Thanh Phương
Intern
Object và Security Policy là các thành phần cốt lõi trong việc kiểm soát và bảo vệ lưu lượng trên NGFW FortiGate. Việc xây dựng các đối tượng như địa chỉ, dịch vụ và nhóm đối tượng giúp đơn giản hóa quá trình cấu hình và quản lý chính sách bảo mật. Trên cơ sở đó, các Security Policy được thiết lập nhằm cho phép hoặc ngăn chặn lưu lượng theo yêu cầu, đảm bảo an toàn và tuân thủ chính sách mạng.
Mục lục
1. Cấu hình Address Object
2. Cấu hình Security Policy
3. Kiểm tra và kết luận
1. Cấu hình Address Object
Đây là bước định nghĩa "Ai" sẽ được áp dụng chính sách. Thay vì gõ IP thủ công vào Policy, ta tạo vật thể (Object) để dễ quản lý.
\
-Sau khi xong ta được 1 Object mới
2. Cấu hình Security Policy
Đây là bước tạo "luật" để cho phép hoặc chặn lưu lượng di chuyển giữa các vùng mạng.
Ta sẽ được 1 policy mới khi nhấn OK
3. Kiểm tra và kết luận
Ta thử lên máy trong LAN truy cập vào Youtube
Quay lại giao diện FortiGate, vào Log & Report > Forward Traffic, ta thấy được đã có log khi thiết bị kết nối ra internet
-Kết luận:
Sau khi hoàn thành bài Lab cấu hình Object và Security Policy trên FortiGate, chúng ta rút ra được các điểm mấu chốt sau:
Mục lục
1. Cấu hình Address Object
2. Cấu hình Security Policy
3. Kiểm tra và kết luận
1. Cấu hình Address Object
Đây là bước định nghĩa "Ai" sẽ được áp dụng chính sách. Thay vì gõ IP thủ công vào Policy, ta tạo vật thể (Object) để dễ quản lý.
- Truy cập Policy & Objects > Addresses.
- Nhấn Create New > Address.
- Name: Nhập LAN_SUBNET (hoặc tên tùy ý dễ nhớ).
- Type: Chọn Subnet.
- IP/Netmask: Nhập dải mạng (Ví dụ: 10.10.10.0/24).
- Interface: Chọn cổng nối với LAN
- Nhấn OK
-Sau khi xong ta được 1 Object mới
2. Cấu hình Security Policy
Đây là bước tạo "luật" để cho phép hoặc chặn lưu lượng di chuyển giữa các vùng mạng.
- Truy cập Policy & Objects > Firewall Policy.
- Nhấn Create New.
- Name: Nhập Allow_LAN_to_Internet.
- Incoming Interface: Chọn cổng LAN (ví dụ: port2).
- Outgoing Interface: Chọn cổng WAN (ví dụ: port1).
- Source: Chọn Object LAN_SUBNET vừa tạo ở Bước 1.
- Destination: Chọn all (nghĩa là đi tới bất kỳ đâu trên Internet).
- Service: Chọn ALL (hoặc lọc cụ thể DNS, HTTP, HTTPS tùy yêu cầu).
- Action: Đảm bảo là Accept.
- NAT: Gạt thanh gạt sang ON (để IP nội bộ thấy được Internet).
- Nhấn OK.
Ta sẽ được 1 policy mới khi nhấn OK
3. Kiểm tra và kết luận
Ta thử lên máy trong LAN truy cập vào Youtube
Quay lại giao diện FortiGate, vào Log & Report > Forward Traffic, ta thấy được đã có log khi thiết bị kết nối ra internet
-Kết luận:
Sau khi hoàn thành bài Lab cấu hình Object và Security Policy trên FortiGate, chúng ta rút ra được các điểm mấu chốt sau:
- Tầm quan trọng của Object: Việc quản lý địa chỉ thông qua Object giúp cấu hình tường lửa trở nên khoa học, dễ quản lý và giảm thiểu sai sót khi mở rộng hệ thống.
- Vai trò của Security Policy: Chính sách bảo mật là thành phần cốt lõi quyết định tính an toàn của mạng. Một Policy đúng cần đảm bảo chính xác về Source, Destination và Service.
- Cơ chế NAT & Logging: Việc bật NAT giúp máy nội bộ ra được Internet, trong khi Logging là "tai mắt" của người làm bảo mật, giúp giám sát và xử lý sự cố kịp thời qua các bản ghi traffic.
- Kết quả: Hệ thống đã hoạt động đúng thiết kế, máy Linux trong vùng LAN truy cập Internet ổn định và mọi lưu lượng đều được Firewall kiểm soát, ghi nhật ký đầy đủ.
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới