آموزش گام به گام کانفیگ اولیه FortiGate برای دسترسی به اینترنت و NAT

فایروال‌های Fortinet FortiGate، به ویژه مدل‌های Entry-Level (مانند FortiGate 40F, 60F, 80F)، راهکارهای امنیتی قدرتمند و جامعی را برای کسب‌وکارهای کوچک و متوسط فراهم می‌کنند. کانفیگ اولیه FortiGate برای برقراری دسترسی به اینترنت و راه اندازی NAT در فورتیگیت، یکی از اولین و اساسی‌ترین مراحل در راه‌اندازی این فایروال‌ها است. این راهنمای گام به گام به شما کمک می‌کند تا این تنظیمات اولیه FortiGate را به سرعت و به درستی انجام دهید و شبکه داخلی خود را به دنیای خارج متصل کنید.

مفاهیم پیش‌نیاز و اصطلاحات کلیدی برای پیکربندی اولیه FortiGate

قبل از شروع پیکربندی، آشنایی با مفاهیم و اصطلاحات زیر ضروری است:

• FortiGate: یک فایروال نسل بعدی (Next-Generation Firewall – NGFW) از شرکت Fortinet که قابلیت‌های امنیتی مختلفی مانند فایروال، VPN، IPS، Web Filtering و Antivirus را در یک دستگاه واحد ارائه می‌دهد.
• FortiOS: سیستم‌عامل اختصاصی Fortinet که بر روی دستگاه‌های FortiGate اجرا می‌شود و رابط کاربری و قابلیت‌های امنیتی را فراهم می‌کند.
• اینترفیس (Interface): پورت‌های فیزیکی یا منطقی در FortiGate که برای اتصال به شبکه‌های مختلف (LAN، WAN، DMZ) استفاده می‌شوند.
• WAN (Wide Area Network): شبکه‌ای که FortiGate را به اینترنت (یا شبکه بیرونی) متصل می‌کند. معمولاً پورت WAN در FortiGate به مودم یا روتر ارائه‌دهنده خدمات اینترنت (ISP) متصل می‌شود.
• LAN (Local Area Network): شبکه‌ای که FortiGate را به شبکه داخلی شما (کامپیوترها، سرورها، سوییچ‌ها) متصل می‌کند.
• NAT (Network Address Translation): فرآیندی که آدرس‌های IP خصوصی در شبکه داخلی را به یک یا چند آدرس IP عمومی ترجمه می‌کند تا دستگاه‌های داخلی بتوانند به اینترنت دسترسی پیدا کنند. راه اندازی NAT در فورتیگیت یکی از تنظیمات حیاتی برای اتصال شبکه داخلی به اینترنت است.
  • Source NAT (SNAT) / Overload NAT: رایج‌ترین نوع NAT که در آن چندین آدرس IP خصوصی به یک آدرس IP عمومی ترجمه می‌شوند (معمولاً آدرس IP پورت WAN فایروال). این امکان را به چندین دستگاه داخلی می‌دهد تا از یک IP عمومی مشترک برای دسترسی به اینترنت استفاده کنند. تنظیمات NAT در FortiGate عمدتاً با این نوع شروع می‌شود.
  • Destination NAT (DNAT) / Virtual IP (VIP): برای دسترسی از اینترنت به سرورهای داخلی (مثلاً وب‌سایت یا سرور ایمیل) استفاده می‌شود. در این حالت، ترافیک ورودی به یک آدرس IP عمومی خاص (که روی فایروال پیکربندی شده) به آدرس IP خصوصی سرور داخلی ترجمه می‌شود. این بخش از تنظیمات NAT در FortiGate برای سرویس‌دهی از اینترنت ضروری است.
• Policy (Firewall Policy): مجموعه‌ای از قوانین در فایروال که مشخص می‌کند چه نوع ترافیکی (از کجا به کجا، با چه پروتکلی) مجاز به عبور است و چه اقدامات امنیتی باید روی آن اعمال شود.
• Default Gateway: آدرس IP روتر (معمولاً مودم/روتر ISP) که ترافیک اینترنت را از FortiGate دریافت می‌کند.

پیش‌نیازهای لازم برای کانفیگ اولیه FortiGate:

1. دستگاه FortiGate: فایروال FortiGate شما باید به برق متصل شده و روشن باشد.
2. کابل‌کشی شبکه:
   • پورت WAN فایروال به مودم/روتر ISP متصل باشد.
   • یکی از پورت‌های LAN فایروال به یک کامپیوتر یا سوییچ شبکه داخلی متصل باشد.
3. کامپیوتر مدیریت:
   • یک کامپیوتر با کابل شبکه متصل به پورت LAN فایروال.
   • مرورگر وب (مانند Chrome, Firefox, Edge).
4. اطلاعات شبکه از ISP:
   • آدرس IP عمومی (Static یا DHCP)، Subnet Mask، Default Gateway و DNS سرورهای ارائه شده توسط ISP.
5. دسترسی اولیه به FortiGate:
   • FortiGateهای نو معمولاً دارای آدرس IP پیش‌فرض روی یکی از پورت‌های LAN (معمولاً port1 یا internal) هستند (مثال: 192.168.1.99). مطمئن شوید آدرس IP کامپیوتر شما در همان Subnet قرار دارد (مثال: 192.168.1.100).
   • نام کاربری و رمز عبور پیش‌فرض (معمولاً: نام کاربری admin و بدون رمز عبور یا admin/fortinet).

مراحل گام به گام پیکربندی اولیه FortiGate برای دسترسی به اینترنت و NAT

این فرآیند شامل اتصال اولیه، تغییر رمز عبور، پیکربندی اینترفیس‌های WAN و LAN FortiGate، و ایجاد یک Firewall Policy برای خروج ترافیک به اینترنت است.

گام 1: دسترسی اولیه به FortiGate و تغییر رمز عبور

1. اتصال به FortiGate:
   • اتصال به FortiGate: کامپیوتر خود را با کابل شبکه به یکی از پورت‌های LAN فایروال (معمولاً port1 یا پورت با برچسب internal) متصل کنید. آدرس IP کامپیوتر خود را به صورت دستی در Subnet پیش‌فرض FortiGate تنظیم کنید (مثال: IP: 192.168.1.100، Subnet Mask: 255.255.255.0).
2. ورود به رابط وب FortiGate:
   •  مرورگر وب خود را باز کرده و آدرس IP پیش‌فرض FortiGate را وارد کنید (معمولاً https://192.168.1.99). در صفحه ورود، نام کاربری پیش‌فرض (admin) را وارد کرده و رمز عبور را خالی بگذارید. به محض ورود، سیستم از شما می‌خواهد که رمز عبور جدیدی تنظیم کنید. این یک بخش حیاتی در تنظیمات اولیه FortiGate است.
3. Wizard اولیه (اختیاری):
   • در برخی نسخه‌های FortiOS، ممکن است یک Wizard راه‌اندازی اولیه ظاهر شود. می‌توانید از آن استفاده کنید یا آن را رد کرده و تنظیمات را به صورت دستی انجام دهید. این راهنما فرض می‌کند که تنظیمات را به صورت دستی انجام می‌دهید.

گام 2: کانفیگ اینترفیس WAN در FortiGate

اینترفیس WAN پورت FortiGate است که به اینترنت متصل می‌شود.

1. در رابط وب FortiGate، به Network -> Interfaces بروید. اینترفیس WAN مربوطه را پیدا کرده و روی آن کلیک راست کرده و Edit را انتخاب کنید.(معمولاً port1 یا wan1 در مدل‌های Entry-Level).
2. تنظیمات IP:
   • اگر ISP شما آدرس IP ثابت (Static) فراهم کرده است:
     • Addressing Mode: Manual را انتخاب کنید.
     • IP/Netmask: آدرس IP عمومی و Subnet Mask ارائه شده توسط ISP را وارد کنید (مثال: 203.0.113.2/24).
   • اگر ISP شما آدرس IP دینامیک (DHCP) فراهم کرده است:
     • Addressing Mode: DHCP را انتخاب کنید. FortiGate به طور خودکار آدرس IP را از مودم/روتر ISP دریافت می‌کند.
3. Role: WAN را انتخاب کنید.
4. Administrative Access: اگر می‌خواهید از طریق اینترفیس WAN به FortiGate دسترسی داشته باشید (توصیه نمی‌شود برای امنیت)، سرویس‌های مورد نیاز (مانند HTTPS, PING) را فعال کنید.
5. روی OK کلیک کنید تا تغییرات ذخیره شوند.

گام 3: کانفیگ اینترفیس LAN در FortiGate (Internal)

اینترفیس LAN پورت FortiGate است که به شبکه داخلی شما متصل می‌شود.

1. در Network -> Interfaces، اینترفیس LAN مربوطه را پیدا کرده و Edit کنید. (معمولاً internal یا port1 اگر برای LAN استفاده شود).
2. تنظیمات IP:
   • Addressing Mode: Manual را انتخاب کنید.
   • IP/Netmask: یک آدرس IP برای اینترفیس داخلی FortiGate (که به عنوان Default Gateway برای دستگاه‌های داخلی شما عمل می‌کند) و Subnet Mask آن را وارد کنید (مثال: 192.168.10.1/24).
3. Role: LAN را انتخاب کنید.
4. Administrative Access: سرویس‌های مورد نیاز (مانند HTTPS, PING, SSH) را برای دسترسی به مدیریت FortiGate از شبکه داخلی فعال کنید.
5. DHCP Server: اگر می‌خواهید FortiGate به عنوان سرور DHCP برای شبکه داخلی شما عمل کند، DHCP Server را فعال کرده و محدوده IP Addressها (IP Range) را برای تخصیص به دستگاه‌های داخلی (مثال: 192.168.10.100 - 192.168.10.200) تنظیم کنید.
6. روی OK کلیک کنید.

گام 4: پیکربندی Static Route (در صورت نیاز) در FortiGate

اگر اینترفیس WAN شما Static IP دارد، باید یک Default Route به سمت Default Gateway ISP خود اضافه کنید.

1. به Network -> Static Routes بروید.
2. روی + Create New کلیک کنید.
3. Destination: 0.0.0.0/0.0.0.0 (به معنی “همه جا”) را انتخاب کنید.
4. Gateway: آدرس IP Default Gateway ارائه شده توسط ISP را وارد کنید (مثال: 203.0.113.1).
5. Interface: اینترفیس WAN خود را انتخاب کنید (مثال: wan1).
6. روی OK کلیک کنید. (اگر WAN شما DHCP باشد، FortiGate به طور خودکار این روت را دریافت می‌کند.)

گام 5: پیکربندی DNS Servers در FortiGate

برای اینکه FortiGate و دستگاه‌های داخلی بتوانند نام‌های دامنه را ترجمه کنند، باید سرورهای DNS را تنظیم کنید.

1. به Network -> DNS بروید.
2. می‌توانید FortiGuard DNS Servers را انتخاب کنید (توصیه می‌شود) یا Specify را انتخاب کرده و آدرس IP سرورهای DNS ISP خود یا سرورهای DNS عمومی (مانند 8.8.8.8 و 8.8.4.4 برای Google DNS) را وارد کنید.
3. روی Apply کلیک کنید.

گام 6: ایجاد Firewall Policy برای دسترسی به اینترنت و راه اندازی NAT

این مهم‌ترین مرحله برای اجازه دادن به ترافیک شبکه داخلی برای دسترسی به اینترنت است.تنظیمات NAT در FortiGate در این مرحله کلیدی است. گزینه NAT را فعال (Enable) کنید. Use Outgoing Interface Address را فعال کنید (این همان Source NAT / Overload NAT است که آدرس‌های IP داخلی را به آدرس IP اینترفیس WAN ترجمه می‌کند).

1. به Policy & Objects -> Firewall Policy بروید.
2. روی + Create New کلیک کنید.
3. Name: یک نام توصیفی وارد کنید (مثال: LAN_to_WAN_Internet_Access).
4. Incoming Interface: اینترفیس LAN خود را انتخاب کنید (مثال: internal).
5. Outgoing Interface: اینترفیس WAN خود را انتخاب کنید (مثال: wan1).
6. Source:
   • Addresses: all را انتخاب کنید (به معنی تمام آدرس‌های IP از اینترفیس ورودی) یا یک آدرس/گروه آدرس خاص برای شبکه داخلی خود ایجاد کنید.
   • Users: all را انتخاب کنید (اگر احراز هویت کاربر لازم نیست).
7. Destination:
   • Addresses: all را انتخاب کنید (به معنی تمام آدرس‌های IP در اینترنت).
8. Service: ALL را انتخاب کنید (برای اجازه دادن به تمام ترافیک وب، ایمیل، و غیره) یا سرویس‌های خاصی (مانند HTTP, HTTPS, DNS) را انتخاب کنید.
9. Action: ACCEPT را انتخاب کنید.
10. NAT:
    • گزینه NAT را فعال (Enable) کنید.
    • Use Outgoing Interface Address را فعال کنید (این همان Source NAT / Overload NAT است که آدرس‌های IP داخلی را به آدرس IP اینترفیس WAN ترجمه می‌کند).
11. Security Profiles (اختیاری اما توصیه شده): برای افزایش امنیت، می‌توانید پروفایل‌های امنیتی مانند AntiVirus, Web Filter, Application Control و IPS را فعال کنید. (این کار نیاز به لایسنس FortiGuard دارد.)
12. روی OK کلیک کنید تا Policy ایجاد شود.

گام 7: آزمایش دسترسی به اینترنت پس از تنظیمات اولیه FortiGate

پس از اتمام پیکربندی، دسترسی به اینترنت را از یک کامپیوتر در شبکه داخلی خود آزمایش کنید.

1. مطمئن شوید که کامپیوتر داخلی شما آدرس IP از سرور DHCP FortiGate دریافت کرده یا به صورت دستی با Default Gateway FortiGate تنظیم شده است.
2. یک مرورگر وب را باز کرده و سعی کنید به یک وب‌سایت (مثال: google.com) دسترسی پیدا کنید.
3. یک ping به یک آدرس اینترنتی (مثال: ping 8.8.8.8) ارسال کنید.
4. اگر دسترسی به اینترنت برقرار نیست، لاگ‌های فایروال را در Log & Report -> Forward Traffic بررسی کنید تا ببینید ترافیک مسدود شده است یا خیر.

نکات مهم و بهترین روش‌ها برای پیکربندی FortiGate:

• به‌روزرسانی FortiOS: پس از کانفیگ اولیه FortiGate، حتماً FortiOS را به آخرین نسخه پایدار به‌روزرسانی کنید.
• لایسنس‌ها و FortiGuard: برای بهره‌برداری کامل از قابلیت‌های امنیتی FortiGate (مانند Web Filtering, IPS, AntiVirus)، نیاز به لایسنس‌های فعال FortiGuard دارید. مطمئن شوید که اشتراک‌های شما فعال هستند.
• امنیت دسترسی مدیریت:
  • هرگز دسترسی HTTPS/SSH به پورت WAN را برای مدیریت فعال نگذارید مگر اینکه از طریق VPN یا آدرس‌های IP خاص محدود شده باشد.
  • رمز عبور admin را قوی نگه دارید و از احراز هویت دو مرحله‌ای (Two-Factor Authentication – 2FA) در صورت امکان استفاده کنید.
• پیکربندی Minimal Privilege: در Firewall Policy، به جای استفاده از ALL برای Source/Destination Addresses و Services، سعی کنید فقط ترافیک لازم را اجازه دهید. این کار امنیت شبکه شما را به طور قابل توجهی افزایش می‌دهد.
• پشتیبان‌گیری از تنظیمات: پس از هر تغییر مهم در پیکربندی اولیه FortiGate، از تنظیمات خود پشتیبان‌گیری کنید. (System -> Configuration -> Backup)
• مانیتورینگ لاگ‌ها: به صورت منظم لاگ‌های ترافیک (Log & Report -> Forward Traffic) و لاگ‌های رویداد (Log & Report -> Event Log) را بررسی کنید تا فعالیت‌های غیرعادی یا تلاش برای نفوذ را شناسایی کنید.

با پیروی از این راهنمای گام به گام، می‌توانید Fortinet FortiGate Entry-Level خود را با موفقیت برای دسترسی به اینترنت و راه اندازی NAT در فورتیگیت پیکربندی کنید. این گام اولیه، پایه و اساس امنیت شبکه شما را فراهم می‌کند و شما را قادر می‌سازد تا به قابلیت‌های امنیتی پیشرفته‌تر FortiGate بپردازید. تنظیمات اولیه FortiGate برای هر شبکه‌ای ضروری است.