کد 60

جلوگیری از بلاک شدن فورتی گیت

Q: با بلاک شدن فورتی گیت چه اتفاقی میافتد؟

بعد از بلاک شدن تجهیز، قابلیت بهره&zwnj;برداری و برقراری امنیت در شبکه وجود دارد و حتی می&zwnj;توانید به صورت آفلاین آپدیت&zwnj;های امنیتی را به&zwnj;روزرسانی کنید اما پس از بلاکی دستگاه دیگر قادر به خرید دوباره لاینس آنلاین نیستید و تعدادی از آپدیت های امنیتی بعد از بلاک شدن دیگر قابل استفاده نیستد ؛ مانند وب فیلترینگ و آنتی اسپم که نیازمند برقراری ارتباط با سرور های فورتی&zwnj;گارد است.

در این مقاله بررسی می‌کنیم که چرا تجهیزات FortiGate در ایران با محدودیت مواجه می‌شوند، چه تفاوتی بین بلاک شدن دستگاه و مسدود شدن اکانت وجود دارد، و چگونه با روش‌هایی مثل VDOM‌بندی، Tunneling و تنظیمات داخلی مثل DNS و NTP از بلاک شدن جلوگیری کنیم.

چرا FortiGate در ایران بلاک می‌شود؟ راهکارهای پیشگیرانه برای کاربران ایرانی

تحریم رسمی Fortinet علیه ایران

شرکت Fortinet به‌عنوان یکی از بازیگران اصلی بازار امنیت سایبری، به‌طور رسمی ایران را در فهرست کشورهای تحریم‌شده خود قرار داده است. طبق سیاست‌های رسمی این شرکت که در Export Compliance Policy منتشر شده، Fortinet متعهد است که از قوانین کنترل صادرات ایالات متحده پیروی کند و از ارائه خدمات، محصولات یا پشتیبانی به کشورهایی مانند ایران که تحت تحریم OFAC (دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا) هستند، خودداری نماید.

بر اساس این سیاست، هرگونه ثبت‌نام تجهیزات، خرید لایسنس یا حتی اتصال به سرورهای FortiGuard با IP یا اطلاعات شناسایی ایرانی ممکن است منجر به بلاک شدن سریال دستگاه شود.

دلایل اصلی بلاک شدن تجهیزات FortiGate در ایران

بلاک شدن FortiGate اغلب به یکی از دلایل زیر اتفاق می‌افتد:

اتصال مستقیم دستگاه به اینترنت با IP ایران
ارسال مستقیم درخواست از دستگاه به Fortinet بدون واسطه امن (VPN/Proxy)
استفاده از اطلاعات شناسایی ایرانی در حساب کاربری Fortinet:

اگر در زمان ایجاد حساب Fortinet از ایمیل با دامنه .ir، شماره تلفن ایران یا آدرس فیزیکی داخل ایران استفاده شود، حساب کاربری ممکن است بن (suspended) شود یا امکان خرید لایسنس رسمی نداشته باشد. این بن روی خود اکانت اعمال می‌شود، نه الزاماً روی دستگاه.

خرید لایسنس رسمی با مشخصات ایرانی:

تلاش برای خرید FortiCare License یا FortiGuard Subscription با اطلاعات ایرانی می‌تواند منجر به رد تراکنش یا بن شدن اکانت مرتبط شود.

راهکارهای پیشگیری از بلاک شدن FortiGate

برای استفاده ایمن از تجهیزات FortiGate در شرایط تحریمی ایران، راهکارهایی وجود دارد که در ادامه به آن‌ها می‌پردازیم:

۱. جداسازی ترافیک مدیریت از اینترنت با استفاده از VDOM

در دستگاه‌های FortiGate، قابلیت VDOM (Virtual Domain) به شما اجازه می‌دهد تا محیط‌های مجازی جداگانه‌ای تعریف کنید. راهکار پیشنهادی:

یک VDOM به نام مثلاً Mgmt بسازید که فقط به مدیریت و مانیتورینگ اختصاص دارد.
این VDOM را به هیچ‌عنوان به اینترنت متصل نکنید.
برای اتصال به FortiGuard یا اینترنت، یک VDOM دیگر بسازید که ترافیکش از طریق تونل یا پروکسی عبور کند.

این تفکیک باعث می‌شود دستگاه اصلی هرگز با IP ایران مستقیماً به سرورهای Fortinet وصل نشود.

۲. استفاده از DNS و NTP داخلی

دو سرویس حیاتی که ممکن است باعث ارسال ناخواسته اطلاعات به خارج شوند، DNS و NTP هستند:

از DNS داخلی یا کش شده استفاده کنید تا درخواست‌های نام دامنه به خارج ارسال نشود.
از یک سرور NTP داخلی برای تنظیم ساعت دستگاه استفاده کنید تا نیاز به ارتباط با سرورهای بین‌المللی NTP از بین برود.

این اقدام‌ها علاوه بر جلوگیری از لو رفتن موقعیت جغرافیایی، امنیت شبکه را نیز افزایش می‌دهند.

۳. به‌روزرسانی امنیتی: آنلاین یا آفلاین؟

در ایران دو روش برای به‌روزرسانی امضای‌های امنیتی (مثل IPS، آنتی‌ویروس، Web Filtering و...) وجود دارد:

الف) آپدیت آفلاین

در این روش، فایل‌های به‌روزرسانی از طریق یک سیستم واسط دانلود شده و به FortiGate منتقل می‌شوند. این روش امن‌ترین حالت است و هیچ ریسکی برای بلاک شدن وجود ندارد.

ب) خرید لایسنس آنلاین

برای این روش نیاز به ارتباط دائمی با سرورهای FortiGuard است. چالش اصلی در این روش، شناسایی IP ایران توسط Fortinet است. برای حل این مشکل:

باید ترافیک این VDOM خاص از طریق یک VPN یا HTTPS Proxy خارجی عبور داده شود تا IP ایران مخفی بماند.
در شرکت‌هایی مانند ما (پارتیان ابتکار پایدار) تانل‌های اختصاصی امن برای این هدف فراهم شده است.

4. بررسی سریال دستگاه‌های دست‌دوم قبل از خرید

یکی از مهم‌ترین اقدامات پیش از خرید FortiGate دست‌دوم در ایران، بررسی وضعیت سریال نامبر آن است. برای این کار:

وارد حساب کاربری در support.fortinet.com شوید.
از منوی Services → Asset Management → Register New Product شماره سریال دستگاه را وارد کنید.
اگر پیغام بلاک بودن یا عدم امکان ثبت نمایش داده شد، از خرید آن خودداری کنید.

منابع مورد استفاده:

Fortinet Export Compliance Policy
The Iran Primer – Fortinet & Sanctions
BleepingComputer – Fortinet Services & Blocking in Sanctioned Countries
تجربه و اسناد فنی پیاده‌سازی شده توسط شرکت مهندسی پارتیان ابتکار پایدار

فورتی آنالایزر، فورتی وب، فورتی گیت

چگونه بفهمیم دستگاه بلاک شده؟

زمانی که یکی از تجهیزات فورتی‌نت بلاک می‌شود، شماره سریال آن به لیست سیاه فورتی‌نت اضافه می‎شود و دو روش اصلی آن به عبارت ذیل است:

1. در قسمت dashboard >> Status >> System Information >> WAN IP ای پی ایران و پرچم ایران خورده باشد.

2. اگر اکانت فورتی نت خود را دارید وارد سایت support.fortinet.com شوید و لاگین کنید سپس در قسمت

Services >> Asset Management >> Registering more Fortinet products with Asset Management >> Register Now

شماره سریال کامل تجهیز را وارد کید و سپس گزینهA non-government user انتخاب کنید و Next را بزنیدو حال وضعیت دستگاه برایتان به نمایش گذاشته میشود.

بستن

با بلاک شدن فورتی گیت چه اتفاقی می‌افتد؟

بعد از بلاک شدن تجهیز، قابلیت بهره‌برداری و برقراری امنیت در شبکه وجود دارد و حتی می‌توانید به صورت آفلاین آپدیت‌های امنیتی را به‌روزرسانی کنید اما پس از بلاکی دستگاه دیگر قادر به خرید دوباره لاینس آنلاین نیستید و تعدادی از آپدیت های امنیتی بعد از بلاک شدن دیگر قابل استفاده نیستد؛ مانند وب فیلترینگ و آنتی اسپم که نیازمند برقراری ارتباط با سرور های فورتی‌گارد است.