chuyên đề tìm hiểu thiết bị bảo vệ fortigate-50 và các ứng dụng website bưu điện tỉnh ninh thuận

FortiGate được cấu hình mặc định với một bức tường lửa có chính sách bảo mật phù hợp với bất kỳ yêu cầu kết nối nào nhận được từ mạng bên trong và chỉ dẫn cho firewall để kết nối tới Int

Bưu §iÖn TØnh Ninh ThuËn Trung t©m tin häc

- -

Chuyªn §Ò :

T×m HiÓu ThiÕt BÞ B¶o VÖ FortiGate-50

Ng ưêi thùc hiÖn : NguyÔn Kh¾c Liªm

§¬n vÞ : Trung T©m Tin Häc

Th¸ng 11/2003

Mở Đầu

Ngày nay cùng với sự phát triển của các ngành kinh tế xã hội, thì công nghệ thông tin ngày càng

được ứng dụng vào các lĩnh vực ngày càng trở nên phổ biến nhất là trong lĩnh vực sản xuất kinh doanh, máy tính ngày trở thành công cụ càng không thể thiếu trong các công việc quản lý, sản xuất kinh doanh, nó được ứng dụng rộng rãi trong các ngành nghề khác nhau : xây dựng, kế toán, quản lý nhân

sự, tiền lương Nhờ sự trợ giúp của máy tính, mà công việc quản lý công việc trở nên nhanh chóng

và chính xác, số liệu được lưu trữ gọn nhẹ

Số lượng máy tính được đầu tư tại các cơ quan, công sở mỗi năm một tăng, tại Bưu điện tỉnh số lượng máy hiện nay khoảng 185 máy Khi số lượng máy tính ngày một tăng thì việc hình thành mạng máy tính nội bộ để có thể chia sẻ các tài nguyên trên mạng, truyền số liệu, in qua mạng, chạy các chương trình ứng dụng qua mạng, duyệt các trang web nội bộ, gởi thư điện tử qua mạng, đăng những thông báo chung cho toàn thể CBCNV trong cơ quan đó là những ưu điểm của mạng máy tính mà mọi người có thể thừa hưởng khi máy tính được kết nối vào mạng Tuy nhiên bên cạnh những tiện ích của mạng máy tính mang lại thì việc kết nối máy tính vào mạng cũng có những vấn đề mà mọi người cũng rất quan tâm đó là vấn đề an ninh mạng đặc biệt là khi ta kết nối mạng nội bộ vào mạng Internet thì công việc này càng được quan tâm hàng đầu vì những lý do : việc lây nhiễm virus máy tính qua mạng làm ngưng hoạt động của máy, truy cập trái phép vào mạng để đánh cắp mật khẩu, đánh cắp dữ liệu, xoá dữ liệu Tại Bưu điện tỉnh hiện nay đã hình thành mạng máy tính nội bộ (LAN) và một website được kết nối trực tiếp vào mạng Inetrnet, chính vì vậy mà vấn đề an ninh mạng là không thể không quan tâm đến

Hiện nay có nhiều phương pháp cho vấn đề an ninh mạng bằng các bức tường lửa (Firewall) tại các nốt mạng bằng việc sử dụng các phần mềm và phần cứng Trong số các thiết bị phần cứng hiện nay

đang sử dụng thì FortiGate là một trong những thiết bị dùng làm bức tường lửa đang được sử dụng ở nhiều nơi

Tại nốt mạng của Bưu điện tỉnh hiện đang được trang bị một thiết bị FortiGate-50 nhằm tăng cường giám sát an ninh mạng của việc truy cập từ bên trong mạng nội bộ đi ra Internet cũng như việc truy cập từ mạng Internet vào website của Bưu điện tỉnh, FortiGate-50 là một thiết bị phần cứng dùng làm bức tường lửa (Firewall) có nhiều tính năng chuyên dụng

Với sự giúp đỡ của các đồng nghiệp tại Trung tâm tin học Bưu điện tỉnh, tôi đã tiến hành tìm hiểu thiết bị bảo vệ FortiGate-50 và các ứng dụng cho website Bưu điện tỉnh Ninh Thuận nhằm mục đích tìm hiểu các chức năng của thiết bị qua đó ứng dụng cho website Bưu điện tỉnh

Trong quá trinh thực hiện do thời gian có hạn vì vậy không thể tránh khỏi những thiếu sót Rất mong được sự góp ý chân thành của các đồng nghiệp và của các CBCNV trong Bưu điện tỉnh

Nhập Môn (Getting started)

Phần này mô tả cách tháo mở, cài đặt, và bật nguồn điện cho thiết bị FortiGate Một khi đã hoàn thành những thủ tục trong chương này, ta có thể tiến hành các bước sau :

• Nếu ta cho FortiGate chạy trong kiểu NAT/Route xem phần cài đặt kiểu NAT/Route

• Nếu ta cho FortiGate chạy trong kiểu Transparent xem phần cài đặt kiểu Transparent

• Một sợi cáp chéo màu cam

• Một sợi cáp bình thường màu xám

Những yêu cầu về môi trường

• Nhiệt độ cho hoạt động của thiết bị : từ 0 tới 40oC

• Nhiệt độ kho lưu trữ : từ -25 tới 70oC

• Độ ẩm : 5 tới 95 %

Mở nguồn điện

1 Nối bộ Adapter AC tới đầu nối nguồn điện ở phía sau của FortiGate-50

2 Nối bộ Adapter AC tới nguồn điện bên ngoài

FortiGate - 50 bắt đầu hoạt động Đèn nguồn và trạng thái sáng lên ánh sáng đèn trạng thái chớp sáng trong khi FortiGate-50 khởi động và nó sáng khi hệ thống chạy

Bảng 1 : các chỉ tiêu hướng dẫn FortiGate-50

Xanh lục Nguồn điện FortiGate mở

Nguồn điện

Tắt Nguồn điện FortiGate tắt

Chớp xanh FortiGate đang bắt đầu

Xanh lục FortiGate đang chạy bình thường

Trạng thái

Tắt Nguồn điện FortiGate tắt

Xanh lục Cáp đang được sử dụng đúng và thiết bị đang được nối với

Tắt Không có liên kết nào được thiết lập

Xanh lục Cáp đang được sử dụng đúng và thiết bị đang được nối với

Tắt Không có liên kết nào được thiết lập

Hình 3 : Mặt trước và mặt sau của FortiGate-50

Những bước tiếp theo

Bây giờ FortiGate đã chạy, ta có thể tiến hành cấu hình cho nó :

• Nếu ta cho FortiGate chạy trong kiểu NAT/Route xem phần cài đặt kiểu NAT/Route

• Nếu ta cho FortiGate chạy trong kiểu Transparent xem phần cài đặt kiểu Transparent

Cấu Hình Theo Chế Độ NAT/Route (NAT/Route mode installation)

Chương này mô tả cách cấu hình FortiGate trong chế độ NAT/Route

Chương này bao gồm :

• Chuẩn bị cấu hình trong chế độ NAT/Route

• Cài đặt theo hướng dẫn từng bước (wizard)

• Sử dụng giao diện dòng lệnh

• Kết nối tới mạng của ta

• Cấu hình mạng bên trong (mạng nội bộ)

• Hoàn thành việc cấu hình

Chuẩn bị cấu hình trong chế độ NAT/Route

Khi FortiGate khởi động lần đầu tiên, nó chạy trong chế độ NAT/Route và có cấu hình cơ bản trong table 2

Bảng 2 : Cấu hình năng lượng cho FortiGate

207.194.200.1

207.194.200.129

Cấu hình tuỳ chọn trong phương thức NAT/Route

Sử dụng table 3 để cấu hình tuỳ chọn trong phương thức NAT/Route

Internal Server

Server để cấu hình mạng bên trong, hãy thêm những địa chỉ IP của những Server ở đây

Cấu hình cao cho phương thức NAT/Route

Sử dụng bảng 4 để xem thông tin cần để cấu hình tùy chọn cấp cao cho FortiGate trong phương thức NAT/Route

Bảng 4 : cấu hình tùy chọn cấp cao cho FortiGate

Nếu ISP cung cấp 1 địa chỉ IP dùng DHCP

DHCP: không có thông tin yêu cầu PPPoE: User name:

DNS IP: _. _. _. _

FortiGate chứa một DHCP server mà ta có thể cấu hình để tự động đặt địa

chỉ của các máy tính ở mạng bên trong

• Trình duyệt web Internet Explorer phiên bản 4.0 hoặc cao hơn

• Một sợi cáp chéo hoặc một hub và hai cáp sợi cáp mạng để kết nối tới trang web quản lý

1 Đặt 1 địa chỉ IP cho máy tính với một kết nối mạng tới 1 địa chỉ IP tĩnh 192.168.1.2 và một netmask

Bắt đầu cài đặt bức tường lửa (firewall) từng bước theo hướng dẫn

1 Chọn nút Wizard bên góc phải của trang web quản lý

2 Sử dụng các thông tin trong bảng 3 để điền vào và chọn nút next để qua trang kế tiếp

3 Xác nhận cấu hình đã cài đặt sau đó chọn nút Finish để hoàn tất và đóng lại

Kết nối trở lại trang web quản lý

nếu bạn thay đổi địa chỉ IP của giao diện bên trong trong khi sử dụng cài đặt từng bước, ta cần kết nối trở lại trang web quản lý sử dụng một địa chỉ IP mới Duyệt https: // bởi địa chỉ IP mới của giao diện bên trong Cách khác, ta có thể kết nối trở lại trang web quản lý duyệt bởi https: // 192.168.1.99

Sử dụng giao diện lệnh

Ta có thể cấu hình cho FortiGate sử dụng giao diện lệnh (Command Line Interface - CLI)

Các yêu cầu để kết nối tới FortiGate CLI :

• Một máy tính với một cổng truyền thông

• Cắm cáp mô đem đầu rỗng vào đầu nối có 9 chốt để nối tới FortiGate (RS-232 serial connector)

• Phần mềm mô phỏng giống như HyperTerminal đối với Windows

Kết nối tới CLI

1 Nối cáp mô đem giữa đầu Console của FortiGate và cổng truyền thông trên máy tính

2 Phải chắc chắn rằng FortiGate đang mở điện

3 Bắt đầu HyperTerminal, nhập tên cho kết nối rồi chọn OK

4 Kiểu trong cổng truyền thông kết nối sử dụng field và chọn OK

5 Chọn cổng sau để cài đặt rồi chọn OK :

6 Nhấn Enter để nối tới FortiGate CLI

Lời nhắc sau xuất hiện trên màn hình :

Fortinet login :

7 Gõ vào admin và nhấn Enter hai lần

Lời nhắc sau xuất hiện trên màn hình :

Type ? for a list of commands

Bits per second 9600

Parity None

Stop bits 1

Flow control None

cấu hình FortiGate chạy trong chế độ NAT/Route

cấu hình địa chỉ Iptrong chế độ NAT/Route

1 Đăng nhập tới CLI nếu ta chưa đăng nhập

2 Đặt địa chỉ IP và netmask cho giao diện mạng bên trong như trong bảng 3

set system interface internal ip <IP Address> <Netmask>

Ví dụ :

set system interface internal ip 192.168.1.1 255.255.255.0

3 Đặt địa chỉ IP và netmask cho giao diện mạng bên ngoài như trong bảng 3

set system interface external manual ip <IP Address> <Netmask>

Ví dụ

set system interface external manual ip 204.23.1.5 255.255.255.0

Để cài đặt giao diện ngoài để sử dụng DHCP nhập vào :

set system interface external dhcp enable

Để cài đặt giao diện ngoài để sử dụng PPPoE nhập vào :

set system interface external pppoe enable <user name> <password>

Ví dụ

set system interface external pppoe enable username password

4 Xác nhận lại những địa chỉ nhập vào là đúng

Get system interface

Cấu hình Default Gateway trong phương thức NAT/Route

1 Đăng nhập tới CLI nếu ta chưa đăng nhập

2 Đặt default route tới Địa chỉ IP của default gateway trong bảng 3

set system route add 0.0.0.0 0.0.0.0 gw <IP Address> dev external

Ví dụ

set system route add 0.0.0.0 0.0.0.0 gw 204.23.1.2 dev external

Kết nối tới mạng của ta

Mỗi lần hoàn thành cấu hình, ta có thể cho kết nối FortiGate giữa mạng bên trong và Internet

Có hai kết nối 10/100 BaseTX trên FortiGate-50 :

• Bên trong để kết nối tới mạng bên trong

• Bên ngoài cho kết nối tới switch hoặc router công cộng và Internet

Để kết nối cho FortiGate - 50 :

1 Kết nối giao diện bên trong tới hub hoặc switch nối tới mạng bên trong

2 Kết nối giao diện bên ngoài tới switch hoặc router cung cấp bởi các dịch vụ trên Internet

Cài đặt ngày tháng và giờ

Để cho việc đăng nhập và lập lịch có hiệu quả , ngày tháng và giờ của FortiGate cần phải chính xác

Ta có thể cài đặt thời gian của FortiGate bằng tay hoặc có thể cấu hình cho FortiGate để tự động giữ cho thời gian của nó đúng và đồng bộ với thời gian của giao thức mạng (Network time protocol - NTP) trên server

Cấu Hình Theo Chế Độ Transparent (Transparent mode installation)

Chương này bao gồm :

• Chuẩn bị cấu hình theo chế độ Transparent

• Cài đặt theo hướng dẫn từng bước (wizard)

• Sử dụng giao diện dòng lệnh

• Cài đặt ngày tháng và thời gian

• Kết nối tới mạng của ta

Chuẩn bị cấu hình theo chế độ Transparent

Khi lần đầu tiên chuyển sang chế độ Transparent, FortiGate được liệt kê như trong bảng 5

Bảng 5 : cấu hình FortiGate chế độ Transparent

Cài đặt kiểu Transparent tuỳ chọn

Sử dụng bảng 6 để xem các thông tin cần thiết để cài đặt tùy chọn cho kiểu Transparent

Bảng 6 : Cài đặt kiểu Transparent

quản lý FortiGate Thêm vào một cổng mặc định (default gateway) nếu muốn FortiGate nối tới một router để đến máy tính quản lý

• Trình duyệt web Internet Explorer phiên bản 4.0 hoặc cao hơn

• Một sợi cáp chéo hoặc một hub và hai cáp sợi cáp mạng

Kết nối tới trang web quản lý :

1 Đặt 1 địa chỉ IP cho máy tính với một kết nối mạng tới 1 địa chỉ IP tĩnh 192.168.1.2 và một netmask

là 255.255.255.0

2 Sử dụng cáp chéo hoặc các sợi cáp mạng và hub để kết nối giao diện mạng bên trong của FortiGate tới máy tính

3 Khởi động Internet Explorer và duyệt tới địa chỉ https: // 192.168.1.99

Trang đăng nhập FortiGate xuất hiện

4 Gõ admin trong phần tên và chọn login

Hình 6 : đăng nhập FortiGate

Hình trang 22

Thay đổi sang kiểu Transparent

Lần đầu kết nối tới FortiGate nó được cấu hình chạy trong chế độ NAT/Route

Chuyển đổi sang chế độ Transparent sử dụng trang web quản lý :

1 Đi tới Firewall > Mode

Bắt đầu cài đặt từng bước

1 Chọn nút Wizard button trong trang web quản lý

2 Sử dụng thông tin trong bảng 6 để điền vào chọn nút Next để qua bước tiếp theo

3 Xác nhận cấu hình mà ta đã cài đặt, sau đó chọn nút Finish để kết thúc và đóng lại

Kết nối trở lại tới trang web quản lý

Nếu ta thay đổi địa chỉ IP của giao diện quản lý trong khi sử dụng cài đặt từng bước, ta cần phải kết nói trở lại tới trang web quản lý sử dụng một địa chỉ IP mới

Duyệt https: // bởi địa chỉ IP mới của giao diện quản lý Cách khác, ta có thể kết nối tới trang web quản

lý bởi https: // 192.168.1.99 Nếu ta kết nối tới giao diện quản lý qua một router thì chắc chắn rằng ta

đã thêm vào một cổng mặc định (default gateway) cho router đó đến địa chỉ IP quản lý

Sử dụng giao diện dòng lệnh

Ta có thể cấu hình FortiGate sử dụng giao diện dòng lệnh (Command Line Interface -CLI)

Để kết nối tới FortiGate CLI cần phải có các yêu cầu :

• Một máy tính với một cổng truyền thông

• Cắm cáp mô đem đầu rỗng vào đầu nối có 9 chốt để nối tới FortiGate (RS-232 serial connector)

• Phần mềm mô phỏng giống như HyperTerminal đối với Windows

Nối tới CLI

1 Nối cáp mô đem vào đầu nối console của FortiGate và cổng truyền thông trên máy tính của ta

2 Phải chắc chắn rằng FortiGate đang mở điện

3 Bắt đầu HyperTerminal, nhập tên cho kết nối rồi chọn OK

4 Kiểu trong cổng truyền thông kết nối sử dụng field và chọn OK

5 Chọn cổng sau để cài đặt rồi chọn OK:

6 Nhấn Enter để nối tới FortiGate CLI

Lời nhắc sau xuất hiện trên màn hình :

Fortinet login :

7 Gõ vào admin và nhấn Enter

Lời nhắc sau xuất hiện trên màn hình :

Type ? for a list of commands

Cấu hình FortiGate chạy trong kiểu Transparent

Sử dụng các thông tin trong bảng 6 để hoàn thành những thủ tục sau

Thay đổi tới kiểu Transparent

1 Đăng nhập tới CLI nếu ta chưa đăng nhập

2 Chuyển đổi sang kiểu Transparent Nhập vào :

set firewall opmode transparent

Sau vài giây, lời nhắc xuất hiện :

Fortinet login:

3 Gõ admin rồi nhấn Enter

Lời nhắc xuất hiện :

Type ? for a list of commands

4 Xác nhận FortiGate đã được chuyển sang kiểu Transparent Nhập vào :

get system status

CLI hiển thị tình trạng của FortiGate Hàng cuối cùng cho thấy kiểu thao tác hiện thời

Version:Fortigate-50 2.26,build041,020617

virus-db:3.1(06/13/2002 15:30)

ids-db:1.0(06/05/2002 11:33)

Serial Number:FGT-502801021075

Operation mode: Transparent

Cấu hình địa chỉ IP quản lý kiểu Transparent

1 Đăng nhập tới CLI nếu ta chưa đăng nhập

2 Đặt địa chỉ IP và netmask của IP quản lý tới địa chỉ IP và netmask mà ta ghi trong bảng 6

Nhập vào :

set system manageip ip <IP Address> <Netmask>

Ví dụ

set system manageip ip 10.10.10.2 255.255.255.0

Bits per second 9600

get system manageip

CLI liệt kê địa chỉ và netmask IP quản lý

Cấu hình cổng mặc định (default gateway) kiểu Transparent

1 Đăng nhập tới CLI nếu ta chưa đăng nhập

2 Định tuyến đường mặc định tới cổng mặc định ghi trong bảng 6 Nhập vào :

set system manageip gateway <IP Address>

Ví dụ :

set system manageip gateway 192.168.1.20

Cài đặt ngày tháng và giờ

Để cho việc đăng nhập và lập lịch có hiệu quả , ngày tháng và giờ của FortiGate cần phải chính xác

Ta có thể cài đặt thời gian của FortiGate bằng tay hoặc có thể cấu hình cho FortiGate để tự động giữ cho thời gian của nó đúng và đồng bộ với thời gian của giao thức mạng (Network time protocol - NTP) trên server

Hình 7 : FortiGate - 50 kết nối mạng

Hình trang 25

Kết nối tới mạng của ta

Mỗi lần hoàn thành cấu hình, ta có thể cho kết nối FortiGate giữa mạng bên trong và Internet

Có hai kết nối 10/100 BaseTX trên FortiGate - 50 :

• Bên trong để kết nối tới mạng bên trong

• Bên ngoài cho kết nối tới switch hoặc router công cộng và Internet

Để kết nối cho FortiGate -50 :

1 Kết nối giao diện bên trong tới hub hoặc switch nối tới mạng bên trong

2 Kết nối giao diện bên ngoài tới switch hoặc router cung cấp bởi các dịch vụ trên Internet

Cấu Hình Bức Tường Lửa Firewall (Firewall configuration)

Theo mặc định những người dùng ở mạng bên trong có thể nối xuyên qua FortiGate để đi ra Internet FortiGate ngăn tất cả các kết nối khác FortiGate được cấu hình mặc định với một bức tường lửa có chính sách bảo mật phù hợp với bất kỳ yêu cầu kết nối nào nhận được từ mạng bên trong và chỉ dẫn cho firewall để kết nối tới Internet

Hình 8 : chính sách bảo mật mặc định

Hinh trang 27

Những chính sách bảo mật là những chỉ dẫn được sử dụng bởi firewall để quyết định làm gì với một yêu cầu kết nối Khi firewall nhận một yêu cầu kết nối từ bên trong của một gói (dữ liệu), nó phân tích gói đó để rút trích ra địa chỉ nguồn , địa chỉ đích, và dịch vụ (số cổng)

Để cho gói đi qua được FortiGate, ta phải thêm một chính sách vào giao diện nhận gói Chính sách đó phải phù hợp với địa chỉ nguồn , địa chỉ đích, và dịch vụ của gói Chính sách này sẽ định hướng hoạt

động cho firewall cần phải thực hiện trên gói Các hoạt động có thể sẽ cho phép kết nối, hoặc từ chối kết nối hoặc yêu cầu sự chứng thực trước khi kết nối được cho phép Ta cũng có thể thêm những lịch trình làm việc vào chính sách bảo mật để firewall có thể xử lý những kết nối khác nhau phụ thuộc vào thời gian trong ngày hoặc ngày trong tuần, tháng, hoặc năm

Cấu hình những chính sách bảo mật :

• Những kiểu chính sách

• Thêm những chính sách

Bước đầu tiên trong việc cấu hình những chính sách bảo mật là cấu hình kiểu cho firewall Firewall

có thể chạy trong kiểu NAT/Route hoặc kiểu Transparent

Kiểu NAT/Route

Chọn kiểu NAT/Route để thay đổi địa chỉ mạng để bảo vệ những mạng riêng từ những mạng công cộng Trong kiểu NAT/Route, ta có thể nối một mạng riêng tới giao diện bên trong và một mạng công cộng, như Internet, giao diện ngoài Rồi ta có thể tạo ra những chính sách kiểu NAT để chấp nhận hoặc

từ chối những kết nối giữa những mạng này Những chính sách kiểu NAT che giấu địa chỉ những người dùng của mạng bên trong khi họ vào Internet

Trong NAT/Route ta cũng có thể tạo ra những chính sách kiểu định tuyến giữa những giao diện Chính sách kiểu định tuyến chấp nhận hoặc từ chối những kết nối giữa những mạng mà không thực hiện sự dịch chuyển địa chỉ

Kiểu Transparent

Chọn kiểu Transparent để cung cấp những sự bảo vệ firewall tới một mạng với các địa chỉ công cộng Không có những sự hạn chế về những địa chỉ của những giao diện của FortiGate Bởi vậy, FortiGate có thể được chèn vào vào trong mạng tại bất kỳ điểm nào mà không cần có những sự thay đổi cho mạng Trong kiểu Transparent, FortiGate làm việc như một router

Trong kiểu Transparent, ta tạo ra những chính sách kiểu router để chấp nhận hoặc từ chối những kết nối giữa giao diện bên trong và giao diện bên ngoài Ta quản lý FortiGate bởi việc kết nối tới một giao diện quản lý kiểu Transparent xuyên qua giao diện bên trong

Thay đổi tới kiểu Transparent

Ghi chú : Thay đổi tới kiểu Transparent sẽ xoá những chính sách trong firewall kiểu NAT/Route những

địa chỉ và những chính sách IPSec VPN

Sử dụng trang web quản lý :

1 Đi tới Firewall > Mode

2 Chọn Transparent

3 Chọn Apply

4 Chọn OK

5 Kết nối trở lại trang web quản lý :

Kết nối tới giao diện bên trong và duyệt tới https: // địa chỉ IP quản lý trong kiểu Transparent Địa chỉ

IP quản lý trong kiểu Transparent mặc định là 192.168.1.99

Thay đổi tới kiểu NAT/Route

Ghi chú : Thay đổi tới kiểu NAT/Route xóa tất cả các chính sách firewall và những địa chỉ trong kiểu Transparent

Sử dụng trang web quản lý :

1 Đi tới Firewall > Mode

2 Chọn NAT/Route

3 Chọn Apply

FortiGate thay đổi kiểu hoạt động

4 Kết nối trở lại tới trang web quản lý, duyệt tới giao diện mà ta cấu hình cho sự quản lý truy cập sử dụng https: // bởi địa chỉ IP của giao diện

Thay đổi kiểu chính sách giữa những giao diện

Nếu firewall đang chạy trong kiểu NAT/Route, ta có thể cấu hình kiểu chính sách cho những kết nối giữa giao diện bên trong và giao diện ngoài Kiểu chính sách mặc định

là NAT

Thay đổi kiểu chính sách giữa giao diện bên trong và giao diện ngoài sử dụng trang web quản lý :

1 Đi tới Firewall > Mode

2 Chọn kiểu cho những kết nối giữa giao diện bên trong và giao diện ngoài

Chọn NAT để thay đổi kiểu chính sách tới kiểu NAT Chọn Route để thay đổi kiểu chính sách tới kiểu Route

3 Click vào nút Apply

Int To Ext Những chính sách cho những kết nối từ mạng bên trong đến mạng ngoài (Internet) Ext To Int Những chính sách cho những kết nối từ mạng ngoài đến mạng bên trong

Sử dụng những thủ tục sau để thêm những chính sách :

• Thêm những chính sách kiểu Route

• Thêm những chính sách kiểu NAT

• Sửa đổi chính sách

• Sắp xếp các chính sách trong danh sách chính sách

Thêm những chính sách cho kiểu Route

Khi firewall đang chạy trong kiểu Transparent, tất cả các chính sách đều là những chính sách kiểu Route

Khi firewall đang chạy trong NAT/Route, những chính sách là những chính sách kiểu Route Khi kiểu chính sách giữa hai giao diện đ−ợc cài đặt kiểu Route

là một địa chỉ IP hợp lệ cho mạng kết nối tới giao diện nguồn

Một địa chỉ phù hợp với địa chỉ đích của gói Địa chỉ này có thể là một địa chỉ IP đơn hoặc một phạm vi địa chỉ Trước khi ta có thể thêm địa chỉ này vào một chính sách, ta phải thêm nó vào giao diện nơi đến Địa chỉ này phải

là một IP hợp lệ cho mạng kết nối tới giao diện đích

Một lịch trình làm việc mà nó điều khiển khi chính sách này hoạt động Trong thời gian mà lịch trình làm việc thì những chính sách hợp lệ sẵn có thì phù hợp với với những kết nối

Một dịch vụ mà phù hợp với dịch vụ (hoặc số cổng) của gói Ta có thể lựa chọn từ một phạm vi rộng của những dịch vụ có sẵn, hoặc thêm những nhóm dịch vụ và dịch vụ tuỳ chọn

Chọn firewall như thế nào để trả lời khi nào khi một chính sách phù hợp với một kết nối Ta có thể cấu hình chính sách cho firewall để chấp nhận kết nối, từ chối kết nối, hoặc yêu cầu những người dùng xác nhận (chứng thực) với firewall trước khi firewall chấp nhận kết nối Sự chứng thực thì không có sẵn trong kiểu Transparent

Trong tuỳ chọn (Optionally) chọn Log Traffic để thêm những thông báo vào Log Traffic bất cứ khi nào mà chính sách xử lý một kết nối

Trong tuỳ chọn (Optionally) chọn Traffic Shaping để điều khiển bandwidth sẵn có và đặt quyền ưu tiên xử lý luồng thông tin bởi chính sách

5 Chọn OK để thêm chính sách

Chính sách được thêm vào danh sách chính sách được chọn Ta phải sắp xếp những chính sách trong danh sách chính sách để chúng có những kết quả mong muốn

Hình 9 : chính sách kiểu Route (NAT/Route)

Hinh trang 31

Thêm những chính sách kiểu NAT

Những chính sách kiểu NAT cung cấp sự chuyển đổi địa chỉ mạng giữa những giao diện Mặc định khi firewall đang chạy trong kiểu NAT/Route, nó đ−ợc cấu hình cho những chính sách kiểu NAT giữa giao diện bên ngoài và giao diện bên trong Những chính sách kiểu NAT che giấu những địa chỉ IP ở mạng bên trong khi đến Internet

Những chính sách kiểu NAT cho những kết nối từ giao diện bên trong đến giao diện ngoài chuyển

đổi địa chỉ nguồn của những gói (dữ liệu) tới địa chỉ của giao diện ngoài Firewall thực hiện sự chuyển

đổi địa chỉ này một cách tự động bởi vì nó biết địa chỉ của giao diện ngoài của nó

Đối với những kết nối từ giao diện ngoài đến giao diện bên trong, những chính sách kiểu NAT phải chuyển đổi địa chỉ đích của gói (dữ liệu) từ một địa chỉ trên Internet đến một địa chỉ ở mạng bên trong

Ta phải thêm thông tin mà firewall cần để có thể vẽ bản đồ địa chỉ nơi đến của gói vào một địa chỉ ở mạng bên trong Bản đồ này đ−ợc xem nh− một IP ảo

Một IP ảo cần thêm vào Ext to Int trong những chính sách kiểu NAT

Hình 10 : Ext to In chính sách kiểu NAT

Một địa chỉ phù hợp với địa chỉ nơi đến của gói Địa chỉ này có thể là một địa chỉ

IP đơn hoặc một phạm vi địa chỉ Trước khi ta thêm địa chỉ này vào một chính sách, ta phải thêm nó vào giao diện nơi đến Địa chỉ này phải là một IP hợp lệ cho mạng kết nối tới giao diện nơi đến

Một lịch trình làm việc điều khiển khi một chính sách hoạt động Trong thời gian

mà lịch trình làm việc thì những chính sách hợp lệ sẵn có thì phù hợp với với những kết nối

Một dịch vụ mà phù hợp với dịch vụ (hoặc số cổng) của gói Ta có thể lựa chọn

từ một phạm vi rộng của những dịch vụ có sẵn, hoặc thêm những nhóm dịch vụ

và dịch vụ tuỳ chọn

Chọn firewall như thế nào để trả lời khi nào khi một chính sách phù hợp với một kết nối Ta có thể cấu hình chính sách cho firewall để chấp nhận kết nối, từ chối kết nối, hoặc yêu cầu những người dùng xác nhận (chứng thực) với firewall trước khi firewall chấp nhận kết nối Sự chứng thực thì không có sẵn trong kiểu Transparent

Những chính sách trong Ext to Int ta có thể chọn Reverse NAT để thực hiện đảo

địa chỉ mạng trên các gói

Trong tuỳ chọn (Optionally) chọn Log Traffic để thêm những thông báo vào Log Traffic bất cứ khi nào mà chính sách xử lý một kết nối

Trong tuỳ chọn (Optionally) chọn Traffic Shaping để điều khiển bandwidth sẵn

có và đặt quyền ưu tiên xử lý luồng thông tin bởi chính sách

5 Chọn OK để thêm chính sách

Chính sách được thêm vào trong danh sách chính sách được chọn Ta phải sắp xếp những chính sách trong danh sách chính sách để chúng có những kết quả như mong muốn

Sửa đổi những chính sách

1 Đi tới Firewall >Policy

2 Chọn bảng chứa chính sách để sửa đổi

3 Chọn chính sách sửa đổi và chọn Edit

4 Sửa đổi những chính sách thiết lập như được yêu cầu

5 Chọn OK lưu lại những sự thay đổi

Sắp xếp những chính sách trong danh sách chính sách

Những chính sách phù hợp của FortiGate được tìm kiếm bắt đầu từ đỉnh của danh sách chính sách và

di chuyển xuống cho đến khi nó tìm thấy chính sách phù hợp đầu tiên Ta phải sắp xếp những chính sách trong danh sách chính sách từ đặc biệt đến tổng quát

Ví dụ, chính sách mặc định là một chính sách rất tổng quát bởi vì nó phù hợp với tất cả kết nối Để tạo

ra những ngoại lệ cho chính sách này, chúng cần phải được thêm vào danh sách chính sách ở trong chính sách mặc định Không có chính sách nào ở dưới chính sách mặc định sẽ phù hợp

Chi tiết trong chính sách phù hợp

Khi FortiGate nhận một kết nối tại một giao diện, nó phải phù hợp với kết nối tới một chính sách trong mỗi danh sách chính sách Int to Ext hoặc Ext to Int FortiGate bắt đầu ở tại đỉnh của danh sách chính sách của giao diện mà nhận kết nối và tìm kiếm xuống trong danh sách cho đến khi gặp chính sách đầu tiên mà phù hợp với kết nối về những địa chỉ nguồn và địa chỉ đích, cổng dịch vụ, ngày giờ mà kết nối nhận được Chính sách đầu tiên mà phù hợp thì được ứng dụng cho kết nối Nếu không có chính sách nào phù hợp, thì kết nối không được thiết lập

Chính sách mặc định chấp nhận tất cả các kết nối từ mạng bên trong tới Internet Từ mạng bên trong, những người dùng có thể duyệt web, sử dụng POP3 để nhận email, sử dụng FTP để tải xuống những tập tin đi qua FortiGate Nếu chính sách mặc định ở tại đỉnh của Int to Ext danh sách chính sách, thì firewall cho phép tất cả các kết nối từ mạng bên trong đến Internet bởi vì tất cả các kết nối phù hợp với chính sách mặc định

Một chính sách ngoại lệ tới chính sách mặc định (ví dụ, một chính sách ngăn những kết nối FTP), cần phải được đặt ở trên chính sách mặc định trong Int to Ext danh sách chính sách Rồi tất cả kết nối FTP từ mạng bên trong phù hợp với chính sách FTP thì bị ngăn chặn Kết nối cho tất cả các dịch vụ khác không phù hợp với chính sách FTP nhưng chúng phù hợp với chính sách mặc định thì firewall vẫn chấp nhận tất cả các kết nối khác từ mạng bên trong

Thay đổi thứ tự của những chính sách trong một danh sách chính sách

1 Đi tới Firewall >Policy

2 Chọn bảng danh sách chính sách mà ta muốn tới sắp xếp

3 Chọn một chính sách cần di chuyển và chọn Move To để thay đổi thứ tự của nó trong danh sách chính sách

4 Đánh một số trong Move to để chỉ rõ nơi trong danh sách chính sách rồi chọn OK

5 Chọn Delete để loại bỏ một chính sách từ danh sách

Thêm các địa chỉ

Tất cả các chính sách yêu cầu những địa chỉ nguồn và địa chỉ đích Để có thể thêm một địa chỉ vào một chính sách giữa hai giao diện, trước hết ta cần thêm những địa chỉ vào danh sách địa chỉ cho mỗi giao diện Những địa chỉ này phải là hợp lệ cho mạng nối tới giao diện đó

Theo mặc định FortiGate bao gồm hai địa chỉ mà không thể sửa hoặc xóa :

• Internal_All danh sách địa chỉ bên trong đại diện cho những địa chỉ IP của tất cả các máy tính ở mạng bên trong

• External_All danh sách địa chỉ bên ngoài đại diện cho những địa chỉ IP của tất cả các máy tính trên Internet

Ta có thể thêm, sửa đổi, và xóa tất cả các địa chỉ khác nhau theo yêu cầu

Dùng trang web quản lý để thêm một địa chỉ :

1 Đi tới Firewall > Address

2 Chọn giao diện để thêm địa chỉ

Danh sách những địa chỉ thêm vào giao diện đó được hiển thị

3 Chọn New để thêm một địa chỉ mới vào giao diện đã chọn

4 Nhập vào một tên cho địa chỉ để nhận dạng địa chỉ

Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thường hoặc chữ hoa (A-Z, a-z), và những ký tự

đặc biệt dấu _ Những ký tự trắng và những ký tự đặc biệt khác thì không được cho phép

Sửa đổi những địa chỉ

Sửa đổi để thay đổi địa chỉ IP và Netmask của một địa chỉ Ta không thể sửa tên địa chỉ Nếu ta cần thay đổi tên một địa chỉ, thì ta phải xóa địa chỉ này đi và sau đó thêm nó với một tên mới

Sử dụng trang web quản lý :

1 Đi tới Firewall > Address

2 Chọn giao diện với địa chỉ mà ta muốn sửa

3 Chọn một địa chỉ cần sửa và chọn Edit

4 Thay đổi theo yêu cầu rồi chọn OK để lưu lại những sự thay đổi đó

Xóa những địa chỉ

Xóa một địa chỉ mà nó không có sử dụng bởi những chính sách Nếu một địa chỉ được bao gồm trong bất kỳ chính sách nào thì nó không thể bị xóa trừ khi nó nó được loại bỏ trước tiên từ chính sách

1 Đi tới Firewall > Address

2 Chọn danh sách giao diện chứa địa chỉ mà ta muốn xóa

3 Chọn địa chỉ cần xoá và chọn Delete

4 Click OK để xóa địa chỉ

Thêm IPs ảo

Những chính sách bảo mật kiểu NAT che giấu những địa chỉ trong những mạng an toàn hơn từ những mạng ít an toàn hơn Cho phép kết nối từ một mạng ít an toàn hơn đến một mạng an toàn cao hơn, ta cần phải kết hợp giữa một địa chỉ đích trong mạng ít an toàn hơn và một địa chỉ thực trong mạng

an toàn hơn Sự kết hợp này được gọi là một IP ảo

Theo mặc định IPs ảo được yêu cầu cho Ext to In những chính sách kiểu NAT

Ví dụ IP ảo

Web Server của ta có một địa chỉ IP trên Internet, nhưng máy tính để chạy web server của ta được nằm ở mạng bên trong với một địa chỉ IP riêng Những gói dữ liệu từ Internet đến web server, ta cần

phải tạo ra một IP ảo liên kết địa chỉ trên Internet của web server với địa chỉ IP thực của nó Địa chỉ

thực của web server được gọi là ánh xạ IP

Một lần ta đã tạo ra một IP ảo , ta có thể thêm những chính sách để cho phép sự truy nhập tới ánh

xạ IP bởi việc thêm IP ảo đến địa chỉ đích của chính sách Ext to Int mà cung cấp những người sử dụng

trên Internet với sự truy cập tới web server

Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thường hoặc chữ hoa (A-Z, a-z), và những ký

tự đặc biệt dấu _ Những ký tự trắng và những ký tự đặc biệt khác thì không được cho phép

4 Trong trường (field) địa chỉ IP, nhập vào địa chỉ IP của server ở mạng bên trong

5 Trong trường ánh xạ IP, nhập vào địa chỉ IP thực của web server

6 Chọn OK để lưu lại IP ảo

7 Lặp lại những bước này để thêm IPs ảo nếu cần

Hình 12 : thêm một IP ảo (Hinh trang 37)

Những dịch vụ

Sử dụng những dịch vụ để điều khiển việc chấp nhận hoặc từ chối những đường truyền bởi firewall

Ta có thể thêm bất kỳ cấu hình lại của danh sách những dịch vụ trong bảng 7 tới một chính sách Ta

cũng có thể tạo ra những dịch vụ tuỳ chọn của mình và thêm những dịch vụ này vào những nhóm dịch

FortiGate định nghĩa sẳn những dịch vụ cho firewall được liệt kê trong bảng 7 Ta có thể thêm những

dịch vụ này vào bất kỳ chính sách nào

Bảng 7 : những dịch vụ định nghĩa sẳn cho FortiGate

ANY Tương thích cho các kết nối của 1 cổng nào đó All 1-65535 All

DNS Tham chiếu đến tên miền (Domain name servers)

UDP 1-65535 53

FTP Dịch vụ truyền files FTP (files transferring files) TCP 1-65535 20-21

HTTPS Dịch vụ bảo mật đường truyền cho web servers

IRC Kết nối dến các nhóm chat trên mạng Internet

(Internet relay chat)

111 TCP 1-65535

thảo qua mạng (Usenet)

NTP Giao thức dùng cho việc đồng bộ về thời gian trên

mạng giữa thời gian của một máy tính trên mạng

ICMP 1-65535 0 PING Dùng để kiểm tra kết nối đến các máy tính

8

POP3 Giao thức dùng để nhận mail từ 1 mail server có

RLOGIN Dùng cho luồng dữ liệu âm thanh và hình ảnh UDP 1-65535 7070

SMTP Giao thức dùng để gởi mail giữa các mail

WAIS Một chương trình cho phép người dùng có thể tìm

kiếm tài liệu lưu trữ trên mạng Internet (Wide Area Information Server)

X-WINDOWS Dùng để truy cập từ xa đến 1 server hoặc từ 1

Cung cấp những truy nhập tới dịch vụ tuỳ chọn

Thêm một dịch vụ tuỳ chọn nếu ta cần tạo ra một chính sách cho một dịch vụ mà không được định nghĩa sẵn trong danh sách dịch vụ

tự đặc biệt dấu- và _ Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép

4 Chọn giao thức (TCP hoặc UDP) sử dụng bởi dịch vụ

5 Chỉ định phạm vi số cổng cho dịch vụ bằng việc nhập số cổng cao và thấp Nếu dịch vụ sử dụng một cổng, thì đánh số này vào trong cả hai trường thấp và cao

6 Nếu dịch vụ có số cổng cao hơn phạm vi, thì chọn Add để bổ sung những giao thức và phạm vi cổng Nếu ta thêm sai nhiều phạm vi cổng, thì chọn Delete để xóa

7 Chọn OK để thêm dịch vụ tuỳ chọn

Hình 13 : dịch vụ tuỳ chọn pcAnywhere

Hinh trang 39

Ví dụ về các dịch vụ tuỳ chọn

Dịch vụ tuỳ chọn xem hình 13 có thể thêm một chính sách cho phép pcAnywhere, một chương trình thông dụng cho phép những người dùng có thể truy cập từ xa tới một máy PC, kết nối điều khiển sẽ đ-

ược chấp nhận bởi FortiGate Thêm một dịch vụ vào chính sách Ext to Int sẽ cho phép một người dùng trên Internet sử dụng pcAnywhere để kết nối tới một hay nhiều máy tính ở mạng bên trong

Chương trình pcAnywhere server dùng TCP cổng 5631 và UDP cổng 5632 cho đường truyền

Nếu sự bảo mật có liên quan đến việc thêm một chính sách cho một dịch vụ tuỳ chọn nh pcAnywhere,

ta có thể cấu hình chính sách để hạn chế những địa chỉ nguồn và địa chỉ đích của kết nối Điều này sẽ hạn chế những ngời dùng có thể kết nối xuyên qua firewall sử dụng pcAnywhere, Và cũng sẽ hạn chế những địa chỉ mà họ có thể kết nối đến

Nhóm những dịch vụ

Để làm cho nó dễ hơn để thêm những chính sách, ta có thể tạo ra những nhóm của những dịch vụ và sau đó thêm một chính sách để cung cấp sự truy cập hoặc ngăn sự truy cập cho tất cả các dịch vụ trong nhóm Một nhóm dịch vụ có thể chứa những dịch vụ định nghĩa sẵn và dịch vụ tuỳ chọn Ta không thể thêm những nhóm dịch vụ vào nhóm dịch vụ khác

Để thêm một nhóm dịch vụ sử dụng trang web quản lý :

1 Đi tới Firewall > Service > Group

2 Chọn New

3 Nhập vào một tên của nhóm để xác định nhóm Tên này xuất hiện trong danh sách dịch vụ sử dụng khi ta thêm một chính sách

Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thường hoặc chữ hoa (A-Z, a-z), và những ký

tự đặc biệt dấu - và _ Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép

Sử dụng lập lịch (lịch làm việc) để điều khiển khi những chính sách hoạt động hoặc không hoạt

động Ta có thể tạo ra thời gian định kỳ trước và lập lịch mang tính tuần hoàn Có thể sử dụng lịch tuần hoàn để tạo ra những chính sách mà chỉ có hiệu ứng một lần tại thời điểm xác định trong ngày hoặc vào những ngày xác định trong tuần

Phần này mô tả :

• Tạo thời gian xác định cho lịch trình làm việc

• Tạo ra những lịch trình làm việc có định kỳ

• Thêm một lịch trình làm việc vào một chính sách

Tạo thời gian xác định cho lịch trình làm việc

Ta có thể tạo một lịch trình làm việc trước để kích hoạt hoặc không kích hoạt một chính sách trong khoảng thời gian xác định Firewall có thể được cấu hình với chính sách mặc định Internet to External cho phép truy cập tới tất cả các dịch vụ trên Internet vào bất kỳ thời điểm nào

Ta có thể thêm một lịch trình làm việc trước để ngăn chặn sự truy cập tới Internet trong ngày nghỉ Thủ tục sau mô tả cách tạo ra một lịch trình làm việc với một ngày tháng bắt đầu của ngày nghỉ và ngày tháng kết thúc của ngày nghỉ

Để tạo ra một lịch trình làm việc trước dùng trang web quản lý :

1 Đi tới Firewall > Schedule > One-time

2 Chọn New

3 Nhập một tên cho lịch trình làm việc

Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thường hoặc chữ hoa (A-Z, a-z), và những ký

tự đặc biệt dấu - và _ Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép

4 Đặt ngày tháng và thời gian bắt đầu cho lịch trình làm việc

5 Đặt ngày tháng và thời gian dừng cho lịch trình làm việc

6 Chọn OK để thêm lịch trình làm việc

sử dụng Internet ngoài giờ làm việc được tạo bởi lịch trình làm việc có định kỳ

Nếu ta tạo ra một lịch trình làm việc có định kỳ với một thời gian dừng xảy ra trước thời gian bắt

đầu thì lịch trình làm việc sẽ bắt đầu tại thời gian bắt đầu và kết thúc tại thời gian kết thúc vào ngày hôm sau Ta có thể sử dụng kỹ thuật này để tạo ra những lịch trình làm việc có định kỳ có thể chạy từ một ngày sang ngày tiếp theo

Ta cũng có thể tạo ra một lịch trình làm việc có định kỳ chạy trong 24 giờ bằng việc cài đặt thời thời gian bắt đầu và thời gian kết thúc

Để thêm một lịch trình làm việc có định kỳ :

1 Đi tới Firewall > Schedule > Recurring

2 Chọn New để tạo ra một lịch trình làm việc mới

3 Nhập một tên cho lịch trình làm việc

Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thường hoặc chữ hoa (A-Z, a-z), và những ký

tự đặc biệt dấu - và _ Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép

4 Chọn những ngày làm việc trong tuần

5 Đặt giờ bắt đầu và giờ kết thúc cho ngày bắt đầu làm việc và ngày kết thúc làm việc

6 Chọn OK

4 Cấu hình chính sách theo yêu cầu

5 Thêm một lịch trình làm việc bằng việc chọn nó từ danh sách lịch trình làm việc

6 Chọn OK để lưu lại chính sách

7 Sắp xếp chính sách trong danh sách chính sách để có hiệu lực như ta mong muốn

Hình 17 : Sắp xếp một lịch trình làm việc trong danh sách chính sách để từ chối sự truy cập

Hinh trang 44

Những người dùng và sự chứng thực

Ta có thể cấu hình FortiGate để yêu cầu những người dùng xác nhận ( nhập vào tên và mật khẩu

ngư-ời dùng) để truy cập các dịch vụ HTTP, FTP, hoặc Telnet xuyên qua firewall Để cấu hình sự chứng thực ta cần thêm tên và mật khẩu người dùng vào firewall và sau đó thêm những chính sách có yêu cầu

sự chứng thực Khi một kết nối phù hợp với một chính sách yêu cầu sự chứng thực, đòi hỏi người dùng kết nối phải nhập vào tên và mật khẩu hợp lệ thì mới được cho phép kết nối xuyên qua firewall

Ghi chú : sự chứng thực thì không được hỗ trợ trong kiểu Transparent

3 Nhập vào tên và mật khẩu người dùng

Tên và mật khẩu người dùng cần phải dài ít nhất là sáu ký tự Tên và mật khẩu người dùng có thể chứa những số (từ 0 đến 9) và những ký tự chữ hoa hoặc chữ thường (A-Z, a-z), những ký tự đặc biệt - và _ Những ký tự trống và ký tự đặc biệt khác thì không cho phép

4 Chọn OK

Cài đặt sự chứng thực

1 Đi tới System > Config > Option

2 Cài đặt thời gian chờ để điều khiển chứng thực những kết nối trước khi người dùng phải chứng thực lần nữa để truy cập xuyên qua firewall

Mặc định thời gian chờ chứng thực là 15 phút

1 Đi tới Firewall > Policy

2 Chọn bảng tương xứng với kiểu chính sách để thêm sự chứng thực vào

3 Chọn New để thêm một chính sách hoặc chọn Edit để sửa đổi một chính sách để thêm sự chứng thực

4 cấu hình chính sách theo yêu cầu

5 Cài đặt hoạt động tới AUTH

6 Chọn dịch vụ HTTP, FTP, hoặc Telnet

7 Chọn OK để lưu chính sách

8 Sắp xếp chính sách trong danh sách chính sách để có hiệu lực mong đợi

Những chính sách có yêu cầu sự chứng thực thì phải được thêm vào trên đầu danh sách chính sách, cách khác các chính sách không yêu cầu sự chứng thực thì được lựa chọn trước

Cổng chuyển tiếp

Cổng chuyển tiếp hướng cho những gói nhận được từ giao diện ngoài của FortiGate theo dịch vụ cổng nơi đến của gói Khi gói bị ngăn chặn, firewall thay đổi địa chỉ đích của gói gửi tới một địa chỉ trên mạng nối tới giao diện bên trong FortiGate đẩy gói cho server ở tại địa chỉ đó

Ta có thể cấu hình cổng chuyển tiếp để thay đổi cổng dịch vụ đích của gói Sử dụng cổng chuyển tiếp

để cung cấp những người dùng Internet với những truy cập tới web,mail, ftp hoặc các server phía sau FortiGate Khi ta sử dụng cài đặt từng bước cho server bên trong, ta cấu hình cổng chuyển tiếp cho những dịch vụ mà ta chọn Những chính sách Firewall dành mức ưu tiên qua cổng chuyển tiếp Nếu ta

có cấu hình cổng chuyển tiếp cho một dịch vụ, thì ta có thể thêm một chính sách để từ chối sự truy cập vào dịch vụ này

Ghi chú : Cổng chuyển tiếp không hỗ trợ trong kiểu Transparent

Ví dụ về cổng chuyển tiếp

Cấu hình cổng chuyển tiếp cho giao diện ngoài để tất cả những gói FTP (sử dụng cổng

20) có địa chỉ IP nơi đến của chúng được thay đổi từ một địa chỉ IP Internet đến địa chỉ IP của một server FTP ở mạng bên trong :

1 Các gói FTP nhận bởi giao diện ngoài có thể có cài đặt sau :

3 Trong danh sách External Service Port, chọn dịch vụ cần cấu hình cổng

Cho một danh sách các dịch vụ công cộng và số cổng của chúng, trong bảng 7 ta có thể thêm những dịch vụ tuỳ chọn sử dụng thủ tục " cung cấp những truy cập tới dịch vụ tuỳ chọn "

4 Cài đặt Forward IP cho địa chỉ IP của server gửi những gói

5 Trong danh sách Forwarded Service Port, chọn dịch vụ sử dụng bởi những gói khi chúng được đẩy tới cho server Thông thường ta chọn dịch vụ giống như dịch vụ đã chọn trong External Service Port, nhưng

ta cũng có thể chọn một service port khác để FortiGate thay đổi cổng nơi đến của những gói trước khi chúng được đẩy tới cho server

6 Chọn OK để lưu lại những sự thay đổi

Hình 19 : ví dụ cấu hình port forwarding

Hinh trang 47

IP/MAC Binding

IP/MAC binding bảo vệ FortiGate khỏi bị tấn công bởi IP nhái lại IP nhái sử dụng địa chỉ IP của một máy tính có thể tin cẩn được truy cập FortiGate từ một máy tính khác Địa chỉ IP của một máy tính có thể dễ dàng được thay đổi bằng một địa chỉ có thể tin cẩn được, nhưng những địa chỉ MAC được thêm bởi card Ethernet ở tại nhà máy sản xuất và không thể dễ dàng thay đổi được

Ta có thể nhập những địa chỉ IP và những địa chỉ MAC tương ứng MAC của các máy tính có thể tin cẩn

được vào trong cấu hình firewall của FortiGate Khi một gói đến từ một địa chỉ IP có thể tin cẩn được,

nó được kiểm tra để xác định xem có địa chỉ MAC của gói đó hay không bắt đầu từ những địa chỉ MAC tương ứng trong bảng FortiGate kiểm tra tất cả các gói nhận được bởi giao diện ngoài của FortiGate Bao gồm địa chỉ những gói gửi tới giao diện ngoài và những gói xuyên qua firewall

Ghi chú : IP/MAC Binding không hỗ trợ trong kiểu Transparent

Ta có thể cấu hình những IP/MAC binding để FortiGate cho phép một địa chỉ nguồn chưa được tìm thấy trong bảng IP/MAC binding đi xuyên qua firewall Bất kỳ sự lưu thông nào với một địa chỉ nguồn

được định nghĩa trong bảng IP/MAC phải có địa chỉ MAC đúng nếu không nó sẽ bị ngăn chặn Ta có thể cấu hình FortiGate để ngăn tất cả các luồng lưu thông với một địa chỉ nguồn mà không được tìm thấy trong bảng IP/MAC, và chỉ cho phép lưu thông với một địa chỉ nguồn có trong bảng IP/MAC nếu cặp địa chỉ IP và địa chỉ MAC phù hợp trong bảng

Những địa chỉ MAC chỉ dành cho mạng cục bộ nơi chúng bắt nguồn, và chưa được phép chuyển từ mạng này sang mạng khác

Phần này mô tả :

• Thêm địa chỉ IP/MAC binding

• Cho phép IP/MAC hoạt động

Thêm địa chỉ IP/MAC binding

1 Đi tới Firewall > IP/MAC Binding >IP MAC

2 Chọn New để thêm cặp địa chỉ IP/địa chỉ MAC

3 Thêm địa chỉ IP và địa chỉ MAC

4 Chọn Enable để cho phép cặp địa chỉ IP/MAC binding hoạt động

5 Chọn OK để lưu lại cặp địa chỉ IP/MAC binding

Cho phép IP/MAC hoạt động

1 Đi tới Firewall > IP/MAC binding > Setting

FortiGate ngăn tất cả luồng lưu thông với một địa chỉ nguồn mà không tìm thấy trong bảng IP/MAC binding Bất kỳ sự lưu thông nào với một địa chỉ nguồn được định nghĩa trong bảng IP/MAC binding phải có địa chỉ MAC

Ta có thể sử dụng traffic shaping để bảo đảm số lượng lớn băng thông đi qua firewall cho một chính sách Bảo đảm có đủ băng thông cho một dịch vụ có quyền ưu tiên cao

Ta cũng có thể cũng sử dụng traffic shaping để giới hạn số lượng của băng thông đi qua firewall cho một chính sách khi những dịch vụ đó ít quan trọng

Thêm traffic shaping vào một chính sách

Ta có thể thêm traffic shaping vào bất kỳ chính sách nào

1 Đi tới Firewall > Policy

2 Chọn bảng chứa chính sách mà ta muốn thêm traffic shaping

3 Chọn một chính sách để thêm traffic shaping và chọn Edit

Có trong một phiên bản tới

Có trong một phiên bản tới

Chọn cao, trung bình, hoặc thấp Chọn quyền ưu tiên luồng lưu thông sao cho FortiGate quản lý những quyền ưu tiên của những kiểu giao thông khác nhau Ví dụ, một chính sách cho việc kết nối tới một web server bảo mật cần hỗ trợ luồng lưu thông thương mại điện tử được gán một quyền ưu tiên lưu thông cao Những dịch vụ ít quan trọng hơn cần phải được gán một quyền ưu tiên thấp Firewall cung cấp băng thông cho những kết nối cần quyền ưu tiên thấp chỉ khi băng thông không cần cho những kết nối quyền ưu tiên cao

6 Chọn OK để lưu những sự thay đổi cho chính sách

IPSec VPNs

Sử dụng mạng riêng ảo IPSec (Virtual Private Networking-VPN), ta có thể nối hai hoặc nhiều mạng WAN riêng cùng kết nối qua Internet Ví dụ, một công ty có hai văn phòng trong những thành phố khác nhau , mỗi nơi có 1 mạng riêng của mình, có thể sử dụng VPN để tạo ra một đường ống nối mạng

an toàn giữa những văn phòng Ngoài ra, ở từ xa những công nhân có thể sử dụng VPN client để tạo ra một đuờng ống kết nối an toàn giữa máy tính của họ đến mạng riêng ảo của văn phòng

FortiGate - 50 là một sự lựa chọn tuyệt vời để nối mạng từ 1 văn phòng vệ tinh hoặc kết nối qua mạng viễn thông tới văn mạng VPN của văn phòng chính Thông thuờng tại văn phòng chính đuợc bảo vệ bởi một sản phẩm có khả năng bảo vệ cao nhu FortiGate - 300 Các văn phòng nhỏ yêu cầu sự bảo mật và chức năng hoạt động nhỏ hơn đối với nguời dùng vì vậy FortiGate - 50 là sự lựa chọn để bảo vệ những mạng nhỏ hơn

Đuờng ống IPSec VPN đảm bảo an toàn cho tất cả nguời dùng mạng VPN khi họ kết nối vào mạng VPN bảo vệ dữ liệu khi truyền qua đuờng ống bằng việc mã hóa nó để bảo đảm tính bí mật Ngoài ra, còn có sự chứng thực để bảo đảm rằng dữ liệu bắt nguồn từ yêu cầu của nguời gởi và không bị hỏng hoặc bị biến đổi trong khi truyền nhận dữ liệu

IPSec là một tiêu chuẩn an toàn trên Internet cho VPN và đuợc hỗ trợ bởi đa số các sản phẩm VPN FortiGate IPSec VPNs có thể đuợc cấu hình để sử dụng khóa trao đổi tự động trên Internet (Internet key Exchange - IKE) hoặc khóa trao đổi bằng tay Khóa trao đổi tự động thì cấu hình dễ hơn so với khóa trao đổi bằng tay Tuy nhiên, khóa trao đổi bằng tay thì có tính tuơng thích với những sản phẩm VPN của các hãng thứ ba mà yêu cầu nó

Ghi chú : IPSec VPN thì không hỗ trợ cho kiểu Transparent

Chuơng này mô tả :

• Tính tương thích với những sản phẩm VPN của các hãng thứ ba

• Autokey IPSec VPN giữa hai mạng

• Autokey IPSec VPN cho những client từ xa

• Xem tình trạng đuờng ống VPN

• Gọi quay số theo dõi

• Khóa bằng tay IPSec VPN giữa hai mạng

• Khóa bằng tay IPSec VPN cho những client từ xa

• Test một VPN

• Sự chuyển qua IPSec

Tính tuơng thích với những sản phẩm VPN của các hãng thứ ba

Vì FortiGate hỗ trợ tiêu chuẩn công nghiệp IPSec cho VPN, ta có thể cấu hình một VPN của

FortiGate với bất kỳ VPN của hãng thứ ba nào hoặc gateway/firewall nào có hỗ trợ IPSec VPN

FortiGate IPSec VPNs hỗ trợ :

• Giao thức Internet IPSec tiêu chuẩn an toàn

• IKE tự động dựa vào khóa Pre-shared

• Khóa bằng tay có thể tùy biến hoàn toàn

• Sự an toàn ESP trong kiểu đường ống

• Mã hóa 3DES ( tăng lên ba lần)

• Sự chứng thực/sự toàn vẹn dữ liệu HMAC MD5 hoặc sự chứng thực/sự toàn vẹn dữ liệu HMAC SHA

Khoá tự động IPSec VPN giữa hai mạng

Dùng những thủ tục để cấu hình một VPN để cung cấp một đường truyền trực tiếp liên kết giữa những nguời dùng và những máy tính trên hai mạng khác nhau Hình 22 cho thấy một ví dụ VPN giữa văn phòng chính và một văn phòng chi nhánh của một công ty Những nguời sử dụng mạng ở văn phòng chính có thể nối tới mạng của văn phòng chi nhánh và nguợc lại Những nguời dùng trong mạng của văn phòng chi nhánh có thể kết nối tới những dịch vụ nhu email đang chạy trên mạng của văn phòng chính

Sự liên thông giữa hai mạng đuợc mã hoá bên trong đường ống VPN giữa hai cổng FortiGate IPSec VPN đi ngang qua Internet Những người dùng trong mạng nội bộ không biết được khi họ kết nối tới một máy tính trên 1 mạng khác cũng được kết nối qua mạng Internet

Hình 22, cho biết FortiGate-50 được thiết kế để kết nối đến một mạng truyền thông hoặc 1

mạng của 1 văn phòng chi nhánh nhỏ tới mạng Internet Ta có thể sử dụng FortiGate - 50 IPSec tạo 1 mạng riêng ảo để kết nối 2 mạng văn phòng chi nhánh tới mạng văn phòng chính đuợc bảo vệ bởi một sản phẩm FortiGate mà hỗ trợ nhiều ngời dùng hơn nhu FortiGate - 300

Bạn có thể cũng sử dụng FortiGate - 50 để nối tới một mạng VPN đuơc bảo vệ của một hãng thứ ba có

hỗ trợ IPSec và Autokey IKE

Sử dụng những thủ tục sau để cấu hình một IPSec khoá tự động IKE VPN giữa hai mạng bên trong :

Một đuờng ống VPN gồm có một tên cho đuờng ống, 1 địa chỉ IP, 1 keylife cho đuờng ống, và 1 khóa chứng thực để sử dụng cho việc bắt đầu đuờng ống Ta phải tạo ra những đuờng ống VPN bổ sung trên những cổng của VPN Trên hai cổng vào đường ống cần phải có cùng tên, keylife,và khóa chứng thực

bảng 8 : ví dụ cấu hình đuờng ống IPSec Autokey VPN

(VPN gateway 1)

Chi nhánh (VPNgateway 2)

Tên đường ống Sử dụng cùng tên cho hai cổng vào của

đường ống Tên có thể chứa những số (từ 0 đến 9) và những ký tự hoa và thường (A-Z,a-z), và những ký tự đặc biệt - và _ Những ký tự đặc biệt khác

Keylife Khoảng thời gian (từ 5 tới 1440 phút)

trước khi khóa mã hóa hết hiệu lực

Khi khóa hết hiệu lực, những cổng vào VPN phát sinh một khóa mới mà không ngắt dịch vụ

100 100

Chọn những giải thuật mã hóa cho giai

đoạn 1 của kết nối IPSec VPN

DES and 3DES DES and 3DES

ddcHH01887d ddcHH01887d

Incoming NAT Chọn Incoming NAT nếu ta yêu cầu sự

chuyển đổi địa chỉ mạng cho những gói VPN

Select Select

Giai đoạn P1 và giai đoạn P2

IPSec VPNs sử dụng hai giai đoạn để tạo ra một đường ống VPN Trong gian đoạn đầu tiên (P1) những cổng vào VPN tại cuối đường ống chọn một giải thuật chung cho sự mã hóa và cho sự chứng thực Khi ta chọn P1, ta đang chọn những giải thuật mà FortiGate đề xuất trong giai đoạn 1 Ta có thể chọn hai sự mã hóa và hai giải thuật chứng thực

Thông thường ta chọn cả hai để làm cho nó dễ hơn cho P1, ta cũng có thể chọn một nếu được yêu cầu

Để sự chuyển đổi (negotiation) thành công, mỗi cổng vào VPN phải có ít nhất một giải thuật mã hóa và một giải thuật chứng thực chung

Trong giai đoạn 2 ( P2) những cổng vào VPN phải chọn một giải thuật chung cho đuờng truyền dữ liệu Khi ta chọn giải thuật cho giai đoạn 2 (P2), ta đang chọn những giải thuật mà FortiGate sẽ đề xuất trong giai đoạn 2 Trong giai đoạn P2, mỗi cổng vào VPN phải có ít nhất một giải thuật chung

Tạo đường ống VPN

1 Đi tới VPN > IPSEC > Autokey IKE

2 Chọn New để thêm mới 1 Autokey IKE VPN

3 Nhập tên cho đường ống VPN, cổng điều khiển từ xa và Keylife

4 Chọn giải thuật cho giai đoạn 1 và giai đoạn 2

5 Nhập khoá chứng thực

6 Chọn OK để lưu 1 Autokey IKE VPN

Hình 23 : ví dụ đường ống của văn phòng chính Autokey IKE VPN

Thêm địa chỉ nguồn và địa chỉ đích

Bước tiếp theo trong việc cấu hình VPN sẽ thêm những địa chỉ của những mạng mà sẽ được kết nối sử dụng đường ống VPN Địa chỉ này sẽ được thêm vào chính sách VPN

Mỗi một cổng vào VPN, ta cần phải thêm hai địa chỉ :

• Địa chỉ IP nguồn của mạng nội bộ đằng sau cổng vào VPN

Địa chỉ nguồn là một địa chỉ ở mạng bên trong của ta

• Địa chỉ IP đích của mạng đằng sau cổng vào VPN khác

Địa chỉ đích là địa chỉ IP của một hoặc nhiều mạng bên trong đằng sau cổng đích VPN

Bảng 9 : Địa chỉ IPSec Autokey VPN

Địa chỉ nguồn Tên địa chỉ Tên để gán cho địa chỉ nguồn

kết nối sử dụng VPN Tên có thể chứa những số (từ 0 đến 9)

và chữ hoa hoặc thường ( Z,a-z), và những ký tự đặc biệt

A và _ Những ký tự đặc biệt khác và những khoảng trống thì không cho phép

nối sử dụng VPN

Văn phòng chính Chi nhánh

Netmask Địa chỉ IP đích và netmask của

mạng tại cuối đường ống VPN

ở xa

255.255.255.0 255.255.255.0

Thêm một địa chỉ nguồn

Để thêm một địa nguồn vào danh sách địa chỉ bên trong

1 Đi tới Firewall > Address > Internal

2 Chọn New để thêm 1 địa chỉ mới

3 Nhập tên địa chỉ, địa chỉ IP và Netmask của mạng kết nối đến gần điểm kết thúc của VPN

Hình 24 : ví dụ địa chỉ nguồn bên trong cho VPN gateway 1

4 Chọn OK để lưu lại địa chỉ nguồn

Thêm một địa chỉ đích

Để thêm một địa chỉ đích đến danh sách địa chỉ bên ngoài

1 Đi tới Firewall > Address > External

2 Chọn New để thêm mới 1 địa chỉ bên ngoài

3 Nhập tên địa chỉ, địa chỉ IP và Netmask của mạng đằng sau cổng VPN tại nơi cuối đường ống VPN

ở xa của

4 Chọn OK để lưu lại địa chỉ bên ngoài

Thêm một chính sách IPSec VPN

Thêm vào một chính sách VPN liên quan đến địa chỉ nguồn và đích với đường ống VPN

Bảng 10 : ví dụ cấu hình chính sách IPSec Autokey VPN

(VPN gateway 1)

Chi nhánh (VPNgateway 2)

Địa chỉ nguồn địa chỉ nguồn mà ta thêm

1 Đi tới VPN > IPSEC > Policy

2 Chọn New để thêm 1 chính sách mới IPSec VPN

3 Chọn 1 địa chỉ nguồn

4 Chọn 1 địa chỉ đích

5 Chọn tên đường ống VPN

6 Chọn OK để lưu lại chính sách VPN

Hình 25 : ví dụ về chính sách VPN tại văn phòng

Autokey IPSec VPN cho những client từ xa

Sử dụng những thủ tục sau để cấu hình một VPN cho phép những client VPN từ xa kết nối tới những người dùng và những máy tính ở mạng bên trong của một văn phòng chính (Hình 26)

Một client VPN từ xa có thể là bất kỳ máy tính nào nối tới Internet và chạy phần mềm client VPN

mà sử dụng IPSec và Autokey IKE Client có thể có một địa chỉ IP tĩnh hoặc một địa chỉ IP động Một client từ xa có thể :

• Một người đi du lịch sử dụng Dial-Up connection để kết nối tới Internet

• Một người làm viễn thông sử dụng một ISP để nối tới Internet từ nhà

Truyền thông giữa người dùng từ xa và mạng bên trong xảy ra qua một sự mã hóa đường ống VPN

mà người dùng kết nối từ xa tới cổng vào FortiGate VPN ngang qua Internet Mỗi lần kết nối tới VPN, máy tính của người dùng từ xa giống như nó được thiết đặt ở mạng bên trong

Hình 26 : Ví dụ VPN giữa một mạng bên trong và những client từ xa Trang 64

Cấu hình mạng ở cuối đường ống VPN

Một đường ống VPN gồm có một tên cho đường ống, địa chỉ IP cổng vào từ xa (trong ví dụ này, địa chỉ IP của 1 client), keylife cho đường ống, và khóa chứng thực để sử dụng khởi động đường ống

Ta có thể tạo ra một đường ống VPN cho mỗi client VPN, hoặc ta có thể tạo ra một đường ống VPN với một địa chỉ cổng vào từ xa 0.0.0.0 Đường ống VPN này có thể chấp nhận những kết nối IPSec từ bất kỳ địa chỉ Internet nào