چرا FortiGate در ایران بلاک می‌شود؟ راهکارهای پیشگیرانه برای کاربران ایرانی

تحریم رسمی Fortinet علیه ایران

دلایل اصلی بلاک شدن تجهیزات FortiGate در ایران

بلاک شدن FortiGate اغلب به یکی از دلایل زیر اتفاق می‌افتد:

• اتصال مستقیم دستگاه به اینترنت با IP ایران
• ارسال مستقیم درخواست از دستگاه به Fortinet بدون واسطه امن (VPN/Proxy)
• استفاده از اطلاعات شناسایی ایرانی در حساب کاربری Fortinet:

اگر در زمان ایجاد حساب Fortinet از ایمیل با دامنه .ir، شماره تلفن ایران یا آدرس فیزیکی داخل ایران استفاده شود، حساب کاربری ممکن است بن (suspended) شود یا امکان خرید لایسنس رسمی نداشته باشد. این بن روی خود اکانت اعمال می‌شود، نه الزاماً روی دستگاه.

• خرید لایسنس رسمی با مشخصات ایرانی:

تلاش برای خرید FortiCare License یا FortiGuard Subscription با اطلاعات ایرانی می‌تواند منجر به رد تراکنش یا بن شدن اکانت مرتبط شود.

راهکارهای پیشگیری از بلاک شدن FortiGate

برای استفاده ایمن از تجهیزات FortiGate در شرایط تحریمی ایران، راهکارهایی وجود دارد که در ادامه به آن‌ها می‌پردازیم:

۱. جداسازی ترافیک مدیریت از اینترنت با استفاده از VDOM

در دستگاه‌های FortiGate، قابلیت VDOM (Virtual Domain) به شما اجازه می‌دهد تا محیط‌های مجازی جداگانه‌ای تعریف کنید. راهکار پیشنهادی:

• یک VDOM به نام مثلاً Mgmt بسازید که فقط به مدیریت و مانیتورینگ اختصاص دارد.
• این VDOM را به هیچ‌عنوان به اینترنت متصل نکنید.
• برای اتصال به FortiGuard یا اینترنت، یک VDOM دیگر بسازید که ترافیکش از طریق تونل یا پروکسی عبور کند.

این تفکیک باعث می‌شود دستگاه اصلی هرگز با IP ایران مستقیماً به سرورهای Fortinet وصل نشود.

۲. استفاده از DNS و NTP داخلی

دو سرویس حیاتی که ممکن است باعث ارسال ناخواسته اطلاعات به خارج شوند، DNS و NTP هستند:

• از DNS داخلی یا کش شده استفاده کنید تا درخواست‌های نام دامنه به خارج ارسال نشود.
• از یک سرور NTP داخلی برای تنظیم ساعت دستگاه استفاده کنید تا نیاز به ارتباط با سرورهای بین‌المللی NTP از بین برود.

این اقدام‌ها علاوه بر جلوگیری از لو رفتن موقعیت جغرافیایی، امنیت شبکه را نیز افزایش می‌دهند.

۳. به‌روزرسانی امنیتی: آنلاین یا آفلاین؟

در ایران دو روش برای به‌روزرسانی امضای‌های امنیتی (مثل IPS، آنتی‌ویروس، Web Filtering و...) وجود دارد:

الف) آپدیت آفلاین

در این روش، فایل‌های به‌روزرسانی از طریق یک سیستم واسط دانلود شده و به FortiGate منتقل می‌شوند. این روش امن‌ترین حالت است و هیچ ریسکی برای بلاک شدن وجود ندارد.

ب) خرید لایسنس آنلاین

برای این روش نیاز به ارتباط دائمی با سرورهای FortiGuard است. چالش اصلی در این روش، شناسایی IP ایران توسط Fortinet است. برای حل این مشکل:

• باید ترافیک این VDOM خاص از طریق یک VPN یا HTTPS Proxy خارجی عبور داده شود تا IP ایران مخفی بماند.
• در شرکت‌هایی مانند ما (پارتیان ابتکار پایدار) تانل‌های اختصاصی امن برای این هدف فراهم شده است.

4. بررسی سریال دستگاه‌های دست‌دوم قبل از خرید

یکی از مهم‌ترین اقدامات پیش از خرید FortiGate دست‌دوم در ایران، بررسی وضعیت سریال نامبر آن است. برای این کار:

1. وارد حساب کاربری در support.fortinet.com شوید.
2. از منوی Services → Asset Management → Register New Product شماره سریال دستگاه را وارد کنید.
3. اگر پیغام بلاک بودن یا عدم امکان ثبت نمایش داده شد، از خرید آن خودداری کنید.

منابع مورد استفاده:

1. Fortinet Export Compliance Policy
2. The Iran Primer – Fortinet & Sanctions
3. BleepingComputer – Fortinet Services & Blocking in Sanctioned Countries
4. تجربه و اسناد فنی پیاده‌سازی شده توسط شرکت مهندسی پارتیان ابتکار پایدار