آشنایی با مفهوم FortiGate SD-WAN و قابلیت های کاربردی آن

دسته‌ها

امنیت

راهنمای جامع آشنایی با (فیشینگ) Phishing و نحوه مقابله با آن

FortiEDR چیست و چگونه از شبکه‌های سازمانی محافظت می‌کند؟

جرم‌شناسی دیجیتال، رمزگشایی از دنیای جرم در عصر دیجیتال

فورتی‌نت، معماری امنیت اعتماد صفر را چگونه تعریف می‌کند؟

آشنایی با معماری و کاربرد‌های FortiGate-VM

مدیریت امنیت سازمانی (Enterprise Security Management) چیست؟

آشنایی با مفهوم FortiGate SD-WAN و قابلیت های کاربردی آن

آشنایی با سرویس FortiGuard Attack Surface Security

شبکه گسترده نرم‌افزارمحور امن (Secure SD-WAN) یک فناوری شبکه‌سازی پیشرفته است که بر مبنای رویکرد شبکه‌سازی نرم‌افزارمحور (Software-Defined Networking)، مدیریت شبکه‌های گسترده (WAN) را بهبود می‌بخشد و امنیت را در اولویت قرار می‌دهد. برخلاف WANهای سنتی که عمدتا از فناوری‌های اختصاصی MPLS برای اتصال شعب یا مراکز داده استفاده می‌کردند، Secure SD-WAN یک لایه مجازی‌سازی‌شده (overlay) روی انواع اتصالات مانند MPLS، اینترنت پهن‌باند، و LTE/5G ایجاد می‌کند و با مدیریت متمرکز، ترافیک را به‌صورت پویا و هوشمند هدایت می‌کند. این فناوری با جداسازی لایه کنترلی (control plane) از لایه انتقال داده (forwarding plane)، امکان مدیریت متمرکز از طریق یک کنترل‌کننده نرم‌افزاری را فراهم می‌کند که پالیسی‌های امنیتی و ترافیکی را به‌صورت یکپارچه اعمال می‌کند.

Secure SD-WAN چیست؟

امنیت در Secure SD-WAN از طریق ویژگی‌هایی مانند رمزنگاری سرتاسری (AES 256-bit)، فایروال نسل بعدی (NGFW)، سیستم جلوگیری از نفوذ (IPS)، فیلتر DNS و حفاظت در برابر تهدیدات پیشرفته (ATP) تقویت می‌شود، که از داده‌ها در برابر تهدیدات سایبری مانند باج‌افزارها محافظت می‌کند. Secure SD-WAN همچنین با SASE سرنام Secure Access Service Edge ادغام می‌شود، که ترکیبی از قابلیت‌های شبکه‌ و امنیت مانند شبکه دسترسی اعتماد صفر ZTNA سرنام Zero Trust Network Access و CASB سرنام Cloud Access Security Broker را ارائه می‌دهد تا دسترسی امن به برنامه‌های ابری و SaaS مانند Microsoft Office 365 یا Salesforce را تضمین کند.

این فناوری امکان انتخاب مسیر پویا (Dynamic Path Selection) را فراهم می‌کند، که بر اساس شرایط شبکه (مانند تاخیر یا ازدحام) بهترین مسیر را برای ترافیک انتخاب می‌کند، و در عین حال پالیسی‌های امنیتی را حفظ می‌کند. مدیریت متمرکز از طریق یک رابط کاربری ساده، دید جامع به شبکه (Network Visibility) را ارائه می‌دهد و امکان اعمال پالیسی‌های امنیتی در شعب، مراکز داده و ابر را بدون نیاز به تیم IT محلی فراهم می‌سازد. علاوه بر این Secure SD-WAN هزینه‌های عملیاتی (OpEx) را با جایگزینی MPLS گران‌قیمت با اتصالات اینترنت مقرون‌به‌صرفه کاهش می‌دهد و در عین حال عملکرد برنامه‌ها را از طریق بهینه‌سازی مسیر (Path Optimization) و کیفیت خدمات (QoS) بهبود می‌بخشد.

این فناوری از سخت‌افزارهای تجاری استاندارد (COTS) پشتیبانی می‌کند، که هزینه‌های سرمایه‌ای (CapEx) را کاهش داده و وابستگی به فروشندگان خاص (Vendor Lock-in) را کم می‌کند. برای مثال، در مقایسه با MPLS که سعی دارد بر مبنای فناوری‌های مختلف، امنیت بالا را ارائه دهد، Secure SD-WAN با ارائه تونل‌های رمزنگاری‌شده و تقسیم‌بندی سرتاسری (End-to-End Segmentation)، امنیت را بدون کاهش انعطاف‌پذیری حفظ می‌کند.

این فناوری برای سازمان‌هایی با شعب متعدد، محیط‌های ابری ترکیبی، یا کاربران دورکار ایده‌آل است، زیرا امکان اتصال امن و سریع به برنامه‌های ابری را فراهم می‌کند. با این حال، پیاده‌سازی Secure SD-WAN نیازمند پیکربندی دقیق و منابع کافی (مانند CPU و RAM) است، و ممکن است در محیط‌هایی با زیرساخت محدود یا قراردادهای MPLS موجود چالش‌هایی ایجاد کند. با توجه به توضیحاتی که ارائه کردیم باید بگوییم، Secure SD-WAN با ترکیب مدیریت ساده، امنیت پیشرفته و انعطاف‌پذیری بالا، راه‌حلی مدرن برای نیازهای شبکه‌ای و امنیتی سازمان‌های امروزی ارائه می‌دهد.

FortiGate SD-WAN چیست؟

FortiGate SD-WAN یک راه‌حل شبکه گسترده نرم‌افزار-محور (SD-WAN) است که توسط فورتی‌نت توسعه یافته و در فایروال‌های نسل بعدی فورتی‌گیت از جمله مدل‌های فیزیکی و مجازی (FortiGate-VM) ادغام شده است. این فناوری با ترکیب قابلیت‌های شبکه‌ای پیشرفته و امنیت یکپارچه، مدیریت اتصالات WAN را بهینه کرده و عملکرد برنامه‌ها را در محیط‌های چندشعبه‌ای، ابری و ترکیبی بهبود می‌بخشد. FortiGate SD-WAN از یک کنترل‌کننده متمرکز مبتنی بر سیستم‌عامل FortiOS بهره می‌برد که امکان مدیریت یکپارچه پالیسی‌های شبکه و امنیتی را از طریق FortiManager فراهم می‌کند. این راه‌حل از انواع اتصالات WAN مانند MPLS، اینترنت پهن‌باند، LTE/5G و حتی اتصالات ماهواره‌ای پشتیبانی می‌کند و با استفاده از مکانیزم انتخاب مسیر پویا (Dynamic Path Selection)، ترافیک را بر اساس معیارهایی مانند تاخیر، پهنای باند یا کیفیت خدمات (QoS) به بهترین مسیر هدایت می‌کند.

برای مثال، ترافیک برنامه‌های حساس مانند VoIP یا Microsoft Office 365 می‌تواند به‌طور خودکار به لینک‌های با کیفیت بالا هدایت شود. این در حالی است که امنیت در FortiGate SD-WAN یکپارچه است و شامل فایروال نسل بعدی، سیستم جلوگیری از نفوذ، رمزنگاری AES 256-bit برای تونل‌های VPN، فیلتر وب، آنتی‌ویروس و حفاظت در برابر تهدیدات پیشرفته (ATP) می‌شود که از طریق خدمات FortiGuard به‌روزرسانی می‌شوند. این قابلیت‌ها از شبکه در برابر تهدیدات سایبری مانند باج‌افزارها محافظت می‌کنند. FortiGate SD-WAN همچنین از تقسیم‌بندی سرتاسری (End-to-End Segmentation) پشتیبانی می‌کند که امکان جداسازی ترافیک حساس (مانند داده‌های مالی) را فراهم می‌سازد. ادغام با Secure Access Service Edge و ZTNA سرنام Zero Trust Network Access دسترسی امن به برنامه‌های ابری مانند Salesforce یا Google Workspace را تضمین می‌کند، که برای کاربران دورکار و محیط‌های ابری ترکیبی حیاتی است.

بهینه‌سازی برنامه‌ها از طریق ویژگی‌هایی مانند Application Steering و Forward Error Correction (FEC) عملکرد برنامه‌های حیاتی را حتی در لینک‌های ناپایدار بهبود می‌بخشد. این راه‌حل هزینه‌های عملیاتی را با جایگزینی لینک‌های MPLS گران‌قیمت با اتصالات اینترنتی ارزان‌تر کاهش می‌دهد و با استفاده از سخت‌افزارهای استاندارد (COTS) هزینه‌های سرمایه‌ای را به حداقل می‌رساند. مدیریت متمرکز و دید جامع شبکه (Network Visibility) از طریق داشبورد FortiManager نیز امکان نظارت و پیکربندی آسان را فراهم می‌کند، که برای سازمان‌های با شعب متعدد مناسب است. با این حال، پیاده‌سازی FortiGate SD-WAN نیازمند منابع کافی مانند حداقل 4 vCPU و 8 گیگابایت حافظه اصلی برای FortiGate-VM و پیکربندی دقیق برای ویژگی‌هایی مانند (High Availability) است، که ممکن است برای محیط‌های کوچک‌تر چالش‌برانگیز باشد. FortiGate SD-WAN با پشتیبانی از استانداردهای امنیتی مانند TUV و IEC 60950 و ادغام با پلتفرم‌های ابری مانند آژور، AWS و GCPبرای سازمان‌هایی که به دنبال راه‌حلی مقیاس‌پذیر، امن و مقرون‌به‌صرفه برای مدیریت شبکه‌های پیچیده هستند، گزینه‌ای ایده‌آل است.

چگونه SD-WAN را روی فایروال‌های FortiGate پیاده‌سازی کنیم؟

پیاده‌سازی FortiGate SD-WAN روی فایروال‌های فورتی‌گیت نیازمند برنامه‌ریزی دقیق، پیکربندی مناسب و درک نیازهای شبکه است. این فرآیند شامل تنظیمات نرم‌افزاری در سیستم‌عامل FortiOS برای بهینه‌سازی ترافیک WAN، افزایش امنیت و مدیریت متمرکز است. به طور کلی، مراحل پیاده‌سازی FortiGate SD-WAN به‌صورت گام‌به‌گام و با تمرکز بر جنبه‌های فنی به شرح زیر هستند:

1. برنامه‌ریزی و آماده‌سازی (Preparation)

قبل از شروع، ابتدا باید نیازهای شبکه را ارزیابی کنید: تعداد شعب، نوع اتصالات WAN (MPLS، اینترنت پهن‌باند، LTE/5G)، برنامه‌های حیاتی (مانند VoIP یا Office 365) و الزامات امنیتی. اطمینان حاصل کنید که فایروال فورتی‌گیت (فیزیکی یا FortiGate-VM) از نسخه FortiOS 6.2 یا بالاتر پشتیبانی می‌کند، زیرا SD-WAN در این نسخه‌ها به‌صورت کامل پیاده‌سازی می‌شود. مورد مهم بعدی که باید بررسی کنید این است که لایسنس‌های لازم (مانند FortiCare و FortiGuard UTM) فعال باشند، به‌ویژه برای ویژگی‌های امنیتی مانند IPS و آنتی‌ویروس. همچنین، اتصالات WAN (حداقل دو لینک، مانند MPLS و اینترنت) و آدرس‌های IP عمومی یا خصوصی برای هر رابط را آماده کنید.

2. پیکربندی رابط‌های SD-WAN (SD-WAN Interfaces)

از طریق رابط کاربری وب FortiGate یا FortiManager به کنسول مدیریتی وارد شوید. در بخش Network > SD-WAN، گزینه SD-WAN را فعال کنید. رابط‌های WAN (مانند wan1 و wan2) را به‌عنوان گره‌های SD-WAN اضافه کنید. همچنین، پیشنهاد می‌شود برای هر رابط، پارامترهایی مانند پهنای باند (Bandwidth)، هزینه (Cost) و اولویت (Priority) را تنظیم کنید. برای مثال، اگر MPLS لینک اصلی است، هزینه پایین‌تری (مثلا 10) به آن اختصاص دهید و برای اینترنت پهن‌باند هزینه بالاتر (مثلا 20) تنظیم کنید. قابلیت Health Check را برای بررسی وضعیت لینک‌ها (مانند تاخیر یا قطعی) فعال کنید. در این‌جا، باید سرورهایی را برای اطمینان از دسترس‌پذیری تعریف کنید تا فورتی‌گیت به‌طور خودکار لینک‌های ناپایدار را شناسایی و کنار بگذارد.

3. تنظیم قوانین SD-WAN (SD-WAN Rules)

در بخش SD-WAN Rules، پالیسی‌های هدایت ترافیک را تعریف کنید. برای برنامه‌های حیاتی (مانند VoIP)، قانونی ایجاد کنید که ترافیک را به لینک با کمترین تاخیر (Low Latency) هدایت کند. برای برنامه‌های غیرحیاتی (مانند مرور وب)، از Best Effort یا Maximum Bandwidth استفاده کنید. کارشناسان شبکه و امنیت ازApplication Control Signatures برای شناسایی برنامه‌ها مانند Microsoft Teams استفاده می‌کنند تا پالیسی‌ها به‌صورت خودکار اعمال شوند، پیشنهاد می‌کنیم شما نیز چنین کاری را انجام دهید. برای مثال، می‌توانید ترافیک Office 365 را به لینک MPLS هدایت کنید و ترافیک عمومی را به اینترنت پهن‌باند هدایت کنید. علاوه بر این، FEC سرنام Forward Error Correction را برای لینک‌های ناپایدار فعال کنید تا از دست رفتن بسته‌ها کاهش یابد.

4. پیکربندی امنیت (Security Policies)

FortiGate SD-WAN امنیت را از طریق فایروال نسل بعدی یکپارچه می‌کند. در بخش Policy & Objects > Firewall Policy، پالیسی‌های امنیتی را برای ترافیک SD-WAN تعریف کنید. قابلیت‌هایی مانند IPS، آنتی‌ویروس، فیلتر وب و رمزنگاری AES 256-bit را برای تونل‌های IPSec فعال کنید. برای کاربران دورکار، SSL VPN یا ZTNA سرنام (Zero Trust Network Access) را پیکربندی کنید. از خدمات FortiGuard نیز برای به‌روزرسانی امضاهای تهدید استفاده کنید. برای تقسیم‌بندی شبکه، VLANها یا VDOMها را تنظیم کنید تا ترافیک حساس (مانند داده‌های مالی) از ترافیک عمومی جدا شود.

5. پیکربندی High Availability و مدیریت متمرکز

برای اطمینان از پایداری، ویژگی دسترس‌پذیری بالا در حالت فعال-غیر فعال، بهترین راهکاری که در اختیار دارید این است که از ابزار FGCP سرنام FortiGate Clustering Protocol استفاده کرده و آن را به درستی پیکربندی کنید. یک رابط اختصاصی (مانند port3) برای همگام‌سازی HA تنظیم کنید و اطمینان حاصل کنید که هر دو دستگاه FortiGate از یک نسخه FortiOS استفاده می‌کنند. همچنین، از FortiManager برای مدیریت متمرکز چندین دستگاه فورتی‌گیت که ممکن است در شعب مختلف باشند، استفاده کنید. این ابزار امکان نظارت بر عملکرد شبکه، لاگ‌ها و اعمال پالیسی‌های یکپارچه را فراهم می‌کند. برای محیط‌های ابری، از SDN Connector برای ادغام با APIهای ابری (مانند AWS یا Azure) استفاده کنید.

6. آزمایش و بهینه‌سازی (Testing and Optimization)

پس از پیکربندی، ترافیک شبکه را با ابزارهایی مانند FortiAnalyzer یا داشبورد FortiGate بررسی کنید. تست‌های سلامت لینک (Link Health) و عملکرد برنامه‌ها را انجام دهید و در صورت نیاز، تنظیمات QoS یا اولویت‌بندی لینک‌ها را بهینه کنید. برای مثال، اگر تاخیر در لینک اینترنت بالا است، وزن بیشتری به MPLS بدهید. لاگ‌های امنیتی را برای شناسایی تهدیدات بررسی کنید و به‌روزرسانی‌های FortiOS را به‌طور منظم اعمال کنید.

کلام آخر

FortiGate SD-WAN، که در فایروال‌های نسل بعدی فورتی‌گیت ادغام شده، مزایای متعددی را برای مدیریت شبکه‌های گسترده در محیط‌های پیچیده ارائه می‌دهد. این راه‌حل با ترکیب قابلیت‌های شبکه‌ای و امنیتی پیشرفته، عملکرد برنامه‌ها را بهینه می‌کند و هزینه‌های عملیاتی را کاهش می‌دهد، زیرا امکان استفاده از اتصالات ارزان‌تر مانند اینترنت پهن‌باند به جای MPLS گران‌قیمت را فراهم می‌سازد. با انتخاب مسیر پویا، ترافیک برنامه‌های حیاتی مانند ویپ یا Microsoft Office 365 به لینک‌های با کیفیت بالا هدایت می‌شود، که تجربه کاربری را بهبود می‌بخشد. همچنین، امنیت یکپارچه‌ای ارائه می‌دهد که شامل رمزنگاری AES مبتنی بر 256 بیت، فایروال نسل بعدی، سیستم جلوگیری از نفوذ و آنتی‌ویروس، حفاظت قوی در برابر تهدیدات سایبری و غیره است. ادغام با FortiGuard به‌روزرسانی‌های مداوم تهدیدات را تضمین می‌کند، در حالی که پشتیبانی از ZTNA و SASE دسترسی امن به برنامه‌های ابری را برای کاربران دورکار فراهم می‌سازد. مدیریت متمرکز از طریق FortiManager دید جامع و پیکربندی ساده‌ای را در شعب متعدد ارائه می‌دهد، که نیاز به تیم‌های IT محلی را کاهش می‌دهد. قابلیت تقسیم‌بندی شبکه، ترافیک حساس را ایزوله می‌کند و امنیت را تقویت می‌کند. همچنین، FortiGate SD-WAN با پشتیبانی از سخت‌افزارهای استاندارد و پلتفرم‌های ابری مانند AWS و Azureانعطاف‌پذیری بالایی دارد و هزینه‌های سرمایه‌گذاری را کاهش می‌دهد. به طور مثال، ویژگی‌هایی مانند Forward Error Correction عملکرد را در لینک‌های ناپایدار بهبود می‌بخشد. این راه‌حل برای سازمان‌هایی با زیرساخت‌های توزیع‌شده ایده‌آل است، هرچند نیازمند پیکربندی دقیق و منابع کافی است تا از عملکرد بهینه اطمینان حاصل شود.

نویسنده: حمیدرضا تائبی

لیست سرور HPE نسل ۱۰، ۱۱ و ۱۲

اشتراک‌گذاری

مطالب مشابه

بحران را مهار کنید: BCP و DRP کلید بقای کسب‌وکار شما

۱۶ تیر ۱۴۰۴

10 ویژگی HPE ProLiant Gen10 Plus

۱۰ تیر ۱۴۰۴