Skip to main content

Giả lập Firewall Fortigate trên VMware Phần 1

27,October 2016
Giả lập Firewall Fortigate trên VMware

Nhận thức được tầm quan trọng trong việc bảo mật thông tin, dữ liệu của tổ chức, cá nhân, doanh nghiệp. Ngày nay hệ thống doanh nghiệp hầu hết đều trang bị những thiết bị giúp thông tin, dữ liệu được bảo mật tốt hơn. Firewall ra đời giúp kiểm soát luồng thông tin từ giữa Intranet và Internet tốt hơn và thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong ( Intranet ) và mạng Internet . 

+ Mời các bạn cùng itlabvn.net tìm hiểu về cách giả lập và cấu hình Firewall Fortigate trên VMware 

I. Cài đặt và thiết lập cơ bản  

+ Để giả lập Fortigate firewall trên VMware . Đầu tiên các bạn download và cài đặt VMware Workstation & Fortigate VM tại địa chỉ 

    http://www.mediafire.com/file/h3ntncwjwvqbn4s/VMware-workstation-11.rar
    http://www.mediafire.com/file/xj03jm4l7xqiggv/FortiGate-VM64.rar

+ Các bạn import Fortigate VM vào máy ảo VMware bằng cách chọn chuột phải vào file FortiGate-VM64.ovf -> open with ( chọn VMware workstation ) -> Browse thư mục lưu import Fortigate VM -> click Import -> chọn Accept 

import fortigate vm into vmware

+ Sau khi import Fortigate VM thành công, mặc định sẽ có 10 card mạng. Chúng ta sẽ chỉ sử dụng 3 Card mạng đầu tiên cho mô hình lab

    

Network Adapter 1 ( Bridged ) = WAN
Network Adapter 2 ( VMnet 1 ) = LAN
Network Adapter 3 ( VMnet 2 ) = DMZ

network adapter configuration
+ Đăng nhập Fortigate bằng tài khoản mặc định : user: admin / password để trống 

+ Sử dụng câu lệnh " get system interface physical " để hiển thị các thông tin trên interface 

Fortigate show interface card

+ Cấu hình IP address cho cổng LAN (Port 2 - VMnet1) địa chỉ 192.168.1.10 bằng các dòng lệnh sau

config system interface: //Vào chế độ cấu hình thông số cho cổng mạng
edit port1: //Tùy chỉnh thông số cho cổng WAN (Port 1)
set ip x.x.x.x y.y.y.y: //Thiết lập địa chỉ IP và Subnet Mask cho Port 1
set allowaccess http https ssh ping telnet: //Cho phép truy cập các dịch vụ
next: //Thực thi các thiết lập và lưu cấu hình
end: //Thoát

network adapter configuration

+ Đăng nhập vào giao diện quản trị của Fortigate qua Port2 vừa thiết lập IP 192.168.1.10 với tài khoản admin và password để trống.

giao dien admin fortigate

+ Mặc định fortigate vm cho phép dùng thử 15 ngày. Để giải quyết vấn đề license. sau khi dùng thử 15 ngày các bạn vào BIOS setup và thay đổi "System Date" về ngày trước ngày hiện tại. Fortigate VM của bạn sẽ tiếp tục được dùng thử 

change system date bios

expand license fortigate vm

+ Sau khi login admin trên trình duyệt web. Chúng ta tiếp tục chỉnh thông số card mạng còn lại. Vào System-->Network-->Interfaces và click đúp chuột vào Port để tùy chỉnh các thông số.

config network card LAN WAN DMZ

+ Để Firewall Fortigate kết nối được ra ngoài Internet chúng ta cần thiết lập Default Route cho Fortigate vào "Router--> Static Routes--> Create New"

configuration default gate way for Fortigate VM

+ Kiểm tra kết nối từ Firewall Fortigate tới Internet vào "System-->Status" tại cửa sổ CLI Console nhập lệnh execute ping 8.8.8.8

checking default gw fortigate vm

+ Tới đây chúng ta đã thực hiện xong phần cấu hình cơ bản cho bài lab . Ở phần tiếp theo chúng ta sẽ đi vào cấu hình chi tiết 

II. Cấu hình chi tiết

1. Cho phép các máy tính trong mạng LAN kết nối ra internet qua Fortigate Firewall sử dụng NAT/Route mode 

+ Fortigate đóng vai trò là gateway hay router giữa mạng LAN và Internet, Fortigate ở mode NAT/Route sẽ ẩn địa chỉ Private IP trong khi vân cho phép người dùng trong mạng LAN có thể kết nối Internet

nat/route mode

 

Policy--> Create New ( chọn Incoming Interface = Port2 ( LAN ) và Outgoing Interface = Port1 ( WAN ).  Phần Source Address, Destination Address & Service = All ) -> ok 

+ Phải Click vào ô Enable NAT

Policy allow LAN connect to Internet

+ Kiểm tra : Bật Window VMware , card mạng VMnet1 & default gateway = LAN's Fortigate VM address 192.168.1.10  -> ping 8.8.8.8  ( success = cấu hình đúng ) 

+ Vào Policy -> Monitor -> Policy Monitor ( để xem thông tin về sessions đang được xử lý bởi Fortigate VM )

Policy Monitor

2. Cho phép các máy tính trong mạng LAN kết nối ra internet qua Fortigate Firewall sử dụng Transparent mode 

+ Transparent mode cho phép thiết lập mạng an toàn mà không cần thay thế router (đóng vai trò là gateway). Fortigate block truy cập từ Internet vào mạng nội bộ (LAN) nhưng vẫn cho phép người dùng trong mạng LAN truy cập internet. Fortigate sẽ giám sat các dịch vụ, kiểm tra phát hiện và loại bỏ viruses. Sau khi chuyển đổi thì Fortigate sẽ kiểm soát traffic mà không cần phải cấu hình Nat hoặc Routing, nên ta có thể thêm Fortigate vào hệ thống mạng có sẳn mà không làm thay đổi cấu hình của mạng.

Transparent Mode Fortigate

+ Bước 1: Change mode: System > Dashboard > Status > System Information > Operation Mode select Change

+ Chọn Operation Mode to Transparent. > Set the Management IP/NetmaskDefault Gateway 

+ Bước 2: Tạo security policy. cho phép người dùng trong mạng LAN có thể try cập Internet 

-  Policy > Policy > Policy and select Create New 

-  Security Profles, enable Antivirus and enable Application Control.
Transparent Mode Fortigate

+ Bước 3: Kiểm tra. Bật Window VMware , card mạng VMnet1 & default gateway = LAN's Fortigate VM address 192.168.1.10  -> ping 8.8.8.8  ( success = cấu hình đúng ) 

+ Vào Policy -> Monitor -> Policy Monitor ( để xem thông tin về sessions đang được xử lý bởi Fortigate VM )

3. Cấu hình explicit proxy cho người dùng trong mạng LAN 

+ Chúng ta sẽ cấu hình explicit web proxy cho phép người dùng trong mạng LAN kết nối internet bằng cổng 8080 

Bước 1: enable explicit web proxy trên interface LAN 

-  System > Network > Interfaces ( enable DHCP Server và Explicit Web Proxy - port 2 ) 

explicit web proxy

-  Vào System > Confg > Features ( change WAN Opt. & Cache  and Explicit Proxy to ON)
explicit web proxy enable

Bước 2: Cấu hình explicit web proxy cho dịch vụ HTTP/HTTPS traffic

System > Network > Explicit Proxy ( enable the HTTP/HTTPS explicit web proxy & Default Firewall Policy Action = Deny )
proxy.

explicit web proxy enable

Bước 3: Tạo security policy cho proxy traffic ( Policy > Policy > Policy -> Create New )

explicit web proxy

+ Chú ý: Có thể tạo policy deny dịch vụ HTTP/HTTPS để bắt buộc người dùng trong mạng LAN sử dụng explicit web proxy . Sau khi tạo policy deny chúng ta phải để policy deny https/http lên đầu tiên bắng cách kéo thả policy 

+ Policy > Policy > Policy -> Create New  

explicit web proxy

explicit web proxy Fortigate

Bước 4: Kiểm tra tạo máy ảo window ( để network card ở VMnet1 ) -> Khi các bạn truy cập internet sẽ bị deny . Change proxy web browser bằng địa chỉ 192.168.1.10 port 8080 -> truy cập internet ( ok )

change proxy web browser

4. Publish dịch vụ như dịch vụ WEB (http) và DNS ra ngoài internet 

a. Bước 1: Firewall Objects --> Virtual IPs  

+ Cấu hình publish dịch vụ web ra ngoài internet ( Như hình bên dưới chúng ta sẽ NAT địa chỉ private web server 10.1.1.20 ra địa chỉ public 172.16.20.20 ( dùng để access dịch vụ http từ internet ) )

 

Fortigate publish web service to internet

+ Tương tự cấu hình publish dịch vụ DNS từ DMZ ra ngoài internet 

Cấu hình publish DNS ra ngoài Internet

b. Bước 2: gom tất cả các dịch vụ đơn này vào một nhóm để áp dụng chính sách (Policy). 

+ Ta Click chọn VIP Groups --> Create New. Sau đó ta điền tên cho nhóm, chọn Interface là Port1 (WAN), ở mục Members ta lần lượt Add các dịch vụ mà ta đã khai báo ở bước trước đó

Gộp dịch vụ cần publish

c. Bước 3: Tạo ra 1 Policy để thực hiện việc Public dịch vụ ra bên ngoài như sau  Policy --> Create New ( sau đó điền thông số như hình dưới )

VIP groups

d. Kiểm tra . Tạo 1 CentOS server cài dịch vụ Apache & DNS với card mạng ở chế độ VMnet2 với static IP 10.1.1.20/24 default gateway 10.1.1.10 ( DMZ interface trên Fortigate ) 

[root@centos6 ~]# yum -y install httpd bind bind-utils
[root@centos6 ~]# vim /var/www/html/index.html  // add 
CentOS6 - 10.1.1.20

+ Kiểm tra dịch vụ apache port 80 bằng địa chỉ ip publish cho web server 172.16.20.20 

kiểm tra dịch vụ apache từ publish ip address