برای استفاده از فورتی وب، می توانیم آن را در یکی از این ۵ مود پیاده سازی کنیم.

انواع مود فورتی وب به شرح زیر است:

  • Reverse Proxy
  • True Transparent Proxy
  • Transparent Inspection
  • Offline Protection
  • WCCP

هرکدام از مودهای فوق دارای ویژگی خاص خود هستند که در ادامه به بررسی آن ها می پردازیم.

هر یک از این Mode ها قابلیت هایی دارند که در جدول مشخص هستند، البته برخی قابلیت ها نیز در برخی مودها غیر فعال است.

Reverse Proxy Mode

بیشترین قابلیتی که می توانید به دست بیاورید در حالت reverse proxy می باشد. اگر فورتی وب را در این مود قرار دهید بحث Bridging و fail to wire را نخواهیم داشت.

این مود بیشترین کاربرد را دارد، ۹۵ درصد کسانی که دستگاه فورتی وب را می خرند این مود را فعال می کنند. پیاده سازی این مود سخت نیست.

Reverse Proxy مود پیشفرض دستگاه می باشد و اغلب از این حالت استفاده می کنیم.

در این حالت فقط ترافیک http و https از دستگاه عبور می کند ولی بقیه ترافیک ها مثل ترافیک ssh و telnet عبور نخواهند کرد، برای عبور سایر ترافیک ها لازم است دستورات لازم را به فورتی وب بدهیم.

پیاده سازی Revers Proxy Mode

پیاده سازی Reverse Proxy

مطابق تصویر بالا در لبه اینترنت دستگاه فورتی گیت را قرار می دهیم.

با استفاده از قابلیت Virtual IP ترافیک وب را از فورتی گیت به سمت دستگاه فورتی وب ارسال می کنیم، فورتی وب Policy های مورد نظر را روی ترافیک ارسالی اعمال می کند.

سپس بررسی می کند که آیا این ترافیک مجاز می باشد یا خیر؟

در صورت مجاز بودن ترافیک آن را به سمت وب سرور ارسال می کند.

سایر ترافیک ها مثل SSH توسط دستگاه فورتی وب مستقیما به سمت سرورها ارسال می شوند.

در حالت Reverse Proxy فورتی وب به صورت Full NAT عمل می کند؛ ترافیک ها با آی پی خود فورتی وب ارسال می شود.

کلاینت ترافیک خود را به مقصد ۱۰.۰.۲.۱ ارسال می کند، دستگاه فورتی وب بررسی را انجام می دهد، اگر ترافیک بدون مشکل باشد آن را به سمت وب سرور ارسال می کند.

وب سرور ترافیک را از آی پی ۱۹۲.۰.۲.۱ که مربوط به فورتی وب است، دریافت خواهد کرد.

شبیه این است که درخواست از طرف خود فورتی وب ارسال شده است.

اگر سمت وب سرور نیاز به Lock کردن IP کلاینت ها داشته باشیم باید چه کاری انجام دهیم؟

در این حالت لازم است از قابلیت X Forwarder استفاده کنیم و مشخص کنیم که روی دستگاه فورتی وب آی پی اصلی کلاینت را نیز قرار دهد.

سمت سرور نیز باید از قابلیت Virtual IP استفاده کنیم.

روی سرور بستر ترافیکی دیگری نیز به صورت زیر داریم:

به این صورت که از فورتی گیت استفاده می کنیم، یک آی پی روی فورتی گیت تعریف می کنیم، کلاینت ها برای دسترسی به وب سرور به IP که برای فورتیگت تعریف شده است ترافیک را ارسال می کنند.

فورتی گیت تشخیص می دهد که این ترافیک چه نوع ترافیکی می باشد، اگر ترافیک وب باشد روی آی پی فورتی وب فرستاده می شود و در غیر این صورت ترافیک ها به سرور فرستاده می شود.

در ادامه آموزش ها این موارد را به طور تخصصی تر بررسی خواهیم کرد.

روش one-arm

در Reverse proxy روش دیگری با عنوان one-arm نیز داریم.

  1. فورتی وب را طبق توضیحات به شبکه وصل می کنیم.
  2. روی فورتی گیت virtual ip تعریف می کنیم.
  3. ترافیک وب توسط فورتی گیت به سمت فورتی وب ارسال می شود.
  4. فورتی وب روی پورت تعریف شده اطلاعات را دریافت می کند.
  5. Policy ها را اعمال می کند.
  6. ترافیک را روی همان پورت به سمت وب سرور ارسال می کند.

سایر ترافیک ها (ترافیک غیر وب) به صورت مستقیم توسط فورتی گیت سمت سرور ارسال می شود.

در این مود قابلیت های زیر در دسترس نخواهد بود:

  • Bridge / V-zonnes
  • Faile to wire
پیاده سازی مود Revers Proxy

True Transparent Proxy و Transparent Inspection Proxy

روش پیاده سازی این دو مود شبیه هم می باشد و مطابق تصویر به این صورت عمل می کنیم:

فورتی گیت لبه شبکه قرار دارد، ارتباط با فورتی وب برقرار می شود.

فورتی وب به سوییچ متصل به سرورها متصل می شود. این پورت ها به صورت Bridge به هم متصل می شوند.

ترافیک از فورتی وب رد می شود و به وب سرور ارسال می شود.

در این دو حالت تغییرات IP نداریم، به دلیل اینکه در لایه ۲ پیاده سازی می شود، به این Interface ها IP address اختصاص داده نمی شود.

در DNS نیز نیاز به تغییر نداریم و درخواست کلاینت ها به همان شکل سمت سرور ارسال می شود

ترافیک های غیر http و https را نیز فورتی وب بدون مشکل عبور می دهد.

True Transparent Proxy

تفاوت دو حالت True Transparent Proxy و Transparent Inspection

در حالت True Transparent  ترافیک در حالت true لاگ می شود قابلیت drop شدن را دارد.

همچنین modify و تغییر دادن ترافیک را نیز دارد.

در Transparent Inspection قابلیت Modify را نداریم و به همین دلیل بسیاری از قابلیت ها را از دست می دهیم.

همچنین به جز action alert سایر اکشن ها گارانتی ندارند.

در این مود قابلیت های زیر قابل دسترس نخواهند بود:

  • http content routing
  • ssl / tls offloading
  • sslv2 support

offline Protection mode

این مود کمترین امکانات را در اختیار ما قرار می دهد، و برای بررسی وضعیت شبکه و وب سرورها مورد استفاده قرار می گیرد.

پس از مدتی از این حالت خارج می کنیم و مودهای دیگه رو پیاده سازی می کنیم

بدترین روش پیاده سازی است زیرا اکثر قابلیت ها را ساپورت نخواهد کرد.

همان طور که از اسم این روش مشخص است این حالت به صورت آفلاین می باشد و در جریان مستقیم ترافیک قرار ندارد، تنها نسخه کپی از ترافیک ارسال می شود.

بررسی ها روی نسخه کپی انجام می شود؛ به دلیل اینکه نسخه اصلی وجود را ندارد کار خاصی انجام نخواهد شد.

به این حالت Out-of-band نیز گفته می شود.

offline Protection mode

در این مود کمترین تغییرات را نیاز داریم، تاخیر ایجاد نمی شود زیرا اصل ترافیک رد شده است و تاخیری در پردازش آن وجود ندارد.

بسیاری از قابلیت ها پشتیبانی نمی شوند.

در خواست ها مانند حالت Transparent مستقیم برای وب سرور ارسال می شود و دیگر برای فورتی وب ارسال نمی شود.

با استفاده از روش هایی مثل span یا mirroring ترافیک را به فورتی وب ارسال می کنیم تا بررسی ها انجام شود.

در این حالت تنها Detection انجام می شود و قابلیت های دیگر مثل Load-balance یا  block را ندارد

تنها کاری که این مود می تواند انجام دهد این است که TCP RST (reset) ارسال می کند تا بتوانیم کانکشن را ریست کنیم.

در این مود هیچ ضمانتی وجود ندارد که بتواند جلوی ترافیک مخرب را بگیرد

در نتیجه برای بررسی اولیه وب سروره ها از این مود استفاده می شود و سپس حالت Reverse Proxy را اجرا خواهیم کرد.

مود WCCP mode

از لحاظ پیاده سازی شبیه آفلاین مود می باشد، اصل ترافیک به سمت فورتی وب ارسال می شود، و پس از بررسی سمت فورتی گیت ارسال می شوند.
سپس فورتی گیت، ترافیک ها را به سمت وب سرور ارسال می کند.

در این حالت نیز تغییرات IP address را نداریم

درخواست ها به طور مستقیم برای وب سرور ارسال می شوند.

برای در خواست دادن، IP وب سرور استفاده می شود

وب سرور IP address فورتی وب را به عنوان سورس درخواست می بیند و IP کلاینت دیده نمی شود.

در فایروال Fortigate باید تنظیمات WCCP سرور را انجام دهیم که ترافیک http  و  httpsرا سمت فورتی وب روت نماید تا به عنوان WCCP client انجام شود.

فورتی وب را می توان روی ۵ مود پیاده سازی کرد ولی بهترین روش Reverse Proxy هست که بالاترین امکانات را در اختیار شما قرار می دهد.

WCCP Mode
WCCP Offline protection Transparent inspection True transparent proxy Reverse proxy Feature
NO NO Yes Yes NO Bridges / V-zones
Yes NO NO Yes Yes Caching
Yes NO NO Yes Yes Client Certificate Verification
Yes NO Yes Yes Yes Config. Sync
Yes NO NO Yes Yes (Non-HA)
Yes NO NO Yes Yes Cookie Security
Yes NO NO Yes Yes CSRF Protection
Yes NO NO Yes Yes DoS Protection
Yes NO NO Yes Yes Error Page Customization
Yes NO NO Yes NO Fail-to-wire
Yes NO NO Yes Yes File Compression
Yes NO NO Yes Yes Hidden Input Constraints
Yes NO Yes Yes Yes HA
 NO NO NO NO Yes HTTP Content Routing
Yes NO Yes Yes Yes Information Disclosure Prevention
NO NO NO Yes Yes (Anti-Server Fingerprinting)
Yes NO NO Yes Yes Page Order Rules
Yes NO NO Yes Yes Rewriting / Redirection
Yes NO NO Yes Yes Session Management
Yes NO NO Yes Yes Site Publishing
NO NO NO NO Yes SSL/TLS Offloading
Yes NO Yes Yes Yes SSLv3, TLS 1.0/1.1/1.2 Support
NO NO NO NO Yes SSLv2 Support
Yes NO NO Yes Yes Start Page Enforcement
Yes NO NO Yes Yes User Authentication
Yes NO NO Yes Yes X-Forwarded-For: Support
NO NO Yes Yes Yes Network Firewall
Yes NO NO Yes Yes OCSP Stapling