Hợp đồng: 0903/THP-FIS/2020

Tài liệu triển khai và vận hành

Hệ thống mạng, tường lửa và server

Áp dụng cho:
Nhà máy sản xuất thiết bị bếp
công nghiệp Tân Hà Phát

Phiên bản: 1.0

Đơn vị thực hiện:

Công ty TNHH Hệ thống thông
tin FPT

1
 Hợp đồng: 0903/THP-FIS/2020

Thông tin về tài liệu

Thông tin Nội dung
Tên tài liệu
Chủ đầu tư Công ty cổ phần Tân Hà Phát công nghiệp
Hợp đồng kinh tế cung cấp vật tư, thiết bị và thi công
Tên hợp đồng
lắp đặt hệ thống điện nhẹ
Hiệu lực
Tác giả Nguyễn Tiến Minh, Mai Thành Thắng
Ngày 07/10/2020
Phiên bản 1.1

Phê duyệt
Tên Vị trí/Chức vụ Ngày Phê duyệt

Bảo mật thông tin

Thông tin trong tài liệu này thuộc hợp đồng số 0903/THP-FIS/2020 giữa Công ty
cổ phần Tân Hà Phát công nghiệp và Công ty TNHH Hệ thống Thông tin FPT.
Thông tin trong tài liệu này thuộc bản quyền của Công ty cổ phần Tân Hà Phát
công nghiệp. Hành vi sao chép, phát tán toàn bộ hay một phần của tài liệu dưới
bất kỳ hình thức nào mà không được sự đồng ý của Công ty cổ phần Tân Hà Phát
công nghiệp và Công ty TNHH Hệ thống Thông tin FPT là vi phạm pháp luật.

2
 Hợp đồng: 0903/THP-FIS/2020

Mục lục
1. GIỚI THIỆU.........................................................................................................................................................5
1.1. Mục đích tài liệu..................................................................................................................................................5
1.2. Định nghĩa thuật ngữ và các từ viết tắt..............................................................................................................5
1.3. Tài liệu tham khảo..............................................................................................................................................5
1.4. Mô tả tài liệu....................................................................................................................................................... 6
2. MÔ HÌNH TRIỂN KHAI VÀ QUY HOẠCH.....................................................................................................6
2.1. Quy tắc đặt tên cho thiết bị..................................................................................................................................6
2.2. Quy hoạch dải mạng...........................................................................................................................................6
2.3. Danh sách IP quản trị thiết bị.............................................................................................................................7
2.4. Mô hình logic...................................................................................................................................................... 8
2.5. Mô hình vật lý......................................................................................................................................................9
3. HƯỚNG DẪN QUẢN TRỊ HỆ THỐNG SWITCH...........................................................................................10
3.1. Core Switch........................................................................................................................................................ 10
3.1.1. Hướng dẫn truy cập.............................................................................................................................................................10
3.1.2. Thêm/Sửa/Xóa VLAN.........................................................................................................................................................11
3.1.3. Map vlan vào cổng mạng.....................................................................................................................................................11
3.1.4. Cấu hình cổng mạng trunking..............................................................................................................................................12
3.1.5. Cấu hình interface vlan........................................................................................................................................................12
3.1.6. Cấu hình port channel..........................................................................................................................................................12
3.1.7. Cấu hình VTP.......................................................................................................................................................................12
3.1.8. Cấu hình định tuyến.............................................................................................................................................................12
3.1.9. Cấu hình chặn dải mạng......................................................................................................................................................12
3.2. Access Switch.....................................................................................................................................................13
3.2.1. Hướng dẫn truy cập.............................................................................................................................................................13
3.2.2. Map vlan vào cổng mạng.....................................................................................................................................................14
3.2.3. Cấu hình cổng mạng trunking..............................................................................................................................................14
3.2.4. Cấu hình interface vlan........................................................................................................................................................14
3.2.5. Cấu hình VTP.......................................................................................................................................................................14
3.2.6. Cấu hình DHCP Snooping...................................................................................................................................................15
3.2.7. Cấu hình port channel..........................................................................................................................................................15
4. HƯỚNG DẪN QUẢN TRỊ HỆ THỐNG TƯỜNG LỬA....................................................................................15
4.1. Cấu hình cơ bản................................................................................................................................................15
4.1.1. Truy cập quản trị thiết bị......................................................................................................................................................15
4.1.2. Cài đặt các thông số cho thiết bị tường lửa.........................................................................................................................16
4.2. Cấu hình HA..................................................................................................................................................... 17
4.2.1. Cấu hình trên Firewall Master.............................................................................................................................................17
4.2.2. Cấu hình trên Slave..............................................................................................................................................................18
4.3. Cấu hình WAN, LAN........................................................................................................................................20
4.3.1. Cấu hình cổng Wan..............................................................................................................................................................20
4.3.2. Cấu hình cổng Lan:..............................................................................................................................................................21
4.4. Cấu hình Static Route.......................................................................................................................................22
4.5. Cấu hình Policy.................................................................................................................................................23
4.6. Cấu hình SD WAN............................................................................................................................................24
4.6.1. Thay đổi các Policies...........................................................................................................................................................24
4.6.2. Khởi tạo SD-WAN Interface...............................................................................................................................................25
4.6.3. Cấu hình SD WAN rules......................................................................................................................................................26
4.6.4. Cấu hình Performance SLA.................................................................................................................................................28
4.6.5. Thiết lập Policy đi ra Internet..............................................................................................................................................29
4.6.6. Kiểm tra................................................................................................................................................................................31
4.6.7. Kiểm tra failover..................................................................................................................................................................31
4.7. Cấu hình VPN client to site...............................................................................................................................31
4.7.1. Tạo User và Group cho người dùng VPN............................................................................................................................32
4.7.2. Cấu hình IPsec VPN Wizard:...............................................................................................................................................33
4.7.3. Khởi tạo Policy cho phép VPN User truy cập Internet........................................................................................................35
4.7.4. Cài đặt Forticlient.................................................................................................................................................................36
4.8. Cấu hình VPN site to site..................................................................................................................................39
4.8.1. Mô hình................................................................................................................................................................................39
4.8.2. Cấu hình tại site gần............................................................................................................................................................39

3
 Hợp đồng: 0903/THP-FIS/2020

4.8.1. Cấu hình tại site xa...............................................................................................................................................................41

4.9. Cấu hình bảo mật trên Firewall Fortigate........................................................................................................42
4.9.1. Tính năng Anti-virus............................................................................................................................................................42
4.9.2. Tính năng WebFiltering.......................................................................................................................................................44
4.9.3. Tính năng Application Control............................................................................................................................................47
4.10. Cấu hình DNAT- Virtual IP..............................................................................................................................50
4.10.1. Tính năng Virtual IP.............................................................................................................................................................50
4.10.2. Cấu hình policy DNAT........................................................................................................................................................51
4.11. Hướng dẫn cấu hình sử dụng LDAP...............................................................................................................53
4.11.1. Cấu hình trên Window server..............................................................................................................................................53
4.11.2. Cấu hình trên Firewall Forgitgate........................................................................................................................................54
5. HƯỚNG DẪN QUẢN TRỊ HỆ THỐNG WIFI..................................................................................................62
5.1. UniFi Controller................................................................................................................................................62
5.1.1. Cấu hình khởi tạo UniFi Controller.....................................................................................................................................62
5.1.2. Cấu hình các SSID...............................................................................................................................................................64
5.1.3. Cấu hình giới hạn truy cập thông qua địa chỉ MAC............................................................................................................66
5.2. PoE Switch......................................................................................................................................................... 66
5.2.1. Cấu hình trên port switch.....................................................................................................................................................66
5.2.2. Kiểm tra trên port switch.....................................................................................................................................................67
5.3. UniFi AP........................................................................................................................................................... 67
5.3.1. Phê duyệt thiết bị.................................................................................................................................................................67
5.3.2. Điều chỉnh thiết bị................................................................................................................................................................68
6. HƯỚNG DẪN QUẢN TRỊ HỆ THỐNG SERVER............................................................................................70
6.1. CÀI ĐẶT, QUẢN TRỊ MÁY CHỦ HPE ML10 DL380 GEN10.........................................................................70
6.1.1. Tạo phân vùng cài đặt:.........................................................................................................................................................70
6.1.2. Cài đặt ILO 5 trên máy chủ HPE.........................................................................................................................................76
6.1.3. Cài đặt Vmware vSphere 6.7 trên server.............................................................................................................................79
6.2. QUẢN TRỊ HỆ ĐIỀU HÀNH VMWARE VSPHERE........................................................................................84
6.2.1. Cấu hình VMware Vsphere client:.......................................................................................................................................84
6.2.2. Cấu hình phân vùng lưu trữ trên Vmware Sphere...............................................................................................................85
6.2.3. Tạo máy ảo trên vmware Sphere.........................................................................................................................................87
6.2.4. Cấu hình Card NIC..............................................................................................................................................................89
6.3. QUẢN TRỊ HỆ ĐIỀU HÀNH WINDOW SERVER...........................................................................................92
6.3.1. Cấu hình ADC......................................................................................................................................................................92
6.3.2. Cấu hình File server.............................................................................................................................................................99
6.3.3. Cấu hình DFS.....................................................................................................................................................................101
6.3.4. Cài đặt phần mềm Unifi.....................................................................................................................................................116

4
 Hợp đồng: 0903/THP-FIS/2020

1. HƯỚNG DẪN QUẢN TRỊ HỆ THỐNG TƯỜNG LỬA

1.1. Cấu hình cơ bản

1.1.1. Truy cập quản trị thiết bị

Truy cập và địa chỉ web 117.4.121.203:port (phần port do IT thống nhất với
nhau)
Hoặc cài đặt VPN client-to-site với IP public 117.4.121.203 (chi tiết trong mục
VPN
Nhập tên người quản trị, mật khẩu

1.1.2. Cài đặt các thông số cho thiết bị tường lửa

Truy cập vào mục System -> Settings:
- Hostname:Tên của thiết bị
- HTTP port: Qui định port để truy cập quản trị thiết bị, khuyến nghị
chuyển qua HTTPS
- HTTPS port: Chọn port để truy cập vào thiết bị, khuyến nghị
không để port gốc của HTTPS (443)
- SSH port: Cấu hình port SSH, khuyến nghị không để port SSH gốc
(22)
- Telnet port: Cấu hình port Telnet, khuyến nghị không để port
Telnet gốc (23)
- Idle timeout: Tùy chọn vào qui định của doanh nghiệp mà để cho
thời gian bao nhiêu. Lưu ý Idle timeout ảnh hưởng tới thời gian sử dụng
VPN

5
 Hợp đồng: 0903/THP-FIS/2020

1.2. Cấu hình HA

1.2.1. Cấu hình trên Firewall Master

Trên Fortigate Master, vào System > Settings và thay đổi hostname là FW-01-
MASTER

Vào System > HA, chọn

6
 Hợp đồng: 0903/THP-FIS/2020

- Mode là Active-Passive.
- Device priority: Cài đặt chỉ số Device priority cao hơn giá trị mặc
định (trong hình là 128), thiết bị nào có chỉ số Device priority cao nhất sẽ
là Master (Primary), các thiết bị có chỉ số Device priority cao thứ 2 sẽ là
Master trong trường hợp Master bị lỗi.
- Group name: Tên Cluster Group
- Password: Password xác thực để các Cluster member join vào
group
- Heartbeat interfaces: chọn ít nhất 1 port. Hai port này sẽ gửi các
bản tin trao đổi để xác định xem các thiết bị có hoạt động bình thường hay
không và đồng bộ cấu hình giữa các member, thiết lập chỉ số này trên cả 2
cổng là 50

- Sau khi nhập xong tất cả thông tin, nhấn OK để hoàn tất. Khi chưa kết
nối với Slave, External-Primary vẫn tạo thành 1 Group và hoạt động
bình thường như 1 con Master trong Cluster

7
 Hợp đồng: 0903/THP-FIS/2020


1.2.2. Cấu hình trên Slave
Trên Fortigate Slave, vào System > Settings và thay đổi hostname là External-
Backup (bước này có thể bỏ qua)

- Vào System > HA, cấu hình các thông số giống với trên
con External-Primary (trừ thông số Device priority, trong hình là 120).
Thông số Device priority trên con Slave phải được đặt thấp hơn trên con
Master để chắc chắn thiết bị này sẽ luôn là thiết bị Backup

8
 Hợp đồng: 0903/THP-FIS/2020

- Sau khi lưu cấu hình và heartbeat interfaces được kết

nối, FortiGates sẽ tìm kiếm và tạo thành các cụm Cluster. Hệ thống mạng
lúc này có thể bị gián đoạn trong vài giây do các thiết bị trong Cluster đàm
phán và bầu chọn master. Sau khi lưu cấu hình trên Slave xong, quay trở
lại con Master và reload lại trình duyệt web, lúc này sẽ thấy External-
Primary đang là Master và chạy bình thường, còn External-Backup là
Slave và ở chế độ unactive.

- Kiểm tra topo mạng, truy cập vào Dashboard > Physical Topology

9
 Hợp đồng: 0903/THP-FIS/2020

- Lúc này traffic trong mạng sẽ đi qua External-Primary, khi External-

Primary bị lỗi thì External-Backup sẽ được active và lúc này traffic sẽ đi
qua External-Backup cho đến khi External-Primary được xử lý xong
1.3. Cấu hình WAN, LAN

Mục này hướng dẫn các cấu hình quay PPPoE Firewall Fortigate và sử dụng cơ
chế Network Address Translation (NAT) và Static Route cho phép mạng nội bộ
truy cập Internet.
1.3.1. Cấu hình cổng Wan.
Cấu hình Wan: Network >Interfaces
Chọn Wan1 > Edit
Cấu hình các mục trong Wan:
- Role: chọn role là wan
- Address: mục này sẽ có 3 tùy chọn là Manual, DHCP và PPPoE.
Mục Manual: trong trường hợp chúng ta có 1 IP tĩnh riêng thì sẽ chọn
address là Manual và nhập địa chỉ IP Public vào. Mục DHCP: nhận IP từ 1
DHCP server cấp. Mục PPPoE: đối với các thuê bao FTTP của nhà cung
cấp như viettel, fpt... chúng ta sẽ chọn mục này và nhập username
password của nhà cung cấp
- Restrict Access: cho phép bật các tính năng trên Interface như http,
https (để truy cập vào firewall), ping, ....
- Nhấn Ok để lưu cấu hình

10
 Hợp đồng: 0903/THP-FIS/2020

1.3.2. Cấu hình cổng Lan:

Chọn Interface -> Edit

- Với mô hình của nhà máy ta sẽ tạo một Interface ảo

- Type: 802.3ad đây là chế độ giúp gom nhiều đường link
- Interface member: Đây là nơi người quản trị có thể chọn các giao
diện vật lý (giao diện thật) vào chung trong cùng 1 nhóm giao diện.
- Role: Giữ nguyên phần mặc định là LAN
- Addressing mode: Nên để ở chế độ Manual, để mang lại tính ổn
định cho mạng, vì đường LAN này nối thẳng về Core nên cần để chế độ IP
tĩnh.
- Administrative Access: có thể để cho phép các giao thức Ping,
HTTPS tùy theo người quản trị.

11
 Hợp đồng: 0903/THP-FIS/2020

1.4. Cấu hình Static Route.

Truy cập vào Network > Static Routes > Create New để tạo 1 static route

12
 Hợp đồng: 0903/THP-FIS/2020

- Destination : Subnet với IP và Subnet Mask là 0.0.0.0/0.0.0.0

- Interface: SD WAN (là inter
- Administrative Distance: tham số ưu tiên
1.5. Cấu hình Policy.

Truy cập vào Policy & Objects > IPv4 Policy > Create New

- Name: đặt tên cho policy để phân biệt với các policy khác
- Incoming Interface: chọn LAN để cho phép mạng LAN đi ra
- Outgoing Interface: chọn Wan1 vừa cấu hình để cho phép mạng
LAN đi ra Internet qua cổng Wan1

13
 Hợp đồng: 0903/THP-FIS/2020

- Source: chọn ALL để cho tất cả các máy tính đi ra hoặc có thể chọn
1 số client
- Destination: chọn ALL
- Schedule: Always
- Service: chọn ALL, các mục này ta có thể chọn chỉ cho phép 1 số
dịch vụ truy cập internet. Chọn ALL là cho phép tất cả
- Action: Accept để cho phép ( chọn deny là không cho phép đi ra
qua cổng Wan1)
- Bật tính năng NAT, điều này bắt buộc để mạng LAN có thể ra
internet
- Security Profiles: các tính năng này phụ thuộc vào license đang sử
dụng. Đối với các part Firewall là BDL ( ví dụ FG-100D-BDL, FG-100E-
BDL) thì mới kích hoạt được các tính năng này, các part như FG-100D,
FG-100E sẽ không kích hoạt được các tính năng này mà phải mua thêm
license)
- Logging Options: Cho phép ghi lại log các traffic hoặc các gói tin
ra vào trong mạng
Kiểm tra kết quả: Sau khi cấu hình xong toàn bộ các bước trên chúng ta sẽ thực
hiện lệnh ping đến địa chỉ bất kỳ ngoài internet nếu thông thì chúng ta đã cấu
hình thành công.

1.6. Cấu hình SD WAN

1.6.1. Thay đổi các Policies

Ta không thể thêm các cổng WAN vào SD-WAN interface khi các cổng này đã
được gán các policy. Nếu đã có các Policy được gán cho các cổng Wan1 hoặc
Wan2, chúng ta phải xóa các policy này đi. Sau khi xóa các Policy này đi, các
14
 Hợp đồng: 0903/THP-FIS/2020

client trong LAN sẽ không thể truy cập Internet thông qua 2 cổng Wan1 và
Wan2.
- Truy cập Policy & Objects > IPv4 Policy, chọn các policy đang áp
dụng cho cổng Wan và chọn Delete

- Nếu không muốn xóa các Policy này, ta có thể chọn Policy,
chọn Edit và thay đổi Outgoing Interface sang 1 cổng bất kỳ chưa được sử
dụng. Sau khi tạo xong SDWAN, chúng ta sửa lại các Policy này áp dụng
cho cổng SDWAN để tránh phải tạo lại.
1.6.2. Khởi tạo SD-WAN Interface
Truy cập vào Network > SD-WAN để khởi tạo 1 SD-WAN Interface

15
 Hợp đồng: 0903/THP-FIS/2020

Thiết lập các thông số

- Interface State: chọn enable để bật SD-WAN
- SD-WAN: chọn Create New và chọn interface là Wan1, Status là Enable
và gateway là 0.0.0.0. Chọn Create New lần nữa mới Wan 2
- Volume: hay weighted là thuật toán chi tỉ lệ traffic theo lệ %, trong ví
dụ này chúng ta sẽ sử dụng Algorithm là Volume và chia tỉ lệ trong
phần Weight với wan1 75% và wan2 là 25%
- Sessions: Lưu lượng truy cập Internet sẽ chia theo các phiên làm việc
được thiếp lập. Chẳng hạn ta thiết lập số phiên đi qua Wan1 là 1 và
qua Wan2 là 1. Khi đó Phiên A đi qua Wan1 thì phiên B sẽ đi ra theo
Wan2.
1.6.3. Cấu hình SD WAN rules
Vào mục Network > SD WAN rules. Tạo một rule mới

16
 Hợp đồng: 0903/THP-FIS/2020

Ta có thể lựa chọn các nhóm địa chỉ IP, nhóm người dùng, nhóm giao thức và
phương án lái lưu lượng ra ngoài Internet
Cụ thể:
Phần Source:
- Source address: Ta có thể cấu hình danh sách các IP trong mạng
được lái lưu lượng theo chính sách này
- User group: Ta có thể lựa chọn các nhóm người dùng định danh để
được áp dụng theo chính sách này
Phần Destination:
- Address: các địa chỉ đích đến của gói tin, giao thức TCP, UDP, bất
ký giao thức nào, hoặc ta có thể chỉ định port giao thức cụ thể

17
 Hợp đồng: 0903/THP-FIS/2020

- Internet service: Dựa vào danh sách có sẵn của Fortigate mà ta có

thể lựa chọn dịch vụ dựa theo yêu cầu
- Application: Dựa theo danh sách có sẵn của Fortigate mà ta có thể
lựa chọn ứng dụng dựa theo yêu cầu
Phần Outgoing Interface:
- Manual: Chọn lưu lượng thủ công, ta có thể chọn một giao diện duy
nhất cho dòng lưu lượng này.

- Best quality: Chọn lưu lượng dựa trên chất lượng đường truyền, ta
sẽ cần tạo một tính toán thông số SLA, dựa vào thông số này và lựa chọn
ưu tiên thông số chất lượng nào (ví dụ như Latency, Jitter, Packet Loss,…)

- Lowest cost: Rule sẽ ưu tiên giao diện nào có cost thấp hơn

- Maximize Bandwidth: Rule sẽ ưu tiên các giao diện đạt chuẩn SLA

18
 Hợp đồng: 0903/THP-FIS/2020

1.6.4. Cấu hình Performance SLA

Ta vào mục Network > Performance SLA và chọn tạo mới:
- Ping: Ta có thể dùng ping để test trạng thái kết nối
- Server: Chọn địa chỉ IP để test ping
- Participants: Chọn các giao diện tham gia vào quá trình test
- Probe: Cho phép tạo đầu dò
- SLA target: Cấu hình các thông số về độ trễ, jitter, độ mất gói
- Link Status: Cấu hình các thông số để kiểm tra

19
 Hợp đồng: 0903/THP-FIS/2020

1.6.5. Thiết lập Policy đi ra Internet

Truy cập Policy & Objects > IPv4 policy, chọn Create New

20
 Hợp đồng: 0903/THP-FIS/2020

- Thiết lập Incoming Interface là mạng LAN bên trong và Outgoing

Interface là cổng SD-WAN vừa tạo.
- Bật tính năng NAT, Các tính năng AntiVirus, Web Filter chỉ kích hoạt
được khi Firewall đã được active license bundle. Lưu cấu hình policy,
lúc này client trong mạng LAN đã có thể truy cập internet qua SD-WAN
1.6.6. Kiểm tra
Truy cập vào Network > Performance SLA để kiểm tra lưu lượng mạng qua
SD-WAN
21
 Hợp đồng: 0903/THP-FIS/2020

1.6.7. Kiểm tra failover

Để kiểm tra tính dự phòng của SD-WAN, ta có thể rút 1 trong 2 đường WAN ra.
Chẳng hạn trong ví dụ này, chúng ra rút cổng WAN1, lúc này traffic sẽ đi ra
internet theo đường Wan2. Truy cập Monitor > SD-WAN Monitor để kiểm tra
Download và Upload:

1.7. Cấu hình VPN client to site

Theo như sơ đồ phía trên ta sẽ có các bước thực hiện như sau:
- Tạo User và Group
- Tạo địa chỉ mạng LAN nội bộ
- Cấu hình IPsec VPN Wizard
- Tạo Policy
- Cấu hình Forticlient
- Kiểm tra kết quả
1.7.1. Tạo User và Group cho người dùng VPN.
Chọn User & Device > User Definition,tạo một tài khoản Local User cho VPN
user.
22
 Hợp đồng: 0903/THP-FIS/2020

Chọn Local User và bấm next.

Ta tiến hành các bước tiếp theo hướng dẫn và cẩn thận nhập thông tin thích hợp.

Sau khi tạo xong các user, ta vào User & Device > User Groups để tạo User
Group cho VPN User và add user đã tạo ở bước trên vào group.

Ta thêm các user mới được tạo

23
 Hợp đồng: 0903/THP-FIS/2020

1.7.2. Cấu hình IPsec VPN Wizard:

Bấm chọn VPN > IPSec > Wizard.
Đầu tiên các ta chọn :
- Name: Đặt tên cho kết nối này
- Template Type là Remote Access
- Remote Device Type là FortiClient

Tiếp theo các ta chọn:

- Incoming Interface : Cổng gán địa chỉ để IPsec-VPN kết nối đến và
là cổng để ra
- Nhập Preshare Key và chọn User group đã tạo trước đó.

24
 Hợp đồng: 0903/THP-FIS/2020

Sau khi nhập Preshare Key và User group các Tanhấn next để qua bước tiếp
theo:
- Local Interface: là mạng lan các ta muốn VPN đến.
- Local Address : Là dãy địa chỉ của mạng LAN được. Tại đây ta có
thể tạo 1 dải mạng (nên khác với dải mạng trong nhà máy)

- Client Address Range : Dải địa chỉ cấp phát cho VPN Client.

- Chọn Next và tích vào tùy chọn mong muốn. Sau đó nhấn Create và
xem lại các thông tin VPN tunnel đã tạo.

25
 Hợp đồng: 0903/THP-FIS/2020

- Cài đặt Local_ID nhận dạng các loại tunnel với nhau. Nhấp chuột
vào kết nối chọn Convert to Custom Tunnel.
- Thay đổi Local_ID và Peer_ID giống nhau. Khi cấu hình tại máy
người dùng cũng phải đặt ID này.
- Peer ID

- Local ID

1.7.3. Khởi tạo Policy cho phép VPN User truy cập Internet.
Chọn Policy & Objects > IPv4 Policy. Tạo 1 chính sách bảo mật cho phép
người dùng từ xa truy cập internet thông qua Fortigate một cách an toàn.

26
 Hợp đồng: 0903/THP-FIS/2020

1.7.4. Cài đặt Forticlient

Ta có thể download và cài đặt FortiClient tại trang chủ: forticlient.com

- Mở FortiClient, vào Remote Access và tạo một kết nối mới.

27
 Hợp đồng: 0903/THP-FIS/2020

- Nhập các thông tin để khởi tạo kết nối.

- Điều chỉnh Local_ID

28
 Hợp đồng: 0903/THP-FIS/2020

- Chọn kết nối IPsec-VPN cần kết nối, nhập username và password,
click Connect.
- Kiểm tra kết quả.
- Kết nối thành công:

29
 Hợp đồng: 0903/THP-FIS/2020

Khi kết nối được thiết lập, Fortigate gán cho người dùng 1 địa chỉ IP. FortiClient
hiện thị toàn bộ thông số về địa chỉ IP ,thời lượng kết nối và Bytes đã gửi và
nhận.
Quay lại Fortigate, vào Monitor > IPsec Monitor, ta thấy status của tunnel là up
(màu xanh lá) thì việc kết nối đã thành công.

1.8. Cấu hình VPN site to site

1.8.1. Mô hình

Phần hướng dẫn cấu hình này áp dụng cho mô hình hai site đều sử dụng thiết bị
Firewall Fortigate
Lưu ý để đạt hiệu quả kết nối tốt nhất, hai Firewall này nên được sử dụng ở
Firmware gần nhất và mới nhất của hãng Fortinet.
Cần đảm bảo đầu IP public được cài đặt trên một giao diện WAN của Fortigate.
1.8.2. Cấu hình tại site gần
Vào mục VPN > Ipsec Wizard > Create New, cấu hình các thông tin về tên,
loại kết nối (Site-to-Site), loại thiết bị từ xa sẽ kết nối đến (Fortigate)

30
 Hợp đồng: 0903/THP-FIS/2020

Bấm Next, tại mục Authentication, ta nhập các thông tin đầu IP public của site ở
xa, interface mà ta định dùng để kết nối ( phải là interface được đặt IP public), có
thể sử dụng phần xác thực là pre-shared key hay là signature (lưu ý là phần xác
thực phải giống nhau tại hai đầu).

Bấm Next, tại mục Policy and Routing, ta lựa chọn interface LAN cho việc kết
nối vào bên trong. Lưu ý là đối với local subnets và remote subnets ta ưu tiên
sử dụng các summary subnet mask để tường lửa định tuyến được đến tất cả các
dải trong mạng từ xa và ngược lại.

31
 Hợp đồng: 0903/THP-FIS/2020

Sau đó ta bấm Create để tạo đường hầm.

1.1.1. Cấu hình tại site xa
Vào mục VPN > Ipsec Wizard > Create New, cấu hình các thông tin về tên,
loại kết nối (Site-to-Site), loại thiết bị từ xa sẽ kết nối đến (Fortigate)

Bấm Next, tại mục Authentication, ta nhập các thông tin đầu IP public của site ở
xa, interface mà ta định dùng để kết nối ( phải là interface được đặt IP public), có
thể sử dụng phần xác thực là pre-shared key hay là signature (lưu ý là phần xác
thực phải giống nhau tại hai đầu).

32
 Hợp đồng: 0903/THP-FIS/2020

Bấm Next, tại mục Policy and Routing, ta lựa chọn interface LAN cho việc kết
nối vào bên trong. Lưu ý là đối với local subnets và remote subnets ta ưu tiên
sử dụng các summary subnet mask để tường lửa định tuyến được đến tất cả các
dải trong mạng từ xa và ngược lại.

Sau đó ta bấm Create để tạo đường hầm.

1.9. Cấu hình bảo mật trên Firewall Fortigate

1.9.1. Tính năng Anti-virus

1.9.1.1. Cấu hình Anti-virus Profiles
Tiếp theo ta vào phần Security Profiles -> AntiVirus
- Tạo mới một profile
- Cho phép các tính năng Content Disarm and Reconstruction và
APT Protection Options
- Lựa chọn các giao thức muốn kiểm tra.
Tại đây có 3 lựa chọn:
- Discard: Cài đặt mặc định, gói tin nguyên bản sẽ bị hủy

33
 Hợp đồng: 0903/THP-FIS/2020

- File Quarantine: Lưu tệp tài liệu gốc vào đĩa (nếu có thể) hoặc
FortiAnalyzer được kết nối từ xa dựa trên cài đặt log của FortiGate, hiển
thị thông qua Config Global > Config Log FortiAnalyzer Setting.
- FortiSandbox: Lưu tệp tài liệu gốc vào FortiSandbox được kết nối
từ xa.

1.9.1.2. Cấu hình policy

34
 Hợp đồng: 0903/THP-FIS/2020

Tiếp theo ta phải cho phép tính năng AntiVirus trên các chính sách truy nhập mà
ta đã cấu hình.
Truy cập vào phần Policy & Objects, chọn một chính sách kiểm soát truy nhập.
Ta cần lựa chọn Flow-based để vẫn đảm bảo quét được gói tin trong khi vẫn đảm
bảo lưu lượng đi tới người sử dụng. Khuyến cáo khi chuyển sang Proxy, tường
lửa sẽ làm giảm hiệu năng của mạng.
Tại mục AV ta lựa chọn Profile mà ta vừa cấu hình.
1.9.2. Tính năng WebFiltering
1.9.2.1. Cấu hình WebFiltering Profiles
Ta vào phần Security Profiles ->Web Filtering
Cấu hình bộ lọc nội dung dựa trên danh sách phân loại

Cấu hình Category Usage Quota. Lưu ý để cấu hình phần này cần cài đặt tại
mục Category based filter ở trên bởi các hoạt động như Monitor, Warning,
Authenticate.

35
 Hợp đồng: 0903/THP-FIS/2020

Cấu hình cho các user có khả năng chỉnh sửa các mục bị chặn. Lưu ý đối với tính
năng này nên sử dụng hạn chế và các user và group gốc phải được đặt là phần
Source trong policy có sử dụng Secutiry profile này

Tính năng lọc file quy định các loại file cần giám sát hoặc chặn.

Cấu hình quy định về các mục tìm kiếm.

36
 Hợp đồng: 0903/THP-FIS/2020

Chặn các trang web dựa theo URL: Để trực tiếp chặn một trang web cụ thể.
Người quẩn trị cần copy đường dẫn và đặt vào mục URL và cài đặt hành động
tương ứng.

1.9.2.2. Áp dụng Webfiltering vào các chính sách

Tiếp theo ta phải cho phép tính năng WebFiltering trên các chính sách truy nhập
mà ta đã cấu hình. Truy cập vào phần Policy & Objects, chọn một chính sách
kiểm soát truy nhập ra ngoài Internet.

37
 Hợp đồng: 0903/THP-FIS/2020

1.9.3. Tính năng Application Control

1.9.3.1. Cấu hình Application Control Profiles
Truy cập vào tường lửa mục Security Profiles -> Application Control
Để tác động lên các ứng dụng đã nằm trong danh sách có sẵn ta lựa chọn các
hành động. Ta có thể lựa chọn theo các phân loại mà tường lửa đã có sẵn
- Monitor: Giám sát
- Allow: Cho phép
38
 Hợp đồng: 0903/THP-FIS/2020

- Block: Chặn
- Quarantine: Cách li

Để chặn chữ ký số của một số ứng dụng (ví dụ như Facebook) ta vào mục
Application Overrides -> Create New

Ta có thể trực tiếp tìm thấy các ứng dụng có thể được chặn chọn các mục này đi
kèm với các hành động liên quan

39
 Hợp đồng: 0903/THP-FIS/2020

Ta có thể xem được các mục mình dã chọn

1.9.3.2. Áp dụng Application Control

Tiếp theo ta phải cho phép tính năng Application Control trên các chính sách
truy nhập mà ta đã cấu hình. Truy cập vào phần Policy & Objects, chọn một
chính sách kiểm soát truy nhập ra ngoài Internet.

40
 Hợp đồng: 0903/THP-FIS/2020

1.10. Cấu hình DNAT- Virtual IP

1.10.1. Tính năng Virtual IP

Vào mục Policy and Object > Virtual IPs > Create New > Virtual IP
Tính năng Virtual IP cho phép thiết bị bên ngoài Internet truy cập vào một số
thiết bị cho phép bên trong của hệ thống để thực hiện các công việc cấu hình
thông qua việc ánh xạ port IP public sang port IP local
Lựa chọn các thông số tương tự như hình vẽ, cụ thể:
41
 Hợp đồng: 0903/THP-FIS/2020

- Interface: Giao diện được cài đặt IP public

- External IP address/range: Dải IP public hoặc một địa chỉ IP
public
- Internal IP address/range: Dải IP local hoặc một địa chỉ IP local
- Protocol: Lựa chọn giao thức để NAT
- External service port: Port ngoài hoặc dải port ngoài
- Map to port: Port bên trong hoặc dải bên trong

1.10.2. Cấu hình policy DNAT

Truy cập Policy and object > Ipv4 policy > Create new
Ta có Policy phải được cài đặt như sau:

42
 Hợp đồng: 0903/THP-FIS/2020

Tuy nhiên đối với một số trường hợp một số ứng dụng hay thiết bị đặc biệt (tổng
đài) không hỗ trợ các port service. Ta phải mở port Service thủ công
Vào mục Policy and Object > Service > Create New để tạo thêm port.

43
 Hợp đồng: 0903/THP-FIS/2020

1.11. Hướng dẫn cấu hình sử dụng LDAP

1.11.1. Cấu hình trên Window server

Truy cập Window server tạo một Group LDAP_user, tiến hành add tất cả các
user muốn được áp dụng chính sách LDAP

Kiểm tra tên group

Add thành công

44
 Hợp đồng: 0903/THP-FIS/2020

Lưu ý, cần thống nhất tên hiển thị của người dùng bởi vì đây sẽ là cơ sở để
Fortigate đồng bộ dữ liệu user từ Window Server

1.11.2. Cấu hình trên Firewall Forgitgate

1.11.2.1.Cấu hình test kết nối đến Window server

Ta cần đảm bảo rằng kết nối từ tường lửa đến server không bị gián đoạn
Truy cập mục User and Device > LDAP servers, chọn Create new:
- Service IP/Name: Nhập địa chỉ IP của server (primary)
- Server Port: 389 (giữ nguyên)
- Distinguished Name: Phần này cần phải nhập tên domain, theo
định dạng như trong hình
- Bind Type: Nên cài đặt như bình thường

45
 Hợp đồng: 0903/THP-FIS/2020

- Username: Nhập tên một user được phân quyền admin trong
Window server, cần có thêm đuôi domain để server nhận diện được user
- Password: Nhập mật khẩu của user trong domain
- Common Name Identifier: Nên đặt là “sAMAccountName” để
user đồng bộ với user đăng nhập trên server.
- Connection status: Khi kết nối ổn định sẽ có dòng chữ Successful
- Test Connectivity: Sử dụng tính năng này để kiểm tra kết nối

- Test User Credentials: Sử dụng tính năng này để kiểm tra thông tin
người dùng.

- Bấm tạo để có một đơn vị thông tin LDAP của server này.
46
 Hợp đồng: 0903/THP-FIS/2020

1.11.2.2.Tạo user LDAP, group LDAP và VPN LDAP

Truy cập User and Device > User Definition> Create New
- User type: Remote LDAP user

- LDAP server: Lựa chọn mục đã tạo ở phần 4.10.2.1

- Tại phần Remote Users, ta lựa chọn những user sẽ được áp dụng
LDAP

47
 Hợp đồng: 0903/THP-FIS/2020

- User sau khi được tạo

Truy cập mục User and Device > User Groups > Create new
- Ta thêm các user mới được tạo ở trên vào

48
 Hợp đồng: 0903/THP-FIS/2020

- Lưu ý rằng tên User được tạo ra trên Firewall được lấy trực tiếp từ
Fullname của user trong Active Directory
- Ta thấy tên user trong Active Directory

- Tên user trong tường lửa

49
 Hợp đồng: 0903/THP-FIS/2020

Truy cập mục VPN > Ipsec Wizard, tạo VPN cho nhóm user này tuần tự như
các bước được nêu trong mục 4.7. Ngoài ra cần cấu hình thêm phần Local ID để
tránh ảnh hưởng đến các tunnel khác.
Người dùng được kết nối thành công

1.11.2.3.Tạo Poll Active Directory Server và tạo chính sách LDAP

Truy cập Security Farbic > Farbic Connectors > Poll Active Directory
Servers

Trong mục này tiến hành nhập các tham số như trong hình

50
 Hợp đồng: 0903/THP-FIS/2020

Trong mục tìm kiếm, ta tiến hành tìm group LDAP mà ta đã join các user cần áp
dụng chính sách LDAP

Bấm OK, việc cấu hình đã ổn định nếu trạng thái sau xuất hiện

51
 Hợp đồng: 0903/THP-FIS/2020

Truy cập User and Device > User Groups, ta tạo một group user LDAP như
hình sau:

Truy cập Policy and Object > Ipv4 policy, ta tạo một policy để có thể áp dụng
các chính sách bảo mật theo quy định cho nhóm người dùng này. Cụ thể như hình
sau

52
 Hợp đồng: 0903/THP-FIS/2020

Để kiểm tra ta vào phần Monitor > Firewall User Monitor

53
 Hợp đồng: 0903/THP-FIS/2020

Lưu ý: Đối với việc di chuyển group LDAP phải hết sức cẩn thận, việc trỏ poll
cần phải có đường dẫn chính xác. Vì vậy nếu có di chuyển group LDAP thì ta
buộc phải làm lại công tác trỏ Poll.
Ví dụ nếu trong server vị trí của group thuộc OU Manager như ở dưới đây:

Thì vị trí trỏ của Poll cũng phải chỉ định giống hệt

54