Buscar

(https://fortifirewall.com.br)
Corporativo (https://fortifirewall.com.br) Produtos (https://fortifirewall.com.br/Produtos/c/49/) Serviços (https://fortifirewall.com.br/Servicos/c/52/) Setores (https://fortifirewall.com.br/Setores/c/51/)

Soluções (https://fortifirewall.com.br/Solucoes/c/70/) Blog e Mídias (https://fortifirewall.com.br/Blog/) Contato (https://fortifirewall.com.br/Fale-Conosco/)

Corporativo (https://fortifirewall.com.br)
Acesso a Rede Zero-TrustRede Orientada a Segurança Segurança Dinâmica na Nuvem Segurança orientada a inteligência artificial
Produtos (https://fortifirewall.com.br/Produtos/c/49/)Serviços (https://fortifirewall.com.br/Servicos/c/52/)Setores (https://fortifirewall.com.br/Setores/c/51/)Soluções (https://fortifirewall.com.br/Solucoes/c/70/)

Blog e Mídias (https://fortifirewall.com.br/Blog/) Contato (https://fortifirewall.com.br/Fale-Conosco/)

(https://fortifirewall.com.br)

Endereço 1: Avenida Paulista, 1765

 Bela Vista, São Paulo, SP
Endereço 2: Boulevard 28 de Setembro, 307
Vila Isabel, Rio de Janeiro, RJ

SP : (11) 2391-1712 Horário do escritório : Seg a

 RJ : (21) 2391-0391  Sexta 08:00 - 18:00
E-mail : info@fortifirewall.com.br (mailto:info@fortifirewall.com.br)

Whatsapp para projetos

 (http://api.whatsapp.com/send?1=pt_BR&phone=5511978278448)
Home (https://fortifirewall.com.br/Loja-Online/)  Blog (https://fortifirewall.com.br/Blog)  Como Criar
Policy no Firewall Fortinet Fortigate

JULHO 2, 2020

por Forti Firewall

Como Criar Policy no Firewall Fortinet Fortigate

A Policy no firewall é o eixo em torno do qual a

maioria dos recursos do FortiGate gira. Muitas
configurações de firewall acabam relacionadas ou
estão associadas às Policys e ao tráfego que elas
governam. Qualquer tráfego passando por um
Firewall FortiGate deve ser associado a uma Policy.
Essas Policys são essencialmente conjuntos discretos de
instruções compartimentadas que controlam o fluxo de
tráfego passando pelo firewall Fortinet. Estas instruções
controlam para onde vai o tráfego, como é processado, se
é processado e se é permitido ou não passar pelo Firewall
FortiGate.

Quando o firewall Fortigate recebe um pacote de conexão,

ele analisa o endereço de origem, o endereço de destino e
o serviço (pelo número da porta). Ele também registra a
interface de entrada, a interface de saída que precisa usar
e a hora do dia.

Usando essas informações, o firewall FortiGate tenta

localizar uma Policy de segurança que corresponda ao
pacote. Se uma política corresponder aos parâmetros, o
FortiGate executará a ação necessária para essa Policy. Se
for “Aceitar” o tráfego poderá prosseguir para a próxima
etapa. Se a ação for “Negar” ou uma correspondência não
for encontrada, o tráfego não poderá continuar.

As duas ações básicas na conexão inicial são Aceitar ou

Negar:
 I. Se a ação for Aceitar, a Policy permitirá
sessões de comunicação. Pode haver outras
instruções de processamento de pacotes,
como exigir autenticação para usar a diretiva
ou restrições na origem e destino do tráfego.
II. Se a ação for Negar, a Policy bloqueará as
sessões de comunicação e, opcionalmente,
você pode registrar o tráfego negado. Se
nenhuma Policy de segurança corresponder ao
tráfego, os pacotes serão descartados. Uma
Policy de segurança Negar é necessária
quando é necessário registrar o tráfego
negado, também chamado de tráfego de
violação.

Parâmetros da diretiva de firewall

Fortinet

Para o tráfego fluir através do firewall FortiGate, deve haver

uma Policy que corresponda aos seus parâmetros:

a. Interface (s) de entrada

b. Interface (s) de saída
c. Endereço (s) de origem
d. Identidade do usuário
e. Endereço (s) de destino
f. Serviços da Internet)
 g. Cronograma
h. Serviço

Sem todas as seis (possivelmente oito) dessas coisas

correspondentes, o tráfego é recusado.

O fluxo de tráfego iniciado em cada direção requer uma

Policy, ou seja, se as sessões podem ser iniciadas em
ambas as direções, cada direção exige uma Policy para
ela.

Só porque os pacotes podem ir do ponto A ao ponto B na

porta X não significa que o tráfego possa fluir do ponto B
ao ponto A na porta X. Uma política deve ser configurada
para cada direção.

Ao projetar uma policy, geralmente há referência ao fluxo

de tráfego, mas a maior parte da comunicação é
bidirecional, portanto, tentar determinar a direção do fluxo
pode ser confuso. Se o tráfego é tráfego da Web HTTP, o
usuário envia uma solicitação ao site, mas a maior parte
do fluxo de tráfego será proveniente do site para o usuário
ou nas duas direções? Para fins de determinar a direção de
uma policy, o fator importante é a direção da comunicação
inicial. O usuário está enviando uma solicitação para o site,
então essa é a comunicação inicial; o site está
respondendo e o tráfego é da rede do usuário para a
Internet.

Serviço padrão do modo de aplicação

de Policy NGFW

No modo baseado em policy do NGFW, o serviço padrão

aplica aplicativos em execução apenas em sua porta de
serviço padrão. Os aplicativos especificados na policy são
monitorados e, se o tráfego for detectado a partir de uma
porta não padrão, ele será bloqueado e uma entrada de log
será registrada com um tipo de evento de violação de
porta.

Se você não estiver usando as portas padrão e precisar

escolher serviços específicos, selecione Especificar para
selecionar os serviços necessários.

Exemplo

Neste exemplo, a porta padrão é imposta ao tráfego

HTTPS usando o aplicativo HTTP.Audio.
Primeiro, uma policy de inspeção e autenticação SSL é
criada para trafegar antes da correspondência e, em
seguida, uma policy de segurança é criada para permitir o
aplicativo HTTP.Audio ao usar a porta padrão. A busca de
um arquivo MP3 de um servidor HTTP usando a porta 443
é permitida, mas é bloqueada ao usar uma porta não
padrão, como 8443.

Para impor o aplicativo HTTP.Audio usando a porta padrão

na GUI:

1. Crie uma nova política de inspeção e

autenticação SSL ou use a política padrão.
2. Vá para Política e objetos> Política de
segurança e clique em Criar novo.
3. Digite um nome para a política, como
allow_HTTP.Audio.
4. Configure as portas conforme necessário.
5. Defina Serviço como App Default.
6. No campo Aplicativo, selecione HTTP.Audio.
7. Defina a ação para aceitar.
8. Clique ok
Para impor o aplicativo HTTP.Audio usando a
porta padrão na CLI:

Crie uma policy de firewall:

config firewall consolidated policy

edit 1

set name "consolidated_all"

 set srcintf "port13"

set dstintf "port14"

set srcaddr4 "all"

set dstaddr4 "all"

set service "ALL"

set ssl-ssh-profile "new-deep-inspection"

next

end

Crie uma policy de segurança:

config firewall security-policy

edit 1

set name "allow_HTTP.Audio"

set srcintf "port13"

set dstintf "port14"

set srcaddr4 "all"

 set enforce-default-app-port enable

set action accept

set schedule "always"

set logtraffic all

set application 15879

next

end

Os Logs

Os logs do aplicativo mostram logs com um tipo de evento

de violação de porta para o tráfego na porta 8443 que está
bloqueado e um tipo de evento de assinatura para o
tráfego na porta 443 que é permitido.

Blocked:

2: date=2019-06-18 time=16:15:40 logid="1060028736"

type="utm" subtype="app-ctrl" eventtype="port-violation"
level="warning" vd="vd1"
eventtime=1560899740218875746 tz="-0700"
appid=15879 srcip=10.1.100.22 dstip=172.16.200.216
srcport=52680 dstport=8443 srcintf="port13"
srcintfrole="undefined" dstintf="port14"
dstintfrole="undefined" proto=6 service="HTTPS"
direction="incoming" policyid=1 sessionid=5041
appcat="Video/Audio" app="HTTP.Audio" action="block"
hostname="172.16.200.216" incidentserialno=1906780850
url="/app_data/story.mp3" securityid=2 msg="Video/Audio:
HTTP.Audio," apprisk="elevated"

Allowed:

1: date=2019-06-18 time=16:15:49 logid="1059028704"

type="utm" subtype="app-ctrl" eventtype="signature"
level="information" vd="vd1"
eventtime=1560899749258579372 tz="-0700"
appid=15879 srcip=10.1.100.22 dstip=172.16.200.216
srcport=54527 dstport=443 srcintf="port13"
srcintfrole="undefined" dstintf="port14"
dstintfrole="undefined" proto=6 service="HTTPS"
direction="incoming" policyid=1 sessionid=5064
appcat="Video/Audio" app="HTTP.Audio" action="pass"
hostname="172.16.200.216" incidentserialno=1139663486
url="/app_data/story.mp3" securityid=2 msg="Video/Audio:
HTTP.Audio," apprisk="elevated"
Exibições e Pesquisa das Policys no
Firewall Fortigate

Este tópico fornece uma amostra de exibições de política

de firewall e pesquisa de política de firewall.

Exibições da Policy

Na página de lista de diretivas das Policys e Objects, há

duas exibições de diretivas: Exibição de Par de Interface e
Exibição Por Sequência.

A exibição de pares de interfaces exibe as Policys na

ordem em que são verificadas quanto ao tráfego
correspondente, agrupadas pelos pares de interfaces de
entrada e saída. Por exemplo, todas as policys que
referenciam o tráfego da WAN1 para a DMZ estão em uma
seção. As policys que referenciam o tráfego da DMZ para a
WAN1 estão em outra seção. As seções são dobráveis, de
modo que você só precisa olhar para as seções que
deseja.
Por sequência exibe as policys na ordem em que são
verificadas quanto ao tráfego correspondente sem
nenhum agrupamento.

A exibição padrão é Visualização de par de interface. Você

pode alternar entre as duas visualizações, exceto se
alguma ou várias interfaces forem aplicadas na policy.
Como qualquer policy ou várias
interfaces podem alterar a
Visualização do Par de Interface

O Firewall FortiGate altera automaticamente a exibição na

página da lista de policys para pôr uma sequência sempre
que houver uma política que contenha uma ou várias
interfaces como interface de origem ou destino. Se a
Visualização do par de interface estiver acinzentada, é
provável que uma ou mais policys tenham usado a
interface qualquer ou múltiplas.

Quando você usa uma ou várias interfaces, a policy entra

em várias seções porque pode ser qualquer um de vários
pares de interfaces. As policys são divididas em seções
usando os pares de interface, por exemplo, porta1 a
porta2.

Cada seção tem sua própria ordem de policy. A ordem na

qual uma policy é verificada quanto à correspondência de
critérios com as informações de um pacote é baseada
apenas na posição da policy em sua seção ou em toda a
lista de policys. Se a policy estiver em várias seções, o
FortiGate não poderá colocar a política em ordem em
várias seções. Portanto, a visualização pode ser apenas
por sequência.

Pesquisa de policy

A pesquisa de diretiva de firewall é baseada

Source_interfaces/ Protocol/ Source_Address/
Destination_Address que correspondem à source-port e à
dst-port do protocolo. Use esta ferramenta para descobrir
qual policy corresponde ao tráfego específico de várias
policys.

Após concluir a pesquisa, a policy do firewall

correspondente é destacada na página da lista de
políticas.

A ferramenta Policy Lookup possui os

seguintes requisitos:
O modo transparente não suporta a função de pesquisa de
policy.

Ao executar a pesquisa de policy, você precisa confirmar

se a rota relevante necessária para o trabalho da policy já
existe.

Exemplo de Configuração de pesquisa de

Policy

Este exemplo usa o protocolo TCP para mostrar como a

pesquisa de policy funciona:

Na página da lista de diretivas Policys e Objects, clique em

Pesquisa de Policy e insira os parâmetros de tráfego.
Clique em Pesquisar para exibir os resultados da pesquisa
de policy.

SNAT estático

Network Address Translation (NAT) é o processo que

permite que um único dispositivo, como um roteador ou
firewall, atue como um agente entre a Internet ou a rede
pública e uma rede local ou privada.

Esse agente atua em tempo real para converter o endereço

IP de origem ou destino de um cliente ou servidor na
interface de rede. Para a tradução do IP de origem, isso
permite que um único endereço público represente um
número significativamente maior de endereços privados.
Para a conversão de IP de destino, o firewall pode
converter um endereço de destino público em um
endereço privado. Portanto, não precisamos configurar um
endereço IP público real para o servidor implantado em
uma rede privada.

Podemos subdividir o NAT em dois tipos: NAT de origem

(SNAT) e NAT de destino (DNAT). Este tópico é sobre SNAT,
suportamos três modos de trabalho NAT: SNAT estático,
SNAT dinâmico e SNAT central.

No SNAT estático, todos os endereços IP internos são

sempre mapeados para o mesmo endereço IP público.
Esta é uma conversão de endereço de porta. Como temos
60416 números de porta disponíveis, esse endereço IP
público pode lidar com a conversão de 60.416 endereços
IP internos.

Veja o exemplo abaixo.

As configurações de firewall do FortiGate geralmente
usam o endereço da Interface de saída.

Configuração de Exemplo

O exemplo a seguir de SNAT estático usa uma rede interna

com a sub-rede 10.1.100.0/24 (vlan20) e uma rede externa
/ ISP com a sub-rede 172.16.200.0/24 (vlan30).

Quando os clientes na rede interna precisam acessar os

servidores na rede externa, precisamos converter os
endereços IP de 10.1.100.0/24 para um endereço IP
172.16.200.0/24. Neste exemplo, implementamos o SNAT
estático criando uma política de firewall.
Para configurar o NAT estático:

1. Em Política e objetos> Política IPv4, clique em Criar

novo.
2. Digite os parâmetros de política necessários.
3. Habilite o NAT e selecione Usar endereço de
interface de saída.
4. Se necessário, habilite Preserve Source Port.

Ative Preservar porta de origem para manter a mesma

porta de origem para serviços que esperam que o tráfego
venha de uma porta de origem específica.

Desabilite Preserve Source Port para permitir mais de uma

conexão através do firewall para esse serviço.
Para pacotes que correspondem a essa policy, seu
endereço IP de origem é convertido no endereço IP da
interface de saída.
Avalie o artigo:
Como Criar Policy no Firewall Fortinet Fortigate

Avalie este Artigo!


0 5,00 de 5
Avaliar
4 Avaliações

0 Comentários

Deixe seu comentário

ENVIAR
SIGA A FORTI FIREWALL

Forti Firewall
95 curtidas
 Curtir Página Compartilhar

Forti Firewall
há cerca de um ano

Firewalls de próxima geração

(NGFWs) protegem as
infraestruturas de computação
locais e baseadas em nuvem e
são uma parte crítica de uma
arquitetura de segurança bem
projetada e de defesa em
profundidade. Profissionais de
segurança dependem de NGFWs
para visibilidade, aplicação de
segurança e políticas de
conformidade e para proteger sua
infraestrutura de TI. Quer sua
empresa seja grande ou
pequena, é importante ter
ferramentas para gerenciar e

CATEGORIAS NO BLOG

Firewall Fortinet (https://fortifirewall.com.br/Blog/Categoria/Firewall-Fortinet/1/)

Segurança para setor financeiro (https://fortifirewall.com.br/Blog/Categoria/Seguranca-Para-

Setor-Financeiro/2/)
soluções Fortinet (https://fortifirewall.com.br/Blog/Categoria/Solucoes-Fortinet/3/)

projetos Fortinet (https://fortifirewall.com.br/Blog/Categoria/Projetos-Fortinet/4/)

segurança corporativa Fortinet (https://fortifirewall.com.br/Blog/Categoria/Seguranca-

Corporativa-Fortinet/5/)

Ameaças Cibernéticas (https://fortifirewall.com.br/Blog/Categoria/Ameacas-Ciberneticas/6/)

Cloud Security (https://fortifirewall.com.br/Blog/Categoria/Cloud-Security/7/)

FortiSIEM (https://fortifirewall.com.br/Blog/Categoria/Fortisiem/8/)

Fortinet VPN (https://fortifirewall.com.br/Blog/Categoria/Fortinet-Vpn/9/)

Autenticação Fortinet (https://fortifirewall.com.br/Blog/Categoria/Autenticacao-Fortinet/10/)

Fortigate (https://fortifirewall.com.br/Blog/Categoria/Fortigate/11/)

Wireless Segura (https://fortifirewall.com.br/Blog/Categoria/Wireless-Segura/12/)

FortiAP (https://fortifirewall.com.br/Blog/Categoria/Fortiap/13/)

Segurança para Redes Wireless (https://fortifirewall.com.br/Blog/Categoria/Seguranca-Para-

Redes-Wireless/14/)

LGPD (https://fortifirewall.com.br/Blog/Categoria/Lgpd/15/)

PCI Compliance (https://fortifirewall.com.br/Blog/Categoria/Pci-Compliance/16/)

FortiAnalyzer (https://fortifirewall.com.br/Blog/Categoria/Fortianalyzer/17/)

Relatórios de Compliance (https://fortifirewall com br/Blog/Categoria/Relatorios De

 Relatórios de Compliance (https://fortifirewall.com.br/Blog/Categoria/Relatorios-De-

Compliance/18/)

due diligence (https://fortifirewall.com.br/Blog/Categoria/Due-Diligence/19/)

engenharia social (https://fortifirewall.com.br/Blog/Categoria/Engenharia-Social/20/)

FortiToken (https://fortifirewall.com.br/Blog/Categoria/Fortitoken/21/)

Autenticação de dois fatores (https://fortifirewall.com.br/Blog/Categoria/Autenticacao-De-Dois-

Fatores/22/)

2FA (https://fortifirewall.com.br/Blog/Categoria/2fa/23/)

Segurança da informação para indústria (https://fortifirewall.com.br/Blog/Categoria/Seguranca-

Da-Informacao-Para-Industria/24/)

OT Security (https://fortifirewall.com.br/Blog/Categoria/Ot-Security/25/)

JS injection (https://fortifirewall.com.br/Blog/Categoria/Js-Injection/26/)

Segurança para Home Office (https://fortifirewall.com.br/Blog/Categoria/Seguranca-Para-Home-

Office/27/)

Soluções Fortinet para Hospitais (https://fortifirewall.com.br/Blog/Categoria/Solucoes-Fortinet-

Para-Hospitais/28/)

Fortigate Cloud VM (https://fortifirewall.com.br/Blog/Categoria/Fortigate-Cloud-Vm/29/)

Gerenciamento de Segurança na Nuvem

 (https://fortifirewall.com.br/Blog/Categoria/Gerenciamento-De-Seguranca-Na-Nuvem/32/)

SASE (https://fortifirewall.com.br/Blog/Categoria/Sase/33/)

FortiCASB (https://fortifirewall.com.br/Blog/Categoria/Forticasb/34/)

Segurança para setor educacional (https://fortifirewall.com.br/Blog/Categoria/Seguranca-Para-

Setor-Educacional/35/)

ZTNA (https://fortifirewall.com.br/Blog/Categoria/Ztna/36/)

SD-WAN Segura (https://fortifirewall.com.br/Blog/Categoria/Sd-Wan-Segura/37/)

(https://fortifirewall.com.br)

A Forti Firewall é uma empresa do grupo Xtech Solutions voltada para soluções de valor agregado da
Fortinet.
NOSSOS SERVIÇOS

Serviço Gerenciado de Firewall (https://fortifirewall.com.br/Servico-Gerenciado-De-Firewall/c/62/)

Rede Wireless Segura (https://fortifirewall.com.br/Rede-Wireless-Segura/c/67/)

Monitoramento de Firewall (https://fortifirewall.com.br/Monitoramento-De-Firewall/c/63/)

Security Fabric para pequenas empresas (https://fortifirewall.com.br/Security-Fabric-Para-

Pequenas-Empresas/c/69/)

Análise de Ameaças (https://fortifirewall.com.br/Analise-De-Ameacas/c/66/)

Serviço Profissional para Firewall (https://fortifirewall.com.br/Servico-Profissional-Para-

Firewall/c/68/)

Aluguel de Firewall (https://fortifirewall.com.br/Aluguel-De-Firewall/c/64/)

NOSSAS SOLUÇÕES

FORTIINSIGHT (https://fortifirewall.com.br/Fortiinsight/c/90/)
FORTISANDBOX (https://fortifirewall.com.br/Fortisandbox/c/78/)

FORTITOKEN CLOUD (https://fortifirewall.com.br/Fortitoken-Cloud/c/87/)

FORTISWITCH (https://fortifirewall.com.br/Fortiswitch/c/76/)

FORTICARE (https://fortifirewall.com.br/Forticare/c/85/)

FORTICLIENT EMS (https://fortifirewall.com.br/Forticlient-Ems/c/73/)

FORTIEDR (https://fortifirewall.com.br/Fortiedr/c/89/)

FORTIANALYZER (https://fortifirewall.com.br/Fortianalyzer/c/72/)

FORTICLOUD (https://fortifirewall.com.br/Forticloud/c/75/)

FORTIMANAGER (https://fortifirewall.com.br/Fortimanager/c/71/)

FORTISIEM (https://fortifirewall.com.br/Fortisiem/c/74/)

FORTIAUTHENTICATOR (https://fortifirewall.com.br/Fortiauthenticator/c/91/)

FORTIGUARD (https://fortifirewall.com.br/Fortiguard/c/84/)

FORTIGATE VM (https://fortifirewall.com.br/Fortigate-Vm/c/88/)

FORTIGATE (https://fortifirewall.com.br/Fortigate/c/77/)

FORTICARE 360 (https://fortifirewall.com.br/Forticare-360/c/86/)

DETALHES DE CONTATO
 Avenida Paulista, 1765, Bela Vista, São Paulo, SP

Boulevard 28 de Setembro, 307, Vila Isabel, Rio de Janeiro, RJ

 (11) 2391-1712
(21) 2391-0391

info@fortifirewall.com.br (mailto:info@fortifirewall.com.br)

 Seg-Sex, 8:00 - 18:00

ASSINE A NEWSLETTER

Inscreva-se hoje para receber dicas e novidades e ofertas especiais exclusivas.

Email *

Eu
concordo
em
Ao informar meus dados eu concordo com a
 Ao informar meus dados, eu concordo com a
receber comunicações.
Política de Privacidade (https://xtech.com.br/politica-privacidade/)
.

Cadastrar

Prometemos não utilizar suas informações de contato para enviar qualquer tipo de SPAM.

Não fazemos spam e seu e-mail é confidencial.

Termos e Condições (https://fortifirewall.com.br/Termos-Condicoes/)

Política de Privacidade (https://fortifirewall.com.br/Politica-Privacidade/)
Política de trocas e devoluções (https://fortifirewall.com.br/Trocas-Devolucoes/)
Copyright 2019 Forti Firewall, All Right Reserved