Sora Yazılım
العربية
حلول برمجية مخصصة من تركيا

تهيئة VPN في FortiGate: دليل IPsec وSSL VPN

Sora Yazılım Ekibi

تهيئة VPN في FortiGate تشمل أنفاق IPsec بين المواقع لربط الفروع بشكل مشفّر، ووصول SSL VPN أو ZTNA للمستخدمين عن بُعد. وتُعرَّف جميع الأوضاع باقتراحات تشفير آمنة وسياسات جدار حماية صحيحة.

أنواع VPN في FortiGate

FortiGate يقدّم أربعة مناهج VPN أساسية: IPsec بين المواقع، وIPsec dialup (مستخدم عن بُعد)، وSSL VPN (وضع الويب والنفق)، وZTNA. ويعتمد الاختيار على نوع النقاط الطرفية ومتطلبات الأمن.

يربط IPsec بين المواقع موقعين ثابتين (مثل المقر والفرع) بنفق مشفّر دائم. ويتيح IPsec dialup وSSL VPN للمستخدمين المتنقّلين/عن بُعد الوصول إلى المؤسسة.

ZTNA (الوصول الشبكي بثقة صفرية) منهج أحدث يستبدل الوصول الواسع عبر VPN بتفويض على مستوى التطبيق يستند إلى الهوية ووضعية الجهاز، ومتكامل مع Security Fabric.

تُكتب سياسات VPN بالمنطق نفسه لسياسات جدار الحماية العادية؛ للتفاصيل راجع دليل إدارة السياسات.

تهيئة نفق IPsec بين المواقع

IPsec بين المواقع يُبنى بمطابقة معاملات Phase 1 (IKE) وPhase 2 (IPsec) بين جهازَي FortiGate؛ ثم تُعرَّف عمليات التوجيه وسياسات جدار الحماية لواجهة النفق.

استخدم VPN > IPsec Wizard واختر قالب بين المواقع. في Phase 1 حدّد IP البوابة البعيدة وطريقة المصادقة (عادةً مفتاح مشترك مسبقًا) واقتراحات التشفير/التجزئة. ويجب أن تتطابق الاقتراحات على الجانبين تمامًا.

في Phase 2 عرّف الشبكات الفرعية المحلية والبعيدة المراد حمايتها. وبعد قيام النفق، أضف مسارات ثابتة توجّه حركة تلك الشبكات إلى واجهة النفق، وسياسات جدار حماية في الاتجاهين.

المرحلةالمعاملات المحددة
Phase 1 (IKE)البوابة البعيدة، المصادقة (PSK/شهادة)، التشفير، مجموعة DH
Phase 2 (IPsec)الشبكات المحلية/البعيدة، PFS، مدة الحياة
التوجيهمسار ثابت للشبكة البعيدة (واجهة النفق)
السياسةقاعدة جدار حماية في الاتجاهين

الوصول عن بُعد عبر SSL VPN

SSL VPN يتيح للمستخدمين الوصول الآمن إلى المؤسسة عبر المتصفح (وضع الويب) أو FortiClient (وضع النفق)؛ ويُعرَّف البوابة ومجموعات المستخدمين والموارد المتاحة مركزيًا.

في بوابة SSL VPN هيّئ الموارد المنشورة ونطاق IP لوضع النفق وسلوك split tunneling. وصادِق المستخدمين عبر مصادر هوية محلية أو خارجية (LDAP/RADIUS).

ملاحظة مهمة: مع FortiOS 7.6 بدأت Fortinet إيقاف وضع النفق/الويب لـ SSL VPN خصوصًا على بعض الطُرز ذات الذاكرة المنخفضة. وينبغي في عمليات النشر الجديدة النظر في IPsec dialup أو ZTNA.

لفحص حركة المستخدمين بـ UTM، أضف ملفات الأمان إلى سياسات VPN؛ ولسياق الإعداد عُد إلى دليل التثبيت.

الانتقال إلى ZTNA والوصول الحديث

ZTNA يمنح الوصول إلى التطبيقات المصرّح بها فقط مع التحقق من الهوية ووضعية الجهاز بدلًا من فتح الشبكة بأكملها؛ وهذا يضيّق سطح الهجوم بشدة مقارنةً بالوصول الواسع عبر VPN.

يعمل FortiGate ZTNA مع FortiClient وSecurity Fabric للتحقق المستمر من كل طلب وصول. ويُطبَّق مبدأ «لا تثق أبدًا، تحقّق دائمًا» بغضّ النظر عن موقع المستخدم.

يضع ZTNA نفسه خلفًا طبيعيًا حيثما يُوقَف SSL VPN، ويقلّل خطر الحركة الجانبية عبر الوصول على مستوى التطبيق.

نتناول موضع ZTNA في البنية العامة في دليل ما هو FortiGate.

أفضل الممارسات لأمان VPN

أمان VPN يتطلب المصادقة الثنائية واقتراحات تشفير قوية وتقييد الوصول غير الضروري وتحديث البرامج الثابتة دوريًا ومراقبة سجلات VPN.

  • افرض المصادقة الثنائية (MFA) على جميع شبكات VPN للوصول عن بُعد.
  • عطّل اقتراحات التشفير/التجزئة الضعيفة (مثل DES وMD5).
  • استخدم split tunneling عند الحاجة فقط وبوعي.
  • أبقِ البرامج الثابتة محدّثة ضد ثغرات VPN.
  • راقب سجلات جلسات VPN مركزيًا.

لجمع سجلات VPN مركزيًا ورصد الشذوذ، راجع مقال التسجيل مع FortiAnalyzer.

الأسئلة الشائعة

هل أستخدم IPsec أم SSL VPN في FortiGate؟

للاتصال الدائم بين المواقع الثابتة، يكون IPsec بين المواقع مثاليًا. استُخدم SSL VPN تاريخيًا للمستخدمين المتنقّلين، لكن يُوصى في عمليات النشر الجديدة بـ IPsec dialup أو ZTNA.

ما Phase 1 وPhase 2؟

في IPsec ينشئ Phase 1 (IKE) قناة إدارة آمنة ويصادق؛ ويعرّف Phase 2 ارتباطات أمان IPsec والشبكات المحمية التي تحمل حركة البيانات الفعلية.

هل يُزال SSL VPN فعلًا؟

بدأت Fortinet في FortiOS 7.6 إيقاف وضع النفق/الويب لـ SSL VPN على بعض الطُرز ذات الذاكرة المنخفضة. وعلى هذه الطُرز يُفضّل IPsec أو ZTNA؛ وعلى المنصّات عالية الذاكرة قد يختلف الوضع بحسب ملاحظات الإصدار.

هل FortiClient ضروري لـ VPN؟

يلزم عميل لـ IPsec ووضع نفق SSL VPN؛ وFortiClient خيار شائع. أما وضع الويب لـ SSL VPN فيوفّر وصولًا دون عميل عبر المتصفح.

هل يحل ZTNA محل VPN تمامًا؟

في كثير من سيناريوهات الوصول عن بُعد يحل ZTNA محل الوصول الواسع عبر VPN بوصول أضيق على مستوى التطبيق. أما للاتصالات بين المواقع فلا يزال IPsec هو المعيار.

كيف أجعل VPN أكثر أمانًا؟

افرض MFA، واستخدم اقتراحات تشفير قوية، وقيّد الوصول بأقل الامتيازات، وأبقِ البرامج الثابتة محدّثة، وراقب سجلات VPN باستمرار.

الخلاصة

يقدّم FortiGate طيفًا واسعًا من الوصول الآمن من IPsec بين المواقع إلى ZTNA. ومع اختيار الوضع الصحيح والتشفير القوي والمصادقة الثنائية يصبح الوصول عن بُعد عمليًا وآمنًا؛ وحيثما يُوقَف SSL VPN يقدّم ZTNA خلفًا حديثًا.

لتصميم بنية VPN وZTNA لديك، تحدّث إلى فريق أمن الشبكات لدى Sora Yazılım.

← المدونة

هل تحتاج مساعدة في مواضيع هذا المقال؟

احجز مكالمة استكشاف مجانية مع Sora Yazılım — سنقترح خارطة طريق واضحة.

مكالمة استكشاف مجانيةخدماتناحلولنا