Curso de Gerenciamento e Diagnóstico Fortigate PDF

Curso de Gerenciamento e
Diagnóstico FortiGate
1ª Edição
CODIGO:
1ª Edição
TÍTULO: REVISÃO: PÁGINA:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 2/216

FORTIGATE
Histórico de Versões
Rev. Data Motivo da Revisão Elaborado por Revisado por
1 30/08/2017 Emissão Rafael Almeida de Oliveira

CODIGO:
1ª Edição

FORTIGATE
Índice
Objetivo: ...................................................................................................................................... 10
1 - Overview de Conceitos .......................................................................................................... 10
1.1 – Stateful vs Stateless........................................................................................................ 10
1.2 - Filtragem Stateless ou sem estado ................................................................................. 10
1.3 - Filtragem Stateful ou com estado ................................................................................... 10
1.4 – UTM vs NGFW ................................................................................................................ 11
2 - Modelos de equipamentos .................................................................................................... 11
3 – Licenciamento Fortigate ........................................................................................................ 12
3.1 - Enterprise Bundle ............................................................................................................ 12
3.2 - UTM Bundle .................................................................................................................... 12
3.3 - NGFW (App Control& IPS) ............................................................................................... 12
4 –Support Fortinet ..................................................................................................................... 14
4.1 - Abertura de Tickets ......................................................................................................... 14
4.2 - Download de firmwares .................................................................................................. 18
4.3 - Download de Fortigate VM para Estudo ......................................................................... 21
4.4 - Manuais & Release Notes ............................................................................................... 22
5 - Introdução .............................................................................................................................. 23
5.1 - FortiGuard ....................................................................................................................... 23
5.2 – Package Updates ............................................................................................................ 23
5.3 - Live Queries ..................................................................................................................... 23
5.4 - Dashboard ....................................................................................................................... 25
5.5 - System Resources............................................................................................................ 25
5.6 - CLI Console ...................................................................................................................... 25
5.7 – Alert Message Console ................................................................................................... 26
5.8 - Widgets ........................................................................................................................... 27
5.9 – Interface History ............................................................................................................. 27
5.10 - Features......................................................................................................................... 28
6 - Modos de Operação ............................................................................................................... 30
6.1 - NAT .................................................................................................................................. 30
CODIGO:
1ª Edição

FORTIGATE
6.2 - Transparente ................................................................................................................... 30

6.3 - Modos de Operação no Modelo OSI ............................................................................... 30
7 - Modos de Inspeção ................................................................................................................ 32
7.1 - Proxy-Based..................................................................................................................... 32
7.2 - Flow-Based ...................................................................................................................... 32
8 - Backup & Restore ................................................................................................................... 34
9 – Time & NTP ............................................................................................................................ 36
10 - Reboot & Shutdown ............................................................................................................. 37
11 - Upgrade de Firmware .......................................................................................................... 38
11.1 - Análise do Upgrade Path ............................................................................................... 38
11.2 - Upgrade Path ................................................................................................................ 40
12 - Acessos administrativos ....................................................................................................... 43
12.1 - Criação de usuários administrativos ............................................................................. 43
12.2 - Configuração de Profiles de acesso .............................................................................. 44
12.3 - Configuração de timeout de login................................................................................. 48
12.4 - Configuração de porta customizada de acesso administrativo .................................... 48
13 - Interfaces de Rede ............................................................................................................... 49
13.1 - Tipos de Interfaces ........................................................................................................ 49
13.2 - Interface ........................................................................................................................ 49
13.3 - Mac Address .................................................................................................................. 49
13.4 - Role ............................................................................................................................... 50
13.5 - Modos de endereçamento............................................................................................ 54
13.6 - Protocolos administrativos de Interface ....................................................................... 56
13.7 - Criação de Zonas ........................................................................................................... 57
14 - DHCP..................................................................................................................................... 58
14.1 - Configuração de DHCP Server e Relay .......................................................................... 58
14.2 - Mac AddressReservation .............................................................................................. 59
15 - DNS ....................................................................................................................................... 61
15.1 - Configuração de DNS .................................................................................................... 61
15.2 - FortiGuard DDNS ........................................................................................................... 62
16 – Object Addresses ................................................................................................................. 62
CODIGO:
1ª Edição

FORTIGATE
16.1 - Tipos de Objetos de Rede ............................................................................................. 63

16.2 - FQDN ............................................................................................................................. 63
16.3 - IP/Netmask .................................................................................................................... 64
16.4 - IP Range ......................................................................................................................... 65
16.5 - Geography ..................................................................................................................... 65
16.6 - Wildcard FQDN.............................................................................................................. 66
17 - Serviçe .................................................................................................................................. 66
17.1 - Criação de serviços ........................................................................................................ 66
18 - Schedules ............................................................................................................................. 80
18.1 - Tipos de schedules ........................................................................................................ 80
18.2 - Recurring ....................................................................................................................... 80
18.3 - One-Time....................................................................................................................... 81
18.4 - Grupo de schedules....................................................................................................... 81
19 - Regras de acesso .................................................................................................................. 82
19.1 - Configuração de Regras de acesso ................................................................................ 82
19.2 - Elementos de uma IPV4 Policy ...................................................................................... 83
20 – Implicit Deny........................................................................................................................ 87
20.1 - Log ViolationTraffic ....................................................................................................... 88
21– NAT ....................................................................................................................................... 89
21.1 - Virtual IP ........................................................................................................................ 89
21.2 - Outgoing Interface Address .......................................................................................... 92
21.3 - IP Pool ........................................................................................................................... 92
21.4 - Tipos de IP Pool ............................................................................................................. 92
22 - Roteamento Estático ............................................................................................................ 97
22.1 - Criação de Roteamento Estático ................................................................................... 97
22.2 - Administrative Distance & Priority................................................................................ 98
22.3 - Rota Default .................................................................................................................. 98
22.4 - Tabela de Roteamento .................................................................................................. 99
22.5 - Tipos de rotas na tabela de roteamento..................................................................... 100
23–PolicyRoute.......................................................................................................................... 101
23.1 - Exemplo de utilização de Policy Route ....................................................................... 101
CODIGO:
1ª Edição

FORTIGATE
23.2 - Configuração de Policy Route ..................................................................................... 102

23.3 - Type of Service (TOS) .................................................................................................. 103
24 - Route Lookup ..................................................................................................................... 104
25- Security Profiles .................................................................................................................. 105
26 - Web Filter ........................................................................................................................... 105
26.1 - FortiGuard Categories ................................................................................................. 106
26.2 - Static URL Filter ........................................................................................................... 108
26.3 - Tipos de Liberações e Bloqueios ................................................................................. 108
26.4 - Web Ratings Override ................................................................................................. 110
27 - Antivírus ............................................................................................................................. 111
27.1 - Inspected Protocols ..................................................................................................... 111
28 - Application Control ............................................................................................................ 112
29 - IPS ....................................................................................................................................... 113
30 - DNS Filter& Botnet C&C ..................................................................................................... 114
31 - CASI .................................................................................................................................... 115
32 - Web Application Firewall ................................................................................................... 116
33 - Data Leak Prevention ......................................................................................................... 117
34 - Inspeção SSL ....................................................................................................................... 118
34.1 - SSL Certification Inspection ......................................................................................... 119
34.2 - Full SSL Inspection ....................................................................................................... 120
34.3 - SSL Exemption ............................................................................................................. 121
34.4 - Dica antes de aplicar uma inspeção SSL...................................................................... 121
35 - Aplicando o Security Profile ............................................................................................... 122
36– VPN ..................................................................................................................................... 123
36.1 - Route-Based VPN ........................................................................................................ 123
36.2 - Policy-Based VPN ........................................................................................................ 123
36.3 - Configuração de VPN Ipsec Site to Site ....................................................................... 124
36.4 - Fase 1 – Network......................................................................................................... 126
36.5 - Authentication – Fase 1 .............................................................................................. 128
36.6 - IKE version 1 ou 2 ........................................................................................................ 128
36.7 - Agressive Mode vs Main Mode ................................................................................... 129
CODIGO:
1ª Edição

FORTIGATE
36.8 - Security Association .................................................................................................... 129

36.9 - Proposal – Fase 1 ........................................................................................................ 129
36.10 - Fase 2- Tráfego Interessante ..................................................................................... 130
36.11 - Fase 2 – Parâmetros .................................................................................................. 131
36.12 - Roteamento via VPN ................................................................................................. 132
36.12 - Regra VPN ................................................................................................................. 133
37 - Configuração de VPN SSL ................................................................................................... 134
37.1 - Configuração do Portal SSL ......................................................................................... 135
37.2 - Tunnel Mode ............................................................................................................... 136
37.3 - Enable Split Tunneling ................................................................................................. 136
37.4 - Source IP Pools ............................................................................................................ 137
37.5 - Tunnel Mode Client Options ....................................................................................... 137
37.6 - Web Mode .................................................................................................................. 137
37.7 - Regras de acesso para a VPN SSL ................................................................................ 140
38 – Logging & Monitoring ........................................................................................................ 143
38.1 - Níveis de Logs .............................................................................................................. 143
38.2 - Tipos de Logs ............................................................................................................... 144
38.3 - Cabeçalho e Corpo de um log (header & body) .......................................................... 144
38.4 – Armazenamento& Envio de Logs ............................................................................... 145
38.5 - Memory ....................................................................................................................... 145
38.6 - Hard Drive ................................................................................................................... 146
38.7 - Syslog........................................................................................................................... 146
38.8 - FortiCloud .................................................................................................................... 147
38.9 - SNMP ........................................................................................................................... 147
38.10 - FortiAnalyzer / FortiManager.................................................................................... 149
39 - Configurações de Policy que geram Log’s .......................................................................... 149
40 - Log & Report ...................................................................................................................... 150
41 - Fortiview............................................................................................................................. 154
41 - Autenticação ...................................................................................................................... 160
41.1 - Autenticação Ativa ...................................................................................................... 160
41.2 - Local Users .................................................................................................................. 160
CODIGO:
1ª Edição

FORTIGATE
42.3 - Autenticação via LDAP ................................................................................................ 162

43 - Autenticação Passiva .......................................................................................................... 164
43.1 - FSSO – Fotinet Single Sign On ..................................................................................... 164
43.2 - FSSO em DC Agent Mode ............................................................................................ 165
43.3 - Pooling Mode .............................................................................................................. 166
43.4 - NetAPI Polling.............................................................................................................. 166
43.5 - Event Log Polling ......................................................................................................... 166
43.6 - Event Logs using WMI ................................................................................................. 166
43.7 - FSSO DC Agent mode vs Polling Mode ........................................................................ 167
43.8 - Processo de autenticações no modo DC Agent. ......................................................... 168
43.9 - Processo de autenticações no modo Polling. ............................................................. 168
44 - Configurando FSSO em DC Agent Mode com método de acesso Advanced(Expert) ........ 169
45 - Configurando FSSO DC Agent Mode com método de acesso em Standard ...................... 195
46 - Configurando o FSSO em Polling Mode ............................................................................. 203
47 - FSSO – Agent Collector ....................................................................................................... 209
47.1 - Agent Collector............................................................................................................ 209
48 - Collector Agent Lookup ...................................................................................................... 216
CODIGO:
1ª Edição

FORTIGATE
APOIO
FORTIACADEMY
CODIGO:
1ª Edição

FORTIGATE
Objetivo:
 Curso destinado a todos que desejam conhecer os conceitos e funcionalidades

de um firewall Fortigate.
 Serve como base para realizar o treinamento oficial da Fortinet visando obter
as certificações NSE 1 a NSE 8.
1 - Overview de Conceitos
1.1 – Stateful vs Stateless
Foram os dois primeiros e principais mecanismos de filtragem de pacotes presentes

nos firewalls. As filtragens sem e com estado, stateless e stateful, formaram a base
para construção e evolução de soluções de firewall. Atualmente o mecanismo mais
utilizado é o stateful, presente nos firewallsFortigate.
A seguir, iremos apresentar uma breve descrição sobre as diferenças entre um

mecanismo stateful e stateless, para que você compreenda os demais recursos
presentes no Fortigate nos capítulos posteriores.
1.2 - Filtragem Stateless ou sem estado
- O firewall não tem conhecimento sobre as conexões (não é orientado a conexão).

- Cada pacote que passa pelo firewall é avaliado pelas regras estabelecidas.
- Firewall Stateless geralmente possui um numero maior de regras devido à
necessidade de se criar uma regra para cada sentido do pacote (entrada e saída).
- Sem segurança.
1.3 - Filtragem Stateful ou com estado
- O Firewall tem conhecimento sobre todas as conexões (orientado a conexão, tabela

de conexões ou tabela de estados)
- Todo inicio de conexão é registrado, quando um pacote retorna, o firewall consulta a
tabela de estados, validando se existe uma conexão associada, caso afirmativo, o
firewall aceita a conexão sem processar as regras, caso não exista, o firewall descarta
o pacote.
- Menor quantidade de regras criadas
- Com segurança
CODIGO:
1ª Edição

FORTIGATE
1.4 – UTM vs NGFW
Next Generation Firewall ou Firewall de Próxima Geração são definidos como

firewalls com sistema de prevenção a intrusão, inteligência de controle de aplicativos e
usuários.
Unified Threat Management ou Gerenciamento Unificado de Ameaças possui as

funcionalidades de um NGFW com tecnologias adicionais como url filtering, e-mail
security, VPN, wireless security e outros.
2 - Modelos de equipamentos
- EntryLevel (30-90 series)

- Midi Range (100-800 series)
- High End (1000-5000 series)
- VM Series
A informação acima foi obtida através do link https://www.fortinet.com/products/next-

generation-firewall.html em 08/2017; a Fortinet pode redefinir este conceito
apresentando novos modelos de equipamentos.
CODIGO:
1ª Edição

FORTIGATE
3 – Licenciamento Fortigate
3.1 - Enterprise Bundle
Oferece todos os serviços de segurança Fortiguard disponíveis: NGFW Application

Control e IPS, Web Filtering, FortiSandbox Cloud, Antivírus, Mobile Security, IP &
Domain Reputation, AntiSpam, e services de segurança Forticare com uma escolha de
suporte 8x5 ou 24x7.
3.2 - UTM Bundle
Serviços tradicionais de segurança UTM incluindo: NGFW ApplicationControl e IPS,

Web Filtering, Antivirus, Antispam, e serviços de segurança FortiCare 8x5 ou 24x7.
3.3 - NGFW (App Control& IPS)
Segurança clássica de um Next Generation Firewall com features de Application

Control e IPS.
FortiGate Threat Protection Bundle
Suporte 24x7, substituição de hardware avancada (NBD), upgrade e atualizações de

firmware, VPN, Gerenciamento de Tráfego, Application Control, IPS e Antivírus.
Através do Fortigate é possível consultar alguns recursos ativos; vá até a aba

Dashboard > License Information:
CODIGO:
1ª Edição

FORTIGATE
É possível consultar outros detalhes do licenciamento e serviços contratados através

da aba System > FortiGuard > License Information :
CODIGO:
1ª Edição

FORTIGATE
4 –Support Fortinet
4.1 - Abertura de Tickets
Para realizar a abertura de tickets na Fortinet é necessário ser parceiro da Fortinet;

acesse o site https://support.fortinet.com e insira o usuário e senha para acesso aos
recursos do portal.
CODIGO:
1ª Edição

FORTIGATE
Após o login, clique na aba Assistance > Create a Ticket.
Escolha a opção de ticket desejada, neste exemplo iremos abrir um Techinical

Support Ticket para auxilio de um engenheiro relacionado a um problema técnico:
CODIGO:
1ª Edição

FORTIGATE
Será solicitado o Serial Number do equipamento, sendo possível localizá-lo no

dashboard do Fortigate na coluna System Information ou a partir de uma etiqueta
colada diretamente no equipamento:
Em seguida será solicitado o preenchimento de algumas informações de contato e do

ticket para que seja escalonado internamente na Fortinet para o departamento correto.
Defina a prioridade do ticket, quanto menor a prioridade, maior será o nível de
criticidade. Selecione P3 ou P4; para casos urgentes será necessário realizar o
contato telefônico e solicitar a alteração para P1 ou P2.
CODIGO:
1ª Edição

FORTIGATE
Após clicar em next, será exibida a tela abaixo, para inserir uma descrição do
problema e anexar arquivos de configurações. Sempre descreva o problema de forma
clara e objetiva, e sempre anexe o backup de configuração do equipamento e o debug
logs.
Cada vez que Engenheiro inserir um comentário no ticket, será enviada uma cópia da
informação no e-mail cadastrado no ticket.
CODIGO:
1ª Edição

FORTIGATE
4.2 - Download de firmwares
Para realizar o download de firmwares, utilize o https://support.fortinet.com e vá até a

aba Download > Firmware Images.
Observe que estará disponível o download de outros recursos, como Fortiguard

Services Updates (pacotes de atualizações), Firmware Image Checksums
(checksum para validação de integridade de firmware) e HQIP Images (imagem
utilizada para testar problemas de hardware no equipamento).
CODIGO:
1ª Edição

FORTIGATE
Serão exibidas duas abas, a primeira é a Release Notes,selecione o produto

(Fortigate) e abaixo será possível visualizaras ultimas versões de firmware FortiOs
disponíveis para o produto selecionado e seus respectivos release notes.
Na aba Download, será exibida diversas pastas relacionadas a cada versão de

FortiOs.
CODIGO:
1ª Edição

FORTIGATE
Acesse a pasta referente à versão de firmware desejada, e localize o modelo do

firewall na qual você precisa atualizar; repare que cada modelo de Firewall possui a
sua respectiva firmware. Escolha a firmware e clique em HTTPS para realizar o
download.
CODIGO:
1ª Edição

FORTIGATE
4.3 - Download de Fortigate VM para Estudo
Seguindo o mesmo caminho para realizar o download de firmware do Fortigate, será

possível realizar o download do Fortigate VM, que é uma verão de Fortigate
virtualizado para fins de testes e estudo com uma licença trial para 14 dias de
utilização. Localize os arquivos com a extensão .ovf, conforme exemplo abaixo, que é
uma versão para utilizar no Vmware Workstation.
A Fortinet disponibiliza outras versões virtualizadas para fins de teste e estudo como
FortiAnalyzer, FortiManager, FortiMail.
CODIGO:
1ª Edição

FORTIGATE
4.4 - Manuais & Release Notes
Para localizar os adminguides, manuais, release Notes de versão, manuais de

hardware e cookbook você pode utilizar o http://docs.fortinet.com, este portal reúne
diversas documentações necessárias auxilio nas atividades do dia-a-dia.
CODIGO:
1ª Edição

FORTIGATE
5 - Introdução
Este treinamento foi elaborado com base na FortiOs 5.4 (versão de firmware).
5.1 - FortiGuard
As soluções da Fortinet, incluindo o Fortigate, são alimentadas pelos serviços de

segurança desenvolvidos pela FortiGuard Labs. A Fortiguard é a base de inteligência
da Fortinet, onde existem equipes de pesquisadores e especialistas espalhados pelo
mundo trabalhando com diversas ferramentas e tecnologias visando descobrir e
mitigar novas ameaças; desta forma é possível desenvolver novas atualizações de
segurança para distribuir para todas as soluções Fortinet visando protegê-las contras
novas ameaças.
O Fortigate precisa se comunicar com a FortiGuard parautilizar o FortiGuard

Subscription Services que são todos os serviços providos pela FortiGuard Labs e
distribuídos através do FDN (FortiGuard Distribution Network) para os dispositivos :
5.2 – Package Updates
- Atualizações de segurança para Antivírus& IPS

- Distribuído periodicamente
- update.fortiguard.net
- Porta 443 TCP (SSL)
5.3 - Live Queries
- Categorizações de url para Web Filter

- service.fortiguard.net
- Qualquer consulta realizada em real time na FortiGuard é feita através das portas 53
UDP ou 8888.
CODIGO:
1ª Edição

FORTIGATE
Através do Fortigate, vá até a aba System>FortiGuard

CODIGO:
1ª Edição

FORTIGATE
5.4 - Dashboard
O dashboard contém diversos widgets que auxiliam na verificação de algumas

informações de forma rápida.
5.5 - System Resources
Exibe informações de consumo de recursos, tais como consumo de cpu, consumo de

memória, consumo de disco, quantidade de logs enviados para o FortiAnalyzer por
segundos e quantidade de sessões.
5.6 - CLI Console
É o acesso via linha de comando que esta integrada na parte gráfica do Fortigate.
CODIGO:
1ª Edição

FORTIGATE
5.7 – Alert Message Console
Exibe algumas notificações falha de autenticação, conserve mode, system shutdown e

restart.
É possível customizar os alertas a serem exibidos:

CODIGO:
1ª Edição

FORTIGATE
5.8 - Widgets
É possível adicionar alguns widgets no dashboard:
5.9 – Interface History
Utilizado para monitorar o trafego de entrada e saída do link.

CODIGO:
1ª Edição

FORTIGATE
5.10 - Features
Através do Fortigate vá até a aba System>FeatureSelect e será exibida uma lista

contendo todos os recursos ativados e desativados:
CODIGO:
1ª Edição

FORTIGATE
Caso alguma feature desejada não esteja aparecendo na lista, acesse via CLI
(Command Line Interface) e digite:
#config system global

#set ?será exibida uma lista de diversos recursos; escolha o recurso e habilite
conforme o exemplo.
CODIGO:
1ª Edição

FORTIGATE
6 - Modos de Operação
O Fortigate pode trabalhar em dois modos de operação, modo NAT e Transparente.
6.1 - NAT
- Fortigate trabalha na camada OSI 3, 6 e 7.

- Interfaces possuem endereçamento IP
- Roteamento de pacotes por IP
6.2 - Transparente
- Fortigate trabalha na camada OSI 2

- Interfaces não possuem endereçamento IP
- Pacotes não são roteados, apenas encaminhados.
6.3 - Modos de Operação no Modelo OSI

CODIGO:
1ª Edição

FORTIGATE
Em Dashboard é possível validar o modo de operação.
Por linha de comando é possivel alterar o modo de operação:

CODIGO:
1ª Edição

FORTIGATE
7 - Modos de Inspeção
O modo de inspeção é a forma com que o Fortigate inspeciona e manipula os pacotes

que passam através dele. Atualmente o Fortigate trabalha com duas formas de
inspeção, Proxy-Based e Flow-Based.
Por padrão, o Fortigate utiliza o modo Proxy-Based, ao alterar para o modo Flow-
Based, todos os profiles são alterados para o modo selecionado.
Se o Fortigate possuir múltiplas VDOM’s, é possível configurar o modo de inspeção de

forma independente para cada VDOM.
7.1 - Proxy-Based
A inspeção baseada em proxy envolve o armazenamento do tráfego para analisar o

pacote inteiro antes de determinar uma ação. Este modo é mais completo e assertivo
na análise dos dados em comparação ao modo flow-based.
A comunicação é divida em duas sessões, uma entre o cliente e Fortigate, e outra

entre o Fortigate e o servidor de destino.
- Possui mais recursos disponíveis.
7.2 - Flow-Based
A inspeção baseada em fluxo examina o tráfego à medida que os pacotes passam

pelo Fortigate sem qualquer buffer.
A vantagem deste modo é a velocidade de resposta para as solicitações HTTP e

diminuição de ocorrências de erros de timeout.
- Possui menos recursos disponíveis que o modo proxy

- Desativa o WAN Optimization, Web Caching, Explicit Proxy e Explicit FTP Proxy
CODIGO:
1ª Edição

FORTIGATE
Segue abaixo algumas informações sobre quais recursos estão disponíveis no modo
Proxy e modo Flow.
CODIGO:
1ª Edição

FORTIGATE
8 - Backup & Restore
Para realizar o backup, localize em Dashboard > System Information > Backup
CODIGO:
1ª Edição

FORTIGATE
É possível salvar o backup de configuração de algumas maneiras:
- Local PC
- Via USB
- Com ou sem criptografia
Para realizar o restore do backup vá até Dashboard > System Information >Restore
CODIGO:
1ª Edição

FORTIGATE
É possível realizar o Restore de algumas formas:
- Local PC
- Via USB
- Opcional definir senha
9 – Time & NTP
Para alterar a data/hora e definir um servidor NTP vá até Dashboard>System

Information>System time>Change:
CODIGO:
1ª Edição

FORTIGATE
10 - Reboot & Shutdown
Em Dashboard>System Resources é possível desligar e reiniciar o equipamento.

CODIGO:
1ª Edição

FORTIGATE
11 - Upgrade de Firmware
11.1 - Análise do Upgrade Path
A Fortinet fornece uma documentação contendo a ordem em que se deve realizar um

upgrade de Firmware em http://docs.fortinet.com :
CODIGO:
1ª Edição

FORTIGATE
O Upgrade esta disponível para auxiliar os upgrades de todas as versões:

CODIGO:
1ª Edição

FORTIGATE
11.2 - Upgrade Path

CODIGO:
1ª Edição

FORTIGATE
Para realizaro upgrade de firmwarevá até Dashboard > System Information>

Firmware Version> Update
CODIGO:
1ª Edição

FORTIGATE
É possível selecionar o arquivo do firmware localmente ou realizar o download direto

da FortiGuard.
CODIGO:
1ª Edição

FORTIGATE
12 - Acessos administrativos
12.1 - Criação de usuários administrativos
Para criar usuários que vão administrar o firewall vá

atéSystem>Administrators>Create New:
- O usuário pode se autenticar localmente ou através de um servidor remoto.

- Two-factor Authentication pode ser adicionado (FortiToken)
- Restringir as redes que poderão administrar o firewall com Trusted Hosts.
CODIGO:
1ª Edição

FORTIGATE
12.2 - Configuração de Profiles de acesso
Para definir os acessos de cada usuário administrativo, é necessário atribuir Admin

Profiles para cada usuário.
Super_admin
- É um profile default do firewall.

- Os usuários com este privilégio possuem acesso total ao firewall e em todas
VDOM’s.
CODIGO:
1ª Edição

FORTIGATE
Prof_admin
- Profile default
- Permite acesso total ao firewall em sua VDOM apenas.
CODIGO:
1ª Edição

FORTIGATE
Read_only
- Profile default
- Permite somente leitura em todos os recursos do firewall
CODIGO:
1ª Edição

FORTIGATE
Custom Profile
É possível customizar um profile de acordo com a necessidade de acesso.

CODIGO:
1ª Edição

FORTIGATE
12.3 - Configuração de timeout de login
Através da aba System>Settings>Idle Timeout é possível customizar o tempo

(minutos) de timeout de sessão do acesso administrativo ao Fortigate.
12.4 - Configuração de porta customizada de acesso administrativo
System>Settings>Administration Settings
CODIGO:
1ª Edição

FORTIGATE
13 - Interfaces de Rede
Interfaces são as portas físicas do Fortigate, veja a seguir algumas informações que
vão te ajudar na administração de interfaces de rede do Fortigate.
13.1 - Tipos de Interfaces
13.2 - Interface
Em Network>Interfaces é possível visualizar todas as interfaces disponíveis no

Fortigate.
Selecione a interface desejada e clique em Edit para editar as configurações.
13.3 - Mac Address
Na parte superior das configurações da interface é possível visualizar o Mac Addres

da interface de forma fácil.
CODIGO:
1ª Edição

FORTIGATE
13.4 - Role
O atributo Role foi criado para auxiliar o administrador a definir as configurações

pertinentes a cada função atribuída.
É possível atribuir 4 tipos de Roles, LAN, WAN, DMZ e Undefined.
Role LAN
CODIGO:
1ª Edição

FORTIGATE
Role WAN
CODIGO:
1ª Edição

FORTIGATE
Role DMZ
CODIGO:
1ª Edição

FORTIGATE
Role Undefined
CODIGO:
1ª Edição

FORTIGATE
13.5 - Modos de endereçamento
Na FortiOs 5.4 estão disponíveis 5 modos de endereçamento Manual, DHCP, PPPoE,

One-ArmSniffer e Dedicated to FortiSwitch.
Endereçamento Manual
Neste modo de endereçamento é necessário definir o endereçamento IP e mascara

de rede.
Endereçamento DHCP
A interface receberá um endereço IP automático a partir do servidor DHCP que esta

conectada em sua interface.
CODIGO:
1ª Edição

FORTIGATE
Endereçamento PPPoE
Endereçamento One-ArmSniffer
Este modo é utilizado para realizar análise de tráfego, não é realizada nenhuma
configuração de IP.
É possível aplicar profiles de segurança nesta configuração para que seja gerado um
relatório de segurança sobre possíveis ameaças.
Geralmente esta interface esta conectada em um switch que possui uma porta
configurada para espelhar o tráfego (SPAN), desta forma é possível ter visibilidade do
tráfego.
CODIGO:
1ª Edição

FORTIGATE
Endereçamento Dedicated to FortiSwitch
Porta utilizada para integração e gerenciamento de FortiSwitch. (switch da Fortinet)
13.6 - Protocolos administrativos de Interface
Protocolos administrativos são utilizados para restringir o acesso gerencia no firewall e

para estabelecer comunicação com funcionalidades especificas.
As opções podem variar conforme versão de firmware e modelo do equipamento.
HTTPS
Permite o acesso através do protocolo HTTPS. Quando é configurado um ip público na

interface e o HTTPS é ativado, é possível acessar o firewall externamente através
deste endereço.
PING
A interface responde a requisições de ping.
FMG-Access
FortiManager Access, opção utilizada para sincronizar a gerência do FortiManager

com o FortiGate.
CAPWAP
Control And Provisioning of Wireless Access Points – protocol utilizado para gerenciar access
points.
CODIGO:
1ª Edição

FORTIGATE
SSH
Permite acessar o firewall utilizando o protocolo SSH.
SNMP
Complemento da configuração de monitoramento via SNMP.
RADIUS Accounting
Complemento de configurações de RSSO (Radius Single SignOn).

FortiTelemetry
Esta opção pode aparecer disponível.
Esta opção consegue escutar as conexões de hosts com FortiClient instalado. Ele
utiliza a porta 8013 tcp para estabelecer comunicação entre FortiClient e Fortigate.
13.7 - Criação de Zonas
Zona é um grupo de interfaces, que serve para facilitar a administração de

configurações.
Vá até a aba Network>Interfaces>Create New>Zone
Selecione as interfaces que vão ser membros da zona desejada.
Observação: Para vincular uma interface, não pode haver nenhum tipo de vinculo de
configuração para esta interface em questão, se houver regras atreladas ou qualquer
outro tipo de configuração, esta interface não será exibida como disponível na lista.
CODIGO:
1ª Edição

FORTIGATE
14 - DHCP
Um servidor DHCP fornece endereços IP na rede de forma dinâmica, quando

solicitado, a partir de um intervalo de endereços definido.
A função do Servidor DHCP é de distribuir endereços IP na rede.
A função de DHCP Relay é de encaminhar as requisições DHCP para um servidor

DHCP e retornar as repostas para os clientes DHCP.
14.1 - Configuração de DHCP Server e Relay
Selecione o modo Server conforme abaixo e clique em Network>Interfaces>Edite

uma interface >DHCP>Address Range >Create New e defina um range de
endereços ip a serem distribuídos.
CODIGO:
1ª Edição

FORTIGATE
Address Range: O intervalo de endereços IP’s a serem distribuídos.
Nestmask: mascara de rede para o intervalo de endereços IP.
DNS Server: definir o servidor DNS a ser utilizado.
NTP Server: definir servidor NTP a ser utilizado.
Time Zone: definir Time Zone a ser utilizado (GMT)
Next Bootstrap Server: definir um bootstrap server.
14.2 - Mac AddressReservation
É possível reservar endereços IP vinculando ao MAC Address do host.
MAC Reservation + Access Control>Create New

CODIGO:
1ª Edição

FORTIGATE
Reserve IP
Define um endereço IP especifico para um host
Assign IP
Atribui um endereço IP do intervalo de endereços disponíveis.
Block
Realiza o bloqueio através do Mac address.

CODIGO:
1ª Edição

FORTIGATE
15 - DNS
15.1 - Configuração de DNS
Localize o menu Network>DNS e será exibida as opções de DNS:
FortiGuard DNS
Utilizar o DNS da FortiGuard.
DNS Específico
Definir um servidor de DNS específico.

CODIGO:
1ª Edição

FORTIGATE
15.2 - FortiGuard DDNS
FortiGuard Dynamic Name Service permite que os endereços definidos sejam

alcançados através de uma resolução de nomes.
16 – Object Addresses
Localize o menu Policy&Objects>Address para criar objetos de rede.

CODIGO:
1ª Edição

FORTIGATE
16.1 - Tipos de Objetos de Rede
16.2 - FQDN
Fully Qualified Domain Name, o Fortigate cria uma tabela que armazena cada objeto
FQDN e realiza a consulta DNS para resolver o nome de cada domínio.
Caso o servidor DNS utilizado pelo Fortigate não consiga resolver o nome do FQDN,
será apresentado um alerta:
CODIGO:
1ª Edição

FORTIGATE
É possível validar a resolução DNS que o Fortigate realiza para cada objeto FQDN
armazenado em sua tabela.
Via CLI utilize o comando #diagnose firewall fqdnlist
16.3 - IP/Netmask
Para os objetos IP/Netmask é necessário definir o endereço IP e mascara de rede.

CODIGO:
1ª Edição

FORTIGATE
16.4 - IP Range
Permite definir um range de endereços.
16.5 - Geography
Permite definir um país.

CODIGO:
1ª Edição

FORTIGATE
16.6 - Wildcard FQDN
Expressões curingas na criação de FQDN.
17 - Serviçe
Serviços são os protocolos de comunicação (1 – 65.535).
17.1 - Criação de serviços
Policy&Objects>Services>Create New para criar um novo serviço.

CODIGO:
1ª Edição

FORTIGATE
Serviço Customizado
Category
Categorizar os serviços customizados.

CODIGO:
1ª Edição

FORTIGATE
Protocol Type:TCP/UDP/SCTP
ICMP
CODIGO:
1ª Edição

FORTIGATE
Segue abaixo uma tabela para auxilio na criação de serviço do tipo ICMP:
CODIGO:
1ª Edição

FORTIGATE
CODIGO:
1ª Edição

FORTIGATE
ICMPv6
Segue abaixo uma tabela para auxilio na criação de serviço do tipo ICMPv6:
CODIGO:
1ª Edição

FORTIGATE
CODIGO:
1ª Edição

FORTIGATE
CODIGO:
1ª Edição

FORTIGATE
IP
Segue uma tabela abaixo para auxilio na configuração de serviço do tipo IP:
CODIGO:
1ª Edição

FORTIGATE
CODIGO:
1ª Edição

FORTIGATE
CODIGO:
1ª Edição

FORTIGATE
CODIGO:
1ª Edição

FORTIGATE
CODIGO:
1ª Edição

FORTIGATE
Grupo de serviços
Para criar um novo grupo clique em Create New>Service Group

CODIGO:
1ª Edição

FORTIGATE
18 - Schedules
Schedules são controles de horários; você pode criar schedules para limitar
determinados acessos em determinados horários.
Policy & Objects>Schedules>Create New>Schedule
18.1 - Tipos de schedules
18.2 - Recurring
Horários recorrentes são controles definidos em determinados dias da semana e em

horários específicos dos dias.
CODIGO:
1ª Edição

FORTIGATE
18.3 - One-Time
Horário Único são controles definidos em uma determinada data ou período, e em

determinados horários.
18.4 - Grupo de schedules
Policy & Objects>Schedules>Create New >Schedule Group

CODIGO:
1ª Edição

FORTIGATE
Selecione os horários para formar o grupo.
19 - Regras de acesso
Regras são criadas para permitir ou negar o tráfego entre uma origem e seu respectivo
destino.
A ordem de leitura de regras realizada pelo firewall é top down , as regras que estão
no topo são lidas primeiro.
A última regra será sempre a ImplicitDeny, regra default de bloqueio. O Fortigate

bloqueia todo o trafego por padrão; sendo necessário criar as regras de liberação de
trafego.
19.1 - Configuração de Regras de acesso
Para criar uma regra vá até Policy&Objects>IPV4 Policy> Create New:

CODIGO:
1ª Edição

FORTIGATE
19.2 - Elementos de uma IPV4 Policy
Incoming Interface&Outgoing Interface
Necessário definir a interface de origem e de destino do tráfego.
Source
No campo source é possível definir objetos de rede, usuários local ou remoto, e

device.
CODIGO:
1ª Edição

FORTIGATE
Destination
Necessário definir o endereço de destino do tráfego.
Schedule
CODIGO:
1ª Edição

FORTIGATE
Service
Necessário definir os protocolos permitidos no tráfego.
Action
Necessário definir a ação da regra (aceitar ou bloquear).
Firewall / Network Options
Necessário definir se vai ser realizado NAT e qual tipo de NAT.

CODIGO:
1ª Edição

FORTIGATE
Security Profiles
Os profiles de segurança são aplicados nas regras de acesso.
LoggingOptions
CODIGO:
1ª Edição

FORTIGATE
Se abaixo uma tabela referente à geração de logs nas regras de acesso:
20 – Implicit Deny
Esta regra é default e não pode ser excluída.
Por padrão o Fortigate bloqueia todo o trafego, sendo necessário realizar as liberações
de trafego conforme a necessidade do ambiente.
A única alteração que é permitida nesta regra, é de logar todo o trafego bloqueado,
que por padrão é desabilitado devido a grande quantidade de log’s que esta regra
pode gerar.
CODIGO:
1ª Edição

FORTIGATE
20.1 - Log ViolationTraffic

CODIGO:
1ª Edição

FORTIGATE
21– NAT
Network AddressTranslation tradução de endereços IP e portas.
21.1 - Virtual IP
Virtual IP é utilizado para criar um DNAT – Destination Network AddressTranslation ou

mais conhecido com NAT de entrada.
Exemplo: Precisamos publicar um servidor web interno 192.168.43.15 na internet

para que todos possam acessar o novo web site da empresa.
VáatéPolicy & Objects>Virtual IP>Create New> Virtual IP

CODIGO:
1ª Edição

FORTIGATE
Neste exemplo utilizamos o endereçamento IP 192.168.43.15 para o web Server e

utilizamos um IP público disponível no range configurado na interface WAN 3.
Name: nome_nat
Interface: a interface de entrada do trafego
Type: todos os VIP são estáticos por padrão
External IP Address/Range: o ip público disponível do link de internet da WAN 3.
Mapped IP Address/Range:ipinterno do servidor web
SourceAddressFilter: é possível definir quais endereços IP têm permissão acessar o

NAT.
PortForwarding: é possível mapear a porta externa e porta interna para acesso.

CODIGO:
1ª Edição

FORTIGATE
Necessário vincular o Virtual IP criado em uma regra que permitirá acesso ao NAT.
Lembre-se que o Virtual IP é aplicado no Destination Address das regras.
VáatéPolicy & Objetcs>IPV4 Policy > Create New

CODIGO:
1ª Edição

FORTIGATE
21.2 - Outgoing Interface Address
Este é um tipo de NAT de saída, na qual é utilizado o IP da interface de destino

(outgoing interface) na tradução.
Este NAT é ativado e aplicado nas configurações das Regras conforme abaixo:
21.3 - IP Pool
IP Pool é mais um tipo de NAT de saída no qual é possível definir um ip um ou um

range de ip’s para realizar a tradução.
VáatéPolicy & Objects> IP Pool
21.4 - Tipos de IP Pool
21.5 - Overload
Neste tipo de NAT, é possível configurar apenas um ip ou um range, e ocorre a

tradução de portas (PAT).
CODIGO:
1ª Edição

FORTIGATE
21.6 - One-to-One
NAT um-para-um onde não ocorre a tradução de portas.
Você mapear a mesmo o mesmo endereço para aplicar o Nat para um único IP.
Exemplo de Sessão:
CODIGO:
1ª Edição

FORTIGATE
21.7 – Fixed Port Range
Permite definir um range de endereços para o NAT, porem não ocorre a tradução de
portas. Os IP’s são distribuídos aleatoriamente.
Exemplo de sessão:
CODIGO:
1ª Edição

FORTIGATE
21.8 – Port Block Allocation
Define uma quantidade de conexões e host a ser utilizados no NAT, e não ocorre a
tradução de portas.
Exemplo de comportamento:
CODIGO:
1ª Edição

FORTIGATE
Exemplo: Precisamos que o Servidor Web 192.168.43.15 acesse a internet através de

um ip público especifico do nosso link de internet da WAN 3 - 189.100.25.25.
Neste exemplo vamos utilizar o IP Pool Overload conforme abaixo:
Configure o IP POOL em Policy & Objects>IP POOL>Overload:
Crie a regra de acesso e habilite o IP POOL criado:

CODIGO:
1ª Edição

FORTIGATE
22 - Roteamento Estático
O roteamento decide para onde o Fortigate deve encaminhar os pacotes recebidos.
Quando um pacote é recebido, o Fortigate consulta a sua tabela de roteamentoa fim

de localizar uma rota que corresponda com o endereço de destino do pacote para que
seja possível encaminhá-lo através de uma determinada interface.
Para realizar este encaminhamento, o Fortigate, em modo de operação NAT, trabalha

na camada 3 do modelo OSI.
22.1 - Criação de Roteamento Estático
Vá até Network>Static Routes>Create New
Destination
Endereço de destino do pacote.
Device
Interface na qual o trafego será encaminhado
Gateway
Dispositivo responsável por encaminhar o pacote que será enviado pelo firewall.
CODIGO:
1ª Edição

FORTIGATE
22.2 - Administrative Distance & Priority
É o primeiro critério que um roteador utiliza para definir qual será o protocolo de
roteamento a ser utilizado. É um numero que define a confiabilidade do protocolo de
roteamento.
Se existir duas rotas para o mesmo destino, a rota com menor distancia será o melhor
caminho a ser utilizado.
Se existir duas rotas para o mesmo destino, com distâncias iguais, o melhor caminho
será o roteamento com prioridade menor.
Observação: Não confunda distância com métrica no Fortigate, pois métricas são
utilizadas em roteamentos dinâmicos.
Segue abaixo uma tabela de valores default para as distancias nos protocolos de
roteamento no Fortigate:
22.3 - Rota Default
É a rota de rede utilizada por um roteador quando não há nenhuma outra rota
conhecida para o endereço de destino.
As rotas default são facilmente identificadas por definirem o endereço de destino como
0.0.0.0/0.0.0.0.
CODIGO:
1ª Edição

FORTIGATE
22.4 - Tabela de Roteamento
A tabela de roteamento contém todas as rotas conhecidas pelo Fortigate, sendo

possível consultá-la via interface gráfica ou linha de comando.
Network >Static Routes
Log & Report>Routing Monitor

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 100/21
FORTIGATE 1
6
CLI
#get router info routing-table all
22.5 - Tipos de rotas na tabela de roteamento
Connected
São as redes que estão diretamente conectadas no firewall, fisicamente

conectadas.[C]
Static
São as rotas criadas manualmente pelo administrador. [S]
Dinâmicas
Rotas utilizadas pelos protocolos de roteamento dinâmico. O Fortigate suporta OSPF,

BGP, RIP e IS-IS.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
23–PolicyRoute
Policy Route serve para redirecionar o tráfego para um caminho diferente do

roteamento estático.
As policy route tem prioridade sobre a tabela de roteamento.
A tabela de policy route é lida de forma top down pelo firewall, assim como as regras.
Para que uma policy route tenha efeito, é necessário que haja regra de acesso que
permita a direção do trafego mencionada na policy route
23.1 - Exemplo de utilização de Policy Route
Toda minha rede esta utilizando o link de internet da porta8 como link primário para
utilização da internet; porém, preciso que apenas o ip 192.168.43.60 da minha rede
LAN, acesse o servidor 200.221.2.45 (uol.com.br) através do link de internet da porta9.
Nslookup
Rotas default
Primária: port8
Secundaria: port10
Terciária: port9
Para resolução deste caso, é necessário criação da Policy Route e regra de acesso
que permita o trafego do ip de origem em destino ao servidor através do link de
internet wan 2.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
23.2 - Configuração de Policy Route
Lembre-se que o preenchimento de todos os campos é opcional, os campos Protocol,

Incoming Interface, Action, e Outgoing Interface são obrigatórios.
.
Para criar uma policy route vá até Network>Policy Routes>Create New:
Protocol
Utilize os protocolos predefinidos ou especifique um numero para o protocolo

desejado. O numero do protocolo deve seguir os padrões definidos na RFC 5237, que
descreve uma lista de protocolos variando de 0 a 255.
Incoming Interface
A interface de origem do trafego.
Source Address / Mask
Endereço de origem a ser roteado.
Destination Address / Mask
Endereço de destino.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
23.3 - Type of Service (TOS)
O Tipo do Serviço é um campo de 8 bits no cabeçalho IP, que permite definir como o
datagrama IP deve ser entregue (atraso, prioridade, confiabilidade e custo mínimo).
Os valores são definidos de 0 a 7 conforme tabela abaixo.
Maiores informações podem ser consultadas nas RFC 791 e RFC 1349.
Forward Traffic
O trafego é roteado através da interface de saída e gateway.
Stop Policy Routing
O firewall para de checar a tabela de policy route e valida o roteamento utilizando a

tabela de roteamento.
Outgoing Interface
Interface de saída do trafego.
Gateway Address
Endereço do roteador que encaminhará o trafego.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
24 - Route Lookup
O Fortigate é um firewall stateful, então muitas informações são decididas no inicio de

uma sessão, nos primeiros pacotes.
Para qualquer sessão de tráfego, apenas duas pesquisas são realizadas, uma no
primeiro pacote enviado pelo originador, e outra no primeiro pacote enviado pelo
respondedor.Depois disso, toda a informação de roteamento é escrita na tabela de
sessão do Fortigate. Assim, os outros pacotes são roteados de acordo com a tabela
de sessão e não pela tabela de roteamento.
Desta forma, todos os pacotes que seguem a mesma sessão, seguem o mesmo
caminho mesmo que haja uma mudança nas rotas estáticas.
Primeiro o Fortigate procura o cache de rota, sendo possível verificar através do

comando #diagnose ip rtcache list.Se houver uma correspondência (match) o
fortigate envia para o nexthop, caso não tenha, o Fortigate consulta as policy route.
Se houver uma correspondência nas policy route, o Fortigate encaminhará o trafego,

se não houver, o fortigate toma a ação Stop Policy, e pesquisa na próxima tabela.
Para validar as policy route é possível utilizar #show router policy.
FIB (Forwarding Information Base) pense no propósito desta tabela como uma tabela
de encaminhamento pacotes, enquanto a tabela de roteamento é usada para
gerenciamento de pacotes.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Por ultimo, a tabela de roteamento é consultada, sendo possível verificar através do

comando #get router info routing-table all.
25- Security Profiles
Os profiles de segurança adicionam camadas de controles e recursos de segurança

visando proteger o tráfego na rede.
Todos os profiles são adicionados em regras de acesso.
A seguir será demonstrado um overview básico sobre cada profile de segurança.
26 - Web Filter
A filtragem web é uma maneira de controlar ou rastrear os sites que as pessoas

visitam. Desta forma é possível impedir que a organização acesse sites de conteúdo
impróprio ou de conteúdo que comprometa a segurança da organização, como sites
de downloads contendo vírus, malwares entre outros.
Para consultar a categoria de cada url classificada pela FortiGuard visite o site
https://fortiguard.com/webfilter .
Vá até Security Profiles>Web Filter> Create New para customizar um novo profile.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
26.1 - FortiGuard Categories
São as categorias padrão, cada url acessada, é classificada em uma categoria

definida na FortiGuard.
Para obter uma descrição sobre cada categoria, visite o

https://fortiguard.com/webfilter/categories .
É possível customizar algumas ações para as categorias:

Allow
Permite o acesso a todos os sites da categoria.
Block
Bloqueia o acesso a todos os sites da categoria.
Monitor
Permite e armazena logs dos acessos.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Warning
Apresenta uma mensagem de alerta ao usuário permitindo prosseguir se o mesmo

desejar.
Authenticate
Solicita ao usuário se autenticar no Fortigate antes continuar o acesso.
Category Usage Quota
É possível definir cotas de utilização diária para categorias. As cotas são aplicadas em
cada usuário individualmente, e reinicializadas todos os dias a meia-noite.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
26.2 - Static URL Filter
É uma tabela contendo todas as url’s que se deseja controlar o acesso.
É possível aplicar algumas ações:
26.3 - Tipos de Liberações e Bloqueios
Simple
Realiza uma correspondência exata.
 URL: fortinet.com permite acesso ao domínio inteiro

 URL: fortinet.com/support controla o acesso para uma única página.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Wildcard
Caracteres curingas podem ser adicionados para incluir uma ou mais urls para uma url
simples.
 URL: *.fortinet.com  permite acesso a tudo antes de ".fortinet.com" .

 URL: www.fortinet.com/*  permite acesso a tudo após "www.fortinet.com/" .
Regular Expression
É utilizado para incluir uma ou mais url’s relacionadas ou não relacionados a um

padrão usando sintaxe Perl.
 (^.)*\.fortinet\.com
Actions
Block
Bloqueia o acesso a url em questão.
Allow
Ação padrão para permitir o acesso uma url. O trafego é verificado por todas os
padrões de segurança, antivírus, FortiGuard web filter, web content filter, web script
filters.
Monitor
O acesso é permitido e verificado igual a ação Allow, porem toda sessão

correspondente é gerado um log.
Exempt
Permite o acesso, categorizando como confiável e não realiza a inspeção de antivírus,

activex-java-cookie,ActiveX, DLP, filepattern, fortiguard, pass, range-block e web
content.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
26.4 - Web Ratings Override
Este recurso serve para recategorizar uma URL localmente.
Exemplo:
https://www.uol.com.br/é categorizado pela FortiGuard como Search Engines and

Portals.
Vá até a aba Security Profiles>Web Rating Overrides>Create new
Override to: recategoriza a url para a categoria e subcategoria selecionada.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
27 - Antivírus
Para criar um profile de antivírus vá até Security Profiles>Antivírus>+
Detect Viruses
 Block: bloqueia o arquivo infectado.

 Monitor: permite o arquivo infectado e registra um evento.
27.1 - Inspected Protocols
Selecione os protocolos que se deseja bloquear ou monitorar arquivos infectados. Esta

feature oferece suporte para HTTP, SMTP, POP3, IMAP, MAPI e FTP.
Através da aba System >FortiGuard é possível validar a versão da engine de

antivírus e realizar upload de atualizações. As atualizações são realizadas de forma
automática através da FortiGuard.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
28 - Application Control
Este recurso oferece gerenciamento de aplicações.
Vá até Security Profiles > Application Control > +
Para cada categoria é possivel definir as ações Allow, Monitor, Block e Quarentine.
Application Override são listas de exceções para uma assinatura em especifico.
Ex: a categoria Storage Backup esta bloqueada e você precisa liberar apenas a
aplicação 4shared. Então é necessario adicionar uma exceção para o 4shared
conforme demonstrado acima.
O application control utiliza a mesma engine do IPS.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
29 - IPS
O Instrusion Prevent System fornece uma camada de proteção contra ataques através
de uma base de assinaturas que é atualizada periodicamente de forma automática
pela FortiGuard.
Através da aba System>FortiGuard é possível validar as versões da engine de IPS e

realizar um push para receber novas atualizações de IPS e Antivírus se estiverem
disponíveis.
Para configurar um sensor de IPS vá até Security Profiles>Intrusion Protection>+
Ação para cada assinatura:
Pass: Permite o tráfego.

Monitor: Permite o tráfego e armazena registros do tráfego (função de IDS).
Block: bloqueia o trafego.
Reset: Envia um reset para o tráfego correspondente à assinatura (rejeita).
Default: ação default de cada assinatura (View IPS Signatures> coluna action exibe
a ação default de cada assinatura).
Quarantine: é possível definir um período de retenção na quarentena
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
30 - DNS Filter& Botnet C&C
Este recurso permite gerenciar requisições DNS com base em url’s e categorias;
semelhante aos profiles de webfilter
O novo banco de dados da FortiGuard contém uma lista de endereços conhecidos de

Botnet C&C (comando and control), e este banco de dados é atualizado
dinamicamente e armazenado no Fortigate.
Para obter este serviço é necessário possuir o licenciamento FortiGuard Web filtering.
Para configurar um profile vá até Security Profiles>DNS Filter>+
Static Domain Filter é semelhante à lista de url’s do profile de web filter.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
31 - CASI
Cloud Access Security Inspection oferece suporte para controle de aplicações

populares na nuvem, como Youtube, Dropbox, Baidu, Amazon.
O CASI é aplicado em uma regra como qualquer outro profile de segurança, mas
infelizmente o CASI não funciona quando é aplicado em uma regra junto com outros
profiles de segurança em modo Proxy-Based como Antivirus e Web Filter; certifique-se
de que na regra contenha apenas profiles no modo Flow-Based.
Vá até Security Profiles>Cloud Access Security Inspection > +
As ações disponíveis são Allow, Blocke Monitor.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
32 - Web Application Firewall
O Fortigate possui esta feature similar a um firewall de aplicação, porem com recursos
limitados. Esta feature adiciona uma camada de proteção contra ataques na camada
de aplicação como SQL Injection, Exploits conhecidos e trojans.
Vá até Security Profile>Web Application Firewall> +
Este recurso possui Signatures e Constraints com as ações Allow, Block e Monitor.
Este profile pode ser adicionado para proteger um servidor web em uma regra de NAT
de entrada, e deve ser habilitado um profile de inspeção SSL em Full Inspection
(deep).
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
33 - Data Leak Prevention
DLP é um recurso que previne o vazamento de informações; ele examina o trafego em

busca dos padrões de dados que foi especificado e então toma uma ação com base
no que foi configurado no profile.
Diversas combinações podem ser realizadas de acordo com a necessidade mesclando

as opções disponíveis.
Vá até Security Profiles>Data Leak Prevention>+
No exemplo acima, será bloqueado arquivos com a extensão .mp3.
Na regra é necessário aplicar um profile de inspeção SSL em modo Full Inspection

(deep).
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
34 - Inspeção SSL
Ao habilitar este recurso, o Fortigate inspeciona todo o tráfego que utiliza o protocolo
criptografado SSL. O Fortigate irá receber o tráfego em nome do cliente, abrir o tráfego
criptogrado (descriptografar), e ao terminar a inspeção, o tráfego será criptografado
novamente e enviado ao destinatário.
Quando o tráfego criptografado é descriptografado, ele deve ser criptografado

novamente utilizando o certificado do Fortigate, ao invés do certificado original; isto
pode causar mensagens de erros de certificado ao acessar sites.
Este comportamento é semelhante a um ataque man-in-the-middle.Os protocolos

criptografados que podem ser inspecionados são HTTPS, SMTPS, POP3S, IMAPS e
FTPS.
Este recurso de inspeção pode trabalhar em dois modos, SSL Certification e Full SSL
Inspection.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
34.1 - SSL Certification Inspection
Neste modo de inspeção, o Fortigate inspeciona apenas as informações do cabeçalho

dos pacotes. Este modo é utilizado para validar a identidade dos servidores da web e
pode ser usado para garantir o controle de bloqueio e permissão para sites que
utilizam o protocolo SSL.
Neste método não é necessário a instalação de certificados nos navegadores dos

usuários e não apresentam erros de certificados.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
34.2 - Full SSL Inspection
Para garantir que todo o conteúdo criptografado seja inspecionado, utilize a inspeção
Full SSL (inspeção profunda). Neste método o Fortigate representa o destinatário da
sessão SSL; descriptografa e inspeciona o conteúdo, e em seguida criptografa o
conteúdo, cria uma nova sessão SSL entre o Fortigate e o destinatário, representando
o remetente e enviando o conteúdo ao seu destino.
Quando o Fortigate criptografa novamente o conteúdo, ele usa um certificado

armazenado no Fortigate. O Cliente deve confiar neste certificado para evitar erros de
certificado. Esta confiança depende do cliente, que deve possuir seu próprio
repositório de certificados.
Neste método, é necessário realizar o download do certificado do Fortigate e instalar

nos navegadores dos usuários para evitar erros de certificado.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
34.3 - SSL Exemption
É possível realizar a isenção da inspeção SSL Profunda em categorias de sites e

objetos de rede.
Vá até Security Profiles >SSL/SSH Inspection>selecione o profile em Full SSL

Inspection
34.4 - Dica antes de aplicar uma inspeção SSL
 Defina se será utilizada a inspeção simples ou profunda.

 Defina qual certificado CA que será utilizado para descriptografar o tráfego.
 Defina quais protocolos serão inspecionados
 Defina quais portas serão associadas com quais protocolos SSL para fins de
inspeção
 Defina quais sites serão isentos da inspeção SSL
 Defina se deseja ou não permitir certificados SSL inválidos
 Defina se o trafego SSH será inspecionado ou não.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
35 - Aplicando o Security Profile
Todos os profiles de segurança são aplicados em regras.
Vá até Policy Objects>IPV4 Policy>Create New

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
36– VPN
Virtual Private Network é uma rede virtual privada utilizada para conectar redes em
longa distância com recursos de criptografia provendo segurança.
As VPN no Fortigate podem ser baseadas em Políticas ou baseadas em Rotas. Neste

curso vamos abordar somente os conceitos e configurações de VPN SSL e VPN Site
to site (gateway-to-gateway).
36.1 - Route-Based VPN
Uma vpn baseada em rotas écriada duas regras entre a interface virtual e o destino,
regras de ida e volta do trafego sendo necessário criação de roteamento apontando
para a rede remota do túnel.
36.2 - Policy-Based VPN
Uma vpn baseada em políticas, apenas uma regra de acesso permite a comunicação
bidirecional. Este tipo de vpn é conhecido também como vpn em modo túnel.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
36.3 - Configuração de VPN Ipsec Site to Site
VPN site to site é uma vpn configurada entre dois dispositivos (firewall x firewall) no
qual é estabelecido um túnel entre as duas pontas, e para os usuários é transparente,
o acesso aos recursos de rede é realizado como se estivessem no mesmo local físico.
Para configurar uma VPN Site to Site é necessário:
 Configuração de Fase 1 e Fase 2 da VPN

 Configuração de Regras de acesso para o túnel VPN
 Configuração de rota estática
 As configurações de ambos lados devem estar iguais ou alinhadas.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Vá até VPN >IPsec Tunnels>Create New
É possível utilizar o wizard para auxilio, porém vamos utilizar o template Custom para
realizar a configuração.
Atribua um nome, selecione o template Custom e clique em Next.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
36.4 - Fase 1 – Network
IP Version
É possível selecionar o protocolo IPV4 ou IPV6.
Remote Gateway
 Static IP Address: ip estático deve ser atribuído.

 Diaulp User: utilizado para configuração de vpn cliente to site.
 Dynamic DNS: é possível mapear um DDNS.
IP Address
Definir o peer do cliente remoto; definir o ip público do equipamento remoto.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Interface
Neste exemplo foi mapeada a interface Link Vivo cujo endereço IP é 189.100.10.10.
Este endereço ip será mapeado no dispositivo remoto.
Mode Config
Geralmente utilizado em configurações de vpn cliente to site.Quando habilitado, outras

opções se tornam disponíveis:
 Client Address Range

 Subnet mask
 Use System DNS
 DNS Server
 Enable IPv4 Split Tunel
NAT Traversal
Ative esta opção se houver um dispositivo Nat entre o Fortigate local e o dispositivo
Remoto. Os dois dispositivos devem possuir a mesma configuração habilitada.
Forced
Este recurso utilizará um valor de porta zero ao construir o hash de descoberta NAT.
Isso faz com que o peer pense que esta atrás de um dispositivo NAT, ele usará o
encapsulamento UDP para IPSEC, mesmo se nenhum NAT estiver presente. Esta
técnica mantém a interoperabilidade com qualquer IPSEC.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Keepalive Frequency
Se o NAT Traversal estiver habilitado, automaticamente o keepalive será habilitado

com o valor padrão.
Este recurso envia um sinal para manter a conectividade quando hpa dispositivos NAT
envolvidos, pois sem o keepalive, os dispositivos intermediários podem dropar a
conexão após o tempo limite.
Dead Peer Detection
Este recurso valida se o túnel esta up ou down.
36.5 - Authentication – Fase 1
Method
Possível utilizar pre-shared key (senha) ou Singnature (certificado digital).
36.6 - IKE version 1 ou 2
Internet Key Exchange é o protocolo utilizado para configurar ao Security Association

(AS) na negociação IPSec. É possivel escolher as versões IKEv1 e IKEv2 quando
utilizado vpn baseada em rotas.
Ao utilizar o IKEv1 é possível selecionar dois modos, Agressive e Main Mode. No

IKEv2 estas opções não estão disponíveis.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
36.7 - Agressive Mode vs Main Mode
 Main Mode: os parâmetros da fase 1 são negociados em múltiplas rodadas

com as informações de autenticação criptografadas.
 Agressive Mode: os parâmetros da fase 1 são trocados em uma única
mensagem com as informações de autenticação sem criptografia.
O modo Agressive não é tão seguro quanto o modo Main, porem é mais rápido na
troca de informações. Caso o peer remoto utilize um ID local identificador ou ambos
pares utilizem ip’s externos dinâmicos seria necessário apontar como Agressive Mode.
36.8 - Security Association
É o resultado bem sucedido entre a negociação da fase 1 local e remota. A AS pode

conter informações sobre algoritmos e chaves criptográficas, keylife e o numero de
seqüência de pacotes.
36.9 - Proposal – Fase 1
Nesta etapa é definido quais parâmetros de criptografia e autenticação serão utilizados

em ambos peers para a fase 1.
Diffie-Hellman Group
É um método de criptografia especifico utilizado para realizar a troca de chaves.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
XAUTH
É possível definir autenticação de usuários neste tópico. Recurso geralmente utilizado

em vpn cliente to site.
Key Lifetime
Tempo definido antes da expiração da chave de criptografia IKE.
36.10 - Fase 2- Tráfego Interessante
Name
Defina um nome para a fase 2 , o nome deve ser diferente da fase 1.
Local Address
Deve ser definido o endereço ip da rede local
Remote Address
Deve ser definido o endereço Ip da rede remota.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
36.11 - Fase 2 – Parâmetros
Nesta etapa sãodefinidos quais parâmetros de criptografia e autenticação serão

utilizados em ambos peers para a fase 2.
Enable Replay Detection
Recurso de segurança que impede replay attacks; quando uma parte não autorizada
intercepta uma série de pacotes IPsec e direciona de volta para o túnel.
Enable Perfect Forward Secrecy (PFS)
Este recurso melhora a segurança, forçando uma nova troca de chaves através do
Diffie-Helman.
Auto-Negotiate
A renegociação do túnel ocorre automática quando o tempo limite expirar.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
AutoKey Keep Alive
Mantem o túnel ativo mesmo que não haja trafego.
Key Lifetime
Define quanto tempo irá demorar para que a chave da fase 2 expire.
36.12 - Roteamento via VPN
Necessário criar roteamento apontando para o túnel de vpn criado para que o tráfego
seja redirecionado.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
36.12 - Regra VPN

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
37 - Configuração de VPN SSL
VPN SSL pode funcionar de dois modos:
 Web Mode: utilizando o navegador.

 Tunnel Mode: utilizando o Forticlient.
Para configurar a VPN SSL no modo túnel e modo web será necessário criar o usuário
para vincular nas configurações; neste exemplo iremos vincular o usuário local
teste_vpn.
Vá até User & Device>User Definition>Create New

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
37.1 - Configuração do Portal SSL
Vá até VPN >SSL-VPN Portals> edite o perfil full-access.
O perfil full-access permite acesso a vpn no modo túnel e modo web.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
37.2 - Tunnel Mode
Limit Users to One SSL-VPN Connection at a time
Este recurso limita a conexão de um usuario por vez na vpn.
37.3 - Enable Split Tunneling
Com este recurso desabilitado todo o tráfego de internet da maquina que conectar na
vpn, utilizará o túnel vpn. Será necessária a criação de regras de acessoà internet
caso esteja desabilitado.
Com este recurso habilitado, o cliente utilizará a conexão da vpn apenas para acessar
as redes mapeadas na configuração, e os demais acessos irá utilizar o link local de
internet do cliente. Quando as redes estão definidas no Split tunneling e o cliente
conecta, o firewall adiciona rotas locais diretamente no host do cliente.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
37.4 - Source IP Pools
É possível mapear o range de endereços que será distribuído para os hosts que
conectarem na vpn. Por padrão, o firewall possui o objeto SSLVPN_TUNNEL_ADDR1
destinado ao uso de vpn’s no firewall. Os ranges de endereçamento pode variar em
cada Fortigate.
37.5 - Tunnel Mode Client Options
São opções adicionais que podem ser configuradas no túnel, porem não é
fundamental para o funcionamento da VPN.
37.6 - Web Mode
As configurações do web portal são opcionais, não são obrigatórias para o

funcionamento do túnel; sendo possível customizar mensagem ao acessar o túnel, cor
do tema do túnel, login history, bookmarks para adicionar atalhos de navegação.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Vá até VPN >SSL-VPNSettings para configurar os parâmetros de acesso ao túnel
Listen on Interface
Selecione qual interface será mapeado o acesso a vpn.
Listen Port
Defina uma porta especifica para que o acesso a vpn não conflite com outros serviços.
Restric Access
Possível restringir o acesso dos hosts na vpn.
Idle Logout
Defina o timeout de sessão.
Server Certificate
É opcional definir um certificado a ser utilizado para validar os acessos.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Address Range
O range de endereçamento que será distribuído aos hosts.
DNS Server
É possível definir os servidores DNS que os hosts irão utilizar.
Authentication / Portal Mapping
Vincule os usuários ou grupo de usuários que poderão se autenticar na vpn.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
37.7 - Regras de acesso para a VPN SSL
Necessário vincular a interface SSL-VPN tunnel Interface (ssl.root), o usuário ou o

grupo de usuários para autenticação.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Para acessar o portal via web mode, utilize o endereço https://endereço:porta
É possível realizar o download através do site www.forticlient.com
Defina as configurações da VPN SSL conforme mapeado no Fortigate.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Insira as credenciais de acesso para acessar a vpn no modo túnel.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
38 – Logging & Monitoring
O armazenamento de logs é fundamental para que seja possível monitorar as

atividades tanto dos usuários quanto de eventos do firewall. Através do
armazenamento externo ou interno é possível realizar relatórios de utilização,
diagnósticos para troubleshooting, monitoramento de saúde e outras atividades.
38.1 - Níveis de Logs
Emergency Sistema instável
Alert Requer uma ação imediata
Critical  Funcionalidade afetada
Error Existe um erro que pode afetar alguma funcionalidade
Warning  Funcionalidade pode ser afetada
Notification  informação sobre eventos normais
Information Eventos gerais do sistema
Debug logs de depuração

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
38.2 - Tipos de Logs
Os log’s são dividos em 3 tipos, Trafego, Eventos e Segurança.
38.3 - Cabeçalho e Corpo de um log (header & body)
No cabeçalho de um log contem informações referentes ao tipo de log, subtipo, nivel

do log, vdom e data e hora.
No corpo de um log contem id da policy que o trafego deu match, nome do usuário,
grupo, endereço de origem, porta de origem, endereço de destino, porta de destino,
interfacese serviço.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
38.4 – Armazenamento& Envio de Logs
38.5 - Memory
Os logs podem ser armazenados na memória do Fortigate, porem esta memória é

limitada e ao reiniciar o firewall todos os logs são perdidos.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
38.6 - Hard Drive
Alguns modelos de Fortigate possuem disco rígido, sendo possível armazenar os log’s
diretamente no disco.
Vá até Log & Report>Log settings
38.7 - Syslog
É possível encaminhar os log’s para um syslog.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
38.8 - FortiCloud
É possível encaminhar os log’s para o armazenamento na nuvem, porem é necessário

uma licença especifica.
38.9 - SNMP
É possível monitorar as informações de status do Fortigate através do protocolo SNMP

(Simple Network Management Protocol); é necessário configurar o SNMP Agent
(Fortigate) para enviar traps para o SNMP Manager (Nagios, Opsview, Zabbix)
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Vá até System > SNMP > escolha a versão de SNMP a ser configurada SNMP v1/v2c
ou SNMP v3 e clique em create new para configurar a SNMP Community e os recursos
que serão monitorados.
Habilite o SNMP Agent conforme abaixo:
Habilite o SNMP na interface mapeada.
Após as etapas acima, realize o download do arquivos MIB e configure o SNMP

Manager desejado.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
38.10 - FortiAnalyzer / FortiManager
39 - Configurações de Policy que geram Log’s
Segue abaixo uma tabela que simplifica o entendimento das configurações realizadas
em uma policy que vão gerar logs de segurança e log de sessão.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
40 - Log & Report
Esta seção reune diversos tipos de log’s do Fortigate de forma separada.
Forward Traffic
É possível visualizar os log’s de trafego que estão passando pelo Fortigate.
Vá até Log & Report > Forward Traffic

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Local Traffic
System Events
VPN events
User Events
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
HA Events
Antivirus
Web Filter
Application Control
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Anomaly
Data Leak Prevention

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
41 - Fortiview
É outra maneira de visualizer diversos tipos de log’s e informações de utilização de

forma prática.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Fortiview> Sources
Trafego com base no endereço de origem.
FortiView>Destinations
FortiView> Interfaces
Exibe um gráfico sobre as interfaces.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
FortiView>Policies
Exibe as policies que mais apresentam consumo em um determinado período.
FortiView>Countries
Exibe as sessões de tráfego com base nos países.
FortiView>All Sessions
Exibe todas as sessões de tráfego.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
FortiView>Applications
Exibe as aplicações mais utilizadas no período de tempo.
FortiView>Web Sites
Exibe os web sites mais visitados.
FortiView>Threats
Exibe os tráfegos considerados como ameaças.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
FortiView>Threat Map
É possível visualizar em tempo real e arrastar o ‘mini fortigate’ no mapa para qualquer
localização, a fim de visualizar os tipos de ameaças que estão ocorrendo pelo mundo.
Este recurso é sincronizado com a FortiGuard.
FortiView>Failed Authentication
Exibe as falhas de autenticação.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
FortiView>System Events
FortiView>Admin Logins
Exibe os usuários administradores que realizaram login e se realizaram alterações de

configurações.
FortiView>VPN
Exibe os usuários que se autenticaram em VPN.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
41 - Autenticação
41.1 - Autenticação Ativa
Na autenticação ativa, os usuários recebem uma tela para inserir as credenciais de

acesso (login & senha).
- LDAP, RADIUS, Local e TACACS +.
41.2 - Local Users
Para criar usuários que vão autenticar localmente, vá até User & Device>User
Definition>Create New
Selecione Local User > Next

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
E-mail é opcional, clique em next
É possível habilitar two-factor authentication selecionando um token disponível e incluir

o usuário em grupo de usuários.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
42.3 - Autenticação via LDAP
Vá até User & Device>LDAP Servers>Create New e configure o profile LDAP

vinculando o servidor AD.
Selecione o tipo Firewall e vincule o servidor LDAP criado.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Vá até Policy & Objects> IPV4 Policy e crie a regra de acesso mapeando o profile
LDAP criado.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
43 - Autenticação Passiva
Na autenticação passiva, os usuários são autenticados de forma transparente, não é

apresentada uma tela solicitando o login e senha do usuário.
- FSSO e RSSO.
43.1 - FSSO – Fotinet Single Sign On
Single Sign On é um mecanismo que permite aos usuários acessos a diversos

serviços a partir de uma única autenticação, sem a necessidade de se autenticar
novamente.
O Fortigate consegue prover este recurso de autenticação para usuários do Windows

AD, Citrix e Novell eDirectory com a ajuda de um software agent instalado na rede. O
software agent coleta e envia informações de logon para o Fortigate, e com base
nessas informações e as políticas de segurança, o Fortigate permite autenticação e
acessos a diversos recursos na rede sem solicitar as credenciais do usuário
novamente.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
43.2 - FSSO em DC Agent Mode
No modo DC agent, dois client’s são instalados, DC agent e o Agent Collector.
O DC Agent é um arquivo DLL (dcagent.dll) instalado no diretório Windows/system32,

que coleta as informações de logon dos usuários no AD e enviada para o Agent
Collector na porta 8002 UDP.DC agent deve ser instalado em todos os controladores
de domínio que fazem parte da estrutura de autenticações do FSSO.
O Agent Collector é um client que recebe as informações de logon e envia para o

Fortigate na porta 8000 TCP.
O agent collector possui duas formas de acessar as informações dos usuários no

Windows Active Directory , Standard e Advanced.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
43.3 - Pooling Mode
No modo polling existem 3 opções disponíveis:
43.4 - NetAPI Polling
A pesquisa NetAPI é usada para recuperar sessões de logon no servidor. Este método
é mais rápido que o Event Polling, mas pode perder alguns eventos de logon e exige
um tempo mínimo de consulta de ida/volta de pelo menos 10 segundos.
43.5 - Event Log Polling
Este modo pode ser mais lento, porem tem melhor desempenho na captura de
eventos de logon e não exige o tempo mínimo de 10 segundos, porem necessita que a
rede possua links de altas velocidades para comunicação.
43.6 - Event Logs using WMI
WMI (Windows Management Instrument)é uma API Windows utilizada para obter
informações de um servidor Windows. O Collector Agent é um cliente WMI, e envia
WMI queries de logon de usuários para o Domain Controle que neste caso é um
servidor WMI. A principal vantagem neste modo é que o collector agent não precisa
pesquisar eventos de segurança no DC, o DC retorna todos os eventos de logon
solicitados via WMI; isso reduz a carga de rede entre o DC e o CA.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Todas as opções são transparentes e não necessitam da instalação de um dcagent

nos servidores, apenas o agent collector (CA).
43.7 - FSSO DC Agent mode vs Polling Mode
O FSSO em DC Agent Mode é o recomendado pela Fortinet por ser mais acertivo nas
autenticações; seu modo de instalação é mais complexo, porem o modo polling é
muito falho na validação das informações de logon dos usuários.
Segue abaixo uma breve comparação sobre os dois modos:

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
43.8 - Processo de autenticações no modo DC Agent.
43.9 - Processo de autenticações no modo Polling.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
44 - Configurando FSSO em DC Agent Mode com método de acesso

Advanced(Expert)
1º Passo – Integrando o Fortigate com o LDAP Server
É possível realizar a integração do Fortinet Single Sign On vinculando o LDAP Server,

a Fortinet chame esta implementação de“Fortinet Single Sign On usando o LDAP e
FSSO Agent em Advanced Mode (Expert).
Vá até User & Device>LDAP Servers>Create New para criar um vinculo via LDAP
entre o Fortigate e o AD.
Name: atribua um nome ao perfil

Server IP/Name: endereço IP do servidor
Server Port:389, porta do protocolo LDAP
Common Name Identifier: cn (common name)
Distinguished Name: preencha conforme a descrição do seu domínio (dc=labfgt,
dc=training, dc=com, dc=com)
Bind Type: selecione Regular
User DN &Password:usuário e senha com privilégios suficientes para leitura da
arvore do AD
Secure Connection: opcional para adicionar criptografia na comunicação.
Test: é possível testar a conectividade com o servidor AD.
2º Passo – Instalar o Agent Collector no Servidor AD
Através do portal support fortinet é possível realizar o download do FSSO Agent e DC

Agent (o FSSO agent contem o DC agent incluso).
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Valide no release notes a compatibilidade de versão do client em relação a versão de

Windows Server instalado.
Atualmente existe a versão 4.3 e 5.0
Instalaremos a versão 5.0 compatível com o Windows 2003 server utilizado neste
treinamento.
Execute o instalador e clique em Next.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Lembre-se: Primeiro será realizado a instalação do Collector Agent (CA) e em

seguida do DC Agent (DC).
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Leia os termos de licença, aceite o termo e clique em next.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Confirme o diretório de instalação default C:\Arquivos de programas\Fortinet\FSAE

e clique em next.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Insira a credencial de um usuário administrador:

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Deixe marcadas as opções conforme abaixo:
Selecione advanced (possível alterar esta opção após a instalação).

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Clique em install para finalizar a instalação.
Após o termino, realize a instalação do DC agent e clique em Finish.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
3 º Passo – Instalar o DC Agent
É possível prosseguir com a instalação do DC Agent no termino da instalação do

Agent collector, pois o agent collector setup possui o DC Agent incluso; entretanto
você optar por instalar separadamente o client DC Agent.
Diferenças:
- Instalar a partir da instalação do Agent Collector, o client DC Agent não aparece

disponível na pasta de instalação para realizar futuras alterações e verificações de
trobleshooting.
- Instalar isoladamentea partir do client DC Agent, o client fica disponível na pasta de

instalação para futuras alterações.
Instalação do DC Agent incluso no setup do Agent Collector
Prosseguindo ao final da instalação do Agent Collecor, será exibida a tela abaixo.
Defina o IP do servidor onde esta instalado o Collector Agent e clique em avançar.
No exemplo abaixo, o Collector Agent e o DC agent serão instalados no mesmo

servidor, portanto define o proprio IP do servidor.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Selecione o domínio no qual o DC agent irá monitor as informações de logon dos

usuários e clique em Avançar.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
É possível definir uma lista de exclusão, no qual o dc agent não irá monitorar os
eventos de logon de determinados usuários.
No exemplo abaixo, todos os usuários serão monitorados, portanto não marque

selecione nenhum usuário e clique em avançar.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Selecione o modo de implementação do FSSO; marque DC Agent Mode e clique em

Avançar.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Será necessário reiniciar o servidor para validar a instalação. Clique em sim e o

servidor será reiniciado.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Após o reboot, localize o client instalado.
Necessário definir uma senha para sincronismo com o Fortigate e clique em

Save&Close.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Instalação do DC agent apartir do setup DC Agent.
Utilizaremos o setup DC Agent na versão 5.0 compatível com o Agent Collector 5.0
previamente instalado.
Execute o instalador e clique em Next.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Aceite os termos e clique em Next.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Confirme o diretório de instalação padrão e clique em next.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Defina os endereços IP dos hosts no qual estão instalados os Agent Collector.
Você pode apontar apenas o endereço IP seguido por vírgula, ou apontar o

endereço_ip:porta8002.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Clique em Install.
Clique em Finish.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Observe que após este método de instalação será exibida a opção para acesso ao
client DC Agent Config conforme caminho abaixo:
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
4º Passo – Configurar o Single On no Fortigate
Vá até a aba User & Device>Single Sign On>Create New para configurar o FSSO.
Name: atribua um nome ao FSSO

Primary Agent IP/Name: endereço ip do agent collector (possível configurar 5 agent
collector).
Password: a senha definida no Agent Collector para sincronismo com o Fortigate.
LDAP Server: selecione o perfil de LDAP Server criado
Groups: selecione os grupos do AD
Após a configuração, verifique o status da configuração do FSSO:
User & Device > Single Sign On
O status deve estar VERDE para que o Single Sign On esteja correto e funcional.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Após vincular os grupos através do perfil LDAP nas configurações anteriores, abra o
Agent Collector no Servidor AD e vá até Set Group Filters.
Observe que aparecerá na lista um perfil contendo o Serial number do seu Fortigate e
os grupos mapeados.
Selecione e clique em Edit

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Todos os grupos mapeados nas configurações de Single Single On no Fortigate serão

exibidos e mapeados automaticamente nas configurações do Agent Collector.
Observe que não é possível editar através do agent collector, para realizar qualquer
alteração de grupo é necessário alterar através do Fortigate.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
5 º Passo – Criação de Grupos FSSO
Vá até Users & Device>User Groups > Create New
Selecione FSSO e vincule os grupos mapeados nas configurações do FSSO.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
6º Passo – Criação de regra (Identity Based Policy)
Vá até Policy & Objects>IPV4 Policy>Create New
Crie a regra de acesso à internet para cada grupo do FSSO, mapeando no campo
Source os grupos em questão.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
7ª Passo – User Monitor
Vá até Monitor>Firewall User Monitor e valide as autenticações dos usuários via

FSSO.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
45 - Configurando FSSO DC Agent Mode com método de acesso em

Standard
A configuração é similar ao modo de configuração Advanced, sendo que neste modo

não é necessário a instalação do profile LDAP Server no Fortigate.
Para iniciar, siga as instruções do 2º Passo – Instalar o Agent Collector no Servidor

AD, e no momento de selecionar o modo acesso ao AD conforme demonstrado abaixo
selecione Standard:
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Clique em install para finalizar a instalação.
Após o termino, realize a instalação do DC agent e clique em Finish.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Sigas as instruções do 3 º Passo – Instalar o DC Agent.
4º Passo – Configurar os grupos do AD no Agent Collector
Abra o agent collector e clique em Set Group Filters.
Clique em ADD
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Insira o serial do Fortigate e clique em advanced.
Será exibida a arvore do AD, selecione todos os grupos e clique em ADD selected
user groups.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Confirme os grupos selecionados e clique em OK.
Confirme novamente e clique OK. Caso seja um cluster de Fortigate, insira o serial do
FGT Master, adicione os grupos; em seguida insira o serial do FGT Slave e repita o
processo.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Apply e em seguida Save&Close.
5º Passo – Configurar o Single Sign On no Fortigate
Vá até User & Device>Single Sing On>Create New

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Defina o tipo como Fortinet Single Sign On, Name, Primary Agent IP/Name &
Password, e clique em Apply & Refresh para carregar os grupos configurados no
Agent Collector.
Será exibida uma lista contendo apenas os grupos mapeados no Agent Collector.
Valide o status das configurações do FSSO
6º Passo – Criação de grupos FSSO
Vá até User & Device > User Group > Create New
Selecione o type como Fortinet Single Sign On e vincule os grupos mapeados no

FSSO.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
7º Passo – Criação de Policy (Identity Based Policy)
Vá até Policy & Objects > IPV4 Policy > Create New
Crie cada policy mapeando cada grupo para aplicar políticas especificas aos grupos.
8º Passo – User Monitor
Valide o status do Logon dos usuários através do Monitor > Firewall User Monitor.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
46 - Configurando o FSSO em Polling Mode
Sigas as instruções contidas em 1º Passo – Integrando o Fortigate com o LDAP

Server e configure um perfil LDAP entre o Fortigate e AD.
Realize a instalação do Collector agent conforme as instruções contidas em 3º Passo

– Instalar o Agent collector em modo Advanced e altere as opções conforme
abaixo:
Altere para Polling Mode e selecione uma das opções disponíveis para monitoramento
das informações de logon dos usuários.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Prossiga com a instalação até finalizar; após a instalação é possível visualizar os 3

modos de operação em polling mode.
Clique em Show Monitored DC’s.
Clique em Select DC to monitor.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Em Working Mode é possível alterar tanto para o modo DC agent quanto Polling mode
e suas opções.
Após clicar em OK, observe a alteração no nome do DC com o /Polling.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
4ª Passo – Configurar o Polling entre o Fortigate e o AD.
No modo Polling é possível mapear apenas 1 servidor AD.
Vá até User & Device>Single Sing On>Create New
Em Type selecione Poll Active Directory Server.
Server IP/Name: ip do servidor AD

User & password: usuário com privilégios de administrador (recomendado o mesmo
utilizado na instalação do client no AD).
LDAP Server: selecione o profile LDAP criado
Enable Polling: marque
Groups: selecione os grupos necessários para autenticação
Valide o status da configuração do Single Sing On, o status deve ficar VERDE para
que esteja funciona.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
5ª Passo – Criação dos Grupos de Usuários FSSO
Vá até User & Device > User Groups > Create new
Crie os grupos do tipo Fortine Single Sing On e vincule cada grupo.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
6º Passo – Criação de regras de acesso (Identity Based Policy)
Crie a regra de acesso e vincule o grupo desejado.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
47 - FSSO – Agent Collector
Neste tópico serão exibidos diversos recursos disponíveis no client Agent Collecor
instalado no AD em caráter de conhecimento e troubleshooting.
47.1 - Agent Collector
Monitoring user logon events: deixe selecionado para o funcionamento padrão que
monitora os eventos de logon dos usuários.
Support NTLM authentication: habilita o suporte NTLM em caso de falhas no serviço

FSSO.
Listening Ports: é possível alterar as portas de comunicação entre Agent Collector x

Fortigate (8000) e DC Agent x Agent Collector (8002).
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Logging: em caráter de troubleshooting é possível alterar o nível de logs e o tamanho

arquivo de log
Authentication: definir senha de sincronismo entre o Agent Collector e o Fortigate.
Show Service Status
Exibe os Fortigate’s conectados e o status do serviço.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Show Monitored DC’s
Exibe os Domain Controllers monitorados.
Show Logon Users

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Exibe uma lista com todos os eventos de logon dos usuários e seus respectivos status.
Select Domains To Monitor
Exibe uma lista com os domínios, sendo possível escolher quais serão monitorados.
Set Directory Access Information
Permite selecionar o modo de acesso ao diretório do Windows AD.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Set Group Filters
Permite mapear os grupos do AD.
Set Ignore User List
Permite selecionar os usuários no qual os eventos de logon serão ignorados.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Sync Configuration With Other Agents
Permite sincronizar as configurações do collector agent com outros collector agents.
Export Configuration
Permite exportar as configurações do agent collector para um arquivo de texto.

CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
Timers
Workstations verify interval
O agent collector verifica em cada estação de trabalho se o usuário ainda esta logado
na mesma estação; o agent collector precisa se conectar em cada estação de trabalho
para verificar isso utilizando as portas 139/tcp e 445/tcp.
Não é recomendado o ajuste deste parâmetro para um valor menor a fim de realizar
esta verificação de forma mais rápida; pois esta validação ocorre em lotes e pode
variar muito do tempo padrão de 5 minutos. Ajustar para 1 minuto, por exemplo, não
irá forçá-lo a verificar cada usuário logado de 1 em 1 minuto, irá força-lo a aguardar 1
minuto a cada lote.Para desativar esta verificação defina o valor 0.
Dead entry timeout interval
Definido em 480 minutos (8 horas) é o tempo no qual o client irá aguardar antes de
limpar as informações de logon caso não seja possível verificar o status do usuário
neste período. Para desativar, defina o valor 0, mas não é recomendado pois o status
do usuário permanecerá como logado eternamente até que haja um novo evento de
logon no qual substituirá o evento antigo.
IP address change verify interval
O agent collector verifica por padrão a cada 60 segundos se houve alteração do

endereço IP dos usuários conectados e atualiza o Fortigate quando ocorre uma
alteração.Este recurso é importante em ambientes DHCP, pois esta validação impede
que os usuários sejam bloqueados quando houver alteração de endereço ip.
O agent collector utiliza as configurações de DNS para realizar esta validação; você
pode definir o valor 0 para desabilitar esta verificação.
User/Groups cache expiration interval
Quando este recurso está habilitado, ele armazena as informações de associações de

grupos por um tempo definido (padrão 60 minutos). Selecione “Clear Group Cache”
para limpar as informações armazenadas.
Este recurso é útil em ambientes empresariais com milhares de hosts.
CODIGO:
1ª Edição
TÍTULO: PÁGINA:
REVISÃO:
FORTIGATE 1
6
48 - Collector Agent Lookup
Com as configurações padrão dos timers, o agent collector seguirá a linha de

raciocínio abaixo:
1º - Realize uma pesquisa de endereços IP para obter o endereço IP correto, e

detectar se houve alterações de endereços.
2º - Verifique se é possível se conectar a porta 139 ou 445 do host remoto, caso

contrário defina o status como DESCONHECIDO e vá para a etapa de verificação 5.
3º -Tente abrir o registro da maquina remota, se falhou defina o status como

DESCONHECIDO e vá para a etapa de verificação 5.
4º - Verifique se o registro do usuário ainda existe em HKEY_USERS. Se existir,

defina o status como USER_LOGON, caso contrário defina como USER_LOGOFF.
5º -Se o status for:
 DESCONHECIDO: não faça nada (a entrada será removida em 8 horas).

 USER_LOGOFF: a entrada será removida imediatamente, e o Fortigate será
informado.
 USER_LOGON: se o ip não mudou, a entrada será mantida, caso contrário o
Fortigate precisa ser atualizado com o novo endereço IP.

Curso de Gerenciamento e Diagnóstico Fortigate PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso de Gerenciamento e Diagnóstico Fortigate PDF

Título original:

Enviado por

Direitos autorais:

Formatos disponíveis

Curso de Gerenciamento e

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 2/216

Rev. Data Motivo da Revisão Elaborado por Revisado por

1 30/08/2017 Emissão Rafael Almeida de Oliveira

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 3/216

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 4/216

6.2 - Transparente ................................................................................................................... 30

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 5/216

16.1 - Tipos de Objetos de Rede ............................................................................................. 63

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 6/216

23.2 - Configuração de Policy Route ..................................................................................... 102

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 7/216

36.8 - Security Association .................................................................................................... 129

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 8/216

42.3 - Autenticação via LDAP ................................................................................................ 162

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 9/216

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 10/216

 Curso destinado a todos que desejam conhecer os conceitos e funcionalidades

1.1 – Stateful vs Stateless

Foram os dois primeiros e principais mecanismos de filtragem de pacotes presentes

A seguir, iremos apresentar uma breve descrição sobre as diferenças entre um

1.2 - Filtragem Stateless ou sem estado

- O firewall não tem conhecimento sobre as conexões (não é orientado a conexão).

1.3 - Filtragem Stateful ou com estado

- O Firewall tem conhecimento sobre todas as conexões (orientado a conexão, tabela

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 11/216

1.4 – UTM vs NGFW

Next Generation Firewall ou Firewall de Próxima Geração são definidos como

Unified Threat Management ou Gerenciamento Unificado de Ameaças possui as

- EntryLevel (30-90 series)

A informação acima foi obtida através do link https://www.fortinet.com/products/next-

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 12/216

3.1 - Enterprise Bundle

Oferece todos os serviços de segurança Fortiguard disponíveis: NGFW Application

3.2 - UTM Bundle

Serviços tradicionais de segurança UTM incluindo: NGFW ApplicationControl e IPS,

3.3 - NGFW (App Control& IPS)

Segurança clássica de um Next Generation Firewall com features de Application

FortiGate Threat Protection Bundle

Suporte 24x7, substituição de hardware avancada (NBD), upgrade e atualizações de

Através do Fortigate é possível consultar alguns recursos ativos; vá até a aba

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 13/216

É possível consultar outros detalhes do licenciamento e serviços contratados através

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 14/216

4.1 - Abertura de Tickets

Para realizar a abertura de tickets na Fortinet é necessário ser parceiro da Fortinet;

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 15/216

Após o login, clique na aba Assistance > Create a Ticket.