مشروع تطبيقي
مشروع تخرّج: الإدارة المركزية لشبكة Falcon Trading عبر FortiManager
العميل: شركة Falcon Trading للتجارة
بعد نجاح تأمين المقر الرئيسي، تتوسّع شركة Falcon Trading بسرعة وتفتح عشرات الفروع الجديدة، وأصبحت الإدارة الفردية لكل FortiGate عبر الـ GUI غير عملية ومُعرّضة للأخطاء. قرّرت الشركة اعتماد FortiManager كنقطة إدارة مركزية واحدة لكل أجهزة الجدار الناري عبر المقر والفروع. مهمتك كمسؤول النظام هي تجهيز جهاز FMG-HQ من الصفر، وتسجيل أجهزة HQ-FGT و BR1-FGT و BR2-FGT تحت ADOMs منظّمة، وبناء سياسة مركزية موحّدة، وأتمتة طرح الفروع الجديدة. ستتقدّم في خطوات المشروع كلما أنهيت الدرس المقابل لها.
تقدّم المشروع٠/٨ · ٠%
١
التجهيز الأولي لجهاز FortiManager
افتح الدرس المرتبط ←المطلوب: طلبت Falcon Trading إدخال جهاز FMG-HQ الجديد إلى الخدمة على عنوان الإدارة 10.10.10.60/24 مع البوابة 10.10.10.1 وتسمية واضحة للمضيف. اضبط أيضاً مزامنة الوقت عبر NTP لأن دقّة الطوابع الزمنية شرط أساسي لسجلّات التدقيق ومطابقة الإعدادات لاحقاً.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
هذه أوامر تُنفّذ على FortiManager نفسه عبر console أو SSH. في الـ GUI: System Settings > Network لضبط port1 و allowaccess، و System Settings > Dashboard لتغيير اسم المضيف، و System Settings > Network > Routing Table للبوابة الافتراضية.
config system interface— الدخول إلى قسم الإعدادedit "port1"— إنشاء/تعديل كائنset ip 10.10.10.60/24— ضبط قيمة إعدادset allowaccess ping https ssh— ضبط قيمة إعدادnext— حفظ الكائن والعودةend— حفظ والخروج من القسمconfig system global— الدخول إلى قسم الإعدادset hostname "FMG-HQ"— ضبط قيمة إعدادend— حفظ والخروج من القسمconfig system route— الدخول إلى قسم الإعدادedit 1— إنشاء/تعديل كائنset device "port1"— ضبط قيمة إعدادset gateway 10.10.10.1— ضبط قيمة إعدادnext— حفظ الكائن والعودةend— حفظ والخروج من القسم
FMG-HQ — FortiOS CLI
# المهمة: ضبط واجهة الإدارة والمضيف والبوابة
FMG-HQ #
0/15
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
هذه أوامر تُنفّذ على FortiManager نفسه عبر console أو SSH. في الـ GUI: System Settings > Network لضبط port1 و allowaccess، و System Settings > Dashboard لتغيير اسم المضيف، و System Settings > Network > Routing Table للبوابة الافتراضية.
٢
تفعيل وتنظيم الـ ADOMs
افتح الدرس المرتبط ←المطلوب: تريد Falcon Trading فصل إدارة المقر عن الفروع منطقياً ليبقى كل نطاق إداري معزولاً بسياساته وأجهزته الخاصة. فعّل خاصية الـ ADOM على FMG-HQ ثم أنشئ نطاقين إداريين باسم HQ و Branches.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
بعد التفعيل ستُطلب إعادة تسجيل الدخول وتظهر قائمة الـ ADOMs. بعدها من الـ GUI: System Settings > All ADOMs > Create New لإنشاء نطاق HQ ونطاق Branches وتحديد إصدار الـ firmware المطابق لأجهزة كل نطاق.
config system global— الدخول إلى قسم الإعدادset adom-status enable— ضبط قيمة إعدادend— حفظ والخروج من القسم
FMG-HQ — FortiOS CLI
# المهمة: تفعيل وضع الـ ADOM
FMG-HQ #
0/3
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
بعد التفعيل ستُطلب إعادة تسجيل الدخول وتظهر قائمة الـ ADOMs. بعدها من الـ GUI: System Settings > All ADOMs > Create New لإنشاء نطاق HQ ونطاق Branches وتحديد إصدار الـ firmware المطابق لأجهزة كل نطاق.
٣
تسجيل أجهزة FortiGate تحت الإدارة
افتح الدرس المرتبط ←المطلوب: المطلوب ربط أجهزة HQ-FGT و BR1-FGT و BR2-FGT بجهاز FMG-HQ ليصبح مصدر الإدارة المركزي لها. وجّه كل FortiGate إلى central-management على عنوان FortiManager ثم اعتمد الأجهزة من جانب FMG ووزّعها على الـ ADOMs الصحيحة.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
تُنفّذ هذه الأوامر على كل FortiGate (HQ-FGT ثم BR1-FGT ثم BR2-FGT). بعدها من جانب FortiManager في الـ GUI: Device Manager > Unauthorized، ثم Authorize للأجهزة الثلاثة وإسناد HQ-FGT إلى ADOM اسمه HQ والفرعين إلى ADOM اسمه Branches.
config system central-management— الدخول إلى قسم الإعدادset type fortimanager— ضبط قيمة إعدادset fmg "10.10.10.60"— ضبط قيمة إعدادend— حفظ والخروج من القسمexecute central-mgmt register-device FMG-HQ 10.10.10.60— تنفيذ أمر تشغيلي
FMG-HQ — FortiOS CLI
# المهمة: توجيه FortiGate إلى FortiManager (يُنفّذ على HQ-FGT)
FMG-HQ #
0/5
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
تُنفّذ هذه الأوامر على كل FortiGate (HQ-FGT ثم BR1-FGT ثم BR2-FGT). بعدها من جانب FortiManager في الـ GUI: Device Manager > Unauthorized، ثم Authorize للأجهزة الثلاثة وإسناد HQ-FGT إلى ADOM اسمه HQ والفرعين إلى ADOM اسمه Branches.
٤
استرجاع الإعدادات وفهم قواعد البيانات
افتح الدرس المرتبط ←المطلوب: قبل أي تعديل مركزي، تريد Falcon Trading التأكد من أن FMG-HQ يرى الأجهزة الثلاثة بحالة متزامنة (in sync) ويملك نسخة محدثة من إعداداتها. تحقّق من قائمة الأجهزة وحالة كل منها، وافهم الفرق بين Device DB و ADOM DB قبل أي عملية Install.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
الأمر يعرض الأجهزة المسجّلة وحالتها (مثل synchronized / modified / out of sync). في الـ GUI: Device Manager > Device & Groups، ثم Retrieve Config لسحب الإعداد الحالي من الجهاز إلى Device DB. تذكّر: Device DB يطابق ما على الجهاز، و ADOM DB يحوي السياسات المركزية، وأي تعديل لا يصل الجهاز إلا عبر Install Wizard الذي يعرض الـ diff قبل التطبيق.
diagnose dvm device list— أمر تشخيصdiagnose dvm check-integrity— أمر تشخيص
FMG-HQ — FortiOS CLI
# المهمة: عرض الأجهزة المُدارة وحالة التزامن
FMG-HQ #
0/2
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
الأمر يعرض الأجهزة المسجّلة وحالتها (مثل synchronized / modified / out of sync). في الـ GUI: Device Manager > Device & Groups، ثم Retrieve Config لسحب الإعداد الحالي من الجهاز إلى Device DB. تذكّر: Device DB يطابق ما على الجهاز، و ADOM DB يحوي السياسات المركزية، وأي تعديل لا يصل الجهاز إلا عبر Install Wizard الذي يعرض الـ diff قبل التطبيق.
٥
بناء السياسة المركزية Corp-Baseline
افتح الدرس المرتبط ←المطلوب: تريد Falcon Trading سياسة أمنية موحّدة تُطبّق على جميع الأجهزة بدل تكرار القواعد يدوياً على كل FortiGate. أنشئ Policy Package باسم Corp-Baseline مع الكائنات المشتركة، ثم أسنده للأجهزة ونفّذ Install، وتحقّق من نجاح التثبيت.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
بناء السياسة يتم من الـ GUI: Policy & Objects > Policy Packages > Create New باسم Corp-Baseline، ثم إنشاء الكائنات المشتركة (addresses و services) تحت Object Configurations، ثم Install Policy Package وإسناده للأجهزة. بعد التثبيت استخدم هذه الأوامر للتأكد أن الأجهزة عادت لحالة synchronized.
diagnose dvm device list— أمر تشخيصget system status— عرض معلومة/حالة
FMG-HQ — FortiOS CLI
# المهمة: التحقق من نتيجة آخر عملية تثبيت للسياسة
FMG-HQ #
0/2
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
بناء السياسة يتم من الـ GUI: Policy & Objects > Policy Packages > Create New باسم Corp-Baseline، ثم إنشاء الكائنات المشتركة (addresses و services) تحت Object Configurations، ثم Install Policy Package وإسناده للأجهزة. بعد التثبيت استخدم هذه الأوامر للتأكد أن الأجهزة عادت لحالة synchronized.
٦
أتمتة طرح الفروع بقوالب التهيئة
افتح الدرس المرتبط ←المطلوب: مع فتح فروع جديدة باستمرار، تريد Falcon Trading طرحاً شبه آلي (zero-touch) بدل الإعداد اليدوي لكل فرع. جهّز Provisioning Templates تجمع إعدادات النظام والـ CLI و SD-WAN في blueprint واحد يُسند لأي FortiGate جديد، ثم تأكّد من جاهزية البيئة.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
إنشاء القوالب يتم من الـ GUI داخل ADOM اسمه Branches: Device Manager > Provisioning Templates، حيث تُنشئ System Templates و CLI Templates و SD-WAN Templates ثم تجمعها في Template Group (blueprint) يُسند للأجهزة الجديدة لتهيئة zero-touch. استخدم هذه الأوامر للتأكد أن النطاق والأجهزة في الحالة المتوقعة قبل الإسناد.
diagnose dvm adom list— أمر تشخيصdiagnose dvm device list— أمر تشخيص
FMG-HQ — FortiOS CLI
# المهمة: التحقق من حالة النطاق الإداري والأجهزة قبل الطرح
FMG-HQ #
0/2
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
إنشاء القوالب يتم من الـ GUI داخل ADOM اسمه Branches: Device Manager > Provisioning Templates، حيث تُنشئ System Templates و CLI Templates و SD-WAN Templates ثم تجمعها في Template Group (blueprint) يُسند للأجهزة الجديدة لتهيئة zero-touch. استخدم هذه الأوامر للتأكد أن النطاق والأجهزة في الحالة المتوقعة قبل الإسناد.
٧
تشغيل FortiManager كخادم تحديثات FortiGuard محلي
افتح الدرس المرتبط ←المطلوب: لتقليل استهلاك الإنترنت في الفروع وتسريع التحديثات، تريد Falcon Trading أن تسحب الأجهزة تواقيع FortiGuard من FMG-HQ محلياً بدل الإنترنت العام. فعّل خدمة الـ FDS المحلية على FortiManager ثم وجّه أجهزة FortiGate لخادم FortiGuard على 10.10.10.60.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
هذه الأوامر تُنفّذ على FortiManager لتشغيله كـ local FortiGuard Distribution Server. في الـ GUI: FortiGuard > Settings لتفعيل خدمة التحديثات للأجهزة. على جانب كل FortiGate يُوجَّه الخادم عبر: config system central-management ثم config server-list ثم set server-type update rating ثم set server-address 10.10.10.60.
config fmupdate service— الدخول إلى قسم الإعدادset query-antivirus enable— ضبط قيمة إعدادset query-filter enable— ضبط قيمة إعدادend— حفظ والخروج من القسمconfig fmupdate fds-setting— الدخول إلى قسم الإعدادset linkd-log info— ضبط قيمة إعدادend— حفظ والخروج من القسمdiagnose fmupdate fds-providers— أمر تشخيصdiagnose fmupdate fgt-fds-stat— أمر تشخيص
FMG-HQ — FortiOS CLI
# المهمة: تفعيل خدمة التوزيع المحلية والتحقق منها (على FortiManager)
FMG-HQ #
0/9
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
هذه الأوامر تُنفّذ على FortiManager لتشغيله كـ local FortiGuard Distribution Server. في الـ GUI: FortiGuard > Settings لتفعيل خدمة التحديثات للأجهزة. على جانب كل FortiGate يُوجَّه الخادم عبر: config system central-management ثم config server-list ثم set server-type update rating ثم set server-address 10.10.10.60.
٨
التسليم: قفل التعديلات والنسخ الاحتياطي والصلاحيات
افتح الدرس المرتبط ←المطلوب: قبل تسليم البيئة لفريق التشغيل، تريد Falcon Trading منع التعديلات المتزامنة المتضاربة، وأخذ نسخة احتياطية كاملة، وإنشاء حساب مراقبة للقراءة فقط لفريق الـ NOC. فعّل workspace-mode normal للقفل، ثم خذ backup all-settings، وأنشئ مستخدماً بصلاحية read-only.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
وضع workspace-mode normal يفرض على المسؤولين قفل الـ ADOM قبل التعديل ومنع التعارض، ثم Unlock عند الانتهاء. أمر backup all-settings يأخذ نسخة كاملة إلى خادم FTP (الصيغة: ftp <server> <path> <filename> <user> <password>). في الـ GUI: System Settings > Dashboard > System Information > Backup.
config system global— الدخول إلى قسم الإعدادset workspace-mode normal— ضبط قيمة إعدادend— حفظ والخروج من القسمexecute backup all-settings ftp 10.10.10.50 /backups FMG-HQ-backup falcon FalconBkp123— تنفيذ أمر تشغيلي
FMG-HQ — FortiOS CLI
# المهمة: تفعيل قفل مساحة العمل وأخذ نسخة احتياطية كاملة
FMG-HQ #
0/4
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
وضع workspace-mode normal يفرض على المسؤولين قفل الـ ADOM قبل التعديل ومنع التعارض، ثم Unlock عند الانتهاء. أمر backup all-settings يأخذ نسخة كاملة إلى خادم FTP (الصيغة: ftp <server> <path> <filename> <user> <password>). في الـ GUI: System Settings > Dashboard > System Information > Backup.