Hướng Dẫn Cấu Hình Firewall Fortigate 60

I. Giới thiệu về bài viết

Có thể trong chúng ta có nhiều bạn đã cấu hình và làm việc với các dòng UTM như Astaro,
SonicWall, Cisco, Juniper, Fortinet, Cyberoam ... rất nhiều, và tài liệu của nhà sản xuất cũng đầy
đủ, nhưng trong chúng ta vẫn còn nhiều các bạn chưa có điều kiện hoặc chưa có dịp làm việc với
các dòng UTM này, do vậy CMT cũng chỉ muốn cụ thể một quá trình cấu hình và quản lí thiết bị
này cho những bạn mới chưa có dịp làm việc tham khảo cũng như có điều kiện để trao đổi.

Bài viết này giúp các bạn chưa có điều kiện làm việc với các dòng UTM hiểu rỏ và nắm được
các vấn đề cơ bản nhất, hiện nay đa số các doanh nghiệp nhỏ tại VN không hề có 1 firewall để
bảo vệ hệ thống mà họ dựa vào các tính năng hiện có của các dòng router adsl có sẳn, hoặc cũng
không hề quan tâm đến bảo mật hệ thống.

Để có 1 con firewall chuyên nghiệp như của Fortigate nếu phải mua mới thì có lẽ ngoài khả năng
nhiều doanh nghiệp nhỏ, nhưng nếu bạn nghĩ đến 1 con đã qua sử dụng thì CMT e rằng cũng
không quá sức của các công ty.

Bài này CMT sẽ cấu hình Fortigate 60, và bài sau CMT sẽ cấu hình Fortigate 224B và có thể là
400A ...

Hi vọng là các bạn đóng góp thêm những ý kiến khác nhau cho các dòng UTM

Thanks bạn Hoàng đã giúp tạo điều kiện thiết bị để CMT có thể viết bài này.

Giới thiệu về Fortigate 60

FortiGate™ Antivirus Firewall được thiết kế sử dụng chip chuyên dụng dành cho bảo vệ và bảo
mật, vì vậy nó bảo vệ hệ thống mạng thời gian thực tại các cổng kết nối. Dựa trên chip xử lý
chuyên dụng FortiASIC™, Fortigate là hệ thống độc đáo phát hiện, diệt virus và các nội dung
độc hại khác mà không làm giảm tốc độ mạng, ví dụ như không làm giảm tốc độ truy xuất web.
FortiGate tích hợp luôn các chức năng firewall, lọc nội dung thông tin, VPN, phòng ngừa và
chống truy cập trái phép, nó tạo ra một hệ thống chi phí hợp lý, thuận tiện trong sử dụng và bảo
vệ vững chắc hệ thống mạng.

FortiGate™ 60 Antivirus Firewall được thiết kế chuyên biệt cho các mạng cỡ nhỏ, nó có hai kết
nối ra ngoài Internet nhằm đảm bảo cho hệ thống hoạt động bình thường khi một kết nối bị trục
trặc, ngoài ra nó còn có sẵn một switch 4 cổng dành cho các máy tính trong mạng nội bộ, hai
cổng USB được sử dụng trong tương lai dành cho các modem tương tự hay các thiết bị khác.
FortiGate™ 60 đặc biệt phù hợp cho các hệ thống mạng nhỏ như các công ty nhỏ, các chi nhánh
công ty. Mẫu virus và tấn công được cập nhật tự động thông qua FortiResponse
II. Các bước cấu hình Fortigate

Mặc định của FortiGate là :

Các địa chỉ IP mặc định của các cổng giao tiếp là :

Internal : 192.168.1.99/24

WAN1 : 192.168.100.99/24

WAN2 : 192.168.101.99/24

DMZ : 10.10.10.1/24

Bài Lab của chúng ta sẽ theo sơ đồ thế này.

II.1. Fortigate Status Monitor

- Cắm cable vào Internal port cấu hình ip của network cùng với lớp mạng của Internal là
192.168.1.0/24

- truy cập firewall thông qua giao diện web (http, https) với
username : admin

password : để trống

Sau khi logon vào thiết bị màn hình giao diện web của Status thiết bị cho bạn thấy được tình
trạng, cũng như thông tin thông số hoạt động của thiết bị.

và bạn có thể thay đổi hay cập nhật các thông số của thiết bị từ màn hình status này mà không
cần phải vào đến menu chi tiết bên trong một cách nhanh chóng.
System Information : sẽ cho bạn biết thông tin về thiết bị như SN, thời gian hoạt động liên tục,
cấu hình HA, version của os thiết bị, Mode của thiết bị, và đang có bao nhiêu Admin logon trên
thiết bị ...

License Information : sẽ cho bạn biết tình trạng các bản quyền dịch vụ hiện có trên thiết bị.

System Resources : cho biết phần trăm cpu và memory của thiết bị đã được sử dụng

Statistics : cho bạn biết các sections cũng như sử dụng các dịch vụ, và quan trọng nhất là tình
trạng tấn công từ bên ngoài vào hệ thống.

CLI Console : giúp bạn kết nối đến giao diện điều khiển dòng lệnh thiết bị một cách nhanh
chóng ngay trên giao diện web status.

Unit Operation : cho biết tình trạng của các port interface của thiết bị, và bạn có thể khởi động lại
hoặc tắt thiết bị từ giao diện web này.
Asterisk đem đến cho người sử dụng các tính năng và ứng dụng của hệ thống tổng đài PBX và
cung cấp nhiều tính năng mà tổng đài PBX không có, như sự kết hợp giữa chuyển mạch VOIP và
chuyển mạch TDM, đó là khả năng mở rộng đáp ứng nhu cầu cho từng ứng dụng…

II.1. Cấu hình Network Interface

Menu System -> Network -> để cấu hình các Interface của FG60

Internal : interface kết nối đến mạng nội bộ bên trong.

click vào biểu tượng edit của internal để thay đổi các tham số cấu hình cho internal

Alias: bạn có thể đặt tên để mô tả thêm cho interface này.

Addressing mode: chọn DHCP để nhận ip động được cấp bởi dhcp của hệ thống, chọn Manual
để thiết lập IP tĩnh cho interface internal với IP/netmask .

administrative access: cho phép access tới interface này nếu bạn đánh dấu chọn dịch vụ.
II.2. Cấu hình DHCP

Chọn System -> DHCP -> Service trên giao diện web control của để cấu hình DHCP cho các
interface.

Có những nút lệnh quen thuộc trên giao diện web của Fortigate mà chúng ta thường gặp

- Chọn interface muốn tạo dhcp Internal -> chọn Add button để tạo DHCP mới cấp phát cho
internal network.
- Name : đặt tên cho DHCP Server

- Enable : chọn để actived dhcp

- IP Range : dãy ip được cấp phát bởi dhcp server này

- Default gateway : ip của gateway

- DNS : ip của dns server

Thẻ Address lease cho biết những ip đang được cấp phát.

II.3. Cấu hình High Availability , SNMP, Operation Mode ...

System -> Configure để cấu hình các dịch vụ này

cấu hình High Availability cho 2 cổng WAN của fortigate cần chọn Enable cho interface wan và
set Priority cho mỗi WAN, line wan nào có Priority cao (số thấp) sẽ được ưu tiên sử dụng, nếu
line wan này lỗi thì hệ thống mới chôn line wan có chỉ số ưu tiên thấp.

- cả 2 line sẽ được chọn sử dụng trong trường hợp 2 line có priority bằng nhau.

cấu hình SNMP

- bạn có thể cấu hình snmp v1 hoặc v2 để hệ thống giám sát mạng của bạn theo dõi các hoạt
động của firewall.

Cấu hình Operation Mode NAT

II.4. Cấu hình Static Router

Cấu hình Default route ra inter net

II.5. Cấu hình các địa chỉ và vùng địa chỉ

II.6. Cấu hình các dịch vụ

II.7. Cấu hình các Protection profile

II.8. Cấu hình các Policy
II.9. Cấu hình Virtual IP

II.10. Cấu hình chứng thực User/Group

II.11. Cấu hình VPN

II.12. Cấu hình dịch vụ AntiVirus

II.13. Cấu hình dịch vụ AntiSpam

II.14. Cấu hình dịch vụ IPS

II.15. Cấu hình dịch vụ Web filter

II.16. Cấu hình ghi log

II.17. Backup và Restor cấu hình