التكامل مع Security Fabric و FortiGate0%
ربط FortiGate بـ EMS عبر Security Fabric
هنا ننتقل من إدارة الجهاز الطرفي إلى دمجه في منظومة الشبكة. يتصل FortiGate بـ EMS كـ Fabric connector ليسحب وضع الأجهزة (endpoint posture) وعلامات ZTNA. هذه العلامات تتحوّل إلى dynamic firewall address groups نستخدمها داخل الـ policies لتطبيق وصول مبني على الامتثال (compliance-based access). نتعلّم أيضًا كيف تشارك EMS الـ telemetry فيرى الـ Fabric كل جهاز، وكيف نحظر أو نعزل غير المتوافق.
- 1FortiGate يضيف EMS كـ Fabric connector من نوع endpoint-control fctems؛ بعد الموافقة على الشهادة (certificate) يبدأ بسحب قائمة الأجهزة وحالة الامتثال وعلامات ZTNA باستمرار.
- 2علامات ZTNA tags التي تُعرَّف في EMS (مثل تثبيت AV، تشغيل firewall، عضوية AD) تُستورَد إلى FortiGate وتُستخدَم لبناء firewall address من نوع dynamic بـ sub-type ems-tag.
- 3هذه العناوين الديناميكيّة تُجمَّع في address groups وتُوضَع في firewall policy كـ source؛ فيصبح الوصول مشروطًا بالامتثال: الجهاز المتوافق فقط يطابق القاعدة المسموحة.
- 4EMS تشارك الـ telemetry (الأحداث، الثغرات، IOCs، الوضع) مع كامل الـ Security Fabric، فيرى FortiAnalyzer وFortiGate صورة موحّدة لكل endpoint بدل رؤى منعزلة.
- 5عند فقدان الامتثال يسقط الجهاز من مجموعة العنوان الديناميكي فيُحظَر تلقائيًّا في الـ policy، ويمكن دفع الأمر أبعد بعزله (quarantine) عبر automation stitch ينفّذه FortiClient.
تدفّق الامتثال من EMS إلى الـ policy
💻
Endpoint + posture🗄️
EMS يقيّم العلامة🔌
Fabric connector🏷️
dynamic address🔥
firewall policy🔎تفاصيل أعمق
- الـ ZTNA tag يختلف عن مجرّد IP: هو سمة منطقيّة تتبع المستخدم/الجهاز أينما تغيّر عنوانه، لذا يصلح لشبكات الـ DHCP والوصول عن بُعد حيث يتبدّل الـ IP باستمرار.
- المصافحة بالشهادة (certificate handshake) ثنائيّة الاتجاه: FortiGate يجب أن يثق بشهادة EMS وEMS يجب أن يوافق على FortiGate كـ Fabric device. تجاهُل أحد الطرفين أكثر سبب شائع لبقاء الموصّل في حالة down.
- في تصميم ZTNA الكامل، نفس علامات EMS تُستخدَم في ZTNA access proxy على FortiGate لفرض الوصول لكل جلسة (per-session) بدل الوثوق بالشبكة الداخليّة، وهو جوهر نموذج zero-trust.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
GUI: نفس الإعداد من Security Fabric > Fabric Connectors > FortiClient EMS. بعد الحفظ يطلب FortiGate الموافقة على شهادة EMS، ويجب اعتماد FortiGate داخل EMS تحت Fabric Devices.
config endpoint-control fctems— الدخول إلى قسم الإعدادedit 1— إنشاء/تعديل كائنset name "CorpEMS"— ضبط قيمة إعدادset server "10.10.20.50"— ضبط قيمة إعدادset https-port 443— ضبط قيمة إعدادset certificate "FCTEMS-cert"— ضبط قيمة إعدادset source-ip 10.10.10.1— ضبط قيمة إعدادnext— حفظ الكائن والعودةend— حفظ والخروج من القسمexecute fctems verify CorpEMS— تنفيذ أمر تشغيلي
FGT-LAB-01 — FortiOS CLI
# المهمة: إضافة EMS كـ Fabric connector على FortiGate
FGT-LAB-01 #
0/10
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
GUI: نفس الإعداد من Security Fabric > Fabric Connectors > FortiClient EMS. بعد الحفظ يطلب FortiGate الموافقة على شهادة EMS، ويجب اعتماد FortiGate داخل EMS تحت Fabric Devices.
وصول تقليدي مقابل وصول مبني على الامتثال
policy تقليدية بالـ IP
- ◆المصدر = subnet ثابت
- ◆لا تعرف وضع الجهاز
- ◆جهاز مصاب يبقى مسموحًا
policy بعلامة EMS
- ◆المصدر = ems-tag ديناميكي
- ◆يتبع الامتثال لحظيًّا
- ◆غير المتوافق يسقط ويُحظَر
💡 نصيحة مقابلة: 💡 على جانب FortiGate كل الربط يبدأ من Security Fabric > Fabric Connectors > FortiClient EMS في الـ GUI، ثم تُبنى العناوين الديناميكيّة من Policy & Objects > Addresses باختيار Type = Dynamic وSub Type = FortiClient EMS Tag. تأكّد أوّلًا من الموافقة على الجهاز داخل EMS تحت Fabric Devices وإلّا تبقى الحالة unauthorized.