1.  Đối với các dòng Firewall có nút Reset cứng

Nếu thiết bị Fortigate của bạn có nút Reset cứng, việc reset sẽ rất đơn giản:

1. Bật nguồn thiết bị Fortigate.
2. Nhấn và giữ nút Reset trong khoảng 30 giây, đến khi tất cả các đèn trên thiết bị tắt, chỉ còn đèn Power sáng.
3. Thả nút Reset.
4. Thiết bị sẽ tự động reset về cấu hình mặc định. Sau khi khởi động xong, bạn có thể đăng nhập bằng thông tin:
   • Username: admin
   • Password: (trống).

2.  Đối với các dòng Firewall không có nút Reset cứng hoặc sử dụng tài khoản maintainer

Nếu thiết bị không có nút Reset hoặc bạn muốn reset mật khẩu mà không mất cấu hình, có thể sử dụng tài khoản maintainer. Phương pháp này cũng áp dụng cho các thiết bị có nút Reset nếu tài khoản maintainer chưa bị vô hiệu hóa.

Yêu cầu chuẩn bị:

• Dây console để kết nối máy tính với Firewall.
• Phần mềm Terminal như PuTTY, SecureCRT, Tera Term,…
• Serial Number của thiết bị Fortigate (cần để tạo mật khẩu maintainer).

Các bước thực hiện:

Bước 1: Kết nối dây console giữa máy tính và Firewall

• Sử dụng dây console để kết nối giữa cổng Console của Firewall và máy tính.

Bước 2: Cấu hình phần mềm Terminal

• Mở phần mềm Terminal đã cài đặt trên máy tính, ví dụ PuTTY hoặc SecureCRT.
• Thiết lập các thông số sau:

Bước 3: Khởi động lại Firewall

• Tắt thiết bị Firewall: nếu không có nút nguồn, rút cáp nguồn ra khỏi thiết bị khoảng 10 giây.
• Sau 10 giây, cắm lại cáp nguồn để bật thiết bị.
• Lưu ý: Nếu cắm lại cáp nguồn trước 10 giây, có thể xảy ra lỗi bộ nhớ và thiết bị không khởi động đúng cách.

Bước 4: Chờ thiết bị khởi động và truy cập màn hình Terminal

• Khi thiết bị khởi động xong, màn hình Terminal sẽ hiển thị dòng yêu cầu đăng nhập:

• Lưu ý: Bạn chỉ có 14 giây để nhập tài khoản và mật khẩu. Nếu quá thời gian này, tài khoản maintainer sẽ mất hiệu lực, bạn cần khởi động lại Firewall để thực hiện lại.

Bước 5: Đăng nhập bằng tài khoản maintainer

• Username: maintainer
• Password: Được tạo bằng cách ghép tiền tố bcpb với Serial Number của thiết bị (Serial viết hoa).

Ví dụ:

• Serial của thiết bị là: FGT40F5R02043321.
• Password sẽ là: bcpbFGT40F5R02043321

Mẹo: Nên sao chép trước Username/Password vào file text để dán nhanh vào Terminal, tránh bị lỗi do giới hạn thời gian.

Bước 6: Thực hiện reset mật khẩu hoặc cấu hình mặc định

1. Reset thiết bị về mặc định:
   • Nhập lệnh:

• Nhấn Enter 2 lần và chọn y để xác nhận.
• Thiết bị sẽ khởi động lại và reset về cấu hình gốc. Đăng nhập lại bằng thông tin mặc định:
  • Username: admin
  • Password: (trống).

2. Thay đổi mật khẩu admin:
   • Nếu VDOMs disable:

• Nếu VDOMs enable:

7. Lưu ý về tài khoản maintainer

• Tài khoản maintainer rất hữu ích trong các trường hợp khẩn cấp như quên mật khẩu, nhưng cũng tiềm ẩn rủi ro bảo mật nếu bị kẻ xấu lợi dụng.
• Để tăng cường bảo mật, bạn nên cân nhắc vô hiệu hóa tài khoản này nếu không cần sử dụng.

Kích hoạt tài khoản maintainer:

Vô hiệu hóa tài khoản maintainer:

Khuyến nghị: Sau khi khôi phục mật khẩu, nên kiểm tra và đảm bảo tài khoản maintainer đã được quản lý an toàn hoặc vô hiệu hóa nếu không cần thiết.

LDAP (Lightweight Directory Access Protocol) là một giao thức ứng dụng cho phép truy cập và quản lý các cấu trúc thư mục. Cấu trúc thư mục có thể được hiểu là một tập hợp các đối tượng (như người dùng, nhóm người dùng) được sắp xếp theo mô hình phân cấp logic, với mỗi đối tượng mang theo các thuộc tính hoặc đặc điểm riêng.

LDAP đơn giản là nơi lưu trữ thông tin về User và Group User. Fortigate sẽ kết nối đến LDAP Server để truy xuất các thông tin này, phục vụ cho việc thiết lập chính sách tường lửa hoặc cấu hình kết nối VPN, tùy theo nhu cầu cụ thể.

2. HƯỚNG DẪN CẤU HÌNH

Bước 1: Khai báo kết nối AD với thiết bị Fortinet

Bạn hãy đăng nhập vào Fortigate sử dụng tài khoản Admin.

Chọn User & Device -> LDAP Servers -> Nhấn vào Create New.

Nhập các thông tin sau:

• Name: Đặt tên cho máy chủ LDAP (ví dụ: AD_Server).
• Server IP/Name: Địa chỉ IP hoặc tên miền của máy chủ AD.
• Server Port: 389 (hoặc 636 nếu dùng LDAPS).
• Common Name Identifier: sAMAccountName (để đồng bộ theo tên đăng nhập).
• Distinguished Name: Nhập DN của tổ chức trong AD (ví dụ: DC=forticlozz,DC=com).
• Bind Type: chọn Regular, tùy theo mức độ bảo mật.
• Username và Password: Thông tin của tài khoản có quyền truy cập AD.

Nhấn Test Connectivity để kiểm tra kết nối.

Nhấn OK để lưu lại

Bước 2: Ánh xạ user của AD lên thiết bị Fortinet

Sau khi kết nối LDAP thành công, các bạn vào menu User Definition, để lấy các tài khoản về. 

Tiếp theo, bạn vào menu User Definition, chọn Create New.

Trong phần User Type, hãy chọn Remote LDAP User và sau đó nhấn Next.

Chọn LDAP Server đã cấu hình, nhấn Next.

Fortinet sẽ liệt kê tất cả các group có trong AD

Chọn OU mà bạn đã tạo (nơi chứa user)

Nhấn Add all Results để thêm toàn bộ user vào firewall, hoặc nếu bạn muốn thêm từng user thì kích chuột phải vào user chọn Add Selected.

Nhấn Submit để lưu cấu hình

Khi đó, toàn bộ các User nằm trong OU mà các bạn đã thiết lập sẽ tự động được tích hợp vào hệ thống Firewall, sử dụng phương thức xác thực là LDAP 

Các bạn truy cập vào menu User Groups để đồng bộ các nhóm từ hệ thống. Sau đó, nhấn Create New để tạo nhóm mới.

• Type: chọn Firewall.
• Tiếp theo, trong phần Remote Groups, nhấn Add để thêm các nhóm người dùng từ nguồn LDAP hoặc các hệ thống bên ngoài.
• Trong mục Remote Server, chọn LDAP server mà các bạn đã cấu hình trước đó. Lúc này, Fortigate sẽ tự động liệt kê tất cả các nhóm (group) hiện có trong Active Directory (AD) để bạn dễ dàng chọn và quản lý.
• Nhấn +, chọn OU bạn tạo (Vd: LDAP_Fozzz), nơi có 2 User Group đã tạo trước đó. Bạn có thể nhấn Add all Results để thêm tất cả, hoặc chuột phải vào Group và chọn Add Selected.
• Nhấn OK để lưu cấu hình

Nhấn OK để lưu lại User Group vừa tạo.

Khi đó tất cả các User Group có trong OU mà các bạn đã tạo sẽ được thêm vào Firewall.

OK, như vậy là mình đã hoàn thành hướng dẫn cấu hình LDAP trên Fortigate. Nếu các bạn có bất kỳ thắc mắc hoặc góp ý nào, đừng ngần ngại để lại bình luận để chúng ta cùng thảo luận và hỗ trợ nhau nhé.

Chúc các bạn thực hiện thành công!

Nếu bạn gặp khó khăn trong việc cấu hình hoặc sử dụng các sản phẩm Sophos tại Việt Nam, hãy liên hệ ngay với VaciF để được hỗ trợ chi tiết và tận tình nhất.

Đội ngũ kỹ thuật chuyên nghiệp của chúng tôi luôn sẵn sàng đồng hành cùng bạn, đảm bảo giúp bạn khai thác tối đa hiệu quả của sản phẩm.

• Hotline: 028.7303.5399
• Email: info@vacif.com

Chúng tôi cam kết mang đến cho bạn dịch vụ hỗ trợ nhanh chóng và hiệu quả nhất!

Bài hướng dẫn này nhằm giúp người dùng cấu hình tính năng Web Filtering trên tường lửa FortiGate phiên bản 7.2.9 để quản lý và chặn truy cập vào các trang web không mong muốn. Mục tiêu chính là giúp người quản trị hệ thống:

• Kiểm soát việc truy cập internet của người dùng trong mạng nội bộ.
• Chặn các trang web có nội dung không phù hợp hoặc gây hại như: cờ bạc, nội dung người lớn, lừa đảo, hoặc những trang web không mong muốn khác.
• Tạo các chính sách chặn theo danh mục, URL cụ thể, hoặc từ khóa tùy chỉnh.
• Áp dụng và theo dõi hoạt động chặn trang web qua các log trên FortiGate.

Việc này sẽ giúp nâng cao bảo mật mạng và tối ưu hóa băng thông bằng cách ngăn ngừa người dùng truy cập vào các trang web gây lãng phí tài nguyên hoặc tiềm ẩn nguy cơ bảo mật.

2. Các bước cấu hình

Bài hướng dẫn này chỉ ra cách cấu hình Web Filtering trên FortiGate để chặn truy cập vào các trang web không mong muốn, đặc biệt là chặn trang facebook.com. Cụ thể, các bước bao gồm:

1. Bật tính năng Web Filtering trên FortiGate để kích hoạt khả năng quản lý và chặn các trang web.
2. Tạo Web Filter Profile mới và sử dụng Static URL Filter để chặn truy cập vào các trang web dựa trên URL cụ thể.
3. Cấu hình URL Filter bằng cách thêm facebook.com với tùy chọn Wildcard để đảm bảo chặn tất cả các phiên bản của trang web.
4. Áp dụng profile Web Filter vào chính sách tường lửa (Firewall Policy) để quản lý truy cập internet cho người dùng trong mạng nội bộ.
5. Lưu cấu hình và theo dõi hoạt động qua các log trên FortiGate.
6. Hướng dẫn cấu hình
7. Bật FortiGate Web Filter.

 Trước tiên, bạn cần kích hoạt tính năng Web Filtering trên FortiGate.

• Vào System > Feature Visibility.
• Bật tùy chọn Web Filter và nhấn Apply để lưu lại cấu hình.

2. Tạo Web Filter Profile.

Sau khi kích hoạt, tạo một profile cho Web Filtering để quản lý các chính sách chặn web.

Truy cập vào Security Profiles > Web Filter.

Nhấn Create New để tạo profile mới.

3. Cấu hình URL Filter.

Kích hoạt Static URL Filter:

• Kéo xuống phía dưới, bạn sẽ thấy phần Static URL Filter.
• Nhấn vào nút gạt để bật URL Filter.

Thêm URL vào Static URL Filter:

• Sau khi kích hoạt, một bảng sẽ xuất hiện.
• Nhấn Create New để thêm quy tắc mới.

Cấu hình thông số chặn Facebook:

• URL: Nhập đường dẫn *facebook.com.
• Type: Chọn Wildcard (để chặn tất cả các phiên bản của URL, bao gồm các subdomain như www.facebook.com hoặc m.facebook.com).
• Action: Chọn Block (để ngăn chặn truy cập).
• Status: Chọn Enable (để kích hoạt quy tắc).

 Lưu cấu hình:

• Nhấn OK để lưu lại quy tắc chặn URL này.

Sau khi đã hoàn thành tất cả các bước cấu hình trong Web Filter profile theo yêu cầu, bạn cần nhấn nút OK để lưu lại cấu hình.

4. Gán Web Filter profile vào policy.

Truy cập vào Policy & Objects:

• Điều hướng đến Policy & Objects > Firewall Policy.

Chỉnh sửa Policy truy cập internet:

• Tìm policy hiện đang cho phép người dùng trong mạng nội bộ truy cập internet.
• Nhấn đúp chuột trái vào policy đó để mở cửa sổ chỉnh sửa.

Kích hoạt Web Filter trong Security Profiles:

• Kéo xuống phần Security Profiles.
• Tại mục Web Filter, bật nút gạt để kích hoạt tính năng Web Filter cho policy này.
• Ở mục lựa chọn Web Filter profiles, chọn profile Vacif_Block_Facebook (hoặc tên profile bạn đã tạo trước đó).

Lưu cấu hình:

• Nhấn OK để lưu lại cấu hình.

5. Kiểm tra kết quả.

Sau khi thực hiện các bước trên, FortiGate sẽ chặn truy cập vào các trang web không mong muốn theo cấu hình của bạn. 

Cách cấu hình HA các bạn có thể tham khảo tại đây :

Sơ đồ mạng :

Mục lục :

1. Tách biệt cổng MGMT trong cấu hình HA

2. Tính năng dự phòng dây dẫn khi HA

Nội dung bài lab

1. Tách biệt cổng MGMT trong cấu hình HA

1.1 Tại FortiGate-2

Như các bạn đã biết, sau khi HA thành công thì ta mặc định chỉ có thể truy cập vào 1 thiết bị Fortigate đang ở mode Primary mà thôi. Nếu quá trình HA khi vận hành bị lỗi và quá trình quản lý sẽ rất khó khăn trong việt fix để tìm cách khắc phục

Để dễ hình dung, ở đây mình sẽ gắn thêm 1 thiết bị Switch với vài trò MGMT quản lý 2 thiết bị Fortigate

Bài trước vì Priority của FortiGate-2 lớn hơn ,nên là Primary. Vậy chúng ta chỉ có thể truy cập giao diện cấu hình FortiGate-2 trước

Tại FotiGate-2

Vào Network >> interfaces >> edit port 4 (sơ đồ)

Alias : MGMT

Role : DMZ

IP/Netmask : 10.10.10.2/24

Cho phép Service HTTPS, Ping

Nhấn OK để thiết lập

Tiếp theo các bạn vào System >> HA

Enable tính năng Management Interface Reservation lên

Interface : cổng kết nối đến thiết bị dùng quản lý thiết bị

Gateway : điền IP của thiết bị MGMT

Destination subnet : chọn lọc subnet

Kết quả :

Dùng VPC-2 ping đến IP MGMT của FortiGate-2

1.2 Tại FortiGate-1

Vì đang cấu hình HA nên Fortigate-1 Port4 cũng được đồng bộ như Fortigate-2 có IP MGMT 10.10.10.2

Chúng ta đang muốn tách ra để quản lý nên cần phải đổi IP này thành IP khác

Các bạn tiến hành cấu hình trên giao diện CMD như sau

Kết quả :

Dùng VPC-2 ping thử Port MGMT của FortiGate-1

2. Tính năng dự phòng dây dẫn khi HA

Vì hiện giờ chúng ta đang cấu hình Active-Active, nên lở đâu port2 bị đứt thì FortiGate-2 vẫn là Primary, các thiết bị mà muốn qua nó đễ đi internet thì không được nữa

Để khắc phục điều này ta cần cấu hình thêm tính dự phòng như sau

Tại Monitor interface : thêm Port2

Trong môi trường mạng doanh nghiệp, tính sẵn sàng là một yếu tố quan trọng hàng đầu. Khi mạng không hoạt động, doanh nghiệp sẽ bị gián đoạn hoạt động, gây ảnh hưởng đến sản xuất, kinh doanh và uy tín của doanh nghiệp.

Tính năng HA (High Availability) của Fortigate giúp đảm bảo tính sẵn sàng của mạng bằng cách kết hợp hai hoặc nhiều thiết bị Fortigate lại thành một cụm. Khi một thiết bị Fortigate bị lỗi hoặc ngừng hoạt động, thiết bị còn lại sẽ đảm nhận toàn bộ lưu lượng mạng, giúp mạng vẫn hoạt động bình thường.

Sơ đồ bài lab :

Mục lục :

I. Cấu hình HA Fortigate

1. Điều chỉnh thông tin thiết bị

2. Cấu hình HA

3. Test kết quả sau khi HA

Nội dung cấu hình :

I. Cấu hình HA Fortigate

1. Điều chỉnh thông tin thiết bị

Các bạn nên có bước đổi tên thiết bị để dễ quản lý hơn trước và sau cấu hình HA

Các bạn vào System >> Settings

Host name : đặt tên thiết bị

Time zone : chỉnh múi giờ tương thích

Thiết bị thứ 2 các bạn làm tương tự

2. Cấu hình HA

2.1 Thiết bị Fortigate-1

Các bạn vào System >> HA

Mode : Chọn Active-Active

Device priority : điền số ,số lớn hơn sẽ làm Primary

Group name và Password : hãy đặt tên và password theo sở thích,thông tin này sẽ được điền y hệt vào thiết bị Fortigate-2 còn lại

Heartbeat interfaces : đây là Port dùng để cấu hình HA với thiết bị thứ 2

Nhấn Ok để hoàn thành

Sau khi nhấn OK ở trên thì thiết bị đang ở mode chờ

2.2 Thiết bị Fortigate-2

Tương tự như thiết lập cấu hình HA ở Fortigate-1

Group name và Password : các bạn hãy nhập thông tin đã điền mục tương tự ở Fortigate-1 vào

Sau khi nhấn OK để hoàn thành

Giao diện khi HA thành công

3. Test kết quả sau khi HA

Tại Fortigate-2 mình tiến hành edit Port3

Tại Alias : mình gỏ vào chữ HA

Kết quả : Fortigate-1 Alias Port 3 cũng có tên HA

Fortigate-2 đang làm Primary , mình tiến hành tắt thiết bị 2 này, thì Fortigate-1 đã lên làm Primary và vẫn cho các máy User đi internet bình thường