راهنمای سوالات متداول و رفع مشکلات فایروال‌های فورتی‌گیت (FortiGate)

1403/12/05
ارسال شده توسط
فورتی نت
271 بازدید
راهنمای سوالات متداول و رفع مشکلات فایروال‌های فورتی‌گیت (FortiGate)
زمان مطالعه: 17 دقیقه

فایروال‌های فورتی‌گیت (FortiGate) از محبوب‌ترین و قدرتمندترین فایروال‌های موجود در بازار هستند که توسط شرکت فورتی‌نت (Fortinet) تولید می‌شوند. این فایروال‌ها با ویژگی‌هایی همچون امنیت بالا، پایداری، و مدیریت متمرکز شناخته می‌شوند. با این حال، کاربران ممکن است در هنگام پیکربندی و استفاده از این فایروال‌ها با مشکلات و سوالات مختلفی مواجه شوند. در این مقاله به بررسی سوالات متداول (FAQ) و راهنمای رفع مشکلات رایج در فایروال‌های فورتی‌گیت می‌پردازیم.

۱. فایروال فورتی‌گیت چیست و چه کاربردی دارد؟

فورتی‌گیت یک فایروال نسل جدید (NGFW) است که علاوه بر فیلتر کردن ترافیک شبکه، امکاناتی همچون VPN، تشخیص و جلوگیری از نفوذ (IPS)، فیلتر وب، آنتی‌ویروس و کنترل برنامه‌ها را نیز فراهم می‌کند. این فایروال‌ها برای سازمان‌های کوچک تا بزرگ و همچنین دیتاسنترها مناسب هستند و به مدیریت یکپارچه تهدیدات (UTM) کمک می‌کنند.

۲. چگونه به رابط وب (Web GUI) فورتی‌گیت دسترسی پیدا کنم؟

برای دسترسی به رابط وب فورتی‌گیت:

  1. آدرس IP پیش‌فرض دستگاه را در مرورگر وارد کنید (معمولاً 192.168.1.99 یا 192.168.0.99).
  2. از نام کاربری و رمز عبور پیش‌فرض استفاده کنید:
    • نام کاربری: admin
    • رمز عبور: (خالی یا admin بسته به مدل)
  3. در صورت تغییر IP یا رمز عبور، باید از پیکربندی کنسول (CLI) یا ریست سخت‌افزاری استفاده کنید.

نکات رفع مشکل:

  • اطمینان حاصل کنید که سیستم شما در همان زیرشبکه فایروال است.
  • اگر پینگ به IP فایروال پاسخ نمی‌دهد، کابل شبکه و پورت‌های فایروال را بررسی کنید.
  • ممکن است دسترسی Web GUI از طریق HTTPS باشد؛ در این صورت از https:// به‌جای http:// استفاده کنید.

۳. چگونه رمز عبور ادمین فورتی‌گیت را ریست کنم؟

اگر رمز عبور ادمین را فراموش کرده‌اید:

از اتصال کنسول (Console Cable) برای دسترسی به CLI استفاده کنید.

از طریق یک نرم‌افزار ترمینال مانند PuTTY به پورت کنسول متصل شوید.

در CLI، دستورات زیر را وارد کنید.

config system admin edit admin set password <new-password> end

پس از تغییر رمز عبور، ذخیره تنظیمات (Save Config) را فراموش نکنید:

execute save

نکات رفع مشکل:

  • اگر به CLI هم دسترسی ندارید، باید فایروال را به تنظیمات کارخانه ریست کنید که منجر به از دست رفتن تمامی تنظیمات خواهد شد.
  • برای ریست سخت‌افزاری، دکمه Reset را به‌مدت ۱۰ ثانیه نگه دارید.

۴. چرا اینترنت از طریق فورتی‌گیت کار نمی‌کند؟

این مشکل ممکن است به دلایل مختلفی رخ دهد:

  • تنظیمات اشتباه در Policy: بررسی کنید که Policyهای Inbound و Outbound به‌درستی تنظیم شده باشند.
  • تنظیمات NAT: اطمینان حاصل کنید که NAT برای ترافیک خروجی فعال است.
  • Gateway و DNS: بررسی کنید که Default Gateway و DNS Server به‌درستی تنظیم شده باشند:
config system interface
edit port1
set ip <IP-Address> <Subnet-Mask>
set allowaccess ping http https ssh
set gw <Gateway-IP>
end
  • فیلتر وب یا Application Control: ممکن است ترافیک توسط این ویژگی‌ها مسدود شده باشد. به بخش Log & Report مراجعه کنید و Traffic Log را بررسی کنید.

نکات رفع مشکل:

  • مطمئن شوید لایسنس UTM معتبر است و ترافیک را مسدود نمی‌کند.
  • از دستور زیر برای Ping کردن Gateway استفاده کنید:
execute ping <Gateway-IP>

۵. چگونه VPN را در فورتی‌گیت تنظیم کنم؟

فورتی‌گیت از IPsec VPN و SSL VPN پشتیبانی می‌کند. برای تنظیم یک IPsec VPN مراحل زیر را دنبال کنید:

  1. به VPN > IPsec Wizard بروید.
  2. نوع VPN را انتخاب کنید (Site-to-Site یا Remote Access).
  3. Remote Gateway، Pre-shared Key و Policyهای لازم را تنظیم کنید.
  4. Phase 1 و Phase 2 را پیکربندی کنید.

نکات رفع مشکل:

  • مطمئن شوید Policyهای مناسب برای ترافیک VPN تنظیم شده‌اند.
  • بررسی کنید که پورت‌های موردنیاز (مانند UDP 500 و 4500) در مسیر فایروال مسدود نشده باشند.
  • از دستورات CLI برای بررسی وضعیت VPN استفاده کنید:
diagnose vpn ike gateway list
diagnose vpn tunnel list

۶. چگونه فایروال را آپدیت کنم؟

برای آپدیت سیستم‌عامل (FortiOS) مراحل زیر را انجام دهید:

  1. از System > Firmware در Web GUI استفاده کنید.
  2. قبل از آپدیت، حتماً Backup از تنظیمات فعلی بگیرید.
  3. فایل Firmware را از پورتال Fortinet دانلود و آپلود کنید.
  4. روی Upgrade کلیک کنید و منتظر بمانید تا فایروال ریست شود.

نکات رفع مشکل:

  • مطمئن شوید نسخه جدید با مدل فورتی‌گیت شما سازگار است.
  • پس از آپدیت، Compatibility Mode را بررسی کنید تا Policyها به‌درستی عمل کنند.

۷. چگونه از تنظیمات فورتی‌گیت بکاپ بگیرم و آن را بازیابی کنم؟

بکاپ‌گیری منظم از تنظیمات فورتی‌گیت بسیار حائز اهمیت است تا در صورت بروز مشکلات یا خطاهای احتمالی، بتوانید به سرعت تنظیمات قبلی را بازیابی کنید.

بکاپ‌گیری:

  1. وارد Web GUI شوید و به System > Settings بروید.
  2. در بخش Backup and Restore، روی Backup کلیک کنید.
  3. Local را برای ذخیره بکاپ در رایانه خود انتخاب کنید.
  4. نوع بکاپ (Full Configuration یا Partial Configuration) را انتخاب کنید.
  5. روی OK کلیک کنید و فایل بکاپ در سیستم شما ذخیره می‌شود.

بازیابی (Restore):

  1. به System > Settings بروید.
  2. در بخش Backup and Restore، روی Restore کلیک کنید.
  3. فایل بکاپ را از سیستم خود انتخاب کنید.
  4. تأیید کنید و منتظر بمانید تا فورتی‌گیت ریستارت شود و تنظیمات بازیابی شوند.

نکات رفع مشکل:

  • اطمینان حاصل کنید که ورژن FortiOS فایل بکاپ با نسخه فعلی سازگار است.
  • قبل از بازیابی، از تنظیمات فعلی بکاپ بگیرید تا در صورت بروز مشکل، امکان بازگشت وجود داشته باشد.
  • اگر بعد از بازیابی، فورتی‌گیت به‌درستی بوت نشد، از CLI برای بارگذاری تنظیمات پیش‌فرض استفاده کنید:
exec factoryreset

۸. چرا SSL VPN در فورتی‌گیت کار نمی‌کند؟

این مشکل ممکن است به دلایل مختلفی رخ دهد:

  • پورت‌های مسدود شده: اطمینان حاصل کنید که پورت ۴۴۳ (HTTPS) برای SSL VPN باز است.
  • خطای گواهینامه (Certificate): اگر از گواهینامه خودامضا استفاده می‌کنید، ممکن است مرورگر یا کلاینت VPN به‌دلیل عدم اعتماد به گواهینامه اتصال را مسدود کند.
  • Policyهای نامناسب: مطمئن شوید Policyهای لازم برای ترافیک SSL VPN تنظیم شده باشند.
  • احراز هویت نادرست: از تنظیمات صحیح در User & Device > Authentication اطمینان حاصل کنید.

نکات رفع مشکل:

  • از دستورات CLI برای بررسی وضعیت SSL VPN استفاده کنید:
diagnose debug application sslvpn -1
diagnose debug enable
  • Logهای SSL VPN را در Log & Report بررسی کنید تا جزئیات خطاها را مشاهده کنید.
  • اگر از FortiClient استفاده می‌کنید، مطمئن شوید که نسخه آن با FortiOS سازگار است.

۹. چرا ترافیک خاصی از فایروال عبور نمی‌کند؟

دلایل احتمالی:

  • Policyهای نامناسب: بررسی کنید که Policyها به‌درستی تنظیم شده باشند و ترتیب آنها صحیح باشد.
  • Application Control یا Web Filter: ممکن است این ویژگی‌ها ترافیک را مسدود کرده باشند.
  • NAT اشتباه: اطمینان حاصل کنید که NAT برای ترافیک خروجی یا ورودی به‌درستی تنظیم شده است.
  • Routing اشتباه: بررسی کنید که Static Route یا Policy Route به‌درستی تنظیم شده باشند.

نکات رفع مشکل:

  • از Packet Capture برای مشاهده ترافیک در اینترفیس‌ها استفاده کنید:
diagnose sniffer packet any 'host <IP-Address>' 4
  • از Log & Report > Traffic Log برای بررسی دلایل مسدود شدن ترافیک استفاده کنید.
  • ترتیب Policyها را بررسی کنید؛ Policyهای خاص باید قبل از Policyهای عمومی قرار بگیرند.

۱۰. چگونه مشکل مصرف بالای CPU یا RAM را در فورتی‌گیت حل کنم؟

دلایل احتمالی:

  • تنظیمات نامناسب در IPS یا Deep Packet Inspection (DPI): بررسی کنید که IPS و DPI فقط برای Policyهای ضروری فعال باشند.
  • لوپ در شبکه: مطمئن شوید که لوپ در توپولوژی شبکه وجود ندارد.
  • ترافیک غیرمعمول یا حملات DDoS: از Log & Report برای شناسایی ترافیک غیرعادی استفاده کنید.
  • فایل‌های لاگ حجیم: لاگ‌های زیاد می‌توانند RAM را اشغال کنند.

نکات رفع مشکل:

  • از CLI برای بررسی مصرف CPU و RAM استفاده کنید:
diagnose sys top
diagnose hardware deviceinfo memory
  • در صورت مشاهده مصرف غیرعادی، سرویس‌های غیرضروری را غیرفعال کنید:
diagnose sys kill 9 <PID>
  • Firmware را به‌روز کنید، زیرا ممکن است مشکل مصرف منابع به‌دلیل باگ‌های نرم‌افزاری باشد.

۱۱. چگونه لاگ‌ها را به سرور Syslog ارسال کنم؟

برای ارسال لاگ‌ها به سرور Syslog:

  1. به Log & Report > Log Settings بروید.
  2. Remote Logging را فعال کنید و آدرس Syslog Server را وارد کنید.
  3. پروتکل (UDP یا TCP) و پورت (پیش‌فرض ۵۱۴) را تنظیم کنید.
  4. نوع لاگ‌هایی که می‌خواهید ارسال کنید را انتخاب کنید (مانند Traffic، Event، و …)
  5. تنظیمات را ذخیره کنید.

نکات رفع مشکل:

  • اطمینان حاصل کنید که ترافیک به سمت پورت Syslog توسط Policyهای فایروال مسدود نشده باشد.
  • از CLI برای بررسی وضعیت ارسال لاگ استفاده کنید:
diagnose log test
  • بررسی کنید که سرور Syslog به‌درستی پیکربندی شده و آماده دریافت لاگ‌ها است.

۱۲. چگونه فیلتر وب (Web Filter) را در فورتی‌گیت پیکربندی کنم؟

فیلتر وب در فورتی‌گیت به شما امکان می‌دهد دسترسی به وب‌سایت‌ها را براساس دسته‌بندی یا URL مشخص کنترل کنید. این ویژگی به‌خصوص برای کنترل والدین، سازمان‌ها و مدارس مفید است.

مراحل پیکربندی:

  1. به Security Profiles > Web Filter بروید.
  2. روی Create New کلیک کنید و یک پروفایل جدید بسازید.
  3. فیلتر دسته‌بندی (Category Filtering):
    • دسته‌بندی‌های مختلف وب‌سایت‌ها را مشاهده می‌کنید.
    • می‌توانید هر دسته را روی Allow (اجازه)، Block (مسدود) یا Monitor (مانیتور) تنظیم کنید.
  4. فیلتر URL:
    • در بخش Static URL Filter، می‌توانید URLهای خاصی را وارد کنید و وضعیت آنها را روی Allow یا Block تنظیم کنید.
  5. پروفایل را ذخیره کنید.
  6. به Policy & Objects > IPv4 Policy بروید و پروفایل Web Filter را به Policy موردنظر اضافه کنید.

نکات رفع مشکل:

  • اطمینان حاصل کنید که DNS Filter به‌درستی تنظیم شده تا درخواست‌های URL به‌درستی بررسی شوند.
  • Log & Report > Web Filter Log را بررسی کنید تا ببینید کدام وب‌سایت‌ها مسدود یا مجاز شده‌اند.
  • اگر سایت‌هایی که باید باز شوند مسدود شده‌اند، ممکن است در Caching مرورگر یا DNS مشکل وجود داشته باشد.

۱۳. چگونه Application Control را پیکربندی کنم؟

Application Control به شما این امکان را می‌دهد که برنامه‌های خاصی مانند شبکه‌های اجتماعی، پیام‌رسان‌ها یا نرم‌افزارهای اشتراک فایل را مسدود یا مجاز کنید.

مراحل پیکربندی:

  1. به Security Profiles > Application Control بروید.
  2. روی Create New کلیک کنید و یک پروفایل جدید بسازید.
  3. در بخش Application Overrides:
    • برنامه‌های موردنظر را انتخاب کنید (مانند WhatsApp، Facebook، یا YouTube).
    • می‌توانید Allow، Block یا Monitor را برای هر برنامه تنظیم کنید.
  4. پروفایل را ذخیره کنید.
  5. به Policy & Objects > IPv4 Policy بروید و پروفایل Application Control را به Policy مربوطه اختصاص دهید.

نکات رفع مشکل:

  • مطمئن شوید که Deep Packet Inspection (DPI) در Policy فعال است.
  • اگر برنامه‌ای به‌درستی مسدود یا شناسایی نمی‌شود، از SSL Inspection استفاده کنید.
  • از Log & Report > Application Control Log برای مشاهده گزارشات استفاده کنید.

۱۴. چگونه FortiAnalyzer را به فورتی‌گیت متصل کنم؟

FortiAnalyzer یک پلتفرم مدیریت لاگ و گزارش‌گیری است که به شما کمک می‌کند لاگ‌ها را مرکزی‌سازی و تحلیل کنید.

مراحل پیکربندی:

  1. به Log & Report > Log Settings بروید.
  2. در بخش Remote Logging and Archiving، گزینه Send Logs to FortiAnalyzer را فعال کنید.
  3. آدرس IP FortiAnalyzer را وارد کنید.
  4. Port (پیش‌فرض ۵۱۴) و پروتکل (UDP یا TCP) را انتخاب کنید.
  5. Log Typeهایی که می‌خواهید ارسال کنید را انتخاب کنید.
  6. تنظیمات را ذخیره کنید.

نکات رفع مشکل:

  • اطمینان حاصل کنید که Policyهای فایروال اجازه ارسال لاگ‌ها به FortiAnalyzer را می‌دهند.
  • از CLI برای بررسی وضعیت اتصال استفاده کنید:
diagnose test application logd 4
  • مطمئن شوید که FortiAnalyzer دارای Disk Space کافی برای ذخیره لاگ‌ها است.

۱۵. چگونه از حملات DDoS در فورتی‌گیت جلوگیری کنم؟

فورتی‌گیت قابلیت‌های قدرتمندی برای شناسایی و جلوگیری از حملات DDoS دارد.

مراحل پیکربندی:

  1. به Policy & Objects > IPv4 DoS Policy بروید.
  2. روی Create New کلیک کنید.
  3. Interface و Source/Destination را مشخص کنید.
  4. نوع حمله DDoS را انتخاب کنید:
    • SYN Flood
    • UDP Flood
    • ICMP Flood
    • DNS Amplification
  5. Threshold مناسب را تنظیم کنید.
  6. Policy را ذخیره کنید.

نکات رفع مشکل:

  • اگر ترافیک قانونی مسدود شد، Threshold را بازبینی و تنظیم کنید.
  • از Log & Report > DoS Log برای مشاهده حملات شناسایی شده استفاده کنید.
  • می‌توانید از CLI برای مشاهده آمار حملات استفاده کنید:
diagnose ddos status

۱۶. چگونه Firmware فورتی‌گیت را Downgrade کنم؟

اگر پس از ارتقاء Firmware با مشکلاتی مواجه شدید، می‌توانید آن را به نسخه قبلی Downgrade کنید.

مراحل Downgrade:

  1. بکاپ از تنظیمات فعلی بگیرید.
  2. Firmware نسخه قبلی را از وب‌سایت Fortinet دانلود کنید.
  3. به System > Firmware در Web GUI بروید.
  4. روی Upload Firmware کلیک کنید و فایل دانلود شده را انتخاب کنید.
  5. پس از آپلود، روی Downgrade کلیک کنید.
  6. منتظر بمانید تا فایروال ریستارت و نسخه قبلی نصب شود.

نکات رفع مشکل:

  • اطمینان حاصل کنید که تنظیمات پیکربندی با نسخه قبلی سازگار هستند.
  • اگر بعد از Downgrade مشکلی پیش آمد، می‌توانید از بکاپ تنظیمات قبلی استفاده کنید.
  • در صورت بروز مشکل بوت، از کنسول CLI برای Factory Reset استفاده کنید.

۱۷. چگونه SSL Inspection را در فورتی‌گیت پیکربندی کنم؟

SSL Inspection به فورتی‌گیت امکان می‌دهد ترافیک رمزنگاری شده SSL/TLS را بررسی کند تا از عبور محتوای مخرب جلوگیری شود.

مراحل پیکربندی:

  1. به Security Profiles > SSL/SSH Inspection بروید.
  2. روی Create New کلیک کنید و یک پروفایل جدید بسازید.
  3. Deep Inspection را انتخاب کنید تا ترافیک رمزنگاری شده بررسی شود.
  4. Certificate مناسب را انتخاب کنید. اگر از گواهینامه پیش‌فرض استفاده می‌کنید، باید آن را روی سیستم‌های کاربران نصب و Trust کنید.
  5. پروفایل را ذخیره کنید.
  6. به Policy & Objects > IPv4 Policy بروید و پروفایل SSL Inspection را به Policy مربوطه اختصاص دهید.

نکات رفع مشکل:

  • اگر کاربران با خطای Certificate مواجه شدند، بررسی کنید که گواهینامه روی سیستم‌ها به‌درستی نصب و Trust شده باشد.
  • اگر برخی وب‌سایت‌ها به‌درستی بارگذاری نمی‌شوند، می‌توانید آنها را در Exempt List قرار دهید.
  • از Log & Report > SSL Log برای مشاهده مشکلات SSL استفاده کنید.

۱۸. چگونه FortiToken را برای احراز هویت دوعاملی پیکربندی کنم؟

FortiToken یکی از راهکارهای احراز هویت دوعاملی (2FA) است که امنیت بیشتری برای دسترسی به شبکه فراهم می‌کند.

مراحل پیکربندی:

  1. به User & Device > FortiTokens بروید.
  2. روی Create New کلیک کنید و سریال FortiToken را وارد کنید.
  3. به User & Device > User Definition بروید و کاربر موردنظر را انتخاب کنید.
  4. Two-Factor Authentication را فعال کنید و FortiToken مربوطه را انتخاب کنید.
  5. در Policy & Objects > IPv4 Policy، Policy مربوطه را تنظیم کنید تا احراز هویت دوعاملی الزامی شود.

نکات رفع مشکل:

  • اگر کاربران در ورود دچار مشکل شدند، زمان (Time Sync) سیستم‌ها را بررسی کنید؛ زمان باید با FortiGate همگام باشد.
  • در صورت گم شدن یا عدم دسترسی به FortiToken، می‌توانید از Backup Token Code استفاده کنید.
  • از Log & Report > Event Log برای مشاهده وضعیت احراز هویت استفاده کنید.

۱۹. چگونه IPS (سیستم تشخیص و جلوگیری از نفوذ) را در فورتی‌گیت پیکربندی کنم؟

IPS در فورتی‌گیت به شما کمک می‌کند تا تهدیدات و حملات شبکه را شناسایی و مسدود کنید.

مراحل پیکربندی:

  1. به Security Profiles > Intrusion Prevention بروید.
  2. روی Create New کلیک کنید و یک پروفایل جدید بسازید.
  3. Signatureهای موردنظر را انتخاب کنید:
    • می‌توانید براساس نوع حمله (مثل SQL Injection، XSS) یا سرویس (مانند HTTP، DNS) Signatureها را انتخاب کنید.
    • حالت Detect برای شناسایی و حالت Block برای مسدود کردن استفاده می‌شود.
  4. پروفایل را ذخیره کنید.
  5. به Policy & Objects > IPv4 Policy بروید و پروفایل IPS را به Policy مربوطه اختصاص دهید.

نکات رفع مشکل:

  • اگر هشدارهای کاذب (False Positive) دریافت می‌کنید، Signature مربوطه را در حالت Monitor قرار دهید.
  • Log & Report > Intrusion Log را برای مشاهده تهدیدات و اقدامات بررسی کنید.
  • برای بهبود دقت، به‌روزرسانی Signatureها را به‌طور منظم انجام دهید.

۲۰. چگونه VPN IPsec را در فورتی‌گیت پیکربندی کنم؟

IPsec VPN به کاربران امکان می‌دهد به‌طور ایمن از راه دور به شبکه داخلی متصل شوند.

مراحل پیکربندی:

  1. به VPN > IPsec Tunnels بروید.
  2. روی Create New کلیک کنید و از Wizard برای راه‌اندازی سریع استفاده کنید.
  3. Template مناسب را انتخاب کنید (مانند Site-to-Site یا Remote Access).
  4. Remote Gateway و Local Interface را تنظیم کنید.
  5. Authentication Method (مانند Pre-shared Key یا Certificate) را انتخاب کنید.
  6. Phase 1 و Phase 2 را پیکربندی کنید.
  7. تنظیمات را ذخیره و VPN را فعال کنید.

نکات رفع مشکل:

  • اگر VPN برقرار نشد، از Log & Report > Event Log برای مشاهده علت استفاده کنید.
  • از CLI برای بررسی وضعیت VPN استفاده کنید:
diagnose vpn tunnel list
  • مطمئن شوید که پورت‌های موردنیاز (مانند UDP 500 و UDP 4500) در فایروال باز هستند.

۲۱. چگونه Firmware فورتی‌گیت را به‌روز کنم؟

به‌روزرسانی Firmware باعث بهبود امنیت، عملکرد و اضافه شدن ویژگی‌های جدید می‌شود.

مراحل به‌روزرسانی:

  1. بکاپ از تنظیمات فعلی بگیرید.
  2. به System > Firmware در Web GUI بروید.
  3. روی Upload Firmware کلیک کنید و فایل Firmware جدید را انتخاب کنید.
  4. پس از آپلود، روی Upgrade کلیک کنید.
  5. فورتی‌گیت ریستارت شده و Firmware جدید نصب می‌شود.

نکات رفع مشکل:

  • مطمئن شوید ورژن جدید با تنظیمات فعلی سازگار است.
  • اگر بعد از به‌روزرسانی مشکلی پیش آمد، می‌توانید بکاپ تنظیمات را بازیابی کنید.
  • در صورت بروز مشکل بوت، از کنسول CLI برای Downgrade یا Factory Reset استفاده کنید.

۲۲. چگونه Virtual Server را در فورتی‌گیت پیکربندی کنم؟

Virtual Server در فورتی‌گیت به شما امکان می‌دهد ترافیک ورودی را به چندین سرور داخلی هدایت کنید. این ویژگی به‌ویژه برای Load Balancing و دسترسی از راه دور مفید است.

مراحل پیکربندی:

  1. به Policy & Objects > Virtual IPs بروید.
  2. روی Create New کلیک کنید و Virtual Server را انتخاب کنید.
  3. External IP را وارد کنید (آی‌پی عمومی که کاربران از آن استفاده می‌کنند).
  4. Mapped IP یا Internal Server IP را وارد کنید (آی‌پی سرور داخلی).
  5. Port Forwarding را فعال کنید و پورت‌های موردنیاز (مانند HTTP: ۸۰ یا HTTPS: ۴۴۳) را تنظیم کنید.
  6. به Policy & Objects > IPv4 Policy بروید و Policy جدیدی برای اجازه دادن به ترافیک به Virtual Server ایجاد کنید.
  7. Policy را ذخیره کنید.

نکات رفع مشکل:

  • اطمینان حاصل کنید که Policy فایروال اجازه ترافیک به Virtual Server را می‌دهد.
  • اگر درخواست‌ها به درستی به سرور داخلی هدایت نمی‌شوند، Port Forwarding و NAT را بررسی کنید.
  • از CLI برای مشاهده وضعیت Virtual Server استفاده کنید:
diagnose firewall vip list

۲۳. چگونه HA (High Availability) را در فورتی‌گیت پیکربندی کنم؟

HA (دسترس‌پذیری بالا) به شما امکان می‌دهد دو یا چند دستگاه فورتی‌گیت را به‌صورت Active-Active یا Active-Passive پیکربندی کنید تا پایداری و تداوم سرویس تضمین شود.

مراحل پیکربندی:

  1. اتصالات فیزیکی:
    • دو یا چند دستگاه فورتی‌گیت را از طریق پورت‌های HA (مانند Port3 یا Port4) به هم متصل کنید.
  2. به System > HA بروید.
  3. Mode را روی Active-Passive یا Active-Active تنظیم کنید.
  4. Device Priority را برای Master و Slave تعیین کنید (عدد کمتر، اولویت بیشتر).
  5. Group Name و Group ID را یکسان برای تمام دستگاه‌ها وارد کنید.
  6. HA Heartbeat را روی پورت‌های متصل شده تنظیم کنید.
  7. Configuration Sync را فعال کنید تا تنظیمات به‌طور خودکار بین دستگاه‌ها همگام‌سازی شود.
  8. تنظیمات را ذخیره و دستگاه‌ها را ریستارت کنید.

نکات رفع مشکل:

  • اطمینان حاصل کنید که پورت‌های HA در Policyهای فایروال مسدود نشده باشند.
  • اگر Sync تنظیمات انجام نمی‌شود، Group Name و Group ID را بررسی کنید.
  • از CLI برای بررسی وضعیت HA استفاده کنید:
diagnose sys ha status

۲۴. چگونه IP Reputation را در فورتی‌گیت فعال کنم؟

IP Reputation به فورتی‌گیت اجازه می‌دهد ترافیک مخرب را براساس لیست سیاه آی‌پی‌ها مسدود کند. این ویژگی به شناسایی و مسدود کردن حملات Botnet و DDoS کمک می‌کند.

مراحل پیکربندی:

  1. به Security Profiles > DNS Filter بروید.
  2. FortiGuard Category Based Filter را فعال کنید.
  3. IP Reputation را انتخاب کنید و تنظیمات زیر را انجام دهید:
    • High Risk، Medium Risk، و Low Risk را براساس نیاز خود روی Block یا Allow تنظیم کنید.
  4. پروفایل را ذخیره کنید.
  5. به Policy & Objects > IPv4 Policy بروید و این پروفایل را به Policy مربوطه اختصاص دهید.

نکات رفع مشکل:

  • اگر ترافیک قانونی مسدود شد، Log & Report > Web Filter Log را بررسی کنید.
  • در صورت لزوم، آی‌پی‌های مشخصی را به‌صورت Whitelist اضافه کنید.
  • برای بررسی وضعیت IP Reputation از CLI استفاده کنید:
diagnose ips reputation list

۲۵. چگونه Session Timeout را در فورتی‌گیت تنظیم کنم؟

Session Timeout مدت زمانی را تعیین می‌کند که یک ارتباط (Connection) غیرفعال باز می‌ماند. تنظیم درست آن باعث بهبود امنیت و عملکرد شبکه می‌شود.

مراحل تنظیم:

  1. به System > Settings بروید.
  2. Session TTL (Time To Live) را براساس نیاز خود تنظیم کنید.
    • به‌طور پیش‌فرض، TCP: ۳۶۰۰ ثانیه و UDP: ۳۰۰ ثانیه تنظیم شده است.
  3. تنظیمات را ذخیره کنید.

تنظیم از طریق CLI:
برای تنظیم Session Timeout برای یک پورت یا پروتکل خاص:

config system session-ttl
edit <Port_Number>
set default <Time_in_Seconds>
next
end

نکات رفع مشکل:

  • اگر اتصالات قانونی به‌طور ناگهانی قطع می‌شوند، Session TTL را افزایش دهید.
  • از CLI برای مشاهده Sessionهای فعال استفاده کنید:
diagnose sys session list

۲۶. چگونه Log و گزارش‌ها را در فورتی‌گیت مدیریت کنم؟

مدیریت Logها در فورتی‌گیت به شما امکان می‌دهد رویدادها، حملات و دسترسی‌ها را مانیتور و تحلیل کنید. این اطلاعات برای عیب‌یابی، بررسی‌های امنیتی و انطباق با استانداردها بسیار مفید هستند.

مراحل پیکربندی:

  1. به Log & Report > Log Settings بروید.
  2. Logging Destination را انتخاب کنید:
    • Memory: برای مشاهده Logها در Web GUI (موقت و محدود).
    • Disk: در دستگاه‌های دارای حافظه داخلی.
    • FortiAnalyzer یا Syslog: برای ذخیره و تحلیل Logها در سرورهای خارجی.
  3. Log Levels را تنظیم کنید (Information، Warning، Critical).
  4. Log Rolling و Retention را تنظیم کنید تا حجم Logها مدیریت شود.
  5. تنظیمات را ذخیره کنید.

مشاهده Logها:

  • از Log & Report > Forward Traffic Log، Event Log، Security Log برای مشاهده و تحلیل استفاده کنید.
  • در FortiView می‌توانید نمای گرافیکی از ترافیک و تهدیدات مشاهده کنید.

نکات رفع مشکل:

  • اگر Logها نمایش داده نمی‌شوند، اتصال به FortiAnalyzer یا Syslog را بررسی کنید.
  • مطمئن شوید Policyهای فایروال دارای گزینه Log Allowed Traffic هستند.
  • از CLI برای بررسی تنظیمات Log استفاده کنید:
diagnose log setting

27. چگونه Botnet Protection را فعال کنم؟

Botnet Protection به شما امکان می‌دهد اتصالات به سرورهای Botnet را شناسایی و مسدود کنید. این ویژگی به‌ویژه در مقابله با حملات DDoS و بدافزارها موثر است.

مراحل پیکربندی:

  1. به Security Profiles > DNS Filter بروید.
  2. Botnet C&C Database را فعال کنید.
  3. Action را روی Block تنظیم کنید.
  4. پروفایل را ذخیره کنید.
  5. به Policy & Objects > IPv4 Policy بروید و این پروفایل را به Policy مربوطه اختصاص دهید.

نکات رفع مشکل:

  • اگر ترافیک قانونی مسدود می‌شود، آی‌پی‌های مشخص را در Whitelist قرار دهید.
  • از Log & Report > DNS Filter Log برای مشاهده و تحلیل اتصالات مشکوک استفاده کنید.
  • برای بررسی وضعیت Botnet Protection از CLI استفاده کنید:
diagnose dns filter list

28. چگونه URL Rewrite را در فورتی‌گیت پیکربندی کنم؟

URL Rewrite به شما امکان می‌دهد URLهای خاص را تغییر مسیر (Redirect) یا تغییر (Rewrite) دهید. این ویژگی به‌ویژه برای بهینه‌سازی SEO یا مسدودسازی URLهای مخرب کاربرد دارد.

مراحل پیکربندی:

  1. به Security Profiles > Web Filter بروید.
  2. URL Rewrite را فعال کنید.
  3. URL Pattern موردنظر و Rewrite URL را وارد کنید.
  4. پروفایل را ذخیره کنید.
  5. به Policy & Objects > IPv4 Policy بروید و این پروفایل را به Policy مربوطه اختصاص دهید.

نکات رفع مشکل:

  • اگر URL Rewrite به‌درستی عمل نمی‌کند، ترتیب Policyها را بررسی کنید.
  • از Log & Report > Web Filter Log برای مشاهده تغییر مسیرها استفاده کنید.
  • برای بررسی وضعیت URL Rewrite از CLI استفاده کنید:
diagnose webfilter url-rewrite list

29. چگونه Load Balancing را در فورتی‌گیت پیکربندی کنم؟

Load Balancing به شما امکان می‌دهد ترافیک ورودی را بین چندین سرور توزیع کنید تا کارایی و دسترس‌پذیری سرویس‌ها افزایش یابد. این ویژگی به‌خصوص برای وب‌سرورها، سرورهای ایمیل و اپلیکیشن‌ها بسیار مفید است.

مراحل پیکربندی:

  1. به Policy & Objects > Virtual IPs بروید.
  2. روی Create New کلیک کنید و Server Load Balance را انتخاب کنید.
  3. External IP را وارد کنید (آی‌پی عمومی که کاربران از آن استفاده می‌کنند).
  4. Load Balance Method را انتخاب کنید:
    • Round Robin: توزیع مساوی بین سرورها.
    • Least Connection: ترافیک به سروری با کمترین اتصال فعال ارسال می‌شود.
    • Weighted Round Robin: براساس وزن (Weight) هر سرور.
  5. Real Servers را اضافه کنید:
    • آی‌پی سرورهای داخلی و پورت‌های مرتبط را وارد کنید.
    • Health Check را فعال کنید تا فورتی‌گیت به‌طور خودکار سلامت سرورها را بررسی کند.
  6. به Policy & Objects > IPv4 Policy بروید و یک Policy برای اجازه دادن به ترافیک ورودی به Virtual Server ایجاد کنید.
  7. تنظیمات را ذخیره کنید.

نکات رفع مشکل:

  • اگر درخواست‌ها به‌درستی توزیع نمی‌شوند، Load Balance Method را تغییر دهید.
  • در صورت عدم دسترسی به سرورها، Health Check و Policyهای فایروال را بررسی کنید.
  • از CLI برای مشاهده وضعیت Load Balancing استفاده کنید:
diagnose load-balance status

30. چگونه SSL VPN را در فورتی‌گیت پیکربندی کنم؟

SSL VPN به کاربران امکان می‌دهد از راه دور و به‌طور امن به شبکه داخلی متصل شوند. این نوع VPN برای دسترسی به منابع داخلی از طریق مرورگر یا FortiClient بسیار مناسب است.

مراحل پیکربندی:

  1. به VPN > SSL-VPN Settings بروید.
  2. Listen on Interface را انتخاب کنید (معمولاً WAN).
  3. Server Certificate را تنظیم کنید (برای SSL امن).
  4. Authentication/Portal Mapping را برای دسترسی کاربران به Portalهای مختلف تنظیم کنید.
  5. IP Pool را برای اختصاص آی‌پی به کاربران متصل پیکربندی کنید.
  6. به User & Device > User Groups بروید و یک گروه برای کاربران SSL VPN ایجاد کنید.
  7. به Policy & Objects > IPv4 Policy بروید و یک Policy برای اجازه دسترسی از SSL VPN به منابع داخلی ایجاد کنید.
  8. تنظیمات را ذخیره کنید.

نکات رفع مشکل:

  • اگر کاربران نمی‌توانند متصل شوند، Certificate و تنظیمات احراز هویت را بررسی کنید.
  • در صورت مشکل در دسترسی به منابع داخلی، Policyهای فایروال و Routing را چک کنید.
  • برای مشاهده وضعیت SSL VPN از CLI استفاده کنید:
diagnose vpn ssl monitor

31. چگونه IPsec VPN را در فورتی‌گیت پیکربندی کنم؟

IPsec VPN برای اتصال امن بین دو سایت (Site-to-Site) یا دسترسی کاربران از راه دور (Remote Access) استفاده می‌شود. این نوع VPN از رمزنگاری قوی برای امنیت ترافیک بهره می‌برد.

مراحل پیکربندی:

  1. به VPN > IPsec Wizard بروید.
  2. Type را انتخاب کنید:
    • Site to Site برای اتصال بین دو فورتی‌گیت یا یک فورتی‌گیت و یک دستگاه دیگر.
    • Remote Access برای کاربران راه دور.
  3. Template Type را انتخاب کنید (مانند Cisco یا FortiGate).
  4. Remote Gateway و Pre-shared Key را تنظیم کنید.
  5. Phase 1 و Phase 2 را با رمزنگاری (Encryption) و احراز هویت (Authentication) مناسب پیکربندی کنید.
  6. Quick Mode Selectors را تنظیم کنید تا ترافیک مشخصی از طریق VPN منتقل شود.
  7. به Policy & Objects > IPv4 Policy بروید و یک Policy برای اجازه دادن به ترافیک VPN ایجاد کنید.
  8. تنظیمات را ذخیره کنید.

نکات رفع مشکل:

  • اگر VPN متصل نمی‌شود، Pre-shared Key، Phase 1 و Phase 2 را بررسی کنید.
  • از CLI برای مشاهده وضعیت IPsec VPN استفاده کنید:
diagnose vpn ike gateway list
diagnose vpn tunnel list

32. چگونه Two-Factor Authentication (2FA) را فعال کنم؟

Two-Factor Authentication (2FA) امنیت دسترسی به فورتی‌گیت، SSL VPN، و IPsec VPN را با استفاده از رمز یکبار مصرف (OTP) افزایش می‌دهد.

مراحل پیکربندی:

  1. به User & Device > User Definition بروید و یک کاربر جدید ایجاد کنید یا کاربر موجود را ویرایش کنید.
  2. Enable Two-Factor Authentication را فعال کنید.
  3. Type را روی Email یا FortiToken تنظیم کنید.
  4. اگر از FortiToken استفاده می‌کنید:
    • به User & Device > FortiToken بروید و Serial Number را وارد کنید.
  5. اگر از Email استفاده می‌کنید:
    • به System > Settings بروید و Email Server را پیکربندی کنید.
  6. به User & Device > User Groups بروید و این کاربر را به گروه مربوطه اضافه کنید.
  7. به Policy & Objects > IPv4 Policy بروید و در Policy مربوطه احراز هویت را تنظیم کنید.

نکات رفع مشکل:

  • اگر کاربران OTP دریافت نمی‌کنند، Email Server یا FortiToken را بررسی کنید.
  • در صورت خطای Authentication Failed، زمان تنظیم شده در دستگاه کاربر و فورتی‌گیت را همگام‌سازی کنید.
  • از CLI برای مشاهده وضعیت 2FA استفاده کنید:
diagnose auth 2fa list

32. چگونه SD-WAN را در فورتی‌گیت پیکربندی کنم؟

SD-WAN (Software-Defined Wide Area Network) به شما امکان می‌دهد ترافیک شبکه را بین چندین لینک اینترنتی یا MPLS به‌طور هوشمند توزیع کنید. این ویژگی باعث افزایش پهنای باند، بهبود عملکرد و کاهش هزینه‌ها می‌شود.

مراحل پیکربندی:

  1. به Network > SD-WAN بروید.
  2. روی Create New کلیک کنید و Interfaces را انتخاب کنید:
    • WAN1، WAN2 یا MPLS را به SD-WAN اضافه کنید.
  3. در SD-WAN Rules، Performance SLA را تعریف کنید تا فورتی‌گیت بتواند کیفیت لینک‌ها را اندازه‌گیری کند.
    • Latency، Jitter و Packet Loss را برای هر لینک تنظیم کنید.
  4. Load Balancing Algorithm را انتخاب کنید:
    • Volume Based: ترافیک براساس حجم مصرفی توزیع می‌شود.
    • Sessions Based: توزیع براساس تعداد جلسات فعال.
    • Best Quality: براساس بهترین کیفیت لینک (Latency و Jitter).
  5. به Policy & Objects > IPv4 Policy بروید و SD-WAN را به عنوان Interface خروجی انتخاب کنید.
  6. تنظیمات را ذخیره کنید.

نکات رفع مشکل:

  • اگر ترافیک به‌درستی توزیع نمی‌شود، SD-WAN Rules و SLA را بررسی کنید.
  • از CLI برای مشاهده وضعیت SD-WAN استفاده کنید:
diagnose sdwan health-check
diagnose sdwan route-list

33. چگونه Antivirus را در فورتی‌گیت پیکربندی کنم؟

Antivirus به شما امکان می‌دهد بدافزارها، ویروس‌ها و فایل‌های مخرب را شناسایی و مسدود کنید. این ویژگی به‌خصوص برای ایمیل‌ها، وب‌سایت‌ها و دانلودها بسیار مهم است.

مراحل پیکربندی:

  1. به Security Profiles > AntiVirus بروید.
  2. روی Create New کلیک کنید و یک پروفایل جدید ایجاد کنید.
  3. Inspection Mode را انتخاب کنید:
    • Flow-based: عملکرد سریع‌تر اما با دقت کمتر.
    • Proxy-based: دقت بالاتر اما با کمی تأخیر.
  4. Action را روی Block یا Monitor تنظیم کنید.
  5. File Pattern و File Size Limit را برای اسکن تنظیم کنید.
  6. پروفایل را ذخیره کنید.
  7. به Policy & Objects > IPv4 Policy بروید و این پروفایل را به Policy مربوطه اختصاص دهید.

نکات رفع مشکل:

  • اگر بدافزارها شناسایی نمی‌شوند، پایگاه داده ویروس‌ها را به‌روز کنید:
execute update-now
  • از Log & Report > AntiVirus Log برای مشاهده لاگ‌ها استفاده کنید.
  • از CLI برای بررسی وضعیت آنتی‌ویروس استفاده کنید:
diagnose anti-virus list

34. چگونه High Availability (HA) را در فورتی‌گیت پیکربندی کنم؟

High Availability (HA) به شما امکان می‌دهد دو یا چند فورتی‌گیت را برای افزایش پایداری و دسترس‌پذیری شبکه به‌صورت Active-Passive یا Active-Active پیکربندی کنید.

مراحل پیکربندی:

  1. به System > HA بروید.
  2. Mode را انتخاب کنید:
    • Active-Passive: یکی از دستگاه‌ها فعال و دیگری آماده به‌کار.
    • Active-Active: همه دستگاه‌ها به‌طور هم‌زمان ترافیک را مدیریت می‌کنند.
  3. Device Priority را تنظیم کنید (عدد کمتر، اولویت بالاتر).
  4. Group Name و Password را وارد کنید تا دستگاه‌ها با یکدیگر همگام‌سازی (Sync) شوند.
  5. Heartbeat Interfaces را انتخاب کنید (اینترفیس‌هایی که برای چک کردن وضعیت دستگاه‌ها استفاده می‌شوند).
  6. Session Sync را فعال کنید تا اتصالات فعال هنگام سوئیچ بین دستگاه‌ها قطع نشوند.
  7. تنظیمات را ذخیره کنید و دستگاه‌ها را Restart کنید.

نکات رفع مشکل:

  • اگر HA به‌درستی کار نمی‌کند، Group Name، Password و Priority را در هر دو دستگاه بررسی کنید.
  • مطمئن شوید Heartbeat Interfaces به‌درستی متصل و Pingable هستند.
  • از CLI برای مشاهده وضعیت HA استفاده کنید:
get system ha status
diagnose sys ha status

35. چگونه DLP (Data Loss Prevention) را در فورتی‌گیت پیکربندی کنم؟

DLP (Data Loss Prevention) به شما امکان می‌دهد داده‌های حساس مانند اطلاعات مالی یا شخصی را شناسایی و از نشت (Leakage) آنها جلوگیری کنید.

مراحل پیکربندی:

  1. به Security Profiles > DLP Sensor بروید.
  2. روی Create New کلیک کنید و یک سنسور جدید بسازید.
  3. Filters را براساس کلمات کلیدی، نوع فایل یا الگوهای داده (مثل شماره کارت اعتباری) تعریف کنید.
  4. Action را روی Log Only، Block یا Quarantine تنظیم کنید.
  5. پروفایل را ذخیره کنید.
  6. به Policy & Objects > IPv4 Policy بروید و این پروفایل را به Policy مربوطه اختصاص دهید.

نکات رفع مشکل:

  • اگر DLP به‌درستی عمل نمی‌کند، SSL Inspection را فعال کنید تا ترافیک رمزنگاری‌شده بررسی شود.
  • از Log & Report > DLP Log برای مشاهده فعالیت‌های DLP استفاده کنید.
  • برای مشاهده وضعیت DLP از CLI استفاده کنید:
diagnose dlp status
اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید