Cấu hình Rules Firewall Fortinet

[server360]

Cấu hình Rules Firewall Fortinet

1. Mô Hình:

Cấu hình rule tường lửa Fortinet-01.

   
• Tại Firewall đặt IP cho NIC 1,2,3 sao cho từ SV1,2 có thể ping tới IP trên các NIC nầy
• Cấu hình SV1 có thể ra internet.
• Cấu hình SV1 có thể access dịch vụ FTP trên SV2 (cài FTP trên SV2)
• Thử deny ping từ SV1 đến SV2

Chuẩn bị

   
• Cài sẵn Forti-VM (deploy-fortios-tren-vmware-workstation-va-vmware-esxi.html)
• Cài sẵn 2 VM: VM1 và VM2, trên VM2 cài sẵn dịch vụ FTP

Các Bước Làm:

a. Set card mạng, đặt IP cho FortiVM

Bước 1:

   
• Edit > Virtual Network Editor
• VMNet0 : Chọn Auto-bridging : sẽ bắt cầu với card mạng máy thật
• VMNet1 và 8 cho Host Only.

Bước 2:

   
• Chọn FortiVM click chuột phải chọn Setting.
• Tại Settings ta add 3 card mạng lần lượt
• Card1(VMnet0), Card2( VMNet1), Card3( VMNet 8).

b. Đặt IP cho NIC1, set NIC nầy làm interface quản lý và cho phép ping, http, https và port này để cấu hình

   
• User login vào forti vm: admin, password là password rỗng
• Lệnh cấu set NIC nầy làm interface quản lý và cho phép ping,http,https ( trong lab nầy minh set trên NIC1):

Mã nguồn [Chọn] Expand

FortiGate-VM64#config system interface

    FortiGate-VM64(port01)#edit port1

    FortiGate-VM64(port01)#set ip ip-interface-MGMT/subnetmask

    FortiGate-VM64(port01)#set allowaccess http https ssh telnet ping

    FortiGate-VM64(port01)#end

c. Setup card mạng cho FortiVM và SV1,SV2:

   
• VMnet0 Cho NIC1 trên FortiVM
• VMnet1 gắn cho SV1,Port2 (FortiVM )
• VMnet8 gắn cho SV2,Port3(FortiVM )

Lưu ý: muốn remove card trên FortiVM thì phải shutdown nó mới làm được.

d. Tại Máy thật access vào NIC1 thông qua ip đã đặt rồi

Tại máy thật mở Web browser lên gõ : IP của NIC1 ta đã đặt.

     User : admin
     Password: password trắng

Bấm Login để login vào cấu hình Rule

e. Tiến hành đặt IP cho NIC2 và NIC3, enable ICMP để từ SV1 và 2 có thể kiểm tra kết nối:

Bước 1:

   
• Chọn Network> Interface> Chọn Port2
• Bấm Edit để đặt IP cho port2

Bước 2: Tại hộp thoại Edit Interface.

   
• Addressing mode: Chọn Manual.IP/Network Mask: gõ IP cho port2 ( 1.1.1.1/255.255.255.0).
• Administrative Access tick vào PING ( để cho phép ping test tới interface nầy).
• Administrative Status: tick vào Up.
• Và bấm OK để hoàn tất việc đặt IP cho port2.

Tương tự như vậy ta đặt IP cho port3

f. Trỏ default route trên firewall ra default gateway thiết bị ra internet bên ngoài của mình

Bước 1:

   
• Ta vào Router> Static Routes
• Click chọn Create New

Bước 2:

   
• Tại hộp thoại New Static Route
• Destination IP/Mask: 0.0.0.0/0.0.0.0
• Device : port1 (Port ra ngoài internet là port 1, vì vậy ta route dựa trên port 1)
• Gateway: là default gateway máy thật của chúng ta
• Bấm OK để hoàn tất việc tạo default route cho firewall.

2 .Tạo Policy trên firewall Fortinet ( FortiVM)

a. Tạo Policy cho VM1 có thể access ra ngoài internet

Bước 1:

   
• Tại Policy & Objects> Policy> IPv4
• Click Create New để tạo Policy Mới

Bước 2: Tiến hành tạo Object SV2

   
• Tại hộp thoại New Policy> Source User(s) click xổ list box xuống chọn  Create
• Hộp thoại New Address xuất hiện:

    Name:  SV1

    Subnet/ IP Range : 1.1.1.2

   
• Và bấm OK để hoàn tất việc tạo Object SV2

Bước 3:

Tiến hành tạo Rule:

   
• Incoming Interface : port2
• Source Address: SV1
• Outgoing Interface: port1
• Destination Address: all ( do ra internet nên chọn là all)
• Service : all ( do ra internet)
• Và bật NAT lên.

Rule cho phép SV1 ra internet tạo thành công

SV1 ra internet thành công

b. Tạo Policy cho VM1 có thể access dịch vụ FTP bên VM2

Kiểm tra kết nối từ SV1 đến SV2: đang bị mất kết nối do Implicit (2 – 2) rule đã chặn lại.

Vì vậy ta mở rule cho phép ICMP từ SV1 đến SV2 để kiểm tra kết nối.

Và allow luôn dịch vụ FTP

Cũng cách làm tương tự như tạo Rule cho SV1 ra internet, ta tạo Rule nầy như sau:

   
• Incoming Interface: port2
• Source Address: SV1
• Outgoing Interface: port3
• Destination Address: SV2
• Service: ALL_ICMP
• FTP
• Action: Allow
• Và tắt NAT.

Kết nối đã thông, từ SV1 ta có thể telnet tới port 21 trên SV2

c. Deny Ping SV1 đến SV2

   
• Incoming Interface : port2
• Source Address: SV1
• Outgoing Interface: port3
• Destination Address: SV2
• Service : ALL_ICMP
• Action: Deny

Và tắt NAT.

   
• Do Rule deny đặt ở trên rule allow, nên icmp từ SV1 đến SV2 bị deny, và PING không được.
• Ta thấy SV1 không ping đến SV2 được, tuy nhiên telnet đến FTP trên SV2 từ SV1 vẫn được
• Nếu ta hoán đổi vị trí thì sẽ ping lại được bình thường.