Escolar Documentos
Profissional Documentos
Cultura Documentos
Tecido de Segurança
NÃO REIMPRIMA
© FORTINET
É uma solução corporativa da Fortinet que permite uma abordagem holística à segurança de rede, em que o cenário da
rede é visível por meio de um único console e todos os dispositivos de rede são integrados em uma defesa automatizada e
gerenciada centralmente.
Os dispositivos de rede incluem todos os componentes, desde terminais físicos até dispositivos virtuais na nuvem. Como os
dispositivos são gerenciados centralmente e compartilham inteligência de ameaças entre si em tempo real e recebem
atualizações da Fortinet no nível macro, sua rede pode identificar, isolar e neutralizar rapidamente as ameaças à medida
que elas aparecem.
Um quarto atributo poderia ser adicionado a esta descrição do Security Fabric: aberto. A API e o protocolo estão
disponíveis para que outros fornecedores participem e para integração de parceiros. Isso permite a comunicação entre
Fortinet e dispositivos de terceiros.
NÃO REIMPRIMA
© FORTINET
Por que a Fortinet considerou o Security Fabric uma solução essencial para uma defesa de rede robusta?
À medida que as redes evoluíram e vários novos tipos de ameaças surgiram, produtos de segurança pontuais foram implantados para
lidar com essas ameaças emergentes. Frequentemente, essas soluções fragmentadas eram eficazes, mas a implantação de produtos
usando padrões e protocolos diferentes significava que os ativos de defesa não podiam ser coordenados com eficácia.
A ilustração à direita do slide conta a história de uma rede que implantou soluções de segurança de quatro fornecedores diferentes. O
administrador no centro, trabalhando no console de segurança, tem visibilidade de apenas algumas das soluções de segurança. Essa falta
de visibilidade de toda a defesa da rede é uma falha grave e pode permitir que um infiltrado estrangeiro viole as defesas da rede sem ser
detectado.
A enorme complexidade das redes atuais agrava esse problema. Além disso, malwares cada vez mais sofisticados têm uma superfície de
ataque em expansão para explorar, porque as redes romperam os limites de um perímetro de rede tradicional e se expandiram para
redes virtualizadas e nuvens públicas. Adicione a essa mistura o número cada vez maior de dispositivos não gerenciados, como resultado de
programas BYOD, e você terá
a tempestade de segurança perfeita.
A solução mais viável é criar uma abordagem holística e gerenciada centralmente para a segurança, na qual você tenha uma linha de visão
clara para todos os possíveis pontos de infiltração e possa coordenar as defesas para conter e neutralizar as violações de rede.
NÃO REIMPRIMA
© FORTINET
Conforme mostrado neste slide, o Fortinet Security Fabric oferece oito soluções: acesso à rede, WLAN/
LAN de segurança, infraestrutura de nuvem pública e privada, aplicativos, endpoint, operações de segurança,
ecossistema de malha aberta e centro de gerenciamento de malha. Cada uma dessas soluções é baseada em
casos de uso específicos e envolve a integração de produtos Fortinet específicos.
O Fortinet Security Fabric oferece segurança de rede com FortiGate, IPS, VPN, SD-WAN. Ele também oferece
estratégia de várias nuvens em nuvens públicas, nuvens privadas, nuvens híbridas e software como serviço (SaaS).
Ele também oferece uma oferta de endpoint bastante sofisticada, desde o Fabric Agent até a proteção completa
do endpoint, segurança de e-mail, segurança de aplicativos da Web, acesso seguro em empresas distribuídas e
ambientes SD WAN, proteção avançada contra ameaças, gerenciamento e análise e informações de segurança e
gestão de eventos (SIEM).
Tudo isso é enfatizado e suportado pelos FortiGuard Services, que fornecem inteligência e proteção com inteligência
artificial em todo o Security Fabric.
NÃO REIMPRIMA
© FORTINET
FortiGate e FortiAnalyzer criam o núcleo do Security Fabric. Para adicionar mais visibilidade e controle, a Fortinet recomenda
adicionar FortiManager, FortiAP, FortiClient, FortiSandbox, FortiMail, FortiWeb, FortiAI e FortiSwitch. A solução pode ser
estendida adicionando outros dispositivos de segurança de rede.
NÃO REIMPRIMA ©
FORTINET
NÃO REIMPRIMA
© FORTINET
Em seguida, você aprenderá como implantar o Security Fabric em seu ambiente de rede.
NÃO REIMPRIMA
© FORTINET
Depois de concluir esta seção, você será capaz de atingir os objetivos mostrados neste slide.
Ao demonstrar competência na implantação do Fortinet Security Fabric, você entenderá melhor o valor do Security
Fabric e como ele ajuda a gerenciar todos os seus dispositivos de rede com mais eficiência.
NÃO REIMPRIMA
© FORTINET
Nesta rede simples que compreende apenas os dispositivos centrais de um Security Fabric, existe um FortiAnalyzer e um firewall de próxima geração
(NGFW) FortiGate. Este exemplo de implementação destina-se a ser apenas uma exibição de alto nível. Para obter mais detalhes, consulte docs.fortinet.com.
O dispositivo FortiGate denominado External está atuando como o firewall de borda e também será configurado como o firewall raiz dentro do Security Fabric.
A jusante do firewall raiz existem três firewalls de segmentação interna que compartimentam a WAN para conter uma violação e controlar o acesso a várias
LANs. Neste exemplo, existem LANs de contabilidade, marketing e vendas.
NÃO REIMPRIMA
© FORTINET
Primeiro, no FortiGate raiz, você deve habilitar a conexão de malha de segurança nas interfaces voltadas para
qualquer FortiGate downstream. Se você selecionar Serve as Fabric Root, também precisará configurar o endereço IP
do FortiAnalyzer. Em seguida, você precisa configurar um nome de malha para o Security Fabric. Essa configuração do
FortiAnalyzer será enviada para todos os dispositivos FortiGate downstream. Todos os dispositivos downstream
FortiGate enviam logs diretamente para o FortiAnalyzer.
Você também pode pré-autorizar seus dispositivos downstream adicionando o número de série do dispositivo. Quando
você adiciona o número de série de um dispositivo Fortinet à lista confiável no FortiGate raiz, o dispositivo pode
ingressar no Security Fabric assim que se conectar. Depois de autorizar o novo FortiGate, FortiAP conectado adicional
e os dispositivos FortiSwitch aparecem automaticamente na árvore de topologia. Na árvore de topologia, é mais fácil
autorizá-los com um clique.
NÃO REIMPRIMA
© FORTINET
A segunda etapa na implementação do Security Fabric é configurar os dispositivos downstream Fortinet. Nos dispositivos
FortiGate downstream, você deve habilitar a conexão de malha de segurança e a detecção de dispositivo nas interfaces voltadas
para os dispositivos FortiGate downstream. Na página Fabric Connectors, selecione Join Existing Fabric e adicione o endereço
IP raiz (upstream) do FortiGate. O FortiGate raiz envia seu FortiAnalyzer
configuração para todos os dispositivos FortiGate downstream.
NÃO REIMPRIMA
© FORTINET
A terceira etapa na implementação do Security Fabric é autorizar o dispositivo FortiGate downstream no FortiGate
raiz e no FortiAnalyzer. Clique no número de série do dispositivo FortiGate downstream realçado e selecione Autorizar.
Após alguns segundos, o FortiGate downstream se juntará ao Security Fabric. Para concluir o processo completo do
Security Fabric, você precisará autorizar todos os seus dispositivos no
FortiAnalyzer. Na seção FortiAnalyzer Device Manager, selecione todos os seus dispositivos no Security Fabric e clique
em Authorize. Após alguns segundos, você notará que todos os seus dispositivos autorizados se juntam ao Security Fabric.
NÃO REIMPRIMA
© FORTINET
Quando o Security Fabric está habilitado, as configurações para sincronizar vários objetos, como endereços,
serviços e agendamentos, do FortiGate upstream para todos os dispositivos FortiGate downstream são habilitadas por padrão.
A sincronização sempre acontece do FortiGate raiz para dispositivos FortiGate downstream. Qualquer objeto que
possa ser sincronizado estará disponível nos dispositivos FortiGate downstream após a sincronização.
O comando CLI set fabric-object-unification só está disponível no FortiGate raiz. Quando definido como local, os objetos
globais não serão sincronizados com dispositivos downstream no Security Fabric. O valor padrão é default.
O comando CLI set configuration-sync local é usado quando um FortiGate downstream não precisa participar da
sincronização de objetos. Quando definido como local em um FortiGate downstream, o dispositivo não sincroniza
objetos da raiz, mas ainda participa do envio do downstream do objeto sincronizado.
Você também pode habilitar ou desabilitar a sincronização por objeto no Security Fabric. Esta opção não está
disponível para objetos que você cria em um FortiGate downstream. A sincronização de malha é desabilitada por
padrão para objetos de malha suportados, e esses objetos de malha são mantidos como objetos criados localmente
em todos os dispositivos FortiGate no Security Fabric. Se a sincronização de objetos estiver desabilitada no FortiGate
raiz, usando o comando set fabric object disable, os endereços de firewall e os grupos de endereços não serão sincronizados com o
dispositivos.
NÃO REIMPRIMA
© FORTINET
Se houver um conflito de objeto durante a sincronização, você receberá uma notificação para resolver o
conflito. Na árvore de topologia, Remote-FortiGate está destacado em âmbar porque há um conflito.
No exemplo mostrado neste slide, você examinará como resolver um conflito de sincronização.
1. O ícone de notificação exibe esta mensagem: Os objetos do firewall estão em conflito com outros FortiGates na
malha. Clique em Revisar conflitos de objeto de firewall.
2. Na página Firewall Object Synchronization, você pode ver que os dispositivos root FortiGate e downstream FortiGate
contêm o objeto synn_add_1 (com um endereço IP/esquema de sub-rede diferente em cada dispositivo),
causando um status de incompatibilidade de conteúdo. No campo Estratégia, existem duas opções para resolver o
conflito: Automático e Manual. Se você selecionar Automático, conforme mostrado neste exemplo, poderá clicar
em Renomear todos os objetos.
NÃO REIMPRIMA
© FORTINET
NÃO REIMPRIMA
© FORTINET
Existem dois modos VDOM: split-vdom e multi-vdom. No modo split-vdom, o FortiGate possui dois VDOMs no total, incluindo root e FG-
traffic vdoms. Você não pode adicionar VDOMs no modo split-vdom. 1. modo split-vdom:
a) O VDOM raiz no modo split-vdom é o VDOM de gerenciamento e faz apenas o trabalho de gerenciamento. As seguintes entradas e
páginas da barra de navegação estão ocultas no vdom raiz:
b) O VDOM FG-traffic pode fornecer políticas de segurança separadas e permitir o tráfego através do FortiGate.
2. No modo multi-vdom, você pode criar vários VDOMs que funcionam como várias unidades independentes. Por padrão, a raiz é
o VDOM de gerenciamento e pode ser usada para executar tarefas de gerenciamento e permitir outro tráfego. Você pode selecionar
qualquer VDOM para atuar como o VDOM de gerenciamento.
NÃO REIMPRIMA
© FORTINET
Você pode ativar o FortiGate Security Fabric no modo VDOM de tarefa dividida. Se você habilitar o modo VDOM de tarefa
dividida no dispositivo FortiGate upstream, ele pode permitir que os dispositivos FortiGate downstream ingressem
no Security Fabric nos VDOMs root e FG-traffic. Se o modo VDOM de tarefa dividida estiver ativado no FortiGate downstream, ele pode
conecte-se ao FortiGate upstream somente por meio da interface FortiGate downstream no VDOM raiz .
As configurações de telemetria são mostradas nos contextos global e VDOM, mas no contexto VDOM,
apenas a topologia e os campos de interface habilitados para FortiTelemetry são mostrados.
NÃO REIMPRIMA
© FORTINET
Você pode clicar em Global > Physical Topology para ver o FortiGate raiz e todos os dispositivos FortiGate downstream que estão no mesmo Security Fabric
que o FortiGate raiz. Você pode clicar em root > Physical Topology ou FG Traffic > Physical Topology para ver o FortiGate raiz e apenas os dispositivos
FortiGate downstream que estão conectados ao VDOM selecionado no momento no FortiGate raiz.
NÃO REIMPRIMA
© FORTINET
Quando você configura dispositivos FortiGate no modo multi-vdom e os adiciona ao Security Fabric, cada VDOM com suas portas atribuídas é exibido quando
um ou mais dispositivos são detectados. Somente as portas com dispositivos descobertos e conectados aparecem na exibição do Security Fabric e, por isso,
você deve habilitar a detecção de dispositivos nas portas que deseja exibir no Security Fabric. VDOMs sem portas com dispositivos conectados não são
exibidos. Todos os VDOMs configurados devem fazer parte de um único Security Fabric. No exemplo mostrado neste slide, o Local-FortiGate está configurado
no modo multi-VDOM e possui três VDOMs (raiz, VDOM1 e VDOM2), cada um com portas que possuem dispositivos conectados.
NÃO REIMPRIMA
© FORTINET
A identificação do dispositivo é um componente importante no Security Fabric. O FortiGate detecta a maioria dos
dispositivos de terceiros em sua rede e os adiciona à visualização de topologia no Security Fabric. Existem dois dispositivos
técnicas de identificação: com agente e sem agente (sem agente).
A identificação sem agente usa o tráfego do dispositivo. Os dispositivos são indexados por seu endereço MAC e há várias
maneiras de identificar dispositivos, como cabeçalho HTTP user-Agent, impressão digital TCP, endereço MAC OUI e métodos
de detecção FortiOS-VM, para citar alguns. A identificação de dispositivo sem agente só é eficaz se o FortiGate e as estações
de trabalho forem segmentos de rede conectados diretamente, onde o tráfego é enviado diretamente para o FortiGate e não
houver roteador intermediário ou dispositivo de Camada 3 entre o FortiGate e as estações de trabalho.
Observe que o FortiGate usa uma abordagem de primeiro a chegar, primeiro a ser servido para determinar a identidade do
dispositivo. Por exemplo, se um dispositivo for detectado pelo agente do usuário HTTP, o FortiGate atualiza sua tabela de
dispositivos com o endereço MAC detectado e a verificação é interrompida assim que o tipo for determinado para esse endereço MAC.
A identificação de dispositivo baseada em agente usa o FortiClient. O FortiClient envia informações para o FortiGate e o
dispositivo é rastreado por seu ID de usuário FortiClient exclusivo (UID).
NÃO REIMPRIMA ©
FORTINET
Por padrão, o FortiGate usa detecção de dispositivo (varredura passiva), que executa varreduras com base na chegada do tráfego.
NÃO REIMPRIMA ©
FORTINET
NÃO REIMPRIMA
© FORTINET
Em seguida, você aprenderá sobre os recursos do Security Fabric e como estender o Security Fabric em seu
ambiente de rede.
NÃO REIMPRIMA
© FORTINET
Depois de concluir esta seção, você será capaz de atingir os objetivos mostrados neste slide.
Ao demonstrar competência na extensão do Fortinet Security Fabric, você entenderá melhor o valor do Security
Fabric e como ele ajuda a gerenciar todos os seus dispositivos de rede a partir de um único ponto do dispositivo.
NÃO REIMPRIMA
© FORTINET
A Fortinet recomenda o uso de um FortiManager para gerenciamento centralizado de todos os dispositivos FortiGate e dispositivos de acesso no Security
Fabric. Você pode integrar dispositivos FortiSwitch e FortiAP para estender o Security Fabric até a camada de acesso. Você também pode estender o
Security Fabric integrando FortiMail, FortiWeb, FortiCache, FortiSandbox e FortiClient EMS.
NÃO REIMPRIMA
© FORTINET
Os fluxos de trabalho automatizados definidos pelo administrador (chamados de pontos) usam instruções if/then para
fazer com que o FortiOS responda automaticamente a um evento de maneira pré-programada. Como esse fluxo de
trabalho faz parte do Security Fabric, você pode configurar instruções if/then para qualquer dispositivo no Security Fabric.
No entanto, o Security Fabric não é obrigado a usar pontos.
Cada ponto de automação emparelha um gatilho de evento e uma ou mais ações. Pontos de automação permitem que você
monitore sua rede e tome as medidas apropriadas quando o Security Fabric detectar uma ameaça. Você pode usar
pontos de automação para detectar eventos de qualquer origem no Security Fabric e aplicar ações a qualquer
destino.
Você pode definir a configuração Mínimo interno (segundos) para garantir que não receberá notificações
repetidas sobre o mesmo evento. Existem pontos predefinidos, gatilhos e ações disponíveis. No entanto,
você pode criar automação personalizada com base nas opções disponíveis.
NÃO REIMPRIMA
© FORTINET
Você pode configurar o gatilho de host comprometido para criar um ponto de resposta de ameaça automatizado. Este
gatilho usa relatórios de evento de indicador de comprometimento (IoC) do FortiAnalyzer. Com base na configuração do
limite do nível de ameaça, você pode configurar o ponto para executar diferentes etapas de correção:
• Colocar em quarentena o host comprometido no FortiSwitch ou FortiAP
• Colocar o FortiClient em quarentena no host comprometido usando o FortiClient EMS
• Banir o IP
Você também pode clicar em Monitor > Quarantine Monitor para visualizar os endereços IP em quarentena e banidos.
Os endereços em quarentena são automaticamente removidos da quarentena após um período de tempo configurável.
Os endereços IP banidos podem ser removidos da lista apenas por intervenção do administrador.
NÃO REIMPRIMA
© FORTINET
Você também pode visualizar hosts comprometidos na GUI do FortiGate e obter notificações de saída de várias maneiras, como push do iOS. Esse recurso é
integrado ao IFTT.
NÃO REIMPRIMA
© FORTINET
Os conectores externos permitem que você integre o suporte a várias nuvens, como ACI e AWS, para citar alguns.
Em uma infraestrutura centrada em aplicativos (ACI), o conector SDN serve como um gateway que conecta
os controladores SDN e os dispositivos FortiGate. O conector SDN se registra no APIC na malha Cisco ACI, pesquisa
os objetos interessados e os converte em objetos de endereço. Os objetos de endereço traduzidos e os endpoints
associados são preenchidos no FortiGate.
NÃO REIMPRIMA
© FORTINET
O widget Security Fabric Status mostra um resumo visual de muitos dos dispositivos no Security Fabric.
Você pode passar o mouse sobre os ícones na parte superior do widget para obter uma visualização rápida do status do
Security Fabric, incluindo o status do FortiTelemetry e dos dispositivos no Security Fabric. Você pode clicar para autorizar o FortiAP
e dispositivos FortiSwitch conectados a um FortiGate autorizado.
Os ícones representam os outros dispositivos Fortinet que podem ser usados no Security Fabric:
• Os dispositivos em azul estão conectados na sua rede.
• Dispositivos em cinza são dispositivos não autorizados que estão conectados em sua rede.
• Dispositivos em vermelho não são detectados em sua rede, mas são recomendados para o Security Fabric.
• Um ícone de atenção indica um FortiGate ou FortiWiFi aguardando autorização.
NÃO REIMPRIMA ©
FORTINET
NÃO REIMPRIMA
© FORTINET
Bom trabalho! Agora você sabe como estender o Security Fabric e seus recursos.
A seguir, você aprenderá sobre o serviço Security Fabric Rating e a visualização de topologia.
NÃO REIMPRIMA
© FORTINET
Depois de concluir esta seção, você será capaz de atingir os objetivos mostrados neste slide.
NÃO REIMPRIMA
© FORTINET
A classificação de segurança é um serviço de assinatura que requer uma licença de classificação de segurança. Este serviço agora
oferece a capacidade de executar muitas práticas recomendadas, incluindo verificações de senha, para auditar e fortalecer a
segurança de sua rede.
A página Classificação de segurança é separada em três scorecards principais: •
Postura de segurança
• Cobertura de tecido
• Otimização
Esses scorecards fornecem resumos executivos das três maiores áreas de foco de segurança no Security Fabric.
Os scorecards mostram uma classificação geral por letras e detalhamento do desempenho em subcategorias. Clicar em um scorecard
detalha um relatório detalhado de resultados detalhados e recomendações de conformidade.
A pontuação de pontos representa a pontuação líquida para todos os itens aprovados e reprovados nessa área. O relatório inclui os
controles de segurança testados, vinculados a políticas específicas de conformidade com FSBP ou PCI. Você pode clicar em FSBP
e PCI para fazer referência ao padrão correspondente.
No modo multi-VDOM, os relatórios de classificação de segurança podem ser gerados no VDOM Global para todos os VDOMs no
dispositivo. Os administradores com acesso de leitura/gravação podem executar o relatório de classificação de segurança no Global VDOM.
Administradores com acesso somente leitura podem apenas visualizar o relatório.
Nos scorecards, a coluna Escopo mostra o VDOM ou VDOMs nos quais a verificação foi executada. Em verificações que suportam
Easy Apply, a correção pode ser executada em todos os VDOMs associados.
NÃO REIMPRIMA
© FORTINET
Clique no scorecard Postura de segurança na página Classificação de segurança para expandir o scorecard e ver mais detalhes.
NÃO REIMPRIMA
© FORTINET
A classificação de segurança fornece recomendações sobre as configurações do FortiGate. Essas recomendações são
mostradas como notificações na página de configurações, que mostra problemas de configuração conforme
determinado pela classificação de segurança. Um administrador pode abrir a recomendação para ver qual configuração
precisa ser corrigida. Isso ajuda o administrador a alternar entre a página Security Fabric > Security Rating e as
várias páginas de configurações.
Nos exemplos mostrados neste slide, o FortiGate está usando portas HTTPS e SSH padrão, e a política de senha do
administrador não está habilitada. Outra recomendação é restringir o acesso de login configurando um host confiável.
As notificações aparecem na medianiz, no rodapé ou como mutáveis. As notificações também podem ser descartadas.
NÃO REIMPRIMA
© FORTINET
O serviço de classificação de segurança relata a pontuação de postura de segurança por grupo do Security Fabric. FortiGuardName
O Security Rating Service é um serviço baseado em assinatura que pega o relatório gerado e obtém a análise do FortiGuard. Ele compara os resultados da
pontuação de segurança dentro do setor ao qual o grupo de malha pertence. Todos os dispositivos FortiGate no grupo precisam ter o FortiGuard Security
Rating Service e a pontuação pode ser obtida apenas na raiz do Security Fabric FortiGate. A pontuação pode ser obtida após a geração do relatório
de classificação de segurança. As pontuações são apresentadas como números e são baseadas no setor, no tamanho da organização e na região.
NÃO REIMPRIMA
© FORTINET
Você pode visualizar a topologia do Security Fabric na GUI do FortiGate, no menu Security Fabric. Você pode
selecionar a visualização Topologia física ou Topologia lógica. Para visualizar a rede completa, você deve acessar
as exibições de topologia no FortiGate raiz no Security Fabric.
A exibição Topologia física exibe sua rede como um gráfico de bolhas de dispositivos interconectados. Esses
dispositivos são agrupados com base no dispositivo upstream ao qual estão conectados. As bolhas aparecem
menores ou maiores, com base no volume de tráfego. Você pode clicar duas vezes em qualquer balão para
redimensioná-lo e ver mais informações sobre o dispositivo.
A exibição de Topologia Lógica é semelhante à exibição de Topologia Física, mas mostra as interfaces de rede,
lógicas ou físicas, que são usadas para conectar dispositivos no Security Fabric.
NÃO REIMPRIMA ©
FORTINET
Este slide mostra a diferença entre a exibição de Topologia Física e a exibição de Topologia Lógica.
NÃO REIMPRIMA ©
FORTINET
NÃO REIMPRIMA ©
FORTINET
NÃO REIMPRIMA
© FORTINET
Ao dominar os objetivos abordados nesta lição, você aprendeu como configurar e usar o Fortinet Security Fabric.
NÃO REIMPRIMA
© FORTINET
Nesta lição, você aprenderá sobre as políticas de firewall e como aplicá-las para permitir e negar o tráfego que passa
pelo FortiGate. Em sua essência, o FortiGate é um firewall, então quase tudo o que ele faz no seu tráfego está vinculado às
suas políticas de firewall.
NÃO REIMPRIMA ©
FORTINET
NÃO REIMPRIMA
© FORTINET
Depois de concluir esta seção, você será capaz de atingir os objetivos mostrados neste slide.
Ao demonstrar competência em identificar os diferentes componentes das políticas de firewall e reconhecer como o FortiGate
combina o tráfego com as políticas de firewall e toma as medidas apropriadas, você terá uma melhor compreensão de como
as políticas de firewall interagem com o tráfego de rede.
NÃO REIMPRIMA
© FORTINET
As políticas de firewall definem qual tráfego corresponde a elas e o que o FortiGate faz quando o tráfego corresponde.
O tráfego deve ser permitido? Inicialmente, o FortiGate baseia essa decisão em critérios simples, como a origem do
tráfego. Então, se a política não bloquear o tráfego, o FortiGate inicia uma inspeção de perfil de segurança computacionalmente
mais cara - geralmente conhecida como gerenciamento unificado de ameaças (UTM) - como antivírus, controle de
aplicativos e filtragem da Web, se você o escolheu no política. Essas verificações podem bloquear o tráfego se, por exemplo,
contiver um vírus. Caso contrário, o tráfego é permitido.
A conversão de endereço de rede (NAT) será aplicada? A autenticação é necessária? As políticas de firewall também
determinam as respostas a essas perguntas. Após o término do processamento, o FortiGate encaminha o pacote para seu
destino.
O FortiGate procura a política de firewall correspondente de cima para baixo e, se for encontrada uma correspondência, o
tráfego é processado com base na política de firewall. Se nenhuma correspondência for encontrada, o tráfego será descartado
pela política de firewall Implicit Deny padrão.
NÃO REIMPRIMA
© FORTINET
Cada política corresponde ao tráfego e aplica segurança referindo-se aos objetos que você definiu, como endereços e perfis.
E os outros tipos de política de firewall? Existem políticas IPv6 ou de fio virtual? Sim. Essas políticas usam objetos
ligeiramente diferentes que são relevantes para seu tipo. Nesta lição, você aprenderá sobre políticas de firewall IPv4,
porque elas são o caso de uso mais comum.
NÃO REIMPRIMA
© FORTINET
Quando um pacote chega, como o FortiGate encontra uma política correspondente? Cada política tem critérios de
correspondência, que você pode definir usando os seguintes objetos:
• Interface de entrada
• Interface de saída
• Origem: endereço IP, usuário, serviços de internet
• Destino: endereço IP ou serviços de internet
• Serviço: protocolo IP e número da porta
• Horário: Aplica-se durante os horários configurados
Quando o tráfego corresponde a uma política de firewall, o FortiGate aplica a ação configurada na política de firewall.
•
Se a ação for definida como DENY, o FortiGate encerra a sessão.
•
Se a Ação for definida como ACEITAR, o FortiGate aplicará outras configurações definidas para o processamento de
pacotes, como varredura antivírus, filtragem da Web ou NAT de origem.
Por exemplo, se você deseja bloquear o FTP de entrada para todos, exceto alguns servidores FTP, defina os endereços
de seus servidores FTP, selecione-os como destino e selecione FTP como o serviço. Você provavelmente não
especificaria uma fonte (geralmente qualquer local na internet é permitido) ou agendamento (geralmente os servidores FTP
estão sempre disponíveis, dia ou noite). Por fim, você definiria a configuração Ação como ACEITAR.
Isso pode ser suficiente, mas muitas vezes você desejará uma segurança mais completa. Aqui, a política também autentica o
usuário, verifica se há vírus e registra as tentativas de conexão bloqueadas.
NÃO REIMPRIMA
© FORTINET
Para começar a descrever como o FortiGate encontra uma política para cada pacote, vamos começar com a(s) interface(s).
Os pacotes chegam em uma interface de entrada ou ingresso. O roteamento determina a interface de saída ou saída.
Em cada política, você deve definir uma interface de origem e destino; mesmo se um ou ambos estiverem definidos como
any. Ambas as interfaces devem corresponder aos critérios de interface da política para serem uma correspondência bem-sucedida.
Por exemplo, se você configurar políticas entre a entrada da porta 3 (LAN) e a saída da porta 1 (WAN) e um pacote chegar na
porta 2, o pacote não corresponderá às suas políticas e, portanto, será descartado devido à política de negação implícita no
final de a lista. Mesmo que a política seja da entrada da porta 3 (LAN) para qualquer saída, o pacote ainda será descartado
porque não corresponde à interface de entrada.
Para simplificar a configuração da política, você pode agrupar interfaces em zonas lógicas. Por exemplo, você pode
agrupar port4 a port7 como uma zona DMZ. Você pode criar zonas na página Interfaces. No entanto, você deve observar que não
pode fazer referência a uma interface em uma zona individualmente e, se precisar adicionar a interface à zona, deverá remover
todas as referências a essa interface (por exemplo, políticas de firewall, endereços de firewall e assim por diante ).
Se você acha que pode precisar fazer referência a interfaces individualmente, defina várias interfaces de origem e destino
na política de firewall, em vez de usar zonas.
NÃO REIMPRIMA
© FORTINET
Por padrão, você pode selecionar apenas uma única interface como interface de entrada e uma única interface como interface
de saída. Isso ocorre porque a opção de selecionar várias interfaces ou qualquer interface em uma política de firewall está
desativada na GUI. No entanto, você pode habilitar a opção Multiple Interface Policies na página Feature Visibility para
desabilitar a restrição de interface única.
Você também pode especificar várias interfaces ou usar qualquer opção, se configurar uma política de firewall na CLI,
independentemente da configuração padrão da GUI.
Também vale a pena mencionar que, ao escolher qualquer opção de interface, você não pode selecionar várias interfaces
para essa interface. No exemplo mostrado neste slide, como any está selecionado como a interface de saída, você não pode
adicionar nenhuma interface adicional, porque qualquer interface implica que todas as interfaces já foram selecionadas.
NÃO REIMPRIMA
© FORTINET
Em cada política de firewall, você deve selecionar um objeto de endereço de origem. Opcionalmente, você pode refinar sua
definição do endereço de origem selecionando também um usuário ou um grupo de usuários, o que fornece uma
correspondência muito mais granular, para aumentar a segurança. Você também pode selecionar objetos ISDB como origem na
política de firewall, sobre a qual aprenderá mais adiante nesta lição.
Ao selecionar um nome de domínio totalmente qualificado (FQDN) como endereço de origem, ele deve ser resolvido pelo
DNS e armazenado em cache no FortiGate. Certifique-se de que o FortiGate esteja configurado corretamente para as
configurações de DNS. Se o FortiGate não conseguir resolver um endereço FQDN, ele apresentará uma mensagem
de aviso e uma política de firewall configurada com esse FQDN pode não funcionar corretamente.
NÃO REIMPRIMA
© FORTINET
Se um usuário for adicionado como parte da fonte, o FortiGate deverá verificar o usuário antes de permitir ou negar o acesso
com base na política de firewall. Existem diferentes maneiras que um usuário pode autenticar.
Para usuários locais, o nome de usuário e a senha são configurados localmente no FortiGate. Quando um usuário local
se autentica, as credenciais inseridas devem corresponder ao nome de usuário e senha configurados localmente no FortiGate.
Para um usuário remoto (por exemplo, LDAP ou RADIUS), o FortiGate recebe o nome de usuário e a senha do usuário remoto e
passa essas informações para o servidor de autenticação. O servidor de autenticação verifica as credenciais de login do
usuário e atualiza o FortiGate. Depois que o FortiGate recebe essas informações, ele concede acesso à rede com base na
política de firewall.
As informações de um usuário de logon único (FSSO) da Fortinet são recuperadas do controlador de domínio. O acesso é
concedido com base nas informações do grupo no FortiGate.
NÃO REIMPRIMA
© FORTINET
No exemplo mostrado neste slide, os seletores de origem identificam a sub-rede e o grupo de usuários específicos.
Lembre-se, o usuário é um objeto opcional. O objeto de usuário é usado aqui para tornar a política mais específica. Se você
deseja que a política corresponda a mais tráfego, deixe o objeto de usuário indefinido.
Você também pode usar objetos de serviço de Internet (ISDB) como origem na política de firewall. Existe uma relação entre
os objetos de serviço da Internet e os objetos de endereço de origem nas políticas de firewall. Isso significa que você pode
selecionar um endereço de origem ou um serviço de Internet, mas não ambos.
NÃO REIMPRIMA
© FORTINET
Como a origem do pacote, o FortiGate também verifica se há uma correspondência no endereço de destino.
Você pode usar objetos de endereço ou objetos ISDB como destinos na política de firewall. O objeto de endereço pode ser
um nome de host, sub-rede IP ou intervalo. Se você inserir um FQDN como o objeto de endereço, verifique se configurou
seu dispositivo FortiGate com servidores DNS. O FortiGate usa DNS para resolver esses nomes de host FQDN para endereços
IP, que são os que realmente aparecem no cabeçalho IP.
Você pode selecionar endereços geográficos, que são grupos ou faixas de endereços alocados para um país. Você atualiza
esses objetos por meio do FortiGuard.
Por que não há opção para selecionar um usuário? A identificação do usuário é determinada na interface de entrada e os
pacotes são encaminhados somente para a interface de saída após a autenticação do usuário ser bem-sucedida.
NÃO REIMPRIMA
© FORTINET
Serviço de Internet é um banco de dados que contém uma lista de endereços IP, protocolos IP e números de porta usados
pelos serviços de Internet mais comuns. O FortiGate baixa periodicamente a versão mais recente deste banco de dados
do FortiGuard. Você pode selecioná-los como Origem ou Destino na política de firewall.
O que acontece se você precisar permitir o tráfego apenas para alguns destinos públicos conhecidos da Internet, como
Dropbox ou Facebook?
Ao configurar sua política de firewall, você pode usar o serviço de Internet como destino em uma política de firewall,
que contém todos os endereços IP, portas e protocolos usados por esse serviço. Pela mesma razão, você não pode misturar
objetos de endereço regulares com objetos ISDB e não pode selecionar serviços em uma política de firewall.
Os objetos ISDB já possuem informações de serviços, que são codificadas permanentemente.
Em comparação com os objetos de endereço, que você precisa verificar com frequência para garantir que nenhum dos
endereços IP tenha sido alterado ou que as portas apropriadas sejam permitidas, os serviços de Internet ajudam a tornar
esse tipo de implantação mais fácil e simples.
NÃO REIMPRIMA
© FORTINET
Os objetos ISDB baseados em geografia permitem que os usuários definam um país, região e cidade. Esses objetos podem
ser usados em políticas de firewall para um controle mais granular sobre a localização do objeto ISDB pai.
Os objetos ISDB são referenciados nas políticas por nome, em vez de por ID.
NÃO REIMPRIMA
© FORTINET
Você pode desabilitar as atualizações do ISDB para que ocorram apenas durante uma janela de controle de alterações. Depois que as
atualizações do ISDB são desativadas, outras atualizações agendadas do FortiGuard para IPS, AV e assim por diante não atualizam o
ISDB. Por padrão, as atualizações ISDB estão habilitadas.
NÃO REIMPRIMA
© FORTINET
Os agendamentos adicionam um elemento de tempo à política. Por exemplo, você pode usar uma política para permitir
que o software de backup seja ativado à noite ou criar uma janela de teste para um endereço remoto permitido para fins
de teste.
As programações podem ser configuradas e usar um relógio de 24 horas. Existem algumas definições de configuração que
vale a pena mencionar:
• Recorrente: Se você habilitar o dia inteiro, o tráfego será permitido por 24 horas para os dias selecionados. Quando
configurando agendamentos recorrentes, se você definir a hora de parada antes da hora de início, a hora de parada
ocorrerá no dia seguinte. Por exemplo, se você selecionar domingo como o dia, 10:00 como hora de início e 09:00 como
hora de término, a programação será interrompida na segunda-feira às 09:00. Se os horários de início e término forem
idênticos, a programação será executada por 24 horas.
• Único: a data e hora de início devem ser anteriores à data e hora de término. Você também pode habilitar o log de eventos
de pré-expiração, que irá gerar um log de eventos N número de dias antes do cronograma expirar, onde N pode ser de 1
a 100 dias.
NÃO REIMPRIMA
© FORTINET
Outro critério que o FortiGate usa para corresponder às políticas é o serviço do pacote.
Na camada IP, os números de protocolo (por exemplo, TCP, UDP, SCTP e assim por diante), juntamente com as portas de
origem e destino, definem cada serviço de rede. Geralmente, apenas uma porta de destino (ou seja, a porta de escuta do
servidor) é definida. Alguns aplicativos legados podem usar uma porta de origem específica, mas na maioria dos aplicativos
modernos, a porta de origem é identificada aleatoriamente no momento da transmissão e, portanto, não é uma maneira
confiável de definir o serviço.
Por exemplo, o objeto de serviço predefinido denominado HTTP é a porta de destino TCP 80 e o objeto de serviço predefinido
denominado HTTPS é a porta de destino TCP 443. No entanto, as portas de origem duram apenas um curto período de tempo e,
portanto, não são definidas.
Por padrão, os serviços são agrupados para simplificar a administração por categorias. Se os serviços predefinidos não
atenderem às suas necessidades organizacionais, você poderá criar um ou mais novos serviços, grupos de serviços e categorias.
NÃO REIMPRIMA ©
FORTINET
NÃO REIMPRIMA
© FORTINET
Bom trabalho! Agora você entende os componentes usados nas políticas de firewall e os critérios de correspondência
usados pelo FortiGate.
NÃO REIMPRIMA
© FORTINET
Depois de concluir esta seção, você será capaz de atingir os objetivos mostrados neste slide.
Ao demonstrar competência na configuração de políticas de firewall, você poderá aplicar as configurações corretas,
como perfis de segurança, registro e modelagem de tráfego, às políticas de firewall no FortiGate e tornar sua rede mais segura.
NÃO REIMPRIMA
© FORTINET
Ao configurar uma nova política de firewall na GUI, você deve especificar um nome exclusivo para a política de firewall
porque ela é ativada por padrão, enquanto é opcional na CLI. Isso ajuda o administrador a identificar rapidamente a
política que está procurando. No entanto, você pode tornar esse recurso opcional na GUI na página Visibilidade do recurso
ativando Permitir políticas sem nome.
Observe que se uma política for configurada sem um nome de política na CLI e você modificar essa política existente na GUI,
deverá especificar um nome exclusivo. A visualização plana da GUI do FortiGate permite que você selecione interfaces e outros
objetos clicando ou arrastando e soltando da lista preenchida no lado direito.
Você pode selecionar Serviço de Internet como fonte. Serviço de Internet é uma combinação de um ou mais endereços
e um ou mais serviços associados a um serviço encontrado na Internet, como um serviço de atualização de software.
Existem muitas outras opções que podem ser configuradas na política de firewall, como firewall e opções de rede, perfis de
segurança, opções de registro e ativação ou desativação de uma política.
Ao criar objetos ou políticas de firewall, um atributo identificador universalmente exclusivo (UUID) é adicionado para que os
logs possam registrar esses UUIDs e melhorar a funcionalidade ao integrar com FortiManager ou FortiAnalyzer.
Ao criar políticas de firewall, lembre-se de que o FortiGate é um firewall com estado. Como resultado, você precisa criar
apenas uma política de firewall que corresponda à direção do tráfego que inicia a sessão. O FortiGate lembrará automaticamente
o par origem-destino e permitirá respostas.
NÃO REIMPRIMA
© FORTINET
Um dos recursos mais importantes que uma política de firewall pode aplicar são os perfis de segurança, como IPS e antivírus.
Um perfil de segurança inspeciona cada pacote no fluxo de tráfego, onde a sessão já foi aceita condicionalmente pela política
de firewall.
Ao inspecionar o tráfego, o FortiGate pode usar um dos dois métodos: inspeção baseada em fluxo ou inspeção baseada
em proxy. Diferentes recursos de segurança são suportados por cada tipo de inspeção.
Observe que, por padrão, a opção de perfil de segurança Filtro de vídeo, VOIP e Web Application Firewall não está visível na
página de política na GUI. Você precisa ativá-los na página Visibilidade do recurso.