Bu Điện Tỉnh Ninh Thuận
Trung tâm tin học
Chuyên Đề :

Tìm Hiểu Thiết Bị Bảo Vệ FortiGate-50
Và Các ứng Dụng Cho Website Bu Điện Tỉnh Ninh Thuận Ngời thực hiện : Nguyễn Khắc Liêm
Đơn vị : Trung Tâm Tin Học

Hiện nay có nhiều phơng pháp cho vấn đề an ninh mạng bằng các bức tờng lửa (Firewall) tại các
nốt mạng bằng việc sử dụng các phần mềm và phần cứng. Trong số các thiết bị phần cứng hiện nay
đang sử dụng thì FortiGate là một trong những thiết bị dùng làm bức tờng lửa đang đợc sử dụng ở
nhiều nơi .
Tại nốt mạng của Bu điện tỉnh hiện đang đợc trang bị một thiết bị FortiGate-50 nhằm tăng
cờng giám sát an ninh mạng của việc truy cập từ bên trong mạng nội bộ đi ra Internet cũng nh việc
truy cập từ mạng Internet vào website của Bu điện tỉnh, FortiGate-50 là một thiết bị phần cứng dùng
làm bức tờng lửa (Firewall) có nhiều tính năng chuyên dụng .
Với sự giúp đỡ của các đồng nghiệp tại Trung tâm tin học Bu điện tỉnh, tôi đã tiến hành tìm hiểu
thiết bị bảo vệ FortiGate-50 và các ứng dụng cho website Bu điện tỉnh Ninh Thuận nhằm mục đích tìm
hiểu các chức năng của thiết bị qua đó ứng dụng cho website Bu điện tỉnh.
Trong quá trinh thực hiện do thời gian có hạn vì vậy không thể tránh khỏi những thiếu sót . Rất
mong đợc sự góp ý chân thành của các đồng nghiệp và của các CBCNV trong Bu điện tỉnh.
2
Nhập Môn (Getting started)
Phần này mô tả cách tháo mở, cài đặt, và bật nguồn điện cho thiết bị FortiGate. Một khi đã hoàn
thành những thủ tục trong chơng này, ta có thể tiến hành các bớc sau :
Nếu ta cho FortiGate chạy trong kiểu NAT/Route xem phần cài đặt kiểu NAT/Route
Nếu ta cho FortiGate chạy trong kiểu Transparent xem phần cài đặt kiểu Transparent
Phần này bao gồm :
Các vật dụng trong thùng hàng
Lắp đặt
Mở nguồn điện
Những bớc tiếp theo
Các vật dụng trong thùng hàng
Thùng chứa FortiGate - 50 gồm những mục sau :
FortiGate - 50
Một sợi cáp chéo màu cam
Một sợi cáp bình thờng màu xám
Một sợi cáp modem

C
Độ ẩm : 5 tới 95 %
Mở nguồn điện
1 Nối bộ Adapter AC tới đầu nối nguồn điện ở phía sau của FortiGate-50.
2 Nối bộ Adapter AC tới nguồn điện bên ngoài.
FortiGate - 50 bắt đầu hoạt động. Đèn nguồn và trạng thái sáng lên. ánh sáng đèn trạng thái chớp sáng
trong khi FortiGate-50 khởi động và nó sáng khi hệ thống chạy.

3
Bảng 1 : các chỉ tiêu hớng dẫn FortiGate-50

LED LED State Mô tả
Xanh lục Nguồn điện FortiGate mở.
Nguồn điện
Tắt Nguồn điện FortiGate tắt.
Chớp xanh FortiGate đang bắt đầu.
Xanh lục FortiGate đang chạy bình thờng.
Trạng thái
Tắt Nguồn điện FortiGate tắt.
Xanh lục Cáp đang đợc sử dụng đúng và thiết bị đang đợc nối với
nguồn điện.
Chớp xanh Mạng đang hoạt động tại giao diện này.
Internal
External

Những bớc tiếp theo
Bây giờ FortiGate đã chạy, ta có thể tiến hành cấu hình cho nó :
Nếu ta cho FortiGate chạy trong kiểu NAT/Route xem phần cài đặt kiểu NAT/Route
Nếu ta cho FortiGate chạy trong kiểu Transparent xem phần cài đặt kiểu Transparent
Cấu Hình Theo Chế Độ NAT/Route (NAT/Route mode installation)
Chơng này mô tả cách cấu hình FortiGate trong chế độ NAT/Route.
Chơng này bao gồm :
Chuẩn bị cấu hình trong chế độ NAT/Route.
Cài đặt theo hớng dẫn từng bớc (wizard)
Sử dụng giao diện dòng lệnh
Kết nối tới mạng của ta
Cấu hình mạng bên trong (mạng nội bộ)
Hoàn thành việc cấu hình
4
Chuẩn bị cấu hình trong chế độ NAT/Route
Khi FortiGate khởi động lần đầu tiên, nó chạy trong chế độ NAT/Route và có cấu hình cơ bản trong
table 2.
Bảng 2 : Cấu hình năng lợng cho FortiGate

Thao tác :
NAT/Route
Administrator
Account:
User name:
Password:
Admin
(none)
Internal Interface:
IP:
Netmask:

Primary DNS Server:
Secondary DNS Server:
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
Web Server:

SMTP: _____._____._____._____
Mail Server:
POP3: _____._____._____._____
FTP Server: _____._____._____._____
Internal Server
Settings:
Nếu ta truy cập từ Internet đến một web Server, mail Server, hoặc FTP
Server để cấu hình mạng bên trong, hãy thêm những địa chỉ IP của
những Server ở đây.

Cấu hình cao cho phơng thức NAT/Route
Sử dụng bảng 4 để xem thông tin cần để cấu hình tùy chọn cấp cao cho FortiGate trong phơng thức
NAT/Route .
Bảng 4 : cấu hình tùy chọn cấp cao cho FortiGate

Nếu ISP cung cấp 1 địa chỉ IP dùng DHCP
DHCP: không có thông tin yêu cầu

PPPoE: User name:
Password:


2 Sử dụng cáp chéo hoặc các sợi cáp mạng và hub để kết nối giao diện mạng bên trong của FortiGate
tới kết nối của máy tính.
3 Khởi động Internet Explorer và duyệt tới địa chỉ https: // 192.168.1.99. Trang đăng nhập FortiGate
xuất hiện.
4 Gõ admin trong phần tên và chọn login.
Hình 4 : trang đăng nhập FortiGate
Hình trang 15
Bắt đầu cài đặt bức tờng lửa (firewall) từng bớc theo hớng dẫn
1 Chọn nút Wizard bên góc phải của trang web quản lý.

cấu hình FortiGate chạy trong chế độ NAT/Route
cấu hình địa chỉ Iptrong chế độ NAT/Route
1 Đăng nhập tới CLI nếu ta cha đăng nhập.
2 Đặt địa chỉ IP và netmask cho giao diện mạng bên trong nh trong bảng 3
set system interface internal ip <IP Address> <Netmask>
Ví dụ :
set system interface internal ip 192.168.1.1 255.255.255.0
3 Đặt địa chỉ IP và netmask cho giao diện mạng bên ngoài nh trong bảng 3
set system interface external manual ip <IP Address> <Netmask>
Ví dụ
set system interface external manual ip 204.23.1.5 255.255.255.0
Để cài đặt giao diện ngoài để sử dụng DHCP nhập vào :
set system interface external dhcp enable
Để cài đặt giao diện ngoài để sử dụng PPPoE nhập vào :
set system interface external pppoe enable <user name> <password>
Ví dụ
set system interface external pppoe enable username password
4 Xác nhận lại những địa chỉ nhập vào là đúng.
Get system interface
Cấu hình Default Gateway trong phơng thức NAT/Route
1 Đăng nhập tới CLI nếu ta cha đăng nhập.
2 Đặt default route tới Địa chỉ IP của default gateway trong bảng 3
set system route add 0.0.0.0 0.0.0.0 gw <IP Address> dev external
Ví dụ
set system route add 0.0.0.0 0.0.0.0 gw 204.23.1.2 dev external
Kết nối tới mạng của ta
Mỗi lần hoàn thành cấu hình, ta có thể cho kết nối FortiGate giữa mạng bên trong và Internet.
Có hai kết nối 10/100 BaseTX trên FortiGate-50 :
Bên trong để kết nối tới mạng bên trong
Bên ngoài cho kết nối tới switch hoặc router công cộng và Internet Cấu hình mạng bên trong
Nếu đang chạy FortiGate trong chế độ NAT/Route , mạng bên trong cần phải cấu hình để ấn định tất
cả các luồng lu thông ở mạng bên trong đến địa chỉ của giao diện bên trong của FortiGate. Điều này
có nghĩa là thay đổi địa chỉ default gateway của tất cả các máy tính và những router nối trực tiếp đối với
mạng bên trong.
Nếu ta sử dụng FortiGate nh DHCP Server cho mạng bên trong, hãy cấu hình những máy tính của
mạng bên trong cho DHCP. Sử dụng địa chỉ bên trong của FortiGate nh địa chỉ IP DHCP Server.
Hoàn thành cấu hình
Cài đặt ngày tháng và giờ
Để cho việc đăng nhập và lập lịch có hiệu quả , ngày tháng và giờ của FortiGate cần phải chính xác.
Ta có thể cài đặt thời gian của FortiGate bằng tay hoặc có thể cấu hình cho FortiGate để tự động giữ
cho thời gian của nó đúng và đồng bộ với thời gian của giao thức mạng (Network time protocol - NTP)
trên server.
Cấu Hình Theo Chế Độ Transparent (Transparent mode installation)
Chơng này bao gồm :
Chuẩn bị cấu hình theo chế độ Transparent
Cài đặt theo hớng dẫn từng bớc (wizard)
Sử dụng giao diện dòng lệnh
Cài đặt ngày tháng và thời gian
Kết nối tới mạng của ta
Chuẩn bị cấu hình theo chế độ Transparent
Khi lần đầu tiên chuyển sang chế độ Transparent, FortiGate đợc liệt kê nh trong bảng 5
Bảng 5 : cấu hình FortiGate chế độ Transparent

Thao tác :
Transparent

Địa chỉ IP và netmask quản lý phải hợp lệ cho mạng từ đó ta sẽ
quản lý FortiGate. Thêm vào một cổng mặc định (default
gateway) nếu muốn FortiGate nối tới một router để đến máy
tính quản lý.
cài đặt DNS :
Primary DNS server:
Secondary DNS server:
_____._____._____._____
_____._____._____._____

Cài đặt theo hớng dẫn từng bớc
Sử dụng những thủ tục trong phần này nối tới trang web quản lý để cài đặt từng bớc cho việc cấu
hình FortiGate.
Kết nối tới trang web quản lý
Các yêu cầu :
Một máy tính kết nối mạng
Trình duyệt web Internet Explorer phiên bản 4.0 hoặc cao hơn
Một sợi cáp chéo hoặc một hub và hai cáp sợi cáp mạng
Kết nối tới trang web quản lý :
1 Đặt 1 địa chỉ IP cho máy tính với một kết nối mạng tới 1 địa chỉ IP tĩnh 192.168.1.2 và một netmask
là 255.255.255.0.
2 Sử dụng cáp chéo hoặc các sợi cáp mạng và hub để kết nối giao diện mạng bên trong của FortiGate
tới máy tính.
3 Khởi động Internet Explorer và duyệt tới địa chỉ https: // 192.168.1.99.
Trang đăng nhập FortiGate xuất hiện.
4 Gõ admin trong phần tên và chọn login.
Hình 6 : đăng nhập FortiGate
Hình trang 22

9

3 Xác nhận cấu hình mà ta đã cài đặt, sau đó chọn nút Finish để kết thúc và đóng lại.
Kết nối trở lại tới trang web quản lý
Nếu ta thay đổi địa chỉ IP của giao diện quản lý trong khi sử dụng cài đặt từng bớc, ta cần phải kết
nói trở lại tới trang web quản lý sử dụng một địa chỉ IP mới.
Duyệt https: // bởi địa chỉ IP mới của giao diện quản lý. Cách khác, ta có thể kết nối tới trang web quản
lý bởi https: // 192.168.1.99. Nếu ta kết nối tới giao diện quản lý qua một router thì chắc chắn rằng ta
đã thêm vào một cổng mặc định (default gateway) cho router đó đến địa chỉ IP quản lý.
Sử dụng giao diện dòng lệnh
Ta có thể cấu hình FortiGate sử dụng giao diện dòng lệnh (Command Line Interface -CLI).
Để kết nối tới FortiGate CLI cần phải có các yêu cầu :
Một máy tính với một cổng truyền thông
Cắm cáp mô đem đầu rỗng vào đầu nối có 9 chốt để nối tới FortiGate (RS-232 serial connector)
Phần mềm mô phỏng giống nh HyperTerminal đối với Windows
Nối tới CLI
1 Nối cáp mô đem vào đầu nối console của FortiGate và cổng truyền thông trên máy tính của ta.
2 Phải chắc chắn rằng FortiGate đang mở điện.
3 Bắt đầu HyperTerminal, nhập tên cho kết nối rồi chọn OK.
4 Kiểu trong cổng truyền thông kết nối sử dụng field và chọn OK.
5 Chọn cổng sau để cài đặt rồi chọn OK:
6 Nhấn Enter để nối tới FortiGate CLI.
Lời nhắc sau xuất hiện trên màn hình :
Fortinet login :
7 Gõ vào admin và nhấn Enter .
10
Lời nhắc sau xuất hiện trên màn hình :
Type ? for a list of commands.
Cấu hình FortiGate chạy trong kiểu Transparent
Sử dụng các thông tin trong bảng 6 để hoàn thành những thủ tục sau.
Thay đổi tới kiểu Transparent
1 Đăng nhập tới CLI nếu ta cha đăng nhập.

Cấu hình cổng mặc định (default gateway) kiểu Transparent
1 Đăng nhập tới CLI nếu ta cha đăng nhập.
2 Định tuyến đờng mặc định tới cổng mặc định ghi trong bảng 6. Nhập vào :
set system manageip gateway <IP Address>
Ví dụ :
set system manageip gateway 192.168.1.20
Cài đặt ngày tháng và giờ
Để cho việc đăng nhập và lập lịch có hiệu quả , ngày tháng và giờ của FortiGate cần phải chính xác.
Ta có thể cài đặt thời gian của FortiGate bằng tay hoặc có thể cấu hình cho FortiGate để tự động giữ
cho thời gian của nó đúng và đồng bộ với thời gian của giao thức mạng (Network time protocol - NTP)
trên server.

Hình 7 : FortiGate - 50 kết nối mạng
Hình trang 25

11
Những chính sách bảo mật là những chỉ dẫn đợc sử dụng bởi firewall để quyết định làm gì với một
yêu cầu kết nối. Khi firewall nhận một yêu cầu kết nối từ bên trong của một gói (dữ liệu), nó phân tích
gói đó để rút trích ra địa chỉ nguồn , địa chỉ đích, và dịch vụ (số cổng).
Để cho gói đi qua đợc FortiGate, ta phải thêm một chính sách vào giao diện nhận gói. Chính sách đó
phải phù hợp với địa chỉ nguồn , địa chỉ đích, và dịch vụ của gói. Chính sách này sẽ định hớng hoạt
động cho firewall cần phải thực hiện trên gói. Các hoạt động có thể sẽ cho phép kết nối, hoặc từ chối
kết nối hoặc yêu cầu sự chứng thực trớc khi kết nối đợc cho phép. Ta cũng có thể thêm những lịch
trình làm việc vào chính sách bảo mật để firewall có thể xử lý những kết nối khác nhau phụ thuộc vào
thời gian trong ngày hoặc ngày trong tuần, tháng, hoặc năm.
Cấu hình những chính sách bảo mật :
Những kiểu chính sách
Thêm những chính sách
12
Thêm các địa chỉ
Thêm IPs ảo
Những dịch vụ
Những lịch trình làm việc
Những ngời dùng và sự chứng thực
Port Forwarding
Sự ràng buộc IP/MAC
Hình thành luồng lu thông
Những kiểu chính sách
Bớc đầu tiên trong việc cấu hình những chính sách bảo mật là cấu hình kiểu cho firewall. Firewall
có thể chạy trong kiểu NAT/Route hoặc kiểu Transparent.
Kiểu NAT/Route
Chọn kiểu NAT/Route để thay đổi địa chỉ mạng để bảo vệ những mạng riêng từ những mạng công
cộng. Trong kiểu NAT/Route, ta có thể nối một mạng riêng tới giao diện bên trong và một mạng công
cộng, nh Internet, giao diện ngoài. Rồi ta có thể tạo ra những chính sách kiểu NAT để chấp nhận hoặc
từ chối những kết nối giữa những mạng này. Những chính sách kiểu NAT che giấu địa chỉ những ngời
dùng của mạng bên trong khi họ vào Internet.

4 Kết nối trở lại tới trang web quản lý, duyệt tới giao diện mà ta cấu hình cho sự quản lý truy cập sử
dụng https: // bởi địa chỉ IP của giao diện.
Thay đổi kiểu chính sách giữa những giao diện
Nếu firewall đang chạy trong kiểu NAT/Route, ta có thể cấu hình kiểu chính sách cho những kết nối
giữa giao diện bên trong và giao diện ngoài. Kiểu chính sách mặc định
là NAT.
Thay đổi kiểu chính sách giữa giao diện bên trong và giao diện ngoài sử dụng trang web quản lý :
13
1 Đi tới Firewall > Mode.
2 Chọn kiểu cho những kết nối giữa giao diện bên trong và giao diện ngoài.
Chọn NAT để thay đổi kiểu chính sách tới kiểu NAT. Chọn Route để thay đổi kiểu chính sách tới kiểu
Route.
3 Click vào nút Apply.
Thêm những chính sách
Thêm những chính sách bảo mật vào điều khiển những kết nối và luồng thông tin đi qua mạng giữa
những giao diện FortiGate.
Bớc đầu tiên thêm một chính sách là chọn một danh sách chính sách. Có 2 danh sách chính sách:
Một lần ta chọn danh sách chính sách, ta có thể thêm những chính sách vào những kết nối điều
khiển. Ta phải sắp đặt những chính sách trong danh sách chính sách để chúng có những kết quả mà ta
mong muốn.
Int To Ext Những chính sách cho những kết nối từ mạng bên trong đến mạng ngoài (Internet).
Ext To Int Những chính sách cho những kết nối từ mạng ngoài đến mạng bên trong.
Sử dụng những thủ tục sau để thêm những chính sách :
Thêm những chính sách kiểu Route
Thêm những chính sách kiểu NAT
Sửa đổi chính sách
Sắp xếp các chính sách trong danh sách chính sách
Thêm những chính sách cho kiểu Route
Khi firewall đang chạy trong kiểu Transparent, tất cả các chính sách đều là những chính sách kiểu
Route.

Log Traffic

Traffic Shaping Một địa chỉ phù hợp với địa chỉ nguồn của gói. Địa chỉ này có thể là một địa
chỉ IP đơn hoặc một phạm vi địa chỉ. Trớc khi ta có thể thêm địa chỉ này
vào một chính sách, ta phải thêm nó vào giao diện nguồn. Địa chỉ này phải
là một địa chỉ IP hợp lệ cho mạng kết nối tới giao diện nguồn.

Một địa chỉ phù hợp với địa chỉ đích của gói. Địa chỉ này có thể là một địa
chỉ IP đơn hoặc một phạm vi địa chỉ. Trớc khi ta có thể thêm địa chỉ này
vào một chính sách, ta phải thêm nó vào giao diện nơi đến. Địa chỉ này phải
là một IP hợp lệ cho mạng kết nối tới giao diện đích.
Một lịch trình làm việc mà nó điều khiển khi chính sách này hoạt động.
Trong thời gian mà lịch trình làm việc thì những chính sách hợp lệ sẵn có thì
phù hợp với với những kết nối.
Một dịch vụ mà phù hợp với dịch vụ (hoặc số cổng) của gói. Ta có thể lựa
chọn từ một phạm vi rộng của những dịch vụ có sẵn, hoặc thêm những nhóm
dịch vụ và dịch vụ tuỳ chọn.
Chọn firewall nh thế nào để trả lời khi nào khi một chính sách phù hợp với
một kết nối. Ta có thể cấu hình chính sách cho firewall để chấp nhận kết
nối, từ chối kết nối, hoặc yêu cầu những ngời dùng xác nhận (chứng thực)
với firewall trớc khi firewall chấp nhận kết nối. Sự chứng thực thì không có
sẵn trong kiểu Transparent.

Trong tuỳ chọn (Optionally) chọn Log Traffic để thêm những thông báo vào
Log Traffic bất cứ khi nào mà chính sách xử lý một kết nối.
Trong tuỳ chọn (Optionally) chọn Traffic Shaping để điều khiển bandwidth
sẵn có và đặt quyền u tiên xử lý luồng thông tin bởi chính sách.

Thêm những chính sách kiểu NAT
Những chính sách kiểu NAT cung cấp sự chuyển đổi địa chỉ mạng giữa những giao diện. Mặc định
khi firewall đang chạy trong kiểu NAT/Route, nó đợc cấu hình cho những chính sách kiểu NAT giữa
giao diện bên ngoài và giao diện bên trong. Những chính sách kiểu NAT che giấu những địa chỉ IP ở
mạng bên trong khi đến Internet.
Những chính sách kiểu NAT cho những kết nối từ giao diện bên trong đến giao diện ngoài chuyển
đổi địa chỉ nguồn của những gói (dữ liệu) tới địa chỉ của giao diện ngoài. Firewall thực hiện sự chuyển
đổi địa chỉ này một cách tự động bởi vì nó biết địa chỉ của giao diện ngoài của nó.
Đối với những kết nối từ giao diện ngoài đến giao diện bên trong, những chính sách kiểu NAT phải
chuyển đổi địa chỉ đích của gói (dữ liệu) từ một địa chỉ trên Internet đến một địa chỉ ở mạng bên trong.
Ta phải thêm thông tin mà firewall cần để có thể vẽ bản đồ địa chỉ nơi đến của gói vào một địa chỉ ở
mạng bên trong. Bản đồ này đợc xem nh một IP ảo.
Một IP ảo cần thêm vào Ext to Int trong những chính sách kiểu NAT.
Để thêm một chính sách kiểu NAT :
1 Đi tới Firewall > Policy.
2 Chọn một bảng danh sách chính sách.
3 Chọn New để thêm một chính sách mới.
4 Cấu hình chính sách.
16
Hình 10 : Ext to In chính sách kiểu NAT
Hinh trang 32

Reverse NAT

Log Traffic

Traffic Shaping
Một địa chỉ phù hợp với địa chỉ nguồn của gói (dữ liệu). Địa chỉ này có thể là
một địa chỉ IP đơn hoặc một phạm vi địa chỉ. Trớc khi ta thêm địa chỉ này vào
một chính sách, ta phải thêm nó vào giao diện nguồn. Địa chỉ này phải là một địa
chỉ IP hợp lệ cho mạng kết nối tới giao diện nguồn.
Một địa chỉ phù hợp với địa chỉ nơi đến của gói. Địa chỉ này có thể là một địa chỉ
IP đơn hoặc một phạm vi địa chỉ. Trớc khi ta thêm địa chỉ này vào một chính
sách, ta phải thêm nó vào giao diện nơi đến. Địa chỉ này phải là một IP hợp lệ cho
mạng kết nối tới giao diện nơi đến.
Một lịch trình làm việc điều khiển khi một chính sách hoạt động. Trong thời gian
mà lịch trình làm việc thì những chính sách hợp lệ sẵn có thì phù hợp với với
những kết nối.
Một dịch vụ mà phù hợp với dịch vụ (hoặc số cổng) của gói. Ta có thể lựa chọn
từ một phạm vi rộng của những dịch vụ có sẵn, hoặc thêm những nhóm dịch vụ
và dịch vụ tuỳ chọn.
Chọn firewall nh thế nào để trả lời khi nào khi một chính sách phù hợp với một
kết nối. Ta có thể cấu hình chính sách cho firewall để chấp nhận kết nối, từ chối
kết nối, hoặc yêu cầu những ngời dùng xác nhận (chứng thực) với firewall trớc
khi firewall chấp nhận kết nối. Sự chứng thực thì không có sẵn trong kiểu
Transparent
Những chính sách trong Ext to Int ta có thể chọn Reverse NAT để thực hiện đảo
địa chỉ mạng trên các gói.
Trong tuỳ chọn (Optionally) chọn Log Traffic để thêm những thông báo vào Log
Traffic bất cứ khi nào mà chính sách xử lý một kết nối.
Trong tuỳ chọn (Optionally) chọn Traffic Shaping để điều khiển bandwidth sẵn
có và đặt quyền u tiên xử lý luồng thông tin bởi chính sách.

Một chính sách ngoại lệ tới chính sách mặc định (ví dụ, một chính sách ngăn những kết nối FTP),
cần phải đợc đặt ở trên chính sách mặc định trong Int to Ext danh sách chính sách. Rồi tất cả kết nối
FTP từ mạng bên trong phù hợp với chính sách FTP thì bị ngăn chặn. Kết nối cho tất cả các dịch vụ
khác không phù hợp với chính sách FTP nhng chúng phù hợp với chính sách mặc định thì firewall vẫn
chấp nhận tất cả các kết nối khác từ mạng bên trong.
Thay đổi thứ tự của những chính sách trong một danh sách chính sách
1 Đi tới Firewall >Policy.
2 Chọn bảng danh sách chính sách mà ta muốn tới sắp xếp.
3 Chọn một chính sách cần di chuyển và chọn Move To để thay đổi thứ tự của nó trong danh sách chính
sách.
4 Đánh một số trong Move to để chỉ rõ nơi trong danh sách chính sách rồi chọn OK.
5 Chọn Delete để loại bỏ một chính sách từ danh sách.
Thêm các địa chỉ
Tất cả các chính sách yêu cầu những địa chỉ nguồn và địa chỉ đích. Để có thể thêm một địa chỉ vào
một chính sách giữa hai giao diện, trớc hết ta cần thêm những địa chỉ vào danh sách địa chỉ cho mỗi
giao diện. Những địa chỉ này phải là hợp lệ cho mạng nối tới giao diện đó.
Theo mặc định FortiGate bao gồm hai địa chỉ mà không thể sửa hoặc xóa :
Internal_All danh sách địa chỉ bên trong đại diện cho những địa chỉ IP của tất cả các máy tính ở mạng
bên trong
External_All danh sách địa chỉ bên ngoài đại diện cho những địa chỉ IP của tất cả các máy tính trên
Internet
Ta có thể thêm, sửa đổi, và xóa tất cả các địa chỉ khác nhau theo yêu cầu.
Phần này mô tả :
Thêm những địa chỉ
Sửa đổi những địa chỉ
Xóa những địa chỉ
Thêm những địa chỉ
Dùng trang web quản lý để thêm một địa chỉ :
1 Đi tới Firewall > Address.
2 Chọn giao diện để thêm địa chỉ .
Sửa đổi những địa chỉ
Sửa đổi để thay đổi địa chỉ IP và Netmask của một địa chỉ. Ta không thể sửa tên địa chỉ. Nếu ta cần
thay đổi tên một địa chỉ, thì ta phải xóa địa chỉ này đi và sau đó thêm nó với một tên mới.
Sử dụng trang web quản lý :
1 Đi tới Firewall > Address.
2 Chọn giao diện với địa chỉ mà ta muốn sửa.
3 Chọn một địa chỉ cần sửa và chọn Edit.
4 Thay đổi theo yêu cầu rồi chọn OK để lu lại những sự thay đổi đó.
Xóa những địa chỉ
Xóa một địa chỉ mà nó không có sử dụng bởi những chính sách. Nếu một địa chỉ đợc bao gồm trong
bất kỳ chính sách nào thì nó không thể bị xóa trừ khi nó nó đợc loại bỏ trớc tiên từ chính sách.
1 Đi tới Firewall > Address.
2 Chọn danh sách giao diện chứa địa chỉ mà ta muốn xóa.
3 Chọn địa chỉ cần xoá và chọn Delete.
4 Click OK để xóa địa chỉ.
Thêm IPs ảo
Những chính sách bảo mật kiểu NAT che giấu những địa chỉ trong những mạng an toàn hơn từ
những mạng ít an toàn hơn. Cho phép kết nối từ một mạng ít an toàn hơn đến một mạng an toàn cao
hơn, ta cần phải kết hợp giữa một địa chỉ đích trong mạng ít an toàn hơn và một địa chỉ thực trong mạng
an toàn hơn. Sự kết hợp này đợc gọi là một IP ảo.
Theo mặc định IPs ảo đợc yêu cầu cho Ext to In những chính sách kiểu NAT.
Ví dụ IP ảo
Web Server của ta có một địa chỉ IP trên Internet, nhng máy tính để chạy web server của ta đợc
nằm ở mạng bên trong với một địa chỉ IP riêng . Những gói dữ liệu từ Internet đến web server, ta cần
19
phải tạo ra một IP ảo liên kết địa chỉ trên Internet của web server với địa chỉ IP thực của nó. Địa chỉ
thực của web server đợc gọi là ánh xạ IP.
Một lần ta đã tạo ra một IP ảo , ta có thể thêm những chính sách để cho phép sự truy nhập tới ánh

Sử dụng những dịch vụ để điều khiển việc chấp nhận hoặc từ chối những đờng truyền bởi firewall.
Ta có thể thêm bất kỳ cấu hình lại của danh sách những dịch vụ trong bảng 7 tới một chính sách. Ta
cũng có thể tạo ra những dịch vụ tuỳ chọn của mình và thêm những dịch vụ này vào những nhóm dịch
vụ.
Phần này mô tả :
Định nghĩa sẳn những dịch vụ
Cung cấp những truy cập tới các dịch vụ tuỳ chọn
Nhóm những dịch vụ
Định nghĩa sẳn những dịch vụ
FortiGate định nghĩa sẳn những dịch vụ cho firewall đợc liệt kê trong bảng 7. Ta có thể thêm những
dịch vụ này vào bất kỳ chính sách nào.
Bảng 7 : những dịch vụ định nghĩa sẳn cho FortiGate

Tên dịch vụ Mô tả Giao thức Cổng nguồn Cổng đích
ANY Tơng thích cho các kết nối của 1 cổng nào đó All 1-65535 All
TCP 1-65535 53
DNS
Tham chiếu đến tên miền (Domain name servers).
UDP 1-65535 53
FINGER Dịch vụ Finger . TCP 1-65535 79
FTP Dịch vụ truyền files FTP (files transferring files). TCP 1-65535 20-21
GOPHER GDịch vụ Gopher . TCP 1-65535 70
HTTP Dịch vụ kết nối đến các trang web (HTTP) TCP 1-65535 80
20
HTTPS Dịch vụ bảo mật đờng truyền cho web servers
(SSL).
TCP 1-65535 443
IMAP Giao thức dùng cho việc đọc email từ 1 giao thức
IMAP server .
TCP 1-65535 143

SMTP Giao thức dùng để gởi mail giữa các mail
servers trên Internet.
TCP 1-65535 25
TCP 1-65535 161-162 SNMP Cho biết thông tin về tình trạng hệ thống.
UDP 1-65535 161-162
TCP 1-65535 22 SSH Dùng để bảo mật kết nối đến máy tính truy cập từ
xa để quản lý .
UDP 1-65535 22
TELNET Dịch vụ dùng để kết nối từ xa đến 1 máy tính để
chạy lệnh.
TCP 1-65535 23
VDOLIVE Cho các luồng dữ liệu đa phơng tiện . UDP 1-65535 7000
WAIS Một chơng trình cho phép ngời dùng có thể tìm
kiếm tài liệu lu trữ trên mạng Internet (Wide Area
Information Server).
TCP 1-65535 210
X-WINDOWS Dùng để truy cập từ xa đến 1 server hoặc từ 1
server đến 1 máy trạm.
TCP 1-65535 6000

Cung cấp những truy nhập tới dịch vụ tuỳ chọn
Thêm một dịch vụ tuỳ chọn nếu ta cần tạo ra một chính sách cho một dịch vụ mà không đợc định
nghĩa sẵn trong danh sách dịch vụ.
Để thêm một dịch vụ tuỳ chọn :
1 Đi tới Firewall > Service > Custom.
2 Chọn New.
3 Nhập tên cho dịch vụ. Tên này xuất hiện trong danh sách dịch vụ sử dụng khi ta thêm một chính sách.
Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thờng hoặc chữ hoa (A-Z, a-z), và những ký
tự đặc biệt dấu- và _. Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép.
4 Chọn giao thức (TCP hoặc UDP) sử dụng bởi dịch vụ.

thông dụng cho phép những ngời dùng có thể truy cập từ xa tới một máy PC, kết nối điều khiển sẽ đ-
ợc chấp nhận bởi FortiGate. Thêm một dịch vụ vào chính sách Ext to Int sẽ cho phép một ngời dùng
trên Internet sử dụng pcAnywhere để kết nối tới một hay nhiều máy tính ở mạng bên trong.
Chơng trình pcAnywhere server dùng TCP cổng 5631 và UDP cổng 5632 cho đờng truyền.
Nếu sự bảo mật có liên quan đến việc thêm một chính sách cho một dịch vụ tuỳ chọn nh pcAnywhere,
ta có thể cấu hình chính sách để hạn chế những địa chỉ nguồn và địa chỉ đích của kết nối. Điều này sẽ
hạn chế những ngời dùng có thể kết nối xuyên qua firewall sử dụng pcAnywhere, Và cũng sẽ hạn chế
những địa chỉ mà họ có thể kết nối đến.
Nhóm những dịch vụ
Để làm cho nó dễ hơn để thêm những chính sách, ta có thể tạo ra những nhóm của những dịch vụ và
sau đó thêm một chính sách để cung cấp sự truy cập hoặc ngăn sự truy cập cho tất cả các dịch vụ trong
nhóm. Một nhóm dịch vụ có thể chứa những dịch vụ định nghĩa sẵn và dịch vụ tuỳ chọn . Ta không thể
thêm những nhóm dịch vụ vào nhóm dịch vụ khác.
Để thêm một nhóm dịch vụ sử dụng trang web quản lý :
1 Đi tới Firewall > Service > Group.
2 Chọn New.
3 Nhập vào một tên của nhóm để xác định nhóm. Tên này xuất hiện trong danh sách dịch vụ sử dụng
khi ta thêm một chính sách.
Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thờng hoặc chữ hoa (A-Z, a-z), và những ký
tự đặc biệt dấu - và _. Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép.

22
Hình 14 : thêm một nhóm dịch vụ
Hinh trang 40

Ta có thể tạo một lịch trình làm việc trớc để kích hoạt hoặc không kích hoạt một chính sách trong
khoảng thời gian xác định. Firewall có thể đợc cấu hình với chính sách mặc định Internet to External
cho phép truy cập tới tất cả các dịch vụ trên Internet vào bất kỳ thời điểm nào.
Ta có thể thêm một lịch trình làm việc trớc để ngăn chặn sự truy cập tới Internet trong ngày nghỉ . Thủ
tục sau mô tả cách tạo ra một lịch trình làm việc với một ngày tháng bắt đầu của ngày nghỉ và ngày
tháng kết thúc của ngày nghỉ.
Để tạo ra một lịch trình làm việc trớc dùng trang web quản lý :
1 Đi tới Firewall > Schedule > One-time.
2 Chọn New.
3 Nhập một tên cho lịch trình làm việc.
Tên có thể chứa những số (từ 0 đến 9), những ký tự chữ thờng hoặc chữ hoa (A-Z, a-z), và những ký
tự đặc biệt dấu - và _. Những ký tự trắng và những ký tự đặc biệt khác thì không cho phép.
4 Đặt ngày tháng và thời gian bắt đầu cho lịch trình làm việc.
5 Đặt ngày tháng và thời gian dừng cho lịch trình làm việc.
6 Chọn OK để thêm lịch trình làm việc.

23
Hình 15 : lịch trình làm việc
Hinh trang 42
24
Hình 16 : lịch trình làm việc có định kỳ
Hinh trang 43

Thêm một lịch trình làm việc vào một chính sách
Một lần ta tạo ra lịch trình làm việc, ta có thể thêm chúng vào những chính sách để lập lịch khi những