บทความนี้เกี่ยวกับการตั้งค่า Fortigate Firewall เบื้องต้น หลังจากซื้อมาและดำเนินการ Unboxing ให้สามารถใช้งานได้ (ประยุกต์เพื่อทดลองใช้บน VM-Fortigate-LAB ได้นะครับ)
การตั้งค่าเบื้องต้น จะมีด้วยกัน 4 ขั้นตอน ตามนี้ครับ
1. Configuring interfaces (for Access GUI)
- Management Port
- Interface Port (Configure GUI with Command Line)
2. Creating administrators
3. Setting system
- System Settings
- System Time
- Administration Settings
- Password Policy
- View Settings
4. Adding DNS servers
1. Configuring interfaces (for Access GUI)
Management Port
การเข้าใช้งาน Firewall ในขั้นตอนแรกสามารถเข้าใช้งานได้ผ่าน Management Port โดย Fortigate จะตั้งค่า IP Address by Default มาให้ดังนี้
IP Address : 192.168.1.99
Subnet Mask : 255.255.255.0
Interface Port (Configure GUI with Command Line)
การเข้าใช้งาน Firewall ด้วย Interface Port อื่น ๆ ในลำดับแรกมีความจำเป็นจะต้องตั้งค่าผ่าน Command Line บน Port ที่ต้องการ โดยการใช้สาย Console เสียบระหว่าง Remote PC กับ Console Port ของ Firewall ดังภาพ
จากนั้นใช้ Remote Software (putty, secureCRT, MobaXterm, etc.) เพื่อ Remote เข้าสู่ Command Line Firewall โดยตั้งค่า Parameter บน Remote Software ดังนี้
Bits per second : 9600
Data bits : 8
Parity : None
Stop bits : 1
Flow control : None
เมื่อ Connect เข้าสู่ Command Line ให้ดำเนินการ Login ตามค่าเริ่มต้น ดังนี้
Username : admin (Default User ถูกกำหนดมาให้เป็นค่าเริ่มต้น)
Password : None (ไม่ต้องใช้ Password)
จากนั้น ดำเนินการตั้งค่า IP Address บน Interface ที่ต้องการตามขั้นตอนดังต่อไปนี้
- ใช้คำสั่ง config system interface
- ใช้คำสั่ง edit <Port ที่ต้องการตั้งค่า> (ในที่นี้ขอยกตัวอย่างเป็น port2)
- ตั้งค่า mode บน port โดยใช้คำสั่ง set mode <static/dhcp> *แนะนำให้ใช้เป็น static
- ตั้งค่า IP Address บน port ดังกล่าว โดยใช้คำสั่ง set ip <IP Address> <Subnet Mask>
- ตั้งค่า Service ที่อนุญาตให้ Access เข้าสู่ port ดังกล่าวได้ โดยใช้คำสั่ง set allowaccess <services>
(ในที่นี้ขอยกตัวอย่างให้ใช้ Service http และ ping)
- จากนั้นใช้คำสั่ง end เพื่อ save config และออกจาก port ดังกล่าว
*คำสั่ง end เปรียบเสมือนการ save config และออกจากการตั้งค่าใด ๆ ใน Command Line หากไม่ใช้คำสั่งดังกล่าว การตั้งค่าจะไม่ถูก save และ apply เพื่อใช้งาน
- จากนั้น เชื่อมต่อ Remote PC เข้ากับ Port ที่ตั้งค่าไว้ และเข้าใช้งาน Firewall GUI ด้วย Web Browser โดยกรอกหมายเลข IP Address ที่ตั้งค่าไว้ ที่ช่องกรอก URL ดังภาพ
- จากนั้น Web Browser จะแสดงหน้าต่างให้ Login เพื่อเข้าบริหารจัดการ Firewall ผ่าน GUI ดังภาพ
ดำเนินการ Login ตามค่าเริ่มต้น ดังนี้
Username : admin (Default User ถูกกำหนดมาให้เป็นค่าเริ่มต้น)
Password : None (ไม่ต้องใช้ Password)
- จากนั้นจะเข้าสู่หน้า Dashboard ของ Firewall
- แทบด้านซ้ายมือ เลือกที่หัวข้อ System > Administrator
- จะพบว่ามี User ที่ชื่อ admin เป็นค่า Default มากับ Firewall
- ดำเนินการสร้าง User ใหม่ เพื่อใช้สำหรับ Login เข้าใช้งาน Firewall โดยกดที่ปุ่ม
- จากนั้นเลือก Administrator
- จะพบหน้าต่างดังภาพด้านล่าง ดำเนินการตั้งค่าดังต่อไปนี้
Username : กำหนดชื่อเพื่อใช้สำหรับ Login เข้าใช้งาน Firewall
Type : Local User (สร้างไว้บนอุปกรณ์) *Recommend
Password : กำหนดรหัสผ่านของ User ที่ต้องการสร้าง
Confirm Password : ยืนยันรหัสผ่านที่กำหนด (จำเป็นต้องกรอกให้ตรงกับรหัสผ่านที่กำหนดขึ้นมา)
Comment : กำหนดรายละเอียด (ควรกำหนดให้สอดคล้องกับเจ้าของ User) *Optional
Admin Profile : กำหนด Profile ของ User ที่สร้างขึ้น โดย Profile เมื่อกดที่ลูกศรจะมีให้เลือ
เพียง 2 Profile เริ่มต้น โดยที่ super_admin จะมี rule ที่สูงกว่า prof_admin ดังภาพ
Email : กำหนด Email สำหรับติดต่อเจ้าของ Account *Optional
3. Setting system
- แทบด้านซ้ายมือ เลือกที่หัวข้อ System > Settings
System Settings
- กำหนดค่า Hostname
System Time
- กำหนดค่า Time ให้กับอุปกรณ์ Firewall โดยดำเนินการตั้งค่าดังต่อไปนี้
Current system time : แสดงค่าเวลาปัจจุบันของอุปกรณ์ Firewall
Time Zone : ตั้งค่า Time Zone เลือก Time Zone ได้ทั่วโลก ดังภาพ (ประเทศไทย แนะนำให้ตั้งค่าเป็น
GMT+7:00 Bangkok, Hanoi, Jakarta)
Set Time : เลือกรูปแบบการตั้งค่าเวลา (Sync NTP Server หรือ Manual Setting)
*กรณีเลือกแบบ Manual Setting จะแสดงหน้าต่างดังภาพ*
Select Server : FortiGuard (Sync กับ Cloud NTP ของ Fortinet)
: Custom (หากต้องการ Sync NTP Server ของเราเอง จำเป็นต้องตั้งค่าโดยใช้ Command Line)
Sync Interval : กำหนดระยะเวลาในการเทียบเวลากับ NTP เพื่ออัพเดทเวลาให้ตรงสม่ำเสมอ (Format : Second)
*Setup device as local NTP server*
- หัวข้อ Select Server หากดำเนินการตั้งค่าเป็น Custom และตั้งค่า Local NTP เรียบร้อยแล้ว จำเป็นจะต้องมาตั้งค่า Listen on Interface ตรงนี้ด้วย ดังภาพ
- กดที่เครื่องหมาย (+) เพื่อเลือก Listen on Interface (จำเป็นจะต้องมี Local NTP Server อยู่ใน Interface ดังกล่าว)
Administration Settings (มีผลกับ User ที่ใช้บริหารจัดการ Firewall)
- กำหนดค่าของการเข้าถึง Firewall ด้วย Service ต่าง ๆ
HTTP port : Port ในการเข้าถึง GUI ด้วย Protocol HTTP (Port : 80 by Default)
Redirect to HTTPS : เปิดให้ทำการ Redirect ไป HTTPS เมื่อเข้า GUI ด้วย HTTP *Recommend
HTTPS port : Port ในการเข้าถึง GUI ด้วย Protocol HTTPS (Port : 443 by Default)
HTTPS server certificate : กำหนดให้ Firewall Deploy Certificate ไปยัง Client ที่เข้าถึง Firewall ด้วย HTTPS
(Fortinet_Factory Certificate by Default)
SSH port : Port ในการเข้าถึงด้วย Secure Shell
Telnet port : Port ในการเข้าถึงด้วย Telnet
Idel Timeout : ระยะเวลา Timeout เมื่อไม่มีการใช้งาน (มีผลกับทุก Service ของการเข้าถึง Firewall
มีหน่วยเป็น นาที)
มีหน่วยเป็น นาที)
Password Policy (มีผลกับ User ที่ใช้บริหารจัดการ Firewall)
- การกำหนดกฎเกณฑ์ในการตั้งค่ารหัสผ่าน (สามารถตั้งค่าใช้งานร่วมกับ Admin และ IPsec ได้) ดังภาพ
- การกำหนดกฎเกณฑ์ในการตั้งค่ารหัสผ่าน (สามารถตั้งค่าใช้งานร่วมกับ Admin และ IPsec ได้) ดังภาพ
Password Scope : เลือกรูปแบบที่จะนำไปใช้ (Admin/IPsec/Both)
- Admin (มีผลกับการตั้งค่ารหัสผ่านของ Admin User ที่ใช้บริหารจัดการ Firewall)
- Both (มีผลกับการตั้งค่ารหัสผ่านของ Admin User และ IPsec)
การตั้งค่าในแต่ละรูปแบบ อธิบายได้ดังต่อไปนี้
Minimum length : กำหนดความยาวของรหัสผ่าน by Default : 8 (ความยาวอย่างน้อย 8 อักษร)
Character requirement : เงื่อนไขตัวอักษรที่บังคับให้กำหนดในการตั้งรหัสผ่าน *Recommend
Upper case : กำหนดจำนวนตัวอักษร พิมพ์ใหญ่ by Default : 1 (อย่างน้อย 1 อักษร)
Lower case : กำหนดจำนวนตัวอักษร พิมพ์เล็ก by Default : 1 (อย่างน้อย 1 อักษร)
Number (0-9) : กำหนดจำนวนตัวเลข by Default : 1 (อย่างน้อย 1 เลข)
Special : กำหนดจำนวนอักขระพิเศษ by Default : 1 (อย่างน้อย 1 อักขระ)
Allow password reuse : การอนุญาตให้กำหนดรหัสผ่านใหม่โดยใช้รหัสผ่านเดิม (จะมีให้กำหนดแค่เฉพาะรูปแบบ
Admin เท่านั้น)
Password expiration : เปิดเพื่อให้รหัสผ่านหมดอายุ by Default : 90 วัน *Recommend
Minimum length : กำหนดความยาวของรหัสผ่าน by Default : 8 (ความยาวอย่างน้อย 8 อักษร)
Character requirement : เงื่อนไขตัวอักษรที่บังคับให้กำหนดในการตั้งรหัสผ่าน *Recommend
Upper case : กำหนดจำนวนตัวอักษร พิมพ์ใหญ่ by Default : 1 (อย่างน้อย 1 อักษร)
Lower case : กำหนดจำนวนตัวอักษร พิมพ์เล็ก by Default : 1 (อย่างน้อย 1 อักษร)
Number (0-9) : กำหนดจำนวนตัวเลข by Default : 1 (อย่างน้อย 1 เลข)
Special : กำหนดจำนวนอักขระพิเศษ by Default : 1 (อย่างน้อย 1 อักขระ)
Allow password reuse : การอนุญาตให้กำหนดรหัสผ่านใหม่โดยใช้รหัสผ่านเดิม (จะมีให้กำหนดแค่เฉพาะรูปแบบ
Admin เท่านั้น)
Password expiration : เปิดเพื่อให้รหัสผ่านหมดอายุ by Default : 90 วัน *Recommend
View Settings
- กำหนดค่าในการแสดงผลบน GUI
- กำหนดค่าในการแสดงผลบน GUI
Language : เลือกภาษาในการแสดงผลของ Firewall โดยมีภาษาที่สามารถเลือกได้ ดังภาพ (English by Default)
Line per page : กำหนดขอบเขตการแสดงผลในกรณีที่มีการแสดงผลของค่าต่าง ๆ จำนวนหลาย บรรทัด
(by Default : 50 บรรทัด)
Theme : กำหนด Theme ในการแสดงผลบน GUI สามารถเลือกเปลี่ยน Theme ได้ดังภาพ
4. Adding DNS servers
- แทบด้านซ้ายมือ เลือกที่หัวข้อ Network > DNS
- กำหนดค่าของ DNS Server ได้ดังต่อไปนี้
DNS Server : สามารถเลือกได้ 2 รูปแบบคือ FortiGuard Server และ Specify
*กรณีเลือกแบบ Use FortiGuard Servers*
Primary DNS Server : DNS Server IP >> 208.91.112.53 (by Default)
Secondary DNS Server : DNS Server IP >> 208.91.112.52 (by Default)
*กรณีเลือกแบบ Specify* *Recommend
Primary DNS Server : ควรกำหนดให้เป็น IP DNS Server ภายใน
Secondary DNS Server : DNS Server IP >> 208.91.112.52 หรือ 208.91.112.53
Local Domain Name : ใส่ Local Domain Name ภายใน
จบแล้วครับ สำหรับ 4 ขั้นตอนการตั้งค่า Fortigate Firewall เบื้องต้น หลังจาก Unboxing รบกวนแชร์เพื่อเผยแพร่ความรู้ และหวังว่าบทความนี้จะเป็นประโยชน์กับผู้ที่เข้ามาอ่านนะครับ
ขอบคุณมากครับผม
Network Societies
ขอบคุณครับ เป็นความรู้มากเลยครับ
ตอบลบ