آموزش بلاک کردن آیپی مخرب در FortiGate برای جلوگیری از حملات سایبری
آموزش
در دنیای امنیت شبکه، یکی از مهمترین اقدامات برای کاهش ریسک حملات سایبری، بلاک کردن آیپی مخرب در فایروال FortiGate است. بسیاری از تهدیدات از طریق IPهایی انجام میشوند که سابقه فعالیت مخرب دارند و اگر این ارتباطها بهدرستی مدیریت نشوند، میتوانند منجر به نفوذ یا نشت اطلاعات شوند. به همین دلیل، استفاده از قابلیتهای داخلی FortiGate برای شناسایی و مسدودسازی این IPها، نقش کلیدی در افزایش سطح امنیت دارد.
آنچه در ادامه میخوانید:
آیپی مخرب چیست و چرا بلاک کردن آن در FortiGate اهمیت دارد؟
روشهای بلاک کردن آیپی مخرب در فایروال FortiGate
چطور با IP Reputation آیپیهای مخرب را در FortiGate مسدود کنیم؟
مزایا و چالشهای بلاک کردن IPهای مخرب در FortiGate برای امنیت شبکه
آیپی مخرب چیست و چرا بلاک کردن آن در FortiGate اهمیت دارد؟
IP مخرب به آدرسهایی گفته میشود که در فعالیتهایی مانند فیشینگ، حملات DDoS، انتشار بدافزار یا ارتباط با سرورهای Botnet نقش داشتهاند. زمانی که این IPها وارد یا به شبکه شما متصل میشوند، میتوانند تهدید جدی ایجاد کنند. در فرآیند بلاک کردن آیپی مخرب در FortiGate، هدف این است که قبل از رسیدن این تهدیدات به منابع داخلی، آنها را متوقف کنیم.
در برخی سناریوها مانند پیادهسازی کیوسک امن، اهمیت این موضوع بیشتر میشود، زیرا کاربران نباید به هیچ منبع غیرمطمئنی دسترسی داشته باشند و هرگونه ارتباط مشکوک باید در همان ابتدا مسدود شود.
روشهای بلاک کردن آیپی مخرب در فایروال FortiGate
برای بلاک کردن IP مخرب در FortiGate چندین روش مختلف وجود دارد که هرکدام بسته به نیاز شبکه قابل استفاده هستند. انتخاب روش مناسب به سطح امنیت مورد نیاز و نوع تهدیدات بستگی دارد. رایجترین روشها شامل موارد زیر هستند:
- بلاک دستی IP با استفاده از Address Object و Firewall Policy
- استفاده از IP Reputation و دیتابیس FortiGuard
- بلاک خودکار با استفاده از IPS
- استفاده از Automation Stitch برای واکنش خودکار به تهدیدات
در میان این روشها، دو رویکرد اصلی وجود دارد:
بلاک دستی آیپیهای مخرب شناختهشده و استفاده از مکانیزمهای خودکار مانند IP Reputation که در ادامه ابتدا روش دستی را بررسی میکنیم. در روش بلاک دستی، شما IPهای مخرب شناختهشده را بهصورت مستقیم در فایروال FortiGate وارد کرده و سپس با تعریف یک Firewall Policy، دسترسی آنها را مسدود میکنید. این روش معمولاً زمانی استفاده میشود که یک لیست مشخص از IPهای مخرب در اختیار داشته باشید و بخواهید کنترل دقیقتری روی فرآیند بلاکسازی داشته باشید.
برای دریافت لیست IPها و دامنههای مخرب میتوانید از لینک زیر استفاده کنید:
فهرست شاخصهای آلودگی (آیپی و دامنه)
گام ۱: ورود به پنل FortiGate
ابتدا وارد رابط کاربری FortiGate شوید. این کار معمولاً از طریق مرورگر و آدرس IP مدیریتی فایروال انجام میشود. پس از ورود، از منوی سمت چپ وارد بخش Policy & Objects شوید.
گام ۲: ساخت Address Object برای IP مخرب
در این مرحله باید IP یا لیست IPهای مخرب را بهعنوان یک Object تعریف کنید.
- وارد بخش Addresses شوید
- گزینه Create New → Address را انتخاب کنید
- یک نام برای IP مخرب مشخص کنید (مثلاً Malicious_IP_1 )
- در قسمت Type، گزینه IP/Netmask را انتخاب کنید
- آدرس IP مخرب را وارد کنید
- تنظیمات را ذخیره کنید
این کار باعث میشود IP موردنظر بهصورت یک Object قابل استفاده در Policyها باشد.
گام ۳: ساخت Firewall Policy برای بلاک کردن IP
حالا باید یک Policy تعریف کنید که ترافیک مربوط به این IP را مسدود کند.
- وارد بخش IPv4 Policy شوید
- روی Create New کلیک کنید
- در قسمت Source، شبکه داخلی یا all را انتخاب کنید (بسته به سناریو)
- در قسمت Destination، همان Address Object مربوط به IP مخرب را انتخاب کنید
- Action را روی DENY قرار دهید
- گزینه Log Allowed Traffic / Log Denied Traffic را فعال کنید
گام ۴: اولویتبندی Policy
در FortiGate ترتیب Policyها از بالا به پایین پردازش میشود. بنابراین باید Policy مربوط به بلاک IP مخرب را به بالای لیست قوانین منتقل کنید تا قبل از سایر Ruleها بررسی و اجرا شود.
.png)
گام ۵: بررسی و تست عملکرد
پس از اعمال تنظیمات، میتوانید از بخش Log & Report بررسی کنید که آیا ترافیک مربوط به IP موردنظر بلاک شده است یا خیر. این مرحله برای اطمینان از صحت تنظیمات بسیار مهم است.
نکته مهم عملیاتی
در سناریوهای واقعی، اگر تعداد IPهای مخرب زیاد باشد، مدیریت دستی آنها میتواند زمانبر شود. به همین دلیل معمولاً این روش در کنار مکانیزمهای خودکار استفاده میشود تا هم دقت حفظ شود و هم مدیریت سادهتر باشد.
چطور با IP Reputation آیپیهای مخرب را در FortiGate مسدود کنیم؟
در این روش برخلاف بلاک دستی، بهجای IPهای تکی، از دستهای از IPهای مخرب شناختهشده (Known Malicious IPs) استفاده میشود که توسط FortiGuard دستهبندی شدهاند. در این معماری، فایروال قبل از برقراری ارتباط، IP مقصد را بررسی کرده و در صورت قرار گرفتن در سطح ریسک تعریفشده، ترافیک را مسدود میکند.
در این معماری، فایروال قبل از برقراری ارتباط، IP مقصد را با رکوردهای موجود در ISDB تطبیق میدهد و اگر سطح اعتبار آن کمتر از مقدار تعیینشده در Policy باشد، ترافیک بهصورت کامل Drop میشود. این تصمیمگیری در لایه Policy Enforcement انجام میشود و باعث میشود بسیاری از تهدیدات حتی قبل از رسیدن به موتورهایی مثل IPS یا Antivirus متوقف شوند، که این موضوع بهطور مستقیم روی کاهش مصرف منابع نیز تأثیر دارد.
برای پیادهسازی دقیق این سناریو، باید یک Firewall Policy مبتنی بر Reputation تعریف کنید که معمولاً در مسیر ترافیک خروجی (Internal → External) قرار میگیرد. دلیل این انتخاب این است که یکی از رایجترین بردارهای حمله، ارتباط کلاینتهای داخلی با سرورهای مخرب در اینترنت است، موضوعی که در سناریوهایی مانند آلودگی به بدافزار یا حتی در محیطهای کنترلشدهای مثل کیوسک امن اهمیت دوچندان پیدا میکند.
مراحل فنی پیادهسازی
- ایجاد یک Firewall Policy جدید از طریق CLI با استفاده از edit 0 برای جلوگیری از overwrite شدن قوانین موجود
- تعیین دقیق srcintf و dstintf بر اساس توپولوژی شبکه، معمولاً LAN به WAN
- استفاده از set reputation-minimum برای تعریف آستانه بلاک، بهطوری که مثلاً مقدار ۱ فقط IPهای کاملاً مخرب و مقدار ۲ شامل سرویسهای پرریسک را نیز پوشش دهد
- تنظیم set service ALL و set schedule always برای پوشش کامل ترافیک
- فعالسازی logtraffic all برای امکان تحلیل و مانیتورینگ در FortiAnalyzer یا Log View
یکی از نکات کلیدی در این سناریو، فعالسازی دیتابیس کامل ISDB است که از طریق تنظیم زیر انجام میشود:
config system global
set internet-service-database full
end
این تنظیم باعث میشود FortiGate به مجموعه کاملتری از دادههای Reputation دسترسی داشته باشد، هرچند باید در نظر داشت که مصرف حافظه سیستم افزایش پیدا میکند و این موضوع در دستگاههای با منابع محدود باید مدیریت شود.
از نظر ترتیب اجرا، این Policy باید در بالاترین position در لیست Firewall Policies قرار گیرد، زیرا FortiGate از مدل top-down برای پردازش قوانین استفاده میکند. اگر این قانون پایینتر از سایر Policyها قرار بگیرد، ممکن است ترافیک قبل از رسیدن به آن Allow شود و عملاً کارایی خود را از دست بدهد.
در نهایت، انتخاب مقدار مناسب برای reputation-minimum یک تصمیم کاملاً وابسته به Risk Appetite سازمان است. در اکثر سناریوهای عملی، مقدار ۱ برای بلاک قطعی و مقدار ۲ برای محیطهای با امنیت بالا توصیه میشود، اما باید توجه داشت که بلاک کردن سطح ۲ میتواند دسترسی به برخی سرویسهای قانونی مانند VPN یا Proxy را نیز محدود کند.
این رویکرد، زمانی بیشترین کارایی را دارد که در کنار سایر مکانیزمهای امنیتی مانند IPS و Application Control استفاده شود تا یک مدل دفاعی چندلایه برای بلاک کردن آیپی مخرب در FortiGate ایجاد شود.
مزایا و چالشهای بلاک کردن IPهای مخرب در FortiGate برای امنیت شبکه
استفاده از چندین مکانیزم برای بلاک کردن آیپی مخرب در فایروال FortiGate یکی از مؤثرترین روشها برای کاهش سطح حمله (Attack Surface) در شبکههای سازمانی است. با این حال، این رویکرد مانند هر کنترل امنیتی دیگر، علاوه بر مزایا، دارای محدودیتها و ملاحظات عملیاتی است که باید در طراحی و پیادهسازی Policyها بهدقت در نظر گرفته شود. از مهمترین مزایای این روش میتوان به موارد زیر اشاره کرد:
- جلوگیری از برقراری ارتباط با منابع مخرب در همان لایه فایروال و قبل از درگیر شدن ماژولهایی مانند IPS
- استفاده از Threat Intelligence به روز (مانند FortiGuard) برای شناسایی خودکار IPهای مخرب
- کاهش وابستگی به بلاک دستی و در نتیجه کاهش خطای انسانی در مدیریت لیستها
- بهبود کارایی کلی سیستم با Drop کردن ترافیک مخرب در مراحل اولیه پردازش
در مقابل، چالشهایی نیز در پیادهسازی این روش وجود دارد که نباید نادیده گرفته شوند:
- احتمال بروز False Positive، بهویژه در سطوحی مانند Reputation Level 2 که شامل سرویسهای عمومی مثل VPN و Proxy است
- وابستگی به دقت و بهروزبودن دیتابیسهای Threat Intelligence، که در برخی سناریوها ممکن است کامل نباشند
- محدود بودن این روش در شناسایی تهدیدات Zero-day یا حملاتی که از IPهای معتبر استفاده میکنند
- نیاز به طراحی دقیق Policy Ordering، زیرا در صورت قرارگیری نادرست، ممکن است ترافیک مخرب از قوانین Allow عبور کند
در نتیجه، بهترین رویکرد این است که بلاک کردنIPهای مخرب در FortiGate بهعنوان یک لایه از معماری دفاعی در نظر گرفته شود و در کنار مکانیزمهایی مانند IPS ،Application Control و مانیتورینگ لاگها استفاده شود تا یک مدل Defense-in-Depth مؤثر ایجاد گردد.
سوالات متداول
۱. آیا بلاک کردن آیپی مخرب در FortiGate بهتنهایی برای امنیت شبکه کافی است؟
خیر، بلاک کردن آیپی مخرب در FortiGate تنها یکی از لایههای امنیتی محسوب میشود. برای داشتن یک ساختار دفاعی مؤثر، باید این روش در کنار ابزارهایی مانند IPS، آنتیویروس شبکه و Application Control استفاده شود تا تهدیدات در سطوح مختلف شناسایی و متوقف شوند.
۲. بهترین روش برای بلاک کردن آیپی مخرب در فایروال FortiGate چیست؟
بهترین روش معمولاً استفاده ترکیبی از چند مکانیزم است. بلاک دستی IPهای مخرب شناختهشده در کنار IP Reputation ،IPS و Automation Stitch میتواند پوشش امنیتی کاملتری ایجاد کند و دقت شناسایی تهدیدات را افزایش دهد.
۳. آیا IP Reputation در FortiGate همیشه دقیق عمل میکند؟
IP Reputation در FortiGate مانند FortiGuard عمل میکند و در اکثر موارد دقت بالایی دارد. با این حال، احتمال بروز False Positive وجود دارد و ممکن است برخی IPهای سالم نیز بهاشتباه در لیست بلاک قرار بگیرند.
۴. آیا بلاک کردن آیپیهای مخرب برای همه شبکهها مناسب است؟
بله، این روش در اکثر شبکهها قابل استفاده است، اما نحوه پیادهسازی آن باید متناسب با نیازهای امنیتی، نوع کاربران و سطح دسترسیها تنظیم شود. برای مثال در محیطهایی مانند کیوسک امن، این روش اهمیت بیشتری پیدا میکند.
