Você está na página 1de 9

UNIVERSIDADE FEDERAL DO VALE DO SÃO FRANCISCO

HOSPITAL UNIVERSITÁRIO DO VALE DO SÃO FRANCISCO

Tipo do POP.SGPTI.005 - Página 1 de 9


PROCEDIMENTO
Documento:
Título do CONFIGURANDO REGRA DE Emissão:26/10/2020 Próxima revisão:
Documento: ACESSO NO FIREWALL
Versão: 01 26/10/2022

Sumário

1. OBJETIVO..............................................................................................................................................1
2. MATERIAL.............................................................................................................................................1
3. SIGLAS E CONCEITOS............................................................................................................................1
4. DESCRIÇÃO DO PROCEDIMENTO..........................................................................................................3
5. HISTÓRICO DE REVISÃO........................................................................................................................9

1. OBJETIVO
Descrever o procedimento padrão para configurar uma regra de controle de acesso
no firewall Fortigate.

2. MATERIAL
 Firewall Fortigate 1000D – é o firewall utilizado no HU-UNIVASF para controlar o
acesso à Internet e as redes institucionais.
 FortiOS – é a firmware instalada no firewall no qual esse documento é baseado.

3. SIGLAS E CONCEITOS

 DMZ – Demihlitarized zone ou zona desmilitarizada é uma rede confiável onde


são publicados serviços para outras redes não confiáveis com um firewall
fazendo o controle de acesso.
 LAN – Local area network ou rede local é uma rede de abrangência pequena
normalmente pertencente a uma única instituição.
 VDOM – Virtual domain ou domínio virtual é um método de dividir uma unidade do
Fortigate em duas ou mais unidades virtuais funcionando como firewalls
independentes. O firewall do hospital está configurado com duas VDOM – uma para
roteamento das redes internas (vdom_inside) e outra (vdom_borda) para o
roteamento com a Internet e a DMZ.
 SD-WAN – Software-Defined Wide Area Network ou área ampla definida por
software é uma abordagem que permite a virtualização das conexões WAN.
Simplificando o gerencia e a configuração de múltiplos links WAN. No firewall a
UNIVERSIDADE FEDERAL DO VALE DO SÃO FRANCISCO

HOSPITAL UNIVERSITÁRIO DO VALE DO SÃO FRANCISCO

Tipo do POP.SGPTI.005 - Página 2 de 9


PROCEDIMENTO
Documento:
Título do CONFIGURANDO REGRA DE Emissão:26/10/2020 Próxima revisão:
Documento: ACESSO NO FIREWALL
Versão: 01 26/10/2022

configuração de SD-WAN é utilizada para balancear os dois links de Internet – RNP e


ATEL.
 Policy – Política de acesso é uma regra para controle de acesso à rede.
 NAT – Network address translation ou tradução de endereço de rede é uma técnica
que consiste em reescrever endereços IP de origem que passam por um firewall
para permitir que um endereço de rede interno acesse a Internet.
 Topologia de rede – A figura 01 abaixo representa a configuração da topologia de
rede do firewall.

Figura 01 – Topologia de rede


UNIVERSIDADE FEDERAL DO VALE DO SÃO FRANCISCO

HOSPITAL UNIVERSITÁRIO DO VALE DO SÃO FRANCISCO

Tipo do POP.SGPTI.005 - Página 3 de 9


PROCEDIMENTO
Documento:
Título do CONFIGURANDO REGRA DE Emissão:26/10/2020 Próxima revisão:
Documento: ACESSO NO FIREWALL
Versão: 01 26/10/2022

4. DESCRIÇÃO DO PROCEDIMENTO

 Acesse o firewall pelo endereço WEB h ttps://hewab-vp-fw.ebserhnet.ebserh.gov.br.


 Após efetuar o login selecione no combobox, localizado na barra superior à direita,
a VDOM que será configurado a regra. As regras de controle de acesso entre as
redes internas, devem ser configuradas na vdom_inside e as regras para controle de
acesso à Internet e a DMZ devem ser configuradas na vdom_borda.

Figura 02 – Seleção de VDOM

Como exemplo, vamos configurar uma regra na vdom_borda, liberado acesso à


Internet para algumas redes internas. Acesse o menu “Policy & Objects” e o submenu “IPv4 Policy”.
UNIVERSIDADE FEDERAL DO VALE DO SÃO FRANCISCO

HOSPITAL UNIVERSITÁRIO DO VALE DO SÃO FRANCISCO

Tipo do POP.SGPTI.005 - Página 4 de 9


PROCEDIMENTO
Documento:
Título do CONFIGURANDO REGRA DE Emissão:26/10/2020 Próxima revisão:
Documento: ACESSO NO FIREWALL
Versão: 01 26/10/2022

Figura 03 – Menu Policy & Objects e submenu IPv4 Policy

Figura 03 – Menu Policy & Objects e submenu IPv4 Policy

Será listado todas as policy configuradas na vdom. Para criar uma nova regra, clique
no botão “+ Create New”.
UNIVERSIDADE FEDERAL DO VALE DO SÃO FRANCISCO

HOSPITAL UNIVERSITÁRIO DO VALE DO SÃO FRANCISCO

Tipo do POP.SGPTI.005 - Página 5 de 9


PROCEDIMENTO
Documento:
Título do CONFIGURANDO REGRA DE Emissão:26/10/2020 Próxima revisão:
Documento: ACESSO NO FIREWALL
Versão: 01 26/10/2022

Figura 04 – Botão “+Create New”

Será aberto o formulário para configuração da nova regra. Será necessário preencher
os campos abaixo:

 Name – Deverá ser informado um nome para regra. Por exemplo, INTERNET
(LAN<>WAN).
 Incoming Interface – A interface de rede de entrada do tráfego, nesse caso será
a “npu0_vlink0”. Essa é a interface que conecta a vdom_inside a vdom_borda.
 Outgoing Interface – A interface de rede de saída do tráfego, nesse caso será a
“SD-WAN”. Essa interface é onde está configurado os links de Internet da RNP e
da ATEL.
 Source – Origem do tráfego. Pode ser configurada por endereços de rede, grupo
de usuários, tipos de dispositivos ou serviços. Em nosso exemplo, vamos
configurar por endereço de rede.
 Destination – Destino do tráfego. Pode ser configurado por endereços de rede e
por serviço. Em nosso exemplo, vamos configurar por endereço de rede.
UNIVERSIDADE FEDERAL DO VALE DO SÃO FRANCISCO

HOSPITAL UNIVERSITÁRIO DO VALE DO SÃO FRANCISCO

Tipo do POP.SGPTI.005 - Página 6 de 9


PROCEDIMENTO
Documento:
Título do CONFIGURANDO REGRA DE Emissão:26/10/2020 Próxima revisão:
Documento: ACESSO NO FIREWALL
Versão: 01 26/10/2022

 Schedule – Horário programado. É possível configurar um período de tempo em


que a regra será aplicada. Em nosso exemplo, iremos utilizar a opção “always” –
sempre.
 Service – Serviços (portas de acesso). Pode ser configurado com um ou mais
serviços. Em nosso exemplo, iremos configurar FTP, HTTP, HTTPS, IMAP, IMAPS,
POP3, POP3S, SMTP e SMTPS.
 Action – Ação a ser tomada. Pode ser configurada como Accept (Aceitar),
Deny(Negar) e Learn(aprender). Em nosso exemplo, iremos configurar como
Accept.
 NAT – Como a regra é para liberar as redes internas do HU para acessar a
internet, o NAT deverá ser habilitado.
 IP Pool Configuration – Pools de IPs que serão utilizados para o NAT. Para o
nosso exemplo, utilizamos o IP da interface do firewall, use a opção “Use
outgoing interface address”.
 Proxy Options – Essa opção permite configurar um perfil de proxy, não iremos
utilizar em nosso exemplo.
 Antivirus – Essa opção permite configurar um perfil para antivírus, iremos
utilizar o perfil padrão “default”.
 Web filter – Essa opção permite configurar um perfil para filtros de endereços
web, iremos utilizar o perfil padrão “web_porn”.
 DNS Filter – Essa opção permite configurar um perfil de DNS, não iremos utilizar
em nosso exemplo.
 IPS – Essa opção permite configurar um perfil de IPS, não iremos utilizar em
nosso exemplo.
 Anti-spam – Essa opção permite configurar um perfil de anti-spam, não iremos
utilizar em nosso exemplo.
 Web Application Firewall – Essa opção permite configurar um perfil de WAF,
não iremos utilizar em nosso exemplo.
 SSL Inspection – Essa opção permite configurar um perfil para inspeção de
pacotes SSL, iremos utilizar a opção “certification-inspection”.
 Log Allowed Traffic – Essa opção é para sinalizar quais acessos serão registrados
no LOG, utilizaremos a opção “All Sessions” – todos os acessos.
 Generate Logs when Session Starts – Essa opção gera o LOG com mais detalhes,
porém, com um custo maior de espaço em disco. Não iremos utilizar em nosso
exemplo.
 Capture Packets – Se os pacotes devem ser capturados em formato pcap, ideal
para troubleshooting, porém tem um custo alto de espaço em disco. Não
iremos utilizar em nosso exemplo.
 Comments – Campo texto disponível para ser usado livremente.
 Enable this policy – Ativar ou desativar a regra.
UNIVERSIDADE FEDERAL DO VALE DO SÃO FRANCISCO

HOSPITAL UNIVERSITÁRIO DO VALE DO SÃO FRANCISCO

Tipo do POP.SGPTI.005 - Página 7 de 9


PROCEDIMENTO
Documento:
Título do CONFIGURANDO REGRA DE Emissão:26/10/2020 Próxima revisão:
Documento: ACESSO NO FIREWALL
Versão: 01 26/10/2022

As figuras abaixam ilustram o nosso exemplo:

Figura 05 – Exemplo

Figura 06 – Exemplo
UNIVERSIDADE FEDERAL DO VALE DO SÃO FRANCISCO

HOSPITAL UNIVERSITÁRIO DO VALE DO SÃO FRANCISCO

Tipo do POP.SGPTI.005 - Página 8 de 9


PROCEDIMENTO
Documento:
Título do CONFIGURANDO REGRA DE Emissão:26/10/2020 Próxima revisão:
Documento: ACESSO NO FIREWALL
Versão: 01 26/10/2022

Figura 07 – Exemplo

Figura 07 – Exemplo

 Clique em OK para salvar e criar a policy.


 O Fortigate lê as regras em uma estrutura de priorização “Top Down”, ou seja, a regra
de cima terá prioridade sobre as regras de baixo.
UNIVERSIDADE FEDERAL DO VALE DO SÃO FRANCISCO

HOSPITAL UNIVERSITÁRIO DO VALE DO SÃO FRANCISCO

Tipo do POP.SGPTI.005 - Página 9 de 9


PROCEDIMENTO
Documento:
Título do CONFIGURANDO REGRA DE Emissão:26/10/2020 Próxima revisão:
Documento: ACESSO NO FIREWALL
Versão: 01 26/10/2022

5. HISTÓRICO DE REVISÃO

VERSÃO DATA DESCRIÇÃO DA ALTERAÇÃO

1ª versão 26/10/2020 Versão inicial do documento

Validação

Data: / /
Laiany Nayara Barros Gonçalves
(Chefe da Unidade de Segurança do Paciente)

Elaboração

Andrey Tavares Da Silva

Diego Sobrinho Souza Data: / /

Helder Nunes Lopes

Renato Di Paula Gomes Cruz

Análise / Aprovação

Data: / /
Alan dos Santos Martins

Você também pode gostar