บทความที่ 2: GUI & CLI Operations – ศิลปะการควบคุมขุมพลัง FortiGate อย่างมืออาชีพ

cyberthai-adminMay 8, 20260 comments

บทความโดย: ดร. วิรินทร์ เมฆประดิษฐสิน

ในโลกของการจัดการ Network Security มีคำกล่าวหนึ่งที่ว่า “ความเร็วคืออาวุธ แต่ความแม่นยำคือชัยชนะ” สำหรับ FortiGate Firewall การที่เราสามารถเข้าถึงและสั่งการอุปกรณ์ได้อย่างรวดเร็วและถูกต้อง คือบรรทัดฐานที่แยกแยะระหว่าง Admin ทั่วไป กับ Engineer ระดับ Expert บทความนี้จะพาทุกท่านไปเจาะลึกกลไกการทำงานของ FortiOS ผ่านสองช่องทางหลัก คือ Web-based GUI และ Command Line Interface (CLI) รวมถึงการทำ Paradigm Shift เพื่อปรับจูนความคิดให้เข้ากับสถาปัตยกรรมของ Fortinet ครับ

1. Web-based GUI: หน้าต่างแห่งทัศนวิสัย (The Window of Visibility)

หน้าจอ Dashboard ของ FortiGate ในเวอร์ชัน 7.6 ถูกออกแบบมาภายใต้แนวคิด “Data-Driven Design” คือการนำข้อมูลมหาศาลมาเปลี่ยนเป็นภาพ (Visualization) ที่เข้าใจง่ายที่สุด

1.1 การปรับแต่ง Dashboard และ Monitor

หัวใจของ GUI ไม่ใช่แค่การกดเมนู แต่คือการสร้าง NOC/SOC Dashboard ส่วนตัว

  • Interactive Widgets: เราสามารถเพิ่ม Widget เพื่อดู CPU/Memory Usage, Session Count, และ Interface Bandwidth ได้แบบ Real-time
  • FortiView: นี่คือฟีเจอร์เด่นที่ช่วยให้เราเห็น “ใคร ทำอะไร ที่ไหน” เช่น การดู Top Sources, Top Destinations และ Cloud Applications ที่พนักงานใช้งานอยู่
  • Logical vs Physical Topology: การดูภาพรวมเครือข่ายว่าอุปกรณ์ใดเชื่อมต่อกันอย่างไร ช่วยให้การวิเคราะห์ปัญหา (Troubleshooting) ทำได้รวดเร็วขึ้นมาก

1.2 การบริหารจัดการ System & Network

การตั้งค่าใน GUI แบ่งหมวดหมู่ไว้อย่างชัดเจน

  • Network Menu: ใช้จัดการ Interfaces, VLANs, และ Routing (Static/Policy-based)
  • System Menu: ใช้จัดการ Firmware Upgrade, Administrator Profiles (การทำ Role-based Access Control), และการตั้งค่า Time/NTP ซึ่งสำคัญมากต่อความถูกต้องของ Log

2. CLI Fundamentals: ขุมพลังใต้ฝากระโปรง (The Power Under the Hood)

สำหรับวิศวกรระดับสูง CLI ไม่ใช่เรื่องยาก แต่เป็น “ทางลัด” (Short-cut) ที่ทรงประสิทธิภาพที่สุด การทำงานกับ CLI ของ FortiGate มีโครงสร้างที่เลียนแบบลำดับชั้นของ Database (Tree Structure)

2.1 โครงสร้างคำสั่งหลัก 4 จตุรเทพ

การใช้งาน CLI ใน FortiOS จะวนเวียนอยู่กับ 4 คำสั่งพื้นฐานนี้เสมอ

  1. config: ใช้เพื่อ “เข้าสู่โหมดแก้ไข” เช่น config system interface
  2. show: ใช้เพื่อ “ดูค่าคอนฟิกที่เราตั้งไว้” (เฉพาะค่าที่ไม่ใช่ค่า Default)
  3. get: ใช้เพื่อ “ดูค่าทั้งหมด” รวมถึงสถานะปัจจุบันของระบบ (Runtime Status)
  4. edit: ใช้เพื่อ “เลือกวัตถุที่ต้องการจัดการ” เช่น edit port1

2.2 ความลับของคำสั่ง execute และ diagnose

นี่คือจุดที่แยก “มือสมัครเล่น” ออกจาก “มืออาชีพ”

  • execute: ใช้สั่งการให้อุปกรณ์ทำงานบางอย่าง เช่น execute ping, execute traceroute หรือการ Backup คอนฟิกไปที่ USB/TFTP
  • diagnose (หรือ diag): นี่คือเครื่องมือวิเคราะห์ขั้นสูง เช่นการดู Packet Sniffer (diag sniffer packet) หรือการดู Debug Flow (diag debug flow) เพื่อสืบหาว่าทำไม Traffic ถึงโดน Drop

3. Paradigm Shift: การปรับกระบวนทัศน์ CLI vs GUI

ทำไมเราต้องเรียนทั้งสองอย่าง? ดร. วิรินทร์ มักจะเน้นย้ำกับลูกศิษย์เสมอว่า “GUI มีไว้เพื่อดูภาพรวม แต่ CLI มีไว้เพื่อสั่งการและสืบสวน”

3.1 เมื่อไหร่ควรใช้ GUI?

  • Monitoring: การดู Graph และ Map ทราฟฟิกมหาศาล
  • Security Profiles: การเลือกติ๊กช่องโหว่ใน IPS หรือ Web Filter ซึ่งมีเป็นหมื่นรายการ
  • Reporting: การสร้างรายงานสรุปผลให้ผู้บริหาร

3.2 เมื่อไหร่ที่ CLI คือคำตอบ?

  • Massive Configuration: หากคุณต้องสร้าง VLAN 100 วง การกด GUI คือฝันร้าย แต่การใช้ Script แปะลง CLI ใช้เวลาเพียง 10 วินาที
  • Advanced Troubleshooting: เมื่อระบบมีปัญหาซับซ้อน GUI จะบอกแค่ว่า “พัง” แต่ CLI จะบอกว่า “พังเพราะ Packet ตัวไหน”
  • Low Bandwidth Access: ในกรณีที่อินเทอร์เน็ตหน้างานช้ามาก การโหลดหน้า GUI อาจทำไม่ได้ แต่ CLI (ผ่าน SSH) จะยังทำงานได้ลื่นไหล

4. เทคนิคการจัดการแบบ Expert: Configuration Management

การจัดการไฟล์คอนฟิก (Config File) คือความปลอดภัยขั้นสุดท้ายของวิศวกรครับ

  • Revision Control: FortiGate มีระบบเก็บ History ของคอนฟิกในตัวเครื่อง (ในรุ่นที่มี Disk) เราสามารถเปรียบเทียบ (Diff) ได้ว่าใครมาแก้ค่าอะไร และสั่ง Rollback กลับไปจุดเดิมได้ทันที
  • Scripting: การเขียนคำสั่งชุด (Script) เพื่อทำ Automation เช่น การสั่งปิดพอร์ตบางตัวในช่วงเวลาที่ไม่ได้ใช้งาน หรือการ Update Static Route พร้อมกันหลายจุด
  • Factory Reset & Recovery: การใช้คำสั่ง execute factoryreset และการลง Firmware ใหม่ผ่านโปรแกรม TFTP ในกรณีที่ระบบไฟล์เสียหาย (System Recovery)

5. บทสรุป: การรวมร่างของทักษะเพื่อการเป็น Security Architect

การเป็นผู้เชี่ยวชาญ FortiGate  ไม่ใช่คนที่จำเมนูเก่ง แต่คือคนที่ “รู้ว่าเมื่อไหร่ควรใช้เครื่องมือชิ้นไหน”

หากคุณเข้าใจโครงสร้างข้อมูลหลังบ้านผ่าน CLI คุณจะใช้งาน GUI ได้อย่างมีประสิทธิภาพมากขึ้น และในทางกลับกัน หากคุณใช้ GUI วิเคราะห์ข้อมูลจนเจอจุดผิดปกติ คุณจะใช้ CLI เข้าไปแก้ไขได้อย่างแม่นยำ (Surgical Strike)

ในบทความถัดไป (บทที่ 3) เราจะเข้าสู่เนื้อหาที่เป็น “หัวใจ” ของ Firewall ทุกตัวในโลก นั่นคือ Firewall Policies & NAT เราจะมาดูกันว่าทราฟฟิกนับล้านจะถูกคัดกรองอย่างไรไม่ให้หลุดรอด และการทำ NAT (Network Address Translation) ในระดับสูงเพื่อประหยัด IP และเพิ่มความปลอดภัยทำได้อย่างไรบ้างครับ

💡 เกร็ดความรู้

  • end vs next: ใน CLI การพิมพ์ next คือการบันทึกระดับ Object แต่ end คือการบันทึกและออกจากเมนูนั้นทั้งหมด จำผิดชีวิตเปลี่ยนครับ!
  • Web-based CLI: หากคุณไม่มีโปรแกรม Putty หรือ SSH Client บน FortiGate GUI มีปุ่ม “CLI Console” ที่มุมขวาบนให้ใช้งานได้ทันทีครับ

สำหรับวิศวกรสาย Network Security แล้ว CLI (Command Line Interface) ไม่ใช่แค่ทางเลือก แต่คือ “เครื่องมือเอาตัวรอด” ในสภาวะวิกฤตครับ เมื่อหน้าจอ GUI โหลดไม่ขึ้น หรือเมื่อต้องการคำตอบที่ลึกกว่าที่กราฟิกจะบอกได้ 10 คำสั่งนี้คือสิ่งที่ผมคัดมาให้แล้วว่า “ต้องมีติดตัว” ครับ