tổng quan về fortigate firewall
TRANSCRIPT
-
8/13/2019 Tổng Quan Về Fortigate Firewall
1/21
Tổng Quan Về Fortigate FirewallTác giả: Nguyễn Quốc Hân
Tổng quan về Fortigate AntiViru Firewall
Fortigate AntiVirus Firewall(FGA) là thiết bị security có khả năng kiể so!t tra""ic c#a
network $ nhi%u &c ' kh!c nhau
*+&c A,,lication ser-ices nh. ch/ng -irus -à l0c ni 1ung
*+&c 2etwork ser-ices nh. "irewall3 intruction 1etection3 V42 -à tra""ic sha,ing5
FGA*677 18ng cho 1oanh nghi9, l:n h; tr< Vlan3 =A 3 -:i 6 ,ort3 > ,ort kết n/i ?777 -à > ,ort kết n/i ?77 3 su,,ort @75777 current sessions
AntiViru
-
8/13/2019 Tổng Quan Về Fortigate Firewall
2/21
FGA*677 có khả năng BuCt -irus Bua giao th&c web (=DD4)3FD43eail (E+D4344@3 +A4) khi 1H li9u có -irus '.
-
8/13/2019 Tổng Quan Về Fortigate Firewall
3/21
FGA có thể ,h!t hi9n
*?77Y c!c loJi -irus trong Zil1[ist(wil1list5org)
*-irus trong "ile nCn 18ng 4\]i,
*eail '.
-
8/13/2019 Tổng Quan Về Fortigate Firewall
4/21
*2ếu ng.Ni 18ng truy c, trang web tr8ng -:i lock list hodc web ch&a ? t hodc ? cf ttrong content block list FGA sI block trang web 'ó5Drang web bị blocke1 sI '.
-
8/13/2019 Tổng Quan Về Fortigate Firewall
5/21
$%a& Filtering
*FGA BuCt l0c s,a Bua c!c giao th&c eail 44 @3 E+D43 +A43 'ịa chj 43 'ịa chjeail3 tiu '% eail3ni 1ung eailT
*h&c năng [(ealtie lackhole [ist),hUn loJi s,a -à s, Sế, -ào blackhole -à[(,en elay atabase [ist)ch&c năng ch/ng g$i ail ndc 1anhT
*2ếu eail '.
-
8/13/2019 Tổng Quan Về Fortigate Firewall
6/21
18ng có thể 18ng trmnh ail client 'ể l0c s,a
Firewall
*FGA bảo -9 !y tnh trong Jng cfc b tr!nh khKi tRn cMng t nternet5
*Eau khi cài 'dt sQ b FGA có khả năng bảo -9 ng.Ni 18ng trong Jng cfc b truy suRtnternet -à blocking c!c truy suRt t nternet -ào Jng cfc b5
*FGA cho ,hC, cRu hmnh kiể so!t truy c, t Jng cfc b ra ngoài nternet -à kiể so!t
-
8/13/2019 Tổng Quan Về Fortigate Firewall
7/21
truy c, trong Jng ni b bao gL
* \iể so!t tRt cả tra""ic ra -ào c#a Jng
* \iể so!t P hóa tra""ic V42
* [0c -irus -à ni 1ung web
* lock hodc cho ,hC, truy c, tRt cả ,olicy
* \iể so!t theo ,olicy
* hR, nhn hodc t ch/i truy c, t t 'ịa chj
* \iể so!t ng.Ni 18ng chupn -à ng.Ni 18ng 'dc bi9t hodc nhó 'dc bi9tT
* qu cu ng.Ni 18ng ch&ng thXc tr.:c khi truy c,
* Dhiết 'dt .u tin truy c, -à bảo 'ả hodc gi:i hJn băng thMng cho tng ,olicy
* [og tRt cả kết n/i
* 2ADoute +o1e 4olicy
* +iSe1 2AD -à oute +o1e ,olicy
* FGA có thể hoJt 'ng 2ADoute o1e hodc Drans,arent o1e
NAT'(oute &o)e
* 2ADoute o1e FGA là t thiết [ayer @ 3 Wi inter"ace có t 4 subnet kh!c
nhau -à SuRt hi9n $ thiết bị kh!c nh. là t router5
-
8/13/2019 Tổng Quan Về Fortigate Firewall
8/21
*Uy là nguyn tc hoJt 1ng c#a t "irewall thMng th.Nng5 2ADoute o1e3 FGAcung cR, 2AD o1e ,olicies -à oute o1e ,olicies
*2AD o1e ,olicies 18ng 2AD 'ể giRu 'ịa chj giv, gia tăng secure trong Jng kCsecure5
-
8/13/2019 Tổng Quan Về Fortigate Firewall
9/21
*oute o1e ,olicies chR, nhn hodc t ch/i kết n/i Jng -:i -i9c 2AD
Tran%arent &o)e
*Drans,arent o1e FGA khMng là thay 'Wi M hmnh [ayer @ t&c là c!c inter"ace cóc8ng ? 4 subnet -à SuRt hi9n nh. là bri1ge trong c!c thiết bị Jng kh!c5
*FGA hoJt 'ng $ Drans,arent o1e sI cung cR, giải ,h!, anti-irus -à content"iltering '&ng '^ng sau giải ,h!, "irewall có sn5
*Drans,arent o1e cung cR, basic "irewall nh. 2AD o1e5FGA sI block hodc chR,nhn ,ackets t8y thuc -ào "irewall ,olicy5
*FGA có thể gn -ào bRt kx trong Jng khMng cn thay 'Wi cRu trvc -à c!c thành ,hnc#a Jng5Duy nhin t -ài tnh năng "irewall cao cR, chj có $ 2ADoute o1e5
V*AN v+ virtual )o&ain
-
8/13/2019 Tổng Quan Về Fortigate Firewall
10/21
*FGA su,,ort ___ 675?z V[A2 tags5
*8ng V[A23 FGA 'Qn có khả năng cung cR, security3 kiể so!t security kết n/i 3
nhi%u security 1oain gn -ào V[A2 s th -ào V[A2 ,ackets5
*FGA có thể nhn ra V[A2 s -à a,,ly security ,olicies 'ể secure network -à 4E_V42 giHa security 1oain5
*FGA có khả năng ch&ng thXc3 content "iltering -à anti-irus ,rotection '/i -:i tra""icV[A2*tagge1 network -à V425
*FGA su,,ort V[A2s 2ADoute o1e -à Drans,arent o1e5 2ADoute o1e 3ng.Ni 18ng nh, -ào V[A2 subinter"aces 'ể g{i -à nhn V[A2 ,ackets5
*FGA -irtual 1oains cung cR, nhi%u "irewall -à router logic trn c8ng t FGA5
*\hi s{ 1ung -irtual 1oains ? FGA cung cR, "irewall -à routing ser-ices cho nhi%unetworks5
*2g.Ni 18ng có thể tJo -à Buản l| inter"aces3 Vlan subinter"aces3 }ones3 "irewall ,olicies3 routing3 -à cRu hmnhV42 cho ;i -irtual 1oains5+;i -irtual 1oains là t
-
8/13/2019 Tổng Quan Về Fortigate Firewall
11/21
FGA logic3 -i9c chia ra -irtual 1oains 'ể cRu hmnh 'Qn giản3 trong c8ng t lvc ng.Ni18ng khMng thể Buản l| nhi%u router -à "irewall5
,ntruion -revention $yte&.,-$/
*FGA 4E kết h
-
8/13/2019 Tổng Quan Về Fortigate Firewall
12/21
có thể log3 ,ass31ro,3reset hodc clear ,ackets hodc session '!ng ngN5
*ả 4E ,re1e"ine1 signatures -à 4E engine có thể u,gra1e thMng Bua Fori4rotectistribution 2etwork(F2)52g.Ni 18ng có thể tJo signatures ring5
V-N
*E{ 1fng FGA V423 ng.Ni 18ng '.
-
8/13/2019 Tổng Quan Về Fortigate Firewall
13/21
~ 4Eec3 _E4 security in tunnel o1e3
~ _E3 @_E (tri,le*_E)3 an1 A_E har1ware accelerate1 encry,tion3
~ =+A +• an1 =+A E=A? authentication an1 1ata integrity3
~ Auto\_ key base1 on ,re*share1 key tunnels3
~ 4Eec V42 using local or A certi"icates3
~ +anual \eys tunnels3
~ i""ie*=ellan grou,s ?3 3 an1 •3
~ Aggressi-e an1 +ain +o1e3
~ e,lay etection3
~ 4er"ect Forwar1 Eecrecy3
~ Auth authentication3
-
8/13/2019 Tổng Quan Về Fortigate Firewall
14/21
~ ea1 ,eer 1etection3
~ =4 o-er 4Eec3
~ Eecure nternet browsing5
~ 44D4 "or easy connecti-ity with the V42 stan1ar1 su,,orte1 by the ost ,o,ular
o,erating systes5
~ [D4 "or easy connecti-ity with a ore secure V42 stan1ar13 also su,,orte1 by
any ,o,ular o,erating systes5
~ Firewall ,olicy base1 control o" 4Eec V42 tra""ic5
~ 4Eec 2AD tra-ersal so that reote 4Eec V42 gateways or clients behin1 a 2AD
can connect to an 4Eec V42 tunnel5
~ V42 hub an1 s,oke using a V42 concentrator to allow V42 tra""ic to ,ass "ro
one tunnel to another through the FortiGate unit5
~ 4Eec e1un1ancy to create a re1un1ant Auto\_ key 4Eec V42 connection to a
reote network5
-
8/13/2019 Tổng Quan Về Fortigate Firewall
15/21
Hig0 availa"ility.HA/
-
8/13/2019 Tổng Quan Về Fortigate Firewall
16/21
*FGA =A là cMng ngh9 s{ 1fng nhi%u ,hn c&ng FGA -à FortiGate
lustering 4rotocol (FG4)5
*+;i FGA là t =A cluster c8ng security ,olicy -à c8ng cRu hmnh52g.Ni 18ng có thểth 'ến @ FGA -ào =A cluster5
*+Wi FGA là t =A cluster ,hải c8ng o1el -à c8ng chJy FortiE "irware5FGA =Asu,,orts link re1u1ancy -à 1e-ice re1un1ancy5
*FGA có thể hoJt 'ng acti-e*,assi-e(A*4) hodc acti-e*acti-e(A*A) o1e5 A*A -à A*4cluster có thể chJy $ 2ADoute -à Drans,arent o1e
*A*4 =A cluster nh. là hot stan1by =A bao gL ? FGA ,riary ,rocesses tra""ic -à ?hodc nhi%u FGA subor1inate5
*FGA subor1inate n/i -ào network -à thành FGA ,riary nh.ng khMng ,rocesses tra""ic
*A*A =A cluster loa1 balances -irus scanning trn tRt cả FGA trong cluster5
*A*A =A clusters bao gL ? FGA ,riary ,rocesses tra""ic -à ? hodc nhi%u secon1aryFGA c€ng ,rocesses tra""ic5
*4riary FGA s{ 1fng thut to!n scanning -irus ,hUn t!n trn tRt cả FGA trong =Acluster5
-
8/13/2019 Tổng Quan Về Fortigate Firewall
17/21
$ecure intallation1 con2iguration1 an) &anage&ent
*\hi bt nguLn FGA ln 'pu tin3 FGA '.
-
8/13/2019 Tổng Quan Về Fortigate Firewall
18/21
*
*Ru hmnh '.
-
8/13/2019 Tổng Quan Về Fortigate Firewall
19/21
*Jn có thể access FGA coan1 line inter"ace ([) b^ng c!ch kết n/i
cWng serial !y tnh 'ến FGA E*@ serial console connector5
*Jn có thể s{ 1fng Delnet hodc secure EE= connection 'ể connect 'ến [ t bRt kx
network nào 'P connect 'ến FGA3 kể cả nternet5
*Giao tiế, [ su,,orts c8ng con"iguration -à ch&c năng onitoring nh. web*base1anager5
*Dh -ào 'ó3 bJn có thể s{ 1fng [ cho a1-ance1 con"iguration à web*base1 anagerkhMng có s‚n5
*ogging an) re%orting
*Dhe FGA su,,orts logging rRt nhi%u thay 'Wi -% categories c#a tra""ic -à con"iguration
-
8/13/2019 Tổng Quan Về Fortigate Firewall
20/21
*Jn có thể con"igure logging to
~ b!o c!o tra""ic connects 'ến "irewall3
~ bao c!o network ser-ices '.
-
8/13/2019 Tổng Quan Về Fortigate Firewall
21/21
con"igure FGA ghi log hu hết e-ents gn -à attacks 1etecte1 by 4E -ào syste eory5
2g.Ni -iết 2guyOn zu/c =Un
V24ro Zeb A1in