Você está na página 1de 32

Página 1

Manual FortiOS ™ - Melhores Práticas

VERSÃO 5.2.0

Página 2

BIBLIOTECA DO DOCUMENTO FORTINET http://docs.fortinet.com

FORTINET VIDEO GUIDE

BLOG DO FORTINET

SERVIÇO DE ATENDIMENTO AO CONSUMIDOR

COOKBOOK FORTIGADO

SERVIÇOS DE FORMAÇÃO FORTINET

CENTRO DE FORTIGUARD

CONTRATO DE LICENÇA DE USUÁRIO FINAL

COMENTÁRIOS

15 a 15 de março

Manual FortiOS ™ - Melhores Práticas

01-520-112805-20140806

Página 3

ÍNDICE

visão global

6

considerações gerais

6

Atendimento ao cliente e suporte técnico

6

Base de Conhecimento Fortinet

6

Comentários sobre a documentação técnica da Fortinet

7

Sistema e desempenho

8

atuação

8

Desligando

8

Migração

9

Coleta de informações

9

Migração de objetos e políticas

9

 

Teste e validação Indo ao vivo e obtendo feedback

9

10

Adicionando novos serviços Especificações Ambientais

10

11

Aterramento Montagem em rack Firmware

11

12

13

Gerenciamento de mudança de firmware Entendendo a nova versão primeiro Tenha um motivo válido para atualizar Prepare um plano de atualização Execute o plano de atualização Saiba mais sobre o gerenciamento de mudanças Executando uma atualização de firmware Realizando um downgrade do firmware Executando um backup de configuração Fazendo backup de um arquivo de configuração usando o SCP Perfis de segurança (AV, Web Filtering etc.)

13

13

13

14

15

15

16

17

17

18

20

Firewall

20

Segurança

20

Autenticação

21

Antivírus

21

Página 4

 
 

21

 

Antispam Sistema de Prevenção de Intrusões (IPS) Bloqueio do Skype usando opções CLI para melhor detecção Filtro de e-mail

21

22

23

Filtragem de URL Baseado em fluxo versus baseado em proxy Recurso de categoria / classificação local Filtro de URL "Isento" Varredura profunda Filtragem da Web

23

23

23

23

23

24

Gerenciamento de patches Configuração de políticas

24

25

Mudanças de configuração de política Política de lista de permissões Políticas IPS e DoS Networking

25

25

25

27

Configuração de roteamento Roteamento de políticas Roteamento dinâmico Roteamento avançado Border Gateway Protocol (BGP) Abra o caminho mais curto primeiro (OSPF) Conversão de endereços de rede (NAT) Configurando o NAT Modo Transparente Para proteger contra loops de camada 2:

27

27

27

27

27

27

28

28

28

28

Usando IPs virtuais (VIPs) Alta disponibilidade do FGCP

28

29

Interfaces de pulsação Monitoramento de interface (monitoramento de porta) Otimização de WAN

29

30

31

Compartilhando o WAN Opt. túnel para o tráfego da mesma natureza Encomenda de WAN Opt. regras apropriadamente Evitando misturar protocolos em uma opção de WAN. túnel Configurando opções de configuração corretas para CIFS WAN Opt.

31

31

31

31

Configurando Teste de WAN opções Opt. em de um configuração laboratório corretas para MAPI WAN Opt.

Com relação à compactação de bytes e tipo de arquivo Quanto à tradução de endereços de rede (NAT) Alta disponibilidade Autenticação com pares específicos

Página 5

Domínios Virtuais (VDOMs)

Configurações de recursos por VDOM Domínios virtuais no modo NAT / Route Agrupamento Virtual Proxy explícito

Sem fio

Criptografia e autenticação Localização geográfica Planejamento de rede Reduzindo o nível de energia para reduzir a interferência de RF Opção # 1: Reduzindo o poder de transmissão Opção nº 2: garantir que os VAPs sejam distribuídos pelos canais disponíveis Balanceamento de carga do cliente sem fio Bridging local SSIDs de publicidade Usando IPs estáticos em uma configuração CAPWAP

Registro e relatório

Gerenciamento de logs Memória do sistema e discos rígidos

Página 6

visão global

31 31

32

32

32

32

33

33

33

33

34

35

35

35

35

36

36

36

36

37

37

38

39

39

40

Este documento do FortiGate Best Practices é uma coleção de diretrizes para garantir a mais segura e confiável operação de unidades FortiGate em um ambiente de cliente. Ele é atualizado periodicamente conforme novos problemas são identificados.

considerações gerais

1. Por motivos de segurança, o modo NAT é preferido porque todas as redes internas ou DMZ podem ter endereços. As políticas do modo NAT usam a conversão de endereços de rede para ocultar os endereços em uma zona mais segura de usuários em uma zona menos segura.

2. Use domínios virtuais (VDOMs) para agrupar interfaces relacionadas ou subinterfaces de VLAN. Usando VDOMs irá particionar redes e criar segurança adicional, limitando o escopo das ameaças.

3. Use o modo Transparente quando uma rede é complexa e não permite alterações no esquema de endereçamento IP.

Atendimento ao cliente e suporte técnico

Para atualizações de definições de antivírus e ataques, atualizações de firmware, documentação atualizada do produto, suporte técnico informações e outros recursos, visite o site de suporte técnico da Fortinet em http://support.fortinet.com .

Você também pode registrar os produtos e contratos de serviço da Fortinet em http://support.fortinet.com e alterar seu informações de registro a qualquer momento.

Para obter informações sobre nossa linha direta de suporte prioritário (suporte ao vivo), consulte http://support.fortinet.com .

Ao solicitar suporte técnico, forneça as seguintes informações:

Seu nome e o nome e localização da sua empresa

Seu endereço de e-mail e / ou número de telefone

Seu número de contrato de suporte (se aplicável)

O nome do produto e o número do modelo

O número de série do produto (se aplicável)
O número da versão do software ou firmware

Uma descrição detalhada do problema

Base de Conhecimento Fortinet

A documentação técnica mais recente da Fortinet está disponível na Base de Conhecimento da Fortinet. O conhecimento base contém breves artigos de instruções, FAQs, notas técnicas, guias de produtos e funcionalidades e muito mais. Visite a Base de Conhecimento da Fortinet em http://kb.fortinet.com .

Página 7

6

Comentários sobre a documentação técnica da Fortinet

Melhores Práticas para o FortiOS 5.2

visão global

Por favor, envie informações sobre quaisquer erros ou omissões neste documento, ou qualquer documentação técnica da Fortinet, para techdoc@fortinet.com .

Página 8

Sistema e desempenho

7

Melhores Práticas para o FortiOS 5.2

Ao implementar as seguintes práticas recomendadas para sistema e desempenho, você garantirá a máxima eficiência de seu dispositivo FortiGate. Certifique-se de ler tudo com cuidado, particularmente a seção que diz respeito ao desligamento o sistema FortiGate, a fim de evitar possíveis problemas de hardware.

atuação

Desative todos os recursos de gerenciamento de que você não precisa. Se você não precisa de SSH ou SNMP, desative-os. SSH também fornece outra possibilidade para os possíveis hackers se infiltrarem em sua unidade FortiGate.

Coloque as regras de firewall mais usadas no topo da lista de interfaces.

Registre somente o tráfego necessário. A gravação de logs, especialmente se for para um disco rígido interno, diminui o desempenho.

Ativar apenas as inspeções de aplicativo necessárias.

Mantenha os sistemas de alerta ao mínimo. Se você enviar logs para um servidor syslog, talvez não precise de alertas de SNMP ou e-mail, fazendo para processamento redundante.

Estabeleça atualizações programadas do FortiGuard a uma taxa razoável. Atualizações diárias ocorrendo a cada 4-5 horas são suficientes para a maioria das situações. Em situações de tráfego mais intenso, agende atualizações para a noite, quando mais largura de banda acessível.

Mantenha os perfis de segurança no mínimo. Se você não precisar de um perfil em uma regra de firewall, não o inclua.

Mantenha os VDOMs no mínimo. Em unidades FortiGate de baixo custo, evite usá-las, se possível.

Evite a modelagem de tráfego se você precisar de desempenho máximo. A definição do tráfego, por definição, diminui o tráfego.

Desligando

Sempre desligue o sistema operacional FortiGate adequadamente antes de desligar o interruptor de energia para evitar problemas de hardware catastróficos.

Para desligar a unidade FortiGate - gerenciador baseado na web:

1. Vá para Sistema> Status .

2. No widget Recursos do sistema , selecione Desligar .

Para desligar a unidade FortiGate - CLI:

executar o desligamento

Uma vez feito isso, você pode desligar a chave de energia com segurança ou desconectar os cabos de fornecem.

Página 9

Migração

8

Melhores Práticas para o FortiOS 5.2

Os administradores de rede muitas vezes relutam em mudar os fornecedores de firewalls devido à percepção de que a migração processo é difícil. De fato, não faz sentido esconder o fato de que mudar para um novo fornecedor requer cuidadosa consideração. Mas a preocupação com a potencial dor da migração não deve impedir a adoção de novas tecnologias de segurança. O objetivo deste capítulo é descrever as melhores práticas para executar tais migrações

e, finalmente, para facilitar o processo de migração em si.

Coleta de informações

É sempre uma boa prática realizar uma auditoria de rede completa antes de qualquer migração. Isso deve incluir:

Back up completo de todos os sistemas de segurança (incluindo switches, roteadores) no caso de um back-out precisar ser executado.

Diagrama de rede física e lógica com auditoria visual

Entender exatamente onde os cabos são executados na rede e verificar se eles estão todos corretamente rotulados é essencial para evitar erros e tempo de inatividade desnecessário durante a atualização. Não negligencie coisas simples como:

Tenho interfaces sobressalentes suficientes nos meus comutadores?

Tenho os conectores direito de fibra (modo único / múltiplo) e direito (LC, FC, MTRJ, SC, ST)?

Eu tenho cabos de reposição? (no calor do momento, é um erro simples quebrar um conector RJ-45 ou danificar um fibra)

Eu tenho espaço no rack para o novo equipamento?

Eu tenho soquetes de energia suficientes?

Não importa o quão seguro um FortiGate esteja configurado na rede, não pode ajudar se ele tiver sido ignorado; visualmente verificar onde o dispositivo está na rede em relação a outros dispositivos garantirá que você está mantendo a segurança

e verifique se o diagrama de rede é 'como construído'. Detalhes de todas as redes, incluindo máscaras de sub-rede, devem ser documentados Neste ponto, verifique se o dispositivo de substituição está configurado com as informações corretas.

Migração de objetos e políticas

Embora tenhamos sugerido que algum nível de revisão manual está incluído na migração de políticas, pode ser útil

capaz de migrar automaticamente simplesmente entre o formato de outro fornecedor e o formato FortiGate. O FortiGate

O formato da diretiva é baseado em texto e pode ser facilmente recortado e colado em outros formatos de

à alta demanda de clientes para migrar para longe de outros fornecedores, a Fortinet lançou um

configuração da ferramenta de migração em http://convert.fortinet.com para simplificar esse processo. Suportando Cisco ACLs, PIX, ASA, Check Point e Juniper, o conversor pode fazer o upload e converter com segurança a política para o formato Fortinet.

Teste e validação

Este é um processo importante e deve ser testado offline primeiro sempre que possível, ou seja, configurar a política no laboratório ou em uma rede de teste e verifique se as permissões de acesso necessárias estão sendo implementadas. Para realmente testar o

Página 10

9

Melhores Práticas para o FortiOS 5.2

Migração

solução, o FortiGate pode ser implementado na rede ao vivo com um IP de gateway diferente eo o usuário apontou para o novo gateway. Isso permite uma abordagem em etapas para migrar a nova plataforma para a rede garantindo que o processo não interrompa as operações do dia a dia.

Indo ao vivo e obtendo feedback

Se o teste e a validação forem bem-sucedidos nesse ponto, você poderá migrar para o novo firewall alternando os IPs e remover os dispositivos antigos ou alterando o gateway padrão no DHCP. Quando o firewall estiver no lugar, a aceitação Os testes deverão, obviamente, ser realizados e um processo iterativo de ajuste será realizado para configuração.

Adicionando novos serviços

A solução Fortinet terá uma infinidade de recursos adicionais em comparação com o seu fornecedor anterior e é muito tentador para começar a ligá-los, mas é uma boa idéia esperar e validar o novo firewall como configurado antes de adicionar novas funções, pois isso simplifica o teste e o diagnóstico de problemas. Finalmente complete o migração (não se esqueça do Ciclo de Planejamento e Verificação), adicionando novos serviços que foram solicitados e Aprenda sobre os vários recursos disponíveis com o appliance FortiGate.

Página 11

Especificações Ambientais

10

Melhores Práticas para o FortiOS 5.2

Mantenha as seguintes especificações ambientais em mente ao instalar e configurar sua unidade FortiGate.

Temperatura de operação: 32 a 104 ° F (0 a 40 ° C). As temperaturas podem variar, dependendo do modelo FortiGate.

Se você instalar a unidade FortiGate em um conjunto de rack fechado ou com várias unidades, a temperatura ambiente operacional do ambiente de rack pode ser maior que a temperatura ambiente da sala. Portanto, certifique-se de instalar o equipamento em um ambiente compatível com a capacidade máxima do fabricante. temperatura ambiente nominal.

Temperatura de armazenamento: -13 a 158 ° F (-25 a 70 ° C). As temperaturas podem variar, dependendo do modelo FortiGate.

Umidade: 5 a 90% sem condensação.

Fluxo de ar - Para a instalação em rack, certifique-se de que a quantidade de fluxo de ar necessária para a operação segura do equipamento seja não comprometida.

Para uma instalação independente, certifique-se de que o aparelho tenha pelo menos 1,5 pol. (3,75 cm) de espaço livre em cada lado

para permitir um fluxo de ar e resfriamento adequados. Dependendo do seu dispositivo, o FortiGate pode gerar, usar e até irradiar energia de radiofrequência e, se não instalado e usado de acordo com as instruções, pode causar interferência prejudicial às comunicações de rádio. No entanto, não há garantia de que a interferência não ocorrerá em uma instalação específica. Se o equipamento não causar interferência prejudicial à recepção de rádio ou televisão, que pode ser determinada desligando o equipamento e em diante, o usuário é encorajado a tentar corrigir a interferência por uma ou mais das seguintes medidas:

Reoriente ou reposicione a antena receptora.

Aumente a separação entre o equipamento e o receptor.

Conecte o equipamento a uma tomada em um circuito diferente daquele ao qual o receptor está conectado.

Consulte o revendedor ou um técnico de rádio / TV experiente para obter ajuda.

A explosão é um risco sério se a bateria for substituída por um tipo incorreto. Descarte de baterias usadas de acordo com as instruções. Para reduzir o risco de incêndio, use apenas o No. 26 AWG ou maior cabo de linha de telecomunicação certificado pela UL ou certificado pela CSA.

Aterramento

Certifique-se de que a unidade FortiGate esteja conectada e adequadamente aterrada a um protetor contra raios e surtos. WAN ou LAN conexões que entram nas instalações de fora do prédio devem ser conectadas a uma Ethernet CAT5 (10/100 Mb / s) protetor contra surtos.

Cabos Ethernet de par trançado blindado (STP) devem ser usados sempre

​​

que possível, em vez de cabos não blindados

Par (UTP).

Não conecte ou desconecte os cabos durante a atividade de raio para evitar danos à unidade FortiGate ou a prejuízo.

Página 12

Montagem em rack

11

Melhores Práticas para o FortiOS 5.2

Especificações Ambientais

Ambiente operacional elevado - Se instalado em um conjunto de rack fechado ou com várias unidades, o ambiente operacional

a temperatura do ambiente do rack pode ser maior que a do ambiente da sala.

Portanto, deve-se considerar a instalação do equipamento em um ambiente compatível com o temperatura ambiente máxima (Tmax) especificada pelo fabricante.

Fluxo de ar reduzido - A instalação do equipamento em um rack deve ser tal que a quantidade de fluxo de ar necessária para

a operação segura do equipamento não é comprometida.

Carregamento Mecânico - A montagem do equipamento no rack deve ser tal que uma condição perigosa não seja alcançado devido a carga mecânica desigual.

Sobrecarga de circuito - Deve-se considerar a conexão do equipamento ao circuito de alimentação e

o efeito que a sobrecarga dos circuitos pode ter na proteção contra sobrecorrente e na fiação de alimentação. Apropriado A consideração das classificações da placa de identificação do equipamento deve ser usada ao abordar essa preocupação.

Aterramento confiável - aterramento confiável de equipamentos montados em rack deve ser mantida.

Atenção especial deve ser dada para fornecer conexões que não sejam conexões diretas ao circuito uso de réguas de energia).

Página 13

Firmware

12

Melhores Práticas para o FortiOS 5.2

Atualização de firmware e downgrade soa bem simples, qualquer um pode fazer isso, certo? A marca de um profissional não é que eles possam fazer algo corretamente, ou até mesmo fazê-lo corretamente de novo e de novo. Um profissional trabalha em de tal forma que, se algo der errado, eles estão preparados e aptos a fazer com que as coisas voltem ao normal. Firmware atualizações podem dar errado, assim como qualquer outra coisa. Então, um profissional de verdade faz as coisas de uma maneira que minimiza o risco delas e segue algumas práticas recomendadas, conforme listado abaixo.

Gerenciamento de mudança de firmware

Considere os seguintes cinco pontos ao executar atualizações de firmware, não apenas no FortiOS, mas em geral. este aplica-se a praticamente qualquer alteração que você tenha que fazer em um ambiente de produção.

Entendendo a nova versão primeiro

Antes de tentar qualquer mudança na produção, primeiro certifique-se de montar um laboratório onde possa jogar livremente com os novos recursos, e entendê-los com tempo suficiente e sem pressão. Leia as Notas da versão, Manuais e outras documentações, como apresentações, vídeos ou podcasts sobre a nova versão.

Você está pronto para explicar a necessidade de uma atualização depois de entender:

As diferenças e os aprimoramentos entre a nova versão e a (s) versão (ões) anterior (es).

O impacto da atualização nos clientes e nos usuários da plataforma operacional.

As limitações conhecidas que podem afetar seu ambiente.

Os riscos potenciais ao executar a atualização.

As alterações de licenciamento que podem ser aplicadas.

Nunca tente atualizar para uma versão que você não entende totalmente (tanto em recursos limitações conhecidas) e sobre as quais você não tem experiência operacional.

Tenha um motivo válido para atualizar

O motivo não pode ser "Porque eu quero ter a versão mais recente". A razão deve ser explicada em termos de melhoria comercial, técnica e / ou operacional.

Respostas afirmativas para as seguintes perguntas são razões válidas para atualizar:

A nova versão tem um recurso que ajuda a garantir a conformidade?

A nova versão tem um aprimoramento que permite 40% de redução (40% de melhoria) no tempo de execução? uma determinada operação?

O novo recurso corrige um defeito / bug conhecido encontrado em uma versão anterior que afeta a empresa? operações de negócio?

A nova versão permitirá à sua organização implantar novos serviços que ajudarão a conquistar novos clientes ou aumentar

13

Melhores Práticas para o FortiOS 5.2

Página 14

lealdade dos já existentes?

O fornecedor está cortando o suporte para a versão que sua organização está usando atualmente?

Firmware

Se a melhor razão para atualizar é "Porque os novos recursos parecem ser legais" ou "Porque eu quero ter o mais recente versão ”, um pouco mais de compreensão e planejamento pode ser necessário.

Prepare um plano de atualização

Se você optar por atualizar porque encontrou um motivo válido para fazer isso, crie um plano que cubra aspectos comerciais, técnicos e operacionais da atualização:

O negócio:

O planejamento e a justificativa adequados para uma atualização devem ser proporcionais à importância do sistema para o o negócio.

Certifique-se de poder articular claramente os benefícios da atualização em termos comerciais (tempo, dinheiro e eficiência).

Entenda os processos de negócios que serão afetados pela mudança.

Verifique se a janela de atualização de atualização não está próxima de um processo crítico de negócios (como trimestral ou mensal fechamento de negócios).

Obtenha aprovação executiva e operacional para a janela de manutenção. A aprovação deve vir dos proprietários

de TODOS os sistemas / informações afetados pela atualização, não apenas daqueles que possuem o sistema que está sendo atualizado.

A aprovação deve ser feita de forma formal (por escrito ou por e-mail).

Técnico e operacional:

Releia as Notas da Versão da tecnologia que você está atualizando. Modelos de hardware suportados, caminhos de atualização e limitações conhecidas devem ser claramente entendidas.

Verifique se a janela de atualização de atualização não se sobrepõe a nenhuma outra janela de manutenção

a infraestrutura.

Se você tiver alguma oferta de suporte premium (como TAM, Suporte Premium), faça um exercício de planejamento de capacidade para garantir

a nova versão de firmware / software não requer mais recursos de hardware do que você possui atualmente.

Crie um backup, independentemente de você ter ou não planejado backups. Crie um novo backup novo.

Obtenha cópias offline do firmware atualmente instalado e da nova versão.

Crie uma lista de sistemas com interdependências para o sistema que você está atualizando. Por exemplo, se você é atualizando um FortiGate; compreender o impacto em qualquer FortiAP, FortiAuthenticator, FortiToken, FortiManager ou FortiAnalyzer você tem em seu ambiente.

Certifique-se de ter uma lista de dispositivos adjacentes à plataforma de upgrade e tenha acesso administrativo a eles, apenas em Caso você precise fazer alguma solução de problemas. Você está atualizando o FortiWeb? Certifique-se de que você pode administrativamente acessar os aplicativos da Web. Você está atualizando um FortiGate? Certifique-se de que você pode administrativamente acessar switches e roteadores próximos.

Tenha um plano passo a passo sobre como executar e testar a atualização. Você quer ter certeza de que pensa no pior situação antes que aconteça, e tem cursos pré-definidos de ação, em vez de pensar sob pressão quando algo já deu errado.

Defina um conjunto de testes (que incluem aplicativos de negócios críticos que devem estar funcionando) para garantir que o upgrade foi bem. Se algum teste não for bem, defina quais exigem uma reversão e quais podem ser toleradas resolução de problemas. Esse conjunto de testes deve ser executado antes e depois da atualização para comparar os resultados, e eles deve ser o mesmo.

Página 15

14

Melhores Práticas para o FortiOS 5.2

Firmware

Defina um plano de reversão claro. Se algo der errado com a atualização ou os testes, o plano de reversão ajudará você Retorne seu ambiente a um status conhecido e operacional. O plano deve indicar claramente as condições sob qual a reversão será iniciada.

Declare configuração congela. Um pouco antes e depois da atualização. A ideia é reduzir a quantidade de variáveis a ​​ serem consideradas se algo der errado.

Execute uma atualização de "Garantia de qualidade". Pegue uma cópia da configuração de produção, carregue-a em uma não produção caixa e executar o upgrade lá para ver se há algum problema no processo. Em seguida, ajuste o seu plano de acordo com os resultados obtidos.

Tenha uma lista de elementos de informação a serem reunidos se algo der errado. Isso garante que, mesmo se o upgrade Se você falhar, coletará informações suficientes para solucionar o problema sem a necessidade de repetir o problema. Obtenha ajuda dos departamentos de TAC / Suporte se precisar verificar o que mais pode estar faltando na sua lista.

Defina um período de monitoramento de teste após a conclusão da alteração. Mesmo que a atualização tenha ocorrido sem problemas, algo ainda poderia dar errado. Certifique-se de monitorar o sistema atualizado por pelo menos um ciclo de negócios. Ciclos de negócios

pode ser uma semana, um mês ou um trimestre, dependendo das prioridades de negócios da sua organização.

Execute o plano de atualização

A execução de uma atualização é tão importante quanto o planejamento.

Uma vez que você esteja executando a atualização, a pressão aumentará e o estresse poderá atingir o pico. É por isso que você deve se ater a

o plano que você criou com uma cabeça legal.

Resista à tentação de tomar decisões durante a execução da atualização, pois seu julgamento será obscurecido pela estresse do momento, mesmo que uma nova decisão pareça ser "óbvia" nesse momento. Se o seu plano diz que você deveria reversão, em seguida, executar o retrocesso, apesar da mentalidade potencial de "Podemos consertar isso muito rapidamente".

Ao executar a atualização, certifique-se de que todos os componentes envolvidos estejam permanentemente monitorados antes, durante

e após o upgrade, seja via sistemas de monitoramento, alertas SNMP, ou pelo menos com ferramentas como um ping. Crítico Recursos como CPU, memória, rede e / ou utilização de disco também devem ser constantemente monitorados.

Para evitar mal-entendidos, ao realizar os testes para cada aplicação crítica definida no planejamento, Verifique se há notificações formais sobre os resultados para cada área de usuário, serviço, sistema e / ou aplicativo testado.

Independentemente se você tem que reverter ou não, se ocorrer um problema, certifique-se de reunir o máximo de informações sobre

o problema possível, para que você possa posteriormente colocar um ticket de suporte para encontrar uma solução.

Por último, mas não menos importante, documente a atualização:

Permita que seu programa de emulação de terminal deixe rastros de todos os comandos executados e de toda a saída gerada. Se você estiver executando etapas por meio da GUI, considere o uso de uma ferramenta de captura de vídeo para documentá-la.

Documente qualquer comando ou alteração realizada nos sistemas adjacentes / interdependentes. Certifique-se de que eles estão reconhecido pelos administradores relevantes

Documente quaisquer desvios realizados sobre o plano de atualização. Isso é planejado versus real.

Saiba mais sobre o gerenciamento de mudanças

Change Management e Change Control são imensas áreas de conhecimento na área de Sistemas de Informação e Segurança de Computador / Rede.

Este documento não é de forma alguma uma lista abrangente sobre o que você deve fazer ao executar uma atualização, com Fortinet ou qualquer outra tecnologia. É apenas uma lista de coisas importantes que você deve levar em consideração

Página 16

15

Melhores Práticas para o FortiOS 5.2

Firmware

ao realizar upgrades que são o resultado de anos de experiência lidando com mudanças em ambientes, pois é comum que os dispositivos de segurança estejam protegendo aplicativos e processos críticos.

Existem vastos recursos sobre o assunto: livros, whitepapers públicos, entradas de blog, etc. Se você pesquisar na Internet por as “Melhores Práticas de Controle de Mudanças” ou “Melhores Práticas de Gerenciamento de Mudanças”, você obterá muitos documentos.

Mudanças na infraestrutura de TI de produção são críticas para os negócios. Certifique-se de que eles jogar a seu favor e não contra você.

Executando uma atualização de firmware

A atualização de um firewall é algo que deve ser comparado à atualização do sistema operacional em seu computador. Não é para ser tomada de ânimo leve! Você quer ter certeza de que tudo foi feito backup e você tem algumas opções disponíveis se as coisas dão errado. Assumindo que tudo parece funcionar, você também quer uma lista de coisas a fazer para confirmar que tudo está trabalhando corretamente. Finalmente, você precisa de tempo suficiente para fazê-lo. Tudo muito simples, mas o que isso significa em em relação à atualização do seu FortiGate? Isso significa que você segue estes passos simples:

1. Faça backup e armazene a configuração antiga (backup de configuração completa da CLI). Cavar isso um pouco, passo 1, é fácil de entender. Faça um backup completo da sua configuração antiga. Isso tudo faz parte seu plano de recuperação de desastres. Se a atualização falhar de alguma forma, você precisa ter certeza de que pode recuperar o Firewall funcionando. A melhor maneira de fazer isso é voltar a um estado em que você sabe qual era o comportamento. Para mais informações, consulte "Execução de um backup de configuração" na página 17 .

2. Tenha cópia do firmware antigo disponível.

A etapa 2 também faz parte da sua recuperação de desastres. Se a atualização falhar, talvez seja possível alternar a partição ativa.

Mas como profissional, você precisa estar preparado para o pior cenário onde você não pode fazer isso. Que significa você precisará do seu firmware antigo.

3. Ter opção de recuperação de desastre em espera - especialmente se remoto. Passo 3, é o seu plano para o que fazer no caso de uma falha crítica. Como estamos falando FortiGate isso significa que o seu

O firewall não retorna depois da atualização. O que isto significa é que você precisa ser capaz de chegar ao console

porta, a fim de descobrir o porquê. Talvez seja DHCP e o IP mudou, talvez o SO esteja corrompido, quem sabe? Pegar o console e descubra. Poderia haver uma solução simples. Se não houver, esteja preparado para um formato e recarga de TFTP.

4. Leia as notas de lançamento, incluindo o caminho de atualização e as informações de bug. Etapa 4, LEIA AS NOTAS DE LIBERTAÇÃO. Eles contêm todos os tipos de informação, bugs conhecidos, bugs corrigidos problemas de atualização, como configurações perdidas. Nem todas as informações de atualização estão contidas em produtos notas de lançamento. Isso não significa que eles sejam desprovidos de informações boas / úteis. Leia-os, digere-os, depois um alguns dias depois, leia-os novamente.

5. Verifique novamente tudo. Passo 5, faça uma verificação dupla de tudo. Seu servidor TFTP está funcionando, sua função de conexão do console é Existe alguma coisa nas notas de lançamento que poderia impactar o seu procedimento de atualização, você tem sua configuração backup? Certifique-se de que você fez tudo.

6. Upgrade. Etapa 6, faça o upgrade. Fazer uma atualização não leva muito tempo, alguns minutos (menos muitas vezes), mas certifique-se você agende tempo suficiente para isso. No final do dia, uma atualização pode ter sucesso ou falhar. Se tiver sucesso, você quer

16

Melhores Práticas para o FortiOS 5.2

Página 17

Firmware

algum tempo para verificar / confirmar que quaisquer recursos importantes que você tem estão funcionando (VPNs etc).

Separafalhar,resolvervocêasprecisarácoisas.

de tempo

Realizando um downgrade do firmware

Assim como atualizar, você precisa ter certeza de que é feito corretamente. Embora semelhantes, os passos são um pouco diferentes já que existem outras armadilhas nesse caso.

1. Localize o arquivo de configuração pré-atualização.

O passo 1 é muito importante. É por isso que, ao fazer o upgrade, você faz um backup da sua configuração antiga e a salva.

Se você não fizer isso, precisará reconstruir manualmente.

2. Tenha cópia do firmware antigo disponível.

O passo 2 é bastante óbvio. Mesmo com dispositivos que têm várias partições e seu processo de downgrade é simplesmente

vai ser para mudar a partição ativa, isso poderia dar errado. Nesse caso, você pode estar sem acesso à Internet. Um profissional tem um plano para quando as coisas dão errado.

3. Ter opção de recuperação de desastre em espera - especialmente se remoto.

O passo 3 não é diferente de antes. Espero que você não precise formatar a unidade, mas esteja preparado para isso, apenas em

caso.

4. Leia as notas de lançamento - é um downgrade possível ou necessário?

O passo 4, mais uma vez, é ler as notas de lançamento. Neste caso, você precisará fazer isso para a versão que você

estão em, e a versão que você está rebaixando também, e tudo mais (se você estiver voltando lançamentos ou patches). Talvez o sistema operacional tenha mudado de 32 para 64 bits em algum lugar entre as duas versões de firmware. Para ter certeza de que você não será pego por algo assim, você precisa verificar a atualização e o downgrade informações em todos os principais lançamentos e atualizações, pois isso pode ter um impacto direto em suas opções.

5. Verifique novamente tudo.

6. Downgrade - todas as configurações, exceto as necessárias para acesso, são perdidas. Os passos 5 e 6 são os mesmos de antes. Verifique tudo e faça o downgrade.

7. Restaure a configuração de pré-atualização.

O passo 7 é novo. Obviamente, a maioria das configurações são perdidas quando você faz o downgrade para voltar a usá-lo

precisará restaurar seu arquivo de configuração antigo.

Executando um backup de configuração

Depois de configurar a unidade FortiGate e ela estiver funcionando corretamente, é extremamente importante que você faça o backup da configuração. Em alguns casos, pode ser necessário redefinir a unidade FortiGate para os padrões de fábrica ou executar um TFTP upload do firmware, que apagará a configuração existente. Nestes casos, a configuração no dispositivo terá que ser recriado, a menos que um backup possa ser usado para restaurá-lo.

Também é recomendável que, depois de fazer qualquer alteração adicional, você faça o backup da configuração imediatamente, para garantir que você tenha a configuração mais atual disponível. Além disso, certifique-se de fazer backup da configuração antes atualizando o firmware da unidade FortiGate. Caso alguma coisa aconteça durante a atualização que muda o configuração, você pode restaurar facilmente a configuração salva.

Sempre faça o backup da configuração e armazene-a no computador de gerenciamento ou fora do local. Você tem a opção de salvar o arquivo de configuração em vários locais, incluindo o PC local, chave USB, FTP e site TFTP.

são configuráveis apenas

pela CLI.

​​

Página 18

17

Melhores Práticas para o FortiOS 5.2

Firmware

Se você tiver VDOMs, poderá fazer o backup da configuração de toda a unidade FortiGate ou apenas de um VDOM específico. Nota que, se você estiver usando o FortiManager ou o FortiCloud, serão feitos backups completos e a opção de backup individual VDOMs não aparecerão.

Para fazer backup da configuração do FortiGate - gerenciador baseado na web:

1. Vá para Sistema> Painel> Status .

2. No widget Informações do sistema , selecione Backup ao lado de Configuração do sistema .

3. Selecione para fazer backup no seu PC local ou em um disco USB .

A opção Disco USB ficará acinzentada se não houver uma unidade USB inserida na porta USB. Você também pode fazer backup para o

FortiManager usando o CLI.

4. Se os VDOMs estiverem ativados, selecione para fazer backup de toda a configuração do FortiGate ( Full Config ) ou apenas de um VDOM específico. configuração (configuração VDOM ).

5. Se estiver fazendo backup de uma configuração de VDOM, selecione o nome do VDOM na lista.

6. Selecione Criptografar arquivo de configuração .

A criptografia deve estar ativada no arquivo de backup para fazer o backup de certificados VPN.

7. Digite uma senha e insira-a novamente para confirmá-la. Você precisará desta senha para restaurar o arquivo.

8. Selecione Backup .

9. O navegador da Web solicitará um local para salvar o arquivo de configuração. O arquivo de configuração terá um extensão .conf.

Para fazer o backup da configuração do FortiGate - CLI:

executar configuração de backup-estação de gerenciamento <comentário>

… Ou…

execute backup config usb <backup_filename> [<backup_password>]

… Ou para FTP (note que o número da porta, nome de usuário são opcionais dependendo do site FTP)…

executar configuração de backup ftp <backup_filename> <ftp_server> [<port>] [<user_name>] [<senha>]

… Ou para TFTP…

executar configuração de backup tftp <backup_filename> <tftp_servers> <password>

Use os mesmos comandos para fazer backup de uma configuração de VDOM inserindo primeiro os comandos:

config vdom editar <vdom_name>

Fazendo backup de um arquivo de configuração usando o SCP

Você pode usar o protocolo de cópia segura (SCP) para baixar o arquivo de configuração da unidade FortiGate como um método alternativo de fazer backup do arquivo de configuração ou de um arquivo de configuração individual do VDOM. Isso é feito por habilitar o SCP para uma conta de administrador e habilitar o SSH em uma porta usada pelo aplicativo cliente SCP para conectar-se à unidade FortiGate. O SCP é ativado usando os comandos da CLI:

sistema de configuração global definir permissão do admin-scp

fim

Página 19

18

Melhores Práticas para o FortiOS 5.2

Firmware

Use os mesmos comandos para fazer backup de uma configuração de VDOM inserindo primeiro os comandos:

configuração global definir permissão do admin-scp

fim

config vdom editar <vdom_name>

Página 20

19

Perfis de segurança (AV, Web Filtering etc.)

Melhores Práticas para o FortiOS 5.2

A infecção pode vir de muitas fontes e ter muitos efeitos diferentes. Por causa disso, não há um único meio para proteger efetivamente sua rede. Em vez disso, você pode proteger melhor sua rede com as várias ferramentas UTM A unidade FortiGate oferece.

Firewall

Tenha cuidado ao desativar ou excluir as configurações do firewall. Alterações que você faz na configuração do firewall usando

o GUI ou o CLI são salvos e ativados imediatamente.

Organize as políticas de firewall na lista de políticas, de mais específica a mais geral. O firewall procura uma correspondência política começando no topo da lista de políticas e trabalhando. Por exemplo, uma política muito geral corresponde a todos tentativas de conexão. Ao criar exceções para uma política geral, você deve adicioná-las à lista de políticas acima

a política geral.

Evite usar a seleção Todos para os endereços de origem e destino. Use endereços ou grupos de endereços.

Se você remover todas as políticas do firewall, não haverá correspondências de política e todas as conexões serão descartadas.

Se possível, evite intervalos de portas em serviços por motivos de segurança.

As configurações para uma política de firewall devem ser o mais específicas possível. Não use 0.0.0.0 como um endereço. Não use qualquer como um serviço. Use sub-redes ou endereços IP específicos para endereços de origem e destino e use serviços individuais ou grupos de serviços.

Use uma máscara de sub-rede de 32 bits ao criar um único endereço de host (por exemplo, 255.255.255.255).

Use o registro em uma política somente quando necessário e esteja ciente do impacto no desempenho. Por exemplo, você pode querer para registrar todas as conexões descartadas, mas pode optar por usar isso com moderação, testando dados de tráfego em vez de armazenando continuamente informações de log que você não pode usar.

É

interfaces explícitas são recomendadas.

Use o campo de comentário para inserir dados de gerenciamento, por exemplo: quem solicitou a regra, quem a autorizou etc.

Evite endereços FQDN, se possível, a menos que sejam internos. Isso pode causar um impacto no desempenho em consultas DNS e impacto de segurança do DNS spoofing.

Para interfaces não vlan, use zonas (mesmo se você tiver apenas uma interface única para membros) para permitir:

possível usar políticas de segurança baseadas em qualquer interface. No entanto, para melhor granularidade e segurança mais rigorosa,

Segurança

Um nome explícito da interface a ser usada nas políticas de segurança ('internal' é mais explícito que 'port10').

Uma divisão entre a porta física e sua função para permitir o remapeamento de porta (por exemplo, mover de um 1G interface para uma interface 10G) ou para facilitar a conversão da configuração, conforme realizado durante as atualizações de hardware.

Use o NTP para sincronizar a hora no FortiGate e nos sistemas de rede principais, como servidores de e-mail, servidores web,

e serviços de log.

Ative as regras de registro para corresponder à política corporativa. Por exemplo, eventos de autenticação de administração de log e acesso a sistemas de interfaces não confiáveis.

Página 21

20

Melhores Práticas para o FortiOS 5.2

Perfis de segurança (AV, Web Filtering etc.)

Minimize alterações ad hoc em sistemas ativos, se possível, para minimizar as interrupções na rede. Quando não for possível, crie configurações de backup e implemente sistemas de auditoria sólidos usando o FortiAnalyzer e o FortiManager.

Se você só precisa permitir o acesso a um sistema em uma porta específica, limite o acesso criando a regra mais rígida possível.

Autenticação

Você deve adicionar um grupo de usuários válido para ativar a caixa de seleção Autenticação na página de configuração da política de firewall.

Os usuários podem autenticar com o firewall usando HTTP ou FTP. Para que os usuários possam autenticar, você deve adicionar um Política HTTP ou FTP configurada para autenticação.

Antivírus

Habilite a verificação antivírus na borda da rede para todos os serviços.

Use a verificação antivírus do endpoint FortiClient para proteção contra ameaças que entram em sua rede.

Assine as Atualizações do FortiGuard AntiVirus e configure sua unidade FortiGate para receber atualizações por push. Isso vai Certifique-se de receber atualizações de assinatura de antivírus assim que elas estiverem disponíveis.

Para garantir que todas as atualizações por push do antivírus ocorram, verifique se você tem um perfil antivírus habilitado em uma política de segurança.

Ative apenas os protocolos que você precisa verificar. Se você tiver verificações antivírus ocorrendo no servidor SMTP ou usar FortiMail, é redundante que a digitalização também ocorra na unidade FortiGate.

Reduza o tamanho máximo do arquivo a ser verificado. Os vírus geralmente viajam em pequenos arquivos de 1 a 2 megabytes.

Não coloque arquivos em quarentena, a menos que você os monitore e revise regularmente. Isto é um desperdício de espaço e impacta o desempenho.

Examine relatórios de antivírus e registre mensagens periodicamente. Tome especial atenção de detecções repetidas. Para Por exemplo, a detecção repetida de vírus no tráfego SMTP pode indicar que um sistema em sua rede está infectado e está tentando entrar em contato com outros sistemas para espalhar a infecção usando um mailer em massa.

Antispam

Se possível, use uma unidade FortiMail. Os mecanismos antispam são mais robustos.

Use servidores DNS rápidos.

Use perfis de segurança específicos para a regra que usará o antispam.

Verificações de DNS podem causar falsos positivos com a pesquisa de DNS HELO.

A análise de conteúdo (palavras proibidas) pode impor sobrecarga de desempenho.

Sistema de Prevenção de Intrusões (IPS)

O sistema IPS do seu FortiGate pode detectar tráfego tentando explorar esta vulnerabilidade. O IPS também pode detectar quando os sistemas infectados se comunicam com os servidores para receber instruções. Consulte a seguinte lista de melhores práticas sobre o IPS.

Página 22

21

Melhores Práticas para o FortiOS 5.2

Perfis de segurança (AV, Web Filtering etc.)

Ative a varredura IPS na borda da rede para todos os serviços.

Use a varredura FortiClient endpoint IPS para proteção contra ameaças que entram em sua rede.

Assine as atualizações do FortiGuard IPS e configure sua unidade FortiGate para receber atualizações por push. Isso garantirá você recebe atualizações de assinaturas IPS assim que elas estiverem disponíveis.

Como é essencial proteger-se contra ataques a serviços disponibilizados para o público, configure o IPS assinaturas para bloquear assinaturas correspondentes. Por exemplo, se você tiver um servidor da Web, configure a ação do servidor da Web assinaturas para bloquear.

Crie e use perfis de segurança com assinaturas e anomalias específicas que você precisa por interface e por regra.

Não use perfis predefinidos ou genéricos. Embora esses perfis sejam convenientes para fornecer proteção imediata, você deve criar perfis para se adequar ao seu ambiente de rede.

Se você usar os perfis padrão, reduza as assinaturas / anomalias IPS ativadas no perfil para conservar o processamento tempo e memória.

Se você for ativar anomalias, certifique-se de ajustar os limites de acordo com o seu ambiente.

Se você precisar de proteção, mas não de informações de auditoria, desative a opção de log.

Ajuste o parâmetro do protocolo IP de acordo.

Bloqueio do Skype usando opções CLI para melhor detecção

Se você quiser identificar ou bloquear as sessões do Skype, use o seguinte comando CLI com o serviço público do FortiGate. Endereço IP para melhorar a detecção (FortiOS 4.3.12+ e 5.0.2+):

ips de configuração globais defina skype-client-public-ipaddr <198.51.100.0,203.0.113.0>

fim

Observe que a sintaxe acima é configurada usando vários endereços IP públicos, em que um único endereço IP público pode suficiente dependendo da sua configuração de rede.

Página 23

Filtro de e-mail

22

Melhores Práticas para o FortiOS 5.2

Filtro de e-mail

O spam é um meio comum pelo qual os ataques são entregues. Os usuários geralmente abrem anexos de e-mail que não deveriam e infectar sua própria máquina.

Ative a filtragem de e-mail na borda da rede para todos os tipos de tráfego de e-mail.

Use a varredura FortiClient endpoint IPS para proteção contra ameaças que entram em sua rede.

Assine o Serviço AntiSpam FortiGuard.

Filtragem de URL

As práticas recomendadas para filtragem de URL podem ser divididas em quatro categorias: filtragem baseada em fluxo versus filtragem baseada em proxy; lo recurso de categoria / classificação; Filtro de URL 'Isento' ação; e Deep Scan.

Baseado em fluxo versus baseado em proxy

Tente evitar misturar recursos baseados em fluxo e proxy no mesmo perfil se você não estiver usando IPS ou Controle de aplicativos.

Recurso de categoria / classificação local

As categorias locais e os recursos de classificação local consomem uma grande quantidade de recursos da CPU, portanto, use esses recursos como que possível. É melhor usar as categorias locais em vez de usar o recurso "substituir", pois o recurso "substituir" é mais complicado e mais difícil de solucionar.

Filtro de URL "Isento"

Ao usar a opção 'Isento' do filtro de URL, todas as verificações (incluindo antivírus) são ignoradas por padrão, portanto, use este opção apenas para sites confiáveis.

Notas de configuração: você precisa configurar ações 'Exempt' no filtro de URL se quiser ignorar o FortiGuard Web Filter.Você pode configurar qual (is) inspeção (ões) específica (s) você deseja ignorar usando o conjunto comando isento em config webfilter urlfilter.

Varredura profunda

O recurso "Varredura profunda" é muito mais pesado em recursos do que "Somente varredura de URL HTTPS". Deep Scan é muito mais

preciso, pois muitos sites (como vários aplicativos do Google) não podem ser verificados separadamente sem

digitalização ativada.

Nota: Se você configurar a Varredura profunda no perfil SSL e, em seguida, configurar 'Habilitar somente varredura de URL HTTPS' na web perfil de filtro, o Deep Scan não é executado.

Página 24

Filtragem da Web

23

Melhores Práticas para o FortiOS 5.2

Filtragem da Web

O FortiGuard Web Filtering pode ajudar a impedir infecções de sites de malware e ajudar a impedir a comunicação se

infecção ocorre.

Ative o FortiGuard Web Filtering na borda da rede.

Instale o aplicativo FortiClient e use o FortiGuard Web Filtering em qualquer sistema que contorne sua unidade FortiGate.

Bloqueie categorias como Pornografia, Malware, Spyware e Phishing. Essas categorias são mais propensas a serem perigoso

Gerenciamento de patches

Quando as vulnerabilidades são descobertas no software, os fornecedores de software lançam atualizações que corrigem esses problemas. Manter seu software e sistema operacional atualizados é um passo vital para evitar a infecção e defender-se contra ataques.

Siga os últimos alertas e relatórios na página do FortiGuard.

Aplique atualizações a todos os softwares à medida que as atualizações forem disponibilizadas.

FortiGaurd Vulnerability Management pode ajudar a identificar pontos fracos de segurança em sua rede. Esta assinatura

O

O

serviço está disponível através das unidades FortiScan e FortiAnalyzer.

Aplique atualizações de firmware à sua unidade FortiGate assim que elas forem liberadas.

Inscreva-se nos serviços FortiGuard AntiVirus e IPS, para que os mecanismos de verificação antivírus e IPS sejam automaticamente

atualizado quando novas versões são lançadas.

Página 25

Configuração de políticas

24

Melhores Práticas para o FortiOS 5.2

Configuração de políticas

Configurar a unidade FortiGate com uma política de tráfego 'allow all' é muito indesejável. Enquanto isso simplifica muito a configuração, é menos segura. Como medida de segurança, a melhor prática para a base de regra da política "negar" é padrão, e não o contrário.

Mudanças de configuração de política

Em um sistema carregado de cargas pesadas, a configuração do plano é alterada durante períodos de baixa utilização para minimizar o impacto Uso da CPU e sessões estabelecidas. Nesse cenário, considera-se uma prática recomendada desacelerar o sessões aceleradas por hardware.

Você pode configurar o comportamento desacelerado em sessões aceleradas por hardware usando comandos CLI para controlar como o processador gerencia mudanças de configuração de política. Os seguintes comandos da CLI devem ser usados:

configurações do sistema de configuração set firewall-session-dirty {verificar tudo | check-new | check-policy-option}

fim

onde você quer que o seguinte seja verdadeiro:

verificar tudo

check-new

check-policy-option

A CPU libera todas as sessões atuais e as reavalia. Este é o padrão opção.

A CPU mantém as sessões existentes e aplica as alterações de política a novas sessões só. Isso reduz a carga da CPU e a possibilidade de perda de pacotes.

Use a opção selecionada no campo sujo da sessão de firewall do política de firewall (check-all ou check-new, como acima, mas por política).

Política de lista de permissões

Permitir apenas o tráfego de entrada e saída necessário.

Se possível, limite o tráfego a endereços ou sub-redes específicos. Isso permite que a unidade FortiGate reduza o tráfego de e para endereços inesperados.

Políticas IPS e DoS

Como é essencial proteger-se contra ataques a serviços disponibilizados para o público, configure o IPS assinaturas para bloquear assinaturas correspondentes. Por exemplo, se você tiver um servidor da Web, configure a ação do servidor da Web assinaturas para bloquear.

Sua unidade FortiGate inclui assinaturas IPS escritas para proteger títulos de software específicos contra ataques DoS. Ativar o assinaturas para o software que você instalou e definir a ação de assinatura como Bloquear. Os ataques DoS são lançados contra vulnerabilidades. Mantenha uma assinatura do FortiGuard IPS para garantir o seu FortiGate

unidade recebe automaticamente assinaturas IPS novas e atualizadas à medida que são liberadas.

Use e configure políticas DoS para níveis apropriados com base no tráfego e na topologia de sua rede. Isso ajudará a soltar tráfego se uma quantia anormal for recebida. A chave é definir um bom limite. O limite define o máximo

Página 26

25

Melhores Práticas para o FortiOS 5.2

Configuração de políticas

número de sessões / pacotes por segundo de tráfego normal. Se o limite for excedido, a ação será acionada. Os padrões de limite são recomendações gerais, mas sua rede pode exigir valores muito diferentes. Uma maneira de Encontrar os valores corretos para o seu ambiente é definir a ação para passar e habilitar o log. Observe os logs e ajustar os valores de limite até que você possa determinar o valor no qual o tráfego normal começa a gerar ataque relatórios. Defina o limite acima desse valor com a margem desejada. Note que quanto menor a margem, mais Protegido seu sistema será de ataques DoS, mas seu sistema também será mais provável gerar alarmes falsos.

Página 27

Networking

26

Melhores Práticas para o FortiOS 5.2

Ao configurar sua rede, certifique-se de que não haja acesso "back door" à rede protegida. Por exemplo, Se houver um ponto de acesso sem fio, ele deve ser protegido adequadamente com senha e criptografia.

Certifique-se de também manter um diagrama de rede atualizado que inclua endereçamento IP, cabeamento e rede elementos.

Configuração de roteamento

Sempre configure uma rota padrão.

Adicione rotas blackhole para sub-redes acessíveis por meio de túneis VPN. Isso garante que, se um túnel VPN cair, o tráfego não é erroneamente encaminhado para a Internet sem criptografia.

Roteamento de políticas

Mantenha o número de rotas de políticas no mínimo para otimizar o desempenho na pesquisa de rota e para simplificar solução de problemas.

Roteamento dinâmico

Selecione um ID de roteador que corresponda a um IP atribuído a uma interface. Isso evita a probabilidade de ter dois dispositivos com o mesmo ID de roteador.

Para o roteamento em um túnel IPsec, atribua endereços IP às duas extremidades do túnel.

Roteamento avançado

Use as seguintes práticas recomendadas para roteamento avançado ao lidar com o Border Gateway Protocol (BGP) e Abra o caminho mais curto primeiro (OSPF).

Border Gateway Protocol (BGP)

Se você estiver usando o BGP, é recomendável ativar a reconfiguração suave. Isso tem dois benefícios:

Ele permite que você execute 'soft clear' de pares após uma alteração em uma política do BGP.

Ele fornece maior visibilidade para os prefixos específicos aprendidos de cada vizinho.

Deixe a reconfiguração suave desativada se o seu FortiGate não tiver muita memória não utilizada. Reconfiguração suave requer manter cópias separadas de prefxies recebidos e anunciados, além do banco de dados BGP local.

Abra o caminho mais curto primeiro (OSPF)

Evite o uso de interfaces passivas sempre que possível.

Evite o uso de links virtuais para conectar áreas. Todas as áreas devem ser projetadas para se conectar diretamente à área do backbone.

Página 28

27

Melhores Práticas para o FortiOS 5.2

Networking

Certifique-se de que todos os roteadores de backbone tenham no mínimo duas conexões de peering para outros vizinhos de backbone.

Um domínio OSPF inteiro deve estar sob administração comum.

Conversão de endereços de rede (NAT)

Cuidado com a configuração incorreta do intervalo do IP Pool. Verifique novamente os IPs inicial e final de cada pool de IP. O pool de IP deve não se sobrepõem a endereços atribuídos a interfaces FortiGate ou a quaisquer hosts em redes diretamente conectadas.

Se você tiver usuários internos e externos acessando os mesmos servidores, use o DNS dividido para oferecer um IP interno a um servidor interno. usuários para que eles não tenham que usar o VIP externo.

Configurando o NAT

Não habilite o NAT para tráfego de entrada, a menos que seja exigido por um aplicativo. Se, por exemplo, o NAT estiver habilitado para tráfego SMTP de entrada, o servidor SMTP pode atuar como uma retransmissão aberta.

Modo Transparente

Não conecte duas portas à mesma VLAN em um comutador ou ao mesmo hub. Alguns switches da Camada 2 se tornam

instáveis quando uma VLAN.

detectam o mesmo endereço MAC originado em mais de uma interface de switch ou de mais de

​​

Se você operar várias VLANs em sua unidade FortiGate, atribua cada ID de VLAN a seu próprio domínio de encaminhamento para garantir que o escopo da transmissão não se estende além da VLAN originou em.

Para proteger contra loops de camada 2:

Ative o stpforward em todas as interfaces.

Use VDOMs separados para tráfego de produção (VDOM no modo TP) e tráfego de gerenciamento (NAT / Modo de rota VDOM).

Coloque apenas essas interfaces usadas para produção no VDOM do modo TP. Coloque todas as outras interfaces no NAT / Route modo VDOM. Isso protege contra possíveis loops da camada 2.

Usando IPs virtuais (VIPs)

Use o IP externo de 0.0.0.0 ao criar um VIP para uma unidade FortiGate onde o endereço IP da interface externa é dinamicamente atribuído.

Certifique-se de selecionar a interface externa correta ao criar um novo IP virtual (VIP). A interface externa deve ser definido para a interface na qual a unidade FortiGate recebe solicitações de conexão de redes externas.

Página 29

Alta disponibilidade do FGCP

28

A Fortinet sugere as seguintes práticas relacionadas à alta disponibilidade:

Melhores Práticas para o FortiOS 5.2

Use o Active-Active HA para distribuir sessões TCP e UTM entre várias unidades de cluster. Um cluster ativo-ativo pode ter maior rendimento do que uma unidade independente do FortiGate ou um cluster ativo-passivo.

Use um nome de host diferente em cada unidade FortiGate ao configurar um cluster de HA. Menos etapas são necessárias para adicionar nomes de host para cada unidade de cluster antes de configurar o HA e formar um cluster.

Considere adicionar um Alias às

interfaces usadas para o heartbeat HA para que você sempre tenha um lembrete sobre o que

​​ essas interfaces estão sendo usadas para.

Habilitar o balanceamento de carga-tudo pode aumentar a carga do dispositivo e da rede, pois mais tráfego tem balanceamento de carga. este pode ser apropriado para uso em uma implantação usando os recursos de firewall da unidade FortiGate e IPS, mas nenhum outro inspeção de conteúdo.

Uma vantagem de usar a coleta de sessão é que as sessões de inspeção sem conteúdo serão selecionadas pelo novo unidade após um failover. A desvantagem é que o cluster gera mais tráfego de heartbeat para suportar captação de sessão como uma parte maior da tabela de sessão deve ser sincronizada. A coleta de sessão deve ser configurada somente quando necessário e não é recomendado para uso com os modelos SOHO FortiGate. A coleta de sessão só deve ser usada se o O link de pulsação principal é dedicado (caso contrário, o tráfego adicional de heartbeat de HA pode afetar o desempenho da rede).

Se a coleta de sessão não for selecionada, após um failover de dispositivo ou link, todas as sessões serão brevemente interrompidas e estabelecido no nível de aplicativo após o cluster renegociar. Por exemplo, após um failover, os usuários que navegam web pode apenas atualizar seus navegadores para retomar a navegação. Usuários baixando arquivos grandes podem ter que reiniciar baixar após um failover. Outros protocolos podem sofrer perda de dados e alguns protocolos podem exigir sessões manualmente reiniciado. Por exemplo, um usuário baixando arquivos com FTP pode ter que reiniciar os downloads ou reiniciar seu cliente de FTP.

Se você precisar ativar a coleta de sessão, considere a possibilidade de ativar o atraso na coleta da sessão para melhorar o desempenho reduzindo o número de sessões que estão sincronizadas.

Considere usar a opção session-sync-dev para mover o tráfego de sincronização de sessão do link de pulsação de alta disponibilidade para uma ou mais interfaces de sincronização de sessão dedicadas.

Para evitar resultados imprevisíveis, ao conectar um comutador a várias interfaces redundantes ou agregadas em um cluster ativo-passivo você deve configurar interfaces redundantes ou agregadas separadas no switch; um para cada unidade de cluster.

Use alertas SNMP, syslog ou email para monitorar um cluster para mensagens de failover. Mensagens de alerta sobre failovers de cluster pode ajudar a encontrar e diagnosticar problemas de rede de maneira rápida e eficiente.

Interfaces de pulsação

A Fortinet sugere as seguintes práticas relacionadas a interfaces de pulsação:

Não use uma porta de switch FortiGate para o tráfego de heartbeat HA. Esta configuração é não suportado.

Tanto quanto possível, as interfaces de pulsação devem ser conectadas diretamente usando cabos de conexão (sem envolver outras

Página 30

equipamentos de rede, como switches). Se os switches precisarem ser usados, eles não devem ser usados para

outro tráfego de rede

​​

29

Melhores Práticas para o FortiOS 5.2

Alta disponibilidade do FGCP

que poderia inundar os switches e causar atrasos de heartbeat. Se você não pode usar um switch dedicado, o uso de uma VLAN dedicada pode ajudar a limitar o domínio de broadcast a proteger o tráfego de heartbeat e a largura de banda que ele cria.

Isole as interfaces de pulsação das redes de usuários. Pacotes de heartbeat contêm configuração de cluster sensível informações e pode consumir uma quantidade considerável de largura de banda de rede. Se o cluster consistir em dois FortiGate unidades, conecte as interfaces de heartbeat diretamente usando um cabo crossover ou um cabo Ethernet comum. Para clusters com mais de duas unidades, conecte as interfaces de heartbeat a um switch separado que não esteja conectado a nenhuma rede.

Se o tráfego de pulsação não puder ser isolado das redes de usuários, ative a criptografia e a autenticação de mensagens de pulsação para proteger as informações do cluster. Consulte Ativando ou Desativando a Criptografia e Autenticação de Heartbeat HA.

Configure e conecte interfaces de heartbeat redundantes para que, se uma interface de heartbeat falhar ou se tornar desconectado, o tráfego de heartbeat de HA pode continuar a ser transmitido usando a interface de heartbeat de backup. Se o batimento cardíaco a comunicação falhar, todos os membros do cluster pensarão que são a unidade principal, resultando em vários dispositivos no rede com os mesmos endereços IP e endereços MAC (condição conhecida como Split Brain ) e comunicação será interrompido até que a comunicação dos batimentos cardíacos possa ser restabelecida.

Não monitore interfaces dedicadas de heartbeat; monitorar as interfaces cuja falha deve acionar um dispositivo failover.

Quando possível, pelo menos uma interface de heartbeat não deve ser conectada a um processador NPx para evitar problemas relacionados a NPx. problemas de afetar o tráfego de pulsação.

Monitoramento de interface (monitoramento de porta)

A Fortinet sugere as seguintes práticas relacionadas ao monitoramento de interface (também chamado de monitoramento de porta):

Aguarde até que um cluster esteja em funcionamento e todas as interfaces estejam conectadas antes de ativar o monitoramento da interface. UMA A interface monitorada pode facilmente ser desconectada durante a configuração inicial e causar failovers antes do cluster é totalmente configurado e testado.

Monitora interfaces conectadas a redes que processam tráfego de alta prioridade para que o cluster mantenha conexões para essas redes se ocorrer uma falha.

Evite configurar o monitoramento de interface para todas as interfaces.

Monitoramento de interface suplementar com failover de link remoto. Configurar failover de link remoto para manter o fluxo de pacotes se um link não diretamente conectado a uma unidade de cluster (por exemplo, entre um comutador conectado a uma interface de cluster e rede) falha. Veja Failover de link remoto.

Página 31

30

Melhores Práticas para o FortiOS 5.2

Otimização de WAN

Os recursos de otimização de WAN exigem recursos significativos de memória e geram uma grande quantidade de E / S no disco. Antes de ativar a otimização da WAN, verifique se o uso de memória não está muito alto. Se possível, evite outros recursos intensivos, como registro de tráfego intenso no mesmo disco que o configurado para otimização de WAN necessidades.

Em geral, é preferível habilitar a caixa de seleção Modo transparente e garantir que o roteamento entre os dois endpoints é aceitável. Alguns protocolos podem não funcionar bem sem ativar o Modo Transparente.

Outras práticas recomendadas para utilizar o recurso de otimização da WAN são as seguintes.

Compartilhando o WAN Opt. túnel para o tráfego da mesma natureza

O compartilhamento de túnel de otimização de WAN é recomendado para tipos semelhantes de tráfego de otimização de WAN (como CIFS

tráfego de diferentes servidores). No entanto, o compartilhamento de encapsulamento para diferentes tipos de tráfego não é recomendado. Para Por exemplo, protocolos agressivos e não agressivos não devem compartilhar o mesmo túnel.

Encomenda de WAN Opt. regras apropriadamente

As regras precisas de otimização de WAN com porta específica devem estar no topo da lista.

Regras genéricas, como TCP geral, devem estar na parte inferior da lista.

Evitando misturar protocolos em uma opção de WAN. túnel

Diferentes protocolos podem ser mais ou menos faladores ou interativos. A mistura de protocolos em um túnel pode resultar em um atraso para alguns deles. Recomenda-se definir regras de otimização de wan específicas do protocolo e restringir as portas os necessários apenas por motivos de desempenho.

Configurando opções de configuração corretas para CIFS WAN Opt.

Certifique-se de que as regras de otimização da WAN cubram as portas TCP 139 e 445 (na mesma ou em duas regras diferentes). Além disso verifique se o Modo Transparente está selecionado.

Configurando opções de configuração corretas para MAPI WAN Opt.

Para MAPI WAN Optimization, especifique apenas uma regra com a porta TCP 135 (a menos que a porta de controle MAPI esteja configurada diferentemente). Sessões de dados derivados usando outras portas aleatórias serão tratadas pelo CIFS wan-optimization daemon mesmo com apenas a porta de controle configurada.

Teste de WAN Opt. em um laboratório

Certifique-se de que os emuladores de WAN sejam usados para

simular a WAN. Se nenhum emulador de WAN for usado, espera-se que ele tenha

​​ melhores resultados sem a otimização de WAN do que com a otimização de WAN.

Para testar a diferença entre transferências frias (transferências pela primeira vez) e transferências quentes, recomenda-se gere um arquivo aleatório da transferência a frio para garantir que o teste seja a primeira vez que o arquivo foi visto.

Página 32

31

Com relação à compactação de bytes e tipo de arquivo

Melhores Práticas para o FortiOS 5.2

Otimização de WAN

Ativar a compactação de bytes em transferências de arquivos já compactadas (arquivos .jpeg, archive compactado, etc.) não fornecer qualquer aumento de desempenho e pode ser visto como um mau uso dos recursos da CPU.

Quanto à tradução de endereços de rede (NAT)

A seleção do recurso NAT em uma política de segurança não tem qualquer influência no tráfego da Otimização de WAN.

Alta disponibilidade

Não há benefício em usar o modo ativo-ativo, portanto, para as necessidades de otimização da WAN, use o modo ativo-passivo. Consulte a seção Alta disponibilidade do FGCP para outras práticas recomendadas relacionadas ao HA.

Autenticação com pares específicos

Configurar autenticação de otimização de WAN com pares específicos. Aceitar qualquer ponto não é recomendado, já que pode ser menos seguro.

Página 33

Domínios Virtuais (VDOMs)

32

Melhores Práticas para o FortiOS 5.2

Os VDOMs podem fornecer políticas de firewall separadas e, no modo NAT / Route, configurações completamente serviços de roteamento e VPN para cada rede ou organização conectada. Esta seção fornece uma lista de melhores práticas para configurar VDOMs.

Configurações de recursos por VDOM

Enquanto os recursos globais se aplicam aos recursos compartilhados por toda a unidade FortiGate, os recursos por VDOM são específicos para apenas um domínio virtual.

Por padrão, todas as configurações de recursos por VDOM são definidas sem limites. Isso significa que qualquer VDOM pode usar todos os recursos de toda a unidade FortiGate, se necessário. Isso iria privar os outros VDOMs de recursos até o ponto onde eles seriam incapazes de funcionar. Por esse motivo, é recomendável que você defina máximos em recursos que são mais vitais para seus clientes.

Domínios virtuais no modo NAT / Route

Depois de ativar os domínios virtuais e criar um ou mais VDOMs, você precisará configurá-los. Isto é Recomendamos que você execute as seguintes tarefas na ordem indicada (embora não seja necessário topologia de rede):

1. Altere o domínio virtual de gerenciamento.

2. Configure as interfaces do FortiGate em um NAT / Route VDOM.

3. Configure o roteamento VDOM.

4. Configure políticas de segurança para os VDOMs NAT / Route.

5. Configure os perfis UTM para os VDOMs NAT / Route.

6. Teste a configuração.

Agrupamento Virtual

Se você decidir desabilitar a substituição de clusters, como resultado da renegociação persistente, desative-o para

ambas as unidades de cluster.

Página 34

Proxy explícito

33

Melhores Práticas para o FortiOS 5.2

Para proxies explícitos, ao configurar limites no número de usuários simultâneos, é necessário permitir o número de usuários com base em seu método de autenticação. Caso contrário, você pode ficar sem recursos do usuário prematuramente.

Cada usuário autenticado baseado em sessão é contado como um único usuário usando sua associação de autenticação (RADIUS, LDAP, FSAE, banco de dados local, etc.) para corresponder usuários em outras sessões. Então, um usuário autenticado em múltiplos sessões ainda é um usuário.

Para todas as outras situações, o endereço IP de origem é usado para determinar um usuário. Todas as sessões de um único endereço de origem são assumidos como sendo do mesmo usuário.

Defina o proxy da Web explícito e o proxy de FTP explícito Ação de diretiva de firewall padrão para Negar. Isso significa que um firewall política é necessária para usar esses proxies explícitos, permitindo que você controle o acesso e imponha recursos de segurança.

Não ative o proxy Web ou FTP explícito em uma interface conectada à Internet. Este é um risco de segurança porque qualquer pessoa na Internet que encontrar o proxy poderia usá-lo para ocultar seu endereço de origem. Se você deve ativar o proxy em tal interface, certifique-se de que a autenticação seja necessária para usar o proxy.

Página 35

34

Melhores Práticas para o FortiOS 5.2

Sem fio

A seção a seguir contém uma lista de práticas recomendadas para configurações de rede sem fio com relação à criptografia

e autenticação, localização geográfica, planejamento de rede, uso de energia, balanceamento de carga do cliente, bridging local, SSIDs e o uso de IPs estáticos.

Criptografia e autenticação

É uma prática recomendada sempre ativar o método de criptografia e autenticação do usuário mais forte que o seu cliente

suporta. A Fortinet recomenda a seguinte segurança, da mais forte para a mais fraca:

WPA2 - Enterprise 802.1x / EAP - Chave pré-compartilhada pessoal (8 a 63 caracteres)

WPA - Enterprise 802.1x / EAP - Chave pré-compartilhada pessoal (8 a 63 caracteres)
WEP128 - 26 Tecla numérica hexadecimal

Chave de dígito hexadecimal WEP64 - 10
Nenhum - sistema aberto

Localização geográfica

Certifique-se de que o controlador sem fio FortiGate esteja configurado para sua localização geográfica. Isso garante que o os canais de rádio disponíveis e a energia do rádio estão em conformidade com os regulamentos da sua região.

A potência máxima permitida do transmissor e os canais de rádio permitidos para redes Wi-Fi dependem da região

em que a rede está localizada. Por padrão, o controlador WiFi está configurado para os Estados Unidos. Se você é localizado em qualquer outra região, você precisa definir sua localização antes de começar a configurar redes sem fio.

A configuração de local só pode ser alterada no CLI. Para mudar o país para a França, por exemplo, insira o

Segue:

configuração do controlador sem fio de configuração set country FR

fim

Para ver a lista de códigos de países, insira um ponto de interrogação ('?') No lugar do código do país.

Usar uma localização geográfica incorreta é um erro comum que pode levar a resultados imprevisíveis no lado do cliente.

Planejamento de rede

É recomendável que você realize uma pesquisa de site adequada antes de posicionar o ponto de acesso sem fio. A fim de

avaliar o ambiente da área de cobertura, os seguintes critérios devem ser levados em conta:

Tamanho da área de cobertura

Largura de banda necessária

Capacidades sem fio do cliente

Página 36

35

Melhores Práticas para o FortiOS 5.2

Sem fio

Depois de concluir uma pesquisa de site de RF, você terá uma boa ideia do número e da localização dos pontos de acesso necessários fornecer aos usuários cobertura e desempenho adequados.

No entanto, antes de instalar os pontos de acesso, certifique-se de determinar o (s) canal (is) de RF que você pretende usar. Isso vai Certifique-se de que os usuários possam percorrer as instalações com desempenho substancial.

Para evitar interferência entre canais, os pontos de acesso Wi-Fi adjacentes devem ser configurados para usar canais sem sobreposição. Caso contrário, você perceberá que um desempenho ruim será degradado devido à interferência entre os pontos de acesso.

Recomenda-se configurar estaticamente os canais sem sobreposição em todos os pontos de acesso, usando um

Perfil AP por AP (ou grupo de APs). Se a configuração estática não puder ser usada, o FortiOS Wi-Fi Controller inclui

o recurso de provisionamento automático de recursos de rádio (ARRP).

Reduzindo o nível de energia para reduzir a interferência de RF

Produto (s) Relevante (s): FortiAP

A

a cobertura é um risco de segurança potencial. Se possível, reduza a potência do transmissor do seu ponto de acesso sem fio

que o sinal não está disponível além das áreas onde é necessário. Auto Tx Power Control pode ser ativado para ajustar automaticamente a potência de transmissão.

Nos casos em que os clientes reclamam do tráfego sem fio lento através de um FortiAP, pode ser necessário tentar reduzir a possibilidade de interferência de RF. É uma boa prática não localizar FortiAPs perto de vigas de aço ou outros materiais interferentes. Você pode tentar usar uma ferramenta sniffer sem fio para coletar os pacotes sem fio e, em seguida, analisar o extensão da interferência do ar.

Um erro comum é espaçar os FortiAPs com base na freqüência de rádio de 5Ghz. O sinal de 2.4Ghz viaja mais.

Você tem duas opções quando confrontado com tráfego sem fio lento através de um FortiAP:

redução de energia reduz a cobertura indesejada e a potencial interferência em outras WLANs. Áreas de indesejados

Opção # 1: Reduzindo o poder de transmissão

Realize um teste de velocidade e registre os resultados. Definir um dos rádios em um FortiAP para estar em monitoramento dedicado modo. Então observe quantos APs são detectados. Se o número de APs for muito alto (ou seja, maior que 20), tente reduzindo a potência de transmissão no perfil WTP para os FortiAPs até que o número de APs dedicados tenha caído significativamente.

Repita o teste de velocidade.

Opção nº 2: garantir que os VAPs sejam distribuídos pelos canais disponíveis

Nenhuma ferramenta interna está disponível para medir a interferência de RF diretamente. No entanto, o FortiOS 5.0 permite ajuste de potência, que deve minimizar a ocorrência de interferência de RF.

Balanceamento de carga do cliente sem fio

O balanceamento de carga sem fio permite que sua rede sem fio distribua com mais eficiência o tráfego sem fio entre as redes sem fio.

pontos de acesso e bandas de frequências disponíveis. Controladores sem fio FortiGate suportam os seguintes tipos de clientes balanceamento de carga:

Página 37

36

Melhores Práticas para o FortiOS 5.2

Sem fio

Ponto de Acesso Hand-off - O controlador sem fio sinaliza para um cliente mudar para outro ponto de acesso.

Frequency Hand-off - O controlador sem fio monitora o uso de bandas de 2,4 GHz e 5 GHz e sinaliza aos clientes para mudar para a frequência menos utilizada.

Bridging local

Sempre que possível, use bridging local para descarregar o túnel CAPWAP. Tenha em atenção que, neste caso, os dispositivos do cliente Wi-Fi obtenha endereços IP do mesmo servidor DHCP que os dispositivos com fio na LAN. O ID do vlan só pode ser configurado do CLI:

configuração sem fio-controlador vap editar "vaplocalbridge" set vdom "root" set ssid "testvaplocalbrdige" definir habilitação de ponte local set vlanid 40 ---> disponível apenas no CLI Próximo fim

SSIDs de publicidade

É altamente recomendável anunciar o SSID. Isso torna mais fácil para clientes e clientes sem fio. Além disso, se você "ocultar" o SSID (conhecido como "cloaking de rede"), os clientes sempre procurarão quando estiverem fora da cobertura área, que procura SSIDs conhecidos, na verdade, vazando o SSID de qualquer maneira. Consulte a RFC 3370 . Além disso, muitos dos drivers mais recentes da Broadcom não suportam SSID oculto para WPA2.

Por motivos de segurança, talvez você queira impedir a comunicação direta entre seus clientes sem fio. Nesse caso, ativar o bloqueio de tráfego intra-SSID (na configuração SSID).

Em uma rede com vários controladores sem fio, você precisa alterar o SSID da malha para que cada raiz da malha tenha um SSID exclusivo. Outros controladores que usam o mesmo SSID da raiz da malha podem ser detectados como APs falsos ou invasores. Ir para WiFi & Switch Controller> Rede WiFI> SSID para alterar o SSID. A Fortinet também recomenda que você crie um nova chave pré-compartilhada em vez de usar o padrão.

Página 38

37

Usando IPs estáticos em uma configuração CAPWAP

Melhores Práticas para o FortiOS 5.2

Usando IPs estáticos em uma configuração CAPWAP

Em uma grande implantação do FortiAP com mais de 20 FortiAPs conectados a um Controlador Fortigate Wireless (AC), é recomendado usar IPs estáticos nos pontos de acesso em vez de DHCP, definindo o IP da CA estaticamente ea tipo de descoberta para estático (Tipo 1), em vez de aprendê-lo por difusão, multicast ou DHCP.

Isso facilita o gerenciamento dos APs, pois você conhece o IP exato de cada ponto de acesso. Solução de problemas também se torna mais fácil, pois a depuração do controlador AC não tentará continuamente a descoberta diferente métodos em seqüência (broadcast> multicast> estático).

Página 39

Registro e relatório

As configurações do dispositivo de log padrão devem ser modificadas para que o desempenho do sistema não seja comprometido. O FortiGate Por padrão, a unidade possui todos os recursos de log do FortiGate ativados, exceto para o log de tráfego. O log padrão

A

localização será a memória do sistema da unidade FortiGate ou o disco rígido, dependendo do modelo. Unidades com um

O

disco flash não é recomendado para o log de disco.

Gerenciamento de logs

Quando a unidade FortiGate registra a atividade do FortiGate, são coletadas informações valiosas que fornecem informações sobre como proteger melhor o tráfego de rede contra ataques, incluindo uso indevido e abuso. Há muito a considerar antes habilitar o registro em log de uma unidade FortiGate, como quais atividades do FortiGate ativar e qual dispositivo de registro é melhor adequado para as necessidades de registro de sua rede. Um plano pode ajudá-lo a decidir as atividades do FortiGate para registrar, um registro dispositivo, bem como uma solução de backup no caso de o dispositivo de log falhar.

Esse plano deve fornecer um esboço, semelhante ao seguinte:

Quais atividades do FortiGate você deseja e / ou precisa registradas (por exemplo, recursos de segurança).

O dispositivo de log mais adequado para sua estrutura de rede.

Se você quiser ou exigir o arquivamento de arquivos de log.

Assegurar que os logs não sejam perdidos no caso de ocorrer uma falha.

Depois que o plano é implementado, você precisa gerenciar os logs e estar preparado para expandir sua configuração de log quando os requisitos atuais de registro são superados. Boas práticas de gerenciamento de log ajudam você com essas tarefas.

As práticas de gerenciamento de log ajudam você a melhorar e gerenciar os requisitos de log. O registro é uma expansão ferramenta que pode parecer uma tarefa difícil de gerenciar. As práticas de gerenciamento a seguir ajudarão você quando surgem problemas ou sua configuração de log precisa ser expandida.

Revisite seu plano anualmente para verificar se suas necessidades de registro estão sendo atendidas pela sua configuração de registro atual. Para Por exemplo, sua empresa ou organização pode exigir o registro de arquivamento, mas não no início de sua rede. vida útil. Os registros de arquivamento são armazenados no disco rígido local de uma unidade FortiGate, em uma unidade FortiAnalyzer ou em um servido em ordem crescente de tamanho.

Configure uma mensagem de alerta que irá notificá-lo de atividades que são importantes para estar ciente. Por exemplo: se um filial não tem um administrador FortiGate, você precisará saber em todos os momentos que o túnel VPN IPsec ainda está em funcionamento. Uma mensagem de notificação de email de alerta pode ser configurada para enviar somente se erros de encapsulamento de IP ocorrer.

Se sua organização ou empresa usa programas ponto-a-ponto, como o Skype ou outro software de mensagens instantâneas, use o widget do painel de uso de mensagens instantâneas ou o widget de relatório do Resumo executivo (a maior largura de banda de aplicativos do 10 Resumo de uso por hora) para ajudá-lo a monitorar o uso desses tipos de software de mensagens instantâneas. Estes widgets podem ajudá-lo a determinar como esses aplicativos estão sendo usados, incluindo se houver Abuso. Suas informações são obtidas de mensagens de log do aplicativo; no entanto, as mensagens de log do aplicativo devem ser visto também, uma vez que contêm as informações mais detalhadas.

Assegure-se de que sua solução de backup esteja atualizada. Se você expandiu recentemente sua configuração de log, também deverá revisar sua solução de backup. A solução de backup fornece uma maneira de garantir que todos os logs não sejam perdidos no caso de o log o dispositivo falha ou surgem problemas com o próprio dispositivo de registro.

Página 40

39

Melhores Práticas para o FortiOS 5.2

Registro e relatório

Ao baixar mensagens de log e visualizá-las em um computador, o arquivo de log será baixado como qualquer outro Arquivo. Os nomes dos arquivos de registro contêm seu tipo de registro e data no nome, portanto, recomenda-se criar uma pasta na qual arquive suas mensagens de log, pois elas podem ser classificadas facilmente.

Memória do sistema e discos rígidos

Se a unidade FortiGate tiver um disco rígido, ela estará habilitada por padrão para armazenar logs. Isso também significa que você não precisa habilitar isso e definir as configurações para o registro no disco rígido, mas modifique essas configurações para que configurado para seus requisitos de registro de rede.

Se a unidade FortiGate tiver apenas memória flash, o registro em disco será desabilitado por padrão, pois não é recomendado. Reescritas constantes para drives flash podem reduzir a vida útil e a eficiência da memória. Ele deve estar ativado no CLI sob configuração de disco de log de configuração.

Para alguns modelos de baixo custo, o log de disco não está disponível. Verifique a matriz de recursos de um produto para obter mais informações. Em Em qualquer caso, a Fortinet recomenda usar uma unidade FortiAnalyzer ou o serviço FortiCloud.

Página 41

40

Melhores Práticas para o FortiOS 5.2

Copyright © 2015 Fortinet, Inc. Todos os direitos reservados. Fortinet®, FortiGate®, FortiCare® e FortiGuard® e algumas outras marcas são marcas registradas da F

Inc., nos EUA e em outras jurisdições, e outros nomes da Fortinet neste documento também podem ser marcas registradas e / ou de direito comum da Fortinet. Todo o nomes podem ser marcas registradas de seus respectivos proprietários. O desempenho e outras métricas aqui contidas foram obtidos em testes internos de laboratório s

​​ representa qualquer compromisso vinculativo da Fortinet, e a Fortinet nega todas as garantias, sejam expressas ou implícitas, exceto na medida em que a Fortinet inser contrato, assinado pelo Conselho Geral da Fortinet, com um comprador que expressamente garante que o produto identificado funcionará de acordo com certas exigên métricas de desempenho e, nesse caso, apenas as métricas de desempenho específicas expressamente identificadas em tal contrato escrito de vinculação serão vinculati absoluta clareza, qualquer garantia será limitada ao desempenho nas mesmas condições ideais que nos testes de laboratório internos da Fortinet. Em nenhum caso a Fo compromisso relacionado a entregas futuras, recursos ou desenvolvimento, e as circunstâncias podem mudar de tal forma que quaisquer declarações prospectivas cont A Fortinet nega na íntegra quaisquer pactos, representações e garantias em conformidade, expressas ou implícitas. A Fortinet reserva-se o direito de alterar, modificar, transferir ou revisar esta publicação sem aviso prévio, e a versão mais atual da publicação será aplicável.

rede, ambientes de rede diferentes e outras condições podem afetar os resultados de desempenho. Na

o desempenho real e outros resultados podem variar. Variáveis de