Tải bản đầy đủ (.pdf) (68 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

chuyên đề tìm hiểu thiết bị bảo vệ fortigate-50 và các ứng dụng website bưu điện tỉnh ninh thuận

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (755.29 KB, 68 trang )

Bu Điện Tỉnh Ninh Thuận
Trung tâm tin học









Chuyên Đề :

Tìm Hiểu Thiết Bị Bảo Vệ FortiGate-50
Và Các ứng Dụng Cho Website Bu Điện Tỉnh Ninh Thuận














Ngời thực hiện : Nguyễn Khắc Liêm
Đơn vị : Trung Tâm Tin Học








Tháng 11/2003


1
Mở Đầu
Ngày nay cùng với sự phát triển của các ngành kinh tế xã hội, thì công nghệ thông tin ngày càng
đợc ứng dụng vào các lĩnh vực ngày càng trở nên phổ biến nhất là trong lĩnh vực sản xuất kinh doanh,
máy tính ngày trở thành công cụ càng không thể thiếu trong các công việc quản lý, sản xuất kinh
doanh, nó đợc ứng dụng rộng rãi trong các ngành nghề khác nhau : xây dựng, kế toán, quản lý nhân
sự, tiền lơng . . . . Nhờ sự trợ giúp của máy tính, mà công việc quản lý công việc trở nên nhanh chóng
và chính xác, số liệu đợc lu trữ gọn nhẹ.
Số lợng máy tính đợc đầu t tại các cơ quan, công sở mỗi năm một tăng, tại Bu điện tỉnh số
lợng máy hiện nay khoảng 185 máy. Khi số lợng máy tính ngày một tăng thì việc hình thành mạng
máy tính nội bộ để có thể chia sẻ các tài nguyên trên mạng, truyền số liệu, in qua mạng, chạy các
chơng trình ứng dụng qua mạng, duyệt các trang web nội bộ, gởi th điện tử qua mạng, đăng những
thông báo chung cho toàn thể CBCNV trong cơ quan . . . . đó là những u điểm của mạng máy tính mà
mọi ngời có thể thừa hởng khi máy tính đợc kết nối vào mạng. Tuy nhiên bên cạnh những tiện ích
của mạng máy tính mang lại thì việc kết nối máy tính vào mạng cũng có những vấn đề mà mọi ngời
cũng rất quan tâm đó là vấn đề an ninh mạng đặc biệt là khi ta kết nối mạng nội bộ vào mạng Internet
thì công việc này càng đợc quan tâm hàng đầu vì những lý do : việc lây nhiễm virus máy tính qua
mạng làm ngng hoạt động của máy, truy cập trái phép vào mạng để đánh cắp mật khẩu, đánh cắp dữ
liệu, xoá dữ liệu . . . . Tại Bu điện tỉnh hiện nay đã hình thành mạng máy tính nội bộ (LAN) và một
website đợc kết nối trực tiếp vào mạng Inetrnet, chính vì vậy mà vấn đề an ninh mạng là không thể
không quan tâm đến.

Hiện nay có nhiều phơng pháp cho vấn đề an ninh mạng bằng các bức tờng lửa (Firewall) tại các
nốt mạng bằng việc sử dụng các phần mềm và phần cứng. Trong số các thiết bị phần cứng hiện nay
đang sử dụng thì FortiGate là một trong những thiết bị dùng làm bức tờng lửa đang đợc sử dụng ở
nhiều nơi .
Tại nốt mạng của Bu điện tỉnh hiện đang đợc trang bị một thiết bị FortiGate-50 nhằm tăng
cờng giám sát an ninh mạng của việc truy cập từ bên trong mạng nội bộ đi ra Internet cũng nh việc
truy cập từ mạng Internet vào website của Bu điện tỉnh, FortiGate-50 là một thiết bị phần cứng dùng
làm bức tờng lửa (Firewall) có nhiều tính năng chuyên dụng .
Với sự giúp đỡ của các đồng nghiệp tại Trung tâm tin học Bu điện tỉnh, tôi đã tiến hành tìm hiểu
thiết bị bảo vệ FortiGate-50 và các ứng dụng cho website Bu điện tỉnh Ninh Thuận nhằm mục đích tìm
hiểu các chức năng của thiết bị qua đó ứng dụng cho website Bu điện tỉnh.
Trong quá trinh thực hiện do thời gian có hạn vì vậy không thể tránh khỏi những thiếu sót . Rất
mong đợc sự góp ý chân thành của các đồng nghiệp và của các CBCNV trong Bu điện tỉnh.
2
Nhập Môn (Getting started)
Phần này mô tả cách tháo mở, cài đặt, và bật nguồn điện cho thiết bị FortiGate. Một khi đã hoàn
thành những thủ tục trong chơng này, ta có thể tiến hành các bớc sau :
Nếu ta cho FortiGate chạy trong kiểu NAT/Route xem phần cài đặt kiểu NAT/Route
Nếu ta cho FortiGate chạy trong kiểu Transparent xem phần cài đặt kiểu Transparent
Phần này bao gồm :
Các vật dụng trong thùng hàng
Lắp đặt
Mở nguồn điện
Những bớc tiếp theo
Các vật dụng trong thùng hàng
Thùng chứa FortiGate - 50 gồm những mục sau :
FortiGate - 50
Một sợi cáp chéo màu cam
Một sợi cáp bình thờng màu xám
Một sợi cáp modem

Hớng dẫn FortiGate - 50 QuickStart
Một đĩa CD chứa tài liệu sử dụng FortiGate - 50 và hớng dẫn tham khảo FortiGate CLI
Một bộ Adapter AC
Hình 2 : Thùng hàng chứa FortiGate - 50










Lắp đặt
FortiGate-50 có thể lắp đặt trên bất kỳ bề mặt phẳng ổn định nào. Mặc phẳng đặt thiết bị có ít nhất
3.75 cm khoảng trống cho mỗi cạnh để thoáng mát.
Kích thớc
21.9 x 15.6 x 3.5 cm
Trọng lợng
0.68 kg
Yêu cầu nguồn điện
Điện áp DC vào : 5V
Dòng điện DC vào : 3A
Những yêu cầu về môi trờng
Nhiệt độ cho hoạt động của thiết bị : từ 0 tới 40
o
C
Nhiệt độ kho lu trữ : từ -25 tới 70
o

C
Độ ẩm : 5 tới 95 %
Mở nguồn điện
1 Nối bộ Adapter AC tới đầu nối nguồn điện ở phía sau của FortiGate-50.
2 Nối bộ Adapter AC tới nguồn điện bên ngoài.
FortiGate - 50 bắt đầu hoạt động. Đèn nguồn và trạng thái sáng lên. ánh sáng đèn trạng thái chớp sáng
trong khi FortiGate-50 khởi động và nó sáng khi hệ thống chạy.




3



Bảng 1 : các chỉ tiêu hớng dẫn FortiGate-50

LED LED State Mô tả
Xanh lục Nguồn điện FortiGate mở.
Nguồn điện
Tắt Nguồn điện FortiGate tắt.
Chớp xanh FortiGate đang bắt đầu.
Xanh lục FortiGate đang chạy bình thờng.
Trạng thái
Tắt Nguồn điện FortiGate tắt.
Xanh lục Cáp đang đợc sử dụng đúng và thiết bị đang đợc nối với
nguồn điện.
Chớp xanh Mạng đang hoạt động tại giao diện này.
Internal
External

(mặt trớc)
Tắt Không có liên kết nào đợc thiết lập.
Xanh lục Cáp đang đợc sử dụng đúng và thiết bị đang đợc nối với
nguồn điện .
Chớp màu hổ
phách
Mạng đang hoạt động tại giao diện này.
Internal
External (mặc
sau)
Tắt Không có liên kết nào đợc thiết lập.

Hình 3 : Mặt trớc và mặt sau của FortiGate-50


















Những bớc tiếp theo
Bây giờ FortiGate đã chạy, ta có thể tiến hành cấu hình cho nó :
Nếu ta cho FortiGate chạy trong kiểu NAT/Route xem phần cài đặt kiểu NAT/Route
Nếu ta cho FortiGate chạy trong kiểu Transparent xem phần cài đặt kiểu Transparent
Cấu Hình Theo Chế Độ NAT/Route (NAT/Route mode installation)
Chơng này mô tả cách cấu hình FortiGate trong chế độ NAT/Route.
Chơng này bao gồm :
Chuẩn bị cấu hình trong chế độ NAT/Route.
Cài đặt theo hớng dẫn từng bớc (wizard)
Sử dụng giao diện dòng lệnh
Kết nối tới mạng của ta
Cấu hình mạng bên trong (mạng nội bộ)
Hoàn thành việc cấu hình
4
Chuẩn bị cấu hình trong chế độ NAT/Route
Khi FortiGate khởi động lần đầu tiên, nó chạy trong chế độ NAT/Route và có cấu hình cơ bản trong
table 2.
Bảng 2 : Cấu hình năng lợng cho FortiGate

Thao tác :
NAT/Route
Administrator
Account:
User name:
Password:
Admin
(none)
Internal Interface:
IP:
Netmask:

192.168.1.99
255.255.255.0
External Interface:
IP:
Netmask:
Manual: Default Gateway:
Primary DNS Server:
Secondary DNS Server:
192.168.100.99
255.255.255.0
(none)
207.194.200.1
207.194.200.129

Cấu hình tuỳ chọn trong phơng thức NAT/Route
Sử dụng table 3 để cấu hình tuỳ chọn trong phơng thức NAT/Route
Bảng 3 : NAT/Route

Administrator Password:
Internal
Interface:
IP:
Netmask:
_____._____._____._____
_____._____._____._____
External
Interface:
IP:
Netmask:
Default Gateway:

Primary DNS Server:
Secondary DNS Server:
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
Web Server:

SMTP: _____._____._____._____
Mail Server:
POP3: _____._____._____._____
FTP Server: _____._____._____._____
Internal Server
Settings:
Nếu ta truy cập từ Internet đến một web Server, mail Server, hoặc FTP
Server để cấu hình mạng bên trong, hãy thêm những địa chỉ IP của
những Server ở đây.

Cấu hình cao cho phơng thức NAT/Route
Sử dụng bảng 4 để xem thông tin cần để cấu hình tùy chọn cấp cao cho FortiGate trong phơng thức
NAT/Route .
Bảng 4 : cấu hình tùy chọn cấp cao cho FortiGate

Nếu ISP cung cấp 1 địa chỉ IP dùng DHCP
DHCP: không có thông tin yêu cầu

PPPoE: User name:
Password:


External
Nếu ISP cung cấp 1 địa chỉ IP dùng PPPoE, ghi tên và mật khẩu ngời
dùng PPPoE.
_____._____._____._____
_____._____._____._____
_____._____._____._____
Cấu hình
DHCP Server

Starting IP:
Ending IP:
Netmask:
Default Route:
_____._____._____._____
5
DNS IP: _____._____._____._____

FortiGate chứa một DHCP server mà ta có thể cấu hình để tự động đặt địa
chỉ của các máy tính ở mạng bên trong.

Dùng cấu hình từng bớc
Sử dụng những thủ tục trong phần này để nối tới trang web quản lý để cài đặt từng bớc cho việc cấu
hình FortiGate.
Kết nối tới trang web quản lý
Yêu cầu :
Một máy tính kết nối mạng
Trình duyệt web Internet Explorer phiên bản 4.0 hoặc cao hơn
Một sợi cáp chéo hoặc một hub và hai cáp sợi cáp mạng để kết nối tới trang web quản lý
1 Đặt 1 địa chỉ IP cho máy tính với một kết nối mạng tới 1 địa chỉ IP tĩnh 192.168.1.2 và một netmask
là 255.255.255.0.

2 Sử dụng cáp chéo hoặc các sợi cáp mạng và hub để kết nối giao diện mạng bên trong của FortiGate
tới kết nối của máy tính.
3 Khởi động Internet Explorer và duyệt tới địa chỉ https: // 192.168.1.99. Trang đăng nhập FortiGate
xuất hiện.
4 Gõ admin trong phần tên và chọn login.
Hình 4 : trang đăng nhập FortiGate
Hình trang 15





















Bắt đầu cài đặt bức tờng lửa (firewall) từng bớc theo hớng dẫn
1 Chọn nút Wizard bên góc phải của trang web quản lý.

2 Sử dụng các thông tin trong bảng 3 để điền vào và chọn nút next để qua trang kế tiếp.
3 Xác nhận cấu hình đã cài đặt sau đó chọn nút Finish để hoàn tất và đóng lại.
Kết nối trở lại trang web quản lý
nếu bạn thay đổi địa chỉ IP của giao diện bên trong trong khi sử dụng cài đặt từng bớc, ta cần kết nối
trở lại trang web quản lý sử dụng một địa chỉ IP mới. Duyệt https: // bởi địa chỉ IP mới của giao diện
bên trong. Cách khác, ta có thể kết nối trở lại trang web quản lý duyệt bởi https: // 192.168.1.99.
Sử dụng giao diện lệnh
Ta có thể cấu hình cho FortiGate sử dụng giao diện lệnh (Command Line Interface - CLI).
Các yêu cầu để kết nối tới FortiGate CLI :
Một máy tính với một cổng truyền thông
Cắm cáp mô đem đầu rỗng vào đầu nối có 9 chốt để nối tới FortiGate (RS-232 serial connector)
6
Phần mềm mô phỏng giống nh HyperTerminal đối với Windows
Kết nối tới CLI
1 Nối cáp mô đem giữa đầu Console của FortiGate và cổng truyền thông trên máy tính
2 Phải chắc chắn rằng FortiGate đang mở điện.
3 Bắt đầu HyperTerminal, nhập tên cho kết nối rồi chọn OK.
4 Kiểu trong cổng truyền thông kết nối sử dụng field và chọn OK.
5 Chọn cổng sau để cài đặt rồi chọn OK :
6 Nhấn Enter để nối tới FortiGate CLI.
Lời nhắc sau xuất hiện trên màn hình :
Fortinet login :
7 Gõ vào admin và nhấn Enter hai lần.
Lời nhắc sau xuất hiện trên màn hình :
Type ? for a list of commands.
Bits per second 9600
Data bits 8
Parity None
Stop bits 1
Flow control None

cấu hình FortiGate chạy trong chế độ NAT/Route
cấu hình địa chỉ Iptrong chế độ NAT/Route
1 Đăng nhập tới CLI nếu ta cha đăng nhập.
2 Đặt địa chỉ IP và netmask cho giao diện mạng bên trong nh trong bảng 3
set system interface internal ip <IP Address> <Netmask>
Ví dụ :
set system interface internal ip 192.168.1.1 255.255.255.0
3 Đặt địa chỉ IP và netmask cho giao diện mạng bên ngoài nh trong bảng 3
set system interface external manual ip <IP Address> <Netmask>
Ví dụ
set system interface external manual ip 204.23.1.5 255.255.255.0
Để cài đặt giao diện ngoài để sử dụng DHCP nhập vào :
set system interface external dhcp enable
Để cài đặt giao diện ngoài để sử dụng PPPoE nhập vào :
set system interface external pppoe enable <user name> <password>
Ví dụ
set system interface external pppoe enable username password
4 Xác nhận lại những địa chỉ nhập vào là đúng.
Get system interface
Cấu hình Default Gateway trong phơng thức NAT/Route
1 Đăng nhập tới CLI nếu ta cha đăng nhập.
2 Đặt default route tới Địa chỉ IP của default gateway trong bảng 3
set system route add 0.0.0.0 0.0.0.0 gw <IP Address> dev external
Ví dụ
set system route add 0.0.0.0 0.0.0.0 gw 204.23.1.2 dev external
Kết nối tới mạng của ta
Mỗi lần hoàn thành cấu hình, ta có thể cho kết nối FortiGate giữa mạng bên trong và Internet.
Có hai kết nối 10/100 BaseTX trên FortiGate-50 :
Bên trong để kết nối tới mạng bên trong
Bên ngoài cho kết nối tới switch hoặc router công cộng và Internet

Để kết nối cho FortiGate - 50 :
1 Kết nối giao diện bên trong tới hub hoặc switch nối tới mạng bên trong.
2 Kết nối giao diện bên ngoài tới switch hoặc router cung cấp bởi các dịch vụ trên Internet



7

Hình 5 : FortiGate-50 kết nối mạng
Hình trang 18

























Cấu hình mạng bên trong
Nếu đang chạy FortiGate trong chế độ NAT/Route , mạng bên trong cần phải cấu hình để ấn định tất
cả các luồng lu thông ở mạng bên trong đến địa chỉ của giao diện bên trong của FortiGate. Điều này
có nghĩa là thay đổi địa chỉ default gateway của tất cả các máy tính và những router nối trực tiếp đối với
mạng bên trong.
Nếu ta sử dụng FortiGate nh DHCP Server cho mạng bên trong, hãy cấu hình những máy tính của
mạng bên trong cho DHCP. Sử dụng địa chỉ bên trong của FortiGate nh địa chỉ IP DHCP Server.
Hoàn thành cấu hình
Cài đặt ngày tháng và giờ
Để cho việc đăng nhập và lập lịch có hiệu quả , ngày tháng và giờ của FortiGate cần phải chính xác.
Ta có thể cài đặt thời gian của FortiGate bằng tay hoặc có thể cấu hình cho FortiGate để tự động giữ
cho thời gian của nó đúng và đồng bộ với thời gian của giao thức mạng (Network time protocol - NTP)
trên server.
Cấu Hình Theo Chế Độ Transparent (Transparent mode installation)
Chơng này bao gồm :
Chuẩn bị cấu hình theo chế độ Transparent
Cài đặt theo hớng dẫn từng bớc (wizard)
Sử dụng giao diện dòng lệnh
Cài đặt ngày tháng và thời gian
Kết nối tới mạng của ta
Chuẩn bị cấu hình theo chế độ Transparent
Khi lần đầu tiên chuyển sang chế độ Transparent, FortiGate đợc liệt kê nh trong bảng 5
Bảng 5 : cấu hình FortiGate chế độ Transparent

Thao tác :
Transparent

8
Administrator
Account:
User name:
Password:
Admin
(none)
Management
Interface:
(Internal interface)
IP:
Netmask:
Default Gateway:
192.168.1.99
255.255.255.0
(none)

Cài đặt kiểu Transparent tuỳ chọn
Sử dụng bảng 6 để xem các thông tin cần thiết để cài đặt tùy chọn cho kiểu Transparent.
Bảng 6 : Cài đặt kiểu Transparent

Administrator Password:

IP:
Netmask:
Default Gateway:
_____._____._____._____
_____._____._____._____
_____._____._____._____
Địa chỉ Ip quản lý :

Địa chỉ IP và netmask quản lý phải hợp lệ cho mạng từ đó ta sẽ
quản lý FortiGate. Thêm vào một cổng mặc định (default
gateway) nếu muốn FortiGate nối tới một router để đến máy
tính quản lý.
cài đặt DNS :
Primary DNS server:
Secondary DNS server:
_____._____._____._____
_____._____._____._____

Cài đặt theo hớng dẫn từng bớc
Sử dụng những thủ tục trong phần này nối tới trang web quản lý để cài đặt từng bớc cho việc cấu
hình FortiGate.
Kết nối tới trang web quản lý
Các yêu cầu :
Một máy tính kết nối mạng
Trình duyệt web Internet Explorer phiên bản 4.0 hoặc cao hơn
Một sợi cáp chéo hoặc một hub và hai cáp sợi cáp mạng
Kết nối tới trang web quản lý :
1 Đặt 1 địa chỉ IP cho máy tính với một kết nối mạng tới 1 địa chỉ IP tĩnh 192.168.1.2 và một netmask
là 255.255.255.0.
2 Sử dụng cáp chéo hoặc các sợi cáp mạng và hub để kết nối giao diện mạng bên trong của FortiGate
tới máy tính.
3 Khởi động Internet Explorer và duyệt tới địa chỉ https: // 192.168.1.99.
Trang đăng nhập FortiGate xuất hiện.
4 Gõ admin trong phần tên và chọn login.
Hình 6 : đăng nhập FortiGate
Hình trang 22

9


















Thay đổi sang kiểu Transparent
Lần đầu kết nối tới FortiGate nó đợc cấu hình chạy trong chế độ NAT/Route.
Chuyển đổi sang chế độ Transparent sử dụng trang web quản lý :
1 Đi tới Firewall > Mode.
2 Chọn Transparent.
3 Chọn Apply.
4 Chọn OK.
Kết nối lại tới trang web quản lý, nối tới giao diện bên trong và duyệt web tới địa chỉ IP quản lý
trong chế độ Transparent https: // bởi địa chỉ IP quản lý. Mặc định địa chỉ IP quản lý của FortiGate
trong chế độ Transparent là 192.168.1.99.
Bắt đầu cài đặt từng bớc
1 Chọn nút Wizard button trong trang web quản lý.
2 Sử dụng thông tin trong bảng 6 để điền vào. chọn nút Next để qua bớc tiếp theo.

3 Xác nhận cấu hình mà ta đã cài đặt, sau đó chọn nút Finish để kết thúc và đóng lại.
Kết nối trở lại tới trang web quản lý
Nếu ta thay đổi địa chỉ IP của giao diện quản lý trong khi sử dụng cài đặt từng bớc, ta cần phải kết
nói trở lại tới trang web quản lý sử dụng một địa chỉ IP mới.
Duyệt https: // bởi địa chỉ IP mới của giao diện quản lý. Cách khác, ta có thể kết nối tới trang web quản
lý bởi https: // 192.168.1.99. Nếu ta kết nối tới giao diện quản lý qua một router thì chắc chắn rằng ta
đã thêm vào một cổng mặc định (default gateway) cho router đó đến địa chỉ IP quản lý.
Sử dụng giao diện dòng lệnh
Ta có thể cấu hình FortiGate sử dụng giao diện dòng lệnh (Command Line Interface -CLI).
Để kết nối tới FortiGate CLI cần phải có các yêu cầu :
Một máy tính với một cổng truyền thông
Cắm cáp mô đem đầu rỗng vào đầu nối có 9 chốt để nối tới FortiGate (RS-232 serial connector)
Phần mềm mô phỏng giống nh HyperTerminal đối với Windows
Nối tới CLI
1 Nối cáp mô đem vào đầu nối console của FortiGate và cổng truyền thông trên máy tính của ta.
2 Phải chắc chắn rằng FortiGate đang mở điện.
3 Bắt đầu HyperTerminal, nhập tên cho kết nối rồi chọn OK.
4 Kiểu trong cổng truyền thông kết nối sử dụng field và chọn OK.
5 Chọn cổng sau để cài đặt rồi chọn OK:
6 Nhấn Enter để nối tới FortiGate CLI.
Lời nhắc sau xuất hiện trên màn hình :
Fortinet login :
7 Gõ vào admin và nhấn Enter .
10
Lời nhắc sau xuất hiện trên màn hình :
Type ? for a list of commands.
Cấu hình FortiGate chạy trong kiểu Transparent
Sử dụng các thông tin trong bảng 6 để hoàn thành những thủ tục sau.
Thay đổi tới kiểu Transparent
1 Đăng nhập tới CLI nếu ta cha đăng nhập.

2 Chuyển đổi sang kiểu Transparent. Nhập vào :
set firewall opmode transparent
Sau vài giây, lời nhắc xuất hiện :
Fortinet login:
3 Gõ admin rồi nhấn Enter.
Lời nhắc xuất hiện :
Type ? for a list of commands.
4 Xác nhận FortiGate đã đợc chuyển sang kiểu Transparent. Nhập vào :
get system status
CLI hiển thị tình trạng của FortiGate. Hàng cuối cùng cho thấy kiểu thao tác hiện thời.
Version:Fortigate-50 2.26,build041,020617
virus-db:3.1(06/13/2002 15:30)
ids-db:1.0(06/05/2002 11:33)
Serial Number:FGT-502801021075
Operation mode: Transparent
Cấu hình địa chỉ IP quản lý kiểu Transparent
1 Đăng nhập tới CLI nếu ta cha đăng nhập.
2 Đặt địa chỉ IP và netmask của IP quản lý tới địa chỉ IP và netmask mà ta ghi trong bảng 6.
Nhập vào :
set system manageip ip <IP Address> <Netmask>
Ví dụ
set system manageip ip 10.10.10.2 255.255.255.0
Bits per second 9600
Data bits 8
Parity None
Stop bits 1
Flow control None
3 Xác nhận địa chỉ trên là đúng và nhập vào :
get system manageip
CLI liệt kê địa chỉ và netmask IP quản lý.

Cấu hình cổng mặc định (default gateway) kiểu Transparent
1 Đăng nhập tới CLI nếu ta cha đăng nhập.
2 Định tuyến đờng mặc định tới cổng mặc định ghi trong bảng 6. Nhập vào :
set system manageip gateway <IP Address>
Ví dụ :
set system manageip gateway 192.168.1.20
Cài đặt ngày tháng và giờ
Để cho việc đăng nhập và lập lịch có hiệu quả , ngày tháng và giờ của FortiGate cần phải chính xác.
Ta có thể cài đặt thời gian của FortiGate bằng tay hoặc có thể cấu hình cho FortiGate để tự động giữ
cho thời gian của nó đúng và đồng bộ với thời gian của giao thức mạng (Network time protocol - NTP)
trên server.

Hình 7 : FortiGate - 50 kết nối mạng
Hình trang 25




11


















Kết nối tới mạng của ta
Mỗi lần hoàn thành cấu hình, ta có thể cho kết nối FortiGate giữa mạng bên trong và Internet.
Có hai kết nối 10/100 BaseTX trên FortiGate - 50 :
Bên trong để kết nối tới mạng bên trong
Bên ngoài cho kết nối tới switch hoặc router công cộng và Internet
Để kết nối cho FortiGate -50 :
1 Kết nối giao diện bên trong tới hub hoặc switch nối tới mạng bên trong.
2 Kết nối giao diện bên ngoài tới switch hoặc router cung cấp bởi các dịch vụ trên Internet

Cấu Hình Bức Tờng Lửa Firewall (Firewall configuration)
Theo mặc định những ngời dùng ở mạng bên trong có thể nối xuyên qua FortiGate để đi ra
Internet. FortiGate ngăn tất cả các kết nối khác. FortiGate đợc cấu hình mặc định với một bức tờng
lửa có chính sách bảo mật phù hợp với bất kỳ yêu cầu kết nối nào nhận đợc từ mạng bên trong và chỉ
dẫn cho firewall để kết nối tới Internet.
Hình 8 : chính sách bảo mật mặc định
Hinh trang 27









Những chính sách bảo mật là những chỉ dẫn đợc sử dụng bởi firewall để quyết định làm gì với một
yêu cầu kết nối. Khi firewall nhận một yêu cầu kết nối từ bên trong của một gói (dữ liệu), nó phân tích
gói đó để rút trích ra địa chỉ nguồn , địa chỉ đích, và dịch vụ (số cổng).
Để cho gói đi qua đợc FortiGate, ta phải thêm một chính sách vào giao diện nhận gói. Chính sách đó
phải phù hợp với địa chỉ nguồn , địa chỉ đích, và dịch vụ của gói. Chính sách này sẽ định hớng hoạt
động cho firewall cần phải thực hiện trên gói. Các hoạt động có thể sẽ cho phép kết nối, hoặc từ chối
kết nối hoặc yêu cầu sự chứng thực trớc khi kết nối đợc cho phép. Ta cũng có thể thêm những lịch
trình làm việc vào chính sách bảo mật để firewall có thể xử lý những kết nối khác nhau phụ thuộc vào
thời gian trong ngày hoặc ngày trong tuần, tháng, hoặc năm.
Cấu hình những chính sách bảo mật :
Những kiểu chính sách
Thêm những chính sách
12
Thêm các địa chỉ
Thêm IPs ảo
Những dịch vụ
Những lịch trình làm việc
Những ngời dùng và sự chứng thực
Port Forwarding
Sự ràng buộc IP/MAC
Hình thành luồng lu thông
Những kiểu chính sách
Bớc đầu tiên trong việc cấu hình những chính sách bảo mật là cấu hình kiểu cho firewall. Firewall
có thể chạy trong kiểu NAT/Route hoặc kiểu Transparent.
Kiểu NAT/Route
Chọn kiểu NAT/Route để thay đổi địa chỉ mạng để bảo vệ những mạng riêng từ những mạng công
cộng. Trong kiểu NAT/Route, ta có thể nối một mạng riêng tới giao diện bên trong và một mạng công
cộng, nh Internet, giao diện ngoài. Rồi ta có thể tạo ra những chính sách kiểu NAT để chấp nhận hoặc
từ chối những kết nối giữa những mạng này. Những chính sách kiểu NAT che giấu địa chỉ những ngời
dùng của mạng bên trong khi họ vào Internet.

Trong NAT/Route ta cũng có thể tạo ra những chính sách kiểu định tuyến giữa những giao diện. Chính
sách kiểu định tuyến chấp nhận hoặc từ chối những kết nối giữa những mạng mà không thực hiện sự
dịch chuyển địa chỉ.
Kiểu Transparent
Chọn kiểu Transparent để cung cấp những sự bảo vệ firewall tới một mạng với các địa chỉ công cộng.
Không có những sự hạn chế về những địa chỉ của những giao diện của FortiGate. Bởi vậy, FortiGate có
thể đợc chèn vào vào trong mạng tại bất kỳ điểm nào mà không cần có những sự thay đổi cho mạng.
Trong kiểu Transparent, FortiGate làm việc nh một router.
Trong kiểu Transparent, ta tạo ra những chính sách kiểu router để chấp nhận hoặc từ chối những kết
nối giữa giao diện bên trong và giao diện bên ngoài. Ta quản lý FortiGate bởi việc kết nối tới một giao
diện quản lý kiểu Transparent xuyên qua giao diện bên trong.
Thay đổi tới kiểu Transparent
Ghi chú : Thay đổi tới kiểu Transparent sẽ xoá những chính sách trong firewall kiểu NAT/Route những
địa chỉ và những chính sách IPSec VPN.
Sử dụng trang web quản lý :
1 Đi tới Firewall > Mode.
2 Chọn Transparent.
3 Chọn Apply.
4 Chọn OK.
5 Kết nối trở lại trang web quản lý :
Kết nối tới giao diện bên trong và duyệt tới https: // địa chỉ IP quản lý trong kiểu Transparent . Địa chỉ
IP quản lý trong kiểu Transparent mặc định là 192.168.1.99.
Thay đổi tới kiểu NAT/Route
Ghi chú : Thay đổi tới kiểu NAT/Route xóa tất cả các chính sách firewall và những địa chỉ trong kiểu
Transparent.
Sử dụng trang web quản lý :
1 Đi tới Firewall > Mode.
2 Chọn NAT/Route.
3 Chọn Apply.
FortiGate thay đổi kiểu hoạt động.

4 Kết nối trở lại tới trang web quản lý, duyệt tới giao diện mà ta cấu hình cho sự quản lý truy cập sử
dụng https: // bởi địa chỉ IP của giao diện.
Thay đổi kiểu chính sách giữa những giao diện
Nếu firewall đang chạy trong kiểu NAT/Route, ta có thể cấu hình kiểu chính sách cho những kết nối
giữa giao diện bên trong và giao diện ngoài. Kiểu chính sách mặc định
là NAT.
Thay đổi kiểu chính sách giữa giao diện bên trong và giao diện ngoài sử dụng trang web quản lý :
13
1 Đi tới Firewall > Mode.
2 Chọn kiểu cho những kết nối giữa giao diện bên trong và giao diện ngoài.
Chọn NAT để thay đổi kiểu chính sách tới kiểu NAT. Chọn Route để thay đổi kiểu chính sách tới kiểu
Route.
3 Click vào nút Apply.
Thêm những chính sách
Thêm những chính sách bảo mật vào điều khiển những kết nối và luồng thông tin đi qua mạng giữa
những giao diện FortiGate.
Bớc đầu tiên thêm một chính sách là chọn một danh sách chính sách. Có 2 danh sách chính sách:
Một lần ta chọn danh sách chính sách, ta có thể thêm những chính sách vào những kết nối điều
khiển. Ta phải sắp đặt những chính sách trong danh sách chính sách để chúng có những kết quả mà ta
mong muốn.
Int To Ext Những chính sách cho những kết nối từ mạng bên trong đến mạng ngoài (Internet).
Ext To Int Những chính sách cho những kết nối từ mạng ngoài đến mạng bên trong.
Sử dụng những thủ tục sau để thêm những chính sách :
Thêm những chính sách kiểu Route
Thêm những chính sách kiểu NAT
Sửa đổi chính sách
Sắp xếp các chính sách trong danh sách chính sách
Thêm những chính sách cho kiểu Route
Khi firewall đang chạy trong kiểu Transparent, tất cả các chính sách đều là những chính sách kiểu
Route.

Khi firewall đang chạy trong NAT/Route, những chính sách là những chính sách kiểu Route. Khi kiểu
chính sách giữa hai giao diện đợc cài đặt kiểu Route.
Để thêm một chính sách kiểu Route :
1 Đi tới Firewall > Policy.
2 Chọn một bảng danh sách chính sách.
3 Click New để thêm một chính sách mới.
4 Cấu hình chính sách.

14
Source




Destination




Schedule

Service


Action






Log Traffic

Traffic Shaping


Một địa chỉ phù hợp với địa chỉ nguồn của gói. Địa chỉ này có thể là một địa
chỉ IP đơn hoặc một phạm vi địa chỉ. Trớc khi ta có thể thêm địa chỉ này
vào một chính sách, ta phải thêm nó vào giao diện nguồn. Địa chỉ này phải
là một địa chỉ IP hợp lệ cho mạng kết nối tới giao diện nguồn.

Một địa chỉ phù hợp với địa chỉ đích của gói. Địa chỉ này có thể là một địa
chỉ IP đơn hoặc một phạm vi địa chỉ. Trớc khi ta có thể thêm địa chỉ này
vào một chính sách, ta phải thêm nó vào giao diện nơi đến. Địa chỉ này phải
là một IP hợp lệ cho mạng kết nối tới giao diện đích.
Một lịch trình làm việc mà nó điều khiển khi chính sách này hoạt động.
Trong thời gian mà lịch trình làm việc thì những chính sách hợp lệ sẵn có thì
phù hợp với với những kết nối.
Một dịch vụ mà phù hợp với dịch vụ (hoặc số cổng) của gói. Ta có thể lựa
chọn từ một phạm vi rộng của những dịch vụ có sẵn, hoặc thêm những nhóm
dịch vụ và dịch vụ tuỳ chọn.
Chọn firewall nh thế nào để trả lời khi nào khi một chính sách phù hợp với
một kết nối. Ta có thể cấu hình chính sách cho firewall để chấp nhận kết
nối, từ chối kết nối, hoặc yêu cầu những ngời dùng xác nhận (chứng thực)
với firewall trớc khi firewall chấp nhận kết nối. Sự chứng thực thì không có
sẵn trong kiểu Transparent.

Trong tuỳ chọn (Optionally) chọn Log Traffic để thêm những thông báo vào
Log Traffic bất cứ khi nào mà chính sách xử lý một kết nối.
Trong tuỳ chọn (Optionally) chọn Traffic Shaping để điều khiển bandwidth
sẵn có và đặt quyền u tiên xử lý luồng thông tin bởi chính sách.


5 Chọn OK để thêm chính sách.
Chính sách đợc thêm vào danh sách chính sách đợc chọn. Ta phải sắp xếp những chính sách trong
danh sách chính sách để chúng có những kết quả mong muốn.

15
Hình 9 : chính sách kiểu Route (NAT/Route)
Hinh trang 31























Thêm những chính sách kiểu NAT
Những chính sách kiểu NAT cung cấp sự chuyển đổi địa chỉ mạng giữa những giao diện. Mặc định
khi firewall đang chạy trong kiểu NAT/Route, nó đợc cấu hình cho những chính sách kiểu NAT giữa
giao diện bên ngoài và giao diện bên trong. Những chính sách kiểu NAT che giấu những địa chỉ IP ở
mạng bên trong khi đến Internet.
Những chính sách kiểu NAT cho những kết nối từ giao diện bên trong đến giao diện ngoài chuyển
đổi địa chỉ nguồn của những gói (dữ liệu) tới địa chỉ của giao diện ngoài. Firewall thực hiện sự chuyển
đổi địa chỉ này một cách tự động bởi vì nó biết địa chỉ của giao diện ngoài của nó.
Đối với những kết nối từ giao diện ngoài đến giao diện bên trong, những chính sách kiểu NAT phải
chuyển đổi địa chỉ đích của gói (dữ liệu) từ một địa chỉ trên Internet đến một địa chỉ ở mạng bên trong.
Ta phải thêm thông tin mà firewall cần để có thể vẽ bản đồ địa chỉ nơi đến của gói vào một địa chỉ ở
mạng bên trong. Bản đồ này đợc xem nh một IP ảo.
Một IP ảo cần thêm vào Ext to Int trong những chính sách kiểu NAT.
Để thêm một chính sách kiểu NAT :
1 Đi tới Firewall > Policy.
2 Chọn một bảng danh sách chính sách.
3 Chọn New để thêm một chính sách mới.
4 Cấu hình chính sách.
16
Hình 10 : Ext to In chính sách kiểu NAT
Hinh trang 32





















Source



Destination



Schedule


Service


Action





Reverse NAT

Log Traffic

Traffic Shaping
Một địa chỉ phù hợp với địa chỉ nguồn của gói (dữ liệu). Địa chỉ này có thể là
một địa chỉ IP đơn hoặc một phạm vi địa chỉ. Trớc khi ta thêm địa chỉ này vào
một chính sách, ta phải thêm nó vào giao diện nguồn. Địa chỉ này phải là một địa
chỉ IP hợp lệ cho mạng kết nối tới giao diện nguồn.
Một địa chỉ phù hợp với địa chỉ nơi đến của gói. Địa chỉ này có thể là một địa chỉ
IP đơn hoặc một phạm vi địa chỉ. Trớc khi ta thêm địa chỉ này vào một chính
sách, ta phải thêm nó vào giao diện nơi đến. Địa chỉ này phải là một IP hợp lệ cho
mạng kết nối tới giao diện nơi đến.
Một lịch trình làm việc điều khiển khi một chính sách hoạt động. Trong thời gian
mà lịch trình làm việc thì những chính sách hợp lệ sẵn có thì phù hợp với với
những kết nối.
Một dịch vụ mà phù hợp với dịch vụ (hoặc số cổng) của gói. Ta có thể lựa chọn
từ một phạm vi rộng của những dịch vụ có sẵn, hoặc thêm những nhóm dịch vụ
và dịch vụ tuỳ chọn.
Chọn firewall nh thế nào để trả lời khi nào khi một chính sách phù hợp với một
kết nối. Ta có thể cấu hình chính sách cho firewall để chấp nhận kết nối, từ chối
kết nối, hoặc yêu cầu những ngời dùng xác nhận (chứng thực) với firewall trớc
khi firewall chấp nhận kết nối. Sự chứng thực thì không có sẵn trong kiểu
Transparent
Những chính sách trong Ext to Int ta có thể chọn Reverse NAT để thực hiện đảo
địa chỉ mạng trên các gói.
Trong tuỳ chọn (Optionally) chọn Log Traffic để thêm những thông báo vào Log
Traffic bất cứ khi nào mà chính sách xử lý một kết nối.
Trong tuỳ chọn (Optionally) chọn Traffic Shaping để điều khiển bandwidth sẵn
có và đặt quyền u tiên xử lý luồng thông tin bởi chính sách.


5 Chọn OK để thêm chính sách.
Chính sách đợc thêm vào trong danh sách chính sách đợc chọn. Ta phải sắp xếp những chính sách
trong danh sách chính sách để chúng có những kết quả nh mong muốn.
Sửa đổi những chính sách
1 Đi tới Firewall >Policy.
2 Chọn bảng chứa chính sách để sửa đổi.
17
3 Chọn chính sách sửa đổi và chọn Edit.
4 Sửa đổi những chính sách thiết lập nh đợc yêu cầu.
5 Chọn OK lu lại những sự thay đổi.
Sắp xếp những chính sách trong danh sách chính sách
Những chính sách phù hợp của FortiGate đợc tìm kiếm bắt đầu từ đỉnh của danh sách chính sách và
di chuyển xuống cho đến khi nó tìm thấy chính sách phù hợp đầu tiên. Ta phải sắp xếp những chính
sách trong danh sách chính sách từ đặc biệt đến tổng quát.
Ví dụ, chính sách mặc định là một chính sách rất tổng quát bởi vì nó phù hợp với tất cả kết nối. Để tạo
ra những ngoại lệ cho chính sách này, chúng cần phải đợc thêm vào danh sách chính sách ở trong
chính sách mặc định. Không có chính sách nào ở dới chính sách mặc định sẽ phù hợp.
Chi tiết trong chính sách phù hợp
Khi FortiGate nhận một kết nối tại một giao diện, nó phải phù hợp với kết nối tới một chính sách
trong mỗi danh sách chính sách Int to Ext hoặc Ext to Int . FortiGate bắt đầu ở tại đỉnh của danh sách
chính sách của giao diện mà nhận kết nối và tìm kiếm xuống trong danh sách cho đến khi gặp chính
sách đầu tiên mà phù hợp với kết nối về những địa chỉ nguồn và địa chỉ đích, cổng dịch vụ, ngày giờ mà
kết nối nhận đợc. Chính sách đầu tiên mà phù hợp thì đợc ứng dụng cho kết nối. Nếu không có
chính sách nào phù hợp, thì kết nối không đợc thiết lập.
Chính sách mặc định chấp nhận tất cả các kết nối từ mạng bên trong tới Internet. Từ mạng bên trong,
những ngời dùng có thể duyệt web, sử dụng POP3 để nhận email, sử dụng FTP để tải xuống những tập
tin đi qua FortiGate . . . . Nếu chính sách mặc định ở tại đỉnh của Int to Ext danh sách chính sách, thì
firewall cho phép tất cả các kết nối từ mạng bên trong đến Internet bởi vì tất cả các kết nối phù hợp với
chính sách mặc định.

Một chính sách ngoại lệ tới chính sách mặc định (ví dụ, một chính sách ngăn những kết nối FTP),
cần phải đợc đặt ở trên chính sách mặc định trong Int to Ext danh sách chính sách. Rồi tất cả kết nối
FTP từ mạng bên trong phù hợp với chính sách FTP thì bị ngăn chặn. Kết nối cho tất cả các dịch vụ
khác không phù hợp với chính sách FTP nhng chúng phù hợp với chính sách mặc định thì firewall vẫn
chấp nhận tất cả các kết nối khác từ mạng bên trong.
Thay đổi thứ tự của những chính sách trong một danh sách chính sách
1 Đi tới Firewall >Policy.
2 Chọn bảng danh sách chính sách mà ta muốn tới sắp xếp.
3 Chọn một chính sách cần di chuyển và chọn Move To để thay đổi thứ tự của nó trong danh sách chính
sách.
4 Đánh một số trong Move to để chỉ rõ nơi trong danh sách chính sách rồi chọn OK.
5 Chọn Delete để loại bỏ một chính sách từ danh sách.
Thêm các địa chỉ
Tất cả các chính sách yêu cầu những địa chỉ nguồn và địa chỉ đích. Để có thể thêm một địa chỉ vào
một chính sách giữa hai giao diện, trớc hết ta cần thêm những địa chỉ vào danh sách địa chỉ cho mỗi
giao diện. Những địa chỉ này phải là hợp lệ cho mạng nối tới giao diện đó.
Theo mặc định FortiGate bao gồm hai địa chỉ mà không thể sửa hoặc xóa :
Internal_All danh sách địa chỉ bên trong đại diện cho những địa chỉ IP của tất cả các máy tính ở mạng
bên trong
External_All danh sách địa chỉ bên ngoài đại diện cho những địa chỉ IP của tất cả các máy tính trên
Internet
Ta có thể thêm, sửa đổi, và xóa tất cả các địa chỉ khác nhau theo yêu cầu.
Phần này mô tả :
Thêm những địa chỉ
Sửa đổi những địa chỉ
Xóa những địa chỉ
Thêm những địa chỉ
Dùng trang web quản lý để thêm một địa chỉ :
1 Đi tới Firewall > Address.
2 Chọn giao diện để thêm địa chỉ .

Danh sách những địa chỉ thêm vào giao diện đó đợc hiển thị.
3 Chọn New để thêm một địa chỉ mới vào giao diện đã chọn.
18
4 Nhập vào một tên cho địa chỉ để nhận dạng địa chỉ.
Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thờng hoặc chữ hoa (A-Z, a-z), và những ký tự
đặc biệt dấu _. Những ký tự trắng và những ký tự đặc biệt khác thì không đợc cho phép.
5 Thêm địa chỉ IP.
Địa chỉ IP có thể là địa chỉ IP của một máy tính đơn ( ví dụ 192.45.46.45) hoặc địa chỉ của một mạng
con (ví dụ 192.168.1.0).
Địa chỉ IP phải là một địa chỉ IP hợp lệ cho một trong những mạng hoặc những máy tính nối tới giao
diện.
6 Thêm NetMask.
Netmask cần phải tơng ứng tới địa chỉ. Netmask cho địa chỉ IP của một máy tính đơn cần phải là
255.255.255.255. Netmask cho một mạng cấp dới cần phải là 255.255.255.0.
7 Chọn OK để thêm địa chỉ.
Hình 11 : Ví dụ về địa chỉ
Hinh trang 35
















Sửa đổi những địa chỉ
Sửa đổi để thay đổi địa chỉ IP và Netmask của một địa chỉ. Ta không thể sửa tên địa chỉ. Nếu ta cần
thay đổi tên một địa chỉ, thì ta phải xóa địa chỉ này đi và sau đó thêm nó với một tên mới.
Sử dụng trang web quản lý :
1 Đi tới Firewall > Address.
2 Chọn giao diện với địa chỉ mà ta muốn sửa.
3 Chọn một địa chỉ cần sửa và chọn Edit.
4 Thay đổi theo yêu cầu rồi chọn OK để lu lại những sự thay đổi đó.
Xóa những địa chỉ
Xóa một địa chỉ mà nó không có sử dụng bởi những chính sách. Nếu một địa chỉ đợc bao gồm trong
bất kỳ chính sách nào thì nó không thể bị xóa trừ khi nó nó đợc loại bỏ trớc tiên từ chính sách.
1 Đi tới Firewall > Address.
2 Chọn danh sách giao diện chứa địa chỉ mà ta muốn xóa.
3 Chọn địa chỉ cần xoá và chọn Delete.
4 Click OK để xóa địa chỉ.
Thêm IPs ảo
Những chính sách bảo mật kiểu NAT che giấu những địa chỉ trong những mạng an toàn hơn từ
những mạng ít an toàn hơn. Cho phép kết nối từ một mạng ít an toàn hơn đến một mạng an toàn cao
hơn, ta cần phải kết hợp giữa một địa chỉ đích trong mạng ít an toàn hơn và một địa chỉ thực trong mạng
an toàn hơn. Sự kết hợp này đợc gọi là một IP ảo.
Theo mặc định IPs ảo đợc yêu cầu cho Ext to In những chính sách kiểu NAT.
Ví dụ IP ảo
Web Server của ta có một địa chỉ IP trên Internet, nhng máy tính để chạy web server của ta đợc
nằm ở mạng bên trong với một địa chỉ IP riêng . Những gói dữ liệu từ Internet đến web server, ta cần
19
phải tạo ra một IP ảo liên kết địa chỉ trên Internet của web server với địa chỉ IP thực của nó. Địa chỉ
thực của web server đợc gọi là ánh xạ IP.
Một lần ta đã tạo ra một IP ảo , ta có thể thêm những chính sách để cho phép sự truy nhập tới ánh

xạ IP bởi việc thêm IP ảo đến địa chỉ đích của chính sách Ext to Int mà cung cấp những ngời sử dụng
trên Internet với sự truy cập tới web server.
Thêm IPs ảo
Để thêm một IP ảo :
1 Đi tới Firewall > Virtual IP.
2 Chọn New để thêm IP ảo.
3 Nhập tên cho IP ảo.
Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thờng hoặc chữ hoa (A-Z, a-z), và những ký
tự đặc biệt dấu _. Những ký tự trắng và những ký tự đặc biệt khác thì không đợc cho phép.
4 Trong trờng (field) địa chỉ IP, nhập vào địa chỉ IP của server ở mạng bên trong.
5 Trong trờng ánh xạ IP, nhập vào địa chỉ IP thực của web server .
6 Chọn OK để lu lại IP ảo.
7 Lặp lại những bớc này để thêm IPs ảo nếu cần.
Hình 12 : thêm một IP ảo (Hinh trang 37)















Những dịch vụ

Sử dụng những dịch vụ để điều khiển việc chấp nhận hoặc từ chối những đờng truyền bởi firewall.
Ta có thể thêm bất kỳ cấu hình lại của danh sách những dịch vụ trong bảng 7 tới một chính sách. Ta
cũng có thể tạo ra những dịch vụ tuỳ chọn của mình và thêm những dịch vụ này vào những nhóm dịch
vụ.
Phần này mô tả :
Định nghĩa sẳn những dịch vụ
Cung cấp những truy cập tới các dịch vụ tuỳ chọn
Nhóm những dịch vụ
Định nghĩa sẳn những dịch vụ
FortiGate định nghĩa sẳn những dịch vụ cho firewall đợc liệt kê trong bảng 7. Ta có thể thêm những
dịch vụ này vào bất kỳ chính sách nào.
Bảng 7 : những dịch vụ định nghĩa sẳn cho FortiGate

Tên dịch vụ Mô tả Giao thức Cổng nguồn Cổng đích
ANY Tơng thích cho các kết nối của 1 cổng nào đó All 1-65535 All
TCP 1-65535 53
DNS
Tham chiếu đến tên miền (Domain name servers).
UDP 1-65535 53
FINGER Dịch vụ Finger . TCP 1-65535 79
FTP Dịch vụ truyền files FTP (files transferring files). TCP 1-65535 20-21
GOPHER GDịch vụ Gopher . TCP 1-65535 70
HTTP Dịch vụ kết nối đến các trang web (HTTP) TCP 1-65535 80
20
HTTPS Dịch vụ bảo mật đờng truyền cho web servers
(SSL).
TCP 1-65535 443
IMAP Giao thức dùng cho việc đọc email từ 1 giao thức
IMAP server .
TCP 1-65535 143

IRC Kết nối dến các nhóm chat trên mạng Internet
(Internet relay chat).
TCP 1-65535 6660-6669
111 TCP 1-65535
2049
111
NFS Dịch vụ dùng chung tập tin trên mạng (Network
file services) .
UDP 1-65535
2049
NNTP Giao thức truyền tải tin tức dùng cho các nhóm hội
thảo qua mạng (Usenet).
TCP 1-65535 119
TCP 1-65535 123 NTP Giao thức dùng cho việc đồng bộ về thời gian trên
mạng giữa thời gian của một máy tính trên mạng
và thời gian của server .
UDP 1-65535 123
ICMP 1-65535 0 PING Dùng để kiểm tra kết nối đến các máy tính .
8
TCP 1-65535 110 POP3 Giao thức dùng để nhận mail từ 1 mail server có
giao thức POP3
UDP 1-65535 110
26000
27000
27910
QUAKE Dùng cho kết nối đợc dùng phổ biến UDP 1-65535
27960
RAUDIO Dùng cho luồng dữ liệu âm thanh và hình ảnh. UDP 1-65535 7070
RLOGIN Dùng cho luồng dữ liệu âm thanh và hình ảnh. UDP 1-65535 7070
RLOGIN Dịch vụ logging từ xa đến server . TCP 1-65535 513

SMTP Giao thức dùng để gởi mail giữa các mail
servers trên Internet.
TCP 1-65535 25
TCP 1-65535 161-162 SNMP Cho biết thông tin về tình trạng hệ thống.
UDP 1-65535 161-162
TCP 1-65535 22 SSH Dùng để bảo mật kết nối đến máy tính truy cập từ
xa để quản lý .
UDP 1-65535 22
TELNET Dịch vụ dùng để kết nối từ xa đến 1 máy tính để
chạy lệnh.
TCP 1-65535 23
VDOLIVE Cho các luồng dữ liệu đa phơng tiện . UDP 1-65535 7000
WAIS Một chơng trình cho phép ngời dùng có thể tìm
kiếm tài liệu lu trữ trên mạng Internet (Wide Area
Information Server).
TCP 1-65535 210
X-WINDOWS Dùng để truy cập từ xa đến 1 server hoặc từ 1
server đến 1 máy trạm.
TCP 1-65535 6000

Cung cấp những truy nhập tới dịch vụ tuỳ chọn
Thêm một dịch vụ tuỳ chọn nếu ta cần tạo ra một chính sách cho một dịch vụ mà không đợc định
nghĩa sẵn trong danh sách dịch vụ.
Để thêm một dịch vụ tuỳ chọn :
1 Đi tới Firewall > Service > Custom.
2 Chọn New.
3 Nhập tên cho dịch vụ. Tên này xuất hiện trong danh sách dịch vụ sử dụng khi ta thêm một chính sách.
Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thờng hoặc chữ hoa (A-Z, a-z), và những ký
tự đặc biệt dấu- và _. Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép.
4 Chọn giao thức (TCP hoặc UDP) sử dụng bởi dịch vụ.

5 Chỉ định phạm vi số cổng cho dịch vụ bằng việc nhập số cổng cao và thấp. Nếu dịch vụ sử dụng một
cổng, thì đánh số này vào trong cả hai trờng thấp và cao.
6 Nếu dịch vụ có số cổng cao hơn phạm vi, thì chọn Add để bổ sung những giao thức và phạm vi cổng.
Nếu ta thêm sai nhiều phạm vi cổng, thì chọn Delete để xóa.
7 Chọn OK để thêm dịch vụ tuỳ chọn.

21

Hình 13 : dịch vụ tuỳ chọn pcAnywhere
Hinh trang 39


















Ví dụ về các dịch vụ tuỳ chọn
Dịch vụ tuỳ chọn xem hình 13 có thể thêm một chính sách cho phép pcAnywhere, một chơng trình

thông dụng cho phép những ngời dùng có thể truy cập từ xa tới một máy PC, kết nối điều khiển sẽ đ-
ợc chấp nhận bởi FortiGate. Thêm một dịch vụ vào chính sách Ext to Int sẽ cho phép một ngời dùng
trên Internet sử dụng pcAnywhere để kết nối tới một hay nhiều máy tính ở mạng bên trong.
Chơng trình pcAnywhere server dùng TCP cổng 5631 và UDP cổng 5632 cho đờng truyền.
Nếu sự bảo mật có liên quan đến việc thêm một chính sách cho một dịch vụ tuỳ chọn nh pcAnywhere,
ta có thể cấu hình chính sách để hạn chế những địa chỉ nguồn và địa chỉ đích của kết nối. Điều này sẽ
hạn chế những ngời dùng có thể kết nối xuyên qua firewall sử dụng pcAnywhere, Và cũng sẽ hạn chế
những địa chỉ mà họ có thể kết nối đến.
Nhóm những dịch vụ
Để làm cho nó dễ hơn để thêm những chính sách, ta có thể tạo ra những nhóm của những dịch vụ và
sau đó thêm một chính sách để cung cấp sự truy cập hoặc ngăn sự truy cập cho tất cả các dịch vụ trong
nhóm. Một nhóm dịch vụ có thể chứa những dịch vụ định nghĩa sẵn và dịch vụ tuỳ chọn . Ta không thể
thêm những nhóm dịch vụ vào nhóm dịch vụ khác.
Để thêm một nhóm dịch vụ sử dụng trang web quản lý :
1 Đi tới Firewall > Service > Group.
2 Chọn New.
3 Nhập vào một tên của nhóm để xác định nhóm. Tên này xuất hiện trong danh sách dịch vụ sử dụng
khi ta thêm một chính sách.
Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thờng hoặc chữ hoa (A-Z, a-z), và những ký
tự đặc biệt dấu - và _. Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép.

22
Hình 14 : thêm một nhóm dịch vụ
Hinh trang 40






















4 Để thêm những dịch vụ vào nhóm dịch vụ , chọn một dịch vụ từ danh sách dịch vụ sẵn có và chọn
mũi tên phải để copy nó tới danh sách thành viên.
5 Loại bỏ những dịch vụ từ nhóm dịch vụ, chọn một dịch vụ từ danh sách thành viên và chọn mũi tên
trái để loại bỏ nó khỏi nhóm.
6 Chọn OK để thêm nhóm dịch vụ.
Lập lịch
Sử dụng lập lịch (lịch làm việc) để điều khiển khi những chính sách hoạt động hoặc không hoạt
động. Ta có thể tạo ra thời gian định kỳ trớc và lập lịch mang tính tuần hoàn. Có thể sử dụng lịch tuần
hoàn để tạo ra những chính sách mà chỉ có hiệu ứng một lần tại thời điểm xác định trong ngày hoặc vào
những ngày xác định trong tuần.
Phần này mô tả :
Tạo thời gian xác định cho lịch trình làm việc
Tạo ra những lịch trình làm việc có định kỳ
Thêm một lịch trình làm việc vào một chính sách
Tạo thời gian xác định cho lịch trình làm việc

Ta có thể tạo một lịch trình làm việc trớc để kích hoạt hoặc không kích hoạt một chính sách trong
khoảng thời gian xác định. Firewall có thể đợc cấu hình với chính sách mặc định Internet to External
cho phép truy cập tới tất cả các dịch vụ trên Internet vào bất kỳ thời điểm nào.
Ta có thể thêm một lịch trình làm việc trớc để ngăn chặn sự truy cập tới Internet trong ngày nghỉ . Thủ
tục sau mô tả cách tạo ra một lịch trình làm việc với một ngày tháng bắt đầu của ngày nghỉ và ngày
tháng kết thúc của ngày nghỉ.
Để tạo ra một lịch trình làm việc trớc dùng trang web quản lý :
1 Đi tới Firewall > Schedule > One-time.
2 Chọn New.
3 Nhập một tên cho lịch trình làm việc.
Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thờng hoặc chữ hoa (A-Z, a-z), và những ký
tự đặc biệt dấu - và _. Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép.
4 Đặt ngày tháng và thời gian bắt đầu cho lịch trình làm việc.
5 Đặt ngày tháng và thời gian dừng cho lịch trình làm việc.
6 Chọn OK để thêm lịch trình làm việc.

23
Hình 15 : lịch trình làm việc
Hinh trang 42






















Tạo ra những lịch trình làm việc có định kỳ
Ta có thể tạo ra một lịch trình làm việc có định kỳ để kích hoạt hoặc không kích hoạt những chính
sách tại thời điểm xác định của ngày hoặc vào những ngày xác định của tuần. Ví dụ, ta muốn ngăn chặn
sử dụng Internet ngoài giờ làm việc đợc tạo bởi lịch trình làm việc có định kỳ.
Nếu ta tạo ra một lịch trình làm việc có định kỳ với một thời gian dừng xảy ra trớc thời gian bắt
đầu thì lịch trình làm việc sẽ bắt đầu tại thời gian bắt đầu và kết thúc tại thời gian kết thúc vào ngày
hôm sau. Ta có thể sử dụng kỹ thuật này để tạo ra những lịch trình làm việc có định kỳ có thể chạy từ
một ngày sang ngày tiếp theo.
Ta cũng có thể tạo ra một lịch trình làm việc có định kỳ chạy trong 24 giờ bằng việc cài đặt thời thời
gian bắt đầu và thời gian kết thúc.
Để thêm một lịch trình làm việc có định kỳ :
1 Đi tới Firewall > Schedule > Recurring.
2 Chọn New để tạo ra một lịch trình làm việc mới.
3 Nhập một tên cho lịch trình làm việc.
Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thờng hoặc chữ hoa (A-Z, a-z), và những ký
tự đặc biệt dấu - và _. Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép.
4 Chọn những ngày làm việc trong tuần.
5 Đặt giờ bắt đầu và giờ kết thúc cho ngày bắt đầu làm việc và ngày kết thúc làm việc.
6 Chọn OK.


24
Hình 16 : lịch trình làm việc có định kỳ
Hinh trang 43

























Thêm một lịch trình làm việc vào một chính sách
Một lần ta tạo ra lịch trình làm việc, ta có thể thêm chúng vào những chính sách để lập lịch khi những

chính sách hoạt động. Ta có thể thêm lịch trình làm việc mới vào những chính sách khi ta tạo ra chính
sách hoặc ta có thể sửa những chính sách đã có và thêm một lịch trình làm việc mới vào chúng.
Để thêm một lịch trình làm việc vào một chính sách :
1 Đi tới Firewall > Policy.
2 Chọn bảng tơng ứng với kiểu chính sách để thêm.
3 Chọn New để thêm một chính sách hoặc chọn Edit để sửa một chính sách để thay đổi lịch trình làm
việc của nó.
4 Cấu hình chính sách theo yêu cầu.
5 Thêm một lịch trình làm việc bằng việc chọn nó từ danh sách lịch trình làm việc.
6 Chọn OK để lu lại chính sách.
7 Sắp xếp chính sách trong danh sách chính sách để có hiệu lực nh ta mong muốn.
Hình 17 : Sắp xếp một lịch trình làm việc trong danh sách chính sách để từ chối sự truy cập
Hinh trang 44










Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×