تصفية الويب Web Filtering0%
تصفية الويب Web Filtering على FortiGate
الـ Web Filter profile في FortiGate يتحكّم في وصول المستخدمين إلى المواقع. يعتمد على الـ FortiGuard category-based filtering الذي يصنّف الملايين من المواقع إلى فئات، وتحدّد لكل فئة إجراءً مثل Allow أو Monitor أو Block أو Warning. كما يوفّر static URL filter و quota للتحكم الدقيق. في هذا الدرس نركّز على ترتيب التقييم وعلى شرط توافق الـ feature set مع الـ policy.
- 1الـ FortiGuard category-based filtering يصنّف المواقع إلى فئات، ولكل فئة تختار إجراءً: Allow يسمح، Monitor يسمح مع تسجيل، Block يمنع، و Warning يعرض صفحة تحذير يستطيع المستخدم تجاوزها للمتابعة.
- 2ميزة الـ quota تتيح وضع حدّ يومي للوقت أو لكمية الـ traffic على فئة معينة، مثل تقييد الـ streaming بساعة في اليوم بدل حظره كلياً.
- 3الـ static URL filter يسمح بعمل allow أو block أو exempt لروابط/أنماط محددة (مع دعم regex و wildcard)، ويُقيَّم قبل تصنيف الفئات، لذلك يمكنه تجاوز قرار الـ category-based filtering.
- 4نقطة مهمة جداً: يجب أن يتوافق الـ feature set للـ web filter profile (flow أو proxy) مع الـ inspection mode للـ firewall policy، وإلا فلن يظهر الـ profile أصلاً في قائمة web-profile داخل الـ policy.
- 5تفعيل SSL deep inspection يرفع دقة التصنيف على مواقع HTTPS لأنه يكشف الـ full URL والمحتوى؛ كما يوفّر الـ profile خيارات Safe Search و content filtering لفرض البحث الآمن وحجب كلمات محددة.
🖥️محاكاة واجهة FortiGate (تفاعلية)
واجهة تعليمية مستوحاة من شكل FortiOS — جرّب الأزرار والحقول.
▣ HQ-FGT
+ Add Widget🔍admin ▾
📊Dashboard
🌐Network
🛡️Policy & Objects
🔒Security Profiles
🔑VPN
👥User & Auth
📈Log & Report
⚙️System
Security Profiles > Web Filter — FortiGuard Categories
Gambling
Malicious Websites
Social Networking
Streaming Media
News and Media
Finance and Banking
غيّر إجراء كل فئة — Block يمنع، Monitor يسجّل، Allow يسمح.
ترتيب تقييم الفلترة
- ١Static URL filterتطابق URL محدّد أولاً
- ٢FortiGuard categoryبحث تصنيف الفئة بالـ cloud
- ٣تطبيق الإجراء ActionAllow أو Block أو Warning
🔎تفاصيل أعمق
- لازم الـ feature set (flow أو proxy) في الـ web filter profile يطابق الـ firewall policy، وإلا الـ profile ما يظهر أصلاً في الـ dropdown عند الاختيار.
- استخدم الـ quota عشان تحدد وقت أو حجم يومي لكل فئة مثل social media، فبعد تجاوز الحد يتحوّل الإجراء تلقائياً لـ block.
- فعّل الـ Safe Search لإجبار محركات البحث على فلترة النتائج الإباحية، وميزة الـ YouTube education filter لتقييد الفيديوهات حسب الـ category.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
الفئة 26 هي Malicious Websites؛ استخدم المعرّف الرقمي للفئة.
config webfilter profile— الدخول إلى قسم الإعدادedit "wf"— إنشاء/تعديل كائنset feature-set flow— ضبط قيمة إعدادconfig ftgd-wf— الدخول إلى قسم الإعدادconfig filters— الدخول إلى قسم الإعدادedit 1— إنشاء/تعديل كائنset category 26— ضبط قيمة إعدادset action block— ضبط قيمة إعدادnext— حفظ الكائن والعودةend— حفظ والخروج من القسمend— حفظ والخروج من القسمnext— حفظ الكائن والعودةend— حفظ والخروج من القسم
FGT-LAB-01 — FortiOS CLI
# المهمة: بروفايل فلترة الويب بفئات FortiGuard
FGT-LAB-01 #
0/13
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
الفئة 26 هي Malicious Websites؛ استخدم المعرّف الرقمي للفئة.
📐تحجيم الفحص الأمني — معمل تفاعلي
حرّك القيم حسب متطلب العميل — التوصية تتحدّث فورًا.
throughput بعد الفحص800 Mbps
التوصية
FortiGate 100F
throughput بعد تشغيل الفحص = 800 Mbps.
⚠️ فخّ تحجيم: SSL Deep Inspection يقلّل الـ throughput للنصف تقريبًا — حجّم على الرقم بعد الفحص المشفّر.
أرقام تقديرية للتعلّم — التحجيم الرسمي بالـ datasheet وأدوات Fortinet.
إجراءات الفئة
السماح Allowمرور بدون تسجيل
المراقبة Monitorسماح مع تسجيل log
التحذير Warningصفحة تحذير ثم متابعة
الحظر Blockمنع مع replacement page
💡 نصيحة مقابلة: 💡 خدعة كلاسيكية في المقابلة: web filter profile لا يظهر في الـ policy. السبب دائماً عدم توافق الـ feature set (flow vs proxy) بين الـ profile والـ policy، وليس مشكلة ترخيص. تذكّر أيضاً أن الـ static URL filter يُقيَّم قبل الفئات.