قبل ما تكتب أي policy لازم تظبّط النظام نفسه: الـ interfaces وعناوينها، ومين له حق يدير الجهاز ومن فين، والـ DNS والـ FortiGuard عشان الـ updates. الإدارة بتتم من الـ GUI أو الـ CLI، والـ CLI بيدّيك تحكّم أدق بأوامر زي config و get و show و execute و diagnose. كمان الـ admin profiles هي اللي بتحدد كل أدمن يقدر يشوف ويعدّل إيه.

• 1FortiGate بيدعم أنواع interfaces مختلفة: physical و VLAN sub-interface و aggregate / LAG لتجميع لينكات، والـ zone اللي بيجمّع كذا interface تحت اسم واحد عشان تبسّط الـ policies.
• 2كل interface ليه Administrative Access بيتحكم في طرق الإدارة المسموحة عليه زي HTTPS و SSH و PING و FMG-Access، فبتفتح بس اللي محتاجه على الـ interface الصح وتقفل الباقي للأمان.
• 3لازم تظبّط الـ DNS و الـ FortiGuard connectivity عشان الجهاز يجيب signature updates و license وخدمات FortiGuard؛ من غير اتصال FortiGuard مش هتوصل أحدث AV/IPS signatures.
• 4الـ admin accounts بتترتبط بـ admin profile (accprofile). فيه built-in super_admin (full read/write على كل حاجة) و prof_admin، وتقدر تعمل custom profiles تحدد read أو write لكل feature على حدة.
• 5فيه global idle timeout للأدمن، وكمان "Override Idle Timeout" داخل الـ profile نفسه عشان تخلّي profile معيّن زي الـ NOC يفضل connected وقت أطول. بتظبّطها من config system accprofile أو من الـ GUI، وفيه DHCP server لكل interface لما تحتاج توزّع IPs.

• الـ Administrative Access يُفعّل لكل interface على حدة (HTTPS و SSH و PING و FMG-Access)، والأفضل قصره على الـ management interface وتعطيله على الـ WAN.
• خدمات FortiGuard مثل تحديثات IPS و AntiVirus و Web Filter rating تعتمد على اشتراك فعّال واتصال خارجي على port 443/8888، وبدونها تتوقف security profiles عن التحديث.
• كل accprofile يدعم Override Idle Timeout لتعيين مهلة خمول مختلفة عن الـ global setting، مفيدة لإعطاء حسابات monitoring جلسات أطول بأمان.