وقتی FortiGate چند سال در مسیر اصلی اینترنت، دیتاسنتر یا شعبه کار کرده باشد، مشکل اصلی معمولا خود دستگاه نیست؛ Rule Base شلوغ، Objectهای تکراری، NATهای قدیمی، دسترسی‌های موقت و لاگ ناقص است. بازبینی Policy یعنی قبل از اینکه تغییر بعدی دردسر بسازد، وضعیت واقعی فایروال را قابل فهم و قابل نگهداری کنیم.

بازبینی Policy در FortiGate دقیقا چه چیزی را بررسی می‌کند؟

در یک بررسی جدی، فقط دنبال Ruleهای «Any Any» نمی‌گردیم. باید مسیر ترافیک، ترتیب اجرای Policy، Zoneها، Interfaceها، NAT، Security Profile، VPN، Local-in Policy، دسترسی مدیریتی و کیفیت لاگ کنار هم دیده شوند. ممکن است یک Rule ظاهرا محدود باشد، اما به خاطر Object Group اشتباه یا NAT نامشخص، عملا سطح دسترسی زیادی ایجاد کند.

خروجی خوب هم فقط یک گزارش بلند نیست. تیم فنی باید بداند کدام Rule پرریسک است، چرا پرریسک است، قبل از تغییر چه چیزی باید تست شود، بعد از تغییر چه لاگی باید دیده شود و اگر سرویس تحت تاثیر قرار گرفت، مسیر برگشت چیست.

نشانه‌هایی که می‌گویند Rule Base به بازبینی نیاز دارد

  • Ruleهایی که نام یا توضیح ندارند و مالک سرویس مشخص نیست.
  • Objectهایی که چند بار با نام‌های مختلف ساخته شده‌اند.
  • Policyهایی که برای تست موقت ایجاد شده‌اند اما هنوز فعال مانده‌اند.
  • NATهایی که معلوم نیست مربوط به کدام سرویس یا کدام تیم هستند.
  • Ruleهای قدیمی که Hit ندارند، اما کسی جرات حذف آن‌ها را ندارد.
  • Security Profileهایی که برای بعضی مسیرها فعال است و برای مسیرهای مشابه نه.
  • VPN یا SD-WAN که با تغییر Policy رفتار غیرقابل پیش‌بینی پیدا می‌کند.

ترتیب امن برای مرتب‌سازی Ruleها

مرتب‌سازی FortiGate نباید با حذف سریع Ruleها شروع شود. اول باید یک تصویر قابل اعتماد از مسیرهای مهم ساخته شود: سرویس‌های حیاتی، کاربران راه دور، شعبه‌ها، سرورها، Published Serviceها، مسیرهای مانیتورینگ و دسترسی‌های مدیریتی. بعد می‌توان Ruleها را به چند گروه تقسیم کرد: ضروری و فعال، مشکوک و نیازمند بررسی، قابل محدودسازی، قابل غیرفعال‌سازی آزمایشی و قابل حذف بعد از دوره مشاهده.

برای هر تغییر، بهتر است قبل و بعد از اجرا چند شاهد مشخص داشته باشیم: Session، لاگ Forward Traffic، لاگ UTM، وضعیت VPN، مسیر برگشت و نتیجه تست سرویس. این کار شاید کندتر از پاک‌سازی سریع به نظر برسد، اما در شبکه عملیاتی جلوی قطعی‌های بی‌دلیل را می‌گیرد.

اشتباه رایج: مرتب‌سازی فقط بر اساس ظاهر Ruleها

گاهی Ruleها از نظر نام‌گذاری و ترتیب مرتب می‌شوند، اما ریسک واقعی باقی می‌ماند. مثلا Source محدود است ولی Destination یک گروه بزرگ و قدیمی است. یا Service به جای چند پورت مشخص، یک گروه عمومی دارد. یا لاگ فقط برای بخشی از ترافیک فعال است و در زمان حادثه نمی‌شود فهمید چه اتفاقی افتاده است. بازبینی درست باید به اثر واقعی Rule روی مسیر ترافیک نگاه کند، نه فقط به ظاهر تمیز جدول Policy.

ارتباط Policy Review با هاردنینگ FortiGate

بازبینی Rule Base با امن‌سازی دسترسی مدیریتی FortiGate فرق دارد، اما از آن جدا نیست. اگر پنل مدیریت از مسیرهای اشتباه در دسترس باشد، اگر حساب‌های مدیریتی مشترک باشند، یا اگر لاگ ورود مدیران درست نگهداری نشود، حتی Rule Base مرتب هم تصویر کاملی از ریسک نمی‌دهد.

از طرف دیگر، اگر هدف شما اجرای کامل‌تر باشد، صفحه مشاوره و پیاده‌سازی FortiGate مسیر خدماتی را توضیح می‌دهد و برای شروع پروژه مناسب‌تر است. برای شبکه‌ای که الان مشکل عملیاتی دارد، مطلب عیب‌یابی FortiGate از Policy و NAT تا VPN و لاگ نقطه شروع دقیق‌تری است.

خروجی قابل استفاده برای تیم فنی

در پایان بازبینی، باید یک فهرست قابل اجرا وجود داشته باشد: Ruleهای پرریسک، Ruleهای بدون مالک، Objectهای تکراری، NATهای مبهم، مسیرهای فاقد لاگ، دسترسی‌های مدیریتی حساس، پیشنهاد تغییر مرحله‌ای و ترتیب اجرا. کنار هر پیشنهاد باید دلیل فنی، ریسک احتمالی، تست قبل و بعد، و روش Rollback نوشته شود.

اگر FortiGate در سازمان شما در مسیر سرویس‌های حساس قرار دارد، بهتر است بازبینی را مثل یک پروژه تغییر ببینید، نه مثل یک تمیزکاری ساده. هدف این نیست که تعداد Ruleها فقط کمتر شود؛ هدف این است که هر Rule دلیل، مالک، لاگ و مسیر نگهداری روشن داشته باشد.

علیرضا عربیان

مشاور و مدرس امنیت شبکه، متخصص FortiGate، FortiWeb و F5 BIG-IP در زیرساخت‌های سازمانی.

مشاهده همه مقالات ←

دیدگاه بگذارید