FortiGate 2 WAN: nên chọn Manual, Best Quality hay Lowest Cost SLA trong SD-WAN?
FortiGate SD-WAN Strategy Guide
FortiGate 2 WAN: nên chọn Manual, Best Quality hay Lowest Cost SLA trong SD-WAN?
Doanh nghiệp có 2 đường Internet nhưng chưa biết nên chọn Manual, Best Quality, Lowest Cost SLA hay Load Balancing trong FortiGate SD-WAN? Bài viết này giúp anh/chị chọn strategy theo nhu cầu thực tế: ổn định, failover, tối ưu chất lượng, ưu tiên chi phí hoặc chia tải.
Chủ đề: FortiGate SD-WANMô hình: 2 WAN / Multi-WANMục tiêu: Chọn strategy đúng nhu cầu
Khi doanh nghiệp sử dụng FortiGate với 2 đường Internet, một trong những câu hỏi rất thường gặp là: nên chọn Manual, Best Quality hay Lowest Cost SLA trong SD-WAN?
Nghe qua thì có vẻ đơn giản, nhưng khi triển khai thực tế, chọn sai strategy có thể làm traffic đi sai WAN, failover không đúng kỳ vọng, ứng dụng xác thực lại liên tục hoặc VPN khó troubleshooting.
Vấn đề không nằm ở việc strategy nào “hay hơn”, mà là mô hình mạng của doanh nghiệp cần gì: ổn định, failover, ưu tiên chi phí, chọn đường tốt nhất hay chia tải.
Tình huống thường gặp
Có 2 WAN nhưng traffic không đi theo đường mong muốn.
Muốn WAN1 chính, WAN2 dự phòng nhưng failover không rõ ràng.
Chọn Best Quality nhưng traffic đổi WAN liên tục.
Chọn Lowest Cost SLA nhưng FortiGate không chọn WAN “rẻ hơn”.
Bật load balancing làm Microsoft 365, Teams hoặc Outlook hay bắt xác thực lại.
VPN site-to-site lúc đi tunnel này, lúc đi tunnel khác gây khó troubleshooting.
Bản chất vấn đề
Không có một SD-WAN strategy nào đúng cho mọi doanh nghiệp. Strategy cần được chọn theo mục tiêu vận hành: ổn định, failover, chất lượng đường truyền, chi phí hoặc chia tải.
Với doanh nghiệp nhỏ và vừa, nên ưu tiên cấu hình dễ vận hành, dễ giải thích và dễ kiểm tra khi có sự cố.
Tóm tắt nhanh
Nên chọn mode nào cho FortiGate 2 WAN?
Bảng dưới đây giúp anh/chị hình dung nhanh nên chọn strategy nào theo từng nhu cầu thực tế.
Nhu cầu thực tế
Strategy nên cân nhắc
Lý do
WAN1 chính, WAN2 dự phòng
Manual hoặc Lowest Cost SLA
Dễ kiểm soát, dễ vận hành
Muốn chọn đường tốt hơn theo latency/jitter/loss
Best Quality
FortiGate chọn link theo chất lượng đo được
Ưu tiên link chi phí thấp hơn nhưng vẫn phải đạt SLA
Lowest Cost SLA
Chọn link có cost thấp nhất trong các link đạt SLA
2 đường Internet ngang nhau, muốn chia tải
Maximum Bandwidth / Load Balancing
Có thể tận dụng cả 2 link, nhưng cần cẩn thận với session
Microsoft 365, Teams, Outlook
Manual hoặc rule riêng ổn định
Tránh traffic xác thực đi nhiều WAN
IPsec VPN site-to-site
Manual hoặc Lowest Cost SLA
Ưu tiên failover rõ ràng hơn load balancing
4G/5G làm backup
Manual hoặc Lowest Cost SLA
Tránh dùng đường backup khi WAN chính vẫn ổn
Nói ngắn gọn: với doanh nghiệp nhỏ và vừa, nếu cần dễ vận hành và ít rủi ro, thường nên bắt đầu với Manual hoặc Lowest Cost SLA. Best Quality phù hợp khi đã có SLA target ổn định. Load Balancing không nên bật tùy tiện cho mọi loại traffic.
Nền tảng
1. Vì sao chọn đúng SD-WAN strategy lại quan trọng?
SD-WAN trên FortiGate không chỉ là gom nhiều WAN lại với nhau. Phần quan trọng là FortiGate sẽ chọn đường nào cho từng loại traffic.
Internet user
User văn phòng có thể đi WAN1 để đảm bảo ổn định.
Guest Wi-Fi
Guest có thể đi WAN2 để tách khỏi đường chính của nội bộ.
Microsoft 365
Nên đi một WAN ổn định để hạn chế xác thực bất thường.
IPsec VPN
Nên ưu tiên tunnel chính và failover rõ ràng sang tunnel phụ.
Nếu chọn strategy không phù hợp, hệ thống có thể gặp các lỗi như traffic đổi WAN liên tục, ứng dụng đăng nhập lại nhiều lần, WAN backup bị dùng khi chưa cần, VPN khó kiểm tra hoặc người dùng thấy mạng “lúc được lúc không”.
Câu hỏi cần trả lời trước khi cấu hình
Doanh nghiệp cần ổn định, failover, tối ưu chất lượng, tiết kiệm chi phí hay chia tải? Không nên chọn mode chỉ vì tên nghe có vẻ tốt hơn.
Strategy 1
2. Manual strategy là gì?
Manual strategy là cách chọn SD-WAN member theo thứ tự ưu tiên thủ công. Nói dễ hiểu: anh/chị chọn WAN nào ưu tiên trước, WAN nào dùng sau.
Ví dụ
WAN1 là đường chính.
WAN2 là đường dự phòng.
Rule Internet cho user ưu tiên WAN1 trước, sau đó mới đến WAN2.
Phù hợp khi
Doanh nghiệp có WAN chính và WAN phụ rõ ràng.
Một đường là leased line, một đường là broadband.
Một đường là Internet chính, một đường là 4G/5G backup.
Khách hàng muốn traffic ổn định, không đổi WAN liên tục.
Đội IT muốn cấu hình dễ kiểm soát.
Cần lưu ý
Không tự động chọn đường tốt hơn theo latency, jitter hoặc packet loss.
Cần health-check phù hợp nếu muốn failover phản ánh đúng chất lượng đường truyền.
Không tối ưu realtime bằng Best Quality.
Ưu điểm
Dễ hiểu.
Dễ vận hành.
Dễ giải thích cho khách hàng.
Hạn chế traffic nhảy WAN bất ngờ.
Phù hợp SMB hoặc hệ thống không quá phức tạp.
Nhược điểm
Không tự tối ưu theo chất lượng đường truyền.
Có thể chưa phản ánh đúng tình trạng WAN nếu thiếu SLA phù hợp.
Không phù hợp nếu cần tự chọn đường tốt nhất theo realtime metric.
Gợi ý thực tế: nếu công ty có WAN1 là Internet chính và WAN2 là dự phòng, nhu cầu chính là ổn định, không cần chia tải phức tạp, Manual là lựa chọn dễ bắt đầu.
Strategy 2
3. Best Quality strategy là gì?
Best Quality là strategy cho phép FortiGate chọn link tốt nhất dựa trên chỉ số chất lượng đường truyền. FortiGate không chỉ nhìn WAN nào đang up, mà còn xem WAN nào đang có chất lượng tốt hơn theo tiêu chí được cấu hình.
Latency
Jitter
Packet loss
Bandwidth
Ví dụ
WAN1 latency: 60ms
WAN2 latency: 20ms
Rule dùng Best Quality theo latency.
FortiGate có thể chọn WAN2 vì latency thấp hơn.
Phù hợp khi
2 đường Internet có chất lượng thay đổi theo thời điểm.
Ứng dụng nhạy latency như voice, video, remote desktop, cloud app.
Doanh nghiệp muốn FortiGate tự chọn đường tốt hơn.
Có SLA target ổn định và đáng tin cậy.
Đội IT hiểu rõ cách kiểm tra Performance SLA.
Không nên dùng tùy tiện khi
SLA target chưa được chọn kỹ.
Hai WAN dao động liên tục.
Ứng dụng xác thực nhạy với IP public như Microsoft 365.
Khách hàng muốn traffic cố định theo WAN chính/phụ.
Không có người theo dõi sau khi cấu hình.
Rủi ro thực tế
Nếu SLA target không ổn định hoặc threshold quá nhạy, FortiGate có thể đổi WAN liên tục. Điều này có thể ảnh hưởng các ứng dụng cần IP public ổn định hoặc session ổn định.
Strategy 3
4. Lowest Cost SLA là gì?
Lowest Cost SLA là strategy chọn link dựa trên cost, nhưng chỉ xét các link đạt SLA. Nói dễ hiểu: FortiGate kiểm tra link nào đang đạt SLA, sau đó chọn link có cost thấp hơn.
WAN
Cost
SLA status
Kết quả
WAN1
10
Pass
Được chọn
WAN2
20
Pass
Không chọn vì cost cao hơn
WAN1
10
Fail
Không chọn
WAN2
20
Pass
Được chọn vì WAN1 fail SLA
Phù hợp khi
Có một WAN chính muốn ưu tiên.
Có một WAN phụ chỉ dùng khi WAN chính không đạt chất lượng.
Muốn failover dựa trên SLA thay vì chỉ dựa interface up/down.
Muốn kiểm soát chi phí hoặc ưu tiên link theo thiết kế.
Muốn ổn định hơn Best Quality trong nhiều mô hình doanh nghiệp.
Cần lưu ý
Cần cấu hình Performance SLA đúng.
Nếu SLA target sai, FortiGate có thể loại nhầm WAN chính.
Cần hiểu rõ cost và thứ tự member.
Không phải lúc nào cũng chọn link nhanh nhất.
Gợi ý thực tế
Nếu doanh nghiệp có WAN1 là leased line ổn định, WAN2 là broadband, và muốn traffic ERP hoặc VPN ưu tiên WAN1, chỉ chuyển sang WAN2 khi WAN1 không đạt SLA, Lowest Cost SLA thường phù hợp hơn Best Quality.
Load Balancing
5. Maximum Bandwidth / Load balancing có nên dùng không?
Ngoài Manual, Best Quality và Lowest Cost SLA, FortiGate còn có các cách chia tải như Maximum Bandwidth hoặc Load Balancing tùy phiên bản và strategy. Mục tiêu là tận dụng nhiều đường truyền cùng lúc.
Ví dụ load balancing
Một phần traffic đi WAN1.
Một phần traffic đi WAN2.
Tổng băng thông sử dụng tốt hơn so với chỉ dùng một đường.
Tuy nhiên, load balancing không phải lúc nào cũng phù hợp.
Các traffic nên cẩn thận khi load-balance
Microsoft 365
Teams / Outlook
Ngân hàng
ERP
Phần mềm kế toán
VPN site-to-site
Camera/NVR
Ứng dụng xác thực session chặt
Khi có thể dùng
Guest Wi-Fi.
Traffic web thông thường.
Môi trường không yêu cầu IP public cố định.
Không có ứng dụng xác thực nhạy.
Mục tiêu chính là tận dụng băng thông.
Khi không nên dùng tùy tiện
Microsoft 365 hay bắt xác thực lại.
VPN cần ổn định.
ERP hoặc phần mềm kế toán dùng cloud.
Khách hàng không muốn troubleshooting phức tạp.
Hệ thống yêu cầu IP public nhất quán.
Với doanh nghiệp nhỏ và vừa, load balancing nên dùng có chọn lọc. Không nên dùng một rule load-balance all-to-all cho toàn bộ traffic nếu hệ thống có Microsoft 365, VPN, ERP hoặc ứng dụng xác thực quan trọng.
So sánh nhanh
6. Manual, Best Quality, Lowest Cost SLA và Load Balancing khác nhau thế nào?
Manual
Cách hoạt động: chọn WAN theo thứ tự ưu tiên thủ công.
Phù hợp: WAN chính / WAN dự phòng.
Lưu ý: không tự tối ưu theo chất lượng nếu không có logic bổ sung.
Best Quality
Cách hoạt động: chọn link tốt nhất theo latency, jitter, loss hoặc bandwidth.
Phù hợp: ứng dụng nhạy chất lượng.
Lưu ý: cần SLA target ổn định, tránh traffic nhảy WAN liên tục.
Lowest Cost SLA
Cách hoạt động: chọn link cost thấp nhất trong các link đạt SLA.
Phù hợp: ưu tiên đường chính nhưng vẫn failover theo SLA.
Lưu ý: nếu SLA target sai, link chính có thể bị loại nhầm.
Load Balancing
Cách hoạt động: chia traffic qua nhiều link.
Phù hợp: tận dụng băng thông cho traffic ít nhạy cảm.
Lưu ý: cẩn thận với session, Microsoft 365, VPN, ERP.
Nguyên tắc dễ nhớ: Manual dễ kiểm soát nhất, Best Quality linh hoạt theo chất lượng nhất, Lowest Cost SLA cân bằng giữa ưu tiên và SLA, còn Load Balancing tối ưu băng thông nhưng cần cẩn thận với session.
Mô hình thực tế
7. Gợi ý chọn strategy theo từng mô hình doanh nghiệp
2 WAN, một chính một phụ
Nên chọn: Manual hoặc Lowest Cost SLA.
Cách này phù hợp khi WAN1 là Internet chính, WAN2 là Internet dự phòng. Ưu điểm là dễ kiểm soát, traffic ổn định và WAN2 chỉ dùng khi WAN1 lỗi hoặc không đạt SLA.
2 WAN chất lượng tương đương
Nên chọn tùy nhu cầu: Manual, Best Quality hoặc Load Balancing có chọn lọc.
Nếu muốn WAN1 chính/WAN2 phụ, dùng Manual. Nếu muốn FortiGate chọn đường tốt hơn, dùng Best Quality. Nếu muốn tận dụng băng thông, có thể load-balance traffic ít nhạy cảm.
Leased line + broadband
Nên chọn: Lowest Cost SLA hoặc Manual.
Leased line thường dùng cho traffic quan trọng như ERP, VPN hoặc server. Broadband có thể dùng dự phòng hoặc cho traffic ít quan trọng hơn.
WAN chính + 4G/5G backup
Nên chọn: Manual hoặc Lowest Cost SLA.
Không nên đưa 4G/5G vào load balancing mặc định nếu không cần thiết, vì latency, jitter, dung lượng và chi phí có thể không phù hợp cho traffic thường xuyên.
Microsoft 365 / Teams / Outlook
Nên chọn: Manual hoặc rule riêng cố định một WAN ổn định.
Microsoft 365, Teams, Outlook và các dịch vụ SaaS có thể nhạy với việc IP public thay đổi. Nên tạo rule riêng, đặt phía trên rule Internet chung và ưu tiên một WAN ổn định.
IPsec VPN site-to-site
Nên chọn: Manual hoặc Lowest Cost SLA.
VPN site-to-site cần ổn định và dễ troubleshooting. Nên ưu tiên tunnel chính, tunnel phụ dùng failover. Không nên load-balance nếu chưa hiểu rõ ứng dụng và session.
Camera / NVR / giám sát
Nên chọn: Manual hoặc route/rule riêng theo thiết kế.
Traffic camera cần ổn định. Nếu camera upload hoặc stream qua nhiều WAN, có thể gây khó kiểm soát băng thông, NAT, port forward hoặc remote access.
Guest Wi-Fi
Có thể chọn: Load Balancing, Manual đi WAN riêng hoặc Lowest Cost SLA tùy nhu cầu.
Guest Wi-Fi thường ít yêu cầu IP public ổn định hơn hệ thống nội bộ, nên có thể dùng để tận dụng WAN phụ hoặc tách khỏi đường chính.
Troubleshooting
8. Các lỗi chọn sai strategy thường gặp
Chọn Best Quality nhưng traffic đổi WAN liên tục
Nguyên nhân:
SLA target không ổn định.
Threshold quá nhạy.
Hai WAN có chất lượng dao động gần nhau.
FortiGate liên tục đánh giá lại link tốt hơn.
Cách xử lý:
Kiểm tra diagnose sys sdwan health-check.
Chọn SLA target ổn định hơn.
Điều chỉnh threshold phù hợp.
Nếu cần ổn định hơn tối ưu, cân nhắc Manual hoặc Lowest Cost SLA.
Chọn Manual nhưng failover không như kỳ vọng
Nguyên nhân:
Health-check chưa phát hiện đúng lỗi WAN.
Route/gateway vẫn active dù Internet không thực sự dùng được.
Rule member order chưa đúng.
Firewall policy hoặc route chưa đúng cho WAN phụ.
Session cũ vẫn giữ đường cũ.
Cách xử lý:
Kiểm tra SD-WAN member.
Kiểm tra Performance SLA.
Kiểm tra rule order và member order.
Test failover bằng tình huống thực tế.
Kiểm tra session khi test.
Lowest Cost SLA không chọn WAN “rẻ hơn”
Nguyên nhân:
WAN cost thấp hơn nhưng không đạt SLA.
SLA target fail.
Threshold quá nghiêm ngặt.
Member không nằm trong SLA đúng.
Cost cấu hình chưa đúng.
Rule chưa match traffic.
Cách xử lý:
Kiểm tra diagnose sys sdwan health-check.
Kiểm tra cost của từng member.
Kiểm tra SLA target.
Kiểm tra rule match.
Xác nhận traffic có đi vào đúng rule không.
Load balancing làm ứng dụng đăng nhập bất thường
Nguyên nhân:
Traffic cùng người dùng đi ra nhiều IP public.
Ứng dụng cloud đánh giá phiên đăng nhập bất thường.
Microsoft 365, ERP, ngân hàng hoặc phần mềm kế toán yêu cầu session ổn định.
Không có rule riêng cho các traffic nhạy cảm.
Cách xử lý:
Tách rule cho Microsoft 365 hoặc ứng dụng quan trọng.
Ép traffic xác thực đi một WAN ổn định.
Không load-balance toàn bộ traffic.
Chỉ load-balance traffic ít nhạy cảm như guest Wi-Fi hoặc web thông thường.
SLA target chọn sai làm FortiGate đánh giá sai link
Nguyên nhân:
Target không ổn định.
Target chặn ping hoặc HTTP.
Target quá xa.
Target không phản ánh đúng chất lượng đường truyền cần kiểm tra.
Dùng một target duy nhất cho toàn bộ WAN/VPN.
Cách xử lý:
Chọn target phù hợp với từng loại traffic.
Với Internet, dùng target ổn định.
Với VPN, dùng target phía remote.
Không dùng server hay tắt/mở làm SLA target.
Theo dõi health-check trước khi đưa vào production.
Checklist
9. Checklist trước khi chọn SD-WAN strategy
Doanh nghiệp có bao nhiêu WAN?
WAN nào là chính, WAN nào là phụ?
Hai WAN có chất lượng tương đương không?
Có đường nào tính phí theo dung lượng không?
Có dùng 4G/5G backup không?
Traffic nào là quan trọng nhất?
Có Microsoft 365, Teams, Outlook không?
Có ERP, phần mềm kế toán hoặc ngân hàng không?
Có IPsec VPN site-to-site không?
Có camera/NVR cần remote viewing không?
Có guest Wi-Fi cần tách riêng không?
Có cần load balancing thật sự không?
SLA target đã chọn ổn định chưa?
Threshold latency/jitter/loss có phù hợp không?
Đội IT có theo dõi health-check sau triển khai không?
Đã backup cấu hình trước khi thay đổi chưa?
Trước khi đổi strategy trên hệ thống production, nên backup cấu hình, xác định traffic quan trọng và test failover ngoài giờ cao điểm nếu có thể.
FAQ
10. Câu hỏi thường gặp
FortiGate có 2 WAN thì nên chọn strategy nào đơn giản nhất?
Nếu doanh nghiệp chỉ cần WAN chính và WAN dự phòng, Manual là lựa chọn dễ hiểu và dễ vận hành nhất. Nếu muốn có thêm điều kiện chất lượng đường truyền trước khi failover, có thể cân nhắc Lowest Cost SLA.
Best Quality có phải luôn tốt nhất không?
Không. Best Quality chỉ tốt khi SLA target, metric và threshold được chọn đúng. Nếu target không ổn định hoặc threshold quá nhạy, traffic có thể đổi WAN liên tục, gây ảnh hưởng đến ứng dụng cần ổn định.
Lowest Cost SLA khác Manual ở điểm nào?
Manual chọn đường theo thứ tự ưu tiên thủ công. Lowest Cost SLA chọn link có cost thấp nhất trong các link đạt SLA. Vì vậy, Lowest Cost SLA phù hợp khi muốn ưu tiên đường chính nhưng vẫn kiểm tra chất lượng đường truyền trước khi chọn.
Có nên load-balance toàn bộ traffic không?
Không nên nếu doanh nghiệp có Microsoft 365, ERP, VPN, ngân hàng, phần mềm kế toán hoặc ứng dụng cloud nhạy với session. Nên load-balance có chọn lọc, ví dụ guest Wi-Fi hoặc traffic web thông thường.
Microsoft 365 nên đi strategy nào?
Thông thường nên tạo rule riêng và ưu tiên một WAN ổn định. Có thể dùng Manual hoặc Lowest Cost SLA. Không nên để Microsoft 365 đi nhiều WAN liên tục nếu người dùng hay bị bắt xác thực lại.
VPN site-to-site nên dùng Best Quality hay Manual?
Phần lớn mô hình VPN site-to-site nên ưu tiên ổn định và dễ kiểm soát. Manual hoặc Lowest Cost SLA thường dễ vận hành hơn. Best Quality chỉ nên dùng khi đã hiểu rõ SLA target, route, tunnel và tác động đến session.
4G/5G backup nên cấu hình thế nào?
Nên dùng như đường dự phòng. Không nên đưa 4G/5G vào load balancing mặc định nếu không cần thiết, vì latency, jitter và chi phí/dung lượng có thể không phù hợp cho traffic thường xuyên.
Kết luận
Không có SD-WAN strategy nào đúng cho mọi doanh nghiệp
Với FortiGate 2 WAN, điều quan trọng là chọn strategy theo mục tiêu vận hành thực tế. Nếu cần đơn giản, ổn định và dễ kiểm soát, nên chọn Manual. Nếu cần tự chọn đường tốt hơn theo latency, jitter, packet loss, có thể chọn Best Quality. Nếu cần ưu tiên đường chính nhưng vẫn kiểm tra chất lượng trước khi dùng, nên cân nhắc Lowest Cost SLA.
Với nhiều doanh nghiệp nhỏ và vừa, phương án an toàn thường là:
Manual hoặc Lowest Cost SLA cho traffic quan trọng.
Rule riêng cho Microsoft 365, VPN, ERP và camera.
Load balancing chỉ dùng có chọn lọc cho traffic ít nhạy cảm.
Chọn SLA target ổn định trước khi dùng Best Quality hoặc Lowest Cost SLA.
Backup cấu hình và test failover trước khi áp dụng trên hệ thống production.
Cách làm này giúp hệ thống dễ vận hành, dễ troubleshooting và giảm rủi ro traffic đi sai WAN hoặc ứng dụng bị ảnh hưởng do thay đổi IP public.
Hỗ trợ FortiGate SD-WAN
Cần thiết kế SD-WAN Rule phù hợp cho FortiGate 2 WAN?
Doanh nghiệp của anh/chị đang có 2 đường Internet nhưng chưa biết nên chọn Manual, Best Quality, Lowest Cost SLA hay Load Balancing cho FortiGate SD-WAN?
NAMHI có thể hỗ trợ khảo sát mô hình WAN, phân nhóm traffic, thiết kế SD-WAN Rule, Performance SLA và đề xuất strategy phù hợp với nhu cầu vận hành thực tế.
Bài này giúp bạn hiểu nhanh vai trò của FortiGate trong một hệ thống mạng doanh nghiệp. Không cần biết sâu IT vẫn theo được, nhưng IT triển khai vẫn thấy “đúng bài”.
Mục tiêu của bài này là giúp bạn truy cập được FortiGate ngay lần đầu, đổi mật khẩu an toàn, và sẵn sàng cho bước cấu hình Internet ở bài tiếp theo. Bài viết ưu tiên thao tác thực tế, dễ làm, không rối thuật ngữ.
Bài này hướng dẫn cấu hình kết nối Internet cho FortiGate theo 3 trường hợp phổ biến nhất. Làm đúng bài này sẽ giúp bạn đi tiếp mượt sang Bài 4 (LAN & DHCP) và Bài 5 (Policy LAN ra Internet).
Sau khi WAN đã ra Internet (Bài 3), bước tiếp theo là thiết lập mạng nội bộ (LAN) và bật DHCP để PC/WiFi nhận IP tự động. Bài này giúp bạn cấu hình LAN “đọc là làm được”, tránh lỗi phổ biến: máy nhận IP sai lớp, trùng IP, hoặc không nhận được IP.
Đây là bước “mở Internet” cho mạng nội bộ. Dù WAN và LAN đã cấu hình đúng, nếu thiếu Firewall Policy hoặc NAT, máy trong LAN vẫn không thể truy cập Internet. Bài này giúp bạn hiểu rõ và cấu hình đúng ngay lần đầu.
Sau khi LAN đã ra Internet (Bài 5), bước tiếp theo là kiểm soát người dùng truy cập web gì. Web Filter giúp chặn website độc hại, nội dung không phù hợp và là tính năng “ăn điểm” nhất khi demo FortiGate cho khách hàng.
Sau khi đã kiểm soát website bằng Web Filter (Bài 6), bước tiếp theo là kiểm soát ứng dụng. Application Control giúp doanh nghiệp quản lý các app “ngốn thời gian” (Social, Streaming) hoặc rủi ro (P2P, Remote tools), mà vẫn giữ trải nghiệm Internet ổn định cho công việc.
90% traffic Internet hiện nay là HTTPS. Nếu chỉ bật Web Filter / App Control / AV / IPS mà không hiểu SSL Inspection, FortiGate sẽ khó “nhìn sâu” được nội dung. Nhưng bật sai SSL Inspection lại rất dễ gây lỗi: trình duyệt báo “Not secure”, ứng dụng Teams/Outlook/ERP lỗi, user kêu ngay. Bài này hướng dẫn theo kiểu NAMHI: cơ bản → nâng cao, làm đúng ngay lần đầu.
VPN Remote Access giúp nhân viên truy cập hệ thống nội bộ (file server, ERP, camera, RDP…) từ bên ngoài một cách an toàn. Bài này hướng dẫn theo lộ trình NAMHI: cơ bản - chuẩn vận hành, tập trung “làm xong là chạy”, ít lỗi, dễ support.
VPN Site-to-Site giúp kết nối hai hoặc nhiều mạng LAN ở các địa điểm khác nhau (HQ – Branch – Factory) thành một hệ thống thống nhất qua Internet. Bài này viết theo góc nhìn IT triển khai thực tế: làm đúng ngay từ đầu, dễ mở rộng, dễ troubleshoot.
Nếu VPN (Bài 10–11) là để “kết nối”, thì HA là để “không bị ngắt”. HA Active-Passive giúp bạn dựng 2 FortiGate chạy theo cặp: 1 con Active xử lý traffic, 1 con Standby đồng bộ cấu hình và sẵn sàng tự động takeover khi thiết bị/đường truyền/port gặp sự cố. Bài này hướng dẫn theo góc nhìn triển khai thực tế: làm đúng – test rõ – vận hành ổn.
Việt Nam 
English 
/file/media/uploads/article/ftg.jpg)
/file/media/uploads/article/cover.png)
/file/media/uploads/wan-fortigate.png)
/file/media/uploads/network-interface.jpg)
/file/media/uploads/firewall-policy.jpg)
/file/media/uploads/web-filter.jpg)
/file/media/uploads/app-control.png)
/file/media/uploads/antivirus.jpg)
/file/media/uploads/ssl-inspection.png)
/file/media/uploads/vpn-client-to-site.jpg)
/file/media/uploads/ipsec-vpn.jpg)
/file/media/uploads/ha.jpg)