- 08/06/2021
ITtoday – Để bảo vệ mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng Router Cisco hay dùng tường lửa của Microsoft như ISA, TMG. Tuy nhiên nhưng thành phần kể trên tương đối tốn kém. Vì vậy với người dùng không muốn tốn tiền nhưng lại muốn có tường lửa bảo vệ hệ thống mạng bên trong khi chúng ta giao tiếp với hệ thống mạng bên ngoài thì PFSENSE là một giải pháp tiết kiệm và tương đối tốt nhất với người dùng.
Yêu cầu hệ thống
Để thực hiện quá trình này chúng ta cần hai máy tính giống hệt nhau, với tối thiểu 3 card mạng và một subnet dành riêng cho đồng bộ hóa lưu lượng mạng [network traffic].
Ví dụ địa chỉ IP sẽ được sử dụng trong bài viết:
Cấu hình mạng:
Firewall 1 WAN IP: 192.168.100.1 SYNC IP: 10.155.0.1 LAN IP: 192.168.1.252 Firewall 2 WAN IP: 192.168.100.2 SYNC IP: 10.155.0.2 LAN IP: 192.168.1.253 Hai địa chỉ IP dưới đây dùng để chia sẻ giữa các tường lửa:
IP mạng WAN ảo: 192.168.100.200 IP mạng LAN ảo: 192.168.1.254 Hướng dẫn này giả sử rằng bạn đã cài đặt sẵn pfSense trên cả hai máy tính và card mạng đã cấu hình với địa chỉ IP… và người dùng từng có kinh nghiệm làm việc với pfSense [chủ yếu là xung quanh các giao diện quản trị web].
Ví dụ minh họa về mô hình mà chúng ta xây dựng:
Xây dựng Cluster
Trước tiên bạn cần cấu hình một quy tắc tường lửa trên cả hai ô box để cho phép các tường lửa giao tiếp với nhau trên thẻ SYNC.
Để làm điều này, kích chuột vào “Firewall | Rules”, chọn SYNC tại mục Interface. Kích nút Plus để thêm một mục firewall rule mới. Thiết lập “Protocol” cho “any”, thêm một mô tả để có thể xác định quy tắc. Nhấn Save, sau đó nhấn Apply Changes nếu cần thiết.
Vẫn trên backup tường lửa, ở đây chúng ta cần cấu hình đồng bộ hóa CARP và cấu hình cho nó chỉ là một bản sao. Kích “Firewall | Vitrual IPs” > “Firewall | Vitrual Ips”, đánh dấu tích vào hộp “Synchronize Enabled”. Chọn “Synchronize Interface to SYNC”, sau đó lưu lại thay đổi này.
Hoàn thành việc cấu hình sao lưu tường lửa, bây giờ chúng ta tiến hành cấu hình đồng bộ hóa CARP trên tường lửa chính.
Đăng nhập vào firewall chính của bạn, kích “Firewall | Virtual Ips”, chuyển sang tab “CARP Settings” và đánh dấu tích vào hộp “Synchronize Enabled”. Tại mục Synchronize Interface chọn “SYNC” làm mặc định, đánh dấu check vào các hộp dưới mục “Synchronize Rules”, “Synchronize NAT”, “Synchronize Virtual IPs”.
Sau đó nhập địa chỉ IP SYNC của bản sao tường lửa vào hộp “Synchronize to IP” và thiết lập mật khẩu tại hộp “Remote System Password”.
Nhấn Save để lưu thay đổi.
Tiếp theo chúng ta cấu hình Virtual IP address cho cả hai tường lửa sẽ sử dụng. Để làm điều này vào “Firewall | Virtual IPs” và chuyển sang tab “Virtual Ips”.
Trước tiên là thiết lập địa chỉ IP cho mạng WAN của mục Interface, nhấn nút Plus để thêm mới IP ảo, chắc chắn rằng kiểu IP được set ở CARP. Địa chỉ WAN này sẽ được sử dụng trên toàn hệ thống của bạn bất kể tường lửa chính hay bản sao được kích hoạt.
Tiếp theo tạo một mật khẩu trong hộp “Virtual IP Password”, giữ nguyên giá trị 1 đối với “VHID Group” và giá trị 0 đối với “Advertising Frequency”, thêm một chút mô tả tại Description và nhấn Save để lưu lại.
Tương tự như vậy, chúng ta cấu hình Virtual IP address cho mạng LAN trong mục Interface. Các bước tiến hành không có gì khác so với hướng dẫn trên đối với WAN, riêng phần “VHID Group” bạn thay vào giá trị là 3, đặt một mô tả khác rồi nhấn Save để lưu thay đổi.
Và giờ đây bạn sẽ nhìn tháy trong section “Firewall | Virtual IPs” xuất hiện danh sách hai IPs ảo theo kiểu CARP.
Nếu đăng nhập vào giao diện web của tưởng lửa backup và kích vào “Firewall | Virtual IPs” bạn sẽ thấy virtual IPs đồng bộ với firewall backup.
Bây giờ là lúc xem nó hoạt động như thế nào. Hai bức tường lửa pfSense sẽ liên tục đồng bộ các quy tắc của chúng, NAT, virtual Ips và bất kỳ thiết lập nào khác bạn đã chọn trong tùy chọn Synchronize. Vì lý do nào đó mà tường lửa chính bị ngưng hoạt động thì bản sao của nó vẫn làm việc liên tục.
Trong điều kiện thử nghiệm, các bản sao tường lửa sẽ tiếp nhận với độ chễ là 10 giây, bởi hệ điều hành freeBSD sẽ áp dụng các địa chỉ IP ảo cho giao diện một khi bị mất kết nối với tường lửa chính.
Thử nghiệm Failover
Bạn có thể thử nghiệm bằng cách rút cáp mạng hoặc tắt tường lửa chính trong khi liên tục ping tới địa chỉ IP của LAN hoặc WAN. Bạn sẽ thấy các IP giảm xuống một vài giây trong các tường lửa khác.
Như vậy đến đây ta đã hoàn thành các bước căn bản để cho Fortigate hoạt động. Trong phần viết sau tôi sẽ trình bày các vấn đề sâu hơn về các tính năng của Fortigate như: VPN, Antivirus, Antispam, Webfilter,.
P3:CẤU HÌNH VPN CLIENT TO GATEWAY TRÊN FIREWALL FORTIGATE | FIREWALL FORTINET. Hệ thống mạng trong công ty các máy tính được kết nối local mà ta vẫn thường gợi là mạng LAN. Khi ra ngoài khỏi công ty[về nhà, đi công tác, hoặc café chẳng hạn…] để lấy được dữ liệu lưu trữ và chia sẽ trong công ty, thì chúng ta sẽ sử dụng tính năng tích hợp trong Firewall Fortinet, tính năng này gọi là VPN[Virtual Private Network] để kết nối vào mạng LAN. Để làm được việc này chúng ta cần có các điều kiện như sau: + 1 thiết bị làm VPN server và cấu hình chức năng VPN + Các máy client muốn kết nối đến VPN server phải kết nối internet và phải tạo 1 connection client[PPTP hoặc SSL]. Trong bài viết này tôi giới thiệu 2 kiểu kết nối phổ biến và thông dụng: PPTP[Point to Point Tunnel Protocol] đây là kiểu kết nối VPN củ khá phổ biến và VPN-SSL đây là kiểu VPN bảo mật tốt linh động[chỉ cần PC có trình duyệt internet] và phổ biến nhất hiện nay.
- VPN Client to Gateway bằng giao thức PPTP
1. Đầu tiên ta phải tạo VPN server trên con Fortigate theo các bước như sau:
+ Vào VPN >> PPTP >> và Enable PPTP lên.
+ Nhập dãy địa chỉ IP cho Client khi connect vào
+ User Group: chọn user group .
+ Nhấn Apply.
2. Tiếp theo vào User >> local >> Creat new và nhập thông tin như sau:3. Tạo user group và add user spt vào Group. + Vào user >> user Group >> Creat New. + Nhập tên VPN_CLIENT_TO_SITE trong NAME + Chọn user spt và nhấn mũi tên qua phải. + Nhấn ok.4. Tiếp theo tạo Range IP cho VPN + Vào Firewall >> Address >> Creat new. + Address name: nhập tên cho vùng địa chỉ + Type: chọn Subnet/range + Subnet/IP Range: nhập 192.168.150.0 – 255.255.255.0 + Interface: Any. + Nhấn OK.5. Tạo policy cho phép VPN client connect vào Firewall. + Vào Firewall >> Policy >> Creat New. + Các thông số như hình
Như vậy là ta đã hoàn thành việc cấu hình VPN Client bằng giao thức PPTP trên con Fortigate. Bước tiếp theo là chúng ta sẽ tạo sự kết nối từ các máy client để truy cập vào bên trong hệ thống của mạng.
6. Tạo VPN Client trên Windows [bài viết thực hiện trên Windows XP, các HĐH Windows sau này các bạn có thể thực hiện tương tự] + Vào Start >> Settings >> Network Connections >> New connections Wizard
II. Cấu hình VPN-SSL 1. Tạo VPN server + Vào VPN >> Chọn SSL >> Enable SSL-VPN >> Chọn IP Pool
7. Để truy cập VPN-SSL ta thực hiện như sau + Mở một trình duyệt bất kỳ[IE, Firefox, Chrome]. + Vào phần Address đánh vào IP mặt ngoài kết nối đến Firewall [221.133.3.94] và port mặc định [port:10443] như sau: //221.133.3.94:10443
P4: CẤU HÌNH VPN GATEWAY TO GATEWAY TRÊN FIREWALL FORTINET
Để hai hay nhiều chi nhánh của công ty cách xa nhau về mặt địa lý mà có thể trao đổi dữ liệu được với nhau giống như 1 mạng LAN bình thường thì chúng ta phải cấu hình VPN giữa các vùng với nhau. Đối với con Fortigate thì chúng ta sử dụng giao thức VPN_IPSEC để làm việc này. Để làm việc này chúng ta cần các điều kiện như sau: – IP Public giữa các nơi – IP Private của mạng khi client bên ngoài kết nối vào. Mô hình giả định ở đây cấu hình VPN Site to Site trên thiết bị Fortigate 200B [site chính] và Fortigate 60C [site chi nhánh]
- Cấu hình VPN Site VP chính 1. Cấu hình trên con FG 200B | FG-200B-BDL. Cấu hình thông số mặt ngoài trên con FG 200B | FG-200B-BDL. Vào VPN >> IPSEC >> Auto key >>Creat Phase1 – Name: FG1TOFG2_TUNNEL – Remote Gateway: Static Ip Address. – IP Address: 221.133.27.9 – Local Interface: Port9 – Authentication Method: Preshared key. – Pre-shared Key: @spt@cmc – Nhấn ok.
2. Cấu hình thông số mặt trong trên con FG 200B | FG-200B-BDL. Vào VPN >> IPSEC >> Auto key >> Creat Phase2 – Name: FG1TOFG2_PHASE2 – Phase1: FG1TOFG2_TUNNEL – Nhấn ok.
3. Xác định chính sách tường lửa trên FG 200B | FG-200B-BDL 3.1. Xác định IP address của network sau FG 200B | FG-200B-BDL. – Vào firewall >> Address >> Creat new. – Address name: SG-NETWORK – Type: Subnet/IP Range – Subnet/IP Range: 192.168.12.0/255.255.255.0 – Interface: Any. – Nhấn OK.
3.2. Xác định IP address của network sau FG 60C | FG-60C-BDL. – Vào firewall >> Address >> creat new. – Address name: HN-NETWORK – Type: Subnet/IP Range – Subnet/IP Range: 192.168.22.0/255.255.255.0 – Interface: Any. – Nhấn OK.
4. Xác định Firewall policy cho 2 VPN làm việc với nhau: Vào Firewall >> Policy >> Creat new. Source Interface/Zone: Port 2 Source Address: SG-NETWORD Destination Interface/Zone: Port 9 Destination Address: HN-NETWORK Schedule: Always Service: Any Action: IPSEC VPN Tunnel: FG1TOFG2_TUNNEL Nhấn OK.
II. Cấu hình VPN Site chi nhánh Thực hiện cấu hình tương tự đối với Firewall Fortigate 60C [FG 60C | FG 60C BDL] ở site chi nhánh giống các bước đã thực hiện trên Firewall Fortigate 200B [FG 200B | FG 200B BDL] trên site chính, nhưng chúng ta chú ý thay đổi các IP address cho phù hợp theo mô hình như trên [Các bạn tự thực hiện tương tự nhé].
III. Kiểm tra Để kiểm tra 2 VPN này có hoạt dộng hay chưa thì chúng ta vào VPN >> IPSEC>> Monitor.
Chúng ta chú ý đến tab status: nếu trạng thái mũi tên chỉ xuống màu đỏ thì 2 VPN này chưa thông với nhau, nếu mũi tên chỉ lên và màu xanh thì 2 VPN này đã hoạt động tốt.
Đến đây tôi đã trình bày đầy đủ các thông số cấu hình để 1 firewall Fortinet hoạt động [ tất cả các dòng Fortinet với License Forticare và Bundle]. Bài viết tiếp theo tôi sẽ trình bày cách cấu hình Antivirus, Antispam, Webfilter,… Các tính năng mà đòi hỏi người dùng phải mua license gói Bundle [BDL] mới có.
PHẦN 5: ĐĂNG KÝ LICENSE, CẤU HÌNH ANTIVIRUS, WEB FILTER, ANTISPAM FIREWALL FORTINET
- ĐĂNG KÝ LICENSE FIREWALL FORTIGATE | FIREWALL FORTINET Bước đầu tiên không kém phần quan trọng trước khi sử dụng thiết bị Firewall Fortinet | Firewall Fortigate là đăng ký license sử dụng hợp lệ. Việc đăng ký license còn giúp thiết bị có thể Update anti-virus, anti spam …Để đăng ký license ta cần phải lên trang Web để đăng ký //support.fortinet.com
Đăng ký mới Account : Vào Register/Renew
Chọn Sign Up
Điền đầy đủ thông tin theo yêu cầu nhấn next và làm theo chỉ dẫn. Sau đó vào phần Support Login vào hệ thống. Trường hợp bạn đã có tài khoản nhưng quên password, có thể phục hồi password theo cách sau:
Đăng ký: Vào Asset Management >> Register/Renew và làm theo chỉ dẫn để bắt đầu đăng ký
Khi đăng ký xong vào System >> Maintenance >> FortiGuardCenter . Ta có thể chỉnh các tham số cần thiết.
II. CẤU HÌNH ANTIVIRUT FIREWALL FORTIGATE | FIREWALL FORTINET Virut là mối nguy hiểm đối với 1 hệ thống mạng của 1 công ty, vì vậy việc cập nhật và quét virut thường xuyên sẽ giúp hệ thống của công ty được bảo đảm hơn. Tính năng Antivirus trên Firewall Fortigate | Firewall Fortinet là 1 bức tường lửa để ngăn chặng virut. Fortigate | Fortinet có chức năng update tự động danh sách virut theo định kỳ [dĩ nhiên là phải có license Bundle] mà chúng ta cấu hình, các máy trong hệ thống mạng luôn được bảo vệ bởi con Fortigate này. Hiện tại Fortigate đã cập nhật sẵn 1 số danh sách virut như hình bên dưới. Để xem danh sách virut ta vào AntiVirut >> Config
Fortigate | Fortinet đã định nghĩa sẵn 1 số chương trình, ở đây chúng ta muốn cấm hay không thì chỉ cẩn check vào trong phần Enable.
Muốn thêm 1 đối tượng mới vào thì ta làm như sau: Vào Antivirut >> File Pattern >> Bấm chọn nút Edit trên builtin-patterns >> Creat New. Pattern: nhập đối tượng Action: Block: Cấm : Allow: cho phép. Enable: check vào: Áp dụng tính năng này. : không check: không áp dụng tính nang này Bấm OK.
Tiếp theo ta vào Firewall >> Protection Profile >> Scan >> Edit. Chọn tiếp phần Anti-Virut. Trong phần Scan thì đã quét 1 số dịch vụ như HTTP, FTP, IMAP, POP3… Trong Option ta chọn Builtin-pattern để thêm các dịch vụ cần scan virus.
III. CẤU HÌNH WEB FILTER FIREWALL FORTIGATE | FIREWALL FORTINET
Tính năng Web Filter trên Firewall Fortinet | Firewall Fortigate cho chúng ta cấm các trang web theo ý muốn của chúng ta, đặt biệt là các trang web không lành mạnh. Ta vào Web filter >> URL filter >> Creat new. Nhập tên cho nội dung và nhấn OK.
Tiếp theo ta chọn Creat new. Nhập trang web muốn cấm ví dụ như: tuoitre.com.vn Type: simple Action: Block Check vào Enable. Nhấn OK.
Sau đó vào Firewall >> Protection Profile >> Scan >> Edit >> Web Filtering Từ Web URL Filter >> Check vào 2 giao thức HTTP và HTTPS và chọn trong phần Option là Web cấm. Bấm Ok.
IV. CẤU HÌNH ANTISPAM FIREWALL FORTIGATE | FIREWALL FORTINET
Anti-spam trên Firewall Fortinet | Firewall Fortigate cung cấp khả năng lên danh sách cấm các các email từ website, domain hay chứa từ khóa nào đó và có khả năng cung cấp hệ thống đánh giá mức độ spam dựa vào một số tiêu chuẩn. Khả năng hỗ trợ việc thực thi các danh sách cấm/cho phép trong FortiOS phân loại theo domain, địa chỉ IP, địa chỉ email. Danh sách này có thế duy trì và cập nhật theo nhóm hay theo từng user dùng chung với các dịch vụ cập nhập của Fortinet.
1. Antispam Banned Word Tạo ra các Antispam Banned Word list [BWL]: Antispam >> Banned Word Click Create New để tạo mới một Banned Word list
Click vào biểu tượng để Edit nội dung bên trong của Banned Word list
Sau đó nhấn Create để thêm vào list các Banned Word
2. Antispam Black/White list. – Antispam IP Address list. Vào Antispam >> Black/White List >> IP Address Click nút Add để thêm mới một Black/White IP Address list
Click vào biểu tượng để Edit nội dung của IP address list
Click Create New để thêm vào IP address: với thuộc tính Action: Mark as Spam, hay Mark as Clear, hay Mark as Reject
– Antispam Email Address list Vào Antispam >> Black/White List >> Email Address Click nút Add để thêm mới một Black/White IP Address list
Click vào biểu tượng để Edit nội dung của Email address list
Mỗi Spam Filtering Option sẽ ứng với một Protection Profile. Ta vào Firewall Policy >> Protection Profile
Đến đây tôi đã hoàn tất bài loạt bài viết cấu hình Firewall Fortinet | Firewall Fortigate . Trong quá trình bày khó tránh khỏi sơ sót mong các bạn thông cảm. Nếu có vướng mắc, xin vui lòng liên hệ với công ty THẾ GIỚI MẠNG chúng tôi, THẾ GIỚI MẠNG là PARTNER FORTINET tại Việt Nam. Công ty chúng tôi cam kết Cung Cấp đến Khách Hàng các dòng thiết bị FORTINET chính hãng với Giá và Dịch Vụ hậu mãi tốt nhất theo tiêu chuẩn của Hãng Fortinet.