Tài liệu hướng dẫn cấu hình cơ bản cho firewall FORTIGATE tiếng việt. Trước khi nói về PolicyBased Routing (PBR) thì cùng điểm lại về cách các thiết bị Layer 3 chuyển tiếp gói tin đến đích. Thông thường, khi có nhiều tuyến đường (route) đến cùng 1 đích trong bảng định tuyến (Routing Information Base – RIB) các thiết bị mạng sẽ chọn tuyến đường tốt nhất và thêm nó vào bảng chuyển tiếp của nó (Forwarding Information Base FIB), ngay cả khi có 2 đường có chi phí bằng nhau nó cũng chỉ chọn 1 đường và không sử dụng bất kỳ tuyến đường nào khác trừ khi có sự cố trong tuyến đường đã chọn.
CHAP1: GUI hay CLI? Nếu xoay quanh GUI hay CLI nhanh em khơng có ý kiến, em dùng hai GUI: Dễ sử dụng cho đại đa số, có gần đầy đủ tác vụ đến nâng cao CLI: Để cấu hình tính GUI khơng có, để trouble shooting đặc biệt cấu hình thao tác lặp lặp lại Ví dụ: Làm để cấu hình 10 Network Object LAN đến LAN 10? Đầu tiên em tạo Object cho LAN bình thường Hoặc nhớ lệnh bỏ qua bước Show cấu hình CLI (Sử dụng Putty phần mềm khác để Copy lệnh) Chuẩn bị File Excel (Cái phải có bắt đầu phân hoạch IP cho hệ thống) Copy thành Notepad bỏ dấu “ngoặc kép” khó chịu thơi Sau bỏ dấu “ngoặc kép” đến lúc copy paste lệnh vào giao diện CLI Tất nhiên trick dùng cho tất loại thiết bị có giao diện CLI Nhưng em khuyến cáo copy chút lệnh Copy nhiều lệnh lúc chúng dễ đình cơng CHAP : ZONE Nếu bác đụng đến NGFW (Next Generation Firewall) hẳn bác thấy Zone (Thực xin lỗi em sinh cuối Gen Y, không tiếp xúc với Firewall hệ trước) Em hay thấy phần lớn người cấu hình IP cho dải mạng LAN tương ứng với Interface Hoặc đặt Ip theo Sub-Interface (LACP Link từ Firewall xuống Switch) Role WAN, LAN, DMZ theo kinh nghiệm em để hiển thị thống kê cho đẹp Em thường để Interface có Default Gateway WAN, Interface khác Undefined Nhưng quan trọng tạo Firewall Policy thực rối mắt công Để giải trùng lặp Firewall Policy có cách Cách 1: Bật tính Multiple Interface Policies Tuy nhiên chọn cấu hình theo cách khơng thể xem Policy theo Interface Pair View Khi có đến hàng nghìn sách, việc tìm Policy thực khó khăn Cách 2: Sử dụng Zone Gần tất loại Firewall mà em biết có Zone, có dịng bắt buộc phải gán Interface vào Zone sử dụng Sau nhóm member vào Zone, Trên Firewall Policy tạo Policy theo Zone Khi có Interface, có nên tạo Zone cho khơng? Trong ví dụ có dải mạng DMZ, có Policy cho phép DMZ internet từ LAN vào DMZ_WEB server Trường hợp 1: Khi cần mở rộng thêm dải DMZ thứ lại lặp lại toán ban đầu Trường hợp 2: Khi cần thay đổi VLAN dải DMZ phải xóa thay đổi tạm Interface liên quan đến DMZ Firewal Policy sang interface khác -> Xóa Sub-Interface -> Tạo Sub-Interface với VLAN Nó làm giảm tính linh hoạt hệ thống mạng Khi sử dụng Zone, việc thay đổi xóa, sửa interface làm thay đổi member Zone, không làm ảnh hưởng đến phần cấu hình Policy Zone Có nên tạo Zone cho nhiều đường FTTH ? Mời bác đón xem CHAP3: Zone + Policy Based Routing vs SD-WAN rule CHAP : ZONE + POLICY-BASED ROUTING VS SD-WAN RULE Trước nói Policy-Based Routing (PBR) điểm lại cách thiết bị Layer chuyển tiếp gói tin đến đích Thơng thường, có nhiều tuyến đường (route) đến đích bảng định tuyến (Routing Information Base – RIB) thiết bị mạng chọn tuyến đường tốt thêm vào bảng chuyển tiếp (Forwarding Information Base - FIB), có đường có chi phí chọn đường không sử dụng tuyến đường khác trừ có cố tuyến đường chọn Equal Cost Multiple Path (ECMP) tính cho phép thiết bị mạng router, switch hay firewall sử dụng nhiều đường dẫn tốt có chi phí đến đích Các tuyến đường ECMP đưa vào bảng định tuyến cân tải lưu lượng để tăng băng thông hệ thống Cân tải ECMP thực cấp phiên (session), khơng phải cấp gói (Packet) – thời điểm bắt đầu phiên thiết bị mạng (ECMP) chọn đường dẫn chi phí ngang để truyền tải gói tin Tham khảo: https://starlinks.vn/giai-phap/giai-phap-switch-router/ecmp-la-gi-cac-thuat-toan-canbang-tai-trong-ecmp/ Mặc định Fortigate, có nhiều WAN khác nhau, ECMP sử dụng để cân tải gói tin có nhiều tuyến đường có chi phí Trong trường hợp có nhiều Default-Route trường hợp thường gặp Như gom đường WAN vào Zone, ECMP Firewall sử dụng để cân tải Route đến đích có Priority nhỏ Firewall Policy cần tạo Policy cho WAN Khi cần cho Host (Ví dụ Mail Server, Server cần Active License theo IP Public cố định…) Internet WAN cố định phải dùng đến Policy Routes (Policy-Based Routing) Fortigate Ví dụ bên đẩy traffic WEB MAIL theo FTTH2 Policy Routes Firewall check từ xuống Cũng Cisco hay thiết bị khác, Routing Information Based thiết bị sử dụng sau PolicyBased Routing, nên cần có Rule Deny Local traffic khỏi Policy Routing *Lưu ý: Sử dụng Group Object làm rút gọn Rule bên trên, em để riêng Object để bác thấy rõ Khi dùng Zone + Policy Based Routing Fortigate đáp ứng yêu cầu Tuy nhiên cịn thiếu tính check trạng thái đường truyền trước thực Policy Routing Ví dụ bên phải cấu hình Cisco Router, trước gói tin đẩy theo interface phải check Track Object Để làm điều Fortigate, cần sử dụng tính SD-WAN Việc add đường WAN vào SD-WAN Zone chất gần tương tự add vào Zone bình thường Tuy nhiên có thêm phần khai báo Next-hop Cost Tạo SLA check ping 8.8.8.8 Tạo SD-WAN Rule đẩy MAIL WEB theo Interface FTTH-2, SLA Heal-check Ping_8.8.8.8 Các Manual SD-WAN Rule Firewall check từ xuống dưới, không match với SD- WAN Rule Firewall thực Load Balancing theo Default SD-WAN Rule Có thể đổi mode Load-Balancing Default SD-WAN Rule theo nhu cầu Sau thiết lập xong SD-WAN Rule, việc tạo Firewall policy tương tự add đường FTTH vào Zone bình thường Việc định tuyến, điều hướng traffic thiết lập Fortigate Tuy nhiên việc giao tiếp Public Internal, hay đơn giản vùng mạng định tuyến tới phải cần SNAT DNAT Trên Fortigate mặc định khơng có mục riêng để cấu hình NAT thiết bị bình thường Vậy cấu hình NAT Fortigate để hệ thống hoạt động mong muốn? Mời bác đón xem CHAP4: NAT ... https://starlinks.vn/giai-phap/giai-phap-switch-router/ecmp-la-gi-cac-thuat-toan-canbang -tai- trong-ecmp/ Mặc định Fortigate, có nhiều WAN khác nhau, ECMP sử dụng để cân tải gói tin có nhiều tuyến đường... định tuyến, điều hướng traffic thiết lập Fortigate Tuy nhiên việc giao tiếp Public Internal, hay đơn giản vùng mạng định tuyến tới phải cần SNAT DNAT Trên Fortigate mặc định khơng có mục riêng để... làm rút gọn Rule bên trên, em để riêng Object để bác thấy rõ Khi dùng Zone + Policy Based Routing Fortigate đáp ứng yêu cầu Tuy nhiên cịn thiếu tính check trạng thái đường truyền trước thực Policy