راه اندازی اولیه فورتی وب FortiWeb

در این بخش از آموزش ها به سراغ نصب و راه اندازی فورتی وب خواهیم رفت. پیکربندی فورتی وب و قرار دادن آن در محل مناسب در شبکه به همراه توضیح بخش های مختلف آن را با مطالعه این مقاله خواهید آموخت.

در عکس زیر نحوه قرار گیری فورتی وب و پورت هایی که باید برای آن مشخص کنیم را مشاهده می کنید.

همچنین در این تصویر فورتی گیت، سرور و IP های اختصاص داده شده به آن را می بینید.

بر اساس لابراتواری که در عکس مشاهده می کنید راه اندازی فورتی وب را شروع می کنیم.

برای حفاظت از وب سرور توسط فورتی وب لازم است چهار کار را انجام بدهیم.

• Firewall
• Server Pool
• Virtual Server
• Server Policy

ابتدا روی فایروالی که در سیستم نصب می باشد تعریف می کنیم که ترافیک وب را به سمت فورتی وب ارسال کند، در این قسمت تعریف می شود که سایر ترافیک ها به طور مستقیم به سرور تحویل داده شود.

اکنون لازم است روی فورتی وب سه مرحله زیر انجام شود:

1. ایجاد Server Pool
2. تعریف Virtual server
3. تعریف Server policy

پس از زدن گزینه Open در صفحه cmd وارد بخش لاگین می شویم.

در این قسمت user و password را وارد کرده، اگر تصویر شماره ۲ را مشاهده کردید متوجه می شوید که ارتباط SSH با سرور برقرار است.

برای اطمینان از صحت انجام کار در مرور گر آدرس ۱۰.۱.۱.۱ را وارد می کنیم، در این حالت با پیغام «This site can’t be reached» مواجه می شویم.

برای دسترسی به سرور از این آی پی نیاز به تغییر تنظیمات فورتی وب داریم.

به این منظور وارد Fortiweb شده و لاگین می شویم.

پس از ورود به فورتی وب، در سمت چپ (شماره ۱) منویی را مشاهده می کنید که بخش های مختلف فورتی وب در این قسمت قابل دسترس هستند، قابلیت ها و قسمت های مختلف پیکربندی فورتی وب را می توانید از اینجا مشاهده کنید.

مواردی مانند: تنظیمات DOS protection,  Forti View,  log & Report ،  و سایر موارد که برای کانفیگ فورتی وب لازم است در این قسمت می بینید.

در قسمت وسط (شماره ۲)، داشبور فورتی وب را مشاهده می کنید که قابلیت های زیر در این بخش در دسترس می باشند.

مانند:

• System information
• HA status
• Host Name
• Serual Number
• System Time
• Operation Mode
• Firmwar Version
• System Uptime

قسمت System Resources که در سمت راست (۳) قرار دارد، وضعیت استفاده از منابع این دستگاه را نمایش می دهد.

1. میزان مصرف CPU
2. حافظه
3. دیسک
4. تعداد conection ها

خاموش یا ریست کردن دستگاه نیز از این قسمت می باشد.

وضعیت لایسنس دستگاه را در قسمت FortiGuard Information می توانیم ببینیم

اگر لایسنس نداشته باشیم شبیه عکس زیر است. (قسمت ۴)

در قسمت Policy Sessions می توانیم پالسی هایی که باید تعریف کنیم را مشاهده کنیم. (قسمت ۵)

در قسمت Dashboard همچنین می توانیم Throughput و Attack ها را نیز ببینیم.

برای لاگ اوت شدن و یا دسترسی به محیط CMD می توانید از قسمت ۶ دسترسی داشته باشید.

برای دسترسی به توضیحات هر بخش نیز می توانید از قسمت Help کمک بگیرید.

مرحله دوم تعریف Server Pool است، در این بخش سرورها را به فورتی وب معرفی می کنیم تا سرورهایی که نیاز به دسترسی دارند شناسایی شوند.

به قسمت Server Object می رویم، در قسمت سرور گزینه server pool و سپس Create new و سپس Create HTTP Server Pool را انتخاب می کنیم تا بتوانیم سرور پوول جدید را تعریف کنیم.

برای ساخت Server Pool گزینه های این بخش را به صورت زیر تعیین می کنیم.

نام: OWASP-Serverpool

پروتکل مشخص شده به صورت http هست.

در قسمت Type گزینه Reverse Proxy در نظر می گیریم.

در قسمت Single server / Server balance باید مشخص کنیم که یک یا چند سرور داریم. در ابتدا یک سرور را با گزینه Single Server انتخاب می کنیم.

در صورتی که چند سرور داشتید گزینه Server Balance رو انتخاب می کنیم.

پس از زدن گزینه OK در قسمت پایین صفحه create new فعال می شود و با زدن این گزینه وارد صفحه ای می شویم که می توانیم سرور را مشخص کنیم.

برای مشخص کردن سرور در صفحه ای که مشاهده می کنید، گزینه های زیر را مشاهده می کنیم.

گزینه status دارای مقادیر زیر است:

Enable: سرور فعاله و همه session ها به سمت سرور ارسال می شود.

Disable: تمام session هایی که روی سرور وجود دارد قطع می شود و session جدید ارسال نمی شود.

Maintenance: با انتخاب این گزینه session جدید ارسال نمی شود ولی session های فعلی روی سرور می ماند.

در قسمت server type مشخص می کنیم که می خواهیم آدرس سرور را به به صورت IP  یا Domain مشخص کنیم.

آی پی سرور وب را در این قسمت وارد می کنیم: ۱۹۲.۱۶۸.۲.۱۱

پورت پیشفرض ۸۰ صحیح هست ولی اگه روی پورت دیگری سرور را پابلیش کردید این رو تغییر بدهید.

مقدار Connection Limit به صورت پیشفرض ۰ هست و بدون محدودیت و بی نهایت می باشد. ولی اگه بخواهید محدود کنید یا مشخص نمایید در عین واحد حداکثر چند کانکشن وجود داشته باشد در این قسمت عدد مورد نظر را مشخص می کنیم. می توانیم با یک عدد محدود کنیم.

اگر سمت وب سرور HTTP/2 ساپورت شود گزینه مورد نظر را فعال می کنیم.

اگه ارتباط SSL بین فورتی وب و سرور لازم است، فعال شود گزینه SSL را فعال می کنیم.

این بخش سه تا گزینه در اختیار ما قرار می دهد.

گزینه Recover

زمانی بر حسب ثانیه، در این قسمت قرار می دهیم و مشخص می کنیم که اگه سرور قطع شد و دوباره وارد مدار شد، مدت زمان مشخص شده را صبر کن بعد Session را جدید ارسال کن. (زمان تاخیر برای ارسال Session)

گزینه  Warm Up

مشخص می کنیم که زمانی که سرور در دسترس قرار گرفت به مدت زمانی که مشخص کردیم تعداد کانکشن های ارسال شده مقداری باشد که در گزینه Warm Rate تعیین کردیم

به طور مثال تا ۶۰ ثانیه تعداد کانکشن هایی که برای سرور ارسال می شود حداکثر ۱۰ عدد باشد.
بعد از ۶۰ ثانیه در وضعیت نرمال قرار می گیره و بدون محدودیت هست.

برای تعریف  craete new می زنیم و یک نام در نظر می گیریم.

نام: OWASP-VirtualServer

در قسمت آی پی آدرس همون آی پی مجازی را استفاده  میکنیم که روی پورت ۱ فورتی وب استفاده کردیم.

۱۹۲.۱۶۸.۳.۳ رو می زنیم و بعد از زدن گزینه OK تموم می شود.

Server Policy

برای تعریف این مورد به قسمت policy رفته و گزینه  Server Policy را می زنیم. سپس گزینه Create New و بعد از آن Create HTTP Policy

یک نام در نظر می گیریم.

نام: OWASP-Server-Policy

در قسمت Deployment Mode گزینه Single Server Pool را استفاده می کنیم زیرا single server مد نظر ماست.

سایر گزینه ها در مقاله های بعد توضیح داده خواهد شد.

توضیح گزینه های مورد نیاز:

HTTP Server: گزینه HTTP را انتخاب می کنیم، پورت ۸۰ به طور پیشفرض انتخاب شده است. در صورتی که تمایل به تغییر پورت داشته باشید می توانید Create New را بزنید، در این حالت می توانید پورت دیگری انتخاب کنید.

قسمت Security Configuration

این بخش مهم ترین قسمت کار است. اصلی ترین کار ما در قسمت web protection profile  می باشد.

سیستم به صورت پیشفرض تعدادی Protection برای ما تعریف کرده است.

گزینه هایی مانند:

• Inline High Level Security
• Inline Medium Level Security
• Inline Alert Only
• Inline Exchange 2013
• Inline Exchange 2016
• Inline SharePoint 2013
• Inline SharePoint 2016
• Inline WordPress
• Inline Drupal

در این بخش Inline High Level Security را انتخاب می کنیم.

روی چشم کنار این گزینه کلیک کنید، در این بخش همه قابلیت های فورتی وب را می توانید مشاهده کنید.

قابلیت های امنیتی فورتی وب است که هر کدام از این موارد یکی از بحث های امنیتی را پوشش می دهد.

به طور مثال

• Page access
• Start Pages
• DOS Protection
• و سایر موارد

در ادامه همه قابلیت ها را بررسی خواهیم کرد.

در این قسمت متوجه شدیم که در حالت Security configuration یک پروفایل برای محافظت از وب سرور تعریف می کینم تا در آن مشخص کنیم چه محافظت هایی لازم است انجام شود.

گزینه Monitor Mode

در حالت مانیتورینگ هست و فقط Log تولید می کند و جلوی حمله را نمی گیرد.

این گزینه برای ابتدای کار و مشخص کردن وضعیت وب سرور مناسب می باشد.

زیرا ممکن است در کدنویسی وب سرور مشکلاتی وجود داشته باشه، برای جلوگیری از مختل شدن عملکرد وب سرور بهتر است ابتدا وضعیت سرورها رو بررسی کنیم و اطلاع داشته باشیم.

در سایر قسمت ها به طور کامل به معرفی گزینه های موجود در این بخش فورتی وب می پردازیم.

برای فورتی وب باید دسترسی به روت را ایجاد کنیم

کلاینت با آی پی ۱۰.۱۰.۱.۱.۱۰۹ هست درخواست را به فورتی گیت ارسال می کند، فورتی وب درخواست را می گیرد، با آی پی خودش درخواست را به سرور می فرستد.

اکنون باید فورتی وب به کلاینت جواب بدهد.

همانطور که در بخش های قبل برنامه ریزی کردیم می دانیم که فورتی وب تنها دو آدرس دارد.

۱۹۲.۱۶۸.۳

۱۹۲.۱۶۸.۲

باید برای رسیدن به سایر شبکه ها باید یک Statick Root روی فورتی وب بنویسیم که تمام شبکه هایی که نمی شناسد را به فورتی گیت تحویل بدهد.

برای این کار روی فورتی وب در قسمت system / Network / Root

یک Static rout می نویسیم.

در این آموزش آموختیم روش راه اندازی فورتی وب در شبکه به سبک زیر است:

ابتدا سراغ فایروال می رویم و آن را config می کنیم.

بعد از تنظیم فایروال سراغ فورتی وب می رویم و سرورها را تعریف می کنیم.

سرور اصلی را مشخص می کنیم.

سپس Virtual IP  را تعریف می کنیم.

سپس به سراغ Server Policy رفته و گزینه ها مورد نظر را مشخص می کنیم.

در ادامه آموزش ها به سراغ مباحث مرتبط با Network پرداخته و سپس به سراغ مسائل امنیتی خواهیم رفت.