Professional Documents
Culture Documents
Chú ý :trong phần quay PPPoE ta cần check “retrieve default gateway form server”.
Để truy cập đến các mạng không liền kề, cần tạo thêm các route tương ứng
Destination
Routes được dựa trên IP đích
Source
Routes được dựa trên IP nguồn
Để truy cập đến mạng bên ngoài, cần khai báo thêm default route
Kiểm soát vào ra giữa các zone với nhau
Khi route được quyết định thì policy sẽ được thực thi.
Tất cả các model đều có policy mặt định.
Mặc định policy cho phép tứ Internal -> Wan1
Việc định nghĩa các địa chỉ mạng và các group địa chỉ mạng nhằm đơn giản hóa, gợi nhớ trong quá
trình lập chính sách truy cập :
Cho phép tạo subnet, dãy IP, hoặc 1 địa chỉ
Chú ý: khi tạo 1 địa chỉ thì subnet là 32
Fortinet firewall đã định nghĩa sẵn rất nhiều dịch vụ (predefined) và nhóm dịch vụ được sử dụng phổ
biến.
Service Any đại diện cho tất cả các services (ports)
Group service và services phục vụ cho việc lập chính sách truy cập.
Group service và services giúp lập chính sách rõ ràng, chính xác.
Những Service được định nghĩa trước được liệt kê chi tiết.
NAT tĩnh : Một IP nguồn được chuyển thành địa chỉ một IP đích trong bất kỳ thời gian nào.
NAT động: IP này thay đổi trong các thời gian và trong các kết nối khác nhau.
VIP : Một dạng của Destination NAT
Cho phép người dùng bên ngoài truy cập những dịch vụ vào mạng bên trong.
Mở port để đi vào giao tiếp với địa chỉ IP bên trong và port của nó
Tạo policy từ WAN -> Internal từ any -> VIP address
Cho phép ghi log một cách chi tiết với nhiều lựa chọn.
Log được ghi trên RAM hay Disk.
Show log
Mainternance
Remote Management
Config update license
Backup and Restore
Upload Firmware
Management :
Giúp việc quản lý thiết bị từ xa dễ dàng, hỗ trợ cả dyndns
Management – DynDNS
Config Update License
Sử dụng để lưu trữ dự phòng và phục hồi cấu hình tốt nhất khi cần thiết.
Sử dụng GUI một cách đơn giản.
Được thiết kế trong System.
Upload Firmware
Firmware được tải trên trang web hổ trợ https://www.support.fortinet.com
Yêu cầu đăng ký sản phẩm.
Cho phép cập nhật những tính năng mới nhất.
1. FORTIGATE là thiết bị bảo vệ mạng của hãng FORTINET, một nhà cung cấp thiết bị an ninh mạng và
đứng đầu thị trường về thiết bị Quản lí Bảo mật Hợp nhất (UTM-Unified Threat Management) trên
toàn thế giới. Sản phẩm và các dịch vụ phụ trợ của FORTINET | FORTIGATE được cung ứng rộng rãi;
nó được tích hợp với hiệu suất cao, linh động để bảo vệ chống lại các mối đe dọa an ninh mạng
trong khi vẫn đơn giản hóa được cơ sở hạ tầng bảo mật CNTT. Trong loạt bài viết cấu hình đầy đủ các
chức năng cơ bản về Firewall Fortinet | Firewall FortiGate, Công ty Thế Giới Mạng chúng tôi (Một
trong những Partner của Fortinet tại Việt Nam) sẽ giới thiệu tới bạn đọc các bước cấu hình về dòng
thiết bị Firewall đang phổ biến nhất hiện nay.
Mô hình:
Trong loạt bài viết này giả định thực hiện trên Fortinet 310B. Tuy nhiên về nguyên lý cấu hình cho
các dòng Firewall Fortinet hoàn toàn tương tự.
+ Vùng WAN gắn vào 1 port của Fortigate giả sử là port 9 với IP là 221.133.3.94
+ Vào System >> Network >> Interface >> chọn port 9 và chọn Edit.
+ Chọn HTTPS và bỏ chek trong phân Ping nếu không muốn từ ngoài Internet ping vào.
2.Cấu hình 1 Static route để cho hệ thống mạng bên trong ra được Internet.
+ Vào Router >> Static Route >> Creat New
+ Từ port 4 của FG nối với 1 Core Switch để chia nhiều VLAN cho mạng LAN.
+ Vào System >> Network >> Interface >> chọn port 4 và chọn Edit.
+ Chọn HTTPS và bỏ chek trong phân Ping nếu không muốn từ ngoài
+ Service: Any
+ Action: Accept
+ Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet.
+ Check vào Protect Profile và chọn Scan để Scan Virut, AntiSpam, và lọc Webfilter…
+ Bấm ok.
5. Cấu hình cho phép từ Internet vào vùng LAN thông qua 1 số dịch vụ như là FTP.
+ Service: FTP…
+ Action: Accept
Cách mở các dịch vụ khác tương tự(chú ý port tương ứng với dịch vụ cần mở)
Phần 2: Cách tạo VLAN và cấu hình vùng DMZ trên Firewall Fortinet
1.Tạo VLAN
Tạo Vlan mà một trong những công việc mà 1 IT thường phải thực hiện. Việc tạo VLAN cho phép
người quản trị dễ dàng quản lý các bộ phận phòng ban trong công ty qua đó thiết lập chính sách bảo
mật(policy) cho từng bộ phận một cách nhất quán rõ ràng, bảo mật hệ thống thông tin của toàn hệ
thống.
Ở bài viết này tôi chỉ giả định tạo ra 2 VLAN, việc tạo ra bao nhiêu VLAN la tuỳ thuộc vào nhu cầu hệ
thống của bạn, việc thực hiện là hoàn toàn tương tự.
Tạo ra 2 vùng địa chỉ với 2 dãy IP như sau:
+ Vùng IP thứ nhất đặt tên là VLAN 1( Ví dụ: 192.168.111.0/24)
+ Vùng IP thứ hai đặt tên là VLAN 2 (ví dụ: 192.168.112.0/24)
Vào Firewall >> Address >> Creat New.
Tạo vùng VLAN1
Tạo vùng VLAN2
2. Định nghĩa DMZ.
Vùng DMZ (Demilitarized Zone – vùng phi quân sự) trong thuật ngữ công nghệ, DMZ được hiểu là
một mạng tách biệt với mạng nội bộ(internal) . Các server như Web, Mail, FTP, VoIP… là các dịch vụ
tổ chức mong muốn người dùng có thể truy cập và sử dụng thông qua các mạng ngoài như Internet
được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích nội bộ như DNS, DHCP,
File/Print… vẫn được đặt trong vùng internal.
3. Cấu hình vùng DMZ.
Đầu tiên ta tạo 1 vùng địa chỉ cho vùng DMZ, ta làm như sau:
Vào Firewall >> Address >> Creat New.
Nhập thông tin như sau:
Đặt IP cho port 8..
Vào System >> Network >> Interface >> chọn port 8 và chọn Edit.
+ Trong phần Alias: đặt tên tương ứng cho port.
+ IP/Netmask: nhập IP Addess cho port 8 như hình.
+ Chọn HTTPS
3.1 Cấu hình 1 Policy cho vùng DMZ ra internet.
Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port8.
+ Source Addess: chọn All.
+ Destination Interface/Zone: chọn port9
+ Destination Address: chọn All
+ Service: Any
+ Action: Accept
+ Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet.
+ Check vào Protect Profile và chọn Scan để Scan Virut, AntiSpam, và lọc Webfilter…
+ Bấm ok.
3.2 Cấu hình từ ngoài Internet vào vùng DMZ.
Để từ ngoài internet có thể vào vùng DMZ thì chúng ta phải tạo 1 policy từ ngoài internet vào vùng
DMZ thông qua 1 số dịch vụ như FTP, DNS, Web…
3.3 Cấu hình Vùng LAN qua vùng DMZ.
Để các máy trong mạng LAN truy cập qua vùng DMZ thì chúng ta cũng phải tạo Policy cho chúng.
Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port4
+ Source Addess: chọn All
+ Destination Interface/Zone: chọn port8
+ Destination Address: chọn DMZ
+ Service: Any
+ Action: Accept
+ Bấm ok.
3.4 Cấu hình vùng DMZ qua vùng LAN.
Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port8
+ Source Addess: chọn DMZ
+ Destination Interface/Zone: chọn port4
+ Destination Address: chọn ALL
+ Service: Any
+ Action: Accept
+ Bấm ok.
Như vậy đến đây ta đã hoàn thành các bước căn bản để cho Fortigate hoạt động. Trong phần viết
sau tôi sẽ trình bày các vấn đề sâu hơn về các tính năng của Fortigate như: VPN, Antivirus, Antispam,
Webfilter,...các bạn chú ý đón đọc nhé.
Hệ thống mạng trong công ty các máy tính được kết nối local mà ta vẫn thường gợi là mạng LAN. Khi
ra ngoài khỏi công ty (về nhà, đi công tác, hoặc café chẳng hạn…) để lấy được dữ liệu lưu trữ và chia
sẽ trong công ty, thì chúng ta sẽ sử dụng tính năng tích hợp trong Firewall Fortinet, tính năng này gọi
là VPN (Virtual Private Network) để kết nối vào mạng LAN.
Để làm được việc này chúng ta cần có các điều kiện như sau:
+ 1 thiết bị làm VPN server và cấu hình chức năng VPN
+ Các máy client muốn kết nối đến VPN server phải kết nối internet và phải tạo 1 connection client
(PPTP hoặc SSL).
Trong bài viết này tôi giới thiệu 2 kiểu kết nối phổ biến và thông dụng: PPTP (Point to Point Tunnel
Protocol) đây là kiểu kết nối VPN củ khá phổ biến và VPN-SSL đây là kiểu VPN bảo mật tốt linh động
(chỉ cần PC có trình duyệt internet) và phổ biến nhất hiện nay.
3. Tạo user group và add user spt vào Group.
+ Vào user >> user Group >> Creat New.
+ Nhập tên VPN_CLIENT_TO_SITE trong NAME
+ Chọn user spt và nhấn mũi tên qua phải.
+ Nhấn ok.
5. Tạo policy cho phép VPN client connect vào Firewall.
+ Vào Firewall >> Policy >> Creat New.
+ Các thông số như hình
Như vậy là ta đã hoàn thành việc cấu hình VPN Client bằng giao thức PPTP trên con Fortigate.
Bước tiếp theo là chúng ta sẽ tạo sự kết nối từ các máy client để truy cập vào bên trong hệ thống của
mạng.
6. Tạo VPN Client trên Windows (bài viết thực hiện trên Windows XP, các HĐH Windows sau này các
bạn có thể thực hiện tương tự)
+ Vào Start >> Settings >> Network Connections >> New connections Wizard
+ Nhấn Next.
+ Chọn Connect to the netword at my workplace
+ Nhấn Next.
+ Chọn Virtual Private Network Connection >> Next
+ Đặt tên cho kết nối >> Next
Điền IP tĩnh mặt ngoài của Fortigate và nhấn Next >> nhấn Next.
+ Check vào Add a shortcut to ths connection to my destop
+ Nhấn Finish
+ Để kết nối ta mở giao diện kết nối lên và nhập như sau:
+ Điền các thông tin user và pass tương ứng đã tạo ở trên
+ Nhấn Connect để kết nối VPN
Như vậy là ta đã thực hiện xong cấu hình VPN Client to Gateway bằng giao thức PPTP.
Sau đây tôi sẽ trình bày sơ lược cấu hình VPN-SSL
2. Tao Web Portal(giao diện cho Client khi kết nối VPN vào Gateway)
3. Tạo user cho VPN-SSL: ta có thể tạo user local trực tiếp trên Firewall hoặc dùng user trong Server
AD thông qua các giao thức RADIUS.
+ Tạo user local
4. User là các client trong hệ thống AD, ta phải cấu hình RADIUS chứng thực VPN-SSL
+ Vào mục User >> Remote >> Radius
+ Điền các thông tin về server RADIUS như hình.
5. Cấu hình User Group
+ Name: đặt tên cho user group
+ Type: SSL VPN
+ Portal: Chọn kiểu portal đã tạo ở trên
+ Users/Groups: Add users cần đưa vào nhóm
6. Tạo policy cho phép VPN-SSL client kết nối vào Firewall
Đến đây chúng ta đã hoàn tất cấu hình VPN-SSL.
7. Để truy cập VPN-SSL ta thực hiện như sau
+ Mở một trình duyệt bất kỳ(IE, Firefox, Chrome).
+ Vào phần Address đánh vào IP mặt ngoài kết nối đến Firewall (221.133.3.94) và port mặc định
(port:10443) như sau: https://221.133.3.94:10443
+ Gõ vào username và password tương ứng
+ Nếu thành công sẽ hiện ra Webportal
Giờ ở bất kỳ đâu(miễn là có Internet) ta có thể truy cập các ứng dụng trong mạng LAN mà không cần
tới công ty(dĩ nhiên muốn truy xuất đến đâu ta phải phân quyền và tạo policy cho user hoặc nhóm
user nào đó).
Để hai hay nhiều chi nhánh của công ty cách xa nhau về mặt địa lý mà có thể trao đổi dữ liệu được
với nhau giống như 1 mạng LAN thì chúng ta phải có đường thuê kênh riêng(chẳng hạn Office Wan,
Metronet,...). Với những công ty vừa và nhỏ, việc thuê kênh riêng đôi khi vượt quá ngân sách. Để giải
quyết vấn đề trên ta có thể cấu hình VPN giữa các vùng với nhau (VPN Site-to-Site). Đối với thiết bị
Fortigate thì chúng ta sử dụng giao thức VPN_IPSEC để làm việc này. Để làm việc này chúng ta cần
các điều kiện như sau:
- Đường truyền Internet có IP Public giữa các nơi
- IP Private của các mạng cần kết nối .
Mô hình giả định ở đây cấu hình VPN Site to Site trên thiết bị Fortigate 200B (site chính) và Fortigate
60C (site chi nhánh)
Vào VPN >> IPSEC >> Auto key >> Creat Phase2
- Name: FG1TOFG2_PHASE2
- Phase1: FG1TOFG2_TUNNEL
- Nhấn ok.
4. Xác định Firewall policy cho 2 VPN làm việc với nhau:
Vào Firewall >> Policy >> Creat new.
Source Interface/Zone: Port 2
Source Address: SG-NETWORK
Destination Interface/Zone: Port 9
Destination Address: HN-NETWORK
Schedule: Always
Service: Any
Action: IPSEC
VPN Tunnel: FG1TOFG2_TUNNEL
Nhấn OK.
Chúng ta chú ý đến tab status: nếu trạng thái mũi tên chỉ xuống màu đỏ thì 2 VPN này chưa thông
với nhau, nếu mũi tên chỉ lên và màu xanh thì 2 VPN này đã hoạt động tốt.
Đến đây tôi đã trình bày đầy đủ các thông số cấu hình để 1 firewall Fortinet hoạt động ( tất cả các
dòng Fortinet với License Forticare và Bundle). Bài viết tiếp theo tôi sẽ trình bày cách cấu hình
Antivirus, Antispam, Webfilter,… Các tính năng mà đòi hỏi người dùng phải mua license gói Bundle
(BDL) mới có.
PHẦN 5: ĐĂNG KÝ LICENSE, CẤU HÌNH ANTIVIRUS, WEB FILTER, ANTISPAM FIREWALL FORTINET
Đăng ký mới Account : Vào Register/Renew
Chọn Sign Up
Điền đầy đủ thông tin theo yêu cầu nhấn next và làm theo chỉ dẫn. Sau đó vào phần Support Login
vào hệ thống. Trường hợp bạn đã có tài khoản nhưng quên password, có thể phục hồi password
theo cách sau:
Đăng ký: Vào Asset Management >> Register/Renew và làm theo chỉ dẫn để bắt đầu đăng ký
Khi đăng ký xong vào System >> Maintenance >> FortiGuardCenter . Ta có thể chỉnh các tham số cần
thiết.
Fortigate | Fortinet đã định nghĩa sẵn 1 số chương trình, ở đây chúng ta muốn cấm hay không thì chỉ
cẩn check vào trong phần Enable.
Muốn thêm 1 đối tượng mới vào thì ta làm như sau:
Vào Antivirut >> File Pattern >> Bấm chọn nút Edit trên builtin-patterns >> Creat New.
Pattern: nhập đối tượng
Action: Block: Cấm
: Allow: cho phép.
Enable: check vào: Áp dụng tính năng này.
: không check: không áp dụng tính nang này
Bấm OK.
Tiếp theo ta vào Firewall >> Protection Profile >> Scan >> Edit.
Chọn tiếp phần Anti-Virut.
Trong phần Scan thì đã quét 1 số dịch vụ như HTTP, FTP, IMAP, POP3…
Trong Option ta chọn Builtin-pattern để thêm các dịch vụ cần scan virus.
Tính năng Web Filter trên Firewall Fortinet | Firewall Fortigate cho chúng ta cấm các trang web theo
ý muốn của chúng ta, đặt biệt là các trang web không lành mạnh.
Ta vào Web filter >> URL filter >> Creat new.
Nhập tên cho nội dung và nhấn OK.
Sau đó vào Firewall >> Protection Profile >> Scan >> Edit >> Web Filtering
Từ Web URL Filter >> Check vào 2 giao thức HTTP và HTTPS và chọn trong phần Option là Web cấm.
Bấm Ok.
Anti-spam trên Firewall Fortinet | Firewall Fortigate cung cấp khả năng lên danh sách cấm các các
email từ website, domain hay chứa từ khóa nào đó và có khả năng cung cấp hệ thống đánh giá mức
độ spam dựa vào một số tiêu chuẩn. Khả năng hỗ trợ việc thực thi các danh sách cấm/cho phép
trong FortiOS phân loại theo domain, địa chỉ IP, địa chỉ email. Danh sách này có thế duy trì và cập
nhật theo nhóm hay theo từng user dùng chung với các dịch vụ cập nhập của Fortinet.
Click vào biểu tượng để Edit nội dung bên trong của Banned Word list
Click vào biểu tượng để Edit nội dung của IP address list
Click Create New để thêm vào IP address: với thuộc tính Action: Mark as Spam, hay Mark as Clear,
hay Mark as Reject
Click vào biểu tượng để Edit nội dung của Email address list
Ví dụ: Edit Protection Profile Web