جلوگیری از بلاک شدن فورتی گیت (FortiGate) | در حال حاضر شرکت فورتی نت با فایروالهای شناختهشده و محبوب خود، یعنی فایروال فورتی گیت، بازار خوبی در فضای امنیت ایران پیدا کرده و روز به روز شرکتها و سازمانهای بیشتری به استفاده از محصولات این شرکت خوشنام امنیتی روی میآورند. ولی استفاده از فایروال فورتی گیت در ایران یک مشکل اساسی و بزرگ دارد که اگر در فضای امنیت سایبری کشور فعال باشید، احتمالا از آن مطلع هستید: بلاکشدن فایروال فورتی گیت به خاطر تحریمهای وضعشده علیه ایران.
چرا فورتی گیت بلاک میشود؟
همانطور که احتمالا میدانید فورتی نت شرکتی آمریکایی است و به همین خاطر باید در صادرات محصولات مختلف از جمله فایروال فورتی گیت و همچنین ارائه خدمات به کشورهای مختلف، از قوانین این کشور تبعیت کند.
طبق قوانین ایالات متحده، شرکتها و سازمانهای آمریکایی حق فروش محصول یا ارائه خدمات به ساکنین یا شهروندان کوبا، ایران، کره شمالی، سودان، سوریه و ناحیه کریمه در اوکراین را ندارند. به همین علت است که دستگاه فورتی گیت شما به محض این که برای گرفتن آپدیتهای مختلف به سرورهای رسمی شرکت فورتی نت متصل شود، بلافاصله بلاک میشود.
با بلاک شدن فورتی گیت چه اتفاقی میافتد؟
اگر بخواهیم ساده و خلاصه بگوییم، با بلاک شدن فورتی گیت، به طور کلی خدماتی که تحت لایسنس فورتی گیت خریداری میشوند، دیگر قابل استفاده نخواهند بود. خدماتی مانند سرویس پشتیبانی FortiCare (که البته بدون بلاکشدن فورتی گیت هم در ایران قابل استفاده نیستند!)، فید مداوم اطلاعات تهدید FortiGuard، سیگنچرهای آنتیویروس، IDS و IPS، و دسترسی به دیتابیسهای وبفیلترینگ و دیاناس فیلترینگ از جمله این خدمات هستند که با خرید لایسنس فورتی گیت در اختیار شما قرار میگیرند و با بلاک شدن فورتی گیت دیگر قادر به استفاده از آنها نخواهید بود.
برخی از این سرویسها مانند IPS و آنتیویروس صرفا بهروزرسانیها را به صورت آنلاین دریافت نخواهند کرد، اما بعضی امکانات دیگر مانند وبفیلترینگ، با بلاک شدن فورتی گیت به طور کلی غیر قابل استفاده میشوند. لازم به ذکر است که پس از بلاک شدن فورتی گیت، هیچ راهی برای بازیابی آن و استفاده از خدمات لایسنس فورتی نت وجود نخواهد داشت!
بعد از بلاک شدن فورتی گیت می توان از آن استفاده کرد؟
بله! با بلاکشدن فورتیگیت صرفا آپدیتها را به صورت «آنلاین» دریافت نخواهید کرد و اکثر قابلیتهای فورتی گیت بدون هیچ مشکلی بعد از بلاکشدن فورتی گیت هم قابل استفاده هستند. ضمن این که حتی بعد از بلاکشدن فورتی گیت هم میتوانید با دانلود آپدیت فورتی گیت که به صورت هفتگی توسط شرکت فورتی نت منتشر میشود، دستگاه را بهروزرسانی کنید. البته همانطور که گفتیم، بعضی از قابلیتها مثل فیلترینگ وب و فیلترینگ DNS بعد از بلاکشدن فورتی گیت، به خاطر عدم توانایی برقراری ارتباط با سرورهای فورتی نت قابل استفاده نخواهند بود.
حالا ممکن است برایتان سوال شود که برای جلوگیری از بلاک شدن فورتی گیت باید چکار کنیم؟ به طور کلی سه راه برای جلوگیری از بلاک شدن فورتی گیت وجود دارد که روش اول روشی تقریبا موقتی است و در آن امکان استفاده از آپدیتهای آنلاین را نخواهید داشت، ولی در دو روش بعدی میتوانید از آپدیتهای آنلاین فورتی گیت هم استفاده کنید:
1. قطع کامل ارتباط با سرورهای فورتی نت
این روش، روشی موقتی برای سازمانهایی است که به طور موقت قصد خریداری لایسنس فورتی گیت و استفاده از آپدیتهای آنلاین آن را ندارند، ولی مایل هستند از بلاک شدن آن جلوگیری کنند تا بتوانند در آینده لایسنس فورتی نت را خریداری کرده و از آپدیتهای آنلاین استفاده کنند. البته توصیه میشود که حتی سازمانهایی که هیچگاه قصد خریداری لایسنس فورتی گیت را ندارند، با این روش از بلاک شدن آن جلوگیری کنند (یک فورتی گیت بلاکنشده بهتر از فورتیگیت بلاکشده است!).
در این روش، هنگام پیکربندی فورتی گیت، تمام IPهای سرورهای آپدیت و اطلاعات تهدید و به طور کلی سرورهای فورتی نت در مسدود میشوند تا فایروال به آنها دسترسی پیدا نکند. این IPها لیست مشخصی دارند با مسدودکردن آنها، فورتی گیت دیگر هیچ ارتباطی با سرورهای رسمی فورتی نت نخواهد داشت و بلاک نمیشود.
2. استفاده از دامنههای مجازی برای دریافت آپدیت و ارتباط با اینترنت
در حالت عادی، یک دامنه مجازی یا VDOM در لبه شبکه قرار میگیرد و تمام قابلیتهای فایروال را انجام میدهد، و باقی دامنههای مجازی برای سگمنتیشن یا همان ایزولهسازی بخشهای مختلف شبکه استفاده میشوند، اما برای جلوگیری از بلاکشدن فورتی گیت در ایران، از دامنههای مجازی به شکل متفاوتی استفاده میشود.
ابتدا یک دامنه مجازی در لبه شبکه قرار میگیرد که هیچ قابلیت فایروالی ندارد و میتوان به آن به چشم یک روتر یا درگاه نگاه کرد. پشت این دامنه، یک دامنه مجازی دیگر قرار گرفته که یک تونل VPN برای اتصال به یک پروکسی فراهم میکند و برای دریافت آپدیتها استفاده میشود تا سرورهای رسمی فورتی نت IP ایران را تشخیص ندهند و فورتی گیت بلاک نشود.
در نهایت دامنه مجازی نهایی قرار دارد که تمام قابلیتهای فایروال روی آن قرار گرفتهاند و با شبکه محلی در ارتباط است اما هیچ ارتباط مستقیمی با اینترنت ندارد و به همین خاطر بلاک نمیشود. در واقع با استفاده از دامنههای مجازی، ارتباط با سرورهای رسمی و ارتباط با اینترنت، به دو کانال مجزا، یکی دارای پروکسی و یکی بدون پروکسی هدایت میشوند و به این شکل از تشخیص IP ایران روی فورتی گیت و بلاکشدن آن جلوگیری میشود.
3. قرارگیری کامل فورتی گیت پشت یک پروکسی
روش آخر که پیادهسازی آن هم نسبت به روش قبلی بسیار سادهتر است و در عمل کاربرد بسیار بیشتری هم دارد، قراردادن کامل فورتیگیت پشت پروکسی است که از شناسایی IP ایران و بلاک شدن آن جلوگیری میکند.
برای مثال یکی از راه هایی که میتونید جلوی آپدیت را بگیرید قرار دادن کانفیگ به صورت زیر می باشد، البته این راه حل 100% نیست و بهتره از جایی که دیوایس را خریداری کرده اید بخواهید تنظیمات مورد نیاز را برای شما انجام دهد.
config system autoupdate tunneling
set status enable
set address 192.168.1.10
set port 8080
set username nextadmin
set password P@SSw0rD#@123
end