admin 08/01/2026

Antivirus & IPS cơ bản trên FortiGate - Bật đúng để an toàn mà không làm chậm mạng

Fortigate NAMHI | Giai đoạn 2 | Bài 8

🛡️ Antivirus & IPS cơ bản trên FortiGate – Bật đúng để an toàn mà không làm chậm mạng

Sau Web Filter (Bài 6) và Application Control (Bài 7), lớp bảo mật “cốt lõi” tiếp theo là Antivirus và IPS. Bài này tập trung vào cách bật sao cho hiệu quả, dễ quản trị, và quan trọng nhất là không gây cảm giác “mạng bị chậm”.

⏱️ 20–30 phút🎯 Level: Cơ bản → Trung cấp🧰 Dành cho: IT triển khai / IT nội bộ

⬅️ Bài 7: Application Control ➡️ Đi tới Bài 9 (SSL Inspection – hiểu đúng trước khi bật)

🧭 Antivirus và IPS khác nhau như thế nào?

Hai tính năng này thường đi cùng nhau nhưng mục tiêu khác nhau:

🦠 Antivirus (AV)

Bảo vệ file/tải xuống và một phần traffic liên quan malware
Chặn virus, trojan, ransomware theo signature/heuristic
Phù hợp: email/web download, file sharing

🧨 Intrusion Prevention System (IPS)

Bảo vệ khỏi tấn công khai thác lỗ hổng (exploit)
Chặn scan, brute force, exploit theo CVE/signature
Phù hợp: bảo vệ hệ thống khỏi tấn công từ Internet

💡 Góc nhìn triển khai: Với doanh nghiệp SMB, bật AV + IPS cơ bản trên policy Internet đã giúp giảm rủi ro rõ rệt, đặc biệt khi người dùng hay tải file, cắm USB, hoặc click nhầm link.

⚠️ Điều cần hiểu trước khi bật (để tránh “mạng chậm”)

Cảm giác “mạng chậm” thường đến từ 3 nguyên nhân:

🔒 Bạn bật quá nhiều profile ở policy Internet (Web Filter + App Control + AV + IPS + SSL deep inspection) cùng lúc
📌 Bạn dùng profile “chặn quá rộng” gây false positive
🧩 Bạn kỳ vọng FortiGate nhìn được mọi thứ HTTPS mà chưa triển khai SSL Inspection đúng cách

⚠️ Trong bài 8, chúng ta ưu tiên cấu hình ổn định và dễ vận hành. SSL Inspection sẽ dành cho Bài 9 để giải thích kỹ.

🎯 Chiến lược bật AV/IPS “an toàn – ít rủi ro – dễ thuyết phục khách”

✅ Bước 1

Bật IPS ở mức “phù hợp SMB”

Ưu tiên chặn exploit phổ biến, ít false positive.

Mục tiêu: chặn tấn công, không phá ứng dụng.

✅ Bước 2

Bật Antivirus ở mức “cơ bản”

Quét tải xuống / file nguy hiểm, ưu tiên độ ổn định.

Mục tiêu: giảm rủi ro malware trong công ty.

✅ Bước 3

Luôn bật log để kiểm soát

Có log thì mới xử lý nhanh khi khách báo lỗi.

Mục tiêu: vận hành thực tế, không “mò”.

💡 Nếu khách muốn “siết mạnh”, hãy làm theo lộ trình: Monitor → Fine-tune → Enforce, đừng bật cực đoan ngay ngày đầu.

1️⃣ Tạo IPS Profile cơ bản

Bước 1

Vào Intrusion Prevention

Vào Security Profiles → Intrusion Prevention → Create New.

Bước 2

Đặt tên profile

Ví dụ: IPS-LAN-BASIC.

Bước 3

Chọn mức cấu hình an toàn cho SMB

Gợi ý triển khai thực tế: ưu tiên rule liên quan đến Critical/High và các exploit phổ biến. Mục tiêu là giảm false positive và giữ mạng ổn định.

⚠️ Nếu bạn bật profile quá “nặng” ngay từ đầu, khả năng gặp chặn nhầm (false positive) sẽ tăng.

2️⃣ Tạo Antivirus Profile cơ bản

Bước 1

Vào Antivirus

Vào Security Profiles → Antivirus → Create New.

Bước 2

Đặt tên profile

Ví dụ: AV-LAN-BASIC.

Bước 3

Chọn chế độ phù hợp

Với doanh nghiệp SMB, ưu tiên chế độ quét “ổn định” trên traffic Internet, tập trung vào giảm rủi ro tải file độc hại.

💡 Trong môi trường có file server/ERP quan trọng, bạn nên test theo nhóm user trước, rồi mới áp toàn công ty.

3️⃣ Gắn IPS/AV vào Firewall Policy (LAN → WAN)

Bước 1

Edit policy Internet (LAN → WAN)

Vào Policy & Objects → Firewall Policy → chọn policy LAN → WAN (policy cho Internet) đã dùng ở Bài 5–7.

Bước 2

Bật Security Profiles

Security Profiles: Enable
Intrusion Prevention: chọn IPS-LAN-BASIC
Antivirus: chọn AV-LAN-BASIC
Log Allowed Traffic: All Sessions (khuyến nghị)

Bước 3

Lưu và test theo “lộ trình an toàn”

Test Internet bình thường (web, email, ERP cloud)
Quan sát log 1–2 ngày
Nếu có chặn nhầm: fine-tune theo log

⚠️ Đừng bật thêm SSL deep inspection ở giai đoạn này nếu bạn chưa sẵn sàng quản trị certificate (Bài 9).

🔍 Test & kiểm tra log AV/IPS

✅ Test vận hành cơ bản

Duyệt web, truy cập dịch vụ cloud công việc
Tải file thông thường (PDF, Office) để đảm bảo ổn
Theo dõi người dùng phản hồi “mạng chậm” hay không

📊 Xem log

Vào Log & Report → Antivirus / IPS (tuỳ phiên bản)
Xem action: allow / block / quarantine
Đối chiếu policy ID để biết “hit policy nào”

💡 Khi khách báo “mạng chậm”, hãy nhìn log trước: có bị block/inspect nặng không, hay do ISP/đường truyền.

❌ Lỗi thường gặp & cách xử lý nhanh

❌ Bật IPS xong một số website/app không vào được

Xem log IPS: rule nào đang block
Nếu là false positive: tạo exception theo khuyến nghị IT
Ưu tiên giữ ổn định cho ứng dụng công việc

❌ Người dùng phản ánh “mạng chậm” sau khi bật AV/IPS

Kiểm tra CPU/RAM FortiGate khi peak
Giảm mức profile (từ nặng → vừa) và test lại
Không bật SSL deep inspection nếu chưa triển khai certificate

❌ Không thấy log AV/IPS

Policy chưa bật Log Allowed Traffic (All Sessions)
Chưa gắn profile vào đúng policy
Traffic đi qua policy khác

❌ HTTPS “khó soi” nên AV/IPS không thấy nhiều

Đúng, traffic HTTPS ngày càng nhiều. Để kiểm soát sâu, cần SSL Inspection đúng cách (Bài 9). Bài 8 vẫn có giá trị vì IPS/AV vẫn xử lý được nhiều mẫu tấn công và hành vi, nhưng “soi sâu” HTTPS cần lộ trình.

🧩 Kết luận

Bạn đã hoàn thiện “bộ 3 quản trị Internet” cho SMB: Web Filter + Application Control + AV/IPS. Bước tiếp theo là phần nhiều IT hay bật sai nhất: SSL Inspection. Trong Bài 9, NAMHI sẽ giải thích theo kiểu dễ hiểu: bật mức nào, cần chuẩn bị gì, và vì sao bật sai có thể gây lỗi truy cập.

➡️ Bài tiếp theo

🔒 Fortigate NAMHI – Bài 9: SSL Inspection (Hiểu đúng trước khi bật)

Bật SSL Inspection sao cho không “toang” trình duyệt, không lỗi app, và vẫn đạt mục tiêu bảo mật.

Chưa đọc Bài 7?Xem lại: Application Control cơ bản

Xem Bài 9

Antivirus & IPS cơ bản trên FortiGate - Bật đúng để an toàn mà không làm chậm mạng

🛡️ Antivirus & IPS cơ bản trên FortiGate – Bật đúng để an toàn mà không làm chậm mạng