Fortinet [LAB] #5: Cấu hình Layer 2: Triển khai firewall ở chế độ bridge mà không thay đổi cấu trúc mạng.

H

Hải Đăng

Intern
Chào các bạn trên diễn đàn! Hôm nay mình sẽ hướng dẫn cách triển khai firewall ở chế độ bridge (cầu nối) để kiểm tra và lọc lưu lượng mạng mà không cần thay đổi cấu trúc mạng hiện tại.

Mục Lục​

1. Mô Hình​

2. Cấu Hình Bridge Mode​

1. Mô Hình​

Yêu cầu của bài lab:
  • Hiểu về cách hoạt động Bridge mode của Fortinet
  • Biết được cách cấu hình Bridge Mode của Firewall Fortinet
  • Biết được áp dụng của Bridge Mode trong thực tế
1744636191145.png

2. Cấu Hình Bridge Mode​

Cách 1: Chuyển Firewall sang mode transparent
Sử dụng câu lệnh như dưới đây để chuyển trạng thái và cấu hình ip quản lý để có thể truy cập giao diện.
1744573218314.png

1744573345075.png


Mặc định, ở chế độ transparent, FortiGate không cho phép lưu lượng đi qua giữa các cổng trừ khi có chính sách (policy) được cấu hình rõ ràng, kể cả với các lưu lượng đơn giản như ICMP (ping).
Sau khi chuyển mode nhưng vẫn chưa thể ping được từ pc1 tới pc2, do ở chế độ này vẫn cần phải cấu hình policy.

1744574167699.png

Truy cập giao diện thấy Mode đã chuyển thành Transparent
1744573945426.png


Thêm policy cho phép giữa 2 port.
1744574145360.png


Kiểm tra lại bằng cách ping từ pc1.
1744574188938.png


Cách 2: Cấu hình gộp interface với type Software Switch.
Tạo interface mới với các cấu hình như hình dưới.
1744635782732.png

1744635799641.png


Ở cách 2 này Software Switch cho phép các cổng thành viên (port2, port3) hoạt động như các cổng của một switch nội bộ, chuyển tiếp frame giữa chúng mà không cần kiểm tra firewall policy, tương tự như một switch vật lý nên không cần cấu hình policy để 2 thiết bị có thể kết nối được với nhau.
1744635839877.png


Lý do dùng Bridge mode của Fortigate trong thực tế:
  • Triển khai không gián đoạn: Thêm bảo mật mà không thay đổi cấu trúc IP hay định tuyến hiện có.
  • Tích hợp nhanh chóng: Triển khai bảo mật với thời gian ngừng hoạt động tối thiểu và ít rủi ro.
  • Phân đoạn bảo mật: Tạo ranh giới bảo mật giữa các phần khác nhau của mạng mà không cần thay đổi subnet.
  • Kiểm soát lớp 2: Phát hiện và ngăn chặn các mối đe dọa ở lớp 2 như ARP spoofing và MAC flooding.
  • Tương thích với hệ thống kế thừa: Bảo vệ hệ thống cũ không thể thay đổi cấu hình IP.
  • Bảo vệ thiết bị IoT/OT: Bảo mật cho thiết bị không thể cấu hình gateway hoặc tường lửa.
  • Tuân thủ quy định: Đáp ứng yêu cầu phân tách mạng theo tiêu chuẩn (PCI-DSS, HIPAA) mà không cần thay đổi IP.
  • Giám sát trong suốt: Theo dõi lưu lượng mạng mà các thiết bị không nhận biết được sự hiện diện của tường lửa.
Ví dụ:
vlan.png


Trong mô hình mạng trên, ta thấy hai máy tính VPC1 (192.168.1.10) và VPC2 (192.168.1.20) đều nằm trong cùng VLAN10. Khi đó:

Vấn đề với mô hình mạng hiện tại
  • Gói tin giữa các VLAN khác nhau: Khi thiết bị ở các VLAN khác nhau giao tiếp, gói tin bắt buộc phải đi qua FortiGate để định tuyến. Nhờ đó, tường lửa có thể kiểm tra và áp dụng chính sách bảo mật (cho phép/chặn).
  • Gói tin giữa thiết bị cùng VLAN: Khi VPC1 và VPC2 (cùng VLAN10) giao tiếp với nhau, gói tin chỉ đi qua switch và được chuyển tiếp trực tiếp mà không đi qua FortiGate. Hậu quả là:
    • Không thể kiểm tra nội dung gói tin
    • Không thể áp dụng chính sách bảo mật
    • Không thể giám sát lưu lượng
    • Các máy trong cùng VLAN có thể tự do giao tiếp không bị kiểm soát
Giải pháp: Triển khai FortiGate ở chế độ Bridge

Bridge mode cho phép FortiGate hoạt động ở lớp 2 (Layer 2) và có thể được đặt giữa switch và các thiết bị đầu cuối. Khi đó:
  • FortiGate trở thành "bridge transparent" giữa các phân đoạn mạng
  • Không làm thay đổi cấu trúc mạng hoặc phân đoạn VLAN hiện có
  • Tất cả lưu lượng, bao gồm cả lưu lượng cùng VLAN, đều phải đi qua FortiGate
  • Có thể áp dụng chính sách bảo mật, kiểm tra nội dung và giám sát mọi gói tin
Hạn chế của giải pháp
  • Số lượng thiết bị kết nối bị giới hạn bởi số lượng cổng vật lý trên FortiGate
  • Cần có đủ cặp cổng để triển khai bridge cho mỗi phân đoạn mạng cần bảo vệ
  • Có thể tăng độ trễ mạng một chút do thêm một lớp kiểm tra
Bridge mode là giải pháp hiệu quả khi cần giám sát và kiểm soát lưu lượng giữa các thiết bị trong cùng một VLAN mà không muốn thay đổi cấu trúc mạng hiện có.
 
Sửa lần cuối:
Bài viết liên quan
[LAB] #10: HA Active/Active: Triển khai High Availability ở chế độ Active/Active với 2 node. bởi Hải Đăng,
[LAB] #9: SSL VPN: Cấu hình SSL VPN để truy cập an toàn qua trình duyệt web. bởi Hải Đăng,
[LAB] #8: VPN Truy Cập Từ Xa: Thiết lập VPN truy cập từ xa với xác thực hai yếu tố (2FA). bởi Hải Đăng,
[LAB 9] Triển khai High Availability ở chế độ Active/Active với 2 FW Fortinet bởi AnhTuIS,
[LAB] #6: VLAN Tagging: Cấu hình VLAN tagging trên các giao diện để phân chia mạng logic. bởi Hải Đăng,
[LAB 8] Triển khai High Availability ở chế độ Active/Standby với 2 FW Fortinet bởi AnhTuIS,
Bài viết mới
[LAB] #10: HA Active/Active: Triển khai High Availability ở chế độ Active/Active với 2 node. bởi Hải Đăng,
[LAB] #9: SSL VPN: Cấu hình SSL VPN để truy cập an toàn qua trình duyệt web. bởi Hải Đăng,
[LAB] #8: VPN Truy Cập Từ Xa: Thiết lập VPN truy cập từ xa với xác thực hai yếu tố (2FA). bởi Hải Đăng,
[LAB 9] Triển khai High Availability ở chế độ Active/Active với 2 FW Fortinet bởi AnhTuIS,
[LAB] #6: VLAN Tagging: Cấu hình VLAN tagging trên các giao diện để phân chia mạng logic. bởi Hải Đăng,
[LAB 8] Triển khai High Availability ở chế độ Active/Standby với 2 FW Fortinet bởi AnhTuIS,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top