Melhores Práticas para o FortiOS 5.2

Página 1
Manual FortiOS ™ - Melhores Práticas
VERSÃO 5.2.0
Página 2
BIBLIOTECA DO DOCUMENTO FORTINET

http://docs.fortinet.com
FORTINET VIDEO GUIDE
http://video.fortinet.com
BLOG DO FORTINET
https://blog.fortinet.com
SERVIÇO DE ATENDIMENTO AO CONSUMIDOR

https://support.fortinet.com
COOKBOOK FORTIGADO
http://cookbook.fortinet.com
SERVIÇOS DE FORMAÇÃO FORTINET

http://www.fortinet.com/training
CENTRO DE FORTIGUARD
http://www.fortiguard.com
CONTRATO DE LICENÇA DE USUÁRIO FINAL

http://www.fortinet.com/doc/legal/EULA.pdf
COMENTÁRIOS
Email: techdocs@fortinet.com
15 a 15 de março
Manual FortiOS ™ - Melhores Práticas
01-520-112805-20140806
Página 3
ÍNDICE
visão global 6
considerações gerais 6
Atendimento ao cliente e suporte técnico 6
Base de Conhecimento Fortinet 6
Comentários sobre a documentação técnica da Fortinet 7
Sistema e desempenho 8
atuação 8
Desligando 8
Migração 9
Coleta de informações 9
Migração de objetos e políticas 9
Teste e validação 9
Indo ao vivo e obtendo feedback 10
Adicionando novos serviços 10
Especificações Ambientais 11
Aterramento 11
Montagem em rack 12
Firmware 13
Gerenciamento de mudança de firmware 13
Entendendo a nova versão primeiro 13
Tenha um motivo válido para atualizar 13
Prepare um plano de atualização 14
Execute o plano de atualização 15
Saiba mais sobre o gerenciamento de mudanças 15
Executando uma atualização de firmware 16
Realizando um downgrade do firmware 17
Executando um backup de configuração 17
Fazendo backup de um arquivo de configuração usando o SCP 18
Perfis de segurança (AV, Web Filtering etc.) 20
Firewall 20
Segurança 20
Autenticação 21
Antivírus 21
Página 4
Antispam 21
Sistema de Prevenção de Intrusões (IPS) 21
Bloqueio do Skype usando opções CLI para melhor detecção 22
Filtro de e-mail 23
Filtragem de URL 23
Baseado em fluxo versus baseado em proxy 23
Recurso de categoria / classificação local 23
Filtro de URL "Isento" 23
Varredura profunda 23
Filtragem da Web 24
Gerenciamento de patches 24
Configuração de políticas 25
Mudanças de configuração de política 25
Política de lista de permissões 25
Políticas IPS e DoS 25
Networking 27
Configuração de roteamento 27
Roteamento de políticas 27
Roteamento dinâmico 27
Roteamento avançado 27
Border Gateway Protocol (BGP) 27
Abra o caminho mais curto primeiro (OSPF) 27
Conversão de endereços de rede (NAT) 28
Configurando o NAT 28
Modo Transparente 28
Para proteger contra loops de camada 2: 28
Usando IPs virtuais (VIPs) 28
Alta disponibilidade do FGCP 29
Interfaces de pulsação 29
Monitoramento de interface (monitoramento de porta) 30
Otimização de WAN 31
Compartilhando o WAN Opt. túnel para o tráfego da mesma natureza 31
Encomenda de WAN Opt. regras apropriadamente 31
Evitando misturar protocolos em uma opção de WAN. túnel 31
Configurando opções de configuração corretas para CIFS WAN Opt. 31
Configurando opções de configuração corretas para MAPI WAN Opt. 31
Teste de WAN Opt. em um laboratório 31
Com relação à compactação de bytes e tipo de arquivo 32
Quanto à tradução de endereços de rede (NAT) 32
Alta disponibilidade 32
Autenticação com pares específicos 32
Página 5
Domínios Virtuais (VDOMs) 33

Configurações de recursos por VDOM 33
Domínios virtuais no modo NAT / Route 33
Agrupamento Virtual 33
Proxy explícito 34
Sem fio 35
Criptografia e autenticação 35
Localização geográfica 35
Planejamento de rede 35
Reduzindo o nível de energia para reduzir a interferência de RF 36
Opção # 1: Reduzindo o poder de transmissão 36
Opção nº 2: garantir que os VAPs sejam distribuídos pelos canais disponíveis 36
Balanceamento de carga do cliente sem fio 36
Bridging local 37
SSIDs de publicidade 37
Usando IPs estáticos em uma configuração CAPWAP 38
Registro e relatório 39
Gerenciamento de logs 39
Memória do sistema e discos rígidos 40
Página 6
visão global
Este documento do FortiGate Best Practices é uma coleção de diretrizes para garantir a mais segura e confiável
operação de unidades FortiGate em um ambiente de cliente. Ele é atualizado periodicamente conforme novos problemas são identificados.
considerações gerais
1. Por motivos de segurança, o modo NAT é preferido porque todas as redes internas ou DMZ podem ter
endereços. As políticas do modo NAT usam a conversão de endereços de rede para ocultar os endereços em uma zona mais segura de
usuários em uma zona menos segura.
2. Use domínios virtuais (VDOMs) para agrupar interfaces relacionadas ou subinterfaces de VLAN. Usando VDOMs irá particionar
redes e criar segurança adicional, limitando o escopo das ameaças.
3. Use o modo Transparente quando uma rede é complexa e não permite alterações no esquema de endereçamento IP.
Atendimento ao cliente e suporte técnico
Para atualizações de definições de antivírus e ataques, atualizações de firmware, documentação atualizada do produto, suporte técnico
informações e outros recursos, visite o site de suporte técnico da Fortinet em
http://support.fortinet.com .
Você também pode registrar os produtos e contratos de serviço da Fortinet em http://support.fortinet.com e alterar seu
informações de registro a qualquer momento.
Para obter informações sobre nossa linha direta de suporte prioritário (suporte ao vivo), consulte http://support.fortinet.com .
Ao solicitar suporte técnico, forneça as seguintes informações:
● Seu nome e o nome e localização da sua empresa

● Seu endereço de e-mail e / ou número de telefone
● Seu número de contrato de suporte (se aplicável)
● O nome do produto e o número do modelo
● O número de série do produto (se aplicável)
● O número da versão do software ou firmware
● Uma descrição detalhada do problema
Base de Conhecimento Fortinet
A documentação técnica mais recente da Fortinet está disponível na Base de Conhecimento da Fortinet. O conhecimento
base contém breves artigos de instruções, FAQs, notas técnicas, guias de produtos e funcionalidades e muito mais. Visite a
Base de Conhecimento da Fortinet em http://kb.fortinet.com .
6 Melhores Práticas para o FortiOS 5.2
Página 7
visão global
Comentários sobre a documentação técnica da Fortinet
Por favor, envie informações sobre quaisquer erros ou omissões neste documento, ou qualquer documentação técnica da Fortinet,
para techdoc@fortinet.com .
Página 8
Sistema e desempenho
Ao implementar as seguintes práticas recomendadas para sistema e desempenho, você garantirá a máxima eficiência de
seu dispositivo FortiGate. Certifique-se de ler tudo com cuidado, particularmente a seção que diz respeito ao desligamento
o sistema FortiGate, a fim de evitar possíveis problemas de hardware.
atuação
● Desative todos os recursos de gerenciamento de que você não precisa. Se você não precisa de SSH ou SNMP, desative-os. SSH também
fornece outra possibilidade para os possíveis hackers se infiltrarem em sua unidade FortiGate.
● Coloque as regras de firewall mais usadas no topo da lista de interfaces.
● Registre somente o tráfego necessário. A gravação de logs, especialmente se for para um disco rígido interno, diminui o desempenho.
● Ativar apenas as inspeções de aplicativo necessárias.
● Mantenha os sistemas de alerta ao mínimo. Se você enviar logs para um servidor syslog, talvez não precise de alertas de SNMP ou e-mail,
fazendo para processamento redundante.
● Estabeleça atualizações programadas do FortiGuard a uma taxa razoável. Atualizações diárias ocorrendo a cada 4-5 horas são suficientes
para a maioria das situações. Em situações de tráfego mais intenso, agende atualizações para a noite, quando mais largura de banda
acessível.
● Mantenha os perfis de segurança no mínimo. Se você não precisar de um perfil em uma regra de firewall, não o inclua.
● Mantenha os VDOMs no mínimo. Em unidades FortiGate de baixo custo, evite usá-las, se possível.
● Evite a modelagem de tráfego se você precisar de desempenho máximo. A definição do tráfego, por definição, diminui o tráfego.
Desligando
Sempre desligue o sistema operacional FortiGate adequadamente antes de desligar o interruptor de energia para evitar
problemas de hardware catastróficos.
Para desligar a unidade FortiGate - gerenciador baseado na web:

1. Vá para Sistema> Status .
2. No widget Recursos do sistema , selecione Desligar .
Para desligar a unidade FortiGate - CLI:
executar o desligamento
Uma vez feito isso, você pode desligar a chave de energia com segurança ou desconectar os cabos de
fornecem.
Página 9
Migração
Os administradores de rede muitas vezes relutam em mudar os fornecedores de firewalls devido à percepção de que a migração
processo é difícil. De fato, não faz sentido esconder o fato de que mudar para um novo fornecedor requer cuidadosa
consideração. Mas a preocupação com a potencial dor da migração não deve impedir a adoção de novas
tecnologias de segurança. O objetivo deste capítulo é descrever as melhores práticas para executar tais migrações
e, finalmente, para facilitar o processo de migração em si.
Coleta de informações
É sempre uma boa prática realizar uma auditoria de rede completa antes de qualquer migração. Isso deve incluir:
● Back up completo de todos os sistemas de segurança (incluindo switches, roteadores) no caso de um back-out precisar ser executado.
● Diagrama de rede física e lógica com auditoria visual
Entender exatamente onde os cabos são executados na rede e verificar se eles estão todos corretamente rotulados é essencial para
evitar erros e tempo de inatividade desnecessário durante a atualização. Não negligencie coisas simples como:
● Tenho interfaces sobressalentes suficientes nos meus comutadores?

● Tenho os conectores direito de fibra (modo único / múltiplo) e direito (LC, FC, MTRJ, SC, ST)?
● Eu tenho cabos de reposição? (no calor do momento, é um erro simples quebrar um conector RJ-45 ou danificar um
fibra)
● Eu tenho espaço no rack para o novo equipamento?
● Eu tenho soquetes de energia suficientes?
Não importa o quão seguro um FortiGate esteja configurado na rede, não pode ajudar se ele tiver sido ignorado; visualmente
verificar onde o dispositivo está na rede em relação a outros dispositivos garantirá que você está mantendo a segurança
e verifique se o diagrama de rede é 'como construído'. Detalhes de todas as redes, incluindo máscaras de sub-rede, devem ser documentados
Neste ponto, verifique se o dispositivo de substituição está configurado com as informações corretas.
Migração de objetos e políticas
Embora tenhamos sugerido que algum nível de revisão manual está incluído na migração de políticas, pode ser útil
capaz de migrar automaticamente simplesmente entre o formato de outro fornecedor e o formato FortiGate. O FortiGate
O formato da diretiva é baseado em texto e pode ser facilmente recortado e colado em outros formatos de
à alta demanda de clientes para migrar para longe de outros fornecedores, a Fortinet lançou um
configuração da ferramenta de migração em http://convert.fortinet.com para simplificar esse processo. Suportando Cisco ACLs, PIX,
ASA, Check Point e Juniper, o conversor pode fazer o upload e converter com segurança a política para o formato Fortinet.
Teste e validação
Este é um processo importante e deve ser testado offline primeiro sempre que possível, ou seja, configurar a política no laboratório
ou em uma rede de teste e verifique se as permissões de acesso necessárias estão sendo implementadas. Para realmente testar o
Página 10
Migração
solução, o FortiGate pode ser implementado na rede ao vivo com um IP de gateway diferente eo
o usuário apontou para o novo gateway. Isso permite uma abordagem em etapas para migrar a nova plataforma para a rede
garantindo que o processo não interrompa as operações do dia a dia.
Indo ao vivo e obtendo feedback
Se o teste e a validação forem bem-sucedidos nesse ponto, você poderá migrar para o novo firewall alternando os IPs e
remover os dispositivos antigos ou alterando o gateway padrão no DHCP. Quando o firewall estiver no lugar, a aceitação
Os testes deverão, obviamente, ser realizados e um processo iterativo de ajuste será realizado para
configuração.
Adicionando novos serviços
A solução Fortinet terá uma infinidade de recursos adicionais em comparação com o seu fornecedor anterior e é muito
tentador para começar a ligá-los, mas é uma boa idéia esperar e validar o novo firewall como
configurado antes de adicionar novas funções, pois isso simplifica o teste e o diagnóstico de problemas. Finalmente complete o
migração (não se esqueça do Ciclo de Planejamento e Verificação), adicionando novos serviços que foram solicitados e
Aprenda sobre os vários recursos disponíveis com o appliance FortiGate.
Página 11
Especificações Ambientais
Mantenha as seguintes especificações ambientais em mente ao instalar e configurar sua unidade FortiGate.
● Temperatura de operação: 32 a 104 ° F (0 a 40 ° C). As temperaturas podem variar, dependendo do modelo FortiGate.
● Se você instalar a unidade FortiGate em um conjunto de rack fechado ou com várias unidades, a temperatura ambiente operacional do
ambiente de rack pode ser maior que a temperatura ambiente da sala.
Portanto, certifique-se de instalar o equipamento em um ambiente compatível com a capacidade máxima do fabricante.
temperatura ambiente nominal.
● Temperatura de armazenamento: -13 a 158 ° F (-25 a 70 ° C). As temperaturas podem variar, dependendo do modelo FortiGate.
● Umidade: 5 a 90% sem condensação.
● Fluxo de ar - Para a instalação em rack, certifique-se de que a quantidade de fluxo de ar necessária para a operação segura do equipamento seja
não comprometida.
● Para uma instalação independente, certifique-se de que o aparelho tenha pelo menos 1,5 pol. (3,75 cm) de espaço livre em cada lado
para permitir um fluxo de ar e resfriamento adequados.
Dependendo do seu dispositivo, o FortiGate pode gerar, usar e até irradiar energia de radiofrequência e, se não
instalado e usado de acordo com as instruções, pode causar interferência prejudicial às comunicações de rádio.
No entanto, não há garantia de que a interferência não ocorrerá em uma instalação específica. Se o equipamento não
causar interferência prejudicial à recepção de rádio ou televisão, que pode ser determinada desligando o equipamento
e em diante, o usuário é encorajado a tentar corrigir a interferência por uma ou mais das seguintes medidas:
● Reoriente ou reposicione a antena receptora.

● Aumente a separação entre o equipamento e o receptor.
● Conecte o equipamento a uma tomada em um circuito diferente daquele ao qual o receptor está conectado.
● Consulte o revendedor ou um técnico de rádio / TV experiente para obter ajuda.
A explosão é um risco sério se a bateria for substituída por um tipo incorreto. Descarte de
baterias usadas de acordo com as instruções. Para reduzir o risco de incêndio, use apenas o No. 26
AWG ou maior cabo de linha de telecomunicação certificado pela UL ou certificado pela CSA.
Aterramento
● Certifique-se de que a unidade FortiGate esteja conectada e adequadamente aterrada a um protetor contra raios e surtos. WAN ou LAN
conexões que entram nas instalações de fora do prédio devem ser conectadas a uma Ethernet CAT5 (10/100
Mb / s) protetor contra surtos.
● Cabos Ethernet de par trançado blindado (STP) devem ser usados sempre que possível, em vez de cabos não blindados
Par (UTP).
● Não conecte ou desconecte os cabos durante a atividade de raio para evitar danos à unidade FortiGate ou a
prejuízo.
Página 12
Especificações Ambientais
Montagem em rack
● Ambiente operacional elevado - Se instalado em um conjunto de rack fechado ou com várias unidades, o ambiente operacional
a temperatura do ambiente do rack pode ser maior que a do ambiente da sala.
Portanto, deve-se considerar a instalação do equipamento em um ambiente compatível com o
temperatura ambiente máxima (Tmax) especificada pelo fabricante.
● Fluxo de ar reduzido - A instalação do equipamento em um rack deve ser tal que a quantidade de fluxo de ar necessária para
a operação segura do equipamento não é comprometida.
● Carregamento Mecânico - A montagem do equipamento no rack deve ser tal que uma condição perigosa não seja
alcançado devido a carga mecânica desigual.
● Sobrecarga de circuito - Deve-se considerar a conexão do equipamento ao circuito de alimentação e
o efeito que a sobrecarga dos circuitos pode ter na proteção contra sobrecorrente e na fiação de alimentação. Apropriado
A consideração das classificações da placa de identificação do equipamento deve ser usada ao abordar essa preocupação.
● Aterramento confiável - aterramento confiável de equipamentos montados em rack deve ser mantida.
Atenção especial deve ser dada para fornecer conexões que não sejam conexões diretas ao circuito
uso de réguas de energia).
Página 13
Firmware
Atualização de firmware e downgrade soa bem simples, qualquer um pode fazer isso, certo? A marca de um profissional
não é que eles possam fazer algo corretamente, ou até mesmo fazê-lo corretamente de novo e de novo. Um profissional trabalha em
de tal forma que, se algo der errado, eles estão preparados e aptos a fazer com que as coisas voltem ao normal. Firmware
atualizações podem dar errado, assim como qualquer outra coisa. Então, um profissional de verdade faz as coisas de uma maneira que minimiza o risco delas
e segue algumas práticas recomendadas, conforme listado abaixo.
Gerenciamento de mudança de firmware
Considere os seguintes cinco pontos ao executar atualizações de firmware, não apenas no FortiOS, mas em geral. este
aplica-se a praticamente qualquer alteração que você tenha que fazer em um ambiente de produção.
Entendendo a nova versão primeiro
Antes de tentar qualquer mudança na produção, primeiro certifique-se de montar um laboratório onde possa jogar livremente
com os novos recursos, e entendê-los com tempo suficiente e sem pressão. Leia as Notas da versão,
Manuais e outras documentações, como apresentações, vídeos ou podcasts sobre a nova versão.
Você está pronto para explicar a necessidade de uma atualização depois de entender:
● As diferenças e os aprimoramentos entre a nova versão e a (s) versão (ões) anterior (es).
● O impacto da atualização nos clientes e nos usuários da plataforma operacional.
● As limitações conhecidas que podem afetar seu ambiente.
● Os riscos potenciais ao executar a atualização.
● As alterações de licenciamento que podem ser aplicadas.
Nunca tente atualizar para uma versão que você não entende totalmente (tanto em recursos
limitações conhecidas) e sobre as quais você não tem experiência operacional.
Tenha um motivo válido para atualizar
O motivo não pode ser "Porque eu quero ter a versão mais recente". A razão deve ser explicada em termos de
melhoria comercial, técnica e / ou operacional.
Respostas afirmativas para as seguintes perguntas são razões válidas para atualizar:
● A nova versão tem um recurso que ajuda a garantir a conformidade?

● A nova versão tem um aprimoramento que permite 40% de redução (40% de melhoria) no tempo de execução?
uma determinada operação?
● O novo recurso corrige um defeito / bug conhecido encontrado em uma versão anterior que afeta a empresa?
operações de negócio?
● A nova versão permitirá à sua organização implantar novos serviços que ajudarão a conquistar novos clientes ou aumentar

Página 14
Firmware
lealdade dos já existentes?

● O fornecedor está cortando o suporte para a versão que sua organização está usando atualmente?
Se a melhor razão para atualizar é "Porque os novos recursos parecem ser legais" ou "Porque eu quero ter o mais recente
versão ”, um pouco mais de compreensão e planejamento pode ser necessário.
Prepare um plano de atualização
Se você optar por atualizar porque encontrou um motivo válido para fazer isso, crie um plano que cubra
aspectos comerciais, técnicos e operacionais da atualização:
O negócio:
O planejamento e a justificativa adequados para uma atualização devem ser proporcionais à importância do sistema para o
o negócio.
● Certifique-se de poder articular claramente os benefícios da atualização em termos comerciais (tempo, dinheiro e eficiência).
● Entenda os processos de negócios que serão afetados pela mudança.
● Verifique se a janela de atualização de atualização não está próxima de um processo crítico de negócios (como trimestral ou mensal
fechamento de negócios).
● Obtenha aprovação executiva e operacional para a janela de manutenção. A aprovação deve vir dos proprietários
de TODOS os sistemas / informações afetados pela atualização, não apenas daqueles que possuem o sistema que está sendo atualizado.
A aprovação deve ser feita de forma formal (por escrito ou por e-mail).
Técnico e operacional:
● Releia as Notas da Versão da tecnologia que você está atualizando. Modelos de hardware suportados, caminhos de atualização e
limitações conhecidas devem ser claramente entendidas.
● Verifique se a janela de atualização de atualização não se sobrepõe a nenhuma outra janela de manutenção
a infraestrutura.
● Se você tiver alguma oferta de suporte premium (como TAM, Suporte Premium), faça um exercício de planejamento de capacidade para garantir
a nova versão de firmware / software não requer mais recursos de hardware do que você possui atualmente.
● Crie um backup, independentemente de você ter ou não planejado backups. Crie um novo backup novo.
● Obtenha cópias offline do firmware atualmente instalado e da nova versão.
● Crie uma lista de sistemas com interdependências para o sistema que você está atualizando. Por exemplo, se você é
atualizando um FortiGate; compreender o impacto em qualquer FortiAP, FortiAuthenticator, FortiToken, FortiManager ou
FortiAnalyzer você tem em seu ambiente.
● Certifique-se de ter uma lista de dispositivos adjacentes à plataforma de upgrade e tenha acesso administrativo a eles, apenas em
Caso você precise fazer alguma solução de problemas. Você está atualizando o FortiWeb? Certifique-se de que você pode administrativamente
acessar os aplicativos da Web. Você está atualizando um FortiGate? Certifique-se de que você pode administrativamente acessar
switches e roteadores próximos.
● Tenha um plano passo a passo sobre como executar e testar a atualização. Você quer ter certeza de que pensa no pior
situação antes que aconteça, e tem cursos pré-definidos de ação, em vez de pensar sob pressão quando
algo já deu errado.
● Defina um conjunto de testes (que incluem aplicativos de negócios críticos que devem estar funcionando) para garantir que o upgrade
foi bem. Se algum teste não for bem, defina quais exigem uma reversão e quais podem ser toleradas
resolução de problemas. Esse conjunto de testes deve ser executado antes e depois da atualização para comparar os resultados, e eles
deve ser o mesmo.
Página 15
Firmware
● Defina um plano de reversão claro. Se algo der errado com a atualização ou os testes, o plano de reversão ajudará você
Retorne seu ambiente a um status conhecido e operacional. O plano deve indicar claramente as condições sob
qual a reversão será iniciada.
● Declare configuração congela. Um pouco antes e depois da atualização. A ideia é reduzir a quantidade de
variáveis a serem consideradas se algo der errado.
● Execute uma atualização de "Garantia de qualidade". Pegue uma cópia da configuração de produção, carregue-a em uma não produção
caixa e executar o upgrade lá para ver se há algum problema no processo. Em seguida, ajuste o seu plano de acordo com
os resultados obtidos.
● Tenha uma lista de elementos de informação a serem reunidos se algo der errado. Isso garante que, mesmo se o upgrade
Se você falhar, coletará informações suficientes para solucionar o problema sem a necessidade de repetir o problema.
Obtenha ajuda dos departamentos de TAC / Suporte se precisar verificar o que mais pode estar faltando na sua lista.
● Defina um período de monitoramento de teste após a conclusão da alteração. Mesmo que a atualização tenha ocorrido sem problemas, algo
ainda poderia dar errado. Certifique-se de monitorar o sistema atualizado por pelo menos um ciclo de negócios. Ciclos de negócios
pode ser uma semana, um mês ou um trimestre, dependendo das prioridades de negócios da sua organização.
Execute o plano de atualização
A execução de uma atualização é tão importante quanto o planejamento.

Uma vez que você esteja executando a atualização, a pressão aumentará e o estresse poderá atingir o pico. É por isso que você deve se ater a
o plano que você criou com uma cabeça legal.
Resista à tentação de tomar decisões durante a execução da atualização, pois seu julgamento será obscurecido pela
estresse do momento, mesmo que uma nova decisão pareça ser "óbvia" nesse momento. Se o seu plano diz que você deveria
reversão, em seguida, executar o retrocesso, apesar da mentalidade potencial de "Podemos consertar isso muito rapidamente".
Ao executar a atualização, certifique-se de que todos os componentes envolvidos estejam permanentemente monitorados antes, durante
e após o upgrade, seja via sistemas de monitoramento, alertas SNMP, ou pelo menos com ferramentas como um ping. Crítico
Recursos como CPU, memória, rede e / ou utilização de disco também devem ser constantemente monitorados.
Para evitar mal-entendidos, ao realizar os testes para cada aplicação crítica definida no planejamento,
Verifique se há notificações formais sobre os resultados para cada área de usuário, serviço, sistema e / ou aplicativo
testado.
Independentemente se você tem que reverter ou não, se ocorrer um problema, certifique-se de reunir o máximo de informações sobre
o problema possível, para que você possa posteriormente colocar um ticket de suporte para encontrar uma solução.
Por último, mas não menos importante, documente a atualização:
● Permita que seu programa de emulação de terminal deixe rastros de todos os comandos executados e de toda a saída gerada.
Se você estiver executando etapas por meio da GUI, considere o uso de uma ferramenta de captura de vídeo para documentá-la.
● Documente qualquer comando ou alteração realizada nos sistemas adjacentes / interdependentes. Certifique-se de que eles estão
reconhecido pelos administradores relevantes
● Documente quaisquer desvios realizados sobre o plano de atualização. Isso é planejado versus real.
Saiba mais sobre o gerenciamento de mudanças
Change Management e Change Control são imensas áreas de conhecimento na área de Sistemas de Informação e
Segurança de Computador / Rede.
Este documento não é de forma alguma uma lista abrangente sobre o que você deve fazer ao executar uma atualização, com
Fortinet ou qualquer outra tecnologia. É apenas uma lista de coisas importantes que você deve levar em consideração
Página 16
Firmware
ao realizar upgrades que são o resultado de anos de experiência lidando com mudanças em
ambientes, pois é comum que os dispositivos de segurança estejam protegendo aplicativos e processos críticos.
Existem vastos recursos sobre o assunto: livros, whitepapers públicos, entradas de blog, etc. Se você pesquisar na Internet por
as “Melhores Práticas de Controle de Mudanças” ou “Melhores Práticas de Gerenciamento de Mudanças”, você obterá muitos
documentos.
Mudanças na infraestrutura de TI de produção são críticas para os negócios. Certifique-se de que eles
jogar a seu favor e não contra você.
Executando uma atualização de firmware
A atualização de um firewall é algo que deve ser comparado à atualização do sistema operacional em seu computador.
Não é para ser tomada de ânimo leve! Você quer ter certeza de que tudo foi feito backup e você tem algumas opções disponíveis se
as coisas dão errado. Assumindo que tudo parece funcionar, você também quer uma lista de coisas a fazer para confirmar que tudo está
trabalhando corretamente. Finalmente, você precisa de tempo suficiente para fazê-lo. Tudo muito simples, mas o que isso significa em
em relação à atualização do seu FortiGate? Isso significa que você segue estes passos simples:
1. Faça backup e armazene a configuração antiga (backup de configuração completa da CLI).
Cavar isso um pouco, passo 1, é fácil de entender. Faça um backup completo da sua configuração antiga. Isso tudo faz parte
seu plano de recuperação de desastres. Se a atualização falhar de alguma forma, você precisa ter certeza de que pode recuperar o Firewall
funcionando. A melhor maneira de fazer isso é voltar a um estado em que você sabe qual era o comportamento. Para
mais informações, consulte "Execução de um backup de configuração" na página 17 .
2. Tenha cópia do firmware antigo disponível.
A etapa 2 também faz parte da sua recuperação de desastres. Se a atualização falhar, talvez seja possível alternar a partição ativa.
Mas como profissional, você precisa estar preparado para o pior cenário onde você não pode fazer isso. Que significa
você precisará do seu firmware antigo.
3. Ter opção de recuperação de desastre em espera - especialmente se remoto.
Passo 3, é o seu plano para o que fazer no caso de uma falha crítica. Como estamos falando FortiGate isso significa que o seu
O firewall não retorna depois da atualização. O que isto significa é que você precisa ser capaz de chegar ao console
porta, a fim de descobrir o porquê. Talvez seja DHCP e o IP mudou, talvez o SO esteja corrompido, quem sabe? Pegar
o console e descubra.
Poderia haver uma solução simples. Se não houver, esteja preparado para um formato e recarga de TFTP.
4. Leia as notas de lançamento, incluindo o caminho de atualização e as informações de bug.
Etapa 4, LEIA AS NOTAS DE LIBERTAÇÃO. Eles contêm todos os tipos de informação, bugs conhecidos, bugs corrigidos
problemas de atualização, como configurações perdidas. Nem todas as informações de atualização estão contidas em produtos
notas de lançamento. Isso não significa que eles sejam desprovidos de informações boas / úteis. Leia-os, digere-os, depois um
alguns dias depois, leia-os novamente.
5. Verifique novamente tudo.
Passo 5, faça uma verificação dupla de tudo. Seu servidor TFTP está funcionando, sua função de conexão do console é
Existe alguma coisa nas notas de lançamento que poderia impactar o seu procedimento de atualização, você tem sua configuração
backup? Certifique-se de que você fez tudo.
6. Upgrade.
Etapa 6, faça o upgrade. Fazer uma atualização não leva muito tempo, alguns minutos (menos muitas vezes), mas certifique-se
você agende tempo suficiente para isso. No final do dia, uma atualização pode ter sucesso ou falhar. Se tiver sucesso, você quer
Página 17
Firmware
algum tempo para verificar / confirmar que quaisquer recursos importantes que você tem estão funcionando (VPNs etc).
Se falhar,
para vocêasprecisará
resolver coisas. de tempo
Realizando um downgrade do firmware
Assim como atualizar, você precisa ter certeza de que é feito corretamente. Embora semelhantes, os passos são um pouco diferentes
já que existem outras armadilhas nesse caso.
1. Localize o arquivo de configuração pré-atualização.
O passo 1 é muito importante. É por isso que, ao fazer o upgrade, você faz um backup da sua configuração antiga e a salva.
Se você não fizer isso, precisará reconstruir manualmente.
2. Tenha cópia do firmware antigo disponível.
O passo 2 é bastante óbvio. Mesmo com dispositivos que têm várias partições e seu processo de downgrade é simplesmente
vai ser para mudar a partição ativa, isso poderia dar errado. Nesse caso, você pode estar sem acesso à Internet.
Um profissional tem um plano para quando as coisas dão errado.
3. Ter opção de recuperação de desastre em espera - especialmente se remoto.
O passo 3 não é diferente de antes. Espero que você não precise formatar a unidade, mas esteja preparado para isso, apenas em
caso.
4. Leia as notas de lançamento - é um downgrade possível ou necessário?
O passo 4, mais uma vez, é ler as notas de lançamento. Neste caso, você precisará fazer isso para a versão que você
estão em, e a versão que você está rebaixando também, e tudo mais (se você estiver voltando
lançamentos ou patches). Talvez o sistema operacional tenha mudado de 32 para 64 bits em algum lugar entre as duas versões de firmware.
Para ter certeza de que você não será pego por algo assim, você precisa verificar a atualização e o downgrade
informações em todos os principais lançamentos e atualizações, pois isso pode ter um impacto direto em suas opções.
5. Verifique novamente tudo.
6. Downgrade - todas as configurações, exceto as necessárias para acesso, são perdidas.
Os passos 5 e 6 são os mesmos de antes. Verifique tudo e faça o downgrade.
7. Restaure a configuração de pré-atualização.
O passo 7 é novo. Obviamente, a maioria das configurações são perdidas quando você faz o downgrade para voltar a usá-lo
precisará restaurar seu arquivo de configuração antigo.
Executando um backup de configuração
Depois de configurar a unidade FortiGate e ela estiver funcionando corretamente, é extremamente importante que você faça o backup da
configuração. Em alguns casos, pode ser necessário redefinir a unidade FortiGate para os padrões de fábrica ou executar um TFTP
upload do firmware, que apagará a configuração existente. Nestes casos, a configuração no
dispositivo terá que ser recriado, a menos que um backup possa ser usado para restaurá-lo.
Também é recomendável que, depois de fazer qualquer alteração adicional, você faça o backup da configuração imediatamente,
para garantir que você tenha a configuração mais atual disponível. Além disso, certifique-se de fazer backup da configuração antes
atualizando o firmware da unidade FortiGate. Caso alguma coisa aconteça durante a atualização que muda o
configuração, você pode restaurar facilmente a configuração salva.
Sempre faça o backup da configuração e armazene-a no computador de gerenciamento ou fora do local. Você tem a opção de
salvar o arquivo de configuração em vários locais, incluindo o PC local, chave USB, FTP e site TFTP.
são configuráveis apenas pela CLI.
Página 18
Firmware
Se você tiver VDOMs, poderá fazer o backup da configuração de toda a unidade FortiGate ou apenas de um VDOM específico. Nota
que, se você estiver usando o FortiManager ou o FortiCloud, serão feitos backups completos e a opção de backup individual
VDOMs não aparecerão.
Para fazer backup da configuração do FortiGate - gerenciador baseado na web:
1. Vá para Sistema> Painel> Status .

2. No widget Informações do sistema , selecione Backup ao lado de Configuração do sistema .
3. Selecione para fazer backup no seu PC local ou em um disco USB .
A opção Disco USB ficará acinzentada se não houver uma unidade USB inserida na porta USB. Você também pode fazer backup para o
FortiManager usando o CLI.
4. Se os VDOMs estiverem ativados, selecione para fazer backup de toda a configuração do FortiGate ( Full Config ) ou apenas de um VDOM específico.
configuração (configuração VDOM ).
5. Se estiver fazendo backup de uma configuração de VDOM, selecione o nome do VDOM na lista.
6. Selecione Criptografar arquivo de configuração .
A criptografia deve estar ativada no arquivo de backup para fazer o backup de certificados VPN.
7. Digite uma senha e insira-a novamente para confirmá-la. Você precisará desta senha para restaurar o arquivo.
8. Selecione Backup .
9. O navegador da Web solicitará um local para salvar o arquivo de configuração. O arquivo de configuração terá um
extensão .conf.
Para fazer o backup da configuração do FortiGate - CLI:

executar configuração de backup-estação de gerenciamento <comentário>
… Ou…
execute backup config usb <backup_filename> [<backup_password>]
… Ou para FTP (note que o número da porta, nome de usuário são opcionais dependendo do site FTP)…
executar configuração de backup ftp <backup_filename> <ftp_server> [<port>] [<user_name>]
[<senha>]
… Ou para TFTP…
executar configuração de backup tftp <backup_filename> <tftp_servers> <password>
Use os mesmos comandos para fazer backup de uma configuração de VDOM inserindo primeiro os comandos:
config vdom
editar <vdom_name>
Fazendo backup de um arquivo de configuração usando o SCP
Você pode usar o protocolo de cópia segura (SCP) para baixar o arquivo de configuração da unidade FortiGate como um
método alternativo de fazer backup do arquivo de configuração ou de um arquivo de configuração individual do VDOM. Isso é feito por
habilitar o SCP para uma conta de administrador e habilitar o SSH em uma porta usada pelo aplicativo cliente SCP para
conectar-se à unidade FortiGate. O SCP é ativado usando os comandos da CLI:
sistema de configuração global
definir permissão do admin-scp
fim
Página 19
Firmware
Use os mesmos comandos para fazer backup de uma configuração de VDOM inserindo primeiro os comandos:
configuração global
definir permissão do admin-scp
fim
config vdom
editar <vdom_name>
Página 20
Perfis de segurança (AV, Web Filtering etc.)
A infecção pode vir de muitas fontes e ter muitos efeitos diferentes. Por causa disso, não há um único meio
para proteger efetivamente sua rede. Em vez disso, você pode proteger melhor sua rede com as várias ferramentas UTM
A unidade FortiGate oferece.
Firewall
● Tenha cuidado ao desativar ou excluir as configurações do firewall. Alterações que você faz na configuração do firewall usando
o GUI ou o CLI são salvos e ativados imediatamente.
● Organize as políticas de firewall na lista de políticas, de mais específica a mais geral. O firewall procura uma correspondência
política começando no topo da lista de políticas e trabalhando. Por exemplo, uma política muito geral corresponde a todos
tentativas de conexão. Ao criar exceções para uma política geral, você deve adicioná-las à lista de políticas acima
a política geral.
● Evite usar a seleção Todos para os endereços de origem e destino. Use endereços ou grupos de endereços.
● Se você remover todas as políticas do firewall, não haverá correspondências de política e todas as conexões serão descartadas.
● Se possível, evite intervalos de portas em serviços por motivos de segurança.
● As configurações para uma política de firewall devem ser o mais específicas possível. Não use 0.0.0.0 como um endereço. Não use qualquer
como um serviço. Use sub-redes ou endereços IP específicos para endereços de origem e destino e use serviços individuais
ou grupos de serviços.
● Use uma máscara de sub-rede de 32 bits ao criar um único endereço de host (por exemplo, 255.255.255.255).
● Use o registro em uma política somente quando necessário e esteja ciente do impacto no desempenho. Por exemplo, você pode querer
para registrar todas as conexões descartadas, mas pode optar por usar isso com moderação, testando dados de tráfego em vez de
armazenando continuamente informações de log que você não pode usar.
● É possívelexplícitas
interfaces usar políticas de segurança baseadas em qualquer interface. No entanto, para melhor granularidade e segurança mais rigorosa,
são recomendadas.
● Use o campo de comentário para inserir dados de gerenciamento, por exemplo: quem solicitou a regra, quem a autorizou etc.
● Evite endereços FQDN, se possível, a menos que sejam internos. Isso pode causar um impacto no desempenho em consultas DNS e
impacto de segurança do DNS spoofing.
● Para interfaces não vlan, use zonas (mesmo se você tiver apenas uma interface única para membros) para permitir:
● Um nome explícito da interface a ser usada nas políticas de segurança ('internal' é mais explícito que 'port10').
● Uma divisão entre a porta física e sua função para permitir o remapeamento de porta (por exemplo, mover de um 1G
interface para uma interface 10G) ou para facilitar a conversão da configuração, conforme realizado durante as atualizações de hardware.
Segurança
● Use o NTP para sincronizar a hora no FortiGate e nos sistemas de rede principais, como servidores de e-mail, servidores web,
e serviços de log.
● Ative as regras de registro para corresponder à política corporativa. Por exemplo, eventos de autenticação de administração de log e acesso a
sistemas de interfaces não confiáveis.
Página 21
● Minimize alterações ad hoc em sistemas ativos, se possível, para minimizar as interrupções na rede. Quando não for possível,
crie configurações de backup e implemente sistemas de auditoria sólidos usando o FortiAnalyzer e o FortiManager.
● Se você só precisa permitir o acesso a um sistema em uma porta específica, limite o acesso criando a regra mais rígida
possível.
Autenticação
● Você deve adicionar um grupo de usuários válido para ativar a caixa de seleção Autenticação na página de configuração da política de firewall.
● Os usuários podem autenticar com o firewall usando HTTP ou FTP. Para que os usuários possam autenticar, você deve adicionar um
Política HTTP ou FTP configurada para autenticação.
Antivírus
● Habilite a verificação antivírus na borda da rede para todos os serviços.

● Use a verificação antivírus do endpoint FortiClient para proteção contra ameaças que entram em sua rede.
● Assine as Atualizações do FortiGuard AntiVirus e configure sua unidade FortiGate para receber atualizações por push. Isso vai
Certifique-se de receber atualizações de assinatura de antivírus assim que elas estiverem disponíveis.
● Para garantir que todas as atualizações por push do antivírus ocorram, verifique se você tem um perfil antivírus habilitado em uma política de segurança.
● Ative apenas os protocolos que você precisa verificar. Se você tiver verificações antivírus ocorrendo no servidor SMTP ou usar
FortiMail, é redundante que a digitalização também ocorra na unidade FortiGate.
● Reduza o tamanho máximo do arquivo a ser verificado. Os vírus geralmente viajam em pequenos arquivos de 1 a 2 megabytes.
● Não coloque arquivos em quarentena, a menos que você os monitore e revise regularmente. Isto é um desperdício de espaço e
impacta o desempenho.
● Examine relatórios de antivírus e registre mensagens periodicamente. Tome especial atenção de detecções repetidas. Para
Por exemplo, a detecção repetida de vírus no tráfego SMTP pode indicar que um sistema em sua rede está infectado e está
tentando entrar em contato com outros sistemas para espalhar a infecção usando um mailer em massa.
Antispam
● Se possível, use uma unidade FortiMail. Os mecanismos antispam são mais robustos.
● Use servidores DNS rápidos.
● Use perfis de segurança específicos para a regra que usará o antispam.
● Verificações de DNS podem causar falsos positivos com a pesquisa de DNS HELO.
● A análise de conteúdo (palavras proibidas) pode impor sobrecarga de desempenho.
Sistema de Prevenção de Intrusões (IPS)
O sistema IPS do seu FortiGate pode detectar tráfego tentando explorar esta vulnerabilidade. O IPS também pode detectar quando
os sistemas infectados se comunicam com os servidores para receber instruções. Consulte a seguinte lista de melhores práticas
sobre o IPS.
Página 22
● Ative a varredura IPS na borda da rede para todos os serviços.

● Use a varredura FortiClient endpoint IPS para proteção contra ameaças que entram em sua rede.
● Assine as atualizações do FortiGuard IPS e configure sua unidade FortiGate para receber atualizações por push. Isso garantirá
você recebe atualizações de assinaturas IPS assim que elas estiverem disponíveis.
● Como é essencial proteger-se contra ataques a serviços disponibilizados para o público, configure o IPS
assinaturas para bloquear assinaturas correspondentes. Por exemplo, se você tiver um servidor da Web, configure a ação do servidor da Web
assinaturas para bloquear.
● Crie e use perfis de segurança com assinaturas e anomalias específicas que você precisa por interface e por regra.
● Não use perfis predefinidos ou genéricos. Embora esses perfis sejam convenientes para fornecer proteção imediata, você
deve criar perfis para se adequar ao seu ambiente de rede.
● Se você usar os perfis padrão, reduza as assinaturas / anomalias IPS ativadas no perfil para conservar o processamento
tempo e memória.
● Se você for ativar anomalias, certifique-se de ajustar os limites de acordo com o seu ambiente.
● Se você precisar de proteção, mas não de informações de auditoria, desative a opção de log.
● Ajuste o parâmetro do protocolo IP de acordo.
Bloqueio do Skype usando opções CLI para melhor detecção
Se você quiser identificar ou bloquear as sessões do Skype, use o seguinte comando CLI com o serviço público do FortiGate.
Endereço IP para melhorar a detecção (FortiOS 4.3.12+ e 5.0.2+):
ips de configuração globais
defina skype-client-public-ipaddr <198.51.100.0,203.0.113.0>
fim
Observe que a sintaxe acima é configurada usando vários endereços IP públicos, em que um único endereço IP público pode
suficiente dependendo da sua configuração de rede.
Página 23
Filtro de e-mail
Filtro de e-mail
O spam é um meio comum pelo qual os ataques são entregues. Os usuários geralmente abrem anexos de e-mail que não deveriam
e infectar sua própria máquina.
● Ative a filtragem de e-mail na borda da rede para todos os tipos de tráfego de e-mail.
● Use a varredura FortiClient endpoint IPS para proteção contra ameaças que entram em sua rede.
● Assine o Serviço AntiSpam FortiGuard.
Filtragem de URL
As práticas recomendadas para filtragem de URL podem ser divididas em quatro categorias: filtragem baseada em fluxo versus filtragem baseada em proxy; lo
recurso de categoria / classificação; Filtro de URL 'Isento' ação; e Deep Scan.
Baseado em fluxo versus baseado em proxy
Tente evitar misturar recursos baseados em fluxo e proxy no mesmo perfil se você não estiver usando IPS ou
Controle de aplicativos.
Recurso de categoria / classificação local
As categorias locais e os recursos de classificação local consomem uma grande quantidade de recursos da CPU, portanto, use esses recursos como
que possível. É melhor usar as categorias locais em vez de usar o recurso "substituir", pois o recurso "substituir"
é mais complicado e mais difícil de solucionar.
Filtro de URL "Isento"
Ao usar a opção 'Isento' do filtro de URL, todas as verificações (incluindo antivírus) são ignoradas por padrão, portanto, use este
opção apenas para sites confiáveis.
Notas de configuração: você precisa configurar ações 'Exempt' no filtro de URL se quiser ignorar o
FortiGuard Web Filter.Você pode configurar qual (is) inspeção (ões) específica (s) você deseja ignorar usando o conjunto
comando isento em config webfilter urlfilter.
Varredura profunda
O recurso "Varredura profunda" é muito mais pesado em recursos do que "Somente varredura de URL HTTPS". Deep Scan é muito mais
preciso, pois muitos sites (como vários aplicativos do Google) não podem ser verificados separadamente sem
digitalização ativada.
Nota: Se você configurar a Varredura profunda no perfil SSL e, em seguida, configurar 'Habilitar somente varredura de URL HTTPS' na web
perfil de filtro, o Deep Scan não é executado.
Página 24
Filtragem da Web
Filtragem da Web
O FortiGuard Web Filtering pode ajudar a impedir infecções de sites de malware e ajudar a impedir a comunicação se
infecção ocorre.
● Ative o FortiGuard Web Filtering na borda da rede.

● Instale o aplicativo FortiClient e use o FortiGuard Web Filtering em qualquer sistema que contorne sua unidade FortiGate.
● Bloqueie categorias como Pornografia, Malware, Spyware e Phishing. Essas categorias são mais propensas a serem
perigoso
Gerenciamento de patches
Quando as vulnerabilidades são descobertas no software, os fornecedores de software lançam atualizações que corrigem esses problemas.
Manter seu software e sistema operacional atualizados é um passo vital para evitar a infecção e defender-se contra
ataques.
● Siga os últimos alertas e relatórios na página do FortiGuard.

● Aplique atualizações a todos os softwares à medida que as atualizações forem disponibilizadas.
● O FortiGaurd Vulnerability Management pode ajudar a identificar pontos fracos de segurança em sua rede. Esta assinatura
O serviço está disponível através das unidades FortiScan e FortiAnalyzer.
● Aplique atualizações de firmware à sua unidade FortiGate assim que elas forem liberadas.
● Inscreva-se nos serviços FortiGuard AntiVirus e IPS, para que os mecanismos de verificação antivírus e IPS sejam automaticamente
atualizado quando novas versões são lançadas.
Página 25
Configuração de políticas
Configurar a unidade FortiGate com uma política de tráfego 'allow all' é muito indesejável. Enquanto isso simplifica muito
a configuração, é menos segura. Como medida de segurança, a melhor prática para a base de regra da política "negar" é
padrão, e não o contrário.
Mudanças de configuração de política
Em um sistema carregado de cargas pesadas, a configuração do plano é alterada durante períodos de baixa utilização para minimizar o impacto
Uso da CPU e sessões estabelecidas. Nesse cenário, considera-se uma prática recomendada desacelerar o
sessões aceleradas por hardware.
Você pode configurar o comportamento desacelerado em sessões aceleradas por hardware usando comandos CLI para controlar
como o processador gerencia mudanças de configuração de política. Os seguintes comandos da CLI devem ser usados:
configurações do sistema de configuração
set firewall-session-dirty {verificar tudo | check-new | check-policy-option}
fim
onde você quer que o seguinte seja verdadeiro:
verificar tudo A CPU libera todas as sessões atuais e as reavalia. Este é o padrão
opção.
A CPU mantém as sessões existentes e aplica as alterações de política a novas sessões

check-new
só. Isso reduz a carga da CPU e a possibilidade de perda de pacotes.
check-policy-option Use a opção selecionada no campo sujo da sessão de firewall do

política de firewall (check-all ou check-new, como acima, mas por política).
Política de lista de permissões
● Permitir apenas o tráfego de entrada e saída necessário.

● Se possível, limite o tráfego a endereços ou sub-redes específicos. Isso permite que a unidade FortiGate reduza o tráfego de e para
endereços inesperados.
Políticas IPS e DoS
● Como é essencial proteger-se contra ataques a serviços disponibilizados para o público, configure o IPS
assinaturas para bloquear assinaturas correspondentes. Por exemplo, se você tiver um servidor da Web, configure a ação do servidor da Web
assinaturas para bloquear.
● Sua unidade FortiGate inclui assinaturas IPS escritas para proteger títulos de software específicos contra ataques DoS. Ativar o
assinaturas para o software que você instalou e definir a ação de assinatura como Bloquear.
Os ataques DoS são lançados contra vulnerabilidades. Mantenha uma assinatura do FortiGuard IPS para garantir o seu FortiGate
● unidade recebe automaticamente assinaturas IPS novas e atualizadas à medida que são liberadas.
● Use e configure políticas DoS para níveis apropriados com base no tráfego e na topologia de sua rede. Isso ajudará a soltar
tráfego se uma quantia anormal for recebida. A chave é definir um bom limite. O limite define o máximo
Página 26
número de sessões / pacotes por segundo de tráfego normal. Se o limite for excedido, a ação será acionada.
Os padrões de limite são recomendações gerais, mas sua rede pode exigir valores muito diferentes. Uma maneira de
Encontrar os valores corretos para o seu ambiente é definir a ação para passar e habilitar o log. Observe os logs e
ajustar os valores de limite até que você possa determinar o valor no qual o tráfego normal começa a gerar ataque
relatórios. Defina o limite acima desse valor com a margem desejada. Note que quanto menor a margem, mais
Protegido seu sistema será de ataques DoS, mas seu sistema também será mais provável gerar alarmes falsos.
Página 27
Networking
Ao configurar sua rede, certifique-se de que não haja acesso "back door" à rede protegida. Por exemplo,
Se houver um ponto de acesso sem fio, ele deve ser protegido adequadamente com senha e criptografia.
Certifique-se de também manter um diagrama de rede atualizado que inclua endereçamento IP, cabeamento e rede
elementos.
Configuração de roteamento
● Sempre configure uma rota padrão.

● Adicione rotas blackhole para sub-redes acessíveis por meio de túneis VPN. Isso garante que, se um túnel VPN cair, o tráfego
não é erroneamente encaminhado para a Internet sem criptografia.
Roteamento de políticas
Mantenha o número de rotas de políticas no mínimo para otimizar o desempenho na pesquisa de rota e para simplificar
solução de problemas.
Roteamento dinâmico
● Selecione um ID de roteador que corresponda a um IP atribuído a uma interface. Isso evita a probabilidade de ter dois dispositivos
com o mesmo ID de roteador.
● Para o roteamento em um túnel IPsec, atribua endereços IP às duas extremidades do túnel.
Roteamento avançado
Use as seguintes práticas recomendadas para roteamento avançado ao lidar com o Border Gateway Protocol (BGP) e
Abra o caminho mais curto primeiro (OSPF).
Border Gateway Protocol (BGP)
Se você estiver usando o BGP, é recomendável ativar a reconfiguração suave. Isso tem dois benefícios:
● Ele permite que você execute 'soft clear' de pares após uma alteração em uma política do BGP.
● Ele fornece maior visibilidade para os prefixos específicos aprendidos de cada vizinho.
Deixe a reconfiguração suave desativada se o seu FortiGate não tiver muita memória não utilizada. Reconfiguração suave
requer manter cópias separadas de prefxies recebidos e anunciados, além do banco de dados BGP local.
Abra o caminho mais curto primeiro (OSPF)
● Evite o uso de interfaces passivas sempre que possível.

● Evite o uso de links virtuais para conectar áreas. Todas as áreas devem ser projetadas para se conectar diretamente à área do backbone.
Página 28
Networking
● Certifique-se de que todos os roteadores de backbone tenham no mínimo duas conexões de peering para outros vizinhos de backbone.
● Um domínio OSPF inteiro deve estar sob administração comum.
Conversão de endereços de rede (NAT)
● Cuidado com a configuração incorreta do intervalo do IP Pool. Verifique novamente os IPs inicial e final de cada pool de IP. O pool de IP deve
não se sobrepõem a endereços atribuídos a interfaces FortiGate ou a quaisquer hosts em redes diretamente conectadas.
● Se você tiver usuários internos e externos acessando os mesmos servidores, use o DNS dividido para oferecer um IP interno a um servidor interno.
usuários para que eles não tenham que usar o VIP externo.
Configurando o NAT
Não habilite o NAT para tráfego de entrada, a menos que seja exigido por um aplicativo. Se, por exemplo, o NAT estiver habilitado para
tráfego SMTP de entrada, o servidor SMTP pode atuar como uma retransmissão aberta.
Modo Transparente
● Não conecte duas portas à mesma VLAN em um comutador ou ao mesmo hub. Alguns switches da Camada 2 se tornam
instáveis quando detectam o mesmo endereço MAC originado em mais de uma interface de switch ou de mais de
uma VLAN.
● Se você operar várias VLANs em sua unidade FortiGate, atribua cada ID de VLAN a seu próprio domínio de encaminhamento para garantir
que o escopo da transmissão não se estende além da VLAN originou em.
Para proteger contra loops de camada 2:
● Ative o stpforward em todas as interfaces.

● Use VDOMs separados para tráfego de produção (VDOM no modo TP) e tráfego de gerenciamento (NAT / Modo de rota VDOM).
● Coloque apenas essas interfaces usadas para produção no VDOM do modo TP. Coloque todas as outras interfaces no NAT / Route
modo VDOM. Isso protege contra possíveis loops da camada 2.
Usando IPs virtuais (VIPs)
● Use o IP externo de 0.0.0.0 ao criar um VIP para uma unidade FortiGate onde o endereço IP da interface externa é
dinamicamente atribuído.
● Certifique-se de selecionar a interface externa correta ao criar um novo IP virtual (VIP). A interface externa deve ser
definido para a interface na qual a unidade FortiGate recebe solicitações de conexão de redes externas.
Página 29
Alta disponibilidade do FGCP
A Fortinet sugere as seguintes práticas relacionadas à alta disponibilidade:
● Use o Active-Active HA para distribuir sessões TCP e UTM entre várias unidades de cluster. Um cluster ativo-ativo
pode ter maior rendimento do que uma unidade independente do FortiGate ou um cluster ativo-passivo.
● Use um nome de host diferente em cada unidade FortiGate ao configurar um cluster de HA. Menos etapas são necessárias para adicionar
nomes de host para cada unidade de cluster antes de configurar o HA e formar um cluster.
● Considere adicionar um Alias às interfaces usadas para o heartbeat HA para que você sempre tenha um lembrete sobre o que
essas interfaces estão sendo usadas para.
● Habilitar o balanceamento de carga-tudo pode aumentar a carga do dispositivo e da rede, pois mais tráfego tem balanceamento de carga. este
pode ser apropriado para uso em uma implantação usando os recursos de firewall da unidade FortiGate e IPS, mas nenhum outro
inspeção de conteúdo.
● Uma vantagem de usar a coleta de sessão é que as sessões de inspeção sem conteúdo serão selecionadas pelo novo
unidade após um failover. A desvantagem é que o cluster gera mais tráfego de heartbeat para suportar captação de sessão
como uma parte maior da tabela de sessão deve ser sincronizada. A coleta de sessão deve ser configurada somente quando
necessário e não é recomendado para uso com os modelos SOHO FortiGate. A coleta de sessão só deve ser usada se o
O link de pulsação principal é dedicado (caso contrário, o tráfego adicional de heartbeat de HA pode afetar o desempenho da rede).
● Se a coleta de sessão não for selecionada, após um failover de dispositivo ou link, todas as sessões serão brevemente interrompidas e
estabelecido no nível de aplicativo após o cluster renegociar. Por exemplo, após um failover, os usuários que navegam
web pode apenas atualizar seus navegadores para retomar a navegação. Usuários baixando arquivos grandes podem ter que reiniciar
baixar após um failover. Outros protocolos podem sofrer perda de dados e alguns protocolos podem exigir sessões
manualmente reiniciado. Por exemplo, um usuário baixando arquivos com FTP pode ter que reiniciar os downloads ou reiniciar
seu cliente de FTP.
● Se você precisar ativar a coleta de sessão, considere a possibilidade de ativar o atraso na coleta da sessão para melhorar o desempenho reduzindo
o número de sessões que estão sincronizadas.
● Considere usar a opção session-sync-dev para mover o tráfego de sincronização de sessão do link de pulsação de alta disponibilidade
para uma ou mais interfaces de sincronização de sessão dedicadas.
● Para evitar resultados imprevisíveis, ao conectar um comutador a várias interfaces redundantes ou agregadas em um
cluster ativo-passivo você deve configurar interfaces redundantes ou agregadas separadas no switch; um para cada
unidade de cluster.
● Use alertas SNMP, syslog ou email para monitorar um cluster para mensagens de failover. Mensagens de alerta sobre failovers de cluster
pode ajudar a encontrar e diagnosticar problemas de rede de maneira rápida e eficiente.
Interfaces de pulsação
A Fortinet sugere as seguintes práticas relacionadas a interfaces de pulsação:

Não use uma porta de switch FortiGate para o tráfego de heartbeat HA. Esta configuração é
não suportado.
● Tanto quanto possível, as interfaces de pulsação devem ser conectadas diretamente usando cabos de conexão (sem envolver outras
equipamentos de rede, como switches). Se os switches precisarem ser usados, eles não devem ser usados para outro tráfego de rede
Página 30
Alta disponibilidade do FGCP
que poderia inundar os switches e causar atrasos de heartbeat.

● Se você não pode usar um switch dedicado, o uso de uma VLAN dedicada pode ajudar a limitar o domínio de broadcast a
proteger o tráfego de heartbeat e a largura de banda que ele cria.
● Isole as interfaces de pulsação das redes de usuários. Pacotes de heartbeat contêm configuração de cluster sensível
informações e pode consumir uma quantidade considerável de largura de banda de rede. Se o cluster consistir em dois FortiGate
unidades, conecte as interfaces de heartbeat diretamente usando um cabo crossover ou um cabo Ethernet comum. Para clusters com
mais de duas unidades, conecte as interfaces de heartbeat a um switch separado que não esteja conectado a nenhuma rede.
● Se o tráfego de pulsação não puder ser isolado das redes de usuários, ative a criptografia e a autenticação de mensagens de pulsação
para proteger as informações do cluster. Consulte Ativando ou Desativando a Criptografia e Autenticação de Heartbeat HA.
● Configure e conecte interfaces de heartbeat redundantes para que, se uma interface de heartbeat falhar ou se tornar
desconectado, o tráfego de heartbeat de HA pode continuar a ser transmitido usando a interface de heartbeat de backup. Se o batimento cardíaco
a comunicação falhar, todos os membros do cluster pensarão que são a unidade principal, resultando em vários dispositivos no
rede com os mesmos endereços IP e endereços MAC (condição conhecida como Split Brain ) e comunicação
será interrompido até que a comunicação dos batimentos cardíacos possa ser restabelecida.
● Não monitore interfaces dedicadas de heartbeat; monitorar as interfaces cuja falha deve acionar um dispositivo
failover.
● Quando possível, pelo menos uma interface de heartbeat não deve ser conectada a um processador NPx para evitar problemas relacionados a NPx.
problemas de afetar o tráfego de pulsação.
Monitoramento de interface (monitoramento de porta)
A Fortinet sugere as seguintes práticas relacionadas ao monitoramento de interface (também chamado de monitoramento de porta):
● Aguarde até que um cluster esteja em funcionamento e todas as interfaces estejam conectadas antes de ativar o monitoramento da interface. UMA
A interface monitorada pode facilmente ser desconectada durante a configuração inicial e causar failovers antes do
cluster é totalmente configurado e testado.
● Monitora interfaces conectadas a redes que processam tráfego de alta prioridade para que o cluster mantenha conexões
para essas redes se ocorrer uma falha.
● Evite configurar o monitoramento de interface para todas as interfaces.
● Monitoramento de interface suplementar com failover de link remoto. Configurar failover de link remoto para manter o fluxo de pacotes se
um link não diretamente conectado a uma unidade de cluster (por exemplo, entre um comutador conectado a uma interface de cluster e
rede) falha. Veja Failover de link remoto.
Página 31
Otimização de WAN
Os recursos de otimização de WAN exigem recursos significativos de memória e geram uma grande quantidade de E / S no disco.
Antes de ativar a otimização da WAN, verifique se o uso de memória não está muito alto. Se possível, evite outros
recursos intensivos, como registro de tráfego intenso no mesmo disco que o configurado para otimização de WAN
necessidades.
Em geral, é preferível habilitar a caixa de seleção Modo transparente e garantir que o roteamento entre os dois
endpoints é aceitável. Alguns protocolos podem não funcionar bem sem ativar o Modo Transparente.
Outras práticas recomendadas para utilizar o recurso de otimização da WAN são as seguintes.
Compartilhando o WAN Opt. túnel para o tráfego da mesma natureza
O compartilhamento de túnel de otimização de WAN é recomendado para tipos semelhantes de tráfego de otimização de WAN (como CIFS
tráfego de diferentes servidores). No entanto, o compartilhamento de encapsulamento para diferentes tipos de tráfego não é recomendado. Para
Por exemplo, protocolos agressivos e não agressivos não devem compartilhar o mesmo túnel.
Encomenda de WAN Opt. regras apropriadamente
● As regras precisas de otimização de WAN com porta específica devem estar no topo da lista.
● Regras genéricas, como TCP geral, devem estar na parte inferior da lista.
Evitando misturar protocolos em uma opção de WAN. túnel
Diferentes protocolos podem ser mais ou menos faladores ou interativos. A mistura de protocolos em um túnel pode resultar em um atraso
para alguns deles. Recomenda-se definir regras de otimização de wan específicas do protocolo e restringir as portas
os necessários apenas por motivos de desempenho.
Configurando opções de configuração corretas para CIFS WAN Opt.
Certifique-se de que as regras de otimização da WAN cubram as portas TCP 139 e 445 (na mesma ou em duas regras diferentes). Além disso
verifique se o Modo Transparente está selecionado.
Configurando opções de configuração corretas para MAPI WAN Opt.
Para MAPI WAN Optimization, especifique apenas uma regra com a porta TCP 135 (a menos que a porta de controle MAPI esteja configurada
diferentemente). Sessões de dados derivados usando outras portas aleatórias serão tratadas pelo CIFS wan-optimization
daemon mesmo com apenas a porta de controle configurada.
Teste de WAN Opt. em um laboratório
● Certifique-se de que os emuladores de WAN sejam usados para simular a WAN. Se nenhum emulador de WAN for usado, espera-se que ele tenha
melhores resultados sem a otimização de WAN do que com a otimização de WAN.
● Para testar a diferença entre transferências frias (transferências pela primeira vez) e transferências quentes, recomenda-se
gere um arquivo aleatório da transferência a frio para garantir que o teste seja a primeira vez que o arquivo foi visto.
Página 32
Otimização de WAN
Com relação à compactação de bytes e tipo de arquivo
Ativar a compactação de bytes em transferências de arquivos já compactadas (arquivos .jpeg, archive compactado, etc.) não
fornecer qualquer aumento de desempenho e pode ser visto como um mau uso dos recursos da CPU.
Quanto à tradução de endereços de rede (NAT)
A seleção do recurso NAT em uma política de segurança não tem qualquer influência no tráfego da Otimização de WAN.
Alta disponibilidade
Não há benefício em usar o modo ativo-ativo, portanto, para as necessidades de otimização da WAN, use o modo ativo-passivo.
Consulte a seção Alta disponibilidade do FGCP para outras práticas recomendadas relacionadas ao HA.
Autenticação com pares específicos
Configurar autenticação de otimização de WAN com pares específicos. Aceitar qualquer ponto não é recomendado, já que
pode ser menos seguro.
Página 33
Domínios Virtuais (VDOMs)
Os VDOMs podem fornecer políticas de firewall separadas e, no modo NAT / Route, configurações completamente
serviços de roteamento e VPN para cada rede ou organização conectada. Esta seção fornece uma lista de melhores práticas
para configurar VDOMs.
Configurações de recursos por VDOM
Enquanto os recursos globais se aplicam aos recursos compartilhados por toda a unidade FortiGate, os recursos por VDOM são específicos
para apenas um domínio virtual.
Por padrão, todas as configurações de recursos por VDOM são definidas sem limites. Isso significa que qualquer VDOM pode usar
todos os recursos de toda a unidade FortiGate, se necessário. Isso iria privar os outros VDOMs de recursos
até o ponto onde eles seriam incapazes de funcionar. Por esse motivo, é recomendável que você defina
máximos em recursos que são mais vitais para seus clientes.
Domínios virtuais no modo NAT / Route
Depois de ativar os domínios virtuais e criar um ou mais VDOMs, você precisará configurá-los. Isto é
Recomendamos que você execute as seguintes tarefas na ordem indicada (embora não seja necessário
topologia de rede):
1. Altere o domínio virtual de gerenciamento.
2. Configure as interfaces do FortiGate em um NAT / Route VDOM.
3. Configure o roteamento VDOM.
4. Configure políticas de segurança para os VDOMs NAT / Route.
5. Configure os perfis UTM para os VDOMs NAT / Route.
6. Teste a configuração.
Agrupamento Virtual
Se você decidir desabilitar a substituição de clusters, como resultado da renegociação persistente, desative-o para
ambas as unidades de cluster.
Página 34
Proxy explícito
● Para proxies explícitos, ao configurar limites no número de usuários simultâneos, é necessário permitir o número de
usuários com base em seu método de autenticação. Caso contrário, você pode ficar sem recursos do usuário prematuramente.
● Cada usuário autenticado baseado em sessão é contado como um único usuário usando sua associação de autenticação
(RADIUS, LDAP, FSAE, banco de dados local, etc.) para corresponder usuários em outras sessões. Então, um usuário autenticado em múltiplos
sessões ainda é um usuário.
● Para todas as outras situações, o endereço IP de origem é usado para determinar um usuário. Todas as sessões de um único endereço de origem
são assumidos como sendo do mesmo usuário.
● Defina o proxy da Web explícito e o proxy de FTP explícito Ação de diretiva de firewall padrão para Negar. Isso significa que um firewall
política é necessária para usar esses proxies explícitos, permitindo que você controle o acesso e imponha recursos de segurança.
● Não ative o proxy Web ou FTP explícito em uma interface conectada à Internet. Este é um risco de segurança
porque qualquer pessoa na Internet que encontrar o proxy poderia usá-lo para ocultar seu endereço de origem. Se você deve ativar o
proxy em tal interface, certifique-se de que a autenticação seja necessária para usar o proxy.
Página 35
Sem fio
A seção a seguir contém uma lista de práticas recomendadas para configurações de rede sem fio com relação à criptografia
e autenticação, localização geográfica, planejamento de rede, uso de energia, balanceamento de carga do cliente, bridging local,
SSIDs e o uso de IPs estáticos.
Criptografia e autenticação
É uma prática recomendada sempre ativar o método de criptografia e autenticação do usuário mais forte que o seu cliente
suporta. A Fortinet recomenda a seguinte segurança, da mais forte para a mais fraca:
● WPA2 - Enterprise 802.1x / EAP - Chave pré-compartilhada pessoal (8 a 63 caracteres)

● WPA - Enterprise 802.1x / EAP - Chave pré-compartilhada pessoal (8 a 63 caracteres)
● WEP128 - 26 Tecla numérica hexadecimal
● Chave de dígito hexadecimal WEP64 - 10
● Nenhum - sistema aberto
Localização geográfica
Certifique-se de que o controlador sem fio FortiGate esteja configurado para sua localização geográfica. Isso garante que o
os canais de rádio disponíveis e a energia do rádio estão em conformidade com os regulamentos da sua região.
A potência máxima permitida do transmissor e os canais de rádio permitidos para redes Wi-Fi dependem da região
em que a rede está localizada. Por padrão, o controlador WiFi está configurado para os Estados Unidos. Se você é
localizado em qualquer outra região, você precisa definir sua localização antes de começar a configurar redes sem fio.
A configuração de local só pode ser alterada no CLI. Para mudar o país para a França, por exemplo, insira o
Segue:
configuração do controlador sem fio de configuração
set country FR
fim
Para ver a lista de códigos de países, insira um ponto de interrogação ('?') No lugar do código do país.
Usar uma localização geográfica incorreta é um erro comum que pode levar a resultados imprevisíveis no lado do cliente.
Planejamento de rede
É recomendável que você realize uma pesquisa de site adequada antes de posicionar o ponto de acesso sem fio. A fim de
avaliar o ambiente da área de cobertura, os seguintes critérios devem ser levados em conta:
● Tamanho da área de cobertura

● Largura de banda necessária
● Capacidades sem fio do cliente
Página 36
Sem fio
Depois de concluir uma pesquisa de site de RF, você terá uma boa ideia do número e da localização dos pontos de acesso necessários
fornecer aos usuários cobertura e desempenho adequados.
No entanto, antes de instalar os pontos de acesso, certifique-se de determinar o (s) canal (is) de RF que você pretende usar. Isso vai
Certifique-se de que os usuários possam percorrer as instalações com desempenho substancial.
Para evitar interferência entre canais, os pontos de acesso Wi-Fi adjacentes devem ser configurados para usar canais sem sobreposição.
Caso contrário, você perceberá que um desempenho ruim será degradado devido à interferência entre os pontos de acesso.
Recomenda-se configurar estaticamente os canais sem sobreposição em todos os pontos de acesso, usando um
Perfil AP por AP (ou grupo de APs). Se a configuração estática não puder ser usada, o FortiOS Wi-Fi Controller inclui
o recurso de provisionamento automático de recursos de rádio (ARRP).
Reduzindo o nível de energia para reduzir a interferência de RF
Produto (s) Relevante (s): FortiAP

A redução de
a cobertura energia
é um riscoreduz a cobertura
de segurança indesejada
potencial. e a potencial
Se possível, interferência
reduza a potência em outras WLANs.
do transmissor Áreas
do seu dede
ponto indesejados
acesso sem fio
que o sinal não está disponível além das áreas onde é necessário. Auto Tx Power Control pode ser ativado para
ajustar automaticamente a potência de transmissão.
Nos casos em que os clientes reclamam do tráfego sem fio lento através de um FortiAP, pode ser necessário tentar
reduzir a possibilidade de interferência de RF. É uma boa prática não localizar FortiAPs perto de vigas de aço ou outros
materiais interferentes. Você pode tentar usar uma ferramenta sniffer sem fio para coletar os pacotes sem fio e, em seguida, analisar o
extensão da interferência do ar.
Um erro comum é espaçar os FortiAPs com base na freqüência de rádio de 5Ghz. O sinal de 2.4Ghz viaja mais.
Você tem duas opções quando confrontado com tráfego sem fio lento através de um FortiAP:
Opção # 1: Reduzindo o poder de transmissão
Realize um teste de velocidade e registre os resultados. Definir um dos rádios em um FortiAP para estar em monitoramento dedicado
modo. Então observe quantos APs são detectados. Se o número de APs for muito alto (ou seja, maior que 20), tente
reduzindo a potência de transmissão no perfil WTP para os FortiAPs até que o número de APs dedicados tenha caído
significativamente.
Repita o teste de velocidade.
Opção nº 2: garantir que os VAPs sejam distribuídos pelos canais disponíveis
Nenhuma ferramenta interna está disponível para medir a interferência de RF diretamente. No entanto, o FortiOS 5.0 permite
ajuste de potência, que deve minimizar a ocorrência de interferência de RF.
Balanceamento de carga do cliente sem fio
O balanceamento de carga sem fio permite que sua rede sem fio distribua com mais eficiência o tráfego sem fio entre as redes sem fio.
pontos de acesso e bandas de frequências disponíveis. Controladores sem fio FortiGate suportam os seguintes tipos de clientes
balanceamento de carga:
Página 37
Sem fio
● Ponto de Acesso Hand-off - O controlador sem fio sinaliza para um cliente mudar para outro ponto de acesso.
● Frequency Hand-off - O controlador sem fio monitora o uso de bandas de 2,4 GHz e 5 GHz e sinaliza aos clientes
para mudar para a frequência menos utilizada.
Bridging local
Sempre que possível, use bridging local para descarregar o túnel CAPWAP. Tenha em atenção que, neste caso, os dispositivos do cliente Wi-Fi
obtenha endereços IP do mesmo servidor DHCP que os dispositivos com fio na LAN. O ID do vlan só pode ser configurado
do CLI:
configuração sem fio-controlador vap
editar "vaplocalbridge"
set vdom "root"
set ssid "testvaplocalbrdige"
definir habilitação de ponte local
set vlanid 40 ---> disponível apenas no CLI
Próximo
fim
SSIDs de publicidade
● É altamente recomendável anunciar o SSID. Isso torna mais fácil para clientes e clientes sem fio. Além disso, se você
"ocultar" o SSID (conhecido como "cloaking de rede"), os clientes sempre procurarão quando estiverem fora da cobertura
área, que procura SSIDs conhecidos, na verdade, vazando o SSID de qualquer maneira. Consulte a RFC 3370 . Além disso, muitos
dos drivers mais recentes da Broadcom não suportam SSID oculto para WPA2.
● Por motivos de segurança, talvez você queira impedir a comunicação direta entre seus clientes sem fio. Nesse caso,
ativar o bloqueio de tráfego intra-SSID (na configuração SSID).
● Em uma rede com vários controladores sem fio, você precisa alterar o SSID da malha para que cada raiz da malha tenha um
SSID exclusivo. Outros controladores que usam o mesmo SSID da raiz da malha podem ser detectados como APs falsos ou invasores. Ir para WiFi
& Switch Controller> Rede WiFI> SSID para alterar o SSID. A Fortinet também recomenda que você crie um
nova chave pré-compartilhada em vez de usar o padrão.
Página 38
Usando IPs estáticos em uma configuração CAPWAP
Usando IPs estáticos em uma configuração CAPWAP
Em uma grande implantação do FortiAP com mais de 20 FortiAPs conectados a um Controlador Fortigate Wireless (AC), é
recomendado usar IPs estáticos nos pontos de acesso em vez de DHCP, definindo o IP da CA estaticamente ea
tipo de descoberta para estático (Tipo 1), em vez de aprendê-lo por difusão, multicast ou DHCP.
Isso facilita o gerenciamento dos APs, pois você conhece o IP exato de cada ponto de acesso. Solução de problemas
também se torna mais fácil, pois a depuração do controlador AC não tentará continuamente a descoberta diferente
métodos em seqüência (broadcast> multicast> estático).

Página 39
Registro e relatório
As configurações do dispositivo de log padrão devem ser modificadas para que o desempenho do sistema não seja comprometido. O FortiGate
Por padrão, a unidade possui todos os recursos de log do FortiGate ativados, exceto para o log de tráfego. O log padrão
A localização será a memória do sistema da unidade FortiGate ou o disco rígido, dependendo do modelo. Unidades com um
O disco flash não é recomendado para o log de disco.
Gerenciamento de logs
Quando a unidade FortiGate registra a atividade do FortiGate, são coletadas informações valiosas que fornecem informações sobre
como proteger melhor o tráfego de rede contra ataques, incluindo uso indevido e abuso. Há muito a considerar antes
habilitar o registro em log de uma unidade FortiGate, como quais atividades do FortiGate ativar e qual dispositivo de registro é melhor
adequado para as necessidades de registro de sua rede. Um plano pode ajudá-lo a decidir as atividades do FortiGate para registrar, um registro
dispositivo, bem como uma solução de backup no caso de o dispositivo de log falhar.
Esse plano deve fornecer um esboço, semelhante ao seguinte:
● Quais atividades do FortiGate você deseja e / ou precisa registradas (por exemplo, recursos de segurança).
● O dispositivo de log mais adequado para sua estrutura de rede.
● Se você quiser ou exigir o arquivamento de arquivos de log.
● Assegurar que os logs não sejam perdidos no caso de ocorrer uma falha.
Depois que o plano é implementado, você precisa gerenciar os logs e estar preparado para expandir sua configuração de log quando
os requisitos atuais de registro são superados. Boas práticas de gerenciamento de log ajudam você com essas tarefas.
As práticas de gerenciamento de log ajudam você a melhorar e gerenciar os requisitos de log. O registro é uma expansão
ferramenta que pode parecer uma tarefa difícil de gerenciar. As práticas de gerenciamento a seguir ajudarão você quando
surgem problemas ou sua configuração de log precisa ser expandida.
● Revisite seu plano anualmente para verificar se suas necessidades de registro estão sendo atendidas pela sua configuração de registro atual. Para
Por exemplo, sua empresa ou organização pode exigir o registro de arquivamento, mas não no início de sua rede.
vida útil. Os registros de arquivamento são armazenados no disco rígido local de uma unidade FortiGate, em uma unidade FortiAnalyzer ou em um servido
em ordem crescente de tamanho.
● Configure uma mensagem de alerta que irá notificá-lo de atividades que são importantes para estar ciente. Por exemplo: se um
filial não tem um administrador FortiGate, você precisará saber em todos os momentos que o túnel VPN IPsec
ainda está em funcionamento. Uma mensagem de notificação de email de alerta pode ser configurada para enviar somente se erros de encapsulamento de IP
ocorrer.
● Se sua organização ou empresa usa programas ponto-a-ponto, como o Skype ou outro software de mensagens instantâneas,
use o widget do painel de uso de mensagens instantâneas ou o widget de relatório do Resumo executivo (a maior largura de banda de aplicativos do 10
Resumo de uso por hora) para ajudá-lo a monitorar o uso desses tipos de software de mensagens instantâneas. Estes
widgets podem ajudá-lo a determinar como esses aplicativos estão sendo usados, incluindo se houver
Abuso. Suas informações são obtidas de mensagens de log do aplicativo; no entanto, as mensagens de log do aplicativo devem ser
visto também, uma vez que contêm as informações mais detalhadas.
● Assegure-se de que sua solução de backup esteja atualizada. Se você expandiu recentemente sua configuração de log, também deverá revisar
sua solução de backup. A solução de backup fornece uma maneira de garantir que todos os logs não sejam perdidos no caso de o log
o dispositivo falha ou surgem problemas com o próprio dispositivo de registro.
Página 40
Registro e relatório
● Ao baixar mensagens de log e visualizá-las em um computador, o arquivo de log será baixado como qualquer outro
Arquivo. Os nomes dos arquivos de registro contêm seu tipo de registro e data no nome, portanto, recomenda-se criar uma pasta na qual
arquive suas mensagens de log, pois elas podem ser classificadas facilmente.
Memória do sistema e discos rígidos
Se a unidade FortiGate tiver um disco rígido, ela estará habilitada por padrão para armazenar logs. Isso também significa que você não precisa
habilitar isso e definir as configurações para o registro no disco rígido, mas modifique essas configurações para que
configurado para seus requisitos de registro de rede.
Se a unidade FortiGate tiver apenas memória flash, o registro em disco será desabilitado por padrão, pois não é recomendado.
Reescritas constantes para drives flash podem reduzir a vida útil e a eficiência da memória. Ele deve estar ativado no
CLI sob configuração de disco de log de configuração.
Para alguns modelos de baixo custo, o log de disco não está disponível. Verifique a matriz de recursos de um produto para obter mais informações. Em
Em qualquer caso, a Fortinet recomenda usar uma unidade FortiAnalyzer ou o serviço FortiCloud.
Página 41
Copyright © 2015 Fortinet, Inc. Todos os direitos reservados. Fortinet®, FortiGate®, FortiCare® e FortiGuard® e algumas outras marcas são marcas registradas da Fo
Inc., nos EUA e em outras jurisdições, e outros nomes da Fortinet neste documento também podem ser marcas registradas e / ou de direito comum da Fortinet. Todo o
nomes podem ser marcas registradas de seus respectivos proprietários. O desempenho e outras métricas aqui contidas foram obtidos em testes internos de laboratório s
o desempenho real e outros resultados podem variar. Variáveis de rede, ambientes de rede diferentes e outras condições podem afetar os resultados de desempenho. Na
representa qualquer compromisso vinculativo da Fortinet, e a Fortinet nega todas as garantias, sejam expressas ou implícitas, exceto na medida em que a Fortinet inser
contrato, assinado pelo Conselho Geral da Fortinet, com um comprador que expressamente garante que o produto identificado funcionará de acordo com certas exigên
métricas de desempenho e, nesse caso, apenas as métricas de desempenho específicas expressamente identificadas em tal contrato escrito de vinculação serão vinculati
absoluta clareza, qualquer garantia será limitada ao desempenho nas mesmas condições ideais que nos testes de laboratório internos da Fortinet. Em nenhum caso a Fo
compromisso relacionado a entregas futuras, recursos ou desenvolvimento, e as circunstâncias podem mudar de tal forma que quaisquer declarações prospectivas conti
A Fortinet nega na íntegra quaisquer pactos, representações e garantias em conformidade, expressas ou implícitas. A Fortinet reserva-se o direito de alterar, modificar,
transferir ou revisar esta publicação sem aviso prévio, e a versão mais atual da publicação será aplicável.

Melhores Práticas para o FortiOS 5.2

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Melhores Práticas para o FortiOS 5.2

Enviado por

Direitos autorais:

Formatos disponíveis

Página 1

Manual FortiOS ™ - Melhores Práticas

BIBLIOTECA DO DOCUMENTO FORTINET

SERVIÇO DE ATENDIMENTO AO CONSUMIDOR

SERVIÇOS DE FORMAÇÃO FORTINET

CONTRATO DE LICENÇA DE USUÁRIO FINAL

Domínios Virtuais (VDOMs) 33

Atendimento ao cliente e suporte técnico

● Seu nome e o nome e localização da sua empresa

Base de Conhecimento Fortinet

6 Melhores Práticas para o FortiOS 5.2

Comentários sobre a documentação técnica da Fortinet

Para desligar a unidade FortiGate - gerenciador baseado na web:

8 Melhores Práticas para o FortiOS 5.2

● Tenho interfaces sobressalentes suficientes nos meus comutadores?

Migração de objetos e políticas

9 Melhores Práticas para o FortiOS 5.2

Indo ao vivo e obtendo feedback

Adicionando novos serviços

10 Melhores Práticas para o FortiOS 5.2

● Reoriente ou reposicione a antena receptora.

11 Melhores Práticas para o FortiOS 5.2

Gerenciamento de mudança de firmware

Entendendo a nova versão primeiro

Tenha um motivo válido para atualizar

● A nova versão tem um recurso que ajuda a garantir a conformidade?

13 Melhores Práticas para o FortiOS 5.2

lealdade dos já existentes?

Prepare um plano de atualização

14 Melhores Práticas para o FortiOS 5.2

Execute o plano de atualização

A execução de uma atualização é tão importante quanto o planejamento.

Saiba mais sobre o gerenciamento de mudanças

15 Melhores Práticas para o FortiOS 5.2

Executando uma atualização de firmware

16 Melhores Práticas para o FortiOS 5.2

Realizando um downgrade do firmware

Executando um backup de configuração

Para fazer backup da configuração do FortiGate - gerenciador baseado na web:

1. Vá para Sistema> Painel> Status .

Para fazer o backup da configuração do FortiGate - CLI:

Fazendo backup de um arquivo de configuração usando o SCP

18 Melhores Práticas para o FortiOS 5.2

Perfis de segurança (AV, Web Filtering etc.)

20 Melhores Práticas para o FortiOS 5.2

Perfis de segurança (AV, Web Filtering etc.)

● Habilite a verificação antivírus na borda da rede para todos os serviços.

Sistema de Prevenção de Intrusões (IPS)

Perfis de segurança (AV, Web Filtering etc.)

● Ative a varredura IPS na borda da rede para todos os serviços.

Bloqueio do Skype usando opções CLI para melhor detecção

22 Melhores Práticas para o FortiOS 5.2

Baseado em fluxo versus baseado em proxy

Recurso de categoria / classificação local

Filtro de URL "Isento"

23 Melhores Práticas para o FortiOS 5.2

● Ative o FortiGuard Web Filtering na borda da rede.

● Siga os últimos alertas e relatórios na página do FortiGuard.

24 Melhores Práticas para o FortiOS 5.2

Mudanças de configuração de política

onde você quer que o seguinte seja verdadeiro:

A CPU mantém as sessões existentes e aplica as alterações de política a novas sessões

check-policy-option Use a opção selecionada no campo sujo da sessão de firewall do

Política de lista de permissões