intoview.aiشبكات · أمن · سحابة · ذكاء اصطناعي
البروكسي في FortiGate0%
البروكسي في FortiGateالعميلWeb Proxyالإنترنتexplicit :8080GETمفحوصالـ Proxy ينهي الجلسة ويفحص المحتوى قبل تمريره للإنترنت
البروكسي وأنماط الفحص في FortiGate 7.6

يدعم FortiGate طريقتين أساسيّتين لفحص الترافيك: flow-based الذي يفحص الـ packets أثناء مرورها inline بأقل latency، وproxy-based الذي يوقف ويُخزِّن الـ transaction كاملةً قبل فحصها فيمنح فحصًا أعمق على حساب الـ latency والـ memory. فوق ذلك يقدّم FortiGate ميزة الـ Web Proxy التي تُنشَر إمّا كـ Explicit Proxy يُضبَط فيه المتصفّح يدويًّا على IP والـ port الخاصّ بالبروكسي، أو كـ Transparent Proxy يعترض الترافيك دون أيّ ضبط على جهاز العميل. في هذا الدرس نفصّل الفرق بين البنيتين وبين نمطي النشر، ومتى تختار كلًّا منهما عمليًّا.

  • 1نمط الفحص flow-based يفحص الـ packets أثناء مرورها inline دون buffering، فيوفّر أدنى latency وأعلى throughput، لكنّه أقل عمقًا في الفحص من proxy-based.
  • 2نمط الفحص proxy-based يوقف الاتّصال ويُخزِّن الـ transaction أو الملفّ كاملًا في الـ memory ثم يفحصه، فيتيح full content inspection مثل deep file scanning على حساب زيادة الـ latency واستهلاك الـ memory.
  • 3الـ Explicit Proxy يتطلّب ضبط المتصفّح أو التطبيق صراحةً على IP والـ port الخاصّ بالبروكسي (افتراضيًّا 8080)، ويُمكِّن من user authentication وcaching وفحص محتوى أعمق.
  • 4الـ Transparent Proxy يعترض الترافيك عبر firewall أو proxy policy دون أيّ إعداد على جهاز العميل، فيناسب البيئات التي يصعب فيها لمس آلاف الأجهزة.
  • 5الـ Proxy Policies تُضبَط بمعزل عن الـ firewall policies العاديّة من Policy & Objects ثمّ Proxy Policy، وعمليّة الـ WAD هي التي تتولّى معالجة البروكسي والـ explicit-proxy.

Flow-based مقابل Proxy-based

Flow-based
  • فحص inline للـ packets
  • بلا buffering
  • أدنى latency وأعلى throughput
Proxy-based
  • يوقف ويُخزِّن الـ transaction
  • full content inspection
  • latency وmemory أعلى
🔎تفاصيل أعمق
  • في proxy-based يقوم FortiGate بدور man-in-the-middle مشروع: يُنهي جلسة الـ client ويفتح جلسة جديدة باتّجاه الـ server، ما يسمح له بإعادة تجميع الملفّ كاملًا وتمريره على antivirus وDLP وweb filtering معًا، وهو ما يصعب على flow-based الذي يرى الـ packets مجزّأة فقط.
  • نمط الفحص يُضبَط على مستوى security profiles والـ firewall policy (inspection-mode)، بينما نشر الـ Web Proxy كـ explicit أو transparent قرارٌ منفصل في إعدادات web-proxy والـ Proxy Policy؛ الخلط بين المفهومين خطأ شائع في المقابلات.
  • الـ Explicit Proxy يبسّط الـ user authentication لأنّ المتصفّح يتعامل مباشرةً مع البروكسي ويدعم challenge عبر 407 Proxy Authentication Required، كما يتيح caching يخفّض استهلاك الـ bandwidth، وهي مزايا يصعب تحقيقها بنفس النظافة في الـ transparent mode.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
يجب توجيه المتصفحات لمنفذ البروكسي 8080 يدوياً أو عبر PAC.
  • config web-proxy explicitالدخول إلى قسم الإعداد
  • set status enableضبط قيمة إعداد
  • set http-incoming-port 8080ضبط قيمة إعداد
  • set ftp-over-http enableضبط قيمة إعداد
  • endحفظ والخروج من القسم
FGT-LAB-01 — FortiOS CLI
# المهمة: تفعيل البروكسي الصريح للويب
FGT-LAB-01 #
0/5
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
يجب توجيه المتصفحات لمنفذ البروكسي 8080 يدوياً أو عبر PAC.

Explicit مقابل Transparent Proxy

Explicit Proxy
  • ضبط المتصفّح على IP:port
  • port افتراضي 8080
  • auth وcaching أسهل
Transparent Proxy
  • اعتراض بلا إعداد العميل
  • عبر proxy/firewall policy
  • مثاليّ لآلاف الأجهزة
💡 نصيحة مقابلة: 💡 في المقابلة توقّع سؤال: متى تختار proxy-based بدل flow-based؟ الإجابة القويّة هي أنّ proxy-based يلزم حين تحتاج full content inspection على transaction كاملة مثل فحص ملفّ كبير أو DLP، بينما flow-based يكفي حين تكون الأولويّة للـ throughput والـ latency. واذكر صراحةً أنّ معالجة البروكسي تجري في عمليّة WAD وأنّ الـ Proxy Policy منفصلة عن الـ firewall policy.