Hướng Dẫn Cấu Hình Firewall Fortigate 60
15
Hướng Dẫn Cấu Hình Firewall Fortigate 60 I. Giới thiệu về bài viết Có thể trong chúng ta có nhiều bạn đã cấu hình và làm việc với các dòng UTM như Astaro, SonicWall, Cisco, Juniper, Fortinet, Cyberoam ... rất nhiều, và tài liệu của nhà sản xuất cũng đầy đủ, nhưng trong chúng ta vẫn còn nhiều các bạn chưa có điều kiện hoặc chưa có dịp làm việc với các dòng UTM này, do vậy CMT cũng chỉ muốn cụ thể một quá trình cấu hình và quản lí thiết bị này cho những bạn mới chưa có dịp làm việc tham khảo cũng như có điều kiện để trao đổi. Bài viết này giúp các bạn chưa có điều kiện làm việc với các dòng UTM hiểu rỏ và nắm được các vấn đề cơ bản nhất, hiện nay đa số các doanh nghiệp nhỏ tại VN không hề có 1 firewall để bảo vệ hệ thống mà họ dựa vào các tính năng hiện có của các dòng router adsl có sẳn, hoặc cũng không hề quan tâm đến bảo mật hệ thống. Để có 1 con firewall chuyên nghiệp như của Fortigate nếu phải mua mới thì có lẽ ngoài khả năng nhiều doanh nghiệp nhỏ, nhưng nếu bạn nghĩ đến 1 con đã qua sử dụng thì CMT e rằng cũng không quá sức của các công ty. Bài này CMT sẽ cấu hình Fortigate 60, và bài sau CMT sẽ cấu hình Fortigate 224B và có thể là 400A ... Hi vọng là các bạn đóng góp thêm những ý kiến khác nhau cho các dòng UTM Thanks bạn Hoàng đã giúp tạo điều kiện thiết bị để CMT có thể viết bài này. Giới thiệu về Fortigate 60 FortiGate™ Antivirus Firewall được thiết kế sử dụng chip chuyên dụng dành cho bảo vệ và bảo mật, vì vậy nó bảo vệ hệ thống mạng
-
Upload
tran-phuong-thien -
Category
Documents
-
view
858 -
download
11
Transcript of Hướng Dẫn Cấu Hình Firewall Fortigate 60
Hướng Dẫn Cấu Hình Firewall Fortigate 60
I. Giới thiệu về bài viết
Có thể trong chúng ta có nhiều bạn đã cấu hình và làm việc với các dòng UTM như Astaro, SonicWall, Cisco, Juniper, Fortinet, Cyberoam ... rất nhiều, và tài liệu của nhà sản xuất cũng đầy đủ, nhưng trong chúng ta vẫn còn nhiều các bạn chưa có điều kiện hoặc chưa có dịp làm việc với các dòng UTM này, do vậy CMT cũng chỉ muốn cụ thể một quá trình cấu hình và quản lí thiết bị này cho những bạn mới chưa có dịp làm việc tham khảo cũng như có điều kiện để trao đổi.
Bài viết này giúp các bạn chưa có điều kiện làm việc với các dòng UTM hiểu rỏ và nắm được các vấn đề cơ bản nhất, hiện nay đa số các doanh nghiệp nhỏ tại VN không hề có 1 firewall để bảo vệ hệ thống mà họ dựa vào các tính năng hiện có của các dòng router adsl có sẳn, hoặc cũng không hề quan tâm đến bảo mật hệ thống.
Để có 1 con firewall chuyên nghiệp như của Fortigate nếu phải mua mới thì có lẽ ngoài khả năng nhiều doanh nghiệp nhỏ, nhưng nếu bạn nghĩ đến 1 con đã qua sử dụng thì CMT e rằng cũng không quá sức của các công ty.
Bài này CMT sẽ cấu hình Fortigate 60, và bài sau CMT sẽ cấu hình Fortigate 224B và có thể là 400A ...
Hi vọng là các bạn đóng góp thêm những ý kiến khác nhau cho các dòng UTM
Thanks bạn Hoàng đã giúp tạo điều kiện thiết bị để CMT có thể viết bài này.
Giới thiệu về Fortigate 60
FortiGate™ Antivirus Firewall được thiết kế sử dụng chip chuyên dụng dành cho bảo vệ và bảo mật, vì vậy nó bảo vệ hệ thống mạng thời gian thực tại các cổng kết nối. Dựa trên chip xử lý chuyên dụng FortiASIC™, Fortigate là hệ thống độc đáo phát hiện, diệt virus và các nội dung độc hại khác mà không làm giảm tốc độ mạng, ví dụ như không làm giảm tốc độ truy xuất web. FortiGate tích hợp luôn các chức năng firewall, lọc nội dung thông tin, VPN, phòng ngừa và chống truy cập trái phép, nó tạo ra một hệ thống chi phí hợp lý, thuận tiện trong sử dụng và bảo vệ vững chắc hệ thống mạng.
FortiGate™ 60 Antivirus Firewall được thiết kế chuyên biệt cho các mạng cỡ nhỏ, nó có hai kết nối ra ngoài Internet nhằm đảm bảo cho hệ thống hoạt động bình thường khi một kết nối bị trục trặc, ngoài ra nó còn có sẵn một switch 4 cổng dành cho các máy tính trong mạng nội bộ, hai cổng USB được sử dụng trong tương lai dành cho các modem tương tự hay các thiết bị khác. FortiGate™ 60 đặc biệt phù hợp cho các hệ thống mạng nhỏ như các công ty nhỏ, các chi nhánh công ty. Mẫu virus và tấn công được cập nhật tự động thông qua FortiResponse
II. Các bước cấu hình Fortigate
Mặc định của FortiGate là :
Các địa chỉ IP mặc định của các cổng giao tiếp là :
Internal : 192.168.1.99/24
WAN1 : 192.168.100.99/24
WAN2 : 192.168.101.99/24
DMZ : 10.10.10.1/24
Bài Lab của chúng ta sẽ theo sơ đồ thế này.
II.1. Fortigate Status Monitor
- Cắm cable vào Internal port cấu hình ip của network cùng với lớp mạng của Internal là 192.168.1.0/24
- truy cập firewall thông qua giao diện web (http, https) với
username : admin
password : để trống
Sau khi logon vào thiết bị màn hình giao diện web của Status thiết bị cho bạn thấy được tình trạng, cũng như thông tin thông số hoạt động của thiết bị.
và bạn có thể thay đổi hay cập nhật các thông số của thiết bị từ màn hình status này mà không cần phải vào đến menu chi tiết bên trong một cách nhanh chóng.
System Information : sẽ cho bạn biết thông tin về thiết bị như SN, thời gian hoạt động liên tục, cấu hình HA, version của os thiết bị, Mode của thiết bị, và đang có bao nhiêu Admin logon trên thiết bị ...
License Information : sẽ cho bạn biết tình trạng các bản quyền dịch vụ hiện có trên thiết bị.
System Resources : cho biết phần trăm cpu và memory của thiết bị đã được sử dụng
Statistics : cho bạn biết các sections cũng như sử dụng các dịch vụ, và quan trọng nhất là tình trạng tấn công từ bên ngoài vào hệ thống.
CLI Console : giúp bạn kết nối đến giao diện điều khiển dòng lệnh thiết bị một cách nhanh chóng ngay trên giao diện web status.
Unit Operation : cho biết tình trạng của các port interface của thiết bị, và bạn có thể khởi động lại hoặc tắt thiết bị từ giao diện web này.
Asterisk đem đến cho người sử dụng các tính năng và ứng dụng của hệ thống tổng đài PBX và cung cấp nhiều tính năng mà tổng đài PBX không có, như sự kết hợp giữa chuyển mạch VOIP và chuyển mạch TDM, đó là khả năng mở rộng đáp ứng nhu cầu cho từng ứng dụng…
II.1. Cấu hình Network Interface
Menu System -> Network -> để cấu hình các Interface của FG60
Internal : interface kết nối đến mạng nội bộ bên trong.
click vào biểu tượng edit của internal để thay đổi các tham số cấu hình cho internal
Alias: bạn có thể đặt tên để mô tả thêm cho interface này.
Addressing mode: chọn DHCP để nhận ip động được cấp bởi dhcp của hệ thống, chọn Manual để thiết lập IP tĩnh cho interface internal với IP/netmask .
administrative access: cho phép access tới interface này nếu bạn đánh dấu chọn dịch vụ.
II.2. Cấu hình DHCP
Chọn System -> DHCP -> Service trên giao diện web control của để cấu hình DHCP cho các interface.
Có những nút lệnh quen thuộc trên giao diện web của Fortigate mà chúng ta thường gặp
- Chọn interface muốn tạo dhcp Internal -> chọn Add button để tạo DHCP mới cấp phát cho internal network.
- Name : đặt tên cho DHCP Server
- Enable : chọn để actived dhcp
- IP Range : dãy ip được cấp phát bởi dhcp server này
- Default gateway : ip của gateway
- DNS : ip của dns server
Thẻ Address lease cho biết những ip đang được cấp phát.
II.3. Cấu hình High Availability , SNMP, Operation Mode ...
System -> Configure để cấu hình các dịch vụ này
cấu hình High Availability cho 2 cổng WAN của fortigate cần chọn Enable cho interface wan và set Priority cho mỗi WAN, line wan nào có Priority cao (số thấp) sẽ được ưu tiên sử dụng, nếu line wan này lỗi thì hệ thống mới chôn line wan có chỉ số ưu tiên thấp.
- cả 2 line sẽ được chọn sử dụng trong trường hợp 2 line có priority bằng nhau.
cấu hình SNMP
- bạn có thể cấu hình snmp v1 hoặc v2 để hệ thống giám sát mạng của bạn theo dõi các hoạt động của firewall.
Cấu hình Operation Mode NAT
II.4. Cấu hình Static Router
Cấu hình Default route ra inter net
II.5. Cấu hình các địa chỉ và vùng địa chỉ
II.6. Cấu hình các dịch vụ
II.7. Cấu hình các Protection profile
II.8. Cấu hình các Policy
II.9. Cấu hình Virtual IP
II.10. Cấu hình chứng thực User/Group
II.11. Cấu hình VPN
II.12. Cấu hình dịch vụ AntiVirus
II.13. Cấu hình dịch vụ AntiSpam
II.14. Cấu hình dịch vụ IPS
II.15. Cấu hình dịch vụ Web filter
II.16. Cấu hình ghi log
II.17. Backup và Restor cấu hình
