Hướng dẫn cấu hình ảo hóa (VDOM) trên tường lửa Firewall Fortigate

Thảo luận trong 'Firewall Fortigate' bắt đầu bởi vietks, 29/8/17.

  1. vietks

    vietks New Member

    FortiGate hỗ trợ tính năng ảo hóa thiết bị thông qua cấu hình VDOM. Theo đó, với một thiết bị FortiGate duy nhất ta có thể cấu hình nhiều VDOM, mỗi VDOM được xem như một thiết bị FortiGate riêng biệt, có interface, bảng định tuyến, UTM profile, firewall policy riêng biệt… Bài viết sau sẽ hướng dẫn cách cấu hình ảo hóa (VDOM) trên Firewall Fortigate.

    upload_2017-8-29_10-45-34.jpeg

    Trước tiên, các bạn vào Dashboard >> status >> enabe bật chức năng Virtual Domain

    upload_2017-8-29_10-45-42.jpeg
    Nếu không tìm thấy chức năng trên, các bạn vào màn hình CLI gõ lệnh như bên dưới, sau đó bật Virtual domain.

    upload_2017-8-29_10-45-47.jpeg

    Sau khi bật Virtual domain, các bạn đăng nhập lại và vào mục Global >> VDOM >> VDOM chọn Create new để tạo VDOM-A, và làm tương tự cho VDOM-B.

    upload_2017-8-29_10-45-53.jpeg

    Ta đã tạo được các VDOM như bên dưới.

    upload_2017-8-29_10-45-59.jpeg

    Tiếp theo, vào mục Network >> Interfaces để gán port vào các VDOM tương ứng.

    upload_2017-8-29_10-46-5.jpeg

    Màn hình Interface sau khi gán port vào VDOM.

    upload_2017-8-29_10-46-11.jpeg

    Vào Admin >> Administrators để tạo tài khoản admin cho VDOM- A

    upload_2017-8-29_10-46-26.jpeg

    Thực hiện tương tự cho VDOM-B
    upload_2017-8-29_10-46-32.jpeg

    Ta tạo được các tài khoản admin riêng cho từng VDOM như hình
    upload_2017-8-29_10-46-37.jpeg

    Đăng nhập vào VDOM-A bằng tài khoản a-admin
    upload_2017-8-29_10-46-43.jpeg

    Tạo 1 static route từ Firewall Fortigate lên modem

    upload_2017-8-29_10-46-48.jpeg

    Tiếp theo, mở policy cho kết nối Internet từ mạng LAN

    upload_2017-8-29_10-46-55.jpeg

    Đăng nhập VDOM-B
    upload_2017-8-29_10-47-1.jpeg

    Tạo static route đến modem

    upload_2017-8-29_10-47-6.jpeg

    Mở policy kết nối Internet từ mạng LAN cho user VDOM-B
    upload_2017-8-29_10-47-11.jpeg

    Thử truy cập Internet từ VDOM-A sẽ thấy việc truy cập thành công

    upload_2017-8-29_10-47-17.jpeg

    Tương tự, thử truy cập Internet từ VDOM-B

    Đến đây, việc cấu hình ảo hóa VDOM trên Firewall Fortigate đã được thực hiện xong.

    Chúc các thực hiện thành công.
     
    vietks, 29/8/17
    #1
  2. allinone

    allinone New Member

    Cấu hình VDOM trên tường lửa FortiGate (FortiOS 7.0)

    Tổng quan lại về VDOM, trên cùng một thiết bị tường lửa FortiGate bạn có thể cấu hình các VDOM bên trong và các phần này có thể được gọi là FortiOS instance.

    Virtual Domains (hay VDOMs) có thể được dùng để chia tách một thiết bị FortiGate thành hai hay nhiều vùng ảo của FortiOS, và chúng hoạt động như một thiết bị FortiGate độc lập. Trong bài viết lần này, mô hình được sử dụng giống như một ISP cung cấp cho Công ty A và Công ty B dịch vụ internet tương ứng. Mỗi công ty sẽ sở hữu một VDOM, địa chỉ IP và vùng mạng nội bộ. Tính năng này phù hợp với các doanh nghiệp như: dịch vụ thuê/chia sẻ văn phòng, tập đoàn và công ty thành viên…
    [​IMG]
    I. Kích hoạt các VDOM:
    - Cấu hình trên thiết bị FortiGate và trong VDOM các thành phần, bao gồm:
    • VDOM-A
      • IP address: DHCP Client
      • Access: HTTPS
    • VDOM-B
      • IP address: DHCP Client
      • Access: HTTPS
    • FortiGate
      • IP address
        • Port 2: DCHP Client – VDOM B
        • Port 3: DHCP Client – VDOM A
        • Port 4: DHCP SERVER – VDOM A
        • Port 5: DHCP SERVER – VDOM B
      • Access : Port 2 – Management Access
    • Ethernet Switch
    • NAT
    1. Để bật tính năng Virtual Domains lên, vào giao diện CLI và nhập các dòng lệnh:
    config system global
    set vdom-mode multi-vdom
    end
    2. Đăng xuất khỏi FortiGate và login vào lại. Bạn có thể thấy được kết quả như hình bên dưới.
    [​IMG]
    VDOM mặc định

    3. Tiếp theo vào phần Global > System > VDOM. Tạo hai VDOM, VDOM-AVDOM-B. Để cả hai VDOM được 'Enabled' với Operation Mode chọn là 'NAT'NGFW mode là 'profile-based'.
    [​IMG]
    Cấu hình VDOM-A

    [​IMG]
    Cấu hình VDOM-B

    4. Đến bước cấu hình Interface, vào phần Global > Network > Interfaces. Click cấu hình Port2 và thêm nó vào VDOM-B. Chọn Addressing Mode là 'DHCP'.
    [​IMG]
    Cấu hình Port2

    Nếu port bên dưới root và bạn không thể thay đổi nó thành VDOM-B, bạn nên xóa các phần có liên quan tới port này trước (như Policy, Routing…).

    5. Đi đến Global > Network > Interfaces. Chọn cấu hình Port4 và thêm nó vào VDOM-A. Chọn Addressing Mode là 'Manual' và đặt một địa chỉ IP/Netmask cho interface này (theo mô hình 192.168.91.1/255.255.255.0) và cuối cùng bật DHCP Server.
    [​IMG]
    Cấu hình Port4
    6. Đi tiếp vào Global > Network > Interfaces. Chọn cấu hình Port3 và thêm nó vào VDOM-A và chọn Addressing Mode là 'DHCP'.
    [​IMG]
    Cấu hình Port3
    7. Đến phần cấu hình cho VDOM-B, vào đường dẫn Global > Network > Interfaces. Chọn cấu hình Port5 và thêm nó vào VDOM-B. Chọn Addressing Mode là 'Manual' và đặt một địa chỉ IP/Netmask cho interface này (theo mô hình 192.168.92.1/255.255.255.0). Chọn quyền truy cập quản lý Administrative Access với các giao thưc HTTPS, PING, SSH. Cuối cùng bật DHCP Server lên.
    [​IMG]
    Cấu hình Port5

    II. Tạo tài khoản quản trị cho mỗi VDOM:

    1. Vào trong Global > System > Administrators. Tạo một tài khoản quản trị cho VDOM-A, ví dụ như vdom-a. Chọn Type là 'Local User', nhập mật khẩu và xác nhận lại, chọn Administrator Profile với quyền 'prof_admin', trong mục Virtual Domain thêm vào 'VDOM-A' và xóa root khỏi danh sách này.
    [​IMG]
    2. Quay trở lại trang Administrators. Tạo thêm tài khoản cho VDOM-B, ví dụ như vdom-a. Chọn Type là 'Local User', nhập mật khẩu và xác nhận lại, chọn Administrator Profile với quyền 'prof_admin', trong mục Virtual Domain thêm vào 'VDOM-B' và xóa root khỏi danh sách.
    [​IMG]
    III. Cấu hình Firewall Policy cho VDOM-A:

    1. Vào theo đường dẫn Virtual Domains > VDOM-A > Network > Static Routes. Click Create New để tạo một default route dành cho VDOM này. Nhập Destination IP/Mask là '0.0.0.0/0.0.0.0', chọn Interface port3, phần Gateway/Address sẽ tự động nhận nếu chọn Dynamic (mặc định), nếu không bạn có thể chọn Specify và nhập IP của gateway router tùy ý vào.
    [​IMG]
    Static route trên VDOM-A
    2. Đi đến Policy & Objects > Firewall Policy. Tạo một policy để cho phép truy cập internet. Chọn Incoming Interface : port4Outgoing Interface : port2. Bấm Enable ở phần NAT để bật lên. Cài đặt Source AddressDestination Address là 'all', với Service : 'ALL'.
    [​IMG]
    Firewall Policy trong VDOM-A

    Click OK để lưu cấu hình lại.

    3. Bây giờ, bạn kiểm tra đã có thể truy cập Internet từ VDOM-A.
    [​IMG]

    IV. Cấu hình Firewall Policy cho VDOM-B:

    1. Vào theo đường dẫn Virtual Domains > VDOM-B > Network > Static Routes. Click Create New để tạo một default route dành cho VDOM này. Nhập Destination IP/Mask là '0.0.0.0/0.0.0.0', chọn Interface port2, phần Gateway/Address sẽ tự động nhận nếu chọn Dynamic (mặc định), nếu không bạn có thể chọn Specify và nhập IP của gateway router tùy ý vào.
    [​IMG]
    Static route trên VDOM-B

    2. Đi đến Policy & Objects > Firewall Policy. Tạo một policy để cho phép truy cập internet. Chọn Incoming Interface : port5Outgoing Interface : port2. Kiểm tra phần NAT để đảm bảo đã được bật. Cài đặt Source AddressDestination Address là 'all', với Service : 'ALL'.
    [​IMG]
    Firewall Policy trong VDOM-B

    Click OK để lưu cấu hình lại.

    3. Tạo một Traffic Shaping dưới mục Policy & Objects như sau:
    [​IMG]
    Tạo Traffic Shaper trong VDOM-B

    4. Tạo Traffic Shaping Policy với các cấu hình như sau:
    • Name: vdom-b
    • Source: All
    • Destination: All
    • Service: All
    • Outgoing Interface: Port2
    • Shared Shaper: vdom-b
    • Reverse Shaper: vdom-b
    [​IMG]
    Shaping Policy trong VDOM-B
    5. Bây giờ mở trình duyệt trên client thuộc VDOM-B và vào fastcom để kiểm tra cấu hình.
    [​IMG]
     
    allinone, 23/4/24
    #2

trang này