Cấu Hình Firewall Fortinet — Hướng Dẫn Bảo Mật Đa Lớp

/in /by
Wise Tech Logo

Cấu Hình Firewall Fortinet — Hướng Dẫn Bảo Mật Đa Lớp

Fortinet FortiGate là một trong những thiết bị tường
lửa (Firewall) doanh nghiệp phổ biến và mạnh mẽ nhất hiện nay. Để khai
thác tối đa khả năng bảo vệ của FortiGate, việc cấu hình đúng cách là vô
cùng quan trọng. Bài viết này hướng dẫn chi tiết các bước cấu hình
Firewall Fortinet theo mô hình bảo mật đa lớp (Defense in Depth).

MÔ HÌNH BẢO MẬT ĐA LỚP
TRÊN FORTIGATE

Mô hình bảo mật đa lớp của Fortinet bao gồm các thành phần chính:

  • Network Security: Firewall Policy, VLAN, IPv4/IPv6,
    Routing.
  • Application Control: Kiểm soát ứng dụng
    (block/allow).
  • Intrusion Prevention (IPS): Phát hiện và ngăn chặn
    xâm nhập.
  • Web Filtering: Lọc website độc hại.
  • DNS Filtering: Lọc DNS, ngăn chặn truy cập domain
    độc hại.
  • Sandboxing: Phân tích file đáng ngờ trong môi
    trường cô lập.
  • SSL/SSH Inspection: Giải mã và kiểm tra lưu lượng
    mã hóa.
  • VPN: Kết nối bảo mật từ xa (SSL/IPSec).

CÁC BƯỚC CẤU HÌNH CƠ BẢN
FORTIGATE

BƯỚC 1: THIẾT LẬP CẤU HÌNH CƠ
BẢN

  • Đặt Hostname & Timezone: Truy cập System >
    Settings > Display.
  • Cấu hình Interface (Port): Vào Network >
    Interfaces. Gán Port1 làm WAN (kết nối Internet), Port2 làm LAN (kết nối
    mạng nội bộ). Đặt IP address, Subnet mask cho LAN.
  • Cấu hình DHCP Server: (Tùy chọn) Bật DHCP trên Port
    LAN để cấp IP tự động cho máy trạm.

BƯỚC 2:
TẠO VÀ CẤU HÌNH FIREWALL POLICY (CHÍNH SÁCH TƯỜNG LỬA)

Vào Policy & Objects > Firewall Policy. Đây
là phần quan trọng nhất.

Policy 1: LAN → Internet (Allow) * Incoming
Interface: Port LAN * Outgoing Interface: Port
WAN * Source: all (hoặc subnet LAN cụ thể) *
Destination: all * Schedule: always *
Service: ALL (hoặc chỉ cho phép HTTP, HTTPS, DNS,
SMTP…) * Action: ACCEPT * NAT: Bật (để
máy trạm trong LAN truy cập Internet).

Policy 2: Internet → LAN (Deny – Mặc định) *
FortiGate mặc định từ chối tất cả lưu lượng từ WAN vào LAN. Không cần
tạo policy này, nó đã có sẵn.

BƯỚC 3: KÍCH
HOẠT SECURITY PROFILE (HỒ SƠ BẢO MẬT)

Để bật các tính năng bảo mật nâng cao, vào Security
Profiles:

  • AntiVirus: Bật chế độ quét virus trên toàn bộ lưu
    lượng.
  • IPS (Intrusion Prevention System): Bật để phát hiện
    và ngăn chặn các cuộc tấn công mạng, khai thác lỗ hổng bảo mật.
  • Application Control: Bật để kiểm soát ứng dụng
    (block Facebook, Netflix, Torrent…).
  • Web Filter: Bật để lọc website độc hại, chặn các
    trang web không phù hợp.
  • DNS Filter: Bật để lọc DNS, ngăn chặn truy cập
    domain độc hại ngay cả khi người dùng thay đổi DNS server.

Áp dụng Security Profile vào Firewall Policy: Quay
lại Firewall Policy, chọn Security Profiles vừa cấu hình.

BƯỚC 4: CẤU HÌNH SSL/SSH
INSPECTION

Vào Security Profiles > SSL/SSH Inspection.

  • Certificate Inspection: Dùng để kiểm tra traffic
    HTTPS. Cần import CA certificate vào máy client để trình duyệt không báo
    lỗi.
  • Deep Inspection: Kiểm tra chuyên sâu hơn, bao gồm
    cả các ứng dụng sử dụng SSL.

BƯỚC 5: CẤU HÌNH VLAN (MẠNG
CON)

Để phân tách các vùng mạng (DATA, VOICE, CAMERA, SERVER, GUEST), vào
Network > Interfaces > Create New > VLAN:

  • Interface: Chọn Interface cha (VD: Port2).
  • VLAN ID: 10, 20, 30…
  • IP/Netmask: Đặt IP cho từng VLAN subnet.
  • Security: Đặt Firewall Policy riêng cho từng
    VLAN.

BƯỚC 6: CẤU HÌNH VPN
(KẾT NỐI TỪ XA BẢO MẬT)

SSL-VPN (Dành cho người dùng từ xa):

  • Vào VPN > SSL-VPN Portals để tạo Portal (giao
    diện đăng nhập VPN cho người dùng).
  • Vào VPN > SSL-VPN Settings để bật SSL-VPN trên
    Interface WAN. Cấu hình port (mặc định 443).
  • Tạo Firewall Policy: SSL-VPN interface → LAN (cho phép người dùng
    VPN truy cập vào mạng nội bộ).

IPSec VPN (Kết nối site-to-site với chi nhánh):

  • Vào VPN > IPSec Tunnel > Create New.
  • Cấu hình Phase 1 (IKE): Chọn Remote Gateway, Pre-shared Key,
    Encryption/Authentication.
  • Cấu hình Phase 2 (ESP): Chọn Encryption/Authentication, Local/Remote
    Subnet.
  • Tạo Firewall Policy cho phép lưu lượng qua IPSec Tunnel.

BEST PRACTICE BẢO MẬT
FORTIGATE

  • Cập nhật Firmware định kỳ: Luôn cập nhật firmware
    mới nhất để vá lỗ hổng bảo mật.
  • Sử dụng FortiGate Cloud/ FortiGuard: Để nhận cập
    nhật signature virus, IPS, web filter… tự động.
  • Đặt mật khẩu mạnh: Thay đổi mật khẩu admin mặc
    định. Sử dụng mật khẩu phức tạp.
  • Giới hạn quyền truy cập admin: Chỉ cho phép truy
    cập GUI/CLI từ LAN hoặc qua VPN, không mở port quản lý ra Internet.
  • Monitor & Log: Bật Logging, xem log định kỳ để
    phát hiện hoạt động bất thường.
  • Backup cấu hình: Backup thường xuyên, lưu trữ file
    backup ở nơi an toàn.

LIÊN HỆ ĐỂ ÉP GIÁ

🏢 WiseTech – Đối tác ICT tin cậy của doanh nghiệp Việt

Wise Tech – Making ICT Easy

✅ Tư vấn – Triển khai – Bảo trì tổng đài nội bộ toàn quốc

📞 Hotline kỹ thuật: 0869-31-31-69
📞 Hotline kinh doanh: 0917-32-37-37
🌐 Website: www.wisetech.com.vn
📍 Văn phòng: Hà Nội & TP. Hồ Chí Minh

#giải pháp tổng đài nội bộ, #lắp đặt tổng đài nội bộ, #tổng đài IP doanh nghiệp, #tổng đài Panasonic NEC Yeastar, #tổng đài nội bộ cho công ty, #hệ thống tổng đài VoIP, #giải pháp tổng đài Cloud, #dịch vụ tổng đài nội bộ WiseTech

Liên hệ để được tư vấn & báo giá:
📞 Hotline: 0869.31.31.69 / 0917.32.36.37
📧 Email: sales@wisetech.com.vn

🌐 Website:
🔹 wisetech.com.vn — ICT Infrastructure & Managed Service
🔹 ictsolution.net — Giải pháp Mạng, Fluke, Wi-Fi, Server
🔹 tongdaidoanhnghiep.vn — Tổng đài IP, Call Center, SIP Trunk
🔹 flukenetwork.com.vn — Thiết bị đo kiểm Fluke Network
🔹 ai-solutions.com.vn — Giải pháp AI & Automation
🔹 ruijienetwork.net — Thiết bị mạng Ruijie Network