Basic configuration fortigate v4.0 mr2

Fortinet Confidential

Overview FortiOS V4.0 MR2


อุ�ปกรณ์�ที่ต้�อุงใช้�เต้รยมอุ�ปกรณ์�ดั�งนี้�1.PC,Notebook

2.LAN cable

3.USB to RS232 cable

4.DB9 to RJ45 cable

URL to login

https://192.168.1.99 (default)

Username : admin

Password : Keep it blank

2


Dashboard Overview

• System Information

3

- อุธิ�บายข้�อุม�ลข้อุงต้�วอุ�ปกรณ์� เช้ นี้ S/N,date&time,Firmware version


Dashboard Overview

• License Information

4

- แสดัง account ที่เป#นี้เจ้�าข้อุงอุ�ปกรณ์� และ ว�นี้หมดัอุาย�การร�บประก�นี้ และ

สถานี้ะข้อุงการเช้(อุมต้ อุระหว าง อุ�ปกรณ์� FortiGate และ Fortiguard server


Dashboard Overview

• CPU&Memory Monitor

5

- การ monitor การที่)างานี้ข้อุง cpu และ memory ข้อุง fortigate โดัยสามารถดั�แบบ Real time ต้ามช้ วงระยะเวลา ที่ต้�อุงการไดั�


Dashboard Overview

• Alert Message

6

- แสดังเหต้�การณ์�ต้ างๆ ที่เก�ดัข้-�นี้ บนี้ต้�วอุ�ปกรณ์� FortiGate เช้ นี้ login ผิ�ดั(จ้าก ภาพดั�งกล าว อุ�ปกรณ์�ก)าล�งโดันี้โจ้มต้แบบ brute force อุย�


Dashboard Overview

• Application Monitor

7

- การ monitor การใช้�งานี้ application ต้ างๆ ว าอุะไร ใช้�เยอุะที่ส�ดัและสามารถเรยกดั�ไดั�ว า ip หร(อุ ใคร ใช้� application นี้��นี้ๆ เยอุะส�ดั


Dashboard Overview

• Traffic Monitor

8

- กราฟแสดังปร�มาณ์การใช้� traffic ต้ามช้ วงเวลาที่แสดัง โดัยสามารถเล(อุก monitor แต้ ละ interface ที่ต้�อุงการไดั� และ สามารถ แสดังไดั�มากกว า 1 กรอุบ


Three step of configuration1. Assign the ip address to interface

- Manual - DHCP - PPPoE

3. Create policy

2. Create routing

- Static Route


1. Assign the ip address to network interface


Network Interface

•Menu System > Network > interface > Select interface for assign ip address• Select Manual

- ระบ�ค า ip address

(Ip address ที่ระบ�ไป จ้ะเป#นี้ ip gateway ข้อุงเคร(อุง Client)

11


Network Interface

• Select DHCP - Enable Retrieve default gateway from server- Enable Overide internal DNS.

12


Network Interface

• Select PPPoE - ใส ค า username & password ที่ไดั�ร�บจ้าก ISP - Router ต้�อุงที่)าต้�วให�เป#นี้ Bridge Mode - Enable Retrieve default gateway from server- Enable Overide internal DNS.

13


Network Interface

- ในี้การ manage อุ�ปกรณ์� FortiGate สามารถเล(อุกไดั�ดั�งนี้� ค(อุ HTTP , HTTPS , SSH , Telnet , Ping

- แนี้ะนี้)าให�ใช้� ต้ามร�ปดั�านี้ล าง เพ(อุป3อุงก�นี้การโดันี้ Brute Force Attack

- เนี้(อุงจ้าก ถ�าเป4ดั SSH และ Telnet จ้ะโดันี้ส� ม username & password ไดั�

14


Network Interface

- Example commandline to config interface

- # config system interface - (interface) # edit (ช้(อุ port) - (port13) # set ip 10.10.10.1/24- (port13) # set allowaccess ping https- (port13) # end ( ค(อุการ save ค า)- #

15

Fortinet Confidential16

2. Create Routing


Routing

• Example Diagram

- Interface ที่ต้ อุก�บ Router ค(อุ interface ช้(อุ wan1 - Ip address ที่ interface ข้อุง wan1 ค(อุ ip 192.168.1.99.24 - Ip address ที่ต้�ว router ค(อุ 192.168.1.254- Network ปลายที่างค(อุ default route (0.0.0.0/0)

17


Routing

•Menu

Router > Static > Static Route > Create New

- Destination IP/Mask ค(อุ ก)าหนี้ดั network ปลายที่างที่ต้�อุงการจ้ะไป- Device ค(อุ ก)าหนี้ดั interface ที่จ้ะให� traffic ว�งผิ านี้ interface นี้�- Gateway ค(อุ ip ข้อุงอุ�ปกรณ์�ที่จ้ะให� fortigate ส ง traffic ไปหา เช้ นี้

Router

18


Routing

- Example commandline to config static route- Config router static

- Edit 1

- Set destination 0.0.0.0/0

- Set gateway 192.168.1.254

- Set device wan1

- End

19


Routing

• Routing Monitor

ค(อุ การ monitor routing ข้อุงอุ�ปกรณ์� Fortigate ว า ร� �จ้�ก network ไหนี้บ�าง

จ้ากภาพดั�งกล าว ส�งเกต้ที่ช้ อุงซ้�ายส�ดัค(อุ Type

- connected ค(อุ network ที่เป#นี้ ip network อุย� บนี้ interface ข้อุง ต้�ว fortigate เอุง ซ้-ง ค า distance จ้ะมค าเป#นี้ 0

- Static ค(อุ Network ที่ fortigate ต้�อุงอุาศั�ยอุ�ปกรณ์�ต้�วอุ(นี้ อุกที่ ถ-งจ้ะร� �จ้�ก network นี้��นี้ๆ ซ้-ง ค า distance จ้ะมค าเป#นี้ 0

20


3. Create Policy

21


Policy

• ค(อุการประกาศันี้โยบายว า อุนี้�ญาต้ให� ip address หร(อุ วง network อุะไรบ�าง สามารถผิ านี้ firewall ไดั�

• การอุ านี้ policy จ้ะอุ านี้จ้าก บรรที่�ดับนี้ส�ดั ไปจ้นี้ถ-ง บรรที่�ดัล างส�ดั ซ้-ง ถ�า ip address หร(อุ network ดั�งกล าว ไม ไดั�ถ�กประกาศัอุย� ในี้ policy เลย จ้ะถ�ก block ไว�

• การสร�าง policy ให�มอุงว า ต้�อุงการจ้ะให� ip address หร(อุ network ใดัๆ ให�สามารถผิ านี้ firewall ไปย�ง ip address หร(อุ network อุกฝั่9 งหนี้-ง

• การที่)างานี้ข้อุง policy ที่)าไดั�ต้��งแต้ layer3 (ip) , layer4 (tcp&udp) และ layzer7 (เช้ นี้ facebook , IM on web)

22


Policy

• Example Diagram

• เคร(อุง pc ip address 192.168.2.51 ต้�อุงการที่จ้ะอุอุก internet

23


Policy

•Menu

Firewall > Policy

> Create New

24


Policy

• จ้ากภาพ ดั�งกล าว ประกอุบดั�วย - source interface = port1

- source address = PC ip 192.168.2.51

- destination interface = wan1

- destination address = all (0.0.0.0/0)

- schedule = always

- service = any

- action = accept

- NAT = enable NAT• ที่��งนี้� policy ดั�งกล าว ค(อุการสร�างเพ(อุให� pc ip 192.168.2.51

สามารถอุอุกส� internet ไดั�เที่ านี้��นี้

25


Policy

• Policy component

- Address ค(อุการสร�าง object ข้-�นี้มาเพ(อุที่จ้ะไปผิ�กอุย� ในี้ policy โดัยสามารถสร�างไดั�ที่เมนี้� Firewall > Address

ส วนี้ประกอุบข้อุง Address จ้ะมดั�งนี้�

- Address Name = ช้(อุข้อุง address นี้��นี้ๆ - Type = ประเภที่ข้อุง address - Subnet /IP Range = ก)าหนี้ดั ip address / network

26


Policy Component

• Address

สามารถใส ค าอุะไรไดั�บ�างในี้ address

1. ip address เช้ นี้ 192.168.1.1/32

2. ip network เช้ นี้ 192.168.1.0/24

3. ip range เช้ นี้ 192.168.1.[10-20]

• Address Groups ค(อุการรวบรวม object หลายๆอุ�นี้ มารวมเข้�าดั�วยก�นี้เช้ นี้

Address Group ที่ช้(อุว า Client จ้ะม object ดั�งนี้� 192.168.1.[10.-20] , 192.168.1.[40-100]

27


Policy Component

- Service

ค(อุการสร�าง service port ที่ fortigate ไม ม เช้ นี้ port ข้อุงโปรแกรมบางอุย าง

ที่เข้ยนี้ข้-�นี้มาโดัยเฉพาะ ฉะนี้��นี้จ้-งต้�อุงสร�าง service object ข้-�นี้มาใหม เพ(อุที่จ้ะผิ�กในี้ policy

โดัยสามารถสร�างไดั�ที่เมนี้� Firewall > Service > Custom > Create New

28


Policy Component

- Service

สามารถใส ค าอุะไรไดั�บ�าง ยกต้�วอุย างเช้ นี้ port 5000 แบบ TCP จ้ะใส ค าดั�งในี้ภาพ

ถ�า port ที่ต้�อุงใช้�เป#นี้ range เช้ นี้ 5000 – 5500

ก;สามารถก)าหนี้ดัดั�งนี้� ในี้ช้ อุง Low เป#นี้ 5000 และช้ อุง High เป#นี้ 5500

29


Policy Component

- Service

สามารถใส service range ไดั�หลายบรรที่�ดัในี้ service object เดัยวก�นี้ ต้ามภาพ

30


Policy Component

• Log allowed traffic

ค(อุ การจ้�ดัเก;บ traffic log ส)าหร�บ policy ข้�อุนี้��นี้ โดัยในี้ traffic log นี้��นี้จ้ะเก;บ log เช้ นี้ source ip , destination ip , user account (กรณ์ที่)า authentication)• UTM

ค(อุ การ enable การป3อุงก�นี้การโจ้มต้ในี้ระดั�บ Layer 7 เช้ นี้ antivirus , ips , application control , web filter , antispam , DLP• Traffic Shaper

ค(อุการ shape bandwidth ว า การใช้�งานี้ traffic ที่อุย� ในี้ policy ดั�งกล าว จ้ะถ�กจ้�ดัสรร bandwidth ในี้ข้อุบเข้ต้ที่จ้)าก�ดั ต้ามที่ไดั�ก)าหนี้ดัไว�

31


DHCP

• อุ�ปกรณ์� FortiGate สามารถที่จ้ะที่)าหนี้�าที่ แจ้ก ip address ให�ก�บ client ที่ร�อุงข้อุ

ip address เหมาะส)าหร�บ client ที่เข้�ามาใช้�ระบบช้�วคราว

Menu

System > DHCP server > service • DHCP server สามารถแจ้กไดั� 1 server ต้ อุ 1 interface เที่ านี้��นี้• อุ�ปกรณ์� FortiGate สามารถแจ้ก ip address โดัยจ้�บค� ก�บ MAC address

ข้อุงเคร(อุง Client ไดั� (แต้ ต้�อุงใช้�ค)าส�งเป#นี้ commandline)• สามารถระบ�ช้ วงเวลาที่จ้ะให�จ้ดัจ้)า ip address และ mac address ที่เคยไดั�

แจ้กไปก อุนี้หนี้�านี้�แล�ว ว าต้�อุงการให�จ้ดัจ้)านี้านี้เที่ าไร แต้ ค าที่แนี้ะนี้)า ค(อุ 1-2 ว�นี้ เพราะจ้ะไดั�ล�างค า ip และ mac address ใหม หมดั

32


DHCP

33


DHCP release

• อุ�ปกรณ์� fortigate จ้ะจ้ดัจ้)า ip address และ mac address ที่เคยแจ้กไว�ก อุนี้หนี้�านี้� และจ้ะร�กษาไว�จ้นี้กว าจ้ะครบ lease time ที่ก)าหนี้ดั

34


DHCP MAC Binding

• ค)าส�งส)าหร�บการ จ้�บค� ip address ที่จ้ะแจ้กค� ก�บ MAC address

config system dhcp reserved-address

edit <name_str>

set ip 192.168.1.66

set mac 00:00:00:00:00:00

set type regular

end

35


UTM

36

• Application Control: ระบ�และควบค�มแอุพพล�เคช้�นี้•Web Filter : การควบค�มการเรยกเข้�าใช้�งานี้ website • Antivirus : การป3อุงก�นี้ไวร�ส ที่สามารถสแกนี้ไดั�หลาย protocol • Data Leakage Prevention: ป3อุงก�นี้ข้�อุม�ลร�วไหล• Antispam : การป3อุงก�นี้ spam mail


UTM-Application Control

• Application Control

- การควบค�มการใช้�งานี้โปรแกรมต้ างๆเช้ นี้ P2P , IM , Game ต้ างๆ

- การจ้)าก�ดั bandwidth การใช้�งานี้ไม ให�รบกวนี้ traffic อุ(นี้ๆ ที่มความส)าค�ญ

เช้ นี้ video conference

37



• สร�าง profile ข้อุง application control จ้ากนี้��นี้จ้-งจ้ะนี้)าไปผิ�กในี้ policy ที่ต้�อุงการจ้ะจ้)าก�ดัการใช้�งานี้ application ต้ างๆ

Menu UTM > application control > application control list > Create new

38



• จ้ากนี้��นี้จ้ะแสดัง application control list ที่แสดัง application ที่��งหมดั ที่เราไดั�สร�าง และรวบรวมไว� ในี้ profile เดัยวก�นี้ ( สามารถเล(อุก application ไดั�มากกว า 1 application ในี้ profile เดัยว )

39



• การเล(อุก application ที่ต้�อุงการจ้ะควบค�มการใช้�งานี้ให�กดั Create New อุกคร��งจ้ะแสดังหนี้�าจ้อุต้ามภาพดั�านี้ล าง

• Category ค(อุ หมวดัหม� ข้อุง application เช้ นี้ P2P• Application ค(อุ ช้(อุข้อุงโปรแกรมที่อุย� ในี้หมวดัหม� นี้� �นี้ๆ เช้ นี้ Bit torrent • Enable logging ค(อุ การจ้�ดัเก;บ log ข้อุง application นี้��นี้ๆ

40


UTM-Antivirus

• การสแกนี้ไวร�ส ต้ามโปรโต้คอุลต้ างๆเช้ นี้ http , https , smtp , pop3 , im• จ้ะต้�อุงสร�าง antivirus profile ก อุนี้ จ้ากนี้��นี้นี้)า profile ไปผิ�กก�บ

policy

จ้-งจ้ะสามารถที่)าการสแกนี้ไวร�สไดั� Menu

UTM > Antivirus > Antivirus profile > Create New

41


UTM-Antivirus

• การสแกนี้ไวร�ส นี้��นี้ ต้�วอุ�ปกรณ์� FortiGate รอุงร�บหลาย protocol

ถ�าเราต้�อุงการให� สแกนี้ protocol อุะไรบ�าง ให�ที่)าการ ต้�=กเคร(อุงหมายถ�กเที่ านี้��นี้ • อุย าล(มที่จ้ะเล(อุก Logging ไว�ดั�วย เพ(อุที่เราจ้ะไดั�ร� �ว า ม virus โจ้มต้หร(อุไม • การเล(อุก protocol ที่จ้ะสแกนี้ไวร�สนี้��นี้ ให�ส�มพ�นี้ธิ�ก�บ policy ที่ม traffic

ประเภที่นี้��นี้ว�งผิ านี้ดั�วย เช้ นี้ policy ที่ม traffic ประเภที่ website เที่ านี้��นี้ ก;ควรเล(อุก protocol http เพยงอุย างเดัยว อุย าเล(อุก pop3 , smtp ดั�วย เพราะไม มประโยช้นี้�เลย

• อุย าล(ม!!! นี้)า antivirus ไปผิ�กในี้ policy ดั�วย ไม อุย างนี้��นี้ antivirus จ้ะไม ที่)างานี้

42


UTM-Antivirus

• การ quarantive virus sender

ค(อุการ block user ที่ต้�ดัไวร�ส เพ(อุไม ให� user สามารถผิ านี้อุ�ปกรณ์� FortiGate ไดั�

•Method ค(อุ การระบ�ว าจ้ะ block user แบบไหนี้ มสอุงแบบค(อุ - Source ip address = block แค ip address ที่ต้�ดัไวร�สเที่ านี้��นี้ - virus incoming interface = block ที่��ง interface เลย (ไม แนี้ นี้)า)• Expire ค(อุการก)าหนี้ดัระยะเวลาที่ block user

43


UTM-Antivirus

• ผิลล�พธิ�ข้อุงการที่ user โดันี้ quarantine

สามารถ monitor user ที่โดันี้ block ไดั�ที่ User > Monitor > Banned user

• สามารถปลดั block ไดั�โดัยเล(อุก icon ร�ป ถ�งข้ยะ • ในี้ร�ปดั�งกล าว จ้ะบอุกรายละเอุยดัว า ip อุะไรโดันี้ ban และ จ้ะยกเล�ก

การโดันี้ ban เม(อุถ-งเวลา เที่ าไร

44


UTM-Web Filter

Menu UTM > Web Filter > Profile > Create New

โดัย profile นี้�จ้ะเป#นี้ profile หล�ก ที่จ้ะนี้)าไปผิ�กในี้ policy

45


UTM-Web Filter

• ส)าหร�บการ block web ดั�วย URL สามารถที่)าไดั�ดั�งนี้�Menu

UTM > Web Filter > URL Filter > Create new

• จ้ากนี้��นี้จ้ะโช้ว� web URL list ข้-�นี้มา

46


UTM-Web Filter

• สร�าง URL list โดัยเล(อุก Create New จ้ะปรากฏภาพดั�านี้ล าง

• URL = ระบ�ช้(อุ website ที่ต้�อุงการจ้ะ block• Type = ก)าหนี้ดัเป#นี้ Simple• Action = block • Enable = ให�ที่)าการ enable ไว�

47


UTM-Web Filter

• URL Filter List ที่ไดั�สร�างข้-�นี้มา จ้ะเป#นี้ดั�งภาพดั�านี้ล าง

• เม(อุไดั� URL ที่ต้�อุงการ block แล�ว ให�ไปผิ�กในี้ Web filter profile ดั�วย

48


Policy with UTM profile

• การนี้)า profile ต้ างๆ ที่ไดั�สร�างไว� เช้ นี้ Antivirus profile , application profile , web filter profile นี้��นี้ ไปผิ�กในี้ policy ไดั�ต้ามภาพค(อุ

1. ไปที่เมนี้� Firewall > Policy จ้ะแสดัง policy ที่เราไดั�สร�างไว�2. Edit policy ที่ต้�อุงการ protection ดั�วย UTM

3. Enable UTM ในี้ policy นี้��นี้ จ้ะปรากฏภาพดั�านี้ล าง

49


Policy with UTM profile

• ในี้แต้ ละ protection ที่ต้�อุงการให� policy มการที่)างานี้ข้อุง antivirus , application control , web filter ที่ไดั�สร�างไว�ก อุนี้หนี้�านี้� ให� enable ข้-�นี้มาและ เล(อุก profile ที่เราไดั�สร�างไว� ต้ามภาพดั�านี้ล าง

50


User Management

• อุ�ปกรณ์� FortiGate สามารถสร�าง account และเก;บไว�ที่ต้�วม�นี้ไดั� เพ(อุเอุาไว�ใช้�ส)าหร�บ• User ต้�อุงการอุอุกส� internet แต้ ต้�อุงที่)าการ login เพ(อุย(นี้ย�นี้ต้�วต้นี้

ก อุนี้• User ต้�อุงการใช้�ที่ร�พยากรภายในี้ network ข้อุงอุงค�กร โดัยที่ต้�ว

user เอุงอุย� ภายนี้อุกอุงค�กร จ้-งต้�อุงที่)า ipsec หร(อุ ssl vpn และต้�อุงมการย(นี้ย�นี้ต้�วต้นี้ว า

สามารถที่จ้ะเข้�ามาใช้�ระบบงานี้ภายในี้ network ไดั� ภาพดั�านี้ล างแสดังถ-ง column user ที่แสดังช้(อุ account ข้อุง

user ที่ไดั�ที่)าการ login ก อุนี้ที่จ้ะสามารถอุอุกส� internet ไดั�

51


User Management

• การสร�าง account ส)าหร�บการ authentication

MenuUser > User > User > Create New

- User Name = ก)าหนี้ดั account - Password = ก)าหนี้ดั รห�สผิ านี้ ให�ก�บ account นี้�

52


User Management

• สร�าง User Group เพ(อุรวบรวม account ที่ไดั�สร�างมานี้��นี้ รวมอุย� ในี้ group เดัยวก�นี้

Menu

User > usergroup >Create New

• เนี้(อุงจ้าก policy จ้ะมอุงเป#นี้ user groupจ้-งต้�อุงรวบรวม account มาเป#นี้สมาช้�กในี้

usergroup • การรวบรวมเป#นี้ group จ้ะง ายดัายต้ อุการ จ้�ดัการเร(อุง account ดั�วย

53


User Management

• นี้)า user group ที่ไดั�สร�างมาไปผิ�กในี้ policy ที่ต้�อุงการให�มการที่)า authentication นี้��นี้ ที่)าไดั�โดัย • เล(อุก policy ที่ต้�อุงการให�มการที่)า authentication จ้ากนี้��นี้ให�ที่)าการ

edit• ส�งเกต้ที่ช้ อุง Enable Identity Based Policy ให�ที่)าการ enable ข้-�นี้มา จ้ะปรากฏภาพ

3. ให�กดัป�?ม Add

54


User Management

4 .หล�งจ้ากกดัป�?ม Add จ้ะโช้ว�หนี้�าต้ างให�เล(อุก user group จ้-งที่)าการเล(อุก group ที่ต้�อุงการให�อุย� ในี้ policy นี้�

5. พร�อุมที่��งก)าหนี้ดั service ที่จ้ะให� user group นี้�สามารถใช้�งานี้ไดั�

55


User Management

6. หล�งจ้าก add user group และ service แล�ว จ้ากนี้��นี้กดัป�?ม OK

จ้ะปรากฏร�ปดั�งนี้�

สร�ปว า user account ที่อุย� ในี้ policy นี้� จ้ะต้�อุงที่)าการ authentication ที่�กคร��ง จ้-งจ้ะสามารถส ง traffic ผิ านี้ firewall ไดั�

56


User Management

•Monitor user

Menu

User > Monitor > Firewall

ภาพดั�งกล าวจ้ะแสดัง user ที่ไดั�ที่)าการ authentication ไว�แล�ว โดัยจ้ะแสดังข้�อุม�ลเช้ นี้• Duration = แสดังระยะเวลาต้��งแต้ user login คร��งล าส�ดั• Traffic Volume = แสดังข้นี้าดัข้�อุม�ลที่ user ใช้�• ถ�าต้�อุงการ disconnect user สามารถที่)าไดั�โดัยกดัป�?มร�ป ถ�งข้ยะเที่ านี้��นี้• De-authentication All user = จ้ะต้�ดั connection ที่��งหมดั (ควรระว�ง)

57


O&AAnd Next Step Go up Laboratory

Technology

Basic configuration fortigate v4.0 mr2