Sora Yazılım
العربية
حلول برمجية مخصصة من تركيا

دليل إدارة سياسات جدار حماية FortiGate (Policy)

Sora Yazılım Ekibi

سياسات جدار حماية FortiGate هي قواعد تحدّد كيفية معالجة حركة المرور وفق معايير المصدر والوجهة والمستخدم والخدمة والجدول الزمني. وتُقيَّم السياسات من الأعلى إلى الأسفل؛ تُطبَّق أول قاعدة مطابقة، وعند عدم وجود مطابقة يسري المنع الضمني.

ما سياسة جدار الحماية وكيف تعمل؟

سياسة جدار الحماية قاعدة تسمح أو تحجب حركة المرور من مصدر محدد إلى وجهة محددة. ويطابق FortiGate كل جلسة جديدة من الأعلى للأسفل مع قائمة السياسات ويطبّق إجراء أول قاعدة مطابقة.

في FortiOS تُقيَّم السياسة بناءً على أول حزمة في الجلسة. وعند العثور على مطابقة تُثبَّت الجلسة على تلك القاعدة وتتبعها الحزم اللاحقة. لذلك يحدّد الترتيب نتيجة الأمن مباشرةً.

يمكن تعريف السياسات لكل زوج واجهات (مثل LAN إلى WAN) أو عبر جدول السياسات المسطّح المفضّل في FortiOS 7.x. والمنطق واحد في الحالتين: قواعد محددة في الأعلى وعامة في الأسفل.

قبل إنشاء السياسات يجب اكتمال الإعداد الأساسي؛ راجع دليل تثبيت FortiGate والتهيئة الأولية.

مكوّنات السياسة

مكوّنات السياسة تتألف من الواجهة الواردة/الصادرة وعنوان المصدر والوجهة والخدمة والجدول والإجراء (accept/deny) وNAT وملفات الأمان المطبّقة.

كل مكوّن يضيّق معيار المطابقة أو يحدّد السلوك. فإذا كان الإجراء accept فقد تعمل NAT والتسجيل وملفات الأمان؛ وإذا كان deny تُسقط الحركة.

المكوّنالوظيفة
الواجهة الواردة/الصادرةتحدّد بين أي واجهتين تتدفق الحركة
المصدر / الوجهةكائنات عنوان/مستخدم المصدر والوجهة
الخدمةالبروتوكول/المنفذ المسموح (مثل HTTPS وDNS)
الجدولالنافذة الزمنية لسريان القاعدة
الإجراءaccept أو deny
NATترجمة عنوان المصدر (مفعّلة عادةً عند الخروج)
ملفات الأمانمكافحة الفيروسات وIPS وتصفية الويب وغيرها

لربط ملفات الأمان بسياسة، راجع دليل ملفات أمان UTM؛ ولسياسات الوصول عن بُعد راجع مقال تهيئة VPN.

إدارة كائنات العناوين والخدمات

إدارة الكائنات تعني تعريف عناوين IP/الشبكات الفرعية وFQDN والعناوين الجغرافية والخدمات المخصّصة ككائنات قابلة لإعادة الاستخدام؛ والمجموعات تبسّطها.

ضمن Policy & Objects > Addresses أنشئ كائنات عناوين على أساس الشبكة الفرعية أو نطاق IP أو FQDN أو الموقع الجغرافي. وجمع الوجهات المتكرّرة في مجموعة عناوين يتيح الإدارة بقاعدة واحدة بدل العشرات.

عرّف كائنات Service للتطبيقات المخصّصة وكوّن مجموعات خدمات. والكائنات حسنة التسمية ترفع كثيرًا من وضوح السياسات أثناء التدقيق واستكشاف الأخطاء.

  • أنشئ كائنات عناوين شبكة فرعية/نطاق/FQDN/جغرافية.
  • اجمع العناوين المتكرّرة في مجموعات.
  • عرّف كائنات خدمة مخصّصة للمنافذ غير القياسية.
  • سمِّ الكائنات وفق مخطط تسمية متّسق.
  • نظّف الكائنات غير المستخدمة دوريًا.

الترتيب والمطابقة والمنع الضمني

الترتيب قلب أمن FortiGate: تُفحص القواعد من الأعلى للأسفل، وتُطبَّق أول مطابقة، وعند عدم وجود مطابقة يحجب المنع الضمني غير المرئي الحركة.

ضع القواعد الأكثر تحديدًا (عنوان/خدمة ضيّقة) أعلى القائمة والقواعد الأعم أسفلها. والترتيب الخاطئ قد يجعل قواعد صارمة تحت قاعدة سماح واسعة لا تعمل أبدًا.

استخدم أداة policy lookup وجدول الجلسات لرؤية القاعدة التي تقع عليها الجلسة. وتفعيل التسجيل لقاعدة المنع الضمني يجعل الحركة المحجوبة مرئية ويسهّل التتبّع.

لإدارة أثر كثرة القواعد على الأداء، راجع دليل تحسين الأداء وأفضل الممارسات.

أفضل الممارسات في إدارة السياسات

أفضل الممارسات تشمل أقل الامتيازات والتسمية ذات المعنى والتدقيق الدوري للقواعد وتنظيف القواعد غير المستخدمة وتوثيق التغييرات.

قيّد كل قاعدة بالمصدر والوجهة والخدمة الضرورية فقط؛ وتجنّب قواعد any-any-allow. أضف تعليقات للقواعد والتزم بانضباط توثيق التغييرات.

راجع دوريًا القواعد غير المستخدمة أو المتعارضة؛ فعدّادات استخدام السياسات في FortiOS تكشف القواعد التي لا تطابق أبدًا. ويحسّن هذا التنظيف الأمن والأداء معًا.

للرؤية المركزية وتدقيق التغييرات اقرأ مقال التسجيل والمراقبة مع FortiAnalyzer، وللبنية العامة دليل ما هو FortiGate.

الأسئلة الشائعة

بأي ترتيب تُقيَّم سياسات FortiGate؟

تُقيَّم السياسات من الأعلى للأسفل. وتخضع الجلسة لإجراء أول قاعدة تطابقها؛ ولا تُفحص القواعد اللاحقة لتلك الجلسة.

ما المنع الضمني (implicit deny)؟

هو القاعدة الافتراضية غير المرئية في نهاية قائمة السياسات التي تحجب كل حركة لا تطابق أي قاعدة. وبتفعيل التسجيل لها تصبح الحركة المحجوبة مرئية.

ما فائدة مجموعة العناوين؟

تجمع الوجهات المتكرّرة تحت مجموعة واحدة، فتتيح الإدارة بقاعدة واحدة بدل العشرات؛ والتغييرات في مكان واحد تقلّل خطر الخطأ.

هل أهيّئ NAT داخل السياسة؟

نعم، في معظم السيناريوهات يُفعّل source NAT في السياسة عبر خيار NAT. وللحالات الأعقد يمكن استخدام IP pools أو central NAT.

كيف أرى القواعد غير المستخدمة؟

عدّادات استخدام السياسات (hit count) وبيانات آخر استخدام في FortiOS تُظهر القواعد التي لا تطابق أبدًا. ويمكن مراجعتها وإزالتها بأمان.

كيف أجري تغييرات السياسات بأمان؟

خذ نسخة احتياطية أولًا، وعلّق على القواعد، وتحقّق من الأثر عبر policy lookup، وطبّق التغييرات في نافذة صيانة عند الإمكان.

الخلاصة

تنتج إدارة سياسات FortiGate مجموعة قواعد آمنة وقابلة للإدارة معًا عبر الترتيب الصحيح وبنية كائنات نظيفة وأقل الامتيازات. والتدقيق الدوري والتسجيل يمنعان تدهور السياسات بمرور الوقت.

لتدقيق نظافة السياسات وإعادة التهيئة، تواصل مع فريق الأمن لدى Sora Yazılım.

← المدونة

هل تحتاج مساعدة في مواضيع هذا المقال؟

احجز مكالمة استكشاف مجانية مع Sora Yazılım — سنقترح خارطة طريق واضحة.

مكالمة استكشاف مجانيةخدماتناحلولنا