�ݺ�ߣ

Cai-dat-va-cau-hinh-firewall-fortigate compress
Italiano (Instituto Universitario del Hospital Italiano)
Scan to open on Studocu
Studocu is not sponsored or endorsed by any college or university
Cai-dat-va-cau-hinh-firewall-fortigate compress
Italiano (Instituto Universitario del Hospital Italiano)
Scan to open on Studocu
Studocu is not sponsored or endorsed by any college or university
Downloaded by hainguyenit.edubit .vn (dragonhunt911@gmail.com)
lOMoARcPSD|36941780

Cài đặt và cấu hình firewall Fortigate
1
lOMoARcPSD|36941780

MỤC LỤC
A. Các cấu hình cơ bản..............................................................................................4
1. Kết nối một mạng private tới mạng Internet sử dụng mọt firewall Fortigate
trong mode NAT/Route.............................................................................................4
2. Kết nối một mạng private tới mạng Internet trong một bước...........................7
3. Thay đổi địa chỉ của một mạng trong (internal network) trong một bước sử
dụng chương trình wizard setup của Fortigate........................................................10
4. Troubeshooting cho việc cài đặt mode NAT/Route........................................12
5. Insert một thiết bị Fortigate vào bên trong mạng mà không làm ảnh hưởng tới
cấu hình của mạng (mode Transparent)...................................................................14
6. Troubleshooting cho việc cài đặt mode transparent.......................................18
7. Kiểm tra version của firmware hiện tại và upgrade firmware FortiOS..........21
8. Setup và troubleshooting các dịch vụ của FortiGuard....................................21
9. Setup một account admin trên thiết bị Fortigate............................................21
B. Các cấu hình nâng cao.........................................................................................24
1. Kết nối một thiết bị Fortigate với 2 ISP cho mục đích redundant..................24
2. Sử dụng một modem cho một kết nối redundant...........................................24
3. Phân phối các session giữa 2 kết nối internet redundant với ECMP dựa trên
mức độ sử dụng.......................................................................................................24
4. Bảo vệ một web server trong mạng DMZ......................................................24
5. Bảo vệ một mail server với một thiết bị Fortigate mà không làm thay đổi
mạng (sử dụng mode transparent)...........................................................................24
6. Sử dụng việc ghép cặp cổng để đơn giản hóa việc cài đặt mode transparent. 24
C. Sử dụng các policy và firewall object để điều khiển traffic mạng.......................24
1. Giới hạn sự truy cập Internet của nhân viên...................................................24
a. Tạo các đối tương address cho YouTube và Facebook...............................25
b. Tạo lập lịch để giới hạn việc truy cập trong thời gian từ 12h tới 2h...........26
c. Tạo policy...................................................................................................26
d. Sắp xếp lại vị trí của các policy..................................................................27
2. Giới hạn việc truy cập Internet dựa trên địa chỉ IP........................................28
2
lOMoARcPSD|36941780

a. Tạo các firewall address cho mỗi group user..............................................29
b. Tạo các lập lịch firewall.............................................................................29
c. Tạo các policy............................................................................................30
d. Sắp xếp lại vị trí của các policy..................................................................31
3. Exclude các user khỏi UTM filtering.............................................................31
4. Kiểm tra rằng traffic được chấp nhận bởi một policy....................................31
5. Sắp xếp các policy theo thứ tự đúng..............................................................31
6. Cho phép các query DNS tới duy nhất một DNS server được approve.........32
7. Extending AirPlay and AirPrint communication through a FortiWiFi unit....32
8. Ensuring sufficient and consistent bandwidth for VoIP traffic.......................32
9. Using geographic addresses...........................................................................32
10. Providing Internet access for your private network users (static source NAT)
32
11. Providing Internet access for a private network with multiple Internet
addresses (dynamic source NAT)............................................................................32
12. Dynamic source NAT without changing the source port (one-to-one source
NAT)32
13. Dynamic source NAT using the central NAT table........................................33
14. Allowing access to a web server on an internal network when you only have
one Internet IP address............................................................................................33
15. Allowing Internet access to a web server on a protected network when you
only have one Internet IP address, using port translation........................................33
16. Allowing Internet access to a web server on a protected network when you
have an IP address for the web server.....................................................................33
17. Configuring port forwarding to open ports on a FortiGate unit.....................33
18. NAT địa chỉ đích động cho một dải địa chỉ IP...............................................37
D. Profile UTM........................................................................................................41
E. SSL VPN.............................................................................................................41
1. Setting up remote web browsing for internal sites through SSL VPN...........41
a. Tạo một firewall address for email server..................................................42
b. Tạo portal web............................................................................................42
3
lOMoARcPSD|36941780

c. Tạo một user SSL VPN và group user........................................................43
d. Tạo một policy SSL VPN...........................................................................44
2. Using SSL VPN to provide protected Internet access for remote users.........46
3. SSL VPN split tunneling: Using SSL VPN to provide protected Internet
access and access to head office servers for remote users.......................................46
4. Verifying that SSL VPN users have the most recent AV software before they
can log into the SSL VPN.......................................................................................46
F. IPSec VPN..........................................................................................................46
G. Authentication.....................................................................................................46
H. Mạng WiFi..........................................................................................................46
I. Logging và Reporting..........................................................................................46
4
lOMoARcPSD|36941780

A. Các cấu hình cơ bản
1. Kết nối một mạng private tới mạng Internet sử dụng mọt firewall Fortigate
trong mode NAT/Route
Problem:
Làm sao để connect và cấu hình một thiết bị Fortigate mới để đảm bảo việc kết nối an
toàn tới mạng Internet. Thiết bị Fortigate cũng sẽ bảo vệ mạng private khỏi các threat
từ ngoài Internet nhưng vẫn cho phép các user bên trong mạng private có thể kết nối
ra ngoài mạng Internet
Giải pháp:
Nhìn chung, Fortigate thường được install như là một router hoặc gateway giữa mạng
private và mạng Internet. Fortigate vận hành trong chế độ đó được gọi là chế độ
NAT/Route với mục đích để ẩn đi các địa chỉ của mạng private khi các thiết bị này
truy cập ra ngoài internet
 Kết nối interface wan1 của Fortigate tới thiết bị được hỗ trợ bởi ÍP, thiết bị này
thông thường là converter quang hoặc modem
5
lOMoARcPSD|36941780

 Kết nối mạng internal vào interface internal của Fortigate
 Bật nguồn thiết bị của ISP, Fortigate và PC của mạng internal
 Từ một PC trong mạng internal, kết nối tới Fortigate thông qua giao diện quản
lý web. Bạn có thể cấu hình PC để nó tự động nhận địa chỉ IP thông qua DHCP
sau đó browse tới địa chỉ https://192.168.1.99 hoặc bạn cũng có thể đặt cho nó
một địa chỉ IP tĩnh nằm trong dải 192.168.1.0/255.255.255.0
 Login với tài khoản username là admin và không có pasword
 Đi tới System > Network > Interface và chọn Edit interface wan1 và thay đổi
các thông số sau:
 Tương tự edit interface internal theo các thông số sau:
 Đi tới Router > Static > Static Route và chọn Create New để add tuyến default
route như sau:
6
lOMoARcPSD|36941780

Chú ý: Một tuyến default route luôn luôn có địa chỉ IP đích và subnet mask đích là
0.0.0.0 và 0.0.0.0. Chính vì vậy bạn sẽ chỉ có duy nhất một tuyến default route. Nếu
danh sách static route thực sự đã chứa một tuyến default route thưc bạn có thể edit
hoặc delete nó và add một tuyến mới
 Đi tới System > Network > DNS và add thông tin về địa chỉ Primary DNS
server và Secondary DNS server
 Đi tới Policy > Policy > Policy và chọn Create New để add các tham số sau để
cho phép user trong mạng private có thể truy cập mạng Internet:
 Chọn Enable NAT và Use Destination Interface Address
 Chọn OK để save policy lại
Kết quả:
Trên PC, bạn có thể kết nối tới interface internal của Fortigate, mở một web browser
và browse tới bất kỳ website nào. Bạn cũng có thể kết nối tới Internet thông qua FTP,
hoặc bất kỳ giao thức nào hoặc phương thức kết nối nào
Đi tới Policy > Policy > Policy và check ở cột Count ứng với policy mà bạn đã config
trước đó để xem các trafic đang được xử lý:
7
lOMoARcPSD|36941780

Đi tới Policy > Monitor > Session Monitor để view các session đã được xử lý bởi
Fortigate
Địa chỉ nguồn của tất cả các session nên là một địa chỉ nằm trong dải mạng
192.168.1.0. địa chỉ IP NAT nguồn cho tất cả các session nên là 172.20.120.14 (hoặc
một địa chỉ IP đã add vào interface wan1). Policy ID nên là 1 vì đó là giá trị ID default
cho phép user trong mạng internal được phép kết nối tới mạng Internet
Bạn cũng có thể xem các kết quả bẳng cách đi tới Policy > Monitor > Policy Monitor
để view một graph về các session active của mỗi policy. Vì hiện tại chúng ta chỉ có
duy nhất một policy nên trong mục này chỉ có duy nhất một entry
2. Kết nối một mạng private tới mạng Internet trong một bước
Problem:
Bạn muốn sử dụng ít bước nhất có thể để sử dụng Fortigate up và cho phép kết nối
mạng Internet cho một mạng private
8
lOMoARcPSD|36941780

Giải pháp:
Nếu nhà cung cấp dịch vụ Internet của bạn (ISP) sử dụng giao thức DHCP để cung
cấp việc kết nối internet cho hệ thống của bạn thì bạn chỉ cần thực hiện duy nhất một
bước cấu hình trên Fortigate để cho phép mạng private của bạn có thể kết nối tới
mạng Internet. Các bước để PC nằm trong mạng internal có thể lấy được địa chỉ IP và
kết nối tới Fortigate giống mục 1. Từ nay về sau sẽ không nói lại việc này vì coi như
đó là bước mặc định phải có để bạn có thể cấu hình được Fortigate
9
lOMoARcPSD|36941780

 Đi tới System > Network > Interface và edit interface wan1
 Thiết lập Addressing Mode là DHCP và chọn Retrieve Default Gateway from
server và Override internal DNS
 Chọn OK để save sự thay đổi
Chú ý: Nếu ISP sử dụng phương pháp PPPoE hoặc đánh địa chỉ theo địa chỉ do
ISP quy định thì bạn phải cấu hình interface wan1 theo các option này thay vì sử
dụng DHCP
Kết quả:
Kết quả bạn nhận được sẽ giống như mục 1 nếu như bạn cấu hình đúng
Fix lỗi gặp phải:
Nếu bạn cấu hình xong mà không đạt được kết quả như mong muốn thì hãy thực
hiện theo các bước như sau:
 Kiểm tra interface wan1 đã có thể nhận được cấu hình IP từ ISP. Login vào
Fortigate thông qua giao diện quản lý web và đi tới System > Network >
Interface > wan1. Chắc chắn rằng Addressing Mode đã được thiết lập là
DHCP và các thông tin tương tự như các thông số sau:
10
lOMoARcPSD|36941780

Nếu địa chỉ IP không đúng hoặc bị thiếu thì chọn Renew để thực hiện giải phóng và
nhận lại địa chi IP. Nếu bạn không thể nhận được một địa chỉ IP hợp lệ theo cách này
thì Fortigate không thể truy thông với server DNS của ISP
Nếu ISP không hỗ trợ việc thiết lập DNS thông qua DHCP thì bạn phải cấu hình DNS
cho Fortigate thông qua System > Network > DNS
Nếu ISP không hỗ trợ việc thiết lập default gateway cho bạn thông qua DHCP thì bạn
phải thiết lập thông số này thông qua Router > Static > Static Route và trỏ default
gateway tới địa chỉ của ISP
Nếu mạng internal được cấu hình để nhận địa chỉ IP thông qua DHCP từ Fortigate thì
đi tới System > Network > DHCP Server và edit thông tin DHCP server cho interface
internal. Trong trường hợp bạn sử dung Fortigate làm DHCP server thì bạn nếu thiết
lập luôn thông số DNS. Bạn có thể kiểm tra thông tin về các PC đã nhận địa chỉ IP từ
Fortigate thông qua System > Monitor > DHCP Monitor
Kiểm tra lại địa chỉ IP trên các PC của mạng internal để chắc chắn chúng nằm trong
cùng dải mạng với dải mạng được cấp phát bởi Fortigate.
Nếu thực hiện các bước trên mà không được hãy kiểm tra lại kết nối vật lý
3. Thay đổi địa chỉ của một mạng trong (internal network) trong một bước sử
dụng chương trình wizard setup của Fortigate
Problem:
Sử dụng các bước ít nhất có thể để thực hiện thay đổi địa chỉ subnet của một interface
internal và tất cả các thiết bị kết nối với nó
11
lOMoARcPSD|36941780

Giải pháp:
Sử dụng Fortigate setup wizard để thay đổi địa chỉ IP của interface internal trên
Fortigate và thay đổi các địa chỉ mạng mà Fortigate – DHCP server cung cấp cho các
thiết bị trong mạng internal. Renew lại địa chỉ IP cho các device trong mạng internal
Chú ý: Khi bạn sử dụng Fortigate setup wizard thì nó sẽ delete tất cả các policy hệ
thống và add vào đó một policy thay thế để cho phép mạng internal có thể truy cập
được vào Internet. Chính vì đặc điểm này nên có thể bạn sẽ không muốn sử dụng giải
pháp này khi mà bạn đã thực hiện add một số các policy trước đó.
 Từ một PC trong mạng internal, login vào Fortigate thông qua trình quản lý
web
 Chọn icon Wizard:
 Thay đổi các thông số trong trang Local Area Network (LAN) Settings theo
các thông số mạng mới như sau:
 Enable DHCP nên được lựa chọn. Thay đối các thiết lập như sau:
12
lOMoARcPSD|36941780

 Thực hiện renew lại địa chỉ IP của các device trong mạng internal
Kết quả:
Bây giờ các thiết bị trong mạng internal bao gồm interface internal của Fortigate phải
có địa chỉ IP nằm trong dải 192.168.50.0/255.255.255.0. Sau đó từ bất kỳ thiết bị nào
trong dải mạng này thử truy cập vào mạng Internet
Log vào Fortigate thông qua địa chỉ IP mới, kiểm tra lại DHCP, DNS và các policy
cần thiết
4. Troubeshooting cho việc cài đặt mode NAT/Route
Problem:
Bạn đã setup một Fortigate trong chế độ NAT/Route và các bước như các mục trên
nhưng các thiết bị trong mạng private của bạn thì không thể kết nối được tới Internet
Giải pháp:
Sử dụng một trong các bước sau để thực hiện tìm và fix các vấn đề mà bạn đang gặp
phải:
13
lOMoARcPSD|36941780

 Kiểm tra kết nối vật lý giữa PC và Fortigate cũng như là kết nối vật lý giữa
Fortigate và ISP. Để kiểm tra trạng thái của các kết nối vật lý này bạn có thể
làm kiểm tra widget Unit Operation dashboard trong System > Dashboard >
Status để kiểm tra trạng thái của các interface
 Kiểm tra lại các thiết bị được cung cấp bởi ISP để chắc chắn rằng nó vận
hành tốt
 Kiểm tra để chắc chắn rằng bạn có thể kết nối tới được địa chỉ IP internal
của Fortigate. Ví dụ từ PC bạn thực hiện ping tới địa chỉ 192.168.1.99 để
kiểm tra việc kết nối tới Fortigate. Nếu không được, bạn hãy kiểm tra lại
xem địa chỉ IP đang được thiết lập trên máy của bạn có thuộc cùng dải
mạng với interface internal hay không, nếu OK hãy kiểm tra lại kết nối vật
lý giữa PC của bạn và Fortigate hoặc của các thiết bị trung gian nằm giữa
PC của bạn và Fortigate
 Check lại cấu hình của interface internal trên Fortigate
 Check lại cấu hình của interface kết nối với mạng Internet để chắc chắn là
interface này được cấu hình đúng
 Kiểm tra việc truy cập từ Fortigate tới mạng Internet thông qua việc sử
dụng lệnh ping và traceroute trong màn hình command line của Fortigate
bằng các câu lệnh sau:
# execute ping google.com.vn
# execute traceroute google.com.vn
 Kiểm tra lại việc cấu hình DNS trên Fortigate. Bạn có thể check việc cấu
hình các lỗi của DNS thông qua việc ping hoặc traceroute tới một domain
name. Nếu nhận được thông báo theo kiểu:
ping www.fortinet.com
ping: cannot resolve www.fre.com: Unknown host
thì chắc chắn bạn nên kiểm tra lại việc cấu hình DNS
 Kiểm tra lại policy bằng cách đi tới Policy > Policy > Policy và kiểm tra policy
internal -> wan1 đã được add. Check cột Count để xem liệu policy này có được
xử lý bởi Fortigate hay không. Check lại cấu hình của policy để chắc chắn nó
tương tự với các thông số sau:
14
lOMoARcPSD|36941780

Chú ý rằng Enable NAT và Use Destination Interface Address phải được lựa chọn
 Kiểm tra lại cấu hình định tuyến tĩnh static routing bằng cách đi tới Router >
Static > Static Route và chắc chắn rằng tuyến default route là đúng. Đi tới
Router > Monitor > Router Monitor để kiểm tra việc điều khiển định tuyến và
tuyến default route xuất hiện trong danh sách như một tuyến static route
 Disable việc lọc web: Web filtering. Nếu bạn đã enable chức năng lọc web này
trong một policy thì nó có thể block việc truy cập tới các web site mà bạn đang
muốn truy cập tới. Để fix vấn đề này bạn đi tới UTM Profiles > Web Filter >
Profile và trong profile default bạn chọn Advanced Filter và enable tùy chọn
Allow Websites When a Rating Error Occurs
 Ngoài ra bạn cũng có thể thử giải pháp sau:
o Kiểm tra xem từ interface internal của bạn có thể ping tới được interface
Internet hay không, ví dụ interface kết nối ra internet là 172.16.20.12 và
địa chỉ IP của PC của bạn là 192.168.50.30 thì bạn thử ping từ PC này
tới địa chỉ 172.16.20.12. Nếu không được thì có nghĩa là Fortigate đang
chặn session từ dải internal sang internet
o Kiểm tra lại kết nối của bạn tới ISP
5. Insert một thiết bị Fortigate vào bên trong mạng mà không làm ảnh hưởng
tới cấu hình của mạng (mode Transparent)
Problem:
15
lOMoARcPSD|36941780

Làm cách nào để kết nối và cấu hình một thiết bị Fortigate mới để bảo vệ mạng mà
không làm thay đổi cấu hình của mạng. Mạng được kết nối với Internet sử dụng một
router, router này sẽ thực hiện NAT
Giải pháp này cho phép add các policy vào mạng mà không được phép thay thế router.
Fortigate phải thực hiện block việc truy cập từ Internet vào mạng private nhưng vẫn
cho phép mạng private có thể truy cập vào Internet. Ngoài ra Fortigate còn phải có
chức năng điều khiển việc sử dụng tài nguyên ứng dụng và tìm cách remove virus
Giải pháp:
Tham khảo: http://docs.fortinet.com/cb/inst1.html
Cài đặt thiết bị Fortigate trong mode transparent giữa mạng internal và router. Add
một policy tới thiết bị Fortigate để cho phép người dùng trong mạng internal có thể
connect tới Internet và add chức năng quét virus, điều khiển ứng dụng tới policy này.
Không có bất kỳ yêu cầu nào liên quan tới việc thay đổi về mạng ngoại trừ việc cung
cấp cho thiết bị Fortigate một địa chỉ IP quản lý
Chú ý: Việc thay đổi mode của Fortigate từ chế độ NAT/Route sang chế độ
Transparent sẽ phải remove toàn bộ các cấu hình được thực hiện trong chế độ
NAT/Route. Nếu bạn muốn giữ lại các cấu hình này thì hãy chắc chắn rằng bạn đã
backup lại toàn bộ cấu hình của Fortigate thông qua widget System Information
Các bước thực hiện như sau:
16
lOMoARcPSD|36941780

 Đi tới System > Dashboard > Status > System Information và bên cạnh
Operation Mode và chọn Change và cấu hình theo các thông số sau:
 Chọn Ok để switch sang chế độ transparent
 Login vào firewall qua giao diện web quản lý thông qua địa chỉ IP
https://10.31.101.40 tất nhiên hãy chắc chắn rằng địa chỉ IP của PC của bạn
nằm cùng trong dải với địa chỉ IP của Fortigate
 Đi tới System > Network > DNS và add thông tin về DNS server primary và
secondary
 Đi tới Policy > Policy > Policy và chọn Create New để add các thông tin sau để
cho phép người dùng trong mạng private có thể truy cập Internet:
 Chọn UTM. Chọn Enable Antivirus và chọn Enable Application Control
 Chọn OK để save cấu hình của policy
 Tắt nguồn của Fortigate
17
lOMoARcPSD|36941780

 Connect Fortigate ở vị trí giữa mạng và router. Kết nối interface wan1 của
Fortigate tới interface internal của router. Kết nối interface internal của
Fortigate của mạng internal.
 Bật nguồn Fortigate
Kết quả:
Tương tự các mục trên. Chỉ khác là trong Policy > Monitor > Session Monitor:
18
lOMoARcPSD|36941780

Địa chỉ nguồn của tất cả các session đều là trong mạng 10.31.10.0. Địa chỉ IP NAT
nguồn và cột port NAT nguồn để trống vì lúc này Fortigate không được cấu hình
NAT/Route
6. Troubleshooting cho việc cài đặt mode transparent
Problem:
Bạn đã setup cấu hình mode transparent cho Fortigate nhưng traffic không pass được
qua thiết bị Fortigate
Giải pháp:
Sử dụng theo các bước sau để tìm và fix các vấn đề về kết nối của Fortigate trong
mode transparent:
 Kiểm tra kết nối vật lý giữa PC và Fortigate cũng như là kết nối vật lý giữa
Fortigate và ISP. Để kiểm tra trạng thái của các kết nối vật lý này bạn có thể
làm kiểm tra widget Unit Operation dashboard trong System > Dashboard >
Status để kiểm tra trạng thái của các interface
 Kiểm tra lại các thiết bị được cung cấp bởi ISP để chắc chắn rằng nó vận hành
tốt
 Kiểm tra để chắc chắn rằng bạn có thể kết nối tới được địa chỉ IP internal của
Fortigate. Ví dụ từ PC bạn thực hiện ping tới địa chỉ 192.168.1.99 để kiểm tra
việc kết nối tới Fortigate. Nếu không được, bạn hãy kiểm tra lại xem địa chỉ IP
19
lOMoARcPSD|36941780

đang được thiết lập trên máy của bạn có thuộc cùng dải mạng với interface
internal hay không, nếu OK hãy kiểm tra lại kết nối vật lý giữa PC của bạn và
Fortigate hoặc của các thiết bị trung gian nằm giữa PC của bạn và Fortigate
 Kiểm tra việc truy cập từ Fortigate tới mạng Internet thông qua việc sử dụng
lệnh ping và traceroute trong màn hình command line của Fortigate bằng các
câu lệnh sau:
# execute ping google.com.vn
# execute traceroute google.com.vn
 Kiểm tra lại việc cấu hình DNS trên Fortigate. Bạn có thể check việc cấu hình
các lỗi của DNS thông qua việc ping hoặc traceroute tới một domain name.
Nếu nhận được thông báo theo kiểu:
ping www.fortinet.com
ping: cannot resolve www.fre.com: Unknown host
thì chắc chắn bạn nên kiểm tra lại việc cấu hình DNS
 Kiểm tra lại policy bằng cách đi tới Policy > Policy > Policy và kiểm tra policy
internal -> wan1 đã được add. Check cột Count để xem liệu policy này có được
xử lý bởi Fortigate hay không. Check lại cấu hình của policy để chắc chắn nó
tương tự với các thông số sau:
 Kiểm tra lại cấu hình định tuyến tĩnh static routing bằng cách đi tới Router >
Static > Static Route và chắc chắn rằng tuyến default route là đúng
20
lOMoARcPSD|36941780

 Disable việc lọc web: Web filtering. Nếu bạn đã enable chức năng lọc web này
trong một policy thì nó có thể block việc truy cập tới các web site mà bạn đang
muốn truy cập tới. Để fix vấn đề này bạn đi tới UTM Profiles > Web Filter >
Profile và trong profile default bạn chọn Advanced Filter và enable tùy chọn
Allow Websites When a Rating Error Occurs
 Kiểm tra lại kết nối của bạn tới gateway được cung cấp bởi ISP. Thử ping tới
địa chỉ Ip của default gateway từ một PC từ trong mạng internal
 Confirm rằng thiết bị Fortigate có thể kết nối tới mạng FortiGuard. Một khi đã
register, firewall Fortigate sẽ chứa chức năng antivirus và điều khiển ứng dụng
và các update khác từ mạng FortiGuard. Thiết bị Fortigate phải có thể kết nối
tới mạng từ địa chỉ IP quản lý của nó. Nếu các bước test sau mà cung cấp các
kết quả sai, thì Fortigate không thể kết nối tới Internet từ địa chỉ IP quản lý.
Check tuyến default route của Fortigate để chắc chắn rằng nó là đúng. Check
lại firewall internet của bạn để chắc chắn rằng nó cho phép kết nối từ địa chỉ IP
quản lý của Fortigate tới mạng Internet.
o Đầu tiên check thông tin license trong widget License Information để
chắc chắn rằng trạng thái của tất cả các service match với các service mà
bạn đã mua. Thiết bị Fortigate kết nối với mạng FortiGuard để tính toán
thông tin này
o Đi tới System > Config > FortiGuard. Mở web filtering và tùy chọn
email và chọn Test Availability. Sau một phút, trình quản lý web based
sẽ thông báo rằng kết nối thành công
 Check bảng FortiGate bridge. Bảng bridge là một list các địa chỉ MAC trong
cùng một mạng như của Fortigate và địa chỉ MAC của các interface Fortigate>
Thiết bị Fortigate sử dụng bảng này để xác định việc forward một gói tin. Nếu
một địa chỉ MAC của một thiết bị được add vào bảng bridge thì các gói tin với
địa chỉ MAC đó sẽ bị block. Chính vì vậy hãy check lại bảng bridge để chắc
chắn rằng các địa chỉ MAC đúng được add vào bảng bridge. Sử dụng câu lệnh
sau trong CLI để check bảng bridge:
21
lOMoARcPSD|36941780

Nếu địa chỉ MAC của thiết bị không được liệt kê ở đây thì Fortigate sẽ không thể
tìm thấy thiết bị trên mạng. Điều này có thể chỉ ra rằng thiết bị không được kết nối
hoặc đang không vận hành. Check lại kết nối mạng của thiết bị và chắc chắn rằng
nó đang vận hành đúng
7. Kiểm tra version của firmware hiện tại và upgrade firmware FortiOS
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install-
basic/update_firmware.html
8. Setup và troubleshooting các dịch vụ của FortiGuard
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install-
basic/cb_install-fortiguard.html
9. Setup một account admin trên thiết bị Fortigate
Problem:
Bạn muốn add một account administrator mới quản trị Fortigate, account này có
quyền super admin và có thể truy cập vào mọi thuộc tính của Fortigate. Bạn cũng có
thể muốn xác định các administrator riêng biệt cho từng người dùng thay vì nhiều
người sử dụng dùng một account administrator là admin
22
lOMoARcPSD|36941780

Giải pháp:
Tạo một administrator mởi với profile là super_admin, và enable full quyền access tới
tất cả các thuộc tính của Fortigate
 Đi tới System > Admin > Adminitrators và chọn Create New để add
administrator sau:
 Chọn OK để save administrator
Chú ý: Tên và password của administrator phân biệt chữ hoa, chữ thường. Bạn không
thể sử dụng các ký tự < > ( ) # “ trong tên đó. Khoảng trắng được cho phép nhưng
không phải là ký tự đầu tiên và ký tự cuối cùng. Khoảng trắng trong tên và password
có thể gây confuse và nó sẽ yêu cấu phải dùng dấu quote (“”) để nhập tên trong CLI
23
lOMoARcPSD|36941780

Profile admin là profile mặc định của Fortigate được sử dụng cho account admin để
truy cập vào tất cả các thuộc tính của Fortigate, phụ thuộc vào các thuộc tính mà
người dùng có thể truy cập, bạn có thể định nghĩa ra các profile khác nhau, với mỗi
profile bạn định nghĩa ra các thuộc tính mà người dùng có thể truy cập
Kết quả:
Login vào Fortigate sử dụng account với username/password là
Terry_White/password. Với tài khoản này bạn có thể view và thay đổi tất cả các thuộc
tính của Fortigate
Đi tới Log & Report > Event Log để kiểm tra các sự kiện login của người dùng:
Chọn một entry trong log để xem thông tin chi tiết của user đã kết nối. Trường
Message chỉ ra rằng user Terry White đã login thành công từ địa chỉ 192.168.1.1
Đi tới System > Dashboard > Status và view widget System Information. Trường
Current Administrator chỉ ra số lượng administrator đã login
Chọn Detail để show ra các thông tin chi tiết:
24
lOMoARcPSD|36941780

B. Các cấu hình nâng cao
1. Kết nối một thiết bị Fortigate với 2 ISP cho mục đích redundant
2. Sử dụng một modem cho một kết nối redundant
3. Phân phối các session giữa 2 kết nối internet redundant với ECMP dựa trên
mức độ sử dụng
4. Bảo vệ một web server trong mạng DMZ
5. Bảo vệ một mail server với một thiết bị Fortigate mà không làm thay đổi
mạng (sử dụng mode transparent)
6. Sử dụng việc ghép cặp cổng để đơn giản hóa việc cài đặt mode transparent
C. Sử dụng các policy và firewall object để điều khiển traffic mạng
1. Giới hạn sự truy cập Internet của nhân viên
Problem:
Bạn muốn giới hạn việc truy cập Internet của nhân viên vào các website như YouTube
và Facebook trong khoảng thời gian từ 12 giờ trưa tới 2 giờ chiều
25
lOMoARcPSD|36941780

Giải pháp:
Tạo một lập lịch cho firewall (firewall schedule) cho phép truy cập vào YouTube và
Facebook trong khoảng thời gian từ 12h tới 2h. Tạo một policy mới, policy này sẽ bao
gồm lập lịch firewall mà bạn đã tạo trước đó. Policy này sẽ hoàn toàn độc lập với
policy cho phép browser tới Internet mà bạn đang sử dụng hiện tại
Để làm được các điều này thì các yêu cầu sau phải đảm bảo thỏa mãn:
 Người sử dụng có thể kết nối tới Fortigate để truy cập Internet
 Các policy cho phép các traffic tới và từ Internet. Để đơn giản hóa, ví dụ này sử
dụng một policy cho phép tất cả các truy cập tới và từ Internet
Các bước sau phải được thực hiện để hoàn thành yêu cầu trên:
 Tạo các thực thể địa chỉ firewall (firewall address entries) cho YouTube và
Facebook
 Tạo một lập lịch tuần hoàn (recurring schedule) cho phép truy cập các website
này
 Tạo một policy, policy này sẽ reference tới các trang web này và lập lịch
 Chắc chắn rằng policy này nằm ở top của danh sách policy
a. Tạo các đối tương address cho YouTube và Facebook
26
lOMoARcPSD|36941780

Đi tới Firewall Objects > Address > Address và chọn Create New và hoàn thành các
thông số sau:
 Chọn OK
 Làm tương tự với trang facebook:
b. Tạo lập lịch để giới hạn việc truy cập trong thời gian từ 12h tới 2h
 Đi tới Firewall Objects > Schedule > Recurring và chọn Create New và hoàn
thành các thông số sau:
 Chọn OK
27
lOMoARcPSD|36941780

c. Tạo policy
Tạo một policy mới, policy này sẽ sử dụng lập lịch mới. Trong ví dụ này, chúng ta sẽ
tạo ra một policy để block việc truy cập vào 2 website này trong thời gian lập lịch
 Đi tới Policy > Policy > Policy và chon Create New để add policy mới nhằm
cấm việc truy cập vào các website này trong thời gian từ 12h tới 2h
 Chọn OK
d. Sắp xếp lại vị trí của các policy
Trong ví dụ này, có 2 policy mới được add. Fortigate sẽ đọc các policy này theo chiều
từ cao xuống thấp. Khi có một điều kiện thỏa mãn nó sẽ dừng việc đọc policy tiếp
theo. Bạn sẽ phải chuyển vị trí của policy như sau:
Để di chuyển được như vậy, bạn làm như sau:
28
lOMoARcPSD|36941780

 Click chuột phải vào policy Lunch Access và chọn Move To
 Chọn Before và nhận số policy cho tất cả các policy access
 Chọn OK
 Lặp lại các bước trên cho policy Deny để move nó sau policy Lunch Access
Chú ý: Để chắc chắn rằng tất cả các session được tắt ở cuối của thời gian lập lịch, sử
dụng lệnh sau:
Kết quả:
Người dùng sẽ không thể truy cập vào các website YouTube và Facebook trong thời
gian lập lịch
2. Giới hạn việc truy cập Internet dựa trên địa chỉ IP
Problem:
Làm thế nào để giới hạn việc truy cập vào Internet dựa trên địa chỉ của user trong
mạng Internal
29
lOMoARcPSD|36941780

Giải pháp:
Xác định các group user dựa trên địa chỉ IP của họ và add các firewall address cho các
group này.
2 group user được xác định như sau:
 Nhóm người dùng kỹ thuật có địa chỉ IP nằm trong dải 10.10.20.100 đến
10.10.20.150 (engineering)
 Nhóm người dùng kinh doanh, marketing có địa chỉ IP năm trong dải
10.10.20.30. đến 10.10.20.50 (marketing)
Yêu cầu là: Làm thế nào để cho phép nhóm marketing có thể truy cập vào Internet
trong thời gian office (từ 8h am đến 6h pm) nhưng giới hạn khả năng truy cập của
nhóm kỹ thuật chỉ có thể truy cập tới mạng Internet trong khoảng thời gian từ 12h am
đến 2h pm
a. Tạo các firewall address cho mỗi group user
 Đi tới Firewall Objects > Address > Address và chọn Create New để add dải
địa chỉ cho nhóm engineering:
 Làm tương tự với nhóm marketing:
30
lOMoARcPSD|36941780

b. Tạo các lập lịch firewall
 Đi tới Firewall Objects > Schedule > Recurring và chọn Create New để add
một lập lịch mới cho engineering:
 Làm tương tự với nhóm marketing:
 Chọn OK
c. Tạo các policy
 Đi tới Policy > Policy > Policy và chọn Create New để tạo policy cho nhóm
marketing:
31
lOMoARcPSD|36941780

 Chọn Enable NAT và Use Destination Interface Address
 Làm tương tự với nhóm engineering
 Chọn OK
d. Sắp xếp lại vị trí của các policy
Di chuyển các policy engineering và marketing lên top của danh sách policy. Cách
làm tương tự như mục B1
Kết quả:
32
lOMoARcPSD|36941780

Phòng marketing có thể truy cập mạng internet ngay lập tức trong khi đó phòng
engineering không thể kết nối mạng cho tới thời điểm như trong lập lịch
3. Exclude các user khỏi UTM filtering
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Firewall/cb_fw_ex
clude-group.html
4. Kiểm tra rằng traffic được chấp nhận bởi một policy
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Firewall/cb_fw_ver
ifytraffic.html
5. Sắp xếp các policy theo thứ tự đúng
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Firewall/cb_fw_ord
eringpolicies.html
6. Cho phép các query DNS tới duy nhất một DNS server được approve
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Firewall/cb_fw_de
nyallowdns.html
7. Extending AirPlay and AirPrint communication through a FortiWiFi unit
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Firewall/cb_fw_air
play_airprint.html
8. Ensuring sufficient and consistent bandwidth for VoIP traffic
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Firewall/traffic_sha
ping_voip.html
9. Using geographic addresses
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Firewall/cb_fw_ge
oaddrschdl.html
33
lOMoARcPSD|36941780

10.Providing Internet access for your private network users (static source NAT)
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Firewall/cb-
firewall-snat.html
11. Providing Internet access for a private network with multiple Internet
addresses (dynamic source NAT)
firewall-snat1.html
12.Dynamic source NAT without changing the source port (one-to-one source
NAT)
firewall-snat2.html
13.Dynamic source NAT using the central NAT table
firewall-snat3.html
14.Allowing access to a web server on an internal network when you only have
one Internet IP address
firewall-dnat.html
15.Allowing Internet access to a web server on a protected network when you
only have one Internet IP address, using port translation
firewall-dnat1.html
16.Allowing Internet access to a web server on a protected network when you
have an IP address for the web server
34
lOMoARcPSD|36941780

firewall-dnat2.html
17.Configuring port forwarding to open ports on a FortiGate unit
Problem:
Bạn muốn cho phép các kết nối từ Internet tới một PC trong mạng internal để PC có
thể access một service Internet – yêu cầu mở các port. Service yêu cầu mở các port
TCP nằm trong dải 7882 tới 7999 cũng như là mở các port UDP đích là 2119 và 2995
Giải pháp:
Ví dụ này sẽ chỉ ra cách làm thế nào để cấu hình các firewall VIP để map các session
sau tới PC trong mạng internal:
 Các session TCP tới địa chỉ IP của wan1 với địa chỉ port đích nằm trong dải
7882 tới 7999
35
lOMoARcPSD|36941780

 Các session UDP tới địa chỉ IP của wan1 với địa chỉ port đích là 2119 và 2995
Giải pháp này liên quan tới việc tạo ra nhiều VIP để map các session từ địa chỉ IP của
wan1 tới địa chỉ IP của PC và add các VIP tới một group VIP và add group VIP đó tới
policy internal
 Đi tới Firewall Objects > Virtual IP > Virtual IP và chọn Create New để add
một virtual IP với mục đích để map các kết nối tới interface wan1 trên các port
từ 7882 đến 7999 tới server
 Chọn Port Forwarding và cấu hình như sau:
 Chọn OK để save VIP
 Làm tương tự với session UDP có port 2119 và port 2995
36
lOMoARcPSD|36941780

 Đi tới Firewall Objects > Virtual IP > VIP Group và chọn Create New để add
một VIP Group để include tất cả 3 VIP
37
lOMoARcPSD|36941780

 Add Server Port Range, First UDP Port VIP và Second UDP Port VIP tới danh
sách Members
 Đi tới Policy > Policy > Policy và chọn Create New để add một policy, policy
này sẽ accept group VIP mà chúng ta đã tạo ra trước đó
 Chọn OK để save policy
Chú ý: Nếu bạn chọn NAT thì địa chỉ nguồn sẽ được thay đổi tới địa chỉ của interface
internal. Thông thường, bạn sẽ không muốn thực hiện NAT nguồn vì điều này sẽ lảm
ẩn đi các địa chỉ nguồn thực sự của các session
Kết quả:
Tất cả các packet được accept bởi policy phải có một địa chỉ port đích được định
nghĩa trong VIP. VIP cũng translate địa chỉ IP đích là 172.20.120.14 thành
192.168.1.110 trước khi được forward tới mạng internal cho server. Các port đích, địa
chỉ IP nguồn và port nguồn không thay đổi
Để test cấu hình, bạn có thể thử các lệnh sau:
38
lOMoARcPSD|36941780

Hoặc các lệnh khác ứng với các port khác như sau:
Tương tự, check Policy Monitor để check các session hiện đang được xử lý như trong
các mục đã trình bày trước
firewall-dnat3.html
18.NAT địa chỉ đích động cho một dải địa chỉ IP
Problem:
Bạn muốn cho phép người sử dụng trên Internet có thể truy cập tới 3 web server trong
mạng internal của bạn. Bạn có 3 địa chỉ Internet cho web server (thuộc dải
172.20.120.100 - 103) và mỗi server có một địa chỉ IP trên mạng internal
(192.168.20.120 - 123)
Giải pháp:
39
lOMoARcPSD|36941780

Để cho phép các kết nối tới các web server, bạn phải cấu hình Fortigate để accept các
session HTTP với địa chỉ đích nằm trong dải 172.20.120.100 – 103 và translate địa
chỉ IP đích này thành 192.168.1.120 – 123 trước khi forward session này tới một web
server
Ngoài ra, port được sử dụng bởi mỗi web server accept các kết nối HTTP là port 80
chuẩn của HTTP. Nhưng bạn muốn các kết nối từ Internet tới các web server sử dụng
port 8000
 Đi tới Firewall Objects > Virtual IP > Virtual IP và chọn Create New để add
một virtual IP để map các địa chỉ IP internet của web server tới các địa chỉ IP
thực sự của nó trong mạng internal
 Chọn Port Forwarding và cấu hình như sau:
 Chọn OK để save VIP
 Đi tới Policy > Policy > Policy và chọn Create New để add một policy cho
phép người dùng trên mạng internet có thể truy cập vào web server
40
lOMoARcPSD|36941780

 Chọn OK để save policy
Chú ý: Nếu bạn chọn NAT thì địa chỉ nguồn sẽ được thay đổi tới địa chỉ của interface
internal. Thông thường, bạn sẽ không muốn thực hiện NAT nguồn vì điều này sẽ lảm
ẩn đi các địa chỉ nguồn thực sự của các session
Kết quả:
Các gói tin HTTP được accept bởi policy này có địa chỉ IP đích của chúng được
translate như sau:
 172.20.120.100 thành 192.168.1.120
 172.20.120.101 thành 192.168.1.121
 172.20.120.102 thành 192.168.1.122
 172.20.120.103 thành 192.168.1.123
Trong tất cả các trường hợp, địa chỉ port đích được translate từ 8080 thành 80. Địa chỉ
IP nguồn và địa chỉ port nguồn không thay đổi
Để test việc NAT đích bạn thực hiện browse tới các địa chỉ http://172.20.120.100 –
103:8000 từ mạng internet. Sử dụng các lệnh sau để thực hiện bắt các gói tin:
41
lOMoARcPSD|36941780

Trong kết quả đầu ra bạn sẽ nhận thấy như sau:
 Dòng đầu ra đầu tiên chỉ ra rằng một gói từ một thiết bị client với địa chỉ IP
172.20.120.12 được nhận bởi interface wan1 với địa chỉ đích là 172.20.120.100
với địa chỉ port đích là 8000
 Dòng thứ 2 chỉ ra rằng khi gói tin exit từ interface internal thì địa chỉ đích được
thay đổi tới 192.168.1.120 và địa chỉ port được thay đổi thành 80
 Dòng thứ 3 chỉ ra response từ web server
 Dòng thứ 4 chỉ ra response từ web server đang được trả về thiết bị client. Địa
chỉ nguồn được thay đổi lại thành 172.20.120.100 và địa chỉ port nguồn được
thay đổi lại thành 8000
 Các địa chỉ port nguồn ban đầu không thay đổi
Việc kiểm tra lại hoạt động của policy được thực hiện tương tự như các mục trước
firewall-dnat4.html
D. Profile UTM
E. SSL VPN
1. Setting up remote web browsing for internal sites through SSL VPN
Problem:
Bạn muốn cung cấp cho người dùng từ xa có thể truy cập vào các site internal của
công ty và các site external liên quan tới công ty (company-related external sites)
42
lOMoARcPSD|36941780

Giải pháp:
Việc sử dụng SSL VPN cho phép bạn có thể tạo ra một cổng hầm web (web portal) mà
thông qua nó người dùng từ xa có thể kết nối và view một list các đường dẫn cho các
server và website nội bộ
a. Tạo một firewall address for email server
Tạo một firewall address cho email server
 Để add địa chỉ của một email server, đi tới Firewall Objects > Address >
Address và chọn Create New và nhập vào địa chỉ của email server
43
lOMoARcPSD|36941780

 Chọn OK
b. Tạo portal web
Tạo portal SSL VPN và một bookmark cho email server để người dùng có thể kết nối
vào sau khi đã login
 Đi tới VPN > SSL > Config và với IP Pools chọn Edit và add twhite vào bảng
Selected
 Đi tới VPN > SSL > Portal và chọn Create New để tạo portal
 Chọn OK để đóng cửa số Edit Setting
 Trong portal web mặc định, xóa widget Bookmarks bằng cách chọn icon
Remove của nó (nhìn giống ký tự X)
 Trên Add Widget ở phía bên phải của portal mặc định, chọn Bookmarks
 Trong widget Bookmark mới chọn icon Edit (nhìn giống một cái bút chì)
 (Option) Edit Name và chắc chắn rằng Applications được thiết lập là
HTTP/HTTPS
 Chọn OK trong widget Bookmarks
 Trong widget Bookmarks chọn Add và tạo một bookmark để link trang web
của email server
44
lOMoARcPSD|36941780

 Chọn OK ở cuối của widget Bookmarks
 Chọn Apply ở đỉnh của trang portal web để save cấu hình
Chú ý:
Việc add và làm việc với các widget web portal có thể gây confuse và tạo ra các kết
quả không mong muốn. Chính vì vậy luôn luôn chọn Always ở đỉnh của trang web
portal sau khi thực hiện một sự thay đổi. Khi bạn đã hoàn thành tất cả các thay đổi,
navigate tới trang quản lý khác và quay lại trang web portal này để chắc chắn rằng các
sự thay đổi của bạn đã được lưu
c. Tạo một user SSL VPN và group user
Tạo user SSL VON và add user đó vào một group user cho việc sử dụng SSL VPN
 Đi tới User > User > User và chọn Create New để add user
 Đi tới User > User Group > User Group và chọn Create New để add twhite tới
group user SSL VPN
Chú ý: Chắc chắn rằng bạn chọn Allow SSL-VPN Access và bạn cũng lựa chọn SSL
VPN web portal để các thành viên của group user này có thể connect tới. Nếu không
connect được, nhóm user Sales sẽ không xuất hiện trong danh sách group khi cấu hình
policy authen cho SSL VPN
 Di chuyển twhite tới dnah sách Members
 Chọn OK
d. Tạo một policy SSL VPN
45
lOMoARcPSD|36941780

 Đi tới Policy > Policy > Policy và chọn Create New để add policy SSL VPN
 Chọn Configure SSL-VPN Users và chọn Add để add một quy tắc authen
(authentication rule) cho người dùng SSL VPN remote từ xa
Chú ý: Nếu nhóm người dùng Sales không xuất hiện trong danh sách User Group thì
hãy chắc chắn rằng bạn đã chọn SSL VPN Access khi tạo group user. Nếu tùy chọn đó
không được lựa chọn thì nhóm người dùng Sales sẽ không xuất hiện trong danh sách
group khi cấu hình policy authen
 Chọn OK
Kết quả:
Để kiểm tra setup đã work, thực hiện như sau:
 Từ internet, browse tới website https://172.20.120.136:10443/remote/login
 Login vào web portal:
Sau khi login, portal SSL VPN xuất hiện như sau:
46
lOMoARcPSD|36941780

 Chọn link Email trong widget Bookmarks
Portal launch một cứa số mới hiển thị website của email server
 Đi từ VPN > Monitor > SSL-VPN Monitor để view danh sách các user đã kết
nối sử dụng SSL-VPN
 Check Policy > Monitor > Session Monitor để check thông tin của policy đã
cấu hình:
Chú ý: Bạn cũng có thể sử dụng lệnh sau:
Debug application sslvpn -1
Để debug thông tin liên quan tới việc login của user thông qua SSL VPN
http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/SSL-
VPN/ssl_internet_browsing.html
2. Using SSL VPN to provide protected Internet access for remote users
Problem:
Bạn muốn cung cấp
VPN/ssl_browsing.html
47
lOMoARcPSD|36941780

3. SSL VPN split tunneling: Using SSL VPN to provide protected Internet
access and access to head office servers for remote users
VPN/ssl_tunnel_mode.html
4. Verifying that SSL VPN users have the most recent AV software before they
can log into the SSL VPN
VPN/SSL_user_correct_software.html
F. IPSec VPN
G. Authentication
H. Mạng WiFi
I. Logging và Reporting
48
lOMoARcPSD|36941780

�ݺ�ߣ

cai-dat-va-cau-hinh-firewall-fortigate-compress.pdf

Recommended

More Related Content

Similar to cai-dat-va-cau-hinh-firewall-fortigate-compress.pdf (20)

cai-dat-va-cau-hinh-firewall-fortigate-compress.pdf