FortiGate hỗ trợ tính năng ảo hóa thiết bị thông qua cấu hình VDOM. Theo đó, với một thiết bị FortiGate duy nhất ta có thể cấu hình nhiều VDOM, mỗi VDOM được xem như một thiết bị FortiGate riêng biệt, có interface, bảng định tuyến, UTM profile, firewall policy riêng biệt… Bài viết sau sẽ hướng dẫn cách cấu hình ảo hóa (VDOM) trên Firewall Fortigate. Trước tiên, các bạn vào Dashboard >> status >> enabe bật chức năng Virtual Domain Nếu không tìm thấy chức năng trên, các bạn vào màn hình CLI gõ lệnh như bên dưới, sau đó bật Virtual domain. Sau khi bật Virtual domain, các bạn đăng nhập lại và vào mục Global >> VDOM >> VDOM chọn Create new để tạo VDOM-A, và làm tương tự cho VDOM-B. Ta đã tạo được các VDOM như bên dưới. Tiếp theo, vào mục Network >> Interfaces để gán port vào các VDOM tương ứng. Màn hình Interface sau khi gán port vào VDOM. Vào Admin >> Administrators để tạo tài khoản admin cho VDOM- A Thực hiện tương tự cho VDOM-B Ta tạo được các tài khoản admin riêng cho từng VDOM như hình Đăng nhập vào VDOM-A bằng tài khoản a-admin Tạo 1 static route từ Firewall Fortigate lên modem Tiếp theo, mở policy cho kết nối Internet từ mạng LAN Đăng nhập VDOM-B Tạo static route đến modem Mở policy kết nối Internet từ mạng LAN cho user VDOM-B Thử truy cập Internet từ VDOM-A sẽ thấy việc truy cập thành công Tương tự, thử truy cập Internet từ VDOM-B Đến đây, việc cấu hình ảo hóa VDOM trên Firewall Fortigate đã được thực hiện xong. Chúc các thực hiện thành công.
Cấu hình VDOM trên tường lửa FortiGate (FortiOS 7.0) Tổng quan lại về VDOM, trên cùng một thiết bị tường lửa FortiGate bạn có thể cấu hình các VDOM bên trong và các phần này có thể được gọi là FortiOS instance. Virtual Domains (hay VDOMs) có thể được dùng để chia tách một thiết bị FortiGate thành hai hay nhiều vùng ảo của FortiOS, và chúng hoạt động như một thiết bị FortiGate độc lập. Trong bài viết lần này, mô hình được sử dụng giống như một ISP cung cấp cho Công ty A và Công ty B dịch vụ internet tương ứng. Mỗi công ty sẽ sở hữu một VDOM, địa chỉ IP và vùng mạng nội bộ. Tính năng này phù hợp với các doanh nghiệp như: dịch vụ thuê/chia sẻ văn phòng, tập đoàn và công ty thành viên… I. Kích hoạt các VDOM: - Cấu hình trên thiết bị FortiGate và trong VDOM các thành phần, bao gồm: VDOM-A IP address: DHCP Client Access: HTTPS VDOM-B IP address: DHCP Client Access: HTTPS FortiGate IP address Port 2: DCHP Client – VDOM B Port 3: DHCP Client – VDOM A Port 4: DHCP SERVER – VDOM A Port 5: DHCP SERVER – VDOM B Access : Port 2 – Management Access Ethernet Switch NAT 1. Để bật tính năng Virtual Domains lên, vào giao diện CLI và nhập các dòng lệnh: config system global set vdom-mode multi-vdom end 2. Đăng xuất khỏi FortiGate và login vào lại. Bạn có thể thấy được kết quả như hình bên dưới. VDOM mặc định 3. Tiếp theo vào phần Global > System > VDOM. Tạo hai VDOM, VDOM-A và VDOM-B. Để cả hai VDOM được 'Enabled' với Operation Mode chọn là 'NAT' và NGFW mode là 'profile-based'. Cấu hình VDOM-A Cấu hình VDOM-B 4. Đến bước cấu hình Interface, vào phần Global > Network > Interfaces. Click cấu hình Port2 và thêm nó vào VDOM-B. Chọn Addressing Mode là 'DHCP'. Cấu hình Port2 Nếu port bên dưới root và bạn không thể thay đổi nó thành VDOM-B, bạn nên xóa các phần có liên quan tới port này trước (như Policy, Routing…). 5. Đi đến Global > Network > Interfaces. Chọn cấu hình Port4 và thêm nó vào VDOM-A. Chọn Addressing Mode là 'Manual' và đặt một địa chỉ IP/Netmask cho interface này (theo mô hình 192.168.91.1/255.255.255.0) và cuối cùng bật DHCP Server. Cấu hình Port4 6. Đi tiếp vào Global > Network > Interfaces. Chọn cấu hình Port3 và thêm nó vào VDOM-A và chọn Addressing Mode là 'DHCP'. Cấu hình Port3 7. Đến phần cấu hình cho VDOM-B, vào đường dẫn Global > Network > Interfaces. Chọn cấu hình Port5 và thêm nó vào VDOM-B. Chọn Addressing Mode là 'Manual' và đặt một địa chỉ IP/Netmask cho interface này (theo mô hình 192.168.92.1/255.255.255.0). Chọn quyền truy cập quản lý Administrative Access với các giao thưc HTTPS, PING, SSH. Cuối cùng bật DHCP Server lên. Cấu hình Port5 II. Tạo tài khoản quản trị cho mỗi VDOM: 1. Vào trong Global > System > Administrators. Tạo một tài khoản quản trị cho VDOM-A, ví dụ như vdom-a. Chọn Type là 'Local User', nhập mật khẩu và xác nhận lại, chọn Administrator Profile với quyền 'prof_admin', trong mục Virtual Domain thêm vào 'VDOM-A' và xóa root khỏi danh sách này. 2. Quay trở lại trang Administrators. Tạo thêm tài khoản cho VDOM-B, ví dụ như vdom-a. Chọn Type là 'Local User', nhập mật khẩu và xác nhận lại, chọn Administrator Profile với quyền 'prof_admin', trong mục Virtual Domain thêm vào 'VDOM-B' và xóa root khỏi danh sách. III. Cấu hình Firewall Policy cho VDOM-A: 1. Vào theo đường dẫn Virtual Domains > VDOM-A > Network > Static Routes. Click Create New để tạo một default route dành cho VDOM này. Nhập Destination IP/Mask là '0.0.0.0/0.0.0.0', chọn Interface là port3, phần Gateway/Address sẽ tự động nhận nếu chọn Dynamic (mặc định), nếu không bạn có thể chọn Specify và nhập IP của gateway router tùy ý vào. Static route trên VDOM-A 2. Đi đến Policy & Objects > Firewall Policy. Tạo một policy để cho phép truy cập internet. Chọn Incoming Interface : port4 và Outgoing Interface : port2. Bấm Enable ở phần NAT để bật lên. Cài đặt Source Address và Destination Address là 'all', với Service : 'ALL'. Firewall Policy trong VDOM-A Click OK để lưu cấu hình lại. 3. Bây giờ, bạn kiểm tra đã có thể truy cập Internet từ VDOM-A. IV. Cấu hình Firewall Policy cho VDOM-B: 1. Vào theo đường dẫn Virtual Domains > VDOM-B > Network > Static Routes. Click Create New để tạo một default route dành cho VDOM này. Nhập Destination IP/Mask là '0.0.0.0/0.0.0.0', chọn Interface là port2, phần Gateway/Address sẽ tự động nhận nếu chọn Dynamic (mặc định), nếu không bạn có thể chọn Specify và nhập IP của gateway router tùy ý vào. Static route trên VDOM-B 2. Đi đến Policy & Objects > Firewall Policy. Tạo một policy để cho phép truy cập internet. Chọn Incoming Interface : port5 và Outgoing Interface : port2. Kiểm tra phần NAT để đảm bảo đã được bật. Cài đặt Source Address và Destination Address là 'all', với Service : 'ALL'. Firewall Policy trong VDOM-B Click OK để lưu cấu hình lại. 3. Tạo một Traffic Shaping dưới mục Policy & Objects như sau: Tạo Traffic Shaper trong VDOM-B 4. Tạo Traffic Shaping Policy với các cấu hình như sau: Name: vdom-b Source: All Destination: All Service: All Outgoing Interface: Port2 Shared Shaper: vdom-b Reverse Shaper: vdom-b Shaping Policy trong VDOM-B 5. Bây giờ mở trình duyệt trên client thuộc VDOM-B và vào fastcom để kiểm tra cấu hình.