Skip to content

Blog FortiGate: Hướng dẫn từ A-Z cho Người mới

Tổng hợp kiến thức từ cơ bản đến nâng cao

1. Giới thiệu về Next-Generation Firewall (NGFW)

Chào mừng các bạn đến với bài học đầu tiên. Trước khi đi vào cấu hình, chúng ta cần hiểu rõ nền tảng của thiết bị mình sắp làm chủ.

1.1. Firewall là gì? Từ Traditional đến NGFW

Hãy tưởng tượng firewall (tường lửa) như một người bảo vệ tại cổng chính của mạng máy tính. Nhiệm vụ của nó là kiểm tra mọi “gói tin” (packet) cố gắng ra vào và quyết định cho phép hay từ chối dựa trên một bộ quy tắc (rules).

  • Firewall truyền thống (Traditional): Hoạt động ở Lớp 3 (Network) và Lớp 4 (Transport). Chúng ra quyết định dựa trên 5 yếu tố: IP nguồn, IP đích, Port nguồn, Port đích, và Giao thức (TCP/UDP). Chúng “mù” trước nội dung bên trong gói tin.
  • Next-Generation Firewall (NGFW): Là sự tiến hóa thông minh. NGFW không chỉ nhìn vào địa chỉ và cổng, mà còn thực hiện “Deep Packet Inspection” (Kiểm tra gói tin sâu). Điều này cho phép nó nhận diện cụ thể các ứng dụng (như Facebook, YouTube) bất kể chúng dùng cổng nào, và quét virus, mã độc, hay các cuộc tấn công (IPS).

1.2. Giới thiệu Fortinet & FortiGate

Fortinet là một công ty hàng đầu toàn cầu về giải pháp an ninh mạng. Sản phẩm chủ lực của họ là FortiGate, một nền tảng NGFW hiệu suất cao.

Sức mạnh của Fortinet nằm ở khái niệm Fortinet Security Fabric. Đây là một hệ sinh thái nơi các sản phẩm (FortiAnalyzer, FortiSwitch, FortiAP…) giao tiếp và làm việc cùng nhau một cách thông minh. FortiGate hoạt động như lõi của Security Fabric này.

2. Cài đặt Ban đầu

Bây giờ, chúng ta sẽ thực hiện các bước cấu hình đầu tiên khi bạn “đập hộp” một thiết bị FortiGate mới.

2.1. Truy cập thiết bị lần đầu

Khi mới xuất xưởng, cổng “internal” hoặc “port1” của FortiGate thường có IP mặc định là 192.168.1.99.

  • Qua GUI (Giao diện web):
    1. Kết nối laptop của bạn vào port1.
    2. Đặt IP tĩnh cho laptop (ví dụ: 192.168.1.100, Subnet Mask 255.255.255.0).
    3. Mở trình duyệt và truy cập https://192.168.1.99.
    4. Đăng nhập với Tên người dùng: admin và Mật khẩu: (để trống).
    5. Thiết bị sẽ yêu cầu bạn tạo mật khẩu mới ngay lập tức.
  • Qua Console (CLI):
    1. Kết nối cáp console từ FortiGate vào laptop.
    2. Sử dụng phần mềm (như PuTTY) với cài đặt: Baud Rate 9600, Data bits 8, Parity None, Stop bits 1.
    3. Đăng nhập với admin / (không mật khẩu).

2.2. Tìm hiểu Dashboard (Bảng điều khiển)

Dashboard là trung tâm kiểm soát chính của bạn. Đây là nơi cung cấp cái nhìn tổng quan về trạng thái thiết bị, mạng, và Security Fabric. (Tham khảo: 14-Dashboard.pdf)

Các widget quan trọng bạn cần chú ý:

  • System Information: Hiển thị model, phiên bản FortiOS, thời gian hoạt động (Uptime), và trạng thái license.
  • Administrators: Hiển thị ai đang đăng nhập vào thiết bị.
  • CPU / Memory: Giám sát tài nguyên hệ thống theo thời gian thực.
  • Sessions: Hiển thị số lượng phiên kết nối hiện tại.
  • Security Fabric: Hiển thị trạng thái kết nối với các thiết bị Fortinet khác.
  • Licenses: Hiển thị trạng thái của các dịch vụ đăng ký (FortiCare, IPS, AV, Web Filtering).

Bạn có thể tùy chỉnh Dashboard bằng cách nhấp vào “Add Widget” để thêm các thông tin giám sát khác, ví dụ như trạng thái VPN, SD-WAN, hoặc HA.

2.3. Đăng ký & Cập nhật Firmware

Bước này cực kỳ quan trọng. Nếu không đăng ký, các tính năng bảo mật (AV, IPS, Web Filter) sẽ không được cập nhật và không hoạt động.

  • Đăng ký (Register): Trong widget “System Information”, nhấp vào “Register” để liên kết thiết bị với tài khoản FortiCare/FortiCloud của bạn.
  • Cập nhật Firmware: Đi tới System > Firmware. FortiGate sẽ hiển thị phiên bản hiện tại và phiên bản mới nhất. Luôn đọc “Release Notes” (Ghi chú phát hành) và luôn sao lưu cấu hình trước khi nâng cấp.

3. Interfaces & Objects (Cổng & Đối tượng)

Đây là các khối xây dựng cơ bản. Interfaces là “cửa ngõ” cho traffic, và Objects là “tên gọi” cho các địa chỉ, dịch vụ, hoặc lịch biểu.

3.1. Các loại Interface (Cổng)

FortiGate hỗ trợ nhiều loại interface vật lý và ảo. (Tham khảo: 16-Interfaces.pdf). Dưới đây là giải thích chi tiết về các loại phổ biến nhất:

Physical Interface (Cổng vật lý)

Là các cổng Ethernet (port1, port2…) trên thiết bị. Đây là nền tảng vật lý cho tất cả kết nối.

VLAN

Giải thích: Đây là một giao diện mạng LAN ảo (Virtual LAN). Nó cho phép bạn chia một cổng vật lý (ví dụ: port1) thành nhiều cổng logic riêng biệt.

Mục đích: Dùng để phân chia mạng của bạn thành các mạng con độc lập (ví dụ: VLAN 10 cho Kế toán, VLAN 20 cho Kỹ thuật) dù chúng vẫn cắm chung vào một switch. Mỗi VLAN sẽ có một VLAN ID (như 10, 20) và có dải IP riêng.

802.3ad Aggregate (Gộp cổng)

Giải thích: Đây là chuẩn để thực hiện Link Aggregation (LAG), hay còn gọi là LACP hoặc Port-Channel. (Tham khảo: 21-Aggregate Interfaces.pdf, Lab4).

Mục đích: Cho phép bạn gộp nhiều cổng vật lý (ví dụ: port5port6) thành một cổng logic duy nhất. Lợi ích là tăng tổng băng thông (2 cổng 1Gbps gộp lại thành 2Gbps) và dự phòng (redundancy). Nếu một cổng/cáp bị lỗi, kết nối vẫn duy trì qua các cổng còn lại (Active-Active).

Redundant Interface (Cổng dự phòng)

Giải thích: Đây cũng là một cách gộp 2 hoặc nhiều cổng vật lý, nhưng hoạt động theo kiểu Active-Passive (Chủ động-Bị động).

Mục đích: Chỉ dùng cho dự phòng (failover), không tăng băng thông. Trong nhóm này, chỉ có 1 cổng “chủ động” (Active) chạy. Khi cổng đó bị lỗi (ví dụ: đứt cáp), một cổng “bị động” (Passive) sẽ tự động được kích hoạt để thay thế.

Loopback Interface

Giải thích: Là một cổng ảo, logic 100% và không gắn với bất kỳ cổng vật lý nào.

Mục đích: Cổng này luôn ở trạng thái “up” miễn là thiết bị FortiGate còn chạy. Nó thường được dùng để quản trị (SSH, HTTPS) hoặc trong các giao thức định tuyến (như BGP, OSPF) làm một địa chỉ IP đại diện cố định, không bị ảnh hưởng khi một cổng vật lý bị “down”.

Software Switch

Giải thích: Đây là tính năng biến FortiGate thành một thiết bị switch. Nó nhóm nhiều cổng vật lý (và cả cổng ảo như SSID) vào một thực thể logic duy nhất.

Mục đích: Tất cả các cổng trong Software Switch sẽ hoạt động như các cổng trên một switch Layer 2 thông thường. Chúng chia sẻ cùng một dải IP và kết nối trực tiếp với nhau. Rất hữu ích khi bạn muốn các cổng port3, port4, port5 cắm máy tính nội bộ và dùng chung một dải mạng (ví dụ: 192.168.1.x) mà không cần thêm switch rời.

WiFi SSID

Giải thích: Tùy chọn này chỉ xuất hiện trên các dòng FortiGate có tích hợp WiFi (gọi là FortiWifi).

Mục đích: Cho phép bạn tạo một mạng không dây (SSID). Mỗi SSID bạn tạo sẽ hoạt động như một interface riêng, cho phép bạn áp dụng các chính sách bảo mật, gán VLAN, và quản lý truy cập cho các thiết bị WiFi.

3.2. Cấu hình Aggregate (LACP)

Trong Lab4, chúng ta gộp port5port6 để kết nối xuống Core Switch. (Tham khảo: 21-Aggregate Interfaces.pdf)

Trên Core Switch (ví dụ: Cisco):

interface Port-channel1
 switchport mode trunk
!
interface range Ethernet1/1-2
 channel-protocol lacp
 channel-group 1 mode active
 no shutdown

Trên FortiGate (Network > Interfaces):

  1. Click Create New > Interface.
  2. Name: Core_Trunk (ví dụ).
  3. Type: 802.3ad Aggregate.
  4. Members: Chọn port5port6.
  5. Role: LAN.
  6. Click OK.

Sau đó, bạn có thể tạo các VLAN (VLAN 10, 20, 30…) bên trong interface Core_Trunk này.

3.3. Zones (Khu vực)

Zones là một cách tuyệt vời để nhóm các interface có cùng mục đích lại với nhau (ví dụ: nhóm VLAN10_IT, VLAN20_Sale… vào một zone tên là LAN_Zone). (Tham khảo: 16-Interfaces.pdf)

Việc này giúp đơn giản hóa việc viết Policy. Thay vì viết 10 policy cho 10 VLAN đi ra Internet, bạn chỉ cần viết 1 policy duy nhất: từ LAN_Zone đi WAN.

Lưu ý quan trọng:

Khi tạo Zone (như LAN_Zone trong Lab4), hãy tick vào ô “Block intra-zone traffic”. Điều này bắt buộc traffic đi giữa các VLAN (ví dụ: IT nói chuyện với Sale) phải đi qua Firewall để được xử lý bởi Policy. Nếu không, các VLAN trong cùng Zone có thể giao tiếp tự do với nhau mà không bị kiểm soát.

3.4. Quản lý Objects (Đối tượng)

Để tạo các Policy sạch sẽ và dễ quản lý, FortiGate sử dụng Objects. (Policy & Objects > Addresses).

Thay vì gõ IP lặp đi lặp lại, bạn tạo “biến” cho chúng:

  • Addresses: Đại diện cho một IP.
    • Subnet: 172.16.0.0/23 (đặt tên NET_VLAN10_IT).
    • FQDN: office365.com (FortiGate tự phân giải IP).
    • IP Range: 192.168.1.100192.168.1.150.
  • Services: Đại diện cho một port hoặc giao thức (ví dụ: TCP/8080).
  • Schedules: Đại diện cho thời gian (ví dụ: Office_Hours, T2-T6, 9h-17h).
  • Address Group: Nhóm các Address object lại (ví dụ: GRP_Sale_Mkt bao gồm NET_VLAN20_SaleNET_VLAN30_Mar).

4. Firewall Policies (Chính sách Tường lửa)

Đây là trái tim của FortiGate. Policy là nơi bạn áp dụng logic “nếu-thì” để kiểm soát traffic.

4.1. Logic xử lý Top-Down (Từ trên xuống)

Đây là khái niệm quan trọng nhất bạn phải nhớ. (Tham khảo: 53-Firewall Policies.pdf)

FortiGate đọc các policy từ trên xuống dưới (từ ID 1, 2, 3…). Khi một gói tin đi vào, nó sẽ so khớp với policy đầu tiên. Ngay khi tìm thấy một policy khớp, FortiGate sẽ áp dụng hành động (Action) của policy đó và dừng lại. Nó sẽ không đọc các policy bên dưới nữa.

Điều này có nghĩa là: Policy cụ thể phải luôn nằm trên Policy chung chung.

Ví dụ (từ Lab4): Policy MKT_Internet_Exception (cho phép Marketing dùng Facebook) phải nằm TRÊN policy Staff_Internet_Access (chặn Facebook của toàn bộ nhân viên). Nếu bạn đặt ngược lại, traffic của Marketing sẽ khớp với policy “Staff” trước và bị chặn, không bao giờ đọc đến policy “MKT” bên dưới.

Cuối cùng, luôn có một policy ẩn (Implicit Deny) ở dưới cùng để từ chối (Deny) tất cả traffic không khớp với bất kỳ policy nào ở trên.

4.2. Các tham số của một Policy

Một policy bao gồm các thành phần chính sau:

  • Name: Tên gợi nhớ (ví dụ: Allow_LAN_to_Internet).
  • Incoming Interface: Traffic đi vào từ đâu? (ví dụ: LAN_Zone).
  • Outgoing Interface: Traffic đi ra ở đâu? (ví dụ: sdwan hoặc port1).
  • Source: Ai gửi? (ví dụ: GRP_Internet_Allowed).
  • Destination: Gửi tới ai? (ví dụ: all – tức là Internet).
  • Service: Dịch vụ/port nào? (ví dụ: HTTP, HTTPS, DNS).
  • Action: ACCEPT (Cho phép) hoặc DENY (Từ chối).
  • NAT: Bật hoặc Tắt. (Sẽ nói rõ ở mục 5).
  • Security Profiles: Áp dụng các tính năng NGFW (AV, Web Filter…) vào luồng traffic này.

4.3. Cấu hình Policy đầu tiên (LAN to Internet)

Đây là policy cơ bản nhất cho phép người dùng nội bộ truy cập Internet.

  1. Đi tới Policy & Objects > Firewall Policy, click Create New.
  2. Name: Allow_LAN_to_Internet.
  3. Incoming Interface: LAN_Zone (Zone chứa các VLAN của bạn).
  4. Outgoing Interface: port1 (Cổng WAN) hoặc sdwan (nếu dùng SD-WAN).
  5. Source: all (hoặc một Address Group cụ thể).
  6. Destination: all.
  7. Service: ALL (hoặc chỉ HTTP, HTTPS, DNS cho an toàn hơn).
  8. Action: ACCEPT.
  9. NAT: Bật (Enable), và chọn “Use Outgoing Interface Address”.
  10. Logging Options: Bật “Log Allowed Traffic” và chọn “All Sessions” để giám sát.
  11. Click OK.

5. Network Address Translation (NAT)

NAT là quá trình thay đổi địa chỉ IP trong gói tin. Đây là kỹ thuật cốt lõi cho phép mạng riêng (private IP) giao tiếp với Internet (public IP).

5.1. Source NAT (SNAT) – Cho phép truy cập Internet

Đây là kịch bản phổ biến nhất. Khi máy tính 172.16.2.100 (VLAN Sale) của bạn muốn truy cập google.com, nó đi qua FortiGate. FortiGate sẽ “dịch” địa chỉ IP nguồn 172.16.2.100 thành địa chỉ IP Public của đường truyền WAN.

Bạn đã cấu hình SNAT khi bật NAT: Enable và chọn “Use Outgoing Interface Address” trong policy Allow_LAN_to_Internet ở mục 4.3.

5.2. Destination NAT (DNAT / VIP) – Mở cổng (Port Forwarding)

Kịch bản này dùng khi bạn muốn người dùng từ Internet truy cập một máy chủ bên trong mạng LAN của bạn (ví dụ: Web Server hoặc Camera).

Trong FortiGate, điều này được thực hiện bằng Virtual IP (VIP).

Ví dụ: Mở cổng 8080 từ Internet vào Web Server nội bộ 172.16.5.10 (VLAN Server) cổng 80.

Bước 1: Tạo đối tượng VIP (Policy & Objects > Virtual IPs):

  1. Click Create New > Virtual IP.
  2. Name: VIP_WebServer_8080.
  3. External IP Address: 0.0.0.0 (hoặc IP Public của bạn).
  4. Mapped IP Address: 172.16.5.10 (IP server nội bộ).
  5. Bật Port Forwarding.
  6. Protocol: TCP.
  7. External Service Port: 8080 (Cổng mà người ngoài gõ).
  8. Map to Port: 80 (Cổng thực tế của server).

Bước 2: Tạo Firewall Policy cho VIP:

  1. Click Create New.
  2. Name: Allow_WAN_to_WebServer.
  3. Incoming Interface: port1 / sdwan (Cổng WAN).
  4. Outgoing Interface: VLAN50_SrvF (Interface của Server).
  5. Source: all (Hoặc một IP cụ thể cho an toàn).
  6. Destination: Chọn đối tượng VIP VIP_WebServer_8080 vừa tạo.
  7. Service: ALL (Vì VIP đã lọc port rồi).
  8. Action: ACCEPT.
  9. NAT: TẮT (Disable). Đây là điều bắt buộc, vì VIP đã tự xử lý NAT rồi.
  10. Security Profiles: Nên bật IPS và Web Application Firewall (WAF) để bảo vệ server.

6. Security Profiles (NGFW Features)

Đây chính là “Next-Generation” trong NGFW. Sau khi policy ACCEPT traffic, Security Profiles sẽ là lớp kiểm tra thứ hai, quét nội dung bên trong luồng traffic đó.

Bạn cấu hình các profile này trong Security Profiles, sau đó “gắn” chúng vào các Firewall Policy (như policy Allow_LAN_to_Internet).

6.1. AntiVirus (AV)

Quét các tệp tin (HTTP, FTP, email…) để tìm virus, malware. Bạn chỉ cần bật và chọn profile default.

6.2. Web Filter (Lọc Web)

Cho phép bạn kiểm soát việc truy cập web của người dùng. (Tham khảo: 67-Web Filter Profile.pdf)

  • FortiGuard Category Based Filter: Cách làm chính. FortiGuard đã phân loại hàng tỷ website vào các danh mục (ví dụ: “Social Media”, “Gambling”, “Malicious Websites”). Bạn chỉ cần chọn hành động cho mỗi danh mục: Allow, Monitor, Block, Warning.
  • Static URL Filter: Cho phép bạn chặn hoặc cho phép các trang web cụ thể (ví dụ: chặn *.facebook.com).

6.3. Application Control (Kiểm soát Ứng dụng)

Đây là tính năng rất mạnh, cho phép bạn kiểm soát các ứng dụng cụ thể, bất kể chúng dùng port nào (ví dụ: chặn BitTorrent, TikTok, hoặc UltraSurf).

Trong Lab4, chúng ta có 2 ví dụ:

  • Profile Block_Social_Torrent: Chặn các danh mục “Social.Media” và “P2P”.
  • Profile Allow_Facebook_Block_Torrent: Chặn “P2P”, nhưng trong “Social.Media”, cho phép Facebook (thêm override) và chặn các ứng dụng còn lại.

6.4. Intrusion Prevention System (IPS)

Bảo vệ mạng của bạn khỏi các cuộc tấn công khai thác lỗ hổng đã biết. IPS sử dụng các “chữ ký” (signatures) để phát hiện và chặn các mẫu tấn công. Bạn nên bật profile default cho các policy quan trọng (như WAN-to-LAN và LAN-to-WAN).

6.5. SSL Inspection (Giải mã SSL)

Một vấn đề lớn của NGFW là: hơn 90% traffic hiện nay là HTTPS (mã hóa). Nếu không giải mã, FortiGate không thể “nhìn thấy” nội dung bên trong, và các tính năng như Antivirus, Web Filter, Application Control sẽ gần như VÔ DỤNG với traffic HTTPS.

SSL Inspection giải quyết vấn đề này bằng cách hoạt động như một “Man-in-the-Middle” (MITM) hợp pháp. (Tham khảo: 62-SSL Inspection Theory.pdf)

Luồng hoạt động (Outbound/Forward Proxy):

  1. Người dùng (Client) gửi yêu cầu HTTPS đến google.com.
  2. FortiGate chặn yêu cầu này. Nó giả vờ là google.com và gửi cho Client một chứng chỉ (Certificate) do chính nó ký (gọi là Fortinet_CA_SSL).
  3. Client tin tưởng chứng chỉ này (vì admin đã cài Fortinet_CA_SSL vào máy Client từ trước) và tạo một kênh SSL với FortiGate.
  4. FortiGate bây giờ có thể đọc toàn bộ traffic của Client.
  5. Sau đó, FortiGate tạo một kênh SSL thứ hai đến google.com thật sự.
  6. Nó nhận dữ liệu, quét (AV, Web Filter…), rồi mã hóa lại và gửi cho Client.

Để tính năng này hoạt động, bạn phải chọn một chế độ (ví dụ: certificate-inspection hoặc deep-inspection) trong Firewall Policy và cài đặt chứng chỉ “Fortinet_CA_SSL” (tải từ FortiGate) lên tất cả các máy tính của người dùng.

7. Virtual Private Network (VPN)

VPN tạo ra một “đường hầm” an toàn, mã hóa thông qua mạng Internet công cộng. Đây là công nghệ nền tảng cho làm việc từ xa và kết nối chi nhánh.

7.1. SSL-VPN (Remote Access)

Hoàn hảo cho người dùng cá nhân (nhân viên làm việc tại nhà) cần truy cập vào mạng văn phòng. Họ chỉ cần trình duyệt (Web-mode) hoặc một client gọn nhẹ (Tunnel-mode).

Các bước cấu hình (từ Lab4):

  1. Tạo User & User Group: (User & Authentication) Tạo user (vd: nqnamm) và nhóm (vd: SSL_VPN_USER).
  2. Cấu hình SSL-VPN Portal: (VPN > SSL-VPN Portals) Chỉnh sửa portal full-access. Bật “Tunnel Mode” và gán “Source IP Pools” (dải IP sẽ cấp cho user VPN, vd: 10.212.134.0/24).
  3. Cấu hình SSL-VPN Settings: (VPN > SSL-VPN Settings)
    • Listen on Interface(s): Chọn cổng WAN (port1, port2).
    • Listen on Port: Đặt 1 cổng (vd: 10443).
    • Authentication/Portal Mapping: Ánh xạ SSL_VPN_USER với portal full-access.
  4. Tạo Firewall Policy cho VPN:
    • Name: VPN_Users_Access_Srv.
    • Incoming Interface: ssl.root (Đây là interface ảo cho SSL-VPN).
    • Outgoing Interface: LAN_Zone (hoặc VLAN50_SrvF).
    • Source: Nhóm SSL_VPN_USER.
    • Destination: NET_VLAN50_Server.
    • Action: ACCEPT, NAT: Disable.

Full Tunnel vs. Split Tunnel: Giải thích chuyên sâu

Trong tài liệu lab, chúng ta có một tùy chọn là “Enable Split Tunneling” và đã chọn “Disable”. Đây là một quyết định quan trọng, và nó định nghĩa hai chế độ VPN cơ bản:

1. Full Tunnel (Đường hầm đầy đủ)

Đây là chế độ bạn đã chọn khi “Disable Split Tunneling”.

  • Cách hoạt động: Khi người dùng kết nối, TOÀN BỘ traffic từ máy tính của họ (kể cả traffic vào máy chủ công ty VÀ traffic lướt web, xem Youtube…) đều bị “bắt” và đẩy vào đường hầm VPN.
  • Luồng traffic:
    1. Người dùng ở nhà muốn vào google.com.
    2. Traffic này đi qua hầm VPN, chạy đến FortiGate ở văn phòng.
    3. FortiGate nhận traffic, xử lý (áp dụng Web Filter, AntiVirus…), sau đó đẩy ra ngoài qua đường truyền Internet của văn phòng.
    4. Traffic từ google.com trả về FortiGate, rồi lại chui qua hầm VPN để về máy người dùng.

Sơ đồ luồng traffic Full Tunnel VPN

Ưu điểm (Bảo mật cao):

  • Toàn quyền kiểm soát: Công ty có thể giám sát, lọc và bảo vệ 100% traffic của nhân viên khi họ làm việc từ xa.
  • Áp dụng chính sách đồng bộ: Người dùng ở nhà cũng bị áp dụng các chính sách an ninh (Web Filter, Application Control) giống như khi họ ngồi ở văn phòng.

Nhược điểm (Tốn tài nguyên):

  • Tốn băng thông: Đường truyền Internet của văn phòng phải “gánh” thêm cả traffic lướt web cá nhân của người dùng VPN, dễ gây tắc nghẽn.
  • Tăng độ trễ (Latency): Người dùng lướt web sẽ thấy chậm hơn, vì traffic phải đi một vòng “lên văn phòng rồi mới ra Internet”.
2. Split Tunnel (Đường hầm chia tách)

Đây là chế độ khi bạn “Enable Split Tunneling”.

  • Cách hoạt động: Khi người dùng kết nối, CHỈ traffic nào có đích đến là mạng nội bộ công ty (ví dụ: truy cập File Server 172.16.5.10) mới bị đẩy vào hầm VPN.
  • Luồng traffic:
    1. Người dùng ở nhà muốn vào File Server 172.16.5.10 -> Traffic đi vào hầm VPN -> Tới FortiGate -> Vào mạng LAN.
    2. Người dùng ở nhà muốn vào google.com -> Traffic KHÔNG đi vào hầm VPN -> Nó đi thẳng ra Internet từ đường truyền tại nhà của người dùng.

Sơ đồ luồng traffic Split Tunnel VPN

Ưu điểm (Hiệu suất cao):

  • Tiết kiệm băng thông: Giảm tải đáng kể cho đường truyền Internet của văn phòng.
  • Trải nghiệm người dùng tốt: Người dùng lướt web, họp online (Zoom, Teams…) với bên ngoài sẽ rất nhanh vì traffic đi trực tiếp.

Nhược điểm (Ít bảo mật hơn):

  • Mất kiểm soát: Công ty không thể thấy hoặc bảo vệ traffic Internet trực tiếp của người dùng.
  • Rủi ro: Máy tính của người dùng đang có một kết nối “không được bảo vệ” (ra Internet) và một kết nối “tin cậy” (vào mạng công ty). Nếu máy đó bị nhiễm malware, nó có thể trở thành cầu nối để tấn công vào mạng nội bộ.
Tóm tắt so sánh
Tính năng Full Tunnel (Split Tunnel: Tắt) Split Tunnel (Split Tunnel: Bật)
Luồng traffic TẤT CẢ traffic đi vào hầm VPN CHỈ traffic nội bộ đi vào hầm VPN
Traffic Internet Chạy qua FortiGate công ty Chạy trực tiếp từ nhà người dùng
Bảo mật Cao (Kiểm soát 100%) Thấp hơn (Không kiểm soát traffic Internet)
Hiệu suất Thấp (Tốn băng thông, chậm) Cao (Tiết kiệm băng thông, nhanh)

Việc lựa chọn giữa hai chế độ này là sự cân bằng giữa Bảo mật (chọn Full Tunnel) và Hiệu suất (chọn Split Tunnel) tùy theo chính sách của công ty bạn.

7.2. IPsec VPN (Site-to-Site)

Dùng để kết nối hai mạng văn phòng (ví dụ: Trụ sở chính và Chi nhánh) một cách cố định. Cách dễ nhất là dùng “IPsec Wizard”.

  1. Đi tới VPN > IPsec Wizard.
  2. Template Type: Site to Site.
  3. Remote Device Type: FortiGate.
  4. Remote IP Address: IP Public của FortiGate ở chi nhánh.
  5. Outgoing Interface: Cổng WAN của bạn.
  6. Pre-shared Key: Nhập một mật khẩu bí mật (phải giống hệt ở chi nhánh).
  7. Local Subnets: Mạng LAN của bạn (vd: 172.16.0.0/16).
  8. Remote Subnets: Mạng LAN của chi nhánh (vd: 192.168.10.0/24).

Wizard sẽ tự động tạo ra các “Phase 1”, “Phase 2”, và quan trọng nhất là Static RoutesFirewall Policies (theo cả hai chiều) để cho phép traffic chạy qua đường hầm VPN.

8. Tính năng Nâng cao (Từ Lab4)

Các tính năng này giúp đảm bảo hệ thống “Zero Downtime” (Không gián đoạn).

8.1. High Availability (HA) Active-Passive

Cho phép bạn chạy hai thiết bị FortiGate song song. Một thiết bị (Active/Primary) xử lý toàn bộ traffic. Thiết bị kia (Passive/Secondary) ở trạng thái chờ, đồng bộ cấu hình liên tục. Nếu thiết bị Active lỗi (mất điện, hỏng hóc), thiết bị Passive sẽ tự động tiếp quản (failover) trong vài giây.

Cấu hình (System > HA):

  1. Kết nối 2 FortiGate bằng 2 cáp Heartbeat (vd: port3, port4).
  2. Mode: Active-Passive.
  3. Group ID & Password: Đặt giống nhau trên cả hai.
  4. Heartbeat Interfaces: Chọn port3port4.
  5. Device Priority: Đặt 200 cho máy Primary (cao hơn sẽ thắng). Để 100 (mặc định) cho máy Secondary.
  6. Bấm OK. Hai thiết bị sẽ đồng bộ. Sau đó, bạn chỉ cần cấu hình trên IP của máy Primary.

8.2. SD-WAN (Dual ISP)

Cho phép bạn sử dụng hai (hoặc nhiều) đường truyền Internet cùng lúc để cân bằng tải (load balancing) và dự phòng (failover).

Các bước cấu hình (Network > SD-WAN):

  1. SD-WAN Zone: Thêm port1 (ISP 1) và port2 (ISP 2) vào zone sdwan.
  2. Performance SLAs: Tạo một SLA (vd: Google_DNS_Ping) để ping đến 8.8.8.8 qua cả port1port2. Đây là cách FortiGate “kiểm tra sức khỏe” của hai đường truyền (xem đường nào Dead/Alive, đường nào có Latency/Jitter tốt hơn).
  3. SD-WAN Rules: Tạo một rule (vd: SDWAN_LB_Rule).
    • Source/Destination: all.
    • Strategy: Chọn Best Quality.
    • Measured SLA: Chọn SLA Google_DNS_Ping bạn vừa tạo.
    • FortiGate sẽ tự động chọn đường truyền có chất lượng tốt nhất (ít loss, latency thấp nhất) để đẩy traffic ra ngoài.
  4. Static Routes: Tạo một Default Route (0.0.0.0/0) trỏ ra interface sdwan.

Sau khi có SD-WAN, trong Firewall Policy, bạn chỉ cần chọn Outgoing Interfacesdwan thay vì port1 hay port2.

9. Quản trị & Vận hành

Cấu hình xong là một chuyện, vận hành và giám sát hàng ngày là việc quan trọng không kém.

9.1. Logging & Reporting

Bạn không thể bảo vệ thứ bạn không thể thấy. Logs là “đôi mắt” của bạn.

  • Forward Traffic (Log & Report > Forward Traffic): Đây là nơi bạn xem mọi phiên traffic. Rất quan trọng để “troubleshoot” (xử lý sự cố). Bạn có thể lọc theo Source IP, Destination IP, hoặc xem cột “Policy ID” để biết traffic đó khớp với policy nào.
  • Security Events: Xem các log chuyên biệt từ Application Control, Web Filter, IPS… để biết ai đã bị chặn, vì lý do gì.

9.2. Backup & Restore (Sao lưu & Phục hồi)

Hãy tạo thói quen sao lưu cấu hình TRƯỚC khi thực hiện bất kỳ thay đổi lớn nào (như nâng cấp firmware, đổi policy HA…).

Đi tới menu admin (góc trên bên phải) > Configuration > Backup. Lưu tệp .conf ở nơi an toàn.

9.3. Kiểm tra trạng thái vận hành (Từ Lab4)

  • Kiểm tra HA:
    • GUI: Dashboard > Main, thêm widget HA Status. Trạng thái “synchronized” (màu xanh) là tốt.
    • CLI: get system ha status
  • Kiểm tra SD-WAN:
    • GUI: Network > Performance SLAs. Xem trạng thái các đường truyền. “Alive” (màu xanh) là tốt. Nếu “Dead” (màu đỏ), hệ thống đã tự động failover sang đường còn lại.
    • GUI: Dashboard > Network, thêm widget SD-WAN để xem biểu đồ sessions trên mỗi đường truyền.

Chúc mừng bạn đã hoàn thành bài tổng hợp kiến thức FortiGate! Hy vọng bài viết này cung cấp một nền tảng vững chắc để bạn tiếp tục khám phá sâu hơn về an ninh mạng. Hãy luôn nhớ sao lưu cấu hình trước khi thay đổi nhé!

Zalo
Contact