Cài đặt và cấu hình firewall Fortigate
1
MỤC LỤC
A.Các cấu hình cơ bản......................................................................................................4
1.Kết nối một mạng private tới mạng Internet sử dụng mọt firewall Fortigate trong
mode NAT/Route..........................................................................................................4
2.Kết nối một mạng private tới mạng Internet trong một bước....................................8
3.Thay đổi địa chỉ của một mạng trong (internal network) trong một bước sử dụng
chương trình wizard setup của Fortigate.....................................................................11
4.Troubeshooting cho việc cài đặt mode NAT/Route.................................................13
5.Insert một thiết bị Fortigate vào bên trong mạng mà không làm ảnh hưởng tới cấu
hình của mạng (mode Transparent)............................................................................15
6.Troubleshooting cho việc cài đặt mode transparent ................................................19
7.Kiểm tra version của firmware hiện tại và upgrade firmware FortiOS....................22
8.Setup và troubleshooting các dịch vụ của FortiGuard.............................................22
9.Setup một account admin trên thiết bị Fortigate......................................................22
B.Các cấu hình nâng cao.................................................................................................25
1.Kết nối một thiết bị Fortigate với 2 ISP cho mục đích redundant...........................25
2.Sử dụng một modem cho một kết nối redundant.....................................................25
3.Phân phối các session giữa 2 kết nối internet redundant với ECMP dựa trên mức độ
sử dụng........................................................................................................................25
4.Bảo vệ một web server trong mạng DMZ................................................................25
5.Bảo vệ một mail server với một thiết bị Fortigate mà không làm thay đổi mạng (sử
dụng mode transparent)...............................................................................................25
6.Sử dụng việc ghép cặp cổng để đơn giản hóa việc cài đặt mode transparent..........25
C.Sử dụng các policy và firewall object để điều khiển traffic mạng..............................25
1.Giới hạn sự truy cập Internet của nhân viên............................................................25
a.Tạo các đối tương address cho YouTube và Facebook........................................26
b.Tạo lập lịch để giới hạn việc truy cập trong thời gian từ 12h tới 2h....................27
c.Tạo policy.............................................................................................................28
d.Sắp xếp lại vị trí của các policy...........................................................................28
2.Giới hạn việc truy cập Internet dựa trên địa chỉ IP..................................................29
a.Tạo các firewall address cho mỗi group user.......................................................30
2
b.Tạo các lập lịch firewall.......................................................................................30
c.Tạo các policy......................................................................................................31
d.Sắp xếp lại vị trí của các policy...........................................................................32
3.Exclude các user khỏi UTM filtering.......................................................................33
4.Kiểm tra rằng traffic được chấp nhận bởi một policy..............................................33
5.Sắp xếp các policy theo thứ tự đúng........................................................................33
6.Cho phép các query DNS tới duy nhất một DNS server được approve...................33
7.Extending AirPlay and AirPrint communication through a FortiWiFi unit.............33
8.Ensuring sufficient and consistent bandwidth for VoIP traffic................................33
9.Using geographic addresses.....................................................................................33
10.Providing Internet access for your private network users (static source NAT)......34
11.Providing Internet access for a private network with multiple Internet addresses
(dynamic source NAT)................................................................................................34
12.Dynamic source NAT without changing the source port (one-to-one source NAT)
....................................................................................................................................34
13.Dynamic source NAT using the central NAT table...............................................34
14.Allowing access to a web server on an internal network when you only have one
Internet IP address.......................................................................................................34
15.Allowing Internet access to a web server on a protected network when you only
have one Internet IP address, using port translation....................................................34
16.Allowing Internet access to a web server on a protected network when you have
an IP address for the web server.................................................................................34
17.Configuring port forwarding to open ports on a FortiGate unit.............................35
18.NAT địa chỉ đích động cho một dải địa chỉ IP......................................................39
D.Profile UTM................................................................................................................42
E.SSL VPN.....................................................................................................................42
1.Setting up remote web browsing for internal sites through SSL VPN.....................42
a.Tạo một firewall address for email server............................................................43
b.Tạo portal web.....................................................................................................44
c.Tạo một user SSL VPN và group user.................................................................45
d.Tạo một policy SSL VPN....................................................................................45
3
2.Using SSL VPN to provide protected Internet access for remote users...................47
3.SSL VPN split tunneling: Using SSL VPN to provide protected Internet access and
access to head office servers for remote users............................................................48
4.Verifying that SSL VPN users have the most recent AV software before they can
log into the SSL VPN..................................................................................................48
F.IPSec VPN...................................................................................................................48
G.Authentication.............................................................................................................48
H.Mạng WiFi..................................................................................................................48
I.Logging và Reporting...................................................................................................48
A. Các cấu hình cơ bản
1. Kết nối một mạng private tới mạng Internet sử dụng mọt firewall Fortigate
trong mode NAT/Route
4
Problem:
Làm sao để connect và cấu hình một thiết bị Fortigate mới để đảm bảo việc kết nối an
toàn tới mạng Internet. Thiết bị Fortigate cũng sẽ bảo vệ mạng private khỏi các threat từ
ngoài Internet nhưng vẫn cho phép các user bên trong mạng private có thể kết nối ra
ngoài mạng Internet
Giải pháp:
Nhìn chung, Fortigate thường được install như là một router hoặc gateway giữa mạng
private và mạng Internet. Fortigate vận hành trong chế độ đó được gọi là chế độ
NAT/Route với mục đích để ẩn đi các địa chỉ của mạng private khi các thiết bị này truy
cập ra ngoài internet
• Kết nối interface wan1 của Fortigate tới thiết bị được hỗ trợ bởi ÍP, thiết bị này
thông thường là converter quang hoặc modem
5
• Kết nối mạng internal vào interface internal của Fortigate
• Bật nguồn thiết bị của ISP, Fortigate và PC của mạng internal
• Từ một PC trong mạng internal, kết nối tới Fortigate thông qua giao diện quản lý
web. Bạn có thể cấu hình PC để nó tự động nhận địa chỉ IP thông qua DHCP sau
đó browse tới địa chỉ https://192.168.1.99 hoặc bạn cũng có thể đặt cho nó một
địa chỉ IP tĩnh nằm trong dải 192.168.1.0/255.255.255.0
• Login với tài khoản username là admin và không có pasword
• Đi tới System > Network > Interface và chọn Edit interface wan1 và thay đổi các
thông số sau:
• Tương tự edit interface internal theo các thông số sau:
• Đi tới Router > Static > Static Route và chọn Create New để add tuyến default
route như sau:
6
Chú ý: Một tuyến default route luôn luôn có địa chỉ IP đích và subnet mask đích là
0.0.0.0 và 0.0.0.0. Chính vì vậy bạn sẽ chỉ có duy nhất một tuyến default route. Nếu
danh sách static route thực sự đã chứa một tuyến default route thưc bạn có thể edit hoặc
delete nó và add một tuyến mới
• Đi tới System > Network > DNS và add thông tin về địa chỉ Primary DNS server
và Secondary DNS server
• Đi tới Policy > Policy > Policy và chọn Create New để add các tham số sau để
cho phép user trong mạng private có thể truy cập mạng Internet:
• Chọn Enable NAT và Use Destination Interface Address
• Chọn OK để save policy lại
Kết quả:
Trên PC, bạn có thể kết nối tới interface internal của Fortigate, mở một web browser và
browse tới bất kỳ website nào. Bạn cũng có thể kết nối tới Internet thông qua FTP, hoặc
bất kỳ giao thức nào hoặc phương thức kết nối nào
Đi tới Policy > Policy > Policy và check ở cột Count ứng với policy mà bạn đã config
trước đó để xem các trafic đang được xử lý:
7
Đi tới Policy > Monitor > Session Monitor để view các session đã được xử lý bởi
Fortigate
Địa chỉ nguồn của tất cả các session nên là một địa chỉ nằm trong dải mạng
192.168.1.0. địa chỉ IP NAT nguồn cho tất cả các session nên là 172.20.120.14 (hoặc
một địa chỉ IP đã add vào interface wan1). Policy ID nên là 1 vì đó là giá trị ID default
cho phép user trong mạng internal được phép kết nối tới mạng Internet
Bạn cũng có thể xem các kết quả bẳng cách đi tới Policy > Monitor > Policy Monitor để
view một graph về các session active của mỗi policy. Vì hiện tại chúng ta chỉ có duy
nhất một policy nên trong mục này chỉ có duy nhất một entry
2. Kết nối một mạng private tới mạng Internet trong một bước
Problem:
Bạn muốn sử dụng ít bước nhất có thể để sử dụng Fortigate up và cho phép kết nối
mạng Internet cho một mạng private
8
Giải pháp:
Nếu nhà cung cấp dịch vụ Internet của bạn (ISP) sử dụng giao thức DHCP để cung cấp
việc kết nối internet cho hệ thống của bạn thì bạn chỉ cần thực hiện duy nhất một bước
cấu hình trên Fortigate để cho phép mạng private của bạn có thể kết nối tới mạng
Internet. Các bước để PC nằm trong mạng internal có thể lấy được địa chỉ IP và kết nối
tới Fortigate giống mục 1. Từ nay về sau sẽ không nói lại việc này vì coi như đó là bước
mặc định phải có để bạn có thể cấu hình được Fortigate
9
• Đi tới System > Network > Interface và edit interface wan1
• Thiết lập Addressing Mode là DHCP và chọn Retrieve Default Gateway from
server và Override internal DNS
• Chọn OK để save sự thay đổi
Chú ý: Nếu ISP sử dụng phương pháp PPPoE hoặc đánh địa chỉ theo địa chỉ do ISP
quy định thì bạn phải cấu hình interface wan1 theo các option này thay vì sử dụng
DHCP
Kết quả:
Kết quả bạn nhận được sẽ giống như mục 1 nếu như bạn cấu hình đúng
Fix lỗi gặp phải:
Nếu bạn cấu hình xong mà không đạt được kết quả như mong muốn thì hãy thực
hiện theo các bước như sau:
• Kiểm tra interface wan1 đã có thể nhận được cấu hình IP từ ISP. Login vào
Fortigate thông qua giao diện quản lý web và đi tới System > Network >
Interface > wan1. Chắc chắn rằng Addressing Mode đã được thiết lập là
DHCP và các thông tin tương tự như các thông số sau:
10
Nếu địa chỉ IP không đúng hoặc bị thiếu thì chọn Renew để thực hiện giải phóng và
nhận lại địa chi IP. Nếu bạn không thể nhận được một địa chỉ IP hợp lệ theo cách này
thì Fortigate không thể truy thông với server DNS của ISP
Nếu ISP không hỗ trợ việc thiết lập DNS thông qua DHCP thì bạn phải cấu hình DNS
cho Fortigate thông qua System > Network > DNS
Nếu ISP không hỗ trợ việc thiết lập default gateway cho bạn thông qua DHCP thì bạn
phải thiết lập thông số này thông qua Router > Static > Static Route và trỏ default
gateway tới địa chỉ của ISP
Nếu mạng internal được cấu hình để nhận địa chỉ IP thông qua DHCP từ Fortigate thì đi
tới System > Network > DHCP Server và edit thông tin DHCP server cho interface
internal. Trong trường hợp bạn sử dung Fortigate làm DHCP server thì bạn nếu thiết lập
luôn thông số DNS. Bạn có thể kiểm tra thông tin về các PC đã nhận địa chỉ IP từ
Fortigate thông qua System > Monitor > DHCP Monitor
Kiểm tra lại địa chỉ IP trên các PC của mạng internal để chắc chắn chúng nằm trong
cùng dải mạng với dải mạng được cấp phát bởi Fortigate.
Nếu thực hiện các bước trên mà không được hãy kiểm tra lại kết nối vật lý
3. Thay đổi địa chỉ của một mạng trong (internal network) trong một bước sử
dụng chương trình wizard setup của Fortigate
Problem:
Sử dụng các bước ít nhất có thể để thực hiện thay đổi địa chỉ subnet của một interface
internal và tất cả các thiết bị kết nối với nó
11
Giải pháp:
Sử dụng Fortigate setup wizard để thay đổi địa chỉ IP của interface internal trên
Fortigate và thay đổi các địa chỉ mạng mà Fortigate – DHCP server cung cấp cho các
thiết bị trong mạng internal. Renew lại địa chỉ IP cho các device trong mạng internal
Chú ý: Khi bạn sử dụng Fortigate setup wizard thì nó sẽ delete tất cả các policy hệ
thống và add vào đó một policy thay thế để cho phép mạng internal có thể truy cập
được vào Internet. Chính vì đặc điểm này nên có thể bạn sẽ không muốn sử dụng giải
pháp này khi mà bạn đã thực hiện add một số các policy trước đó.
• Từ một PC trong mạng internal, login vào Fortigate thông qua trình quản lý
web
• Chọn icon Wizard:
• Thay đổi các thông số trong trang Local Area Network (LAN) Settings theo
các thông số mạng mới như sau:
• Enable DHCP nên được lựa chọn. Thay đối các thiết lập như sau:
12
• Thực hiện renew lại địa chỉ IP của các device trong mạng internal
Kết quả:
Bây giờ các thiết bị trong mạng internal bao gồm interface internal của Fortigate phải
có địa chỉ IP nằm trong dải 192.168.50.0/255.255.255.0. Sau đó từ bất kỳ thiết bị nào
trong dải mạng này thử truy cập vào mạng Internet
Log vào Fortigate thông qua địa chỉ IP mới, kiểm tra lại DHCP, DNS và các policy cần
thiết
4. Troubeshooting cho việc cài đặt mode NAT/Route
Problem:
Bạn đã setup một Fortigate trong chế độ NAT/Route và các bước như các mục trên
nhưng các thiết bị trong mạng private của bạn thì không thể kết nối được tới Internet
Giải pháp:
Sử dụng một trong các bước sau để thực hiện tìm và fix các vấn đề mà bạn đang gặp
phải:
13
• Kiểm tra kết nối vật lý giữa PC và Fortigate cũng như là kết nối vật lý giữa
Fortigate và ISP. Để kiểm tra trạng thái của các kết nối vật lý này bạn có thể
làm kiểm tra widget Unit Operation dashboard trong System > Dashboard >
Status để kiểm tra trạng thái của các interface
• Kiểm tra lại các thiết bị được cung cấp bởi ISP để chắc chắn rằng nó vận
hành tốt
• Kiểm tra để chắc chắn rằng bạn có thể kết nối tới được địa chỉ IP internal của
Fortigate. Ví dụ từ PC bạn thực hiện ping tới địa chỉ 192.168.1.99 để kiểm
tra việc kết nối tới Fortigate. Nếu không được, bạn hãy kiểm tra lại xem địa
chỉ IP đang được thiết lập trên máy của bạn có thuộc cùng dải mạng với
interface internal hay không, nếu OK hãy kiểm tra lại kết nối vật lý giữa PC
của bạn và Fortigate hoặc của các thiết bị trung gian nằm giữa PC của bạn và
Fortigate
• Check lại cấu hình của interface internal trên Fortigate
• Check lại cấu hình của interface kết nối với mạng Internet để chắc chắn là
interface này được cấu hình đúng
• Kiểm tra việc truy cập từ Fortigate tới mạng Internet thông qua việc sử dụng
lệnh ping và traceroute trong màn hình command line của Fortigate bằng các
câu lệnh sau:
# execute ping google.com.vn
# execute traceroute google.com.vn
• Kiểm tra lại việc cấu hình DNS trên Fortigate. Bạn có thể check việc cấu
hình các lỗi của DNS thông qua việc ping hoặc traceroute tới một domain
name. Nếu nhận được thông báo theo kiểu:
ping www.fortinet.com
ping: cannot resolve www.fre.com: Unknown host
thì chắc chắn bạn nên kiểm tra lại việc cấu hình DNS
• Kiểm tra lại policy bằng cách đi tới Policy > Policy > Policy và kiểm tra policy
internal -> wan1 đã được add. Check cột Count để xem liệu policy này có được
xử lý bởi Fortigate hay không. Check lại cấu hình của policy để chắc chắn nó
tương tự với các thông số sau:
14
Chú ý rằng Enable NAT và Use Destination Interface Address phải được lựa chọn
• Kiểm tra lại cấu hình định tuyến tĩnh static routing bằng cách đi tới Router >
Static > Static Route và chắc chắn rằng tuyến default route là đúng. Đi tới Router
> Monitor > Router Monitor để kiểm tra việc điều khiển định tuyến và tuyến
default route xuất hiện trong danh sách như một tuyến static route
• Disable việc lọc web: Web filtering. Nếu bạn đã enable chức năng lọc web này
trong một policy thì nó có thể block việc truy cập tới các web site mà bạn đang
muốn truy cập tới. Để fix vấn đề này bạn đi tới UTM Profiles > Web Filter >
Profile và trong profile default bạn chọn Advanced Filter và enable tùy chọn
Allow Websites When a Rating Error Occurs
• Ngoài ra bạn cũng có thể thử giải pháp sau:
o Kiểm tra xem từ interface internal của bạn có thể ping tới được interface
Internet hay không, ví dụ interface kết nối ra internet là 172.16.20.12 và
địa chỉ IP của PC của bạn là 192.168.50.30 thì bạn thử ping từ PC này tới
địa chỉ 172.16.20.12. Nếu không được thì có nghĩa là Fortigate đang chặn
session từ dải internal sang internet
o Kiểm tra lại kết nối của bạn tới ISP
5. Insert một thiết bị Fortigate vào bên trong mạng mà không làm ảnh hưởng tới
cấu hình của mạng (mode Transparent)
Problem:
15
Làm cách nào để kết nối và cấu hình một thiết bị Fortigate mới để bảo vệ mạng mà
không làm thay đổi cấu hình của mạng. Mạng được kết nối với Internet sử dụng một
router, router này sẽ thực hiện NAT
Giải pháp này cho phép add các policy vào mạng mà không được phép thay thế router.
Fortigate phải thực hiện block việc truy cập từ Internet vào mạng private nhưng vẫn cho
phép mạng private có thể truy cập vào Internet. Ngoài ra Fortigate còn phải có chức
năng điều khiển việc sử dụng tài nguyên ứng dụng và tìm cách remove virus
Giải pháp:
Tham khảo: />Cài đặt thiết bị Fortigate trong mode transparent giữa mạng internal và router. Add một
policy tới thiết bị Fortigate để cho phép người dùng trong mạng internal có thể connect
tới Internet và add chức năng quét virus, điều khiển ứng dụng tới policy này. Không có
bất kỳ yêu cầu nào liên quan tới việc thay đổi về mạng ngoại trừ việc cung cấp cho thiết
bị Fortigate một địa chỉ IP quản lý
Chú ý: Việc thay đổi mode của Fortigate từ chế độ NAT/Route sang chế độ Transparent
sẽ phải remove toàn bộ các cấu hình được thực hiện trong chế độ NAT/Route. Nếu bạn
muốn giữ lại các cấu hình này thì hãy chắc chắn rằng bạn đã backup lại toàn bộ cấu
hình của Fortigate thông qua widget System Information
Các bước thực hiện như sau:
16
• Đi tới System > Dashboard > Status > System Information và bên cạnh
Operation Mode và chọn Change và cấu hình theo các thông số sau:
• Chọn Ok để switch sang chế độ transparent
• Login vào firewall qua giao diện web quản lý thông qua địa chỉ IP
https://10.31.101.40 tất nhiên hãy chắc chắn rằng địa chỉ IP của PC của bạn nằm
cùng trong dải với địa chỉ IP của Fortigate
• Đi tới System > Network > DNS và add thông tin về DNS server primary và
secondary
• Đi tới Policy > Policy > Policy và chọn Create New để add các thông tin sau để
cho phép người dùng trong mạng private có thể truy cập Internet:
• Chọn UTM. Chọn Enable Antivirus và chọn Enable Application Control
• Chọn OK để save cấu hình của policy
• Tắt nguồn của Fortigate
17
• Connect Fortigate ở vị trí giữa mạng và router. Kết nối interface wan1 của
Fortigate tới interface internal của router. Kết nối interface internal của Fortigate
của mạng internal.
• Bật nguồn Fortigate
Kết quả:
Tương tự các mục trên. Chỉ khác là trong Policy > Monitor > Session Monitor:
18
Địa chỉ nguồn của tất cả các session đều là trong mạng 10.31.10.0. Địa chỉ IP NAT
nguồn và cột port NAT nguồn để trống vì lúc này Fortigate không được cấu hình
NAT/Route
6. Troubleshooting cho việc cài đặt mode transparent
Problem:
Bạn đã setup cấu hình mode transparent cho Fortigate nhưng traffic không pass được
qua thiết bị Fortigate
Giải pháp:
Sử dụng theo các bước sau để tìm và fix các vấn đề về kết nối của Fortigate trong mode
transparent:
• Kiểm tra kết nối vật lý giữa PC và Fortigate cũng như là kết nối vật lý giữa
Fortigate và ISP. Để kiểm tra trạng thái của các kết nối vật lý này bạn có thể làm
kiểm tra widget Unit Operation dashboard trong System > Dashboard > Status để
kiểm tra trạng thái của các interface
• Kiểm tra lại các thiết bị được cung cấp bởi ISP để chắc chắn rằng nó vận hành
tốt
• Kiểm tra để chắc chắn rằng bạn có thể kết nối tới được địa chỉ IP internal của
Fortigate. Ví dụ từ PC bạn thực hiện ping tới địa chỉ 192.168.1.99 để kiểm tra
việc kết nối tới Fortigate. Nếu không được, bạn hãy kiểm tra lại xem địa chỉ IP
19
đang được thiết lập trên máy của bạn có thuộc cùng dải mạng với interface
internal hay không, nếu OK hãy kiểm tra lại kết nối vật lý giữa PC của bạn và
Fortigate hoặc của các thiết bị trung gian nằm giữa PC của bạn và Fortigate
• Kiểm tra việc truy cập từ Fortigate tới mạng Internet thông qua việc sử dụng
lệnh ping và traceroute trong màn hình command line của Fortigate bằng các câu
lệnh sau:
# execute ping google.com.vn
# execute traceroute google.com.vn
• Kiểm tra lại việc cấu hình DNS trên Fortigate. Bạn có thể check việc cấu hình
các lỗi của DNS thông qua việc ping hoặc traceroute tới một domain name. Nếu
nhận được thông báo theo kiểu:
ping www.fortinet.com
ping: cannot resolve www.fre.com: Unknown host
thì chắc chắn bạn nên kiểm tra lại việc cấu hình DNS
• Kiểm tra lại policy bằng cách đi tới Policy > Policy > Policy và kiểm tra policy
internal -> wan1 đã được add. Check cột Count để xem liệu policy này có được
xử lý bởi Fortigate hay không. Check lại cấu hình của policy để chắc chắn nó
tương tự với các thông số sau:
• Kiểm tra lại cấu hình định tuyến tĩnh static routing bằng cách đi tới Router >
Static > Static Route và chắc chắn rằng tuyến default route là đúng
20
• Disable việc lọc web: Web filtering. Nếu bạn đã enable chức năng lọc web này
trong một policy thì nó có thể block việc truy cập tới các web site mà bạn đang
muốn truy cập tới. Để fix vấn đề này bạn đi tới UTM Profiles > Web Filter >
Profile và trong profile default bạn chọn Advanced Filter và enable tùy chọn
Allow Websites When a Rating Error Occurs
• Kiểm tra lại kết nối của bạn tới gateway được cung cấp bởi ISP. Thử ping tới địa
chỉ Ip của default gateway từ một PC từ trong mạng internal
• Confirm rằng thiết bị Fortigate có thể kết nối tới mạng FortiGuard. Một khi đã
register, firewall Fortigate sẽ chứa chức năng antivirus và điều khiển ứng dụng
và các update khác từ mạng FortiGuard. Thiết bị Fortigate phải có thể kết nối tới
mạng từ địa chỉ IP quản lý của nó. Nếu các bước test sau mà cung cấp các kết
quả sai, thì Fortigate không thể kết nối tới Internet từ địa chỉ IP quản lý. Check
tuyến default route của Fortigate để chắc chắn rằng nó là đúng. Check lại
firewall internet của bạn để chắc chắn rằng nó cho phép kết nối từ địa chỉ IP
quản lý của Fortigate tới mạng Internet.
o Đầu tiên check thông tin license trong widget License Information để
chắc chắn rằng trạng thái của tất cả các service match với các service mà
bạn đã mua. Thiết bị Fortigate kết nối với mạng FortiGuard để tính toán
thông tin này
o Đi tới System > Config > FortiGuard. Mở web filtering và tùy chọn email
và chọn Test Availability. Sau một phút, trình quản lý web based sẽ thông
báo rằng kết nối thành công
• Check bảng FortiGate bridge. Bảng bridge là một list các địa chỉ MAC trong
cùng một mạng như của Fortigate và địa chỉ MAC của các interface Fortigate>
Thiết bị Fortigate sử dụng bảng này để xác định việc forward một gói tin. Nếu
một địa chỉ MAC của một thiết bị được add vào bảng bridge thì các gói tin với
địa chỉ MAC đó sẽ bị block. Chính vì vậy hãy check lại bảng bridge để chắc
chắn rằng các địa chỉ MAC đúng được add vào bảng bridge. Sử dụng câu lệnh
sau trong CLI để check bảng bridge:
21
Nếu địa chỉ MAC của thiết bị không được liệt kê ở đây thì Fortigate sẽ không thể
tìm thấy thiết bị trên mạng. Điều này có thể chỉ ra rằng thiết bị không được kết nối
hoặc đang không vận hành. Check lại kết nối mạng của thiết bị và chắc chắn rằng nó
đang vận hành đúng
7. Kiểm tra version của firmware hiện tại và upgrade firmware FortiOS
/>basic/update_firmware.html
8. Setup và troubleshooting các dịch vụ của FortiGuard
/>basic/cb_install-fortiguard.html
9. Setup một account admin trên thiết bị Fortigate
Problem:
Bạn muốn add một account administrator mới quản trị Fortigate, account này có quyền
super admin và có thể truy cập vào mọi thuộc tính của Fortigate. Bạn cũng có thể muốn
xác định các administrator riêng biệt cho từng người dùng thay vì nhiều người sử dụng
dùng một account administrator là admin
22
Giải pháp:
Tạo một administrator mởi với profile là super_admin, và enable full quyền access tới
tất cả các thuộc tính của Fortigate
• Đi tới System > Admin > Adminitrators và chọn Create New để add
administrator sau:
• Chọn OK để save administrator
Chú ý: Tên và password của administrator phân biệt chữ hoa, chữ thường. Bạn không
thể sử dụng các ký tự < > ( ) # “ trong tên đó. Khoảng trắng được cho phép nhưng
không phải là ký tự đầu tiên và ký tự cuối cùng. Khoảng trắng trong tên và password có
thể gây confuse và nó sẽ yêu cấu phải dùng dấu quote (“”) để nhập tên trong CLI
23
Profile admin là profile mặc định của Fortigate được sử dụng cho account admin để
truy cập vào tất cả các thuộc tính của Fortigate, phụ thuộc vào các thuộc tính mà người
dùng có thể truy cập, bạn có thể định nghĩa ra các profile khác nhau, với mỗi profile bạn
định nghĩa ra các thuộc tính mà người dùng có thể truy cập
Kết quả:
Login vào Fortigate sử dụng account với username/password là Terry_White/password.
Với tài khoản này bạn có thể view và thay đổi tất cả các thuộc tính của Fortigate
Đi tới Log & Report > Event Log để kiểm tra các sự kiện login của người dùng:
Chọn một entry trong log để xem thông tin chi tiết của user đã kết nối. Trường Message
chỉ ra rằng user Terry White đã login thành công từ địa chỉ 192.168.1.1
Đi tới System > Dashboard > Status và view widget System Information. Trường
Current Administrator chỉ ra số lượng administrator đã login
Chọn Detail để show ra các thông tin chi tiết:
24
B. Các cấu hình nâng cao
1. Kết nối một thiết bị Fortigate với 2 ISP cho mục đích redundant
2. Sử dụng một modem cho một kết nối redundant
3. Phân phối các session giữa 2 kết nối internet redundant với ECMP dựa trên
mức độ sử dụng
4. Bảo vệ một web server trong mạng DMZ
5. Bảo vệ một mail server với một thiết bị Fortigate mà không làm thay đổi mạng
(sử dụng mode transparent)
6. Sử dụng việc ghép cặp cổng để đơn giản hóa việc cài đặt mode transparent
C. Sử dụng các policy và firewall object để điều khiển traffic mạng
1. Giới hạn sự truy cập Internet của nhân viên
Problem:
Bạn muốn giới hạn việc truy cập Internet của nhân viên vào các website như YouTube
và Facebook trong khoảng thời gian từ 12 giờ trưa tới 2 giờ chiều
25