Việt Nam 
English 
/file/media/uploads/article/ftg.jpg)
FortiGate là gì? Dùng để làm gì trong hệ thống doanh nghiệp?
Bài này giúp bạn hiểu nhanh vai trò của FortiGate trong một hệ thống mạng doanh nghiệp. Không cần biết sâu IT vẫn theo được, nhưng IT triển khai vẫn thấy “đúng bài”.
Đọc thêm Web Filter cơ bản trên FortiGate - Chặn web xấu & quản lý truy cập Internet
Fortigate NH | Giai đoạn 2 | Bài 6
🌐 Web Filter cơ bản trên FortiGate – Chặn web xấu & quản lý truy cập Internet
Sau khi LAN đã ra Internet (Bài 5), bước tiếp theo là kiểm soát người dùng truy cập web gì. Web Filter giúp chặn website độc hại, nội dung không phù hợp và là tính năng “ăn điểm” nhất khi demo FortiGate cho khách hàng.
🧭 Web Filter là gì? Vì sao doanh nghiệp cần?
Web Filter cho phép FortiGate phân loại và kiểm soát website mà người dùng truy cập. Thay vì “ra Internet tự do”, doanh nghiệp có thể chặn web độc hại, web không phù hợp với môi trường làm việc.
- 🚫 Chặn website độc hại, phishing, malware
- 🚫 Hạn chế nội dung không phù hợp (adult, gambling…)
- 📊 Kiểm soát & ghi log truy cập Internet
💡 Thực tế triển khai: Khách hàng thường chấp nhận FortiGate “đắt hơn router thường” ngay khi thấy Web Filter hoạt động.
🧩 Web Filter hoạt động như thế nào?
🔍 Phân loại website
- FortiGuard phân loại web theo category
- Mỗi website thuộc 1 hoặc nhiều nhóm
- Ví dụ: Social Media, Malware, Adult…
🧱 Áp dụng qua Firewall Policy
- Web Filter không hoạt động độc lập
- Phải gắn vào policy LAN → WAN
- Policy quyết định ai bị kiểm soát
⚠️ Nếu bạn tạo Web Filter Profile nhưng chưa gắn vào policy thì sẽ không có tác dụng.
1️⃣ Tạo Web Filter Profile cơ bản
Bước 1
Vào Web Filter Profiles
Vào Security Profiles → Web Filter → Create New.
Bước 2
Đặt tên profile
Ví dụ: WF-LAN-BASIC để dễ quản lý về sau.
Bước 3
Chặn các category nguy hiểm
- Malware
- Phishing
- Hacking
- Spam URLs
💡 Đây là nhóm nên chặn 100% trong mọi doanh nghiệp.
2️⃣ Gắn Web Filter vào Firewall Policy
Bước 1
Edit policy LAN → WAN
Vào Policy & Objects → Firewall Policy → chọn policy LAN → WAN đã tạo ở Bài 5.
Bước 2
Bật Web Filter
- Security Profiles: Enable
- Web Filter: chọn WF-LAN-BASIC
⚠️ Policy phải bật Log Allowed Traffic thì mới xem được log Web Filter.
🔍 Test Web Filter
✅ Test từ PC
- Truy cập website thuộc category bị chặn
- Kiểm tra trình duyệt có bị block không
📊 Kiểm tra log
- Vào Log & Report → Web Filter
- Xem user, IP, category, action
❌ Lỗi thường gặp & cách xử lý
❌ Web không bị chặn dù đã bật Web Filter
- Chưa gắn Web Filter vào đúng policy
- PC không đi qua policy đó
- Policy chưa bật log
❌ HTTPS vẫn vào được web bị chặn
Với HTTPS, Web Filter cơ bản chỉ dựa vào domain. Để kiểm soát sâu hơn cần SSL Inspection (bài nâng cao).
❌ Không thấy log Web Filter
- Policy chưa bật Log Allowed Traffic
- Chưa vào đúng mục log Web Filter
🧩 Kết luận
Web Filter là bước đầu tiên trong việc biến FortiGate thành thiết bị bảo mật thực thụ. Ở bài tiếp theo, chúng ta sẽ kiểm soát ứng dụng như Facebook, YouTube, TikTok bằng Application Control.
➡️ Bài tiếp theo
📱 Bài 7: Application Control – Quản lý Facebook, YouTube, TikTok
Kiểm soát ứng dụng theo giờ làm việc, theo nhóm người dùng mà không cần chặn toàn bộ Internet.
Bài viết liên quan
/file/media/uploads/article/cover.png)
Hướng dẫn truy cập FortiGate lần đầu (GUI & CLI)
Mục tiêu của bài này là giúp bạn truy cập được FortiGate ngay lần đầu, đổi mật khẩu an toàn, và sẵn sàng cho bước cấu hình Internet ở bài tiếp theo. Bài viết ưu tiên thao tác thực tế, dễ làm, không rối thuật ngữ.
Đọc thêm /file/media/uploads/wan-fortigate.png)
Cấu hình WAN cơ bản trên FortiGate (PPPoE · DHCP · IP tĩnh)
Bài này hướng dẫn cấu hình kết nối Internet cho FortiGate theo 3 trường hợp phổ biến nhất. Làm đúng bài này sẽ giúp bạn đi tiếp mượt sang Bài 4 (LAN & DHCP) và Bài 5 (Policy LAN ra Internet).
Đọc thêm /file/media/uploads/network-interface.jpg)
Cấu hình LAN & DHCP trên FortiGate
Sau khi WAN đã ra Internet (Bài 3), bước tiếp theo là thiết lập mạng nội bộ (LAN) và bật DHCP để PC/WiFi nhận IP tự động. Bài này giúp bạn cấu hình LAN “đọc là làm được”, tránh lỗi phổ biến: máy nhận IP sai lớp, trùng IP, hoặc không nhận được IP.
Đọc thêm /file/media/uploads/firewall-policy.jpg)
Cấu hình Firewall Policy cho LAN ra Internet trên FortiGate
Đây là bước “mở Internet” cho mạng nội bộ. Dù WAN và LAN đã cấu hình đúng, nếu thiếu Firewall Policy hoặc NAT, máy trong LAN vẫn không thể truy cập Internet. Bài này giúp bạn hiểu rõ và cấu hình đúng ngay lần đầu.
Đọc thêm /file/media/uploads/app-control.png)
Application Control cơ bản trên FortiGate - Quản lý Facebook, YouTube, TikTok theo chính sách
Sau khi đã kiểm soát website bằng Web Filter (Bài 6), bước tiếp theo là kiểm soát ứng dụng. Application Control giúp doanh nghiệp quản lý các app “ngốn thời gian” (Social, Streaming) hoặc rủi ro (P2P, Remote tools), mà vẫn giữ trải nghiệm Internet ổn định cho công việc.
Đọc thêm /file/media/uploads/antivirus.jpg)
/file/media/uploads/ssl-inspection.png)
SSL Inspection trên FortiGate - Hiểu đúng trước khi bật
90% traffic Internet hiện nay là HTTPS. Nếu chỉ bật Web Filter / App Control / AV / IPS mà không hiểu SSL Inspection, FortiGate sẽ khó “nhìn sâu” được nội dung. Nhưng bật sai SSL Inspection lại rất dễ gây lỗi: trình duyệt báo “Not secure”, ứng dụng Teams/Outlook/ERP lỗi, user kêu ngay. Bài này hướng dẫn theo kiểu NAMHI: cơ bản → nâng cao, làm đúng ngay lần đầu.
Đọc thêm /file/media/uploads/vpn-client-to-site.jpg)
VPN Remote Access trên FortiGate
VPN Remote Access giúp nhân viên truy cập hệ thống nội bộ (file server, ERP, camera, RDP…) từ bên ngoài một cách an toàn. Bài này hướng dẫn theo lộ trình NAMHI: cơ bản - chuẩn vận hành, tập trung “làm xong là chạy”, ít lỗi, dễ support.
Đọc thêm /file/media/uploads/ipsec-vpn.jpg)
VPN Site-to-Site (IPsec) trên FortiGate
VPN Site-to-Site giúp kết nối hai hoặc nhiều mạng LAN ở các địa điểm khác nhau (HQ – Branch – Factory) thành một hệ thống thống nhất qua Internet. Bài này viết theo góc nhìn IT triển khai thực tế: làm đúng ngay từ đầu, dễ mở rộng, dễ troubleshoot.
Đọc thêm /file/media/uploads/ha.jpg)
High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp
Nếu VPN (Bài 10–11) là để “kết nối”, thì HA là để “không bị ngắt”. HA Active-Passive giúp bạn dựng 2 FortiGate chạy theo cặp: 1 con Active xử lý traffic, 1 con Standby đồng bộ cấu hình và sẵn sàng tự động takeover khi thiết bị/đường truyền/port gặp sự cố. Bài này hướng dẫn theo góc nhìn triển khai thực tế: làm đúng – test rõ – vận hành ổn.
Đọc thêm /file/media/uploads/sd-wan.png)
Dual-WAN Failover trên FortiGate - 2 đường Internet dự phòng
Sau HA (Bài 12) để tránh “hỏng thiết bị”, bước kế tiếp để tránh “đứt Internet” là Dual-WAN Failover. Mục tiêu triển khai thực tế: WAN1 (chính) chạy bình thường, WAN2 (dự phòng) chỉ takeover khi WAN1 lỗi, và tự động chuyển lại khi WAN1 ổn định. Bài này hướng dẫn này sẽ giúp: làm đúng từ thiết kế, monitor đúng kiểu, test failover rõ ràng.
Đọc thêm