Tổng Quan Về Fortigate Firewall

8/13/2019 Tổng Quan Về Fortigate Firewall

1/21

Tổng Quan Về Fortigate FirewallTác giả: Nguyễn Quốc Hân

Tổng quan về Fortigate AntiViru Firewall

Fortigate AntiVirus Firewall(FGA) là thiết bị security có khả năng kiể so!t tra""ic c#a

network $ nhi%u &c ' kh!c nhau

*+&c A,,lication ser-ices nh. ch/ng -irus -à l0c ni 1ung

*+&c 2etwork ser-ices nh. "irewall3 intruction 1etection3 V42 -à tra""ic sha,ing5

FGA*677 18ng cho 1oanh nghi9, l:n h; tr< Vlan3 =A 3 -:i 6 ,ort3 > ,ort kết n/i ?777 -à > ,ort kết n/i ?77 3 su,,ort @75777 current sessions

AntiViru


2/21

FGA*677 có khả năng BuCt -irus Bua giao th&c web (=DD4)3FD43eail (E+D4344@3 +A4) khi 1H li9u có -irus '.


3/21

FGA có thể ,h!t hi9n

*?77Y c!c loJi -irus trong Zil1[ist(wil1list5org)

*-irus trong "ile nCn 18ng 4\]i,

*eail '.


4/21

*2ếu ng.Ni 18ng truy c, trang web tr8ng -:i lock list hodc web ch&a ? t hodc ? cf ttrong content block list FGA sI block trang web 'ó5Drang web bị blocke1 sI '.


5/21

$%a& Filtering

*FGA BuCt l0c s,a Bua c!c giao th&c eail 44 @3 E+D43 +A43 'ịa chj 43 'ịa chjeail3 tiu '% eail3ni 1ung eailT

*h&c năng [(ealtie lackhole [ist),hUn loJi s,a -à s, Sế, -ào blackhole -à[(,en elay atabase [ist)ch&c năng ch/ng g$i ail ndc 1anhT

*2ếu eail '.


6/21

18ng có thể 18ng trmnh ail client 'ể l0c s,a

Firewall

*FGA bảo -9 !y tnh trong Jng cfc b tr!nh khKi tRn cMng t nternet5

*Eau khi cài 'dt sQ b FGA có khả năng bảo -9 ng.Ni 18ng trong Jng cfc b truy suRtnternet -à blocking c!c truy suRt t nternet -ào Jng cfc b5

*FGA cho ,hC, cRu hmnh kiể so!t truy c, t Jng cfc b ra ngoài nternet -à kiể so!t


7/21

truy c, trong Jng ni b bao gL

* \iể so!t tRt cả tra""ic ra -ào c#a Jng

* \iể so!t P hóa tra""ic V42

* [0c -irus -à ni 1ung web

* lock hodc cho ,hC, truy c, tRt cả ,olicy

* \iể so!t theo ,olicy

* hR, nhn hodc t ch/i truy c, t t 'ịa chj

* \iể so!t ng.Ni 18ng chupn -à ng.Ni 18ng 'dc bi9t hodc nhó 'dc bi9tT

* qu cu ng.Ni 18ng ch&ng thXc tr.:c khi truy c,

* Dhiết 'dt .u tin truy c, -à bảo 'ả hodc gi:i hJn băng thMng cho tng ,olicy

* [og tRt cả kết n/i

* 2ADoute +o1e 4olicy

* +iSe1 2AD -à oute +o1e ,olicy

* FGA có thể hoJt 'ng 2ADoute o1e hodc Drans,arent o1e

NAT'(oute &o)e

* 2ADoute o1e FGA là t thiết [ayer @ 3 Wi inter"ace có t 4 subnet kh!c

nhau -à SuRt hi9n $ thiết bị kh!c nh. là t router5


8/21

*Uy là nguyn tc hoJt 1ng c#a t "irewall thMng th.Nng5 2ADoute o1e3 FGAcung cR, 2AD o1e ,olicies -à oute o1e ,olicies

*2AD o1e ,olicies 18ng 2AD 'ể giRu 'ịa chj giv, gia tăng secure trong Jng kCsecure5


9/21

*oute o1e ,olicies chR, nhn hodc t ch/i kết n/i Jng -:i -i9c 2AD

Tran%arent &o)e

*Drans,arent o1e FGA khMng là thay 'Wi M hmnh [ayer @ t&c là c!c inter"ace cóc8ng ? 4 subnet -à SuRt hi9n nh. là bri1ge trong c!c thiết bị Jng kh!c5

*FGA hoJt 'ng $ Drans,arent o1e sI cung cR, giải ,h!, anti-irus -à content"iltering '&ng '^ng sau giải ,h!, "irewall có sn5

*Drans,arent o1e cung cR, basic "irewall nh. 2AD o1e5FGA sI block hodc chR,nhn ,ackets t8y thuc -ào "irewall ,olicy5

*FGA có thể gn -ào bRt kx trong Jng khMng cn thay 'Wi cRu trvc -à c!c thành ,hnc#a Jng5Duy nhin t -ài tnh năng "irewall cao cR, chj có $ 2ADoute o1e5

V*AN v+ virtual )o&ain


10/21

*FGA su,,ort ___ 675?z V[A2 tags5

*8ng V[A23 FGA 'Qn có khả năng cung cR, security3 kiể so!t security kết n/i 3

nhi%u security 1oain gn -ào V[A2 s th -ào V[A2 ,ackets5

*FGA có thể nhn ra V[A2 s -à a,,ly security ,olicies 'ể secure network -à 4E_V42 giHa security 1oain5

*FGA có khả năng ch&ng thXc3 content "iltering -à anti-irus ,rotection '/i -:i tra""icV[A2*tagge1 network -à V425

*FGA su,,ort V[A2s 2ADoute o1e -à Drans,arent o1e5 2ADoute o1e 3ng.Ni 18ng nh, -ào V[A2 subinter"aces 'ể g{i -à nhn V[A2 ,ackets5

*FGA -irtual 1oains cung cR, nhi%u "irewall -à router logic trn c8ng t FGA5

*\hi s{ 1ung -irtual 1oains ? FGA cung cR, "irewall -à routing ser-ices cho nhi%unetworks5

*2g.Ni 18ng có thể tJo -à Buản l| inter"aces3 Vlan subinter"aces3 }ones3 "irewall ,olicies3 routing3 -à cRu hmnhV42 cho ;i -irtual 1oains5+;i -irtual 1oains là t


11/21

FGA logic3 -i9c chia ra -irtual 1oains 'ể cRu hmnh 'Qn giản3 trong c8ng t lvc ng.Ni18ng khMng thể Buản l| nhi%u router -à "irewall5

,ntruion -revention $yte&.,-$/

*FGA 4E kết h


12/21

có thể log3 ,ass31ro,3reset hodc clear ,ackets hodc session '!ng ngN5

*ả 4E ,re1e"ine1 signatures -à 4E engine có thể u,gra1e thMng Bua Fori4rotectistribution 2etwork(F2)52g.Ni 18ng có thể tJo signatures ring5

V-N

*E{ 1fng FGA V423 ng.Ni 18ng '.


13/21

~ 4Eec3 _E4 security in tunnel o1e3

~ _E3 @_E (tri,le*_E)3 an1 A_E har1ware accelerate1 encry,tion3

~ =+A +• an1 =+A E=A? authentication an1 1ata integrity3

~ Auto\_ key base1 on ,re*share1 key tunnels3

~ 4Eec V42 using local or A certi"icates3

~ +anual \eys tunnels3

~ i""ie*=ellan grou,s ?3 3 an1 •3

~ Aggressi-e an1 +ain +o1e3

~ e,lay etection3

~ 4er"ect Forwar1 Eecrecy3

~ Auth authentication3


14/21

~ ea1 ,eer 1etection3

~ =4 o-er 4Eec3

~ Eecure nternet browsing5

~ 44D4 "or easy connecti-ity with the V42 stan1ar1 su,,orte1 by the ost ,o,ular

o,erating systes5

~ [D4 "or easy connecti-ity with a ore secure V42 stan1ar13 also su,,orte1 by

any ,o,ular o,erating systes5

~ Firewall ,olicy base1 control o" 4Eec V42 tra""ic5

~ 4Eec 2AD tra-ersal so that reote 4Eec V42 gateways or clients behin1 a 2AD

can connect to an 4Eec V42 tunnel5

~ V42 hub an1 s,oke using a V42 concentrator to allow V42 tra""ic to ,ass "ro

one tunnel to another through the FortiGate unit5

~ 4Eec e1un1ancy to create a re1un1ant Auto\_ key 4Eec V42 connection to a

reote network5


15/21

Hig0 availa"ility.HA/


16/21

*FGA =A là cMng ngh9 s{ 1fng nhi%u ,hn c&ng FGA -à FortiGate

lustering 4rotocol (FG4)5

*+;i FGA là t =A cluster c8ng security ,olicy -à c8ng cRu hmnh52g.Ni 18ng có thểth 'ến @ FGA -ào =A cluster5

*+Wi FGA là t =A cluster ,hải c8ng o1el -à c8ng chJy FortiE "irware5FGA =Asu,,orts link re1u1ancy -à 1e-ice re1un1ancy5

*FGA có thể hoJt 'ng acti-e*,assi-e(A*4) hodc acti-e*acti-e(A*A) o1e5 A*A -à A*4cluster có thể chJy $ 2ADoute -à Drans,arent o1e

*A*4 =A cluster nh. là hot stan1by =A bao gL ? FGA ,riary ,rocesses tra""ic -à ?hodc nhi%u FGA subor1inate5

*FGA subor1inate n/i -ào network -à thành FGA ,riary nh.ng khMng ,rocesses tra""ic

*A*A =A cluster loa1 balances -irus scanning trn tRt cả FGA trong cluster5

*A*A =A clusters bao gL ? FGA ,riary ,rocesses tra""ic -à ? hodc nhi%u secon1aryFGA c€ng ,rocesses tra""ic5

*4riary FGA s{ 1fng thut to!n scanning -irus ,hUn t!n trn tRt cả FGA trong =Acluster5


17/21

$ecure intallation1 con2iguration1 an) &anage&ent

*\hi bt nguLn FGA ln 'pu tin3 FGA '.


18/21

*

*Ru hmnh '.


19/21

*Jn có thể access FGA coan1 line inter"ace ([) b^ng c!ch kết n/i

cWng serial !y tnh 'ến FGA E*@ serial console connector5

*Jn có thể s{ 1fng Delnet hodc secure EE= connection 'ể connect 'ến [ t bRt kx

network nào 'P connect 'ến FGA3 kể cả nternet5

*Giao tiế, [ su,,orts c8ng con"iguration -à ch&c năng onitoring nh. web*base1anager5

*Dh -ào 'ó3 bJn có thể s{ 1fng [ cho a1-ance1 con"iguration à web*base1 anagerkhMng có s‚n5

*ogging an) re%orting

*Dhe FGA su,,orts logging rRt nhi%u thay 'Wi -% categories c#a tra""ic -à con"iguration


20/21

*Jn có thể con"igure logging to

~ b!o c!o tra""ic connects 'ến "irewall3

~ bao c!o network ser-ices '.


21/21

con"igure FGA ghi log hu hết e-ents gn -à attacks 1etecte1 by 4E -ào syste eory5

2g.Ni -iết 2guyOn zu/c =Un

V24ro Zeb A1in

Tổng Quan Về Fortigate Firewall

Documents

Transcript of Tổng Quan Về Fortigate Firewall