intoview.aiشبكات · أمن · سحابة · ذكاء اصطناعي
الوصول بثقة صفرية ZTNA0%
الوصول بثقة صفرية ZTNAجهاز موثوقEMS tagZTNA Proxyالتطبيقposturetagسماححالة الجهاز تصبح tag، والـ FortiGate يسمح بالوصول حسبها
تطبيق ZTNA عبر EMS و FortiGate

الـ ZTNA يلغي الثقة الضمنية التي يمنحها الـ VPN التقليدي بعد المصادقة مرة واحدة، ويستبدلها بتحقّق لكل جلسة يعتمد على هوية المستخدم وحالة الجهاز (device posture). في هذا النموذج يقوم EMS بوسم الأجهزة عبر Zero Trust Tagging rules، ويشارك هذه الـ tags مع الـ FortiGate عبر الـ Security Fabric.

  • 1الـ ZTNA يتحقّق لكل جلسة (per-session) بدل منح ثقة دائمة بعد أول مصادقة كما في الـ VPN التقليدي.
  • 2EMS يقيّم حالة الجهاز عبر Zero Trust Tagging rules (مثل وجود AV فعّال أو نظام محدّث) ويُلصق tag على الجهاز.
  • 3الـ tags تُشارَك من EMS إلى FortiGate عبر الـ Fabric، فتصبح متاحة كعناوين ديناميكية في الجدار الناري.
  • 4على FortiGate يُبنى ZTNA access proxy يفرض الوصول بناءً على الـ tag بدل عنوان IP ثابت.
  • 5إن فقد الجهاز الـ posture المطلوب يختفي الـ tag، فتُرفض الجلسات الجديدة فوراً — وهذا جوهر التحقّق المستمر.

مسار وسم الجهاز وفرض الوصول

🔍
FortiClient يفحص الـ posture
🏷️
EMS يُلصق ZTNA tag
🔗
مشاركة الـ tag عبر الـ Fabric
🛡️
FortiGate access proxy يفرض
🔎تفاصيل أعمق
  • فرّق بين نمطي ZTNA: الـ access proxy (يفرضه FortiGate لتطبيقات يُوصَل إليها عبر بوابة) والـ ZTNA telemetry/tagging (يُقيّمه FortiClient + EMS). الـ tag هو الجسر بين الطرفين.
  • قاعدة الـ tagging يمكن أن تجمع عدة شروط (OS version + AV signature age + certificate موجود) بمنطق AND/OR، ما يتيح طبقات posture دقيقة قبل منح أي وصول.
  • العنوان الديناميكي من نوع ems-tag يتحدّث تلقائياً عند تغيّر عضوية الجهاز في الـ tag؛ لا تحتاج لتعديل الـ policy يدوياً عند دخول أو خروج جهاز.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
الـ tag نفسه يُعرَّف في EMS تحت Zero Trust Tagging Rules؛ هنا فقط نربطه كعنوان ديناميكي يُستخدم لاحقاً في الـ access proxy policy.
  • config firewall addressالدخول إلى قسم الإعداد
  • edit "ZTNA-Compliant-Win"إنشاء/تعديل كائن
  • set type dynamicضبط قيمة إعداد
  • set sub-type ems-tagضبط قيمة إعداد
  • set fsso-attribute-value "FCTEMS_Compliant"ضبط قيمة إعداد
  • nextحفظ الكائن والعودة
  • endحفظ والخروج من القسم
FGT-LAB-01 — FortiOS CLI
# المهمة: إنشاء عنوان ديناميكي من EMS tag على FortiGate
FGT-LAB-01 #
0/7
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
الـ tag نفسه يُعرَّف في EMS تحت Zero Trust Tagging Rules؛ هنا فقط نربطه كعنوان ديناميكي يُستخدم لاحقاً في الـ access proxy policy.

VPN تقليدي مقابل ZTNA

VPN تقليدي
  • ثقة ضمنية بعد المصادقة
  • وصول واسع للشبكة
  • تحقّق مرة واحدة
ZTNA
  • تحقّق لكل جلسة
  • وصول لتطبيق محدّد
  • posture مستمر عبر الـ tag
💡 نصيحة مقابلة: 💡 الـ tags تُعرَّف في EMS تحت Zero Trust Tagging > Zero Trust Tagging Rules. على FortiGate تُستهلَك هذه الـ tags بإنشاء firewall address من نوع dynamic مع sub-type ems-tag، ثم تُستخدم في الـ access proxy policy.