Danh mục: Firewall

Bài viết này mình sẽ hướng dẫn các bạn cấu hình cơ bản các tính năng trên Firewall Palo Alto cho 1 hệ thống mạng đơn giản gồm 2 VLAN. Gateway của của các VLAN này được đặt trên tường lửa Palo Alto. Nhiệm vụ của chúng ta là cấu hình trên các thiết bị sao cho máy tính trong 2 VLAN có thể truy cập ra ngoài Internet.

Bài Lab được thực hiện trên máy ảo PnetLab, với PAN-OS phiên bản 8.0.0. Các phiên bản khác nhau có thể khác về giao diện, tuy nhiên các bước cấu hình, policy cấu hình trên thiết bị là hoàn toàn giống nhau.

Mục lục

1. Mô hình kết nối
2. Cấu hình cổng quản trị Management
3. Cấu hình Virtual Router, Zones và Interface
   • Cấu hình Virtual Router
   • Cấu hình Zones
   • Cấu hình Interface
4. Cấu hình Default Route
5. Tạo các Objects
6. Tạo NAT rule
7. Cấu hình Policy cho phép truy cập Internet
8. Cấu hình trên Router ISP
9. Cấu hình Switch Core
10. Kiểm tra kết nối internet

Mô hình kết nối

Bài hướng dẫn được mình thực hiện trên PnetLab, mô hình gồm có:

• 1 router Cisco để giả lập ISP.
• 1 Firewall Palo Alto làm firewall và gateway cho mạng. Firewall bao gồm 2 zone: zone outsite kết nối ra internet, Zone inside kết nối xuống PC thuộc 2 VLAN 10 và 20.
• 1 switch Cisco cấu hình ở layer 2 chạy VLAN và trunking.
• 2 Máy tính thuộc 2 VLAN: VLAN 10 (IP 10.0.0.0/24) và VLAN 20 (10.0.1.0/24).
• Cổng mgmt trên firewall được nối với card mạng trên Laptop để có thể truy cập qua giao diện web.

Cấu hình cổng quản trị Management

Tường lửa Palo Alto đã được cấu hình sẵn với IP mặc định của cổng MGMT là 192.168.1.1, username/password mặc định là admin/admin. Các bạn có thể truy cập vào giao diện web của tường lửa qua địa chỉ: https://192.168.1.1. Tuy nhiên, trong 1 số trường hợp như firewall VM, hoặc thiết bị đã bị đổi IP, các bạn có thể sử dụng dây Console để cấu hình IP của thiết bị.

admin@fw>configure //truy cập vào mode cấu hình admin@fw#set deviceconfig system type static //chuyển mode sang static, mặc định DHCP được enable admin@fw#set deviceconfig system ip-address 10.0.1.50 netmask 255.255.255.0 default-gateway 10.0.1.2 dns-setting servers primary 8.8.8.8 admin@fw#commit //thực thi cấu hình

Kiểm tra thông tin vừa cấu hình:

admin@fw>show interface management——————————— Name: Management Interface Link status:   Runtime link speed/duplex/state: 10000/full/up   Configured link speed/duplex/state: auto/auto/auto MAC address:   Port MAC address 00:50:56:81:ad:e6 Ip address: 10.0.1.50 Netmask: 255.255.255.0 Default gateway: 10.0.1.2 Ipv6 address: unknown Ipv6 link local address: fe80:5229:ccff:fe00::600/64 Ipv6 default gateway: ——————————–

Bây giờ các bạn có thể sử dụng giao diện web thông qua địa chỉ IP: https://10.0.1.50

Nếu tường lửa đã có IP mặc định, các bạn có thể truy cập IP mặc định và đổi IP quản trị trong mục: Device > Setup > Interfaces > Management

Cấu hình Virtual Router, Zones và Interface

Cấu hình Virtual Router

Các Virtual Router trên Palo Alto được sử dụng để phân chia firewall thành các router ảo, mỗi router này sẽ có 1 bảng định tuyến riêng và chỉ các Interface trên cùng 1 Virtual Router mới có thể ping được đến nhau. Trên Firewall đã được cấu hình sẵn 1 Virtual Router là default, các bạn có thể sử dụng virtual router này hoặc tạo mới 1 virtual router mới.

Truy cập Network > Virtual Routers, chọn Add để tạo mới 1 Virual Router và đặt tên CNTTShop, click OK để tạo.

Cấu hình Zones

Các Zone được sử dụng để nhóm các interface có chung security level. Trong bài viết mình sẽ tạo 2 zone là trust cho 2 mạng LAN bên dưới và untrust cho interface kết nối internet. Các bạn cũng có thể tạo thêm zone DMZ cho vùng máy chủ hoặc các dịch vụ public ra internet. Traffic mặc định trong cùng 1 zone sẽ được permit, còn giữa các zone khác nhau sẽ bị deny.

Truy cập Network > Zones, chọn Add và tạo 2 zone là Trust và Untrust. Lưu ý chọn Type là Layer3

Cấu hình Interface

Cấu hình cổng E1/2 kết nối ra Internet. Trong bài viết mình đặt IP tĩnh trên Interface là 100.0.0.100/24. Trong thực tế nếu quay PPPoE trên Firewall, các bạn cần cấu hình Interface để có thể nhận được IP từ ISP. Các bạn có thể tham khảo bài viết: Hướng dẫn cấu hình PPPoE trên Firewall Palo Alto.

Truy cập Network > Interfaces > Ethernet, chọn interface ethernet1/2

• Interface Type: chọn Layer3
• Virtual Router: chọn CNTTShop
• Security Zone: chọn Untrust

Chọn table IPv4 để đặt IP cho interface:

• Type: Static
• Chọn nút Add, nhập địa chỉ IP của cổng untrust là 100.0.0.100/24

Cấu hình cổng Eth1/1 cho 2 VLAN 10 và 20. Cổng eth1/1 sẽ được cấu hình subinterface để làm gateway của 2 VLAN.

Truy cập Network ;> Interfaces > Ethernet, chọn interface ethernet1/1

• Interface Type: chọn Layer3
• Virtual Router: chọn CNTTShop
• Security Zone: chọn Trust

Truy cập Network > Interfaces > Ethernet, chọn interface ethernet1/1, chọn Add SubInterface:

• Interface Name: nhập 10 cho subinterface ethernet1/1.10.
• Tag: 10
• Virtual Router: CNTTShop
• Security Zone: Trust

Trong tab IPv4, chọn Add và đặt IP gateway cho VLAN 10 là 10.0.0.1/24

Tương tự tạo 1 subinterface ethernet1/1.20 cho VLAN 20.

Cấu hình Default Route

Truy cập Network > Virtual Routers, chọn virtual router đã tạo ở trên là CNTTShop, chọn tab Static Routes, chọn Add để tạo 1 default route:

• Name: tên của route
• Destination: 0.0.0.0/0
• Interface: chọn cổng Wan là cổng ethernet1/2.
• Next hop: chọn IP Address và nhập địa chỉ IP của router ISP (100.0.0.1). Với cổng wan sử dụng PPPoE, firewall đã tự động tạo 1 default route trỏ tới peer router nên các bạn không cần tạo trong mục này.

Tạo các Objects

Chúng ta có thể tạo trước các Objects để add vào NAT rule và policy. Truy cập Objects > Addresses, click Add để tạo các address cho từng vlan. Ở đây mình sẽ tạo IP_VLAN_10 cho dải IP 10.0.0.0/24, IP_VLAN_20 cho dải ip 10.0.1.0/24 và IP_PUBLIC cho địa chỉ IP Wan.

Tạo NAT rule

Tạo NAT overload để cho phép NAT giữa mạng nội bộ và IP WAN

Truy cập Policies > NAT, chọn Add:

• Name: đặt tên cho NAT rule
• NAT Type: chọn ipv4

Chọn tab Original Packet:

• Source Zone: add zone Trust
• Destination Zone: chọn Untrust
• Destination Interface: chọn cổng WAN ethernet1/2
• Service: any
• Source Address: chọn 2 objects đã tạo ở trên là IP_VLAN_10 và IP_VLAN_20 để NAT các IP nội bộ từ 2 VLAN này sang IP public.
• Destination Address: chọn Any

Chọn tab Translated Packet

• Translation Type: Dynamic IP And Port
• Address Type: translated Address và add objects IP_PUBLIC

Cấu hình Policy cho phép truy cập Internet

Truy cập Policies > Security, chọn Add:

• Name: đặt tên cho policy
• Rule Type: chọn Interzone để tạo policy giữa các zone khác nhau. Intrazone là policy cho các mạng cùng zone.

Chọn tab Source cho Policy:

• Source Zone: Add zone Trust
• Source Address: Add 2 address là IP_VLAN_10 và IP_VLAN_20

Chọn Tab Destination, add zone Untrust và destination Address là Any.

Trong tab Actions, chọn action là Allow để cho phép 2 VLAN ra Internet

Với các tab User, Application, Service/URL Category mình đang để any. Các bạn có thể giới hạn dịch vụ tùy theo nhu cầu của từng công ty.

Sau khi cấu hình xong, các bạn cần commit để áp dụng cấu hình cho Firewall.

Cấu hình trên Router ISP

Trên Router ISP mình cấu hình IP cho cổng kết nối xuống FW làm Next-Hop và 1 interface loopback 0 có IP là 8.8.8.8 để giả lập internet cho bài lab

Router>enable Router#configure terminal Router(config)#hostname ISP ISP(config)#int e0/0 ISP(config-if)#no shutdown ISP(config-if)#ip address 100.0.0.1 255.255.255.0 ISP(config-if)#int loopback 0 ISP(config-if)#no shut ISP(config-if)#ip add 8.8.8.8 255.255.255.0 ISP(config-if)#end

Cấu hình Switch Core

Switch core với cổng Eth0/2 kết nối lên Firewall được cấu hình Trunk, cổng Eth0/0 cấu hình access vlan 20 và cổng Eth0/1 được cấu hình access vlan 10:

Switch>en Switch#configure terminal Switch(config)#hostname SW-Core SW-Core(config)#vlan 10 SW-Core(config-vlan)#vlan 20 SW-Core(config-vlan)#exit SW-Core(config)#interface e0/2 SW-Core(config-if)#switchport trunk encapsulation dot1q SW-Core(config-if)#switchport mode trunk SW-Core(config-if)#switchport trunk allowed vlan 10,20 SW-Core(config-if)#exit SW-Core(config)#interface e0/1 SW-Core(config-if)#switchport mode access SW-Core(config-if)#switchport access vlan 10 SW-Core(config)#interface e0/0 SW-Core(config-if)#switchport mode access SW-Core(config-if)#switchport access vlan 20 SW-Core(config-if)#end SW-Core#

Kiểm tra kết nối internet

Trên PC thuộc VLAN 10, ping đến địa chỉ IP 8.8.8.8 để kiểm tra kết nối

Như vậy là chúng ta đã cấu hình thành công mô hình mạng sử dụng Firewall Palo Alto cho 2 VLAN kết nối Internet.

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình cơ bản cho 1 mạng nhỏ sử dụng thiết bị tường lửa Firewall Sophos, với 2 VLAN là VLAN10: 10.0.0.0/24 và VLAN11: 10.0.1.0/24. Chúng ta sẽ thực hiện các cấu hình cơ bản như đặt IP cho interface, tạo VLAN, cấu hình Policy cho phép 2 vlan truy cập interenet, cấu hình default route.

Mục lục

1. Cấu hình các thông số cơ bản trong trình Wizard
2. Register và Active Firewall
3. Cấu hình Interface DHCP Server và VLAN
   • Cấu hình Physical Interface trên firewall Sophos
   • Cấu hình VLAN trên firewall Sophos
   • Cấu hình DHCP Server trên Firewall Sophos
4. Cấu hình Default Route
5. Cấu hình Policy
   • Cấu hình Policy cho phép 2 VLAN truy cập Internet
   • Cấu hình Policy cho phép 2 VLAN truy cập lẫn nhau

Cấu hình các thông số cơ bản trong trình Wizard

Các mã Firewall Sophos mới hiện này đều có IP mặc định được setup ở cổng mạng đầu tiên trên Firewall là 172.16.16.16 với password defaul là admin. Kết nối dây mạng từ cổng đầu tiên trên firewall tới laptop và đặt ip cùng subnet 172.16.16.0/24 (Ví dụ 172.16.16.100). Mở trình duyệt web và nhập địa chỉ ip của Sophos cùng port 4444 để truy cập vào trang quản trị: https://172.16.16.16:4444

Màn hình Setup Wizard sẽ hiển thị cho phép chúng ta thiết lập 1 số thông số cơ bản ban đầu. Các thông số này có thể thay đổi sau khi hoàn thành, tuy nhiên chúng ta cần cấu hình đúng các thông số trên cổng wan, kết nối sao cho firewall có thể truy cập internet để Register và Active thiết bị.

Click Click to begin để bắt đầu quá trình thiết lập.

Đặt mật khẩu cho thiết bị. Các bạn có thể tích vào ô Install the latest firmware automatically during setup (recommended) để Firewall tự động kiểm tra và cài đặt phiên bản firmware mới nhất. Tích vào ô I accept the Sophos End User License Agreement and acknowledge the Sophos Privacy Policy, nhấn Continue.

Thiết lập kết nối Internet. Mặc định firewall sophos sử dụng DHCP để nhận IP, các bạn có thể chọn Manual configuration để thiết lập ip tĩnh và chọn cổng kết nối ra internet.

Sophos sẽ kiểm tra kết nối và sử dụng cổng này để active thiết bị. Trong trường hợp chưa có kết nối Internet, tích chọn Continue offline để thiết lập sau (các bạn sẽ phải active dùng 30 ngày). Các tùy chọn cấu hình PPPoE cũng không được hỗ trợ ở bước này.

Trong bài hướng dẫn này mình chưa có kết nối internet nên sẽ lựa chọn offline.

Thiết lập Hostname và timezone cho firewall, ở Việt Nam chúng ta có thể chọn timezone là Asia/Ho_Chi_Minh.

Ở đây mình sẽ chọn Skip to finish để hoàn tất trình setup wizard, các thông số khác chúng ta sẽ cấu hình sau trong giao diện quản trị. Firewall sẽ Apply các cấu hình và khởi động lại thiết bị, quá trình này sẽ mất 1 vài phút. Sau khi firewall khởi động xong, truy cập lại IP quản trị của thiết bị và đăng nhập vào thiết bị với mật khẩu vừa tạo ở trên.

Register và Active Firewall

Do demo nên mình không có link kết nối internet nên phần này mình sẽ chọn I don’t have a serial number (start a trial) để kích hoạt dùng thử 30 ngày. Nếu  đã có kết nối internet tới Firewall, các bạn làm theo hướng dẫn sau để active thiết bị:

Hướng dẫn đăng ký và kích hoạt Firewall Sophos

Sau khi register thiết bị thành công, firewall sẽ hiển thị màn hình Dashboard:

Cấu hình Interface DHCP Server và VLAN

Mô hình kết nối của bài lap:

PortC là cổng WAN kết nối tới Internet với IP 100.0.1.100/24. PortB là cổng LAN, mình sẽ tạo 2 VLAN trên cổng này và đặt gateway của 2 VLAN trên firewall. Dịch vụ DHCP được enable trên 2 VLAN để cấp phát IP có các máy tính.

Cổng e0/0 của Core-Switch cấu hình trunk cho phép 2 VLAN 10 và 11 đi qua. Cổng e0/1 access vào VLAN 10 còn cổng e0/2 access vào VLAN 11.

Cấu hình Physical Interface trên firewall Sophos

Cấu hình PortC:

Truy cập CONFIGURE > Network, click PortC để cấu hình IP cho PortC

Thiết lập các thông số trên PortC

• Name: đặt tên cho PortC
• Network zone: chọn WAN
• Tích chọn IPv4 Configuration
• IP assingment: chọn Static để đặt IP. Nếu quay PPPoE, chọn PPPoE (DSL) và nhập tài khoản của nhà mạng.
• IPv4/Netmask: nhập địa chỉ IP gán cho cổng và chọn netmask /24.
• Gateway name: đặt tên cho gateway
• Gateway IP: nhập địa chỉ IP Gateway của mạng
• Chọn Save để lưu cấu hình.

Cấu hình VLAN trên firewall Sophos

PortB sẽ bao gồm 2 VLAN trên interface. Trong mục Network, chọn Add Interface > Add VLAN

• Name: đặt tên cho VLAN
• Interface: chọn PortB để tạo vlan 11 trên PortB
• Zone: chọn LAN
• VLANID: 11
• Tích chọn IPv4 configuration
• IP assignment: chọn Static
• IPv4/Netmask: nhập ip cho interface vlan 11, IP này sẽ là ip gateway của vlan 11
• Chọn Save để lưu cấu hình

Các bạn thực hiện tương tự để cấu hình vlan 12 trên Firewall Sophos. Sau khi cấu hình xong các bạn sẽ thấy 2 interface vlan với hardware là PortB

Cấu hình DHCP Server trên Firewall Sophos

Truy cập CONFIGURE > Network, Chọn table DHCP, chọn Add để tạo DHCP Pool cấp IP cho client trong VLAN 11

• Name: đặt tên cho DHCP Pool
• Interface: chọn VLAN11 để cấp IP cho vlan 11
• Dynamic IP lease: nhập Start IP và End Ip trong DHCP Pool.
• Static IP MAC mapping: tùy chọn này cho phép DHCP cấp duy nhất 1 IP chỉ định ứng với 1 địa chỉ MAC. IP này sẽ không được cấp cho các Client khác.
• Subnetmask: chọn /24
• Tích chọn Use interface IP as gateway để lấy địa chỉ IP trên interface vlan 11 làm gateway.

Tương tự tạo 1 DHCP Pool để cấp cho Client trong VLAN 12.

Cấu hình Default Route

Truy cập CONFIGURE > Routing, trong table Static routing, chọn Add trong mục IPv4 unicast route:

• Destination IP/Netmask: nhập 0.0.0.0/0
• Gateway: nhập địa chỉ IP nexthop, với cổng WAN quay PPPoE thì các bạn chỉ cần chọn mục Interface
• Interface: chọn cổng WAN

Cấu hình Policy

Mặc định tất cả các dòng Firewall sẽ không cho phép các zone, vlan… khác nhau truy cập lẫn nhau. Để cho phép traffic từ các vùng mạng khác nhau có thể access thì chúng ta cần tạo policy và permit các traffic này.

Cấu hình Policy cho phép 2 VLAN truy cập Internet

Truy cập PROTECT > Rules and policies, trong table Firewall rules chọn Add firewall rule > New firewall rule

Tạo Policy cho phép 2 VLAN truy cập internet. Trong bài viết mình gộp 2 policy bằng cách chọn source là cả VLAN 11 và VLAN 12. Các bạn có thể tách thành 2 policy để áp dụng các chính sách khác nhau cho 2 vlan.

• Rule status: chọn ON để bật policy này.
• Rule name: đặt tên cho rule đang tạo.
• Description: viết mô tả cho rule.
• Rule position: vị trí của rule, nếu có nhiều rule được tạo trong 1 group, firewall sẽ thực hiện kiểm tra từ trên xuống.
• Rule group: chọn group để nhóm các rule liên quan lại. Ví dụ các rule có cùng nguồn và cùng đích sẽ được gán chung 1 group để dễ quản lý.
• Log firewall traffic: tích chọn để cho phép firewall ghi lại nhật ký của các traffic matching với rule đang tạo.
• Source
  • Source zone: chọn zone nguồn, ở đây chúng ta đang tạo policy cho 2 VLAN đã gán vào zone LAN ở phần trên nên sẽ chọn mục này là LAN.
  • Source networks and devices: Chọn Add new item, chọn Add > Network, sau đó tạo 2 network tương ứng với 2 dải mạng của VLAN 11 và 12.
  • During scheduled time: chọn thời gian rule có hiệu lực. Chọn All the time.
• Destination and services:
  • Destination zones: chọn zone WAN.
  • Destination networks: chọn Any để cho phép truy cập mọi IP trên internet.
  • Services: chọn Any để cho phép truy cập tất cả dịch vụ trên Internet.

Kích chọn Create Linked NAT rule. Trong phần Translated Source (SNAT), các bạn chọn là MASQ, còn lại các thông số khác để các thông số mặc định, chọn Save để tạo NAT rule cho các IP local đi qua cổng WAN sẽ được NAT qua IP public để truy cập internet. 

chọn Save để lưu policy.

Cấu hình Policy cho phép 2 VLAN truy cập lẫn nhau

Làm tương tự với policy cho phép 2 vlan được phép truy cập lẫn nhau. Tuy nhiên 2 VLAN đều sử dụng IP nội bộ nên chúng ta sẽ không cần sử dụng NAT trong policy này.

Như vậy chúng ta đã cấu hình xong firewall Sophos cho phép mạng nội bộ truy cập internet. Các bạn có thể thay đổi các thông số tùy thuộc vào hệ thống mạng đang triển khai.

Chúc các bạn thành công!

Mô hình kết nối hệt thống mạng sử dụng Firewall Fortigate

Lưu ý: Hướng dẫn này áp dụng với các thiết bị đang chạy phiên bản FortiOS 5.6. Với các phiên bản OS thấp hoặc cao hơn, các bước thực hiện có 1 vài thay đổi.

Bài viết này hướng dẫn các bạn cấu hình cơ bản Firewall Fortigate, sử dụng cơ chế Network Address Translation (NAT) và Static Route cho phép mạng nội bộ truy cập Internet. Trong bài này, chúng ta sử dụng luôn Firewall Fortinet làm router quay số PPPoE để kết nối internet.

Truy cập vào Firewall

Tùy từng phiên bản firewall, chúng ta sẽ có các cách truy cập khác nhau. Một số dòng firewall sẽ có 1 số địa chỉ IP mặc định là 192.168.1.99/24, 192.168.100.99/24. Các dòng Firewall cũ nhà sản xuất chưa cấu hình IP mặc định thì chúng ta dùng dây console đi kèm để truy cập vào CLI của Firewall để đặt IP cho 1 cổng nào đó. Chúng ta có thể xem IP, Username password default của Firewall ở tem trên mặt của Firewall

Nếu không tìm được IP mặc định, chúng ta có thể kết nối tới cổng Console và đặt IP cho 1 cổng bất kỳ (đăng nhập với username là admin và pass để trống):

FG900A83901645649 #config system interfaceFG900A83901645649 (interface) #edit port1FG900A83901645649 (port1) #set allowaccess ping http https telnet ssh FG900A83901645649 (port1) #set ip 192.168.1.99 255.255.255.0 FG900A83901645649 (port1) #next FG900A83901645649 (interface) #end

Kết nối máy tính với fortigate, đối với các firewall đã có IP default, chúng ta kết nối với cổng MGMT hoặc MGMT1 như hướng dẫn trên firewall. Trong trường hợp ta set IP trong console thì kết nối với cổng được đặt IP (như ví dụ trên là port 1). Đặt IP tĩnh trên máy tính cùng dải với IP của firewall. Mở trình duyệt web, nhập địa chỉ IP của firewall, đăng nhập với tài khoản mặc định là admin và pass để trống:

Khi đăng nhập vào sẽ có thông báo đổi mật khẩu, bạn có thể đổi mật khẩu để bảo mật hoặc có thể thay đổi sau. 

Thay đổi Hostname và thiết lập ngày giờ

[Tùy chọn] Trên Fortigate Master, vào System > Settings  và thay đổi hostname là External-Primary (bước này có thể bỏ qua) và thời gian trên firewall

Cấu hình Interface

Truy cập vào Network > Interfaces, trước tiên chúng ta cấu hình cổng wan trên firewall

Trên firewall có nhiều cổng Wan để sử dụng nhiều đường truyền cùng lúc. Fortinet cung cấp công nghệ SD-WAN cho phép cấu hình nhiều đường FTTP hoặc Leased Line để chạy song song dự phòng. Mình sẽ giới thiệu công nghệ SD-WAN trong bài Cấu hình SD-WAN trên firewall Fortinet. Chúng ta chọn cổng wan1, kích chuột phải chọn edit để cấu hình:

Ở đây chúng ta sẽ cấu hình 1 số mục cần thiết:

• Role: chọn role là wan
• Address: mục này sẽ có 3 tùy chọn là Manual, DHCP và PPPoE
  • Manual: trong trường hợp chúng ta có 1 IP tĩnh riêng thì sẽ chọn address là Manual và nhập địa chỉ IP Public vào
  • DHCP: nhận IP từ 1 DHCP server cấp
  • PPPoE: đối với các thuê bao FTTP của nhà cung cấp như viettel, ftp… chúng ta sẽ chọn mục này và nhập username password của nhà cung cấp dịch vụ cấp cho chúng ta
• Administrative Access: cho phép bật các tính năng trên Interface như http, https (để truy cập vào firewall), ping, ….

Nhấn OK để lưu cấu hình

Cấu hình cổng LAN, kích chuột phải vào cổng LAN chọn edit

Mặc định các cổng trên Firewall được gán vào LAN Interface và gán rule LAN

• Address: trong phần Addressing mode chọn Manual và đặt địa chỉ IP cho Interface, Ip này sẽ đóng vai trò là Default Gateway trong LAN. Nếu bạn thay đổi IP trong phần này, bạn sẽ phải đăng nhập lại với IP mới vừa cấu hình
• Administrative Access: bật 1 số tính năng trên interface (để có thể cấu hình firewall qua giao diện web, chúng ta phải bật tính năng https và http trên interface này)
• DHCP Server: tạo 1 DHCP server để cấp địa chỉ IP cho client trong LAN

Nhấn OK để lưu cấu hình.

Cấu hình Static Route trên firewall Fortigate

Truy cập vào Network > Static Routes > Create New để tạo 1 static route

Chọn Destination là Subnet với IP và SubnetMask là 0.0.0.0/0.0.0.0, nhập địa chỉ gateway (đây là địa chỉ IP Next hope), interface là WAN1, Status là Enabled

Cấu hình Policy trên fortigate cho phép mạng nội bộ truy cập được Internet

Truy cập vào Policy & Objects > IPv4 Policy > Create New

Thiết lập Policy cho phép mạng LAN truy cập internet

• Name: đặt tên cho policy để phân biệt với các policy khác
• Incoming Interface: chọn LAN để cho phép mạng LAN đi ra
• Outgoing Interface: chọn Wan1 vừa cấu hình để cho phép mạng LAN đi ra Internet qua cổng Wan1
• Source: chọn ALL để cho tất cả các máy tính đi ra hoặc có thể chọn 1 số client
• Destination: chọn ALL
• Schedule: Always
• Service: chọn ALL, các mục này ta có thể chọn chỉ cho phép 1 số dịch vụ truy cập internet. Chọn ALL là cho phép tất cả
• Action: Accept để cho phép ( chọn deny là không cho phép đi ra qua cổng Wan1)
• Bật tính năng NAT, điều này bắt buộc để mạng LAN có thể ra internet
• Security Profiles: các tính năng này phụ thuộc vào license đang sử dụng. Đối với các part Firewall là BDL ( ví dụ FG-100D-BDL, FG-100E-BDL) thì mới kích hoạt được các tính năng này, các part như FG-100D, FG-100E sẽ không kích hoạt được các tính năng này mà phải mua thêm license
• Logging Options: Cho phép ghi lại log các traffic hoặc các gói tin ra vào trong mạng

Chọn OK để lưu cấu hình

Như vậy là mạng chúng ta đã cấu hình cho phép mạng LAN truy cập ra Internet. Để kiểm tra, vào máy tính bất kỳ ping đến 8.8.8.8 thông được là chúng ta đã cấu hình thành công