intoview.aiشبكات · أمن · سحابة · ذكاء اصطناعي
→ رجوع لكورس كورس FortiGate Firewall
مشروع تطبيقي

مشروع التخرّج: نشر FortiGate 7.6 لشركة Falcon Trading

العميل: شركة Falcon Trading

شركة Falcon Trading شركة تجارية لديها مقرّ رئيسي (HQ) وفرع واحد بعيد، وتريد بناء بنية أمنية موحّدة على جهاز FortiGate يعمل بنظام FortiOS 7.6. المطلوب توصيل المقرّ بالإنترنت بشكل آمن، وربط الفرع عبر نفق IPsec VPN، وتطبيق فحص أمني عميق على حركة الإنترنت، وإرسال السجلات إلى FortiAnalyzer مركزيًّا. كما تطلب الشركة تجهيز توافر عالٍ (HA) لضمان الاستمرارية، ثم التحقق التشغيلي وتسليم الحل. أنت مهندس الشبكات والأمن المكلَّف بتنفيذ المشروع مرحلةً بمرحلة عبر سطر الأوامر (CLI).

تقدّم المشروع٠/٨ · ٠%
١
الإعداد الأولي للنظام والواجهات
افتح الدرس المرتبط ←
المطلوب: العميل يحتاج تجهيز جهاز FortiGate جديد في المقرّ الرئيسي بهوية واضحة وواجهات شبكة جاهزة. اضبط الـ hostname إلى HQ-FGT، وهيّئ المنفذ port1 كواجهة WAN بعنوان ثابت 203.0.113.10/30، والمنفذ port2 كواجهة LAN بعنوان 10.10.10.1/24 مع السماح بالإدارة عليها.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
تحديد هوية الجهاز يسهّل تمييزه لاحقًا في الإدارة و الـ HA و الـ logs.
  • config system globalالدخول إلى قسم الإعداد
  • set hostname "HQ-FGT"ضبط قيمة إعداد
  • endحفظ والخروج من القسم
HQ-FGT — FortiOS CLI
# المهمة: ضبط اسم المضيف (hostname)
HQ-FGT #
0/3
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
تحديد هوية الجهاز يسهّل تمييزه لاحقًا في الإدارة و الـ HA و الـ logs.
٢
سياسة الوصول إلى الإنترنت
افتح الدرس المرتبط ←
المطلوب: العميل يحتاج تمكين مستخدمي الشبكة الداخلية من الوصول إلى الإنترنت بشكل مُتحكَّم. أنشئ firewall policy تسمح بالحركة من LAN على port2 إلى WAN على port1 مع تفعيل الـ NAT لإخفاء العناوين الداخلية.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
تفعيل الـ nat يحوّل العناوين الخاصة 10.10.10.0/24 إلى عنوان الـ WAN العام عند الخروج للإنترنت.
  • config firewall policyالدخول إلى قسم الإعداد
  • edit 1إنشاء/تعديل كائن
  • set name "LAN-to-Internet"ضبط قيمة إعداد
  • set srcintf "port2"ضبط قيمة إعداد
  • set dstintf "port1"ضبط قيمة إعداد
  • set srcaddr "all"ضبط قيمة إعداد
  • set dstaddr "all"ضبط قيمة إعداد
  • set action acceptضبط قيمة إعداد
  • set schedule "always"ضبط قيمة إعداد
  • set service "ALL"ضبط قيمة إعداد
  • set nat enableضبط قيمة إعداد
  • nextحفظ الكائن والعودة
  • endحفظ والخروج من القسم
HQ-FGT — FortiOS CLI
# المهمة: إنشاء سياسة الإنترنت من LAN إلى WAN
HQ-FGT #
0/13
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
تفعيل الـ nat يحوّل العناوين الخاصة 10.10.10.0/24 إلى عنوان الـ WAN العام عند الخروج للإنترنت.
٣
المسار الافتراضي للإنترنت
افتح الدرس المرتبط ←
المطلوب: العميل يحتاج توجيه كل الحركة غير المعروفة نحو مزوّد خدمة الإنترنت. أضف static route افتراضيًّا 0.0.0.0/0 عبر البوّابة 203.0.113.9 على المنفذ port1 حتى يجد المرور طريقه للخارج.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
هذا المسار يمثّل الـ default gateway الذي يوجّه كل الـ traffic غير المطابق لمسار أدقّ نحو الـ ISP.
  • config router staticالدخول إلى قسم الإعداد
  • edit 1إنشاء/تعديل كائن
  • set dst 0.0.0.0 0.0.0.0ضبط قيمة إعداد
  • set gateway 203.0.113.9ضبط قيمة إعداد
  • set device "port1"ضبط قيمة إعداد
  • nextحفظ الكائن والعودة
  • endحفظ والخروج من القسم
HQ-FGT — FortiOS CLI
# المهمة: إضافة المسار الافتراضي
HQ-FGT #
0/7
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
هذا المسار يمثّل الـ default gateway الذي يوجّه كل الـ traffic غير المطابق لمسار أدقّ نحو الـ ISP.
٤
نفق IPsec VPN إلى الفرع
افتح الدرس المرتبط ←
المطلوب: العميل يحتاج ربط الفرع البعيد بالمقرّ الرئيسي عبر نفق مشفّر آمن. أنشئ phase1-interface و phase2-interface باستخدام IKEv2 و مفتاح مشترك مسبقًا (PSK) نحو العنوان العام للفرع 198.51.100.20، ثم أضف static route نحو شبكة الفرع 10.20.20.0/24 عبر واجهة النفق.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
الـ phase1-interface ينشئ واجهة نفق منطقية، و IKEv2 أكثر كفاءة وأمانًا من IKEv1 للنفق بين الموقعين.
  • config vpn ipsec phase1-interfaceالدخول إلى قسم الإعداد
  • edit "BranchVPN"إنشاء/تعديل كائن
  • set interface "port1"ضبط قيمة إعداد
  • set ike-version 2ضبط قيمة إعداد
  • set peertype anyضبط قيمة إعداد
  • set proposal aes256-sha256ضبط قيمة إعداد
  • set remote-gw 198.51.100.20ضبط قيمة إعداد
  • set psksecret Falc0n-VPN-PSK!ضبط قيمة إعداد
  • nextحفظ الكائن والعودة
  • endحفظ والخروج من القسم
  • config vpn ipsec phase2-interfaceالدخول إلى قسم الإعداد
  • edit "BranchVPN-p2"إنشاء/تعديل كائن
  • set phase1name "BranchVPN"ضبط قيمة إعداد
  • set proposal aes256-sha256ضبط قيمة إعداد
  • set src-subnet 10.10.10.0 255.255.255.0ضبط قيمة إعداد
  • set dst-subnet 10.20.20.0 255.255.255.0ضبط قيمة إعداد
  • nextحفظ الكائن والعودة
  • endحفظ والخروج من القسم
HQ-FGT — FortiOS CLI
# المهمة: تهيئة Phase 1 و Phase 2
HQ-FGT #
0/18
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
الـ phase1-interface ينشئ واجهة نفق منطقية، و IKEv2 أكثر كفاءة وأمانًا من IKEv1 للنفق بين الموقعين.
٥
الفحص الأمني العميق لحركة الإنترنت
افتح الدرس المرتبط ←
المطلوب: العميل يحتاج رفع مستوى الأمان بفحص الحركة المشفّرة وحجب التهديدات والمحتوى غير المرغوب. فعّل deep-inspection عبر ملف ssl-ssh-profile واربطه بسياسة الإنترنت مع تفعيل الـ antivirus و web filter للفحص داخل الجلسات المشفّرة.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
وضع deep-inspection يفكّ تشفير الـ HTTPS مؤقتًا داخل الجهاز ليتمكّن الـ AV و الـ web filter من رؤية المحتوى الحقيقي.
  • config firewall ssl-ssh-profileالدخول إلى قسم الإعداد
  • edit "deep-inspection"إنشاء/تعديل كائن
  • config httpsالدخول إلى قسم الإعداد
  • set ports 443ضبط قيمة إعداد
  • set status deep-inspectionضبط قيمة إعداد
  • endحفظ والخروج من القسم
  • nextحفظ الكائن والعودة
  • endحفظ والخروج من القسم
HQ-FGT — FortiOS CLI
# المهمة: تفعيل deep-inspection على ملف SSL
HQ-FGT #
0/8
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
وضع deep-inspection يفكّ تشفير الـ HTTPS مؤقتًا داخل الجهاز ليتمكّن الـ AV و الـ web filter من رؤية المحتوى الحقيقي.
٦
السجلات المركزية إلى FortiAnalyzer
افتح الدرس المرتبط ←
المطلوب: العميل يحتاج تجميع كل السجلات في مكان واحد للمراقبة والتدقيق والتقارير. اضبط config log fortianalyzer setting للإرسال إلى الخادم 10.10.10.50، وفعّل logtraffic all على سياسة الإنترنت لتسجيل كل الجلسات.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
الخيار realtime يرسل السجلات فور حدوثها بدل التخزين والرفع الدوري، وهو الأنسب للمراقبة اللحظية.
  • config log fortianalyzer settingالدخول إلى قسم الإعداد
  • set status enableضبط قيمة إعداد
  • set server 10.10.10.50ضبط قيمة إعداد
  • set upload-option realtimeضبط قيمة إعداد
  • endحفظ والخروج من القسم
HQ-FGT — FortiOS CLI
# المهمة: توجيه السجلات إلى FortiAnalyzer
HQ-FGT #
0/5
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
الخيار realtime يرسل السجلات فور حدوثها بدل التخزين والرفع الدوري، وهو الأنسب للمراقبة اللحظية.
٧
التوافر العالي (HA) للاستمرارية
افتح الدرس المرتبط ←
المطلوب: العميل يحتاج ضمان استمرار الخدمة حتى عند تعطّل أحد الأجهزة. هيّئ system ha بنمط active-passive (a-p) مع group-name و priority و واجهة heartbeat مخصّصة (hbdev) لتشكيل عنقود من جهازي FortiGate.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
في نمط a-p يكون جهاز واحد primary فعّالًا والآخر احتياطيًّا؛ الـ priority الأعلى يحدّد الـ primary، و session-pickup يحافظ على الجلسات أثناء الـ failover.
  • config system haالدخول إلى قسم الإعداد
  • set mode a-pضبط قيمة إعداد
  • set group-name "FALCON-HA"ضبط قيمة إعداد
  • set group-id 10ضبط قيمة إعداد
  • set priority 200ضبط قيمة إعداد
  • set hbdev "port3" 50ضبط قيمة إعداد
  • set session-pickup enableضبط قيمة إعداد
  • endحفظ والخروج من القسم
HQ-FGT — FortiOS CLI
# المهمة: تهيئة عنقود HA بنمط active-passive
HQ-FGT #
0/8
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
في نمط a-p يكون جهاز واحد primary فعّالًا والآخر احتياطيًّا؛ الـ priority الأعلى يحدّد الـ primary، و session-pickup يحافظ على الجلسات أثناء الـ failover.
٨
التحقق التشغيلي والتسليم
افتح الدرس المرتبط ←
المطلوب: العميل يحتاج إثباتًا أن كل المكوّنات تعمل قبل التسليم النهائي. نفّذ أوامر تحقّق تشغيلية: اختبار ping لمضيف في الفرع، ومراجعة حالة نفق الـ IPsec، وجدول التوجيه الكامل، والجلسات النشطة في الجهاز.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
نجاح الـ ping إلى 10.20.20.10 يؤكّد المرور عبر النفق، و gateway list يظهر حالة IKE هل هي established أم لا.
  • execute ping 10.20.20.10تنفيذ أمر تشغيلي
  • diagnose vpn ike gateway listأمر تشخيص
HQ-FGT — FortiOS CLI
# المهمة: اختبار الوصول وحالة النفق
HQ-FGT #
0/2
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
نجاح الـ ping إلى 10.20.20.10 يؤكّد المرور عبر النفق، و gateway list يظهر حالة IKE هل هي established أم لا.
intoview.ai — هندسة الشبكات والأمن والسحابة والذكاء الاصطناعي