Download - 03-Cau hinh FortiGate
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 1
CCấấuu hhììnhnh FortiGateFortiGate
Nguyễn Hữu TiếnHyperlogy JSC.
Hyperlogy JSC. 2
NNộộii dungdung
CCấấuu hhììnhnh FortiGateFortiGateCCấấuu hhììnhnh giaogiao didiệệnn, zone, , zone, đđịịaa chchỉỉ, , ccáácc ddịịchch vvụụ, , policy, profile,policy, profile,……
Theo Theo dõidõi hohoạạtt đđộộngng ccủủaa FortiGateFortiGateTrangTrang theotheo dõidõi trtrạạngng ththááiiTheo Theo dõidõi loglogDDùùngng llệệnhnh trêntrên mmàànn hhììnhnh consoleconsole
Hyperlogy JSC. 3
CCáácc ccááchch ccấấuu hhììnhnh FortiGateFortiGate
Web: http, httpsWeb: http, httpsCLI: Console, Telnet, Secure ShellCLI: Console, Telnet, Secure ShellFortiManagerFortiManager: : SNMPSNMP
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 2
Hyperlogy JSC. 4
GiaoGiao didiệệnn webweb
MMởở trtrììnhnh duyduyệệtt vvàà gõgõ vvààoo ô ô đđịịaa chchỉỉ vvíí ddụụnhưnhư sausau::
http://192.168.1.1http://192.168.1.1
https://192.168.1.1https://192.168.1.1
MMàànn hhììnhnh đăngđăng nhnhậậpp ssẽẽ hihiệệnn rara nhưnhư sausau: :
Hyperlogy JSC. 5
GiaoGiao didiệệnn webweb
Hyperlogy JSC. 6
GiaoGiao didiệệnn webweb
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 3
Hyperlogy JSC. 7
GiaoGiao didiệệnn webweb
NAT/Route ModeChế độ này là chế độ mặc định.Mỗi interface là một mạng khác nhau. Cho phép Firewall hoạt động như một
gatewayTransparent Mode
Firewall hoạt động như một cầu nối. Quản lý Firewall qua một địa chỉ IP.
Hyperlogy JSC. 8
CCấấuu hhììnhnh zonezone
SystemSystem-->Network>Network-->Zone>Zone
Hyperlogy JSC. 9
CCấấuu hhììnhnh zonezone
TrongTrong phphầầnn ccấấuu hhììnhnh zone zone tata ccóó ththểể nhnhóómmccáácc giaogiao didiệệnn vvààoo ccùùngng mmộộtt zone.zone.
MMụụcc đđííchch ccóó ththểể ttạạoo luluậậtt chocho zone zone ggồồmmnhinhiềềuu giaogiao didiệệnn ccùùngng map map mmộộtt luluậậtt..
HiHiểểnn ththịị luluồồngng thôngthông tin tin gigiữữaa ccáácc giaogiao didiệệnntrongtrong ccùùngng mmộộtt zone zone nnếếuu chchọọnn block.block.
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 4
Hyperlogy JSC. 10
CCấấuu hhììnhnh giaogiao didiệệnn
SystemSystem-->Network>NetworkChChọọnn giaogiao didiệệnn ccầầnn ccấấuu hhììnhnh xongxong nhnhấấnnEdit.Edit.TrongTrong phphầầnn nnààyy bbạạnn ccóó ththểể: :
ThayThay đđổổii đđịịaa chchỉỉ IP IP chocho giaogiao didiệệnn..ThayThay đđổổii ccáácc giaogiao ththứứcc truytruy ccậậpp ququảảnn trtrịịFirewall Firewall trêntrên giaogiao didiệệnn nnààyy..BBậậtt chchếế đđộộ log log khikhi lưulưu lưlượợngng qua qua giaogiao didiệệnn..
Hyperlogy JSC. 11
CCấấuu hhììnhnh giaogiao didiệệnn
Hyperlogy JSC. 12
CCấấuu hhììnhnh UpdateUpdate
MuMuốốnn update update phphảảii đăngđăng kkíí ssảảnn phphẩẩmm trêntrêntrangtrang: :
http://support.fortinet.comhttp://support.fortinet.com
CCóó 2 2 ccááchch update:update:Update Update bbằằngng taytay..Update Update ttựự đđộộngng. .
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 5
Hyperlogy JSC. 13
CCấấuu hhììnhnh UpdateUpdate
Update Update bbằằngng taytay Update hệđiều hành
cho FirewallUpdate
Antivirus cho Firewall
Update IPS cho Firewall
Hyperlogy JSC. 14
CCấấuu hhììnhnh UpdateUpdate
Update Update ttựự đđộộngng::SystemSystem-->Maintenance>Maintenance-->Update Center>Update Center
Hyperlogy JSC. 15
CCấấuu hhììnhnh đđịịnhnh tuytuyếếnn
ĐĐịịnhnh tuytuyếếnn ttĩĩnhnh (Static Route)(Static Route)
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 6
Hyperlogy JSC. 16
CCấấuu hhììnhnh đđịịnhnh tuytuyếếnn
TTạạoo mmộộtt tuytuyếếnn đưđườờngng điđi ttừừ llớớpp đđịịaa chchỉỉ trêntrêngiaogiao didiệệnn ttớớii đđííchch qua qua mmộộtt gateway gateway xxááccđđịịnhnh..
VVíí ddụụ: : ĐĐííchch: 10.238.254.0/24 : 10.238.254.0/24 Gateway: 192.168.2.3/24Gateway: 192.168.2.3/24GiaoGiao didiệệnn: wan1: wan1Distance: 10 (Distance: 10 (đđộộ ưuưu tiêntiên đđịịnhnh tuytuyếếnn))
Hyperlogy JSC. 17
CCấấuu hhììnhnh đđịịnhnh tuytuyếếnn
Policy Route Policy Route
Hyperlogy JSC. 18
CCấấuu hhììnhnh đđịịnhnh tuytuyếếnn
MMụụcc đđííchch ccủủaa Policy Route Policy Route llàà đđịịnhnh tuytuyếếnnluluồồngng tin tin điđi theotheo mmộộtt đưđườờngng xxáácc đđịịnhnh trưtrướớcckhikhi map map theotheo Static route Static route bênbên ngongoààii..ChChúú ý: ý:
SSửử ddụụngng ttíínhnh năngnăng nnààyy khikhi ththựựcc ssựự ccầầnn thithiếếttNNắắmm rõrõ đưđượợcc luluồồngng thôngthông tin tin điđi qua qua ccáácc giaogiao didiệệnnLuLuậậtt ởở đâyđây đưđượợcc map map theotheo kikiểểuu ttừừ trêntrên xuxuốốngng dưdướớii
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 7
Hyperlogy JSC. 19
CCấấuu hhììnhnh đđịịnhnh tuytuyếếnn
MMụụcc đđííchch ccủủaa Policy Route Policy Route llàà đđịịnhnh tuytuyếếnnluluồồngng tin tin điđi theotheo mmộộtt đưđườờngng xxáácc đđịịnhnh trưtrướớcckhikhi map map theotheo Static route Static route bênbên ngongoààii..ChChúú ý: ý:
SSửử ddụụngng ttíínhnh năngnăng nnààyy khikhi ththựựcc ssựự ccầầnn thithiếếttNNắắmm rõrõ đưđượợcc luluồồngng thôngthông tin tin điđi qua qua ccáácc giaogiao didiệệnnLuLuậậtt ởở đâyđây đưđượợcc map map theotheo kikiểểuu ttừừ trêntrên xuxuốốngng dưdướớii
Hyperlogy JSC. 20
CCấấuu hhììnhnh đđịịnhnh tuytuyếếnn
MonitorMonitor
Hyperlogy JSC. 21
CCấấuu hhììnhnh đđịịaa chchỉỉ
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 8
Hyperlogy JSC. 22
CCấấuu hhììnhnh đđịịaa chchỉỉ
VVààoo têntên vvàà llớớpp đđịịaa chchỉỉ ccầầnn thêmthêm..
MMụụcc đđííchch: : KhiKhi ttạạoo luluậậtt trongtrong phphầầnn Policy Policy ccóóththểể ssửử ddụụngng ccáácc vvùùngng đđịịaa chchỉỉ ttạạoo rara..
PhPhầầnn Group Group llàà ttạạoo mmộộtt nhnhóómm ccáácc đđịịaa chchỉỉccầầnn ddùùngng..
Hyperlogy JSC. 23
CCấấuu hhììnhnh ddịịchch vvụụ
DDịịchch vvụụ
Hyperlogy JSC. 24
CCấấuu hhììnhnh ddịịchch vvụụ
Custom: Custom: TTạạoo ddịịchch vvụụ theotheo ý ý ngưngườờii ssửử ddụụngng
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 9
Hyperlogy JSC. 25
CCấấuu hhììnhnh ddịịchch vvụụ
NhNhóómm: : TTạạoo nhnhóómm ddịịchch vvụụ theotheo ý ý ngưngườờii ssửửddụụngng
Hyperlogy JSC. 26
CCấấuu hhììnhnh policypolicy
MMụụcc nnààyy llàà mmụụcc quanquan trtrọọngng nhnhấấtt ccủủaaFirewall.Firewall.CCấấuu hhììnhnh Policy Policy chocho phphéépp ccáácc vvùùngng điđi vvààoonhaunhau đưđượợcc ssửử ddụụngng ddịịchch vvụụ ggìì..VVíí ddụụ::
TTừừ Internal Internal vvààoo Wan1 Wan1 đưđượợcc ssửử ddụụngng ddịịchch vvụụhttp.http.TTừừ DmzDmz vvààoo Internal Internal đưđượợcc ssửử ddụụngng ddịịchch vvụụLotusNoteLotusNote..
Hyperlogy JSC. 27
CCấấuu hhììnhnh policypolicy
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 10
Hyperlogy JSC. 28
CCấấuu hhììnhnh PolicyPolicy
Hyperlogy JSC. 29
CCấấuu hhììnhnh VIPVIP
VIP VIP ChChứứcc năngnăng ddùùngng đđểể map map mmộộtt trangtrang web web hohoặặccmmộộtt ddịịchch vvụụ nnààoo đđóó trongtrong mmạạngng nnộộii bbộộ rara ngongoààiiinternet internet thôngthông qua qua mmộộtt đđịịaa chchỉỉ IP public IP public bênbênngongoààii..VIP VIP ccóó 2 2 chchếế đđộộ llàà Static Static natnat vvàà Port Forwarding.Port Forwarding.
Static Static natnat llàà natnat ttĩĩnhnh mmộộtt đđịịaa chchỉỉ ththậậtt ttừừ ngongoààii vvààootrongtrong..Port Forwarding Port Forwarding llàà natnat mmộộtt port port ttừừ đđịịaa chchỉỉ ngongoààii vvààoommộộtt port port trongtrong ccủủaa mmộộtt đđịịaa chchỉỉ bênbên trongtrong..
Hyperlogy JSC. 30
CCấấuu hhììnhnh VIPVIP
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 11
Hyperlogy JSC. 31
CCấấuu hhììnhnh profileprofile
ChChứứcc năngnăng nnààyy ddùùngng đđểể kkííchch hohoạạtt ttíínhnhnăngnăng llọọcc chchặặnn virus, virus, chchặặnn file, file, chchặặnn spam, spam, llọọcc web, web, chchốốngng ttấấnn côngcông IPS.IPS.
MMặặcc đđịịnhnh đãđã ccóó ccáácc Protection Profile Protection Profile sausau::Strict, scan, web, unfiltered.Strict, scan, web, unfiltered.NgưNgườờii ssửử ddụụngng ccóó ththểể ttạạoo thêmthêm ccáácc Profile Profile khkháácc theotheo yêuyêu ccầầuu ssửử ddụụngng..
Hyperlogy JSC. 32
CCấấuu hhììnhnh profileprofile
Hyperlogy JSC. 33
CCấấuu hhììnhnh ProfileProfile
TTạạoo mmộộtt Profile Profile mmớớii::
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 12
Hyperlogy JSC. 34
CCấấuu hhììnhnh IPSIPS
IPS IPS chchốốngng ttấấnn côngcông hhệệ ththốốngng do do ccáácc bug bug ccủủaa chươngchương trtrììnhnh ứứngng ddụụngng đangđang chchạạyy..
Signature: Signature: CCáácc mmẫẫuu ttấấnn côngcông ứứngng ddụụngng ssẵẵnnccóó. . AnimalyAnimaly: : TTíínhnh bbấấtt thưthườờngng ccủủaa luluồồngng tin qua tin qua llạạii. . NhưNhư icmpicmp, , v.vv.v……
Hyperlogy JSC. 35
CCấấuu hhììnhnh IPSIPS
Hyperlogy JSC. 36
CCấấuu hhììnhnh AntiVirusAntiVirus
TTíínhnh năngnăng nnààyy chchốốngng ccáácc loloạạii virus virus đưđượợccccậậpp nhnhậậtt qua qua ccáácc trungtrung tâmtâm nghiênnghiên ccứứuuccủủaa fortinetfortinet trêntrên totoàànn ththếế gigiớớii..PhPhầầnn nnààyy ccóó 2 2 ttíínhnh năngnăng chchíínhnh đđóó llàà
File block.File block.Virus List.Virus List.
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 13
Hyperlogy JSC. 37
CCấấuu hhììnhnh IPSIPS
Hyperlogy JSC. 38
CCấấuu hhììnhnh AntiSpamAntiSpam
Spam Spam llàà mmộộtt vvấấnn đđềề rrấấtt llớớnn trêntrên ththếế gigiớớiihihiệệnn nay.nay.ViViệệcc llọọcc chchặặnn spam spam rrấấtt khkhóó khănkhăn do spam do spam đưđượợcc bibiếếnn đđổổii dưdướớii nhinhiềềuu hhììnhnh ththứứcc khkhááccnhaunhau. . PhPhổổ bibiếếnn nhnhấấtt bâybây gigiờờ llàà thưthư rráácc..TrongTrong firewall FG firewall FG ccóó ttíínhnh năngnăng chchốốngng spam spam theotheo ccáácc mmứứcc sausau::
FortiguardFortiguard AntispamAntispamIP addressIP address
Hyperlogy JSC. 39
CCấấuu hhììnhnh AntiSpamAntiSpam
DNSBLDNSBLEmailEmail--addressaddressMime HeadersMime HeadersBanned WordBanned Word
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 14
Hyperlogy JSC. 40
CCấấuu hhììnhnh Web filteringWeb filtering
TTíínhnh năngnăng titiếếpp theotheo llàà llọọcc webwebContent BlockContent BlockURL BlockURL BlockURL ExemptURL ExemptCategory BlockCategory BlockScript FilterScript Filter
Hyperlogy JSC. 41
CCấấuu hhììnhnh LLọọcc WebWeb
Hyperlogy JSC. 42
CCấấuu hhììnhnh log log vvàà ccảảnhnh bbááoo
TrongTrong phphầầnn log log ccóó haihai phphầầnn chchíínhnhCCấấuu hhììnhnh loglogĐĐặặtt log log hihiểểnn ththịị..ThôngThông bbááoo qua email.qua email.LLọọcc thôngthông tin tin hihiểểnn ththịị log.log.
XemXem log log XemXem event.event.XemXem ttấấnn côngcông..XemXem virus virus ttấấnn côngcông..XemXem spam.spam.XemXem thôngthông tin tin vvềề trangtrang đưđượợcc llọọcc..
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 15
Hyperlogy JSC. 43
CCấấuu hhììnhnh log log vvàà ccảảnhnh bbááoo
TrongTrong dòngdòng firewall firewall chocho doanhdoanh nghinghiệệpp vvừừaallớớnn vvàà ISP ISP ccóó llắắpp thêmthêm ổổ ccứứngng đđểể lưulưu log.log.CònCòn xemxem log log trêntrên firewall firewall ccóó ththểể xemxem log log trêntrên memmem..XemXem log log trêntrên thithiếếtt bbịị FortilogFortilog..
Hyperlogy JSC. 44
CCấấuu hhììnhnh log log vvàà ccảảnhnh bbááoo
Hyperlogy JSC. 45
CCấấuu hhììnhnh CLICLI
NNếếuu ssửử ddụụngng ccấấuu hhììnhnh qua qua ccổổngng console console ththìì ccóó ththểể ssửử ddụụngng ccáácc côngcông ccụụ sausau::
HyperTerminalHyperTerminalSecureCRTSecureCRT
v.v.vv.v.v..
NNếếuu ssửử ddụụngng ccấấuu hhììnhnh qua qua telnet,sshtelnet,ssh ththìì ccóóththểể ssửử ddụụngng putty, command, putty, command, SecureCRTSecureCRT..
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 16
Hyperlogy JSC. 46
CCấấuu hhììnhnh CLICLI
Hyperlogy JSC. 47
CCấấuu hhììnhnh CLICLI
SSửử ddụụngng dòngdòng llệệnhnh ccóó ththểể kikiểểmm tratra đưđượợccggóóii tin tin đangđang điđi vvàà debug debug đưđượợcc llỗỗii xxảảyy raratrongtrong ququáá trtrììnhnh kkếếtt nnốốii trêntrên Firewall.Firewall.VVíí ddụụ
diagnose diagnose sniffersniffer packet internal 'packet internal 'tcptcp and port 80and port 80‘‘diagnose debug application diagnose debug application ikeike 77diagnose debug enablediagnose debug enable
Hyperlogy JSC. 48
CCấấuu hhììnhnh CLICLI
NNếếuu ssửử ddụụngng ccấấuu hhììnhnh qua qua ccổổngng console console ththìì ccóó ththểể ssửử ddụụngng ccáácc côngcông ccụụ sausau::
HyperTerminalHyperTerminalSecureCRTSecureCRT
v.v.vv.v.v..
NNếếuu ssửử ddụụngng ccấấuu hhììnhnh qua qua telnet,sshtelnet,ssh ththìì ccóóththểể ssửử ddụụngng putty, command, putty, command, SecureCRTSecureCRT..
Cấu hình firewall FortiGate - Tài liệu lưu hành nội bộ
Copyright 2007 Hyperlogy JSC. 17
TrânTrân trtrọọngng ccáámm ơnơn !!
Hyperlogy JSC.