Tài liệu hướng dẫn cấu hình cơ bản cho firewall FORTIGATE tiếng việt. Trước khi nói về PolicyBased Routing (PBR) thì cùng điểm lại về cách các thiết bị Layer 3 chuyển tiếp gói tin đến đích. Thông thường, khi có nhiều tuyến đường (route) đến cùng 1 đích trong bảng định tuyến (Routing Information Base – RIB) các thiết bị mạng sẽ chọn tuyến đường tốt nhất và thêm nó vào bảng chuyển tiếp của nó (Forwarding Information Base FIB), ngay cả khi có 2 đường có chi phí bằng nhau nó cũng chỉ chọn 1 đường và không sử dụng bất kỳ tuyến đường nào khác trừ khi có sự cố trong tuyến đường đã chọn.
Trang 1CHAP1: GUI hay CLI?
Nếu xoay quanh GUI hay CLI cái nào nhanh hơn thì em không có ý kiến, vì em dùng cả hai
GUI: Dễ sử dụng cho đại đa số, có gần như đầy đủ các tác vụ cơ bản đến nâng cao.
CLI: Để cấu hình các tính năng trên GUI không có, để trouble shooting và đặc biệt là cấu hình các thao
tác lặp đi lặp lại
Ví dụ: Làm sao để cấu hình 10 Network Object LAN 1 đến LAN 10?
Đầu tiên em vẫn tạo 1 Object cho LAN 1 như bình thường Hoặc ai nhớ lệnh thì có thể bỏ qua bước này.
Show cấu hình trong CLI (Sử dụng Putty hoặc phần mềm khác để có thể Copy lệnh)
Chuẩn bị 1 File Excel (Cái này đúng ra phải có khi bắt đầu phân hoạch IP cho hệ thống)
Trang 2Copy thành quả ra Notepad và bỏ các dấu “ngoặc kép” khó chịu này đi thôi.
Sau khi bỏ các dấu “ngoặc kép” thì đã đến lúc copy và paste các lệnh này vào giao diện CLI
Tất nhiên trick này có thể dùng cho tất cả các loại thiết bị có giao diện CLI Nhưng em khuyến cáo copy từng chút lệnh một thôi Copy nhiều lệnh 1 lúc chúng nó dễ đình công lắm.
Trang 3CHAP 2 : ZONE
Nếu các bác đã đụng đến NGFW (Next Generation Firewall) thì chắc hẳn các bác đã thấy Zone (Thực sự xin lỗi vì em sinh ra ở cuối Gen Y, cũng không được tiếp xúc với Firewall thế hệ trước)
Em vẫn hay thấy phần lớn mọi người cấu hình IP cho mỗi dải mạng LAN tương ứng với 1 Interface
Hoặc đặt Ip theo Sub-Interface (LACP các Link từ Firewall xuống Switch)
Role WAN, LAN, DMZ theo kinh nghiệm của em chỉ là để hiển thị trong thống kê cho đẹp Em vẫn thường
để các Interface có Default Gateway là WAN, các Interface khác là Undefined.
Trang 4Nhưng quan trọng là khi tạo Firewall Policy nó thực sự rất rối mắt và mất công.
Để giải quyết các sự trùng lặp về Firewall Policy như này thì có 2 cách
Cách 1: Bật tính năng Multiple Interface Policies
Tuy nhiên khi chọn cấu hình theo cách này sẽ không thể nào xem các Policy theo Interface Pair View
nữa Khi có đến hàng nghìn chính sách, việc tìm Policy sẽ thực sự khó khăn
Trang 5Cách 2: Sử dụng Zone.
Gần như tất cả các loại Firewall mà em biết đều có Zone, có những dòng bắt buộc phải gán Interface vào
1 Zone mới sử dụng được
Trang 6Sau khi đã nhóm các member vào Zone, Trên Firewall Policy sẽ chỉ tạo được Policy theo Zone
Khi chỉ có 1 Interface, có nên tạo Zone cho nó không?
Trong ví dụ dưới đây chỉ có 1 dải mạng DMZ, có Policy cho phép DMZ ra internet và từ LAN vào
DMZ_WEB server
Trường hợp 1: Khi cần mở rộng thêm dải DMZ thứ 2 sẽ lại lặp lại bài toán như ban đầu.
Trường hợp 2: Khi cần thay đổi VLAN của dải DMZ sẽ phải xóa hoặc thay đổi tạm các Interface liên quan
đến DMZ trong Firewal Policy sang 1 interface khác -> Xóa Sub-Interface -> Tạo Sub-Interface với VLAN mới Nó làm giảm tính linh hoạt trong hệ thống mạng
Trang 7Khi sử dụng Zone, việc thay đổi xóa, sửa interface chỉ làm thay đổi member của Zone, không làm ảnh
hưởng đến phần cấu hình các Policy trên Zone
Có nên tạo Zone cho nhiều đường FTTH ?
Mời các bác đón xem CHAP3: Zone + Policy Based Routing vs SD-WAN rule
Trang 8CHAP 2 : ZONE + POLICY-BASED ROUTING VS SD-WAN RULE
Trước khi nói về Policy-Based Routing (PBR) thì cùng điểm lại về cách các thiết bị Layer 3 chuyển tiếp gói tin đến đích
Thông thường, khi có nhiều tuyến đường (route) đến cùng 1 đích trong bảng định tuyến (Routing Information Base – RIB) các thiết bị mạng sẽ chọn tuyến đường tốt nhất và thêm nó vào bảng chuyển tiếp của nó (Forwarding Information Base - FIB), ngay cả khi có 2 đường có chi phí bằng nhau nó cũng chỉ chọn 1 đường và không sử dụng bất kỳ tuyến đường nào khác trừ khi có sự cố trong tuyến đường đã chọn
Equal Cost Multiple Path (ECMP) là 1 tính năng cho phép thiết bị mạng như router, switch hay firewall sử dụng nhiều đường dẫn tốt nhất có chi phí bằng nhau đến cùng 1 đích Các tuyến đường này sẽ được ECMP đưa vào bảng định tuyến và cân bằng tải lưu lượng để tăng băng thông của hệ thống
Cân bằng tải ECMP được thực hiện ở cấp phiên (session), không phải ở cấp gói (Packet) – thời điểm bắt đầu một phiên mới là khi thiết bị mạng (ECMP) chọn một đường dẫn chi phí ngang nhau để truyền tải gói tin
Tham khảo: https://starlinks.vn/giai-phap/giai-phap-switch-router/ecmp-la-gi-cac-thuat-toan-can-bang-tai-trong-ecmp/
Mặc định trên Fortigate, khi có nhiều WAN khác nhau, ECMP được sử dụng để cân bằng tải các gói tin khi có nhiều tuyến đường có chi phí bằng nhau Trong đó trường hợp có nhiều Default-Route là trường hợp thường gặp nhất.
Trang 9Như vậy khi gom 2 đường WAN vào một Zone, ECMP sẽ được Firewall sử dụng để cân bằng tải các Route đến cùng 1 đích có Priority bằng nhau và nhỏ nhất
Firewall Policy chỉ cần tạo 1 Policy duy nhất cho 2 WAN.
Trang 11Khi cần cho 1 Host nào đó (Ví dụ Mail Server, Server cần Active License theo IP Public cố định…) ra ngoài Internet bằng 1 WAN cố định sẽ phải dùng đến Policy Routes (Policy-Based Routing) trên Fortigate
Ví dụ bên dưới là đẩy traffic của WEB và MAIL theo FTTH2
Policy Routes sẽ được Firewall check lần lượt từ trên xuống dưới
Cũng như Cisco hay các thiết bị khác, Routing Information Based sẽ chỉ được thiết bị sử dụng sau
Policy-Based Routing, thế nên cần có 1 Rule Deny các Local traffic khỏi Policy Routing
*Lưu ý: Sử dụng Group Object có thể làm rút gọn Rule bên trên, trong bài này em để riêng từng Object
để các bác có thể thấy rõ hơn.
Khi dùng Zone + Policy Based Routing trên Fortigate sẽ đáp
ứng được các yêu cầu cơ bản
Tuy nhiên còn thiếu tính năng check trạng thái của đường
truyền trước khi thực hiện Policy Routing
Ví dụ bên phải là cấu hình trên Cisco Router, trước khi gói
tin được đẩy theo 1 interface nào đó sẽ phải được check
bằng các Track Object
Để làm được điều này trên Fortigate, cần sử dụng tính
năng SD-WAN
Trang 12Việc add các đường WAN vào SD-WAN Zone về bản chất cũng gần tương tự như add vào 1 Zone bình thường Tuy nhiên có thêm phần khai báo Next-hop và Cost
Tạo SLA check ping 8.8.8.8
Trang 13Tạo SD-WAN Rule đẩy MAIL và WEB theo Interface FTTH-2, SLA Heal-check Ping_8.8.8.8
Các Manual SD-WAN Rule sẽ được Firewall check từ trên xuống dưới, khi không match với bất cứ 1 SD- WAN Rule nào Firewall sẽ thực hiện Load Balancing theo Default SD-WAN Rule
Có thể đổi mode Load-Balancing của Default SD-WAN Rule theo nhu cầu
Trang 14Sau khi đã thiết lập xong các SD-WAN Rule, việc tạo Firewall policy tương tự như khi add các đường FTTH vào 1 Zone bình thường
Việc định tuyến, điều hướng traffic đã được thiết lập trên Fortigate Tuy nhiên việc giao tiếp giữa Public
và Internal, hay chỉ đơn giản là các vùng mạng không thể định tuyến tới nhau phải cần SNAT hoặc DNAT Trên Fortigate mặc định không có một mục riêng để cấu hình NAT như các thiết bị bình thường Vậy cấu hình NAT trên Fortigate như nào để hệ thống hoạt động như mong muốn?
Mời các bác đón xem CHAP4: NAT