آشنایی جامع با VDOM در فورتی‌گیت: از مفاهیم پایه تا کاربردهای پیشرفته

1403/10/27
ارسال شده توسط
فورتی نت
559 بازدید
آشنایی جامع با VDOM در فورتی‌گیت
زمان مطالعه: 8 دقیقه

فورتی‌گیت (FortiGate) یکی از معروف‌ترین دستگاه‌های فایروال است که توسط شرکت فورتی‌نت (Fortinet) ارائه می‌شود. این دستگاه برای تأمین امنیت شبکه و مدیریت ترافیک طراحی شده است. یکی از ویژگی‌های پیشرفته در فورتی‌گیت، مفهوم “VDOM” یا “Virtual Domain” است که به مدیران شبکه امکان می‌دهد تا چندین فایروال مجازی را بر روی یک دستگاه فیزیکی ایجاد و مدیریت کنند.

VDOM چیست؟

VDOM یا Virtual Domain، یکی از قابلیت‌های مجازی‌سازی در دستگاه‌های امنیتی فورتی‌گیت (FortiGate) است که امکان ایجاد و مدیریت چندین فایروال مجزا را در یک دستگاه فیزیکی فراهم می‌کند. با استفاده از این قابلیت، یک فورتی‌گیت می‌تواند به چندین واحد مستقل و مجازی تقسیم شود که هر کدام عملکردی شبیه به یک فایروال مستقل دارند. هر VDOM دارای تنظیمات جداگانه شامل قوانین فایروال، آدرس‌ها، پروفایل‌های کاربران، و حتی رابط‌های شبکه است و می‌توان آن را برای مدیریت و جداسازی محیط‌های مختلف شبکه مانند دفاتر، بخش‌ها، یا مشتریان مستقل استفاده کرد.

این فناوری به سازمان‌ها اجازه می‌دهد تا به طور موثر منابع شبکه را تفکیک کرده و از یک دستگاه برای چندین هدف استفاده کنند. VDOMها از لحاظ منطقی از یکدیگر مستقل هستند، اما همگی منابع سخت‌افزاری دستگاه اصلی را به اشتراک می‌گذارند. این انعطاف‌پذیری بالا در تنظیمات امنیتی، کاهش هزینه‌ها، و مدیریت بهینه شبکه، از جمله مزایای برجسته VDOM است. به این ترتیب، محیط‌هایی با نیاز به جداسازی کامل شبکه‌ها یا مشتریان، مانند شرکت‌های بزرگ، ارائه‌دهندگان خدمات اینترنتی (ISP) و مراکز داده، بیشترین بهره را از این قابلیت می‌برند.

مزایای استفاده از VDOM در فورتی‌گیت

  1. تفکیک منابع شبکه
    VDOM امکان تقسیم‌بندی یک دستگاه فورتی‌گیت به چندین فایروال مجزا را فراهم می‌کند. این تقسیم‌بندی باعث می‌شود که هر بخش یا مشتری شبکه، تنظیمات و منابع اختصاصی خود را داشته باشد.
  2. کاهش هزینه‌ها
    به جای خرید چندین دستگاه برای مدیریت شبکه‌های مختلف، می‌توان از یک دستگاه فورتی‌گیت با چندین VDOM استفاده کرد. این امر هزینه‌های سخت‌افزاری و نگهداری را کاهش می‌دهد.
  3. مدیریت متمرکز و نظارت جامع
    مدیر اصلی (Global Admin) می‌تواند از یک نقطه واحد، بر تمامی VDOMها نظارت و مدیریت داشته باشد. این ویژگی به ساده‌تر شدن مدیریت کلی کمک می‌کند.
  4. انعطاف‌پذیری در پیکربندی
    هر VDOM می‌تواند تنظیمات مستقل خود را داشته باشد، از جمله قوانین فایروال، رابط‌های شبکه، و سیاست‌های امنیتی. این انعطاف‌پذیری برای سناریوهای چندسازمانی یا شبکه‌های پیچیده بسیار مفید است.
  5. افزایش امنیت شبکه
    با استفاده از VDOMها، بخش‌های مختلف شبکه می‌توانند به طور منطقی از یکدیگر جدا شوند. این تفکیک باعث می‌شود که مشکلات یا تهدیدات امنیتی یک بخش، بر سایر بخش‌ها تأثیری نداشته باشد.
  6. بهینه‌سازی استفاده از منابع
    VDOMها به شما اجازه می‌دهند منابع سخت‌افزاری (مانند پردازنده و حافظه) را به صورت دقیق به هر شبکه یا بخش تخصیص دهید. این امکان استفاده بهینه از توانایی‌های دستگاه را فراهم می‌کند.
  7. قابلیت تطابق با نیازهای مشتریان
    شرکت‌ها و ارائه‌دهندگان خدمات اینترنتی (ISP) می‌توانند از VDOMها برای ارائه فایروال مجازی جداگانه به مشتریان مختلف استفاده کنند. این امر به خصوص در محیط‌های چند مستاجری (Multi-Tenant) بسیار کاربردی است.
  8. مقیاس‌پذیری بالا
    سازمان‌ها می‌توانند با ایجاد یا حذف VDOMها، دستگاه فورتی‌گیت خود را بر اساس نیازهای شبکه مقیاس دهند، بدون نیاز به خرید دستگاه‌های جدید.
  9. یکپارچگی و کاهش پیچیدگی تجهیزات
    با استفاده از یک دستگاه با چند VDOM، می‌توان پیچیدگی زیرساخت شبکه و تعداد تجهیزات موجود را کاهش داد.
  10. مدیریت دسترسی جداگانه
    هر VDOM می‌تواند مدیران و کاربران جداگانه‌ای داشته باشد. این امکان برای سازمان‌های بزرگ که تیم‌های IT مجزا دارند، بسیار سودمند است.

استفاده از VDOM در فورتی‌گیت نه تنها باعث افزایش انعطاف‌پذیری و کارایی شبکه می‌شود، بلکه هزینه‌ها و پیچیدگی‌های مدیریتی را نیز به طور قابل توجهی کاهش می‌دهد.

نحوه عملکرد VDOM در فورتی‌گیت

مفهوم VDOM (Virtual Domain) در فورتی‌گیت به این معناست که یک دستگاه فیزیکی فورتی‌گیت به چندین واحد مجازی تقسیم می‌شود که هر یک می‌توانند مستقل از یکدیگر تنظیمات و وظایف خود را داشته باشند. در این قسمت، نحوه عملکرد VDOM در فورتی‌گیت به طور مفصل توضیح داده می‌شود:

1. تقسیم منابع فیزیکی دستگاه به VDOMها

در فورتی‌گیت، یک دستگاه فیزیکی می‌تواند به چندین VDOM تقسیم شود که هر یک منابع دستگاه (پردازنده، حافظه، پورت‌ها و غیره) را به اشتراک می‌گذارند. با این حال، هر VDOM به صورت مجازی کاملاً مستقل عمل کرده و تنظیمات خاص خود را دارا می‌باشد. این تقسیم‌بندی موجب می‌شود که بتوان یک دستگاه فورتی‌گیت را برای چندین هدف استفاده کرد، مثل مدیریت شبکه‌های مختلف یا تقسیم‌بندی بخش‌های مختلف یک سازمان.

2. ارتباط میان VDOMها (بازیابی منابع و دسترسی بین VDOMها)

VDOMها به طور مستقل از یکدیگر عمل می‌کنند، اما فورتی‌گیت امکان برقراری ارتباط و انتقال ترافیک بین VDOMها را نیز فراهم می‌آورد. این امکان می‌تواند برای مسیریابی بین شبکه‌های مختلف که در VDOMهای متفاوت قرار دارند، یا انتقال ترافیک کنترل شده در محیط‌های پیچیده‌تر شبکه باشد.

برای اتصال VDOMها، فورتی‌گیت به شما اجازه می‌دهد تا VDOM Interfaces را پیکربندی کرده و قوانینی برای هدایت ترافیک بین VDOMها اعمال کنید. به طور مثال، از طریق تنظیمات VDOM Links می‌توان ارتباطات دو VDOM را مدیریت کرد.

3. مدیریت پیکربندی‌های جداگانه برای هر VDOM

هر VDOM تنظیمات کاملاً مجزای خود را دارد. این شامل تنظیمات فایروال، پروفایل‌های امنیتی، سیاست‌های دسترسی و آدرس‌ها می‌شود. به عنوان مثال، در هر VDOM می‌توان قوانینی برای فیلتر کردن ترافیک شبکه تعریف کرده و نوع تعامل با دیگر VDOMها را کنترل کرد. این امکان برای شرکت‌ها یا سازمان‌ها که نیاز دارند شبکه‌های مختلف یا مشتریان مختلف را از هم جدا کنند، بسیار مفید است.

4. استفاده از منابع مشترک در سطح جهانی (Global Resources)

به رغم اینکه هر VDOM تنظیمات مستقل خود را دارد، دستگاه فورتی‌گیت می‌تواند برخی از منابع مشترک را در سطح جهانی برای تمام VDOMها ارائه دهد. این منابع معمولاً به شکل پیکربندی‌هایی مانند سرویس‌های DNS، به‌روزرسانی‌های نرم‌افزاری یا تنظیمات سیستم‌های مرکزی است. VDOMها می‌توانند به این منابع جهانی دسترسی داشته باشند بدون اینکه بر تنظیمات اختصاصی خود تأثیری بگذارند.

5. مدیریت از طریق حالت Global و VDOM Mode

در فورتی‌گیت، دو حالت اصلی برای مدیریت VDOMها وجود دارد:

  • Global Mode: در این حالت، مدیر اصلی یا Global Admin می‌تواند تمام تنظیمات سیستم و منابع دستگاه را مشاهده و مدیریت کند. همچنین این حالت دسترسی به تمام VDOMها را فراهم می‌آورد.
  • VDOM Mode: در این حالت، دسترسی محدود به پیکربندی یک VDOM خاص وجود دارد. این امکان برای مدیرانی که باید فقط یک VDOM را مدیریت کنند، طراحی شده است.

6. تخصیص منابع و سیاست‌های امنیتی مستقل برای هر VDOM

هر VDOM می‌تواند منابع سخت‌افزاری مانند CPU، RAM و دیگر ویژگی‌ها را به‌طور خاص برای خود تخصیص دهد. همچنین، می‌توان سیاست‌های امنیتی و مدیریتی جداگانه‌ای برای هر VDOM تعریف کرد. این امکان باعث می‌شود تا هر VDOM سیاست‌های امنیتی خود را بدون تأثیر بر سایر VDOMها پیاده‌سازی کند.

نحوه عملکرد نمونه‌ای

فرض کنید یک سازمان دارای سه بخش است: بخش امنیت، بخش مالی، و بخش پشتیبانی. با استفاده از VDOM در فورتی‌گیت، این سازمان می‌تواند یک VDOM جداگانه برای هر بخش ایجاد کرده و تنظیمات امنیتی خاص هر بخش را اعمال کند:

  • VDOM امنیتی می‌تواند با پیکربندی فایروال و قوانین IDS/IPS، ترافیک شبکه را مانیتور و کنترل کند.
  • VDOM مالی می‌تواند سیاست‌های مالی و امنیتی خاص خود را پیاده‌سازی کند.
  • VDOM پشتیبانی می‌تواند ارتباطات شبکه‌ای مربوط به بخش پشتیبانی را مدیریت کرده و نیازهای ترافیکی خاص این بخش را تامین کند.

این نوع تفکیک باعث افزایش امنیت و کنترل می‌شود و به هر بخش این امکان را می‌دهد که منابع و تنظیمات خود را به طور مجزا مدیریت کند.

VDOM در فورتی‌گیت یک روش بسیار کارآمد برای تقسیم‌بندی دستگاه فایروال به واحدهای مجازی مختلف است. با ارائه این امکان، هر بخش یا شبکه می‌تواند تنظیمات امنیتی، منابع و تنظیمات مستقل خود را داشته باشد. این امر علاوه بر ساده‌سازی مدیریت شبکه‌ها، هزینه‌ها را کاهش داده و به بهبود عملکرد و امنیت شبکه کمک می‌کند.

نحوه ایجاد و مدیریت VDOM در فورتی‌گیت

  1. فعال کردن VDOM
    ابتدا باید قابلیت VDOM را در فورتی‌گیت فعال کنید. این کار از طریق CLI یا رابط گرافیکی انجام می‌شود:

    • CLI Command:
config system global
set vdom-admin enable
end
  1. ایجاد VDOM جدید
    پس از فعال کردن VDOM، می‌توانید VDOMهای جدیدی ایجاد کنید:

    • CLI Command:
config vdom
edit <vdom_name>
set description "Description of VDOM"
next
end
  1. اختصاص رابط‌ها (Interfaces) به VDOM
    هر رابط شبکه می‌تواند به یک VDOM خاص اختصاص داده شود.

    • CLI Command:
config system interface
edit <interface_name>
set vdom <vdom_name>
end
  1. مدیریت دسترسی کاربران به VDOM
    می‌توانید کاربران خاصی را برای مدیریت یک VDOM تعیین کنید.

    • CLI Command:
config system admin
edit <admin_name>
set vdom <vdom_name>
end

VDOM Global چیست؟

VDOM Global یک حالت مدیریتی ویژه در دستگاه‌های فورتی‌گیت است که به مدیر اصلی (Global Administrator) اجازه می‌دهد تنظیمات و منابع کل دستگاه (تمام VDOMها) را به صورت یکپارچه مدیریت کند. این حالت در صورتی در دسترس است که قابلیت VDOM در فورتی‌گیت فعال شده باشد.

ویژگی‌ها و کاربردهای VDOM Global

  1. مدیریت کلیه VDOMها
    در حالت VDOM Global، مدیر می‌تواند همه VDOMهای ایجادشده در دستگاه را مشاهده و مدیریت کند. این شامل انجام تنظیمات مربوط به هر VDOM، تخصیص منابع سخت‌افزاری مانند پردازنده و حافظه به VDOMها، و مدیریت ارتباط بین آن‌ها می‌شود.
  2. مدیریت منابع دستگاه
    مدیر در این حالت می‌تواند منابع سخت‌افزاری دستگاه، از جمله پردازنده، حافظه و پهنای باند، را بین VDOMها به صورت منطقی تقسیم کند تا استفاده بهینه‌ای از دستگاه داشته باشد.
  3. نظارت مرکزی
    حالت VDOM Global امکان نظارت و بررسی کلیه ترافیک‌ها، لاگ‌ها، و وضعیت سیستم را در کل دستگاه فراهم می‌کند. این ویژگی به مدیران اجازه می‌دهد مشکلات را شناسایی و بر عملکرد تمام VDOMها نظارت داشته باشند.
  4. تنظیمات سیستمی مشترک
    برخی تنظیمات مانند سرویس‌های DNS، به‌روزرسانی‌های فریمور (firmware)، مدیریت کاربران و نقش‌ها، و دسترسی به لاگ‌های عمومی در سطح Global انجام می‌شود.

مثالی از استفاده از حالت VDOM Global

فرض کنید یک شرکت چند ملیتی از یک فورتی‌گیت برای مدیریت شبکه خود استفاده می‌کند. این شرکت چندین بخش مختلف دارد که هر بخش با یک VDOM جداگانه مدیریت می‌شود. مدیر اصلی (Global Admin) می‌تواند از حالت VDOM Global برای موارد زیر استفاده کند:

  • نظارت بر نحوه استفاده از منابع بین VDOMها.
  • اطمینان از اینکه تنظیمات امنیتی به‌روزرسانی شده‌اند.
  • عیب‌یابی مشکلاتی که در چندین VDOM تأثیر می‌گذارند.

فعال کردن و دسترسی به VDOM Global

برای دسترسی به حالت VDOM Global باید این قابلیت از طریق تنظیمات CLI فعال شود. در صورتی که این حالت فعال باشد، گزینه‌ی Global در رابط گرافیکی فورتی‌گیت در دسترس خواهد بود و با تغییر حالت از VDOMهای مختلف به “Global” می‌توانید به تنظیمات کلی دستگاه دسترسی پیدا کنید.

فعال کردن VDOM Mode:

config system global
set vdom-admin enable
end

 

تفاوت بین Global و Local VDOM Management

  • در حالت Global، مدیریت تمام VDOMها و تنظیمات کلی سیستم امکان‌پذیر است.
  • در حالت Local VDOM، مدیریت و دسترسی تنها محدود به تنظیمات یک VDOM مشخص می‌شود، و مدیر به تنظیمات سایر VDOMها دسترسی ندارد.

این تفکیک باعث می‌شود نقش‌ها و سطح دسترسی‌ها در سازمان به طور شفاف تفکیک شود.

موارد کاربرد VDOM

  1. شرکت‌های بزرگ
    سازمان‌هایی که نیاز به مدیریت چندین شبکه یا زیرشبکه مستقل دارند، می‌توانند از VDOM برای تفکیک این بخش‌ها استفاده کنند.
  2. ارائه‌دهندگان خدمات اینترنت (ISP)
    ISPها می‌توانند از VDOM برای ارائه خدمات فایروال مجازی به مشتریان خود استفاده کنند.
  3. مراکز داده
    در مراکز داده، VDOM می‌تواند به عنوان راهکاری برای مدیریت چندین مشتری یا اپلیکیشن استفاده شود.

VDOM “root” چیست؟

VDOM “root” یکی از VDOMهای پیش‌فرض در دستگاه‌های فورتی‌گیت است که به عنوان هسته اصلی مدیریت دستگاه و نقطه شروع تمامی تنظیمات شبکه و امنیتی عمل می‌کند. این VDOM به طور پیش‌فرض در تمام دستگاه‌های فورتی‌گیت وجود دارد و نمی‌توان آن را حذف کرد.

ویژگی‌ها و کاربردهای VDOM “root”

1. مدیریت دستگاه در سطح کلان

VDOM “root” معمولاً برای پیکربندی اولیه دستگاه و ایجاد تنظیمات مدیریتی عمومی استفاده می‌شود. این شامل تنظیمات پایه‌ای مانند آدرس‌های IP مدیریتی، سرویس‌های دستگاه، و دسترسی مدیریتی است.

2. رابط مدیریت پیش‌فرض

رابط‌های فیزیکی یا مجازی که به عنوان نقاط دسترسی مدیریتی فورتی‌گیت عمل می‌کنند (مانند HTTPS، SSH یا CLI)، معمولاً به این VDOM متصل هستند. از طریق این VDOM می‌توانید دسترسی کلی به تنظیمات دستگاه داشته باشید.

3. پیکربندی شبکه و فایروال در محیط‌های ساده

اگر نیاز به تفکیک VDOMها وجود نداشته باشد، می‌توانید VDOM “root” را برای مدیریت تمام تنظیمات شبکه و امنیت دستگاه استفاده کنید. این سناریو برای شبکه‌های کوچک و متوسط بسیار متداول است.

4. نقش مرکزی در ارتباط با سایر VDOMها

در محیط‌هایی که چندین VDOM وجود دارد، VDOM “root” معمولاً نقش اصلی در مدیریت ارتباطات بین VDOMها و نظارت کلی بر عملکرد دستگاه ایفا می‌کند.

موارد کاربرد VDOM “root”

  • پیکربندی اولیه دستگاه فورتی‌گیت: از جمله تنظیم آدرس‌های شبکه و رابط‌های مدیریتی.
  • ارتباطات بین VDOMها: مدیریت ترافیک بین VDOMهای مختلف در تنظیماتی که نیاز به اشتراک‌گذاری منابع یا برقراری اتصال دارند.
  • سناریوهای ساده: در شبکه‌هایی که نیازی به چندین VDOM نیست، تمامی وظایف امنیتی و مدیریتی در این VDOM انجام می‌شود.

تنظیمات مرتبط با VDOM “root”

اگر نیاز به سفارشی‌سازی تنظیمات VDOM “root” داشته باشید، می‌توانید آن را از طریق CLI یا رابط گرافیکی فورتی‌گیت مدیریت کنید. به عنوان مثال:

اختصاص یک رابط به “root”:

config system interface
edit <interface_name>
set vdom root
end

پیکربندی اولیه شبکه:

config system settings
set hostname Fortigate-Root
end

VDOM “root” نقطه مرکزی مدیریت و عملکرد دستگاه فورتی‌گیت است. این VDOM برای مدیریت کلی دستگاه و همچنین شبکه‌های ساده استفاده می‌شود. در تنظیمات پیچیده با چندین VDOM، “root” می‌تواند نقش اصلی را در نظارت و مدیریت تعامل بین VDOMها ایفا کند.

محدودیت‌های VDOM

  • منابع سخت‌افزاری محدود: تعداد VDOMها به منابع سخت‌افزاری دستگاه بستگی دارد.
  • پیچیدگی مدیریت: با افزایش تعداد VDOMها، مدیریت و نظارت بر آنها ممکن است پیچیده شود.
  • نیاز به مهارت بالا: مدیریت صحیح VDOM نیاز به دانش فنی و تجربه کافی دارد.

نتیجه‌گیری
VDOM یکی از قابلیت‌های کلیدی و کاربردی در فورتی‌گیت است که به سازمان‌ها اجازه می‌دهد تا از یک دستگاه برای مدیریت چندین شبکه یا محیط مجازی استفاده کنند. این ویژگی می‌تواند هزینه‌ها را کاهش دهد، انعطاف‌پذیری را افزایش دهد و مدیریت شبکه را ساده‌تر کند. با این حال، استفاده بهینه از این قابلیت نیازمند دانش و مهارت کافی است.

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید