HƯỚNG DẪN CẤU HÌNH FIREWALL FORTIGATE | FORTINET
Có thể bạn quan tâm
Đăng nhập
Trang chủ Diễn đàn > Diễn đàn mạng máy tính > Bảo mật-Firewall > Firewall Fortigate > HƯỚNG DẪN CẤU HÌNH FIREWALL FORTIGATE | FORTINETThảo luận trong 'Firewall Fortigate' bắt đầu bởi duongvo, 22/8/17.
Tags:- cấu hình fortigate
- cấu hình fortigate chi tiết
- cấu hình fortigate cơ bản
- cấu hình fortigate nâng cao
- cấu hình fortinet
- config fortigate full
- hướng dẫn cấu hình fortigate đầy đủ
-
duongvo Member
Trong loạt bài viết cấu hình đầy đủ các chức năng cơ bản về Firewall FortiGate, chúng tôi sẽ giới thiệu tới bạn đọc các bước cấu hình về dòng thiết bị Firewall đang phổ biến nhất hiện nay. Mặc định Firewall FortiGate có cấu hình do nhà sản xuất đặt sẵn như sau:
duongvo, 22/8/17 #1- Mode hoạt động mặc định: NAT
- Tên / Password truy nhập mặc định: admin/trống
- Internal : 192.168.1.99/24 (Switch Mode)
- WAN1 : 192.168.100.99/24
- WAN2 : 192.168.101.99/24
- DMZ : 10.10.10.1/24
-
duongvo Member
Phần 2: Cách tạo VLAN và cấu hình vùng DMZ trên Firewall FortiGate Sơ đồ mạng: 1. Tạo VLAN Tạo Vlan mà một trong những công việc mà 1 IT thường phải thực hiện. Việc tạo VLAN cho phép người quản trị dễ dàng quản lý các bộ phận phòng ban trong công ty qua đó thiết lập chính sách bảo mật (policy) cho từng bộ phận một cách nhất quán rõ ràng, bảo mật hệ thống thông tin của toàn hệ thống. Ở bài viết này tôi chỉ giả định tạo ra 2 VLAN, việc tạo ra bao nhiêu VLAN la tuỳ thuộc vào nhu cầu hệ thống của bạn, việc thực hiện là hoàn toàn tương tự. Tạo ra 2 vùng địa chỉ với 2 dãy IP như sau: + Vùng IP thứ nhất đặt tên là VLAN 1( Ví dụ: 192.168.111.0/24) + Vùng IP thứ hai đặt tên là VLAN 2 (ví dụ: 192.168.112.0/24) Vào Firewall >> Address >> Create New. Tạo vùng VLAN1 Tạo vùng VLAN2 2. Định nghĩa DMZ. Vùng DMZ (Demilitarized Zone – vùng phi quân sự) trong thuật ngữ công nghệ, DMZ được hiểu là một mạng tách biệt với mạng nội bộ (LAN). Các server như Web, Mail, FTP, VoIP… là các dịch vụ tổ chức mong muốn người dùng có thể truy cập và sử dụng thông qua các mạng ngoài như Internet được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích nội bộ như DNS, DHCP, File/Print… vẫn được đặt trong vùng LAN. 3. Cấu hình vùng DMZ. Đầu tiên ta tạo 1 vùng địa chỉ cho vùng DMZ, ta làm như sau: Vào Firewall >> Address >> Create New. Nhập thông tin như sau: Đặt IP cho port 8. Vào System >> Network >> Interface >> chọn port 8 và chọn Edit. + Trong phần Alias: đặt tên tương ứng cho port. + IP/Netmask: nhập IP Address cho port 8 như hình. + Chọn HTTPS 3.1 Cấu hình 1 Policy cho vùng DMZ ra Internet. Vào Firewall >> Policy >> Create New. + Source Interface/Zone: Chọn port8. + Source Addess: chọn All. + Destination Interface/Zone: chọn port9 + Destination Address: chọn All + Service: Any + Action: Accept + Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet. + Check vào Protect Profile và chọn Scan để Scan Virus, AntiSpam, và lọc Webfilter… + Bấm ok. 3.2 Cấu hình từ ngoài Internet vào vùng DMZ. Để từ ngoài Internet có thể vào vùng DMZ thì chúng ta phải tạo 1 policy từ ngoài internet vào vùng DMZ thông qua 1 số dịch vụ như FTP, DNS, Web… 3.3 Cấu hình vùng LAN qua vùng DMZ. Để các máy trong mạng LAN truy cập qua vùng DMZ thì chúng ta cũng phải tạo Policy cho chúng. Vào Firewall >> Policy >> Create New. + Source Interface/Zone: Chọn port4 + Source Address: chọn All + Destination Interface/Zone: chọn port8 + Destination Address: chọn DMZ + Service: Any + Action: Accept + Bấm ok. 3.4 Cấu hình vùng DMZ qua vùng LAN. Vào Firewall >> Policy >> Create New. + Source Interface/Zone: chọn port8 + Source Addess: chọn DMZ + Destination Interface/Zone: chọn port4 + Destination Address: chọn ALL + Service: Any + Action: Accept + Bấm ok. Như vậy đến đây ta đã hoàn thành các bước căn bản để cho Fortigate hoạt động. Trong phần viết sau tôi sẽ trình bày các vấn đề sâu hơn về các tính năng của Firewall Fortigate như: VPN, Antivirus, Antispam, Webfilter,...các bạn chú ý đón đọc nhé. | Hết phần 2 |
duongvo, 22/8/17 #2 -
duongvo Member
Phần 3: Cấu hình VPN Client to Gateway (Client to Site) Sơ đồ mạng: Hệ thống mạng trong công ty các máy tính được kết nối local mà ta vẫn thường gợi là mạng LAN. Khi ra ngoài khỏi công ty (về nhà, đi công tác, hoặc café chẳng hạn…) để lấy được dữ liệu lưu trữ và chia sẽ trong công ty, thì chúng ta sẽ sử dụng tính năng tích hợp trong Firewall FortiGate, tính năng này gọi là VPN (Virtual Private Network) để kết nối vào mạng LAN. Để làm được việc này chúng ta cần có các điều kiện như sau: + 1 thiết bị làm VPN server và cấu hình chức năng VPN + Các máy client muốn kết nối đến VPN server phải kết nối internet và phải tạo 1 connection client (PPTP hoặc SSL). Trong bài viết này tôi giới thiệu 2 kiểu kết nối phổ biến và thông dụng: VPN PPTP (Point to Point Tunnel Protocol) đây là kiểu kết nối VPN củ khá phổ biến và SSL-VPN đây là kiểu VPN bảo mật tốt linh động (chỉ cần PC có trình duyệt internet) và phổ biến nhất hiện nay. I. VPN Client to Gateway bằng giao thức PPTP 1. Đầu tiên ta phải tạo VPN server trên Firewall Fortigate theo các bước như sau: + Vào VPN >> PPTP >> và Enable PPTP lên. + Nhập dãy địa chỉ IP cho Client khi connect vào + User Group: chọn user group . + Nhấn Apply. 2. Tiếp theo vào User >> local >> Create new và nhập thông tin như sau: 3. Tạo user group và add user spt vào Group. + Vào user >> user Group >> Create New. + Nhập tên VPN_CLIENT_TO_SITE trong NAME + Chọn user spt và nhấn mũi tên qua phải. + Nhấn ok. 4. Tiếp theo tạo Range IP cho VPN + Vào Firewall >> Address >> Create new. + Address name: nhập tên cho vùng địa chỉ + Type: chọn Subnet/range + Subnet/IP Range: nhập 192.168.150.0 – 255.255.255.0 + Interface: Any. + Nhấn OK. 5. Tạo policy cho phép VPN client connect vào Firewall. + Vào Firewall >> Policy >> Create New. + Các thông số như hình Như vậy là ta đã hoàn thành việc cấu hình VPN Client bằng giao thức PPTP trên Firewall Fortigate. Bước tiếp theo là chúng ta sẽ tạo sự kết nối từ các máy Client để truy cập vào bên trong hệ thống của mạng. 6. Tạo VPN Client trên Windows (bài viết thực hiện trên Windows XP, các HĐH Windows sau này các bạn có thể thực hiện tương tự) + Vào Start >> Settings >> Network Connections >> New connections Wizard + Nhấn Next. + Chọn Connect to the network at my workplace + Nhấn Next. + Chọn Virtual Private Network Connection >> Next + Đặt tên cho kết nối >> Next Điền IP tĩnh mặt ngoài của Fortigate và nhấn Next >> nhấn Next. + Check vào Add a shortcut to this connection to my destop + Nhấn Finish + Để kết nối ta mở giao diện kết nối lên và nhập như sau: + Điền các thông tin user và pass tương ứng đã tạo ở trên + Nhấn Connect để kết nối VPN Như vậy là ta đã thực hiện xong cấu hình VPN Client to Gateway bằng giao thức PPTP. Sau đây tôi sẽ trình bày sơ lược cấu hình SSL-VPN II. Cấu hình SSL-VPN 1. Tạo VPN server + Vào VPN >> Chọn SSL >> Enable SSL-VPN >> Chọn IP Pool 2. Tao Web Portal (giao diện cho Client khi kết nối VPN vào Gateway) 3. Tạo user cho VPN-SSL: ta có thể tạo user local trực tiếp trên Firewall hoặc dùng user trong Server AD thông qua các giao thức RADIUS. + Tạo user local 4. User là các Client trong hệ thống AD, ta phải cấu hình RADIUS chứng thực VPN-SSL + Vào mục User >> Remote >> Radius + Điền các thông tin về server RADIUS như hình. 5. Cấu hình User Group + Name: đặt tên cho user group + Type: SSL VPN + Portal: Chọn kiểu portal đã tạo ở trên + Users/Groups: Add users cần đưa vào nhóm 6. Tạo policy cho phép VPN-SSL client kết nối vào FortiGate Firewall Đến đây chúng ta đã hoàn tất cấu hình SSL-VPN trên Firewall FortiGate 7. Để truy cập SSL-VPN ta thực hiện như sau + Mở một trình duyệt bất kỳ(IE, Firefox, Chrome...). + Vào phần Address đánh vào IP mặt ngoài kết nối đến Firewall FortiGate (221.133.3.94) và port mặc định (port:10443) như sau https://221.133.3.94:10443 + Gõ vào User name và password tương ứng + Nếu thành công sẽ hiện ra Web Portal Giờ ở bất kỳ đâu (miễn là có Internet) ta có thể truy cập các ứng dụng trong mạng LAN mà không cần tới công ty (dĩ nhiên muốn truy xuất đến đâu ta phải phân quyền và tạo policy cho user hoặc nhóm user nào đó). | Hết phần 3 |
duongvo, 22/8/17 #3 -
duongvo Member
Phần 4: Cấu hình VPN Gateway to Gateway (Site to Site) trên Firewall FortiGate Mô hình: Để hai hay nhiều chi nhánh của công ty cách xa nhau về mặt địa lý mà có thể trao đổi dữ liệu được với nhau giống như 1 mạng LAN thì chúng ta phải có đường thuê kênh riêng (chẳng hạn Office Wan, Metronet, MPLS, Lease Line). Với những công ty vừa và nhỏ, việc thuê kênh riêng đôi khi vượt quá ngân sách. Để giải quyết vấn đề trên ta có thể cấu hình VPN giữa các vùng với nhau (VPN Site-to-Site). Đối với thiết bị Firewall Fortigate thì chúng ta sử dụng giao thức VPN_IPSEC. Để làm việc này chúng ta cần các điều kiện như sau: - Đường truyền Internet có IP Public giữa các Sites - IP Private của các mạng (LAN) cần kết nối . Mô hình giả định ở đây cấu hình VPN Site to Site trên thiết bị Fortigate 200F (site chính) và Fortigate 60F (site chi nhánh) H: Mô hình VPN Site to Site I. Cấu hình VPN Site VP chính 1. Cấu hình trên Firewall FortiGate Site chính. Cấu hình thông số mặt ngoài trên FortiGate Vào VPN >> IPSEC >> Auto key >>Create Phase1 - Name: FG1TOFG2_TUNNEL - Remote Gateway: Static Ip Address. - IP Address: 221.133.27.9 - Local Interface: Port9 - Authentication Method: Preshared key. - Pre-shared Key: @thegioimang.vn - Nhấn ok. 2. Vào VPN >> IPSEC >> Auto key >> Create Phase2 - Name: FG1TOFG2_PHASE2 - Phase1: FG1TOFG2_TUNNEL - Nhấn ok. 3. Xác định chính sách tường lửa trên FortiGate Site chính 3.1. Xác định IP address của network sau FortiGate. - Vào firewall >> Address >> Create new. - Address name: SG-NETWORK - Type: Subnet/IP Range - Subnet/IP Range: 192.168.12.0/255.255.255.0 - Interface: Any. - Nhấn OK. 3.2. Xác định IP address của network sau FortiGate Site CN. - Vào firewall >> Address >> Create new. - Address name: HN-NETWORK - Type: Subnet/IP Range - Subnet/IP Range: 192.168.22.0/255.255.255.0 - Interface: Any. - Nhấn OK. 4. Xác định Firewall policy cho 2 VPN làm việc với nhau: Vào Firewall >> Policy >> Create new. Source Interface/Zone: Port 2 Source Address: SG-NETWORK Destination Interface/Zone: Port 9 Destination Address: HN-NETWORK Schedule: Always Service: Any Action: IPSEC VPN Tunnel: FG1TOFG2_TUNNEL Nhấn OK. II. Cấu hình VPN Site chi nhánh Thực hiện cấu hình tương tự đối với Firewall Fortigate 60F ở site chi nhánh giống các bước đã thực hiện trên Firewall Fortigate 200F Site chính, nhưng chúng ta chú ý thay đổi các IP address cho phù hợp theo mô hình như trên (Các bạn tự thực hiện tương tự nhé). III. Kiểm tra Để kiểm tra 2 VPN này có hoạt động hay chưa thì chúng ta vào VPN >> IPSEC>> Monitor. Chúng ta chú ý đến tab status: nếu trạng thái mũi tên chỉ xuống màu đỏ thì 2 VPN này chưa thông với nhau, nếu mũi tên chỉ lên và màu xanh thì 2 VPN này đã hoạt động tốt. Đến đây tôi đã trình bày đầy đủ cách cấu hình để một Firewall FortiGate hoạt động (tất cả các dòng FortiGate với License Forticare và Bundle). Phần tiếp theo tôi sẽ trình bày cách cấu hình Antivirus, Antispam, Webfilter,… Các tính năng mà đòi hỏi người dùng phải mua các gói License FortiGate mới có. | Hết Phần 4 |
duongvo, 22/8/17 #4 -
duongvo Member
Phần 5: Đăng Ký License, Cấu Hình Antivirus, Web Filter, Antispam Firewall FortiGate I. ĐĂNG KÝ LICENSE FIREWALL FORTIGATE Bước đầu tiên không kém phần quan trọng trước khi sử dụng thiết bị Firewall Fortigate là đăng ký license sử dụng hợp lệ. Việc đăng ký license còn giúp thiết bị có thể Update anti-virus, anti spam …Để đăng ký license ta cần phải lên trang Web để đăng ký http://support.fortinet.com Đăng ký mới Account : Vào Register/Renew Chọn Sign Up Điền đầy đủ thông tin theo yêu cầu nhấn next và làm theo chỉ dẫn. Sau đó vào phần Support Login vào hệ thống. Trường hợp bạn đã có tài khoản nhưng quên password, có thể phục hồi password theo cách sau: Đăng ký: Vào Asset Management >> Register/Renew và làm theo chỉ dẫn để bắt đầu đăng ký Khi đăng ký xong vào System >> Maintenance >> FortiGuardCenter . Ta có thể chỉnh các tham số cần thiết. II. CẤU HÌNH ANTIVIRUT FIREWALL FORTIGATE Virut là mối nguy hiểm đối với 1 hệ thống mạng của 1 công ty, vì vậy việc cập nhật và quét virut thường xuyên sẽ giúp hệ thống của công ty được bảo đảm hơn. Tính năng Antivirus trên Firewall Fortigate là 1 bức tường lửa để ngăn chặng virut. Fortigate có chức năng update tự động danh sách virut theo định kỳ (dĩ nhiên là phải mua License gói ATP, UTP, ENT hoặc 360 Protection) mà chúng ta cấu hình, các máy trong hệ thống mạng luôn được bảo vệ bởi FW Fortigate này. Hiện tại Fortigate đã cập nhật sẵn 1 số danh sách virut như hình bên dưới. Để xem danh sách virut ta vào AntiVirut >> Config Fortigate đã định nghĩa sẵn 1 số chương trình, ở đây chúng ta muốn cấm hay không thì chỉ cẩn check vào trong phần Enable. Muốn thêm 1 đối tượng mới vào thì ta làm như sau: Vào Antivirut >> File Pattern >> Bấm chọn nút Edit trên builtin-patterns >> Creat New. Pattern: nhập đối tượng Action: Block: Cấm : Allow: cho phép. Enable: check vào: Áp dụng tính năng này. : không check: không áp dụng tính nang này Bấm OK. Tiếp theo ta vào Firewall >> Protection Profile >> Scan >> Edit. Chọn tiếp phần Anti-Virut. Trong phần Scan thì đã quét 1 số dịch vụ như HTTP, FTP, IMAP, POP3… Trong Option ta chọn Builtin-pattern để thêm các dịch vụ cần scan virus. III. CẤU HÌNH WEB FILTER FIREWALL FORTIGATE Tính năng Web Filter trên Firewall Fortigate cho chúng ta cấm các trang web theo ý muốn của chúng ta, đặt biệt là các trang web không lành mạnh. Ta vào Web filter >> URL filter >> Create new. Nhập tên cho nội dung và nhấn OK. Tiếp theo ta chọn Create new. Nhập trang web muốn cấm ví dụ như: tuoitre.com.vn Type: simple Action: Block Check vào Enable. Nhấn OK. Sau đó vào Firewall >> Protection Profile >> Scan >> Edit >> Web Filtering Từ Web URL Filter >> Check vào 2 giao thức HTTP và HTTPS và chọn trong phần Option là Web cấm. Bấm Ok. IV. CẤU HÌNH ANTISPAM FIREWALL FORTIGATE Anti-spam trên Firewall Fortigate cung cấp khả năng lên danh sách cấm các các email từ website, domain hay chứa từ khóa nào đó và có khả năng cung cấp hệ thống đánh giá mức độ spam dựa vào một số tiêu chuẩn. Khả năng hỗ trợ việc thực thi các danh sách cấm /cho phép trong FortiOS phân loại theo domain, địa chỉ IP, địa chỉ email. Danh sách này có thế duy trì và cập nhật theo nhóm hay theo từng user dùng chung với các dịch vụ cập nhập của Fortinet. 1. Antispam Banned Word Tạo ra các Antispam Banned Word list (BWL): Antispam >> Banned Word Click Create New để tạo mới một Banned Word list Click vào biểu tượng để Edit nội dung bên trong của Banned Word list Sau đó nhấn Create để thêm vào list các Banned Word 2. Antispam Black/White list. - Antispam IP Address list. Vào Antispam >> Black/White List >> IP Address Click nút Add để thêm mới một Black/White IP Address list Click vào biểu tượng để Edit nội dung của IP address list Click Create New để thêm vào IP address: với thuộc tính Action: Mark as Spam, hay Mark as Clear, hay Mark as Reject - Antispam Email Address list Vào Antispam >> Black/White List >> Email Address Click nút Add để thêm mới một Black/White IP Address list Click vào biểu tượng để Edit nội dung của Email address list Mỗi Spam Filtering Option sẽ ứng với một Protection Profile. Ta vào Firewall Policy >> Protection Profile Ví dụ: Edit Protection Profile Web Đến đây tôi đã hoàn tất bài loạt bài viết cấu hình Firewall Fortinet | FortiGate. Nếu có vướng mắc, xin vui lòng liên hệ với công ty THẾ GIỚI MẠNG chúng tôi, THẾ GIỚI MẠNG là PARTNER FORTINET tại Việt Nam. Công ty chúng tôi cam kết Cung Cấp đến Khách Hàng các dòng thiết bị FORTINET chính hãng với Giá và Dịch Vụ hậu mãi tốt nhất theo tiêu chuẩn của Hãng Fortinet. Cám ơn các bạn đã theo dõi bài viết. Chúc các bạn thành công. | HẾT
duongvo, 22/8/17 #5 -
buinhattan New Member
Video các bước cơ bản cấu hình Firewall Fortigate với V5.4 Trong video này, bạn sẽ học cách kết nối và định cấu hình một thiết bị FortiGate mới trong chế độ NAT / Route để kết nối an toàn mạng riêng với Internet.
buinhattan, 25/10/17 #6 -
infobaove New Member
Video hướng dẫn các cách truy cập và cấu hình cơ bản Firewall Fortigate - Basic FortiGate Setup ( 6.0 )
infobaove, 28/11/17 #7 -
Blueberry New Member
Sơ đồ mạng đỉnh quá, thanks.
Blueberry, 16/7/21 #8
Chia sẻ trang này
Tweet Tên tài khoản hoặc địa chỉ Email: Bạn đã có tài khoản rồi?- Tích vào đây để đăng ký
- Vâng, Mật khẩu của tôi là:
- Bạn đã quên mật khẩu?
Từ khóa » Fortigate Toàn Tập
-
Fortinet Toàn Tập - CNTTShop
-
Ebook Tài Liệu Cấu Hình FortiOS V6.0 (PDF) - Technology Diver
-
Chia Sẻ Khóa Học Đào Tạo Quản Trị Fortigate Firewall Toàn Tập ...
-
CẤU HÌNH FIREWALL FORTIGATE - Master IT
-
Hướng Dẫn Cấu Hình Firewall Fortigate
-
Lưu Trữ Fortigate - TECH HORIZON CORP.
-
Hướng Dẫn Cấu Hình Fortigate Firewall
-
Cấu Hình Rule Trên Firewall Fortinet - Data Center CMC Telecom
-
Firewall Fortinet FortiGate - Thiết Bị Quang
-
So Sánh Các Dòng Tường Lửa Fortinet Fortigate NGFW - Digitech JSC
-
FortiGate 70D: Thiết Bị Bảo Mật Fortinet Firewall Chính Hãng – FG 70D
-
Phân Phối Thiết Bị Tường Lửa Fortigate - Firewall Fortinet
-
Bạn Có Biết Về Fortinet Firewall Fortigate Là Gì Không? - Netsystem
-
Gartner: Năm Thứ 3 Liên Tiếp FortiGate Là Sự Lựa Chọn Của Khách Hàng