การใชงาน การใชงาน FortigateFortigate Firewall Firewall เบ�องตนเบ�องตน

เกษม เบญราหม

วตถประสงคของบทเรยนวตถประสงคของบทเรยน

� ใหเขาใจวา firewall คออะไร� ระบบรกษาความปลอดภยใน Network มความสาคญอยางไร� Firewall มความเก.ยวของกบการเช.อมตอมายงศนยขอมลกลางอยางไร� Firewall ของจงหวด คอรนไหน ม Feature และความสามารถอยางไรFirewall ของจงหวด คอรนไหน ม Feature และความสามารถอยางไร� ในฐานะ DIO ของจงหวดตองทราบอะไรบาง เพ.อการดแลบารงรกษา� เม.อเกดปญหากบ Firewall ทางจงหวดจะทราบไดอยางไร สงเกตอยางไรและควรแจงขอมลอะไรบางใหศนยเทคโนทราบ

Firewall Firewall คออะไรคออะไร

Firewall เปนเคร.องมอท.ใชสาหรบปองกนระบบ Network (เครอขาย) จากการส.อสารท.วไปท.ถกบกรก จากผท.ไมไดรบอนญาต เปนเร.องเก.ยวกบการรกษาความปลอดภยในระบบ Network หรอระบบเครอขาย การปองกนโดยใชระบบ Firewall นC จะเปนการกาหนดกฏเกณฑในการควบคมการเขา-ออก หรอการควบคมการรบ-สงขอมล ในระบบเครอขาย น.นเอง หรอการควบคมการรบ-สงขอมล ในระบบเครอขาย น.นเอง

คณสมบต(PROTECT , RULE BASE , ACCESS CONTROL)

คณสมบตของ คณสมบตของ FirewallFirewall

ProtectFirewall เปนเคร.องมอท.ใชในการปองกน โดยขอมลท.มการรบหรอสงผานระบบเครอขาย โดยจะถกกาหนดเปนกฎเกณฑ หรอ Rule เพ.อใชบงคบในการส.อสารภายในเครอขาย (ขอมลท.มการรบสงภายใน หรอภายนอกระบบเครอขาย เราเรยกวา Package)

Rule BaseRule Baseขอกาหนดในการควบคมการรบ-สงขอมลภายในระบบเครอขาย ดงนCน การตดตCง Firewall จะตองมการกาหนดกฎเกณฑ ในการควบคมการทางานในระบบเครอขาย

Access Controlหมายถง การควบคมระดบการเขาถง การรบ-สงขอมล

ทาไมตองตดต�งทาไมตองตดต�ง FirewallFirewallเดมเปนการใชงานสวนบคคล(Personal Computer)

ปญหาตางๆ ท.เกดขCนในระหวางการใชงานจงมไมมากนก

ปจจบน เปนการใชงานดานเครอขาย (โดยเฉพาะระบบเครอขายอนเตอรเนต) เปนท.แพรหลายมาก ทกองคกร ทกธรกจมการใชงานอนเตอรเนตอยางนอยกใชงาน อเมลแพรหลายมาก ทกองคกร ทกธรกจมการใชงานอนเตอรเนตอยางนอยกใชงาน อเมลดงนCน ผลพวงท.ตามมาคอ เกดผไมประสงคด หาวธการในการลกลอบเขาดในเคร.องคอมพวเตอรเพ.อคนหาขอมลหรอตองการทดสอบความสามารถของตนเอง ตลอดจน ไวรสคอมพวเตอร กไดอาศยชองทางของเครอขายอนเตอรเนต เปนชองทางในการแพรกระจายไวรส

Firewall Firewall ท<ใชในสวนกลาง ท<ใชในสวนกลาง --11

ย�หอ Fortinet รน Fortigate-3810A

Firewall Firewall ท<ใชในสวนกลาง ท<ใชในสวนกลาง --22

Firewall Firewall ท<ใชในสวนกลาง ท<ใชในสวนกลาง --33

Firewall Firewall ท<ใชในสวนกลาง ท<ใชในสวนกลาง --44แสดงหนาจอ Status ของ Fortigate 3810A

Firewall Firewall ท<ใชในตางจงหวดท<ใชในตางจงหวด--11

ย<หอ Fortinet รน Fortigate-100A

Firewall Firewall ท<ใชในตางจงหวดท<ใชในตางจงหวด--11

แสดง Port สาหรบการเช<อมตอของ Fortigate 100A

ลกษณะเบ�องตนของเครอขายกรมวทยาศาสตรการแพทยปจจบนลกษณะเบ�องตนของเครอขายกรมวทยาศาสตรการแพทยปจจบน

การ การ login login เพ<อเขาใชงานเพ<อเขาใชงาน Firewall FortigateFirewall Fortigate• เขาโดยพมพ https://<IP Address ของ Firewal> บน Browser• จากน�นจะมขอความเตอนเก<ยวกบความปลอดภย (Security)

Internet Explorer ใหคลกตามท.วงกลมสแดงดงรป

การ การ login login เพ<อเขาใชงานเพ<อเขาใชงาน Firewall FortigateFirewall Fortigate• เขาโดยพมพ https://<IP Address ของ Firewal> บน Browser• จากน�นจะมขอความเตอนเก<ยวกบความปลอดภย (Security)

Google Chromeใหคลกตามท.วงกลมสแดงดงรป

การ การ login login เพ<อเขาใชงานเพ<อเขาใชงาน Firewall FortigateFirewall Fortigate• เขาโดยพมพ https://<IP Address ของ Firewal> บน Browser• จากน�นจะมขอความเตอนเก<ยวกบความปลอดภย (Security)

Mozilla Firefoxใหคลกตามท.วงกลมสแดงดงรปตามลาดบตวเลข

การ การ login login เพ<อเขาใชงานเพ<อเขาใชงาน Firewall FortigateFirewall Fortigate• เม<อทาการยนยนการเขาถงเวบไซตแลว จากน�นจะเจอหนา Login• ใหทาการใส Username และ Password

หนา หนา Status Status แสดงสถานการณทางาน แสดงสถานการณทางาน • แสดงหนาจอ Status ของ Fortigate 100A

หนา หนา Status Status แสดงสถานการณทางานแสดงสถานการณทางาน• แสดงหนาจอ Status ของ Fortigate 100A

หนา หนา NetworkNetwork แสดงแสดง Port Port ของอปกรณของอปกรณ• หนาจอแสดงสถานะ Interface และการเช<อมตอของอปกรณ Firewall

Port สถานะเปน Up

Port สถานะเปน Down

หนา หนา RouterRouter แสดงการคนหาเสนทางแสดงการคนหาเสนทาง (Route)(Route) ของของ FirewallFirewall• หนาจอแสดงการหาเสนทาง (Route) ของอปกรณในการเช<อมตอไปยง Network ตางๆ

• จากรป Firewall เรยนรวา หากตองการไปยง 0.0.0.0(เครอขายภายนอก) ใหไปทาง IP หมายเลข 58.137.172.16 ทาง Port wan1• และหากตองการไปยงเครอขาย IP หมายเลข 192.168.25.0 (ทCงหมดของวง 192.168.1.25) ใหไปทาง Port Internal

ในการตรวจสอบปญหาในระบบ Network อาจตองสงเกตการหาเสนทางของอปกรณ แลวเชคสถานะ Link ดวยการ Ping ไปยง Gateway ของฝ.งท.ตองการ

*หมายเหต : หมายเลข IP Address 0.0.0.0 ซ.ง 0 มายถง IP ใดๆกตามทCงหมด

หนา หนา Policy(Policy(กฏกฏ) ) แสดงการต�งคาควบคมการใช แสดงการต�งคาควบคมการใช Internet Internet

Status : สถานะการใช/ไมใช Policy ID: หมายเลขของ PolicySource: หมายเลข IP ตนทาง (Internal)Destination : หมายเลข IP ปลายทาง (External)

Schedule : เวลาท.จะใช Policy ดงกลาวService : Service ท.จะใหผใชสามารถใชได เชน HTTP(เวบ)Profile: รปแบบขCนสงในการควบคมการใชงานAction : การตCงคาใหยอมรบการเช.อมตอตามกฏ หรอปฏเสธไมใหใช

*หมายเหต : หมายเลข IP Address 0.0.0.0 ซ.ง 0 หมายถง IP ใดๆกตามทCงหมด

หนา หนา AddressAddress ระบระบ IP IP ของผใชงานของผใชงานหนาจอสาหรบเพ.มหมายเลข IP Address ของผใชงาน เพ.อเอาไปใชในการควบคมการใชงานเครอขายตรงสวนของ Policy

* Interface เปนการระบวา IP Address ดงกลาวเช.อมตออยกบ Port ใดของตว Firewall

หนา หนา ServiceService สาหรบต�งคาใหใชบรการตางๆในเครอขายสาหรบต�งคาใหใชบรการตางๆในเครอขายหนาจอสาหรบเพ.ม Service และ Port ใหผใชงาน เพ.อเอาไปใชในการควบคมการใชงานเครอขายตรงสวนของ Policy โดยปรกตตว Firewall จะมมาใหแตถาตองการเพ.ม Port อ.นๆท.ไมมใน List ใหไปเพ.มไดในแถบ Custom

หนา หนา ScheduleSchedule สาหรบต�งเวลาในการใชสาหรบต�งเวลาในการใช PolicyPolicyในกรณท.ม Policy มากกวา 1 อน และตองการใหทางานในแตละเวลาตางกน เชน เชา Block บางเวบ เยนปลอยทกเวบ กใหตCงคากาหนดเวลาใน Schedule แลวนาไปใสใน Policy

Always หมายถงกาหนดใหทางานตลอดเวลา และตวตอ SMTWTFS เปนตวยอของวนในภาษาองกฤษ เชน S = Sunday , M=Monday เปนตน

วธการตรวจสอบปญหาเบ�องตนวธการตรวจสอบปญหาเบ�องตน (Diagnostic)(Diagnostic)หากเกดปญหาไมสามารถใชงาน Internet หรอ Link MPLS ในสวนของ CAT ไดสามารถตรวจสอบเบCองตนไดดงนC

1. ใชคอมพวเตอรทาการทดสอบ Ping มายงขา Internal ของ Firewall (Gateway ของ Computer ท.ใชงาน) เพ.อดวาเคร.องคอมพวเตอรยงสามารถเช.อมตอกบ Firewall ไดหรอไม เพราะถาเช.อมตอไมได กไมสามารถใชงาน Internet ได โดยใหทดสอบหลายๆเคร.องวาเปนจากปญหาเดยวกน

2. ถาไมได ใหตรวจสอบวาสาย LAN ของคอมพวเตอรท.เช.อมไปยงอปกรณ Switch ยงเสยบอยและใชงานไดตามปรกตหรอไม

3. ถาสาย LAN ไมเสย ใหตรวจสอบวา Switch ทางานไดตามปรกตหรอไม เชค Loop ในระบบ โดยดจากไฟกระพรบแบบผดปรกตบน Switch

4. ถา Switch ทางานไดตามปรกต ใหตรวจสอบสาย LAN ท.ออกจาก Switch ไปยง Port Internal ของ Firewall วาเสยหรอไม

หากทกอยางในขางตนปรกตให Login เขามาท. Firewall จากนCนไปท.หนา Status ใหสงเกตการทางานของ Firewall วา Port ตางๆของ

Firewall ท.แสดงไวตรง Unit Operation วามไฟสเขยวตดตรงจดเดยวกบ Port ท.เสยบสาย LAN ไวหรอไมดงรป

วธการตรวจสอบปญหาเบ�องตนวธการตรวจสอบปญหาเบ�องตน (Diagnostic)(Diagnostic)

หากพบวา Port ท.เสยบสาย LAN ไวไฟไมตดใหทาการตรวจสอบดงขอตอไป

วธการตรวจสอบปญหาเบ�องตนวธการตรวจสอบปญหาเบ�องตน (Diagnostic)(Diagnostic)จากนCนไปท.เมน Network -- > Interface แลวดตรง Port ท.เราเสยบสาย LAN (Internal หรอ wan1) ดตรง Link Status วามสถานะ

เปนสสมหรอไม

Administrative Status : หมายถงการกาหนด Enable/Disable การใชงานของ Port ดงกลาวโดยผดแลระบบสเขยวหมายถงผดแลระบบไดทาการเปดใชงาน Port ดงกลาวไว หากเปนสสมแสดงวาผดแลระบบไดทาการปด Port ดงกลาวLink Status: หมายถงสถานะการเช.อมตอไปยงอปกรณปลายทางของ Firewall วาเช.อมตอไดหรอไม ถาเปนสเขยวหมายถงเช.อมตอไดตามปรกต แตถาสสม แสดงวาไมสามารถเช.อมตอได ใหทาการเชคสาย LAN และอปกรณปลายทางวาเปดอยหรอไม

วธการตรวจสอบปญหาเบ�องตนวธการตรวจสอบปญหาเบ�องตน (Diagnostic)(Diagnostic)หากไมพบความผดปรกตภายในระบบเครอขายของศนยเอง จากนCนใหใชตว Firewall ทาการตรวจสอบวาสามารถ Ping ไปยงGateway ของ CAT ไดไหม เพ.อตรวจสอบวา Link CAT เกดการ Down หรอไม โดยใหไปทเมน Router --- > Monitor แลวดตรง

Type ท. Network เปน 0.0.0.0/0 ท. Interface เปน wan1 วาม IP เปนหมายเลขอะไรใหจดไว โดยตวอยางจะเปน 58.137.172.61

จากตวอยาง IP 58.137.72.61 จะเปน Gateway ของ Firewall หรอคออปกรณของ CAT หากกลบมาดตรงหนา Network จะเหนวาเปนIP ชดเดยวกบของ wan1 คอ 58.137.72.62 ซ.งจะม 58.137.72.61 เปน Gateway ในการออกไปยง MPLS ของ CAT น.นเอง

วธการตรวจสอบปญหาเบ�องตนวธการตรวจสอบปญหาเบ�องตน (Diagnostic)(Diagnostic)จานCนนา IP Address 58.137.72.61 ท.เปน Gateway ของ Firewall มาทาการ Ping โดยไปยงหนา Status จากนCนไปท. CLI Consoleท.เหมอนหนาตาง DOS ในระบบปฏบตการ Windows ใหทาการคลก 1 จากนCนพมพคาส.ง execute ping 58.137.72.61 (IP Gateway ของศนยนCนๆ)

หากพบวาผลการ Ping เปน Timeout ดงรป แสดงวาเครอขายมปญหา ใหตดตอทางศนยเทคโน เพ.อทาการตรวจสอบและประสานงานกบทาง CAT ตอไป

Q&AQ&A

ขอบคณครบขอบคณครบ