد املرفدي
-1
Subnet :
-2
Ip range
-3
Geography :
-4
FQDN (fully qualified domain name) :
-5
Device mac address
أساسيات فورتي جيت
فلو اخترت الخيار Allفهذا يعني بأنه كل العناوين..
-2
Services :تتكون من حاجتين اما
بروتوكول )……(dns,http,https,ping,smtp,pop,sshاو بورت )(53,80,حيث يعتبر هذا الخيار من اقص ى أنواع التحكم بالشبكة حيث استطيع التحكم بالبورت والسيرفيس. حيث لو اخترت بروتوكول معين وليكن httpsفهذا يعني بأنه هو فقط الذي سيتطبق عليه البوليس ي اما لو اردت كل البروتوكوالت يتم التطبيق عليها فنختارAll .
-3
Sechdual :متى تريد تطبيق هذه البوليس ي!! هل في أوقات معينه
او مره واحده فقط فلو اخترت الخيار Alwaysيعني باي وقت. -4
Action :تسمح allowلهذه البوليس ي
Denyتمتع هذه البوليس ي..
الصفحة 181من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ طريقة انشاء البوليسي:
ثم نقوم باختيار ال ـ objectsكما تكلمنا عنها سابقا : Nameاسم البوليس ي : Incoming interfaceال ـ interfaceالذي سيمر منه الترافيك : Outgoing interfaceال ـ interfaceالذي سيمر اليه الترافيك : Source الصفحة 182من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تصميم الشبكة لدينا كما بالرسمة التالية: حيث اجهزه الشبكة املحلية سوف يكون ال Gatewayلهم هو 192.168.2.20وهو نفس ايبي كرت الشبكة LAN1في الفورتي جيت. حيث ال يمكن ألي جهاز من اجهزه الشبكة املحلية ان يطلع الى خارج الشبكة اال عن طريق هذا االيبي.
كما بالصورة أعالهألحد اجهزه الكالينت في الشبكة الداخليه الذي يوضح اعدادات كرت الشبكة من ايبي وبوابه افتراضيه وDNS ..
الصفحة 183من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ انشاء اول بوليس ي في الفورتي جيت للسماح للجهاز الكالينت الحصول على االنترنت اسم البوليس ي)الرول):allow_all
توجيه الترافيك من LAN1الى WAN1و اسمح ألي عنوان ان يخرج الى أي عنوان وبأي وقت وبأي خدمه سواء httpاو https ...الخ. يجب ان تقوم بتفعيل الخيار NATألنه طاملا أي شبكة تريد ان تتواصل مع شبكة أخرى ب ـ subnet مختلفه فالزم يكون هناك عمليه ال ـ NATلذا يجب تفعيل هذا الخيار لكي يعمل NATبين الشبكة
الدخلية) (LANوبين االنترنت(WAN).. ثم موافق... مالحظة :أي جهاز في الشبكة املحلية سوف يحصل على االنترنت بمجرد انشاء هذه الرول.
وكما بالصورة أعاله نقوم بتفعيل هذا البوليس ي فلو قمت بعمل disableلهذا الخيار فأن هذه البوليس ي ستكون موجودة ولكن غير مفعله فلذا لن يتم تطبيقها .فلو انت ال تريد حذف البوليس ي بشكل نهائي بل ال اريد تفعيلها فاننا نقوم بعمل الخيارEnable this policy=off .
الصفحة 184من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بالصورة أعاله بان البوليس ي allow_allمعمول لها . disabled
Firewall objects هي مجموعة العناصر التي أقوم بأنشائها لكي يتم اختيارها في البوليس ي.وهذا ما تم ذكره سابقا...
: Address نالحظ بالصورة ادناه بأن هناك مجموعة من العناوين التي موجودة بشكل افتراض ي..
الصفحة 185من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وألنشاء عنوان جديد نقوم بالخطوات التالية: : Subnet هذا النوع بيعبر فيها عن الشبكةNetwork ((Subnet او تعبر فيها عن جهاز معين( ايبي محدد) او تعبر فيها عن كل العناوين)(all ip’s
الطريقة األولى: التعبير عن شبكة كامله(شبكة معينه)
الصفحة 186من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
192.168.2.0/24او 192.168.2.0/255.255.255كل الطرق صحيحه وبعدها تم ربط هذه ال ـ subnet املسماة subnet1بكرت الشبكةLAN1 . نالحظ كما بالصورة ادناه بان العنوان تم اظهاره...
الطريقة الثانية: التعبير فيها عن جهاز معين -ايبي محدد- اما اني اكتبه بالطريقة التالية 192.168.2.144/32او192.168.2.144/255.255.255.255 لكي اعبر عن جهاز معين( ٍ)Single host
الصفحة 187من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بأن العنوين املضلل يعبر عن جهاز معين اسمه pc1وله ايبي192.168.2.144 .
الطريقة الثالثه: تعبر فيها عن كل العناوين(كل الشبكات)) (all ip’s حيث يتم كتباتها كالتالي 0.0.0.0/0.0.0.0أي كل الشبكات.
الصفحة 188من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بان كل العناوين وبكل األنواع موجودة التي أنشأناها كما بالصورة أعاله.
فعند انشاء البوليس ي(الرول )وعند اختيار ال ـ source addressو destination addressفأنه يظهر لنا العناوين التي قمنا بانشائها سابقا كما بالصورة ادناه
الصفحة 189من 469
إعداد /حممد املرفدي
فلو اخترت العنوان pc1والذي له االيبي املحدد192.168.2.144
أساسيات فورتي جيت
فان فقط الجهاز صاحب االيبي 192.168.2.144/32هو الذي سيستطيع ان يحصل على االنترنت فقط من اجهزه الشبكة الداخليه.. : Ip range يعبر عن مدى معين من االيبيهات( من -الى)وأريد ان اخصصه لكي أقوم بتطبيق بوليس ي معينه عليه. على سبيل املثال لدينا رينج ايبهات مخصصه للسيرفرات من192.168.2.1 -192.168.2.30
حيث يمكنني ان اطبق عليهم بوليس ي معينه.. حيث يتم استخدام ال ـ ip rangeمع VPNفأذا كان لديكvpn clients
الصفحة 190من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ويريدوا ان يصلوا الى الشبكة الداخليه عبر الفورتي جيت من خارج الشركة( من املنزل مثال)فستقوم بتوزيع مجموعة ايبيهات محدده )(range ipكما قمنا بعمل بالسابق.. : FQDN
بيتم استخدامه من اجل الويب سيرفر (خارجي) او ويب سيرفر داخل الشبكة او يمكن استخدامه في load balancingحيث سوف نقوم بإنشاء FQDNملوقع معين لكي استطيع االتصال به عبر االسم بدال عن االيبي فيمكن كتابته بعده صيغ: www.marfadi.com marfadi.com *.marfadi.com
: Geographyانشاء عنوان بحسب املوقع( املنطقة الجغرافيه) مثال لديك موظفين موجودين في مصر ويدروا الدخول الى الشبكة الداخليه التي عندي عبر الفورتي جيت بواسطة ال ـvpn حيث قمت بعمل بوليس ي وتقول فيها انا اريد فقط ال ـ VPN Clientsالقادم من مصر فقط فلو أي شخص حاول الدخول من دوله أخرى فلن يقدر ألني حددت العنوان باملنطقة( مصر
او مثال سمعت عن هجمات الكترونيه من دوله معينه فتقوم بإنشاء عنوان بحسب املنطقة تلك ومن ثم تعمل بوليس ي تمنع فيها املنطقة املحدده.
-1
MAC DEVICE :
عمل عنوان بحسب املاك ادرس للجهاز الصفحة 191من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ماهي فكره ال ـAddress group : الجروب هي مجموعة من العناوين.. حيث ساقوم بإنشاء جروب باسم Group1واختار منها أي عنوان اريده من العناوين التي قمت بإنشاء ها سابقا لكي اطبق عليهم ش يء معين.. طريقة انشاءAddress group
الصفحة 192من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ شرح بعض اعمده الـ : address list
: Visibilityهو عمود يوضح بأن العنوان املحدد متاح ( )visibleاو مخفي( )Hiddenوهذا معناه بأن هذا العنوان سوف يظهر او ال في البوليس ي .. فلو معمول له صح فأن هذا العنوان سيكون متاح وسوف يظهر في البوليس ي .
اما لو كان معمول له Xفهذا يعني بأن العنوان لن يظهر في البوليس ي .
نالحظ بان العنوان pc1معمول له visibleلذا سوف يكون متاح في البوليس ي كما بالصورة التالية:
الصفحة 193من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فلو قمنا بتغيير الخاصية الى Hiddenللعنوان pc1كما بالصورة التالية:
فنالحظ بان الخاصية في address listللعنوان pc1أصبحتHidden .
الصفحة 194من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
لذا عند محاوله اختيار العنوان pc1في البوليس ي فانه لن يظهر أصال
نالحظ كما بالصورة أعاله بأن العنوان PC1غير متاح حاليا... Visibilityمرتبط ب ـinterface .. مثال العنوان pc1في عمود ال ـ interfaceغير مكتوب فيه أي ش يء فهذا يعني بأن العنوان pc1مرتبط مع any interfaceاي سوف يظهر ألي interfaceسواء lanاوwan .
الصفحة 195من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بالصورة أعاله بأن العنوان PC-Client-MACمعمول له visibleومرتبط مع ال )LAN1(port1 interfaceفهذا يعني بأن هذا العنوان لن يظهر اال لو كان ال ـ interfaceنوع LAN1ماعدا ذلك فانه لن يظهر كما بالصور ادناه:
حيث ظهر الـعنوان PC-Client-MACفي خانه ال ـ sourceالنincoming interface =lan1 اما العنوان PC-Client-MACفي خانه ال ـ destinationفانه ال يظهر وذلك ألن outgoing )interface=WAN(port2ألننا قمنا بربط العنوان PC-Client-MACمع ال ـ interface lan1فقط..
الصفحة 196من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بالصورة أعاله بأن PC-Client-MACلم يظهر في Destinationألن ال ـ Outgoing interface =wan لذا لن يظهر ال PC-Client-MACاال ان كان outgoing interface =lan1ألني في األساسرابط العنوان PC-Client-MACمع ال ـinterface =lan1 .
الخالصة: العنوان لو تم ربطه بال ـ interfaceنوعه anyفهذا يعني بان هذا العنوان سيظهر في كل ال ـinterfaces . اما لو تم ربط العنوان بال ـ interfaceمثال LAN1فهذا يعني بأن هذا العنوان لن يظهر اال مع ال ـ interface Lan1فلو تم اختيار ال ـ interface =lan2مثال فأن هذا العنوان لن يظهر.. Incoming interface= source Outgoing interface=Destination : Refعمود فيه ارقام يدل على ربط (استخدام)هذا العنوان مع أشياء في الفورتي جيت سواء مع بوليس ي او جروب او غيرها ...
الصفحة 197من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بأن العنوان pc1ال ـ ref=2وهذا يدل بأن العنوان مرتبط مع 2أشياء فبمجرد النقر على العدد 2 يقتح لك مكان الربط
كما بالصورة أعاله فأن العنوان مرتبط مع .. address group=G2 الصفحة 198من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وال ـ... policy = 1
فلو حددت على الجروب G2ثم نقرت على editسوف يفتح لك الجروب املسماة G2كما بالصورة ادناه فيمكنك التعديل على الجروب او حذف العنوان pc2من هذا الجروب ...الخ .
عند النقر على ال ـ )policy(1ثم Editسوف يظهر شاشه ال ـ policyكما بالصورة التالية: Services
الصفحة 199من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
عباره عن بروتوكوالت وبورتات حيث أي نظام تشغيل يحتوي على بورتات يستخدمها لكي يقوم بعمليه االرسال واالستقبال للبيانات مع جهاز اخر.
حيث كل بروتوكل يسخدم بورت معين حيث من 1-1024هذا ارقام بورتات محجوزة لألعمال القياسية ومن1025- 65535 يمكن استخدامه ألي تطبيق..
لو قدرت تتحكم في البروتوكوالت والبورتات فأنك تستطيع التحكم بالتطبيقات التي يستخدمها املستخدم.. الفورتي جيت يستخدم الـسيرفس لتحديد رقم البورت لعمل Accept or denyللترافيك Allمعناها كل البورتات .. حيث تظهر لك كل السيرفيس املوجودة بالفورتي جيت بشكل افتراض ي حيث تم تقسيم البروتوكوالت بشكل تصنيفات كما بالصورة ادناه.
حيث توضح التصنيف مثال ويب اكسس او ايميالت او ريموت اكسس ..الخ وماهي البروتوكوالت املدرجه تحته وكم ارقامها
الصفحة 200من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصوره أعاله توضح التصنيف الخاص بالوصول عن بعد وماهي البروتوكوالت وأرقام البورتات املتسخدمة في هذا التصنيف.
ماهي أنواع الـــ services؟
-1
Services
-2
: Service groupمجموعة من الـ servicesسوف تقوم بتطبيق بوليس ي معينه عليهم حيث
تعتبر كنوع من التنظيم . : Categoryمجموعة من الـ servicesتتشابه في نفس الخصائص مثل categoryخاصه -3 بـ web accessالخاصة بتصفح االنترنت حيث تحتوي على httpو httpsاو الخاصة باستقبال وارسال االيميل املسماة emailوتحتوي على البروتوكوالت االتيه imap,pop,smtpوغيرها
الصفحة 201من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مثال اريد انشاء servicesلجهاز ال ـ DVRحيث اريد تخصيص بورتات معينه للتعامل مع هذا الجهاز :
Show in Service Listلكي تظهر معك بالبوليس ي . TCP : Protocolيكون اكثر موثوقية ولكن بطئ مقارنه بالبروتوكول UDPالذي يعتبر اقل موثوقية واكثر سرعه .. البروتوكوالت التي من نوع TCPهي HTTPو... HTTPSالخ
UDPيستخدم لنقل البيانات التي تحتاج الى سرعه وال تهتم بالوثوقيه(يعني في حالة نقصان او ضياع البيانات في االرسال فأنه ال يقوم بإعادة االرسال مره اخرى بعكس ال ـ )TCPمثل الصوت والفيديو وغيرها ومن اشهر البروتوكوالت التي بيتعامل مع UDPهي ( )DNS-VOIP-NTP-media stream protocols حيث تختار نوع البروتوكول هل TCPاو UDPحسب السيرفيس املستخدمة
الصفحة 202من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: SCTPهذا النوع من البروتوكوالت يعتبر يجمع بين الـ tcpو udpحيث انه سريع وبنفس الوقت موثوق
كما بالصورة أعاله تم انشاء serviceباسم NVRوسوف تندرج تحت التصنيف Uncategorizedونوع البروتوكول سوف يكون UDPوالبورت االفتراض ي ألغلب اجهزه ال ـ NVRتكون 10000حيث اخترنا نوع البروتوكول UDPألننا سوف ننقل بيانات من نوع streamingأي فيديو وصوت ..الخ وايضا اجهزه ال ـ NVRتستخدم ال ـ ipوهذا يحتاج الى البروتوكول TCPوالبورت أيضا .. 10000 حيث قمنا بتحديد بأن ال ـ nvrسوف يكون هدف( )Destination Portوليس مصدرأي اننا لو اردنا الوصول الى جهازال ـ nvrسوف يكون على البورت 10000 اما لو اردنا ان نقوم بتحديد اكثرونريد ان نقوم بإخراج جهازالـ nvrمن بورت معين فأننا سوف بتفعيل الخيار .. Specify Source Ports
الصفحة 203من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تمت االضافة بنجاح لل ـ serviceاملسماة .. NVR حيث يمكن استخدامها في البوليس ي كما بالصورة ادناه
فمن ال ـ servicesاالفتراضية التي منشاه أصال هي all_tcpكما موضح بالصوره الصفحة 204من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نوع ال ـ Destination port=Tcpالبورت من . 65535-1 وأيضا ال ـ serviceالخاصة ب ـ httpكما بالصورة ادناه
وأيضا ل ـ popكما بالصورة ادناه ...
الصفحة 205من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ما هو الـــ : service group هي عمليه انشاء groupتتكون من مجموعة من ال ـ serviceالتي أنشأناها مسبقا .
الصفحة 206من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وبهذا قمنا بإنشاء مجموعة اسمها Marfadi_groupتحتوي على مجموعة من ال ـ serviceكما باالصوره أعاله .. فبهذا لو اردنا تطبيق البوليس ي ونختارال ـ Marfadi_groupالتي انشاناها مؤخرا ..
الصفحة 207من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
:Schedule هي عباره عن احدى العناصرالتي سيتم اختيارها عند انشاء البوليس ي . ملاذا أقوم بعمل جدول زمني ( )scheduleعند تطبيق البوليس ي ؟
ألن بعض األحيان اريد ان أقوم بتطبيق البوليس ي في وقت معين او حدث معين .حيث ال يمكنك ان تنش ى بوليس ي بدون تحديد ال ـ scheduleحيث القيمة االفتراضية له هي alwaysيعني ان هذا البوليس ي سوف تطبق بشكل دائم. ال ـ scheduleمقسم الى نوعين : : Recurringبوليس ي سوف تطبق بشكل متكرر مثال اريد تطبيقها كل أسبوع او كل يوم او كل يوم -1 معين او مريتن باألسبوع ..الخ أي ان العملية متكرره . : One-timeبوليس ي سوف تطبق مره واحده و في وقت محدد فقط . -2 ➢
طريقة انشاء scheduleجديد :
الصفحة 208من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم نحدد النوع كما شرحناه سابقا ..
الصفحة 209من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث نالحظ بأنه يوجد لدينا 3قيم افتراضيه من ال ـ scheduleكما بالصورة ادناه
حيث االختيار alwaysمعناها طبق البوليس ي بشكل دائم . اما الخيار noneوهذا معناها بان ال تقوم بتطبيق البوليس ي وكأنك عملت في ال ـ action=denyأي ال احد سوف يتم تطبيق هذه البوليس ي عليه ..
الصفحة 210من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله يوضح بأن الخيار alwaysسيتم تطبيقه في كل األيام وفي كل األوقات من 00:00:00 الى 00:00:00 اما الخيار noneفهذا يعني بأنه لن يتطبق بأي يوم و ال في أي وقت . مثال سوف أقوم بإنشاء scheduleباسم work_timeأي أوقات العمل بالشركة :
الصفحة 211من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
االن سوف نقوم بإنشاء scheduleباسم updateحيث لن تعمل اال مره واحده وبتاريخ معين ووقت معين
الصفحة 212من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
النوع One-timeيستخدم في حالة كان لديك في الشركة اجتماع في تاريخ معين مره واحده ويحتاجوا يفتحوا مثال موقع معين وليكن اليوتيوب فأننا سوف أنش ئ هذه ال scheduleواختارها في البوليس ي حيث هذه البوليس ي سوف يتم تطبيقها مره واحده وبيوم واحد فقط ولن تتكرر .. االن بعد انشاء ال ـ scheduleسوف نختارها عند انشاء البوليس ي ما نريده هل : always,none,work_time,update
الصفحة 213من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
➢ طريقة انشاء : schedule group يتم استخدامها إلنشاء مجموعة مكونه من اكثرمن scheduleبغض النظرعن نوعها هل one-timeاو .. recurring
الصفحة 214من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نفترض بأن لدينا شركه مواعيد العمل فيها من 8ص الى 3عصرا كل يوم ماعدا الجمعه ➢ .. يعني نريد االنترنت على اجهزه الكالينت يكون فيها متاح خالل دوام العمل فقط .. اما في السيرفرات يكون االنترنت طوال الوقت . الحل : – 1انشاء عنوان باسم subnet1تحتوي على رينج الشكبه الداخليه كامله ()255.255.255.0/192.168.2.0 – 2السيرفرات سوف نقوم بعمل ايبيهات استاتيك حيث سيتم انشاء عنوان باسم server1بايبي . 192.168.2.122 – 3انشاء scheduleباسم work_timeحيكون أوقات العمل . – 4انشاء 2بوليس ي التي سوف تنفذ مانريده أعاله ... الحل :
الصفحة 215من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم انشاء العناوين للكالينت من ال ـ subnet1وهي من الرينج ()32/192.168.2.0و أيضا للسيرفرتم تحديد العنوان server1وتم تحديد االيبي . 192.168.2.122
تم انشاء scheduleباسم work_timeمسموح فيها من 8صباحا الى 3عصرا لكل أيام االسبوع ماعد الجمعه .. اآلن سوف نقوم بإنشاء البوليس ي باسم allow_internet
الصفحة 216من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله توضح البوليس ي allow_internetبانه سوف يسمح االنترنت ل ـ ( subnet1التي ستكون هي اجهزه الكالينت )في أوقات العمل من السبت الى الخميس ( 8صباحا 3-عصرا)فقط . سوف نظيف بوليس ي أخرى باسم allow_internet_for_serverوالتي ستسمح فيها للسيرفرات بأن تصل الى االنترنت في كل أوقات األسبوع كما بالصورة ادناه
الصفحة 217من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث العنوان server1تم إعطائه االيبي 192.168.2.122ولذا فقط السيرفرصاحب هذا العنوان سوف يكون لديه انترنت طوال اليوم حيث نالحظ بان ال ـ . schedule =always
الصفحة 218من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ Policy order عباره عن ترتيب البوليس ي .. حيث أحيانا بيحصل تداخل في البوليس ي( )overlapحيث بمجرد انشاء البوليس ي فأن الفورتي جيت بيعطيها رقم يسمى .. policy id حيث البوليس ي يتم تطبيقها أوال بحسب ال ـ ( policy idمن فوق الى تحت). حيث اول بوليس ي يكون رقمها 1ثم 2ثم .... 3الخ ولتفادي تداخل البوليس ي يتم ترتيب البوليس ي يدويا وذلك بسحب البوليس ي الخاصة لألعلى ..الخ. دائما تقوم بترتيب البوليس ي بحيث تكون البوليس ي الخاصة باالعلى والبوليس ي العامه تحت وهكذا ..
مثال : سوف نقوم بإنشاء 2بوليس ي واحده خاصه(األكثرتعقيدا) وواحده عامه العامه :نمنع عمليه ال ـ pingلكل ال ـ ( subnetالشبكة الداخليه) الخاصة:اسمح لجهاز server1ان يعمل ال ـ. ping
الصفحة 219من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم انشاء بوليس ي عامه باسم publicبتمنع ال ـ pingعلى كل ال ـ. subnet1
ثم سنقوم بإنشاء بوليس ي خاصه باسم privateحيث نسمح للجهاز server1بأن يعمل .. ping
ثم نالحظ كيف اصبح ترتيب البوليس ي ..
االن أي جهازمن الشبكة الداخليه( 192.168.2.0/32)subnet1سوف يحاول يعمل pingألي موقع مثال ping 8.8.8.8 –tفانه لن يستطيع حتى وان كان الجهازهو server1وذلك ألن ترتيب البوليس ي بيطبق من اعلى الى اسفل..لكننا لو قمنا بإعادةترتيب البوليس ي وذلك بالسحب واالفالت كما بالصورة ادناه الصفحة 220من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وتصبح البوليس ي بهذا الترتيب :
بحيث تصبح البوليس ي األكثر(تعقيدا)(الخاصة)هي التي في األعلى والبوليس ي العامه في األسفل .. حيث اآلن الجهاز server1لو حاول يعمل ping 8.8.8.8 –tسوف تنجح العملية .. اما باقي االجهزه في ال ـ subnet1سوف لن يقدروا ..
مثال اخر : لو قمنا بإنشاء 2بوليس ي كما بالصورة ادناه حيث األولى بتسمح للجهاز server1انه يعمل pingفقط ألي مكان مثال فلوا قام بفتح أي موقع لن يفتح معاه ابدا ألن البوليس ي املسماة publicتمنع أي سيرفيس (.)all
الصفحة 221من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ اول رول (بوليس ي) اسمها privateوبتقول بأن الجهازاللي اسمه server1يمكنه ان يعمل ping وهذا صحيح ..فلو قمت بعمل بينج الى أي موقع من الجهاز server1فانه سيتمكن من ذلك .. لكن ملا ان حاولت ان تفتح أي موقع سواء www.google.comاو غيره فأنك سيتمكن من فتحه بالرغم من اني حددت فقط بأن pingهو اللي مسموح !! الجواب هو : اول رول سمحت فقط له بعمل pingفقط ومن ثم سوف ينزل الى الرول الثانية التي اسمها public والتي تقول بأن ال ـ subnet1كلها ال يمكنها الوصول الى ال ـ pingولم تقل له بأنك تمنع أي ش يء ()allبل حددت بأنك تمنع فقط ال ـ. ping طيب ملاذا الزال الجهاز server1قادرعلى فتح جميع املواقع !! االجابةهي بسبب الرول املسماة 3والتي مضلله باللون األحمركما بالصورة أعاله والتي بتسمح بكل السيرفس ( )allوهذه فكره ترتيب البوليس ي .. طيب السيناروا األخير: ماذا لو قمت بعمل تعطيل ()disabledللبوليس ي التي باسم !! 3كما بالصورة ادناه
الصفحة 222من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فأن الجهاز server1يستطيع فقط ان بقوم بعمل pingألي موقع ولكنه لن يتمكن من فتح أي موقع ألن ال توجد رول بتسمح له بذلك باإلضافة ان اخربوليس ي(االفتراض ي)( )Implicit policyبتمنع أي ترافيك بحسب الصوره ادناه ..
اخرمثال : لو قمت بإنشاء بوليس ي كما بالصورة ادناه
الصفحة 223من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
هل يستمكن الجهاز server1من ان يعمل ping؟ ملاذا؟؟ هل سيتمكن الجهاز server1من ان يفتح أي موقع ؟؟ملاذا؟؟ االجابةعلى السؤال األول هي نعم ألن البوليس ي األولى بتسمح ال ـ. ping االجابةعن السؤال الثاني هي ال .. لن يتمكن الجهاز server1ان يفتح أي موقع وهذا بسبب الرول رقم 2املسماة publicوذلك ألني عملت all services =denyفمجرد ان ال ـ denyحصل فأن الفورتي جيت ال ينظرالى البوليس ي اللي تحته .. بالرغم ان البوليس ي األخيرة التي باالسم 3مفعله وتتيح لكل االجهزه ان تصل الى االنترنت وألي موقع ..
❖ Managing devices يقصد بها اداره األجهزة.. ال ـ( fortiOSنظام التشغيل التابع للفورتي جيت )يستطيع اداره والتحكم بكل االجهزه املوجودة بالشبكة حيث يقوم باكتشاف االجهزه( )pc,laptop,tablet,mobileسواء كنت وايرلس او واير. حيث الفورتي جيت بيتعرف ويراقب كل االجهزه املوصله بالشبكة سواء كانت تلك االجهزه وايرلس(مرتبطة ب ـ ) access pointاو واير(موصله بالسويتش).
الصفحة 224من 469
إعداد /حممد املرفدي
❖ كيف يقوم فورتي جيت بإدارة األجهزة ؟
أساسيات فورتي جيت
يعمل بأحدى الطرق : :Agent based – 1يكون هنالك وكيل ( برنامج الفورتي كالينت)يتم تنزيله على تلك االجهزه . : Agentless – 2بدون وكيل على تلك االجهزه .
االن سنتعامل مع طريقة : Agentless يتم توصيل تلك االجهزه بالشبكة بالفورتي نت سواء بالسويتش او باالكسس بوينت حيث مثال اعطى الباسورد ألي احد مثال يريد الوصول الى شبكة الوايرلس وبهذا انا قمت بتجميع املعلومات لألجهزة بالشبكة سواء وايراو وايرلس حيث بعد ذلك يتم التحكم بتلك االجهزه عبراملاك ادرس ( mac )addressحيث ستتمكن من السماح او منع تلك االجهزه بحسب املاك ادرس . بعد ذلك سوف استخدم البوليس ي للتحكم بهذه االجهزه مثال اريد امنع كل االجهزه من نوع الجالكس ي اومن نوع ابل ...الخ من الوصول الى االنترنت والسماح لالنواع األخرى مثل بالك بيري او الوندوز ..الخ أي ان جهازالفورتي جيت اصبح بيتحكم باألجهزة بحسب نظام التشغيل لتلك االجهزه . او مثال عمل بوليس ي معينه باني امنع االجهزه التي بالشبكة التي نظام التشغيل من نوع لينكس .. وبذلك أصبحت قادربالتحكم على االجهزه بحسب نظام التشغيل لتلك االجهزه او بحسب ال ـ categoryاو بحسب املاك ادرس او اسم الجهازاو بااليبي للجهاز.
أي ان الفورتي جيت يعمل على جلب املعلومات التالية بعد توصيلها بالشبكة لكي استطيع التحكم بها بعد ذلك عبرالبوليس ي : املاك ادرس االيبي للجهاز نظام التشغيل لألجهزة اسم الجهاز الصفحة 225من 469
إعداد /حممد املرفدي
اسم اليوزر(في حالة كان الجهازضمن الدومين)
أساسيات فورتي جيت
اظهارمتى اخرظهور للجهازوعلى أي من interfaceموصل هذا الجهاز(.... lan2،lan1الخ)
مالحظة : الفورتي جيت بيتحكم باملستخدمين وباألجهزة .. نقوم بفتح الفورتي جيت ونتأكد بأن الفورتي جيت بيشوف االجهزه عبرأي من interfaceحيث كل االجهزه بتسجل نفسها بشكل اوتوماتيكي في املكان التالي : > User&Device>Device Inventory
حيث يمكنك اظهاراملعلومات(األعمدة)وذلك بالنقربالزر األيمن على الشريط املظلل باألحمرومن ثم نختارالخيارات املراد اظهارها ثم applyكما بالصورة ادناه
حيث سوف يظهرلك حالة االجهزه املتعرف عليها () offline , onlineأي الجهازشغال حاليا ام طافي !! الصفحة 226من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وأيضا يظهرلك اسم الجهاز(، )Device host name اسم اليوزر(يقوم بإظهاراسم اليوزرلو كان اليوزرضمن الدومين ) العنوان (االيبي) وال ـ interfaceاملتوصل عليه الجهاز ونوع نظام التشغيل للجهازهل 7او 8.1او 10 وايضا هل يحتوي على فورتي كالينت وماهو إصداره ومتى اخرظهور للجهاز املاك ادرس لألجهزة
حيث الفورتي لكي يقوم بعمل كشف وجلب للمعلومات أعاله يجب ان تقوم بتفعيل خيارمعين على الـ interfaceسواء كانت هذه االجهزه اخذت ايبي من dhcp server on FGاو dhcp serverمستقل او االجهزه لم تأخذ ايبيهات أصال او اخذت .. static ip مثال لو اريد ان اجلب املعلومات أعاله لألجهزة املتوصله عبرال interfaceمثال lan1أي االجهزه املتوصله بالشبكة الداخليه يجب ان أقوم بتفعيل الخيارالتالي على ال ـ .. lan 1 interface
الصفحة 227من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث الخيار Device detectionال يكون مفعل بشكل افتراض ي ويجب تفعيله لو اردت تكتشف وتتعرف( )detectعلى جميع املعلومات املذكورة سابقا لتلك االجهزه واملوصله على املنفذ lan1مثال .. فمجرد الحصول على جميع املعلومات لتلك االجهزه كما بالصورة ادناه
فنقوم بتسميه تلك االجهزه بحسب املاك وذلك بالنقربالزر األيمن على اسم الجهاز()pc3
الصفحة 228من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
او نقوم بأضافه هذا الجهازبااليبي
الصفحة 229من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة ادناه قمت بإنشاء عنوان باسم PC3_IPبحسب االيبي .. فلذلك لو قمت بإنشاء بوليس ي فيمكنني ان اتحكم بهذا الجهازسواء باملاك او بااليبي كما بالصورة ادناه ..
وبهذا استطعت ان اتحكم بالجهازعبراملاك ادرس لهذا الجهازاو عبرااليبي .
وتكرر نفس العملية لكل االجهزه التي تظهرلك والتي تم اكتشافها ..
الصفحة 230من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
قمت بعمل ( permanentأي تم عمل حضرللجهاز 192.168.2.180بشكل دائم) لذا سوف يتم عمل له بلوك من كل ش يء بشكل دائم في الخيارالتالي :
الصفحة 231من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث تم وضعه بمنطقة الحجر()Quarantineحيث جهازالفورتي جيت بيعمل حظر( )banلألجهزة التي يكتشف بوجود بها اختراق او فايروسات ويمكنك فك الحظربالذهاب الى
ونحذف الجهازاملحظور لكي يتم رفع الحظر()remove ban
): Access control list (ACL عباره عن التحكم بقائمه(مجموعة من االجهزه) من انها توصل الى مصادرالشبكة ( .) service حيث يتم تسجيل االجهزه في قائمه Devices inventoryحتى وان لم يحصل ذلك الجهازعلى ايبي بعد (أي ان الجهازمثال يأخذ ايبي 0.0.0.0او ايبي من الـ)169.254.x.x ipipaفجهازالفورتي جيت بيسجل املاك ادرس لهذا الجهازفي قائمه Devices inventoryحتى وان لم يحصل على ايبي بعد .
الصفحة 232من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ولتفعيل خاصيه ACLيجب ان تقوم بتفعيل DHCP serverعلى جهازالفورتي جيت نفسه وليس
كسرفرمستقل وبهذه يقوم بالفورتي جيت بتوزيع االيبيهات لكل االجهزه املوجودة في الشبكة الداخليه .. واملفترض بأن ليس أي جهازيتوصل بالشبكة لدي يحصل على ايبي بل فقط االجهزه التي اثق فيها باملاك ادرس ،،وبهذا اصبحنا نتحكم بالقائمة ( )listsباألجهزة التي لدي بالفورتي جيت من خالل املاك ادرس عبر. ACL
ما هو : Mac reservation نربط بين االيبي وبين املاك لألجهزة أي كل مره يأتي الجهازصاحب املاك الفالني فأن dhcp serverيعطيه االيبي الفالني في كل مره .. فلو قمنا بتفعيل ال dhcp serverعلى البورت LAN1كما بالصورة ادناه
فنذهب الى اجهزه الكالينت والتي هي على الشبكة الداخليه ونعمل لكروت الشبكة disabled و enabledلتتمكن من الحصول على ايبي من ال ـ. dhcp server الصفحة 233من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بأن الجهاز pc3حصل على ايبي 192.168.2.30من dhcp server
ندخل على كرت LAN1ثم نختارالخيارAdvanced
الصفحة 234من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
من الخيار Add from DHCP client Listسوف يظهرلك كل االجهزه التي اخذت ايبي من ال ـdhcp server ومن ثم يمكنك اختياراملاك وااليبي لعمل ( reservedحجز)بحيث هذا الجهازصاحب املاك الفالني دائما اعطيه االيبي الفالني...
الصفحة 235من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بأنه تم حجز()reservedااليبي 192.168.2.30للماك ادرس املشارله باالحمر..
فأذا اردت انشاء reserve ipمانوال
الصفحة 236من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 237من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم حظراملاك ادرس بأن يحصل على ايبي عن طريق dhcp serverفعند عمل disabledو enabledلجهازالكالينت الذي له هذا املاك ادرس فأنه لن يجد ايبي مهما حصل ...
اما الصوره أعاله تم كتابه املاك ادرس للجهازالذي تريد حجزله االيبي 192.168.2.130
الصفحة 238من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فندخل على جهازالكالينت ونعمل disabledومن ثم enabledلكرت الشبكة ونالحظ بأنه حصل على االيبي 192.168.2.130كما بالصورة ادناه
مالحظة هامه :
الصفحة 239من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
املاك ادرس الغيرمعروف قم بتخصيص له ايبي من dhcp serverوهذا بشكل افتراض ي كما بالصورة أعاله. حيث ان ال ـ DHCP serverيقوم بتخصيص ايبي لكل جهازبالشكبه .. حيث لو قمنا بتغييرالخاصية الى unknown mac address =Blockفأن أي جهازلن يحصل على ايبي من dhcp serverاال لو كان معروف ..
الصفحة 240من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث بالخيارأعاله لن يتمكن أي جهازمن الحصول على ايبي من . DHCP SERVER كيفيه حظرايبي معين من الحصول على االنترنت : نالحظ بأن منطقه الحجرالى اآلن فارغ
اآلن سوف نقوم بعمل حجرلاليبي .. 192.168.2.30
الصفحة 241من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بأن الجهاز PC3معمول له حظرولن يحصل على االنترنت مهما حصل اال لو قمت بحذف االيبي من الـ Quarantine Monitorوذلك بتحديد الجهازوالضغط على الخيار .Delete
الصفحة 242من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم السماح للجهاز pc3بالحصول على االنترنت اال ان الجهازلم يتمكن من الحصول على االنترنت ألنه معمول له .. Ban ip
FortiClient اآلن سوف نشرح تقنيه اداره االجهزه بواسطة تقنيه ()Agent Basedأي سيتم تنزيل برنامج()forticlientعلى االجهزه التي تديرادارتها سواء كانت اجهزه كمبيوتر او البتوب او ايباد او موبايل بأنواعها سواء كانت االجهزه بنفس شبكة ال LANاو موجودة على شبكة ال ـ( WANعلى االنترنت)حيث سيقوم فورتي جيت فايروول بتوفيرالحمايه لألجهزة التي بعيده عن الشبكة الداخليه وذلك عبربرنامج الفورتي كالينت .
➢ حيث الفورتي كالينت يقدم الخدمات التالية : antivirus – 1على اجهزه املوظفين . Web filtering – 2على اجهزه املوظفين Application control – 3حيث سيقوم بالتحكم بالتطبيقات التي موجودة عند املستخدمين VPN – 4 mobile configuration - 5 الصفحة 243من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
يمكن تنزيل الفورتي كالينت مجاني على أي االجهزه . حيث يوجد اصدارين من الفورتي كالينت : :Basic -1نسخه مجانيه : Registered -2نسخه غير مجانيه حيث يجب ان تسجل وتجدد كل سنه
حيث لو كان لديك فورتي جيت فأن النوع Basicسوف يتيح لك كل املزايا املحدده أعاله بحسب الجدول أعاله . ولكن لو لم يكن لديك فورتي جيت فايروول فيمكن االستفاده من الفورتي كالينت ك web filteringو Antivirusفقط .
اما النوع Registered with fortiGateفأن اهم ميزه يوفرها لي الفورتي كالينت هي Centralized managementأي اداره مركزيه أي سيتم التحكم بشكل مركزي بكل الفورتي كالينت عن طريق الفورتي جيت فايروول. يجب عليك قبل ماتقوم بشراء الفورتي كالينت فأنك تبحث عن جهازالفورتي جيت الى حد كم بيدعم . forticlients مثل FG 30-90بيدعم فقط الى . 200 forticlients الصفحة 244من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فاذا كان لديك عدد اجهزه تريد تنزل عليها فورتي كالينت اكثرمن 200جهازفيجب عليك ان تقوم بشراء جهازفايروول فورتي جيت بحيث يدعم عدد اكبرمن الفورتي كالينت .. حيث النسخ (الفورتي كالينت)يجب ان تقوم بتجديدها سنويا ..
حيث الصوره توضح موديل الجهازالفورتي جيت وعدد االجهزه التي يدعمها الفورتي كالينت . مالحظة :اشتراك الفورتي جارد يختلف عن اشتراك الفورتي كالينت ..
❖ طريقة تنزيل الفورتي كالينت على االجهزه : -1تنزيل الفورتي كالينت على اجهزه املستخدمين في حالة عدم وجود دومين : يتم تنزيل الفورتي كالينت بعد تنزيله من املوقع( forticlient.comمجانا) او من Dashboardثم Forticlientتقوم بتنزيل ملف بالكيلو بايت ومن ثم تقوم بتنزيله على كل اجهزه املوظفين حيث اثناء التثبيت يجب ان تكون االجهزه متاح عليها االنترنت لكي يعمل اتصال مع ال ـ FDNلكي ينزل منه التحديث . او من السوق بالي ()google playألجهزه االندرويد . أحيانا تكون هنالك اجهزه مفيرسه وال يمكن تنزيل عليها برنامج الفورتي كالينت من الوضع الطبيعي بل يحتاج الدخول الى الوضع اآلمن مع الشبكة ()safe mode with networkingومن ثم نقوم بتنزيل برنامج الفورتي كالينت حيث ستظهرلك رساله خطا تجاهلها واعمل اعاده تشغيل للويندوز ومن ثم ادخل على الوضع الطبيعي ستالحظ بأن التطبيق يعمل تنزيل بشكل طبيعي ..
- 2نشرالفورتي كالينت عبرالجروب بوليس ي من سيرفرالدومين ()Deployعلى االجهزه في الشبكة ،حيث يجب ان يكون الفورتي كالينت امتداده MSIوليس ( exeيتم تحويله عبربرنامج .) third party الصفحة 245من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
طريقة عمل integrationبين الفورتي كالينت و الفورتي جيت لكي نتمكن من عمل تحكم مركزي بكل الفورتي كالينت عبرالفورتي جيت (تحديث من الفورتي جيت لألجهزة وجميع البيانات لتلك االجهزه متواجدة في الفورتي جيت ...الخ)
➢ شروط عمل integrateبين الفورتي جيت و الفورتي كالينت : -1تفعيل خاصيه FortiClient accessعلى ال ـ interfaceمثال LAN1وبذلك انت تسمح لألجهزة التي مثبت عليها الفورتي كالينت من الوصول الى الفورتي جيت .
: Authentication يتم استخدام ال ـ authenticationفي امن الشبكات . ماذا يقصد بعمليه ال ـ authentication؟ يقصد بها املصادقة ويتم استخدام اليوزرنيم وكلمه السر للتأكد(التحقق) من هويه املستخدمين .. أي عمليه التأكد بأن الشخص الذي يستخدم اليوزرنيم والباسورد هو الشخص الحقيقي وذلك عبر ال ـ . authentication الصفحة 246من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ ماهي طرق الــ ( authenticationالتحقق من الهوية) في الفورتي جيت : ➢ : Local authenticationاليوزرنيم والباسورد املعتمد عليهم في عمليه املصادقة تكون مخزنه على جهازالفورتي جيت نفسه : Server authentication -1
في الشركات الكبيرة بتحتوي على اكثرمن جهازفورتي جيت فايروول بالشبكة فلو قام املستخدم بإدخال اليوزرنيم والباسورد فأن الفورتي جيت يقوم بارسال الطلب الى server authenticationسواء كان هذا السيرفر() pop3,LDAP,RADIUS,TACACS+,للتحقق من اليوزرنيم والباسورد الذي ادخله املستخدم .
: Certificate authentication -1يقوم جهازالفورتي جيت بإصدارشهاده ()RSAx 509لجهاز الكمبيوترالتابع للكالينت ياخذها الجهازويتحقق منها كلما يطلب مصدرمن مصادرالشبكة
الصفحة 247من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث الذي يقوم بإصدارالشهادة يسمى CAحيث CAممكن يكون جهازكمبيوتراو جهازالفورتي جيت وممكن تكون شركه خارجيه .. : Two factor authentication -2 يحتوي على عامل إضافي بجانب الي وزنيم والباسورد حيث تعتبرمستوى اعلى من التحقق .. هذا العامل اسمه ال ـ tokenلرفع مستوى الحمايه . ال ـ tokenمعناها رمز.. حيث الفورتي جيت بيستخدم طريقة ال ـ tokenبانه بيقوم بتوليد ) OTP(one time passwordوهي عباره عن باسورد إضافية يجب ان أقوم بإدخالها بعد ادخال اليوزرنيم والباسورد األولى . حيث الباسورد الثانية سيقوم جهازالفورتي جيت بتوليدها كل 60ثانية ويرسلها على جهازاخرمثال SMSاو ايميل حيث بعد ادخال اليوزرنيم والباسورد وبالباسورد الثانية املرسله عبر SMSاو غيرها سيتم عمل تحقق وتأكد من عمليه ال ـ authenticationوبعدها سيسمح لك بالوصول الى مصادر الشبكة لو كانت العملية تمت بنجاح .. حيث أصبحت العملية معقده على الهاكرعلى االختراق ..
Local authentication طريقة عمل local authenticationعلى الفايروول . أوال سنقوم بإنشاء حسابات محليه (يوزرنيم وباسورد)على الفورتي جيت حيث بشكل افتراض ي يكون لدينا يوزرباسم Guestونوعه localكما بالصورة ادناه
الصفحة 248من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث سنختارنوع اليوزرالذي نريد انشاءه هو ( local userأي ان اليوزرنيم والباسورد موجودين على الفورتي جيت نفسه) او تريد انشاءه باي أنواع أخرى :
حيث كل يوزرمن األنواع أعاله سوف تكون له اعدادات معينه .. الصفحة 249من 469
إعداد /حممد املرفدي
نحن االن سنختارالنوع األول . Local User
أساسيات فورتي جيت
حيث بعد ذلك سنكتب اليوزرنيم والباسورد التي سنعتمد عليهم في عمليه املصادقة بعد ذلك ..
ثم لو تريد تحديد ايميل لهذا اليوزرحيث لو لديك اشتراك من فورتي جارد ل ـ Messaging services فيمكنك استخدام خاصيه ال ـ smsويمكنك تخطي خطوه االيميل وال ـ . sms
الصفحة 250من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله نعمل Enableلهذا اليوزرولو تحب نضع هذا اليوزرألي مجموعة منشأه مسبقا (.)User group ثم ننقرعلى الزر Submitألتمام عمليه االنشاء ..
تم االنشاء اليوزر Anwarوبنفس الطريقة تم انشاء يوزرباسم hosamكما بالصورة ادناه
طريقة انشاء user groupباسم Managersونوعها Firewallواضافة اليوزرات السابقة الى هذه الجروب . الصفحة 251من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث ممكن للموظفين بالشركة استخدام اليوزرات أعاله بدال عن االيبي .. حيث عند تطبيق البوليس ي حنختاراليوزروسوف استخدمها في عمليه ال ـ . authentication أي اني اريد املستخدمين يطلعوا على االنترنت عن طريق اليوزرنيم والباسورد وليس عن طريق االيبي .. حيث لن يحصل الجهازعلى االنترنت مالم يقوم بفتح متصفح االنترنت ويظهرلك واجهه ( )portalويكتب اليوزرنيم والباسورد . اآلن سوف نقوم بإنشاء بوليس ي بيسمح للموظفين بالحصول على االنترنت بشرط يكون لديهم local usersفقط وليس عن طريق االيبي ..
الصفحة 252من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة:تم أضافه العنوان allوبهذا يصبح ( )Anwar+hosam/allطبق البوليس ي ليوزرات معينه من ال allوهو ضروري لكي يتم قبول البوليس ي ألنه يجب على األقل وجود عنوان ( )addressواأل سوف يظهرلك رساله الخطأ التالية :
وأيضا ممكن اختيارالجروب املسماة Managersوالتي تحتوي على اليوزرات ()hosam+Anwarبدال من اختياراليوزرات واحد واحد اآلن نقوم بالدخول الى احدى اجهزه الشبكة الداخليه فنالحظ بأن االنترنت ليس موجود حاليا على الجهاز
الصفحة 253من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وبمجرد فتح متصفح االنترنت نالحظ ظهور واجهه فسنقوم بإدخال يوزرنيم وباسورد hosamوالباسورد 123والذي قمنا بإدخاله سابقا وبعد ذلك يصبح الجهازقادرعلى الوصول الى االنترنت حتى بعد اعاده تشغيل الجهاز.. .
وملعرفة اليوزرات التي تمكنت من الوصول الى االنترنت من نوع local users
الصفحة 254من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ تم دخول اليوزر hosamوااليبي الخاص به هو 192.168.2.30وتم استخدام 9ميجا من الترافيك ونوعه . firewall
طريقة الغاء املصادقة ()authenticationليوزرمعين من يوزرات ال ـ local userوبذلك لن يستطيع الجهازالوصول الى االنترنت مالم يقوم بعمل املصادقة وإدخال اليوزرنيم والباسورد مره أخرى على متصفح االنترنت ..
الصفحة 255من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اصبح االن ال يوجد أي يوزرمن نوع ).. firewall (local user بمجرد ادخال اليوزرنيم والباسورد على الجهازمن قبل املستخدم يتم أضافته على القائمة firewall User Monitorكما بالصورة التالية :
Max invalid authentication يجب تطبيق سياسه للحد من عدد املحاوالت الخاطئة(يوزرنيم او باسورد خطأ) املسموح فيها بعد ذلك نقوم بتطبيق عقوبه بأنه سوف يكون غيرمسموح لهذا اليوزرلوقت معين من ادخال اليوزرنيم والباسورد .
الصفحة 256من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مثال بعد 5محاوالت ادخال خاطئه فأننا نقوم بإغالق الحساب ملده 300ثانية( 5دقائق) . اي ان اليوزرلن يتمكن من املصادقة ألن البورتال (نافذه اليوزرنيم والباسورد لن تظهرخالل 5دقائق)
Authentication timeout السياسة األخرى التي يتم تطبيقها على local usersاسمها ِ Authentication timeoutبأن لو لم يستخدم االنترنت خالل فتره معينه فأنه يجب ان يعمل re-authenticationمره أخرى . حيث االفتراض ي بعد 300دقيقه بدون ان يقوم اليوزرباستخدام االنترنت فيجب عليه ادخال اليوزرنيم والباسورد مره أخرى ..
الصفحة 257من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
طريقة تعديل ال ـ replacement messageحيث أي رساله تظهربالفورتي جيت يمكنك تعديلها ، اآلن سنقوم بتعديل الرساله التابعه لـ authenticationوتحديدا الشاشة Login Pageوأيضا شاشه Login failed Pageفي حالة انك أدخلت يوزرنيم او باسورد خطأ .
نحدد الشاشة املراد تغيرها ثم edit
الصفحة 258من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم نقوم بتعديل ما نريده بكل سهوله .. ونالحظ الشاشة بعد التعديل
الصفحة 259من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ولو تريد ارجاع الشاشة كما كانت فنقوم بعمل restore defaultsثم save
مالحظة : يوجد خيارين آلظهارالرسائل بالفورتي جيت هما extend viewواألخر Simple Viewحيث الخيار Extend viewبيظهركل الرسائل على مستوى الفورتي جيت اما simple Viewفيظهرلك الرسائل األساسية فقط..
الصفحة 260من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Restricting number of concurrent user logons كم عدد ال ـ sessionsالذي مسموح ال ـ administratorيقدروا يعملوا loginعلى الفورتي جيت او sessionواحده فقط عبرالويب ،حيث الوضع الطبيعي بأنه مسموح لعدد sessionغيرمحدود .. لتقييد الدخول الى الفورتي جيت ألكثرمن ( administratorتحدد sessionواحده فقط)كنوع من ال ـ securityوذلك عبراالوامرالتالية :
ولو اردت اعادتها كما كانت كما بالصورة ادناه..
الصفحة 261من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Managing guests هي عباره عن اداره الزوارالقادمين للشركه حيث يكونوا لفتره مؤقته فقط حيث يمكن لجهازالفورتي جيت ان يعطيك حسابات مؤقته تنتهي بعد فتره معينه . حيث سيتم انشاء حسابات لهؤالء الزواربشكل عشوائي عبرالفورتي جيت نفسه او بنفس االيميالت الشخصيه لكل زائراو نقوم بتخصيص حسابات بشكل يدوي . وسيتم تسليم الزائرلحساباتهم اما عن طريق طباعه الحسابات او ارساله بااليميل او عبر. SMS لكي أقوم بعمل هذا الش ي يجب تخصيص جروب للزوار()Guests groupتحتوي على عدد من الحسابات . نقوم االن بإنشاء جروب باسم Guest1ونوعه guest
حيث لو كان عددهم كبيرجدا فانك سوف تقوم بتفعيل الخيارBatch Guest Account Creation الصفحة 262من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
االن سوف نقوم بإنشاء الحسابات بشكل منفرد وليس مره واحده لذا لن نقوم بتفعيل هذا الخيار
لذا سوف تقوم باختيارنوع ال ـ User IDبحسب الخيارات التالية: : Emailحيث يكون اسم حساب الزائرهو نفسه ايميل الزائر. : Auto generatedأي ان الفورتي هو الذي سوف يقوم بإنشاء أسماء الحسابات(اليوزرات)بشكل اوتوماتكي . : Specifyتقوم بكتابه اسم الحساب(اليوزر)( ) IDبنفسك .. حيث لن تسطيع ان قوم بإنشاء يوزرمن نوع guestاال لو كنت قد أنشأت جروب من نوع guestأوال لذا لو حاولت الدخول الى Guest managementقبل انشاء الجروب سوف تظهرلك رساله تحذيريه كما بالصورة التالية :
الصفحة 263من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
لذا أوال قم بإنشاء ال ـ Guest groupبالنوع الي تريده مثال emailاو auto generatedاو specifyمثال سوف نختارالنوع Email
نالحظ كما بالصورة أعاله بأننا اخترنا بان الباسورد سوف يتم توليده بشكل اوتوماتيكي عبرالفورتي جيت()Auto Generatedوبأنه سوف تكون نهاية الحساب بعد 4ساعات من وقت انشاء الحساب .. لذا عند انشاء الحساب سوف يكون ال ـ idهو نفسه االيميل الخاص بالزائر مالحظة: لو قمت بجعل Password=disabledفان عند انشاء اليوزرلن يطالبك بالباسورد ابدا ..
الصفحة 264من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله يتبين بأن ال ـ User Idهو عباره عن ايميل الزائرويجب ان تقوم بكتابته مثال [email protected]في الخانه Emailواال لن تتم عمليه االنشاء لهذا الحساب ويتبين بأن مده انتهاء الحساب بعد 4ساعات . حيث سيتم ارسال الحساب على ايميل الزائراملحدد أعاله بشرط انك تكون قد فعلت بأن الفورتي جيت يمكنه االرسال عبرااليميل..
حيث قمت بإنشاء الحسابات بحسب االيميل كما بالصورة اعاله ..
الصفحة 265من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
يمكنك التحكم بالحساب من حيث ارسال الباسورد الى ايميل املوظف او مده انتهاء الحساب فورا او حذف الحساب او التعديل عليه او تجديد مده الحساب ...
وهناك خياراسمه purgeحيث عند النقرعليه يقوم بحذف كل الحسابات التي انتهت مدتها ويتبقى لك الحسابات التي الزالت . valid حيث نالحظ بأن الخيار Purgeال يفعل اال لو كان هناك حسابات منتهيه كما بالصورة ادناه
وملعرفة الباسورد الذي قام الفورتي جيت بتوليده بشكل اوتوماتيكي نقوم بالنقرعلى الحساب نقرتين بزر الفاره االيسروسوف يظهرلك كما بالصورة ادناه
االن سوف أقوم بتغييرنوع الجروب Guest1الى Auto Generated
الصفحة 266من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
لذا عن انشاء اليوزرفي هذا النوع فانك لن تقوم بكتابه اليوزرنيم وال الباسورد
حتى ال ـ emailيمكنك تركه فارغا ...
تم انشاء الحساب اوتوماتيكيا باسم user0022 النوع األخيرمن Guest groupهو specifyأي انك سوف تقوم بإنشاء اسم اليوزربشكل يدوي . الصفحة 267من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما نالحظ بأن خيارانشاء الباسورد هو Auto Generatedأي بأن الفورتي جيت هو الذي يقوم بإنشاء ه لكل حساب ..
كما الصوره أعاله قمنا بكتابه اسم الحساب hosamبشكل مانوال ..
الخالصة :
الصفحة 268من 469
إعداد /حممد املرفدي
الخيار ( Expirationمتى سينتهي الحساب) هناك خيارين
أساسيات فورتي جيت
: Start countdown : On Account creationأي سيتم احتساب فتره االنتهاء( 4ساعات مثال)منذ انشاء الحساب .. : After First Loginسيتم احتساب فتره انتهاء الحساب من بعد اول دخول للحساب من قبل الزائر.. نالحظ عند انشاء الحساب
باننا قمنا بكتابه اسم اليوزروالباسورد بشكل مانول ...
لو اردت انشاء حسابات بشكل اوتوماتيكي لعدد مثال 50يوزر.
الصفحة 269من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 270من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم انشاء 50حساب بشكل اوتوماتيكي فيمكنك طباعتها او ارسالها للزوارباي طريقة ..
➢ ثم بعد ذلك سنقوم بإنشاء بوليس ي ونحدد بها الجروب املسماة ( )Guest1في ال ـ.Source لو تريد مثال احدى موظفي االيتي عندك ال تريد ان تعطيه صالحيه كامله على الفورتي جيت وتريد فقط ان يديرحسابات الزوار( )Guest usersنقوم بالخطوات التالية :
الصفحة 271من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم انشاء يوزرباسم guest_adminيقوم بإدارة الجروب املسماة . Guest1
االن اليوزر guest_adminيمكنه اداره الجروب املسماة Guest1من انشاء يوزروالتعديل عليه وحذف اليوزرات التابعه للجروب Guest1وأيضا عمل Purgeوطباعه اليوزرات ..الخ ..
الصفحة 272من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
)FSSO(fortinet single sign on
نحن في الدروس السابقة لكي نصل الى االنترنت عبرالفورتي يجب ان يكون لدينا يوزرفي الفورتي جيت لذا لكي افتح االنترنت على أي جهازيوجد لدينا خطوتين -1ادخال اليوزرنيم والباسورد للويندوز(للجهازاول مره)أي login to computer -2ادخال اليوزرنيم والباسورد( )local accountاملوجود بالفورتي جيت وبهذا استطيع الوصول الى االنترنت اذا لدينا خطوتين لكي يتمكن الجهازمن الوصول الى االنترنت ... ولتخفيض العملتين السابقتين الى عمليه واحده فقط أي االعتماد على اليوزرنيم والباسورد املوجودين في ال ـ ADفقط . وذلك لتعريف كل اليوزرات و الجروبات املوجودة في ADعلى الفورتي جيت . وبذلك يمكنني التحكم بكل اليوزرات و الجروبات عبرالفورتي جيت كأنهم local usersوذلك عبرعمل integrationال ـ ADمع . fortigate الصفحة 273من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة : LDAP serverممكن يكون AD server in windows او لينكس او نوفل ...الخ . Ldapهي DBالخاصة بالحسابات نحن سوف نتعامل مع ldap server in Microsoftوهو AD server
ولكي نقوم بعمل integrateللفورتي جيت مع ال ADيجب ان تقوم بالخطوات التالية : -1تحديد ال Ldap serverللفورتي جيت أي من هو ال ـAD server -2عمل اعدادات لل ـ Ldap serverلكي يعمل single sing onأي يجب تفعل خاصيه single sign onعلى الفورتي جيت . -3سنقوم بإنشاء FSSO groupتحتوي بداخلها على اليوزرات او الجروبات املوجودة على ال ـAD -4انشاء بوليس ي ونختارالجروب التي قمنا بأنشائها بالخطوة رقم 3والتي تحتوي على املستخدمين الذي سوف نطبق عليهم فكره . Single sign on حيث أي شخص ليس لديه حساب في ال ـ ADلن يستطيع الوصول الى االنترنت عبرالفورتي جيت ألنك في البوليس ي قمت بتخصيص FSSO groupاال لو انت سمحت بذلك . االن سنقوم بعمل AD serverبااليبي 192.168.2.11ونقوم بإنشاء يوزرات على الAD
الصفحة 274من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة:قم باغالق الفايروول للويندوز سيرفر)Active directory( 2012 نقوم بإنشاء يوزرات على ال ـ ADكالتالي : Adminونوعه domain admins User3،User2،User1ونوعه domain users
الصفحة 275من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نتاكد من جهازالكالينت()Win 8.1معمول له Joinedللدومين وان السيرفرAD بيقدروا يوصلوا لبعض (موصلين على سويتش واحد )Vnet1وبيقدروا يعملوا pingبينهم البعض .. االن سنقوم بأضافه ال ـ ldap serverالذي هو )192.168.2.11( ADالى الفورتي جيت
الصفحة 276من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تبين بأن االتصال بسيرفرال ـ ldapسليم ..
بعد النقرعلى الزر browseنقوم باختيارالدومين كما بالصورة ادناه
الصفحة 277من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم أضافه ال ـ ldap serverبنجاح ...
الصفحة 278من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الخطوة الثانية : نقوم بضبط االعدادت لتفعيل خاصيه FSSO
هناك طريقتين لعمل ذلك وهما
الطريقة األوىل Poll Active Directory server
وهي الطريقة التي سنعمل عليها اآلن
و الطريقة األخرى هي Fortinet Single Sign-on Agent وسوف يتم شرحها آلحقا .. الصفحة 279من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
قمنا باختيارالوحده التنظيميه ( )OUاملسماة ITوالتي تحتوي على اليوزرات User3،User2،User1من قائمه اليوزرات التي موجودة في ال ـ ADلكي أتمكن من رؤيتها على الفورتي جيت حيث بعد التحديد ننقر بالزر األيمن ثم .. Add Selected
تم أضافه ال ـ OUمن ال ـ ADالى الفورتي جيت لكي أتمكن من ان اتحكم فيها الحقا عبرالفورتي جيت الصفحة 280من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم أضافه ال ـ OUاملسماة .. IT
تمت بنجاح كما بالصور ادناه توجد عالمه صح خضراء
لو كانت العملية لم تتم بنجاح فيكون السهم باللون األحمرليديل على فشل العملية ..
اآلن سنقوم بإنشاء يوليس ي ونختارمنها اليوزرات مثال User1و User2فقط .. حيث هما فقط لهما الحق بالوصول الى االنترنت ..
الصفحة 281من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مالحظة : لو قمنا باختيارالـ OUكامله كما بالصورة ادناه فأن اليوزرات التي بداخل تلك ال OUلن تستطيع الوصول الى االنترنت وكأن الفورتي جيت ال يتعرف على ال ـ.. OU
الصفحة 282من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
البوليس ي أعاله لن تجعل اليوزرات التي بداخل ال ـ Ouاملسماة ITيحصلوا على االنترنت ..
الخطوة الثالثه : لذا من األفضل انشاء جروبات من نوع FSSOلكي نتمكن من استخدامها في البوليس ي كما بالخطوات ادناه
حيث انشاءنا جروب باسم FSSO-IT-Gوهي من نوع FSSOوستحتوي على كل اليوزرات التي بداخل ال ـ OUاملوجودة على ال ADواملسماة . IT
الصفحة 283من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اآلن سنقوم بالتعديل على البوليس ي السابقة لنقوم باختيارالجروب املسماة FSSO-IT-Gكما بالصورة ادناه
❖ الطريقة الثانية لعمل الـ integerationبني الفورتي جيت والــ ADتسمى
Fortinet Single Sign-on Agent يتم تنزيل برنامج اسمه FSSOعلى سيرفرالدومين()AD
الصفحة 284من 469
إعداد /حممد املرفدي
قم بكتابه كلمه السرالتابعه للدومين ادمن لل ـAD
الصفحة 285من 469
أساسيات فورتي جيت
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 286من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نقوم بتحديد اليوزرات املراد استثنائها من عمليه ال ـ monitoringعبربرنامج FSSO Agentحيث تم استثناء اليوزرAdministrator
الصفحة 287من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 288من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 289من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله قم بكتابه باسورد (ليش شرط ان يكون نفس باسورد الدومين ادمن)حيث ستحتاج لها لعمليه االتصال بين الفورتي جيت وبرنامج FSSOويفضل ان يكون معقد
الصفحة 290من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
سنقوم بإنشاء LDAP SERVERكما بالصورة ادناه
الصفحة 291من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 292من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 293من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم انشاء LDAP SERVERبنجاح باسم LDAP_SERVERوالذي سنستخدمه الحقا ..
الصفحة 294من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
هنا الباسورد هي نفسها التي قمنا بإنشائها في برنامج FSSOعلى سيرفرالدومين ()ADوهناك طريقتين للحصول على اليوزرات والجروبات التي موجودة على سيرفرال ـ ADاما نقوم باختيارالخيار Localكما بالصورة أعاله ومن ثم نختارال ـ LDAP SERVERالذي قمنا بإنشاء ه سابقا ..
الصفحة 295من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله سنقوم بتحديد الجروبات واليوزرات املوجودة في ال ـ ADوالتي تريد أضافتها ()intergratedمع الفورتي جيت
بعد تحديد اليوزرات املطلوب أضافتها الى الفورتي جيت
كما بالصورة أعاله تبين بأن عدد العناصرالتي تم أضافتها هي 6 الصفحة 296من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تالحظ العدد هنا 4عناصرتم إضافتها ومن ثم نختارOK
لو كان السهم باللون األحمرفذلك يعني بأن االتصال بين الفورتي جيت وال ـ ADغيرسليم نتأكد بأن لفايروول على سيرفرال ـ ADمقفول .. االن سنقوم بإنشاء جروب من نوع FSSOونقوم بأضافه اليوزرات او الجروبات التي قمنا باختيارها سابقا ( )selectedفي الخطوات السابقة حيث هذه الجروب سيتم تطبيق بوليس ي معينه عليها الحقا ..
الصفحة 297من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم اختيارالجروب املسماة IT-GROUPواملوجودة على AD
الصفحة 298من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم تطبيق البوليس ي على الجروب من نوع FSSOواسمها FSSO-GROUP-ITوالتي قمنا بانشائها سابقا ...
الصفحة 299من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ملراقبه اليوزرات التي ضمن ... fsso
كما بالصورة ادناه يتبين بأن االتصال بين الفورتي جيت وال ـ ADسليم ..
كما قلنا سابقا لو تريد مراقبه اليوزرات التي ضمن FSSOمن حيث املده التي يعمل عليها وااليبي وحجم الترافيك كما بالصورة ادناه ...
الصفحة 300من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
يظهرلك كل الجلسات املستخدمة وحجم الترافيك واملده ..
الصفحة 301من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ هذه هي الطريقة الثانية(خيار اخر ) لعمل integrationعرب اختيار الــCollector Agent
كما بالصورة أعاله تم أضافه كل الجروبات وال ـ OUاملوجودة على االكتف دايركتوري الى الفورتي جيت (عددها 48عنصر)...
الصفحة 302من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Antivirus ماهي أنواع ال ـ antivirus DataBase؟ : Normal antivirus signatures Database .1هذا النوع موجود في أي جهازفورتي جيت انت تشتريه بغض النظرعن نوعه حيث الداتا بيزاملوجودة فيه بيتم اعدادها من قبل الفورتي جارد( )FortiGuardمن قبل فريق البحث لشركه الفورتي نت حيث تحتوي ال ـ databaseلهذا النوع على اشهرأنواع الفايروسات حيث الجهازعندما يقوم بالفحص يقوم بعمل مقارنه ما بين امللفات التي تصل اليه من خارج الشبكة وبين ال signaturesاملوجودة في الداتا بيزفلو وجد بأن امللف له signatureمتشابه مع التي موجودة لديه في ال ـ DBفيقوم الجهازباعتبارهذا امللف على انه فايروس وبيعمل له ال ـ actionاملناسب .
: Extended .2هذا النوع متوفرفي اغلب موديالت فورتي جيت (ليس جميعها)حيث بتحتوي على النوع األول ( DB+)Normalعلى الفايروسات الغيرفعاله او غيرنشطه حيث ممكن هذا الفايروسات ممكن تتنشط ويعاد نشاطها مره أخرى فبهذا يكون الفورتي جيت لديه معلومة عن هذا النوع من الفايروسات .. : Extreme .3موجود هذا النوع من قواعد البيانات على بعض اجهزه الفورتي جيت حيث هي قاعده بيانات ضخمه وبتحتوي على DBالنوعين السابقين +قاعده كبيره من الفايروسات حيث تكون مساحه هذا النوع كبيره جدا ولكنها توفراكبرامان وحمايه للشبكة . حيث أي جهازقبل ماتشتريه يمكنك معرفة ماذا يدعم من قاعده بيانات من الفايروسات من األنواع السابقة .. ➢ مالحظة :نسخه fortigate VMال يوجد بها licenceلل ـ . Antivirus
الصفحة 303من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كيف تفرق بني قواعد بيانات الفايروسات على جهاز الفورتي جيت ؟
بيتم ذلك عبرال ـ cliويجب ان يكون على جهازحقيقي
كما بالصورة أعاله تبين بأن الجهازيدعم جميع األنواع الثالثه حيث بعد كتابه االمر ? #set default-db ثم تكتب ؟ سيقوم بإظهارلك كل انواع القواعد الذي يدعمها الجهازويمكنك اختيارالنوع املناسب لك مثال extreme حيث ال ـ extremeهو النوع األفضل واالقوى ..
كيف بيتم عمليه التحديث لل Antivirus DB؟ :Manual )aستقوم بتحميل ملف من امللفات عبر() fortiGuard service updateوتعمل لهذا امللف uploadللجهازويقوم بتحديث ال ـAntivirus DB
الصفحة 304من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم نقوم بتحميل ال 2ملفات املشاراليهم بالون األخضرومن ثم نقوم بعمل لهم Uploadمن الفورتي جيت فايروول . : Automatic )bجعل الفورتي جيت يعمل على تنزيل التحديثات من (FDN)fortiGuard بمجرد وجود تحديثات جديده .وبهذا يصبح ال ـ. UP to Date DB
الصفحة 305من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث تقوم بتفعيل للخيار Accept push updatesبحيث أي تحديث جديد موجود على FDNبيتم تنزيلها تلقائيا الى الفورتي جيت فايروول بدون تدخل منك . او يمكنك عبرخياراخربأنك تعمل schedule updatesوتحدد األيام الذي يقوم فيها الفورتي جيت بتنزيل التحديثات من . FDN
الصفحة 306من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مثال يمكنك تحديد أيام واوقات معينه لعمل التحديث (أوقات خارج الدوام) حيث ان ال ـ antivirusبدون تحديث ليس له أي قيمه ...
ملعرفة ال ـ licensesالتابع لجهازالفورتي جيت ككل
الصفحة 307من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تبين بأن الترخيص لل ـ Antivirusغيرموجود نظرا ألن نسخه عباره عن VMتجريبي ... حيث يحتوي ال ـ Antivirusعلى AV Definitionsو AV Engineو Mobile Malware أي ش ي قام جهازالفورتي جيت بعمل له Detectionبيتم تسجيله كما بالصورة ادنا ه
الوقت والتاريخ لعمليه اكتشاف الفايروس ويحدد له املصدرواسم امللف املعمول له detectedوما هو اسم الفايروس ومن هو اليوزرالذي حصل عنده ال ـ detectionوبعض التفاصيل وماه والـ actionالذي حصل لهذا الفايروس ..
الصفحة 308من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ طريقة تفعيل الــ antivirusعلى الفورتي جيت وعمل محايه للشبكة من أي تهديدات :
كما بالصورة أعاله يتبين بأن 2بروفايل موجود بشكل افتراض ي وال يمكن حذفهما .. ويمكنك انشاء بروفايالت جديد وتخصصها كما تشاء ومن ثم سيتم اختيارها الحقا في البوليس ي ... ➢ طريقة انشاء بروفايل جديد لــ: antivirus
الصفحة 309من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث تقوم بكتابه اسم البروفايل وفي حالة اكتشاف فايروس هل تقوم بعمل blockأي سيمنع امللفات املصابه بالفايروس من الدخول الى الشبكة او Monitorوبهذا سيتم السماح للملفات املصابه باملرور الى الشبكة باإلضافة الى قيامه بتسجيل logsعلى الفورتي جيت بان هذا امللف مصاب ومن ثم تحدد البرتوكوالت التي سيتم عمل لها فحص من قبل ال ـAV
كما بالصورة أعاله تم انشاء بروفايل جديد باسم AV-FOR-Network حيث يمكنك حذف او نسخ او التعديل عليه كما هي األسهم املشاراليها في الصوره أعاله ..
الصفحة 310من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
➢ طريقة اختيارالبروفايل مخصص في البوليس ي :
تم تحديد البروفايل املسمى AV-FOR-Networkوالذي قمنا بإنشائه مسبقا .. يجب ان تقوم بتفعيل ال ـ antivirusفي كل بوليس ي وذلك لألهمية .. الصفحة 311من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
في حالة اردت تعمل حمايه للفورتي جيت بحيث ال يستطيع احد انشاء بروفايالت جديده مثل app controlاو AVاو ً .. web filterالخ
تالحظ كما بالصورة أعاله بأن خيارالحذف والتعديل واإلضافة غيرمتاح بعد قيام بإلغاء تفعيل الخاصية التالية .. Multiple security profiles:
➢ : Antivirus Mode
الصفحة 312من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Flow base mode
يأخذ نسخه من امللفات ويحصل لها cachingعلى الفورتي جيت قبل تسليمه الى الكالينت حيث ال يوجد عمليه تقسيم للباكت ثم يقوم بإرسالها الى محرك مكافح الفايروسات ليتم عمل فحص لها ففي حالة كانت سليمه فأنه يتم تسليمها الى املستلم اما لو كانت مصابه فيتم حذف امللف املصاب
Proxy base mode الفحص األكثرشموال واالعمق و االطول وقت حيث يتم تقسيم امللفات(للباكت) الى أجزاء يعتمد على مبدا ال ـ bufferingأي التخزين املؤقت أي ان كل الباكت وامللفات التي تصل للفورتي جيت ال يتم تخزينها بشكل مؤقت على جهازالفورتي جيت
في حالة لم يجد أي أصابه للملف بعد عمليه الفحص يتم ارساله الى الهدف اما في حالة وجود أصابه في امللفات يأخذ actionمعين ويعمل رساله للهدف كنوع من التحذيربأن امللف مصاب Default buffering=10 mألي الصفحة 313من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
جهازفورتي جيت . فلو كان امللف حجمه اكبرمن 10ميجا فأن هناك حالتين اما يتم عمليه تمريرامللف الى الهدف بدون فحص او ان يتم عمل له . Block يمكن التعديل على قيمه ال ـbuffering size
❖ مىت يتم استخدام flow baseومىت يتم استخدام proxy base؟ هذا يعتمد على شكل الشبكة .. مثال لو هناك هجمات كثيره فاألفضل ان تختارproxy base اما لو كان لدي شبكتين داخليه فيمكن استخدام ال ـ flow baseألنه اسرع وبنفس الوقت الهجمات التي تكون في الشبكات الداخليه اقل بكثيرمن الهجمات التي تأتي من خارج الشبكة(االنترنت) . ممكن تستخدم flow baseلو كان سرعه االنترنت لديك بسيطة فاألفضل تستخدم ال ـ flow baseألن عمليه الفحص تكون اقل بعكس عمليه ال ـ proxyالتي تكون عمليه الفحص ادق ولهذا يتم استهالك االنترنت .. ❖ ماهي طريقة عمل مكافح الفايروسات يف الفورتي جيت (يتعامل املكافح بالفورتي جيت مع أي ملف على شكل مراحل)؟ املرحله األولى Antivirus protectionويسمى بالتهديدات الصريحه: محرك البحث( )DBلدى مكافح الفايروسات أوال يقوم بالبحث على التهديدات الصريحه حيث لو قمت باستالم ملفات وهذه امللفات بتحتوي على تهديد صريح () malwareفيتم عمل actionمناسب . املرحله الثانية :)Grayware( specific function
الصفحة 314من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تعتبرهذه املرحله الثانية من مراحل تعامل مكافح الفايروسات التابع لفورتي جيت ،في هذه ااملرحله يتم البحث عن البرمجيات التي تعتبر()Graywareحيث امللفات او البرمجيات في هذه الحالة ال تعتبرمؤذيه أي انها غيرصريحه بالتهديد و ال امنه . هذه الخاصية بشكل افتراض ي غيرمفعله باجهزه الفورتي جيت فلو تريد تفعيلها لزياده نسبه األمان فيكون ذلك عبر CLIكما بالصورة ادناه ..
املرحله الثالثه ( Heuristicsاالستدالل) : لو تم تفعيل هذه الخاصية فأن AVلو وجد أي مؤشر(اشتباه) بأن امللف يحتوي على فايروس سوف يقوم بعمل actionلهذه امللفات .. حيث هذه الخاصية بشكل افتراض ي غيرمفعله ويوجد لهذه الخاصية أيضا passأي في حالة االشتباه قم بالسماح لها باملرورالى الشبكة الداخليه وأيضا في خاصيه Blockحيث في حالة االشتباه اعمل لها Blockوال تجعل امللفات تمرالى الشبكة الداخليه ...
ولتفعيل هذه الخاصية عبرCLi
الصفحة 315من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث هذه الخاصية بشكل افتراض ي تكون disabled ونحن جعلناها االن Blockأي في حالة االشتباه قم بعمل Blockللملفات ..
➢ : Antivirus Profile configuration
يقوم بعمل فحص للترافيك http, smtp,pop3,imapويعمل لها Blockفي حالة يحتوي على فايروس .
: Content Disarm and Reconstructionبيجعل الفورتي جيت يأخذ أي ملف(…) pdf,doc,
الصفحة 316من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وفحصه والتأكد من احتوائه على الهايبرلينك ،حيث فكره الهايبرلينك هي ملف ضارداخل ملف عادي
وعند تمكين هذا الخياربيتم التعامل مع هذا امللف ،حيث يقوم الفورتي جيت بحذف الهايبرلنك واصبح لديك امللف الحقيقي فقط فهو حسب الخيارات أعاله بيقول لك هل تريد ان اطبق على امللف الحقيقي - السليم Original File Destination -احدى الخيارات ادناه : : FortiSandboxفي حالة كان عندك ترخيص fortisandbox : File Quarantineحيث يقوم باالحتفاظ بامللف الحقيقي في الفورتي جيت وفي هذه الحالة يجب ان يكون لديك هارد داخل الفورتي جيت . : Discardحذف امللف األصلي . : Treat Windows Executables in Email Attachments as Virusesهذا الخياربيقوم بحذف امللفات املرفقة التي تصل عبرااليميل فيها exeاو msiاو أي ملف تنفيذي .
➢ Web filtering عباره عن التحكم في املحتوى الذي يصل الى املستخدم او الذي يصل اليه املستخدم . او بمعنى أوضح عباره عن فلتره ال ـ httpو httpلكي يصل للمستخدم املحتوى اآلمن واملسموح به ..
أسباب التحكم يف : Web filtering -1فقدان اإلنتاجية بسبب ان املوظفين يهدرون اوقاتهم بالتصفح ألن له الحق بالوصول الى كل املواقع . -2بطئ االنترنت بسبب اهدارالترافيك ففي فتح املواقع مثل اليوتيوب واأللعاب. -3تسريب املعلومات الهامه خارج الشركة -4التعرض للهجمات عبراملواقع -5تجنب أي مسؤليه قانونيه بسبب تنزيل احد املوظفين لبرمجيات غيرمصرحه .
الهجات التي تصل عبرالويب : الصفحة 317من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
البرامج التجسسيه والبرمجيات الضارة . التصيد عبرااليميالت وغيرها . -استخدام موقع مزيف رغم انه مشابه للموقع الحقيقي .
مواقع التحميل ()peer to peerحيث ممكن املوظف يقوم بتنزيل ملفات تحتوي على فايروسات . -استهالك االنترنت عبرمواقع ال ـ)audio+video ( streaming media
Web filtering mode يوجد لدى فورتي جيت 3أنماط مختلفه : :Proxy )1بيعتمد على ال ـ Bufferingأي عمليه تخزين البيانات لفتره محدده لحين إتمام عمليه الفحص ثم تمريرالبيانات الى الهدف (اليوزر) دقيق في عمليه الفحص ولكنه بطئ بسبب عمليه ال ـ.buffering اعداداته كثيره . :Flow )2ال يعتمد على ال ـ Bufferingحيث يمرر البيانات الى الهدف بدون تخزين حيث انه اقل دقه من البروكس ي ويعتبراسرع نمط . :DNS )3ال يعتمد على ال ـ Bufferingحيث يقوم بعمليه تحويل من اسم الى ايبي حيث شركه فورتي نت لديها dns serverويمكن االعتماد عليه لعمليه فلتره املواقع ،حيث يعتبرهذا النمط دقيق ألنه يعتمد على ال ـ dns serverالتابع لفورتي نت حيث يتعبرسريع ولكن ليس اسرع من ال flow mode حيث يعتبراقل اعدادات . • مالحظة :عمليه الفحص تكون على ايبي املوقع واسم املوقع حيث ستقوم بإنشاء بروفايل خاص ب web filteringوتخصصه لناس معينين.
الصفحة 318من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم تطبيق بروفايل معين في ال ـ web filterعلى بوليس ي معينه .. ➢ ماهي اخليارات املتاحة على الفورتي جيت خبصوص الــweb filtering :Static URL Web filter )1عمليه التحكم في موقع معين بالضبط او التحكم على دومين كامل . حيث بهذا النوع ستقوم بكتابه املوقع بنفسك . : Web content filter )2تمكنك من فلتره املحتوى املطلوب بناء على كلمات محدده على صفحة الويب او أنماط معينه او جمل معينه : fortiGuard web filter )3يمكنك بوساطتها ان تتحكم بمالئين املواقع من خالل التصنيفات التي معموله عبرشركه فورتي جيت
الصفحة 319من 469
إعداد /حممد املرفدي
➢ شرح مفصل لألنواع املذكورة أعاله :
أساسيات فورتي جيت
: fortiGuard web filter )1 عباره عن حل بيتم ادارته من قبل شركه فورتي نت حيث ال يمكنك االستفاده منه اال لو قمت بعمليه تجديد االشتراك كل سنه .. حيث لو لم تكن مشترك بهذه الخدمة فانك لن تقدرالتحكم باملواقع بحسب التصنيف. حيث ال ـ vmال تكون مفعله ولذا ال يمكننا استخدام النوع . fortiGuard web filter فمثال لو تريد اغالق مواقع ال ـ social networkingالتي تقدربمئات املواقع فأنه من الصعب اغالقها عبر الطريقة Static Url web filterاما عبر FortiGuard web filterفستكون سهله جدا حيث بخيارواحد يمكنك اغالق كل مواقع التواصل االجتماعي (..)categoring
rating )2أي تقييم املواقع مثل (موقع خبيث) ...،
➢ ماهي عالقه فورتي جاربالفورتي جيت : اليوزرعندما يطلب أي موقع فأن الفورتي جيت يأخذ الطلب ويرسله ألقرب سيرفرلفورتي جارد بشرط ان يكون جهازالفورتي جيت مشترك ( .)License فلو كان الطلب (املوقع)الذي طلبه اليوزرممنوع()Blockفيقوم سيرفرفورتي جارد بإرسال رساله الى جهازالفورتي جيت بأن املوقع محجوب والذي بدوره يقوم بإظهاررساله لليوزربأن املوقع مغلق . حيث يعتبرالفورتي جيت وسيط بين اليوزروالفورتي جارد سيرفر
يجب ان تتأكد بان الفورتي جيت متوصل بشكل سليم مع الفورتي جارد وأيضا لديك ترخيص (.)license
الصفحة 320من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
يجب ان تتأكد بأن ال licensesشغال بشكل سليم كما بالصورة أعاله وأيضا تتأكد من ال ـ connectivityبين الفورتي جيت والفورتي جارد كما بالصورة ادناه
➢ كيفيه التعامل مع الـــ fortiguard categoryيف الــ: web filter
الصفحة 321من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بأن رساله الخطأ توضح بأن الفورتي جارد ليس متاح على ال fortigate vmحيث يجب ان تكون مشترك بخدمه الفورتي جارد لكي تتمكن من استخدامها ولكننا سوف نشرحها بشكل نظري ... توجد عده تصنيفات عامه وتحت كل تصنيف عام تكون عده تصنيفات فرعيه وكل تصنيف فرعي يحتوي على مئات من املواقع مثال التصنيف املسمى security Riskيحتوي على 6تصنيفات فرعيه( )Sub categoriesوهي كالتالي Malicious Websites Phishing Spam Spam URL Dynamic DNS New observed Domain New Registered Domain
الصفحة 322من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فلو تريد اغالق كل مواقع phishingفأنه يجلب عليك ان تقوم بإغالق التصنيف املسمى phishing وهكذا كما بالصورة ادناه
حيث بمجرد النقرعلى sub categoriesبالزر األيمن يظهرلك ال ـ actionsاملراد اختياره مثل Allow ,Monitor,Block,Warning,Authenticate
الصفحة 323من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
مثال التصنيف ) General Interest-Personal (35يحتوي على 35تصنيف فرعي كما باملربع البرتقالي
الصفحة 324من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 325من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Advertisingتحتوي على كل املواقع اإلعالنية . : Educationيحتوي على كل املواقع التعليميه(املدارس والجامعات ..الخ) . : Health and Wellnessيحتوي على كل مواقع الصحه . : News and Mediaيحتوي على مواقع االخبار. :Personal Vehiclesيحتوي على مواقع الشاحنات والسيارت : Personal Privacyيحتوي على املواقع الشخصيه : Sportsمواقع الرياضه : Shoppingمواقع التسويق : Social Networkingالشبكات االجتماعية مثل الفيسبوك والتويتروالجوجل بالس : Gamesمواقع االلعاب : Web Chatمواقع الشات حيث يختلف عن app chat الصفحة 326من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث تقوم باختيارال ـ actionsاملناسب ثم تقوم بإعطاء اسم للبروفايل ومن ثم تنش ى بوليس ي وتختارهذا البروفايل لهذا البوليس ي لكي يتم تطبيقه ..
مثال : لو تريد اغالق مواقع التواصل االجتماعية مثل الفيسبوك وتويتروأيضا اغالق مواقع االخبارمثل صحافه 24و موقع bbc.comوغيرها .. فأننا سنقوم أوال بإنشاء بروفايل باسم Block social networking&News
الصفحة 327من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وسنقوم بالسماح لكل ال ـ categoriesماعدا ال ـ social networkingو New and mediaسوف نقوم بإغالقها كما بالصورة ادناه ..
فعند محاوله فتح أي موقع اخباري مثل BBCفأنه ستظهرلك رساله بان املوقع مغلق باإلضافة الى املعلومات بايبي الجهاز 192.168.2.121الذي حاول يفتح املوقع وأيضا ال categoryالذي ينتمي لها هذا املوقع هو News and Mediaوالذي تم اغالقه بواسطتها ..
فلو قمت بفتح موقع الفيسبوك https:\\facebook.comفانه سوف يفتح معك بشكل طبيعي بالرغم انه مصنف تحت Social networkوذلك ألنك طلبت املوقع ب httpsوليس httpولتفادي هذه املشكله يجب ان تقوم بتفعيل خاصيه
الصفحة 328من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ssl inspection=certificates-inspectionوبذلك تجعل الفورتي جيت يقوم بفحص أي موقع https وبهذا سوف يتم غلق املواقع االجتماعية، اي ان أي شخص يريد الوصول الى موقع ضمن تصنيف الشبكات االجتماعية او املواقع اإلخبارية سواء كان httpاو httpsفانه سوف يتم اغالقها ..
مالحظة : لو كان املوقع املراد الوصول اليه httpوهو ضمن التصنيف املعمول له Blockفسوف تظهررساله الغلق( )Web page Blockedمن فورتي جيت كما بالصورة ادناه
الصفحة 329من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اما لو قمت بتفعيل خاصيه ssl inspectionفأن رساله الغلق Web page Blockedلن تظهربهذا الشكل(باغلب املتصفحات) مع مواقع ال ـ httpsبل تظهرلك رساله الخطأ كما بالتالي وذلك بحسب املتصفح
وهذا عن طريق متصفح اخرلنفس املوقع
اما عن طريق متصفح Internet explorerظهرلك رساله ال ـ Web Page Blockedكما بالصورة أعاله .. وفي جميع األحوال لن تستطيع الوصول الى تلك املواقع سواء httpاو https الصفحة 330من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الخالصة :
بواسطة fortiguard categoriesسوف تستطيع اغالق آلف املواقع بحسب تصنيفها بنقرزر واحده بدون الحاجه الى كتابه املواقع يدويا ... طريقة معرفة تصنيف أي موقع .. مثال موقع www.bab.comلو تريد معرفة تصنيفه نقوم بالدخول الى املوقع التالي https://fortiguard.com ثم كما بالصورة التالية
نكتب املواقع املراد معرفة ال ـ categoryالتابع له ثم enter سوف يظهرلك التصنيف للموقع كما بالصورة ادناه
الصفحة 331من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اذا املوقع www.bab.comيقع ضمن التصنيف . news and Media
أنواع الـــ : action
: Allow -1السماح للوصول ألي موقع يندرج تحت ال ـ categoryالتي عملت لها allow : Block -2منع الوصول ألي موقع يندرج تحت ال ـ categoryالتي عملت لها block : Monitor -3مراقبه أي شخص من الوصول الى أي موقع يندرج تحت categoryقمت بعمل لها .. monitor
الصفحة 332من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث املراقبة سوف تكون في ال ـ logsحيث سيظهرلك ماذا فتح من موقع ومتى ومن الشخص الذي فتح املوقع ولكن بشرط يجب ان يكون اليوزرموجود في ( local usersحسابات محليه)التابع للفورتي جيت أي ان اليوزرلو أراد الوصول الى االنترنت يجب ان يقوم بإدخال اليوزرينم وباسورد حيث سيتم عمل Monitorلهذا اليوزرات فقط . فاذا قمت بإنشاء يوزرمحلي باسم Hosamوباسورد 123على الفورتي جيت وأريد مراقبه ال ـ categoryاملسماة social networkingسوف نقوم بالتالي :
الصفحة 333من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم عمل مراقبه New and Mediaو Social Networkingكما بالصورة أعاله
الصفحة 334من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم انشاء بوليس ي بحيث يتم مراقبه اليوزراملسمى Hosamعند الوصول الى Social networking & new and Media حيث املفترض عندما يقوم اليوزر Hosamبفتح موقع مثل فيسبوك او صحافه نت او غيرها من املواقع ضمن التصنيف ال ـSocail networking & new and Media فانه سوف يطلب منه يوزرنيم وباسورد وبد إدخالها من قبل hosamفان املوقع سوف يفتح طبيعي وملراجعه ال ـ logsلليوزر
الصفحة 335من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث يظهرلك الوقت واسم اليوزروال ـ actionواملوقع الذي تم الوصول اليه من قبل اليوزر وال ـ categoryاملندرج تحتها هذا املوقع وغيرها من املعلومات .. أي ان يوزرمعمول له Monitorفاني ممكن اطلع على ال ـ logsكما بالصورة أعاله ..
لو كنت تريد فتح مثال مواقع معينه مثل الفيسبوك وتويترلفتره محدده ولكن بدون تحديد الوقت (مثال 15دقيقه في اليوم لكل يوزر) ليس محدد الوقت املسموح ،بل أي وقت سوف يستخدمه اليوزرسوف يتم اعطاءه 15دقيقه فقط بغض النظرعن الوقت وبعدها سوف يتم عمل blockلتلك املواقع .. فمثال بعض املوظفين سوف يفتحوا املواقع صباحا ملده ربع ساعه والبعض االخرظهرا والخ وهكذا حيث سيتم حساب وقت كل يوزرعلى حده وبعد انتهاء الوقت سوف يتم عمل Blockلهذه ال ـ . category
➢ يوجد في الفورتي جيت خاصيه جميله جدا اسمها ال ـ Quotaحيث يتم تطبيق ال ـ quotaعلى ال ـ categoryالتي ال ـ actionلها Monitorاو authenticateاو warningفقط
الصفحة 336من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
عندما اريد انشاء Quotaوذلك بالنقرعلى الخيار Create Newفأنه يجب ان تكون ال ـ categoryمن احدى األنواع الثالثه التي ذكرت سابقا لكي أتمكن من انشاء ال ـquota
نقوم بتحديد نوع ال ـ Quotaهل بالوقت ام بالترافيك(بالحجم) ونقوم بتحديد ال ـ categoryاملراد تطبيق quotaعليها .
الصفحة 337من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم السماح 15دقيقه لليوزرمن الوصول الى مواقع االخبار ومواقع التواصل االجتماعي فقط ... حيث بمجرد انتهاء ال ـ 15دقيق للموظف فانه سيتم عمل Blockلتلك املوافق مباشره ..
الصفحة 338من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Warrningمعناها بأنه تم اغالق املوقع في الشبكة حيث ستظهرلك رساله تحذيريه لليوزرتوضح بان املوقع الذي قمت بطلبه محجوب لو تريد فتحه سوف تفتحه على مسؤليتك وستصبح متراقب من قبل الفورتي جيت حيث سيظهررساله تحذيريه كل فتره تحددها انت بأن املوقع متراقب من قبل مديرالشبكة ألنك فتحن موقع مندرج تحت categoryمعمول لها . Warning حيث مثال سوف نعمل warningلل ـ categoryاملسماة Alchol فمجرد تنقربالزر األيمن على ال ـ Alcholوتختارال ـ action=warningفأنه سوف تفتح لك نافذه كم بالتالي
الصفحة 339من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث كل 5دقائق يظهرلك رساله تحذيريه لو انت ال زلت فاتح أي موقع ضمن التصنيف املحدد سابقا (.)Alchol حيث لو قام املستخدم بفتح أي موقع ينتمي لهذا التصنيف سوف تظهرله رساله ال ـ Blockكما بالصورة التالية
الصفحة 340من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فلو تريد ان تفتح املوقع فقم باختيارالخيار . Proceed فبعد 5دقائق سوف يتم اغالق الصفحة ثم ظهور رساله ال ـ Web Page Blockedفلو تريد ان تفتح املوقع على مسؤليتك فثم باختيار .Proceed حيث يصبح كل املواقع املندرجه متراقبه عبرالفورتي جيت ويمكن استعراض كل ال ـ logsكما بالتالي :
: Authenticateمتى تريد ان تجعل البورتال يطلب يوزرنيم وباسورد ؟ حيث أي احد يحاول يفتح أي موقع يندرج تحت ال ـ categoryاملعمول لها Authenticateفأنه سوف يطلب منه يوزرنيم وباسورد .
الصفحة 341من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
قمنا بإنشاء actionنوعها Authenticateعلى ال ـ categoryاملسماة Games
حيث أي يوزرمن الجروب املختاره سوف يفتح موقع من مواقع األلعاب سوف يظهرله نافذه البورتال (يوزرنيم وباسورد)..الخ الخالصة :
الصفحة 342من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
أي احد يحاول يوصل للمواقع املدرجه تحت تصنيف األلعاب الذي انت عامل عليها authenticate
فانه سوف يطلب منه يوزرنيم وباسورد .اي كل 5دقائق وف يظهرله البورتال اللي بيطالب منه اليوزرنيم والباسورد لكي يعمل reauthenticationويستطيع الوصول الى تلك املواقع ...
ثم بعد النقرعلى الزر proceedفأنه سوف تظهرلك الشاشة التالية
فيجب عليك ادخال اليوزرنيم والباسورد ألحد اليوزرات التي تنتمي للجروب املحدده. مالحظة : ال ـ warningيعتبرنفس ال ـ authenticateاال انه في حالة ال ـ authenticateيطلب منك يوزرنيم وباسورد ..
الصفحة 343من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
أحيانا ال يعمل معي ال ـ web filter by categoryوخصوصا ال ـ warningلذا يجب عليك التأكد بأنك قمت باألشياء التالية لكي تعمل معك بشكل صحيح :
➢ توجد اعدادات معينه ل ـ sslأي للمواقع التي تكون httpsوليس httpيجب ان تكون مضبط االعدادات بشكل سليم لكي يعمل معك ال ـ web filteringأيضا يجب ان تكون عامل الشهادة certificateبشكل سليم ومستوردها على متصفحات واجهزه الكالينت ..
ننش ى ssl/ssh inspectionونجعلها Full SSl Inspectionثم نختارها في البوليس ي كما بالصورة التالية :
الصفحة 344من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بأننا اخترنا البروفايل املسمى deep-inspectionوالذي تم تجهيزه سابقا ونالحظ بأن هناك hint يقول فيها عند اختيار full SSl inspectionفان اليوزرات سوف يحتاجوا ان تقوم باستيراد تلك الشهادة على متصفحاتهم .. اآلن سوف نقوم بتصديرالشهادة من الفورتي جيت كالتالي :
الصفحة 345من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نقوم بنسخها على اجهزه املوظفين ثم نستوردها على متصفحاتهم كما بالخطوات التالية
الصفحة 346من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 347من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بالصورة أعاله بأن الشهادة تم استيرادها بنجاح وعند النقرعليها نقرتين تظهرلك تفاصيل
الشهادة ..
❖ Web URL filtering توجد 4أنواع مهمه في web URL filter
قمنا بإنشاء بروفايل جديد وتم تفعيل الخيار URL Filterثم نقوم بإنشاء ال ـ static urlكما بالصورة ادناه
الصفحة 348من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
يوجد لدينا عده أنماط(أنواع-اشكال-طرق)تكتب فيها املواقع لكي تطبق عليها actionمعين . : Simple )1تكتب ال ـ urlملوقع صراحه كالتالي www.bab.comاو bab.comكل يؤدي نفس الغرض ..
الصفحة 349من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم انشاء البروفايل باسم profile 1
الصفحة 350من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم تطبيق البوليس ي وتم اختيارالبروفايل profile 1في Web Filter
توجد عده طرق للتحكم بالويب بواسطة : Static Url الطريقة األولى : مالحظة : لو قمت بإغالق للموقع www.yahoo.com فأن أي موقع يندرج تحت هذا املوقع سيتم اغالقه أيضا كما بالصورة ادناه
الصفحة 351من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الطريقة الثانية : اما في حالة تريد بالتحكم بموقع معين(صفحة معينه)في املوقع عن طريق املساراو ما يسمى ال ـ URLمثال السماح فقط بصفحة معينه مثال translate.google.comوهو مترجم جوجل ومنع جوجل بشكل كامل ..
حيث قمنا بالسماح ملترجم جوجل فقط واغالق كل ش ي في جوجل ...
الطريقة الثالثه : اما في حالة تريد ان تقوم بالتحكم باي موقع ينتهي مثل www.fortinet.comبغض النظرعن أي صفحة تحت هذا املوقع ( )Sub domainلهذا املوقع مثل support.fortinet.comحيث انه يندرج تحت
املوقع . www.fortinet.com الصفحة 352من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث أي sub domainيندرج تحت املوقع Fortinet.comمثل support.fortinet.comاو غيرها سيتم اغالقه بغض النظرعن اسم املوقع ... توجد 3أنماط استطيع ان اتحكم باي موقع في الويب فلتر:
وهي Simple -Regular Expression-Wildcard الصفحة 353من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
في النوع Simple اما نكتب بالصيغه www.bab.comاو bab.comمباشره
اما األنواع Regular Expressionو Wildcardفأنه تستخدم عندما تريد استخدام رموز مثال لو اردت التحكم بالدومين املسمى ciscoبغض النظرهل هو cisco.comاو cisco.netحيث كليهما بيفتح لك نفس املوقع .. فبواسطة Regular Expressionاو Wildcardيمكنك التحكم بالدومين املسمى ciscoبغض النظرهل هو .comاو .netاو .org كما بالصورة ادناه
او
يمكن استخدام الرموز بالطريقة التالية *.cisco.comأي ان أي sub domainسوف يتم التحكم به .. كما بالصورة التالية
الصفحة 354من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فلو اردت ان تقوم بإغالق كل املواقع * *.أي قم بالتحكم باي موقع تحت أي ش ي ..
الصفحة 355من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ترتيب ال ـ URLلها اهميه .. حيث يتم تطبيق ال ـ URLمن األعلى الى اسفل (يبدا بتطبيق املواقع من األعلى وهكذا ).. مثال لو اردت اغالق كل املواقع ماعدا صفحة www.bab.com
الصفحة 356من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فبحسب الترتيب أعاله فأنه سوف يتم اغالق كل املواقع بما فيها املوقع www.bab.comاما لو قمنا بإعادةترتيب ال ـ URL Filterكما بالصورة التالية
فأن املوقع www.bab.comسوف يكون متاح وسيتم اغالق باقي املواقع كامله .. لذا ترتيب ال ـ URLمهم جدا جدا وهو نفس فكره ال ـ Policyحيث يتم تطبيقها من اعلى الى اسفل ..
Web content filter عباره عن عمليه التحكم بمحتوى املوقع (صفحات االنترنت)بناء على الكلمات او الجمل او الرموز التي تكون داخل الصفحة . مثال لو كانت الصفحة تحتوي على كلمه sexاعمل لها Blockحيث ان جهاز الفورتي جيت بيعمل scan للصفحة بحيث لو وجد الكلمه التي يبحث عنها فأنه يقوم بتطبيق actionمعين . بشرط ان عمليه الفحص تصل الى scoreمعين حيث يعرف ال ـ scoreبانها قيمه او رقم معين لكل كلمه او جمله او رمزداخل الفورتي جيت فلتر.. بحيث لو وصل مجموع ال ـ scoreالى ال ـ threesholdفان الفورتي جيت سيقوم بتطبيق ال ـ actionاملعين س واء allowاو blockاما اذا لم يصل ال ـ scoreلهذا املوقع الى قيمه ال ـ threeholdفأن ال ـ actionال يطبق ابدا على هذه الصفحة ... مالحظة :
الصفحة 357من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث ال ـ threesholdهو الحد وهي نتيجه جمع ال ـ scoreللكلمات او الجمل او الرموز املفلتره على الفورتي جيت الى ان تصل للحد .. حيث ال ـ threesholdيساوي 10 و ال ـ scoreألي جمله او كلمه او رمزهو الرقم . 10
حيث أي كلمه انا عامل لها فلترعلى الفورتي جيت مثال()sexفلو وجدها فأن ال ـ scoreسيكون 10ولذا يتم الوصول الى قيمه ال ـ threeholdوبهذا سيتم تطبيق ال ـ actionعلى هذا املوقع . مالحظة :ال ـ scoreموجود فقط على CLIوليس بواسطة ال ـ GUIحيث يمكنك تعديل قيمه ال ـ scoreحيث القيمة االفتراضية هي 10ويمكنك تغييرها ..
نقوم بتفعيل الخيارContent Filter
الصفحة 358من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم create New
حيث pattern Typeنحدد النمط الذي سوف اكتب فيها الكلمه التي سنقوم بعمل لها فلتره هل Wildcardام Regular Expression : Wildcardللتحكم بكلمه او جمله او رمزولديك الى حد 80حرف فقط . : Regular Expressionحيث هنا يتم استخدام تعبيرات معينه في بعض لغات البرمجه ونحن في اغلب األوقات نستخدم النمط األول ( )Wildcard
الصفحة 359من 469
إعداد /حممد املرفدي
حيث ال ـ : Patternهي الكلمه او الجمله او الرمزالذي سوف نعمل لها فلتره .
أساسيات فورتي جيت
: Languageاللغه التي كاتب فيها الكلمه او الجمله وال توجد اللغه العربيه : Actionالحدث الذي سنقوم به عندما تصل ال ـ scoreالى قيمه ال ـ . threeshold : Statusهل تريد تطبيقها ام ال
أي صفحة تحتوي على كلمه sexسيتم عمل Blockلها .. طريقة تعديل قيمه ال ـ scoreبوسطه ال ـcommand line الصفحة 360من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث تم الدخول الى وضع webfilterحيث سيتم التعديل على البروفايل املسمى Defaultوبالتحديد الكلمه sexوالتي تم انشائها مسبقا في . web filter content حيث قمنا بإظهار االعدادات السابقة عبراالمر show full-configurationللكلمه sexحيث نالحظ بأن ال ـscore=10 ثم نقوم بتعديل القيمة الى .. 9 الصفحة 361من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Application controller عباره عن التحكم بالتطبيقات (السوفتوير)(البرامج)على الشبكة . حيث الفورتي جيت لديه االمكانيه بأنه يكتشف ويحلل أي ترافيك موجود في الشبكة اعتماد على التطبيقات ويقوم باخذ actionمعين . التطبيقات مثل أي برامج الدردشه او الرسائل الفوريه ( )Instant messageمثل سكايب ياهو ماسنانجرو واتساب او تطبيقات browser basedاو التطبيقات التي تعتمد على املتصفح
مثل فيسبوك او تويتر
حيث الفورتي جيت له القدرة بالتحكم بالتطبيق وايضا خصائص التطبيق نفسه. فالسؤال هو ما الفرق بين الويب فلترواالبلكيشن كنترول ؟؟ حيث لو قمت باغالق موقع فيسبوك عبرال ـ web filterفبهذا انا قفلت املوقع فما الحاجه الى اغالق الفيسبوك أيضا من ال ـ !!! application control االجابةبأني ممكن اسمح للفيسبوك عبرال web filerولكني اريد اغالق خاصيه معينه في الفيسبوك مثل منع التعليق او ... likeالخ في الفيسبوك او منع فتح الفيديوهات على الفيسبوك بالرغم ان الفيسبوك بشكل عام مفتوح حيث هذا ال يتم اال عبرال ـ .. application controller حيث في application controllerاقدراتحكم في سلوكيات او خصائص التطبيق . حيث ال ـ application controllerبيستطيع التحكم بالتطبيقات اعتماد على .. IPS حيث ipsلديه اقدره على تحليل الترافيك ويكتشف أي تطبيق حتى ان كان هذا التطبيق ال يستخدم البورتات القياسيه (.)Non standard protocols
الصفحة 362من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الفورتي جيت بيعتمد على ال application control databaseوالتي تكون على شكل قائمه موجودة على الفورتي جيت حيث يتم تحديث تلك القائمة بشكل مستمرعبر . FortiGuard App control License
Forigate’s signatureهو الش ي الذي بيعتمد عليه ال ـ app controlفي التحكم بالتطبيقات حيث يحتوي ال ـ signatureعلى portالتطبيق و servicesو ip’sو URlلكل تطبيق .
:Application control action يوجد لدى الفورتي جيت 4أنواع من ال ـ: action )1
: Allowاسمح لكل ش يء
: Monitorاسمح مع تسجيل االحداث()logs )2 : Blockمنع مع تسجيل االحداث()logs )3 : Quarantineعند الدخول على هذا التطبيق فأن فورتي جيت )4 سيقوم بعمل banاليبي اليوزرالذي حاول الوصول لهذا التطبيق .
ماهو الـــ: Traffic shape :Traffic shapeتخصيص ترافيك معين لطبيق معين حيث ال traffic shaperيحتوي على 5اشكال :
) : Gurantee(80kاضمن بأن الترافيك سوف يأخذ 80كيلو لتطبيق معين على األقل . : High priorityاضمن بأن لدي اعلى اولويه لترافيك باملرور.. : Low priorityاخذ اقل اولويه للترافيك : Medium priorityاخذ اولويه متوسطه : Sharedتخصيص مثال 1ميجا لترافيك معين حيث الناس تتشارك فيه . مثال تخصيص 1ميجا مثال لتطبيق الفيسبوك حيث ان جميع األشخاص في الشركة الذين سيتخدمو الفيسبوك سوف يتشاركوا ب 1ميجا . الصفحة 363من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث نقوم بإنشاء بروفايل معين لل ـ app controlولسكن اسمه Block Social app حيث سنقوم باغالق كل التطبيقات التي تستخدم مواقع التواصل االجتماعي مثل فيسبوك او تويتراو ..الخ
الصفحة 364من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم االنشاء ... ثم عند تطبيق البوليس ي نقوم بتفعيل app controlواختيارالبروفايل الذي أنشأناه مسبقا ..
مع التأكيد من تفعيل الخاصية SSL Inspection=deep-inspectionلكي يتمكن من التحكم باي تطبيق
او موقع يستخدم ..)https( ssl protocol
الصفحة 365من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما نالحظ بالصورة ادناه بأن ال app controlبيقسم الى categories
بتحتوي على تصنيفات حيث تم تقسيم كل مجموعة من التطبيقات املتشابهه في الخصائص بتصنيف معين . مالحظة :تم السماح لكل التطبيقات الغيرمعروفه( ()Unknown Applicationsالفورتي جيت ليس لديه signatureلهذا التطبيقات ) .. حيث بمجرد النقرعلى أي categoryيمكنك تطبيق أي actionتريده كما بالصورة ادناه ..
الصفحة 366من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
يمكن ان أقوم بتصفح كل ال ـ(signaturesالتطبيقات)التي بيتحكم بها الفورتي جيت وذلك كالتالي :
كما يمكنني ان اظهرال ـ signaturesلتصنيف معين كما بالصورة التالية :
الصفحة 367من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث ستظهرلك كل التطبيقات التي تندرج تحت هذا التصنيف كما بالصورة ادناه
حيث يمكن البحث عن أي تطبيق تريده للتأكد من وجوده في هذ التصنيف ...
الصفحة 368من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم البحث عن كلمه facebookداخل هذا التصنيف املسمى social networking حيث الفيسبوك يمكنك التحكم بكل خصائصه من هنا ... حيث نالحظ كما بالوصوره أعاله عمود باسم Nameيوضح اسم التطبيق وايضا عمود باسم Categoryيبين التصنيف املنتمي له هذه التطبيق (soical Media-sports-news- )... p2p والعمود الثالث باسم Technologyيوضح التقنيه التي بيشتغل فيها التطبيق .. هل يعمل عن طريق املتصفح ( )Browser- based او تطبيق يعمل بتقنيه ( )Client-serverأي ان التطبيق يعمل ك clientومرتبط ب ـ serverمثل برنامج كاسبرسكاي حيث يأخذ التحديث من السيرفرالتابع ملوقع كاسبر.. او تطبيق يعمل بتقنيه ()peer -to-peer والعمود الرابع باسم popularityبمعني الشعبيه (الشهره)حيث يظهرلك نجوم بعدد شهره التطبيق .. العمود الخامس باسم Riskويوضح مدى خطوره التطبيق (خطر، criticalمرتفع ، elevatedمنخفض ، lowمتوسط ، Mediumليس خطر).. None
الصفحة 369من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
❖ طريقة التحكم يف التطبيقات عرب الــ: Application control مثال لو اريد اغالق كل مواقع التواصل االجتماعي (فيسبوك،تويتر،انستجرام .)....
الصفحة 370من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
بهذه الطريقة سيتم اغالق كل مواقع التواصل االجتماعي ويظهرللمستخدم الرساله التالية :
كما بالصورة أعاله يظهرلنا اسم التصنيف الذي ينتمي اليه موقع الفيسبوك ()Social Mediaوال ـurl الذي حاول الوصول اليه اليوزرصاحب االيبي املحدد بالصورة ...
➢ لمعرفة ماهي البرامج()signaturesالتي بتكون مندرجه تحت الـــ : category
الصفحة 371من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
طريقة التحكم بخاصية معينه داخل املوقع وليس كل املوقع : التحديد لتطبيق معين او لخاصية معينه داخل التطبيق يكون من الخيار
الصفحة 372من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
Application and Filter Overrides مثال اريد افتح الفيسبوك ولكن اقفل خاصيه اعجبني :
كما بالصورة أعاله تم البحث عن التطبيق facebookفي خانه البحث وظهرت كل التطبيقات التي باسم facebook حيث اول تطبيق يظهرلك مثال facebookبدون أي اضافات يعتبرالتطبيق العام (موقع الفيسبوك كامل مع الخصائص املدرجة تحته)... فمثال facebook.appهذا يعني التطبيق نفسه وليس الURL الصفحة 373من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث ال ـ actionهو Blockالتي سوف نحدده للتطبيقات التي سوف نختارها كما بالصورة التالية : مثال اريد اغالق خاصيه معينه في الفيسبوك وليكن اغالق النشروالدخول وزراعجبني
حيث نحدد بالزر األيمن للخاصية وليكن منع زر اعجبني بالفيسبوك ثم نختارالخيارAdd Selected
الصفحة 374من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم تحديد الخصائص التالية بالفيسبوك () Like ,Login,post
لو تريد متابعه ومراقبه ال ـ logsكما بالصورة التالية
الصفحة 375من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث يظهرلك كل التطبيقات التي حاول اليوزرالوصول اليها والتي في األصل معمول لها Blockاو ... Monitor حيث سيوضح لك اسم التطبيق والتصنيف الذي ينتمي له التطبيق ودرجه الخطوره وحجم استهالك االنترنت ...الخ مثال اخر: اريد اغالق قط الفيديوهات عاليه الدقه () HDفقط من على اليوتيوب ...
الصفحة 376من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
طبعا توجد تصنيف()Categoryاسمها Updateواألفضل ان تتركها مثال تحديث مكافح الفايروسات او تحديث ويندوز ..الخ
الصفحة 377من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فيمكنك السماح للتطبيق املناسب او منع التحديث لتطبيق ما ... مثال اريد السماح للكاسبروالفايرفوكس ان يعملوا تحديث
الصفحة 378من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
➢ طريقة عمل حظر ()banجلهاز معني ... لنفترض بأن الجهازصاحب االيبي 192.168.2.121نريد عمل له حظر.. حيث نالحظ بان االنترنت شغال قبل عمليه الحظر..
اآلن سوف نعمل ال ـ banللجهازكما بالخطوات التالية :
الصفحة 379من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله سوف يسالك هل تريد الحظرلهذا الجهاز : Temporaryأي موقت ولفتره زمنيه محدده وليكم دقيقه واحده فقط وبعدها يتم فك الحظربشكل تلقائي . : Permeantسيتم حظرااليبي (الجهاز)بشكل دائم ولفك الحظرلهذا الجهازيتم الدخول بحسب الخطوات التالية :
الصفحة 380من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Network Protocol Enforcement
الصفحة 381من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
هذه الخاصية موجودة في ال ـ Application controlحيث كما نعلم توجد لكل بروتكول بورت معين بشكل افتراض ي كما بالتالي : Protocol http https Ssh telnet Dns
Default port Number 80 443 22 23 53
حيث يمكن ان يقوم اليوزربتغييررقم ال ـ portللبروتوكول وبهذا يتم التحايل على الفورتي جيت .. فيمكن بواسطة الخاصية املذكورة أعاله بأن امنع عمليه تغييررقم ال ـ portلبرتوكول معين ..
الصفحة 382من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
وهكذا ..
حيث لو حاول احد تغييررقم البورت ألحدى البروتوكوالت أعاله سيتم عمل . Block
❖ Email filter كيفيه فلتره االيميالت على الفورتي جيت .. أي عمليه اداره االيميالت الغيرمرغوب فيها ()spam emailعبرجهازالفورتي جيت سواء وصل االيميل الى ال ـ Inboxاو ال ـ.. Junk حيث الفورتي جيت معتمد على خدمه من الفورتي جارد اسمها FortiGuard Anti spam servicesاو تسمى Email filteringوالتي تحتوي على قاعده بيانات والذي تحدد ما اذا كان ال ـ ipاو االيميل او URlغير مرغوب ام ال .. الصفحة 383من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث اسم االشتراك التي يجب ان تشترك بها هو Email filteringويجب ان يكون معمول له License
نقوم باظهارخاصيه Email filterكما بالصورة ادناه لكي تظهرفي . security profiles
نالحظ ظهور الخاصية االن ..
االن يمكنك أضافه بروفايل باسم Mail filter1وذلك من خالل النقرعلى الزر Create New الصفحة 384من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث بمجرد تفعيل الخيار Enable Spam Detection and Filteringتظهرلك الجدول املسمى Spam Detection by protocolكما بالصورة أعاله والذي يقصد به عمليه كشف عن االسبام ايميل واعمل لها فلتره .. حيث يقصد بالجدول أعاله بأن أي ايميل بيستخدم ال IMAPاو POP3في االستالم او يستحدم SMTP في االرسال فأن تم الكشف عليه بأنه spamفأن ال ـ actionالذي ستقوم به في ال ـ imapهو اما Tagاو pass
: Passمعناها مرر االيميل بدون ماتعمل له أي actionوهذا اجراء غيرموص ى به .
الصفحة 385من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Tagأي تعمل عالمه على االيميل سواء على Subjectالخاص بااليميل او في ال ـ headersوبهذا سيتم استالمه في ال ـ spam folderاو ال ـ junk folderوبنفس الوقت معمول له في العنوان او ال headerبانه spamاو أي كلمه حددتها في الخانه .tag format ونفس الكالم مع بروتوكول االستقبال الـ... pop3
اما ال ـ smtpوهو البروتوكول املستخدم لعمليه ارسال االيميل فأن ال ـ actionاالفتراض ي له هو Discard أي ان أي ايميل أقوم بإرساله (من داخل الشبكة الخاصة بي) فال تعتبره على انه spamحتى وان كان كذلك،أي ال تقم بعمل له tagبانه spamألنه من الغيرمنطقي بأن ترسل ايميل من شبكتك الداخليه ويظهرللمستلم في العنوان او ال ـ Headerبانه .. spam
الصفحة 386من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
➢ ماهي الطرق التي يستخدمها الفورتي جيت لكي يساعدك الكتشاف االسبام امييل ؟ يعتمد على احدى الطرق :
)Aاالعتماد على الفورتي جارد ( : )fortigurd spam filtering license : Ip Address check .1أي ايميل او رساله تمرعبرجهازالفورتي جيت ستخضع لفحص من خالل الفورتي جارد (سيتم ارسالها الى الفورتي جارد) فلو وجد بأن االيبي املرسل منه االيميل موجود بالقائمة السوداء فسيتم عمل اشاره على انه Spamويتم وضعه في مجلد االسبام لإليميل اما في حالة كان االيميل سليم فسيتم تمريره الى الهدف بدون أي مشاكل ..
الصفحة 387من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: URL Check .2أي (URLسواء عنوان البريد او أي رابط في محتوى الرساله نفسها) سيتم فحصه عبرالفورتي جارد فلو كان نظيف سيتم تمريره الى الهدف بدون أي مشاكل وان كان فيه مشكله فسيتم عمل عليه عالمه بأنه اسبام وارساله الى مجلد االسبام . : Detect Phising URLs in emils .3سيتم الكشف عن روابط التصيد وسيتم اخضاع
الروابط( )URLللفحص في URL Phising Listفلو وجد هذا الرابط في تلك القائمة فأما سيقوم بحذف الرابط ()URLكامال او سيترك لك الرابط ولكن سيحذف منه الرابط املشبوه فحتى لو نقرت على الرابط ال يتم تحويلك الى ال ـ.. phishing URL : Emil checksum Check .4يتم فحص طريقة كتابه االيميل نفسه (هل طريقة مفهومه ومكتوب بلغه معروفه ام ال ).فلو كانت الطريقة معروفه فيتم تمريرااليميل ماعدا ذلك سيتم عمل له عالمه بأنه . spam mail :Spam submission .5تجعل fortiGurd antispm serviceيعدل االيميل من اسبام الى ايميل عادي .. حيث لو افترضنا بأن ايميل معين تم تصنيفه من قبل الفورتي جارد عن طريق الخطأ على انه اسبام فلو قمنا بتفعيل هذه الخاصية فأن أي ايميل سيتم وصوله الى ال ـ spam folderفيمكنك تعديله ومعالجته بأن هذا االيميل سليم وليس اسبام وبهذا سيتم ارساله الى الفورتي جارد بحيث مره أخرى سيتم وصوله بشكل طبيعي.
حيث يتم تفعيل كل الخيارات الخمسه أعاله كما بالصورة التالية :
الصفحة 388من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
)Bاالعتماد على الفورتي جيت نفسه وبدون الحاجه الى اليسنز(. )Local Spam Filtering : Helo DNS Lookup -1يتم التأكد هل dominالتابع لإليميل موجود في Public DNSفلو لم يكن موجود فسيعتبرهذا الدومين اسبام . Return Email DNS check -2 : Black white List -3سيتم عمل قائمه سوداء وبيضاء بشكل يدوي كما بالتالي :
سيتم انشاء قائمه بيضاء او سوداء وذلك بالنقرعلى الزر Create New
الصفحة 389من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
أي ايميل يأتي من االيبي 24/192.168.1.6سيتم تطبيق عليه ال ـ action=mark as Spamأي علم عليه بأنه اسبام ايميل .
******************************************************************* حيث ال ـ actionاحدى الخيارات التالية : : Mark as Reject -1ارفض االرسال واالستالم من هذا االيميل نهائيا مره أخرى . : Mark as Spam -2جعل االيميل ك اسبام : Mark as Clear -3مسح االيميل
الصفحة 390من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
طريقة الـ ـ : Email Wildcardلو انت تستلم ايميالت مزعجه من دومين معين ايميل محدد فيمكنك استخدام هذه الطريقة حيث هنا يمكن استخدام الرموز مثل * .. حيث أي ايميل من الدومين *@XX.COMسيتم رفضه ..
طريقة : Email Regular Expressionنفس النوع السابق ولكن ال يمكن استخدام الرموز مثل * .. الصفحة 391من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 392من 469
إعداد /حممد املرفدي
❖ : Logging and monitoring
أساسيات فورتي جيت
عباره عن ارسال تنبيهات ()alertملدراء الشبكة الذي يتحكموا بجهازالفورتي جيت باألحداث التي بتحدث في الشبكة وذلك كنوع من التحذيروالتنبيه والقيام بحدث معين. حيث في حالة حدوث أي حدث( )Eventفأن جهازالفورتي جيت سوف يقوم بعمليه التنبيه ()alertولك باإلرسال الى االيميل او الى املوبايل عبر .. SMS Getaway شروط تنفيذ عمليه logging and monitoringكالتالي : .1ان يكون ال ـ Fortigate deviceيستطيع الوصول الى االنترنت . .2ان يكون لديك SMTP serverمثل جوجل او ياهو او أي شركه استضافة مثل blue hostاو Hostatorاو غيرها حيث الذي يهمك هو االعدادات األساسية لعمليه االرسال مثل رقم املنفذ مثال smtp =25 ,26,465,587واإلعدادات تختلف من شركه الى أخرى mail.marfadi.com وأيضا تقوم بتحديد االيميل الذي سوف ترسل منه وأيضا االيميل الذي سوف يستقبل رسائل ال ـ . alert .3تفعيل عمليه ال ـ eventsحيث بشكل افتراض ي تكون غيرمفعله( )deactivateعلى الفورتي جيت وأيضا تحدد االحداث في حالة حدوثها يتم ارسال ايميل ( )alertأليميل يتم تحديده مسبقا .. اآلن سوف نقوم بتفعيل ال ـ smtp serverعلى الفورتي جيت مثال smtp.gmail.com حيث سيتم االرسال عبرااليميل الخيار[email protected] Default Reply To
الصفحة 393من 469
إعداد /حممد املرفدي
حيث بمجرد تمكين ال ـ smtp serverكما بالصورة أعاله فأن خيارال ـ
أساسيات فورتي جيت
Email Alert Settingsتظهرلك كما بالصورة ادناه ...
الصفحة 394من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
)VPN(Virtual private Network ما املقصود ب ـ VPN؟ عباره عن شبكة خاصه افتراضيه أي عباره عن تكوين شبكة بين عده اطراف بواسطة االنترنت . حيث هدف ال ـ VPNهو السماح للوصول الى مصادرالشبكة(سيرفرات،طابعات،ملفات....،الخ)عن بعد بواسطة االنترنت حيث تصبح وكأنك موجود داخل الشبكة الداخليه(املحلية). أي يمكنك عمل شبكة كامله مكونه من عده اجهزه (كمبيوترات،سيرفراتن،IP PHONEروترات ،سويتشات واكسس بوينت ...الخ حيث يتم ذلك عبراالنترنت بشكل آمن وبهذا يمكن ان أوصل الى السيرفرات ..الخ عن بعد عبراالنترنت وأيضا يمكنك الوصول الى ال ـ ERPمن البيت عبراالنترنت .
الصفحة 395من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
➢ أي بيانات متر عرب الــ VPNتكون آمنه ألنها بتمر ب 3أشياء اساسيه(مميزات) : .1توفيرقناه ( )Tunnelتمرمن خاللها البيانات من املصدرالى الهدف لذا تحقق املوثوقية واألمان . .2البيانات بتمربشكل مشفرخالل القناه من املصدرالى الهدف .3يكون لها باسورد مشتركه تسمى( )pre shared keyما بين املصدروالهدف .
➢ اشكال االتصال الــ VPNاو يسمى (: )VPN Tunnel designs Site-to-site VPN .1او :peer to peer
هذا النوع معناه بأن كل طرف لديه جهازفورتي جيت يوجد ما بينهم قناه (.)tunnel حيث كما بالصورة أعاله يوضح بأنه يجب ان يكون لدى كل جهازفورتي جيت Real ipكما موضح أعاله الطرف األول االيبي هو( )a.1.2.3والطرف االخر(.)b.4.5.6 حيث يوجد لدينا كما بالصورة أعاله 2فروع (شبكتين محليتين) 24/192.168.10.0واألخرى 24/10.10.1.0مع العلم يمكن ان تربط اكثرمن فرع(شبكة)بشرط توفر لديك في كل فرع جهازفورتي جيت وأيضا . real ip
الصفحة 396من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث نالحظ بأن كل شبكة داخليه لها PRIVATE IPمختلف عن األخرى ولكن عن طريق ال ـ vpnفأن تلك الشبكات املختلفه تتصل مع بعض بشكل طبيعي . CLIENT-SERVER .2او يسمى :FortiClient-to-Fortigate vpn
أي ان جهاز ( pc1يجب ان يكون منزل عليه برنامج ) forticlientيستطيع الوصول الى الشبكة الداخليه 24/10.10.1.0وليس العكس . مالحظة pc1 :يمكن ان يكون كمبيوتراو موبيل بمختلف انظمه التشغيل . حيث يمكن للجهازالوصول الى مصادرالشبكة املوجودة على الشبكة 24/10.10.1.0وكأنك اخذت هذا الجهازووصلته بالسويتش املوجود بالفرع البعيد (. )24/10.10.1.0
: Another VPN vendors and fortigate unit .3 حيث هذا النوع من االشكال( )site to siteأي ربط اكثرمن فرع بحيث يكون احدى األطراف هو جهاز الفورتي جيت والطرف االخرأي جهازفايروول يتعامل مع بروتوكوالت ال ـ vpnسواء كان من شركة سيسكو مثال ASAاو مثال ايزا من مايكروسوفت او غيرها ..
الصفحة 397من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث هذا الشكل يعتبرنفس الشكل األول ( )peer-to-peerأي الند بالند .
➢ أنواع بروتوكوالت الــ : VPN
حيث أي فايروول يجب ان يدعم هذه األنواع من بروتوكوالت ال ـ VPNوهما IPSec VPNو SSL VPN : IPSec VPNتستخدم مع التطبيقات القديمه ()windows applicationبعكس ال ـ SSL VPNبيعمل ال tunnelمع http linkويستخدم ال ـ web applicationمع امكانيته استخدامه مع ال windows applicationولكن بشكل نادر.. حيث كليهما يحقق اعلى درجة من األمان و املوثوقية للبيانات ...
: VPN Encryption احدى اهم ميزات الـ VPNهي عمليه تشفيرالبيانات التي بتمرمن املصدرالى الهدف وذلك لزياده األمان و املوثوقية .
الصفحة 398من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث بتتم عمليه التشفيرفي املصدر(بأحدى خوارزميات التشفير)وعمليه فك التشفيرفي الهدف ..
لزياده األمان واملوثوقية يقوم ال vpnبين طرفي االتصال باستخدام باسورد متفق عليها بين الطرفين وتسمى ب ـ preshared keyاو RSA certificate
حيث يعتبرالفورتي جيت من اشهراألشياء التي بتحقق لك VPN server و الفورتي كالينت من اشهراألشياء التي بتحقق لك ان يكون لديك VPN clientسواء على اجهزه موبايل او كمبيوتروبغض النظرعن نوع نظام التشغيل .. : IPSec VPNيمكن من خالله ان تقوم بربط فرعين ( )site to siteاو . point to site
الصفحة 399من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: SSL vpnال يمكن استخدامه للربط بين الفروع بطريقة Site to siteبل يستخدم في ربط point to siteأي بين جهازكمبيوتر و روترمثال يعني الزم تتصل بيوزرنيم وباسورد ..
➢ التطبيق العملي لــ: IPSec Client/server
كما بالصورة أعاله فأننا سوف نسمح ليوزر(جهاز)بالوصول الى الشبكة الداخيه عبر. IPSec vpn
حيث يجب ان يكون لدي real ipللمنفذ Wan1مثال 78.93.188.90حيث ان هذا االيبي متاح على االنترنت وأيضا متاح من داخل الشبكة الداخليه بعكس ال private ipللشبكة الداخليه 24/192.168.2.0الذي يكون متاح فقط من داخل الشبكة الداخليه . حيث wan1هو الذي سيقوم باستالم االتصال القادم من املستخدمين من برع الشبكة (Remote user )كما بالصورة املوضحه أعاله . حيث الجهازسوف يتصل بااليبي 78.93.188.90عبربرنامج الفورتي كالينت . fortiClient الصفحة 400من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث الفكره التي اريد ان احققها هي اني اسمح للجهازاملنزل عليه برنامج الفورتي كالينت الوصول الى أي جهازبالشبكة الدخلية وذلك بعد تأسيس االتصال عبر IPsecبشرط يكون لديه اليوزرنيم والباسورد . حيث يمكن لعدد كبيرمن Clientsالوصول الى الفورتي جيت بنفس الوقت . ويمكنك ان تقوم بعمل policyبحيث تحدد الشبكات او االجهزه املراد الوصول اليها فقط .. فبهذه الطريقة اصبح الجهازالبعيد()remote userمثله مثل أي جهازداخل الشبكة الداخليه .. ولتطبيق هذا العملية يجب ان تحقق املتطلبات التالية : .1يكون لدي يوزرمحلي على الفورتي جيت ()userحيث هذا اليوزر(الحساب)سوف يتم اعطاءه لليوزرالبعيد ()remote userللسماح االتصال بالفورتي جيت ،كما يمكن انشاء جروبات لتصنيف مثال جروب للمدراء وجروب للتسويق وجروب لاليتي ...الخ حيث ان الجروب ليست ش ي أساس ي ولكن كنوع من التنظيم . .2ان يكون لدي عناوين ( )addressللشبكة الداخليه لتعريف الفورتي جيت بعنوان الشبكة الدخلية لكي اسمح بعد ذلك ألي شخص من خارج الشبكة ( )remote userبالوصول اليها . .3انشاء IPSec tunnelواحدد فيها preshared keyاو الشهادة لكي اجعل االخرين يتصلوا بها . .4انشاء بوليس ي لكي اسمح للترافيك من ال ـ remote userالى الشبكة الداخليه حيث سيكون لدينا 2بوليس ي البوليس ي األولى لكي اسمح بالترافيك الوصول من الفورتي جيت الى الشبكة الداخليه وهذه البوليس ي يتم انشاءها جهازالفورتي جيت بشكل اوتوماتيكي بمجرد انشاء ال ـtunnel اما البوليس ي الثانية سيتم انشاءها بحيث تسمح بوصول الترافيك من جهازاليوزر( )remote userالى جهازالفورتي جيت (الى ال ـ) wan1 interface .5سنقوم بعمل اعدادات معينه لبرنامج الفورتي كالينت على اجهزه اليوزر(.)remote user
التطبيق العملي : الخطوة األولى : انشاء local userبعدد األشخاص املراد السماح لهم كما بالتالي :
الصفحة 401من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 402من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم انشاء 2يوزر. ثم نقوم بإنشاء جروب باسم vpn_usersونضعهما فيه .
الصفحة 403من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الخطوة الثانية :
انشاء العناوين للشبكة الداخليه
الصفحة 404من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الخطوة الثالثه : انشاء IPSEC tunnel
الصفحة 405من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث تم تحديد اسم للـ tunnelباسم IPSec_tunnelونوعها Remote Accessوكما بالصورة أعاله فأن اجهزه اليوزرممكن ان تكون ويندوز او ماك او اندرويد .
كما بالصورة أعاله تم تحديد نوع ال ـ incoming interfaceالذي سيتقبل االتصال وهو كما شرحنا سابقا سيكون wan1الذي عليه ال ـreal ip وسوف نكتب ال ـ preshared keyالتي سيتم إعطاءها للمستخدمين الذي سوف يدخلوا من خارج الشبكة ()Remote users الصفحة 406من 469
إعداد /حممد املرفدي
تم تختارالجروب املسموح لها توصل لل ـ tunnelاملسماة IPSec_tunnel
أساسيات فورتي جيت
مثال vpn_usersوالتي بداخلها اليوزرات marfadi1و marfadi2
كما بالصورة أعاله تم تحدد local interface =lan1وهي الشبكة الداخليه وبالتحديد local address=Internal_networkالتي تم تحديدها سابقا . 24/192.168.2.0 وتم تحديد االيبيهات التي سوف يحصل عليها اجهزه ال ـ remote usersمن جهازالفورتي جيت بمجرد االتصال ب ـ vpnوهي 10.10.10.1الى 10.10.10.5أي خمسه اجهزه . وتوجد لدينا خاصيتين : Enable ipv4 SplitTunnelحيث عند تفعيلها فانت تسمح لل remote usersبالوصول الى شبكات محدده ..
Allow Endpoint Regsterationعند تفعيها فأنت بذلك تفعل عمليه ال ـ registrationعلى برنامج .. forticlient حيث الكالينت( )remote user vpnيمكن يعمل تسجيل على الفورتي جيت الصفحة 407من 469
إعداد /حممد املرفدي
حيث هذه الخاصية يمكن من خاللها تطبيق بروفايل على هذا اليوزر(الكالينت)
أساسيات فورتي جيت
فبهذا يمكن تطبيق على جهازاليوزرأي بروفايل ()web filter,app control,anti viruse,ipsوكانه جهاز على الشبكة الداخليه وبهذا أصبحت االجهزه التي تعمل remote vpnمؤمنه أيضا ..
: Save Password عندما تتم عمليه االتصال للكالينت مع الفورتي جيت فهل تريد السماح بعمل saveللباسورد على جهازه ام ال !
:Auto Connect هل تريد بأن تجعل الشخص( )Remote userيعمل Auto connectأي بمجرد ان نظام التشغيل يعمل فانه يتم االتصال بالفورتي جيت عبرال ـ VPNبواسطة ال forticlientام ال !!
): Always Up (Keep Alive جعل االتصال شغال على طول بحيث لو حصل مشكله او فصل باإلنترنت على جهازاليوزرفأنه بمجرد ما يعود االنترنت للجهازتتم عمليه االتصال مباشره حيث كل 3دقائق يقوم الفورتي كالينت بعمل اعاده اتصال .. الصفحة 408من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم انشاء ال ـ vpn tunnelوحالتها Inactiveألن ال يوجد أي اتصال حاليا عليها من أي يوزرفمجرد االتصال يصبح الحالة . active
نالحظ بأنه بمجرد انشاء ال ـ tunnelتم انشاء بوليس ي كما بالصورة ادناه
الصفحة 409من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
بعد ذلك يجب ان تقوم بتوجيه الترافيك القادم من الخارج ()remote usersالى الفورتي جيت وذلك بإنشاء البوليس ي كالتالي :
بحيث نقول أي اتصال من ipsec_tunnelوهو ال ـ virtual interfaceبأي ايبي سأل على ال ـ WAN1بأي ايبي اسمح له بالوصول كما بالصورة ادناه
الصفحة 410من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم انشاء البوليس ي وبهذا اصبح جهازالفورتي جيت اصبح جاهزالستقبال االتصال عبرvpn connection بعد ذلك سوف نقوم بعمل اإلعدادات على برنامج الفورتي كالينت ..
الصفحة 411من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث تم تحديد نوع االتصال هو IPsec VPNثم أي اسم لالتصال وليكن Marfadi و remote Getawayهو ايبي WAN1وهو ل real ipاملحدد 78.93.188.90
ثم نقوم بإدخال اليوزرنيم والباسورد لليوزرمثال marfadi1والذي قمنا بإنشائه في اول الخطوات ثم نقوم بعمل اتصال .. الصفحة 412من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
جاااااااااااااااري االتصال ... لألسف لن تتم عمليه االتصال لعدم توفر REAL IPلدي ...
IPSec SITE to SITE ويسمى أيضا PEER to PEER
الصفحة 413من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
بحسب الصوره أعاله فأننا سوف نقوم بعمليه ربط فرعين ببعض (الحديده ،عدن)عبرالفورتي جيت بواسطة االنترنت بحيث الجهازالذي بفرع الحديده يستطيع الوصول بالجهازاملوجود بعدن والعكس ... نالحظ بأن هنالك جهازفورتي جيت في كل فرع وأيضا real ipلكل فرع . قمنا بأعداد ال vmللفرع ADEN
الصفحة 414من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بأننا جعلنا كرت الشبكة( )LANلفرع الحديده هو VMnet1 سوف نجعل كرت الشبكة لجهازالكمبيوتر PC-HODاملوجود بفرع الحديده على السويتش .. VMnet1 والكرت االخر( )WAN1لفرع الحديده هو VMnet10 وسوف نجعل كرت الشبكة( )LANلفرع عدن هو VMnet4 سوف نجعل كرت الشبكة لجهازالكمبيوتراملوجود بفرع الحديده على السويتش .. VMnet4 والكرت االخر( )WAN1لفرع عدن هو VMnet10 وبهذا الطريقة وكأننا جعلنا االثنين ال ـ Vmمربوطين على االنترنت لعمل محاكاه .. فنالحظ بأن جهازالكمبيوتراملوجود في الفرع الحديده في شبكة مختلفه وأيضا على سويتش مختلف عن جهازالكمبيوتراملوجود في الفرع عدن .. نحن نريد تحقيق عمليه االتصال فيما بين الجهازين PC-HODمع PC-ADENبواسطة . IPSec vpn ال ـ VPNتعتبرمن احدى الوسائل األساسية للوصول الى INTERNAL NETWORKمن أي مكان بالعالم مثال كما يحصل حاليا بسبب جائحه كورونا ()work at homeعبراالنترنت . الصفحة 415من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث الفورتي جيت تقدم لنا اكثرمن طريقة لعمل : vpn vpn over IP SEC -1 vpn over SSL -2
حيث ال ـ vpn/sslبيتم بطريقتين : : web mode -1هي عباره عن صفحة انترنت من خاللها يتم الوصول الى الشبكة الداخليه الخاصة بي واقدرأوصل الى سيرفس معينه انا محددها مسبقا او الى كل ال ـ servicesهذا حسب ما تريده وكل هذا بيتم عبر web interfaceمثال IEاو .. Mozilla firefoxالخ حيث شكل ال web modeكما بالصورة ادناه
والذي من خالله يمكنه الوصول الى ال ـ servicesكما بالصورة ادناه
الصفحة 416من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Tunneling mode -2هو الشكل املعتاد الذي من خالله بعمل vpnحيث فورتي جيت بتستخدم برنامج تابع لها يسمى Forticlientبيتم تنزيله على الويندوز او املاك او اندرويد
كما بالصورة ادناه سوف نقوم بشرح التصميم لل ـ : lab
الصفحة 417من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث نريد الوصول عبراالبتوب الى الفايل سيرفرو باقي السيرفرات املوجودة في الشبكة الداخليه كما بالصورة أعاله .. حيث ال ـ ssl vpnيحتاج بعض اإلعدادات على الفورتي جيت لكي يتم تنفيذه : -1يحتاج الى انشاء local userو local Groupلديهم صالحيه ال ـ vpn Listen interface -2وهو ال ـ WANيكون عليه real ip Security policy -3تسمح بمرورالترافيك ما بين الشبكة الداخليه وال ـ vpnوما بين ال ـ vpnواالنترنت لو اردت اجعل املستخدمين الي برع الشبكة مثال جهاز(االبتوب)يستخدم االنترنت من خالل الشبكة الداخليه الخاصة بي . االن سوف نقوم بعمليه التطبيق عمليا :
الصفحة 418من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم انشاء local userباسم hmada.glal
ثم نقوم بكتابه االيميل الخاص بي في حالة تم نسيان الباسورد سيقوم بإرساله الى االيميل في حالة قمت بعمل reset password
حيث حالة الحساب هي . Enabled
الصفحة 419من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تمت عمليه االنشاء .. اآلن سنقوم بإنشاء groupكما بالصورة ادناه
اسمها VPN-SSL-groupونوعها لوكالي ()Firewall
الصفحة 420من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
ثم نقوم بأضافه اليوزرات اليها ..
نالحظ كما بالصورة أعاله بان الفورتي جيت بشكل افتراض ي يوجد بداخله portal 3كالتالي : : Full-accessهنا لهم صالحيات بانهم يوصوا الى vpnسواء عبرال tunnel modeاو web access : Tunnel-accessهذه صالحيات خاصه ب tunnel mode : Web-accessهذه خاصه بالويب اكسس حيث اليوزرات التي سوف يتم وضعهم هنا سيتم اعطائهم صالحيات بأنهم يوصلوا الى vpnعبرالويب مود .
الصفحة 421من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث سنقوم بالتعديل على : full-access
الصفحة 422من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم اغالق الخيارEnable Split Tunneling
ولو اردت أضافه Bookmarksلل ـ web access mode
الصفحة 423من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم أضافه bookmarkحيث سيتم الوصول الى السيرفر 192.168.10.100عبرال ـ remote )RDP( Desktopحيث تم كتابه اليوزرنيم والباسورد التابع للسيرفر
بعد ذلك نقوم بالذهاب الى SSL-VPN-Settings
حيث قمنا بتحديد كرت ال ـ WANوالذي عليه real ipويفضل تغييرال listening port fromمن 443الى مثال 4430بحيث يمكن اداره الفورتي جيت نفسه عبر)https( 443من خارج الشبكة عبر االنترنت وكما يمكن الوصول الى vpn web modeعبرالبورت . 4430
الصفحة 424من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله يمكن الوصول عبرال vpnمن أي جهاز وأيضا يفضل ال تقوم بتغيرالشهادة واتركها كما هي .
أيضا يتم ترك االعدادات كما بالصورة أعاله بحيث الفورتي جيت هو من يقوم بتعين االيبي لليوزرات التابعه لل ـ. VPN وكما نترك ال ـ dns serverهو نفسه التابع للفورتي جيت .
الصفحة 425من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
يتم تحديد اليوزرات التي لهم صالحيات للوصول عبرال ـ VPNللفورتي جيت . حيث بشكل افتراض ي يكون All other users/groupsلديها full-access حيث أي local usersبالفورتي جيت له حق الوصول ..
ويمكن تحديد فقط الجروب التي قمنا بإنشائها سابقا كما بالصورة التالية :
الصفحة 426من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اخرالخطوات نقوم بعمل Ruleتسمح بمرورالترافيك ما بين ال ـ vpnو local networkوبين ال ـ VPNوبين االنترنت .
قمنا بتسميه ال ـ ruleباسم ssl-vpn-to-localnetwork ونقوم بتحديد ال ـ incoming interfaceحيكون )SSL-VPN-tunnel interface(ssl.root و outgoing interfaceسيكون lanأي كرت الشبكة الداخليه حيث ال ـ sourceهم األشخاص(الجروب)التي تم أنشائها سابقا وهو vpn-ssl-group وال ـ destinationسيكون allأي كل اجهزه الشبكة الداخليه ونقوم بتفعيل خيارال ـnat في خيارات ال ـ security profilesحيث يمكنني تفعيل ال ـ ً Antivirusو ال ـ web filterو ال ـ Application controlو IPSعلى تلك ال ـ . Rules
كما بالصور ادناه
الصفحة 427من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصفحة 428من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ كما بالصورة أعاله بأنه تم انشاء Ruleتسمح بالوصول من خارج الشبكة(عبر ) VPNالى الشبكة الداخلية لكن كل اليوزرات التي عبرال ـ VPNلن تستطيع الوصول الى االنترنت ابدا ويجب ان نقوم بإنشاء Ruleتسمح للناس بعد ما يقوموا بعمل vpnان يكون لديهم انترنت عبر HQأي الشبكة الداخلية حيث سيتعامل معهم الفورتي جيت ك. proxy server
اآلن سنقوم بعمليه انشاء تلك ال ـ Ruleباسم :ssl-vpn-to-internet
الصفحة 429من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث نالحظ بأن ال ـ Outgoing interface =SD-Wanحيث جهازالفورتي جيت معمول دمج ألكثر من خط ولذا اليوزرات التابعه ل ـ vpnوالتي تم تحديدها ب ـ sourceسوف تحصل على االنترنت عبر SD-Wanلجهازالفورتي جيت .
اآلن لدي Rule 2التي تسمح بالترافيك بين ال ـ VPNو LOCAL NETWORK
حيث الرابط( )URLالتي بواسطته يمكنك الوصول الى الشبكة الداخليه عبرال ـ VPN Web modeهو ip wan of fortigate+4430والذي تم اعداداه سابقا كما بالصورة التالية :
الصفحة 430من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله فأن ال ـ bookmarkالتي قمنا بأنشائها سابقا باسم SRVموجودة وهو Remote Desktopللسيرفر 192.168.10.100وبمجرد النقرمرتين عليه يفتح لنا السيرفر...
او يمكنك عبرال ـ Quick Connectionsان تصل الى أي Serviceتريدها سواء HTTP/HTTPS ..RDP SSH Pingالخ وهذه الطريقة األولى vpn/sslعبرweb mode الصفحة 431من 469
إعداد /حممد املرفدي
و الطريقة األخرى عبرالفورتي كالينت كما بالصورة التالية :
أساسيات فورتي جيت
حيث يمكنك تنزيل برنامج الفورتي كالينت عبرموقع الفورتي جيت نفسه او من الصفحة التابعه ل ـ web accessكما بالصورة أعاله ... ثم نقوم بعمل installللتطبيق
الصفحة 432من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث نوع االتصال هو SSL-VPNواسمه مثال HQ-VPNونضع االيبي لـ WANفي Remote
Gatewayونحدد البورت 4430ثم نختار Save loggingلو تريد الفورتي كالينت ال يطلب اليوزرنيم كل مره عند تشغيله اما انت تريده ان يطالب املستخدم بكتابه اليوزرنيم والباسورد في كل مره فنختارالخيار prompt on login
الصفحة 433من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فمجرد ادخال اليوزرنيم والباسورد وعمل connectفانه سوف يتصل ويمكنك بعد ذلك الوصول الى HQومنها الى السيرفرات ...
الصفحة 434من 469
إعداد /حممد املرفدي
➢ مترين اخر حول :VPN SITE TO SITE
أساسيات فورتي جيت
كما بالصورة أعاله توضح بأن اسم ال ـ tunnelهو tunnel1ونوعيه الربط هو site to siteحيث تم اختيارالجهازاملوجود بالفرع البعيد هو فورتي جيت.. 2
الصفحة 435من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تبين بأن االيبي لجهازالفورتي جيت 2املوجود في ال ـ siteالبعيد هو 10.0.0.1 وهو ال ـ.. real Ip وتختارال ـ wan interfaceللفورتي جيت 1للـ siteالذي سوف يخرج منه الى . 10.0.0.1 ونكتب كلمه السر(.. )pre-shared Key
حيث سنحدد ال ـ local interfaceللسايت FortiGate1وهو ال ـLAN1 وبشكل تلقائي سوف يتعرف على الشبكة كما بالضورة أعاله 24/192.168.2.0 وهي الشبكة التي نريد ربطها مع الفرع البعيد ()site 2
ثم نكتب ال ـ remote subnetوهي للشبكة البعيده واملوجودة على site 2وهو 24/192.168.30.0 مالحظة :سيقوم الفورتي جيت بإنشاء Network objectل ـ . 24/192.168.2.0 وأيضا لل ـ 192.168.30.0/24وهي ل ـ remote subnetكما بالصورة ادناه .
الصفحة 436من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
نالحظ بانه تم انشاء عناوين ومجموعات بشكل تلقائيه كما بالصوه أعاله .. وأيضا سيتم انشاء سياستين ( )two policiesبشكل تلقائي كما بالصورة ادناه
تم انشاء policy 2كما بالصورة أعاله ... -1تسمح للترافيك من ال ـ local siteالى remote site
الصفحة 437من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
-2تسمح للترافيك من الـ remote siteالى ال ـ. local site
*مالحظة :ال يتم تفعيل الـ ـ.. NAT أيضا سيتم انشاء static routeبشكل تلقائي كما بالصورة ادناه
الصفحة 438من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
سوف نقوم بتكرارنفس العملية ولكن على الـ Site 2أي على الفورتي جيت ...2
الصفحة 439من 469
إعداد /حممد املرفدي
): VPN SITE TO SITE DYNAMIC DNS(DDNS
أساسيات فورتي جيت
ربط فرعين بواسطة فورتي جيت عبرال ـ DDNSوليس عبرال ـ static ip حيث توجد مواقع كثيره تستطيع بواسطتها انشاء DDNSمثل موقع no-ip.com حيث نفترض بأن ال ـ site 1لديه Static IPوال ـ site 2لديه . DDNS
لنفترض بأن ال ـ DDNSلل ـ siteالبعيد هو marfadi.comكما بالصورة أعاله ..
الصفحة 440من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله .كم تم باإلعدادات ال ـ vpn site to siteسابقا
تمت العملية على ال ـ site1وسوف نكرر نفس العملية على ال ـ site 2 لكن في حال ال ـ site1لديه static ipفاني سوف أقوم باستخدامه ...
الصفحة 441من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Network address طريقة انشاء عناوين بالفورتي جيت
تم انشاء عنوان باسم marfadi_pcوتم تخصيص ايبي له 192.168.2.121
الصفحة 442من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Traffic shaper
هي عمليه تخصيص سرعه معينه سواء ل ـ download trafficاو upload traffic
بحسب الجدول أعاله يوضح Shaperبأن : Guarantees Bandwidthفأن اقل سرعه بيعطيها الفورتي جيت هي 200كيلو بايت بالثانية سواء لعمليه ال ـ downloadاو ال ـ . Upload : Maximum Bandwidthاقص ى سرعه هي 400كيلو بايت بالثانية سواء لعمليه ال ـ download او ال ـ . Upload مالحظة: : KBpsكيلو بايت بالثانية : Kbpsكيلو بت بالثانية KBPS=8 Kbps حيث سوف نقوم بإنشاء Traffic shaperكما بالخطوات التالية:
الصفحة 443من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
االن سوف نقوم بإنشاء traffic shaper for uploadلل ـ ITمثال
الصفحة 444من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
: Traffic priorityوظيفتها إعطاء اولويه من يأخذ سرعات حيث الذي لديه priorityاعلى هو من يكون له األولوية في السرعات .
انوع ال ـ: traffic shaper : Sharedيتم تقاسم الـ traffic shaperحيث 400كيلو سوف تقسم على عدد األشخاص . : Per ipيتم تخصيص traffic shaperلكل ايبي أي سيتم تخصيص 400كيلو لكل شخص .
طريقة انشاء : Traffic shaping policy
الصفحة 445من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم انشاء بوليس ي ملوظفي االيتي()FSSo-Group-ITحيث Shared shaperيقصد بها ال ـUpload Reverse shaperيقصد بها ال ـ downloadحيث تم تحديد ال ـ traffic shaperالذي قمنا بإنشائها سابقا باسم IT-shaper-Downloadو IT-shaper-Upload وبهذا أي يوزرضمن الجروب FSSO-GROUP-ITسوف يطبق عليها سياسه traffic shaping كما بالصورة ادناه ...
مالحظة هامه : أي بوليس ي موجودة في قائمه ال ـ IPv4 Policyفانه سوف يتم املرورعلى ال traffic shaping policyكما بالصورة أعاله سيتم املرورعلى البوليس ي املسماة IT_traffic_shiping_policyفان لم تطابق السياسة فأنه يمرعلى البوليس ي املسماة Implicitوالذي معناه ال تطبق traffic shapingعلى هذا البوليس ي ...
الصفحة 446من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
أي لو كانت ال ـ ruleال تطبق عليها احدى traffic shaping policyفأنها تمرعلى السياسة املسماة Implicitوهي موجودة بشكل افتراض ي ..والتي تعني ال تطبق على هذه السياسة أي traffic ... shaping policy : Virtual IPعمليه الوصول من برع الشبكة الى جهازمعين في الشبكة الداخلية. مثال :الوصول الي سيرفرموجود بالشبكة الداخليه عم طريق ال remote desktop protocolاو ما يسمى ( )RDPويسمى بعمليه ال ـ . publishing او تريد مثال عمل publishلـ web serverاملوجود بالشركة وتريد الوصول اليه من خارج الشركة.. حيث أقول للفورتي جيت لو وصل لك اتصال عبربورت معين قم بإدخاله الى السيرفرالفالني ..
حيث wan1=172.20.120.236هو .. public ip
الصفحة 447من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
فلو وصل لك أي اتصال الى املنفذ wan1عبرال ـ portمثال 777فقم بتحويله الى االيبي التابع للسيرفر 192.168.2.11عبرال ـ 3389 portوهو البورت االفتراض ي ل ـ. RDP
حيث قمنا بتغييرالبورت االفتراض ي ل ـ rdpالى 777كنوع من األمان وتجنبا من فايروس التشفير(الفديه) ....
➢ طريقة انشاء : Virtual ip
حيث interface :wan3وهو البورت الي موصل عليه ال ـ static ipوهو 172.20.120.236
: External IP addressهو االيبي ال ـ staticالذي سيستقبل ال ـ connection : Mapped IP addressهو االيبي ال privateوهو ايبي السيرفر server1وهو . 192.168.2.11 الصفحة 448من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
حيث سنقوم بتمكين الخيار port forwarding ونضع البورت external =777وال3389 =map to port حيث اللي واصل لك عبرالبورت 777قم بتحويله الى البورت . 3389
فبعد ذلك يجب ان أنش ئ بوليس ي تسمح باالتصال من خارج الشبكة الى داخل الشبكة ( internetالى .) local network
الصفحة 449من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
تم انشاء البوليس ي .... اآلن سنقوم بتجربة الوصول الى السيرفر server1وذلك كالتالي
حيث بمجرد الدخول الى 172.20.120.236:777سوف يتم تحويلك الى السيرفر 192.168.2.11مباشره.
: Virtual group نفترض لدينا 4سيرفرات معمول لهم virtual ip 4 مثال server4_RDP ، server3_RDP، server2_RDP ، server1_RDPكما بالصورة ادناه ..
الصفحة 450من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
يجب External portيختلف من virtual ipآلخر...
➢ طريقة انشاء virtual groupحبيث أقوم بضم الــ virtual ip’s 4بداخلها ..
الصفحة 451من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
سنقوم بإعداد البوليس ي التي تسمح باالتصال من خارج الشبكة الى الشبكة الداخليه
الصفحة 452من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
كما بالصورة أعاله تم تحديد ال ـdestination = Servers_RDP_Group فبدال من أضافه ال ـ virtual ip’s 4فقط نقوم باختيار. virtual group
الصفحة 453من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
➢ : IPV4 DOS policy configuration الـ ـ TCP Connectionعموما بيتم ارسال SYNمن قبل املرسل ويتم الرد عليك من قبل املستلم ب ـ ACK ,SYNبأن ال ـ portمفتوح و جاهزلالستالم ومن بعد ذلك تبدا عمليه االرسال وتبدا الجلسة بينهما ...
فأحيانا تحصل هجمات تسمى DOSحيث بيتم ارسال كميه طلبات كثيره جدا على خدمه معينه من اجل ايقافها ... مثال سيرفرعليه remote desktop connectionبيستلم االتصال عبرالبورت ، 3389 حيث ممكن استغالل هذا البورت املفتوح بحيث أقوم انا كا هاكربارسال SYNو السيرفرسوف يرد ب ـ ACK ,SYNو تتكرالعملية بيني وبين السيرفرالى ان تتم عمليه إيقاف الخدمة ()RDPألن هناك أدوات وبرامج تقوم بعمليه ارسال مالئين من SYNفي توزيعه كالي لينكس .. وهذا يسبب بأن الخدمة التابعة ل ـ RDPاملوجودة في السيرفرتصبح Downوتسمى هذا العملية TCP syn flooding attackوتعتبرنوع من أنواع ال ـ. DOS attack
يوجد أيضا هجمات أخرى مثل ال ـ ICMP syn flooding attackو UDP floodingوغيرها وكلها تندرج تحت ال ـ. DOS attack
فالفورتي جيت عنده خاصيه جميله اسمها IPV4 Dos policyحيث تستخدم هذه امليزه من اجل منع والتحكم بهذا النوع من الهجمات .. الصفحة 454من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اآلن سنقوم بإنشاء policyتمنع هذه النوعيه من الهجمات من برع الشبكة(من االنترنت)
الصفحة 455من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
الصور أعاله توضح بان عمليه الفحص والتحكم بال ـ connectionالقادم الى ال ـ wan interface حيث سيتم عمل logلالتصال القادم من او الى source ipو Destination ipوتعدى الـ. 5000 أيضا يتم عمل Blockل ـ tcp_syn_floodلو وصل عدد الجلسات عن 1000لبورت معين ..وهكذا
بهذا انا قمت بتأمين الترافيك الذي يأتي عبرال ـ wan interfaceسواء على شكل tcpاو udpاو icmpمن هجمات ال ـ. DOS
الصفحة 456من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
➢ : DNS Filtering عباره عن خاصيه بالفورتي جيت استطيع ان اعمل بها web filteringبواسطة ال ـDNS
: Redirect botnet C&C requests to Block Portal
الفورتي جيت سوف يقوم بإغالق الوصول ألي Domainsخاص بال ـ.. Botnet : Enforce 'Safe Search' on Google, Bing, YouTube
الصفحة 457من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
عند تفعيل هذه الخاصية فان عمليه البحث ستكون أمنه ويتم استخدام هذا الخيار خصوصا في المدارس ،حيث سيمنع الوصول او البحث عن أي موقع محضور او غير مناسب فلو قام اليوزر البحث مثال عن مواقع اباحيه او مواقع تجاره األسلحة ..الخ سيتم منعه وعمل له . كما يمكننا اغالق المواقع عبر FortiGuard Category Based Filterكما بالصورة ادناه
استخدام Static Domain Filterألغالق المواقع :
الصفحة 458من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
عمل Blockملوقع الفيسبوك ...
➢ الفرق بني ال: web filter And dns filter الويب فلتريعمل Blockللموقع عبرال ـURL يعني ممكن تقفل ال ـ www.marfadi.com/testو بنفس الوقت تكون سامح ان املستخدمين يفتحوا Www.Marfadi.com/users لكن ال ـ DNS filterبيقفل عبرال ـ DNS Queriesمن البداية أصال .. يعني ال يعمل resolveل ـ www.marfadi.comأصال ..
الصفحة 459من 469
إعداد /حممد املرفدي
أساسيات فورتي جيت
اخلامتة
الحمد هلل تعالى الذي وفقنا في تقديم هذا الكتاب ،وها هي القطرات األخيرة في مشوارهذا الكتاب، وقد كان الكتاب يتكلم عن فورتي جيت فايروول ،وقد بذلنا كل الجهد والبذل لكي يخرج هذا الكتاب بهذا الشكل .ونرجو من هللا أن تكون رحلة ممتعة وشيقة لكل مبتدأ في هذا املوضوع، وكذلك نرجو أن تكون قد أرتقت بدرجات العقل الفكر ،حيث لم يكن هذا الجهد بالجهد اليسير حيث استغرق تقريبا 8اشهرمن االستماع لفيديوهات مختلفة والبحث في الفورتي جيت من مصادرمختلفة ،ونحن ال ندعى الكمال فإن الكمال هلل عزوجل فقط وانا أصال شخص مبتدأ في الفورتي جيت وهذا اجتهاد بسيط مني وال ادعي االحتراف فيه ،ونحن قدمنا كل الجهد لهذا الكتاب ،فإن وفقنا فمن هللا عزوجل وإن أخفقنا فمن أنفسنا ،وكفانا نحن شرف املحاولة، ً ً واخيرا نرجو أن يكون هذا الكتاب قد نال إعجابكم .وصل اللهم وسلم وبارك تسليما كثيرا على معلمنا األول وحبيبنا سيدنا محمد عليه أفضل الصالة والسالم .. من لديه أي مالحظات او انتقاد فنرجو التواصل عبر الواتس اب 00967772898598 او عبر صفحتي بالفيسبوك https://www.facebook.com/profile.php?id=100014064451982
الصفحة 460من 469
إعداد /حممد املرفدي