Nguồn: Sưu Tầm
Mô Hình Mạng Cho Các Doanh Nghiệp Vừa & Nhỏ - Bài 3 - Chuyên Đề Firewall - FortiGate
MỤC ĐÍCH: KHÔNG khoe khoang hay phô trương gì cả - Giúp cho các bạn nào cần. Đây là bài CĂN BẢN CỦA CĂN CĂN BẢN. Nhiều bạn cứ hình dung, tưởng tượng Firewall là cái gì đó thật kinh khủng, mọi thứ kinh khủng thì đã có các kỹ sư của hãng làm hết rồi, mình chỉ bậc lên mà dùng thôi, quan trọng là sử dụng nó như thế nào thôi. Chúng tôi hay nói đùa với nhau rằng:"LÀM RULES/POLICIES LÀ NGHỆ THUẬT, NGƯỜI LÀM RULES/POLICIES LÀ NGHỆ SĨ". Nếu bạn đang đọc và làm theo bạn là nghệ sĩ rồi đấy.
MỤC TIÊU: Cài đặt đảm bảo các máy bên trong mạng LAN có thể truy cập được internet thông qua Firewall-FortGate của FortiNet, các máy bên ngoài internet cũng có thể kết nối vào máy tính nội bộ bên thông qua các rules/polices đã cài đặt. Chặn hay cho phép trang web, application của các thiết bị trong mạng LAN truy cập ra ngoài....
MÔ HÌNH LAB:
YÊU CẦU
1. Chuẩn bị và cấu hình căn bản và Reset FortiGate về mặc định nhà sản xuất
2. Cài đặt thông tin IP như sơ đồ và cấu hình sao cho các PCs trong vlan 101, vlan 102 có thể truy cập được internet.
3. NAT Source
Nếu các PCs trong VLAN 101 truy cập ra ngoài internet và sử dụng https- port 443 thì sử IP WAN 125.234.102.244 (IP này không phải IP đấu nối trên cổng WAN1)
4. NAT DestinationPublic port 25, và 2525 (các bạn hay nghe là: NAT port hay Port Forwarding) của server có địa chỉ 172.16.101.1 ra ngoài internet.
5. APPLICATION CONTROL: Cho phép vlan 102 truy cập được internet FULL quyền, nhưng CẤM truy cập YOUTUBE
6. WEB FILTERING
7. WEB RATING OVERRIDES
THỰC HIỆN
1. Chuẩn bị và cấu hình căn bản
ISP Router: ISP cấu hình. Hoặc cũng có thể tìm hiểu các cấu hình ở bài Lab 1, Lab 2
Cấu hình trên Switch
Reset FortiGate về mặc định nhà sản xuất
Để đảm Firewall chưa cấu hình gì cả chúng ta nên reset về mặc định nhà sản xuất:
exec factoryreset
Nhấn Y để khởi động lại và thực hiện tiếp dòng lệnh
exec factoryreset2
Nhấn Y để khởi động lại.
Đăng nhập vào thiết bị theo thông tin có in trên thiết bị mặc định là:
- IP MGMT: 192.168.1.99
- Username: admin
- Password: không có đặt password
2. Yêu cầu: Cài đặt thông tin IP như sơ đồ và cấu hình sao cho các PCs trong vlan 101, vlan 102 có thể truy cập được internet.
Đặt IP cho Zone LAN
Nên chọn SSH để thuận tiện cho việc cấu hình command line trong LAN
Đặt IP cho Zone WAN
Kết quả sau khi đặt IP trên port 16-LAN, và WAN1
Đặt IP cho LAN, WAN bằng CLI
Route cho vlan 101:
Với vlan 102 bạn cũng có thể clone từ vlan 101, các thông tin như hình:
Cài đặt defaut route để đảm bảo tất cả có thể truy cập được internet
Các route vừa tạo
Kiểm tra sự tồn tại của các route
Cấu hình route bằng CLI
Để các tất cả PCs truy cập được internet chúng ta phải làm rule cho phép từ vùng LAN đến vùng WAN
Vì các IP private không được route trên InterNet, nên nhớ chọn Enable NAT nhé. Lúc này các PCs trong LAN sẽ lấy IP của WAN1 để giao tiếp với internet
Policies vừa tạo
Cấu hình CLI
Kiểm tra kết nối đến internet của từng vlan:
Ping đến 8.8.8.8 đã thông.
- 1. IP của default gateway
- 2. IP của firewall
- 3. IP mặt trong (LAN) của router IPS
3. NAT Source
Yêu cầu: Nếu các PCs trong VLAN 101 truy cập ra ngoài internet và sử dụng https- port 443 thì sử IP WAN 125.234.102.244 (IP này không phải IP đấu nối trên cổng WAN1)
Kiểm tra ban đầu:
Vào trang https://canyouseeme.org/ để kiểm tra IP WAN hiện tại mà các PC trong LAN sử dụng để giao tiếp bên ngoài là bao nhiêu
Định nghĩa IP WAN cần NAT theo đúng yêu cầu đề bài, trường hợp này là 125.234.102.244
Định nghĩa VLAN 101
Tạo Policies, chọn source là VLAN 101, services HTTPS và Dynamic IP Pool trỏ về Pool vừa định nghĩa ở trên.
Cấu hình CLI
Đã đúng yêu cầu đặt ra là IP 125.234.102.244.
Các bạn nhớ là chỉ có https mới dùng IP 125.234.102.244 thôi nhé, các servicies/port khác vẫn dùng IP đấu nối của firewall.
Giải thích thêm:
Các bạn có thể định nghĩa 1 IP cụ thể nào đó thay vì nguyên cả VLAN như trong bài này. Với chúng tôi hay dùng NAT Source trong trường hợp là với 1 thiết bị khi gửi mail ra ngoài với port 25 thì dùng IP khác, các port còn lại dùng IP mặc định trên cổng đấu nối. Làm vậy sẽ giúp cho IP mail server của bạn it bị black list hơn (mail blacklist cả một chuyên đề lớn nếu có thời gian viết sẽ viết).
4. NAT Destination
Public port 25, và 2525 (các bạn hay nghe là: NAT port hay port forwarding) của server có địa chỉ 172.16.101.1 ra ngoài internet.
Định nghĩa Virtual IPs cho IP WAN 125.234.102.243 và port 25 map vào port 25 của IP 172.16.101.1
Chúng ta cũng có thể clone Virtual IPs vừa tạo và chỉnh sửa thông tin theo yêu cầu
Để hạn chế sai xót chúng ta nên gôm các địa chỉ Virtual IPs thành 1 Group Virtual IPs
Tạo Policies cho phép bên ngoài có thể truy cập vào, cài đặt như hình
Nên tắt NAT đi để khi phân tích log chúng ta biết được đúng IP bên ngoài nào đã truy cập vào, nếu không trong log sẽ hiển thị IP vùng LAN của firewall thôi như vậy rất khó phân tích.
Cấu hình CLI
- Các port trên máy 172.16.101.1 phải được mở
- Firewall trên server phải cho phép
NAT-DES: Thông thường dùng để mở port cho Camera, mail server, web server, SQL, MySQL,... nếu muốn truy cập từ internet. Trong phần policies các bạn cũng có thể cho phép 1 vài IP public nào đó nhằm đảm bảo security hơn, lab này chúng tôi cho phép tất cả các IP từ internet có thể truy cập được.
5. APPLICATION CONTROL: Cho phép vlan 102 truy cập được internet FULL quyền, nhưng CẤM truy cập YOUTUBE
Định nghĩa VLAN 102 tương tự như đã làm ở yêu cầu 2 nhé.
Thêm các application có liên quan đến Youtube vào phần Application Overrides và action là block.
Tạo policies và cho vlan 102 và trong phần Application Control trỏ đến profile vừa tạo và đưa lên trên tất cả các policies như hình
Kiểm tra thấy VLAN 102 sẽ không truy cập được youtube
Trong FortiWiew thấy vlan 102 đang bị áp bởi policies có ID là 4
Trong phần Log & Reports -> Application Control -> Filter -> Source -> nhập IP cần kiểm tra
Thấy IP 172.16.102.1 của vlan 102 truy cập vào youtube đã bị block.
6. WEB FILTERING
Đảm bảo tính năng Web Filtering và Multiple Security Profiles đã được bật
Định nghĩa profile
Cách làm tương tự như chặn application, định nghĩa địa chỉ cần áp dụng cho policies, tạo polices phần web filtering cho profile vừa tạo vào. OK tới.
Chú ý: Các profile security là độc lập nhau (đã được phân theo từng nhóm sẵn như: nhóm web filtering, antivirus, application control), nên bạn có thể chọn nhiều nhóm Security Profiles cho 1 polices sẽ không có vấn đề gì, Fortigate sẽ hành xử theo từng nhóm ấy.
Các bạn cũng có thể lập lịch (thiết lập thời gian) để áp đặt policies tùy biến nhé.
Nhận xét: Với cách lọc không linh động lắm vì lệ thuộc vào Categories của hãng, nên khi triển khai nên kết hợp với phần Web Rating Overrides
7. WEB RATING OVERRIDES
Tự định nghĩa Categories cho riêng mình, ở đây chúng tôi tạo 2 categories đó là Block và Permit, các bạn có thể tạo tùy theo yêu cầu thực tế.
Kết quả sau khi định nghĩa categories
Thêm các trang web vào Categories vừa định nghĩa
Đến đây mới chỉ định nghĩa web site theo từng nhóm thôi nhé, chưa hành xử gì cả, Muốn hành xử thế nào thì chúng ta phải chỉnh lại profile trong phần Web Filter.
Ở đây chúng tôi chọn Action là Block cho Categories Block, và Allow cho categories Permit. Có nghĩa là các web trong categories Block sẽ bị chặn (ở ví dụ này là trang tuoitre.vn), và các trang trong categories Permit sẽ được allow (ở ví dụ này là news.zing.vn).
Để thêm các trang cho phép truy cập hay bị chặn thì chúng ta chỉ cần thêm vào phần Web Rating Overrides là được.
Trong bài này chúng tôi giới thiệu FortiGate nó có thể làm được các tính năng như đã nêu trên và thực tế FortiGate còn làm được nhiều hơn thế nữa. Chúng tôi không khuyến khích làm rập khuôn như bài lab này. Làm policies thế nào là chuyện của các "Nghệ Sĩ" nhé.
"LÀM RULES/POLICIES LÀ NGHỆ THUẬT, NGƯỜI LÀM RULES/POLICIES LÀ NGHỆ SĨ". hihihi
Kết luận: Đến đây chúng tôi huy vọng rằng sẽ xóa được mù chữ về cấu hình ForitGate, bạn đã có được tí tí gì đấy để làm cơ sở tìm hiểu kỹ hơn và thuần hóa được thiết bị này thông qua tài liệu chính thức của hãng.
P/s: Bài LAB được thực hiện trên FG100E-6.0.2
Xong!Mô Hình Mạng Cho Các Doanh Nghiệp Vừa & Nhỏ - Bài 3 - Chuyên Đề Firewall - FortiGate
MỤC ĐÍCH: KHÔNG khoe khoang hay phô trương gì cả - Giúp cho các bạn nào cần. Đây là bài CĂN BẢN CỦA CĂN CĂN BẢN. Nhiều bạn cứ hình dung, tưởng tượng Firewall là cái gì đó thật kinh khủng, mọi thứ kinh khủng thì đã có các kỹ sư của hãng làm hết rồi, mình chỉ bậc lên mà dùng thôi, quan trọng là sử dụng nó như thế nào thôi. Chúng tôi hay nói đùa với nhau rằng:"LÀM RULES/POLICIES LÀ NGHỆ THUẬT, NGƯỜI LÀM RULES/POLICIES LÀ NGHỆ SĨ". Nếu bạn đang đọc và làm theo bạn là nghệ sĩ rồi đấy.
MỤC TIÊU: Cài đặt đảm bảo các máy bên trong mạng LAN có thể truy cập được internet thông qua Firewall-FortGate của FortiNet, các máy bên ngoài internet cũng có thể kết nối vào máy tính nội bộ bên thông qua các rules/polices đã cài đặt. Chặn hay cho phép trang web, application của các thiết bị trong mạng LAN truy cập ra ngoài....
MÔ HÌNH LAB:
YÊU CẦU
1. Chuẩn bị và cấu hình căn bản và Reset FortiGate về mặc định nhà sản xuất
2. Cài đặt thông tin IP như sơ đồ và cấu hình sao cho các PCs trong vlan 101, vlan 102 có thể truy cập được internet.
3. NAT Source
Nếu các PCs trong VLAN 101 truy cập ra ngoài internet và sử dụng https- port 443 thì sử IP WAN 125.234.102.244 (IP này không phải IP đấu nối trên cổng WAN1)
4. NAT DestinationPublic port 25, và 2525 (các bạn hay nghe là: NAT port hay Port Forwarding) của server có địa chỉ 172.16.101.1 ra ngoài internet.
5. APPLICATION CONTROL: Cho phép vlan 102 truy cập được internet FULL quyền, nhưng CẤM truy cập YOUTUBE
6. WEB FILTERING
7. WEB RATING OVERRIDES
THỰC HIỆN
1. Chuẩn bị và cấu hình căn bản
ISP Router: ISP cấu hình. Hoặc cũng có thể tìm hiểu các cấu hình ở bài Lab 1, Lab 2
Cấu hình trên Switch
Reset FortiGate về mặc định nhà sản xuất
Để đảm Firewall chưa cấu hình gì cả chúng ta nên reset về mặc định nhà sản xuất:
exec factoryreset
Nhấn Y để khởi động lại và thực hiện tiếp dòng lệnh
exec factoryreset2
Nhấn Y để khởi động lại.
Đăng nhập vào thiết bị theo thông tin có in trên thiết bị mặc định là:
- IP MGMT: 192.168.1.99
- Username: admin
- Password: không có đặt password
2. Yêu cầu: Cài đặt thông tin IP như sơ đồ và cấu hình sao cho các PCs trong vlan 101, vlan 102 có thể truy cập được internet.
Đặt IP cho Zone LAN
Nên chọn SSH để thuận tiện cho việc cấu hình command line trong LAN
Đặt IP cho Zone WAN
Kết quả sau khi đặt IP trên port 16-LAN, và WAN1
Đặt IP cho LAN, WAN bằng CLI
Route cho vlan 101:
Với vlan 102 bạn cũng có thể clone từ vlan 101, các thông tin như hình:
Cài đặt defaut route để đảm bảo tất cả có thể truy cập được internet
Các route vừa tạo
Kiểm tra sự tồn tại của các route
Cấu hình route bằng CLI
Vì các IP private không được route trên InterNet, nên nhớ chọn Enable NAT nhé. Lúc này các PCs trong LAN sẽ lấy IP của WAN1 để giao tiếp với internet
Policies vừa tạo
Cấu hình CLI
Kiểm tra kết nối đến internet của từng vlan:
Ping đến 8.8.8.8 đã thông.
- 1. IP của default gateway
- 2. IP của firewall
- 3. IP mặt trong (LAN) của router IPS
3. NAT Source
Yêu cầu: Nếu các PCs trong VLAN 101 truy cập ra ngoài internet và sử dụng https- port 443 thì sử IP WAN 125.234.102.244 (IP này không phải IP đấu nối trên cổng WAN1)
Kiểm tra ban đầu:
Vào trang https://canyouseeme.org/ để kiểm tra IP WAN hiện tại mà các PC trong LAN sử dụng để giao tiếp bên ngoài là bao nhiêu
Định nghĩa IP WAN cần NAT theo đúng yêu cầu đề bài, trường hợp này là 125.234.102.244
Định nghĩa VLAN 101
Tạo Policies, chọn source là VLAN 101, services HTTPS và Dynamic IP Pool trỏ về Pool vừa định nghĩa ở trên.
Cấu hình CLI
Đã đúng yêu cầu đặt ra là IP 125.234.102.244.
Các bạn nhớ là chỉ có https mới dùng IP 125.234.102.244 thôi nhé, các servicies/port khác vẫn dùng IP đấu nối của firewall.
Giải thích thêm:
Các bạn có thể định nghĩa 1 IP cụ thể nào đó thay vì nguyên cả VLAN như trong bài này. Với chúng tôi hay dùng NAT Source trong trường hợp là với 1 thiết bị khi gửi mail ra ngoài với port 25 thì dùng IP khác, các port còn lại dùng IP mặc định trên cổng đấu nối. Làm vậy sẽ giúp cho IP mail server của bạn it bị black list hơn (mail blacklist cả một chuyên đề lớn nếu có thời gian viết sẽ viết).
4. NAT Destination
Public port 25, và 2525 (các bạn hay nghe là: NAT port hay port forwarding) của server có địa chỉ 172.16.101.1 ra ngoài internet.
Định nghĩa Virtual IPs cho IP WAN 125.234.102.243 và port 25 map vào port 25 của IP 172.16.101.1
Chúng ta cũng có thể clone Virtual IPs vừa tạo và chỉnh sửa thông tin theo yêu cầu
Để hạn chế sai xót chúng ta nên gôm các địa chỉ Virtual IPs thành 1 Group Virtual IPs
Tạo Policies cho phép bên ngoài có thể truy cập vào, cài đặt như hình
Nên tắt NAT đi để khi phân tích log chúng ta biết được đúng IP bên ngoài nào đã truy cập vào, nếu không trong log sẽ hiển thị IP vùng LAN của firewall thôi như vậy rất khó phân tích.
Cấu hình CLI
- Các port trên máy 172.16.101.1 phải được mở
- Firewall trên server phải cho phép
NAT-DES: Thông thường dùng để mở port cho Camera, mail server, web server, SQL, MySQL,... nếu muốn truy cập từ internet. Trong phần policies các bạn cũng có thể cho phép 1 vài IP public nào đó nhằm đảm bảo security hơn, lab này chúng tôi cho phép tất cả các IP từ internet có thể truy cập được.
5. APPLICATION CONTROL: Cho phép vlan 102 truy cập được internet FULL quyền, nhưng CẤM truy cập YOUTUBE
Định nghĩa VLAN 102 tương tự như đã làm ở yêu cầu 2 nhé.
Thêm các application có liên quan đến Youtube vào phần Application Overrides và action là block.
Tạo policies và cho vlan 102 và trong phần Application Control trỏ đến profile vừa tạo và đưa lên trên tất cả các policies như hình
Kiểm tra thấy VLAN 102 sẽ không truy cập được youtube
Trong FortiWiew thấy vlan 102 đang bị áp bởi policies có ID là 4
Trong phần Log & Reports -> Application Control -> Filter -> Source -> nhập IP cần kiểm tra
Thấy IP 172.16.102.1 của vlan 102 truy cập vào youtube đã bị block.
6. WEB FILTERING
Đảm bảo tính năng Web Filtering và Multiple Security Profiles đã được bật
Định nghĩa profile
Cách làm tương tự như chặn application, định nghĩa địa chỉ cần áp dụng cho policies, tạo polices phần web filtering cho profile vừa tạo vào. OK tới.
Chú ý: Các profile security là độc lập nhau (đã được phân theo từng nhóm sẵn như: nhóm web filtering, antivirus, application control), nên bạn có thể chọn nhiều nhóm Security Profiles cho 1 polices sẽ không có vấn đề gì, Fortigate sẽ hành xử theo từng nhóm ấy.
Các bạn cũng có thể lập lịch (thiết lập thời gian) để áp đặt policies tùy biến nhé.
Nhận xét: Với cách lọc không linh động lắm vì lệ thuộc vào Categories của hãng, nên khi triển khai nên kết hợp với phần Web Rating Overrides
7. WEB RATING OVERRIDES
Tự định nghĩa Categories cho riêng mình, ở đây chúng tôi tạo 2 categories đó là Block và Permit, các bạn có thể tạo tùy theo yêu cầu thực tế.
Kết quả sau khi định nghĩa categories
Thêm các trang web vào Categories vừa định nghĩa
Đến đây mới chỉ định nghĩa web site theo từng nhóm thôi nhé, chưa hành xử gì cả, Muốn hành xử thế nào thì chúng ta phải chỉnh lại profile trong phần Web Filter.
Ở đây chúng tôi chọn Action là Block cho Categories Block, và Allow cho categories Permit. Có nghĩa là các web trong categories Block sẽ bị chặn (ở ví dụ này là trang tuoitre.vn), và các trang trong categories Permit sẽ được allow (ở ví dụ này là news.zing.vn).
Để thêm các trang cho phép truy cập hay bị chặn thì chúng ta chỉ cần thêm vào phần Web Rating Overrides là được.
Trong bài này chúng tôi giới thiệu FortiGate nó có thể làm được các tính năng như đã nêu trên và thực tế FortiGate còn làm được nhiều hơn thế nữa. Chúng tôi không khuyến khích làm rập khuôn như bài lab này. Làm policies thế nào là chuyện của các "Nghệ Sĩ" nhé.
"LÀM RULES/POLICIES LÀ NGHỆ THUẬT, NGƯỜI LÀM RULES/POLICIES LÀ NGHỆ SĨ". hihihi
Kết luận: Đến đây chúng tôi huy vọng rằng sẽ xóa được mù chữ về cấu hình ForitGate, bạn đã có được tí tí gì đấy để làm cơ sở tìm hiểu kỹ hơn và thuần hóa được thiết bị này thông qua tài liệu chính thức của hãng.
P/s: Bài LAB được thực hiện trên FG100E-6.0.2
Xong!
Subscribe to:
Posts (Atom)