آموزش کانفیگ اولیه FortiGate
راهاندازی اولیه FortiGate در یک سازمان فقط به معنی اتصال کابل شبکه و دادن یک IP به دستگاه نیست. اگر تنظیمات پایه از ابتدا درست انجام نشود، در مراحل بعدی ممکن است با مشکلاتی مثل قطع دسترسی مدیریتی، عبور نکردن ترافیک، نبود لاگ، اشتباه در NAT، یا حتی قفل شدن دسترسی هنگام فعالسازی VDOM مواجه شوید.
در این مقاله مراحل اولیه راهاندازی FortiGate از لحظه اتصال فیزیکی تا تنظیم Management IP، اکانتهای مدیریتی، اینترفیسها، Route، DNS، Policy اینترنت، NAT، Logging، Backup و VDOM توضیح داده میشود. هدف این است که ادمین شبکه بتواند هم از طریق محیط گرافیکی FortiGate و هم از طریق CLI تنظیمات اصلی را انجام دهد.
مروری بر این مقاله
- آمادهسازی اولیه قبل از ورود به FortiGate
- تنظیم Management IP
- تغییر رمز Admin و ساخت اکانتهای مدیریتی
- تنظیم Interfaceها
- تنظیم Default Route
- تنظیم DNS
- ساخت Policy اولیه اینترنت
- تنظیم NAT
- فعالسازی Log
- گرفتن Backup اولیه
- فعالسازی و ساخت VDOM
قبل از شروع کانفیگ، باید مشخص شود قرار است از چه مسیری به FortiGate وصل شوید. معمولاً دو مسیر اصلی وجود دارد: دسترسی از طریق کابل شبکه و دسترسی از طریق کابل Console.
برای ورود اولیه از طریق GUI، لپتاپ را با کابل شبکه به پورت مدیریتی FortiGate وصل کنید. اگر دستگاه پورت اختصاصی MGMT یا MGMT1 دارد، بهتر است اتصال اولیه از همان پورت انجام شود. در مدلهایی که پورت Management جداگانه ندارند، معمولاً اتصال از طریق internal یا port1 انجام میشود.
آدرس مدیریتی پیشفرض FortiGate در بسیاری از مدلها 192.168.1.99 است. بنابراین روی کارت شبکه لپتاپ یک IP دستی از همان رنج قرار دهید؛ برای مثال:
IP Address: 192.168.1.10
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.99
DNS: اختیاری
سپس در مرورگر وارد آدرس زیر شوید:
نام کاربری اولیه معمولاً admin است و در بسیاری از سناریوهای نصب اولیه، رمز عبور خالی است یا در اولین ورود مجبور به تنظیم رمز جدید میشوید. بعد از ورود اولیه، اولین کاری که باید انجام شود تغییر رمز ادمین و تنظیم مسیر امن مدیریت است.
در کنار کابل شبکه، بهتر است کابل Console هم آماده باشد. Console زمانی مهم میشود که IP دستگاه مشخص نیست، دسترسی HTTPS یا SSH قطع شده، اشتباهاً Management Access را غیرفعال کردهاید، یا هنگام فعالسازی VDOM دسترسی مدیریتی از بین رفته است. برای اتصال Console معمولاً از نرمافزارهایی مثل PuTTY، Tera Term یا SecureCRT استفاده میشود.
بعد از اتصال Console و فشردن Enter، باید Prompt ورود FortiGate نمایش داده شود.
Management IP آدرسی است که ادمینهای شبکه از طریق آن به FortiGate متصل میشوند. این IP باید ثابت، مستند و ترجیحاً در یک شبکه مدیریتی جداگانه باشد. فعال بودن HTTPS یا SSH روی WAN بدون محدودسازی، از نظر امنیتی توصیه نمیشود.
در محیط گرافیکی، برای تغییر IP مدیریتی وارد مسیر زیر شوید:
اینترفیس مدیریتی را انتخاب کنید؛ مثلاً mgmt، internal یا port1. سپس روی Edit کلیک کنید و مقدار IP را تغییر دهید. برای نمونه:
Interface: mgmt
Addressing Mode: Manual
IP/Netmask: 10.10.10.1/255.255.255.0
Administrative Access: Ping, HTTPS, SSH
گزینههایی مثل HTTP و Telnet بهتر است فعال نباشند. اگر بعد از تغییر IP دسترسی قطع شد، باید IP لپتاپ را هم در همان رنج جدید تنظیم کنید؛ مثلاً:
IP Address: 10.10.10.10
Subnet Mask: 255.255.255.0
Default Gateway: 10.10.10.1
سپس دوباره با آدرس جدید وارد شوید:
معادل همین تنظیم در CLI:
config system interface
edit "mgmt"
set ip 10.10.10.1 255.255.255.0
set allowaccess ping https ssh
set alias "MGMT"
next
end
اگر پورت Management جداگانه وجود ندارد و مدیریت روی port1 انجام میشود:
config system interface
edit "port1"
set ip 10.10.10.1 255.255.255.0
set allowaccess ping https ssh
set alias "LAN-MGMT"
next
end
در این مرحله باید مطمئن شوید که دسترسی مدیریتی فقط از شبکه قابل اعتماد امکانپذیر است. فعال کردن HTTPS یا SSH روی اینترفیس WAN فقط در شرایط خاص و با محدودسازیهایی مثل Trusted Host، VPN مدیریتی یا Local-in Policy قابل قبول است.
بعد از تنظیم مسیر مدیریت، باید اکانت پیشفرض admin ایمن شود. استفاده مشترک چند نفر از یک اکانت مدیریتی در سازمان کار درستی نیست، چون در لاگها مشخص نمیشود چه کسی چه تغییری اعمال کرده است.
برای تغییر رمز ادمین در GUI وارد مسیر زیر شوید:
روی کاربر admin کلیک کنید و گزینه تغییر رمز را انتخاب کنید. رمز جدید باید طول مناسب، ترکیب حروف بزرگ و کوچک، عدد و کاراکتر خاص داشته باشد.
برای ساخت اکانت مدیریتی جدید، در همان مسیر گزینه Create New را انتخاب کنید. نمونه تنظیم مناسب:
Username: netadmin01
Type: Local User
Administrator Profile: super_admin یا پروفایل محدودتر
Trusted Hosts: 10.10.10.0/32
Trusted Host مشخص میکند این ادمین فقط از چه IP یا Subnetهایی اجازه ورود دارد. این گزینه برای کاهش سطح حمله بسیار مهم است.
معادل CLI برای تغییر رمز ادمین:
config system admin
edit "admin"
set password <strong-password>
next
end
ساخت اکانت مدیریتی جدید:
config system admin
edit "netadmin01"
set accprofile "super_admin"
set vdom "root"
set trusthost1 10.10.10.0 255.255.255.252
set password <strong-password>
next
end
اگر FortiGate در حالت VDOM استفاده شود، باید مشخص شود هر ادمین به کدام VDOM دسترسی دارد. ادمینهایی که فقط مسئول یک بخش از شبکه هستند، بهتر است فقط به همان VDOM دسترسی داشته باشند.
در بیشتر سازمانها حداقل سه نقش اصلی برای اینترفیسها وجود دارد: مدیریت، شبکه داخلی و اینترنت. ممکن است بسته به طراحی، VLANها، لینکهای Trunk، DMZ یا لینکهای اختصاصی بین شعب هم اضافه شوند، اما در نصب اولیه معمولاً با LAN و WAN شروع میکنیم.
برای تنظیم اینترفیسها از طریق GUI وارد مسیر زیر شوید:
برای اینترفیس LAN، مثلاً port1، تنظیمات زیر قابل استفاده است:
Interface: internal1
Alias: LAN
Addressing Mode: Manual
IP/Netmask: 192.168.10.1/255.255.255.0
Administrative Access: Ping
Role: LAN
اگر FortiGate قرار است به کاربران IP بدهد، DHCP Server را روی همین اینترفیس فعال کنید:
DHCP Server: Enable
Address Range: 192.168.10.100 - 192.168.10.200
Default Gateway: Same as Interface IP
DNS Server: Same as System DNS یا DNS داخلی سازمان
معادل CLI برای LAN:
config system interface
edit "port1"
set alias "LAN"
set ip 192.168.10.1 255.255.255.0
set allowaccess ping
next
end
تنظیم DHCP Server روی LAN:
config system dhcp server
edit 1
set interface "port1"
set default-gateway 192.168.10.1
set netmask 255.255.255.0
set dns-service default
config ip-range
edit 1
set start-ip 192.168.10.100
set end-ip 192.168.10.200
next
end
next
end
برای WAN، مثلاً port2، تنظیمات به نوع سرویس اینترنت بستگی دارد. اگر ISP به شما IP ثابت داده است:
Interface: port2
Alias: WAN
Addressing Mode: Manual
IP/Netmask: 203.0.113.2/255.255.255.0
Administrative Access: Ping در صورت نیاز
Role: WAN
معادل CLI:
config system interface
edit "port2"
set alias "WAN"
set ip 203.0.113.2 255.255.255.0
set allowaccess ping
next
end
اگر WAN از DHCP استفاده میکند، در GUI مقدار Addressing Mode را روی DHCP قرار دهید. در CLI:
config system interface
edit "port2"
set mode DHCP
set alias "WAN"
set allowaccess ping
next
end
Default Route مسیر خروج FortiGate به سمت اینترنت یا روتر بالادستی است. اگر WAN درست IP گرفته باشد اما Default Route وجود نداشته باشد، ترافیک به اینترنت ارسال نمیشود.
برای تنظیم از طریق GUI وارد مسیر زیر شوید:
Network > Static Routes > Create New
مقادیر نمونه:
Destination: 0.0.0.0/0.0.0.0
Gateway Address: 203.0.113.1
Interface: port2
Status: Enable
معادل CLI:
config router static
edit 1
set dst 0.0.0.0 0.0.0.0
set gateway 203.0.113.1
set device "port2"
next
end
برای بررسی Route Table:
get router info routing-table all
برای تست اتصال اینترنت از خود FortiGate:
اگر Ping به IP برقرار است اما دامنهها Resolve نمیشوند، مشکل احتمالاً از DNS است.
DNS برای ارتباط FortiGate با FortiGuard، آپدیتها، FQDN Objectها، لاگها و بسیاری از قابلیتهای امنیتی ضروری است. در سازمانهایی که Active Directory دارند، معمولاً بهتر است DNS داخلی سازمان روی FortiGate تنظیم شود.
برای تنظیم DNS از طریق GUI وارد مسیر زیر شوید:
یا در بعضی نسخهها:
مقادیر نمونه:
Primary DNS: 10.10.10.10
Secondary DNS: 10.10.10.11
معادل CLI:
config system dns
set primary 10.10.10.10
set secondary 10.10.10.11
end
برای تست DNS و اتصال به یک سایت داخلی:
اگر Ping به IPهای عمومی موفق است ولی Ping به نام دامنه خطا میدهد، باید تنظیمات DNS بررسی شود.
در FortiGate عبور ترافیک بین دو اینترفیس بدون Firewall Policy انجام نمیشود. برای اینکه کاربران LAN به اینترنت دسترسی داشته باشند، باید یک Policy از LAN به WAN ساخته شود.
برای ساخت Policy از طریق GUI وارد مسیر زیر شوید:
Policy & Objects > Firewall Policy > Create New
نمونه تنظیم Policy اولیه:
Name: LAN-to-Internet
Incoming Interface: port1 / LAN
Outgoing Interface: port2 / WAN
Source: all یا Subnet کاربران
Destination: all
Schedule: always
Service: ALL
Action: ACCEPT
NAT: Enable
Log Allowed Traffic: All Sessions
در شروع راهاندازی، استفاده از ALL برای تست اولیه قابل قبول است، اما در محیط عملیاتی بهتر است سرویسها محدود شوند. مثلاً برای کاربران عادی معمولاً HTTP، HTTPS، DNS و NTP کافی است، مگر اینکه نیاز دیگری وجود داشته باشد.
معادل CLI:
config firewall policy
edit 1
set name "LAN-to-Internet"
set srcintf "port1"
set dstintf "port2"
set action accept
set srcaddr "all"
set dstaddr "all"
set schedule "always"
set service "ALL"
set nat enable
set logtraffic all
next
end
اگر FortiGate لایسنس UTM دارد، میتوان روی همین Policy پروفایلهایی مثل Web Filter، Application Control، IPS و Antivirus را فعال کرد. در این حالت باید دقت شود SSL Inspection مطابق سیاست سازمان انتخاب شود، چون Deep Inspection بدون آمادهسازی Certificate میتواند برای کاربران مشکل ایجاد کند.
کاربران داخلی معمولاً از IPهای Private مثل 192.168.10.0/24 استفاده میکنند. برای دسترسی این کاربران به اینترنت، Source NAT لازم است تا ترافیک با IP خروجی WAN یا یک IP Pool عمومی به اینترنت برود.
در GUI، NAT معمولاً داخل همان Firewall Policy فعال میشود:
Policy & Objects > Firewall Policy > LAN-to-Internet
در بخش تنظیمات Policy:
NAT: Enable
IP Pool Configuration: Use Outgoing Interface Address
در این حالت FortiGate از IP اینترفیس WAN برای NAT استفاده میکند.
اگر سازمان چند IP عمومی دارد و میخواهد NAT از یک بازه مشخص انجام شود، ابتدا باید IP Pool ساخته شود:
Policy & Objects > IP Pools > Create New
نمونه:
Name: Internet-NAT-Pool
Type: Overload
External IP Range: 203.0.113.100 - 203.0.113.110
سپس در Policy اینترنت، NAT را روی IP Pool قرار دهید:
NAT: Enable
Use Dynamic IP Pool: Enable
IP Pool: Internet-NAT-Pool
معادل CLI برای IP Pool:
config firewall ippool
edit "Internet-NAT-Pool"
set startip 203.0.113.100
set endip 203.0.113.110
next
end
اعمال IP Pool روی Policy:
config firewall policy
edit 1
set ippool enable
set poolname "Internet-NAT-Pool"
next
end
برای دسترسی ساده کاربران به اینترنت، NAT روی Outgoing Interface معمولاً کافی است. IP Pool زمانی کاربرد دارد که چند IP Public دارید یا میخواهید خروجی بخشهای مختلف سازمان از IPهای متفاوت انجام شود.
بدون Log، عیبیابی و بررسی رخدادهای امنیتی تقریباً غیرممکن میشود. حداقل باید روی Policyهای اصلی گزینه Log فعال باشد تا مشخص شود چه ترافیکی از چه مبدأیی به چه مقصدی رفته و با چه Policyای Match شده است.
برای فعالسازی Log روی Policy از GUI:
Policy & Objects > Firewall Policy
Edit LAN-to-Internet
Log Allowed Traffic: All Sessions
برای تنظیم مقصد لاگ وارد مسیر زیر شوید:
Log & Report > Log Settings
بسته به مدل و طراحی سازمان، میتوان لاگها را در Local Disk، Memory، Syslog Server، FortiAnalyzer یا FortiGate Cloud ذخیره کرد.
معادل CLI برای فعالسازی Log روی Policy:
config firewall policy
edit 1
set logtraffic all
next
end
اگر مدل FortiGate دیسک داخلی دارد:
config log disk setting
set status enable
end
برای ارسال لاگ به Syslog Server:
config log syslogd setting
set status enable
set server "10.10.20.50"
set port 514
end
در محیط سازمانی، FortiAnalyzer گزینه مناسبتری است؛ چون علاوه بر ذخیرهسازی متمرکز، امکان گزارشگیری، تحلیل رخدادها و نگهداری بلندمدت لاگ را فراهم میکند.
بعد از پایان تنظیمات پایه، باید از کانفیگ Backup گرفته شود. این Backup نقطه بازگشت سالم شماست. قبل از هر تغییر مهم مثل Upgrade، تغییر VDOM، تغییر Route، تغییر Policyهای اصلی یا انتقال Interfaceها نیز باید Backup گرفته شود.
برای گرفتن Backup از GUI:
Admin Menu > Configuration > Backup
یا در بعضی نسخهها:
Dashboard > System Information > Backup
پیشنهاد میشود Backup بهصورت رمزگذاریشده ذخیره شود:
Backup Mode: Local PC
Encryption: Enable
Password: Strong Backup Password
نامگذاری فایل Backup بهتر است شامل نام دستگاه، محل نصب و تاریخ باشد:
FGT-HQ-Initial-Backup-2026-05-01.conf
معادل CLI برای Backup گرفتن روی TFTP:
execute backup config tftp FGT-HQ-Initial-Backup.conf 10.10.20.10
در صورت استفاده از FTP یا SFTP نیز میتوان Backup را به سرور مرکزی منتقل کرد. نگهداری فایل Backup بدون رمزگذاری روی سیستمهای عمومی یا اشتراکی توصیه نمیشود.
VDOM یا Virtual Domain قابلیتی است که FortiGate را به چند فایروال منطقی مستقل تقسیم میکند. هر VDOM میتواند Routing Table، Policy، Interface، Admin و تنظیمات امنیتی جداگانه داشته باشد. این قابلیت برای سازمانهایی کاربرد دارد که میخواهند شبکه کاربران، سرورها، شعب، مشتریان یا واحدهای مختلف را از هم جدا کنند و یکی از کاربردی ترین روشها برای جلوگیری از بلاک شدن استفاده میشود.
فعالسازی VDOM باید با دقت انجام شود، چون در صورت طراحی اشتباه ممکن است دسترسی Management یا مسیرهای ارتباطی قطع شوند. بهتر است قبل از فعالسازی VDOM، از دستگاه Backup گرفته شود و دسترسی Console آماده باشد.
برای فعالسازی VDOM از طریق GUI، در نسخههایی که این گزینه در GUI موجود است، وارد بخش Global شوید و مسیر زیر را بررسی کنید:
(برای تنظیمات کامل تر به مقاله لینک شده مراجعه کنید.)
Global > System > Settings
یا: