Cấu hình Firewall Fortigate 200A / 200B / 200D / 200E / 200F

I. Mô hình cấu hình:

Đây là mô hình Lab yêu cầu như sau:
- Vùng Users có thể truy cập vào web internal và FTP bằng địa chỉ nội bộ
- Hai server có thể đi internet và sẽ kiểm tra virus, spam trên con Fortigate
- Dùng Nat để Những Users ngoài internet có thể truy cập FTP server và Web Internet bằng địa chỉ 192.168.96.97.

II. Giới thiệu về Firewall Fortigate 200A.

Fortigate 200A gồm:
- 1 màn hình LCD và nút bấm: trên đây ta có thể cấu hình những lệnh cơ bản như IP của những Interface, Restore Defaults.
- 1 port console
- 1 Interface internal: gồm 4 port switch dùng để kết nối vào mạng Lan.
- 2 port DMZ: dùng để kết nối với vùng server Public ra ngoài
- 2 Port Wan: dùng để kết nối với internet

III. Cấu hình Firewall Fortigate:

Chúng ta có thể cấu hình 2 đường : Port console và Web, vì Fortigate phát triển Web console rất mạnh có đầy đủ tất cả cho chúng ta cấu hình nên ở đây ta tập trung cấu hình bằng Web.
Để có thể cấu hình bằng web ta nối dây từ mấy tính vào 1 trong 4 port của Interface Internal. Đặt địa chỉ IP cho mấy tính là 192.168.1.100/24, Gateway 192.168.1.99. Sau truy cập web: http://192.168.1.99 usermane admin password bỏ trống


Đây là giao diện của Web Config.

* Thay đổi Password Admin:
Từ giao diên Web >> system>>Admin>>Change Passsword: đánh vào ô New Password thegioimang.vn>>ok.


* Cấu hình các interface:
Interface Internal: vào System>>network>>Edit interface Internal

Sau đó nhấn vào nút >>Apply>>ok.
* Cấu hình Interface Wan1: vào System>>network>>Edit interface Wan1. Để không cho từ internet Ping vào interface này nên Uncheck Ping.

Sau đó nhấn vào Apply>>Ok.

* Cấu hình để những server trong vùng Lan có thể truy cập internet
Từ Web config vào firewall>>Policy>>Create New

Soure: chọn interface internal
Destination: Wan1
Service: do chỉ cho HTTP, HTTPS nên ta nhấn vào multiple rồi chọn hai giao thức đó.
Nat: để những server bên trong mạng Lan khi ra internet sẽ Nat thành địa chỉ của Wan1.

* Cấu hình để Vùng Users truy cập vào những server của Vùng Lan:
Từ Web config vào firewall >> Policy >> Create New

Vì để phân biệt vùng Users và vùng internet nên tao phải tạo ra vùng Users để có thể cấu hình.

Ta vào Firewall>>Address>>Create New

Address Name: đặt tên cho vùng
Type: subnet hay một địa chi
Interface: Interface kết nối với vùng địa chỉ này ( vùng Users kết nối với fortigate bằng interface Wan1).
Sau đó nhấn nút OK.

Bây giờ ta mới tạo Policy cho vùng Users vào vùng server
Firewall>>Policy>>Create New.


Source: interface mà kết nối với vùng được truy cập vào trong server
Address Name: chọn vùng mà được truy cập vào server (vùng Users ta đã tạo ở trên).
Destination: interface mà kết nối với vùng server được truy cập
Protection Profile: chọn scan cho kiểm tra virus.

*Nat để internet có thể truy cập vào vùng server bên trong theo địa chỉ IP 192.168.96.97.

Để có thể Nat vào bên trong ta phải làm 2 bước:
- Virtual IP: cấu hình Nat địa chỉ server thành địa chỉ IP: 192.168.96.97
Vào Firewall>>Virtual>>Virtual IP>>Create New.


- Tạo Policy: tao policy cho những Users internet truy cập Web internal bằng địa chỉ 192.168.96.97


* Đăng ký License: để có thể Update anti-virus, spam v…v.. cần phải lên trang Web để đăng ký http://support.fortinet.com


Vào Product Registration rồi làm theo những bước chỉ dẫn.
Khi đăng ký xong vào system>>maintenance>>FortiGuardCenter
Kiểm tra và điều chỉnh các tham số cho phù hợp nếu cần.


Các bước cấu hình cơ bản Firewall Fortigate 200A đã hoàn tất.
Bạn có thể thực hiện cấu hình tương tự (chỉ khác nhau về giao diện, còn nguyên lý hoạt động là như nhau) cho các dòng Firewall Fortigate mới hơn sau này như Fortigate-200F

Chúc các bạn thực hiện thành công.