Đang tải... (xem toàn văn)
Cài đặt và cấu hình firewall fortigate 300C
Cài đặt và cấu hình firewall Fortigate 1 MỤC LỤC A.Các cấu hình cơ bản 4 1.Kết nối một mạng private tới mạng Internet sử dụng mọt firewall Fortigate trong mode NAT/Route 4 2.Kết nối một mạng private tới mạng Internet trong một bước 8 3.Thay đổi địa chỉ của một mạng trong (internal network) trong một bước sử dụng chương trình wizard setup của Fortigate .11 4.Troubeshooting cho việc cài đặt mode NAT/Route .13 5.Insert một thiết bị Fortigate vào bên trong mạng mà không làm ảnh hưởng tới cấu hình của mạng (mode Transparent) 15 6.Troubleshooting cho việc cài đặt mode transparent 19 7.Kiểm tra version của firmware hiện tại và upgrade firmware FortiOS 22 8.Setup và troubleshooting các dịch vụ của FortiGuard .22 9.Setup một account admin trên thiết bị Fortigate 22 B.Các cấu hình nâng cao .25 1.Kết nối một thiết bị Fortigate với 2 ISP cho mục đích redundant .25 2.Sử dụng một modem cho một kết nối redundant .25 3.Phân phối các session giữa 2 kết nối internet redundant với ECMP dựa trên mức độ sử dụng 25 4.Bảo vệ một web server trong mạng DMZ 25 5.Bảo vệ một mail server với một thiết bị Fortigate mà không làm thay đổi mạng (sử dụng mode transparent) .25 6.Sử dụng việc ghép cặp cổng để đơn giản hóa việc cài đặt mode transparent 25 C.Sử dụng các policy và firewall object để điều khiển traffic mạng 25 1.Giới hạn sự truy cập Internet của nhân viên 25 a.Tạo các đối tương address cho YouTube và Facebook 26 b.Tạo lập lịch để giới hạn việc truy cập trong thời gian từ 12h tới 2h 27 c.Tạo policy .28 d.Sắp xếp lại vị trí của các policy .28 2.Giới hạn việc truy cập Internet dựa trên địa chỉ IP 29 a.Tạo các firewall address cho mỗi group user .30 2 b.Tạo các lập lịch firewall .30 c.Tạo các policy 31 d.Sắp xếp lại vị trí của các policy .32 3.Exclude các user khỏi UTM filtering .33 4.Kiểm tra rằng traffic được chấp nhận bởi một policy 33 5.Sắp xếp các policy theo thứ tự đúng 33 6.Cho phép các query DNS tới duy nhất một DNS server được approve .33 7.Extending AirPlay and AirPrint communication through a FortiWiFi unit .33 8.Ensuring sufficient and consistent bandwidth for VoIP traffic 33 9.Using geographic addresses .33 10.Providing Internet access for your private network users (static source NAT) 34 11.Providing Internet access for a private network with multiple Internet addresses (dynamic source NAT) 34 12.Dynamic source NAT without changing the source port (one-to-one source NAT) 34 13.Dynamic source NAT using the central NAT table .34 14.Allowing access to a web server on an internal network when you only have one Internet IP address .34 15.Allowing Internet access to a web server on a protected network when you only have one Internet IP address, using port translation 34 16.Allowing Internet access to a web server on a protected network when you have an IP address for the web server .34 17.Configuring port forwarding to open ports on a FortiGate unit .35 18.NAT địa chỉ đích động cho một dải địa chỉ IP 39 D.Profile UTM 42 E.SSL VPN .42 1.Setting up remote web browsing for internal sites through SSL VPN .42 a.Tạo một firewall address for email server 43 b.Tạo portal web .44 c.Tạo một user SSL VPN và group user .45 d.Tạo một policy SSL VPN 45 3 2.Using SSL VPN to provide protected Internet access for remote users .47 3.SSL VPN split tunneling: Using SSL VPN to provide protected Internet access and access to head office servers for remote users 48 4.Verifying that SSL VPN users have the most recent AV software before they can log into the SSL VPN 48 F.IPSec VPN .48 G.Authentication .48 H.Mạng WiFi 48 I.Logging và Reporting .48 A. Các cấu hình cơ bản 1. Kết nối một mạng private tới mạng Internet sử dụng mọt firewall Fortigate trong mode NAT/Route 4 Problem: Làm sao để connect và cấu hình một thiết bị Fortigate mới để đảm bảo việc kết nối an toàn tới mạng Internet. Thiết bị Fortigate cũng sẽ bảo vệ mạng private khỏi các threat từ ngoài Internet nhưng vẫn cho phép các user bên trong mạng private có thể kết nối ra ngoài mạng Internet Giải pháp: Nhìn chung, Fortigate thường được install như là một router hoặc gateway giữa mạng private và mạng Internet. Fortigate vận hành trong chế độ đó được gọi là chế độ NAT/Route với mục đích để ẩn đi các địa chỉ của mạng private khi các thiết bị này truy cập ra ngoài internet • Kết nối interface wan1 của Fortigate tới thiết bị được hỗ trợ bởi ÍP, thiết bị này thông thường là converter quang hoặc modem 5 • Kết nối mạng internal vào interface internal của Fortigate • Bật nguồn thiết bị của ISP, Fortigate và PC của mạng internal • Từ một PC trong mạng internal, kết nối tới Fortigate thông qua giao diện quản lý web. Bạn có thể cấu hình PC để nó tự động nhận địa chỉ IP thông qua DHCP sau đó browse tới địa chỉ https://192.168.1.99 hoặc bạn cũng có thể đặt cho nó một địa chỉ IP tĩnh nằm trong dải 192.168.1.0/255.255.255.0 • Login với tài khoản username là admin và không có pasword • Đi tới System > Network > Interface và chọn Edit interface wan1 và thay đổi các thông số sau: • Tương tự edit interface internal theo các thông số sau: • Đi tới Router > Static > Static Route và chọn Create New để add tuyến default route như sau: 6 Chú ý: Một tuyến default route luôn luôn có địa chỉ IP đích và subnet mask đích là 0.0.0.0 và 0.0.0.0. Chính vì vậy bạn sẽ chỉ có duy nhất một tuyến default route. Nếu danh sách static route thực sự đã chứa một tuyến default route thưc bạn có thể edit hoặc delete nó và add một tuyến mới • Đi tới System > Network > DNS và add thông tin về địa chỉ Primary DNS server và Secondary DNS server • Đi tới Policy > Policy > Policy và chọn Create New để add các tham số sau để cho phép user trong mạng private có thể truy cập mạng Internet: • Chọn Enable NAT và Use Destination Interface Address • Chọn OK để save policy lại Kết quả: Trên PC, bạn có thể kết nối tới interface internal của Fortigate, mở một web browser và browse tới bất kỳ website nào. Bạn cũng có thể kết nối tới Internet thông qua FTP, hoặc bất kỳ giao thức nào hoặc phương thức kết nối nào Đi tới Policy > Policy > Policy và check ở cột Count ứng với policy mà bạn đã config trước đó để xem các trafic đang được xử lý: 7 Đi tới Policy > Monitor > Session Monitor để view các session đã được xử lý bởi Fortigate Địa chỉ nguồn của tất cả các session nên là một địa chỉ nằm trong dải mạng 192.168.1.0. địa chỉ IP NAT nguồn cho tất cả các session nên là 172.20.120.14 (hoặc một địa chỉ IP đã add vào interface wan1). Policy ID nên là 1 vì đó là giá trị ID default cho phép user trong mạng internal được phép kết nối tới mạng Internet Bạn cũng có thể xem các kết quả bẳng cách đi tới Policy > Monitor > Policy Monitor để view một graph về các session active của mỗi policy. Vì hiện tại chúng ta chỉ có duy nhất một policy nên trong mục này chỉ có duy nhất một entry 2. Kết nối một mạng private tới mạng Internet trong một bước Problem: Bạn muốn sử dụng ít bước nhất có thể để sử dụng Fortigate up và cho phép kết nối mạng Internet cho một mạng private 8 Giải pháp: Nếu nhà cung cấp dịch vụ Internet của bạn (ISP) sử dụng giao thức DHCP để cung cấp việc kết nối internet cho hệ thống của bạn thì bạn chỉ cần thực hiện duy nhất một bước cấu hình trên Fortigate để cho phép mạng private của bạn có thể kết nối tới mạng Internet. Các bước để PC nằm trong mạng internal có thể lấy được địa chỉ IP và kết nối tới Fortigate giống mục 1. Từ nay về sau sẽ không nói lại việc này vì coi như đó là bước mặc định phải có để bạn có thể cấu hình được Fortigate 9 • Đi tới System > Network > Interface và edit interface wan1 • Thiết lập Addressing Mode là DHCP và chọn Retrieve Default Gateway from server và Override internal DNS • Chọn OK để save sự thay đổi Chú ý: Nếu ISP sử dụng phương pháp PPPoE hoặc đánh địa chỉ theo địa chỉ do ISP quy định thì bạn phải cấu hình interface wan1 theo các option này thay vì sử dụng DHCP Kết quả: Kết quả bạn nhận được sẽ giống như mục 1 nếu như bạn cấu hình đúng Fix lỗi gặp phải: Nếu bạn cấu hình xong mà không đạt được kết quả như mong muốn thì hãy thực hiện theo các bước như sau: • Kiểm tra interface wan1 đã có thể nhận được cấu hình IP từ ISP. Login vào Fortigate thông qua giao diện quản lý web và đi tới System > Network > Interface > wan1. Chắc chắn rằng Addressing Mode đã được thiết lập là DHCP và các thông tin tương tự như các thông số sau: 10 [...]... trung gian nằm giữa PC của bạn và Fortigate • Check lại cấu hình của interface internal trên Fortigate • Check lại cấu hình của interface kết nối với mạng Internet để chắc chắn là interface này được cấu hình đúng • Kiểm tra việc truy cập từ Fortigate tới mạng Internet thông qua việc sử dụng lệnh ping và traceroute trong màn hình command line của Fortigate bằng các câu lệnh sau: # execute ping google.com.vn... Information và bên cạnh Operation Mode và chọn Change và cấu hình theo các thông số sau: • Chọn Ok để switch sang chế độ transparent • Login vào firewall qua giao diện web quản lý thông qua địa chỉ IP https://10.31.101.40 tất nhiên hãy chắc chắn rằng địa chỉ IP của PC của bạn nằm cùng trong dải với địa chỉ IP của Fortigate • Đi tới System > Network > DNS và add thông tin về DNS server primary và secondary... internal • Bật nguồn Fortigate Kết quả: Tương tự các mục trên Chỉ khác là trong Policy > Monitor > Session Monitor: 18 Địa chỉ nguồn của tất cả các session đều là trong mạng 10.31.10.0 Địa chỉ IP NAT nguồn và cột port NAT nguồn để trống vì lúc này Fortigate không được cấu hình NAT/Route 6 Troubleshooting cho việc cài đặt mode transparent Problem: Bạn đã setup cấu hình mode transparent cho Fortigate nhưng... việc thay đổi về mạng ngoại trừ việc cung cấp cho thiết bị Fortigate một địa chỉ IP quản lý Chú ý: Việc thay đổi mode của Fortigate từ chế độ NAT/Route sang chế độ Transparent sẽ phải remove toàn bộ các cấu hình được thực hiện trong chế độ NAT/Route Nếu bạn muốn giữ lại các cấu hình này thì hãy chắc chắn rằng bạn đã backup lại toàn bộ cấu hình của Fortigate thông qua widget System Information Các bước... truy cập vào mạng Internet Log vào Fortigate thông qua địa chỉ IP mới, kiểm tra lại DHCP, DNS và các policy cần thiết 4 Troubeshooting cho việc cài đặt mode NAT/Route Problem: Bạn đã setup một Fortigate trong chế độ NAT/Route và các bước như các mục trên nhưng các thiết bị trong mạng private của bạn thì không thể kết nối được tới Internet Giải pháp: Sử dụng một trong các bước sau để thực hiện tìm và fix... Policy và chọn Create New để add các thông tin sau để cho phép người dùng trong mạng private có thể truy cập Internet: • Chọn UTM Chọn Enable Antivirus và chọn Enable Application Control • Chọn OK để save cấu hình của policy • Tắt nguồn của Fortigate 17 • Connect Fortigate ở vị trí giữa mạng và router Kết nối interface wan1 của Fortigate tới interface internal của router Kết nối interface internal của Fortigate. .. 172.16.20.12 và địa chỉ IP của PC của bạn là 192.168.50.30 thì bạn thử ping từ PC này tới địa chỉ 172.16.20.12 Nếu không được thì có nghĩa là Fortigate đang chặn session từ dải internal sang internet o Kiểm tra lại kết nối của bạn tới ISP 5 Insert một thiết bị Fortigate vào bên trong mạng mà không làm ảnh hưởng tới cấu hình của mạng (mode Transparent) Problem: 15 Làm cách nào để kết nối và cấu hình một... nằm giữa PC của bạn và Fortigate • Kiểm tra việc truy cập từ Fortigate tới mạng Internet thông qua việc sử dụng lệnh ping và traceroute trong màn hình command line của Fortigate bằng các câu lệnh sau: # execute ping google.com.vn # execute traceroute google.com.vn • Kiểm tra lại việc cấu hình DNS trên Fortigate Bạn có thể check việc cấu hình các lỗi của DNS thông qua việc ping hoặc traceroute tới một... lại việc cấu hình DNS • Kiểm tra lại policy bằng cách đi tới Policy > Policy > Policy và kiểm tra policy internal -> wan1 đã được add Check cột Count để xem liệu policy này có được xử lý bởi Fortigate hay không Check lại cấu hình của policy để chắc chắn nó tương tự với các thông số sau: • Kiểm tra lại cấu hình định tuyến tĩnh static routing bằng cách đi tới Router > Static > Static Route và chắc chắn... google.com.vn • Kiểm tra lại việc cấu hình DNS trên Fortigate Bạn có thể check việc cấu hình các lỗi của DNS thông qua việc ping hoặc traceroute tới một domain name Nếu nhận được thông báo theo kiểu: ping www.fortinet.com ping: cannot resolve www.fre.com: Unknown host thì chắc chắn bạn nên kiểm tra lại việc cấu hình DNS • Kiểm tra lại policy bằng cách đi tới Policy > Policy > Policy và kiểm tra policy internal
