Bảo vệ Web, Mail Server trong vùng DMZ với Firewall FortiGate

Việc đặt các server web, mail trong vùng internal sẽ làm phát sinh vấn đề bảo mật. Yêu cầu ở đây là các dịch vụ này phải tách biệt với vùng internal. Nếu vùng DMZ này có bị tấn công bởi các hacker thì hoàn toàn sẽ không ảnh hưởng gì đến dữ liệu bên trong nội bộ của chúng ta cả. Sau đây mình xin hướng dẫn các bạn cấu hình protect web, mail server DMZ trên Firewall Fortigate.

Bước 1: Cấu hình IP address trên cổng DMZ
-Các bạn vào system-->network--> interface-->nhấp double vào cổng DMZ và cấu hình như hình bên dưới.Ở mô hình này thì địa chỉ web server là 192.168.10.1/24



Bước 2: Nat port các dịch vụ ra bên ngoài để bên ngoài truy cập vào.
Các bạn vào Policy & Objects--> Objects-->Vitual Ips--> Create new và nat port như hình bên dưới.

Nat port 80 http


Nat port 443 https

Tùy vào các dịch vụ chạy port nào mà mình nat cho đúng port. Port external không nhất thiết phải giống như port internal.

Bước 3: Các bạn vào vào Policy & Objects--> Objects-->Vitual Ips Tạo Vitual ip group như hình bên dưới add những cái nat bên trên vào gorup.



Add 2 cái port 80 và 443 mà mình mới tạo bên trên vào group.



Bước 4: Tạo policy cho phép bên ngoài và internal truy cập vào vùng DMZ.
Policy internet truy cập vào như hình bên dưới.


Policy từ internal truy cập ra DMZ


Như vậy đã hoàn tất quá trình cấu hình cơ bản với phân vùng DMZ trên Firewall FortiGate.

Chúc các bạn thành công !

 

Cách tạo VLAN và cấu hình vùng DMZ trên Firewall FortiGate

Sơ đồ mạng:

1. Tạo VLAN
Tạo Vlan mà một trong những công việc mà 1 IT thường phải thực hiện. Việc tạo VLAN cho phép người quản trị dễ dàng quản lý các bộ phận phòng ban trong công ty qua đó thiết lập chính sách bảo mật (policy) cho từng bộ phận một cách nhất quán rõ ràng, bảo mật hệ thống thông tin của toàn hệ thống.
Ở bài viết này tôi chỉ giả định tạo ra 2 VLAN, việc tạo ra bao nhiêu VLAN la tuỳ thuộc vào nhu cầu hệ thống của bạn, việc thực hiện là hoàn toàn tương tự.
Tạo ra 2 vùng địa chỉ với 2 dãy IP như sau:
+ Vùng IP thứ nhất đặt tên là VLAN 1( Ví dụ: 192.168.111.0/24)
+ Vùng IP thứ hai đặt tên là VLAN 2 (ví dụ: 192.168.112.0/24)
Vào Firewall >> Address >> Creat New.
Tạo vùng VLAN1

Tạo vùng VLAN2

2. Định nghĩa DMZ.
Vùng DMZ (Demilitarized Zone – vùng phi quân sự) trong thuật ngữ công nghệ, DMZ được hiểu là một mạng tách biệt với mạng nội bộ(internal). Các server như Web, Mail, FTP, VoIP… là các dịch vụ tổ chức mong muốn người dùng có thể truy cập và sử dụng thông qua các mạng ngoài như Internet được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích nội bộ như DNS, DHCP, File/Print… vẫn được đặt trong vùng internal.

3. Cấu hình vùng DMZ.
Đầu tiên ta tạo 1 vùng địa chỉ cho vùng DMZ, ta làm như sau:
Vào Firewall >> Address >> Creat New.
Nhập thông tin như sau:

Đặt IP cho port 8..
Vào System >> Network >> Interface >> chọn port 8 và chọn Edit.
+ Trong phần Alias: đặt tên tương ứng cho port.
+ IP/Netmask: nhập IP Addess cho port 8 như hình.
+ Chọn HTTPS

3.1 Cấu hình 1 Policy cho vùng DMZ ra internet.
Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port8.
+ Source Addess: chọn All.
+ Destination Interface/Zone: chọn port9
+ Destination Address: chọn All
+ Service: Any
+ Action: Accept
+ Check vào NAT để NAT vùng địa chỉ bên trong ra vùng IP WAN để ra Internet.
+ Check vào Protect Profile và chọn Scan để Scan Virut, AntiSpam, và lọc Webfilter…
+ Bấm ok.

3.2 Cấu hình từ ngoài Internet vào vùng DMZ.
Để từ ngoài internet có thể vào vùng DMZ thì chúng ta phải tạo 1 policy từ ngoài internet vào vùng DMZ thông qua 1 số dịch vụ như FTP, DNS, Web…

3.3 Cấu hình Vùng LAN qua vùng DMZ.
Để các máy trong mạng LAN truy cập qua vùng DMZ thì chúng ta cũng phải tạo Policy cho chúng.
Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port4
+ Source Addess: chọn All
+ Destination Interface/Zone: chọn port8
+ Destination Address: chọn DMZ
+ Service: Any
+ Action: Accept
+ Bấm ok.

3.4 Cấu hình vùng DMZ qua vùng LAN.
Vào Firewall >> Policy >> Creat New.
+ Source Interface/Zone: Chọn port8
+ Source Addess: chọn DMZ
+ Destination Interface/Zone: chọn port4
+ Destination Address: chọn ALL
+ Service: Any
+ Action: Accept
+ Bấm ok.