FortiGate Security 7.0 Study Guide-Online-1-63

Machine Translated by Google
NÃO REIMPRIMA ©
FORTINET
Segurança FortiGate
Guia de estudo
para FortiOS 7.0
NÃO REIMPRIMA © FORTINET
Treinamento Fortinet
https://training.fortinet.com
Biblioteca de Documentos Fortinet
https://docs.fortinet.com
Base de conhecimento da Fortinet
https://kb.fortinet.com
Comunidade de usuários Fortinet Fuse
https://fusecommunity.fortinet.com/home
Fóruns Fortinet
https://forum.fortinet.com
Suporte Fortinet
https://support.fortinet.com
Laboratórios FortiGuard
https://www.fortiguard.com
Programa Fortinet Network Security Expert (NSE)
https://training.fortinet.com/local/staticpage/view.php?page=certifications
Fortinete | Pearson VUE
https://home.pearsonvue.com/fortinet
Opinião
E-mail: askcourseware@fortinet.com
26/01/2022
NÃO REIMPRIMA
© FORTINET
ÍNDICE
Registo de Alterações 4
01 Introdução e Configuração Inicial 5
02 Tecido de Segurança 61
03 Políticas de Firewall 105
04 Tradução de endereço de rede (NAT) 152

05 Autenticação do Firewall 205
06 Registro e Monitoramento 264
07 Operações de Certificado 309
08 Filtragem da Web 361
09 Controle de Aplicação 427

10 antivírus 472
11 Prevenção de Intrusão e Negação de Serviço 520
12 SSL VPN 573
NÃO REIMPRIMA
© FORTINET
Registo de Alterações
Esta tabela inclui atualizações do Guia de estudo do FortiGate Security 7.0 datado de 07/06/2021 para o documento atualizado
versão datada de 26/01/2022.
Mudar Localização
Várias correções de formatação Guia completo
l Slides removidos: métodos de administração, comandos CLI básicos, dois fatores

Autenticação, agregação de links Lição 1
l Slides adicionados: relacionados a VDOMs
Comando CLI atualizado update-ffdb Lição 3: Slide 15
Exemplo de slide de políticas de mixagem atualizadas Lição 5: Slide 37
notas fixas Lição 10: Slide 14
notas fixas Lição 11: Slide 8
Reduza o conteúdo SSL VPN e adicione a seção ZTNA Lição 12
Guia de estudo do FortiGate Security 7.0 4

Machine Translated by Google Introdução e Configuração Inicial
NÃO REIMPRIMA
© FORTINET
Nesta lição, você aprenderá sobre os fundamentos da administração do FortiGate e os componentes do FortiGate
que você pode habilitar para estender a funcionalidade. Esta lição também inclui detalhes sobre como e onde o
FortiGate se encaixa em sua arquitetura de rede existente.

NÃO REIMPRIMA ©
FORTINET
Nesta lição, você explorará os tópicos mostrados neste slide.

NÃO REIMPRIMA
© FORTINET
Depois de concluir esta seção, você será capaz de atingir os objetivos mostrados neste slide.
Ao demonstrar competência na identificação dos recursos de design da plataforma do FortiGate, recursos do

FortiGate em redes virtualizadas e na nuvem, bem como as unidades de processamento de segurança do
FortiGate, você será capaz de descrever os componentes fundamentais do FortiGate e explicar os tipos de tarefas que o FortiG

NÃO REIMPRIMA
© FORTINET
No passado, a maneira comum de proteger uma rede era proteger o perímetro e instalar um firewall no ponto de
entrada. Os administradores de rede costumavam confiar em tudo e em todos dentro do perímetro.
Agora, o malware pode facilmente contornar qualquer firewall de ponto de entrada e entrar na rede. Isso pode
acontecer por meio de um dispositivo USB infectado ou do dispositivo pessoal comprometido de um
funcionário conectado à rede corporativa. Além disso, como os ataques podem vir de dentro da rede, os
administradores de rede não podem mais confiar inerentemente em usuários e dispositivos internos.
Além do mais, as redes de hoje são ambientes altamente complexos cujas fronteiras estão mudando constantemente.
As redes são executadas verticalmente da LAN para a Internet e horizontalmente da rede física para uma rede
virtual privada e para a nuvem. Uma força de trabalho móvel e diversificada (funcionários, parceiros e clientes)
acessando recursos de rede, nuvens públicas e privadas, IoT e programas BYOD conspiram para aumentar o número
de vetores de ataque contra sua rede.
Em resposta a esse ambiente altamente complexo, os firewalls se tornaram dispositivos multifuncionais robustos
que combatem uma série de ameaças à sua rede. Assim, o FortiGate pode atuar em diferentes modos ou funções
para atender a diferentes requisitos. Por exemplo, o FortiGate pode ser implantado como um firewall de data center
cuja função é monitorar solicitações de entrada para servidores e protegê-los sem aumentar a latência para o
solicitante. Ou o FortiGate pode ser implantado como um firewall de segmentação interna como meio de conter uma violação de
O FortiGate também pode funcionar como servidores DNS e DHCP e ser configurado para fornecer serviços de filtro
da web, antivírus e IPS.

NÃO REIMPRIMA
© FORTINET
No diagrama de arquitetura mostrado neste slide, você pode ver como as plataformas FortiGate adicionam força, sem
comprometer a flexibilidade. Como dispositivos de segurança separados e dedicados, o FortiGate ainda é modular internamente . Mais:
• Os dispositivos adicionam duplicação. Às vezes, dedicação não significa eficiência. Se estiver sobrecarregado, pode-se
dispositivo emprestar RAM livre de nove outros? Você deseja configurar políticas, registro e roteamento em 10
dispositivos separados? 10 vezes a duplicação traz 10 vezes o benefício ou é um aborrecimento? Para empresas
de pequeno a médio porte ou filiais corporativas, o gerenciamento unificado de ameaças (UTM) geralmente é uma
solução superior, em comparação com dispositivos dedicados separados.
• O hardware FortiGate não está apenas pronto para uso. É de nível de operadora. A maioria dos modelos FortiGate possui
um ou mais circuitos especializados, chamados ASICs, que são projetados pela Fortinet. Por exemplo, um chip CP ou
NP lida com criptografia e encaminhamento de pacotes com mais eficiência. Comparado a um dispositivo de
propósito único com apenas uma CPU, o FortiGate pode ter um desempenho dramaticamente melhor. Isso é
especialmente crítico para data centers e operadoras onde a taxa de transferência é crítica para os negócios.
(A exceção? As plataformas de virtualização — VMware, Citrix Xen, Microsoft ou Oracle Virtual Box — têm vCPUs
de uso geral. Mas a virtualização pode valer a pena devido a outros benefícios, como computação distribuída e
segurança baseada em nuvem.)
• O FortiGate é flexível. Se tudo o que você precisa é de firewall e antivírus rápidos, o FortiGate não exigirá que você
desperdice CPU, RAM e eletricidade em outros recursos. Em cada política de firewall, você pode habilitar ou desabilitar
UTM e módulos de firewall de última geração. Além disso, você não pagará mais para adicionar licenças
de estação VPN posteriormente. • FortiGate coopera. A preferência por padrões abertos em vez de protocolos
proprietários significa menos dependência de fornecedores e mais opções para integradores de sistemas. E, à
medida que sua rede cresce, o FortiGate pode aproveitar outros produtos Fortinet, como FortiSandbox e FortiWeb, para
distribuir processamento para segurança mais profunda e desempenho ideal - uma abordagem total do Security Fabric.

Introdução e Configuração Inicial
NÃO REIMPRIMA
© FORTINET
As máquinas virtuais (VMs) FortiGate têm os mesmos recursos que os dispositivos físicos FortiGate, exceto pela aceleração de
hardware. Por que? Primeiro, o software da camada de abstração de hardware para hipervisores é fabricado pela VMware, Xen
e outros fabricantes de hipervisores, não pela Fortinet. Esses outros fabricantes não fabricam os chips SPU proprietários
da Fortinet. Mas há outro motivo também. A finalidade de CPUs virtuais genéricas e outros chips virtuais para hypervisors é
abstrair os detalhes de hardware. Dessa forma, todos os sistemas operacionais convidados da VM podem ser executados em
uma plataforma comum, independentemente do hardware diferente no qual os hipervisores estão instalados. Ao contrário dos
vCPUs ou vGPUs que usam RAM e vCPUs genéricos e não ideais para abstração, os chips SPU são circuitos otimizados especializados.
Portanto, um chip ASIC virtualizado não teria os mesmos benefícios de desempenho de um chip SPU físico.
Se o desempenho em hardware equivalente for menor, você pode se perguntar: por que alguém usaria uma VM FortiGate? Em
redes de grande escala que mudam rapidamente e podem ter muitos inquilinos, poder de processamento e distribuição
equivalentes podem ser alcançados usando quantidades maiores de hardware de propósito geral mais barato. Além disso,
pode valer a pena trocar algum desempenho por outros benefícios. Você pode se beneficiar de rede e dispositivo mais rápidos
implantação e desmontagem.
O FortiGate VMX e o FortiGate Connector para Cisco ACI são versões especializadas do FortiOS e uma API que permite orquestrar
mudanças rápidas de rede por meio de padrões, como OpenStack para rede definida por software (SDN). • A VM do FortiGate é
implantada como uma
VM convidada no hypervisor.
• O FortiGate VMX é implantado dentro das redes virtuais de um hipervisor, entre VMs convidadas. • FortiGate
Connector para Cisco ACI permite que a ACI implemente VMs FortiGate físicas ou virtuais para norte-sul
tráfego.

NÃO REIMPRIMA
© FORTINET
Todo o hardware de aceleração de hardware da Fortinet foi renomeado como unidades de processamento de segurança
(SPUs). Isso inclui processadores NPx e CPx.
A maioria dos modelos FortiGate possui hardware de aceleração especializado, chamado SPUs, que pode descarregar
o processamento intensivo de recursos dos recursos de processamento principal (CPU). A maioria dos dispositivos
FortiGate inclui processadores de conteúdo (CPs) especializados que aceleram uma ampla gama de processos de
segurança importantes, como verificação de vírus, detecção de ataques, criptografia e descriptografia. (Apenas modelos
FortiGate básicos selecionados não incluem um processador CP.)
Os dados SPU e nTurbo agora estão visíveis em vários lugares na GUI. Por exemplo, as Sessões ativas
pop-up de coluna na lista de políticas de firewall e no widget do painel Sessões. A contabilidade por sessão é um recurso
de registro que permite ao FortiGate relatar os bytes corretos por números de pacotes por sessão para sessões descarregadas
para um processador NP7, NP6 ou NP6lite.
O exemplo a seguir mostra o widget do painel Sessões rastreando sessões SPU e nTurbo. As sessões atuais mostram o
número total de sessões, SPU mostra a porcentagem dessas sessões que são SPU
sessões, e Nturbo mostra a porcentagem que são sessões nTurbo.
O NTurbo descarrega sessões de firewall que incluem perfis de segurança baseados em fluxo para processadores de rede NP6 ou NP7.
Sem o NTurbo, ou com o NTurbo desativado, todas as sessões de firewall que incluem perfis de segurança baseados em
fluxo são processadas pela CPU do FortiGate.

NÃO REIMPRIMA
© FORTINET
O processador de conteúdo Fortinet (CP9) funciona fora do fluxo direto de tráfego, fornecendo alta velocidade
serviços de criptografia e inspeção de conteúdo. Isso libera as empresas para implantar segurança avançada sempre que necessário,
sem afetar a funcionalidade da rede. CP8 e CP9 fornecem um caminho rápido para o tráfego inspecionado pelo IPS, incluindo
sessões com inspeção baseada em fluxo.
Os processadores CP também aceleram tarefas intensivas baseadas em proxy:

• Criptografia e descriptografia (SSL)
• Antivírus
Os processadores de rede FortiSPU trabalham no nível da interface para acelerar o tráfego descarregando o tráfego da CPU principal.
Os modelos que suportam FortiOS 6.4 ou posterior contêm processadores de rede NP6, NP6lite e NP7.
A Fortinet integra processadores de conteúdo e rede junto com uma CPU baseada em RISC em um único processador
conhecido como SoC4 para dispositivos de segurança FortiGate de nível básico usados para empresas distribuídas. Isso
simplifica o design do dispositivo e permite um desempenho inovador sem comprometer a segurança.

NÃO REIMPRIMA ©
FORTINET

NÃO REIMPRIMA
© FORTINET
Bom trabalho! Agora você entende alguns dos recursos de alto nível do FortiGate.
Agora, você aprenderá como realizar a configuração inicial do FortiGate e saberá por que você pode decidir usar
uma configuração em detrimento de outra.

NÃO REIMPRIMA
© FORTINET
Ao demonstrar competência na configuração do FortiGate, você poderá usar o dispositivo de forma eficaz
em sua própria rede.

NÃO REIMPRIMA
© FORTINET
E a arquitetura de rede? Onde o FortiGate se encaixa?
Ao implantar o FortiGate, você pode escolher entre dois modos de operação: modo NAT ou modo transparente.
• No modo NAT, o FortiGate roteia pacotes com base na Camada 3, como um roteador. Cada uma de suas redes lógicas
interfaces tem um endereço IP e o FortiGate determina a interface de saída ou saída com base no endereço IP de
destino e entradas em suas tabelas de roteamento.
• No modo transparente, o FortiGate encaminha pacotes na Camada 2, como um switch. Suas interfaces não possuem IP
endereços e o FortiGate identifica a interface de saída ou saída com base no endereço MAC de destino.
O dispositivo em modo transparente possui um endereço IP usado para tráfego de gerenciamento.
As interfaces podem ser exceções ao modo de operação do roteador versus switch, individualmente.
Ao habilitar domínios virtuais (VDOMs) no FortiGate, você pode configurar cada VDOM para o modo NAT ou modo
transparente, independentemente do modo de operação de outros VDOMs no FortiGate. Por padrão, os VDOMs são
desativados no dispositivo FortiGate, mas ainda há um VDOM ativo: o VDOM raiz . Está sempre lá em segundo plano. Quando
os VDOMs são desabilitados, o modo NAT ou modo transparente se relaciona com o VDOM raiz.
VDOMs são um método de dividir um dispositivo FortiGate em dois ou mais dispositivos virtuais que funcionam como vários
dispositivos independentes. Os VDOMs podem fornecer políticas de firewall separadas e, no modo NAT, completamente separadas
configurações de roteamento e serviços VPN para cada rede ou organização conectada. No modo transparente, o VDOM aplica
varredura de segurança ao tráfego e é instalado entre a rede interna e a externa
rede.
Por padrão, um VDOM está no modo NAT quando é criado. Você pode alterná-lo para o modo transparente, se necessário.

NÃO REIMPRIMA
© FORTINET
O modo de conversão de endereços de rede (NAT) é o modo de operação padrão. Quais são as outras
configurações padrão de fábrica? Depois de remover o FortiGate de sua caixa, o que você faz a seguir?
Agora você verá como configurou o FortiGate.
Conecte o cabo de rede do computador à porta 1 ou às portas do switch interno (no modelo básico). Para modelos
de gama alta e média, conecte à interface MGMT. Na maioria dos modelos básicos, há um servidor DHCP nessa
interface, portanto, se as configurações de rede do seu computador tiverem DHCP ativado, seu computador
deverá obter um IP automaticamente e você poderá iniciar a configuração.
Para acessar a GUI no FortiGate ou FortiWifi, abra um navegador da Web e visite https://192.168.1.99.
As informações de login padrão são de conhecimento público. Nunca deixe a senha padrão em branco. Sua rede
é tão segura quanto sua conta de administrador do FortiGate. Depois de fazer login com detalhes de login padrão,
você verá uma mensagem para alterar a senha em branco padrão para a senha do usuário administrador. Antes de
conectar o FortiGate à sua rede, você deve definir uma senha complexa. Você também será solicitado a aplicar
configurações adicionais, como nome do host, configuração do painel, registro no FortiCare e assim por diante.
Todos os modelos FortiGate possuem uma porta de console e/ou porta de gerenciamento USB. A porta fornece
acesso CLI sem uma rede. Você pode acessar a CLI usando o widget do console CLI na GUI ou a partir de um
emulador de terminal, como PuTTY ou Tera Term.

NÃO REIMPRIMA
© FORTINET
Alguns serviços do FortiGate se conectam a outros servidores, como o FortiGuard, para funcionar. Os serviços de
assinatura do FortiGuard fornecem ao FortiGate inteligência atualizada sobre ameaças. O FortiGate usa o FortiGuard por:
• Solicitar periodicamente pacotes que contenham um novo mecanismo e assinaturas

• Consultar o FDN em uma URL ou nome de host individual
Por padrão, a localização do servidor FortiGuard é definida para qualquer lugar que o FortiGate selecione um servidor com
base na carga do servidor, de qualquer parte do mundo. No entanto, você tem a opção de alterar a localização do servidor
FortiGuard para os EUA. Nesse caso, o FortiGate seleciona um servidor FortiGuard baseado nos EUA.
As consultas são em tempo real; ou seja, o FortiGate pergunta ao FDN toda vez que verifica spam ou sites filtrados.
As consultas do FortiGate, em vez de baixar o banco de dados, devido ao tamanho e à frequência das alterações que ocorrem
no banco de dados. Além disso, você pode selecionar consultas para usar UDP ou HTTPs para transporte; os protocolos não
são projetados para tolerância a falhas, mas para velocidade. Portanto, as consultas exigem que seu dispositivo
FortiGate tenha uma conexão confiável com a Internet.
Pacotes, como antivírus e IPS, são menores e não mudam com tanta frequência, por isso são baixados (em muitos casos)
apenas uma vez por dia. Eles são baixados usando TCP para transporte confiável. Depois que o banco de dados é
baixado, seus recursos FortiGate associados continuam a funcionar, mesmo que o FortiGate não tenha conectividade confiável
com a Internet. No entanto, você ainda deve tentar evitar interrupções durante os downloads - se o seu dispositivo FortiGate
tentar repetidamente baixar as atualizações, ele não poderá detectar novas ameaças durante esse período.

NÃO REIMPRIMA
© FORTINET
No FortiOS 6.4 ou posterior, a verificação de certificado SSL de terceiros e a verificação de grampeamento OCSP foram
implementadas para todos os servidores FortiGuard. Por padrão, o modo de acesso FortiGuard é anycast no FortiGate, para
otimizar o desempenho do roteamento para os servidores FortiGuard. O servidor FortiGuard tem um endereço IP para corresponder
ao seu nome de domínio. O FortiGate se conecta com um único endereço de servidor, independentemente de onde o dispositivo FortiGate estej
O nome de domínio de cada serviço FortiGuard é o nome comum no certificado desse serviço. O certificado é assinado por
uma CA intermediária de terceiros. O servidor FortiGuard usa a técnica de grampeamento Online Certificate Status Protocol (OCSP),
para que o FortiGate sempre possa validar o certificado do servidor FortiGuard com eficiência. O FortiGate concluirá o
handshake TLS apenas com um servidor FortiGuard que forneça um bom status OCSP para seu certificado. Qualquer
outro status resulta em uma conexão SSL com falha.
Os servidores FortiGuard consultam o respondente OCSP da CA a cada quatro horas e atualizam seu status OCSP. Se o FortiGuard
não conseguir alcançar o respondente OCSP, ele manterá o último status OCSP conhecido por sete dias.
FortiGate aborta a conexão com o servidor FortiGuard se:

• O CN no certificado do servidor não corresponde ao nome de domínio resolvido do DNS.
• O status do OCSP não é bom.
• O emissor-CA é revogado pelo root-CA.
A configuração anycast do modo de acesso FortiGuard força o processo de classificação a usar o protocolo HTTPS e a porta 443.
A tabela neste slide mostra uma lista de alguns dos servidores FortiGuard e seus nomes de domínio e endereços IP.

NÃO REIMPRIMA ©
FORTINET

NÃO REIMPRIMA
© FORTINET
Bom trabalho! Agora você entende como realizar a configuração inicial do FortiGate e por que você pode decidir
usar uma configuração em detrimento de outra. Agora, você aprenderá sobre administração básica.

NÃO REIMPRIMA
© FORTINET
Depois de concluir esta lição, você será capaz de atingir os objetivos mostrados neste slide.
Ao demonstrar competência em administração básica, você poderá gerenciar melhor os usuários administrativos
e implementar práticas de segurança mais fortes em relação ao acesso administrativo.

NÃO REIMPRIMA
© FORTINET
Seja qual for o método que você usar, comece fazendo login como admin. Comece criando contas separadas para
outros administradores. Para fins de segurança e rastreamento, é uma prática recomendada que cada administrador
tenha sua própria conta.
Na lista suspensa Criar novo, você pode selecionar Administrador ou Administrador da API REST. Normalmente, você
selecionará Administrador e atribuirá um Perfil de administrador, que especifica as permissões
administrativas desse usuário. Você pode selecionar REST API Admin para adicionar um usuário administrativo que
usaria um aplicativo personalizado para acessar o FortiGate com uma API REST. O aplicativo permite que você
faça login no FortiGate e execute qualquer tarefa que seu perfil de administrador atribuído permitir.
Outras opções não mostradas aqui incluem:

• Em vez de criar contas no próprio FortiGate, você pode configurar o FortiGate para consultar um servidor de
autenticação remota.
• Em vez de senhas, seus administradores podem autenticar usando certificados digitais emitidos por
seu servidor interno de autoridade de certificação.
Se você usar senhas, verifique se elas são fortes e complexas. Por exemplo, você pode usar várias palavras
intercaladas com letras maiúsculas variadas e inserir números e pontuação aleatoriamente. Não use senhas curtas ou
senhas que contenham nomes, datas ou palavras existentes em qualquer dicionário. Estes são suscetíveis a
ataques de força bruta. Para auditar a força de suas senhas, use ferramentas como L0phtcrack (http://
www.l0phtcrack.com/) ou John the Ripper (http://www.openwall.com/john/). O risco de um ataque de força bruta aumenta
se você conectar a porta de gerenciamento à Internet.
Para restringir o acesso a recursos específicos, você pode atribuir permissões.

NÃO REIMPRIMA
© FORTINET
Ao atribuir permissões a um perfil de administrador, você pode especificar leitura e gravação, somente leitura ou
nenhum para cada área.
Por padrão, existe um perfil especial chamado super_admin, que é usado pela conta chamada admin. Você não
pode mudá-lo. Ele fornece acesso total a tudo, tornando a conta de administrador semelhante a um superusuário root
conta.
O prof_admin é outro perfil padrão. Ele também fornece acesso total, mas, ao contrário do super_admin, aplica-se
apenas ao seu domínio virtual - não às configurações globais do FortiGate. Além disso, você pode alterar suas permissões.
Você não é obrigado a usar um perfil padrão. Você poderia, por exemplo, criar um perfil chamado auditor_access
com permissões somente leitura. Restringir as permissões de uma pessoa às necessárias para seu trabalho é uma
prática recomendada, porque mesmo que essa conta seja comprometida, o comprometimento do seu dispositivo
FortiGate (ou rede) não é total. Para fazer isso, crie perfis de administrador e selecione o perfil apropriado ao
configurar uma conta.
O recurso Override Idle Timeout permite que o valor admintimeout, sob config system accprofile, seja substituído por
perfil de acesso. Você pode configurar perfis de administrador para aumentar o tempo limite de inatividade e
facilitar o uso da GUI para monitoramento central.
Observe que você pode fazer isso por perfil, para evitar que a opção seja definida globalmente de forma não intencional.

NÃO REIMPRIMA
© FORTINET
Quais são os efeitos dos perfis de administrador?
Na verdade, é mais do que apenas acesso de leitura ou gravação.
Dependendo do tipo de perfil de administrador que você atribui, um administrador pode não conseguir acessar
todo o dispositivo FortiGate. Por exemplo, você pode configurar uma conta que pode visualizar apenas mensagens de log.
Os administradores também podem não conseguir acessar as configurações globais fora de seu domínio virtual
atribuído. Domínios virtuais (VDOMs) são uma forma de subdividir os recursos e configurações em um único FortiGate.
Administradores com um escopo menor de permissões não podem criar, ou mesmo visualizar, contas
com mais permissões. Assim, por exemplo, um administrador usando prof_admin ou um perfil personalizado não
pode ver ou redefinir a senha de contas que usam o perfil super_admin.

NÃO REIMPRIMA
© FORTINET
Para proteger ainda mais o acesso à sua segurança de rede, use a autenticação de dois fatores.
A autenticação de dois fatores significa que, em vez de usar um método para verificar sua identidade – geralmente uma
senha ou certificado digital – sua identidade é verificada por dois métodos. No exemplo mostrado neste slide, a
autenticação de dois fatores inclui uma senha mais um número RSA gerado aleatoriamente de um FortiToken
sincronizado com o FortiGate.

NÃO REIMPRIMA
© FORTINET
O que acontece se você esquecer a senha da sua conta de administrador ou se um funcionário mal-intencionado a alterar?
Este método de recuperação está disponível em todos os dispositivos FortiGate e até mesmo em alguns dispositivos não
FortiGate, como o FortiMail. Não há nenhum procedimento de manutenção na VM. O administrador deve reverter para um
instantâneo ou reprovisionar a VM e restaurar a configuração. É uma conta temporária , disponível apenas por meio da porta do
console local e somente após uma reinicialização forçada - interrompendo a energia desconectando ou desligando a energia
e, em seguida, restaurando-a. Você deve desligar fisicamente o FortiGate e ligá-lo novamente, não reiniciá-lo por meio da CLI.
O login do mantenedor está disponível para login apenas por cerca de 60 segundos após a conclusão da reinicialização (ou
menos tempo em modelos mais antigos).
Se você não puder garantir a segurança física ou tiver requisitos de conformidade, poderá desativar o mantenedor
conta. Tenha cuidado se você desabilitar o mantenedor e perder sua senha de administrador , porque você não pode recuperar o
acesso ao seu dispositivo FortiGate. Para recuperar o acesso neste cenário, você precisará recarregar o dispositivo. Isso redefinirá
o dispositivo para as configurações padrão de fábrica.

NÃO REIMPRIMA
© FORTINET
Outra maneira de proteger o FortiGate é definir os hosts ou sub-redes que são fontes confiáveis para fazer login.
Neste exemplo, configuramos 10.0.1.10 como o único IP confiável para o administrador a partir do qual o administrador faz
login. Se o administrador tentar fazer login de uma máquina com qualquer outro IP, ele receberá uma mensagem
de falha de autenticação.
Observe que, se os hosts confiáveis estiverem configurados em todos os administradores e um administrador estiver
tentando fazer login de um endereço IP que não esteja definido em nenhum dos hosts confiáveis para nenhum administrador,
o administrador não obterá a página de login, mas receberá a mensagem: “Não foi possível contatar o servidor”.
Se você deixar qualquer endereço IPv4 como 0.0.0.0/0, significa que conexões de qualquer IP de origem serão permitidas.
Por padrão, 0.0.0.0/0 é a configuração para o administrador, embora você queira alterar isso.
Observe que cada conta pode definir seu host de gerenciamento ou sub-rede de maneira diferente. Isso é especialmente útil se você
estão configurando VDOMs no FortiGate, onde os administradores do VDOM podem nem pertencer à mesma
organização. Esteja ciente de qualquer NAT que ocorra entre o dispositivo desejado e o FortiGate. Você pode facilmente
impedir que um administrador faça login a partir do endereço IP desejado se ele for posteriormente NATed para outro
endereço antes de chegar ao FortiGate, anulando assim o propósito dos hosts confiáveis.

NÃO REIMPRIMA
© FORTINET
Você também pode personalizar os números de porta dos protocolos administrativos.
Você pode escolher se deseja permitir sessões simultâneas. Você pode usar sessões simultâneas para evitar sobrescrever
configurações acidentalmente, se normalmente mantém várias guias do navegador abertas ou acidentalmente deixa uma sessão CLI
aberta sem salvar as configurações, então inicie uma sessão GUI e edite acidentalmente as mesmas configurações de forma diferente.
Para maior segurança, use apenas protocolos seguros e reforce a complexidade e as alterações de senha.
As configurações de tempo limite de inatividade especificam o número de minutos antes que uma sessão inativa do administrador
atinja o tempo limite (o padrão é cinco minutos). Um tempo limite de inatividade menor é mais seguro, mas aumentar o cronômetro
pode ajudar a reduzir a chance de os administradores serem desconectados durante o teste de alterações.
Você pode substituir a configuração de tempo limite ocioso por perfil de administrador usando a configuração Substituir tempo limite ocioso.
Você pode configurar um perfil de administrador para aumentar o tempo limite de inatividade e facilitar o uso da GUI para monitoramento
central. A configuração Override Idle Timeout permite que o valor admintimeout, em config system accprofile, seja substituído
por perfil de acesso.
Observe que você pode fazer isso por perfil, para evitar que a opção seja definida globalmente de forma não intencional.

NÃO REIMPRIMA
© FORTINET
Você definiu a sub-rede de gerenciamento — ou seja, os hosts confiáveis — para cada conta de administrador. Como você
ativa ou desativa os protocolos de gerenciamento?
Isso é específico para cada interface. Por exemplo, se seus administradores se conectam ao FortiGate apenas da porta
3, você deve desabilitar o acesso administrativo em todas as outras portas. Isso evita tentativas de força bruta e também
acesso inseguro. Seus protocolos de gerenciamento são HTTPS, HTTP, PING e SSH. Por padrão, a opção HTTP e TELNET
não é visível na GUI.
Considere a localização da interface em sua rede. Habilitar o PING em uma interface interna é útil para solução de
problemas. No entanto, se for uma interface externa (em outras palavras, exposta à Internet), o protocolo PING poderá
expor o FortiGate a um ataque DoS. Você deve desativar os protocolos que não criptografam o fluxo de dados, como HTTP
e TELNET. Os protocolos IPv4 e IPv6 são separados. É possível ter endereços IPv4 e IPv6 em uma interface, mas responder
apenas a pings no IPv6.
A conexão do Security Fabric inclui CAPWAP e FortiTelemetry. Protocolos como FortiTelemetry não são para acesso
administrativo, mas, como acesso GUI e CLI, são protocolos onde os pacotes têm FortiGate como IP de destino. Use o
protocolo FortiTelemetry especificamente para gerenciar o FortiClient e o Security Fabric.
Use o protocolo CAPWAP para FortiAP, FortiSwitch e FortiExtender quando forem gerenciados pelo FortiGate.
Use o protocolo FMG-Access especificamente para se comunicar com o FortiManager quando esse servidor estiver
gerenciando vários dispositivos FortiGate. Use o protocolo de contabilidade RADIUS quando o FortiGate precisar
escutar e processar pacotes de contabilidade RADIUS para autenticação de logon único. FTM, ou FortiToken Mobile
push, oferece suporte a solicitações de autenticação de segundo fator de um aplicativo móvel FortiToken.
Quando você atribui as funções de interface LAN ou WAN às interfaces apropriadas, seu FortiGate usa o Link Layer
Discovery Protocol (LLDP) para detectar se há um FortiGate upstream em sua rede. Se o FortiGate descobrir um
FortiGate upstream, você será solicitado a configurar o dispositivo FortiGate upstream para ingressar no Security
Fabric.

NÃO REIMPRIMA
© FORTINET
O FortiGate possui centenas de recursos. Se você não usa todos eles, ocultar os recursos que você não usa
facilita o foco no seu trabalho.
Ocultar um recurso na GUI não o desativa. Ainda é funcional e ainda pode ser configurado usando a CLI.
Alguns recursos avançados ou menos usados, como IPv6, ficam ocultos por padrão.
Para mostrar os recursos ocultos, clique em Sistema > Visibilidade do recurso.

NÃO REIMPRIMA
© FORTINET
Quando o FortiGate está operando no modo NAT, toda interface que lida com o tráfego deve ter um endereço IP. Quando no
modo NAT, o FortiGate pode usar o endereço IP para originar o tráfego, se precisar iniciar ou responder a uma sessão e
como endereço de destino para dispositivos que tentam entrar em contato com o FortiGate ou rotear o tráfego por meio
dele. Existem várias maneiras de obter um endereço IP:
• Manualmente
• Automaticamente, usando DHCP ou PPPoE (disponível na CLI)

NÃO REIMPRIMA
© FORTINET
O FortiGate pode usar o FortiIPAM para atribuir automaticamente endereços IP com base no tamanho de rede
configurado para a interface do FortiGate. O FortiIPAM fornece uma solução de gerenciamento de endereço IP local ao
integrar recursos de rede com o FortiGate e atribui automaticamente sub-redes ao FortiGate para evitar que
endereços IP duplicados se sobreponham no mesmo Security Fabric. Observe que o FortiIPAM é um serviço pago.
Há uma exceção ao requisito de endereço IP: o tipo de interface One-Arm Sniffer. esta interface é
não atribuído um endereço.
Quando você seleciona o One-Arm Sniffer habilitando um sniffer na CLI, a interface não está alinhada com o fluxo
de tráfego. Em vez disso, ele está recebendo uma cópia do tráfego de uma porta espelhada em um switch. A
interface opera em modo promíscuo, verificando o tráfego que vê, mas não consegue fazer alterações porque o
pacote original já foi processado pelo switch. Como resultado, o modo farejador de um braço é usado principalmente na prova de
conceito (POC), ou em ambientes onde os requisitos corporativos determinam que o tráfego não deve ser alterado,
apenas registrado. Uma vez ativado, uma opção One-Arm Sniffer aparece na configuração do modo de endereçamento de uma in

NÃO REIMPRIMA
© FORTINET
Quantas vezes você já viu problemas de rede causados por um servidor DHCP — não um cliente — habilitado na interface
WAN?
Você pode configurar a função de interface. As funções mostradas na GUI são as configurações de interface usuais para
essa parte de uma topologia. As configurações que não se aplicam à função atual estão ocultas na GUI. (Todas as
configurações estão sempre disponíveis na CLI, independentemente da função.) Isso evita erros de configuração acidentais.
Por exemplo, quando a função é configurada como WAN, não há servidor DHCP e configuração de detecção
de dispositivo disponível. A detecção de dispositivos geralmente é usada para detectar dispositivos internamente em sua LAN.
Se houver um caso incomum e você precisar usar uma opção oculta pela função atual, sempre poderá mudar a função
para Indefinido. Isso exibe todas as opções.
Para ajudá-lo a lembrar o uso de cada interface, você pode fornecer aliases a elas. Por exemplo, você pode chamar port3
internal_network. Isso pode ajudar a tornar sua lista de políticas mais fácil de compreender.

NÃO REIMPRIMA
© FORTINET
Antes de integrar o FortiGate à sua rede, você deve configurar um gateway padrão.
Se o FortiGate obtiver seu endereço IP por meio de um método dinâmico, como DHCP ou PPPoE, ele também deverá
recuperar o gateway padrão.
Caso contrário, você deve configurar uma rota estática. Sem isso, o FortiGate não será capaz de responder a pacotes
fora das sub-redes conectadas diretamente às suas próprias interfaces. Provavelmente também não será capaz de
se conectar ao FortiGuard para atualizações e pode não rotear o tráfego corretamente.
Você deve certificar-se de que o FortiGate possui uma rota que corresponde a todos os pacotes (destino é 0.0.0.0/0),
conhecida como rota padrão, e os encaminha através da interface de rede que está conectada à internet, para o endereço
IP do próximo roteador.
O roteamento conclui as configurações básicas de rede necessárias antes que você possa configurar as políticas de firewall.

NÃO REIMPRIMA ©
FORTINET

NÃO REIMPRIMA
© FORTINET
Bom trabalho! Agora você tem o conhecimento necessário para realizar algumas tarefas administrativas básicas. Agora,
você aprenderá sobre servidores integrados.

NÃO REIMPRIMA
© FORTINET
Ao demonstrar competência na implementação dos servidores integrados DHCP e DNS, você saberá como
fornecer esses serviços por meio do FortiGate.

NÃO REIMPRIMA
© FORTINET
Os clientes sem fio não são os únicos que podem usar o FortiGate como servidor DHCP.
Para uma interface (como a porta3), selecione a opção Manual, insira um IP estático e ative a opção
Servidor DHCP. As opções para o servidor DHCP integrado aparecem, incluindo recursos de provisionamento,
como opções de DHCP e regras de atribuição de endereço IP. Você também pode impedir que endereços MAC
específicos recebam um endereço IP.
Observe que a captura de tela no meio do slide mostra que você pode criar regras de atribuição de endereço IP
na seção Regra de atribuição de endereço IP.

NÃO REIMPRIMA
© FORTINET
Para o servidor DHCP integrado, você pode reservar endereços IP específicos para dispositivos com endereços MAC específicos.
A ação selecionada para endereços MAC desconhecidos define o que o servidor FortiGate DHCP faz quando recebe uma
solicitação de um endereço MAC que não está explicitamente listado. A ação padrão é Atribuir IP; no entanto, você pode alterar o
tipo de ação padrão para Atribuir IP ou Bloquear.
• Atribuir IP: permite que o servidor DHCP atribua de seu pool de endereços ao endereço MAC identificado. Um dispositivo que
recebe um endereço IP sempre receberá o mesmo endereço, desde que sua concessão não tenha expirado.
• Bloquear: é o computador com o endereço MAC identificado e a opção Bloquear não receberá um IP
endereço.
• Reserve IP: permite vincular um IP específico a um endereço MAC.

NÃO REIMPRIMA
© FORTINET
Você pode configurar o FortiGate para atuar como seu servidor DNS local. Você pode ativar e configurar o DNS separadamente
em cada interface.
Um servidor DNS local pode melhorar o desempenho do seu dispositivo FortiMail ou de outros dispositivos que usam
consultas DNS com frequência. Se o seu dispositivo FortiGate oferece DHCP para sua rede local, você pode usar o DHCP
para configurar esses hosts para usar o FortiGate como gateway e servidor DNS.
O FortiGate pode responder a consultas de DNS de três maneiras:
• Encaminhar: retransmite todas as consultas para um servidor DNS separado (que você configurou em Rede > DNS); ou seja,
ele atua como um retransmissor DNS em vez de um servidor DNS.
• Não recursivo: responde a consultas de itens nos bancos de dados DNS do FortiGate e não encaminha consultas
insolúveis.
• Recursivo: responde a consultas de itens nos bancos de dados DNS do FortiGate e encaminha todas as outras consultas para um
servidor DNS separado para resolução.
Você pode configurar todos os modos na GUI ou CLI.

NÃO REIMPRIMA
© FORTINET
Se você selecionar Recursive, o FortiGate consulta seu próprio banco de dados antes de encaminhar solicitações não
resolvidas para os servidores DNS externos.
Se você selecionar Forward to System DNS, poderá controlar as consultas de DNS em sua própria rede, sem precisar inserir
nenhum nome de DNS no servidor DNS do FortiGate.
Se você optar por ter seu servidor DNS resolvendo consultas ou escolher um DNS dividido, deverá configurar um banco de
dados DNS em seu dispositivo FortiGate.
Isso define os nomes de host para os quais o FortiGate resolve as consultas. Observe que o FortiGate atualmente suporta
apenas os tipos de registro DNS listados neste slide.

NÃO REIMPRIMA ©
FORTINET

NÃO REIMPRIMA
© FORTINET
Bom trabalho! Agora você sabe como habilitar os serviços DHCP e DNS no FortiGate e tem alguma
compreensão das possibilidades de configuração. Agora, você aprenderá sobre o conceito de VDOM.

NÃO REIMPRIMA
© FORTINET
Depois de concluir esta seção, você poderá atingir o objetivo mostrado neste slide.
Ao demonstrar competência em VDOMs, você será capaz de entender os principais benefícios e casos de uso
para VDOMs.

NÃO REIMPRIMA
© FORTINET
E se, mais do que segmentar sua rede, você quiser subdividir políticas e administradores em vários domínios de segurança?
Nesse caso, você pode habilitar FortiGate VDOMs, que dividem seu FortiGate em vários dispositivos lógicos. Cada VDOM
possui políticas de segurança e tabelas de roteamento independentes. Além disso, e por padrão, o tráfego de um VDOM
não pode ir para um VDOM diferente. Isso significa que duas interfaces em VDOMs diferentes podem compartilhar o mesmo IP
endereço, sem quaisquer problemas de sub-rede sobrepostos.
Quando você usa VDOMs, um único dispositivo FortiGate se torna um centro de dados virtual de segurança de rede,
inspeção UTM e dispositivos de comunicação seguros.

NÃO REIMPRIMA
© FORTINET
Existem algumas maneiras de organizar seus VDOMs. Na topologia mostrada neste slide, cada rede acessa a
internet através de seu próprio VDOM.
Observe que não há links entre VDOM. Portanto, o tráfego entre VDOM não é possível, a menos que saia fisicamente
FortiGate, em direção à internet, e é redirecionado de volta. Essa topologia seria mais adequada em um cenário em que
vários clientes estão compartilhando um único FortiGate, cada um em seu próprio VDOM, com ISPs separados fisicamente.

NÃO REIMPRIMA
© FORTINET
Na topologia de exemplo mostrada neste slide, o tráfego flui novamente por um único canal no To_Internet
VDOM para a internet. O tráfego entre VDOMs não precisa sair do FortiGate.
No entanto, agora o tráfego inter-VDOM não precisa fluir pelo To_Internet VDOM. Links Inter-VDOM entre VDOMs permitem
uma comunicação mais direta.
Semelhante à topologia de exemplo anterior, a inspeção pode ser feita pelo To_Internet ou pelo VDOM de origem, dependendo
de seus requisitos.
Devido ao número de links entre VDOM, o exemplo mostrado neste slide é o mais complexo, exigindo a maioria das rotas e
políticas de firewall. A solução de problemas de VDOMs em malha também pode ser mais demorada.
No entanto, os VDOMs em malha também fornecem a maior flexibilidade. Para grandes empresas, a comunicação entre VDOM
pode ser necessária. Além disso, o desempenho do tráfego entre VDOM pode ser melhor devido a um caminho de processamento mais curto,
que ignora VDOMs intermediários.

NÃO REIMPRIMA
© FORTINET
Até agora, você aprendeu sobre o tráfego que passa pelo FortiGate, de um VDOM para outro. E o tráfego proveniente do
FortiGate?
Alguns daemons do sistema, como atualizações NTP e FortiGuard, geram tráfego proveniente do FortiGate. Um, e apenas
um, dos VDOMs em um dispositivo FortiGate é atribuído à função do VDOM de gerenciamento. O tráfego vindo do FortiGate
para esses serviços globais se origina do VDOM de gerenciamento. Por padrão, o VDOM raiz atua como o VDOM de
gerenciamento, mas você pode reatribuir manualmente esta tarefa a um VDOM diferente no modo multi vdom.
Semelhante ao FortiGate sem VDOMs ativados, o VDOM administrativo deve ter acesso de saída à Internet.
Caso contrário, recursos como atualizações agendadas do FortiGuard falharão.
É importante observar que a designação VDOM de gerenciamento é exclusivamente para o tráfego originado pelo
FortiGate, como as atualizações do FortiGuard, e não tem efeito sobre o tráfego que passa pelo FortiGate. Como tal, a função
de gerenciamento pode ser executada por qualquer VDOM designado.

NÃO REIMPRIMA ©
FORTINET

NÃO REIMPRIMA ©
FORTINET
Bom trabalho! Agora você entende alguns conceitos básicos sobre VDOMs.
Agora, você aprenderá sobre a manutenção fundamental.

NÃO REIMPRIMA
© FORTINET
Ao demonstrar competência na manutenção básica do FortiGate, você poderá realizar as atividades vitais
de backup e restauração de configurações, atualização e downgrade do firmware e garantir que o FortiGate
permaneça em serviço de forma confiável durante todo o seu ciclo de vida.

NÃO REIMPRIMA
© FORTINET
Agora que o FortiGate possui configurações básicas de rede e contas administrativas, você aprenderá como fazer backup
da configuração. Além de selecionar o destino do arquivo de backup, você pode optar por criptografar ou não criptografar
o arquivo de backup. Mesmo se você optar por não criptografar o arquivo, que é o padrão, as senhas armazenadas no arquivo
serão criptografadas e, portanto, ofuscadas. As senhas armazenadas no arquivo de configuração incluem senhas para
usuários administrativos e usuários locais e chaves pré-compartilhadas para suas VPNs IPSec. Também pode incluir
senhas para os servidores FSSO e LDAP.
A outra opção é criptografar o arquivo de configuração com uma senha. Além de proteger a privacidade de sua
configuração, também tem alguns efeitos inesperados. Após a criptografia, o arquivo de configuração não pode ser
descriptografado sem a senha e um FortiGate do mesmo modelo e firmware. Isso significa que se você enviar um arquivo de
configuração criptografado para o suporte técnico da Fortinet, mesmo que você forneça a senha, eles não poderão carregar
sua configuração até que tenham acesso ao mesmo modelo de FortiGate. Isso pode causar atrasos desnecessários na
resolução do seu ticket.
Se você habilitar domínios virtuais (VDOMs), subdividindo os recursos e a configuração do seu dispositivo FortiGate, cada
administrador de VDOM pode fazer backup e restaurar suas próprias configurações. Você não precisa fazer backup de
toda a configuração do FortiGate, no entanto, ainda é recomendado.
Os backups são necessários para ajudar a acelerar o retorno à produção no caso de um desastre imprevisto que
danifique o FortiGate. Ter que recriar centenas de políticas e objetos do zero leva um tempo significativo, enquanto
carregar um arquivo de configuração em um novo dispositivo leva muito menos.
Restaurar um arquivo de configuração é muito semelhante a fazer backup de um e reiniciar o FortiGate.

NÃO REIMPRIMA
© FORTINET
Se você abrir o arquivo de configuração em um editor de texto, verá que os arquivos de configuração criptografados
e não criptografados contêm um cabeçalho de texto simples que contém algumas informações básicas sobre o
dispositivo. O exemplo neste slide mostra quais informações estão incluídas. Para restaurar uma configuração
criptografada, você deve carregá-la em um dispositivo FortiGate do mesmo modelo e firmware e fornecer a senha.
Para restaurar um arquivo de configuração não criptografado, você deve corresponder apenas ao modelo
FortiGate. Se o firmware for diferente, o FortiGate tentará atualizar a configuração. Isso é semelhante a como ele usa
scripts de atualização na configuração existente ao atualizar o firmware. No entanto, ainda é recomendável combinar
o firmware no FortiGate com o firmware listado no arquivo de configuração.
Normalmente, o arquivo de configuração contém apenas configurações não padrão, além de algumas configurações
padrão, mas cruciais. Isso minimiza o tamanho do backup, que poderia ter vários megabytes de tamanho.

NÃO REIMPRIMA
© FORTINET
Você pode visualizar a versão atual do firmware em vários lugares na GUI do FortiGate. Quando você faz login
pela primeira vez no FortiGate, a página inicial é o painel. Você pode ver a versão do firmware no widget do
sistema. Essas informações também são encontradas em Sistema > Firmware. E, claro, você pode recuperar as
informações na CLI usando o comando get system status.
Se uma nova versão do firmware estiver disponível, você será notificado no painel e na página Firmware.
Lembre-se de ler as Notas de versão para certificar-se de que compreende o caminho de atualização compatível.
As Notas de versão também fornecem informações pertinentes que podem afetar a atualização.

NÃO REIMPRIMA
© FORTINET
A atualização do firmware no FortiGate é simples. Clique em Sistema > Firmware e navegue até o arquivo de
firmware que você baixou de support.fortinet.com ou opte por atualizar online.
Se você deseja fazer uma instalação limpa substituindo o firmware existente e sua configuração atual, pode
fazer isso usando a CLI do console local, no menu do carregador de inicialização, enquanto o FortiGate está reiniciando.
No entanto, este não é o método usual.

NÃO REIMPRIMA
© FORTINET
Você também pode fazer o downgrade do firmware. Como as configurações mudam em cada versão do firmware, você deve
ter um arquivo de configuração na sintaxe compatível com o firmware.
Lembre-se de ler as notas de lançamento. Às vezes, não é possível fazer um downgrade entre versões de firmware que
preservem a configuração. Nessa situação, a única maneira de fazer o downgrade é formatar o disco e reinstalá-lo.
Depois de confirmar que o downgrade é possível, verifique tudo novamente e inicie o downgrade. Após a conclusão do
downgrade, restaure um backup de configuração compatível com essa versão.
Por que você deve manter firmware de emergência e acesso físico?
Versões de firmware anteriores não sabem como converter configurações posteriores. Além disso, ao atualizar por meio
de um caminho que não é compatível com os scripts de conversão de configuração, você pode perder todas as
configurações, exceto as configurações básicas de acesso, como contas de administrador e endereços IP de
interface de rede. Outro cenário raro, mas possível, é que o firmware pode estar corrompido ao carregá-lo. Por todos esses
motivos, você sempre deve ter acesso ao console local durante uma atualização. No entanto, na prática, se você ler
as Notas de versão e tiver uma conexão confiável com a GUI ou CLI, isso não será necessário.

NÃO REIMPRIMA ©
FORTINET

NÃO REIMPRIMA ©
FORTINET
Parabéns! Você concluiu esta lição.
Agora, você revisará os objetivos abordados na lição.

NÃO REIMPRIMA ©
FORTINET
Este slide mostra os objetivos que você abordou nesta lição.
Ao dominar os objetivos abordados nesta lição, você aprendeu como e onde o FortiGate se encaixa em
sua rede e como executar a administração básica do FortiGate.

Machine Translated by Google Tecido de Segurança
NÃO REIMPRIMA ©
FORTINET
Nesta lição, você aprenderá sobre o Fortinet Security Fabric.

NÃO REIMPRIMA
© FORTINET
Nesta lição, você aprenderá sobre os tópicos mostrados neste slide.
Ao demonstrar competência na implantação do Fortinet Security Fabric, usando e estendendo os recursos do

Security Fabric e compreendendo sua topologia, você será capaz de usar o Fortinet Security Fabric efetivamente em
sua rede.

NÃO REIMPRIMA
© FORTINET
Ao demonstrar competência na compreensão dos principais conceitos do Fortinet Security Fabric, você
entenderá melhor o valor do Security Fabric, os servidores que o compõem e como implantá-lo.

FortiGate Security 7.0 Study Guide-Online-1-63

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

FortiGate Security 7.0 Study Guide-Online-1-63

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

NÃO REIMPRIMA © FORTINET

Biblioteca de Documentos Fortinet

Base de conhecimento da Fortinet

Comunidade de usuários Fortinet Fuse

Programa Fortinet Network Security Expert (NSE)

Fortinete | Pearson VUE

01 Introdução e Configuração Inicial 5

04 Tradução de endereço de rede (NAT) 152

06 Registro e Monitoramento 264

07 Operações de Certificado 309

08 Filtragem da Web 361

09 Controle de Aplicação 427

Várias correções de formatação Guia completo

l Slides removidos: métodos de administração, comandos CLI básicos, dois fatores

Comando CLI atualizado update-ffdb Lição 3: Slide 15

Exemplo de slide de políticas de mixagem atualizadas Lição 5: Slide 37

notas fixas Lição 10: Slide 14

notas fixas Lição 11: Slide 8

Reduza o conteúdo SSL VPN e adicione a seção ZTNA Lição 12

Guia de estudo do FortiGate Security 7.0 4

Guia de estudo do FortiGate Security 7.0 5

Nesta lição, você explorará os tópicos mostrados neste slide.

Guia de estudo do FortiGate Security 7.0 6

Ao demonstrar competência na identificação dos recursos de design da plataforma do FortiGate, recursos do

Guia de estudo do FortiGate Security 7.0 7

Guia de estudo do FortiGate Security 7.0 8

Guia de estudo do FortiGate Security 7.0 9

Guia de estudo do FortiGate Security 7.0 10

Guia de estudo do FortiGate Security 7.0 11

Os processadores CP também aceleram tarefas intensivas baseadas em proxy:

Guia de estudo do FortiGate Security 7.0 12

Guia de estudo do FortiGate Security 7.0 13

Guia de estudo do FortiGate Security 7.0 14

Guia de estudo do FortiGate Security 7.0 15

E a arquitetura de rede? Onde o FortiGate se encaixa?

Guia de estudo do FortiGate Security 7.0 16

Agora você verá como configurou o FortiGate.

Guia de estudo do FortiGate Security 7.0 17

• Solicitar periodicamente pacotes que contenham um novo mecanismo e assinaturas

Guia de estudo do FortiGate Security 7.0 18

FortiGate aborta a conexão com o servidor FortiGuard se:

Guia de estudo do FortiGate Security 7.0 19

Guia de estudo do FortiGate Security 7.0 20

Guia de estudo do FortiGate Security 7.0 21

Guia de estudo do FortiGate Security 7.0 22

Outras opções não mostradas aqui incluem:

Para restringir o acesso a recursos específicos, você pode atribuir permissões.

Guia de estudo do FortiGate Security 7.0 23

Guia de estudo do FortiGate Security 7.0 24

Quais são os efeitos dos perfis de administrador?

Na verdade, é mais do que apenas acesso de leitura ou gravação.

Guia de estudo do FortiGate Security 7.0 25

Guia de estudo do FortiGate Security 7.0 26

Guia de estudo do FortiGate Security 7.0 27

Guia de estudo do FortiGate Security 7.0 28

Você também pode personalizar os números de porta dos protocolos administrativos.

Guia de estudo do FortiGate Security 7.0 29

Guia de estudo do FortiGate Security 7.0 30

Para mostrar os recursos ocultos, clique em Sistema > Visibilidade do recurso.

Guia de estudo do FortiGate Security 7.0 31

Guia de estudo do FortiGate Security 7.0 32

Guia de estudo do FortiGate Security 7.0 33