Fortinet là thương hiệu bảo mật và giải pháp an ninh mạng hàng đầu trên thế giới với dòng sản phẩm nổi bật Firewall Fortinet. Fortinet đáp ứng được những nhu cầu về khả năng cao những giải pháp bảo mật mạng lưới giúp bạn bảo vệ hệ thống, dữ liệu người dùng từ những mối hiểm họa tấn công an ninh mạng. Với Fortinet sẽ giúp các doanh nghiệp cũng cố khả năng phòng thủ và bảo mật trong hệ thống, tiếp nhận các công nghệ mới và theo đuổi những cơ hội kinh doanh mới mà vẫn an tâm về bảo mật thông tin cho hệ thống. Hệ thống quản lý mạng lưới linh hoat cho phép triễn khai dễ dàng cho các doanh nghiệp từ lớn tới nhỏ. Dưới đây là bài viết Hướng dẫn cấu hình Firewall Fortinet 2018 dành cho bạn khi sử dụng sản phẩm này. Xem các sản phẩm Fortinet Việt Nam chính hãng Dưới đây là giả định thực hiện trên Fortinet 310B. Tuy nhiên về nguyên lý cấu hình cho các dòng Firewall Fortinet hoàn toàn tương tự.
1. Sơ đồ mạng và cấu hình vùng WAN, LAN
Mô hình 
1. Cấu hình vùng WAN: + Vùng WAN gắn vào 1 port của Fortigate giả sử là port 9 với IP là 221.133.3.94 + Vào System >> Network >> Interface >> chọn port 9 và chọn Edit. + Trong phần Alias: đặt tên tương ứng cho port. + IP/Netmask: nhập IP Addess cho port 9 như hình. + Chọn HTTPS và bỏ chek trong phân Ping nếu không muốn từ ngoài Internet ping vào.
2. Cấu hình 1 Static route để cho hệ thống mạng bên trong ra được Internet. + Vào Router >> Static Route >> Creat New 3. Cấu hình vùng LAN ra intenet. + Vùng LAN của hệ thống gắn vào port 4 của Fortigate. + Từ port 4 của FG nối với 1 Core Switch để chia nhiều VLAN cho mạng LAN. + Vào System >> Network >> Interface >> chọn port 4 và chọn Edit. + Chọn HTTPS và bỏ chek trong phân Ping nếu không muốn từ ngoài 4. Tạo 1 Policy để cho mạng Lan ra Internet. Vào Firewall >> Policy >> Creat New. + Source Interface/Zone: Chọn port4. + Source Addess: chọn All. + Destination Interface/Zone: chọn port9 + Destination Address: chọn All + Service: Any + Action: Accept + Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet. + Check vào Protect Profile và chọn Scan để Scan Virut, AntiSpam, và lọc Webfilter… + Bấm ok. 5. Cấu hình cho phép từ Internet vào vùng LAN thông qua 1 số dịch vụ như là FTP. Vào Firewall >> Policy >> Creat New. + Source Interface/Zone: Chọn port9. + Source Addess: chọn All. + Destination Interface/Zone: chọn port4 + Destination Address: chọn All + Service: FTP… + Action: Accept Cách mở các dịch vụ khác tương tự(chú ý port tương ứng với dịch vụ cần mở)
2: Cách tạo VLAN và cấu hình vùng DMZ trên Firewall Fortinet
1.Tạo VLAN Tạo Vlan mà một trong những công việc mà 1 IT thường phải thực hiện. Việc tạo VLAN cho phép người quản trị dễ dàng quản lý các bộ phận phòng ban trong công ty qua đó thiết lập chính sách bảo mật(policy) cho từng bộ phận một cách nhất quán rõ ràng, bảo mật hệ thống thông tin của toàn hệ thống. Ở bài viết này tôi chỉ giả định tạo ra 2 VLAN, việc tạo ra bao nhiêu VLAN la tuỳ thuộc vào nhu cầu hệ thống của bạn, việc thực hiện là hoàn toàn tương tự. Tạo ra 2 vùng địa chỉ với 2 dãy IP như sau: + Vùng IP thứ nhất đặt tên là VLAN 1( Ví dụ: 192.168.111.0/24) + Vùng IP thứ hai đặt tên là VLAN 2 (ví dụ: 192.168.112.0/24) Vào Firewall >> Address >> Creat New. Tạo vùng VLAN1
Tạo vùng VLAN2
2. Định nghĩa DMZ. Vùng DMZ (Demilitarized Zone – vùng phi quân sự) trong thuật ngữ công nghệ, DMZ được hiểu là một mạng tách biệt với mạng nội bộ(internal) . Các server như Web, Mail, FTP, VoIP… là các dịch vụ tổ chức mong muốn người dùng có thể truy cập và sử dụng thông qua các mạng ngoài như Internet được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích nội bộ như DNS, DHCP, File/Print… vẫn được đặt trong vùng internal. 3. Cấu hình vùng DMZ. Đầu tiên ta tạo 1 vùng địa chỉ cho vùng DMZ, ta làm như sau: Vào Firewall >> Address >> Creat New. Nhập thông tin như sau:
Đặt IP cho port 8.. Vào System >> Network >> Interface >> chọn port 8 và chọn Edit. + Trong phần Alias: đặt tên tương ứng cho port. + IP/Netmask: nhập IP Addess cho port 8 như hình. + Chọn HTTPS
3.1 Cấu hình 1 Policy cho vùng DMZ ra internet. Vào Firewall >> Policy >> Creat New. + Source Interface/Zone: Chọn port8. + Source Addess: chọn All. + Destination Interface/Zone: chọn port9 + Destination Address: chọn All + Service: Any + Action: Accept + Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet. + Check vào Protect Profile và chọn Scan để Scan Virut, AntiSpam, và lọc Webfilter… + Bấm ok.
3.2 Cấu hình từ ngoài Internet vào vùng DMZ. Để từ ngoài internet có thể vào vùng DMZ thì chúng ta phải tạo 1 policy từ ngoài internet vào vùng DMZ thông qua 1 số dịch vụ như FTP, DNS, Web… 3.3 Cấu hình Vùng LAN qua vùng DMZ. Để các máy trong mạng LAN truy cập qua vùng DMZ thì chúng ta cũng phải tạo Policy cho chúng. Vào Firewall >> Policy >> Creat New. + Source Interface/Zone: Chọn port4 + Source Addess: chọn All + Destination Interface/Zone: chọn port8 + Destination Address: chọn DMZ + Service: Any + Action: Accept + Bấm ok.
3.4 Cấu hình vùng DMZ qua vùng LAN. Vào Firewall >> Policy >> Creat New. + Source Interface/Zone: Chọn port8 + Source Addess: chọn DMZ + Destination Interface/Zone: chọn port4 + Destination Address: chọn ALL + Service: Any + Action: Accept + Bấm ok.
Như vậy đến đây ta đã hoàn thành các bước căn bản để cho Fortigate hoạt động. Trong phần viết sau tôi sẽ trình bày các vấn đề sâu hơn về các tính năng của Fortigate như: VPN, Antivirus, Antispam, Webfilter,…các bạn chú ý đón đọc nhé.
3: CẤU HÌNH VPN CLIENT TO GATEWAY
Hệ thống mạng trong công ty các máy tính được kết nối local mà ta vẫn thường gợi là mạng LAN. Khi ra ngoài khỏi công ty(về nhà, đi công tác, hoặc café chẳng hạn…) để lấy được dữ liệu lưu trữ và chia sẽ trong công ty, thì chúng ta sẽ sử dụng tính năng tích hợp trong Firewall Fortinet, tính năng này gọi là VPN(Virtual Private Network) để kết nối vào mạng LAN. Để làm được việc này chúng ta cần có các điều kiện như sau: + 1 thiết bị làm VPN server và cấu hình chức năng VPN + Các máy client muốn kết nối đến VPN server phải kết nối internet và phải tạo 1 connection client(PPTP hoặc SSL). Trong bài viết này tôi giới thiệu 2 kiểu kết nối phổ biến và thông dụng: PPTP(Point to Point Tunnel Protocol) đây là kiểu kết nối VPN củ khá phổ biến và VPN-SSL đây là kiểu VPN bảo mật tốt linh động(chỉ cần PC có trình duyệt internet) và phổ biến nhất hiện nay. I. VPN Client to Gateway bằng giao thức PPTP 1. Đầu tiên ta phải tạo VPN server trên con Fortigate theo các bước như sau: + Vào VPN >> PPTP >> và Enable PPTP lên. + Nhập dãy địa chỉ IP cho Client khi connect vào + User Group: chọn user group . + Nhấn Apply.
2. Tiếp theo vào User >> local >> Creat new và nhập thông tin như sau:
3. Tạo user group và add user spt vào Group. + Vào user >> user Group >> Creat New. + Nhập tên VPN_CLIENT_TO_SITE trong NAME + Chọn user spt và nhấn mũi tên qua phải. + Nhấn ok.
4. Tiếp theo tạo Range IP cho VPN + Vào Firewall >> Address >> Creat new. + Address name: nhập tên cho vùng địa chỉ + Type: chọn Subnet/range + Subnet/IP Range: nhập 192.168.150.0 – 255.255.255.0 + Interface: Any. + Nhấn OK.
5. Tạo policy cho phép VPN client connect vào Firewall. + Vào Firewall >> Policy >> Creat New. + Các thông số như hình
Như vậy là ta đã hoàn thành việc cấu hình VPN Client bằng giao thức PPTP trên con Fortigate. Bước tiếp theo là chúng ta sẽ tạo sự kết nối từ các máy client để truy cập vào bên trong hệ thống của mạng. 6. Tạo VPN Client trên Windows (bài viết thực hiện trên Windows XP, các HĐH Windows sau này các bạn có thể thực hiện tương tự) + Vào Start >> Settings >> Network Connections >> New connections Wizard + Nhấn Next. + Chọn Connect to the netword at my workplace + Nhấn Next. + Chọn Virtual Private Network Connection >> Next + Đặt tên cho kết nối >> Next Điền IP tĩnh mặt ngoài của Fortigate và nhấn Next >> nhấn Next. + Check vào Add a shortcut to ths connection to my destop + Nhấn Finish + Để kết nối ta mở giao diện kết nối lên và nhập như sau: + Điền các thông tin user và pass tương ứng đã tạo ở trên + Nhấn Connect để kết nối VPN Như vậy là ta đã thực hiện xong cấu hình VPN Client to Gateway bằng giao thức PPTP. Sau đây tôi sẽ trình bày sơ lược cấu hình VPN-SSL II. Cấu hình VPN-SSL 1. Tạo VPN server + Vào VPN >> Chọn SSL >> Enable SSL-VPN >> Chọn IP Pool 2. Tao Web Portal(giao diện cho Client khi kết nối VPN vào Gateway) 3. Tạo user cho VPN-SSL: ta có thể tạo user local trực tiếp trên Firewall hoặc dùng user trong Server AD thông qua các giao thức RADIUS. + Tạo user local 4. User là các client trong hệ thống AD, ta phải cấu hình RADIUS chứng thực VPN-SSL + Vào mục User >> Remote >> Radius + Điền các thông tin về server RADIUS như hình. 5. Cấu hình User Group + Name: đặt tên cho user group + Type: SSL VPN + Portal: Chọn kiểu portal đã tạo ở trên + Users/Groups: Add users cần đưa vào nhóm 6. Tạo policy cho phép VPN-SSL client kết nối vào Firewall Đến đây chúng ta đã hoàn tất cấu hình VPN-SSL. 7. Để truy cập VPN-SSL ta thực hiện như sau + Mở một trình duyệt bất kỳ(IE, Firefox, Chrome). + Vào phần Address đánh vào IP mặt ngoài kết nối đến Firewall (221.133.3.94) và port mặc định (port:10443) như sau: https://221.133.3.94:10443 + Gõ vào username và password tương ứng + Nếu thành công sẽ hiện ra Webportal Giờ ở bất kỳ đâu(miễn là có Internet) ta có thể truy cập các ứng dụng trong mạng LAN mà không cần tới công ty(dĩ nhiên muốn truy xuất đến đâu ta phải phân quyền và tạo policy cho user hoặc nhóm user nào đó).
admin
