Tweet
:lol: :lol: [b]Chào các sư huynh!
Em mạn phép nói đôi điều nhé.
1.Giới thiệu về Fortigate Firewall
Đây là 1 dòng sản phẩm của công ty Fortinet,1 firewall cứng hoàn toàn.
Về công nghệ,chúng dùng FortiASIC,tích hợp đầy đủ các tính năng cần có của 1 Firewall.Về HĐH,đó là FortiOS.
Sơ lược về các tính năng:
1.1Firewall
Network sẽ được FG cắt ra thành nhiều Zone(tùy theo platform số Zone này sẽ thay đổi),cơ bản là 3 Zone sau:External(0%security),DMZ(50%)và Internal(100%).FG sẽ quản lý toàn bộ các traffic ngang qua nó nhờ vào 1 Routing table(chủ yếu là static,có hỗ trợ thêm RIP 1),và 1 loạt các policy giũa các cặp Zone với nhau.Traffic k thể đi từ zone less secure đến zone more secure nếu k có policy cho phép,cho dù đã routing rồi,..
1.2Anti virus&attack
Tính năng này sẽ được enable kèm theo các policy,FG dựa vào 1 pre-definned list trong database để anti viru.List này sẽ được auto update khi ta connect Internet.Ngoài ra,còn có các option dành cho user thêm các định nghĩa mới.Đồng thời,còn có 1 attack list,tương tự như virus list
1.3VPN
Phần này chắc mọi người đã nắm rồi.E chỉ bổ sung là nó hỗ trợ:IPsec(auto key và manual key ),PPTP,L2TP với đầy đủ các Protocol cần có cho 1
VPN tunnel.
Mặt khác,FG còn có thể làm VPN server cho các dial-up user,số lượng session tùy thuộc vào platform(ít nhất là 20)
1.4Content Filtering
Cũng gần giống với Content delivery của PIX,tuy nhiên FG filter theo banned words và URL.Cái này sẽ do user định nghĩa.
1.5 IDS
FG hỗ trợ NIDS:Network Intrusion Detectio,tạm dịch là "phát hiện và ccô lập lây nhiễm",khi ấy nó sẽ email cho admin theo địa chỉ được user chọn.
1.6 Traffic Shaping
TS sẽ đi kèm trong các policy,và được config ở đây.
FG hoạt động ở 2 mode:Transparent và NAT/Route.
VPN chỉ có thể cấu hình trong mode NAT/Route
Về ưu điểm:Thân thiện với user nhờ web-based,thời gian đáp ứng cho 1 action là realtime,đây là 1 ưu thế so với soft firewall,tích hợp đầy đủ tính năng(có thể xem là All-in-one),giá cũng mềm.
Một điểm mạnh nữa về kỹ thuật là FG có hỗ trợ VIP(Virtual IP):Dùng map 1IP từ 1 zone more secure cho 1 IP ở zone less secure,trong đó có 2 mode:Static NAT và PAT(Port Address Translation,hay còn gọi là Port forwarding).Cái nàyhay lăm !!!
Về platform:có FG50(k có DMZ zone),FG60(dùng cho SOHO),FG200,FG300,FG400,FG500(có thêm 8 extended ports,dùng định nghĩa thêm các zone mới),FG1000,FG2000(dùng cho ISP).
Theo tìm hiểu thì hiện nay,Pacific Technology Consulting của CCIE Vũ Minh Đức -8991788, là nhà phân phối độc quyền ở Việt Nam đấy.
2.VPN giữa FG và Router
Phần này ,e xin bổ sung thêm vài ý từ bài viết rất hay của Crazy.
Ta cũng chuẩn bị ở 2 đầu của VPN tunnel.
Router:Các bạn config giống như anh Minh đã hướng dẫn,tuy nhiên trong command set peer....,địa chỉ sẽ là IP của External interface của FG,và FG chỉ hỗ trợ mode tunnel mà thôi
FG:Có bước
Bước 1:Cấu hình cho Remote gateway,đây chính là Router,nên chỉ cần sao lại các giao thức,key,chính sách và giải thuật mmã hóa mà router đã sử dụng.IP của remote gateway sẽ là IP của router
Bước 2:Cấu hình Tunnel
Chọn Autokey
Trong phần này,bạn sẽ cung cấp các network là thành phần của Tunnel(định nghĩa các net này sẽ thực hiện trong menu Address),key ,lifetime,...
(Nếu xem file Crazy gửi kèm sẽ rõ hơn)
Bước 3:Cấu hình policy
Trong Policy từ Internal-->External,ta thiết lập 1 policy đi từ Internal network-->Remote network(sau router) với action là ENCRYPT.
Thông thường ta chỉ sử dụng PERMIT và DENY.
Lưu ý:Policy là gần giống với ACL,nên cần chú ý thứ tự.
Đối với Policy nói trên,ta sẽ đặt nó vào vị trí đầu tiên trong số các policy ở hướng này.
Cuối cùng,thực hiện lệnh ping liên tục.Vào Status(Trong VPN menu),bạn sẽ thấy nó thay đổi từ Down-->Connecting-->Up.Sau 1 khoảng lifetime,key phài đổi,lúc này Staus sẽ là Unknown,sau đó tiếp tục Up.
Với chút kiến thức mọn,e xin gửi đến diễn đàn thông tin về dòng Firewall cứng mới.
Mong thông cảm cho sự diễn đạt yếu kém và "củ chuối" của bản thân e.
Mến chào.
"Người đi trước rước người đi sau"
:P :D
Em mạn phép nói đôi điều nhé.
1.Giới thiệu về Fortigate Firewall
Đây là 1 dòng sản phẩm của công ty Fortinet,1 firewall cứng hoàn toàn.
Về công nghệ,chúng dùng FortiASIC,tích hợp đầy đủ các tính năng cần có của 1 Firewall.Về HĐH,đó là FortiOS.
Sơ lược về các tính năng:
1.1Firewall
Network sẽ được FG cắt ra thành nhiều Zone(tùy theo platform số Zone này sẽ thay đổi),cơ bản là 3 Zone sau:External(0%security),DMZ(50%)và Internal(100%).FG sẽ quản lý toàn bộ các traffic ngang qua nó nhờ vào 1 Routing table(chủ yếu là static,có hỗ trợ thêm RIP 1),và 1 loạt các policy giũa các cặp Zone với nhau.Traffic k thể đi từ zone less secure đến zone more secure nếu k có policy cho phép,cho dù đã routing rồi,..
1.2Anti virus&attack
Tính năng này sẽ được enable kèm theo các policy,FG dựa vào 1 pre-definned list trong database để anti viru.List này sẽ được auto update khi ta connect Internet.Ngoài ra,còn có các option dành cho user thêm các định nghĩa mới.Đồng thời,còn có 1 attack list,tương tự như virus list
1.3VPN
Phần này chắc mọi người đã nắm rồi.E chỉ bổ sung là nó hỗ trợ:IPsec(auto key và manual key ),PPTP,L2TP với đầy đủ các Protocol cần có cho 1
VPN tunnel.
Mặt khác,FG còn có thể làm VPN server cho các dial-up user,số lượng session tùy thuộc vào platform(ít nhất là 20)
1.4Content Filtering
Cũng gần giống với Content delivery của PIX,tuy nhiên FG filter theo banned words và URL.Cái này sẽ do user định nghĩa.
1.5 IDS
FG hỗ trợ NIDS:Network Intrusion Detectio,tạm dịch là "phát hiện và ccô lập lây nhiễm",khi ấy nó sẽ email cho admin theo địa chỉ được user chọn.
1.6 Traffic Shaping
TS sẽ đi kèm trong các policy,và được config ở đây.
FG hoạt động ở 2 mode:Transparent và NAT/Route.
VPN chỉ có thể cấu hình trong mode NAT/Route
Về ưu điểm:Thân thiện với user nhờ web-based,thời gian đáp ứng cho 1 action là realtime,đây là 1 ưu thế so với soft firewall,tích hợp đầy đủ tính năng(có thể xem là All-in-one),giá cũng mềm.
Một điểm mạnh nữa về kỹ thuật là FG có hỗ trợ VIP(Virtual IP):Dùng map 1IP từ 1 zone more secure cho 1 IP ở zone less secure,trong đó có 2 mode:Static NAT và PAT(Port Address Translation,hay còn gọi là Port forwarding).Cái nàyhay lăm !!!
Về platform:có FG50(k có DMZ zone),FG60(dùng cho SOHO),FG200,FG300,FG400,FG500(có thêm 8 extended ports,dùng định nghĩa thêm các zone mới),FG1000,FG2000(dùng cho ISP).
Theo tìm hiểu thì hiện nay,Pacific Technology Consulting của CCIE Vũ Minh Đức -8991788, là nhà phân phối độc quyền ở Việt Nam đấy.
2.VPN giữa FG và Router
Phần này ,e xin bổ sung thêm vài ý từ bài viết rất hay của Crazy.
Ta cũng chuẩn bị ở 2 đầu của VPN tunnel.
Router:Các bạn config giống như anh Minh đã hướng dẫn,tuy nhiên trong command set peer....,địa chỉ sẽ là IP của External interface của FG,và FG chỉ hỗ trợ mode tunnel mà thôi
FG:Có bước
Bước 1:Cấu hình cho Remote gateway,đây chính là Router,nên chỉ cần sao lại các giao thức,key,chính sách và giải thuật mmã hóa mà router đã sử dụng.IP của remote gateway sẽ là IP của router
Bước 2:Cấu hình Tunnel
Chọn Autokey
Trong phần này,bạn sẽ cung cấp các network là thành phần của Tunnel(định nghĩa các net này sẽ thực hiện trong menu Address),key ,lifetime,...
(Nếu xem file Crazy gửi kèm sẽ rõ hơn)
Bước 3:Cấu hình policy
Trong Policy từ Internal-->External,ta thiết lập 1 policy đi từ Internal network-->Remote network(sau router) với action là ENCRYPT.
Thông thường ta chỉ sử dụng PERMIT và DENY.
Lưu ý:Policy là gần giống với ACL,nên cần chú ý thứ tự.
Đối với Policy nói trên,ta sẽ đặt nó vào vị trí đầu tiên trong số các policy ở hướng này.
Cuối cùng,thực hiện lệnh ping liên tục.Vào Status(Trong VPN menu),bạn sẽ thấy nó thay đổi từ Down-->Connecting-->Up.Sau 1 khoảng lifetime,key phài đổi,lúc này Staus sẽ là Unknown,sau đó tiếp tục Up.
Với chút kiến thức mọn,e xin gửi đến diễn đàn thông tin về dòng Firewall cứng mới.
Mong thông cảm cho sự diễn đạt yếu kém và "củ chuối" của bản thân e.
Mến chào.
"Người đi trước rước người đi sau"
:P :D
Comment