บันทึกการถาม-ตอบปัญหา Network Firewall

อิมแพคเมืองทองธานี
47/401 อาคารนาริตะ ชั้น 7 ห้อง N007031

บริษัทอินโนเว็กซ์

Network Firewall (Fortigate)

คำถาม : อยากทราบว่าโหมดการทำงานของ Fortigate ที่มีให้เลือกระหว่าง NAT กับ Transparent ต่างกันยังไง และถ้าต้องการเซ็ตโหมด Transparent ต้องทำยังไงครับ?

คำตอบ : Transparent คือ โหมดที่ Fortigate และเครื่อง Client ที่ต่ออยู่ด้านหลังจะเชื่อมต่อกับวง LAN เดิมของเรา ไม่มีการแยก Interface เป็นวงอื่น ทำให้เครื่อง Client ทุกเครื่องก็จะใช้ IP เดิม และ Gateway ก็เป็นเบอร์เดิม เพราะฉะนั้น Fortigate จะเป็นเพียง Bridge ที่มากั้นไว้และคอยตรวจสอบ Policy เท่านั้นไม่มีการแปลง IP ออกไปเป็นอีกวงหนึ่ง ซึ่งจะต่างจากโหมด NAT ที่เมื่อ Packet ผ่าน Firewall ไปจะมีการแปลง IP จาก Interface ฝั่งหนึ่งออกไปอีกฝั่งหนึ่งด้วย IP คนละ Subnet

     ทั้งสองโหมดมีข้อดีข้อเสียต่างกันครับ ถ้าเป็น NAT จะควบคุมการไหลของ Packet และ Policy ได้ง่ายกว่า แต่ถ้าเป็น Transparent ก็จะเซ็ตค่าได้ง่าย ไม่มีการเปลี่ยนคอนฟิกอะไรมากนัก และไม่มีความจำเป็นต้องแก้ไข IP ใดๆ

001

โดยปกติโหมดการทำงานของ Fortigate จะเซ็ตเป็น NAT มาให้ แต่ถ้าต้องการเปลี่ยนเป็นโหมด Transparent ให้ไปที่หน้าต่าง CLI Console แล้วพิมพ์คำสั่งดังนี้

Config system settings

set opmode transparent

set manageip 192.168.1.2 255.255.255.0                        (กำหนด IP ของ Fortigate)

set gateway 192.168.1.1                                                (กำหนด IP ของ Gateway)

end

คุณศิริพงษ์

Network Firewall (Fortigate)

คำถาม : ผมทำหน้า Log in ของ Fortigate แล้ว แต่ User ไม่สามารถ Log out ออกด้วยตัวเองได้ จะทำยังไงให้มีปุ่มหรือหน้า Log out ให้ User แต่ละคนสามารถ Log out ออกด้วยตัวเองได้ครับ

คำตอบ โดยปกติแล้ว Fortigate จะไม่แสดงหน้า Log out ขึ้นมาครับ ต้องไปพิมพ์คำสั่งเพิ่มที่หน้าต่าง CLI Console ดังนี้

 

config system global

set auth-keepalive enable

end

  หลังจากพิมพ์คำสั่งไปแล้ว ทุกครั้งเวลาที่ User Log in เข้ามาได้แล้ว ก็จะปรากฏหน้า Log out ทันที

002

ทำให้ User แต่ละคนสามารถคลิกคำสั่ง Log out เพื่อออกจากการใช้งานด้วยตัวเองได้ แต่เกิดเผลอไปปิดหน้า Log out ลงไป Fortigate ก็จะไปอ่านค่าที่คำสั่ง User & Device > Authentication Settings หากครบกำหนดที่กำหนดไว้ ก็จะ Log out ให้อัตโนมัติครับ

 

คุณรักเกียรติ

Network Firewall (Fortigate)

คำถาม อาจารย์ครับ จะกำหนดให้ Fortigate จำกัดจำนวนเครื่องที่เข้ามา Log in ด้วยชื่อ User เดียวกันได้หรือไม่ครับ? ผมดูจาก Log พบว่ามีการเอา User คนเดียวไปใช้งานหลายเครื่องแบบผิดปกติ เหมือนเค้าเอา User ของเค้าไปแจกให้คนอื่นใช้งานด้วยครับ

คำตอบ คุณรักเกียรติหมายถึง เค้าเอา User ของเค้าไป Log in ใช้งานพร้อมกันหลายๆ เครื่องใช่ไหมครับ ถ้าใช่ เราสามารถจำกัดจำนวนการแชร์ User ในลักษณะแบบนี้ได้ครับ โดยเปิดหน้า CLI Console ขึ้นมาแล้วพิมพ์คำสั่ง

 

Config system global

Set policy-authen-concurrent 1                 (ตัวเลข จำกัดจำนวนการเข้าใช้งานพร้อมกันได้กี่เครื่อง)

end