Download pdf - 03-Cau hinh FortiGate

Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ

Copyright 2007 Hyperlogy JSC. 1

CCấấuu hhììnhnh FortiGateFortiGate

Nguyễn Hữu TiếnHyperlogy JSC.

Hyperlogy JSC. 2

NNộộii dungdung

CCấấuu hhììnhnh FortiGateFortiGateCCấấuu hhììnhnh giaogiao didiệệnn, zone, , zone, đđịịaa chchỉỉ, , ccáácc ddịịchch vvụụ, , policy, profile,policy, profile,……

Theo Theo dõidõi hohoạạtt đđộộngng ccủủaa FortiGateFortiGateTrangTrang theotheo dõidõi trtrạạngng ththááiiTheo Theo dõidõi loglogDDùùngng llệệnhnh trêntrên mmàànn hhììnhnh consoleconsole

Hyperlogy JSC. 3

CCáácc ccááchch ccấấuu hhììnhnh FortiGateFortiGate

Web: http, httpsWeb: http, httpsCLI: Console, Telnet, Secure ShellCLI: Console, Telnet, Secure ShellFortiManagerFortiManager: : SNMPSNMP



Hyperlogy JSC. 4

GiaoGiao didiệệnn webweb

MMởở trtrììnhnh duyduyệệtt vvàà gõgõ vvààoo ô ô đđịịaa chchỉỉ vvíí ddụụnhưnhư sausau::

http://192.168.1.1http://192.168.1.1

https://192.168.1.1https://192.168.1.1

MMàànn hhììnhnh đăngđăng nhnhậậpp ssẽẽ hihiệệnn rara nhưnhư sausau: :

Hyperlogy JSC. 5


Hyperlogy JSC. 6




Hyperlogy JSC. 7


NAT/Route ModeChế độ này là chế độ mặc định.Mỗi interface là một mạng khác nhau. Cho phép Firewall hoạt động như một

gatewayTransparent Mode

Firewall hoạt động như một cầu nối. Quản lý Firewall qua một địa chỉ IP.

Hyperlogy JSC. 8

CCấấuu hhììnhnh zonezone

SystemSystem-->Network>Network-->Zone>Zone

Hyperlogy JSC. 9

CCấấuu hhììnhnh zonezone

TrongTrong phphầầnn ccấấuu hhììnhnh zone zone tata ccóó ththểể nhnhóómmccáácc giaogiao didiệệnn vvààoo ccùùngng mmộộtt zone.zone.

MMụụcc đđííchch ccóó ththểể ttạạoo luluậậtt chocho zone zone ggồồmmnhinhiềềuu giaogiao didiệệnn ccùùngng map map mmộộtt luluậậtt..

HiHiểểnn ththịị luluồồngng thôngthông tin tin gigiữữaa ccáácc giaogiao didiệệnntrongtrong ccùùngng mmộộtt zone zone nnếếuu chchọọnn block.block.



Hyperlogy JSC. 10

CCấấuu hhììnhnh giaogiao didiệệnn

SystemSystem-->Network>NetworkChChọọnn giaogiao didiệệnn ccầầnn ccấấuu hhììnhnh xongxong nhnhấấnnEdit.Edit.TrongTrong phphầầnn nnààyy bbạạnn ccóó ththểể: :

ThayThay đđổổii đđịịaa chchỉỉ IP IP chocho giaogiao didiệệnn..ThayThay đđổổii ccáácc giaogiao ththứứcc truytruy ccậậpp ququảảnn trtrịịFirewall Firewall trêntrên giaogiao didiệệnn nnààyy..BBậậtt chchếế đđộộ log log khikhi lưulưu lưlượợngng qua qua giaogiao didiệệnn..

Hyperlogy JSC. 11

CCấấuu hhììnhnh giaogiao didiệệnn

Hyperlogy JSC. 12

CCấấuu hhììnhnh UpdateUpdate

MuMuốốnn update update phphảảii đăngđăng kkíí ssảảnn phphẩẩmm trêntrêntrangtrang: :

http://support.fortinet.comhttp://support.fortinet.com

CCóó 2 2 ccááchch update:update:Update Update bbằằngng taytay..Update Update ttựự đđộộngng. .



Hyperlogy JSC. 13


Update Update bbằằngng taytay Update hệđiều hành

cho FirewallUpdate

Antivirus cho Firewall

Update IPS cho Firewall

Hyperlogy JSC. 14


Update Update ttựự đđộộngng::SystemSystem-->Maintenance>Maintenance-->Update Center>Update Center

Hyperlogy JSC. 15

CCấấuu hhììnhnh đđịịnhnh tuytuyếếnn

ĐĐịịnhnh tuytuyếếnn ttĩĩnhnh (Static Route)(Static Route)



Hyperlogy JSC. 16


TTạạoo mmộộtt tuytuyếếnn đưđườờngng điđi ttừừ llớớpp đđịịaa chchỉỉ trêntrêngiaogiao didiệệnn ttớớii đđííchch qua qua mmộộtt gateway gateway xxááccđđịịnhnh..

VVíí ddụụ: : ĐĐííchch: 10.238.254.0/24 : 10.238.254.0/24 Gateway: 192.168.2.3/24Gateway: 192.168.2.3/24GiaoGiao didiệệnn: wan1: wan1Distance: 10 (Distance: 10 (đđộộ ưuưu tiêntiên đđịịnhnh tuytuyếếnn))

Hyperlogy JSC. 17


Policy Route Policy Route

Hyperlogy JSC. 18


MMụụcc đđííchch ccủủaa Policy Route Policy Route llàà đđịịnhnh tuytuyếếnnluluồồngng tin tin điđi theotheo mmộộtt đưđườờngng xxáácc đđịịnhnh trưtrướớcckhikhi map map theotheo Static route Static route bênbên ngongoààii..ChChúú ý: ý:

SSửử ddụụngng ttíínhnh năngnăng nnààyy khikhi ththựựcc ssựự ccầầnn thithiếếttNNắắmm rõrõ đưđượợcc luluồồngng thôngthông tin tin điđi qua qua ccáácc giaogiao didiệệnnLuLuậậtt ởở đâyđây đưđượợcc map map theotheo kikiểểuu ttừừ trêntrên xuxuốốngng dưdướớii



Hyperlogy JSC. 19


MMụụcc đđííchch ccủủaa Policy Route Policy Route llàà đđịịnhnh tuytuyếếnnluluồồngng tin tin điđi theotheo mmộộtt đưđườờngng xxáácc đđịịnhnh trưtrướớcckhikhi map map theotheo Static route Static route bênbên ngongoààii..ChChúú ý: ý:

SSửử ddụụngng ttíínhnh năngnăng nnààyy khikhi ththựựcc ssựự ccầầnn thithiếếttNNắắmm rõrõ đưđượợcc luluồồngng thôngthông tin tin điđi qua qua ccáácc giaogiao didiệệnnLuLuậậtt ởở đâyđây đưđượợcc map map theotheo kikiểểuu ttừừ trêntrên xuxuốốngng dưdướớii

Hyperlogy JSC. 20


MonitorMonitor

Hyperlogy JSC. 21

CCấấuu hhììnhnh đđịịaa chchỉỉ



Hyperlogy JSC. 22

CCấấuu hhììnhnh đđịịaa chchỉỉ

VVààoo têntên vvàà llớớpp đđịịaa chchỉỉ ccầầnn thêmthêm..

MMụụcc đđííchch: : KhiKhi ttạạoo luluậậtt trongtrong phphầầnn Policy Policy ccóóththểể ssửử ddụụngng ccáácc vvùùngng đđịịaa chchỉỉ ttạạoo rara..

PhPhầầnn Group Group llàà ttạạoo mmộộtt nhnhóómm ccáácc đđịịaa chchỉỉccầầnn ddùùngng..

Hyperlogy JSC. 23

CCấấuu hhììnhnh ddịịchch vvụụ

DDịịchch vvụụ

Hyperlogy JSC. 24


Custom: Custom: TTạạoo ddịịchch vvụụ theotheo ý ý ngưngườờii ssửử ddụụngng



Hyperlogy JSC. 25


NhNhóómm: : TTạạoo nhnhóómm ddịịchch vvụụ theotheo ý ý ngưngườờii ssửửddụụngng

Hyperlogy JSC. 26

CCấấuu hhììnhnh policypolicy

MMụụcc nnààyy llàà mmụụcc quanquan trtrọọngng nhnhấấtt ccủủaaFirewall.Firewall.CCấấuu hhììnhnh Policy Policy chocho phphéépp ccáácc vvùùngng điđi vvààoonhaunhau đưđượợcc ssửử ddụụngng ddịịchch vvụụ ggìì..VVíí ddụụ::

TTừừ Internal Internal vvààoo Wan1 Wan1 đưđượợcc ssửử ddụụngng ddịịchch vvụụhttp.http.TTừừ DmzDmz vvààoo Internal Internal đưđượợcc ssửử ddụụngng ddịịchch vvụụLotusNoteLotusNote..

Hyperlogy JSC. 27

CCấấuu hhììnhnh policypolicy



Hyperlogy JSC. 28

CCấấuu hhììnhnh PolicyPolicy

Hyperlogy JSC. 29

CCấấuu hhììnhnh VIPVIP

VIP VIP ChChứứcc năngnăng ddùùngng đđểể map map mmộộtt trangtrang web web hohoặặccmmộộtt ddịịchch vvụụ nnààoo đđóó trongtrong mmạạngng nnộộii bbộộ rara ngongoààiiinternet internet thôngthông qua qua mmộộtt đđịịaa chchỉỉ IP public IP public bênbênngongoààii..VIP VIP ccóó 2 2 chchếế đđộộ llàà Static Static natnat vvàà Port Forwarding.Port Forwarding.

Static Static natnat llàà natnat ttĩĩnhnh mmộộtt đđịịaa chchỉỉ ththậậtt ttừừ ngongoààii vvààootrongtrong..Port Forwarding Port Forwarding llàà natnat mmộộtt port port ttừừ đđịịaa chchỉỉ ngongoààii vvààoommộộtt port port trongtrong ccủủaa mmộộtt đđịịaa chchỉỉ bênbên trongtrong..

Hyperlogy JSC. 30

CCấấuu hhììnhnh VIPVIP



Hyperlogy JSC. 31

CCấấuu hhììnhnh profileprofile

ChChứứcc năngnăng nnààyy ddùùngng đđểể kkííchch hohoạạtt ttíínhnhnăngnăng llọọcc chchặặnn virus, virus, chchặặnn file, file, chchặặnn spam, spam, llọọcc web, web, chchốốngng ttấấnn côngcông IPS.IPS.

MMặặcc đđịịnhnh đãđã ccóó ccáácc Protection Profile Protection Profile sausau::Strict, scan, web, unfiltered.Strict, scan, web, unfiltered.NgưNgườờii ssửử ddụụngng ccóó ththểể ttạạoo thêmthêm ccáácc Profile Profile khkháácc theotheo yêuyêu ccầầuu ssửử ddụụngng..

Hyperlogy JSC. 32

CCấấuu hhììnhnh profileprofile

Hyperlogy JSC. 33

CCấấuu hhììnhnh ProfileProfile

TTạạoo mmộộtt Profile Profile mmớớii::



Hyperlogy JSC. 34

CCấấuu hhììnhnh IPSIPS

IPS IPS chchốốngng ttấấnn côngcông hhệệ ththốốngng do do ccáácc bug bug ccủủaa chươngchương trtrììnhnh ứứngng ddụụngng đangđang chchạạyy..

Signature: Signature: CCáácc mmẫẫuu ttấấnn côngcông ứứngng ddụụngng ssẵẵnnccóó. . AnimalyAnimaly: : TTíínhnh bbấấtt thưthườờngng ccủủaa luluồồngng tin qua tin qua llạạii. . NhưNhư icmpicmp, , v.vv.v……

Hyperlogy JSC. 35


Hyperlogy JSC. 36

CCấấuu hhììnhnh AntiVirusAntiVirus

TTíínhnh năngnăng nnààyy chchốốngng ccáácc loloạạii virus virus đưđượợccccậậpp nhnhậậtt qua qua ccáácc trungtrung tâmtâm nghiênnghiên ccứứuuccủủaa fortinetfortinet trêntrên totoàànn ththếế gigiớớii..PhPhầầnn nnààyy ccóó 2 2 ttíínhnh năngnăng chchíínhnh đđóó llàà

File block.File block.Virus List.Virus List.



Hyperlogy JSC. 37


Hyperlogy JSC. 38

CCấấuu hhììnhnh AntiSpamAntiSpam

Spam Spam llàà mmộộtt vvấấnn đđềề rrấấtt llớớnn trêntrên ththếế gigiớớiihihiệệnn nay.nay.ViViệệcc llọọcc chchặặnn spam spam rrấấtt khkhóó khănkhăn do spam do spam đưđượợcc bibiếếnn đđổổii dưdướớii nhinhiềềuu hhììnhnh ththứứcc khkhááccnhaunhau. . PhPhổổ bibiếếnn nhnhấấtt bâybây gigiờờ llàà thưthư rráácc..TrongTrong firewall FG firewall FG ccóó ttíínhnh năngnăng chchốốngng spam spam theotheo ccáácc mmứứcc sausau::

FortiguardFortiguard AntispamAntispamIP addressIP address

Hyperlogy JSC. 39

CCấấuu hhììnhnh AntiSpamAntiSpam

DNSBLDNSBLEmailEmail--addressaddressMime HeadersMime HeadersBanned WordBanned Word



Hyperlogy JSC. 40

CCấấuu hhììnhnh Web filteringWeb filtering

TTíínhnh năngnăng titiếếpp theotheo llàà llọọcc webwebContent BlockContent BlockURL BlockURL BlockURL ExemptURL ExemptCategory BlockCategory BlockScript FilterScript Filter

Hyperlogy JSC. 41

CCấấuu hhììnhnh LLọọcc WebWeb

Hyperlogy JSC. 42

CCấấuu hhììnhnh log log vvàà ccảảnhnh bbááoo

TrongTrong phphầầnn log log ccóó haihai phphầầnn chchíínhnhCCấấuu hhììnhnh loglogĐĐặặtt log log hihiểểnn ththịị..ThôngThông bbááoo qua email.qua email.LLọọcc thôngthông tin tin hihiểểnn ththịị log.log.

XemXem log log XemXem event.event.XemXem ttấấnn côngcông..XemXem virus virus ttấấnn côngcông..XemXem spam.spam.XemXem thôngthông tin tin vvềề trangtrang đưđượợcc llọọcc..



Hyperlogy JSC. 43


TrongTrong dòngdòng firewall firewall chocho doanhdoanh nghinghiệệpp vvừừaallớớnn vvàà ISP ISP ccóó llắắpp thêmthêm ổổ ccứứngng đđểể lưulưu log.log.CònCòn xemxem log log trêntrên firewall firewall ccóó ththểể xemxem log log trêntrên memmem..XemXem log log trêntrên thithiếếtt bbịị FortilogFortilog..

Hyperlogy JSC. 44


Hyperlogy JSC. 45

CCấấuu hhììnhnh CLICLI

NNếếuu ssửử ddụụngng ccấấuu hhììnhnh qua qua ccổổngng console console ththìì ccóó ththểể ssửử ddụụngng ccáácc côngcông ccụụ sausau::

HyperTerminalHyperTerminalSecureCRTSecureCRT

v.v.vv.v.v..

NNếếuu ssửử ddụụngng ccấấuu hhììnhnh qua qua telnet,sshtelnet,ssh ththìì ccóóththểể ssửử ddụụngng putty, command, putty, command, SecureCRTSecureCRT..



Hyperlogy JSC. 46


Hyperlogy JSC. 47


SSửử ddụụngng dòngdòng llệệnhnh ccóó ththểể kikiểểmm tratra đưđượợccggóóii tin tin đangđang điđi vvàà debug debug đưđượợcc llỗỗii xxảảyy raratrongtrong ququáá trtrììnhnh kkếếtt nnốốii trêntrên Firewall.Firewall.VVíí ddụụ

diagnose diagnose sniffersniffer packet internal 'packet internal 'tcptcp and port 80and port 80‘‘diagnose debug application diagnose debug application ikeike 77diagnose debug enablediagnose debug enable

Hyperlogy JSC. 48


NNếếuu ssửử ddụụngng ccấấuu hhììnhnh qua qua ccổổngng console console ththìì ccóó ththểể ssửử ddụụngng ccáácc côngcông ccụụ sausau::

HyperTerminalHyperTerminalSecureCRTSecureCRT

v.v.vv.v.v..

NNếếuu ssửử ddụụngng ccấấuu hhììnhnh qua qua telnet,sshtelnet,ssh ththìì ccóóththểể ssửử ddụụngng putty, command, putty, command, SecureCRTSecureCRT..



TrânTrân trtrọọngng ccáámm ơnơn !!

Hyperlogy JSC.