Hướng dẫn cấu hình fortigate 100e
Show
Fortinet là thương hiệu bảo mật và giải pháp an ninh mạng hàng đầu trên thế giới với dòng sản phẩm nổi bật Firewall Fortinet. Fortinet đáp ứng được những nhu cầu về khả năng cao những giải pháp bảo mật mạng lưới giúp bạn bảo vệ hệ thống, dữ liệu người dùng từ những mối hiểm họa tấn công an ninh mạng. Với Fortinet sẽ giúp các doanh nghiệp cũng cố khả năng phòng thủ và bảo mật trong hệ thống, tiếp nhận các công nghệ mới và theo đuổi những cơ hội kinh doanh mới mà vẫn an tâm về bảo mật thông tin cho hệ thống. Hệ thống quản lý mạng lưới linh hoat cho phép triễn khai dễ dàng cho các doanh nghiệp từ lớn tới nhỏ. Dưới đây là bài viết Hướng dẫn cấu hình Firewall Fortinet 2018 dành cho bạn khi sử dụng sản phẩm này. 1. Sơ đồ mạng và cấu hình vùng WAN, LANMô hình 1. Cấu hình vùng WAN: 2. Cấu hình 1 Static route để cho hệ thống mạng bên trong ra được Internet. + Vào Router >> Static Route >> Creat New 3. Cấu hình vùng LAN ra intenet. + Vùng LAN của hệ thống gắn vào port 4 của Fortigate. + Từ port 4 của FG nối với 1 Core Switch để chia nhiều VLAN cho mạng LAN. + Vào System >> Network >> Interface >> chọn port 4 và chọn Edit. + Chọn HTTPS và bỏ chek trong phân Ping nếu không muốn từ ngoài 4. Tạo 1 Policy để cho mạng Lan ra Internet. Vào Firewall >> Policy >> Creat New. + Source Interface/Zone: Chọn port4. + Source Addess: chọn All. + Destination Interface/Zone: chọn port9 + Destination Address: chọn All + Service: Any + Action: Accept + Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet. + Check vào Protect Profile và chọn Scan để Scan Virut, AntiSpam, và lọc Webfilter… + Bấm ok. 5. Cấu hình cho phép từ Internet vào vùng LAN thông qua 1 số dịch vụ như là FTP. Vào Firewall >> Policy >> Creat New. + Source Interface/Zone: Chọn port9. + Source Addess: chọn All. + Destination Interface/Zone: chọn port4 + Destination Address: chọn All + Service: FTP… + Action: Accept Cách mở các dịch vụ khác tương tự(chú ý port tương ứng với dịch vụ cần mở) 2: Cách tạo VLAN và cấu hình vùng DMZ trên Firewall Fortinet1.Tạo VLAN Tạo vùng VLAN2 2. Định nghĩa DMZ. Đặt IP cho port 8.. 3.1 Cấu hình 1 Policy cho vùng DMZ ra internet. 3.2 Cấu hình từ ngoài Internet vào vùng DMZ. 3.4 Cấu hình vùng DMZ qua vùng LAN. Như vậy đến đây ta đã hoàn thành các bước căn bản để cho Fortigate hoạt động. Trong phần viết sau tôi sẽ trình bày các vấn đề sâu hơn về các tính năng của Fortigate như: VPN, Antivirus, Antispam, Webfilter,…các bạn chú ý đón đọc nhé. 3: CẤU HÌNH VPN CLIENT TO GATEWAYHệ thống mạng trong công ty các máy tính được kết nối local mà ta vẫn thường gợi là mạng LAN. Khi ra ngoài khỏi công ty(về nhà, đi công tác, hoặc café chẳng hạn…) để lấy được dữ liệu lưu trữ và chia sẽ trong công ty, thì chúng ta sẽ sử dụng tính năng tích hợp trong Firewall Fortinet, tính năng này gọi là VPN(Virtual Private Network) để kết nối vào mạng LAN. 2. Tiếp theo vào User >> local >> Creat new và nhập thông tin như sau: 3. Tạo user group và add user spt vào Group. 4. Tiếp theo tạo Range IP cho VPN 5. Tạo policy cho phép VPN client connect vào Firewall. Như vậy là ta đã hoàn thành việc cấu hình VPN Client bằng giao thức PPTP trên con Fortigate. + Điền các thông tin user và pass tương ứng đã tạo ở trên + Nhấn Connect để kết nối VPN Như vậy là ta đã thực hiện xong cấu hình VPN Client to Gateway bằng giao thức PPTP. Sau đây tôi sẽ trình bày sơ lược cấu hình VPN-SSL II. Cấu hình VPN-SSL 1. Tạo VPN server + Vào VPN >> Chọn SSL >> Enable SSL-VPN >> Chọn IP Pool 2. Tao Web Portal(giao diện cho Client khi kết nối VPN vào Gateway) 3. Tạo user cho VPN-SSL: ta có thể tạo user local trực tiếp trên Firewall hoặc dùng user trong Server AD thông qua các giao thức RADIUS. + Tạo user local 4. User là các client trong hệ thống AD, ta phải cấu hình RADIUS chứng thực VPN-SSL + Vào mục User >> Remote >> Radius + Điền các thông tin về server RADIUS như hình. 5. Cấu hình User Group + Name: đặt tên cho user group + Type: SSL VPN + Portal: Chọn kiểu portal đã tạo ở trên + Users/Groups: Add users cần đưa vào nhóm 6. Tạo policy cho phép VPN-SSL client kết nối vào Firewall Đến đây chúng ta đã hoàn tất cấu hình VPN-SSL. 7. Để truy cập VPN-SSL ta thực hiện như sau + Mở một trình duyệt bất kỳ(IE, Firefox, Chrome). + Vào phần Address đánh vào IP mặt ngoài kết nối đến Firewall (221.133.3.94) và port mặc định (port:10443) như sau: https://221.133.3.94:10443 + Gõ vào username và password tương ứng + Nếu thành công sẽ hiện ra Webportal Giờ ở bất kỳ đâu(miễn là có Internet) ta có thể truy cập các ứng dụng trong mạng LAN mà không cần tới công ty(dĩ nhiên muốn truy xuất đến đâu ta phải phân quyền và tạo policy cho user hoặc nhóm user nào đó).
4. CẤU HÌNH VPN GATEWAY TO GATEWAY TRÊN FIREWALL FORTIGATE Để hai hay nhiều chi nhánh của công ty cách xa nhau về mặt địa lý mà có thể trao đổi dữ liệu được với nhau giống như 1 mạng LAN thì chúng ta phải có đường thuê kênh riêng(chẳng hạn Office Wan, Metronet,…). Với những công ty vừa và nhỏ, việc thuê kênh riêng đôi khi vượt quá ngân sách. Để giải quyết vấn đề trên ta có thể cấu hình VPN giữa các vùng với nhau (VPN Site-to-Site). Đối với thiết bị Fortigate thì chúng ta sử dụng giao thức VPN_IPSEC để làm việc này. Để làm việc này chúng ta cần các điều kiện như sau: Vào VPN >> IPSEC >> Auto key >> Creat Phase2 3. Xác định chính sách tường lửa trên FG 200B | FG-200B-BDL 3.2. Xác định IP address của network sau FG 60C | FG-60C-BDL. 4. Xác định Firewall policy cho 2 VPN làm việc với nhau: II. Cấu hình VPN Site chi nhánh Chúng ta chú ý đến tab status: nếu trạng thái mũi tên chỉ xuống màu đỏ thì 2 VPN này chưa thông với nhau, nếu mũi tên chỉ lên và màu xanh thì 2 VPN này đã hoạt động tốt.
I. ĐĂNG KÝ LICENSE FIREWALL FORTIGATE | FIREWALL FORTINET Đăng ký mới Account : Vào Register/Renew Chọn Sign Up Điền đầy đủ thông tin theo yêu cầu nhấn next và làm theo chỉ dẫn. Sau đó vào phần Support Login vào hệ thống. Trường hợp bạn đã có tài khoản nhưng quên password, có thể phục hồi password theo cách sau: Đăng ký: Vào Asset Management >> Register/Renew và làm theo chỉ dẫn để bắt đầu đăng ký Khi đăng ký xong vào System >> Maintenance >> FortiGuardCenter . Ta có thể chỉnh các tham số cần thiết. II. CẤU HÌNH ANTIVIRUT FIREWALL FORTIGATE | FIREWALL FORTINET Fortigate | Fortinet đã định nghĩa sẵn 1 số chương trình, ở đây chúng ta muốn cấm hay không thì chỉ cẩn check vào trong phần Enable. Muốn thêm 1 đối tượng mới vào thì ta làm như sau: Tiếp theo ta vào Firewall >> Protection Profile >> Scan >> Edit. III. CẤU HÌNH WEB FILTER FIREWALL FORTIGATE | FIREWALL FORTINET Tiếp theo ta chọn Creat new. Sau đó vào Firewall >> Protection Profile >> Scan >> Edit >> Web Filtering IV. CẤU HÌNH ANTISPAM FIREWALL FORTIGATE | FIREWALL FORTINET Click vào biểu tượng để Edit nội dung bên trong của Banned Word list Sau đó nhấn Create để thêm vào list các Banned Word 2. Antispam Black/White list. Click vào biểu tượng để Edit nội dung của IP address list Click Create New để thêm vào IP address: với thuộc tính Action: Mark as Spam, hay Mark as Clear, hay Mark as Reject – Antispam Email Address list Click vào biểu tượng để Edit nội dung của Email address list Mỗi Spam Filtering Option sẽ ứng với một Protection Profile. Để được tư vấn hoặc hướng dẫn cấu hình firewall fortigate, hãy liên hệ với chúng tôi Email: admin 21/02/2018 |