intoview.aiشبكات · أمن · سحابة · ذكاء اصطناعي
سياسات الجدار الناري0%
مطابقة السياساتSourceDestinationLANPolicyخوادمALLOWmatchDENYتُطابَق السياسات top-down وتنتهي بـ implicit deny
إزاي الـ Firewall Policy بتشتغل في FortiGate

الـ firewall policy هي قلب الـ FortiGate: بتعمل match للـ traffic وتقرّر ACCEPT ولا DENY. كل policy بتتكوّن من مجموعة شروط زي الـ incoming و outgoing interface و source و destination و service و schedule، وعليها action و NAT toggle و security profiles و logging. المهم تفتكر إن الـ matching بيمشي top-down وأول match بيكسب، وفيه implicit deny في الآخر بيرفض أي حاجة مش متطابقة.

  • 1مكوّنات الـ policy: incoming (source) interface و outgoing (dest) interface و source address/user و destination address و service (port/protocol) و schedule و action و الـ NAT toggle و security profiles و logging.
  • 2الـ matching بيشتغل top-down وأول match بيكسب (first match wins)، عشان كده القواعد الـ specific لازم تكون فوق القواعد الـ general عشان ما يحصلش shadowing للقاعدة الأدق.
  • 3فيه implicit deny-all في آخر الـ policy list بيرفض أي traffic ما عملش match لأي policy فوقه، وتقدر تفعّل عليه logging عشان تشوف اللي اترفض.
  • 4الـ policies بتستخدم reusable objects زي address objects و service objects و schedules، فبدل ما تكتب IP أو port في كذا مكان، تعمل object مرة واحدة وتستخدمه في كذا policy.
  • 5على الـ policy بتربط security profiles (AV, web filter, IPS, application control) وتختار الـ inspection mode، وتقدر تستخدم "Policy Lookup" عشان تختبر أنهي policy هيعمل لها match flow معيّن. ملاحظة مهمة: الترتيب/السيكوينس هو اللي بيهم، مش رقم الـ policy ID.
🖥️محاكاة واجهة FortiGate (تفاعلية)
واجهة تعليمية مستوحاة من شكل FortiOS — جرّب الأزرار والحقول.
HQ-FGT
+ Add Widget🔍admin ▾
📊Dashboard
🌐Network
🛡️Policy & Objects
🔒Security Profiles
🔑VPN
👥User & Auth
📈Log & Report
⚙️System
IPv4 Policy
NameFromToServiceActionNAT
LAN-to-WANport2port1ALL✓ ACCEPT🟢
Block-Telnetport2port1TELNET⊘ DENY
Implicit DenyanyanyALL⊘ DENY
السياسات تُطابَق من أعلى لأسفل — جرّب «Create New» وأضف سياسة.

مطابقة الـ Policy

📥
وصول الـ Packet
🔎
مطابقة من الأعلى
🥇
أول مطابقة تفوز
⚙️
تنفيذ الـ Action
🚫
Implicit Deny
🔎تفاصيل أعمق
  • الـ implicit deny في النهاية لا يُسجّل افتراضياً، لذا فعّل Log Violation Traffic أو أنشئ deny policy صريحة فوقه لرؤية الـ traffic المرفوض في الـ logs.
  • الـ policy ID ثابت ولا يتغيّر عند إعادة الترتيب، بينما الـ sequence (الترتيب من الأعلى للأسفل) هو ما يحدد المطابقة فعلياً، لذا لا تعتمد على رقم الـ ID في الترتيب.
  • أداة Policy Lookup تحاكي 5-tuple معيّن وتُظهر أي policy ستطابقه، مما يسرّع troubleshooting بدلاً من قراءة الجدول يدوياً.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
edit 0 يُنشئ سياسة جديدة برقم تلقائي، مع تفعيل NAT.
  • config firewall policyالدخول إلى قسم الإعداد
  • edit 0إنشاء/تعديل كائن
  • set name "LAN-to-WAN"ضبط قيمة إعداد
  • set srcintf port2ضبط قيمة إعداد
  • set dstintf port1ضبط قيمة إعداد
  • set srcaddr allضبط قيمة إعداد
  • set dstaddr allضبط قيمة إعداد
  • set service ALLضبط قيمة إعداد
  • set action acceptضبط قيمة إعداد
  • set schedule alwaysضبط قيمة إعداد
  • set nat enableضبط قيمة إعداد
  • nextحفظ الكائن والعودة
  • endحفظ والخروج من القسم
FGT-LAB-01 — FortiOS CLI
# المهمة: إنشاء سياسة جدار ناري
FGT-LAB-01 #
0/13
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
edit 0 يُنشئ سياسة جديدة برقم تلقائي، مع تفعيل NAT.
📐تحجيم جدار ناريمعمل تفاعلي
حرّك القيم حسب متطلب العميل — التوصية تتحدّث فورًا.
عدد المستخدمين250
Threat Protection المطلوب1000 Mbps
التوصية
FortiGate 100F
حجّم بالـ Threat Protection throughput (1000 Mbps) لـ 250 مستخدم.
⚠️ فخّ تحجيم: الـ Firewall throughput في الـ datasheet أعلى بكثير من الحقيقي — حجّم دائمًا بالـ Threat Protection throughput.
أرقام تقديرية للتعلّم — التحجيم الرسمي بالـ datasheet وأدوات Fortinet.

مكوّنات الـ Policy

Source / Dest Interfaceincoming و outgoing أو zone
Source / Dest Addressobjects أو subnets أو FQDN
Serviceport و protocol مثل HTTPS
Schedulealways أو نافذة زمنية
Action + NATaccept/deny مع source NAT
Security ProfilesAV و IPS و Web Filter
💡 نصيحة مقابلة: 💡 فخ كلاسيكي في الانترفيو: لو عندك policy عامة allow-all فوق policy محددة بتعمل deny لموقع معيّن، القاعدة العامة هتعمل match الأول والمحددة عمرها ما هتشتغل (shadowing). افتكر دايمًا: top-down، first match wins، والـ specific فوق الـ general. ولو حد سألك تتأكد إزاي إن flow هيقع على policy معيّنة استخدم Policy Lookup.