Upload
rx178titan
View
599
Download
3
Embed Size (px)
DESCRIPTION
Basic configuration fortigate
Citation preview
Fortinet Confidential
Overview FortiOS V4.0 MR2
Fortinet Confidential
อุ�ปกรณ์�ที่ต้�อุงใช้�เต้รยมอุ�ปกรณ์�ดั�งนี้�1.PC,Notebook
2.LAN cable
3.USB to RS232 cable
4.DB9 to RJ45 cable
URL to login
https://192.168.1.99 (default)
Username : admin
Password : Keep it blank
2
Fortinet Confidential
Dashboard Overview
• System Information
3
- อุธิ�บายข้�อุม�ลข้อุงต้�วอุ�ปกรณ์� เช้ นี้ S/N,date&time,Firmware version
Fortinet Confidential
Dashboard Overview
• License Information
4
- แสดัง account ที่เป#นี้เจ้�าข้อุงอุ�ปกรณ์� และ ว�นี้หมดัอุาย�การร�บประก�นี้ และ
สถานี้ะข้อุงการเช้(อุมต้ อุระหว าง อุ�ปกรณ์� FortiGate และ Fortiguard server
Fortinet Confidential
Dashboard Overview
• CPU&Memory Monitor
5
- การ monitor การที่)างานี้ข้อุง cpu และ memory ข้อุง fortigate โดัยสามารถดั�แบบ Real time ต้ามช้ วงระยะเวลา ที่ต้�อุงการไดั�
Fortinet Confidential
Dashboard Overview
• Alert Message
6
- แสดังเหต้�การณ์�ต้ างๆ ที่เก�ดัข้-�นี้ บนี้ต้�วอุ�ปกรณ์� FortiGate เช้ นี้ login ผิ�ดั(จ้าก ภาพดั�งกล าว อุ�ปกรณ์�ก)าล�งโดันี้โจ้มต้แบบ brute force อุย�
Fortinet Confidential
Dashboard Overview
• Application Monitor
7
- การ monitor การใช้�งานี้ application ต้ างๆ ว าอุะไร ใช้�เยอุะที่ส�ดัและสามารถเรยกดั�ไดั�ว า ip หร(อุ ใคร ใช้� application นี้��นี้ๆ เยอุะส�ดั
Fortinet Confidential
Dashboard Overview
• Traffic Monitor
8
- กราฟแสดังปร�มาณ์การใช้� traffic ต้ามช้ วงเวลาที่แสดัง โดัยสามารถเล(อุก monitor แต้ ละ interface ที่ต้�อุงการไดั� และ สามารถ แสดังไดั�มากกว า 1 กรอุบ
Fortinet Confidential
Three step of configuration1. Assign the ip address to interface
- Manual - DHCP - PPPoE
3. Create policy
2. Create routing
- Static Route
Fortinet Confidential
1. Assign the ip address to network interface
Fortinet Confidential
Network Interface
•Menu System > Network > interface > Select interface for assign ip address• Select Manual
- ระบ�ค า ip address
(Ip address ที่ระบ�ไป จ้ะเป#นี้ ip gateway ข้อุงเคร(อุง Client)
11
Fortinet Confidential
Network Interface
• Select DHCP - Enable Retrieve default gateway from server- Enable Overide internal DNS.
12
Fortinet Confidential
Network Interface
• Select PPPoE - ใส ค า username & password ที่ไดั�ร�บจ้าก ISP - Router ต้�อุงที่)าต้�วให�เป#นี้ Bridge Mode - Enable Retrieve default gateway from server- Enable Overide internal DNS.
13
Fortinet Confidential
Network Interface
- ในี้การ manage อุ�ปกรณ์� FortiGate สามารถเล(อุกไดั�ดั�งนี้� ค(อุ HTTP , HTTPS , SSH , Telnet , Ping
- แนี้ะนี้)าให�ใช้� ต้ามร�ปดั�านี้ล าง เพ(อุป3อุงก�นี้การโดันี้ Brute Force Attack
- เนี้(อุงจ้าก ถ�าเป4ดั SSH และ Telnet จ้ะโดันี้ส� ม username & password ไดั�
14
Fortinet Confidential
Network Interface
- Example commandline to config interface
- # config system interface - (interface) # edit (ช้(อุ port) - (port13) # set ip 10.10.10.1/24- (port13) # set allowaccess ping https- (port13) # end ( ค(อุการ save ค า)- #
15
Fortinet Confidential16
2. Create Routing
Fortinet Confidential
Routing
• Example Diagram
- Interface ที่ต้ อุก�บ Router ค(อุ interface ช้(อุ wan1 - Ip address ที่ interface ข้อุง wan1 ค(อุ ip 192.168.1.99.24 - Ip address ที่ต้�ว router ค(อุ 192.168.1.254- Network ปลายที่างค(อุ default route (0.0.0.0/0)
17
Fortinet Confidential
Routing
•Menu
Router > Static > Static Route > Create New
- Destination IP/Mask ค(อุ ก)าหนี้ดั network ปลายที่างที่ต้�อุงการจ้ะไป- Device ค(อุ ก)าหนี้ดั interface ที่จ้ะให� traffic ว�งผิ านี้ interface นี้�- Gateway ค(อุ ip ข้อุงอุ�ปกรณ์�ที่จ้ะให� fortigate ส ง traffic ไปหา เช้ นี้
Router
18
Fortinet Confidential
Routing
- Example commandline to config static route- Config router static
- Edit 1
- Set destination 0.0.0.0/0
- Set gateway 192.168.1.254
- Set device wan1
- End
19
Fortinet Confidential
Routing
• Routing Monitor
ค(อุ การ monitor routing ข้อุงอุ�ปกรณ์� Fortigate ว า ร� �จ้�ก network ไหนี้บ�าง
จ้ากภาพดั�งกล าว ส�งเกต้ที่ช้ อุงซ้�ายส�ดัค(อุ Type
- connected ค(อุ network ที่เป#นี้ ip network อุย� บนี้ interface ข้อุง ต้�ว fortigate เอุง ซ้-ง ค า distance จ้ะมค าเป#นี้ 0
- Static ค(อุ Network ที่ fortigate ต้�อุงอุาศั�ยอุ�ปกรณ์�ต้�วอุ(นี้ อุกที่ ถ-งจ้ะร� �จ้�ก network นี้��นี้ๆ ซ้-ง ค า distance จ้ะมค าเป#นี้ 0
20
Fortinet Confidential
3. Create Policy
21
Fortinet Confidential
Policy
• ค(อุการประกาศันี้โยบายว า อุนี้�ญาต้ให� ip address หร(อุ วง network อุะไรบ�าง สามารถผิ านี้ firewall ไดั�
• การอุ านี้ policy จ้ะอุ านี้จ้าก บรรที่�ดับนี้ส�ดั ไปจ้นี้ถ-ง บรรที่�ดัล างส�ดั ซ้-ง ถ�า ip address หร(อุ network ดั�งกล าว ไม ไดั�ถ�กประกาศัอุย� ในี้ policy เลย จ้ะถ�ก block ไว�
• การสร�าง policy ให�มอุงว า ต้�อุงการจ้ะให� ip address หร(อุ network ใดัๆ ให�สามารถผิ านี้ firewall ไปย�ง ip address หร(อุ network อุกฝั่9 งหนี้-ง
• การที่)างานี้ข้อุง policy ที่)าไดั�ต้��งแต้ layer3 (ip) , layer4 (tcp&udp) และ layzer7 (เช้ นี้ facebook , IM on web)
22
Fortinet Confidential
Policy
• Example Diagram
• เคร(อุง pc ip address 192.168.2.51 ต้�อุงการที่จ้ะอุอุก internet
23
Fortinet Confidential
Policy
•Menu
Firewall > Policy
> Create New
24
Fortinet Confidential
Policy
• จ้ากภาพ ดั�งกล าว ประกอุบดั�วย - source interface = port1
- source address = PC ip 192.168.2.51
- destination interface = wan1
- destination address = all (0.0.0.0/0)
- schedule = always
- service = any
- action = accept
- NAT = enable NAT• ที่��งนี้� policy ดั�งกล าว ค(อุการสร�างเพ(อุให� pc ip 192.168.2.51
สามารถอุอุกส� internet ไดั�เที่ านี้��นี้
25
Fortinet Confidential
Policy
• Policy component
- Address ค(อุการสร�าง object ข้-�นี้มาเพ(อุที่จ้ะไปผิ�กอุย� ในี้ policy โดัยสามารถสร�างไดั�ที่เมนี้� Firewall > Address
ส วนี้ประกอุบข้อุง Address จ้ะมดั�งนี้�
- Address Name = ช้(อุข้อุง address นี้��นี้ๆ - Type = ประเภที่ข้อุง address - Subnet /IP Range = ก)าหนี้ดั ip address / network
26
Fortinet Confidential
Policy Component
• Address
สามารถใส ค าอุะไรไดั�บ�างในี้ address
1. ip address เช้ นี้ 192.168.1.1/32
2. ip network เช้ นี้ 192.168.1.0/24
3. ip range เช้ นี้ 192.168.1.[10-20]
• Address Groups ค(อุการรวบรวม object หลายๆอุ�นี้ มารวมเข้�าดั�วยก�นี้เช้ นี้
Address Group ที่ช้(อุว า Client จ้ะม object ดั�งนี้� 192.168.1.[10.-20] , 192.168.1.[40-100]
27
Fortinet Confidential
Policy Component
- Service
ค(อุการสร�าง service port ที่ fortigate ไม ม เช้ นี้ port ข้อุงโปรแกรมบางอุย าง
ที่เข้ยนี้ข้-�นี้มาโดัยเฉพาะ ฉะนี้��นี้จ้-งต้�อุงสร�าง service object ข้-�นี้มาใหม เพ(อุที่จ้ะผิ�กในี้ policy
โดัยสามารถสร�างไดั�ที่เมนี้� Firewall > Service > Custom > Create New
28
Fortinet Confidential
Policy Component
- Service
สามารถใส ค าอุะไรไดั�บ�าง ยกต้�วอุย างเช้ นี้ port 5000 แบบ TCP จ้ะใส ค าดั�งในี้ภาพ
ถ�า port ที่ต้�อุงใช้�เป#นี้ range เช้ นี้ 5000 – 5500
ก;สามารถก)าหนี้ดัดั�งนี้� ในี้ช้ อุง Low เป#นี้ 5000 และช้ อุง High เป#นี้ 5500
29
Fortinet Confidential
Policy Component
- Service
สามารถใส service range ไดั�หลายบรรที่�ดัในี้ service object เดัยวก�นี้ ต้ามภาพ
30
Fortinet Confidential
Policy Component
• Log allowed traffic
ค(อุ การจ้�ดัเก;บ traffic log ส)าหร�บ policy ข้�อุนี้��นี้ โดัยในี้ traffic log นี้��นี้จ้ะเก;บ log เช้ นี้ source ip , destination ip , user account (กรณ์ที่)า authentication)• UTM
ค(อุ การ enable การป3อุงก�นี้การโจ้มต้ในี้ระดั�บ Layer 7 เช้ นี้ antivirus , ips , application control , web filter , antispam , DLP• Traffic Shaper
ค(อุการ shape bandwidth ว า การใช้�งานี้ traffic ที่อุย� ในี้ policy ดั�งกล าว จ้ะถ�กจ้�ดัสรร bandwidth ในี้ข้อุบเข้ต้ที่จ้)าก�ดั ต้ามที่ไดั�ก)าหนี้ดัไว�
31
Fortinet Confidential
DHCP
• อุ�ปกรณ์� FortiGate สามารถที่จ้ะที่)าหนี้�าที่ แจ้ก ip address ให�ก�บ client ที่ร�อุงข้อุ
ip address เหมาะส)าหร�บ client ที่เข้�ามาใช้�ระบบช้�วคราว
Menu
System > DHCP server > service • DHCP server สามารถแจ้กไดั� 1 server ต้ อุ 1 interface เที่ านี้��นี้• อุ�ปกรณ์� FortiGate สามารถแจ้ก ip address โดัยจ้�บค� ก�บ MAC address
ข้อุงเคร(อุง Client ไดั� (แต้ ต้�อุงใช้�ค)าส�งเป#นี้ commandline)• สามารถระบ�ช้ วงเวลาที่จ้ะให�จ้ดัจ้)า ip address และ mac address ที่เคยไดั�
แจ้กไปก อุนี้หนี้�านี้�แล�ว ว าต้�อุงการให�จ้ดัจ้)านี้านี้เที่ าไร แต้ ค าที่แนี้ะนี้)า ค(อุ 1-2 ว�นี้ เพราะจ้ะไดั�ล�างค า ip และ mac address ใหม หมดั
32
Fortinet Confidential
DHCP
33
Fortinet Confidential
DHCP release
• อุ�ปกรณ์� fortigate จ้ะจ้ดัจ้)า ip address และ mac address ที่เคยแจ้กไว�ก อุนี้หนี้�านี้� และจ้ะร�กษาไว�จ้นี้กว าจ้ะครบ lease time ที่ก)าหนี้ดั
34
Fortinet Confidential
DHCP MAC Binding
• ค)าส�งส)าหร�บการ จ้�บค� ip address ที่จ้ะแจ้กค� ก�บ MAC address
config system dhcp reserved-address
edit <name_str>
set ip 192.168.1.66
set mac 00:00:00:00:00:00
set type regular
end
35
Fortinet Confidential
UTM
36
• Application Control: ระบ�และควบค�มแอุพพล�เคช้�นี้•Web Filter : การควบค�มการเรยกเข้�าใช้�งานี้ website • Antivirus : การป3อุงก�นี้ไวร�ส ที่สามารถสแกนี้ไดั�หลาย protocol • Data Leakage Prevention: ป3อุงก�นี้ข้�อุม�ลร�วไหล• Antispam : การป3อุงก�นี้ spam mail
Fortinet Confidential
UTM-Application Control
• Application Control
- การควบค�มการใช้�งานี้โปรแกรมต้ างๆเช้ นี้ P2P , IM , Game ต้ างๆ
- การจ้)าก�ดั bandwidth การใช้�งานี้ไม ให�รบกวนี้ traffic อุ(นี้ๆ ที่มความส)าค�ญ
เช้ นี้ video conference
37
Fortinet Confidential
UTM-Application Control
• สร�าง profile ข้อุง application control จ้ากนี้��นี้จ้-งจ้ะนี้)าไปผิ�กในี้ policy ที่ต้�อุงการจ้ะจ้)าก�ดัการใช้�งานี้ application ต้ างๆ
Menu UTM > application control > application control list > Create new
38
Fortinet Confidential
UTM-Application Control
• จ้ากนี้��นี้จ้ะแสดัง application control list ที่แสดัง application ที่��งหมดั ที่เราไดั�สร�าง และรวบรวมไว� ในี้ profile เดัยวก�นี้ ( สามารถเล(อุก application ไดั�มากกว า 1 application ในี้ profile เดัยว )
39
Fortinet Confidential
UTM-Application Control
• การเล(อุก application ที่ต้�อุงการจ้ะควบค�มการใช้�งานี้ให�กดั Create New อุกคร��งจ้ะแสดังหนี้�าจ้อุต้ามภาพดั�านี้ล าง
• Category ค(อุ หมวดัหม� ข้อุง application เช้ นี้ P2P• Application ค(อุ ช้(อุข้อุงโปรแกรมที่อุย� ในี้หมวดัหม� นี้� �นี้ๆ เช้ นี้ Bit torrent • Enable logging ค(อุ การจ้�ดัเก;บ log ข้อุง application นี้��นี้ๆ
40
Fortinet Confidential
UTM-Antivirus
• การสแกนี้ไวร�ส ต้ามโปรโต้คอุลต้ างๆเช้ นี้ http , https , smtp , pop3 , im• จ้ะต้�อุงสร�าง antivirus profile ก อุนี้ จ้ากนี้��นี้นี้)า profile ไปผิ�กก�บ
policy
จ้-งจ้ะสามารถที่)าการสแกนี้ไวร�สไดั� Menu
UTM > Antivirus > Antivirus profile > Create New
41
Fortinet Confidential
UTM-Antivirus
• การสแกนี้ไวร�ส นี้��นี้ ต้�วอุ�ปกรณ์� FortiGate รอุงร�บหลาย protocol
ถ�าเราต้�อุงการให� สแกนี้ protocol อุะไรบ�าง ให�ที่)าการ ต้�=กเคร(อุงหมายถ�กเที่ านี้��นี้ • อุย าล(มที่จ้ะเล(อุก Logging ไว�ดั�วย เพ(อุที่เราจ้ะไดั�ร� �ว า ม virus โจ้มต้หร(อุไม • การเล(อุก protocol ที่จ้ะสแกนี้ไวร�สนี้��นี้ ให�ส�มพ�นี้ธิ�ก�บ policy ที่ม traffic
ประเภที่นี้��นี้ว�งผิ านี้ดั�วย เช้ นี้ policy ที่ม traffic ประเภที่ website เที่ านี้��นี้ ก;ควรเล(อุก protocol http เพยงอุย างเดัยว อุย าเล(อุก pop3 , smtp ดั�วย เพราะไม มประโยช้นี้�เลย
• อุย าล(ม!!! นี้)า antivirus ไปผิ�กในี้ policy ดั�วย ไม อุย างนี้��นี้ antivirus จ้ะไม ที่)างานี้
42
Fortinet Confidential
UTM-Antivirus
• การ quarantive virus sender
ค(อุการ block user ที่ต้�ดัไวร�ส เพ(อุไม ให� user สามารถผิ านี้อุ�ปกรณ์� FortiGate ไดั�
•Method ค(อุ การระบ�ว าจ้ะ block user แบบไหนี้ มสอุงแบบค(อุ - Source ip address = block แค ip address ที่ต้�ดัไวร�สเที่ านี้��นี้ - virus incoming interface = block ที่��ง interface เลย (ไม แนี้ นี้)า)• Expire ค(อุการก)าหนี้ดัระยะเวลาที่ block user
43
Fortinet Confidential
UTM-Antivirus
• ผิลล�พธิ�ข้อุงการที่ user โดันี้ quarantine
สามารถ monitor user ที่โดันี้ block ไดั�ที่ User > Monitor > Banned user
• สามารถปลดั block ไดั�โดัยเล(อุก icon ร�ป ถ�งข้ยะ • ในี้ร�ปดั�งกล าว จ้ะบอุกรายละเอุยดัว า ip อุะไรโดันี้ ban และ จ้ะยกเล�ก
การโดันี้ ban เม(อุถ-งเวลา เที่ าไร
44
Fortinet Confidential
UTM-Web Filter
Menu UTM > Web Filter > Profile > Create New
โดัย profile นี้�จ้ะเป#นี้ profile หล�ก ที่จ้ะนี้)าไปผิ�กในี้ policy
45
Fortinet Confidential
UTM-Web Filter
• ส)าหร�บการ block web ดั�วย URL สามารถที่)าไดั�ดั�งนี้�Menu
UTM > Web Filter > URL Filter > Create new
• จ้ากนี้��นี้จ้ะโช้ว� web URL list ข้-�นี้มา
46
Fortinet Confidential
UTM-Web Filter
• สร�าง URL list โดัยเล(อุก Create New จ้ะปรากฏภาพดั�านี้ล าง
• URL = ระบ�ช้(อุ website ที่ต้�อุงการจ้ะ block• Type = ก)าหนี้ดัเป#นี้ Simple• Action = block • Enable = ให�ที่)าการ enable ไว�
47
Fortinet Confidential
UTM-Web Filter
• URL Filter List ที่ไดั�สร�างข้-�นี้มา จ้ะเป#นี้ดั�งภาพดั�านี้ล าง
• เม(อุไดั� URL ที่ต้�อุงการ block แล�ว ให�ไปผิ�กในี้ Web filter profile ดั�วย
48
Fortinet Confidential
Policy with UTM profile
• การนี้)า profile ต้ างๆ ที่ไดั�สร�างไว� เช้ นี้ Antivirus profile , application profile , web filter profile นี้��นี้ ไปผิ�กในี้ policy ไดั�ต้ามภาพค(อุ
1. ไปที่เมนี้� Firewall > Policy จ้ะแสดัง policy ที่เราไดั�สร�างไว�2. Edit policy ที่ต้�อุงการ protection ดั�วย UTM
3. Enable UTM ในี้ policy นี้��นี้ จ้ะปรากฏภาพดั�านี้ล าง
49
Fortinet Confidential
Policy with UTM profile
• ในี้แต้ ละ protection ที่ต้�อุงการให� policy มการที่)างานี้ข้อุง antivirus , application control , web filter ที่ไดั�สร�างไว�ก อุนี้หนี้�านี้� ให� enable ข้-�นี้มาและ เล(อุก profile ที่เราไดั�สร�างไว� ต้ามภาพดั�านี้ล าง
50
Fortinet Confidential
User Management
• อุ�ปกรณ์� FortiGate สามารถสร�าง account และเก;บไว�ที่ต้�วม�นี้ไดั� เพ(อุเอุาไว�ใช้�ส)าหร�บ• User ต้�อุงการอุอุกส� internet แต้ ต้�อุงที่)าการ login เพ(อุย(นี้ย�นี้ต้�วต้นี้
ก อุนี้• User ต้�อุงการใช้�ที่ร�พยากรภายในี้ network ข้อุงอุงค�กร โดัยที่ต้�ว
user เอุงอุย� ภายนี้อุกอุงค�กร จ้-งต้�อุงที่)า ipsec หร(อุ ssl vpn และต้�อุงมการย(นี้ย�นี้ต้�วต้นี้ว า
สามารถที่จ้ะเข้�ามาใช้�ระบบงานี้ภายในี้ network ไดั� ภาพดั�านี้ล างแสดังถ-ง column user ที่แสดังช้(อุ account ข้อุง
user ที่ไดั�ที่)าการ login ก อุนี้ที่จ้ะสามารถอุอุกส� internet ไดั�
51
Fortinet Confidential
User Management
• การสร�าง account ส)าหร�บการ authentication
MenuUser > User > User > Create New
- User Name = ก)าหนี้ดั account - Password = ก)าหนี้ดั รห�สผิ านี้ ให�ก�บ account นี้�
52
Fortinet Confidential
User Management
• สร�าง User Group เพ(อุรวบรวม account ที่ไดั�สร�างมานี้��นี้ รวมอุย� ในี้ group เดัยวก�นี้
Menu
User > usergroup >Create New
• เนี้(อุงจ้าก policy จ้ะมอุงเป#นี้ user groupจ้-งต้�อุงรวบรวม account มาเป#นี้สมาช้�กในี้
usergroup • การรวบรวมเป#นี้ group จ้ะง ายดัายต้ อุการ จ้�ดัการเร(อุง account ดั�วย
53
Fortinet Confidential
User Management
• นี้)า user group ที่ไดั�สร�างมาไปผิ�กในี้ policy ที่ต้�อุงการให�มการที่)า authentication นี้��นี้ ที่)าไดั�โดัย • เล(อุก policy ที่ต้�อุงการให�มการที่)า authentication จ้ากนี้��นี้ให�ที่)าการ
edit• ส�งเกต้ที่ช้ อุง Enable Identity Based Policy ให�ที่)าการ enable ข้-�นี้มา จ้ะปรากฏภาพ
3. ให�กดัป�?ม Add
54
Fortinet Confidential
User Management
4 .หล�งจ้ากกดัป�?ม Add จ้ะโช้ว�หนี้�าต้ างให�เล(อุก user group จ้-งที่)าการเล(อุก group ที่ต้�อุงการให�อุย� ในี้ policy นี้�
5. พร�อุมที่��งก)าหนี้ดั service ที่จ้ะให� user group นี้�สามารถใช้�งานี้ไดั�
55
Fortinet Confidential
User Management
6. หล�งจ้าก add user group และ service แล�ว จ้ากนี้��นี้กดัป�?ม OK
จ้ะปรากฏร�ปดั�งนี้�
สร�ปว า user account ที่อุย� ในี้ policy นี้� จ้ะต้�อุงที่)าการ authentication ที่�กคร��ง จ้-งจ้ะสามารถส ง traffic ผิ านี้ firewall ไดั�
56
Fortinet Confidential
User Management
•Monitor user
Menu
User > Monitor > Firewall
ภาพดั�งกล าวจ้ะแสดัง user ที่ไดั�ที่)าการ authentication ไว�แล�ว โดัยจ้ะแสดังข้�อุม�ลเช้ นี้• Duration = แสดังระยะเวลาต้��งแต้ user login คร��งล าส�ดั• Traffic Volume = แสดังข้นี้าดัข้�อุม�ลที่ user ใช้�• ถ�าต้�อุงการ disconnect user สามารถที่)าไดั�โดัยกดัป�?มร�ป ถ�งข้ยะเที่ านี้��นี้• De-authentication All user = จ้ะต้�ดั connection ที่��งหมดั (ควรระว�ง)
57
Fortinet Confidential
O&AAnd Next Step Go up Laboratory