فایروال‌های FortiGate از محبوب‌ترین و قدرتمندترین فایروال‌های نسل جدید (NGFW) هستند که امکاناتی مانند فیلتر ترافیک، VPN، تشخیص نفوذ (IPS)، فیلتر وب و آنتی‌ویروس را ارائه می‌دهند. با این حال، در حین استفاده ممکن است با خطاهای مختلفی مواجه شوید. در این مقاله به دو مشکل رایج یعنی “Time Sync” (همگام‌سازی زمان) و “Unresolved FQDN” (عدم تشخیص نام دامنه) می‌پردازیم و راهکارهای عملی برای رفع آن‌ها ارائه می‌دهیم.

مشکلات همگام‌سازی زمان (Time Sync) در فورتی‌گیت

اهمیت همگام‌سازی زمان در فورتی‌گیت

همگام‌سازی زمان دقیق در فورتی‌گیت نه تنها برای نمایش زمان صحیح، بلکه برای عملکردهای حیاتی زیر ضروری است:

  1. ثبت گزارشات امنیتی: تمامی رویدادهای امنیتی با timestamp ثبت می‌شوند. اگر زمان دستگاه نادرست باشد، تحلیل حوادث امنیتی غیرممکن می‌شود. به عنوان مثال، هنگام بررسی حمله‌ای که ساعت 10 صبح اتفاق افتاده، اگر زمان دستگاه 2 ساعت عقب باشد، رویدادها در ساعت 8 ثبت شده‌اند.
  2. گواهی‌های SSL/TLS: گواهی‌های امنیتی مبتنی بر زمان هستند. اگر زمان فورتی‌گیت با سرورهای دیگر تفاوت داشته باشد، ممکن است ارتباطات SSL قطع شود یا گواهی‌ها نامعتبر شناخته شوند.
  3. هماهنگی بین دستگاه‌ها: در محیط‌هایی با چندین فورتی‌گیت (مانند خوشه‌های HA)، اختلاف زمانی حتی چند ثانیه می‌تواند باعث مشکلات هماهنگی بین دستگاه‌ها شود.
  4. اتصال VPN: بسیاری از پروتکل‌های VPN مانند IPSec به زمان دقیق وابسته هستند و اختلاف زمانی می‌تواند باعث قطعی VPN شود.

برای انتخاب مدل مناسب و استعلام قیمت فورتی گیت می‌توانید با کارشناسان فنی ما تماس بگیرید و مشاوره تخصصی رایگان دریافت کنید.

خطاهای رایج Time Sync

الف) نشانه‌های مشکلات Time Sync:

  1. هشدار “Clock skew detected” در رابط مدیریتی
  2. خطاهای مربوط به منقضی شدن گواهی‌ها
  3. عدم تطابق زمان در گزارشات (logs)
  4. پیام‌های خطای NTP در بخش System Events

ب) کدهای خطای رایج:

NTP_SERVER_UNREACHABLE` (کد 42158)

NTP_SYNC_FAILED` (کد 42159)

CLOCK_DRIFT_TOO_LARGE` (کد 42160)

ج) ابزارهای تشخیصی:

  1. در رابط گرافیکی (GUI):
  • System > Status > System Information > Time Status
  • Log & Report > System Events (فیلتر برای NTP)
  1. در CLI:

diagnose sys ntp status
get system ntp
diagnose debug application ntpd -1

راهکارهای عیب‌یابی

مرحله 1: بررسی وضعیت NTP (با جزئیات)

get system ntp

خروجی این دستور شامل:

  • وضعیت سرویس NTP (enable/disable)
  • لیست سرورهای NTP تنظیم شده
  • اینترفیس مورد استفاده
  • آخرین زمان همگام‌سازی موفق

مثال خروجی:

config system ntp
set ntpsync enable
set server-mode disable
set syncinterval 60
config ntpserver
edit 1
set server “pool.ntp.org”
set ntpv3 disable
next
end
end

مرحله 2: تست ارتباط با سرور NTP

execute ping pool.ntp.org
diagnose sniffer packet any “host pool.ntp.org” 4 0 l

اگر پینگ پاسخ نداد، ممکن است نیاز به بررسی موارد زیر باشد:

  • تنظیمات DNS (تبدیل نام به IP)
  • مسیریابی (routing) به اینترنت
  • Policyهای فایروال

مرحله 3: بررسی پورت NTP (123/UDP)

از دستور sniffer برای بررسی ترافیک NTP استفاده کنید:

diagnose sniffer packet any “udp port 123” 4 0 l

اگر بسته‌های UDP روی پورت 123 دیده نمی‌شوند، ممکن است:

  • سرور NTP مسدود شده باشد.
  • NAT به درستی تنظیم نشده باشد.
  • Policy فایروال اجازه ارتباط نمی‌دهد.

مرحله 4: تنظیمات پیشرفته NTP

در موارد خاص ممکن است نیاز به تنظیمات پیشرفته داشته باشید:

config system ntp
set interface <نام اینترفیس>
set source-ip <آدرس IP خاص>
set ntpsync enable
set syncinterval 60
end

مشکل Unresolved FQDN

FQDN (Fully Qualified Domain Name) یا نام دامنه کامل، آدرس متنی یک منبع در شبکه است (مانند `example.com`) و ساختار کاملی از یک نام دامنه است که شامل 3 قسمت است:

  1. Hostname (مثلاً www)
  2. Domain name (مثلاً example)
  3. Top-level domain (مثلاً com)

مثال‌ها:

  • www.google.com
  • mail.server.example.com
  • fortinet.com

کاربردهای FQDN در فورتی‌گیت:

فورتی‌گیت از FQDN برای موارد زیر استفاده می‌شود:

  1. Policyهای امنیتی: می‌توان Policyها را بر اساس نام دامنه (نه فقط IP) تنظیم کرد.
  2. فیلتر وب: مسدود کردن یا اجازه دسترسی به دامنه‌های خاص.
  3. NAT مبتنی بر نام: ترجمه آدرس بر اساس نام دامنه.
  4. کنترل برنامه‌ها: شناسایی برنامه‌ها بر اساس نام دامنه.

 

تحلیل دقیق خطای Unresolved FQDN

علل احتمالی:

  1. مشکلات DNS:
  • سرور DNS پاسخگو نیست
  • تنظیمات DNS نادرست است
  • محدودیت‌های DNS (مانند DNSSEC)
  1. مشکلات شبکه:
  • عدم دسترسی به سرور DNS
  • مسدود شدن ترافیک DNS
  • مشکلات NAT
  1. مشکلات پیکربندی:
  • تنظیمات نادرست DNS در فورتی‌گیت
  • اینترفیس اشتباه برای ارسال درخواست‌های DNS
  • محدودیت‌های Policy
  1. مشکلات نرم‌افزاری:
  • باگ‌های نسخه‌های خاص FortiOS
  • مشکلات کش DNS

بیش‌تر بخوانید:

راهکارهای جلوگیری از بلاک شدن دستگاه فورتی گیت؛ آپدیت آفلاین

 

راهکارهای پیشرفته عیب‌یابی

مرحله 1: بررسی جامع تنظیمات DNS

get system dns

خروجی نمونه:

config system dns
set primary 8.8.8.8
set secondary 8.8.4.4
set protocol cleartext
set dns-over-tls disable
set ssl-certificate “”
set interface-select-method auto
end

تنظیمات مهم:

  • protocol: می‌تواند cleartext یا DNS-over-HTTPS باشد.
  • interface-select-method: تعیین می‌کند از کدام اینترفیس برای DNS استفاده شود.

مرحله 2: تست عملکرد DNS

execute nslookup example.com

این دستورات لیست FQDN‌های تعریف شده و آدرس‌های IP مربوطه را نمایش می‌دهند.

اگر خطا داد:

diagnose test application dnsproxy 1
diagnose test application dnsproxy 6

مرحله 3: بررسی کش DNS

diagnose dns proxy list
diagnose dns proxy cache list

این دستورات محتویات کش DNS را نمایش می‌دهند. می‌توانید کش را پاک کنید:

execute dns-proxy clear-cache

مرحله 4: اشکال‌زدایی پیشرفته DNS

diagnose debug enable
diagnose debug application dnsproxy -1
diagnose debug flow show console enable
diagnose debug flow filter addr 8.8.8.8
diagnose debug flow trace start 100

این دستورات لاگ‌های دقیقی از ترافیک DNS نمایش می‌دهند.

مرحله 5: بررسی Policyها و مسیریابی

  • مطمئن شوید Policyای وجود دارد که اجازه ترافیک DNS (پورت 53) را می‌دهد.
  • اگر از DNS داخلی استفاده می‌کنید، دسترسی به آن برای فورتی‌گیت آزاد باشد.
  • مسیریابی به سرور DNS باید صحیح باشد:

get router info routing-table all

نکات پیشرفته و سناریوهای خاص

سناریوهای خاص Time Sync

الف) محیط‌های ایزوله (بدون دسترسی به اینترنت):

  • راه‌اندازی سرور NTP داخلی (مثلاً روی ویندوز سرور یا لینوکس)
  • تنظیم فورتی‌گیت به عنوان سرور NTP برای سایر دستگاه‌های شبکه:

config system ntp
set server-mode enable
set interface <internal_interface>
end

ب) مشکلات منطقه زمانی:

  • لیست منطقه‌های زمانی:

get system timezone

  • تنظیم منطقه زمانی:

config system global
set timezone 26 # برای تهران
end

سناریوهای خاص FQDN

الف) استفاده از DNS داخلی:

  • تنظیم سرور DNS داخلی در فورتی‌گیت
  • ایجاد Policy برای اجازه ترافیک DNS به سرور داخلی
  • استفاده از DNS conditional forwarding برای دامنه‌های داخلی

ب) DNS-over-HTTPS (DoH):

برای امنیت بیشتر:

config system dns
set protocol doh
set primary “https://cloudflare-dns.com/dns-query”
end

ج) FQDN در Policyها:

هنگام استفاده از FQDN در Policyها:

  • مطمئن شوید “Inspection Mode” روی Proxy قرار دارد
  • تنظیمات Application Control ممکن است نیاز باشد

config firewall policy
edit 0
set inspection-mode proxy
set utm-status enable
set ssl-ssh-profile “deep-inspection”
next
end

جمع‌بندی

چک‌لیست عیب‌یابی Time Sync

  1. بررسی وضعیت NTP (`get system ntp`)
  2. تست ارتباط با سرور NTP (`execute ping`)
  3. بررسی Policyهای فایروال برای پورت 123/UDP
  4. بررسی مسیریابی به سرور NTP
  5. بررسی منطقه زمانی (`get system timezone`)
  6. بررسی رویدادهای سیستم (`get system eventlog`)

چک‌لیست عیب‌یابی Unresolved FQDN

  1. بررسی تنظیمات DNS (`get system dns`)
  2. تست تبدیل نام به IP (`execute nslookup`)
  3. بررسی کش DNS (`diagnose dns proxy list`)
  4. بررسی Policyهای فایروال برای پورت 53
  5. بررسی مسیریابی به سرور DNS
  6. بررسی رویدادهای DNS (`get system eventlog`)

ابزارهای مفید CLI برای عیب‌یابی

برای Time Sync:

  • diagnose sys ntp status : وضعیت دقیق NTP
  • diagnose debug application ntpd -1: اشکال‌زدایی NTP
  • execute date: نمایش زمان فعلی سیستم

برای FQDN:

  • diagnose test application dnsproxy 6: تست DNS
  • diagnose dns proxy cache list: نمایش کش DNS
  • diagnose debug application dnsproxy -1: اشکال‌زدایی DNS

نتیجه‌گیری نهایی

عیب‌یابی مشکلات Time Sync و Unresolved FQDN در فورتی‌گیت نیازمند درک عمیق از مفاهیم شبکه و معماری فورتی‌گیت است. با استفاده از ابزارهای تشخیصی ارائه شده در این راهنما و دنبال کردن روش سیستماتیک، می‌توانید اکثر این مشکلات را شناسایی و حل کنید. برای Time Sync، بررسی ارتباط با سرور NTP و تنظیمات فایروال حیاتی است. برای FQDN، تنظیمات DNS و به‌روزرسانی فریمور مهم‌ترین عوامل هستند.

به عنوان نکته پایانی:

  • همیشه قبل از تغییرات مهم از تنظیمات Backup بگیرید (`execute backup config`).
  • تغییرات را یک به یک اعمال کنید و تأثیر هر تغییر را بررسی کنید.
  • در صورت نیاز از مستندات رسمی Fortinet (docs.fortinet.com) کمک بگیرید.
  • در محیط‌های حساس، تغییرات را ابتدا در زمان غیرکاری آزمایش کنید.
  • از لاگ‌ها و ابزارهای تشخیصی فورتی‌گیت استفاده کنید.

این راهنمای جامع با ارائه جزئیات فنی و روش‌های عملی، شما را از یک کاربر مبتدی به سطحی پیشرفته در عیب‌یابی فورتی‌گیت می‌رساند.

 

مقاله پیشنهادی:

آموزش غیر فعال سازی فایروال