Cart is empty
Kiến thức - Kỹ thuật10 cấu hình bảo mật FortiGate bắt buộc phải làm (nhiều doanh nghiệp đang bỏ sót).
10 cấu hình bảo mật FortiGate bắt buộc phải làm (nhiều doanh nghiệp đang bỏ sót).
Trong bối cảnh tấn công mạng ngày càng tinh vi, việc triển khai firewall thôi là chưa đủ. Rất nhiều doanh nghiệp đang sử dụng Firewall Fortigate nhưng lại bỏ sót các cấu hình quan trọng, khiến hệ thống vẫn tồn tại lỗ hổng nghiêm trọng.
1. Đổi port quản trị mặc định & giới hạn IP truy cập
Vấn đề:
Port mặc định (HTTP/HTTPS/SSH) rất dễ bị scan và brute-force.
Cấu hình khuyến nghị:
-
Đổi port HTTPS (ví dụ: 10443)
-
Giới hạn IP quản trị (trusted host)
-
Tắt quản trị từ WAN nếu không cần
Lợi ích:
-
Giảm 90% nguy cơ bị dò quét từ Internet
Minh họa:
Admin PC → (Allowed IP) → FortiGate Management Port
Internet → ❌ Block
>> “Một trong những lỗi phổ biến gây CPU cao là mở HTTP/HTTPS trên WAN (xem chi tiết tại đây)”
2. Bật Two-Factor Authentication (2FA)
Vấn đề:
Password có thể bị lộ, đặc biệt khi dùng chung.
Giải pháp:
-
Bật 2FA cho admin (FortiToken / Email / App)
-
Áp dụng cho VPN user
Lợi ích:
-
Ngăn chặn truy cập trái phép ngay cả khi lộ mật khẩu
Minh họa:
Login → Password → OTP → Access Granted
3. Tắt các service không cần thiết trên WAN
Sai lầm phổ biến:
-
Bật HTTPS, PING, SSH trên WAN
Khuyến nghị:
-
Disable toàn bộ service không cần
-
Chỉ mở khi có nhu cầu và giới hạn IP
Lệnh CLI mẫu:
config system interface
edit wan1
set allowaccess ping https ssh → ❌ nên tắt
4. Cập nhật firmware thường xuyên
Vấn đề:
Firmware cũ chứa nhiều lỗ hổng (CVE).
Khuyến nghị:
-
Luôn chạy phiên bản ổn định (Stable)
-
Theo dõi cảnh báo từ Fortinet
Lợi ích:
-
Vá lỗi bảo mật kịp thời
-
Tăng hiệu năng hệ thống
5. Bật IPS (Intrusion Prevention System)
Chức năng:
-
Phát hiện & chặn tấn công (SQL Injection, Exploit, Botnet…)
Cấu hình:
-
Áp dụng IPS profile cho policy Internet
-
Chọn chế độ “Protect Client & Server”
Minh họa:
Internet → IPS → Internal Network
↓
Attack Blocked
6. Bật Web Filtering & Application Control
Mục tiêu:
-
Kiểm soát truy cập website & ứng dụng
Nên cấu hình:
-
Chặn website độc hại
-
Hạn chế mạng xã hội / torrent
-
Kiểm soát ứng dụng như Zoom, Facebook, TikTok
Lợi ích:
-
Tăng bảo mật + tăng năng suất nhân viên
7. Bật AntiVirus & Anti-Malware
Chức năng:
-
Quét file download/upload
-
Chặn ransomware, trojan
Khuyến nghị:
-
Bật deep inspection (SSL Inspection)
-
Áp dụng cho HTTP, HTTPS, FTP
Minh họa:
User Download File → FortiGate Scan → Safe / Block
8. Phân vùng mạng (VLAN / Zone)
Sai lầm phổ biến:
-
Tất cả thiết bị chung 1 mạng
Giải pháp:
-
Tách VLAN:
-
User
-
Server
-
Camera
-
Guest WiFi
-
Lợi ích:
-
Nếu bị tấn công → không lan toàn hệ thống
Minh họa sơ đồ:*
VLAN 10 (User)
VLAN 20 (Server)
VLAN 30 (Camera)
→ Firewall kiểm soát traffic giữa các VLAN
9. Bật Log & gửi log về hệ thống giám sát
Vấn đề:
-
Không có log = không thể điều tra sự cố
Khuyến nghị:
-
Bật full log trên policy
-
Gửi log về:
-
FortiAnalyzer
-
Syslog Server
-
Lợi ích:
-
Phát hiện tấn công sớm
-
Phân tích sự cố nhanh chóng
10. Backup cấu hình định kỳ
Rủi ro:
-
Mất cấu hình khi lỗi thiết bị hoặc thao tác sai
Giải pháp:
-
Backup tự động
-
Lưu offline + cloud
Lợi ích:
-
Khôi phục nhanh trong vài phút
Kết luận
Việc triển khai FortiGate không chỉ dừng lại ở việc “cắm vào là chạy”. Nếu thiếu các cấu hình bảo mật quan trọng, hệ thống của bạn vẫn có thể trở thành mục tiêu dễ dàng cho hacker.
Checklist nhanh:
✔ Giới hạn truy cập quản trị
✔ Bật 2FA
✔ Tắt service WAN không cần thiết
✔ Update firmware
✔ Bật IPS, Antivirus, Web Filter
✔ Phân vùng mạng
✔ Ghi log & backup
