1.  Đối với các dòng Firewall có nút Reset cứng

Nếu thiết bị Fortigate của bạn có nút Reset cứng, việc reset sẽ rất đơn giản:

1. Bật nguồn thiết bị Fortigate.
2. Nhấn và giữ nút Reset trong khoảng 30 giây, đến khi tất cả các đèn trên thiết bị tắt, chỉ còn đèn Power sáng.
3. Thả nút Reset.
4. Thiết bị sẽ tự động reset về cấu hình mặc định. Sau khi khởi động xong, bạn có thể đăng nhập bằng thông tin:
   • Username: admin
   • Password: (trống).

2.  Đối với các dòng Firewall không có nút Reset cứng hoặc sử dụng tài khoản maintainer

Nếu thiết bị không có nút Reset hoặc bạn muốn reset mật khẩu mà không mất cấu hình, có thể sử dụng tài khoản maintainer. Phương pháp này cũng áp dụng cho các thiết bị có nút Reset nếu tài khoản maintainer chưa bị vô hiệu hóa.

Yêu cầu chuẩn bị:

• Dây console để kết nối máy tính với Firewall.
• Phần mềm Terminal như PuTTY, SecureCRT, Tera Term,…
• Serial Number của thiết bị Fortigate (cần để tạo mật khẩu maintainer).

Các bước thực hiện:

Bước 1: Kết nối dây console giữa máy tính và Firewall

• Sử dụng dây console để kết nối giữa cổng Console của Firewall và máy tính.

Bước 2: Cấu hình phần mềm Terminal

• Mở phần mềm Terminal đã cài đặt trên máy tính, ví dụ PuTTY hoặc SecureCRT.
• Thiết lập các thông số sau:

Bước 3: Khởi động lại Firewall

• Tắt thiết bị Firewall: nếu không có nút nguồn, rút cáp nguồn ra khỏi thiết bị khoảng 10 giây.
• Sau 10 giây, cắm lại cáp nguồn để bật thiết bị.
• Lưu ý: Nếu cắm lại cáp nguồn trước 10 giây, có thể xảy ra lỗi bộ nhớ và thiết bị không khởi động đúng cách.

Bước 4: Chờ thiết bị khởi động và truy cập màn hình Terminal

• Khi thiết bị khởi động xong, màn hình Terminal sẽ hiển thị dòng yêu cầu đăng nhập:

• Lưu ý: Bạn chỉ có 14 giây để nhập tài khoản và mật khẩu. Nếu quá thời gian này, tài khoản maintainer sẽ mất hiệu lực, bạn cần khởi động lại Firewall để thực hiện lại.

Bước 5: Đăng nhập bằng tài khoản maintainer

• Username: maintainer
• Password: Được tạo bằng cách ghép tiền tố bcpb với Serial Number của thiết bị (Serial viết hoa).

Ví dụ:

• Serial của thiết bị là: FGT40F5R02043321.
• Password sẽ là: bcpbFGT40F5R02043321

Mẹo: Nên sao chép trước Username/Password vào file text để dán nhanh vào Terminal, tránh bị lỗi do giới hạn thời gian.

Bước 6: Thực hiện reset mật khẩu hoặc cấu hình mặc định

1. Reset thiết bị về mặc định:
   • Nhập lệnh:

• Nhấn Enter 2 lần và chọn y để xác nhận.
• Thiết bị sẽ khởi động lại và reset về cấu hình gốc. Đăng nhập lại bằng thông tin mặc định:
  • Username: admin
  • Password: (trống).

2. Thay đổi mật khẩu admin:
   • Nếu VDOMs disable:

• Nếu VDOMs enable:

7. Lưu ý về tài khoản maintainer

• Tài khoản maintainer rất hữu ích trong các trường hợp khẩn cấp như quên mật khẩu, nhưng cũng tiềm ẩn rủi ro bảo mật nếu bị kẻ xấu lợi dụng.
• Để tăng cường bảo mật, bạn nên cân nhắc vô hiệu hóa tài khoản này nếu không cần sử dụng.

Kích hoạt tài khoản maintainer:

Vô hiệu hóa tài khoản maintainer:

Khuyến nghị: Sau khi khôi phục mật khẩu, nên kiểm tra và đảm bảo tài khoản maintainer đã được quản lý an toàn hoặc vô hiệu hóa nếu không cần thiết.

Bài viết này nhằm hướng dẫn cách cấu hình firewall Fortinet để tự động sao lưu (backup) cấu hình hàng ngày thông qua giao thức SFTP (Secure File Transfer Protocol). Việc sao lưu tự động sẽ giúp bảo đảm dữ liệu cấu hình của firewall được lưu trữ an toàn, dễ dàng khôi phục khi cần thiết và giảm thiểu nguy cơ mất dữ liệu khi có sự cố xảy ra.

Các bước cấu hình:

• Truy cập Automation
• Thêm Trigger (Kích hoạt tự động)
• Thêm Action (Hành động)
• Hoàn tất Automation Stitch
• Kiểm tra cấu hình

II – HƯỚNG DẪN CẤU HÌNH

Bước 1: Truy cập Automation

Đăng nhập vào giao diện quản lý của Fortinet.

Ở thanh bên trái, chọn Security Fabric → Automation.

Trong trang Automation, nhấp vào nút Create New để tạo một Automation Stitch mới.

Trong hộp thoại xuất hiện, nhập tên cho Automation Stitch (ví dụ: VaciF_Backup_SFTP_Daily).

Đảm bảo mục Status được chọn là Enable.

Ở phần Action Execution, chọn Sequential (thực hiện lần lượt) hoặc Parallel (thực hiện đồng thời) dựa theo nhu cầu của bạn.

Bước 2: Thêm Trigger (Kích hoạt tự động)

Nhấp vào nút Add Trigger 

Một cửa sổ mới xuất hiện, ở đây chọn Schedule từ danh sách các Trigger.

Ở phần cài đặt lịch:

Name: Đặt tên cho lịch, ví dụ: Daily_23:59.

Description: Bạn có thể ghi chú thêm nếu muốn.

Frequency: Chọn Daily (hàng ngày).

Hour: Chọn giờ mà bạn muốn lịch backup tự động diễn ra (ví dụ: 23 giờ).

Minute: Chọn phút (ví dụ: 59 phút).

Sau khi hoàn thành, nhấp vào nút OK để lưu lại cấu hình Trigger như trong hình.

Bước 3: Thêm Action (Hành động)

Sau khi thêm Trigger thành công, tiếp tục bấm vào Add Action và chọn CLI Script..

Tại mục Name, nhập tên của hành động này. Ví dụ: Backup_SFTP

Minimum Interval: Để mặc định là 0 giây (hoặc điều chỉnh nếu muốn thời gian chờ giữa các lần chạy script).

Description: ghi chú về hành động này nếu cần.

Trong mục CLI Script, nhập đoạn mã sau vào ô Script:

execute backup full-config sftp fortinet/VaciF_Backup_%date%.conf 10.0.0.2 ntp Monday@123

• Giải thích chi tiết đoạn script:
  • execute backup full-config sftp: Đây là lệnh để thực hiện backup toàn bộ cấu hình qua giao thức SFTP.
  • fortinet/VaciF_Backup_%%date%%.conf: Đường dẫn và tên file sẽ được lưu trên SFTP server. %%date%% sẽ tự động thêm ngày hiện tại vào tên file để mỗi lần backup sẽ có tên file khác nhau.
  • 10.0.0.2: Địa chỉ IP của SFTP server nơi muốn lưu file backup.
  • nttp: Username để đăng nhập vào SFTP server.
  • Monday@123: Password của tài khoản nttp 

Administrator profile: Chọn tài khoản quản trị có quyền đầy đủ, thường là super_admin.

Execute on Security Fabric: bỏ chọn mục này nếu không có nhu cầu chạy trên Security Fabric.

Sau khi nhập xong, nhấn OK để lưu lại cấu hình.

Bước 4: Hoàn tất Automation Stitch

Sau khi đã thiết lập xong Trigger và Action như trong hình, nhấn vào nút OK ở phía dưới để hoàn tất việc tạo Automation Stitch này.

Bước 5: Kiểm tra cấu hình

Nhấp OK để hoàn tất việc tạo lịch tự động backup hàng ngày.

Sau khi lưu, Fortinet sẽ tự động thực hiện backup theo lịch hàng ngày đã cấu hình.

Có thể kiểm tra lại Automation Stitch này trong phần Security Fabric → Automation, click chuột phải và chọn Test Automation Stitch để xem nó đang hoạt động.

Kết quả:

Khi quá trình tạo hoàn tất, FortiGate sẽ tự động thực hiện backup theo lịch hàng ngày vào lúc 23:59 và gửi file backup lên server SFTP đã định.

Lưu ý: Nếu không thấy file gửi về trong đường dẫn thì cần xem lại quyền của thư mục

Hướng dẫn này sẽ cung cấp chi tiết cách cấu hình NAT Port và Port Forwarding trên tường lửa Fortinet, giúp quản lý truy cập từ bên ngoài vào các dịch vụ bên trong mạng nội bộ một cách an toàn và hiệu quả.

2. NỘI DUNG HƯỚNG DẪN.
3. NAT Port là gì?

NAT Port (Network Address Translation Port) là quá trình thay đổi địa chỉ IP nguồn hoặc đích của các gói tin khi chúng đi qua tường lửa, nhằm tạo lớp bảo mật cho mạng nội bộ.

2. Port Forwarding là gì?

Port Forwarding (chuyển tiếp cổng) là một kỹ thuật cấu hình mạng giúp chuyển tiếp lưu lượng mạng từ một địa chỉ IP và cổng công cộng đến một địa chỉ IP và cổng nội bộ cụ thể trong mạng. Đây là phương thức quan trọng để cho phép các thiết bị hoặc dịch vụ bên trong mạng nội bộ có thể truy cập từ Internet hoặc mạng bên ngoài thông qua tường lửa hoặc router….

3. Các bước cấu hình

Các bước cấu hình:

• Tạo Virtual IP để ánh xạ port giữa IP Local và IP WAN
• Tạo Policy và gán Virtual IP vào để cho phép truy cập từ bên ngoài
• Kiểm tra kết nối

Mô hình kết nối:

3. HƯỚNG DẪN CẤU HÌNH.
4. Tạo Virtual IP để ánh xạ port giữa IP nội bộ và IP WAN

Truy cập vào giao diện quản trị của firewall

Điều hướng đến mục Virtual IP, chọn Create New

VIP Type: Chọn “IPv4”

Name: Đặt tên cho quy tắc NAT (ví dụ: “NAT_4444”)

Comments: Thêm mô tả nếu cần (ví dụ: “Port forward NAT”)

Interface: Chọn giao diện mạng (ví dụ: “wan”)

External IP address/range: Nhập địa chỉ IP public (ví dụ: 103.30.154.218)

Map to IPv4 address/range: Nhập địa chỉ IP private (ví dụ: 10.0.0.200)

********

Trong phần “Port Forwarding“, chọn “Enable“.

Cấu hình các thông số Port Forwarding:

Protocol: Chọn giao thức (ví dụ: TCP)

External service port: Nhập port public (ví dụ: 4444), port này có thể giống hoặc khác port private.

Map to IPv4 port: Nhập port private (ví dụ: 443)

2. Tạo Policy và gán Virtual IP vào để cho phép truy cập từ bên ngoài

Đi đến mục Policy & Objects > IPv4 Policy.

Nhấp chuột vào Create New để tạo chính sách mới.

Điền các thông tin cần thiết:

• Name: Nhập tên cho chính sách.
• Incoming Interface: Chọn giao diện mạng ngoài (WAN).
• Outgoing Interface: Chọn giao diện mạng trong (LAN).
• Source: Chọn địa chỉ IP hoặc all.
• Destination: Chọn VIP mà bạn đã tạo ở bước trên.
• Service: Chọn dịch vụ hoặc port mà bạn muốn cho phép.
• Action: Chọn Accept.

Nhấn OK để lưu lại chính sách.

3. Kiểm tra kết nối.

Sử dụng công cụ kiểm tra port hoặc kết nối từ bên ngoài để xác nhận rằng NAT port và Port Forwarding đã hoạt động đúng.

Đảm bảo rằng thiết bị của bạn không còn kết nối với mạng nội bộ (LAN) mà Fortinet đang bảo vệ. Bạn có thể sử dụng dữ liệu di động hoặc một mạng Wi-Fi khác.

Nhập địa chỉ 183.80.156.218:4444 (IP WAN:Port) vào thanh địa chỉ của trình duyệt.

Nếu cấu hình chính xác, bạn sẽ truy cập được dịch vụ web trên máy chủ cục bộ từ địa chỉ public này.

Nếu không kết nối được, hãy kiểm tra lại các bước cấu hình, đảm bảo rằng không có lỗi về port hoặc IP mapping, và dịch vụ nội bộ đang hoạt động đúng cách.

1. MỤC ĐÍCH BÀI VIẾT.

Bài viết hướng dẫn cấu hình nhận email cảnh báo (email alert) trên firewall Fortinet sẽ có mục đích chính là giúp người quản trị mạng thiết lập hệ thống nhận thông báo qua email khi xảy ra các sự kiện quan trọng trên firewall, từ đó có thể phản ứng kịp thời và nâng cao khả năng giám sát an ninh mạng

2. CÁC BƯỚC CẤU HÌNH.

• Tạo mật khẩu ứng dụng Gmail
• Cấu hình Email Service.
• Cấu hình Log Settings.
• Cấu hình Automation nhận Email Alert.
• Kiểm tra

3. HƯỚNG DẪN CẤU HÌNH. 
4. Tạo mật khẩu ứng dụng Gmail.

Truy cập vào trang cài đặt bảo mật của tài khoản Google của bạn.

Cuộn xuống phần “2-Step Verification” (Xác minh 2 bước) và bật xác thực 2 bước.

Trong danh sách các tùy chọn 2-Step Verification, tìm mục “App passwords” (Mật khẩu ứng dụng) ở cuối trang.

Nêu không tìm thấy, bạn có thể tạo mật khẩu ứng dụng tại đây: Create and manage your app passwords

Nhấp vào mục “App passwords” để mở trang cài đặt mật khẩu ứng dụng.

Để tạo mật khẩu mới, nhấp vào mũi tên bên phải mục “App passwords“.

Sau khi tạo xong, hệ thống sẽ cung cấp cho bạn một mật khẩu duy nhất để sử dụng cho ứng dụng và thiết bị đó.

2. Cấu hình Email Service.

Điều hướng đến System > Settings.

Tại mục Email Service:

• Use custom settings: Bật để tùy chỉnh.
• SMTP Server: Nhập smtp.gmail.com.
• Port: Chọn Specify và nhập 587.
• Authentication: Bật và nhập email + mật khẩu ứng dụng vừa tạo.
• Security Mode: Chọn STARTTLS.
• Default Reply To: Nhập email nhận phản hồi.

Lưu cấu hình và kiểm tra kết nối.

3. Cấu hình Log Settings.

Ở phần Log Settings, bạn sẽ thấy hai nút: All và Customize 

Chọn Customize để tùy chỉnh loại sự kiện nào mà bạn muốn ghi log.

Nhấn Apply để lưu cấu hình.

4. Cấu hình Automation nhận Email Alert.

Truy cập vào mục “Automation” trong menu bên trái. 

Chọn “Create New Automation Stitch” để bắt đầu tạo một automation mới. 

Điền thông tin cơ bản: 

• Đặt tên cho automation (ví dụ: “Email Alert Login Failed“)
• Chọn trạng thái: Enable 
• Chọn kiểu thực thi: Sequential 

Thêm trigger bằng cách nhấn nút “Add Trigger“.

Trong phần “Create New Automation Trigger“: 

• Chọn loại trigger là “FortiOS Event Log“
• Đặt tên cho trigger (ví dụ: “Login Failed”)
• Thêm mô tả nếu cần
• Trong phần FortiOS Event Log, chọn sự kiện cụ thể (ví dụ: “Admin login failed“)

Trong giao diện Automation Stitch, nhấn vào nút “Add Action“. 

Trong cửa sổ “Create New Automation Action“, chọn loại action là “Email“. 

Điền các thông tin cần thiết: 

• Name: Đặt tên cho action (ví dụ: “Vacif-Email Alert”)
• Minimum interval: Thiết lập thời gian trễ nếu cần (đơn vị là giây)
• Email From: Nhập địa chỉ email gửi
• To: Nhập địa chỉ email nhận
• Subject: Điền tiêu đề email (ví dụ: “Admin Login Failed”)
• Body: Soạn nội dung email. Bạn có thể sử dụng các biến động để chèn thông tin chi tiết về sự kiện.

Tùy chỉnh các tham số khác nếu cần. 

Sau khi hoàn tất, nhấn “OK” để lưu action. 

5. Kiểm tra

Đăng nhập vào Web và nhập sai tài khoản admin

Sau đó check email 

4. TỔNG KẾT

Trên đây là bài viết hướng dẫn cấu hình nhận Email Alert do Vacif biên soạn. Hy vọng với những chia sẻ trên bạn có thể dễ dàng cấu hình và đừng quên theo dõi Vacif để nhận được những thông tin, hướng dẫn mới nhất về các thiết bị mạng. Xin cảm ơn!