نحوه اتصال فایروال Juniper SRX به Active Directory برای احراز هویت کاربران

در معماری امنیت شبکه‌های سازمانی مدرن، مدیریت کارآمد و ایمن دسترسی کاربران به منابع، به یکی از حساسترین و پیچیده‌ترین وظایف متخصصان امنیت تبدیل شده است. روش‌های سنتی احراز هویت مبتنی بر آدرس‌های IP ایستا یا رمزهای عبور محلی روی هر دستگاه، نه تنها قابلیت مقیاس‌پذیری و انعطاف لازم برای محیط‌های پویا را ندارند، بلکه با ایجاد شکاف‌های امنیتی و چالش‌های عملیاتی مانند مدیریت حساب‌های تکراری و پیگیری دسترسی‌های نامعتبر، تهدیدی جدی برای یکپارچگی زیرساخت به شمار می‌روند. در این میان، راه‌حل بهینه و پذیرفته‌شده در سطح سازمانی، استقرار یک چارچوب احراز هویت متمرکز (Centralized Authentication) است که در آن، هویت و مجوزهای تمام کاربران از یک منبع معتبر و واحد مدیریت می‌شود.

Microsoft Active Directory (AD) به عنوان پرکاربردترین سرویس دایرکتوری و مدیریت هویت در جهان، نقش این منبع حقیقی و معتبر را در اکثر سازمان‌ها ایفا می‌کند. AD به‌عنوان ستون فقرات منطقی شبکه، امکان مدیریت متمرکز کاربران، گروه‌ها، رایانه‌ها و سیاست‌ها را فراهم می‌سازد. از سوی دیگر، فایروال‌های نسل جدید Juniper SRX، با فراتر رفتن از قابلیت‌های فیلترینگ سنتی بر اساس آدرس و پورت، امکان پیاده‌سازی خط‌مشی‌های امنیتی مبتنی بر هویت کاربر (Identity-Based Security Policies) را عرضه می‌کنند.

یکپارچه‌سازی این دو پلتفرم قدرتمند—اتصال فایروال Juniper SRX به Active Directory—یک تحول استراتژیک در معماری امنیت شبکه ایجاد می‌کند. این ادغام، فایروال را قادر می‌سازد تا برای کنترل دسترسی به منابع شبکه، به جای تکیه بر شناسه‌های سطح پایین مانند IP (که به سادگی جعل یا اشتراک گذاشته می‌شوند)، مستقیماً از هویت واقعی کاربران و عضویت آن‌ها در گروه‌های سازمانی AD مطلع شود. این امر مزایای متعددی را به ارمغان می‌آورد: افزایش چشمگیر امنیت از طریق اعمال کنترل دقیق‌تر بر اساس نقش‌های شغلی (مانند «مدیران سیستم»، «کارکنان مالی» یا «کاربران میهمان»)؛ ساده‌سازی مدیریت با حذف نیاز به ایجاد و نگهداری پایگاه داده کاربری موازی روی فایروال؛ بهبود قابلیت حسابرسی و گزارش‌گیری با امکان ردیابی تمام فعالیت‌های شبکه به نام کاربر واقعی؛ و انعطاف‌پذیری بالاتر در تطبیق سیاست‌های امنیتی با تغییرات پرسنلی سازمان. این مقاله به ارائه یک راهنمای عملی و گام‌به‌گام برای پیاده‌سازی ایمن، قابل اعتماد و بهینه این یکپارچه‌سازی حیاتی می‌پردازد.

پیش‌نیازها و ملاحظات

پیش از آغاز فرآیند فنی پیکربندی، انجام یک ارزیابی دقیق و برنامه‌ریزی ساختاریافته بر اساس الزامات شبکه، نرم‌افزار و امنیتی، عاملی کلیدی در تضمین موفقیت و پایداری پیاده‌سازی محسوب می‌شود. غفلت از این مرحله می‌تواند منجر به بروز اختلال در سرویس، ایجاد نقاط آسیب‌پذیر امنیتی و مواجهه با چالش‌های پیچیده در مرحله عیب‌یابی گردد. نخستین گام، تحلیل همبندی شبکه (Network Topology) و برقراری ارتباط پایه است؛ می‌بایست از وجود مسیر IP قابل دسترس و پایدار بین اینترفیس مدیریت یا داده‌ی فایروال SRX و سرور(های) کنترل‌کننده دامنه (Domain Controller) اطمینان حاصل نمود. این ارتباط باید امکان دسترسی به پورت‌های ضروری پروتکل LDAP یا LDAP over SSL/TLS (LDAPS) را فراهم کند. در این راستا، توصیه امنیتی قوی، استفاده انحصاری از پورت 636 و پروتکل LDAPS برای رمزنگاری کامل تبادل اطلاعات حساس احراز هویت در طول شبکه است تا از استراق سمع (Sniffing) و حملات مرد میانی (Man-in-the-Middle) جلوگیری شود.

 

از جنبه نیازمندی‌های نرم‌افزاری، تأیید سازگاری نسخه سیستم عامل Junos OS نصب‌شده بر روی دستگاه SRX با ویژگی‌های پیشرفته احراز هویت مبتنی بر LDAP و Identity Awareness ضروری است. همچنین در سمت زیرساخت Active Directory، می‌بایست سطح عملکردی دامنه (Functional Level) مناسب بوده و یک گواهی دیجیتال معتبر از یک مرکز صدور گواهی (CA) داخلی یا عمومی بر روی Domain Controller نصب شده باشد تا ملزومات امنیتی LDAPS برآورده گردد. از منظر امنیتی و طراحی، لازم است یک حساب سرویس (Service Account) اختصاصی با کمترین سطح دسترسی لازم (اصل کمترین امتیاز – Principle of Least Privilege) در AD ایجاد گردد. این حساب صرفاً باید مجوز خواندن (Read-Only) اطلاعات کاربران و گروه‌ها در بخش‌های مشخصی از ساختار دامنه (OUهای مربوطه) را دارا باشد تا خطر سوءاستفاده در صورت به خطر افتادن آن به حداقل برسد. همچنین، تدوین نقشه کاربران و گروه‌های AD که هدف این یکپارچه‌سازی هستند و تعیین دقیق منابع شبکه (آدرس‌ها، پورت‌ها، پروتکل‌ها) که دسترسی به آن‌ها باید کنترل شود، از ملزومات طراحی خط‌مشی‌های امنیتی معنادار و گرانولار به شمار می‌آید. در نهایت، برنامه‌ریزی برای پنجره تغییر (Change Window) و تهیه پشتیبان کامل از پیکربندی فعلی SRX و وضعیت AD، اقدام احتیاطی حیاتی برای امکان بازگشت سریع در صورت بروز هرگونه اشکال غیرمنتظره است.

 

مراحل پیکربندی مرحله‌به‌مرحله

پیاده‌سازی موفق این یکپارچه‌سازی مستلزم دنبال کردن یک روند منطقی، دقیق و متوالی است. هر گام، پایه‌ای برای گام بعدی محسوب می‌شود و بی‌دقتی در هر مرحله می‌تواند کل فرآیند را با شکست مواجه کند.

گام اول: تنظیمات اولیه روی سرور Active Directory (ایجاد حساب سرویس و تنظیم LDAP/SSL)

این مرحله، شالوده امن و قابل اعتماد ارتباط را در سمت سرور می‌ریزد. ابتدا می‌بایست یک حساب کاربری ویژه به عنوان حساب سرویس در یک واحد سازمانی (OU) مناسب (مانند OU=ServiceAccounts,DC=example,DC=local) ایجاد گردد. برای این حساب، ویژگی “رمز عبور هرگز منقضی نمی‌شود” فعال و یک رمز عبور پیچیده و طولانی تعیین می‌شود. سپس، با استفاده از ابزار “مدیریت مجوزها” (Delegation of Control Wizard)، تنها مجوز “خواندن” (Read) تمام ویژگی‌ها بر روی OUهایی که کاربران هدف در آنجا قرار دارند، به این حساب سرویس اعطا می‌گردد تا اصل کمترین امتیاز رعایت شود. در موازات، برای فعال‌سازی LDAPS، باید از نصب و اعتبارسنجی یک گواهی سرور (Server Authentication Certificate) معتبر بر روی هر Domain Controller اطمینان حاصل کرد. این گواهی باید شامل نام DNS سرور بوده و توسط یک مرکز صدور گواهی (CA) که فایروال SRX به آن اعتماد دارد، امضاء شده باشد. پس از نصب گواهی، سرویس Active Directory Domain Services به طور خودکار پورت TCP/636 را برای ارتباطات امن LDAPS گوش می‌دهد که می‌توان با ابزارهایی مانند LDP.exe یا دستور Test-NetConnection در PowerShell صحت آن را تأیید نمود.

تعریف سرور LDAP/LDAPS:

bash

set access profile AD-Auth-Profile authentication-order ldap

set access profile AD-Auth-Profile ldap-options base-distinguished-name “dc=company,dc=local”

# برای LDAP معمولی (غیرایمن):

# set access profile AD-Auth-Profile ldap-server 192.168.1.10 port 389

# برای LDAPS (ایمن):

set access profile AD-Auth-Profile ldap-server 192.168.1.10 port 636 ssl

set access profile AD-Auth-Profile ldap-server 192.168.1.10 source-address 192.168.1.254 # آی‌پی SRX

set access profile AD-Auth-Profile ldap-options bind-as user

set access profile AD-Auth-Profile ldap-options bind-password “پسورد_قوی_سرویس_اکانت” # در حالت واقعی از رمزگذاری استفاده شود

set access profile AD-Auth-Profile ldap-options bind-as user distinguished-name “cn=svc_srx_auth,ou=Service Accounts,dc=company,dc=local”

set access profile AD-Auth-Profile ldap-options admin-search distinguished-name “ou=Users,dc=company,dc=local”

set access profile AD-Auth-Profile ldap-options user-search distinguished-name “ou=Users,dc=company,dc=local”

 

گام دوم: پیکربندی فایروال Juniper SRX (تعریف سرور LDAP، قوانین دسترسی و پروفایل احراز هویت)

در این مرحله، فایروال SRX برای شناخت و ارتباط با زیرساخت AD آماده می‌شود. ابتدا پیکربندی سرور LDAP در زیرساخت احراز هویت (Access Profile) انجام می‌گیرد. در این بخش، آدرس سرورهای DC، پورت LDAPS (636)، و حالت اتصال SSL مشخص شده و اطلاعات Base-DN دامنه (محدوده جستجو) و Bind-DN حساب سرویس (به همراه رمز عبور رمزنگاری‌شده) تنظیم می‌شود. سپس، پروفایل احراز هویت (Authentication Profile) ایجاد می‌شود که این پروفایل، پروتکل احراز هویت مورد استفاده برای کاربران (مانند Web-Redirect برای احراز هویت مبتنی بر مرورگر یا Pass-Through برای برنامه‌های خاص) را به پیکربندی LDAP پیوند می‌دهد. در نهایت، ممکن است لازم باشد قوانین دسترسی موقت (Temporary Access Rules) یا شبکه‌های مورد اعتماد (Trusted Networks) برای این فرآیند تعریف شوند تا ترافیک احراز هویت اولیه و همچنین ترافیک بین SRX و DCها به درستی مسیریابی و مجاز شوند.

ایجاد پروفایل احراز هویت (Authentication Profile): این پروفایل، پل بین روش احراز هویت (مثلاً Web-Redirect یا Pass-Through) و سرور LDAP است.

bash

set access firewall-authentication web-authentication default-profile AD-Auth-Profile

 

 

 

 

هدف: اعمال کنترل دسترسی بر اساس عضویت در گروه AD.

تعریف آدرس‌ها و برنامه‌ها (Application): مانند هر Policy دیگر.

bash

set security address-book global address SERVER-NET 10.10.10.0/24

set applications application SSH application-protocol ssh

set applications application SSH protocol tcp destination-port 22

 

گام سوم: ایجاد قوانین خط‌مشی (Policy) بر اساس کاربر/گروه AD

این گام، هسته اصلی یکپارچه‌سازی و تحقق مفهوم “فایروال مبتنی بر هویت” است. ابتدا، مجموعه‌های هویت (Identity Sets) در SRX تعریف می‌شوند. این کار با نگاشت (Mapping) گروه‌های امنیتی AD (مانند CN=Finance,OU=Groups,DC=…) به نام‌های گروه‌های کاربری داخلی SRX (مانند AD-Finance-Users) انجام می‌پذیرد. این نگاشت از طریق همان پیکربندی LDAP یا پروفایل اختصاصی Identity Management انجام می‌شود. پس از آن، خط‌مشی امنیتی (Security Policy) جدید یا اصلاح شده‌ای ایجاد می‌گردد که در بخش match آن، علاوه بر زون مبدا و مقصد، آدرس‌های IP و برنامه (Application) مورد نظر، پارامتر source-identity نیز اضافه می‌شود. در این قسمت، نام گروه کاربری نگاشت‌شده (مانند AD-Finance-Users) وارد می‌شود. بدین ترتیب، فایروال تنها در صورتی اجازه عبور ترافیک را می‌دهد که کاربر ابتدا احراز هویت شده و عضو گروه تعیین‌شده در AD باشد.

گام چهارم: تست و عیب‌یابی اتصال و احراز هویت

پس از تکمیل پیکربندی، اجرای تست‌های ساختاریافته برای اعتبارسنجی عملکرد هر لایه ضروری است. ابتدا می‌بایست اتصال پایه LDAP/LDAPS از SRX به سرورهای DC با دستوراتی مانند request security … ldap-connection-test بررسی شود تا صحت تنظیمات Bind و در دسترس بودن سرور تأیید گردد. در مرحله بعد، تست احراز هویت یک کاربر واقعی با استفاده از روش تعیین‌شده (مثلاً بازدید از یک آدرس تحت محافظت و مشاهده صفحه Redirect به پورتال احراز هویت) انجام می‌شود. موفقیت‌آمیز بودن این مرحله، صحت پروفایل احراز هویت را نشان می‌دهد. در نهایت، تست اعمال خط‌مشی با بررسی لاگ‌های فایروال (show log، show security policies hit-count) صورت می‌پذیرد تا مطمئن شویم ترافیک کاربر احراز هویت شده، خط‌مشی صحیح را match کرده و مجاز یا مسدود شده است. ابزارهای عیب‌یابی مانند monitor traffic و debug security user-identification نیز برای رفع مشکلات پیچیده‌تر در دسترس هستند.

تعریف مجموعه‌های هویت (Identity Awareness): در اینجا گروه AD را به SRX معرفی می‌کنیم.

bash

# تعریف یک مجموعه هویت از نوع LDAP

set security identity-management identity-provider ldap-profile AD-Provider server 192.168.1.10

set security identity-management identity-provider ldap-profile AD-Provider base distinguished-name “dc=company,dc=local”

set security identity-management identity-provider ldap-profile AD-Provider ssl

set security identity-management identity-provider ldap-profile AD-Provider bind-as user

set security identity-management identity-provider ldap-profile AD-Provider bind-dn “cn=svc_srx_auth,ou=Service Accounts,dc=company,dc=local”

set security identity-management identity-provider ldap-profile AD-Provider bind-password “پسورد_قوی_سرویس_اکانت”

 

# نگاشت گروه AD به یک مجموعه هویت در SRX

set security identity-management user-group-mapping ldap-group “CN=SRX_Allowed_Users,OU=Security Groups,DC=company,DC=local” user-group SRX-Users

 

ساخت Policy مبتنی بر هویت:

bash

set security policies from-zone Trust to-zone Untrust policy AD-Based-Access match source-address any

set security policies from-zone Trust to-zone Untrust policy AD-Based-Access match destination-address SERVER-NET

set security policies from-zone Trust to-zone Untrust policy AD-Based-Access match application [ SSH HTTP HTTPS ]

set security policies from-zone Trust to-zone Untrust policy AD-Based-Access match source-identity [ SRX-Users ] # هسته اصلی Policy

set security policies from-zone Trust to-zone Untrust policy AD-Based-Access then permit

set security policies from-zone Trust to-zone Untrust policy AD-Based-Access then log session-close

 

بهترین روش‌های امنیتی و نگهداری

پیاده‌سازی اولیه اتصال SRX به AD، تنها نقطه آغاز چرخه عمر این قابلیت است. برای حفظ یکپارچگی، امنیت و عملکرد بهینه این محیط یکپارچه در بلندمدت، رعایت یک مجموعه از بهترین روش‌های امنیتی و رویه‌های نگهداری منظم، امری حیاتی و غیرقابل اغماض است.

حریم امنیتی داده‌های حساس: سنگ بنای امنیت این معماری، استفاده اجباری از LDAPS (LDAP over SSL/TLS) به جای LDAP ساده است. این امر تمام تبادلات شامل نام کاربری، رمز عبور و اطلاعات گروه‌ها را در مقابل استراق سمع مصون می‌دارد. برای این کار، نه تنها باید گواهی‌های معتبر روی DCها نصب باشند، بلکه لازم است فایروال SRX به مرکز صدور گواهی (CA) صادرکننده اعتماد کامل داشته باشد. همچنین، هرگز نباید رمز عبور حساب سرویس AD به صورت متن ساده (Plain Text) در پیکربندی ذخیره شود. باید از قابلیت رمزنگاری رمز عبور Junos با استفاده از دستور set system scripts op file یا الگوریتم‌های رمزنگاری پشتیبانی‌شده دیگر بهره برد.

اصل کمترین امتیاز و تفکیک وظایف: مجوزهای حساب سرویس مورد استفاده توسط SRX باید دقیقاً مطابق با اصل کمترین امتیاز (Principle of Least Privilege) محدود شود. این حساب تنها به مجوز خواندن (Read-Only) بر روی ویژگی‌های ضروری کاربران و گروه‌ها در واحدهای سازمانی (OU) مشخص محدود گردد و هرگونه دسترسی مدیریتی از آن سلب شود. بهتر است این حساب در یک OU مجزا قرار گیرد و سیاست‌های رمز عبور قوی (طولانی و پیچیده) بر آن حاکم باشد، حتی اگر گزینه عدم انقضا برای آن فعال باشد. ایجاد چندین حساب سرویس برای اهداف مختلف (مثلاً یکی برای احراز هویت کاربران و دیگری برای همگام‌سازی گروه‌ها) می‌تواند سطح تفکیک و امنیت را افزایش دهد.

مدیریت چرخه حیات و نظارت فعال: فعال‌سازی جامع لاگ‌گیری (Logging) برای تمام رویدادهای مرتبط با احراز هویت (user-auth)، خط‌مشی‌های امنیتی و فعالیت‌های LDAP بر روی SRX ضروری است. این لاگ‌ها باید به یک سیستم مدیریت لاگ متمرکز (SIEM) ارسال و به‌طور دوره‌ای بازبینی شوند تا هرگونه تلاش ناموفق مشکوک، تغییرات در عضویت گروه‌ها یا دسترسی‌های غیرمعمول سریعاً شناسایی گردد. همچنین، بررسی دوره‌ای و مستندسازی عضویت گروه‌های AD که در خط‌مشی‌های SRX مورد استفاده قرار می‌گیرند، از تجمع دسترسی‌های غیرضروری (Privilege Creep) جلوگیری می‌کند.

استحکام‌بانی و به‌روزرسانی مستمر: نگهداری از پشتیبان‌های مکرر و نسخه‌شده (Versioned Backups) از پیکربندی کامل SRX، به ویژه بخش‌های مربوط به احراز هویت و Identity Management، یک الزام عملیاتی است. این پشتیبان‌ها باید قبل و بعد از هر تغییر عمده ایجاد شوند. همگام‌سازی با چرخه‌های به‌روزرسانی هر دو پلتفرم نیز حیاتی است؛ به‌کارگیری جدیدترین نسخه‌های پایدار Junos OS که شامل رفع آسیب‌پذیری‌های امنیتی می‌شود، و همچنین اعمال Patchهای امنیتی منتشر شده برای سرورهای Windows و سرویس Active Directory، سطح حمله کلی را به حداقل می‌رساند.

برنامه‌ریزی برای شرایط اضطراری: طراحی و تست یک طرح بازیابی (Rollback Plan) مشخص برای سناریوهایی مانند قطعی سرورهای DC، منقضی شدن گواهی‌های SSL یا خرابی در خود فایروال SRX، از تبدیل یک اختلال به یک بحران گسترده جلوگیری می‌کند. این طرح باید شامل استفاده از پشتیبان‌های پیکربندی، فعال‌سازی موقت خط‌مشی‌های مبتنی بر IP (به عنوان راه‌حل جایگزین موقت) و داشتن مستندات دقیق از کل معماری و فرآیندها باشد.

با رعایت این چارچوب جامع امنیتی و نگهداری پیشگیرانه، سازمان می‌تواند از مزایای بلندمدت یک یکپارچه‌سازی قدرتمند، امن و پایدار بین فایروال Juniper SRX و Active Directory بهره‌مند گردد، در حالی که خطرات و وقفه‌های عملیاتی را به حداقل می‌رساند.

جمع‌بندی و نتیجه‌گیری

پیاده‌سازی یکپارچه‌سازی فایروال Juniper SRX با Microsoft Active Directory، صرفاً یک تنظیم فنی تکمیلی نیست؛ بلکه یک ارتقاء استراتژیک و تحول‌آفرین در معماری امنیت شبکه و چارچوب حکمرانی هویت سازمان محسوب می‌شود. این ادغام، با حرکت از پارادایم منسوخ کنترل دسترسی مبتنی بر آدرس‌های IP ثابت، به سمت مدلی پویا، هوشمند و مبتنی بر هویت کاربر (User Identity) به عنوان محوری‌ترین عنصر اعطای مجوز، مرزهای امنیت شبکه را به طور اساسی بازتعریف می‌کند.

مرور مزایای کلیدی این پیاده‌سازی، گویای ارزش بی‌بدیل آن است: امنیت عمیق‌تر و گرانولار از طریق تطبیق سیاست‌ها با نقش‌های سازمانی واقعی کاربران؛ کارایی و چابکی عملیاتی بی‌نظیر با حذف مدیریت دستی حساب‌ها روی فایروال و واگذاری آن به سامانه متمرکز AD؛ قابلیت حسابرسی و پاسخگویی کامل با انتساب تمام فعالیت‌های شبکه به فرد مشخص، نه یک دستگاه ناشناس؛ و در نهایت، سازگاری و آینده‌نگری با ایجاد زیرساختی منعطف که به‌راحتی با تغییرات پرسنلی، ادغام‌ها یا استقرار فناوری‌های جدید سازگار می‌شود.

با این حال، دستیابی به این مزایا مستلزم عبور از مسیری برنامه‌ریزی‌شده، دقیق و مبتنی بر بهترین روش‌ها است—از ارزیابی دقیق پیش‌نیازها و رعایت اصول امنیتی مانند استفاده از LDAPS و اصل کمترین امتیاز در مرحله طراحی، تا اجرای گام‌به‌گام پیکربندی و تعهد به نگهداری فعال و نظارت مستمر در مرحله بهره‌برداری. این فرآیند، یک سرمایه‌گذاری بلندمدت در تقویت زیرساخت امنیتی، کاهش ریسک و افزایش بهره‌وری تیم‌های فناوری اطلاعات است.

در دنیای امروز که تهدیدات پیچیده و نفوذگران به دنبال ضعیف‌ترین حلقه امنیتی هستند، حفاظت از دارایی‌های دیجیتال با تکیه بر شناسه‌های ساده شبکه‌ای دیگر کافی نیست. هویت، باید به عنوان پارامتر اصلی کنترل دسترسی در لبه شبکه اعمال شود. بنابراین، یکپارچه‌سازی Juniper SRX با Active Directory را نباید یک انتخاب، بلکه یک ضرورت راهبردی برای هر سازمانی در نظر گرفت که جدیت امنیت، کارآمدی مدیریت و الزامات انطباق را درک می‌کند. این معماری، تنها یک لایه حفاظتی اضافه نمی‌کند، بلکه یک چارچوب امنیتی هوشمند، متمرکز و پاسخگو ایجاد می‌کند که شبکه را برای چالش‌های امروز و فردا مقاوم می‌سازد.

 

 

امتیاز
تصویر وینو سرور

وینو سرور

وینو سرور، اولین استارتاپ ارائه تجهیزات و سیستم های سخت افزاری، به صورت مستقیم از تولید کننده به مصرف کننده است. همواره تلاش مجموعه بر این اصل استوار بوده است تا مشتریان بتوانند بهترین سیستم را برای پروژه خود انتخاب کرده و با مناسب‌ترین قیمت، آن را تهیه کنند. تیم وینو سرور، همواره سعی می‌کند تا جامع‌ترین خدمات را به مشتریان ارائه دهد تا خرید را برای شما به کاری لذت‌بخش و آسان تبدیل کند.

پست ها

مطلع شدن از پست های جدید

می‌خواهم اولین نفری باشم که از مقاله‌هایی که در وینو سرور منتشر می‌شود، آگاه شوم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لوگو وینو سرور
×
نمودار قیمت
آخرین قیمت:
تومان
در حال آماده‌سازی...