Danh mục sản phẩm
Checklist Bảo Mật FortiGate 2025: 14 Cấu Hình Bắt Buộc Để Tránh Bị Hack
Checklist Bảo Mật FortiGate 2025: 14 Cấu Hình Bắt Buộc Để Tránh Bị Hack
Triển khai FortiGate xong không có nghĩa là hệ thống đã an toàn. Rất nhiều doanh nghiệp đang chạy firewall với cấu hình mặc định — và đó chính là lỗ hổng hacker khai thác đầu tiên. Bài viết tổng hợp checklist hardening đầy đủ nhất, có tham chiếu trực tiếp từ tài liệu kỹ thuật chính thức FortiOS 7.6 Best Practices và Fortinet Community.
1. Đổi port quản trị & giới hạn IP truy cập (Trusted Hosts)
Port HTTPS/SSH mặc định (443, 22) là mục tiêu số một của các công cụ scan tự động trên Internet. Fortinet khuyến nghị đổi sang port không chuẩn, khó đoán, vì các port mặc định đã được các tác nhân xấu biết rõ và sẽ bị tấn công ngay trong đợt quét đầu tiên. (nguồn Fortinet)
Ngoài đổi port, bật Trusted Hosts để giới hạn IP quản trị:
config system admin
edit "admin"
set trusthost1 192.168.1.0 255.255.255.0
next
end
Từ FortiGate v7.6.0, Local-in Policy có thể cấu hình trực tiếp trên GUI — dùng tính năng này để kiểm soát chi tiết hơn các kết nối đến cổng quản trị. (nguồn Fortinet Community)
2. Đổi tên tài khoản admin mặc định & mật khẩu mạnh
Đây là bước cực kỳ hay bị bỏ qua. Thông tin đăng nhập mặc định đã được công khai và có thể bị khai thác để truy cập trái phép. Đổi mật khẩu admin ngay sau khi cài đặt, sử dụng mật khẩu phức tạp gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Vô hiệu hóa hoặc đổi tên tài khoản admin mặc định nếu không bắt buộc phải dùng. Fortinet Community
Đây cũng chính là mục đầu tiên trong checklist hardening chính thức của Fortinet Community.
3. Bật Two-Factor Authentication (2FA)
Mật khẩu có thể bị lộ qua phishing, credential stuffing hoặc sử dụng chung. 2FA là lớp bảo vệ thứ hai không thể thiếu.
Bật xác thực hai yếu tố cho tài khoản admin tại System → Admin → Two-Factor Authentication. Sử dụng RADIUS, LDAP, FortiToken, hoặc xác thực local để quản lý truy cập.
Áp dụng bắt buộc cho cả SSL-VPN user — bất kỳ tài khoản nào kết nối từ xa đều phải qua MFA.
4. Tắt toàn bộ service không cần thiết trên interface WAN
Chạy các service không cần thiết có thể tạo ra lỗ hổng tiềm ẩn. Vào System → Feature Visibility và tắt những service như HTTP, FTP, SNMP, Telnet nếu không dùng.
config system interface
edit "wan1"
set allowaccess ping ← chỉ giữ lại nếu thực sự cần
next
end
Sử dụng Local-in Policy kết hợp Geo-IP để chặn truy cập quản trị từ các quốc gia không liên quan đến hoạt động của tổ chức.
5. Cập nhật firmware theo đúng lộ trình nâng cấp
Fortinet khuyến nghị luôn chạy bản vá mới nhất vì đây là bản có ít lỗi và lỗ hổng nhất. Với FortiGate độc lập, nên bật tự động cập nhật firmware theo upgrade path của FortiGuard — tính năng này chỉ nâng cấp trong phạm vi minor version hiện tại, ví dụ từ 7.6.1 lên 7.6.2. Fortinet
Quan trọng: đọc Release Notes trước khi nâng cấp và kiểm tra trang Product Life Cycle để đảm bảo phiên bản đang dùng chưa hết hỗ trợ (End of Support).
Nếu chưa thể vá ngay, có thể kích hoạt tạm thời Virtual Patching trong Local-in Policy để giảm thiểu rủi ro trong thời gian chờ. Fortinet
6. Theo dõi cảnh báo bảo mật từ Fortinet PSIRT
Đây là bước nhiều đội IT bỏ qua hoàn toàn. Đội PSIRT của Fortinet liên tục kiểm tra sản phẩm để tìm lỗ hổng. Các phát hiện nghiêm trọng được công bố kèm giải pháp bảo vệ tại https://www.fortiguard.com/psirt. Fortinet
Đăng ký nhận thông báo PSIRT và đảm bảo thiết bị được đăng ký trên Fortinet Support Portal.
7. Bật IPS và cấu hình DoS Policy
IPS phát hiện và chặn các tấn công như exploit, SQL Injection, botnet. Áp dụng IPS Profile cho tất cả policy có traffic ra Internet với chế độ "Protect Client & Server".
Fortinet khuyến nghị bật DoS Policy để phát hiện traffic bất thường trước khi chạm đến security policy tốn tài nguyên hơn. Các anomaly nên bật gồm tcp_syn_flood, tcp_port_scan, tcp_src_session, tcp_dst_session, ip_src_session, ip_dst_session. Ban đầu để chế độ monitor để quan sát traffic thực tế trước khi chuyển sang block. Fortinet
8. Bật Web Filtering, Application Control & AntiVirus với SSL Inspection
Ba tính năng này phối hợp tạo lớp bảo vệ nội dung toàn diện. Để hoạt động hiệu quả với HTTPS (chiếm >90% traffic hiện nay), bắt buộc bật SSL/TLS Deep Inspection.
Đảm bảo các database của FortiGuard (AV, IPS, AS) được cập nhật đúng hạn. Có thể cấu hình cảnh báo khi database bị lỗi thời. Fortinet
9. Bảo mật cấu hình VPN (SSL-VPN & IPsec)
VPN là vector tấn công cực kỳ phổ biến — nhiều vụ ransomware bắt đầu từ SSL-VPN bị brute force. Các bước bắt buộc:
Giới hạn số lần đăng nhập thất bại để chặn brute force và giới hạn mỗi user chỉ được mở một phiên SSL-VPN tại một thời điểm. Fortinet
config vpn ssl settings
set login-attempt-limit 2
set login-block-time 60
end
Đổi port SSL-VPN mặc định, bật DoS Policy để chặn port scan, tắt các portal mode không cần thiết, và chặn ứng dụng port mapping. Bật MFA hoặc xác thực bằng certificate thay vì chỉ dùng mật khẩu. Fortinet Community
Đối với IPsec: dùng mã hóa mạnh như IPsec với AES-256, ưu tiên xác thực certificate thay vì pre-shared key, và dùng address group/user group để giới hạn phạm vi truy cập VPN. Fortinet Community
Lưu ý quan trọng: Từ FortiOS v7.6.3, SSL VPN tunnel mode không còn khả dụng trên GUI và CLI. Fortinet khuyến nghị chuyển sang IPsec VPN. Fortinet Community
10. Cấu hình Firewall Policy theo nguyên tắc Least Privilege
Nhiều doanh nghiệp đang dùng policy với source/destination là ANY — đây là thảm họa bảo mật.
Xây dựng policy hạn chế theo nguyên tắc least privilege: dùng địa chỉ source và destination cụ thể thay vì giá trị rộng như ANY, bật log cho tất cả security policy để phát hiện traffic bất thường, và sử dụng Internet Service Database để tạo deny policy chặn các server độc hại như Botnet C&C, Bulletproof Hosting, và Phishing Server. Fortinet Community
11. Phân vùng mạng bằng VLAN và Zone
Để tất cả thiết bị trong một subnet phẳng là sai lầm kiến trúc — một thiết bị bị nhiễm malware có thể lateral move sang toàn bộ hệ thống.
Cần tách tối thiểu:
- VLAN User (nhân viên)
- VLAN Server (máy chủ nội bộ)
- VLAN DMZ (server public)
- VLAN Camera / IoT
- VLAN Guest WiFi
FortiGate kiểm soát traffic giữa các VLAN qua inter-VLAN firewall policy, áp dụng đầy đủ security profile cho cả traffic nội bộ.
12. Cấu hình DNS an toàn & bật DNS Filtering
Đây là điểm thường xuyên bị bỏ qua nhưng lại là vector phổ biến của nhiều dòng malware hiện đại.
Cấu hình DNS server tin cậy để ngăn chặn DNS spoofing và DNS poisoning. Bật DNS Filtering để chặn truy cập đến các domain độc hại. Fortinet Community
FortiGuard DNS Filter liên tục cập nhật danh sách domain C&C, phishing, và malware — kết hợp với Web Filtering tạo thêm một lớp bảo vệ ngay từ giai đoạn phân giải tên miền.
13. Bật Logging đầy đủ và gửi về hệ thống giám sát tập trung
Bật log cho các thay đổi hệ thống, lần đăng nhập, và hành động của firewall policy tại Log & Report → Log Settings. Cấu hình centralized logging qua FortiAnalyzer hoặc Syslog server bên ngoài để lưu trữ và phân tích log an toàn. Fortinet Community
Không có log = không thể điều tra khi sự cố xảy ra. Log cần giữ đủ lâu (tối thiểu 90 ngày) để phục vụ điều tra sau tấn công.
14. Backup cấu hình đúng cách và bật mã hóa dữ liệu
File cấu hình FortiGate chứa thông tin nhạy cảm bao gồm chi tiết mạng, thông tin xác thực, mật khẩu và khóa bí mật. Khi backup, bật tính năng Encryption, lưu ở vị trí an toàn, và xóa các file backup cũ không còn cần thiết. Fortinet
Nếu buộc phải chia sẻ file cấu hình với bên thứ ba, bật Password Masking hoặc thay thủ công các mật khẩu trong file trước khi gửi. Fortinet
Bổ sung: bật private-data-encryption để mã hóa password và private key được lưu trên thiết bị bằng khóa riêng của tổ chức:
config system global
set private-data-encryption enable
set strong-crypto enable
set ssl-static-key-ciphers disable
end
Checklist tổng hợp nhanh
| # | Hạng mục | Mức độ ưu tiên |
|---|---|---|
| 1 | Đổi port quản trị + Trusted Hosts | Bắt buộc |
| 2 | Đổi tên/mật khẩu tài khoản admin mặc định | Bắt buộc |
| 3 | Bật 2FA cho admin và VPN user | Bắt buộc |
| 4 | Tắt service không cần thiết trên WAN | Bắt buộc |
| 5 | Cập nhật firmware theo upgrade path | Bắt buộc |
| 6 | Theo dõi cảnh báo PSIRT Fortinet | Quan trọng |
| 7 | Bật IPS + cấu hình DoS Policy | Bắt buộc |
| 8 | Web Filter + App Control + AV + SSL Inspection | Bắt buộc |
| 9 | Hardening SSL-VPN / chuyển sang IPsec | Bắt buộc |
| 10 | Firewall Policy theo Least Privilege | Bắt buộc |
| 11 | Phân vùng VLAN / Zone | Quan trọng |
| 12 | DNS an toàn + DNS Filtering | Quan trọng |
| 13 | Log đầy đủ → FortiAnalyzer / Syslog | Bắt buộc |
| 14 | Backup mã hóa + private-data-encryption | Quan trọng |
Tài liệu tham khảo chính thức:
- FortiOS 7.6 Best Practices – Hardening
- Fortinet Community – Hardening Best Practices
- SSL VPN Security Best Practices – FortiOS 7.6
- FortiGuard PSIRT Advisories
