در دنیای شبکههای سازمانی امروزی، مدیریت متمرکز هویت و دسترسی کاربران (Identity and Access Management) نه تنها یک قابلیت رفاهی، بلکه یک ضرورت امنیتی و عملیاتی محسوب میشود. فایروالهای نسل جدید مانند Sophos XG تنها به بررسی ترافیک شبکه اکتفا نکرده و قابلیت احراز هویت کاربران (User Authentication) را به عنوان بخشی از لایههای امنیتی عمیق (Defense in Depth) ارائه میدهند.
اتصال فایروال Sophos XG به Active Directory (سرویس دایرکتوری مایکروسافت) این امکان را فراهم میسازد که احراز هویت کاربران به صورت یکپارچه و خودکار انجام شود. در این روش، کاربران با استفاده از همان نام کاربری و رمز عبوری که برای ورود به کامپیوتر و شبکه سازمان استفاده میکنند، میتوانند برای دسترسی به منابع تحت محافظت فایروال نیز احراز هویت شوند.
مزایای کلیدی این یکپارچگی عبارتند از:
کاهش بار مدیریتی: حذف نیاز به تعریف دستی کاربران در فایروال.
امنیت بالاتر: بهرهگیری از سیاستهای پیچیده رمز عبور و قفل شدن حسابهای کاربری که در سطح دامنه تعریف شدهاند.
تخصیص پویای دسترسی: انتساب خودکار کاربران به گروههای امنیتی فایروال بر اساس عضویت آنها در گروههای Active Directory.
کنترل دقیق: امکان اعمال سیاستهای فایروال بر اساس هویت کاربر (User-based Policies) به جای آدرس IP.
در این مقاله، به صورت گام به گام و تصویری، روش پیکربندی اتصال فایروال Sophos XG به Active Directory را برای تحقق احراز هویت یکپارچه کاربران بررسی خواهیم کرد.
پیشنیازهای اتصال
پیش از آغاز فرآیند پیکربندی، اطمینان از آمادهبودن الزامات فنی و اطلاعات لازم، کلید موفقیت در برقراری اتصال یکپارچه و پایدار بین فایروال Sophos XG و سرور Active Directory است. در این بخش، تمامی موارد ضروری که باید پیش از شروع در دسترس باشید، فهرست شدهاند.
اطلاعات لازم از زیرساخت شبکه
آدرس IP فایروال Sophos XG: آدرس اینترفیسی از فایروال که به شبکه داخلی (همان شبکه سرور Active Directory) متصل است و امکان ارتباط با سرور را دارد.
آدرس IP سرور Active Directory (Domain Controller): آدرس IP سروری که نقش Domain Controller را ایفا میکند.
پورت ارتباطی: به طور پیشفرض، ارتباط برای احراز هویت از پورت TCP 389 (LDAP) یا TCP 636 (LDAPS) استفاده میکند. اطمینان حاصل کنید که هیچ فایروال میزبان یا شبکهای این ارتباط را مسدود نمیکند.
نکته امنیتی: توصیه میشود از LDAPS (LDAP over SSL/TLS) برای رمزنگاری ترافیک احراز هویت استفاده کنید.
اعتبارنامههای دسترسی Administrative
یک حساب کاربری دامنه با دسترسی بالا: شما به یک حساب کاربری در دامنه نیاز دارید که دارای مجوزهای لازم برای خواندن اطلاعات از ساختار Active Directory (مانند اعضای گروهها) باشد. معمولاً از حساب Administrator دامنه یا حسابهایی که به گروه Domain Admins تعلق دارند، استفاده میشود.
نام کاربری: به فرمت دامنه\نامکاربری (مانند MYDOMAIN\adminuser) یا User Principal Name – UPN (مانند adminuser@mydomain.local).
رمز عبور: رمز عبور مربوط به آن حساب.
اطلاعات مربوط به ساختار Active Directory
برای تکمیل صحیح تنظیمات در کنسول Sophos XG، به اطلاعات دقیقی از پیکربندی دامنه خود نیاز دارید. این اطلاعات معمولاً در کنسول Active Directory Users and Computers یافت میشوند.
NetBIOS Domain Name: نام کوتاه و قدیمی دامنه که معمولاً در سیستمهای قدیمیتر استفاده میشود (مثلاً MYDOMAIN).
Fully Qualified Domain Name (FQDN): نام کامل دامنه (مثلاً mydomain.local).
Base DN یا Search DN: نقطه شروع درخت دایرکتوری برای جستجو. این معمولاً Distinguished Name ریشه دامنه است (مثلاً DC=mydomain,DC=local). فایروال از این آدرس برای شروع جستجوی کاربران و گروهها استفاده میکند.
🔍 نحوه یافتن این اطلاعات:
۱. بر روی سرور Active Directory، به مسیر Start > Programs > Administrative Tools > Active Directory Users and Computers بروید.
۲. از منوی View، گزینه Advanced Features را فعال کنید.
۳. بر روی ریشه دامنه (مثلاً mydomain.local) کلیک راست کرده و Properties را انتخاب کنید.
۴. در تب Attribute Editor، میتوانید مقادیر زیر را بیابید:
– domainDNS: مقدار distinguishedName همان Base DN است.
– dc: بخشی از FQDN را نشان میدهد.
(تصویر ۱ از فایل پیوست، نمای کلی این کنسول را نشان میدهد.)
ملاحظات امنیتی و شبکهای
قابلیت دسترسی (Reachability): از ping گرفتن بین آدرس IP فایروال و سرور Active Directory اطمینان حاصل کنید.
ساعت سیستم: اختلاف زمان زیاد بین فایروال و سرور دامنه میتواند باعث شکست فرآیند احراز هویت (به دلیل مشکلات مربوط به Kerberos) شود. توصیه میشود فایروال را به عنوان یک NTP Client پیکربندی کنید تا زمان خود را از یک منبع معین (ترجیحاً از سرور دامنه) همگامسازی کند.
گواهی SSL/TLS: اگر قصد استفاده از LDAPS را دارید، به یک گواهی معتبر (Certificate) روی سرور Active Directory نیاز دارید. این گواهی باید توسط یک مرکز صدور گواهی (CA) مورد اعتماد فایروال صادر شده باشد یا باید ریشه اعتماد (Trusted Root) آن به فایروال اضافه شود.
با جمعآوری و تأیید این اطلاعات، آماده خواهید بود تا مراحل پیکربندی را در کنسول فایروال Sophos XG آغاز کنید.
ایجاد حساب کاربری مخصوص برای فایروال (بهینهترین روش)
ایجاد یک حساب کاربری اختصاصی در دامنه برای فایروال Sophos، یک عمل امنیتی و بهترین روش (Best Practice) محسوب میشود. این کار دلایل مهمی دارد:
اصل کمترین امتیاز (Principle of Least Privilege): به جای استفاده از حساب Administrator اصلی، به فایروال تنها دسترسیهای لازم برای خواندن اطلاعات دایرکتوری اعطا میشود.
ردیابی و ممیزی (Auditing): فعالیتهای فایروال در لاگهای دامنه با این حساب خاص قابل ردگیری است.
امنیت: در صورت به خطر افتادن این حساب، آسیبپذیری کل دامنه را تهدید نمیکند.
مراحل ایجاد حساب و تفویض دسترسی:
۱. در کنسول Active Directory Users and Computers، در OU مناسب (مانند Users یا یک OU ایجاد شده برای سرویسها)، روی فضای خالی کلیک راست کرده و New > User را انتخاب کنید.
۲. نام و نام کاربری مناسبی وارد کنید (مثلاً svc_sophos_fw).
۳. یک رمز عبور قوی تنظیم کرده و گزینههای Password never expires و User cannot change password را انتخاب کنید. روی Next و سپس Finish کلیک کنید.
۴. روی حساب کاربری ایجاد شده کلیک راست کرده و Properties را انتخاب کنید.
۵. به تب Account بروید. در بخش Account Options، مطمئن شوید گزینه Do not require Kerberos preauthentication تیک نخورده باشد. روی OK کلیک کنید.
۶. تفویض مجوزهای خواندن: برای اعطای دسترسی خواندن به کل دامنه به این حساب، باید از ابزار dsacls.exe یا Delegate Control Wizard استفاده کرد.
* روش ساده با Delegate Control:
* در کنسول، روی ریشه دامنه (مثلاً mydomain.local) کلیک راست کرده و Delegate Control را انتخاب کنید.
* Next بزنید. در صفحه Selected Users and Groups، دکمه Add را زده و حساب سرویس فایروال (مثلاً svc_sophos_fw) را اضافه کنید. Next بزنید.
* Create a custom task to delegate را انتخاب و Next بزنید.
* Only the following objects in the folder را انتخاب کرده و تیک User objects و Group objects را بزنید. Next بزنید.
* در لیست مجوزها، تیک Read و Read All Properties را بزنید. Next و سپس Finish را بزنید.
فعالسازی دسترسی LDAP/LDAPS
برای ارتباط فایروال با Active Directory از طریق پروتکل LDAP، باید اطمینان حاصل کنید که پورتهای مربوطه روی سرور در دسترس هستند.
LDAP (غیررمزنگاریشده): پورت TCP 389 به طور پیشفرض باز است.
LDAPS (رمزنگاریشده): پورت TCP 636 باید فعال باشد. این امر مستلزم نصب یک گواهی سرور (Server Authentication Certificate) معتبر روی Domain Controller است.
میتوانید از گواهیهای داخلی AD Certificate Services یا یک گواهی معتبر از یک مرکز صدور گواهی عمومی (Public CA) استفاده کنید.
برای تأیید، میتوانید از دستور netstat -an | findstr :636 در Command Prompt سرور استفاده کنید.
بررسی و یادداشتبرداری اطلاعات ضروری
در این مرحله، باید اطلاعات کلیدی که در بخش پیشنیازها ذکر شد را جمعآوری و تأیید کنید.
۱. یافتن Base DN (Search DN):
* در کنسول Active Directory Users and Computers، از منوی View گزینه Advanced Features را فعال کنید.
* روی ریشه دامنه (مثلاً mydomain.local) کلیک راست کرده و Properties را انتخاب کنید.
* به تب Attribute Editor بروید.
* در لیست، به دنبال ویژگی distinguishedName بگردید. مقدار آن (مثلاً DC=mydomain,DC=local) همان Base DN یا Search DN است. این مقدار را یادداشت کنید.
۲. یافتن NetBIOS Name:
* به Control Panel > System and Security > System بروید.
* در بخش Computer name, domain, and workgroup settings، NetBIOS Name در کنار Domain نمایش داده میشود (مثلاً MYDOMAIN). این نام اغلب با حروف بزرگ نمایش داده میشود.
تشکیل/تعیین گروههای امنیتی در AD (اختیاری اما توصیهشده)
برای بهرهگیری کامل از قابلیت User-Based Policies در Sophos XG، بهتر است کاربران را در گروههای سازمانی (Security Groups) Active Directory دستهبندی کنید (مانند Grp_Finance_Users, Grp_IT_Admins). سپس در فایروال میتوانید این گروههای AD را به گروههای کاربری (User Groups) در Sophos نگاشت (Map) کنید و برای هر گروه، سیاست دسترسی (Access Policy) جداگانهای تعریف کنید.
با انجام این تنظیمات اولیه در سمت Active Directory، بستر امن و مناسبی برای اتصال فایروال Sophos XG فراهم شده و میتوانید با اطمینان خاطر به سراغ پیکربندی فایروال بروید.
مراحل پیکربندی در فایروال Sophos XG
پس از اتمام تنظیمات اولیه در سمت سرور Active Directory، نوبت به پیکربندی اصلی در کنسول مدیریتی فایروال Sophos XG میرسد. این فرآیند در دو مرحله اصلی انجام میشود: ابتدا تعریف و افزودن سرور Active Directory به عنوان یک منبع احراز هویت، و سپس تنظیم اولویتبندی و روشهای احراز هویت فایروال.
مرحله ۱: تعریف سرور Active Directory
در این مرحله، اطلاعات سرور Active Directory را به Sophos XG معرفی میکنیم تا بتواند با آن ارتباط برقرار کند.
۱. ورود به کنسول مدیریت: به رابط مدیریت تحت وب فایروال Sophos XG وارد شوید.
۲. پیمایش به بخش احراز هویت: از منوی اصلی، مسیر Configure > Authentication > Servers را دنبال کنید.
۳. افزودن سرور جدید: در صفحه Authentication Servers، بر روی دکمه Add در بالای صفحه کلیک کنید.
۴. انتخاب نوع سرور: در پنجره باز شده، از منوی کشویی Server Type، گزینه Active Directory را انتخاب کنید.
۵. تکمیل اطلاعات عمومی:
* Name: یک نام توصیفی برای این اتصال انتخاب کنید (مثلاً AD-Main-Domain).
* NetBIOS domain name: نام NetBIOS دامنه خود را وارد کنید (مثلاً MYDOMAIN).
* Display name attribute: فیلد پیشفرض displayName معمولاً مناسب است. این فیلد برای نمایش نام کامل کاربر در گزارشهای فایروال استفاده میشود.
* Email name attribute: فیلد پیشفرض mail معمولاً مناسب است. این فیلد برای مرتبط کردن آدرس ایمیل کاربر استفاده میشود.
۶. تنظیمات اتصال و امنیت (بخش بحرانی):
* Primary server IP/DNS: آدرس IP یا نام DNS سرور Active Directory (Domain Controller) اصلی خود را وارد کنید.
* Backup server IP/DNS (اختیاری): در صورت داشتن Domain Controller اضافی، آدرس آن را برای افزونگی وارد کنید.
* Port: پورت ارتباطی را مشخص کنید.
* ۳۸۹: برای ارتباط LDAP ساده (غیررمزنگاریشده).
* ۶۳۶: برای ارتباط LDAP over SSL (LDAPS) ایمن. استفاده از این گزینه به دلایل امنیتی بسیار توصیه میشود.
* Connection security: سطح امنیت ارتباط را انتخاب کنید.
* Simple: اطلاعات احراز هویت (نام کاربری و رمز عبور) به صورت متن ساده (Plain Text) ارسال میشود. این گزینه به دلایل امنیتی قویاً منسوخ شده و فقط در محیطهای آزمایشی جدای از شبکه توصیه میشود.
* SSL/TLS: ارتباط به صورت کامل رمزنگاری میشود. برای استفاده از این گزینه، باید از پورت ۶۳۶ استفاده کرده و گواهی معتبر سرور در فایروال نصب شده باشد.
* STARTTLS: ابتدا یک ارتباط ساده برقرار شده و سپس به یک ارتباط رمزنگاریشده ارتقا مییابد. این گزینه نیز نیازمند پورت ۳۸۹ و گواهی معتبر است.
۷. اعتبارنامههای اتصال (Binding Credentials):
* Username: نام کاربری حساب دامنهای که دسترسی خواندن دارد را وارد کنید. فرمت توصیهشده: User Principal Name (UPN) مانند svc_sophos_fw@mydomain.local یا فرمت DOMAIN\Username مانند MYDOMAIN\svc_sophos_fw.
* Password: رمز عبور حساب کاربری فوق را وارد کنید.
۸. تنظیمات پیشرفته (Search Settings):
* Search DN: مقدار Base DN یا distinguishedName ریشه دامنه که از Active Directory استخراج کردید را در اینجا وارد کنید (مثلاً DC=mydomain,DC=local). این آدرس نقطه شروع جستجوی فایروال در درخت دایرکتوری است.
* User search base (اختیاری): اگر میخواهید جستجو محدود به یک OU خاص باشد (مثلاً OU=Users,DC=mydomain,DC=local)، آن را اینجا وارد کنید. در غیر این صورت خالی بگذارید تا جستجو از ریشه دامنه شروع شود.
* Group search base (اختیاری): مشابه مورد بالا، برای محدود کردن جستجوی گروهها.
۹. تست و ذخیره: قبل از ذخیره، روی دکمه Test Connection کلیک کنید. اگر همه تنظیمات صحیح باشد، پیام موفقیتآمیزی دریافت خواهید کرد. در نهایت روی دکمه Save کلیک کنید تا سرور Active Directory اضافه شود.
مرحله ۲: تنظیم روش احراز هویت و اولویتبندی
اکنون که سرور تعریف شد، باید به فایروال بگوییم که چگونه و با چه اولویتی از این منبع برای احراز هویت کاربران استفاده کند.
۱. مراجعه به بخش سرویسهای احراز هویت: از منوی اصلی، مسیر Configure > Authentication > Services را دنبال کنید.
۲. انتخاب روش احراز هویت فایروال (Firewall Authentication): این بخش تعیین میکند که فایروال برای احراز هویت کاربران در دسترسی به اینترنت یا منابع تحت محافظت، از کدام سرورها و به چه ترتیبی استفاده کند.
۳. افزودن سرور و تنظیم اولویت: در بخش Firewall Authentication Methods، سرور Active Directoryای که در مرحله قبل ایجاد کردید را از لیست Available Authentication Servers انتخاب کرده و با استفاده از دکمه فلش رو به راست (>) به لیست Selected Authentication Servers منتقل کنید.
۴. تعیین ترتیب اولویت: ترتیب سرورها در لیست Selected Authentication Servers مهم است. فایروال احراز هویت کاربران را از بالاترین سرور در لیست (اولین گزینه) شروع میکند. اگر کاربر در آن سرور یافت نشد یا سرور در دسترس نبود، به سرور بعدی مراجعه میکند.
* میتوانید با استفاده از دکمههای Move Up و Move Down ترتیب سرورها را تغییر دهید.
* توصیه: اگر احراز هویت متمرکز از طریق AD اولویت اصلی شماست، سرور Active Directory را در صدر این لیست قرار دهید. سرور Local (کاربران تعریف شده در خود فایروال) معمولاً در پایین لیست قرار میگیرد.
۵. اعمال تنظیمات: پس از تنظیم اولویت مورد نظر، حتماً بر روی دکمه Apply در پایین صفحه کلیک کنید تا تغییرات اعمال و ذخیره شوند.
نکته مهم: وضعیت پیشفرض فایروال برای احراز هویت، Local است. با انجام این مرحله و قرار دادن Active Directory در صدر لیست، فرآیند احراز هویت به صورت شفاف و خودکار به سمت سرور دامنه شما هدایت میشود.
نتیجه: با تکمیل موفقیتآمیز این دو مرحله، پیکربندی اتصال به پایان رسیده است. از این لحظه به بعد، هنگامی که کاربران تحت پوشش فایروال برای دسترسی به منابعی که نیاز به احراز هویت دارند اقدام کنند، فایروال به طور خودکار با سرور Active Directory شما ارتباط برقرار کرده و هویت آنها را تأیید میکند. همچنین میتوانید از گروههای کاربری Active Directory برای تعریف سیاستهای دسترسی دقیقتر در فایروال استفاده کنید.
نکات امنیتی حیاتی برای پیکربندی و بهرهبرداری
پیادهسازی این قابلیت قدرتمند، مستلزم رعایت ملاحظات امنیتی است تا از تبدیل آن به یک نقطه آسیبپذیری جلوگیری شود:
۱. اصول امنیت حساب سرویس (Service Account):
هرگز از حساب Domain Administrator اصلی استفاده نکنید. حتماً یک حساب کاربری اختصاصی با کمترین سطح دسترسی لازم (فقط خواندن اطلاعات دایرکتوری) ایجاد کنید.
رمز عبور پیچیده و طولانی برای این حساب تنظیم نمایید.
سیاست تغییر دورهای رمز عبور حساب سرویس را اجرا کرده و پس از هر تغییر، رمز جدید را در تنظیمات فایروال نیز بهروز کنید.
گزینه Password never expires را میتوان برای پایداری فعال کرد، اما در این صورت نظارت قویتر بر امنیت حساب ضروری است.
۲. رمزنگاری ارتباط (Encryption in Transit):
هرگز از گزینه Simple در بخش Connection Security استفاده نکنید. این گزینه اطلاعات احراز هویت را به صورت متن آشکار (Plain Text) در شبکه ارسال میکند.
حالت SSL/TLS با پورت ۶۳۶ (LDAPS) گزینه امن و توصیهشده است. برای این کار:
مطمئن شوید سرور Active Directory شما یک گواهی SSL معتبر برای سرویس LDAP دارد.
گواهی ریشه (Root CA) مرجع صدور این گواهی، باید در فهرست گواهیهای مورد اعتماد (Trusted Root Certificates) فایروال Sophos XG موجود باشد.
۳. امنیت شبکه و دسترسی:
ارتباط بین فایروال و سرور(های) Active Directory باید در یک سگمنت شبکه قابل اعتماد و کنترلشده (مانند شبکه مدیریتی یا داخلی امن) قرار گیرد.
قوانین فایروال (Access Rules) باید به گونهای تنظیم شوند که فقط فایروال Sophos XG بتواند به پورتهای LDAP/LDAPS (۳۸۹/۶۳۶) و همچنین پورتهای ضروری Kerberos (مانند ۸۸) بر روی Domain Controllerها دسترسی داشته باشد.
همگامسازی زمان (NTP) بین فایروال و سرور Active Directory را حتماً بررسی و تنظیم کنید. اختلاف زمان بیش از ۵ دقیقه میتواند باعث شکست فرآیند احراز هویت Kerberos شود.
۴. مدیریت و نظارت مستمر:
گزارشهای احراز هویت (Authentication Logs) را در کنسول Sophos XG (Log & Report > Authentication) به طور منظم بررسی کنید. هرگونه خطای غیرمعمول میتواند نشاندهنده مشکل در اتصال یا تلاش نفوذ باشد.
رویدادهای (Events) مربوط به ورود ناموفق حساب سرویس فایروال را در لاگهای امنیتی سرور Active Directory (Windows Security Log) زیر نظر بگیرید.
پس از پیکربندی، سیاستهای دسترسی (Access Policies) خود را مرور کرده و از انتساب صحیح کاربران و گروههای Active Directory به قوانین فایروال اطمینان حاصل نمایید.
یک برنامه آزمون دورهای داشته باشید تا از عملکرد صحیح احراز هویت یکپارچه و failover (در صورت پیکربندی سرور پشتیبان) اطمینان حاصل کنید.
۵. بازیابی و افزونگی (Redundancy):
در بخش تنظیمات سرور Active Directory در Sophos، حتماً آدرس یک یا چند Backup Domain Controller را وارد کنید. این کار باعث میشود در صورت عدم دسترسی به سرور اصلی، فرآیند احراز هویت متوقف نشود.
از تنظیمات پیکربندی شده (Configuration Backup) فایروال به طور مرتب پشتیبان (Backup) تهیه کنید. این پشتیبان شامل تنظیمات احراز هویت Active Directory نیز خواهد بود.
جمعبندی نهایی
پیادهسازی صحیح و امن اتصال Sophos XG به Active Directory، تنها یک تنظیم فنی نیست، بلکه یک سرمایهگذاری در تحکیم زیرساخت امنیتی سازمان شما محسوب میشود. این کار با حذف نقاط کور مدیریتی، افزایش قابلیت ردیابی و اعمال کنترلهای دقیق بر اساس هویت، چرخه حیاط امنیت اطلاعات شما را تکمیل میکند. با رعایت نکات امنیتی فوق، میتوانید از این قابلیت قدرتمند، به عنوان سنگ بنایی مطمئن در دفاع لایهای شبکه خود بهره ببرید و یک محیط عملیاتی همزمان امن، کارآمد و متمرکز را تجربه کنید.


