CẤU
HÌNH
TƯỜNG
LỬA
FORTIGATE
TRONG
MẠNG
DOANH
NGHIỆP
1/94
LỜI
CẢM
ƠN
Sau 3 tháng thực tập tại Công ty cổ phần TM DV Công nghệ Chân Trời (Tech
Horizon Corporation). Với sự hướng dẫn tận tình của Thầy Huỳnh Đệ Thủ cùng với
anh Trương Trọng Hiếu, đã giúp em hoàn thành đề tài “Cấu hình tường lửa Fortigate
trong mạng doanh nghiệp”.
Em
xin
chân
thành
cảm
ơn
Công
ty
cổ
phần
TM
DV
Công
nghệ
Chân
Trời
(Tech
Horizon
Corporation).
Đồng
thời
em
chân
thành
cảm
ơn
Anh
Hiếu
và
Thầy
Huỳnh
Đệ
Thủ
đã
truyền
đạt
những
kiến
thức, kinh
nghiệm trong
lĩnh
vực
An
ninh
mạng nói riêng và lĩnh vực Công Nghệ Thông Tin nói chung để em có được những
kiến thức tổng hợp về ngành nghề trước khi ra trường.
Xin cảm ơn các anh chị trong công ty đã giúp đỡ em ở công ty trong quá trình
thực tập.
Mặc dù đã cố gắng rất nhiều, tuy nhiên nội dung của Đồ án này có thể còn nhiều
thiếu sót. Em xin chân thành cảm ơn ý kiến đóng góp, nhận xét của Giảng Viên để nội
dung của đồ án ngày càng hoàn thiện hơn.
Trân trọng cảm ơn!
Tp Hồ Chí Minh, tháng 3 năm 2014
Sinh viên thực tập
VŨ DUY TÂN
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
NHẬN
XÉT
VÀ
KẾT
LUẬN
CỦA
GIẢNG
VIÊN
Nhận
xét:
Kết
luận:
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
NHẬN
XÉT
VÀ
KẾT
LUẬN
CỦA
GIẢNG
VIÊN
Nhận
xét:
Kết
luận:
3/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
MỤC
LỤC
A.
GIỚI
THIỆU
ĐỀ
TÀI
6
1. Giới thiệu đề tài.
6
2. Mục đích đề tài
7
3. Yêu cầu đề tài
7
B.
GIỚI
THIỆU
FORTIGATE
8
C.
CẤU
HÌNH
THIẾT
BỊ
9
1.
CẤU
HÌNH
CĂN
BẢN
9
1.1.
Login và system
9
1.2.
Tạo tài khoản quản trị thiết bị
11
1.3.
Cấu hình network interface
12
1.4.
Cấu hình Routing
13
1.5.
Cấu hình Firewall Policy
14
1.6.
NAT
18
1.7.
Log và report
19
1.8.
Backup và restore
20
2.
ANTI-VIRUS
21
2.1.
Mô tả
21
2.2.
Mô hình
21
2.3.
Cấu hình
21
3.
APPLICATION
CONTROL
25
3.1.
Mô tả
25
3.2.
Mô hình
25
3.3.
Cấu hình
25
4.
DATA
LEAK
PREVENTION
29
4.1.
Mô tả
29
4.2.
Mô hình
30
4.3.
Cấu hình
30
5.
EMAIL
FILTER
32
5.1.
Mô tả
32
5.2.
Mô hình
33
5.3.
Cấu hình
33
6.
WEB
FILTER
&
OVERRIDE
36
4/94
6.1.
Mô tả
36
6.2.
Mô hình
36
6.3.
Cấu hình
37
7.
CẤU
HÌNH
WIRELESS
CONTROLLER
ĐỂ
QUẢN
LÝ
THIẾT
BỊ
PHÁT
SÓNG
FORTI -AP
41
7.1.
Tổng quan
41
7.2.
Sơ đồ
41
7.3.
Cấu hình
42
8.
BYOD:
BRING
YOUR
OWN
DEVICE
47
8.1.
Giới thiệu
47
8.2.
Cấu hình
47
9.
TWO
FACTOR
AUTHENTICATION
51
9.1.
Giới thiệu
51
9.2.
Cấu hình
53
10.
CLIENT
REPUTATION
56
10.1.Giới thiệu
56
10.2.Cấu hình
57
11.
VPN
-
ROUTED-BASED
IPSEC
VPN
59
11.1.Giới thiệu
59
11.2.Cấu hình
59
12.
VPN
-
POLICY-BASED
IPSEC
VPN
70
12.1.Giới thiệu
70
12.2.Cấu hình
70
13.
SSL
VPN
80
13.1.Giới thiệu
80
13.2.Cấu hình
80
14.
VPN
IPSEC
CLIENT
TO
GATEWAY
87
14.1.Giới thiệu
87
14.2.Cấu hình
87
5/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
A.
Giới
thiệu
đề
tài.
1.
Giới
thiệu
đề
tài.
Ngày nay sự phát triển của internet diễn ra với tốc độ nhanh chóng không ngừng nghỉ,
thì
cùng
với
đó
là
các
mối
đe
dọa
trực
tiếp
tới
người
dùng
đặc
biệt
là
các
công
ty,
doanh
nghiệp vừa và lớn như các phần mềm, chương trình Malware, Trojan, hay từ chính mối đe
dọa trừ các nhân viên trong công ty, nhằm đáp ứng nhu cầu cũng như bảo vệ Web Server,
Web
Mail
của
các
công
ty,
doanh
nghiệp
thì
trên
thị
trường
cũng
có
rất
nhiều
phần
mềm,
thiết
bị
chuyên
dụng
về
tường
lửa
như
của
1
số
hãng
nổi
tiếng
trên
thế
giới
như
nền tảng
tường lửa mềm của Microsoft là Microsoft Forefront Threat Managerment Gateway (TMG)
2010,
Cisco
ASA,
COMODO Firewall, Firewall Uniper, Firewall Astaro, Firewall
Fortigate….
Trong
đó
Firewall
Fortigate
của
hãng
Fortinet
là
1
trong
những
firewall
hàng
đầu thế giới về bảo mật thông tin. Fortinet đã đưa ra thị trường các dòng sản phẩm Fortigate
nhằm phục vụ cho từng nhu cầu của công ty, doang nghiệp, các dòng sản phẩm này đều dựa
trên yêu cầu mục đích cần thiết nhất để bảo vệ tốt nhất cho công ty, doanh nghiệp. các dòng
sản
phẩm
Fortigate
đều
có
hỗ
trợ
Anti
Virus,
Application
Control,
Data
Leak
Prevention,
Email Filter, Web Filter, Client Repitation, Vpn, ….
Vì những yêu cầu trên mà em đã chọn đề tài “ Cấu Hình Tường Lửa Fortigate Trong
Mạng Doanh Nghiệp” làm đề tài thực tập tốt nghiệp.
6/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
2.
Mục
đích
đề
tài
Nghiên cứu ứng dụng thực tế của Fortigate
Triển khai cấu hình tường lửa Fortigate cho doanh nghiệp.
Cấu hình căn bản trên trường lửa Fortigate.
Cấu hình các thiết lập căn bản trên Fortigate
Cấu hình VPN, IPSEC-VPN
3.
Yêu
cầu
đề
tài
Có
khả
năng
chặn
được
scan
virus,
ngăn
chăn
các
mối
nguy
hiểm,
không
cho
download.
Điều khiển được các ứng dụng, trang web để chặn những trang web hay những ứng
đụng
mạng
không
cần
thiết
khi
đang
trong
quá
trình
làm
việc
của
nhân
viên
nhăm
nâng cao hiệu quả làm việc.
Bảo vệ các dữ liệu quan trọng khỏi bị đánh cắp, giới hạn gói tin gửi ra ngoài, giới han
băng thông ….
Bảo vệ, ngăn chặn các email có nội dụng không tốt và những email không tồn tại. Với
tính năng này sẽ giúp cho hệ thộng email được bảo vệ tốt hơn và hoạt động ổn định
hơn.
Web filter hoat động hiệu quả, chặn được trang web không cần thiết.
Quản lí được các forti AP trong hệ thống mạng, mang tới sự ổn định wifi trong môi
trường doanh nghiệp.
Với BYOD tự động xác định thiết bị người dùng, sử dụng tính năng smart policy giúp
việc áp dụng các chính sách hết sức dễ dàng, linh hoạt.
Tạo kết nối VPN để kết nối user remote từ bên ngoài hệ thống 1 cách dễ dàng.
7/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
B.
Giới
thiệu
Fortigate
Fortinet giới thiệu dòng sản phẩm FortiGate với nhiều series khác nhau từ Fortigate-20C
dùng cho người dùng gia đình, văn phòng nhỏ cho tới hệ thống FortiGate-5000 dành cho các
doanh nghiệp lớn, các nhà cung cấp dịch vụ.
FortiGate
kết
hợp
FortiOS™
là
hệ
điều
hành
bảo
mật
với
bộ
vi
xử
lý
đặc
chủng
FortiASIC và phần cứng để cung cấp cho khách hàng hệ thống an ninh mạng toàn diện, nhiều
tầng và hiệu suất cao với các chức năng bao gồm:
Tường lửa, Mạng riêng ảo (VPN) và Traffic Shaping
Hệ thống ngăn chặn xâm nhập (IPS)
Chức năng phòng chống vi-rút/ phần mềm gián điệp và các yếu tố nguy hiểm khác
Chức năng kiểm soát và lọc nội dung Web
Chức năng phòng chống thư rác (Antispam)
Kiểm soát Ứng dụng (ví dụ: IM và P2P)
Hỗ trợ VoIP (H.323. và SCCP)
Chức năng định tuyến Layer 2/3
Chức năng tối ưu hóa các kết nối WAN.
Và nhiều chức năng khác.
Hệ thống FortiGate giúp chi phí đầu tư của khách hàng thấp và hiệu quả, bảo vệ toàn diện
mạng lưới chống lại các mối đe dọa mạng, nội dung, và các mối đe dọa ở cấp ứng dụng - bao
gồm các cuộc tấn công phức tạp vốn rất được ưa thích của tội phạm
- mà không làm giảm
tính sẵn sàng và thời gian hoạt động của hệ thống.
Hệ thống FortiGate kết hợp các tính năng mạng tinh vi, chẳng hạn như:
Tính
sẵn
sàng
cao
(HA
theo
các
giao
thức
hoạt
động
"Active/Active",
"Active/Passive") giúp cho thời gian hoạt động mạng tối đa
Tường lửa ảo (VDOM) mang lại khả năng phân tách thiết bị tường lửa thành nhiều tường lửa
ảo để áp dụng các chính sách bảo mật khác nhau hoặc phục vụ cho nhiều đối tượng và yêu
cầu bảo mật khác nhau.
8/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
C.
Cấu
hình
thiết
bị
1.
Cấu
hình
căn
bản
1.1.
Login
và
system
Để login vào thiết bị ta có 2 cách như sau:
• Login console
• Bit per second: 9600
• Data bit: 8
• Parity: none
• Stop bit: 1
• Flow control: none
• Login web interface
• https://192.168.1.99
• Username: admin
• Password:
• System: Xem trạng thái thông tin thiết bị như ngày, giờ, license, phiên hiện tại.
Login vào màn hình cấu hình Fortinet firewall theo thông số bên dưới
9/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
https://192.168.1.99
Username:
admin
Password
:
+ Màn hình chính của Fortinet firewal
Để thay đổi tên của thiết bị cho phù hợp với công ty ta thực hiện như hình bên
dưới
10/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
Cài đặt thời gian và ngày tháng giúp phân tích log, các sự kiện một cách chính xác
1.2.
Tạo
tài
khoản
quản
trị
thiết
bị
Fortinet firewall chia thành nhiều cấp administrator
Administrator
o
Toàn quyền trên hệ thống
o
Tạo, xóa và quản lý tất cả các lọai administrator khác
o
Read/Write administrator
Tương tự như administrator nhưng không thể tạo, sửa và xóa các admin users
o
Read-only user
Ta
cấu
hình
như
hình
bên
dưới
để
tạo
một
tài
khoản
mới
cho
việc
quản
trị
thiết
bị
firewall:
11/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
Sau khi tạo tài khoản xong ta cấp quyền truy cập vào thiết bị cho tài khoản vừa tạo
theo như hình bên dưới:
Ta có thể đổi Password của tài khoản Administrator theo như hình bên dưới:
1.3.
Cấu
hình
network
interface
Network
interface
hỗ
trợ
khai
báo
IP
tĩnh,
IP
động,
PPPoE,
ta
có
thể
cấu
hình
các
interface theo như hình bên dưới:
12/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
• Khai báo thông số cho các interface, cấu hình interface mode Manual
• Khai
báo
thông
số
cho
các
interface,
cấu
hình
interface
mode
PPPoE,
Trong
phần
quay PPPoE ta cần check “retrieve default gateway form server”
1.4.
Cấu
hình
Routing
Để truy cập đến các mạng không liền kề, cần tạo thêm các route tương ứng
Destination:
Routes được dựa trên IP đích
13/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
Source:
Routes được dựa trên IP nguồn
Để truy cập đến mạng bên ngoài, cần khai báo thêm default route
Để cấu hình static route ta thực hiện như hình bên dưới:
• Khai báo thông số cấu hình static route:
1.5.
Cấu
hình
Firewall
Policy
Policy dùng để Kiểm soát traffic vào ra giữa các zone với nhau và áp các chính
sách cho các Zone
Khi route được quyết định thì policy sẽ được thực thi.
Tất cả các model đều có policy mặt định.
Mặc định policy cho phép từ Internal Wan1
Để
tạo
một
chính
sách
(policy)
ta
thực
hiện
như
bên
dưới
:
Có 2 lựa chọn cho policy type là Firewall và VPN. Với loại Firewall ta có 3 subtype là
Address (dùng cho các policy với mục đích thường), User Identity (mục đích xác định User),
Device Identity (mục đích xác định thiết bị). Trong ver5.0, Policy được gọi là Smart Policy,
có thể nói Identity bằng Policy giúp quản lí user và device dễ dàng hơn rất nhiều, phần này sẽ
được nói rõ hơn ở phần quản lí user, device.
14/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
• Với Policy loại VPN ta có 2 subtype là IPSec và SSL, tùy
mục đích mà ta lựa chọn
cho phù hợp:
15/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
• Dưới đây là cách khai báo một số thông số trong policy:
Source
Address
và
Destination
Address:
có thể chọn 1 địa chỉ hoặc là một nhóm
địa chỉ IP được định nghĩa bằng
“Address”
nhằm đơn giản hóa các policy. Để tạo
một địa chỉ mạng ta thực hiện như hình bên dưới:
Khai báo các thông số cho một Address
Cho phép tạo subnet, dãy IP, hoặc 1 địa chỉ
Chú ý: khi tạo 1 địa chỉ thì subnet là 32
16/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
Services:
Fortinet
firewall
đã
định
nghĩa
sẵn
rất
nhiều
dịch
vụ
(predefined)
và
nhóm dịch vụ được sử dụng phổ biến.
o
Service Any đại diện cho tất cả các services (ports)
o
Group service và services phục vụ cho việc lập chính sách truy cập
o
Group service và services giúp lập chính sách rõ ràng, chính xác.
Những Service được định nghĩa trước được liệt kê chi tiết.
• Ngoài những services được định nghĩa sẵn ta có thể tạo thêm bằng
“Create
new”:
17/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
Action:
áp dụng các hành động trong policy
o
Các lựa chọn trong Action:
- Accept (cho phép)
- Deny (cấm)
1.6.
NAT
NAT
tĩnh:
o
Một IP nguồn được chuyển thành địa chỉ một IP đích trong bất kỳ thời gian
nào.
NAT
động:
o
IP này thay đổi trong các thời gian và trong các kết nối khác nhau.
VIP
(Virtual
IP):
Một dạng của Destination NAT
Cho phép người dùng bên ngoài truy cập những dịch vụ vào mạng bên trong.
Mở port để đi vào giao tiếp với địa chỉ IP bên trong và port của nó
Tạo policy từ WAN -> Internal từ any -> VIP address
18/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
External: IP Wan
Mapped Ip: IP Local
Mặc định là dạng Nat 1 – 1, nếu chỉ muốn cho sử dụng 1 port hoặc 1 range port thì tick
vào “Port Forwarding” và điền thông tin port vào.
1.7.
Log
và
report
Log để ghi lại những thao tác vào ra của traffic.
Report cho phép người quản trị xuất báo cáo và tình trạng traffic.
Cấu hình trong log & report log config
Cho phép ghi log một cách chi tiết với nhiều lựa chọn.
Log được ghi trên RAM hay Disk, FortiCloud hoặc với thiết bị Forti-Analayer
của hãng Fortinet.
19/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
Chú ý:
nhiều tính năng trên ver5.0 cần
dùng
command
line
cấu hình, kích
hoạt.
Ví dụ
muốn hiển thị log trên disk ta cần gõ các câu lệnh sau:
FortiGate # config log disk setting
FortiGate (setting) # set status enable
FortiGate (setting) # end
1.8.
Backup
và
restore
Sử dụng để lưu trữ dự phòng và phục hồi cấu hình tốt nhất khi cần thiết.
Sử dụng GUI một cách đơn giản.
Được thiết kế trong System.
20/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
2.
Anti-virus
2.1.
Mô
tả
Bài lab nhầm mục đích dò tìm và ngăn chặn
các nội dung bị nhiễm virus và
cấm user
không download được file có đuôi pdf, mp3 và rar.
2.2.
Mô
hình
2.3.
Cấu
hình
B1:
Kiểm
tra
thông
số
interface
21/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
B2:
Tạo
default
route
để
đi
internet
vào Router Static Create
Cấu
hình
File
Filter
: Security Profiles Data Leak Prevention File Filter
Cấu hình các thành phần trong File Filter tùy theo mục đích của người quản trị ( Ví dụ: cấm
download file có đuôi mp3, pdf và rar)
B3:
Áp
đặt
File
Filter
vào
Sensor
:
Security
Profiles
Data
Leak
Prevention
Sensor Create New
22/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
Scan
virus:
tạo
Profile
Scan
ta
có
thể
chọn
quét
mặc
định
bằng
cách
check
hết
vào Virus Scan hay theo yêu cầu người quản trị.
B4:
Áp
đặt
profile
vào
plicy
: Policy
Trong Policy Security Profiles “on” Antivirus, DLP Sensor và chọn các profile đã lập.
23/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
Kiểm
tra:
bằng cách download file thử
Xem
log:
Log&Report>Log Acces>AntiVirus
24/94
Báo
Cáo
Đồ
Án
Thực
Tập
Tốt
Nghiệp
GVHD:
HUỲNH
ĐỆ
THỦ
SVTT: VŨ DUY TÂN – MSSV: 1051150040
3.
Application
Control
3.1.
Mô
tả
Application Control được sử dụng để dò và kiểm tra các hành động của các ứng dụng
phát sinh trên mạng. Dựa trên giao thức IPS decoders, application control có thể log
và quản lý các hành động của các ứng dụng: phân tích hệ thống mạng để xác định các
ứng dụng chạy có đúng port và chuẩn giao thức không.
FortiGate
xác
định
các
ứng
dụng
phát
sinh
trên
hê
thống
mạng
bằng
cách
sử
dụng
Application Control (AP)
sensor. Thông qua AP sensor để tùy chỉnh
và quản lý các
hành động của các ứng dụng khi đã áp dụng vào firewall policy.
Ta có thể điều khiển được truyền tải mạng thông thường bằng địa chỉ nguồn và đích,
hay port, số lượng và các thuộc tính truyền tải được gắn bởi firewall policy. Nếu muốn
kiểm tra lưu lượng của của 1 ứng dụng chỉ định thì phương pháp này không thể đảm