Mô hình kết nối hệ thống mạng sử dụng Firewall Fortigate
Bài viết này hướng dẫn cài đặt firewall cho mạng LAN trên thiết bị Fortigate, sử dụng cơ chế NAT và Static Route để cho phép các máy trạm trong mạng nội bộ truy cập Internet. Quy trình áp dụng cho FortiOS 5.6 trở lên, với một số điều chỉnh nhỏ tùy phiên bản. Để hiểu sâu hơn về lý thuyết và các khái niệm firewall, bạn có thể tham khảo tài liệu về tường lửa firewall.
⚠️ Lưu ý: Hướng dẫn này được kiểm chứng trên FortiOS 5.6. Các phiên bản khác có thể có giao diện và tùy chọn khác biệt, nhưng logic cấu hình vẫn tương tự.
Truy Cập Vào Firewall Fortigate
Fortigate cung cấp nhiều phương thức truy cập tùy theo dòng sản phẩm và trạng thái thiết bị.
Truy cập qua IP mặc định
Các dòng Fortigate thường có IP quản trị mặc định như 192.168.1.99/24 hoặc 192.168.100.99/24 trên cổng MGMT hoặc MGMT1. Thông tin này được in trên tem thiết bị, kèm username/password mặc định (thường là admin với mật khẩu để trống).
Kết nối firewall qua cổng MGMT
Truy cập qua Console
Nếu thiết bị chưa có IP mặc định hoặc bạn không biết thông tin đăng nhập, sử dụng cáp console đi kèm để truy cập CLI và cấu hình IP thủ công:
FG900A83901645649 # config system interface FG900A83901645649 (interface) # edit port1 FG900A83901645649 (port1) # set allowaccess ping http https ssh FG900A83901645649 (port1) # set ip 192.168.1.99 255.255.255.0 FG900A83901645649 (port1) # next FG900A83901645649 (interface) # endSau khi đặt IP, kết nối máy tính vào cổng tương ứng (port1 trong ví dụ), đặt IP tĩnh cùng dải mạng, rồi truy cập qua trình duyệt web.
Giao diện đăng nhập Fortigate
Khi đăng nhập lần đầu, hệ thống sẽ yêu cầu đổi mật khẩu. Bạn nên thực hiện ngay để bảo mật thiết bị.
Thiết Lập Hostname Và Múi Giờ
Truy cập System > Settings để cấu hình hostname và múi giờ cho thiết bị. Hostname giúp phân biệt thiết bị trong hệ thống nhiều firewall, còn múi giờ đảm bảo log và báo cáo chính xác.
Cấu hình cơ bản hostname và timezone
Đặt hostname theo quy ước dễ nhận diện (ví dụ: FW-HN-01 cho firewall chi nhánh Hà Nội). Chọn múi giờ GMT+7 cho Việt Nam.
Cấu Hình Interface WAN
Truy cập Network > Interfaces, chọn cổng WAN (thường là wan1), nhấp chuột phải và chọn Edit.
Danh sách interface trên Fortigate
Các tham số quan trọng khi cài đặt firewall cho mạng LAN:
Cấu hình cổng WAN
- Role: Chọn WAN để hệ thống nhận diện đây là cổng kết nối Internet
- Addressing Mode:
- Manual: Dùng khi ISP cấp IP tĩnh công cộng
- DHCP: Nhận IP tự động từ modem/router của ISP
- PPPoE: Dùng cho kết nối FTTH của Viettel, FPT, VNPT – nhập username/password do ISP cung cấp
- Administrative Access: Bật các giao thức cần thiết (HTTPS, SSH, Ping). Tránh bật HTTP trên WAN vì không mã hóa
Nhấn OK để lưu cấu hình. Nếu chọn PPPoE, firewall sẽ tự động quay số và thiết lập kết nối Internet.
Cấu Hình Interface LAN
Chọn cổng LAN (hoặc internal), nhấp chuột phải và chọn Edit.
Cấu hình cổng LAN
Các tham số cần thiết:
- Addressing Mode: Chọn Manual và đặt IP cho interface (ví dụ: 192.168.10.1/24). IP này sẽ là default gateway cho các máy trong LAN
- Administrative Access: Bật HTTPS, HTTP, SSH, Ping để quản trị từ mạng nội bộ
- DHCP Server: Bật để firewall tự động cấp IP cho client. Cấu hình dải IP (ví dụ: 192.168.10.100 – 192.168.10.200), DNS server (8.8.8.8, 1.1.1.1), và lease time
Nếu thay đổi IP của LAN interface, bạn cần đăng nhập lại với IP mới.
Cấu Hình Static Route
Truy cập Network > Static Routes > Create New để tạo default route.
Tạo static route mới
Thiết lập route:
Chi tiết cấu hình static route
- Destination: Chọn Subnet, nhập 0.0.0.0/0.0.0.0 (đại diện cho mọi đích đến)
- Gateway Address:
- Với PPPoE: Để trống hoặc 0.0.0.0 (firewall tự xác định)
- Với IP tĩnh/DHCP: Nhập IP gateway do ISP cung cấp
- Interface: Chọn wan1
- Administrative Distance: Giữ mặc định (10) hoặc điều chỉnh nếu có nhiều đường WAN
- Status: Enabled
Route này chỉ dẫn mọi traffic không thuộc mạng nội bộ sẽ được chuyển ra Internet qua cổng WAN.
Cấu Hình Policy Cho Phép LAN Truy Cập Internet
Đây là bước quan trọng nhất trong cài đặt firewall cho mạng LAN. Truy cập Policy & Objects > IPv4 Policy > Create New.
Danh sách policy
Thiết lập policy:
Tạo policy LAN to WAN
- Name: Đặt tên mô tả rõ ràng (ví dụ: LAN_to_Internet)
- Incoming Interface: Chọn LAN (hoặc internal)
- Outgoing Interface: Chọn wan1
- Source: Chọn all hoặc tạo address object cho từng subnet cụ thể
- Destination: Chọn all
- Schedule: Always (hoặc tạo schedule để giới hạn thời gian truy cập)
- Service: Chọn ALL hoặc giới hạn các dịch vụ cụ thể (HTTP, HTTPS, DNS…)
- Action: Accept
- NAT: Bật tùy chọn này (bắt buộc) để chuyển đổi IP nội bộ sang IP công cộng
- Security Profiles: Bật các tính năng bảo mật nếu có license (Antivirus, Web Filter, Application Control, IPS)
- Logging Options: Bật “Log Allowed Traffic” để ghi nhận các kết nối thành công, hỗ trợ troubleshooting
Nhấn OK để lưu policy. Policy này cho phép mọi traffic từ LAN đi ra Internet qua WAN với cơ chế NAT.
Kiểm Tra Kết Nối
Sau khi hoàn tất cài đặt firewall cho mạng LAN, thực hiện kiểm tra:
- Từ máy client trong LAN, ping đến 8.8.8.8 hoặc 1.1.1.1
- Truy cập một website bất kỳ qua trình duyệt
- Kiểm tra log trên firewall tại Log & Report > Forward Traffic để xác nhận traffic đi qua policy vừa tạo
Nếu ping thông và truy cập web thành công, cấu hình đã hoàn tất. Nếu gặp lỗi, kiểm tra lại:
- Interface WAN đã có IP và trạng thái up chưa
- Static route đã được tạo đúng chưa
- Policy có bật NAT chưa
- Thứ tự policy có đúng không (policy deny phải đặt sau policy allow)
Với quy trình trên, bạn đã thiết lập thành công một hệ thống firewall Fortigate cơ bản, cho phép mạng nội bộ truy cập Internet an toàn và có kiểm soát. Nếu đang tìm kiếm giải pháp phù hợp cho tổ chức, hãy tham khảo các giải pháp firewall cho doanh nghiệp nhỏ để so sánh và đánh giá.
Cập nhật lần cuối 13/03/2026 by Hiếu IT
