FortiGate 7.4 Operator Lesson Scripts

Machine Translated by Google
Operador FortiGate
Roteiros de aula
7.4
Instituto de Treinamento Fortinet - Biblioteca
https://training.fortinet.com
Documentação do produto Fortinet
https://docs.fortinet.com
Base de Conhecimento Fortinet
https://kb.fortinet.com
Comunidade de usuários do Fortinet Fuse
https://fusecommunity.fortinet.com/home
Fóruns Fortinet
https://forum.fortinet.com
Suporte ao produto Fortinet
https://support.fortinet.com
Laboratórios FortiGuard
https://www.fortiguard.com
Informações sobre o programa de treinamento Fortinet
https://www.fortinet.com/nse-training
Fortuna | Pearson VUE
https://home.pearsonvue.com/fortinet
Helpdesk do Fortinet Training Institute (perguntas de treinamento, comentários, feedback)
https://helpdesk.training.fortinet.com/support/home
14/09/2023
ÍNDICE
Visão geral do Fortigate 4
Configurando interfaces e roteamento 6

Políticas de firewall 8
Autenticação de usuários de rede 10
Inspecione o tráfego SSL 12
Bloqueio de malware 14
Controle o acesso à Web usando filtragem da Web 16
Configurando o sistema de prevenção de intrusões FortiGate 18
Controlando o acesso aos aplicativos 20
Criando redes privadas virtuais IPsec 22
Configurando VPN SSL FortiGate 26
Manutenção e monitoramento do sistema FortiGate 28
Configurando o Fortinet Security Fabric 31

Visão geral do Fortigate
Bem-vindo à lição de visão geral do FortiGate .
Clique em Avançar para começar.
Depois de concluir esta lição, você será capaz de atingir estes objetivos:
Descreva o FortiGate.
l Explique os principais recursos do FortiGate.

Compreenda o FortiGuard Labs.
FortiGate é um firewall de próxima geração (NGFW) que oferece segurança empresarial líder do setor com total visibilidade e proteção contra ameaças.
Usando o FortiGate, as organizações podem alcançar:
l Segurança ultrarrápida em toda a rede

l Uma defesa consistente em tempo real
l Uma excelente experiência do usuário l
Eficiência operacional e fluxos de trabalho automatizados
A plataforma FortiGate agrega força sem comprometer a flexibilidade, combinando vários elementos-chave: serviços de assinatura FortiGuard, recursos
de segurança, sistema operacional FortiOS e unidades de processamento de segurança (SPUs). O FortiGate também pode ser integrado a outros produtos
Fortinet.
Existem muitos modelos diferentes de FortiGate, desde dispositivos de hardware básicos até dispositivos de última geração.
FortiGate-VM, um dispositivo virtual, oferece a mesma proteção que os dispositivos físicos para nuvem pública e privada. Isso garante que o FortiGate
se adapte perfeitamente ao seu ambiente.
FortiGate oferece uma variedade de recursos para proteger sua rede. Esses recursos incluem o seguinte:
l Autenticação de firewall, local e remota
eu VPNs
l Verificação de segurança, como antivírus, filtragem da Web e controle de aplicativos l Monitoramento
e registro
FortiGate também faz parte do Fortinet Security Fabric. Você aprenderá mais sobre todos esses recursos em lições posteriores.
Para se manter atualizado com o cenário de ameaças em constante mudança, os dispositivos FortiGate podem receber atualizações por meio dos Serviços
de Segurança FortiGuard, desenvolvidos pelo FortiGuard Labs.
Fundado em 2002, o FortiGuard Labs é a organização de pesquisa e inteligência de ameaças de segurança cibernética de elite da Fortinet.
Estabelecer parcerias com agências de aplicação da lei, organizações governamentais e alianças de fornecedores de segurança em todo o mundo para
combater riscos emergentes de segurança global.
Os laboratórios FortiGuard mantêm inteligência sobre ameaças em tempo real e táticas e ferramentas de prevenção inovadoras em todo o mundo.
Fortinet Security Fabric em três categorias principais:
l Aprendizado de máquina (ML) e inteligência artificial (IA) confiáveis que impedem ameaças desconhecidas com mais rapidez. l
Proteção contra ameaças em tempo real para fornecer uma postura de segurança proativa. l
Caça a ameaças e alertas de surtos, que permitem uma correção mais rápida.
4 Scripts de lição do operador FortiGate 7.4 Fortinet

Technologies Inc.
Visão geral do Fortigate
Você concluiu a lição. Agora você é capaz de:
Descreva o FortiGate.
l Explique os principais recursos do FortiGate.

Compreenda o FortiGuard Labs.
Scripts de lição do operador FortiGate 7.4 5

Fortinet Technologies Inc.
Configurando interfaces e roteamento
Bem-vindo à lição Configurando Interfaces e Roteamento .
l Configure interfaces de rede. l Configure o
FortiGate como um servidor DHCP. l Configure rotas
estáticas.
l Monitore rotas estáticas.
As interfaces físicas e virtuais permitem que o tráfego flua entre redes internas e entre a Internet e as redes internas. O FortiGate possui
opções para configurar interfaces que podem ser escalonadas conforme sua organização cresce.
Você pode definir uma variedade de configurações nas interfaces FortiGate, incluindo:
l Alias: um nome que identifica a interface para referência.
l Endereço IP: o endereço IP público ou privado usado para conectar-se à interface. l Acesso
administrativo: os protocolos que podem ser usados para conectar-se à interface para fins de administração, como HTTPS, PING e SSH.
l Servidores DHCP: um servidor que atribui endereços IP dinamicamente a hosts na rede conectada à interface.
Um servidor DHCP atribui endereços IP dinamicamente a dispositivos na rede conectados à interface. Você pode configurar um ou mais
servidores DHCP em qualquer interface FortiGate.
Uma configuração de servidor DHCP inclui:
l Faixa de endereços: a faixa de endereços IP que o FortiGate atribui aos dispositivos. l Máscara de
rede: a máscara de rede do endereço que o FortiGate atribui aos dispositivos. l Gateway
padrão: o gateway padrão que o FortiGate atribui aos dispositivos. Por padrão, esse gateway é igual ao
endereço IP da interface.
l Servidor DNS: o servidor DNS que o FortiGate atribuirá aos dispositivos. Por padrão, este é o mesmo servidor DNS usado por
Fortigate.
O roteamento estático é a maneira mais básica de configurar o roteamento em um dispositivo de rede, incluindo dispositivos de firewall como o
FortiGate. FortiGate possui uma rota padrão para seu gateway para fornecer acesso à rede de Internet. Mesmo em uma configuração mais
complexa, você provavelmente encontrará rotas estáticas implantadas. Todas as rotas fazem parte da tabela de roteamento, que o FortiGate usa
para combinar o tráfego de entrada e determinar para onde enviar esse tráfego em seguida.
Uma rota estática inclui:
l Destino: o FortiGate usa o destino para combinar o tráfego de entrada com a rota correta. l Endereço do gateway:
este é o endereço IP para o qual o FortiGate encaminha o tráfego.

l Interface: esta é a interface que o FortiGate usa para encaminhar o tráfego para o seu destino.
A rota padrão informa ao FortiGate para onde enviar o tráfego quando os pacotes não incluem uma correspondência exata para o
endereço de destino na tabela de roteamento do FortiGate. Normalmente, todos os usuários que estão por trás do FortiGate precisam de uma
rota padrão para ter acesso à Internet.

Technologies Inc.
Configurando interfaces e roteamento
Na rota padrão, o endereço de destino é definido como 0.0.0.0. O endereço do gateway normalmente é o endereço de outro roteador, seja
um dispositivo na sua rede que está entre o FortiGate e a borda da rede, ou parte da sua rede ISP se o FortiGate estiver localizado na borda
da rede. Finalmente, a interface é a porta FortiGate que se conecta a esse roteador, normalmente a interface WAN.
Cada rota estática que você cria torna-se parte da configuração do FortiGate e você pode verificar isso na GUI em Rede > Rotas Estáticas.
Essas rotas estáticas criadas permanecerão na configuração até que você as exclua.
Diversas condições podem impedir que uma rota configurada seja adicionada à tabela de roteamento e, consequentemente, não seja
utilizada para encaminhar tráfego. As mais comuns dessas condições são:
l A rota está configurada incorretamente.
l A porta associada à rota está inativa ou desativada. l Existe uma rota

melhor a ser usada para encaminhar o tráfego para esse destino.
Na captura de tela mostrada no slide, você pode ver que existe uma rota estática com destino 172.16.30.0/24.
Entretanto, como a porta6 está desabilitada, esta rota não está incluída na tabela de roteamento que também é mostrada.
Para exibir a tabela de roteamento e verificar se uma rota esperada está faltando, você pode ir em Dashboard > Network > Static and
Dynamic Routing. Verificar a tabela de roteamento costuma ser uma das primeiras etapas que você executará ao solucionar
problemas de conectividade de rede.
Você concluiu esta lição. Agora você é capaz de:
l Configure interfaces de rede. l Configure o
FortiGate como um servidor DHCP. l Configure rotas
estáticas.
l Monitore rotas estáticas.

Políticas de firewall
Bem-vindo à lição sobre políticas de firewall .
Ao final desta lição, você será capaz de atingir estes objetivos:
l Descrever o que são políticas de firewall.
Compreenda como funcionam as políticas de
firewall. l Descrever como funcionam os modos de
inspeção. l Configurar políticas de firewall
As políticas de firewall são conjuntos de regras que você usa para controlar se o tráfego em sua rede é aceito pelo FortiGate e, se for
aceito, como o FortiGate o processa.
As políticas de firewall definem qual tráfego corresponde a elas e o que o FortiGate faz quando o tráfego corresponde. Cada política possui
critérios de correspondência, que você pode definir usando os seguintes objetos:
l Interfaces de entrada e saída l Fonte
eu Destino
euServiço _
eu Agendar
Quando o tráfego corresponde a uma política de firewall, o FortiGate aplica a ação configurada nessa política de firewall.
l Se a Ação estiver definida como DENY, o FortiGate descarta a sessão .
l Se a Ação estiver definida como ACEITAR, o FortiGate aceita a sessão
O campo Fonte de uma política de firewall pode corresponder a dois critérios diferentes: sub-rede IP ou usuário. O campo Destino pode
corresponder a dois critérios: sub-rede IP ou serviços de Internet.
Para usar uma sub-rede IP como origem ou destino, você deve primeiro criar um endereço de firewall que corresponda a essa sub-rede.
Para criar uma política que permita que usuários internos acessem a Internet, você deve configurar um endereço de firewall que corresponda
à sub-rede IP da rede interna e usá-lo como origem na política de firewall.
Você também pode criar um endereço de firewall para o endereço IP de um dispositivo específico, como um servidor web. Você usaria
esse endereço como destino em qualquer política de firewall que deseja permitir acesso ao servidor.
Uma opção padrão ALL está disponível para endereços IP de origem e destino. A opção corresponde a todos os endereços IP possíveis. Para
definir um usuário de origem, configure a autenticação do firewall e selecione usuários específicos ou usuário
grupos.
Para usar um serviço de Internet como destino, selecione o serviço apropriado no banco de dados de serviços de Internet (ISDB). O ISDB
é uma lista que inclui as sub-redes IP de provedores de serviços web comumente usados, como Facebook, YouTube e assim por
diante.
A tabela de políticas do FortiGate contém todas as políticas de firewall. Ao combinar o tráfego, o FortiGate verifica a tabela de políticas de
cima para baixo e processa o tráfego usando a primeira política correspondente. Se não houver correspondência, o FortiGate descarta o
tráfego aplicando a política de firewall Implicit Deny padrão, localizada na parte inferior da tabela.
8 Scripts de lição do operador FortiGate 7.4

Políticas de firewall
Como a primeira correspondência é usada, é prática recomendada ter as políticas mais específicas localizadas no topo da tabela e as
políticas mais gerais na parte inferior da tabela. Isso garante que o FortiGate aplique a política correta ao tráfego.
Depois de aceitar o tráfego, o FortiGate pode aplicar outros recursos e configurações a esse tráfego com base na configuração da
política de firewall. Isso pode incluir verificação de segurança, como antivírus, controle de aplicativos e filtragem da web.
A verificação pode bloquear o tráfego se, por exemplo, o FortiGate descobrir que contém um vírus. O FortiGate também aplica
tradução de endereços de rede e registra o tráfego com base nas configurações da política de firewall.
Ao configurar uma política de firewall, você deve selecionar entre dois modos de inspeção: modo de inspeção baseado em fluxo e modo
de inspeção baseado em proxy.
O modo de inspeção baseado em fluxo examina um arquivo à medida que ele passa pelo FortiGate, sem qualquer buffer. À medida
que cada pacote chega, ele é processado e encaminhado sem esperar pelo arquivo ou página da web completo. O FortiGate não altera o
original, o que significa que quaisquer recursos que modifiquem o conteúdo, como a aplicação de pesquisa segura, não são suportados
neste modo.
No modo de inspeção baseado em proxy, o FortiGate armazena o tráfego em buffer e o examina como um todo antes de determinar
uma ação. Como o FortiGate examina os dados como um todo, ele pode examinar mais pontos de dados do que ao usar a inspeção
baseada em fluxo, mas usar esse modo adiciona latência à velocidade geral de transmissão. A inspeção baseada em proxy é mais completa
do que a inspeção baseada em fluxo, produzindo menos resultados falsos positivos e negativos.
l Descrever o que são políticas de firewall.

Compreenda como funcionam as políticas de firewall.
l Descrever como funcionam os modos de
inspeção. l Configure políticas de firewall.

Autenticação de usuários de rede
Bem-vindo à lição sobre autenticação de usuários de rede .
Compreenda a importância de usar autenticação de firewall. l Explique como
funciona a autenticação do firewall FortiGate. l Configure a
autenticação.
l Monitore a autenticação.
A autenticação do firewall exige que os usuários verifiquem sua identidade no FortiGate antes de poderem acessar a rede
recursos.
Para autenticar, os usuários devem inserir suas credenciais, como nome de usuário e senha. Sem autenticação de firewall, a
única informação que o FortiGate conhece sobre o usuário que está originando o tráfego é o endereço IP de origem, que o FortiGate não
pode usar para determinar a identidade do usuário.
Para configurar a autenticação de firewall, adicione um usuário ou grupo de usuários de origem à política de firewall. Isso exige que os
usuários insiram credenciais no início da sessão.
O FortiGate então usa a identidade do usuário, juntamente com as outras regras da política de firewall, para determinar se o tráfego
deve ser permitido ou negado.
Você pode configurar dois tipos de autenticação de firewall no FortiGate: autenticação de senha local e autenticação de senha remota.
A diferença entre esses dois métodos está em saber se as credenciais do usuário são armazenadas no FortiGate ou em um servidor
de autenticação remoto.
O método mais simples de autenticação é a autenticação por senha local. As informações do usuário são armazenadas localmente no
dispositivo FortiGate. Este método funciona bem para uma única instalação do FortiGate.
Ao usar a autenticação de firewall, você precisa criar contas individuais para cada usuário que necessita de acesso à rede. Uma conta de
usuário local contém o nome de usuário e uma senha.
Você também pode criar grupos de usuários locais para agrupar usuários que necessitam do mesmo nível de acesso. Talvez você queira
agrupar funcionários por área de negócios, como finanças ou RH, ou por tipo de funcionário, como prestadores de serviço ou convidados.
Na maioria dos casos, a prática recomendada é usar um grupo em uma política de firewall em vez de contas de usuário individuais.
Você também pode usar a autenticação local para grupos de convidados, que contêm contas de usuários temporárias que expiram após um
período de tempo predeterminado.
Os administradores podem criar manualmente contas de convidados ou criar muitas contas de convidados de uma só vez usando
IDs de usuário e senhas geradas aleatoriamente. Isso reduz a carga de trabalho do administrador em eventos grandes. Depois de criado,
você pode adicionar contas ao grupo de usuários convidados e associar o grupo a uma política de firewall.
Ao usar uma autenticação remota, o FortiGate envia as credenciais inseridas pelo usuário para um servidor de autenticação, como o
FortiAuthenticator. Se o servidor autenticar o usuário com sucesso, o FortiGate aplicará a política de firewall correspondente ao tráfego.
Na autenticação remota, o FortiGate não armazena todas, ou às vezes nenhuma, as informações do usuário localmente.
Este método é desejável quando vários dispositivos FortiGate precisam autenticar os mesmos usuários ou grupos de usuários, ou ao
adicionar o FortiGate a uma rede que já contém um servidor de autenticação.

Autenticação de usuários de rede
Para usar a autenticação de firewall, você precisa incluir uma conta de usuário ou grupo de usuários na definição de origem de uma política de
firewall, juntamente com a sub-rede interna. Depois de fazer isso, quando o tráfego corresponder à política de firewall, o usuário deverá se
autenticar antes que o FortiGate conceda acesso.
Para permitir que o FortiGate identifique usuários que solicitam acesso, você pode configurar a autenticação de firewall local. Expanda cada tarefa
para ver o processo recomendado.
Primeiro, crie uma conta de usuário no FortiGate para armazenar localmente as credenciais do usuário.
Segundo, crie um grupo de usuários com base na função ou tipo do usuário.
Terceiro, adicione o grupo de usuários como origem de uma política de firewall.
Por fim, verifique a configuração fazendo com que o usuário os autentique e monitore com sucesso usando logs e painéis do FortiGate.
Para permitir que o FortiGate identifique usuários que solicitam acesso, você pode configurar a autenticação remota do firewall. Expanda cada tarefa
para ver o processo recomendado.
Primeiro, conecte o FortiGate ao servidor remoto.
Segundo, crie um grupo de usuários e mapeie usuários remotos autenticados para esse grupo.
Terceiro, adicione o grupo de usuários como origem de uma política de firewall.
Por fim, verifique a configuração fazendo com que o usuário os autentique e monitore com sucesso usando logs e painéis do FortiGate.
Compreenda a importância de usar autenticação de firewall. l Explique como
funciona a autenticação do firewall FortiGate. l Configure a autenticação.
l Monitore a autenticação.
Scripts de lição do operador FortiGate 7.4 Fortinet 11
Technologies Inc.
Inspecione o tráfego SSL
Bem-vindo à lição Inspecionar tráfego SSL .
Descreva por que o tráfego SSL deve ser inspecionado. l
Descrever como funciona a inspeção SSL no FortiGate. l
Configure uma inspeção SSL em uma política de firewall.
HTTPS oferece proteção aplicando criptografia ao tráfego da web; no entanto, também apresenta um risco potencial à segurança porque os
invasores podem tentar usar o tráfego criptografado para contornar as defesas normais da sua rede.
Por exemplo, Bob se conecta ao site example.com. Este site possui um certificado emitido por uma autoridade de certificação (CA)
legítima. Como a CA foi aprovada, um certificado de verificação válido está no armazenamento de certificados de Bob e o navegador de Bob
estabelece uma sessão SSL com o site. No entanto, sem que Bob saiba, o site example.com foi infectado por um vírus. O vírus, oculto por
criptografia, passa pelo FortiGate sem ser detectado e entra no computador de Bob. Para evitar isso, você pode usar a inspeção SSL para
inspecionar o tráfego criptografado.
Existem dois tipos diferentes de inspeção SSL do FortiGate:
l Inspeção de certificado l
Inspeção profunda
Ao usar a inspeção de certificado SSL, o FortiGate inspeciona o handshake SSL/TLS quando uma sessão começa. Ao fazer isso, o FortiGate
verifica a identidade do servidor web e garante que o protocolo HTTPS não seja usado como solução alternativa para acessar sites que você
bloqueou usando filtragem web.
O único recurso de segurança que você pode usar com o modo de inspeção de certificado SSL é a filtragem da web. No entanto, este
método não introduz erros de certificado e pode ser uma alternativa útil à inspeção SSL profunda quando você usa filtragem da web.
Quando você usa a inspeção profunda SSL, também conhecida como inspeção completa, o FortiGate personifica o destinatário da sessão
SSL de origem e, em seguida, descriptografa e inspeciona o conteúdo para encontrar ameaças e bloqueá-las. Se o conteúdo for seguro, o
FortiGate criptografa novamente o conteúdo e o envia ao destinatário real.
Você pode aplicar todos os tipos de verificação de segurança com inspeção profunda de SSL, incluindo filtragem da web. A inspeção profunda
não apenas protege você contra ataques que usam HTTPS, mas também contra outros protocolos criptografados SSL comumente usados,
como SMTPS, POP3S, IMAPS e FTPS.
Para usar a inspeção SSL do FortiGate, você aplica um perfil de inspeção SSL à política de firewall. O FortiOS inclui quatro perfis de inspeção
SSL pré-carregados, três dos quais são somente leitura:
l inspeção de certificado
l inspeção profunda
sem inspeção
Você pode editar o quarto perfil pré-carregado, inspeção profunda personalizada. Você também pode clonar qualquer um dos perfis
somente leitura ou criar seu próprio perfil de inspeção personalizado.
Quando você usa a inspeção profunda SSL usando o certificado FortiGate CA, seu navegador exibe um aviso de certificado sempre que você
se conecta a um site HTTPS. Isso ocorre porque o FortiGate está gerando um certificado que parece

Inspecione o tráfego SSL
ser do site correto, mas é assinado pela CA FortiGate, que não é uma CA na qual o navegador confia por padrão. Isso faz parecer que o FortiGate
está realizando um ataque man-in-the-middle.
Por exemplo, um usuário da rede se conecta a <https://facebook.com>. O tráfego do servidor web do Facebook usa o certificado real do
Facebook, assinado por uma CA conhecida. O FortiGate intercepta esse tráfego e o descriptografa. Então, quando for considerado seguro, o
FortiGate repassa o tráfego para o usuário final. O tráfego agora usa um certificado com o nome <https://facebook.com>, mas o certificado é
assinado pela FortiGate CA.
Erros de certificado também podem aparecer quando você usa a inspeção de certificado SSL, porque o FortiGate usa seu certificado CA
para criptografar a mensagem de substituição que aparece quando você tenta navegar para um site bloqueado por HTTPS.
Para evitar avisos de certificado, siga um destes procedimentos:
Baixe o certificado Fortinet_CA_SSL e instale-o em todas as estações de trabalho como uma autoridade raiz confiável. l Use um certificado
SSL emitido por uma CA e certifique-se de que o certificado esteja instalado nos navegadores necessários.
Descreva por que o tráfego SSL deve ser inspecionado. l
Descrever como funciona a inspeção SSL no FortiGate. l Configure
uma inspeção SSL em uma política de firewall.

Technologies Inc.
Bloqueio de malware
Bem-vindo à lição sobre bloqueio de malware .
l Entenda por que você deve usar proteção antivírus. l Explique como o
antivírus FortiGate funciona para bloquear malware. l Configure o antivírus
FortiGate.
Manter o malware fora da sua rede é fundamental para proteger a sua organização. Os criminosos cibernéticos usam malware para:
l Causar violações de dados
l Extorquir dinheiro l
Roubar propriedade intelectual
l Interromper negócios e destruir sistemas
O FortiGuard Labs fornece um banco de dados de assinaturas que permite ao FortiGate identificar malware. Você pode configurar atualizações
agendadas no FortiGate em intervalos regulares, como de hora em hora, diariamente, semanalmente ou automaticamente a cada hora, para manter o
banco de dados atualizado. Isso ajuda a manter a proteção contra as variantes de malware mais recentes e ameaças anteriormente desconhecidas.
FortiGate usa muitas técnicas para detectar vírus. Essas técnicas de detecção incluem:
l Verificação antivírus - A verificação antivírus detecta malware conhecido e é a primeira, mais rápida e mais simples maneira de detectar
malware. O FortiGate detecta vírus que correspondem exatamente a uma assinatura no banco de dados de antivírus FortiGuard. l Verificação de
Grayware - A verificação de Grayware detecta programas não solicitados, conhecidos como grayware, que foram instalados sem o conhecimento ou consentimento
do usuário. Embora o grayware não seja tecnicamente um vírus, ele pode causar comportamento indesejado, por isso o FortiGate o considera um
malware. Freqüentemente, o FortiGate detecta grayware usando uma assinatura de grayware FortiGuard. l Verificação de aprendizado de máquina/
inteligência artificial - A verificação de aprendizado de máquina/inteligência artificial usa técnicas de aprendizado de máquina e inteligência artificial para detectar
ataques de dia zero contendo malware novo, desconhecido e que ainda não possui uma assinatura associada correspondente. Como esse tipo de varredura
é baseado em probabilidade, seu uso aumenta a possibilidade de falsos positivos. Por padrão, quando o FortiGate detecta um novo vírus, ele registra o
arquivo como suspeito, mas não o bloqueia. Você pode escolher bloquear ou permitir arquivos suspeitos.
Você define as configurações de antivírus como parte de um perfil de antivírus. No perfil do antivírus, você pode definir o que o FortiGate deve
fazer caso detecte um arquivo infectado. Depois de configurar um perfil de antivírus, você deverá aplicá-lo na política de firewall.
O perfil do antivírus contém diversas opções que você pode configurar, incluindo:
l Como os arquivos executáveis do Windows são tratados: Por padrão, o FortiGate considera os arquivos executáveis como vírus e bloqueia qualquer um
que detecte.
l Se deseja enviar arquivos ao FortiSandbox para inspeção. Se o FortiGate se conectar a uma nuvem ou dispositivo FortiSandbox, você
pode configurar o perfil do antivírus para enviar arquivos maliciosos ao FortiSandbox para análise de comportamento.
l Se deve usar o banco de dados de prevenção de surtos de vírus FortiGuard. Este banco de dados fornece proteção adicional do FortiGuard para manter sua
rede protegida contra malwares emergentes. Este banco de dados consiste em assinaturas hash de malware de terceiros curadas pelo FortiGuard.
Clique nas palavras destacadas para saber mais sobre elas.

Technologies Inc.
Bloqueio de malware
Para instruir o FortiGate a procurar malware, você pode configurar a proteção antivírus. Expanda cada tarefa para identificar o processo
recomendado.
Primeiro, crie um perfil antivírus ou configure o perfil antivírus padrão.
Segundo, ative a verificação antivírus em uma política de firewall e selecione o perfil correto.
Terceiro, verifique a configuração tentando baixar um arquivo de teste, como aquele disponível no Instituto Europeu de Pesquisa Antivírus de
Computador (EICAR).
Finalmente, use os logs do FortiGate para monitorar a proteção antivírus.
l Entenda por que você deve usar proteção antivírus. l Explique como
o antivírus FortiGate funciona para bloquear malware. l Configure o
antivírus FortiGate.

Controle o acesso à Web usando filtragem da Web
Bem-vindo à lição Controlar o acesso à Web usando filtragem da Web .
Entenda por que você deve usar a filtragem da web. Descreva as
categorias do FortiGuard. l Configure a filtragem
da web FortiGate.
Então, por que as organizações e as pessoas em geral usam a filtragem da web? A filtragem da Web ajuda a controlar ou rastrear os sites que as
pessoas visitam. Existem muitos motivos pelos quais os administradores de rede aplicariam a filtragem da web:
l Limitar o acesso a sites que distraem, como sites de redes sociais, para manter os funcionários concentrados no trabalho e manter a produtividade. l Para
evitar o congestionamento da rede,
garantindo que os usuários não utilizem largura de banda valiosa para fins não comerciais, como streaming de vídeo.
l Diminuir a exposição a ameaças baseadas na Web, limitando o acesso a websites potencialmente prejudiciais. l Para limitar a
responsabilidade caso os funcionários tentem fazer download de material inapropriado ou ofensivo. l Para evitar que os
usuários visualizem material inapropriado.
Para filtragem da web, o FortiGate pode usar filtros de categoria FortiGuard para controlar o acesso à web. As categorias do FortiGuard são derivadas
do serviço de filtragem da web FortiGuard.
O serviço inclui o banco de dados de categorias de URL FortiGuard, que classifica bilhões de páginas da web em uma ampla variedade de categorias
de classificação.
Cada categoria contém sites ou páginas da web que foram atribuídos com base no conteúdo dominante da web.
Estas categorias podem, por sua vez, ser bloqueadas ou permitidas de acordo com o seu conteúdo. O banco de dados categoriza o conteúdo da web
com base em sua adequação de visualização para três grupos principais de consumidores: empresas, escolas e residências e famílias.
Por exemplo, o Twitter é categorizado como parte da categoria Interesse Geral – Pessoal . Enquanto o Dropbox é categorizado como parte da
categoria Consumo de largura de banda .
Observe que as categorias podem ser divididas em subcategorias. A categoria Interesse Geral – Pessoal inclui subcategorias como Redes
Sociais, Notícias e Mídia. Enquanto a categoria Consumo de largura de banda inclui subcategorias como compartilhamento e armazenamento
de arquivos, telefonia pela Internet e streaming de mídia e download.
As categorias de sites são determinadas por métodos automatizados e humanos. A equipe do FortiGuard possui rastreadores automáticos da web que
analisam vários aspectos do site para chegar a uma classificação. Também existem pessoas que examinam sites e analisam solicitações de classificação
para determinar categorias.
Para revisar a lista completa de categorias e subcategorias, visite www.fortiguard.com/ webfilter/ categories. Para pesquisar a categoria de um URL
específico, visite www.fortiguard.com/ webfilter.
FortiGate trabalha com categorias FortiGuard para determinar como os sites são filtrados. Em vez de bloquear ou permitir sites individualmente, a
filtragem de categoria do FortiGuard analisa a categoria com a qual o site foi classificado.
O FortiGate bloqueia ou permite o acesso ao site, com base nas ações definidas para essa categoria, não com base na URL.

Technologies Inc.
Controle o acesso à Web usando filtragem da Web
O FortiGate permite ou bloqueia conexões com sites com base nas ações configuradas para a categoria de filtro da web FortiGuard no FortiGate. As
seguintes ações de categoria de filtro da web do FortiGuard estão disponíveis. Clique em cada ação para aprender
mais.
Para aumentar a segurança da rede, você pode configurar o FortiGate para filtragem da web com base nas categorias do FortiGuard.
Expanda cada tarefa para identificar o processo recomendado.
Primeiro, certifique-se de que o FortiGate tenha uma licença válida de assinatura de segurança do FortiGuard.
Segundo, identifique como o serviço FortiGuard categoriza o site específico que você está tentando bloquear ou permitir.
Terceiro, configure um perfil de filtragem da web para usar filtros baseados em categoria do FortiGuard.
Quarto, aplique o perfil de segurança do filtro da web a uma política de firewall para começar a inspecionar o tráfego da web. Neste ponto, se você deseja
gerar logs, habilite o log na política de firewall.
Por fim, teste o perfil de segurança do filtro da web configurado para os filtros baseados em categoria do FortiGuard especificados.
Entenda por que você deve usar a filtragem da web. l Descreva as
categorias do FortiGate. l Configure a filtragem
da web FortiGate.
Technologies Inc.
Configurando o sistema de prevenção de intrusões FortiGate
Bem-vindo à lição Configurando o Sistema de Prevenção de Intrusões FortiGate .
l Descrever o que é um sistema de prevenção de intrusões (IPS). l Explique
como um IPS pode detectar e bloquear atividades maliciosas em uma rede. Configure o FortiGate IPS.
l Descrever as melhores práticas comuns
ao trabalhar com um IPS.
Os sistemas de prevenção de intrusões, ou IPS, desempenham um papel muito importante na prevenção de ataques cibernéticos e na proteção
das redes contra diversas ameaças. Um IPS pode detectar e bloquear atividades maliciosas na rede analisando o tráfego e identificando e bloqueando
ameaças potenciais.
Para identificar tráfego malicioso, o FortiGate usa seu mecanismo IPS e sensores IPS de última geração. Um sensor IPS é uma coleção de
assinaturas e filtros IPS que definem o escopo do que o mecanismo IPS verifica quando o sensor IPS é aplicado a uma política de firewall. Os sensores
IPS também fornecem a capacidade de bloquear o acesso a URLs e endereços IP maliciosos conhecidos vinculados a servidores de comando e
controle (C&C) de botnets. Um IPS funciona analisando o tráfego de rede em tempo real e usando uma variedade de técnicas para procurar padrões que
possam indicar um ataque potencial. Às vezes, algumas dessas técnicas se sobrepõem e se complementam para fornecer melhores resultados.
O motor FortiGate IPS utiliza as seguintes técnicas de detecção, entre outras:
l Decodificadores de protocolo
eu Assinaturas
Depois que um IPS detecta atividades maliciosas, ele pode realizar várias ações que vão desde a simples criação de um log até o bloqueio total
da ameaça.
Os invasores podem enviar pacotes malformados para fazer o sistema de destino funcionar de maneira anormal ou até mesmo parar de funcionar. Antes
de verificar se há ataques, o FortiGate usa um decodificador de protocolo para detectar padrões de tráfego anômalos que não estão em conformidade
com os requisitos e padrões de protocolo estabelecidos. Isso permite que o FortiGate, por exemplo, identifique quaisquer pacotes HTTP que se
desviem do padrão do protocolo HTTP. Os decodificadores de protocolo FortiGate podem identificar a maioria dos protocolos mesmo quando usam
números de porta fora do padrão.
Depois que o FortiGate identifica o protocolo, ele usa assinaturas para verificar se há tráfego malicioso. Assinaturas são entradas em um banco de dados
que incluem detalhes muito específicos sobre ameaças conhecidas. O IPS examina o tráfego de rede e procura correspondências no banco de dados.
Quando encontra uma correspondência, o IPS executa a ação configurada para aquela assinatura específica.
Cada assinatura inclui uma ação padrão, mas você pode alterá-la para outra conforme necessário. Os firewalls FortiGate incluem milhares de
assinaturas e recebem atualizações diárias do FortiGuard. No entanto, o FortiGate usa apenas as assinaturas especificadas para examinar o tráfego.
O uso de assinaturas é eficaz na detecção de ameaças conhecidas, mas não detecta ameaças novas ou desconhecidas.
A configuração do FortiGate IPS consiste em três etapas. Clique em cada etapa para saber mais.
Primeiramente, você deve selecionar o sensor IPS que será utilizado para analisar o tráfego. FortiGate inclui vários sensores predefinidos que você pode
usar conforme fornecido ou editar. Além disso, você pode criar seu próprio sensor personalizado para atender às suas necessidades específicas.

Technologies Inc.
Configurando o sistema de prevenção de intrusões FortiGate
Segundo, você deve revisar ou editar a assinatura e os filtros incluídos no sensor. Você também pode ativar o sensor para bloquear URLs
maliciosos e tráfego C&C de botnet. Cada uma dessas opções é independente da outra e você deve configurá-las de acordo com suas
necessidades.
Por último, depois que o sensor estiver pronto, você deverá aplicá-lo a uma política de firewall.
A tabela deste slide inclui todas as ações possíveis que o FortiGate IPS pode realizar ao detectar uma intrusão na rede.
Na maioria das vezes, um IPS não é um tipo de solução configure e esqueça. Determinar e atualizar as ações de assinatura corretas faz
parte do ajuste contínuo que você deve fazer para melhorar a eficácia da implementação do IPS.
Diferentes sensores podem usar as mesmas assinaturas, mas com ações diferentes, dependendo do cenário específico de tráfego que
examinam. Por exemplo, você pode ser mais flexível com o tráfego originado em locais confiáveis e mais restritivo com outros locais.
Como acontece com qualquer outra solução de segurança, é importante monitorar os logs IPS gerados pelo seu firewall.
A GUI do FortiGate disponibiliza todas as informações registradas no widget Prevenção de Intrusões incluído na seção Eventos de
Segurança em Logs e Relatórios.
Para um exame mais completo e para revisar todas as informações do tráfego IPS detectado, você deve navegar até a guia Logs. Nesta
seção você pode acessar todos os detalhes relativos aos logs relevantes.
Estas são algumas das melhores práticas a seguir ao trabalhar com um IPS. Clique em cada bloco para saber mais.
l Verifique se o banco de dados IPS está atualizado: Para garantir a proteção adequada, seu IPS deve ter as informações mais recentes sobre
ataques conhecidos. Durante a operação normal, o FortiGate recebe atualizações diárias do FortiGuard, mas isso pode ser afetado por
interrupções não planejadas na rede. Você também pode atualizar o banco de dados manualmente. l
Considere usar os sensores IPS fornecidos como modelos iniciais para novos sensores personalizados: Os sensores padrão são um bom ponto
de partida, mas você não deve modificá-los. Em vez disso, você pode cloná-los e fazer as edições necessárias nos clones.
l Considere usar o IPS tanto para tráfego de entrada quanto de saída: Em ambientes modernos, as ameaças se originam de
fora da organização, bem como dentro. Por causa disso, você deve configurar o IPS para examinar o tráfego em ambas as direções.
l Certifique-se de que a inspeção SSL esteja em vigor para que o IPS possa examinar todo o tráfego: Sem a inspeção SSL, o IPS não
detectar ameaças ocultas no tráfego criptografado.
l Avalie se você precisa ajustar seus sensores IPS: Em geral, você deve sempre começar com as ações padrão para cada assinatura. Porém, com
base nos resultados obtidos, você deve avaliar se é possível customizar os sensores IPS para melhor atender aos requisitos do seu
ambiente. Desta forma você pode minimizar falsos positivos e melhorar o desempenho do seu FortiGate.
l Descrever o que é um sistema de prevenção de intrusões (IPS). l
Explique como um IPS pode detectar e bloquear atividades maliciosas em uma rede.
Configure o FortiGate IPS. l Descrever
as melhores práticas comuns ao trabalhar com um IPS.

Controlando o acesso aos aplicativos
Bem-vindo à lição Controlando o acesso a aplicativos .
Compreenda o controle de aplicativos. l
Explique como funciona o controle de aplicativos FortiGate para limitar o acesso. l
Configure o controle do aplicativo FortiGate. l Monitore o
controle do aplicativo FortiGate.
Para melhorar a segurança e atender aos padrões de conformidade, a capacidade de controle de aplicativos do FortiGate ajuda a impor o uso aceitável e
o fluxo de tráfego resultante dos aplicativos de rede, conforme definido em uma política.
O controle de aplicativos pode identificar o tráfego de rede gerado a partir de aplicativos específicos e tomar as ações apropriadas, como monitorar e
bloquear o tráfego ou aplicar modelagem de tráfego para todos ou um conjunto específico de usuários de uma política de firewall.
Ser capaz de controlar o fluxo de tráfego de aplicativos de rede pode não ser um requisito prioritário na arquitetura cliente-servidor tradicional que usa
um protocolo de conexão definido em um número de porta padrão.
No entanto, a necessidade de controlar o tráfego de aplicações está se tornando cada vez mais relevante na arquitetura peer-to-peer, onde muitos
servidores precisam enviar tráfego usando portas dinâmicas, como o BitTorrent.
Os protocolos ponto a ponto usam técnicas evasivas para contornar as políticas tradicionais de firewall. Portanto, o controle do aplicativo
FortiGate envolve a correspondência de padrões conhecidos com os padrões de transmissão do aplicativo.
O banco de dados para assinaturas de controle de aplicativos é fornecido pelo FortiGuard Labs.
A análise de tráfego é realizada através do mecanismo IPS, que utiliza inspeção baseada em fluxo. Assim, a correspondência de padrões é realizada
diretamente em todo o fluxo de bytes do pacote, independentemente do protocolo ou número da porta.
No perfil Controle de Aplicativos, você pode definir as configurações de controle de aplicativos, que devem ser aplicadas posteriormente na
política de firewall.
No perfil Controle de Aplicativos, as assinaturas de aplicativos são agrupadas por categoria e você pode definir cada categoria para monitorar,
permitir, bloquear ou colocar em quarentena.
Para fornecer mais granularidade, você pode configurar cada assinatura de aplicativo ou grupo de assinaturas de aplicativo usando especificamente
a opção de substituição. Por exemplo, a opção de substituição permite bloquear aplicativos do Facebook e ainda permitir que os usuários colaborem
usando o bate-papo do Facebook.
Para resumir a configuração baseada em perfil de limitação de acesso a aplicativos específicos, você pode expandir cada tarefa para identificar o processo
básico recomendado.
Primeiro, crie um perfil de controle de aplicativo ou modifique um perfil pré-configurado.
Segundo, modifique a ação nas categorias do aplicativo ou configure a substituição do aplicativo.
Terceiro, selecione o perfil de controle de aplicativo correto na política de firewall.
Quarto, verifique a configuração tentando acessar o aplicativo correspondente.
Por fim, use os logs do FortiGate para monitorar a limitação de acesso aos aplicativos.

Technologies Inc.
Controlando o acesso aos aplicativos
l Controle o uso de aplicativos de rede. l Explique

como funciona o controle de aplicativos FortiGate para limitar o acesso. l
Configure o controle do aplicativo FortiGate. l
Monitore o controle do aplicativo FortiGate.

Criando redes privadas virtuais IPsec
Bem-vindo à lição Criando redes privadas virtuais IPsec .
l Entenda o que são redes privadas virtuais (VPNs) IPsec e por que são usadas.
Entenda como funcionam as VPNs FortiGate IPsec.
l Configure VPNs IPsec usando dispositivos FortiGate.
IPsec é um conjunto de protocolos padrão da indústria usado para criar conexões seguras entre dispositivos localizados em redes diferentes e, muitas
vezes, geograficamente distantes. Essas conexões seguras são conhecidas como redes privadas virtuais ou VPNs.
Dependendo da configuração utilizada, o IPsec pode fornecer alguns ou todos os seguintes recursos:
l Autenticação de dados, para verificar a origem dos dados.
l Integridade dos dados, para evitar adulteração de dados.
l Confidencialidade dos dados, para criptografar o tráfego.
l Proteção anti-replay, para evitar ataques de repetição.
Esses recursos são extremamente importantes porque, na maioria das implementações, o tráfego VPN trafega por redes não seguras como a
internet. Uma vantagem importante que as VPNs IPsec têm sobre outras soluções VPN é que elas não requerem a intervenção de provedores de
serviços. Tudo o que você precisa para estabelecer um túnel VPN seguro é a acessibilidade do IP entre as duas extremidades da conexão.
O IPsec pode ser usado para criar dois tipos de VPNs: VPNs de acesso remoto e VPNs site a site.
l Uma VPN de acesso remoto permite que um dispositivo cliente se conecte a uma rede remota. VPNs são comumente usadas, por
teletrabalhadores que precisam de uma maneira segura de acessar arquivos e serviços hospedados na rede de sua empresa enquanto estão em casa
ou viajando. Nas VPNs remotas, o cliente sempre inicia a conexão. Os usuários remotos normalmente usam uma senha para fazer login na rede do local
de trabalho, mas outras soluções são suportadas, incluindo autenticação multifator (MFA).
FortiGate aceita FortiClient e vários produtos de outros fornecedores como clientes VPN remotos.
l Uma VPN site-to-site permite que redes em dois locais físicos diferentes se comuniquem com segurança. Por exemplo, uma VPN site-to-site pode permitir
que os computadores de uma filial acessem recursos hospedados no prédio da sede ou até mesmo em outras filiais. Na VPN site a site, qualquer um
dos lados pode iniciar a conexão. Ao usar vários túneis VPN site a site, você pode criar topologias hub-and-spoke, de malha parcial e de malha
completa. O FortiGate pode estabelecer VPNs site-to-site com outros dispositivos FortiGate, bem como com dispositivos de outros fornecedores, incluindo
provedores de serviços em nuvem como AWS e Azure.
Em ambos os tipos de VPNs, após o estabelecimento da conexão, os dispositivos de uma rede podem alcançar os dispositivos da outra rede. Quando
conectados por meio de uma VPN, dispositivos em redes diferentes passam a fazer parte da mesma rede lógica.
Independentemente do tipo de VPN IPsec utilizado, o protocolo IKE é utilizado para criar os túneis dinamicamente. FortiGate suporta as duas
versões disponíveis de IKE: IKEv1 e IKEv2. Embora o IKEv2 inclua diversas melhorias de segurança em relação ao IKEv1, este último ainda é
amplamente utilizado em muitas implantações de VPN. Ao usar IKEv1, o processo VPN IPsec passa por dois estágios: Fase 1 e Fase 2.

Technologies Inc.
Na Fase 1, os dois dispositivos pares autenticam-se entre si e estabelecem um canal seguro que utilizarão para negociar os parâmetros de
segurança da Fase 2. Este primeiro canal atua como plano de controle da conexão VPN.
Os pares podem ser configurados com diversas combinações ou propostas. Cada proposta consiste em vários parâmetros de segurança.
Para uma Fase 1 bem-sucedida, os seguintes parâmetros devem corresponder em pelo menos uma das propostas em cada dispositivo
peer:
l Modo IKE: Principal ou agressivo

eu Autenticação
l Algoritmo de criptografia
l Algoritmo de hash l
Grupo Diffie Helman
Outros parâmetros não precisam ser correspondentes porque podem ser negociados. A Fase 2 só pode começar depois que a Fase 1
for concluída com sucesso.
Na Fase 2, ambos os dispositivos peer determinam qual tráfego deve ser enviado pela VPN e como ele será autenticado e criptografado.
Nesta fase, um subtúnel do túnel pai da Fase 1 é criado. Este subtúnel atua como plano de dados.
Assim como na Fase 1, os peers podem ser configurados com diversas propostas da Fase 2. Para uma Fase 2 bem-sucedida, os
seguintes parâmetros devem corresponder em pelo menos uma proposta em ambos os pares:
l Algoritmo de criptografia l
Algoritmo de hash l Grupo
Diffie Helman (somente se PFS for usado, o que é altamente recomendado)
Outros parâmetros não precisam ser iguais, pois podem ser negociados.
O tráfego a ser protegido deve ser indicado listando as sub-redes locais e remotas que se comunicarão através do túnel:
l Em uma VPN de acesso remoto, ambas as sub-redes são configuradas no lado do servidor.
l Em uma VPN site-to-site, as sub-redes em cada peer devem espelhar-se umas às outras.
O IKEv2 foi projetado com diversas melhorias em relação ao IKEv1, tanto em segurança quanto em desempenho. É o protocolo
recomendado para novas implementações de VPN IPsec, a menos que o hardware disponível não o suporte.
Embora compartilhe muitas semelhanças com seu antecessor, o IKEv2 não inclui duas fases e não é compatível com versões
anteriores do IKEv1.
Alguns dos benefícios de usar IKEv2 em vez de IKEv1 incluem:
l A utilização de menos mensagens reduz a latência e a largura de banda utilizada durante a negociação dos túneis. l O uso de números de
sequência e confirmações em suas mensagens. l Suporte de EAP, adiciona mais
flexibilidade, escalabilidade e interoperabilidade durante o processo de autenticação. l Apoio ao PPK. l Suporte de autenticação
assimétrica, permite
que os pares usem diferentes métodos de autenticação.
l Suporte de algoritmos de segurança mais fortes. Por exemplo, FortiGate suporta PRF-SHA para hashing e AES-GCM para
criptografia, ambos com vários comprimentos de bits
disponíveis. l Melhor resiliência contra ataques DoS

Os firewalls FortiGate suportam o protocolo ESP para autenticação e criptografia do tráfego VPN. O ESP fornece criptografia de dados, integridade
de dados e autenticação de origem de dados, mas não fornece autenticação de identidade. Contudo, a autenticação de identidade é fornecida pelo
IKE durante a negociação da Fase 1.
A tabela a seguir mostra alguns dos algoritmos de criptografia e hash mais conhecidos suportados pelo ESP no FortiGate. Clique em cada valor para
ver mais detalhes.
l O padrão de criptografia de dados ou DES é considerado fraco em comparação com outros algoritmos de criptografia e não é
recomendado para uso em sistemas modernos.
l O padrão triplo de criptografia de dados ou 3DES usa três operações DES consecutivas para fornecer um nível mais forte de
criptografia. Porém, devido ao seu desempenho lento e ao comprimento curto da tecla, não é considerada a melhor opção. l O padrão de criptografia
avançado ou AES está disponível com vários comprimentos de chave. Quanto maior o número de bits na chave, mais forte será a criptografia alcançada.
Atualmente é considerado muito seguro e é o algoritmo de criptografia mais utilizado.
l O resumo da mensagem 5 ou MD5 ainda pode ser encontrado em alguns sistemas e aplicativos legados, mas não é mais
recomendado para uso em sistemas que exigem segurança forte.
l O algoritmo de hash seguro 1 ou SHA-1 não é mais recomendado para uso em sistemas que exigem segurança forte, devido a
vulnerabilidades conhecidas.
l O Algoritmo Hash Seguro 2 é mais seguro que o SHA-1. Está disponível com vários comprimentos de bits. Quanto maior o número
de bits usados, mais seguro será o hash resultante. É considerada uma opção segura.
A seguir estão algumas práticas recomendadas gerais que podem ajudá-lo a evitar problemas inesperados ao configurar VPNs com FortiGate.
Clique em cada bloco para saber mais.
l Certifique-se de que seus firewalls tenham as atualizações e patches de segurança mais recentes instalados. As VPNs são um dos alvos preferidos dos
cibercriminosos. Um firewall atualizado minimiza o risco de se tornar vítima de crimes cibernéticos.
l Use níveis de criptografia e hash que atendam aos seus requisitos. Muitos modelos FortiGate incluem processadores de conteúdo (CPs) especializados que
podem descarregar as operações de criptografia e descriptografia da CPU. No entanto, se o seu dispositivo não tiver esse recurso, lembre-se de que o
uso de algoritmos de criptografia e hash mais fortes requer mais recursos de CPU e isso pode afetar o desempenho do dispositivo.
Verifique se ambos os peers suportam os mesmos recursos IPsec. Dispositivos mais antigos, ou dispositivos de outros fornecedores, podem não suportar
os mesmos níveis de criptografia, hashing e assim por diante, suportados pelo FortiGate. Você deve verificar quais recursos IPsec são suportados, pois
eles devem corresponder para poder estabelecer uma conexão VPN IPsec. l Certifique-se de que as portas
necessárias estejam abertas em todos os firewalls no caminho de tráfego. O IKE usa a porta 500 do User Datagram Protocol (UDP) por padrão e a porta UDP
4500 quando o dispositivo VPN está atrás da tradução de endereço de rede (NAT). Um firewall bloqueando essas portas, como as de um provedor
de serviços, impedirá o estabelecimento de conexões VPN IPsec.
l Selecione o modo adequado ao usar IKEv1.

l O modo principal é mais seguro, mas mais lento. Este é o padrão do FortiGate para VPNs site-to-site.
l O modo agressivo é menos seguro, mas mais rápido. Este é o padrão do FortiGate para VPNs de acesso remoto.
FortiGate fornece um assistente intuitivo para ajudá-lo a configurar facilmente VPNs IPsec. O assistente inclui vários modelos com configurações
de segurança apropriadas para os cenários mais comuns. As configurações de segurança incluem várias propostas que combinam diferentes níveis de
AES para criptografia e SHA-2 para hash. Se, por motivos legais ou de conformidade, você precisar usar parâmetros de segurança
específicos, poderá criar um túnel personalizado. Isso permitirá que você selecione as configurações específicas que atendem às suas necessidades.
Outra opção é converter um túnel criado com um modelo em um túnel personalizado para que você possa editar todas as suas configurações.
A GUI do FortiGate também facilita muito o monitoramento de túneis VPN. Você não só pode verificar se o status de um túnel está ativo ou
inativo, mas também são mostrados detalhes sobre o volume de tráfego e até mesmo o status da Fase 1 e da Fase 2. Isso pode ser muito útil durante a
solução de problemas. Por exemplo, se apenas o túnel da Fase 2 não estiver funcionando,

Technologies Inc.
significa que os dispositivos peer foram capazes de criar o túnel da Fase 1. Saber disso significa que você pode
descartar a falta de conectividade como motivo da falha. Você pode verificar se os parâmetros foram configurados
corretamente em ambos os dispositivos e se incluem pelo menos uma proposta correspondente.
Compreenda o que são VPNs IPsec e por que são usadas.

Entenda como funciona o FortiGate IPsec VPN.
l Configure VPNs IPsec usando dispositivos FortiGate.
Scripts de lição do operador FortiGate 25

7.4 Fortinet Technologies Inc.
Configurando VPN SSL FortiGate
Bem-vindo à lição Configurando o FortiGate SSL VPN .
Descreva o que é VPN SSL e seus benefícios.
Descreva como funciona o FortiGate SSL VPN.
Configure o FortiGate SSL VPN. l Aplique as
melhores práticas gerais ao usar SSL VPN.
A rede privada virtual Secure Sockets Layer (SSL VPN) é um tipo de VPN que usa criptografia SSL para criar uma conexão segura e criptografada entre
um dispositivo cliente e um dispositivo que atua como um servidor VPN.
Embora o SSL VPN seja mais comumente usado para conceder acesso a funcionários remotos às suas redes corporativas, também é possível configurá-
lo entre dois firewalls FortiGate. Nesta lição você aprenderá sobre a implementação do acesso remoto.
Muitas organizações optam por usar SSL VPN para acesso remoto através da VPN IPsec. Porém, cada tecnologia tem seus prós e contras, portanto você
deve examinar cuidadosamente seu cenário para fazer a melhor escolha.
Estes são alguns benefícios de usar VPNs SSL com FortiGate. É importante observar que alguns desses benefícios se aplicam apenas a configurações
específicas. Clique em cada benefício para saber mais.
l Uso de protocolo comum: SSL é usado para criptografar o tráfego HTTP e, por padrão, usa a porta 443. Isso significa que
normalmente esse tráfego não é bloqueado por firewalls intermediários.
l Flexibilidade: Dependendo das necessidades dos clientes, poderão necessitar apenas de um navegador web para aceder a um portal web personalizado. Isto é
especialmente útil ao lidar com dispositivos móveis. No entanto, a opção de instalar software VPN cliente também está disponível.
l Acesso granular: Os administradores podem restringir facilmente quais recursos os clientes têm permissão de acessar. l Verificações de
integridade para clientes Windows: esse recurso de segurança garante que os dispositivos remotos conectados à VPN sejam compatíveis com as políticas de
segurança da organização. Por exemplo, ele pode verificar se o cliente possui software antivírus instalado e negar acesso caso não tenha.
l Econômico: Ao contrário de outros fornecedores, nenhuma licença adicional é necessária para usar SSL VPN. O FortiClient VPN também pode ser disponibilizado
para download gratuitamente no portal SSL. Além disso, o número de usuários remotos suportados é determinado apenas pelo modelo FortiGate.
As VPNs SSL estão disponíveis em dois modos: modo web e modo túnel. Com base nos seus requisitos, você pode implantar uma VPN SSL usando um
modo ou ambos. Clique em cada modo para saber seus detalhes.
l O modo Web fornece acesso a aplicativos baseados na Web por meio de um navegador da Web. O usuário só precisa abrir o URL ou endereço IP fornecido
e fazer login no portal web. É importante mencionar que o FortiGate funciona como um proxy web reverso para permitir o acesso a aplicações que não
foram projetadas nativamente para serem acessadas pela web.
Este modo é mais adequado para usuários que precisam acessar um conjunto limitado de recursos, como aplicativos baseados na Web, sites de intranet e
e-mail, entre outros. As principais vantagens desse modo são que ele não requer a instalação de nenhum software cliente e os administradores podem
fornecer acesso muito granular aos usuários. Por outro lado, como todo o acesso é feito por meio de uma página web, há um número limitado de aplicativos
e protocolos suportados. O acesso típico inclui URLs marcadas, servidores FTP, compartilhamentos do Windows e sessões remotas para outros
sistemas usando Telnet, SSH, VNC ou RDP.

Technologies Inc.
Configurando VPN SSL FortiGate
l O modo túnel fornece acesso total à rede para usuários remotos, como se eles estivessem fisicamente presentes na rede corporativa
rede. Este modo é mais adequado para trabalhadores remotos que precisam acessar uma ampla gama de serviços, incluindo aplicativos cliente-
servidor, compartilhamentos de arquivos e outros recursos típicos de rede. A capacidade de acessar todos os tipos de recursos é a grande
vantagem deste modo. No entanto, para habilitar isso, você deve instalar e configurar o FortiClient VPN no dispositivo remoto. Isso pode
gerar sobrecarga extra para a equipe de suporte ao lidar com usuários que não têm conhecimento técnico e estão tentando usar seus próprios
dispositivos.
A configuração do SSL VPN requer várias etapas que variam de acordo com requisitos específicos. O processo é muito simples e envolve
as seguintes etapas gerais:
A etapa 1 é criar os usuários e/ou grupos aos quais deseja conceder permissões de conexão: você pode usar usuários locais ou qualquer um
dos servidores de autenticação remota suportados para isso.
A etapa 2 é revisar e, se necessário, editar os portais SSL VPN: FortiGate inclui três portais SSL VPN padrão configurados para acesso à
web, acesso a túneis ou ambos. Você também pode criar portais personalizados para atender às necessidades específicas de usuários
específicos.
A etapa 3 é definir as configurações do SSL VPN: Essas configurações determinam o número da porta que será usada para receber solicitações
de conexão, o certificado SSL a ser usado e as opções específicas para cada modo SSL VPN. Nesta etapa, você também determina quais
usuários acessarão qual portal.
A última etapa é criar uma política de firewall para permitir o tráfego VPN: Nesta etapa, você cria a política de firewall que permite o tráfego
através do firewall da mesma maneira que outras políticas. Uma diferença aqui é o uso de uma interface de túnel virtual no campo De para se
referir especificamente ao tráfego VPN.
A seguir estão algumas práticas recomendadas gerais que você deve ter em mente ao trabalhar com VPN SSL. Clique em cada bloco
para saber mais.
l Selecione o modo SSL VPN apropriado: Pode ser possível que seus usuários precisem apenas de um dos modos SSL VPN.
Use portais SSL VPN com o modo SSL não utilizado desabilitado.
l Reduza o esforço administrativo usando servidores de autenticação remota: Evite usar usuários locais, se possível. Ter uma solução de
autenticação centralizada economiza tempo e evita erros humanos. Isto é especialmente verdadeiro em ambientes maiores.
l Use um certificado SSL válido: substitua o certificado autoassinado padrão por outro que seja confiável para os dispositivos dos seus usuários. Você
pode adquirir um certificado de um fornecedor confiável ou implementar sua própria infraestrutura de PKI para conseguir isso.
l Use o princípio do menor privilégio ao configurar políticas de firewall para tráfego VPN: isso vale para qualquer política de firewall,
mas é especialmente importante quando você permite que dispositivos remotos se conectem à sua rede.
l Use a verificação de integridade do cliente: Para clientes Windows, sempre verifique se eles possuem software antivírus, software de firewall,
ou ambos, instalados.
l Se possível, não permita conexões de todos os locais: Isto nem sempre é viável, mas é ideal para restringir o acesso a
solicitações de conexão de endereços IP públicos específicos confiáveis pela sua organização.
Descreva o que é VPN SSL e seus benefícios.
Descreva como funciona o FortiGate SSL VPN.
l Aplique as melhores práticas gerais ao usar SSL VPN.
Configure o FortiGate SSL VPN.

Manutenção e monitoramento do sistema FortiGate
Bem-vindo à lição de manutenção e monitoramento do sistema FortiGate .
l Execute tarefas comuns de manutenção do FortiGate.
l Faça backup e restaure uma configuração do FortiGate. Atualize
o firmware do FortiGate.
l Monitore o uso de recursos do FortiGate.
l Examine as licenças do FortiGate.
l Monitore os logs do sistema FortiGate.
Realizar manutenção regular nos firewalls FortiGate é essencial para garantir a segurança e o desempenho ideal da sua rede. As
organizações devem priorizar essas tarefas para evitar violações de segurança, otimizar o desempenho, atender aos requisitos de conformidade e
garantir a continuidade dos negócios.
As tarefas de manutenção mais comuns incluem backup de configurações, realização de atualizações de firmware, monitoramento do
desempenho do sistema, exame de licenças e monitoramento de logs de eventos.
Todo administrador do FortiGate deve fazer backup das configurações do sistema regularmente.
Em caso de falha do sistema ou hardware, restaurar a configuração de backup economiza tempo e esforço, evitando a necessidade de reconfigurar
o firewall do zero. Os backups de configuração também são úteis ao migrar para uma nova plataforma de hardware ou ao solucionar problemas após
alterações inesperadas na configuração.
Você pode salvar backups de configuração como arquivos no PC local ou, se disponível, em uma chave USB. Para restaurar uma configuração, você deve
saber onde o arquivo de backup está armazenado e carregá-lo usando a GUI.
Além disso, se o seu dispositivo FortiGate tiver pelo menos 512 MB de memória flash, você poderá armazenar revisões de configuração localmente no
firewall e usá-las para reverter rapidamente para um estado anterior do sistema.
A Fortinet lança regularmente novas versões de firmware para adicionar novos recursos, resolver problemas importantes e melhorar o desempenho.
A atualização do firmware ajuda os firewalls FortiGate a se manterem atualizados sobre as ameaças de segurança mais recentes e garante desempenho
ideal.
Na versão 7.2 e posterior, o novo firmware FortiOS usa uma tag para indicar seu nível de maturidade. Uma letra F, para Recursos, indica que o
firmware inclui novos recursos, e uma letra M, para Maduro, indica que a versão não inclui nenhum novo recurso importante.
Os firewalls FortiGate com licença de atualização de firmware exibem uma notificação quando um novo firmware é lançado e oferecem a opção de
instalá-lo. Usando este método, o FortiGate baixa e instala a atualização automaticamente.
Alternativamente, você pode baixar o arquivo de firmware manualmente do portal de suporte Fortinet e realizar a atualização usando o arquivo
baixado. Nesse caso, é importante garantir que o firmware baixado seja compatível com o modelo FortiGate e que você siga o caminho de
atualização suportado.
Ao realizar a atualização, você será solicitado a fazer backup de sua configuração. É altamente recomendável que você crie um backup da configuração
antes de atualizar o firmware atual, no caso improvável de algo dar errado durante o processo.

Technologies Inc.
Se você precisar atualizar para uma versão de firmware específica, mas houver diversas versões intermediárias entre a versão atual e a
versão para a qual você está atualizando, é importante seguir um caminho de atualização compatível para garantir um processo de atualização bem-
sucedido.
O caminho de atualização é a sequência recomendada de atualizações de firmware que você deve seguir ao atualizar um dispositivo FortiGate.
Esta sequência é fornecida pela Fortinet. Garante que a nova versão seja compatível e garante a estabilidade do seu dispositivo.
Para permitir que o FortiGate siga automaticamente o caminho de atualização recomendado, você pode selecionar a versão de firmware desejada
em Todas as atualizações.
Neste exemplo, o FortiGate atualiza automaticamente da versão 7.2.1 para 7.2.3 antes de realizar a atualização final para 7.4.0
Se você estiver realizando a atualização manualmente, verifique a ferramenta Upgrade Path fornecida pela Fortinet. Este é um utilitário online que
permite encontrar facilmente a sequência recomendada de versões de firmware para sua plataforma específica.
Monitorar o desempenho do FortiGate ajuda a garantir que ele esteja funcionando corretamente e que seu hardware esteja dimensionado
adequadamente para lidar com o tráfego da rede. Você não quer um firewall sobrecarregado ou subutilizado.
Em geral, você deve sempre monitorar o uso da CPU e da memória. No entanto, você também deve ficar atento ao espaço disponível em
disco, especialmente se seus registros de tráfego estiverem armazenados localmente. Ao monitorar esses recursos principais, você pode
identificar possíveis gargalos ou problemas de desempenho.
Na maioria dos casos, você também deve monitorar outros parâmetros que não sejam de hardware para obter uma visão geral completa do
desempenho do seu firewall. Por exemplo, você pode monitorar o número de sessões, quantos logs estão sendo gerados por segundo e o
número de usuários VPN conectados.
Pronto para uso, a GUI inclui vários widgets que você pode usar para monitorar esses recursos em tempo real. Você pode adicionar ou remover
widgets conforme necessário e alterar suas configurações e layout.
Os firewalls FortiGate requerem licenças para funcionar. Licenças diferentes fornecem acesso a uma variedade de recursos e serviços,
como suporte técnico, antivírus, filtragem da web e IPS.
Você pode visualizar o status da sua licença FortiGate em dois locais: Na GUI, clicando em Sistema, depois em FortiGuard e no widget
Licenças no painel. Cada recurso indica se a licença correspondente é válida e exibe a data de expiração.
Para evitar interrupções nos serviços de rede, evitar problemas legais e manter a conformidade, é importante renovar todas as licenças antes
que expirem.
Uma licença expirada impede que o FortiGate receba atualizações de software e suporte técnico. Alguns recursos podem continuar em
execução durante um período de carência, enquanto outros param completamente de funcionar.
Os logs do FortiGate fornecem informações essenciais sobre a atividade do firewall, incluindo tráfego de rede, eventos de segurança e eventos
do sistema. Monitorar seus logs regularmente pode ajudá-lo a identificar possíveis ameaças à segurança, solucionar problemas e fornecer insights
sobre o desempenho da rede e do sistema.
FortiGate fornece uma interface web amigável para visualizar logs.
Todas as informações de registro estão localizadas em Log e Relatório. A GUI inclui diversas categorias de log para facilitar a localização dos logs
de interesse. Para exibir apenas logs específicos, você pode usar filtros baseados em qualquer um dos campos incluídos em cada log.
As seções Eventos do Sistema e Eventos de Segurança fornecem uma página de resumo além das entradas de log usuais.

Technologies Inc.
l Execute tarefas comuns de manutenção do FortiGate.
l Faça backup e restaure uma configuração do FortiGate.
Atualize o firmware do FortiGate. l

Monitore o uso de recursos do FortiGate.
l Examine as licenças do FortiGate.
l Monitore os logs do sistema FortiGate.

Configurando o Fortinet Security Fabric
Bem-vindo à lição Configurando o Fortinet Security Fabric .
l Descrever a importância e os benefícios da implementação do Fortinet Security Fabric. Descreva como o
Fortinet Security Fabric funciona para proteger sua rede e simplificar a administração da rede. Configure o Security Fabric.
As redes atuais estão mais complexas do que nunca, com uma ampla variedade de dispositivos, aplicativos e serviços conectando-
se e enviando tráfego através delas. Gerenciar a segurança de tais cenários usando uma abordagem caso a caso pode ser um desafio e
não é mais uma forma viável de defender sua organização contra todas as ameaças.
O Fortinet Security Fabric é uma arquitetura empresarial que ajuda a gerenciar essa complexidade, fornecendo uma visão única da postura de
segurança da organização. Isso permite que as equipes de segurança identifiquem e respondam rapidamente às ameaças à segurança.
O Security Fabric fornece segurança integrada, automatizada e coordenada em toda a infraestrutura de rede da organização.
Estes são alguns benefícios de usar o Fortinet Security Fabric. Clique em cada benefício para saber mais.
l Uma visão unificada de toda a rede a partir de um único console: as topologias lógicas e físicas da rede são fornecidas.
Essas topologias mostram todos os dispositivos na malha, como eles estão interconectados, bem como seus detalhes de segurança e as interfaces
usadas para se comunicar com outros membros da malha.
l Sincronização de vários tipos de objetos na malha: Isso garante consistência entre todos os dispositivos
membros do tecido.
l Uma classificação de segurança para informar você sobre vulnerabilidades potenciais e como elas podem ser eliminadas: Este é um valor
numérico, ou pontuação, com base nas configurações do dispositivo detectadas na malha. Essa pontuação é atualizada automaticamente
em intervalos programados ou manualmente. Cada vez que você implementa qualquer uma das práticas recomendadas sugeridas, a pontuação
também é atualizada. Quanto maior a pontuação, melhor será a postura de segurança.
l Integração com vários tipos de dispositivos: inclui dispositivos Fortinet, bem como dispositivos e plataformas de outros
fornecedores por meio de uma API.
l Detecção automática de dispositivos finais: Novos dispositivos terminais são automaticamente detectados, identificados e adicionados ao
topologia. Dispositivos com FortiClient instalado proporcionam melhor integração com a malha.
l Gerenciamento centralizado de atualizações de firmware de todos os dispositivos FortiGate, FortiAP e FortiSwitch desde a raiz
FortiGate: As atualizações podem ser feitas imediatamente ou agendadas e, no caso do FortiGate, o caminho correto de atualização é seguido,
se necessário.
l Capacidades de automação: A rede é constantemente monitorada e ações automáticas podem ser tomadas quando ameaças são
detectado sem a intervenção de administradores.
l Quando um computador executando o FortiClient detecta um site malicioso, ele envia um log ao FortiAnalyzer.
l O FortiAnalyzer descobre um indicador de comprometimento (IOC) e notifica o FortiGate. l O FortiGate
instrui o servidor de gerenciamento de endpoint (EMS) a colocar esse computador em quarentena. l O servidor EMS
envia a mensagem de quarentena para o computador. l O computador se coloca em
quarentena e notifica o FortiGate e o servidor EMS sobre sua mudança de status. l FortiGate envia uma notificação para um
canal do Microsoft Teams.

Configurando o Fortinet Security Fabric
Para implementar o Fortinet Security Fabric, você precisa de no mínimo dois firewalls FortiGate em execução no modo NAT.
Um dos dispositivos FortiGate atua como firewall raiz da malha. Você também deve centralizar o registro em log. Isso requer um
FortiAnalyzer ou uma solução de registro em nuvem compatível. FortiAnalyzer Cloud ou FortiGate Cloud podem atuar como solução
de registro em nuvem.
Dependendo do seu cenário, e para aumentar a visibilidade e controle da rede, é recomendado adicionar também FortiManager,
FortiAP, FortiClient, FortiClient EMS, FortiSandbox, FortiMail, FortiWeb, FortiNDR, FortiDeceptor e FortiSwitch. Cada um
desses dispositivos agrega novos recursos à equipe de segurança. Por exemplo, o FortiManager pode simplificar a implantação
de políticas de segurança entre todos ou firewalls FortiGate específicos.
Além disso, você pode ampliar ainda mais seu tecido com outros dispositivos Fortinet opcionais e até mesmo com vários produtos de
terceiros.
A configuração do Fortinet Security Fabric consiste nas seguintes etapas:
l A etapa 1 é configurar o FortiAnalyzer, ou uma das plataformas de registro em nuvem suportadas, para aceitar registros de dispositivos em
a fábrica.
l A etapa 2 é configurar o dispositivo FortiGate que atuará como raiz da estrutura: Esta etapa inclui a configuração do registro
configurações, as interfaces necessárias e o conector Security Fabric.
l A etapa 3 é configurar os dispositivos downstream: No caso de dispositivos FortiGate downstream, esta etapa inclui
configurar as interfaces necessárias e o conector Security Fabric para apontar para o dispositivo raiz. Você não precisa definir as
configurações de log porque elas são herdadas da raiz. Os requisitos para outros dispositivos variam dependendo do tipo.
l A última etapa, etapa 4, é autorizar dispositivos downstream do firewall raiz: Você deve autorizar qualquer dispositivo, adicionado manualmente
ao Security Fabric ou detectado automaticamente, no FortiGate raiz. Opcionalmente, você pode pré-autorizar dispositivos se souber
seus detalhes.
Compreenda a importância e os benefícios da implementação do Fortinet Security Fabric. l Entenda

como o Fortinet Security Fabric funciona para proteger sua rede e simplificar a administração da rede. Configure o Security Fabric.

Nenhuma parte desta publicação pode ser reproduzida de qualquer forma ou por qualquer meio ou usada
para fazer qualquer derivação, como tradução, transformação ou adaptação, sem permissão da Fortinet
Inc., conforme estipulado pela Lei de Direitos Autorais dos Estados Unidos de 1976.
Copyright© 2023 Fortinet, Inc. Todos os direitos reservados. Fortinet®, FortiGate®, FortiCare® e FortiGuard® e algumas outras marcas são marcas registradas da Fortinet, Inc., nos EUA e
em outras jurisdições, e outros nomes da Fortinet aqui mencionados também podem ser marcas registradas e/ou marcas comerciais da Fortinet. Todos os outros nomes de produtos ou empresas
podem ser marcas registradas de seus respectivos proprietários. O desempenho e outras métricas aqui contidas foram obtidas em testes de laboratório interno sob condições ideais, e o
desempenho real e outros resultados podem variar. Variáveis de rede, diferentes ambientes de rede e outras condições podem afetar os resultados de desempenho. Nada aqui representa
qualquer compromisso vinculativo da Fortinet, e a Fortinet se isenta de todas as garantias, sejam expressas ou implícitas, exceto na medida em que a Fortinet celebre um contrato vinculativo
por escrito, assinado pelo Conselho Geral da Fortinet, com um comprador que garanta expressamente que o produto identificado funcionará de acordo a certas métricas de desempenho
expressamente identificadas e, nesse caso, apenas as métricas de desempenho específicas expressamente identificadas em tal contrato escrito vinculativo serão vinculativas para a
Fortinet. Para maior clareza, qualquer garantia desse tipo será limitada ao desempenho nas mesmas condições ideais dos testes de laboratório internos da Fortinet. Em nenhum caso a
Fortinet assume qualquer compromisso relacionado a entregas, recursos ou desenvolvimento futuros, e as circunstâncias podem mudar de tal forma que quaisquer declarações prospectivas aqui contidas não sejam precis
A Fortinet se isenta integralmente de quaisquer acordos, representações e garantias nos termos deste documento, sejam expressas ou implícitas. A Fortinet reserva-se o direito de alterar,
modificar, transferir ou de outra forma revisar esta publicação sem aviso prévio, e a versão mais atual da publicação será aplicável.

FortiGate 7.4 Operator Lesson Scripts

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

FortiGate 7.4 Operator Lesson Scripts

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Instituto de Treinamento Fortinet - Biblioteca

Documentação do produto Fortinet

Base de Conhecimento Fortinet

Comunidade de usuários do Fortinet Fuse

Suporte ao produto Fortinet

Informações sobre o programa de treinamento Fortinet

Fortuna | Pearson VUE

Helpdesk do Fortinet Training Institute (perguntas de treinamento, comentários, feedback)

Visão geral do Fortigate 4

Configurando interfaces e roteamento 6

Autenticação de usuários de rede 10

Inspecione o tráfego SSL 12

Controle o acesso à Web usando filtragem da Web 16

Configurando o sistema de prevenção de intrusões FortiGate 18

Controlando o acesso aos aplicativos 20

Criando redes privadas virtuais IPsec 22

Configurando VPN SSL FortiGate 26

Manutenção e monitoramento do sistema FortiGate 28

Configurando o Fortinet Security Fabric 31

Visão geral do Fortigate

Bem-vindo à lição de visão geral do FortiGate .

Clique em Avançar para começar.

l Explique os principais recursos do FortiGate.

Usando o FortiGate, as organizações podem alcançar:

l Segurança ultrarrápida em toda a rede

l Uma excelente experiência do usuário l

Eficiência operacional e fluxos de trabalho automatizados

l Autenticação de firewall, local e remota

l Verificação de segurança, como antivírus, filtragem da Web e controle de aplicativos l Monitoramento

4 Scripts de lição do operador FortiGate 7.4 Fortinet

Visão geral do Fortigate

Você concluiu a lição. Agora você é capaz de:

l Explique os principais recursos do FortiGate.

Scripts de lição do operador FortiGate 7.4 5

Configurando interfaces e roteamento

Bem-vindo à lição Configurando Interfaces e Roteamento .

Clique em Avançar para começar.

l Configure interfaces de rede. l Configure o

FortiGate como um servidor DHCP. l Configure rotas

l Alias: um nome que identifica a interface para referência.

Uma configuração de servidor DHCP inclui:

Uma rota estática inclui:

este é o endereço IP para o qual o FortiGate encaminha o tráfego.

6 Scripts de lição do operador FortiGate 7.4 Fortinet

Configurando interfaces e roteamento

l A rota está configurada incorretamente.

l A porta associada à rota está inativa ou desativada. l Existe uma rota

Você concluiu esta lição. Agora você é capaz de:

l Configure interfaces de rede. l Configure o

FortiGate como um servidor DHCP. l Configure rotas

Scripts de lição do operador FortiGate 7.4 7

Bem-vindo à lição sobre políticas de firewall .

Clique em Avançar para começar.

Ao final desta lição, você será capaz de atingir estes objetivos:

l Descrever o que são políticas de firewall.

Compreenda como funcionam as políticas de

firewall. l Descrever como funcionam os modos de

inspeção. l Configurar políticas de firewall

l Interfaces de entrada e saída l Fonte

l Se a Ação estiver definida como DENY, o FortiGate descarta a sessão .

l Se a Ação estiver definida como ACEITAR, o FortiGate aceita a sessão

8 Scripts de lição do operador FortiGate 7.4

Você concluiu esta lição. Agora você é capaz de: