Fortinet [Lab 4] Triển khai firewall Fortinet ở chế độ bridge.

AnhTuIS

AnhTuIS

Intern

Cấu hình Layer 2: Triển khai firewall ở chế độ bridge.​


- Trong nhiều hệ thống mạng hiện hữu, việc thay đổi cấu trúc địa chỉ IP hoặc thiết kế lại mô hình mạng là điều không dễ dàng và có thể gây gián đoạn dịch vụ. Để tăng cường bảo mật mà không ảnh hưởng đến cấu trúc mạng hiện tại, giải pháp triển khai firewall ở chế độ Layer 2 (bridge mode) là một lựa chọn hiệu quả.


- Ở chế độ này, firewall hoạt động như một thiết bị cầu nối trong suốt, cho phép luồng dữ liệu đi qua mà không cần thay đổi địa chỉ IP hay thiết lập định tuyến. Bài Lab này sẽ hướng dẫn bạn cách cấu hình firewall ở chế độ Layer 2, giúp triển khai tường lửa vào mạng một cách minh bạch, dễ dàng và không gián đoạn.

Mục lục:

I. Mô hình và cách cấu hình​

- Với bài thực hành này, chúng ta sẽ triển khai FW dưới dạng giống như 1 con SW layer 2. Mô hình như sau

1744186676444.png


- Mô tả topology
  • Firewall Fortinet:
    • Port1: Kết nối với máy tính cấu hình FW
    • Port2: Kết nối VPC1 (192.168.1.1)
    • Port3: Kết nối VPC1 (192.168.1.2)
    • Port4: Kết nối VPC1 (192.168.1.3)
- Cấu hình:

- Có 2 cách cấu hình Bridge

*Cách 1: Transparent theo cổng (Tạo Software switch kết nối các port với nhau)

- FW:

- Vào Network > Interfaces > Create New > Interface
  • Name: Bridge_Port
  • Type: Software Switch
  • Interface Member: port2, port3, port4
  • Nhấn OK

- Kết quả
1744187245705.png


- Ping từ VPC3 qua VPC1
1744187272883.png


*Cách 2: Transparent toàn thiết bị (Chuyển FortiGate sang chế độ Transparent Mode)

- Chuyển FW thành chế độ Transparent
Mã: 
FortiGate-VM64-KVM # config system settings
FortiGate-VM64-KVM (settings) # set opmode transparent
FortiGate-VM64-KVM (settings) # set manageip 192.168.201.1 255.255.255.0
FortiGate-VM64-KVM (settings) # end

- Ở mode này FortiGate sẽ chuyển tiếp lưu lượng giữa tất cả các cổng như một switch.

1744187494553.png


- Nếu bạn muốn tách biệt các mạng thì phải cấu hình VLAN và gán VLAN vào cổng
- Ở đây mình không đề cập nhiều tới VLAN

* Nếu không có policy các VPC không thể kết nối với nhau
1744187903535.png


- Cấu hình policy để các cổng giao tiếp được với nhau
1744187937490.png

1744187974473.png


Kiểm tra kết nối:

1744187987791.png


II. Kết luận​

- Triển khai firewall ở chế độ Layer 2 (bridge mode) là một giải pháp hiệu quả giúp tăng cường bảo mật cho hệ thống mạng mà không làm gián đoạn hoạt động hiện tại. Bằng cách cấu hình firewall như một thiết bị cầu nối trong suốt, chúng ta có thể kiểm soát và lọc lưu lượng giữa các vùng mạng mà không cần thay đổi địa chỉ IP hay kiến trúc hệ thống.

- Qua bài Lab này, bạn đã nắm được cách triển khai và cấu hình firewall hoạt động ở Layer 2, cũng như hiểu rõ hơn về ứng dụng thực tiễn của chế độ này trong các môi trường yêu cầu tính ổn định và liên tục cao. Đây là bước đệm quan trọng trong việc tích hợp firewall vào hệ thống mạng một cách linh hoạt và an toàn.
 
Sửa lần cuối:
Bài viết liên quan
[LAB] #10: HA Active/Active: Triển khai High Availability ở chế độ Active/Active với 2 node. bởi Hải Đăng,
[LAB] #9: SSL VPN: Cấu hình SSL VPN để truy cập an toàn qua trình duyệt web. bởi Hải Đăng,
[LAB] #8: VPN Truy Cập Từ Xa: Thiết lập VPN truy cập từ xa với xác thực hai yếu tố (2FA). bởi Hải Đăng,
[LAB 9] Triển khai High Availability ở chế độ Active/Active với 2 FW Fortinet bởi AnhTuIS,
[LAB] #6: VLAN Tagging: Cấu hình VLAN tagging trên các giao diện để phân chia mạng logic. bởi Hải Đăng,
[LAB 8] Triển khai High Availability ở chế độ Active/Standby với 2 FW Fortinet bởi AnhTuIS,
Bài viết mới
[LAB] #10: HA Active/Active: Triển khai High Availability ở chế độ Active/Active với 2 node. bởi Hải Đăng,
[LAB] #9: SSL VPN: Cấu hình SSL VPN để truy cập an toàn qua trình duyệt web. bởi Hải Đăng,
[LAB] #8: VPN Truy Cập Từ Xa: Thiết lập VPN truy cập từ xa với xác thực hai yếu tố (2FA). bởi Hải Đăng,
[LAB 9] Triển khai High Availability ở chế độ Active/Active với 2 FW Fortinet bởi AnhTuIS,
[LAB] #6: VLAN Tagging: Cấu hình VLAN tagging trên các giao diện để phân chia mạng logic. bởi Hải Đăng,
[LAB 8] Triển khai High Availability ở chế độ Active/Standby với 2 FW Fortinet bởi AnhTuIS,
Cho mình hỏi trường hợp cấu hình Bridge như vậy thì khi gói tin đi qua có bị trừ đi thông số TTL hay không? Và khi tạo policy thì chúng ta có cấu hình được việc chặn dựa trên ứng dụng hoặc địa chỉ IP của gói tin không hay gói tin hoàn toàn trong suốt khi đi qua các cổng được cấu hình mode Bridge này của Forti?
 
HanaLink nói:
Cho mình hỏi trường hợp cấu hình Bridge như vậy thì khi gói tin đi qua có bị trừ đi thông số TTL hay không? Và khi tạo policy thì chúng ta có cấu hình được việc chặn dựa trên ứng dụng hoặc địa chỉ IP của gói tin không hay gói tin hoàn toàn trong suốt khi đi qua các cổng được cấu hình mode Bridge này của Forti?
Nhấn để mở rộng...
Cảm ơn câu hỏi của chị.
- Khi cấu hình chế độ Bridge (Transparent Mode) trên FortiGate, gói tin đi qua các cổng sẽ không bị thay đổi thông số TTL. Firewall hoạt động như một thiết bị cầu nối trong suốt, không can thiệp vào các thông số của gói tin
- Về việc tạo policy, hoàn toàn có thể cấu hình để chặn hoặc kiểm soát lưu lượng dựa trên ứng dụng hoặc địa chỉ IP của gói tin.
 
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top