Trong bài này, chúng ta cấu hình Fortinet Security Fabric bao gồm 4 thiết bị FortiGate và 1 thiết bị FortiAnalyzer.
Trong số 4 thiết bị Fortigate, một thiết bị đóng vai trò như một firewall biên của mạng và là root của mô hình Security Fabric, còn các thiết bị khác hoạt động như các firewall nội bộ.
Các thiết bị trong mô hình trên.
- Edge: Là root trong mô hình Security Fabric. Fortigate này tên là Edge vì chỉ có thiết bị này kết nối trực tiếp ra internet. Đóng vai trò như là gateway firewall trong mô hình.
- Accounting: Là 1 firewall nội bộ kết nối đến Edge
- Marketing: Là 1 firewall nội bộ kết nối đến Edge
- Sales: Là 1 firewall nội bộ kết nối đến Marketing
1. Cấu hình firewall Edge;
Như đã đề cập, trong Security Fabric, Edge là một root FortiGate. Thiết bị này nhận thông tin từ các FortiGate khác trong Security Fabric.
Trong bài này, những interfaces trên firewall Edge dưới đây được sử dụng để kết nối với các thiết bị mạng khác
Port 9 kết nối với Internet (interface này được cấu hình khi Edge được cài đặt)
Port 10 kết nối với Accounting (địa chỉ IP : 192.168.10.2)
Port 11 kết nối với Marketing (địa chỉ IP: 192.168.200.2)
Port 16 kết nối với FortiAnalyzer (địa chỉ IP: 192.168.65.2)
- Cấu hình các interface trên firewall Edge:
Ví dụ để cấu hình Port 10:
Vào Network > Interfaces
Alias: Accounting.
Role: LAN
Addressing mode: Manual
IP/Network Mask: Đặt địa chỉ IP cho interface. (trong ví dụ này là 192.168.10.2/255.255.255.0)
Trong mục Administrative Access tick chọn FortiTelemetry để cho phép các thiết bị Fortigate trong mô hình Security Fabric có thể giao tiếp được với nhau.
Lặp lại các bước trên để cấu hình các interface còn lại với địa chỉ IP tương ứng đã cho.
2. Tạo một chính sách trên Edge cho phép lưu lượng từ 2 firewall Accouting và Marketing ra Internet.
Vào Policy & Objects > IPv4 Policy.
Incoming interface: Port 10, Outgoing interface : Port 9
Source, Destination, Service: All
Tick chọn Action là Accept. Bật NAT. Tick chọn Use Outgoing Interface Address.
Tạo thêm 1 policy tương tự như trên để cho phép lưu lượng từ firewall Marketing ra internet. Lưu ý: Incoming Interface: Port 11, và Outgoing Interface: Port 9.
Cho phép thêm nhiều interface trong một policy
Vào System >Feature Select. Trong mục Additional Features, tick bật Multiple Interface Policies
3. Trên Edge tạo một chính sách cho phép Firewall Accounting và Marketing truy cập vào FortiAnalyzer
Vào Policy & Objects > IPv4 Policy
Incoming Interface: Port 10 và Port 11. Outgoing Interface: Port 16.
Source, Destination, Service: All
Tick chọn Action là Accept. Bật NAT. Tick chọn Use Outgoing Interface Address.
Vào Security Fabric > Settings và tick chọn FortiGate Telemetry
Điền Group name và Group password. FortiTelemetry enabled interfaces: Chọn Port 10 và Port 11.
FortiAnalyzer Logging mặc định đã được bật sẵn. IP address: Là địa chỉ IP nội bộ được chỉ định cho Port 4 trên FortiAnalyzer
(Trong ví dụ này: ta đặt là 192.168.65.10). Upload option: Real Time.
Nếu bạn chọn Test Connectivity: Kết quả sẽ báo lỗi vì các thiết bị Fortigate chưa được uỷ quyền trên FortiAnalyzer. Uỷ quyền sẽ được cấu hình ở các bước tiếp sau.
2. Cài đặt firewall Accounting và Marketing:
a. Cài đặt firewall Accounting:
- Khai báo interface Wan1
Vào Network > Interface
Role: Wan. Addressing mode: Manual. IP/Network Mask: Điền địa chỉ IP cùng subnet với Port 10 trên firewall Edge (Trong ví dụ này là 192.168.10.10/255.255.255.0)
Trong mục Administrative Access, tick chọn HTTPS và SSH để cho phép từ trên Edge có thể truy cập và quản lí firewall Accouting bằng interface này
- Cấu hình interface Lan nội bộ.
Vào Network >Interface
Addressing mode: Manual.
IP/Network Mask: Đặt địa chỉ IP nội bộ (Trong ví dụ này là 10.10.10.1/255.255.255.0)
Administrative Access: tick chọn FortiTelemetry
Nếu muốn firewall Accounting cấp địa chỉ IP dùng DHCP cho những thiết bị kết nối đến interface này, tick bật DHCP Server.
Networked Devices: Bật Device Detection
- Thêm default route để định tuyến tất cả lưu lượng ra Internet
Vào Network > Static Routes.
Destination: 0.0.0.0.0/0.0.0.0. Gateway: Điền địa chỉ của Port 10 trên firewall Edge (trong ví dụ này là 192.168.10.2). Interface: Wan1
- Tạo một chính sách cho phép lưu lượng trong mạng nội bộ ra ngoài qua Wan1
Vào Policy & Objects > IPv4 Policy
Incoming Interface: lan. Outgoing Interface: Wan1. Source, Destination, Service: All
Tick chọn Action là Accept. Bật NAT. Tick chọn Use Outgoing Interface Address.
- Thêm firewall Accounting vào trong Security Fabric
Vào Security Fabric > Settings tick chọn FortiGate Telemetry
Group Name và Group password: Điền thông số như đã khai báo trên firewall Edge.
Bật Connect to upstream FortiGate. Fortigate IP: điền IP của Port 10 trên firewall Edge (Trong ví dụ này là 192.168.10.2)
FortiAnalyzer Logging: Mặc định đã được bật sẵn
Kết nối WAN1 trên firewall Accounting đến Port 10 trên firewall Edge
b, Cài đặt Firewall Marketing:
Theo cách tương tự như đã cấu hình firewall Accounting, dưới đây là tóm lược các bước bạn phải đảm bảo hoàn tấ để cấu hình firewall marketing:
Cấu hình Wan1 kết nối đến firewall Edge (địa chỉ IP: 192.168.200.10/255.255.255.0)
Cấu hình interface Lan: (địa chỉ IP: 10.10.200.2/255.255.255.0).
Tạo 1 default route định tuyến lưu lượng tới Port 11 trên firewall Edge.
Tạo 1 chính sách cho phép lưu lượng trong mạng nội bộ ra ngoài qua Wan1.
Thêm firewall Marketing vào trong mô hình Security Fabric.
Nếu bạn đang sử dụng phiên bản FortiOS từ 6.0.3 trở lên, kết nối đến Edge, vào Security Fabric > Settings. Uỷ quyền cho cả hai firewall Accounting và Marketing kết nối vào Security Fabric.
3. Cài đặt firewall Sales:
- Cấu hình interface Lan kết nối tới firewall Sales (trong ví dụ này là Port 12):
Vào Network > Interface.
Role: LAN. Addressing mode: Manual. IP/Network Mask: Đặt địa chỉ IP cho interface (trong ví dụ này là 192.168.135.2/255.255.255.0)
Mục Administrative Access: Tick chọn FortiTelemetry
- Tạo một chính sách cho phép lưu lượng từ firewall Sales ra ngoài qua Wan1 tới Edge:
Vào Policy & Objects > IPv4 Policy. Incoming Interface: Port 12. Outgoing Interface: Wan1. Source, Destination, Service: All
Tick chọn Action là Accept. Bật NAT. Tick chọn Use Outgoing Interface Address.
- Cấu hình Wan2 (port kết nối đến firewall Marketing)
Vào Network > Interfaces .
Role: WAN. Addressing mode: Manual. IP/Network Mask: Điền địa chỉ IP cùng subnet với Port 12 trên firewall Marketing (Trong ví dụ này là 192.168.135.10/255.255.255.0).
Administrative Access: tick chọn HTTP, HTTPS, SSH, PING.
- Cấu hình Interface Lan.
Vào Network > Interfaces
Mục Role: chọn LAN
Role: WAN. Addressing mode: Manual. IP/Network Mask: điền địa chỉ IP quy hoạch cho mạng nội bộ của firewall Sales
(Trong ví dụ này là 10.10.135.1/255.255.255.0)
Trong mục Administrative Access, tick chọn HTTP, HTTPS, SSH, PING, FortiTelemetry
Nếu muốn firewall Accounting cấp địa chỉ IP dùng DHCP cho những thiết bị kết nối đến interface này, tick bật DHCP Server.
Networked Devices: Bật Device Detection
- Tạo một Default route cho phép lưu lượng trong mạng nội bộ ra ngoài qua Wan2
Vào Network > Static route, chọn Create New
Destination: 0.0.0.0.0/0.0.0.0. Gateway: Điền địa chỉ IP trên Port 12 của firewall Marketing (Trong ví dụ này là 192.168.135.2). Interface: chọn Wan2
- Tạo một chính sách cho phép lưu lượng trong mạng nội bộ ra ngoài qua Wan2
Vào Policy & Objects > IPv4 Policy
Incoming Interface: lan. Outgoing Interface: Wan2. Source, Destination, Service: All
Tick chọn Action là Accept. Bật NAT. Tick chọn Use Outgoing Interface Address.
- Thêm firewall Sales vào trong mô hình Security Fabric
Vào Security Fabric > Settings tick chọn FortiGate Telemetry
Group Name và Group password: Điền thông số như đã khai báo trên firewall Edge.
Bật Connect to upstream FortiGate. Fortigate IP: điền IP của Port 12 trên firewall Marketing (rong ví dụ này là 192.168.135.2)
FortiAnalyzer Logging: Mặc định đã được bật sẵn
Kết nối WAN 2 on Sales to Port 14 trên firewall Marketing
Nếu bạn đang sử dụng phiên bản FortiOS từ 6.0.3 trở lên, kết nối đến Edge, vào Security Fabric > Settings. Uỷ quyền cho cả hai firewall Accounting và Marketing kết nối vào Security Fabric.
4. Cấu hình thiết bị FortiAnalyzer
Để FortiAnalyzer có thể sử dụng trong Security Fabric, bạn phải đảm bảo firmware của FortiAnalyzer tương thích với phiên bản FortiOS trên các thiết bị Fortigate.
Cấu hình interface trên FortiAnalyzer kết nối tới firewall Edge (trong ví dụ này là Port 4)
Vào System Settings > Network và chọn All Interfaces.
IP Address/Netmask: điền địa chỉ IP mà bạn đã cấu hình cho firewall Edge (trong ví dụ này là 192.168.65.10/255.255.255.0). Administrative Access: tick chọn HTTPS, HTTP, SSH. Default Gateway: điền địa chỉ IP của port 16 trên Edge (trong ví dụ này là 192.168.65.2)
Vào phần Device Manager. Các thiết bị FortiGate chưa đăng ký được liệt kê
Tick chọn những thiết bị Fortigates cần đăng ký và chọn +Add
Khi kiểm tra lại thì sẽ thấy xuất hiện danh sách các thiết bị Fortigates đã được đăng ký
Sau một lúc, một thông báo cảnh báo xuất hiện cạnh Edge vì FortiAnalyzer cần quyền truy cập quản trị vào thiết bị root Fortigate trong mô hình Security Fabric.
Click đúp vào thông báo đó để nhập thông tin xác thực:
Trên firewall Edge, vào Security Fabric > Settings. FortiAnalyzer Logging để hiện thông tin bộ nhớ - Storage usage
5. Thêm các chính sách bảo mật vào trong Security Fabric.
Security Fabric cho phép bạn chia các chính sách bảo mật cho các thiết bị Fortigate có trong mạng. Điều này sẽ làm giảm tải khối lượng công việc của mỗi thiết bị tránh tạo ra các tắc nghẽn. Ví dụ, bạn có thể thực hiện quét virus trên Edge trong khi các firewall nội bộ áp dụng kiểm soát ứng dụng (Application control) và lọc web (web filtering).
Ví dụ bạn có thể tuỳ chỉnh Application control và Web filtering cho riêng mạng Accounting vì những mạng khác nhau có những yêu cầu khác nhau về kiểm soát ứng dụng và lọc web.
Việc cấu hình như vậy có thể dẫn đến những mối nguy hiểm thông qua Edge do vậy bạn nên hạn chế truy cập vào những kết nối giữa những fortigate trong mạng
Để chỉnh sửa chính sách cho phép lưu lượng đi từ Accounting ra ngoài internet, kết nối đến Edge, vào Policy & Objects > IPv4 Policy.
Dưới mục Security Profiles, tick bật AntiVirus và chọn default profile.
SSL Inspection mặc định được bạt. Chọn deep-inspection profile.
Tạo một chính sách tương tự cho phép lưu lượng đi từ Marketing ra ngoài internet
Để chỉnh sửa chính sách cho phép lưu lượng đi từ Accounting ra ngoài internet, kết nối đến Edge, vào Policy & Objects > IPv4 Policy.
Dưới mục Security Profiles, tick bật Application, Web Filtervà chọn default profile.
SSL Inspection mặc định được bạt. Chọn deep-inspection profile.
Lặp lại các bước trên cho firewall Marketing và Sales.
6. Kết quả
Trên firewall Edge, vào Dashboard >Main. Tiện ích Security Fabric sẽ hiện thiện tên của những thiết bị Fortinet trong mô hình Security Fabric.
Những tiện ích ở hàng ngang phía trên đầu widget cho biết các thiết bị Fortinet khác cũng có thể được sử dụng trong mô hình Security Fabric. Icon màu xanh lam hiển thị các thiết bị được phát hiện trong mạng và các icon màu xám và màu đỏ hiển thị các thiết bị không được tìm thấy trong mạng, nhưng được đề xuất cho mô hình Security Fabric.
Trong Dashboard còn có Security Fabric Score sẽ hiển điểm số hiện thời của mạng.
Nếu Dashboard không có những tiện ích này thì bạn thêm vào bằng cách rê chuột đến bất kỳ phần nào trong Dashboard để xuất hiện nút cài đặt phía dưới cùng bên phải.
Vào Security Fabric > Physical Topology. Trang này hiển thị trực quan các thiết bị Fortinet trong Security Fabric
Vào Security Fabric > Logical Topology. Trang này hiển thị thông tin về các interface trên các thiết bị fortinet kết nối với nhau trong mô hình Security Fabric.
Trên FortiAnalyzer, vào mục Device Manager. Các thiết bị fortigates được hiển thị như một phần của group Security Fabric. Dấu * bên cạnh Edge hiển thị đây là thiết bị root trong mô hình Security Fabric.
Nhấn chuột phải vào group Security Fabric và chọn Fabric Topology sẽ hiển thị mô hình các thiết bị fortigates trong mô hình.