การใช้งาน การใช้งาน fortigatefortigate firewall firewall...
TRANSCRIPT
การใชงาน การใชงาน FortigateFortigate Firewall Firewall เบ�องตนเบ�องตน
เกษม เบญราหม
วตถประสงคของบทเรยนวตถประสงคของบทเรยน
� ใหเขาใจวา firewall คออะไร� ระบบรกษาความปลอดภยใน Network มความสาคญอยางไร� Firewall มความเก.ยวของกบการเช.อมตอมายงศนยขอมลกลางอยางไร� Firewall ของจงหวด คอรนไหน ม Feature และความสามารถอยางไรFirewall ของจงหวด คอรนไหน ม Feature และความสามารถอยางไร� ในฐานะ DIO ของจงหวดตองทราบอะไรบาง เพ.อการดแลบารงรกษา� เม.อเกดปญหากบ Firewall ทางจงหวดจะทราบไดอยางไร สงเกตอยางไรและควรแจงขอมลอะไรบางใหศนยเทคโนทราบ
Firewall Firewall คออะไรคออะไร
Firewall เปนเคร.องมอท.ใชสาหรบปองกนระบบ Network (เครอขาย) จากการส.อสารท.วไปท.ถกบกรก จากผท.ไมไดรบอนญาต เปนเร.องเก.ยวกบการรกษาความปลอดภยในระบบ Network หรอระบบเครอขาย การปองกนโดยใชระบบ Firewall นC จะเปนการกาหนดกฏเกณฑในการควบคมการเขา-ออก หรอการควบคมการรบ-สงขอมล ในระบบเครอขาย น.นเอง หรอการควบคมการรบ-สงขอมล ในระบบเครอขาย น.นเอง
คณสมบต(PROTECT , RULE BASE , ACCESS CONTROL)
คณสมบตของ คณสมบตของ FirewallFirewall
ProtectFirewall เปนเคร.องมอท.ใชในการปองกน โดยขอมลท.มการรบหรอสงผานระบบเครอขาย โดยจะถกกาหนดเปนกฎเกณฑ หรอ Rule เพ.อใชบงคบในการส.อสารภายในเครอขาย (ขอมลท.มการรบสงภายใน หรอภายนอกระบบเครอขาย เราเรยกวา Package)
Rule BaseRule Baseขอกาหนดในการควบคมการรบ-สงขอมลภายในระบบเครอขาย ดงนCน การตดตCง Firewall จะตองมการกาหนดกฎเกณฑ ในการควบคมการทางานในระบบเครอขาย
Access Controlหมายถง การควบคมระดบการเขาถง การรบ-สงขอมล
ทาไมตองตดต�งทาไมตองตดต�ง FirewallFirewallเดมเปนการใชงานสวนบคคล(Personal Computer)
ปญหาตางๆ ท.เกดขCนในระหวางการใชงานจงมไมมากนก
ปจจบน เปนการใชงานดานเครอขาย (โดยเฉพาะระบบเครอขายอนเตอรเนต) เปนท.แพรหลายมาก ทกองคกร ทกธรกจมการใชงานอนเตอรเนตอยางนอยกใชงาน อเมลแพรหลายมาก ทกองคกร ทกธรกจมการใชงานอนเตอรเนตอยางนอยกใชงาน อเมลดงนCน ผลพวงท.ตามมาคอ เกดผไมประสงคด หาวธการในการลกลอบเขาดในเคร.องคอมพวเตอรเพ.อคนหาขอมลหรอตองการทดสอบความสามารถของตนเอง ตลอดจน ไวรสคอมพวเตอร กไดอาศยชองทางของเครอขายอนเตอรเนต เปนชองทางในการแพรกระจายไวรส
Firewall Firewall ท<ใชในสวนกลาง ท<ใชในสวนกลาง --11
ย�หอ Fortinet รน Fortigate-3810A
Firewall Firewall ท<ใชในสวนกลาง ท<ใชในสวนกลาง --22
Firewall Firewall ท<ใชในสวนกลาง ท<ใชในสวนกลาง --33
Firewall Firewall ท<ใชในสวนกลาง ท<ใชในสวนกลาง --44แสดงหนาจอ Status ของ Fortigate 3810A
Firewall Firewall ท<ใชในตางจงหวดท<ใชในตางจงหวด--11
ย<หอ Fortinet รน Fortigate-100A
Firewall Firewall ท<ใชในตางจงหวดท<ใชในตางจงหวด--11
แสดง Port สาหรบการเช<อมตอของ Fortigate 100A
ลกษณะเบ�องตนของเครอขายกรมวทยาศาสตรการแพทยปจจบนลกษณะเบ�องตนของเครอขายกรมวทยาศาสตรการแพทยปจจบน
การ การ login login เพ<อเขาใชงานเพ<อเขาใชงาน Firewall FortigateFirewall Fortigate• เขาโดยพมพ https://<IP Address ของ Firewal> บน Browser• จากน�นจะมขอความเตอนเก<ยวกบความปลอดภย (Security)
Internet Explorer ใหคลกตามท.วงกลมสแดงดงรป
การ การ login login เพ<อเขาใชงานเพ<อเขาใชงาน Firewall FortigateFirewall Fortigate• เขาโดยพมพ https://<IP Address ของ Firewal> บน Browser• จากน�นจะมขอความเตอนเก<ยวกบความปลอดภย (Security)
Google Chromeใหคลกตามท.วงกลมสแดงดงรป
การ การ login login เพ<อเขาใชงานเพ<อเขาใชงาน Firewall FortigateFirewall Fortigate• เขาโดยพมพ https://<IP Address ของ Firewal> บน Browser• จากน�นจะมขอความเตอนเก<ยวกบความปลอดภย (Security)
Mozilla Firefoxใหคลกตามท.วงกลมสแดงดงรปตามลาดบตวเลข
การ การ login login เพ<อเขาใชงานเพ<อเขาใชงาน Firewall FortigateFirewall Fortigate• เม<อทาการยนยนการเขาถงเวบไซตแลว จากน�นจะเจอหนา Login• ใหทาการใส Username และ Password
หนา หนา Status Status แสดงสถานการณทางาน แสดงสถานการณทางาน • แสดงหนาจอ Status ของ Fortigate 100A
หนา หนา Status Status แสดงสถานการณทางานแสดงสถานการณทางาน• แสดงหนาจอ Status ของ Fortigate 100A
หนา หนา NetworkNetwork แสดงแสดง Port Port ของอปกรณของอปกรณ• หนาจอแสดงสถานะ Interface และการเช<อมตอของอปกรณ Firewall
Port สถานะเปน Up
Port สถานะเปน Down
หนา หนา RouterRouter แสดงการคนหาเสนทางแสดงการคนหาเสนทาง (Route)(Route) ของของ FirewallFirewall• หนาจอแสดงการหาเสนทาง (Route) ของอปกรณในการเช<อมตอไปยง Network ตางๆ
• จากรป Firewall เรยนรวา หากตองการไปยง 0.0.0.0(เครอขายภายนอก) ใหไปทาง IP หมายเลข 58.137.172.16 ทาง Port wan1• และหากตองการไปยงเครอขาย IP หมายเลข 192.168.25.0 (ทCงหมดของวง 192.168.1.25) ใหไปทาง Port Internal
ในการตรวจสอบปญหาในระบบ Network อาจตองสงเกตการหาเสนทางของอปกรณ แลวเชคสถานะ Link ดวยการ Ping ไปยง Gateway ของฝ.งท.ตองการ
*หมายเหต : หมายเลข IP Address 0.0.0.0 ซ.ง 0 มายถง IP ใดๆกตามทCงหมด
หนา หนา Policy(Policy(กฏกฏ) ) แสดงการต�งคาควบคมการใช แสดงการต�งคาควบคมการใช Internet Internet
Status : สถานะการใช/ไมใช Policy ID: หมายเลขของ PolicySource: หมายเลข IP ตนทาง (Internal)Destination : หมายเลข IP ปลายทาง (External)
Schedule : เวลาท.จะใช Policy ดงกลาวService : Service ท.จะใหผใชสามารถใชได เชน HTTP(เวบ)Profile: รปแบบขCนสงในการควบคมการใชงานAction : การตCงคาใหยอมรบการเช.อมตอตามกฏ หรอปฏเสธไมใหใช
*หมายเหต : หมายเลข IP Address 0.0.0.0 ซ.ง 0 หมายถง IP ใดๆกตามทCงหมด
หนา หนา AddressAddress ระบระบ IP IP ของผใชงานของผใชงานหนาจอสาหรบเพ.มหมายเลข IP Address ของผใชงาน เพ.อเอาไปใชในการควบคมการใชงานเครอขายตรงสวนของ Policy
* Interface เปนการระบวา IP Address ดงกลาวเช.อมตออยกบ Port ใดของตว Firewall
หนา หนา ServiceService สาหรบต�งคาใหใชบรการตางๆในเครอขายสาหรบต�งคาใหใชบรการตางๆในเครอขายหนาจอสาหรบเพ.ม Service และ Port ใหผใชงาน เพ.อเอาไปใชในการควบคมการใชงานเครอขายตรงสวนของ Policy โดยปรกตตว Firewall จะมมาใหแตถาตองการเพ.ม Port อ.นๆท.ไมมใน List ใหไปเพ.มไดในแถบ Custom
หนา หนา ScheduleSchedule สาหรบต�งเวลาในการใชสาหรบต�งเวลาในการใช PolicyPolicyในกรณท.ม Policy มากกวา 1 อน และตองการใหทางานในแตละเวลาตางกน เชน เชา Block บางเวบ เยนปลอยทกเวบ กใหตCงคากาหนดเวลาใน Schedule แลวนาไปใสใน Policy
Always หมายถงกาหนดใหทางานตลอดเวลา และตวตอ SMTWTFS เปนตวยอของวนในภาษาองกฤษ เชน S = Sunday , M=Monday เปนตน
วธการตรวจสอบปญหาเบ�องตนวธการตรวจสอบปญหาเบ�องตน (Diagnostic)(Diagnostic)หากเกดปญหาไมสามารถใชงาน Internet หรอ Link MPLS ในสวนของ CAT ไดสามารถตรวจสอบเบCองตนไดดงนC
1. ใชคอมพวเตอรทาการทดสอบ Ping มายงขา Internal ของ Firewall (Gateway ของ Computer ท.ใชงาน) เพ.อดวาเคร.องคอมพวเตอรยงสามารถเช.อมตอกบ Firewall ไดหรอไม เพราะถาเช.อมตอไมได กไมสามารถใชงาน Internet ได โดยใหทดสอบหลายๆเคร.องวาเปนจากปญหาเดยวกน
2. ถาไมได ใหตรวจสอบวาสาย LAN ของคอมพวเตอรท.เช.อมไปยงอปกรณ Switch ยงเสยบอยและใชงานไดตามปรกตหรอไม
3. ถาสาย LAN ไมเสย ใหตรวจสอบวา Switch ทางานไดตามปรกตหรอไม เชค Loop ในระบบ โดยดจากไฟกระพรบแบบผดปรกตบน Switch
4. ถา Switch ทางานไดตามปรกต ใหตรวจสอบสาย LAN ท.ออกจาก Switch ไปยง Port Internal ของ Firewall วาเสยหรอไม
หากทกอยางในขางตนปรกตให Login เขามาท. Firewall จากนCนไปท.หนา Status ใหสงเกตการทางานของ Firewall วา Port ตางๆของ
Firewall ท.แสดงไวตรง Unit Operation วามไฟสเขยวตดตรงจดเดยวกบ Port ท.เสยบสาย LAN ไวหรอไมดงรป
วธการตรวจสอบปญหาเบ�องตนวธการตรวจสอบปญหาเบ�องตน (Diagnostic)(Diagnostic)
หากพบวา Port ท.เสยบสาย LAN ไวไฟไมตดใหทาการตรวจสอบดงขอตอไป
วธการตรวจสอบปญหาเบ�องตนวธการตรวจสอบปญหาเบ�องตน (Diagnostic)(Diagnostic)จากนCนไปท.เมน Network -- > Interface แลวดตรง Port ท.เราเสยบสาย LAN (Internal หรอ wan1) ดตรง Link Status วามสถานะ
เปนสสมหรอไม
Administrative Status : หมายถงการกาหนด Enable/Disable การใชงานของ Port ดงกลาวโดยผดแลระบบสเขยวหมายถงผดแลระบบไดทาการเปดใชงาน Port ดงกลาวไว หากเปนสสมแสดงวาผดแลระบบไดทาการปด Port ดงกลาวLink Status: หมายถงสถานะการเช.อมตอไปยงอปกรณปลายทางของ Firewall วาเช.อมตอไดหรอไม ถาเปนสเขยวหมายถงเช.อมตอไดตามปรกต แตถาสสม แสดงวาไมสามารถเช.อมตอได ใหทาการเชคสาย LAN และอปกรณปลายทางวาเปดอยหรอไม
วธการตรวจสอบปญหาเบ�องตนวธการตรวจสอบปญหาเบ�องตน (Diagnostic)(Diagnostic)หากไมพบความผดปรกตภายในระบบเครอขายของศนยเอง จากนCนใหใชตว Firewall ทาการตรวจสอบวาสามารถ Ping ไปยงGateway ของ CAT ไดไหม เพ.อตรวจสอบวา Link CAT เกดการ Down หรอไม โดยใหไปทเมน Router --- > Monitor แลวดตรง
Type ท. Network เปน 0.0.0.0/0 ท. Interface เปน wan1 วาม IP เปนหมายเลขอะไรใหจดไว โดยตวอยางจะเปน 58.137.172.61
จากตวอยาง IP 58.137.72.61 จะเปน Gateway ของ Firewall หรอคออปกรณของ CAT หากกลบมาดตรงหนา Network จะเหนวาเปนIP ชดเดยวกบของ wan1 คอ 58.137.72.62 ซ.งจะม 58.137.72.61 เปน Gateway ในการออกไปยง MPLS ของ CAT น.นเอง
วธการตรวจสอบปญหาเบ�องตนวธการตรวจสอบปญหาเบ�องตน (Diagnostic)(Diagnostic)จานCนนา IP Address 58.137.72.61 ท.เปน Gateway ของ Firewall มาทาการ Ping โดยไปยงหนา Status จากนCนไปท. CLI Consoleท.เหมอนหนาตาง DOS ในระบบปฏบตการ Windows ใหทาการคลก 1 จากนCนพมพคาส.ง execute ping 58.137.72.61 (IP Gateway ของศนยนCนๆ)
หากพบวาผลการ Ping เปน Timeout ดงรป แสดงวาเครอขายมปญหา ใหตดตอทางศนยเทคโน เพ.อทาการตรวจสอบและประสานงานกบทาง CAT ตอไป
Q&AQ&A
ขอบคณครบขอบคณครบ