🗺️ Sơ đồ Topology Lab (Mermaid)
graph TD
Internet(["🌐 Internet"])
Cloud0["☁️ Cloud0 - NAT (PnetLab Network)"]
Cloud1["☁️ Cloud1 - Bridge/Host (Kết nối máy thật)"]
FGT["🔥 FortiGate VM 7.6.6\nport1 MGMT: 192.168.1.1/24\nport2 WAN: DHCP từ Cloud0\nport3 LAN: Trunk đến Switch"]
SW["🔀 Cisco Switch IOSv-L2\ne0/0 → Trunk (VLAN10, VLAN20)\ne0/1 → Access VLAN10\ne0/2 → Access VLAN20"]
PC["💻 PC-Client VLAN10: 10.10.10.x"]
SRV["🖥️ Server VLAN20: 10.10.20.x"]
HOST["🖥️ Máy Host (Truy cập GUI FortiGate)"]
Internet --> Cloud0
Cloud0 --> FGT
Cloud1 --> FGT
HOST --> Cloud1
FGT --> SW
SW --> PC
SW --> SRV
📚 Lý thuyết cơ bản (Dành cho người mới bắt đầu)
🔰 FortiOS là gì?
FortiOS là hệ điều hành chạy bên trong thiết bị FortiGate của hãng Fortinet. Hãy tưởng tượng FortiGate như một "người gác cổng thông minh" giữa mạng nội bộ và Internet:
- Nó cho phép hoặc chặn các kết nối mạng.
- Nó quét virus, lọc web độc hại, phát hiện tấn công.
- Nó làm nhiều việc cùng lúc: firewall + VPN + antivirus + web filter.
🔰 PnetLab là gì?
PnetLab là phần mềm giả lập mạng – giúp bạn tạo ra các thiết bị mạng ảo (FortiGate, Switch Cisco...) ngay trên máy tính mà không cần mua thiết bị thật.
💡 Giống như VMware/VirtualBox nhưng chuyên dành cho thiết bị mạng.
🔰 Các khái niệm cần biết
| Thuật ngữ | Giải thích đơn giản |
|---|---|
| Interface (port) | Cổng mạng vật lý hoặc ảo của FortiGate, giống như ổ cắm mạng |
| MGMT (Management) | Cổng dùng để quản trị thiết bị (truy cập GUI, SSH) |
| WAN | Cổng kết nối ra Internet |
| LAN | Cổng kết nối mạng nội bộ |
| NAT | Kỹ thuật "dịch địa chỉ IP" – giúp máy trong mạng nội bộ ra được Internet |
| GUI | Giao diện đồ họa truy cập qua trình duyệt web (https://192.168.1.1) |
| CLI/Console | Giao diện dòng lệnh – gõ lệnh trực tiếp |
| NAT/Route mode | Chế độ thông thường – FortiGate đóng vai trò gateway/router |
| Transparent mode | Chế độ "tàng hình" – FortiGate chèn vào mạng mà không thay đổi IP |
🔰 Tại sao cần đổi mật khẩu ngay?
FortiGate khi xuất xưởng có tài khoản admin với mật khẩu trống (không có mật khẩu). Nếu không đổi ngay, bất kỳ ai trong mạng cũng có thể đăng nhập và kiểm soát toàn bộ firewall!
🛠️ Thực hành – Các bước thực hiện
Bước 1: Khởi động lab trên PnetLab
- Mở trình duyệt → vào địa chỉ PnetLab (thường là
http://192.168.0.x) - Tạo lab mới → thêm node FortiGate VM + Cisco Switch
- Kết nối dây theo sơ đồ topology ở trên
- Nhấn Start All để khởi động tất cả thiết bị
Bước 2: Đăng nhập Console FortiGate
login: admin
Password: (bấm Enter, để trống)Bước 3: Cấu hình ban đầu
# Đổi mật khẩu ngay lập tức
FortiGate# set password MyStrongP@ss123
# Đặt tên thiết bị
FortiGate# config system global
FortiGate (global)# set hostname FGT-LAB-01
FortiGate (global)# set timezone 42
FortiGate (global)# end
# Cấu hình IP cho cổng quản trị (port1)
FortiGate# config system interface
FortiGate (interface)# edit port1
FortiGate (port1)# set ip 192.168.1.1 255.255.255.0
FortiGate (port1)# set allowaccess https ssh ping
FortiGate (port1)# end
# Đồng bộ thời gian với máy chủ NTP
FortiGate# config system ntp
FortiGate (ntp)# set ntpsync enable
FortiGate (ntp)# set ntpserver "time.google.com"
FortiGate (ntp)# endBước 4: Truy cập GUI
Mở trình duyệt → nhập https://192.168.1.1 → đăng nhập với admin / mật khẩu vừa đặt.
🔒 Bảo mật cần nhớ
- ✅ Đổi mật khẩu admin ngay khi nhận thiết bị mới.
- ✅ Không mở cổng quản trị (HTTPS/SSH) ra Internet (WAN interface).
- ✅ Bật giới hạn số lần đăng nhập sai.
📖 Case thực tế
Một công ty nhận thiết bị FortiGate mới nhưng quên đổi mật khẩu. Kẻ tấn công trong cùng mạng đã đăng nhập vào GUI và xóa toàn bộ cấu hình firewall, khiến toàn bộ hệ thống mất bảo vệ.
👉 Bài học: Luôn đổi mật khẩu admin đầu tiên!
📅 Tuần 1/12 – FortiOS 7.6.6 Administration Lab