CẤU HÌNH FIREWALL FORTIGATE | FIREWALL FORTINET

FORTIGATE là thiết bị bảo vệ mạng của hãng FORTINET, một nhà cung cấp thiết bị an ninh mạng và đứng đầu thị trường về
thiết bị Quản lí Bảo mật Hợp nhất (UTM-Unified Threat Management) trên toàn thế giới. Sản phẩm và các dịch vụ phụ trợ của
FORTINET | FORTIGATE được cung ứng rộng rãi; nó được tích hợp với hiệu suất cao, linh động để bảo vệ chống lại các mối đe
dọa an ninh mạng trong khi vẫn đơn giản hóa được cơ sở hạ tầng bảo mật CNTT. Trong loạt bài viết cấu hình đầy đủ các chức
năng cơ bản về Firewall Fortinet | Firewall FortiGate, Công ty Thế Giới Mạng chúng tôi (Một trong những Partner của Fortinet
tại Việt Nam) sẽ giới thiệu tới bạn đọc các bước cấu hình về dòng thiết bị Firewall đang phổ biến nhất hiện nay.
Phần 1: Sơ đồ mạng và cấu hình vùng WAN, LAN
Mô hình:

Trong loạt bài viết này giả định thực hiện trên Fortinet 310B. Tuy nhiên về nguyên lý cấu hình cho các dòng Firewall Fortinet
hiện tại sau này như: Firewall Fortinet 20C, Firewall Fortinet 40C, Firewall Fortinet 60C, Firewall Fortinet 80C, Firewall Fortinet
100D, Firewall Fortinet 110C, Firewall Fortinet 200B, Firewall Fortinet 300C, Firewall Fortinet 600C và cao hơn thì hoàn toàn
tương tự.
1.Cấu hình vùng WAN:
+ Vùng WAN gắn vào 1 port của Fortigate giả sử là port 9 với IP là 221.133.3.94
+ Vào System >> Network >> Interface >> chọn port 9 và chọn Edit.
+ Trong phần Alias: đặt tên tương ứng cho port.
+ IP/Netmask: nhập IP Addess cho port 9 như hình.
+ Chọn HTTPS và bỏ chek trong phân Ping nếu không muốn từ ngoài Internet ping vào.
2.Cấu hình 1 Static route để cho hệ thống mạng bên trong ra được Internet.
+ Vào Router >> Static Route >> Creat New

3. Cấu hình vùng LAN ra intenet.

+ Vùng LAN của hệ thống gắn vào port 4 của Fortigate.
+ Từ port 4 của FG nối với 1 Core Switch để chia nhiều VLAN cho mạng LAN.
+ Vào System >> Network >> Interface >> chọn port 4 và chọn Edit.
+ Chọn HTTPS và bỏ chek trong phân Ping nếu không muốn từ ngoài
4. Tạo 1 Policy để cho mạng Lan ra Internet.
Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port4.
+ Source Addess: chọn All.
+ Destination Interface/Zone: chọn port9
+ Destination Address: chọn All
+ Service: Any
+ Action: Accept
+ Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet.
+ Check vào Protect Profile và chọn Scan để Scan Virut, AntiSpam, và lọc Webfilter…
+ Bấm ok.

5. Cấu hình cho phép từ Internet vào vùng LAN thông qua 1 số dịch vụ như là FTP.
Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port9.
+ Source Addess: chọn All.
+ Destination Interface/Zone: chọn port4
+ Destination Address: chọn All
+ Service: FTP…
+ Action: Accept
Cách mở các dịch vụ khác tương tự(chú ý port tương ứng với dịch vụ cần mở)

Phần 2: Cách tạo VLAN và cấu hình vùng DMZ trên Firewall Fortinet
1.Tạo VLAN
Tạo Vlan mà một trong những công việc mà 1 IT thường phải thực hiện. Việc tạo VLAN cho phép người quản trị dễ dàng quản
lý các bộ phận phòng ban trong công ty qua đó thiết lập chính sách bảo mật(policy) cho từng bộ phận một cách nhất quán rõ ràng,
bảo mật hệ thống thông tin của toàn hệ thống.
Ở bài viết này tôi chỉ giả định tạo ra 2 VLAN, việc tạo ra bao nhiêu VLAN la tuỳ thuộc vào nhu cầu hệ thống của bạn, việc thực
hiện là hoàn toàn tương tự.
Tạo ra 2 vùng địa chỉ với 2 dãy IP như sau:
+ Vùng IP thứ nhất đặt tên là VLAN 1( Ví dụ: 192.168.111.0/24)
+ Vùng IP thứ hai đặt tên là VLAN 2 (ví dụ: 192.168.112.0/24)
Vào Firewall >> Address >> Creat New.
Tạo vùng VLAN1
Tạo vùng VLAN2

2. Định nghĩa DMZ.

Vùng DMZ (Demilitarized Zone – vùng phi quân sự) trong thuật ngữ công nghệ, DMZ được hiểu là một mạng tách biệt với
mạng nội bộ(internal) . Các server như Web, Mail, FTP, VoIP… là các dịch vụ tổ chức mong muốn người dùng có thể truy cập
và sử dụng thông qua các mạng ngoài như Internet được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích nội bộ
như DNS, DHCP, File/Print… vẫn được đặt trong vùng internal.
3. Cấu hình vùng DMZ.
Đầu tiên ta tạo 1 vùng địa chỉ cho vùng DMZ, ta làm như sau:
Vào Firewall >> Address >> Creat New.
Nhập thông tin như sau:
Đặt IP cho port 8..
Vào System >> Network >> Interface >> chọn port 8 và chọn Edit.
+ Trong phần Alias: đặt tên tương ứng cho port.
+ IP/Netmask: nhập IP Addess cho port 8 như hình.
+ Chọn HTTPS

3.1 Cấu hình 1 Policy cho vùng DMZ ra internet.

Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port8.
+ Source Addess: chọn All.
+ Destination Interface/Zone: chọn port9
+ Destination Address: chọn All
+ Service: Any
+ Action: Accept
+ Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet.
+ Check vào Protect Profile và chọn Scan để Scan Virut, AntiSpam, và lọc Webfilter…
+ Bấm ok.
3.2 Cấu hình từ ngoài Internet vào vùng DMZ.
Để từ ngoài internet có thể vào vùng DMZ thì chúng ta phải tạo 1 policy từ ngoài internet vào vùng DMZ thông qua 1 số dịch vụ
như FTP, DNS, Web…

3.3 Cấu hình Vùng LAN qua vùng DMZ.

Để các máy trong mạng LAN truy cập qua vùng DMZ thì chúng ta cũng phải tạo Policy cho chúng.
Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port4
+ Source Addess: chọn All
+ Destination Interface/Zone: chọn port8
+ Destination Address: chọn DMZ
+ Service: Any
+ Action: Accept
+ Bấm ok.
3.4 Cấu hình vùng DMZ qua vùng LAN.
Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port8
+ Source Addess: chọn DMZ
+ Destination Interface/Zone: chọn port4
+ Destination Address: chọn ALL
+ Service: Any
+ Action: Accept
+ Bấm ok.

Như vậy đến đây ta đã hoàn thành các bước căn bản để cho Fortigate hoạt động. Trong phần viết sau tôi sẽ trình bày các vấn đề
sâu hơn về các tính năng của Fortigate như: VPN, Antivirus, Antispam, Webfilter,...các bạn chú ý đón đọc nhé.
Phần3: CẤU HÌNH VPN CLIENT TO GATEWAY
Hệ thống mạng trong công ty các máy tính được kết nối local mà ta vẫn thường gợi là mạng LAN. Khi
ra ngoài khỏi công ty(về nhà, đi công tác, hoặc café chẳng hạn…) để lấy được dữ liệu lưu trữ và chia sẽ
trong công ty, thì chúng ta sẽ sử dụng tính năng tích hợp trong Firewall Fortinet, tính năng này gọi là
VPN(Virtual Private Network) để kết nối vào mạng LAN.
Để làm được việc này chúng ta cần có các điều kiện như sau:
+ 1 thiết bị làm VPN server và cấu hình chức năng VPN
+ Các máy client muốn kết nối đến VPN server phải kết nối internet và phải tạo 1 connection
client(PPTP hoặc SSL).
Trong bài viết này tôi giới thiệu 2 kiểu kết nối phổ biến và thông dụng: PPTP(Point to Point Tunnel
Protocol) đây là kiểu kết nối VPN củ khá phổ biến và VPN-SSL đây là kiểu VPN bảo mật tốt linh
động(chỉ cần PC có trình duyệt internet) và phổ biến nhất hiện nay.

I. VPN Client to Gateway bằng giao thức PPTP

1. Đầu tiên ta phải tạo VPN server trên con Fortigate theo các bước như sau:
+ Vào VPN >> PPTP >> và Enable PPTP lên.
+ Nhập dãy địa chỉ IP cho Client khi connect vào
+ User Group: chọn user group .
+ Nhấn Apply.

2. Tiếp theo vào User >> local >> Creat new và nhập thông tin như sau:
3. Tạo user group và add user spt vào Group.
+ Vào user >> user Group >> Creat New.
+ Nhập tên VPN_CLIENT_TO_SITE trong NAME
+ Chọn user spt và nhấn mũi tên qua phải.
+ Nhấn ok.

4. Tiếp theo tạo Range IP cho VPN

+ Vào Firewall >> Address >> Creat new.
+ Address name: nhập tên cho vùng địa chỉ
+ Type: chọn Subnet/range
+ Subnet/IP Range: nhập 192.168.150.0 – 255.255.255.0
+ Interface: Any.
+ Nhấn OK.
5. Tạo policy cho phép VPN client connect vào Firewall.
+ Vào Firewall >> Policy >> Creat New.
+ Các thông số như hình

Như vậy là ta đã hoàn thành việc cấu hình VPN Client bằng giao thức PPTP trên con Fortigate.
Bước tiếp theo là chúng ta sẽ tạo sự kết nối từ các máy client để truy cập vào bên trong hệ thống của
mạng.

6. Tạo VPN Client trên Windows (bài viết thực hiện trên Windows XP, các HĐH Windows sau này các
bạn có thể thực hiện tương tự)
+ Vào Start >> Settings >> Network Connections >> New connections Wizard
+ Nhấn Next.
+ Chọn Connect to the netword at my workplace
+ Nhấn Next.

+ Chọn Virtual Private Network Connection >> Next

+ Đặt tên cho kết nối >> Next

Điền IP tĩnh mặt ngoài của Fortigate và nhấn Next >> nhấn Next.
+ Check vào Add a shortcut to ths connection to my destop
+ Nhấn Finish

+ Để kết nối ta mở giao diện kết nối lên và nhập như sau:
+ Điền các thông tin user và pass tương ứng đã tạo ở trên
+ Nhấn Connect để kết nối VPN
Như vậy là ta đã thực hiện xong cấu hình VPN Client to Gateway bằng giao thức PPTP.
Sau đây tôi sẽ trình bày sơ lược cấu hình VPN-SSL

II. Cấu hình VPN-SSL

1. Tạo VPN server

+ Vào VPN >> Chọn SSL >> Enable SSL-VPN >> Chọn IP Pool

2. Tao Web Portal(giao diện cho Client khi kết nối VPN vào Gateway)
3. Tạo user cho VPN-SSL: ta có thể tạo user local trực tiếp trên Firewall hoặc dùng user trong Server
AD thông qua các giao thức RADIUS.
+ Tạo user local

4. User là các client trong hệ thống AD, ta phải cấu hình RADIUS chứng thực VPN-SSL
+ Vào mục User >> Remote >> Radius
+ Điền các thông tin về server RADIUS như hình.

5. Cấu hình User Group

+ Name: đặt tên cho user group
+ Type: SSL VPN
+ Portal: Chọn kiểu portal đã tạo ở trên
+ Users/Groups: Add users cần đưa vào nhóm

6. Tạo policy cho phép VPN-SSL client kết nối vào Firewall

Đến đây chúng ta đã hoàn tất cấu hình VPN-SSL.

7. Để truy cập VPN-SSL ta thực hiện như sau
+ Mở một trình duyệt bất kỳ(IE, Firefox, Chrome).
+ Vào phần Address đánh vào IP mặt ngoài kết nối đến Firewall (221.133.3.94) và port mặc định
(port:10443) như sau: https://221.133.3.94:10443
+ Gõ vào username và password tương ứng
+ Nếu thành công sẽ hiện ra Webportal

Giờ ở bất kỳ đâu(miễn là có Internet) ta có thể truy cập các ứng dụng trong mạng LAN mà không cần
tới công ty(dĩ nhiên muốn truy xuất đến đâu ta phải phân quyền và tạo policy cho user hoặc nhóm user
nào đó).

Phần 1 | Phần 2 | Hết phần 3 | Phần 4

Đã lưu
Bài Viết
Sửa chữa lần
cuối: 24/06/2013
07:11 bởi banle.

Thiết bị mạng |
Firewall
Fortinet |
Firewall
Fortigate |
Cisco network

Đã khóa chức
năng gửi bài.

#260
support.tgm Cấu hình SSL VPN Client to Site trên Fortinet 2 Năm, 9 Tháng Trước
(Thành viên) Với giao diện mới, Fortigate đem lại sự tiện lợi cho người quản trị với nhiều tính năng mới, giao diện dễ theo dõi,
quản trị, giúp người quản trị mạng bảo trì hệ thống mạng của mình tốt hơn. Với sự thay đổi mới thì đôi khi tài liệu
hướng dẫn không kịp đến tay người dùng, gây khó khăn cho mọi người khi tìm kiếm tài liệu. Vì thế bài viết hướng
dẫn sau đây sẽ giúp mọi người có tài liệu tham khảo về cách cấu hình SSL VPN trên hệ điều hành phiên bản 5.0
Moderator
I. Mô hình
Trong bài hướng dẫn này mình sử dụng mô hình sau:
Bài viết: 33

II. Các bước thực hiện

Để cấu hình VPN-SSL trên fortgate ta thực hiện theo 6 bước sau đây:
- Tạo user và group, add user vừa tạo vào group.
- Tạo Web Portal.
- Tạo lớp mạng nội bộ.
- Bật tính năng SSL-VPN.
- Tạo rule cho phép user kết nối vào VPN được phép ra internet.
- Kiểm tra.

III. Triển khai

1. Chuẩn bị.
Mình dùng phần mềm FortiExplorer để cấu hình qua cổng Management nên không để ý đến IP, các bạn cấu hình
qua cáp RJ-45 thì chú ý IP của PC phải trùng với IP của cổng Internal nhé.
Ta tiến hành đăng nhập vào thiết bị (mặc định Username/password là admin/pass rỗng).
Trước khi cấu hình VPN, ta chuẩn bị giống như mô hình trên.
Vào System -> Network -> Interface cấu hình địa chỉ IP.

Trên PC tiến hành đặt IP tương ứng với các cổng. PC giả lập cho hệ thống mạng nội bộ ta đặt IP là 10.10.10.2/24,
PC giả lập Clients ta đặt IP là 123.231.123.1/24
2. Cấu hình trên Fortigate:

Bước 1: Tạo user và group, add user vừa tạo vào group.
Vào User & Device -> Userdefinition -> Create New, tạo hai Local User u1 và u2 Password là 123456.

Vào User & Definition -> User Group -> Create New, tạo Group là VPNClients, Members ta Add hai User vừa tạo
vào.
Bước 2: Tạo Web Portal
Vào VPN -> SSL -> Portal -> Create New

Khai báo thông số của server, server này sẽ xuất hiện trên giao diện Portal khi user đăng nhập vào.
Bước 3: Tạo range IP của mạng nội bộ. Range này dùng để định nghĩa range mạng các User VPN kết nối vào sẽ
được phép truy cập.

Bước 4: Bật tính năng SSL-VPN. Trong Policy nhấn Create New, chuyển qua kiểu là VPN, khai báo như hình dưới.
Sau đó nhấn Create new ở phần Configure SSL_VPN Authentication Rules. Cho phép Group VPNClients ta đã tạo
lúc đầu được phép kết nối VPN về sau đó nhấn Ok.

Bước 5: Tạo rule cho phép user khi kết nối về được phép ra Internet

Vào Policy -> Policy -> Policy -> Policy -> Create New, tạo một Policy như hình sau ->Ok.
Vậy là ta đã cấu hình xong trên Fortigate.

3. Trên máy Clients.

Client cài phần mềm FortiClient, download ở đây:

http://www.fortinet.com/resource_center/product_downloads.html
Sau khi cài đặt xong client mở trình duyệt web và truy cập vào IP WAN của Fotigate, sử dụng giao thức HTTPS:
https://123.231.123.2 (Tùy theo IP cổng WAN là bao nhiêu các bạn thay đổi cho phù hợp).
Ta được giao diện đăng nhập sau. Đăng nhập bằng u1/123456 hoặc u2/123456.
Mọi người chờ cho tới khi trình duyệt load lên được giao diện như sau (tùy theo mô hình mạng mà quá trình này có
thể diễn ra 5-10 phút). Cho đến khi phần Tunnel Mode load được như trong phần đóng khung màu đỏ phía dưới thì
nhấn connect.
Sau khi nhấn connect thì ta sẽ thấy góc phải màn hình vi tính có một Balloon thông báo SSL-VPN đã kết nối thành
công. Mở phần mềm FortiClient lên ta thấy FortiClient đã kết nối được đến VPN Server. Địa chỉ IP mà Client nhận
được là địa chỉ từ mạng 10, là Pool IP mặc định của Fortigate cấp, ta có thể thay đổi Range IP này (Bước 2)
Ping thử IP của mạng nội bộ, ta thấy ping thành công, vậy là Client từ Internet đã kết nối thành công về mạng nội
bộ.
 Lúc kiểm tra ping thử về mạng nội bộ các bạn chú ý tắt windows Firewall trên PC đi, nếu không ta sẽ thấy ping thất
bại khiến ta lầm tưởng là việc kết nối VPN thất bại.

Cấu hình VPN SSL trên Firewall Fotigate v5.2 1 Năm Trước
Như các bạn đều biết được tầm quan trọng và mục đích của việc thiết lập VPN là dùng để làm gì, cho nên mình không nhắc
lại khái niệm VPN nữa mà sau đây mình xin hướng dẫn các bạn cấu hình client to gateway VPN SSL trên fortigate 5.2.
Bước 1 : Các bạn vào VPN--> SSL-->portals-->Create new và làm theo như hình bên dưới :

Ở mục Predefined Bookmarks các bạn nhấn vào create new và điền giống như hình bên dưới .Host ở đây là địa chỉ trong
Lan mà mình muốn kết nối tới.
Bước 2: Tạo user để cho phép kết nối VPN về và add vào group
Các bạn vào mục User & Device tạo user và add vào group

Bước 3 : Tạo địa chỉ IP kết nối VNP về bên trong, các bạn vào mục Policy & Objects --> Objects--> address,ở đây mình
quy định là 192.168.101.10-254.Các bạn có thể xem hình bên dưới:
Bước 4 : Các bạn vào SSL-->VPN Settings cấu hình interface kết nối và port

Ở đây phần Listen on port mặc định port của nó là 443 như vậy sẽ trùng port với port mà mình kết nối vào vào fortigate.Để
giải quyết vấn đề này thì 1 là bạn thay đổi port log vào fortigate, 2 là đổi port chạy VPN ở đây mình cho VPN chạy port
444.

Bước 5 : Ở phần Authentication/Portal Mapping các bạn nhấn Create new -->Chọn group và portal mà mình đã tạo ở các
bước trên.
Tạo như hình bên dưới

Bước 6 : Tạo policy để cho phép kết nối VPN .

Bước 7 : Truy cập vào địa chỉ wan để test kết nối VPN và download phần mềm forticlient
Điền User name và password để kết nối.

Download forticlient cho thiết bị mà mình muốn kết nối VPN

Bước 8 :Cài đặt forticlient và tạo kết nối VPN.

Kiểm tra IP kết nối và test vào bên trong lấy file
Test down file về :

Truy cập vào bên trong thành công .Như vậy đã hoàn tất quá trình cấu hình VPN SSL.Chúc các bạn thành công