ในกรณีนี้จะเป็นการใช้โดเมนเสมือน (VDOMs) เพื่อให้มีการเข้าถึงอินเทอร์เน็ตสำหรับบริษัทสองแห่ง (เรียกว่า บริษัท A และ บริษัท B) โดยใช้ FortiGate เพียงเครื่องเดียว

1. เปิดใช้งาน VDOMs และสร้าง VDOM สองแห่ง

1.1 => ในการเปิดใช้งาน VDOM ให้ไปที่ “System > Settings” ภายใต้ “System Operation Settings” ให้เปิดใช้งาน “Virtual Domains”

1.2 => เลือก OK เพื่อยืนยันการเปลี่ยนแปลงโหมด VDOM เมื่อการเปลี่ยนแปลงถูก apply แล้ว คุณจะออกจากระบบ FortiGate จากนั้นให้กลับเข้าสู่ระบบ โดยหากต้องการแก้ไข global settings ให้เลือก “Global” จากเมนูแบบเลื่อนลงที่มุมบนซ้าย

1.3 => ในการสร้าง VDOM ใหม่ ให้ไปที่ “System > VDOM” และเลือก “Create New” ใส่ชื่อของ VDOM (VDOM-A)

1.4 => สร้าง VDOM ที่สอง (VDOM-B)

2. การกำหนดค่า Dedicated management สำหรับ root VDOM

2.1 => ในการกำหนดค่า Interface เพื่อจะเชื่อมต่อกับ management VDOM ให้ไปที่ “Global > Network > Interfaces” และแก้ไข Interface (ในตัวอย่างจะเป็น mgmt)

  => เปิดใช้งาน “Dedicated Management Port” และเพิ่ม Management computers ที่ “Trusted Host”

  => ตั้งค่า “Administrative Access” เป็น HTTPS, PING, และ SSH

3. การกำหนด Interface ให้กับ VDOM

   ในตัวอย่างนี้คุณกำหนดสองอินเตอร์เฟสให้กับ VDOM-A และ VDOM-B: หนึ่งอินเทอร์เฟซสำหรับการเข้าถึงอินเทอร์เน็ต และอีกหนึ่งสำหรับการใช้งานโดยเครือข่ายท้องถิ่น

คุณไม่สามารถเปลี่ยนการกำหนด VDOM หากมีการใช้อินเทอร์เฟซในการกำหนดค่า FortiGate ที่มีอยู่ ซึ่งคุณอาจต้องลบ Existing policies และ Route ที่มีอยู่เพื่อเพิ่มอินเทอร์เฟซเฉพาะ เนื่องจาก FortiGate บางรุ่นมี Default configurations

3.1 => ในการกำหนดอินเทอร์เฟซที่ให้การเข้าถึงอินเทอร์เน็ต VDOM-A ให้ไปที่ “Network > Interfaces” และแก้ไขอินเทอร์เฟซ (ในตัวอย่างจะเป็น wan 1)

  => ตั้งค่า “Virtual Domain” เป็น VDOM-A และ “Role” เป็น WAN

3.2 => ตรวจสอบว่า ISP ของคุณมี IP Address ให้คุณใช้หรือไม่ หรือหากอุปกรณ์ ISP ใช้ DHCP เพื่อกำหนด IP Address

  => หาก ISP ของคุณให้ IP Address, ให้ตั้งค่า “Addressing mode” เป็น Manual และตั้งค่า IP/Network Mask เป็น IP นั้น

  => หากอุปกรณ์ ISP ของคุณใช้ DHCP, ให้ตั้งค่า “Addressing mode” เป็น DHCP เพื่ออนุญาตให้อุปกรณ์กำหนดที่อยู่ IP ให้กับ WAN1

3.3 => ในการกำหนด Interface สำหรับเครือข่ายภายใน VDOM-A ให้ไปที่ “Network > Interfaces” และแก้ไข Interface (ในตัวอย่างจะเป็น port 1)

  => ตั้งค่า “Virtual Domain” เป็น VDOM-A และ “Role” เป็น LAN

  => ตั้งค่า “Addressing Mode” เป็น Manual กำหนด IP/Network Mask ให้กับ Interface (ในตัวอย่างจะเป็น 192.168.46.1/255.255.255.0) และตั้งค่า “Administrative Access” เป็น HTTPS, PING และ SSH

  => หากคุณต้องการกำหนด IP Address ให้กับอุปกรณ์ในเครือข่ายภายในของคุณให้เปิดใช้งาน “DHCP Server”

3.4 => ทำซ้ำขั้นตอนข้างต้นอีกรอบ เพื่อกำหนด Interface ให้กับ VDOM-B

4. สร้าง per-VDOM administrators

   บัญชี Per-VDOM administrator อนุญาตการเข้าถึงระดับผู้ดูแลระบบสำหรับ VDOM ที่ระบุเท่านั้น ด้วยการสร้าง per-VDOM administrators คุณจะอนุญาตให้ทั้งบริษัท A และ บริษัท B จัดการ VDOM ที่เกี่ยวข้องโดยไม่อนุญาตให้เข้าถึงการตั้งค่าสำหรับ VDOM อื่นหรือ Global settings

4.1 => ในการสร้าง per-VDOM administrator สำหรับ VDOM-A ให้ไปที่ “System > Administrators” และเลือก “Create New > Administrator”

  => ป้อนชื่อผู้ใช้ และตั้งค่า “Type” เป็น Local User, ป้อนและยืนยันรหัสผ่าน ตั้งค่า “Administrator Profile” เป็น prof_admin

  => ลบ root VDOM ออกจาก “Virtual Domains” และเพิ่ม VDOM-A ลงไป

4.2 => ทำซ้ำขั้นตอนที่ 4.1-4.3 เพื่อสร้าง per-VDOM administrator สำหรับ VDOM-B

5. การกำหนดค่า VDOM

5.1 => เข้าถึง VDOM-A โดยใช้เมนูแบบเลื่อนลงที่มุมบนซ้าย

  => ในการเพิ่ม Static route ให้ไปที่ “Network > Static Routes” และเลือก “Create New”

  => ตั้งค่า “Destination” เป็น Subnet และ Destination IP address กำหนดเป็น 0.0.0.0/0.0.0.0

  => ตั้งค่า "Gateway" เป็น IP Address ที่ ISP ให้มา และ "Interface" เลือกเป็น Interface ที่จะเชื่อมต่อกับอินเทอร์เน็ต

5.2 => ในการสร้าง Policy ใหม่ ให้ไปที่ “Policy & Objects > IPv4 Policy” และเลือก “Create New”

  => ตั้งค่า “Incoming Interface” เป็น port 1 และตั้งค่า “Outgoing Interface” เป็น wan 1

5.3 => ทำซ้ำขั้นตอนที่ 5.1-5.6 เพื่อกำหนดค่า VDOM-B

6. การกำหนดค่า Global security profiles สำหรับ VDOMs

   คุณสามารถสร้าง Security profiles สองประเภทสำหรับ VDOM: per-VDOM profiles มีให้เฉพาะ VDOM และ Global security profiles มีให้ใช้งานโดย VDOM หลายตัว คุณสามารถใช้โปรไฟล์ทั้งสองประเภทสำหรับการกำหนดค่าของคุณ

Global profiles ที่พร้อมใช้งานสำหรับคุณลักษณะด้านความปลอดภัยต่อไปนี้:

=> Antivirus

=> Application control

=> Data leak prevention

=> Intrusion prevention

=> Web filtering

คุณลักษณะด้านความปลอดภัยแต่ละรายการมี Default global profile อย่างน้อยหนึ่งโปรไฟล์ โดย Global profile จะถูกระบุโดย“ g-” ที่จุดเริ่มต้นของ Profile name

คุณสมบัติ Security profile บางอย่าง เช่น URL filters ไม่สามารถใช้งานได้ใน Global profile

6.1 => ในการแก้ไข Default global web filter ให้ไปที่ “Global > Security Profiles > Web Filter” และแก้ไข “g-default”

  => คลิกขวาที่ “Bandwidth Consuming” และเลือก Block

7. ผลลัพธ์

=> เชื่อมต่อกับ VDOM-A และเข้าสู่ระบบโดยใช้ VDOM-A administrator account (เฉพาะตัวเลือก per-VDOM ที่จะแสดงขึ้นมา)

=> ในการดู Default global web filter ให้ไปที่ “Security Profiles > Web Filter” และเลือก g-default (VDOM-A administrator ไม่สามารถแก้ไขโปรไฟล์ได้)

=> ในการดูข้อมูลสรุปของการกำหนดค่า VDOM ให้เชื่อมต่อกับ management VDOM และไปที่ “Global > System > VDOM”