TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 1
MỤC LỤC
1
Mục đích ........................................................................................................................... 3
2
Phạm vi áp dụng................................................................................................................ 3
3
Mô tả dịch vụ .................................................................................................................... 3
4
Hướng dẫn tạo Token........................................................................................................ 4
5
Hướng dẫn cấu hình network cho KH chưa sử dụng Cloud (các VM server chưa chạy) 5
5.1 Tạo VM NGFW ................................................................................................................... 5
5.2 Cấu hình mạng cho NGFW ................................................................................................ 6
5.2.1 Giao diện cấu hình NIC NGFW............................................................................................... 6
5.2.2 Cấu hình Network trong VPC .................................................................................................. 8
5.2.3 Cấu hình gán Network vào VM ............................................................................................. 16
5.3 Cấu hình Edge Gateway ................................................................................................... 19
5.3.1 Cấu hình rule NAT................................................................................................................. 19
5.3.2 Cấu hình rule Firewall ........................................................................................................... 19
5.3.3 Cấu hình rule Static Route ..................................................................................................... 20
6
Hướng dẫn cấu hình network cho KH đang sử dụng Cloud (các VM server đang chạy)20
6.1 Tạo VM NGFW ................................................................................................................. 21
6.2 Cấu hình mạng cho NGFW .............................................................................................. 21
6.2.1 Giao diện cấu hình NIC NGFW............................................................................................. 21
6.2.2 Cấu hình Network trong VPC ................................................................................................ 23
6.2.3 Cấu hình gán Network vào VM ............................................................................................. 25
6.3 Cấu hình Edge Gateway ................................................................................................... 28
6.3.1 Cấu hình rule NAT................................................................................................................. 28
6.3.2 Cấu hình rule Firewall ........................................................................................................... 29
6.3.3 Cấu hình rule Static Route ..................................................................................................... 29
7
Cấu hình dịch vụ VCF của Fortinet ................................................................................ 29
7.1.1
7.1.2
7.1.3
7.1.4
7.1.5
4.4.4
7.1.6
Cấu hình ban đầu ................................................................................................................... 30
Gán license vào thiết bị vCF .................................................................................................. 30
Vào GUI của VCF FortiGate ................................................................................................. 30
Sao lưu, khôi phục cấu hình ................................................................................................... 31
Cài đặt tài khoản đăng nhập thiết bị....................................................................................... 33
Nâng cấp firmware ................................................................................................................. 34
Đặt tên, thời gian cho thiết bị ................................................................................................. 34
1
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 2
7.1.7
7.1.8
7.1.9
7.1.10
7.1.11
7.1.12
7.1.13
Cài đặt dự phòng (High Availability) .................................................................................... 35
Cài đặt SNMP ........................................................................................................................ 36
Cài đặt Interface ..................................................................................................................... 37
Cài đặt DNS ........................................................................................................................... 38
Cài đặt Static Route và Policy Route ..................................................................................... 39
Cài đặt IPv4 Policy ................................................................................................................ 41
Cài đặt Virtual IPs (Cấu hình NAT Port)............................................................................... 42
2
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 3
1
Mục đích
Mục đích của tài liệu là quản trị dịch vụ Viettel Cloud Firewall (VCF) và hướng dẫn
triển khai nhằm đảm bảo ứng dụng vận hành thông suốt, hỗ trợ giải quyết các vấn đề kỹ
thuật khách hàng gặp phải trong quá trình sử dụng dịch vụ góp phần đem lại sự hài lòng
của khách hàng khi sử dụng dịch vụ của Viettel IDC.
2
Phạm vi áp dụng
Tài liệu này được áp dụng cho dịch vụ VCF Fortigate
3
Mô tả dịch vụ
Dịch vụ Viettel Cloud Firewall hướng vào các đối tượng khách hàng Public Cloud
(Virtual Private Cloud, Dedicated Instances) và Private Cloud (Dedicated Private
Cloud). Với các khách hàng sử dụng VPC việc đăng ký mua, nâng cấp hoặc hủy dịch
vụ VCF đã được thực hiện trên hệ thống Automation. Với dịch vụ Dedicated Private
Cloud bộ phận quản trị hệ thống tiến hành triển khai VCF, đăng ký License cho khách
hàng.
ViettelIDC thực hiện tạo các NGFW và cung cấp License đã đăng ký trên Customer
Support Portal của hãng khi khách hàng khi khách hàng tiến hành làm thủ tục mua dịch
vụ trên Website. Khách hàng tự cấu hình, cài đặt theo thiết kế quy hoạch sẵn có của
khách hàng. Viettel IDC sẽ hỗ trợ khi khách hàng gửi yêu cầu hỗ trợ dịch vụ VCF về
các sự cố liên quan.
3
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 4
4
Hướng dẫn tạo Token
Vào trang quản lý dịch vụ https://viettelidc.com.vn/
Chọn quản lý dịch vụ, Chọn dịch vụ Viettel Cloud Firewall
Chọn gói dịch vụ cần tạo Token
4
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 5
Click vào :
Click vào tạo Token mới, nhập captcha và Click Gửi OTP, Quý khách vui lòng check
mail để lấy mã OTP nhập mã OTP để Tạo Token.
Sau khi có Token đến mục 7.1.2 để active License
Hướng dẫn cấu hình network cho KH chưa sử dụng Cloud (các VM server
chưa chạy)
5.1 Tạo VM NGFW
5
Vào Data Centers/Compute/vApps chọn New VAPP > Add vApp From Catalog
5
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 6
Giao diện khi tạo xong VM NGFW:
5.2 Cấu hình mạng cho NGFW
5.2.1 Giao diện cấu hình NIC NGFW
Vào Virtual Machine (VM) - NGFW chọn Hardware/NIC, add đủ 10 NIC
VMXNET3, chọn NIC 0 làm primary NIC, và connect tất cả các NIC
6
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 7
Vào Virtual Machine (VM) - NGFW chọn Hardware/NIC để kiểm tra các Port kết nối
của NGFW đã có đủ 10 NIC.
Các NIC của VM sẽ ánh xạ với các Port của NGFW theo bảng sau:
Virtual Machine
NGFW
NIC 0
Port1(MGMT/WAN)
NIC 1
Port2 (HA nếu có)
NIC 2
Port3
NIC 3
Port4
7
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 8
NIC 4
Port5
NIC 5
Port6
NIC 6
Port7
NIC 7
Port8
NIC 8
Port9
NIC 9
Port10
5.2.2 Cấu hình Network trong VPC
Để kết nối giữa NGFW và các Server hoặc giữa NGFW với Edges Gateway cần tạo
các Networks. Vào Data Centers/Networking/Networks chọn New để tiến hành tạo một
Networks mới.
Hai loại Network có thể được tạo:
 Isolated: Network dùng để kết nối riêng giữa các VM trong các vPC. Loại này phù
hợp cho việc kết nối giữa cổng LAN của NGFW và các VM Server trong một cụm
chức năng, hoặc kết nối HA giữa 2 NGFW.
 Routed: Network dùng để kết nối giữa các VM và Edge Gateway. Loại này phù
hợp với việc kết nối giữa cổng WAN của NGFW tới Edge Gateway.
8
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 9
Cấu hình Isolated Network:
General: đặt tên Isolated Network, địa chỉ IP Gateway CIDR, Description.
9
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 10
Static IP Pools: Tạo một Pools IP cấp phát động cho các NIC của VM. Nhập IP Pools và
nhấn ADD.
10
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 11
DNS: điền thông tin DNS Server cung cấp cho các VM.
Ready to Complete: kiểm tra lại toàn bộ các thông tin cấu hình Isolated Network và nhấn
FINISH để hoàn thành việc cấu hình
11
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 12
Cấu hình Routed Network, kết nối giữa WAN Interface, MGMT Interface của NGFW
với Edge Gateway.
12
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 13
Edge Connection: Chọn Edge Gateway muốn kết nối
General: đặt tên Routed Network, địa chỉ IP Gateway CIDR – đây là địa chỉ IP sẽ được
gán vào một Interface Downlink của Edge Gateway.
13
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 14
Static IP Pools: Tạo một Pools IP cấp phát động cho các NIC của VM. Nhập IP Pools và
nhấn ADD.
DNS: điền thông tin DNS Server cung cấp cho các VM
14
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 15
Ready to Complete: kiểm tra lại toàn bộ các thông tin cấu hình Routed Network và nhấn
FINISH để hoàn thành việc cấu hình.
15
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 16
5.2.3 Cấu hình gán Network vào VM
Vào giao diện cấu hình NIC của VM NGFW. Chọn Edit để tiến hành gán Networks
vào từng NIC.
ADD VAPP NETWORK chọn OrgVDC Network và chọn các Networks đã tạo trước đó
vào VAPP.
Mỗi NIC chọn:
 Primary NIC: chọn tại NIC 0 (MGMT/WAN Port)
 Connected: chọn để mở NIC.
 Adapter Type: mặc định đã chọn VMXNET3.
 Network: chọn Networks đã tạo
 IP Mode:
o Static – IP Pool: tự động gán IP vào từng NIC theo IP Pool đã tạo trong từng
Networks.
16
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 17
o Static – Manual: gán bằng tay IP vào từng NIC
 IP (địa chỉ IP gán cho NIC có thể khác với địa chỉ IP cấu hình trong trong diện quản
trị của NGFW, tuy nhiên khuyến nghị nên đặt giống IP để dễ cho việc quản lý và
vận hành):
o Với IP Mode là Static – IP Pool: phần IP sẽ được gán tự động một IP.
o Với IP Mode là Static – Manual: nhập địa chỉ IP sẽ gán cho NIC
17
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 18
Trạng thái của các NIC sau khi cấu hình:
18
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 19
5.3
Cấu hình Edge Gateway
5.3.1 Cấu hình rule NAT
Network > Edge Gateway > Chọn Edge > Services > NAT
Tạo DNAT rule từ IP public vào port 443 của vCF
Tạo SNAT rule, NAT các dải WAN, LAN của vCF ra qua IP public
5.3.2 Cấu hình rule Firewall
19
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 20
Network > Edge Gateway > Chọn Edge > Services > Firewall
Cấu hình Allow từ internet vào port NAT của vCF
Cấu hình Allow từ IP MGMT/WAN của vCF ra ngoài internet
Cấu hình Allow các dải LAN của vCF ra ngoài internet
5.3.3 Cấu hình rule Static Route
Network > Edge Gateway > Chọn Edge > Services > Routing > Static Routes
Cấu hình Static Route đến các dải LAN với nexthop là IP WAN của vCF
6
Hướng dẫn cấu hình network cho KH đang sử dụng Cloud (các VM server
đang chạy)
20
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 21
6.1 Tạo VM NGFW
Vào Data Centers/Compute/vApps chọn New VAPP > Add vApp From Catalog
Giao diện khi tạo xong VM NGFW:
6.2 Cấu hình mạng cho NGFW
6.2.1 Giao diện cấu hình NIC NGFW
21
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 22
Vào Virtual Machine (VM) - NGFW chọn Hardware/NIC, add đủ 10 NIC
VMXNET3, chọn NIC 0 làm primary NIC, và connect tất cả các NIC
Vào Virtual Machine (VM) - NGFW chọn Hardware/NIC để kiểm tra các Port kết nối
của NGFW đã có đủ 10 NIC.
Các NIC của VM sẽ ánh xạ với các Port của NGFW theo bảng sau:
Virtual Machine
NGFW
NIC 0
Port1(MGMT/WAN)
22
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 23
NIC 1
Port2 (HA nếu có)
NIC 2
Port3
NIC 3
Port4
NIC 4
Port5
NIC 5
Port6
NIC 6
Port7
NIC 7
Port8
NIC 8
Port9
NIC 9
Port10
6.2.2 Cấu hình Network trong VPC
-
Do khách hàng đã có các dải LAN đang sử dụng và cắm lên Edge nên sẽ không tạo
mới dải isolated (trừ trường hợp KH chạy HA thì vẫn cần thêm 1 dải isolated)
Cấu hình WAN network, kết nối giữa WAN Interface, MGMT Interface của NGFW với
Edge Gateway.
o Tạo Routed network trỏ lên Edge: Như phần 4.2.2
-
Cấu hình các LAN network, kết nối giữa LAN interface của NGFW và các dải LAN của
khách hàng
o Ghi nhớ Gateway CIDR của network, NGFW sẽ nắm IP này
o Chỉnh các dải LAN (hiện đang là routed) sang isolated
Networking > Networks > Chọn dải LAN > Edit > Connection > Tắt connect to an edge gateway
23
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 24
24
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 25
6.2.3 Cấu hình gán Network vào VM
Vào giao diện cấu hình NIC của VM NGFW. Chọn Edit để tiến hành gán Networks
vào từng NIC.
ADD VAPP NETWORK chọn OrgVDC Network và chọn các Networks đã tạo trước đó
vào VAPP.
Mỗi NIC chọn:
 Primary NIC: chọn tại NIC 0 (MGMT/WAN Port)
 Connected: chọn để mở NIC.
 Adapter Type: mặc định đã chọn VMXNET3.
 Network: chọn Networks đã tạo
25
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 26
-
Đối với dải MGMT/WAN có thể chọn IP pool hoặc IP manual
-
Đối với các dải LAN vừa chuyển từ Routed sang Isolated
o Đặt IP trên NGFW tương ứng với Gateway CIDR hồi trước của network
26
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 27
Trạng thái của các NIC sau khi cấu hình:
27
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 28
6.3
Cấu hình Edge Gateway
6.3.1 Cấu hình rule NAT
Network > Edge Gateway > Chọn Edge > Services > NAT
Tạo DNAT rule từ IP public vào port 443 của vCF
Tạo SNAT rule, NAT dải WAN mới của NGFW qua IP public
Đối với các dải LAN chuyển từ Routed sang Isolated, không cần cấu hình thêm
NAT, do Cloud Firewall chỉ có trách nhiệm route traffic, vẫn chỉ NAT trên Edge
Gateway
28
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 29
6.3.2 Cấu hình rule Firewall
Network > Edge Gateway > Chọn Edge > Services > Firewall
Cấu hình Allow từ internet vào port NAT của vCF
Cấu hình Allow từ IP MGMT/WAN của vCF ra ngoài internet
Không cần cấu hình Allow các dải LAN của vCF ra ngoài internet do đã có rule allow
từ trước trên Edge
6.3.3 Cấu hình rule Static Route
Network > Edge Gateway > Chọn Edge > Services > Routing > Static Routes
Cấu hình Static Route đến các dải LAN vừa chuyển từ routed sang isolated với nexthop là IP
WAN của vCF
7
Cấu hình dịch vụ VCF của Fortinet
29
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 30
7.1.1 Cấu hình ban đầu
Vào CLI của VM Fortigate qua console, đánh lệnh sau
config system interface
edit port1
set mode static
set ip <ip wan>/<netmask>
set allowaccess ping http https ssh
next
end
config router static
edit 1
set gateway <IP downlink của Edge>
set device port1
next
end
config system dns
set primary 8.8.8.8
end
Ping ra ngoài internet để kiểm tra kết nối
execute ping 8.8.8.8
7.1.2 Gán license vào thiết bị vCF
Vào CLI của VM Fortigate
Đánh lệnh sau
execute vm-license <license code nhận được từ Viettel IDC>
VM sẽ reboot và license sẽ được gán vào thiết bị
7.1.3 Vào GUI của VCF FortiGate
Vào IP Public đã NAT về IP WAN/MGMT của VCF ở phần cấu hình Edge Gateway
30
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 31
7.1.4 Sao lưu, khôi phục cấu hình
Sao lưu cấu hình
Trên thanh công cụ, bấm mở rộng
Vào tag Configuration > Backup
Chọn nơi lưu File cấu hình: Local PC hoặc USB
Đặt mật khẩu cho File cấu hình (Tuỳ chọn)
Khôi phục cấu hình
Trên thanh công cụ, bấm mở rộng
Vào tag Configuration > Restore
31
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 32
Chọn File cấu hình từ Local PC
Nhập mật khẩu cho File cấu hình (Tuỳ chọn)
32
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 33
7.1.5 Cài đặt tài khoản đăng nhập thiết bị
Tạo tài khoản đăng nhập mới:
Vào System -> Administrator -> Create New -> Administrator
-
Username: Tên đăng nhập thiết bị
Type: Local User: Xác thực tài khoản bằng mật khẩu cục bộ được lưu trữ trên
FortiGate.
Password: Mật khẩu đăng nhập
33
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 34
-
Confirm Password: xác nhận lại mật khẩu
Administrator Profile: chọn super_admin
-
Chọn ok để kết thúc.
Đổi mật khẩu tài khoản đã có sẵn:
Vào System -> Administrator, chọn tài khoản cần thay đổi password, kích chọn EDIT
-
Chọn Change Password.
Thay đổi mật khẩu và chọn OK để kết thúc
4.4.4 Nâng cấp firmware
Vào System -> Fabric Management: nâng cấp lên firmware mới nhất để thiết bị hoạt động
tốt nhất.
7.1.6 Đặt tên, thời gian cho thiết bị
34
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 35
Vào System -> Setting:
- Hostname: Đặt tên thiết bị
- System time: Đặt lại thời gian, timezone cho thiết bị về GMT+7
-
Chọn Apply để lưu cài đặt
7.1.7 Cài đặt dự phòng (High Availability)
Vào System -> HA:
- Mode: Active – Passive
35
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 36
-
Device priority: thiết bị Active sẽ có priority cao hơn
Group ID: ID của roup HA
-
Group name: Đặt tên cho group HA
Password: Đặt mật khẩu để 2 thiết bị đồng bộ với nhau
Monitor interface: chọn interface điều khiển HA (trường hợp interface này đứt, hệ
thống sẽ chuyển sang thiết bị dự phòng)
-
Hearbeat interface: chọn interface kết nối HA
-
Management Interface Reservation: Interface không sync để quản trị độc lập 2 thiết bị
Unicast Heartbeat: Đặt IP là HA interface của thiết bị còn lại
Chọn OK để kết thúc cài đặt.
7.1.8 Cài đặt SNMP
Vào System -> SNMP:
- Community Name: Đặt tên SNMP mong muốn
36
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 37
-
IP Address: đặt ip máy nhận thông báo log
Host Type: Accept queries and send traps
-
Tắt Queries v1
Chọn OK để kết thúc cài đặt.
7.1.9 Cài đặt Interface
Vào Network -> Interfaces
Chọn Interface cần cấu hình
-
Role: Chọn role theo mô hình triển khai
Addressing mode: Manual
37
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 38
-
IP/Network Mask: IP cho Interface
Administrative Access: Chọn Ping (cho MGMT interface chọn thêm HTTPS)
-
Chọn OK để kết thúc cài đặt
7.1.10 Cài đặt DNS
Vào Network -> DNS
Cấu hình DNS server theo ý muốn
DNS Protocol để UDP/53
38
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 39
7.1.11 Cài đặt Static Route và Policy Route
Vào Network -> Static route -> Create New
-
Destination: dải ip đích cần định tuyến đến
Interface: interface traffic sẽ đi ra
Gateway: ip next hop
Chọn OK để kết thúc quá trình cài đặt
39
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 40
Cài đặt Policy Route
Vào Network -> Policy route -> Create New
-
Protocol: chọn TCP, UDP hoặc ANY (cả UDP và TCP)
Incoming interface: Chọn interface sẽ nhận traffic
Source Address: Địa chỉ nguồn
Destination Address: Địa chỉ đích cần định tuyến
Chọn OK để kết thúc quá trình cài đặt.
40
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 41
7.1.12 Cài đặt IPv4 Policy
Vào Policy & Objects -> IPv4 Policy -> Create New
Tạo các rule điều khiển truy cập vào ra của gói tin, có chức năng cho phép gói tin đi qua hay
bị chặn lại khi đi từ zone này qua zone khác, interface này qua interface khác.
-
Name: Đặt tên cho rule cần tạo
Incoming Interface: Cấu hình cổng vào của gói tin
41
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 42
-
Outgoing Interface: Cấu hình cổng ra của gói tin
Service: Cấu hình dịch vụ cần thiết (DNS, FTP, HTTP, HTTPS,…)
-
Destination: Cấu hình địa chỉ đích
Schedule: thời gian có hiệu lực của Policy
Service: Cấu hình dịch vụ cần thiết (DNS, FTP, HTTP, HTTPS,…)
-
NAT: Cấu hình NAT hoặc không NAT tùy theo nhu cầu thực tế, chọn NAT theo IP
của Interface hoặc IP Pool
-
Tuỳ chọn bật các tính năng: Antivirus, DNS Filter, Web Filter, ghi log…
Chọn OK để kết thúc quá trình cài đặt.
7.1.13 Cài đặt Virtual IPs (Cấu hình NAT Port)
Virtual IPs hay còn gọi là NAT port hay Port Forwarding.
Tính năng này cho phép các thiết bị ở bên ngoài Internet có thể kết nối đến dịch vụ trên máy
chủ bên trong hệ thống.
Vào Policy & Objects -> Virtual IPs -> Create New
42
TẬP ĐOÀN CÔNG NGHIỆP-VIỄN THÔNG QUÂN ĐỘI Mã hiệu:
QT.IDC.DVS.
CÔNG TY TNHH VIETTEL-CHT
HƯỚNG DẪN SỬ DỤNG VÀ CÀI ĐẶT CƠ BẢN Ngày có hiệu lực:
DỊCH VỤ CLOUD FIREWALL FORTINET
Phiên bản: 1.1
Trang: 43
-
Name: đặt tên cho virtual IP cần cấu hình
External IP address/range: địa chỉ IP public
Mapped IP address/range: địa chỉ IP private
-
Protocol: chọn giao thức sử dụng (TCP – UDP – SCTP – ICMP)
-
External service port: cấu hình port sử dụng bên ngoài
Map to port: cấu hình port sử dụng cho IP private
Chọn OK để kết thúc quá trình cài đặt.
43