Hướng dẫn cấu hình tuong lua fortigate 100
|
Việt Tuấn là Master Patner hàng đầu của nhà phân phối chính thức thiết bị Firewall Fortinet tại Việt nam, Chúng tôi cung cấp, hỗ trợ tư vấn xây dựng giải pháp, đăng ký bảo vệ dự án, và giá cả cạnh tranh tốt nhất tại Việt Nam. Show Tài liệu cấu hình Fortigate firewall được Hainguyen-IT soạn cho người mới bắt đầu, gồm các mục như dưới: Mục Lục1. Vào web gui của tường lửa 2. Backup-Restore cấu hình 3. Check version software/ Upgrade software 4. Cấu hình NAT đi internet 5. Mở port FTP/HTTP server 6. Chống tấn công DoS 7. Lọc website có hại 8. Chặn file chứa virus 9. Chống rò rỉ dữ liệu nhạy cảm DLP 10. Cấu hình deep-inspect traffic 11. VPN giữa 2 Fortigate 12. Hai tường lửa dự phòng (node, link) 13. Cấu hình dự phòng wan internet 14. Cấu hình IPS 15. Giám sát log người dùng 16. Bóp băng thông Link download https://drive.google.com/file/d/1YxrD4D1ITL9lMJaCugYvNOEU_9Zu5L1G/view?usp=sharing Security Profiles: các tính năng này phụ thuộc vào license đang sử dụng. Đối với các part Firewall là BDL ( ví dụ FG-100D-BDL, FG-100E-BDL) thì mới kích hoạt được các tính năng này, các part như FG-100D, FG-100E sẽ không kích hoạt được các tính năng này mà phải mua thêm license Fortinet cung cấp cho chúng tôi một số loại tường lửa Fortigate, bao gồm NGFW Entry-level Series, NGFW Middle-range Series và NGFW High-end Series. Mỗi loạt cũng có các lệnh cấu hình tương tự. Trong bài viết này, chúng ta hãy nghiên cứu 7 lệnh cơ bản. 1. Thiết đặt cổng giao diện điều khiển thiết bị2.Đặt giao diện IPCó bốn vai trò cho vai trò giao diện: WAN, LAN, DMZ và Undefined. Mỗi vai trò có chức năng khác nhau. Ví dụ: LAN và Undefined có thể cấu hình các chức năng liên quan đến DHCP. 3.Thiết lập cổng kết nối4.Thiết lập DNS5.Thiết lập NTP6.Đặt múi giờ và tên máy chủ7.Sao lưu cấu hìnhBản sao lưu cấu hình được sao lưu lên đến 192.168.1.1 thông qua tftp. Tên sao lưu là configuration20200101.cfg Chúng tôi sẽ có các bài viết khác về các lệnh của tường lửa Fortinet trong tương lai gần, vì vậy hãy theo dõi. Trong loạt bài viết cấu hình đầy đủ các chức năng cơ bản về Firewall FortiGate, chúng tôi sẽ giới thiệu tới bạn đọc các bước cấu hình về dòng thiết bị Firewall đang phổ biến nhất hiện nay. Mặc định Firewall FortiGate có cấu hình do nhà sản xuất đặt sẵn như sau:
Tên truy cập (Name) : admin Mật khẩu (Password): để trống Chọn "Login" , sau đó chọn System –> Network Mặc định các cổng Internal ở chế độ Switch Mode, điều đó có nghĩa là các Ports đều cùng một VLAN. Để các ports có đầy đủ tính năng Layer 3 như các port WAN và DMZ ta phải chuyển các ports này sang chế độ Interface Mode. Cách chuyển các port Internal trên Fortigate từ chế độ Switch Mode sang Interface Mode các bạn có thể XEM TẠI ĐÂY Loạt bài viết sau đây mặc định xem như Fortigate đã chuyển sang chế độ Interface Mode (các ports hoạt động ở Layer 3) Phần 1: Sơ đồ mạng và cấu hình vùng WAN, LAN Sơ đồ mạng: Trong loạt bài viết sau thực hiện trên dòng Fortigate 300B (cũ) nay được thay bằng FortiGate 300E. Hiện tại FortiGate đã ra version OS mới nhất 7.0, tuy nhiên về nguyên lý cấu hình cho các dòng Firewall FortiGate mới : FortiGate 60F, Fortigate 80F , FortiGate 100F , FortiGate 200F ,... là hoàn toàn tương tự. 1. Cấu hình vùng WAN: + Vùng WAN gắn vào 1 port của Fortigate giả sử là port 9 với IP Public là 221.133.3.94 + Vào System >> Network >> Interface >> chọn port 9 và chọn Edit. + Trong phần Alias: đặt tên tương ứng cho port. + IP/Netmask: nhập IP Address cho port 9 như hình. + Chọn HTTPS và bỏ check trong phân Ping nếu không muốn từ ngoài Internet ping vào. 2. Cấu hình 1 Static route để cho hệ thống mạng bên trong ra được Internet. + Vào Router >> Static Route >> Create New 3. Cấu hình vùng LAN ra Internet. + Vùng LAN của hệ thống gắn vào port 4 của Fortigate. + Từ port 4 của FG nối với 1 Core Switch để chia nhiều VLAN cho mạng LAN. + Vào System >> Network >> Interface >> chọn port 4 và chọn Edit. + Chọn HTTPS và bỏ check trong phân Ping nếu không muốn từ ngoài 4. Tạo 1 Policy để cho mạng Lan ra Internet. Vào Firewall >> Policy >> Create New. + Source Interface/Zone: Chọn port4. + Source Addess: chọn All. + Destination Interface/Zone: chọn port9 + Destination Address: chọn All + Service: Any + Action: Accept + Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet. + Check vào Protect Profile và chọn Scan để Scan Virus, AntiSpam, và lọc Webfilter… + Bấm ok. 5. Cấu hình cho phép từ Internet vào vùng LAN thông qua 1 số dịch vụ như là FTP. Vào Firewall >> Policy >> Create New. + Source Interface/Zone: Chọn port9. + Source Addess: chọn All. + Destination Interface/Zone: chọn port4 + Destination Address: chọn All + Service: FTP… + Action: Accept Cách mở các dịch vụ khác tương tự (chú ý port tương ứng với dịch vụ cần mở) Hết Phần 1 |
1. Tạo VLAN Tạo Vlan mà một trong những công việc mà 1 IT thường phải thực hiện. Việc tạo VLAN cho phép người quản trị dễ dàng quản lý các bộ phận phòng ban trong công ty qua đó thiết lập chính sách bảo mật (policy) cho từng bộ phận một cách nhất quán rõ ràng, bảo mật hệ thống thông tin của toàn hệ thống. Ở bài viết này tôi chỉ giả định tạo ra 2 VLAN, việc tạo ra bao nhiêu VLAN la tuỳ thuộc vào nhu cầu hệ thống của bạn, việc thực hiện là hoàn toàn tương tự. Tạo ra 2 vùng địa chỉ với 2 dãy IP như sau: + Vùng IP thứ nhất đặt tên là VLAN 1( Ví dụ: 192.168.111.0/24) + Vùng IP thứ hai đặt tên là VLAN 2 (ví dụ: 192.168.112.0/24) Vào Firewall >> Address >> Create New. Tạo vùng VLAN1 Tạo vùng VLAN2 2. Định nghĩa DMZ. Vùng DMZ (Demilitarized Zone – vùng phi quân sự) trong thuật ngữ công nghệ, DMZ được hiểu là một mạng tách biệt với mạng nội bộ (LAN). Các server như Web, Mail, FTP, VoIP… là các dịch vụ tổ chức mong muốn người dùng có thể truy cập và sử dụng thông qua các mạng ngoài như Internet được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích nội bộ như DNS, DHCP, File/Print… vẫn được đặt trong vùng LAN. 3. Cấu hình vùng DMZ. Đầu tiên ta tạo 1 vùng địa chỉ cho vùng DMZ, ta làm như sau: Vào Firewall >> Address >> Create New. Nhập thông tin như sau: Đặt IP cho port 8. Vào System >> Network >> Interface >> chọn port 8 và chọn Edit. + Trong phần Alias: đặt tên tương ứng cho port. + IP/Netmask: nhập IP Address cho port 8 như hình. + Chọn HTTPS 3.1 Cấu hình 1 Policy cho vùng DMZ ra Internet. Vào Firewall >> Policy >> Create New. + Source Interface/Zone: Chọn port8. + Source Addess: chọn All. + Destination Interface/Zone: chọn port9 + Destination Address: chọn All + Service: Any + Action: Accept + Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet. + Check vào Protect Profile và chọn Scan để Scan Virus, AntiSpam, và lọc Webfilter… + Bấm ok. 3.2 Cấu hình từ ngoài Internet vào vùng DMZ. Để từ ngoài Internet có thể vào vùng DMZ thì chúng ta phải tạo 1 policy từ ngoài internet vào vùng DMZ thông qua 1 số dịch vụ như FTP, DNS, Web… 3.3 Cấu hình vùng LAN qua vùng DMZ. Để các máy trong mạng LAN truy cập qua vùng DMZ thì chúng ta cũng phải tạo Policy cho chúng. Vào Firewall >> Policy >> Create New. + Source Interface/Zone: Chọn port4 + Source Address: chọn All + Destination Interface/Zone: chọn port8 + Destination Address: chọn DMZ + Service: Any + Action: Accept + Bấm ok. 3.4 Cấu hình vùng DMZ qua vùng LAN. Vào Firewall >> Policy >> Create New. + Source Interface/Zone: chọn port8 + Source Addess: chọn DMZ + Destination Interface/Zone: chọn port4 + Destination Address: chọn ALL + Service: Any + Action: Accept + Bấm ok. Như vậy đến đây ta đã hoàn thành các bước căn bản để cho Fortigate hoạt động. Trong phần viết sau tôi sẽ trình bày các vấn đề sâu hơn về các tính năng của Firewall Fortigate như: VPN, Antivirus, Antispam, Webfilter,...các bạn chú ý đón đọc nhé.
Đăng ký mới Account : Vào Register/Renew Chọn Sign Up Điền đầy đủ thông tin theo yêu cầu nhấn next và làm theo chỉ dẫn. Sau đó vào phần Support Login vào hệ thống. Trường hợp bạn đã có tài khoản nhưng quên password, có thể phục hồi password theo cách sau: Đăng ký: Vào Asset Management >> Register/Renew và làm theo chỉ dẫn để bắt đầu đăng ký Khi đăng ký xong vào System >> Maintenance >> FortiGuardCenter . Ta có thể chỉnh các tham số cần thiết. II. CẤU HÌNH ANTIVIRUT FIREWALL FORTIGATE Virut là mối nguy hiểm đối với 1 hệ thống mạng của 1 công ty, vì vậy việc cập nhật và quét virut thường xuyên sẽ giúp hệ thống của công ty được bảo đảm hơn. Tính năng Antivirus trên Firewall Fortigate là 1 bức tường lửa để ngăn chặng virut. Fortigate có chức năng update tự động danh sách virut theo định kỳ (dĩ nhiên là phải mua License gói ATP, UTP, ENT hoặc 360 Protection) mà chúng ta cấu hình, các máy trong hệ thống mạng luôn được bảo vệ bởi FW Fortigate này. Hiện tại Fortigate đã cập nhật sẵn 1 số danh sách virut như hình bên dưới. Để xem danh sách virut ta vào AntiVirut >> Config Fortigate đã định nghĩa sẵn 1 số chương trình, ở đây chúng ta muốn cấm hay không thì chỉ cẩn check vào trong phần Enable. Muốn thêm 1 đối tượng mới vào thì ta làm như sau: Vào Antivirut >> File Pattern >> Bấm chọn nút Edit trên builtin-patterns >> Creat New. Pattern: nhập đối tượng Action: Block: Cấm : Allow: cho phép. Enable: check vào: Áp dụng tính năng này. : không check: không áp dụng tính nang này Bấm OK. Tiếp theo ta vào Firewall >> Protection Profile >> Scan >> Edit. Chọn tiếp phần Anti-Virut. Trong phần Scan thì đã quét 1 số dịch vụ như HTTP, FTP, IMAP, POP3… Trong Option ta chọn Builtin-pattern để thêm các dịch vụ cần scan virus. III. CẤU HÌNH WEB FILTER FIREWALL FORTIGATE Tính năng Web Filter trên Firewall Fortigate cho chúng ta cấm các trang web theo ý muốn của chúng ta, đặt biệt là các trang web không lành mạnh. Ta vào Web filter >> URL filter >> Create new. Nhập tên cho nội dung và nhấn OK. Tiếp theo ta chọn Create new. Nhập trang web muốn cấm ví dụ như: tuoitre.com.vn Type: simple Action: Block Check vào Enable. Nhấn OK. Sau đó vào Firewall >> Protection Profile >> Scan >> Edit >> Web Filtering Từ Web URL Filter >> Check vào 2 giao thức HTTP và HTTPS và chọn trong phần Option là Web cấm. Bấm Ok. IV. CẤU HÌNH ANTISPAM FIREWALL FORTIGATE Anti-spam trên Firewall Fortigate cung cấp khả năng lên danh sách cấm các các email từ website, domain hay chứa từ khóa nào đó và có khả năng cung cấp hệ thống đánh giá mức độ spam dựa vào một số tiêu chuẩn. Khả năng hỗ trợ việc thực thi các danh sách cấm /cho phép trong FortiOS phân loại theo domain, địa chỉ IP, địa chỉ email. Danh sách này có thế duy trì và cập nhật theo nhóm hay theo từng user dùng chung với các dịch vụ cập nhập của Fortinet. 1. Antispam Banned Word Tạo ra các Antispam Banned Word list (BWL): Antispam >> Banned Word Click Create New để tạo mới một Banned Word list Click vào biểu tượng để Edit nội dung bên trong của Banned Word list Sau đó nhấn Create để thêm vào list các Banned Word 2. Antispam Black/White list. - Antispam IP Address list. Vào Antispam >> Black/White List >> IP Address Click nút Add để thêm mới một Black/White IP Address list Click vào biểu tượng để Edit nội dung của IP address list Click Create New để thêm vào IP address: với thuộc tính Action: Mark as Spam, hay Mark as Clear, hay Mark as Reject - Antispam Email Address list Vào Antispam >> Black/White List >> Email Address Click nút Add để thêm mới một Black/White IP Address list Click vào biểu tượng để Edit nội dung của Email address list Mỗi Spam Filtering Option sẽ ứng với một Protection Profile. Ta vào Firewall Policy >> Protection Profile Ví dụ: Edit Protection Profile Web Đến đây tôi đã hoàn tất bài loạt bài viết cấu hình Firewall Fortinet | FortiGate. Nếu có vướng mắc, xin vui lòng liên hệ với công ty THẾ GIỚI MẠNG chúng tôi, THẾ GIỚI MẠNG là PARTNER FORTINET tại Việt Nam. Công ty chúng tôi cam kết Cung Cấp đến Khách Hàng các dòng thiết bị FORTINET chính hãng với Giá và Dịch Vụ hậu mãi tốt nhất theo tiêu chuẩn của Hãng Fortinet. Cám ơn các bạn đã theo dõi bài viết. Chúc các bạn thành công. | HẾT |
