kevink
Intern
- Trong môi trường mạng doanh nghiệp, firewall là lớp bảo vệ quan trọng giúp kiểm soát lưu lượng ra vào, đảm bảo an toàn trước các mối đe dọa từ bên ngoài. Để firewall hoạt động hiệu quả, việc triển khai và cấu hình các thông tin cơ bản như hostname, DNS, NTP và triển khai các policy là những bước đầu chúng ta nên ưu tiên thực hiện.
Mục lục
Mục lục
- Mô hình mạng
- Cấu hình các thông tin cơ bản của Firewall
- Cấu hình DNAT ( Destination Network Address Translation )
1. Mô hình mạng
- Ta có thể thấy được tường lửa đang được nối với 2 port ( port 1 và port 2 )
- Port 1 đang được kết nối với internet và set mode DHCP để tự lấy IP động.
- Port 2 đang nối đến Winserver và có cấu hình địa chỉ IP là 192.168.1.99 ( đây là địa chỉ IP để cấu hình bằng giao diện GUI cho firewall )
- Máy Winserver mình cấu hình địa chỉ IP là 192.168.1.10 và có Gateway là 192.168.1.99
2. Cấu hình các thông tin cơ bản của Firewall
- Cấu hình hostname: Ta có thể vào System/Settings để cấu hình hostname ( đặt tên theo cách mà mình mong muốn ) ví dụ ở hình ở dưới mình muốn Firewall của mình có tên là Tintin thì mình đã đổi hostname từ mặc định sang thành Tintin.
- Cấu hình DNS: Ở đây mình đã cấu hình DNS thành DNS của Google sau đó nhấn nút Apply
- Cấu hình NTP vì NTP luôn mặc định của Fortiguard Server nên các bạn phải lưu ý về time zone ( NTP đồng bộ thời gian cho FortiGate, rất quan trọng để log và chứng chỉ hoạt động chính xác)
- Ta thiết lập cấu hình static route là IP Gateway của port WAN Firewall ( ở đây mình để Dynamic cho thiết bị tự điền cho mình hoặc mình cũng có thể dùng lệnh "get router info routing-table all" để tìm IP gateway của Firewall, Destination mình để 0.0.0.0/0.0.0.0 và Interface chọn port1 )
- Để máy Winserver trong mạng LAN có thể truy cập được Internet thì chúng ta phải tạo một policy để cho phép điều đó xảy
- Incoming interface ta để là port 2 và ta để outcoming là port 1, để Source là ALL và Destination là ALL.
- Nhớ lưu ý bật NAT hay còn được gọi là kỹ thuật SNAT để đổi các IP nguồn trong các máy thuộc mạng LAN để các máy đó có thể truy cập được Internet
- Hình bên dưới là hình ảnh của máy Winserver thuộc trong mạng LAN đã có thể truy cập được tới trang báo vnexpress tức là đã vào được Internet
3. Cấu hình DNAT
- Trước tiên ta cần chuẩn bị một máy chủ IIS ( các bạn có thể tham khảo các kênh youtube để chuẩn bị máy IIS cũng khá dễ hiểu để làm theo nhó ). Dưới đây là hình ảnh của Internet Information Services ( IIS ) Manager
- Tiếp theo ta tiến hành dùng phương pháp DNAT để NAT WebServer ra ngoài Internet thông qua IP public của Firewall Fortigate để người dung bên ngoài có thể truy cập được Web Server trong mạng LAN bằng IP public của Firewall.
- Đầu tiên, ta cần khởi tạo 1 IPv4 Virtual IP để NAT Port 80 của WAN thành Port 80 của WebServer. Tại menu, ta chọn Policy & Objects Virtual Ips Create New
- Ta để Destination là đến WebServer và incoming interface là port 1 và outcoming interface là port 2
- Đứng từ máy ngoài mạng WAN có IP động được internet cấp cho đã truy cập được đến Webserver của máy server bằng địa chỉ IP public của Firewall
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới