1. Trang chủ
  2. » Luận Văn - Báo Cáo

Đề tài tốt nghiệp công nghệ thông tin Cấu hình tường lửa Fortigate trong mạng doanh nghiệp

95 2,7K 42

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 95
Dung lượng 11,53 MB

Nội dung

CẤU HÌNH TƯỜNG LỬA FORTIGATE TRONG MẠNG DOANH NGHIỆP 1/94 LỜI CẢM ƠN Sau 3 tháng thực tập tại Công ty cổ phần TM DV Công nghệ Chân Trời (Tech Horizon Corporation). Với sự hướng dẫn tận tình của Thầy Huỳnh Đệ Thủ cùng với anh Trương Trọng Hiếu, đã giúp em hoàn thành đề tài “Cấu hình tường lửa Fortigate trong mạng doanh nghiệp”. Em xin chân thành cảm ơn Công ty cổ phần TM DV Công nghệ Chân Trời (Tech Horizon Corporation). Đồng thời em chân thành cảm ơn Anh Hiếu và Thầy Huỳnh Đệ Thủ đã truyền đạt những kiến thức, kinh nghiệm trong lĩnh vực An ninh mạng nói riêng và lĩnh vực Công Nghệ Thông Tin nói chung để em có được những kiến thức tổng hợp về ngành nghề trước khi ra trường. Xin cảm ơn các anh chị trong công ty đã giúp đỡ em ở công ty trong quá trình thực tập. Mặc dù đã cố gắng rất nhiều, tuy nhiên nội dung của Đồ án này có thể còn nhiều thiếu sót. Em xin chân thành cảm ơn ý kiến đóng góp, nhận xét của Giảng Viên để nội dung của đồ án ngày càng hoàn thiện hơn. Trân trọng cảm ơn! Tp Hồ Chí Minh, tháng 3 năm 2014 Sinh viên thực tập VŨ DUY TÂN Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 NHẬN XÉT VÀ KẾT LUẬN CỦA GIẢNG VIÊN Nhận xét: Kết luận: Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 NHẬN XÉT VÀ KẾT LUẬN CỦA GIẢNG VIÊN Nhận xét: Kết luận: 3/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 MỤC LỤC A. GIỚI THIỆU ĐỀ TÀI 6 1. Giới thiệu đề tài. 6 2. Mục đích đề tài 7 3. Yêu cầu đề tài 7 B. GIỚI THIỆU FORTIGATE 8 C. CẤU HÌNH THIẾT BỊ 9 1. CẤU HÌNH CĂN BẢN 9 1.1. Login và system 9 1.2. Tạo tài khoản quản trị thiết bị 11 1.3. Cấu hình network interface 12 1.4. Cấu hình Routing 13 1.5. Cấu hình Firewall Policy 14 1.6. NAT 18 1.7. Log và report 19 1.8. Backup và restore 20 2. ANTI-VIRUS 21 2.1. Mô tả 21 2.2. Mô hình 21 2.3. Cấu hình 21 3. APPLICATION CONTROL 25 3.1. Mô tả 25 3.2. Mô hình 25 3.3. Cấu hình 25 4. DATA LEAK PREVENTION 29 4.1. Mô tả 29 4.2. Mô hình 30 4.3. Cấu hình 30 5. EMAIL FILTER 32 5.1. Mô tả 32 5.2. Mô hình 33 5.3. Cấu hình 33 6. WEB FILTER & OVERRIDE 36 4/94 6.1. Mô tả 36 6.2. Mô hình 36 6.3. Cấu hình 37 7. CẤU HÌNH WIRELESS CONTROLLER ĐỂ QUẢN LÝ THIẾT BỊ PHÁT SÓNG FORTI -AP 41 7.1. Tổng quan 41 7.2. Sơ đồ 41 7.3. Cấu hình 42 8. BYOD: BRING YOUR OWN DEVICE 47 8.1. Giới thiệu 47 8.2. Cấu hình 47 9. TWO FACTOR AUTHENTICATION 51 9.1. Giới thiệu 51 9.2. Cấu hình 53 10. CLIENT REPUTATION 56 10.1.Giới thiệu 56 10.2.Cấu hình 57 11. VPN - ROUTED-BASED IPSEC VPN 59 11.1.Giới thiệu 59 11.2.Cấu hình 59 12. VPN - POLICY-BASED IPSEC VPN 70 12.1.Giới thiệu 70 12.2.Cấu hình 70 13. SSL VPN 80 13.1.Giới thiệu 80 13.2.Cấu hình 80 14. VPN IPSEC CLIENT TO GATEWAY 87 14.1.Giới thiệu 87 14.2.Cấu hình 87 5/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 A. Giới thiệu đề tài. 1. Giới thiệu đề tài. Ngày nay sự phát triển của internet diễn ra với tốc độ nhanh chóng không ngừng nghỉ, thì cùng với đó là các mối đe dọa trực tiếp tới người dùng đặc biệt là các công ty, doanh nghiệp vừa và lớn như các phần mềm, chương trình Malware, Trojan, hay từ chính mối đe dọa trừ các nhân viên trong công ty, nhằm đáp ứng nhu cầu cũng như bảo vệ Web Server, Web Mail của các công ty, doanh nghiệp thì trên thị trường cũng có rất nhiều phần mềm, thiết bị chuyên dụng về tường lửa như của 1 số hãng nổi tiếng trên thế giới như nền tảng tường lửa mềm của Microsoft là Microsoft Forefront Threat Managerment Gateway (TMG) 2010, Cisco ASA, COMODO Firewall, Firewall Uniper, Firewall Astaro, Firewall Fortigate…. Trong đó Firewall Fortigate của hãng Fortinet là 1 trong những firewall hàng đầu thế giới về bảo mật thông tin. Fortinet đã đưa ra thị trường các dòng sản phẩm Fortigate nhằm phục vụ cho từng nhu cầu của công ty, doang nghiệp, các dòng sản phẩm này đều dựa trên yêu cầu mục đích cần thiết nhất để bảo vệ tốt nhất cho công ty, doanh nghiệp. các dòng sản phẩm Fortigate đều có hỗ trợ Anti Virus, Application Control, Data Leak Prevention, Email Filter, Web Filter, Client Repitation, Vpn, …. Vì những yêu cầu trên mà em đã chọn đề tài “ Cấu Hình Tường Lửa Fortigate Trong Mạng Doanh Nghiệp” làm đề tài thực tập tốt nghiệp. 6/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 2. Mục đích đề tài Nghiên cứu ứng dụng thực tế của Fortigate Triển khai cấu hình tường lửa Fortigate cho doanh nghiệp. Cấu hình căn bản trên trường lửa Fortigate. Cấu hình các thiết lập căn bản trên Fortigate Cấu hình VPN, IPSEC-VPN 3. Yêu cầu đề tài  Có khả năng chặn được scan virus, ngăn chăn các mối nguy hiểm, không cho download.  Điều khiển được các ứng dụng, trang web để chặn những trang web hay những ứng đụng mạng không cần thiết khi đang trong quá trình làm việc của nhân viên nhăm nâng cao hiệu quả làm việc.  Bảo vệ các dữ liệu quan trọng khỏi bị đánh cắp, giới hạn gói tin gửi ra ngoài, giới han băng thông ….  Bảo vệ, ngăn chặn các email có nội dụng không tốt và những email không tồn tại. Với tính năng này sẽ giúp cho hệ thộng email được bảo vệ tốt hơn và hoạt động ổn định hơn.  Web filter hoat động hiệu quả, chặn được trang web không cần thiết.  Quản lí được các forti AP trong hệ thống mạng, mang tới sự ổn định wifi trong môi trường doanh nghiệp.  Với BYOD tự động xác định thiết bị người dùng, sử dụng tính năng smart policy giúp việc áp dụng các chính sách hết sức dễ dàng, linh hoạt.  Tạo kết nối VPN để kết nối user remote từ bên ngoài hệ thống 1 cách dễ dàng. 7/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 B. Giới thiệu Fortigate Fortinet giới thiệu dòng sản phẩm FortiGate với nhiều series khác nhau từ Fortigate-20C dùng cho người dùng gia đình, văn phòng nhỏ cho tới hệ thống FortiGate-5000 dành cho các doanh nghiệp lớn, các nhà cung cấp dịch vụ. FortiGate kết hợp FortiOS™ là hệ điều hành bảo mật với bộ vi xử lý đặc chủng FortiASIC và phần cứng để cung cấp cho khách hàng hệ thống an ninh mạng toàn diện, nhiều tầng và hiệu suất cao với các chức năng bao gồm:  Tường lửa, Mạng riêng ảo (VPN) và Traffic Shaping  Hệ thống ngăn chặn xâm nhập (IPS)  Chức năng phòng chống vi-rút/ phần mềm gián điệp và các yếu tố nguy hiểm khác  Chức năng kiểm soát và lọc nội dung Web  Chức năng phòng chống thư rác (Antispam)  Kiểm soát Ứng dụng (ví dụ: IM và P2P)  Hỗ trợ VoIP (H.323. và SCCP)  Chức năng định tuyến Layer 2/3  Chức năng tối ưu hóa các kết nối WAN.  Và nhiều chức năng khác. Hệ thống FortiGate giúp chi phí đầu tư của khách hàng thấp và hiệu quả, bảo vệ toàn diện mạng lưới chống lại các mối đe dọa mạng, nội dung, và các mối đe dọa ở cấp ứng dụng - bao gồm các cuộc tấn công phức tạp vốn rất được ưa thích của tội phạm - mà không làm giảm tính sẵn sàng và thời gian hoạt động của hệ thống. Hệ thống FortiGate kết hợp các tính năng mạng tinh vi, chẳng hạn như:  Tính sẵn sàng cao (HA theo các giao thức hoạt động "Active/Active", "Active/Passive") giúp cho thời gian hoạt động mạng tối đa Tường lửa ảo (VDOM) mang lại khả năng phân tách thiết bị tường lửa thành nhiều tường lửa ảo để áp dụng các chính sách bảo mật khác nhau hoặc phục vụ cho nhiều đối tượng và yêu cầu bảo mật khác nhau. 8/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 C. Cấu hình thiết bị 1. Cấu hình căn bản 1.1. Login và system Để login vào thiết bị ta có 2 cách như sau: • Login console • Bit per second: 9600 • Data bit: 8 • Parity: none • Stop bit: 1 • Flow control: none • Login web interface • https://192.168.1.99 • Username: admin • Password: • System: Xem trạng thái thông tin thiết bị như ngày, giờ, license, phiên hiện tại. Login vào màn hình cấu hình Fortinet firewall theo thông số bên dưới 9/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 [...]... thể cấu hình các interface theo như hình bên dưới: 12/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp • GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 Khai báo thông số cho các interface, cấu hình interface mode Manual • Khai báo thông số cho các interface, cấu hình interface mode PPPoE, Trong phần quay PPPoE ta cần check “retrieve default gateway form server” 1.4 Cấu hình Routing Để truy cập đến các mạng. .. Read-only user Ta cấu hình như hình bên dưới để tạo một tài khoản mới cho việc quản trị thiết bị firewall: 11/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 Sau khi tạo tài khoản xong ta cấp quyền truy cập vào thiết bị cho tài khoản vừa tạo theo như hình bên dưới: Ta có thể đổi Password của tài khoản Administrator theo như hình bên dưới: 1.3 Cấu hình network... thêm các route tương ứng  Destination: Routes được dựa trên IP đích 13/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040  Source: Routes được dựa trên IP nguồn  Để truy cập đến mạng bên ngoài, cần khai báo thêm default route Để cấu hình static route ta thực hiện như hình bên dưới: • Khai báo thông số cấu hình static route: 1.5 Cấu hình Firewall Policy  Policy... muốn hiển thị log trên disk ta cần gõ các câu lệnh sau: FortiGate # config log disk setting FortiGate (setting) # set status enable FortiGate (setting) # end 1.8 Backup và restore  Sử dụng để lưu trữ dự phòng và phục hồi cấu hình tốt nhất khi cần thiết  Sử dụng GUI một cách đơn giản  Được thiết kế trong System 20/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040... download được file có đuôi pdf, mp3 và rar 2.2 Mô hình 2.3 Cấu hình B1: Kiểm tra thông số interface 21/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 B2: Tạo default route để đi internet vào Router  Static  Create Cấu hình File Filter: Security Profiles  Data Leak Prevention  File Filter Cấu hình các thành phần trong File Filter tùy theo mục đích của người... trùng, Fortigate sẽ thực hiện các Action đã được cấu hình  HELO DNS lookup: o Fortigate lấy các domain name xác định bởi client trong lời chào HELLO được gửi khi bắt đầu khởi động các phiên SMTP và thực hiện DNS lookup để xác định nếu như domain tồn tại Nếu lookup thất bại, Fortigate xác định rằng bất kì tin nhắn nào được truyền đi trong phiên SMTP này đều là spam 32/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp. .. tải mạng về các chỉ định giao thức thông thường 29/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 4.2 Mô hình Để bảo vệ dữ liệu không bị truyền ra ngoài nên phải xác định user nào sẽ gởi mail > 5M 4.3 Cấu hình B1: Cấu hình Sensor: Security Profiles> Date Leak Prevention> Sensor> Create New 30/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ B2: Áp đặt... black/white list check: o Fortigate so sánh địa chỉ người gửi email ở trong phần MAIL FROM, với các địa chỉ email black/white list được xác định trong email filter profile Nếu tìm thấy, fortigate sẽ thực hiện các Action tương ứng đã được cấu hình  Banned word check: o Fortigate chặn các email dựa vào việc so sánh nội dung của tin nhắn với các từ hoặc các dạng được lựa chọn trong spam filter banned... là kiểm tra các ứng dụng phát sinh trên mạng thông qua signature, không cần đến địa chỉ server hay port Application Control có các signature bao gồm hơn 1000 ứng dụng, dịch vụ và giao thức 3.2 Mô hình Cấm user sử dụng yahoo trong hệ thống, và hạn chế mỗi user tối đa sử dụng 100KB/s 3.3 Cấu hình Application Control list: trong phần này có rất nhiều application thông dụng, phổ biến (lên tới 2519 app)... cáo và tình trạng traffic  Cấu hình trong log & report  log config  Cho phép ghi log một cách chi tiết với nhiều lựa chọn  Log được ghi trên RAM hay Disk, FortiCloud hoặc với thiết bị Forti-Analayer của hãng Fortinet 19/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040 Chú ý: nhiều tính năng trên ver5.0 cần dùng command line cấu hình, kích hoạt Ví dụ muốn

Ngày đăng: 15/06/2015, 09:58

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w