Trong ví dụ này, chúng ta sẽ kết nối và cấu hình thiết bị ở mode hoạt động NAT/Route để bảo vệ cho các kết nối mạng riêng ra Internet.
Ở chế độ NAT, chúng ta sẽ cài đặt thiết bị tường lửa FortiGate như một gateway hoặc như một router giữa hai mạng khác nhau. Thông thường, chúng ta sẽ đặt thiết bị vào giữa mạng riêng và mạng Internet để Fortigate giấu địa chỉ IP của mạng riêng đang sử dụng NAT.
Mode NAT/route được cung cấp trên tất cả các Firmware OS của FortiGate
1. Kết nối các thiết bị mạng
Kết nối thiết bị FortiGate với thiết bị ISP có thể kết nối vào cổng WAN hoặc WAN1 của thiết bị tùy theo thiết bị của bạn
Kết nối PC với thiết bị Fortigate sử dụng Internal port (ví dụ như port 3)
Bật nguồn cả ba thiết bị: ISP, Fortigate , PC trong mạng nội bộ
Sử dụng PC để kết nối FortiGate GUI, sử dụng FortiExplorer hoặc trình duyệt Internet.
Đăng nhập vào thiết bị sử dụng tài khoản “admin” và không nhập pass
2. Cấu hình các interface
Để chỉnh sửa cấu hình trên giao diện của thiết bị, vào Network > Interfaces. Đặt Estimated Bandwidth cho interface dựa vào kết nối Internet. Đặt Role của giao diện là WAN.
Để lựa chọn cấu hình Addressing mode bạn cần kiểm tra xem nhà cung cấp dịch vụ Internet của bạn cấp cho bạn một địa chỉ IP hay thiết bị ISP của bạn sử dụng DHCP để chỉ định địa chỉ IP:
- Nếu bạn được cấp địa chỉ IP tĩnh thì trong mục Addressing mode chọn Manual và cấu hình địa chỉ IP/Network Mask.
- Nếu thiết bị ISP của bạn sử dụng DHCP để chỉ định địa chỉ IP thì cấu hình Addressing mode là DHCP để cho phép thiết bị chỉ định 1 địa chỉ IP cho Wan1
Để chỉnh sửa cấu hình giao diện LAN, đối với một số dòng FortiGate còn được gọi là Internal:
Đặt Role là LAN.
Đặt Addressing mode là Manual và cài đặt địa chỉ IP/Network Mask là địa chỉ mà bạn muốn sử dụng cho FortiGate
Nếu bạn muốn cung cấp địa chỉ IP cho các thiết bị trong mạng nội bộ của bạn thì bạn có thể sử dụng cấu hình DHCP Server
3. Thêm default route
Để tạo một Default route chọn Network >Static Routes. Thông thường, bạn chỉ có một route mặc định. Nếu trong danh sách route tĩnh có một route mặc định, bạn có quyền chỉnh sửa, thêm hoặc xoá một route.
Đặt Destination là Subnet và cấu hình 0.0.0.0/0.0.0.0
Đặt Gateway là địa chỉ IP mà nhà cung cấp Internet cung cấp cho bạn và chọn Interface mà bạn sử dụng để kết nối Internet
4. Cấu hình địa chỉ DNS server (Tuỳ chọn)
Mặc định thiết bị FortiGate được cấu hình để trỏ tới địa chỉ IP của FortiGuard Servers, thường là đủ cho các mạng.
Để thay đổi DNS servers, vào Network > DNS, chọn Specify, và thêm địa chỉ IP của server DNS Primary và Secondary
5. Tạo một policy
Để tạo một chính sách mới, vào Policy & Objects > IPv4Policy.
Trong ví dụ này, đặt tên cho policy là Internet để chỉ rõ policy này dùng cho traffic ra Internet
Đặt Incoming Interface là lan và Outgoing Interface là wan1. Đặt Source Destination Address, Schedule và Services theo yêu cầu.
Đảm bảo rằng trong mục Action của chính sách đang được cấu hình là ACCEPT.
Bật NAT cho chính sách và lựa chọn mục Use Outgoing Interface Address
Kéo xuống để thấy mục Logging Options. Để sau này xem lại lưu lượng đi qua chính sách, bật Log Allowed Traffic và lựa chọn All Sessions
6. Kết quả
Để xem thông tin về lưu lượng, vào FortiView > Traffic from LAN/DMZ > Sources. Thông tin về PC sẽ xuất hiện trong danh sách các địa chỉ nguồn (Source).
Để có thêm thông tin về lưu lượng từ PC, click chuột phải vào mục nhập cho PC và chọn Drill Down to Details.
Nếu thiết bị FortiGate của bạn có ổ cứng lưu trữ log và tính năng lưu trữ log trên ổ cứng lưu trữ đã được bật, một danh sách xổ xuống ở góc trên cùng cho phép bạn xem thông tin ghi nhật ký lịch sử trong 5 phút, 1 giờ hoặc 24 giờ trước đó.