Fortinet [Lab 2] Cấu hình Policy cơ bản trên Firewall Fortinet

AnhTuIS

Intern

Thiết kế mô hình FW, Cấu hình Policy cơ bản trên Firewall Fortinet, Cấu hình VLAN tagging​


- Tiếp tục với bài viết [LAB 1] Triển khai Firewall và cấu hình các thông tin cơ bản: hostname, DNS, NTP,...

- Trong hệ thống bảo mật mạng, Firewall Policy đóng vai trò quan trọng trong việc kiểm soát luồng dữ liệu ra vào giữa các vùng mạng. Trên firewall Fortinet, các chính sách này giúp quản trị viên xác định các quy tắc cho phép hoặc chặn lưu lượng giữa các mạng nội bộ và Internet, đảm bảo an toàn và tối ưu hiệu suất.

- Bài viết này sẽ hướng dẫn cách cấu hình Policy cơ bản trên Firewall Fortinet, bao gồm việc tạo quy tắc cho phép truy cập Internet, kiểm soát lưu lượng giữa các VLAN, và áp dụng các dịch vụ bảo mật như lọc web.

Mục lục




I. Mô hình và cấu hình firewall

- Mô hình được sử dụng ở lab này ở hình dưới đây
1743649690726.png


Mô tả topology

Fortinet (FortiGate Firewall)
  • port1: Kết nối WAN (Internet), subnet 10.120.170.0/24.
    • IP của port1: 10.120.170.7/24 .
  • port2: Kết nối Switch_User (LAN), hỗ trợ các VLAN:
    • VLAN 1 (Staff): 192.168.1.0/24, IP sub-interface: 192.168.1.1/24.
    • VLAN 2 (Admin): 192.168.2.0/24, IP sub-interface: 192.168.2.1/24.
    • VLAN 3 (SSH_Demo): 192.168.3.0/24, IP sub-interface: 192.168.3.1/24.
  • port3: Kết nối Switch_NOC (VLAN 200), subnet 192.168.200.0/24.
    • IP của port3: 192.168.200.1/24.
  • port4: Kết nối Switch_DMZ (DMZ), subnet 192.168.100.0/24.
    • IP của port4: 192.168.100.1/24.
  • port5: Kết nối máy tính cấu hình Firewall.
Switch_User (LAN)
  • Hỗ trợ VLAN 1 (Staff), VLAN 2 (Admin), VLAN 3 (SSH_Demo).
  • Kết nối với port2 trên FortiGate.
  • Các thiết bị kết nối:
    • Máy trạm Staff: VLAN 1, IP 192.168.1.x.
    • Máy trạm Admin: VLAN 2, IP 192.168.2.x.
    • Máy trạm SSH_Demo: VLAN 3, IP 192.168.3.x.
Switch_NOC
  • Hỗ trợ VLAN 200 (NOC Management).
  • Kết nối với port3 trên FortiGate.
  • Các thiết bị kết nối:
    • NOC_Management: VLAN 200, IP 192.168.200.x.
Switch_DMZ
  • Hỗ trợ VLAN 100 (DMZ).
  • Kết nối với port4 trên FortiGate.
  • Các thiết bị kết nối:
    • Server trong DMZ: VLAN 100, IP 192.168.100.x.
Yêu cầu:
  • Cấu hình các interface vlan
  • Cho phép admin, staff ra internet
  • Cho phép admin vào web server
  • Chặn staff vào web server
  • Chặn server ra internet
  • Cho phép admin SSH vào SSH_DEMO
  • Chặn staff SSH vào SSH_DEMO
Cấu hình:

- Cấu hình Interface VLAN trên FortiGate

  • Vào Network -> Interfaces.
  • Tạo VLAN sub-interface:
  • Nhấn "Create New" > "Interface".
  • Name: VLAN_Staff
  • Type: VLAN
  • Interface: port2
  • VLAN ID: 10
  • IP/Netmask: 192.168.1.1/24
  • Role: LAN
  • Bật DHCP (nếu muốn)
1743678777102.png

- Tương tự cho các Vlan còn lại

Kết quả
1743679054379.png


- Cấu hình Firewall Policy

* Cho phép Staff , SSH_Demo, Admin ra Internet
1743738404078.png


- Tương tự với Admin và SSH_Demo

* Chặn Staff truy cập Web Server (hiện tại nếu không có policy gì thì sẽ không thể ping được từ vlan 10 qua vlan 100)
Nếu muốn viết policy
1743738889932.png


* Cho phép admin vào web server
1743738933817.png


*Chặn server ra internet (Nếu không có policy gì thì nó sẽ không được ra)
Nếu bạn muốn viết thêm
1743739180621.png


* Cho phép admin SSH vào SSH_DEMO
1743739260619.png


- Tương tự nếu muốn Chặn staff SSH vào SSH_DEMO thì đổi thành deny (mặc định nếu không có policy là chặn)

- Kiểm tra

* Staff, Admin SSH ra internet
1743739699511.png


* Admin vào DMZ
1743739767826.png


* Admin SSH vào SSH_Demo
1743740791517.png



II. Kết luận


- Qua bài lab này, bạn đã nắm được cách cấu hình chính sách firewall cơ bản trên thiết bị Fortinet, từ việc tạo rule cho phép truy cập Internet, đến kiểm soát lưu lượng giữa các vùng mạng. Việc xây dựng và áp dụng các policy hợp lý không chỉ giúp tăng cường bảo mật hệ thống, mà còn góp phần đảm bảo hoạt động mạng ổn định và hiệu quả. Đây là nền tảng quan trọng để bạn tiếp tục khám phá và triển khai các tính năng nâng cao của firewall trong các môi trường thực tế.
 
Sửa lần cuối:
Cho mình hỏi tính năng Inspection Mode này là để làm gì vậy ạ?
View attachment 8477
Cảm ơn câu hỏi của chị.
Inspection Mode trên FortiGate quyết định cách kiểm tra lưu lượng mạng:
Có 2 tùy chọn là
  • Flow-based: Kiểm tra từng gói dữ liệu khi đi qua, chỉ giữ gói cuối để ra quyết định, nếu phát hiện nguy hiểm thì gửi RST ngắt kết nối ngay.
  • Proxy-based: Giữ toàn bộ dữ liệu để quét sâu và chặn ngay nếu phát hiện vi phạm.
 
Sửa lần cuối:
Back
Top