Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Basic configuration fortigate v4.0 mr2

6,085 views

Published on

Basic configuration fortigate

Published in: Technology

Basic configuration fortigate v4.0 mr2

  1. 1. Fortinet Confidential Overview FortiOS V4.0 MR2
  2. 2. Fortinet Confidential อุปกรณ์ที่ต้องใช้ เตรียมอุปกรณ์ดังนี้ 1. PC,Notebook 2. LAN cable 3. USB to RS232 cable 4. DB9 to RJ45 cable URL to login https://192.168.1.99 (default) Username : admin Password : Keep it blank 2
  3. 3. Fortinet Confidential Dashboard Overview • System Information 3 - อธิบายข้อมูลของตัวอุปกรณ์ เช่น S/N,date&time,Firmware version
  4. 4. Fortinet Confidential Dashboard Overview • License Information 4 - แสดง account ที่เป็นเจ้าของอุปกรณ์ และ วันหมดอายุการรับประกัน และ สถานะของการเชื่อมต่อระหว่าง อุปกรณ์ FortiGate และ Fortiguard server
  5. 5. Fortinet Confidential Dashboard Overview • CPU&Memory Monitor 5 - การ monitor การทางานของ cpu และ memory ของ fortigate โดยสามารถดูแบบ Real time ตามช่วงระยะเวลา ที่ต้องการได้
  6. 6. Fortinet Confidential Dashboard Overview • Alert Message 6 - แสดงเหตุการณ์ต่างๆ ที่เกิดขึ้น บนตัวอุปกรณ์ FortiGate เช่น login ผิด (จาก ภาพดังกล่าว อุปกรณ์กาลังโดนโจมตีแบบ brute force อยู่
  7. 7. Fortinet Confidential Dashboard Overview • Application Monitor 7 - การ monitor การใช้งาน application ต่างๆ ว่าอะไร ใช้เยอะที่สุด และสามารถเรียกดูได้ว่า ip หรือ ใคร ใช้ application นั้นๆ เยอะสุด
  8. 8. Fortinet Confidential Dashboard Overview • Traffic Monitor 8 - กราฟแสดงปริมาณการใช้ traffic ตามช่วงเวลาที่แสดง โดยสามารถเลือก monitor แต่ละ interface ที่ต้องการได้ และ สามารถ แสดงได้มากกว่า 1 กรอบ
  9. 9. Fortinet Confidential Three step of configuration 1. Assign the ip address to interface - Manual - DHCP - PPPoE 3. Create policy 2. Create routing - Static Route
  10. 10. Fortinet Confidential 1. Assign the ip address to network interface
  11. 11. Fortinet Confidential Network Interface • Menu System > Network > interface > Select interface for assign ip address • Select Manual - ระบุค่า ip address (Ip address ที่ระบุไป จะเป็น ip gateway ของเครื่อง Client) 11
  12. 12. Fortinet Confidential Network Interface • Select DHCP - Enable Retrieve default gateway from server - Enable Overide internal DNS. 12
  13. 13. Fortinet Confidential Network Interface • Select PPPoE - ใส่ค่า username & password ที่ได้รับจาก ISP - Router ต้องทาตัวให้เป็น Bridge Mode - Enable Retrieve default gateway from server - Enable Overide internal DNS. 13
  14. 14. Fortinet Confidential Network Interface - ในการ manage อุปกรณ์ FortiGate สามารถเลือกได้ดังนี้คือ HTTP , HTTPS , SSH , Telnet , Ping - แนะนาให้ใช้ ตามรูปด้านล่าง เพื่อป้ องกันการโดน Brute Force Attack - เนื่องจาก ถ้าเปิด SSH และ Telnet จะโดนสุ่ม username & password ได้ 14
  15. 15. Fortinet Confidential Network Interface - Example commandline to config interface - # config system interface - (interface) # edit (ชื่อ port) - (port13) # set ip 10.10.10.1/24 - (port13) # set allowaccess ping https - (port13) # end ( คือการ save ค่า) - # 15
  16. 16. Fortinet Confidential 16 2. Create Routing
  17. 17. Fortinet Confidential Routing • Example Diagram - Interface ที่ต่อกับ Router คือ interface ชื่อ wan1 - Ip address ที่ interface ของ wan1 คือ ip 192.168.1.99.24 - Ip address ที่ตัว router คือ 192.168.1.254 - Network ปลายทางคือ default route (0.0.0.0/0) 17
  18. 18. Fortinet Confidential Routing • Menu Router > Static > Static Route > Create New - Destination IP/Mask คือ กาหนด network ปลายทางที่ต้องการจะไป - Device คือ กาหนด interface ที่จะให้ traffic วิ่งผ่าน interface นี้ - Gateway คือ ip ของอุปกรณ์ที่จะให้ fortigate ส่ง traffic ไปหา เช่น Router 18
  19. 19. Fortinet Confidential Routing - Example commandline to config static route - Config router static - Edit 1 - Set destination 0.0.0.0/0 - Set gateway 192.168.1.254 - Set device wan1 - End 19
  20. 20. Fortinet Confidential Routing • Routing Monitor คือ การ monitor routing ของอุปกรณ์ Fortigate ว่า รู้จัก network ไหนบ้าง จากภาพดังกล่าว สังเกตที่ช่องซ้ายสุดคือ Type - connected คือ network ที่เป็น ip network อยู่บน interface ของ ตัว fortigate เอง ซึ่ง ค่า distance จะมีค่าเป็น 0 - Static คือ Network ที่ fortigate ต้องอาศัยอุปกรณ์ตัวอื่น อีกที ถึงจะรู้จัก network นั้นๆ ซึ่ง ค่า distance จะมีค่าเป็น 0 20
  21. 21. Fortinet Confidential 3. Create Policy 21
  22. 22. Fortinet Confidential Policy • คือการประกาศนโยบายว่า อนุญาตให้ ip address หรือ วง network อะไรบ้าง สามารถ ผ่าน firewall ได้ • การอ่าน policy จะอ่านจาก บรรทัดบนสุด ไปจนถึง บรรทัดล่างสุด ซึ่ง ถ้า ip address หรือ network ดังกล่าว ไม่ได้ถูกประกาศอยู่ใน policy เลย จะถูก block ไว้ • การสร้าง policy ให้มองว่า ต้องการจะให้ ip address หรือ network ใดๆ ให้สามารถ ผ่าน firewall ไปยัง ip address หรือ network อีกฝั่งหนึ่ง • การทางานของ policy ทาได้ตั้งแต่ layer3 (ip) , layer4 (tcp&udp) และ layzer7 (เช่น facebook , IM on web) 22
  23. 23. Fortinet Confidential Policy • Example Diagram • เครื่อง pc ip address 192.168.2.51 ต้องการที่จะออก internet 23
  24. 24. Fortinet Confidential Policy • Menu Firewall > Policy > Create New 24
  25. 25. Fortinet Confidential Policy • จากภาพ ดังกล่าว ประกอบด้วย - source interface = port1 - source address = PC ip 192.168.2.51 - destination interface = wan1 - destination address = all (0.0.0.0/0) - schedule = always - service = any - action = accept - NAT = enable NAT • ทั้งนี้policy ดังกล่าว คือการสร้างเพื่อให้ pc ip 192.168.2.51 สามารถออกสู่ internet ได้เท่านั้น 25
  26. 26. Fortinet Confidential Policy • Policy component - Address คือการสร้าง object ขึ้นมาเพื่อที่จะไปผูกอยู่ใน policy โดยสามารถสร้างได้ ที่เมนู Firewall > Address ส่วนประกอบของ Address จะมีดังนี้ - Address Name = ชื่อของ address นั้นๆ - Type = ประเภทของ address - Subnet /IP Range = กาหนด ip address / network 26
  27. 27. Fortinet Confidential Policy Component • Address สามารถใส่ค่าอะไรได้บ้างใน address 1. ip address เช่น 192.168.1.1/32 2. ip network เช่น 192.168.1.0/24 3. ip range เช่น 192.168.1.[10-20] • Address Groups คือการรวบรวม object หลายๆอัน มารวมเข้าด้วยกันเช่น Address Group ที่ชื่อว่า Client จะมี object ดังนี้ 192.168.1.[10.-20] , 192.168.1.[40-100] 27
  28. 28. Fortinet Confidential Policy Component - Service คือการสร้าง service port ที่ fortigate ไม่มี เช่น port ของโปรแกรมบางอย่าง ที่เขียนขึ้นมาโดยเฉพาะ ฉะนั้นจึงต้องสร้าง service object ขึ้นมาใหม่ เพื่อที่จะผูกใน policy โดยสามารถสร้างได้ที่เมนู Firewall > Service > Custom > Create New 28
  29. 29. Fortinet Confidential Policy Component - Service สามารถใส่ค่าอะไรได้บ้าง ยกตัวอย่างเช่น port 5000 แบบ TCP จะใส่ค่าดังในภาพ ถ้า port ที่ต้องใช้เป็น range เช่น 5000 – 5500 ก็สามารถกาหนดดังนี้ในช่อง Low เป็น 5000 และช่อง High เป็น 5500 29
  30. 30. Fortinet Confidential Policy Component - Service สามารถใส่ service range ได้หลายบรรทัดใน service object เดียวกัน ตามภาพ 30
  31. 31. Fortinet Confidential Policy Component • Log allowed traffic คือ การจัดเก็บ traffic log สาหรับ policy ข้อนั้น โดยใน traffic log นั้นจะเก็บ log เช่น source ip , destination ip , user account (กรณีทา authentication) • UTM คือ การ enable การป้ องกันการโจมตีในระดับ Layer 7 เช่น antivirus , ips , application control , web filter , antispam , DLP • Traffic Shaper คือการ shape bandwidth ว่า การใช้งาน traffic ที่อยู่ใน policy ดังกล่าว จะถูกจัดสรร bandwidth ในขอบเขตที่จากัด ตามที่ได้กาหนดไว้ 31
  32. 32. Fortinet Confidential DHCP • อุปกรณ์ FortiGate สามารถที่จะทาหน้าที่ แจก ip address ให้กับ client ที่ร้องขอ ip address เหมาะสาหรับ client ที่เข้ามาใช้ระบบชั่วคราว Menu System > DHCP server > service • DHCP server สามารถแจกได้ 1 server ต่อ 1 interface เท่านั้น • อุปกรณ์ FortiGate สามารถแจก ip address โดยจับคู่กับ MAC address ของ เครื่อง Client ได้ (แต่ต้องใช้คาสั่งเป็น commandline) • สามารถระบุช่วงเวลาที่จะให้จดจา ip address และ mac address ที่เคยได้แจกไป ก่อนหน้านี้แล้ว ว่าต้องการให้จดจานานเท่าไร แต่ค่าที่แนะนา คือ 1-2 วัน เพราะจะได้ล้างค่า ip และ mac address ใหม่หมด 32
  33. 33. Fortinet Confidential DHCP 33
  34. 34. Fortinet Confidential DHCP release • อุปกรณ์ fortigate จะจดจา ip address และ mac address ที่เคยแจกไว้ก่อน หน้านี้และจะรักษาไว้จนกว่าจะครบ lease time ที่กาหนด 34
  35. 35. Fortinet Confidential DHCP MAC Binding • คาสั่งสาหรับการ จับคู่ ip address ที่จะแจกคู่กับ MAC address config system dhcp reserved-address edit <name_str> set ip 192.168.1.66 set mac 00:00:00:00:00:00 set type regular end 35
  36. 36. Fortinet Confidential UTM 36 • Application Control: ระบุและควบคุมแอพพลิเคชั่น • Web Filter : การควบคุมการเรียกเข้าใช้งาน website • Antivirus : การป้ องกันไวรัส ที่สามารถสแกนได้หลาย protocol • Data Leakage Prevention: ป้ องกันข้อมูลรั่วไหล • Antispam : การป้ องกัน spam mail
  37. 37. Fortinet Confidential UTM-Application Control • Application Control - การควบคุมการใช้งานโปรแกรมต่างๆ เช่น P2P , IM , Game ต่างๆ - การจากัด bandwidth การใช้งาน ไม่ให้รบกวน traffic อื่นๆ ที่มีความสาคัญ เช่น video conference 37
  38. 38. Fortinet Confidential UTM-Application Control • สร้าง profile ของ application control จากนั้นจึงจะนาไปผูกใน policy ที่ต้องการ จะจากัดการใช้งาน application ต่างๆ Menu UTM > application control > application control list > Create new 38
  39. 39. Fortinet Confidential UTM-Application Control • จากนั้นจะแสดง application control list ที่แสดง application ทั้งหมด ที่เราได้สร้าง และรวบรวมไว้ ใน profile เดียวกัน ( สามารถเลือก application ได้มากกว่า 1 application ใน profile เดียว ) 39
  40. 40. Fortinet Confidential UTM-Application Control • การเลือก application ที่ต้องการจะควบคุมการใช้งานให้กด Create New อีกครั้งจะ แสดงหน้าจอตามภาพด้านล่าง • Category คือ หมวดหมู่ของ application เช่น P2P • Application คือ ชื่อของโปรแกรมที่อยู่ในหมวดหมู่นั้นๆ เช่น Bit torrent • Enable logging คือ การจัดเก็บ log ของ application นั้นๆ 40
  41. 41. Fortinet Confidential UTM-Antivirus • การสแกนไวรัส ตามโปรโตคอลต่างๆเช่น http , https , smtp , pop3 , im • จะต้องสร้าง antivirus profile ก่อน จากนั้นนา profile ไปผูกกับ policy จึงจะสามารถทาการสแกนไวรัสได้ Menu UTM > Antivirus > Antivirus profile > Create New 41
  42. 42. Fortinet Confidential UTM-Antivirus • การสแกนไวรัส นั้น ตัวอุปกรณ์ FortiGate รองรับหลาย protocol ถ้าเราต้องการให้ สแกน protocol อะไรบ้าง ให้ทาการ ติ๊กเครื่องหมายถูกเท่านั้น • อย่าลืมที่จะเลือก Logging ไว้ด้วย เพื่อที่เราจะได้รู้ว่า มี virus โจมตีหรือไม่ • การเลือก protocol ที่จะสแกนไวรัสนั้น ให้สัมพันธ์กับ policy ที่มี traffic ประเภทนั้นวิ่ง ผ่านด้วย เช่น policy ที่มี traffic ประเภท website เท่านั้น ก็ควรเลือก protocol http เพียงอย่างเดียว อย่าเลือก pop3 , smtp ด้วย เพราะไม่มีประโยชน์เลย • อย่าลืม!!! นา antivirus ไปผูกใน policy ด้วย ไม่อย่างนั้น antivirus จะไม่ทางาน 42
  43. 43. Fortinet Confidential UTM-Antivirus • การ quarantive virus sender คือการ block user ที่ติดไวรัส เพื่อไม่ให้ user สามารถผ่านอุปกรณ์ FortiGate ได้ • Method คือ การระบุว่าจะ block user แบบไหน มีสองแบบคือ - Source ip address = block แค่ ip address ที่ติดไวรัสเท่านั้น - virus incoming interface = block ทั้ง interface เลย (ไม่แน่นา) • Expire คือการกาหนดระยะเวลาที่ block user 43
  44. 44. Fortinet Confidential UTM-Antivirus • ผลลัพธ์ของการที่ user โดน quarantine สามารถ monitor user ที่โดน block ได้ที่ User > Monitor > Banned user • สามารถปลด block ได้โดยเลือก icon รูป ถังขยะ • ในรูปดังกล่าว จะบอกรายละเอียดว่า ip อะไรโดน ban และ จะยกเลิกการโดน ban เมื่อถึง เวลา เท่าไร 44
  45. 45. Fortinet Confidential UTM-Web Filter Menu UTM > Web Filter > Profile > Create New โดย profile นี้จะเป็น profile หลัก ที่จะนาไปผูกใน policy 45
  46. 46. Fortinet Confidential UTM-Web Filter • สาหรับการ block web ด้วย URL สามารถทาได้ดังนี้ Menu UTM > Web Filter > URL Filter > Create new • จากนั้นจะโชว์ web URL list ขึ้นมา 46
  47. 47. Fortinet Confidential UTM-Web Filter • สร้าง URL list โดยเลือก Create New จะปรากฏภาพด้านล่าง • URL = ระบุชื่อ website ที่ต้องการจะ block • Type = กาหนดเป็น Simple • Action = block • Enable = ให้ทาการ enable ไว้ 47
  48. 48. Fortinet Confidential UTM-Web Filter • URL Filter List ที่ได้สร้างขึ้นมา จะเป็นดังภาพด้านล่าง • เมื่อได้ URL ที่ต้องการ block แล้ว ให้ไปผูกใน Web filter profile ด้วย 48
  49. 49. Fortinet Confidential Policy with UTM profile • การนา profile ต่างๆ ที่ได้สร้างไว้ เช่น Antivirus profile , application profile , web filter profile นั้น ไปผูกใน policy ได้ตามภาพคือ 1. ไปที่เมนู Firewall > Policy จะแสดง policy ที่เราได้สร้างไว้ 2. Edit policy ที่ต้องการ protection ด้วย UTM 3. Enable UTM ใน policy นั้น จะปรากฏภาพด้านล่าง 49
  50. 50. Fortinet Confidential Policy with UTM profile • ในแต่ละ protection ที่ต้องการให้ policy มีการทางานของ antivirus , application control , web filter ที่ได้สร้างไว้ก่อนหน้านี้ให้ enable ขึ้นมา และ เลือก profile ที่เราได้สร้างไว้ ตามภาพด้านล่าง 50
  51. 51. Fortinet Confidential User Management • อุปกรณ์ FortiGate สามารถสร้าง account และเก็บไว้ที่ตัวมันได้ เพื่อเอาไว้ใช้สาหรับ 1. User ต้องการออกสู่ internet แต่ต้องทาการ login เพื่อยืนยันตัวตนก่อน 2. User ต้องการใช้ทรัพยากรภายใน network ขององค์กร โดยที่ตัว user เองอยู่ภายนอก องค์กร จึงต้องทา ipsec หรือ ssl vpn และต้องมีการยืนยันตัวตนว่า สามารถที่จะเข้ามาใช้ระบบงานภายใน network ได้ ภาพด้านล่างแสดงถึง column user ที่แสดงชื่อ account ของ user ที่ได้ทาการ login ก่อนที่จะสามารถออกสู่ internet ได้ 51
  52. 52. Fortinet Confidential User Management • การสร้าง account สาหรับการ authentication Menu User > User > User > Create New - User Name = กาหนด account - Password = กาหนด รหัสผ่าน ให้กับ account นี้ 52
  53. 53. Fortinet Confidential User Management • สร้าง User Group เพื่อรวบรวม account ที่ได้สร้างมานั้น รวมอยู่ใน group เดียวกัน Menu User > usergroup > Create New • เนื่องจาก policy จะมองเป็น user group จึงต้องรวบรวม account มาเป็นสมาชิกใน usergroup • การรวบรวมเป็น group จะง่ายดายต่อการ จัดการเรื่อง account ด้วย 53
  54. 54. Fortinet Confidential User Management • นา user group ที่ได้สร้างมาไปผูกใน policy ที่ต้องการให้มีการทา authentication นั้น ทาได้โดย 1. เลือก policy ที่ต้องการให้มีการทา authentication จากนั้นให้ทาการ edit 2. สังเกตที่ช่อง Enable Identity Based Policy ให้ทาการ enable ขึ้นมา จะปรากฏภาพ 3. ให้กดปุ่ม Add 54
  55. 55. Fortinet Confidential User Management 4. หลังจากกดปุ่ม Add จะโชว์หน้าต่างให้เลือก user group จึงทาการเลือก group ที่ ต้องการให้อยู่ใน policy นี้ 5. พร้อมทั้งกาหนด service ที่จะให้ user group นี้สามารถใช้งานได้ 55
  56. 56. Fortinet Confidential User Management 6. หลังจาก add user group และ service แล้ว จากนั้นกดปุ่ม OK จะปรากฏรูปดังนี้ สรุปว่า user account ที่อยู่ใน policy นี้จะต้องทาการ authentication ทุก ครั้ง จึงจะสามารถส่ง traffic ผ่าน firewall ได้ 56
  57. 57. Fortinet Confidential User Management • Monitor user Menu User > Monitor > Firewall ภาพดังกล่าวจะแสดง user ที่ได้ทาการ authentication ไว้แล้ว โดยจะแสดงข้อมูลเช่น • Duration = แสดงระยะเวลาตั้งแต่ user login ครั้งล่าสุด • Traffic Volume = แสดงขนาดข้อมูลที่ user ใช้ • ถ้าต้องการ disconnect user สามารถทาได้โดยกดปุ่มรูป ถังขยะเท่านั้น • De-authentication All user = จะตัด connection ทั้งหมด (ควรระวัง) 57
  58. 58. Fortinet Confidential O&A And Next Step Go up Laboratory

×