Hướng dẫn cấu hình cơ bản trên Firewall Fortigate 100D

  • Wednesday 02/08/2023

CẤU HÌNH CƠ BẢN TRÊN FIREWALL FORTIGATE 100D

 

1. Truy cập thiết bị

Tùy từng phiên bản firewall, chúng ta sẽ có các cách truy cập khác nhau. Một số dòng firewall sẽ có 1 số địa chỉ IP mặc định là 192.168.1.99/24, 192.168.100.99/24. Chúng ta có thể dùng dùng dây console đi kèm để truy cập vào CLI của Firewall để đặt IP cho 1 cổng nào đó và truy cập vào với account default là admin pass để trống.

FORTIGATE

 

Kết nối máy tính với fortigate, đối với các firewall đã có IP default, chúng ta kết nối với cổng MGMT hoặc MGMT1 như hướng dẫn trên firewall. Trong trường hợp ta set IP trong console thì kết nối với cổng được đặt IP (như ví dụ trên là port 1). Đặt IP tĩnh trên máy tính cùng dải với IP của firewall. Mở trình duyệt web, nhập địa chỉ IP của firewall, đăng nhập với tài khoản mặc định là admin và pass để trống

2. Cấu hình Hostname và Timezone

 

Trên Fortigate Master, vào System > Settings và thay đổi hostname là External-Primary (bước này có thể bỏ qua) và thời gian trên firewall

FORTIGATE

 

3. Cấu hình Interface

 

  • Truy cập vào Network > Interfaces, trước tiên chúng ta cấu hình cổng wan trên firewall.
  • Chọn cổng Wan và ở đây ta sẽ tạo một vlan để đi Internet thông qua cổng Wan này.

FORTIGATE

 

Ở đây chúng ta sẽ cấu hình 1 số mục cần thiết:

  • Role: chọn role là lan
  • Address: mục này sẽ có 3 tùy chọn là Manual, DHCP và PPPoE
    • Manual: trong trường hợp chúng ta có 1 IP tĩnh riêng thì sẽ chọn address là Manual và nhập địa chỉ IP Public vào
    • DHCP: nhận IP từ 1 DHCP server cấp
    • PPPoE: đối với các thuê bao FTTP của nhà cung cấp như viettel, ftp… chúng ta sẽ chọn mục này và nhập username password của nhà cung cấp dịch vụ cấp cho chúng ta
  • Administrative Access: cho phép bật các tính năng trên Interface như http, https (để truy cập vào firewall), ping, ….

Nhấn OK để lưu cấu hình

  • Trên vlan 35 này chúng ta sẽ thực hiện quay số PPPoe, nhập Username và password được cung cấp bởi ISP.

FORTIGATE

 

  • Để cấu hình LACP ta vào Network -> Create new -> Interface, ở mục type chọn 802.3ad Aggregate
  • Interface number: Chọn các port làm LACP.
  • Role: chọn lan
  • Address mode: chọn Manual để đặt IP stastic.
  • Create address object matching subnet: Bật tính năng này lên để tự động tạo subnet trong mục Address giúp tiện lợi trong việc sử dụng hơn.
  • Administrative Access: cho phép bật các tính năng trên Interface như http, https (để truy cập vào firewall), ping, ….

FORTIGATE

 

Để thêm các vlan vào trong LACP ta có thể dùng file script để add cho nhanh hoặc có thể add trực tiếp trên Interface.

FORTIGATE

 

  • Name: Đặt tên cho Vlan
  • Type: Chọn VLAN
  • Interface: Chọn interface LACP mà vừa tạo ở tên
  • Address: Chọn Manual và đặt IP.
  • Create address object matching subnet: Enable tính năng này lên để firewall tự động tạo Subnet trong mục Address giúp nhanh chóng và tiện lợi hơn
  • Administrative access: Chọn các service muốn sử dụng.
  • Device detection: Enable

4. Cấu hình zone

Để cấu hình zone, vào Network -> Interface -> Create new -> chọn Zone

FORTIGATE

 

  • Block intra-zone traffic: tính năng này dùng để chặn các member trong zone có thể giao tiếp được với nhau
  • Interface member: Chọn các member nằm trong các zone khác nhau như zone Server,DMZ,WIFI,..

Chọn OK để hoàn tất cấu hình.

5.Cấu hình Policy trên fortigate cho phép mạng nội bộ truy cập được Internet

 

Truy cập vào Policy & Objects > IPv4 Policy > Create New

Thiết lập Policy cho phép mạng LAN truy cập internet

FORTIGATE

  • Name: đặt tên cho policy để phân biệt với các policy khác
  • Incoming Interface: chọn các zone để cho phép mạng LAN đi ra
  • Outgoing Interface: chọn vlan Internet trên port WAN vừa cấu hình để cho phép mạng LAN đi ra Internet qua cổng Wan1
  • Source: chọn các subnet có trong zone cho phép ra ngoài Internet
  • Destination: chọn ALL
  • Schedule: Always
  • Service: chọn ALL, các mục này ta có thể chọn chỉ cho phép 1 số dịch vụ truy cập internet. Chọn ALL là cho phép tất cả
  • Action: Accept để cho phép ( chọn deny là không cho phép đi ra qua cổng Wan1)
  • Bật tính năng NAT, điều này bắt buộc để mạng LAN có thể ra internet
  • Logging Options: Cho phép ghi lại log các traffic hoặc các gói tin ra vào trong mạng

Chọn OK để lưu cấu hình
Như vậy là mạng chúng ta đã cấu hình cho phép mạng LAN truy cập ra Internet. Để kiểm tra, vào máy tính bất kỳ ping đến 8.8.8.8 thông được là chúng ta đã cấu hình thành công.

 

Tham khảo các ưu đãi: https://www.sieuthimaychu.vn/index.php/Uu_Dai/

Ngoài ta bạn có thể tham khảo thêm 1 số bài viết liên quan tại đây

SSN Tech Solutions – Máy chủ chuyên nghiệp, Giải pháp công nghệ hàng đầu

Liên hệ Bộ phận Kinh doanh và giải pháp công nghệ:

  • Tp.HCM: 344 Huỳnh Tấn Phát, Phường Bình Thuận, Quận 7
  • Tp.HN: Tầng 9, tòa nhà Diamond, Số 2 Hoàng Đạo Thúy, Quận Thanh Xuân

Điện thoại: +84 28 7307 3776 / +84 24 7307 3776
Hotline: 1900 633326
Email: info@sieuthimaychu.vn

  • Công ty TNHH Siêu Siêu Nhỏ

    VĂN PHÒNG PHÍA NAM

    Trung Tâm Kinh Doanh & Bảo Hành:
    344 Huỳnh Tấn Phát, Phường Bình Thuận, Quận 7, TP.HCM
    Điện thoại : (028) 73073776

    VĂN PHÒNG PHÍA BẮC

    Trung Tâm Kinh Doanh & Bảo Hành:
    Tầng 9, toà nhà Diamond (Handico 6), Số 2 Hoàng Đạo Thuý, Trung Hoà Nhân Chính, Quận Thanh Xuân, Hà Nội
    Điện thoại: (024) 73073776