Cài đặt và cấu hình firewall fortigate

Cài đặt và cấu hình firewall fortigate 300C

Cài đặt và cấu hình firewall Fortigate

MỤC LỤC

A.Các cấu hình cơ bản 4

1.Kết nối một mạng private tới mạng Internet sử dụng mọt firewall Fortigate trong mode NAT/Route 4

2.Kết nối một mạng private tới mạng Internet trong một bước 8

3.Thay đổi địa chỉ của một mạng trong (internal network) trong một bước sử dụng chương trình wizard setup của Fortigate 11

4.Troubeshooting cho việc cài đặt mode NAT/Route 13

5.Insert một thiết bị Fortigate vào bên trong mạng mà không làm ảnh hưởng tới cấu hình của mạng (mode Transparent) 15

6.Troubleshooting cho việc cài đặt mode transparent 19

7.Kiểm tra version của firmware hiện tại và upgrade firmware FortiOS 22

8.Setup và troubleshooting các dịch vụ của FortiGuard 22

9.Setup một account admin trên thiết bị Fortigate 22

B.Các cấu hình nâng cao 25

1.Kết nối một thiết bị Fortigate với 2 ISP cho mục đích redundant 25

2.Sử dụng một modem cho một kết nối redundant 25

3.Phân phối các session giữa 2 kết nối internet redundant với ECMP dựa trên mức độ sử dụng 25

4.Bảo vệ một web server trong mạng DMZ 25

5.Bảo vệ một mail server với một thiết bị Fortigate mà không làm thay đổi mạng (sử dụng mode transparent) 25

6.Sử dụng việc ghép cặp cổng để đơn giản hóa việc cài đặt mode transparent 25

C.Sử dụng các policy và firewall object để điều khiển traffic mạng 25

1.Giới hạn sự truy cập Internet của nhân viên 25

a.Tạo các đối tương address cho YouTube và Facebook 26

b.Tạo lập lịch để giới hạn việc truy cập trong thời gian từ 12h tới 2h 27

c.Tạo policy 28

d.Sắp xếp lại vị trí của các policy 28

2.Giới hạn việc truy cập Internet dựa trên địa chỉ IP 29

a.Tạo các firewall address cho mỗi group user 30

b.Tạo các lập lịch firewall 30

c.Tạo các policy 31

d.Sắp xếp lại vị trí của các policy 32

3.Exclude các user khỏi UTM filtering 33

4.Kiểm tra rằng traffic được chấp nhận bởi một policy 33

5.Sắp xếp các policy theo thứ tự đúng 33

6.Cho phép các query DNS tới duy nhất một DNS server được approve 33

7.Extending AirPlay and AirPrint communication through a FortiWiFi unit 33

8.Ensuring sufficient and consistent bandwidth for VoIP traffic 33

9.Using geographic addresses 33

10.Providing Internet access for your private network users (static source NAT) 34

11.Providing Internet access for a private network with multiple Internet addresses (dynamic source NAT) 34

12.Dynamic source NAT without changing the source port (one-to-one source NAT) .34

13.Dynamic source NAT using the central NAT table 34

14.Allowing access to a web server on an internal network when you only have one Internet IP address 34

15.Allowing Internet access to a web server on a protected network when you only have one Internet IP address, using port translation 34

16.Allowing Internet access to a web server on a protected network when you have an IP address for the web server 34

17.Configuring port forwarding to open ports on a FortiGate unit 35

18.NAT địa chỉ đích động cho một dải địa chỉ IP 39

D.Profile UTM 42

E.SSL VPN 42

1.Setting up remote web browsing for internal sites through SSL VPN 42

a.Tạo một firewall address for email server 43

b.Tạo portal web 44

c.Tạo một user SSL VPN và group user 45

d.Tạo một policy SSL VPN 45

2.Using SSL VPN to provide protected Internet access for remote users 47

3.SSL VPN split tunneling: Using SSL VPN to provide protected Internet access and access to head office servers for remote users 48

4.Verifying that SSL VPN users have the most recent AV software before they can log into the SSL VPN 48

F.IPSec VPN 48

G.Authentication 48

H.Mạng WiFi 48

I.Logging và Reporting 48

A Các cấu hình cơ bản

1 Kết nối một mạng private tới mạng Internet sử dụng mọt firewall Fortigate trong mode NAT/Route

Problem:

Làm sao để connect và cấu hình một thiết bị Fortigate mới để đảm bảo việc kết nối antoàn tới mạng Internet Thiết bị Fortigate cũng sẽ bảo vệ mạng private khỏi các threat từngoài Internet nhưng vẫn cho phép các user bên trong mạng private có thể kết nối rangoài mạng Internet

Giải pháp:

Nhìn chung, Fortigate thường được install như là một router hoặc gateway giữa mạngprivate và mạng Internet Fortigate vận hành trong chế độ đó được gọi là chế độNAT/Route với mục đích để ẩn đi các địa chỉ của mạng private khi các thiết bị này truycập ra ngoài internet

• Kết nối interface wan1 của Fortigate tới thiết bị được hỗ trợ bởi ÍP, thiết bị nàythông thường là converter quang hoặc modem

• Kết nối mạng internal vào interface internal của Fortigate

• Bật nguồn thiết bị của ISP, Fortigate và PC của mạng internal

• Từ một PC trong mạng internal, kết nối tới Fortigate thông qua giao diện quản lýweb Bạn có thể cấu hình PC để nó tự động nhận địa chỉ IP thông qua DHCP sau

đó browse tới địa chỉ https://192.168.1.99 hoặc bạn cũng có thể đặt cho nó mộtđịa chỉ IP tĩnh nằm trong dải 192.168.1.0/255.255.255.0

• Login với tài khoản username là admin và không có pasword

• Đi tới System > Network > Interface và chọn Edit interface wan1 và thay đổi cácthông số sau:

• Tương tự edit interface internal theo các thông số sau:

• Đi tới Router > Static > Static Route và chọn Create New để add tuyến defaultroute như sau:

Chú ý: Một tuyến default route luôn luôn có địa chỉ IP đích và subnet mask đích là0.0.0.0 và 0.0.0.0 Chính vì vậy bạn sẽ chỉ có duy nhất một tuyến default route Nếudanh sách static route thực sự đã chứa một tuyến default route thưc bạn có thể edit hoặcdelete nó và add một tuyến mới

• Đi tới System > Network > DNS và add thông tin về địa chỉ Primary DNS server

và Secondary DNS server

• Đi tới Policy > Policy > Policy và chọn Create New để add các tham số sau đểcho phép user trong mạng private có thể truy cập mạng Internet:

• Chọn Enable NAT và Use Destination Interface Address

• Chọn OK để save policy lại

Kết quả:

Trên PC, bạn có thể kết nối tới interface internal của Fortigate, mở một web browser vàbrowse tới bất kỳ website nào Bạn cũng có thể kết nối tới Internet thông qua FTP, hoặcbất kỳ giao thức nào hoặc phương thức kết nối nào

Đi tới Policy > Policy > Policy và check ở cột Count ứng với policy mà bạn đã configtrước đó để xem các trafic đang được xử lý:

Đi tới Policy > Monitor > Session Monitor để view các session đã được xử lý bởiFortigate

Địa chỉ nguồn của tất cả các session nên là một địa chỉ nằm trong dải mạng192.168.1.0 địa chỉ IP NAT nguồn cho tất cả các session nên là 172.20.120.14 (hoặcmột địa chỉ IP đã add vào interface wan1) Policy ID nên là 1 vì đó là giá trị ID defaultcho phép user trong mạng internal được phép kết nối tới mạng Internet

Bạn cũng có thể xem các kết quả bẳng cách đi tới Policy > Monitor > Policy Monitor đểview một graph về các session active của mỗi policy Vì hiện tại chúng ta chỉ có duynhất một policy nên trong mục này chỉ có duy nhất một entry

2 Kết nối một mạng private tới mạng Internet trong một bước

Problem:

Bạn muốn sử dụng ít bước nhất có thể để sử dụng Fortigate up và cho phép kết nốimạng Internet cho một mạng private

Giải pháp:

Nếu nhà cung cấp dịch vụ Internet của bạn (ISP) sử dụng giao thức DHCP để cung cấpviệc kết nối internet cho hệ thống của bạn thì bạn chỉ cần thực hiện duy nhất một bướccấu hình trên Fortigate để cho phép mạng private của bạn có thể kết nối tới mạngInternet Các bước để PC nằm trong mạng internal có thể lấy được địa chỉ IP và kết nốitới Fortigate giống mục 1 Từ nay về sau sẽ không nói lại việc này vì coi như đó là bướcmặc định phải có để bạn có thể cấu hình được Fortigate

• Đi tới System > Network > Interface và edit interface wan1

• Thiết lập Addressing Mode là DHCP và chọn Retrieve Default Gateway fromserver và Override internal DNS

• Chọn OK để save sự thay đổi

Chú ý: Nếu ISP sử dụng phương pháp PPPoE hoặc đánh địa chỉ theo địa chỉ do ISPquy định thì bạn phải cấu hình interface wan1 theo các option này thay vì sử dụngDHCP

Kết quả:

Kết quả bạn nhận được sẽ giống như mục 1 nếu như bạn cấu hình đúng

Fix lỗi gặp phải:

Nếu bạn cấu hình xong mà không đạt được kết quả như mong muốn thì hãy thựchiện theo các bước như sau:

• Kiểm tra interface wan1 đã có thể nhận được cấu hình IP từ ISP Login vàoFortigate thông qua giao diện quản lý web và đi tới System > Network >Interface > wan1 Chắc chắn rằng Addressing Mode đã được thiết lập làDHCP và các thông tin tương tự như các thông số sau:

Nếu địa chỉ IP không đúng hoặc bị thiếu thì chọn Renew để thực hiện giải phóng vànhận lại địa chi IP Nếu bạn không thể nhận được một địa chỉ IP hợp lệ theo cách nàythì Fortigate không thể truy thông với server DNS của ISP

Nếu ISP không hỗ trợ việc thiết lập DNS thông qua DHCP thì bạn phải cấu hình DNScho Fortigate thông qua System > Network > DNS

Nếu ISP không hỗ trợ việc thiết lập default gateway cho bạn thông qua DHCP thì bạnphải thiết lập thông số này thông qua Router > Static > Static Route và trỏ defaultgateway tới địa chỉ của ISP

Nếu mạng internal được cấu hình để nhận địa chỉ IP thông qua DHCP từ Fortigate thì đitới System > Network > DHCP Server và edit thông tin DHCP server cho interfaceinternal Trong trường hợp bạn sử dung Fortigate làm DHCP server thì bạn nếu thiết lậpluôn thông số DNS Bạn có thể kiểm tra thông tin về các PC đã nhận địa chỉ IP từFortigate thông qua System > Monitor > DHCP Monitor

Kiểm tra lại địa chỉ IP trên các PC của mạng internal để chắc chắn chúng nằm trongcùng dải mạng với dải mạng được cấp phát bởi Fortigate

Nếu thực hiện các bước trên mà không được hãy kiểm tra lại kết nối vật lý

3 Thay đổi địa chỉ của một mạng trong (internal network) trong một bước sử dụng chương trình wizard setup của Fortigate

Problem:

Sử dụng các bước ít nhất có thể để thực hiện thay đổi địa chỉ subnet của một interfaceinternal và tất cả các thiết bị kết nối với nó

Giải pháp:

Sử dụng Fortigate setup wizard để thay đổi địa chỉ IP của interface internal trênFortigate và thay đổi các địa chỉ mạng mà Fortigate – DHCP server cung cấp cho cácthiết bị trong mạng internal Renew lại địa chỉ IP cho các device trong mạng internal Chú ý: Khi bạn sử dụng Fortigate setup wizard thì nó sẽ delete tất cả các policy hệthống và add vào đó một policy thay thế để cho phép mạng internal có thể truy cậpđược vào Internet Chính vì đặc điểm này nên có thể bạn sẽ không muốn sử dụng giảipháp này khi mà bạn đã thực hiện add một số các policy trước đó

• Từ một PC trong mạng internal, login vào Fortigate thông qua trình quản lýweb

• Thực hiện renew lại địa chỉ IP của các device trong mạng internal

Kết quả:

Bây giờ các thiết bị trong mạng internal bao gồm interface internal của Fortigate phải

có địa chỉ IP nằm trong dải 192.168.50.0/255.255.255.0 Sau đó từ bất kỳ thiết bị nàotrong dải mạng này thử truy cập vào mạng Internet

Log vào Fortigate thông qua địa chỉ IP mới, kiểm tra lại DHCP, DNS và các policy cầnthiết

4 Troubeshooting cho việc cài đặt mode NAT/Route

• Kiểm tra kết nối vật lý giữa PC và Fortigate cũng như là kết nối vật lý giữaFortigate và ISP Để kiểm tra trạng thái của các kết nối vật lý này bạn có thểlàm kiểm tra widget Unit Operation dashboard trong System > Dashboard >Status để kiểm tra trạng thái của các interface

• Kiểm tra lại các thiết bị được cung cấp bởi ISP để chắc chắn rằng nó vậnhành tốt

• Kiểm tra để chắc chắn rằng bạn có thể kết nối tới được địa chỉ IP internal củaFortigate Ví dụ từ PC bạn thực hiện ping tới địa chỉ 192.168.1.99 để kiểmtra việc kết nối tới Fortigate Nếu không được, bạn hãy kiểm tra lại xem địachỉ IP đang được thiết lập trên máy của bạn có thuộc cùng dải mạng vớiinterface internal hay không, nếu OK hãy kiểm tra lại kết nối vật lý giữa PCcủa bạn và Fortigate hoặc của các thiết bị trung gian nằm giữa PC của bạn vàFortigate

• Check lại cấu hình của interface internal trên Fortigate

• Check lại cấu hình của interface kết nối với mạng Internet để chắc chắn làinterface này được cấu hình đúng

• Kiểm tra việc truy cập từ Fortigate tới mạng Internet thông qua việc sử dụnglệnh ping và traceroute trong màn hình command line của Fortigate bằng cáccâu lệnh sau:

# execute ping google.com.vn

# execute traceroute google.com.vn

• Kiểm tra lại việc cấu hình DNS trên Fortigate Bạn có thể check việc cấuhình các lỗi của DNS thông qua việc ping hoặc traceroute tới một domainname Nếu nhận được thông báo theo kiểu:

ping www.fortinet.com

ping: cannot resolve www.fre.com: Unknown host

thì chắc chắn bạn nên kiểm tra lại việc cấu hình DNS

• Kiểm tra lại policy bằng cách đi tới Policy > Policy > Policy và kiểm tra policyinternal -> wan1 đã được add Check cột Count để xem liệu policy này có được

xử lý bởi Fortigate hay không Check lại cấu hình của policy để chắc chắn nótương tự với các thông số sau:

Chú ý rằng Enable NAT và Use Destination Interface Address phải được lựa chọn

• Kiểm tra lại cấu hình định tuyến tĩnh static routing bằng cách đi tới Router >Static > Static Route và chắc chắn rằng tuyến default route là đúng Đi tới Router

> Monitor > Router Monitor để kiểm tra việc điều khiển định tuyến và tuyếndefault route xuất hiện trong danh sách như một tuyến static route

• Disable việc lọc web: Web filtering Nếu bạn đã enable chức năng lọc web nàytrong một policy thì nó có thể block việc truy cập tới các web site mà bạn đangmuốn truy cập tới Để fix vấn đề này bạn đi tới UTM Profiles > Web Filter >Profile và trong profile default bạn chọn Advanced Filter và enable tùy chọnAllow Websites When a Rating Error Occurs

• Ngoài ra bạn cũng có thể thử giải pháp sau:

o Kiểm tra xem từ interface internal của bạn có thể ping tới được interfaceInternet hay không, ví dụ interface kết nối ra internet là 172.16.20.12 vàđịa chỉ IP của PC của bạn là 192.168.50.30 thì bạn thử ping từ PC này tớiđịa chỉ 172.16.20.12 Nếu không được thì có nghĩa là Fortigate đang chặnsession từ dải internal sang internet

o Kiểm tra lại kết nối của bạn tới ISP

5 Insert một thiết bị Fortigate vào bên trong mạng mà không làm ảnh hưởng tới cấu hình của mạng (mode Transparent)

Problem:

Làm cách nào để kết nối và cấu hình một thiết bị Fortigate mới để bảo vệ mạng màkhông làm thay đổi cấu hình của mạng Mạng được kết nối với Internet sử dụng mộtrouter, router này sẽ thực hiện NAT

Giải pháp này cho phép add các policy vào mạng mà không được phép thay thế router.Fortigate phải thực hiện block việc truy cập từ Internet vào mạng private nhưng vẫn chophép mạng private có thể truy cập vào Internet Ngoài ra Fortigate còn phải có chứcnăng điều khiển việc sử dụng tài nguyên ứng dụng và tìm cách remove virus

Giải pháp:

Tham khảo: http://docs.fortinet.com/cb/inst1.html

Cài đặt thiết bị Fortigate trong mode transparent giữa mạng internal và router Add mộtpolicy tới thiết bị Fortigate để cho phép người dùng trong mạng internal có thể connecttới Internet và add chức năng quét virus, điều khiển ứng dụng tới policy này Không cóbất kỳ yêu cầu nào liên quan tới việc thay đổi về mạng ngoại trừ việc cung cấp cho thiết

bị Fortigate một địa chỉ IP quản lý

Chú ý: Việc thay đổi mode của Fortigate từ chế độ NAT/Route sang chế độ Transparent

sẽ phải remove toàn bộ các cấu hình được thực hiện trong chế độ NAT/Route Nếu bạnmuốn giữ lại các cấu hình này thì hãy chắc chắn rằng bạn đã backup lại toàn bộ cấuhình của Fortigate thông qua widget System Information

Các bước thực hiện như sau:

• Đi tới System > Dashboard > Status > System Information và bên cạnhOperation Mode và chọn Change và cấu hình theo các thông số sau:

• Chọn Ok để switch sang chế độ transparent

• Login vào firewall qua giao diện web quản lý thông qua địa chỉ IPhttps://10.31.101.40 tất nhiên hãy chắc chắn rằng địa chỉ IP của PC của bạn nằmcùng trong dải với địa chỉ IP của Fortigate

• Đi tới System > Network > DNS và add thông tin về DNS server primary vàsecondary

• Đi tới Policy > Policy > Policy và chọn Create New để add các thông tin sau đểcho phép người dùng trong mạng private có thể truy cập Internet:

• Chọn UTM Chọn Enable Antivirus và chọn Enable Application Control

• Chọn OK để save cấu hình của policy

• Tắt nguồn của Fortigate

• Connect Fortigate ở vị trí giữa mạng và router Kết nối interface wan1 củaFortigate tới interface internal của router Kết nối interface internal của Fortigatecủa mạng internal

• Bật nguồn Fortigate

Kết quả:

Tương tự các mục trên Chỉ khác là trong Policy > Monitor > Session Monitor:

Địa chỉ nguồn của tất cả các session đều là trong mạng 10.31.10.0 Địa chỉ IP NATnguồn và cột port NAT nguồn để trống vì lúc này Fortigate không được cấu hìnhNAT/Route

6 Troubleshooting cho việc cài đặt mode transparent

• Kiểm tra lại các thiết bị được cung cấp bởi ISP để chắc chắn rằng nó vận hànhtốt

• Kiểm tra để chắc chắn rằng bạn có thể kết nối tới được địa chỉ IP internal củaFortigate Ví dụ từ PC bạn thực hiện ping tới địa chỉ 192.168.1.99 để kiểm traviệc kết nối tới Fortigate Nếu không được, bạn hãy kiểm tra lại xem địa chỉ IP

đang được thiết lập trên máy của bạn có thuộc cùng dải mạng với interfaceinternal hay không, nếu OK hãy kiểm tra lại kết nối vật lý giữa PC của bạn vàFortigate hoặc của các thiết bị trung gian nằm giữa PC của bạn và Fortigate

• Kiểm tra việc truy cập từ Fortigate tới mạng Internet thông qua việc sử dụnglệnh ping và traceroute trong màn hình command line của Fortigate bằng các câulệnh sau:

# execute ping google.com.vn

# execute traceroute google.com.vn

• Kiểm tra lại việc cấu hình DNS trên Fortigate Bạn có thể check việc cấu hìnhcác lỗi của DNS thông qua việc ping hoặc traceroute tới một domain name Nếunhận được thông báo theo kiểu:

ping www.fortinet.com

ping: cannot resolve www.fre.com: Unknown host

thì chắc chắn bạn nên kiểm tra lại việc cấu hình DNS

• Kiểm tra lại policy bằng cách đi tới Policy > Policy > Policy và kiểm tra policyinternal -> wan1 đã được add Check cột Count để xem liệu policy này có được

xử lý bởi Fortigate hay không Check lại cấu hình của policy để chắc chắn nótương tự với các thông số sau:

• Kiểm tra lại cấu hình định tuyến tĩnh static routing bằng cách đi tới Router >Static > Static Route và chắc chắn rằng tuyến default route là đúng

• Disable việc lọc web: Web filtering Nếu bạn đã enable chức năng lọc web nàytrong một policy thì nó có thể block việc truy cập tới các web site mà bạn đangmuốn truy cập tới Để fix vấn đề này bạn đi tới UTM Profiles > Web Filter >Profile và trong profile default bạn chọn Advanced Filter và enable tùy chọnAllow Websites When a Rating Error Occurs

• Kiểm tra lại kết nối của bạn tới gateway được cung cấp bởi ISP Thử ping tới địachỉ Ip của default gateway từ một PC từ trong mạng internal

• Confirm rằng thiết bị Fortigate có thể kết nối tới mạng FortiGuard Một khi đãregister, firewall Fortigate sẽ chứa chức năng antivirus và điều khiển ứng dụng

và các update khác từ mạng FortiGuard Thiết bị Fortigate phải có thể kết nối tớimạng từ địa chỉ IP quản lý của nó Nếu các bước test sau mà cung cấp các kếtquả sai, thì Fortigate không thể kết nối tới Internet từ địa chỉ IP quản lý Checktuyến default route của Fortigate để chắc chắn rằng nó là đúng Check lạifirewall internet của bạn để chắc chắn rằng nó cho phép kết nối từ địa chỉ IPquản lý của Fortigate tới mạng Internet

o Đầu tiên check thông tin license trong widget License Information đểchắc chắn rằng trạng thái của tất cả các service match với các service màbạn đã mua Thiết bị Fortigate kết nối với mạng FortiGuard để tính toánthông tin này

o Đi tới System > Config > FortiGuard Mở web filtering và tùy chọn email

và chọn Test Availability Sau một phút, trình quản lý web based sẽ thôngbáo rằng kết nối thành công

• Check bảng FortiGate bridge Bảng bridge là một list các địa chỉ MAC trongcùng một mạng như của Fortigate và địa chỉ MAC của các interface Fortigate>Thiết bị Fortigate sử dụng bảng này để xác định việc forward một gói tin Nếumột địa chỉ MAC của một thiết bị được add vào bảng bridge thì các gói tin vớiđịa chỉ MAC đó sẽ bị block Chính vì vậy hãy check lại bảng bridge để chắcchắn rằng các địa chỉ MAC đúng được add vào bảng bridge Sử dụng câu lệnhsau trong CLI để check bảng bridge:

Nếu địa chỉ MAC của thiết bị không được liệt kê ở đây thì Fortigate sẽ không thểtìm thấy thiết bị trên mạng Điều này có thể chỉ ra rằng thiết bị không được kết nốihoặc đang không vận hành Check lại kết nối mạng của thiết bị và chắc chắn rằng nóđang vận hành đúng

7 Kiểm tra version của firmware hiện tại và upgrade firmware FortiOS

Profile admin là profile mặc định của Fortigate được sử dụng cho account admin đểtruy cập vào tất cả các thuộc tính của Fortigate, phụ thuộc vào các thuộc tính mà ngườidùng có thể truy cập, bạn có thể định nghĩa ra các profile khác nhau, với mỗi profile bạnđịnh nghĩa ra các thuộc tính mà người dùng có thể truy cập

Kết quả:

Login vào Fortigate sử dụng account với username/password là Terry_White/password.Với tài khoản này bạn có thể view và thay đổi tất cả các thuộc tính của Fortigate

Đi tới Log & Report > Event Log để kiểm tra các sự kiện login của người dùng:

Chọn một entry trong log để xem thông tin chi tiết của user đã kết nối Trường Messagechỉ ra rằng user Terry White đã login thành công từ địa chỉ 192.168.1.1

Đi tới System > Dashboard > Status và view widget System Information TrườngCurrent Administrator chỉ ra số lượng administrator đã login

Chọn Detail để show ra các thông tin chi tiết: