5

Configuración Fortigate – Políticas y Objetos

Hola a tod@s.

En este post vamos a ver como configurar las opciones de Políticas y Objetos en un firewall Fortigate, concretamente con el modelo FG 50E.

  • Una vez que hemos iniciado sesión en nuestro Fortigate 50E, nos vamos a la opción de Políticas y Objetos y lo primero que haremos será configurarnos los objetos de Dirección que más tarde los usaremos en nuestras políticas, podemos creárnoslos de dos tipos, Dirección y Grupo de Dirección, según nos interese:

  • Para empezar a configurar nuestra infraestructura, nos vamos a crear dos objetos de Dirección por cada red implementada en nuestro firewall, un objeto va a definir al propio firewall que será el Gateway de la red a la que pertenece y el otro objeto va a definir la red completa.
  • Empezaremos por la DMZ, objeto – dirección para definir a la red completa, DMZ-NET:

  • DMZ, objeto – dirección para definir al Gateway DMZ-210_dmz-gw:

  • GESTION, objeto – dirección para definir a la red completa, GESTION-NET:

  • GESTION, objeto – dirección para definir al Gateway GESTION-210_gestion-gw:

  • HYPERVLAB, objeto – dirección para definir a la red completa, HYPERVLAB-NET:

  • HYPERVLAB, objeto – dirección para definir al Gateway HYPERVLAB-210_hypervlab-gw:

  • LANRGS, objeto – dirección para definir a la red completa, LANRGS-NET:

  • LANRGS, objeto – dirección para definir al Gateway LANRGS-210_lanrgs-gw:

  • LANRGS, objeto – dirección para definir a uno de los equipos de la red LANRGS LANRGS-14_xenon:

  • LANRGS, objeto – dirección para definir a uno de los equipos de la red LANRGS LANRGS-15_krypton:

  • VMWARELAB, objeto – dirección para definir a la red completa, VMWARELAB-NET:

  • VMWARELAB, objeto – dirección para definir al Gateway VMWARELAB-210_vmwarelab-gw:

  • ISCSIA, objeto – dirección para definir a la red completa, ISCSIA-NET:

  • ISCSIA, objeto – dirección para definir al Gateway ISCSIA-72.1_iscsia-gw:

  • ISCSIB, objeto – dirección para definir a la red completa, ISCSIB-NET:

  • ISCSIB, objeto – dirección para definir al Gateway ISCSIB-73.1_iscsib-gw:

  • WAN1, objeto – dirección para definir a la red completa, WAN1-NET:

  • WAN1, objeto – dirección para definir al Gateway WAN1-210_wan1-gw:

  • Ahora nos vamos a crear un Grupo de dirección, dónde vamos a incluir dos equipos de la red LANRGS:

  • Nos creamos otro Grupo de dirección, dónde vamos a incluir los Controladores de dominio, en este caso, sólo tenemos uno, pero ya lo dejamos creado por si en un futuro vamos añadiendo más:

  • Con estos objetos de Dirección nos podemos ir creando todos los que nos vayan interesando, para después usarlos en nuestras políticas.
  • Los que nos hemos creado quedarían de la siguiente manera, los he ordenado por colores según la red a la que pertenecen:

  • Ahora vamos a ver la parte de Políticas y Objetos > Servicios, dónde vienen predefinidos la mayoría de los servicios que utilizaremos en nuestras políticas, en estos servicios se define el protocolo y puerto que utiliza el servicio que queremos configurar, los he ordenado por colores según la Categoría:

  • Para crearnos un nuevo Servicio o un Grupo de servicios simplemente clicamos sobre Crear nuevo y elegimos la opción que nos interese:

  • Por ejemplo, para el servicio de WSUS que utilizará nuestro servidor central de actualizaciones de Windows no crearemos este Servicio:

  • Y otro ejemplo para mostrar sería el utilizado para los controladores de dominio, dónde nos crearemos un Grupo de servicios con los siguientes miembros:

  • Bueno, una vez que tenemos definidos los objetos Dirección, Grupo de dirección, Servicios y Grupos de servicios, podemos empezar a definir las políticas o reglas de nuestro firewall, por defecto, viene definida una regla implícita dónde se niega todo el tráfico, nosotros empezaremos a configurar reglas por encima de ésta aceptando o denegando todo lo que nos vaya interesando y según lo requiera nuestra infraestructura de red:

  • Para empezar vamos a crear las reglas para dar conexión a Internet a todas nuestras redes, sólo voy a mostrar una, para la red LANRGS, ya que para todas las demás será exactamente igual:

  • Como podemos ver está política la hemos creado para las demás redes:

  • Ahora vamos a ver otra política para el acceso de los equipos del dpto. de TI a las distintas redes del firewall, sólo voy a mostrar una, para la red GESTION, ya que para todas las demás será exactamente igual:

  • Como podemos ver está política la hemos creado para las demás redes:

  • Ahora vamos a ver una política para que todos los equipos de la red de GESTION se puedan comunicar con nuestros controladores de dominio:

  • Así nos quedaría:

  • Por último vamos a habilitar la Política DoS, para detectar y bloquear ataques de Denegación de Servicios (DoS), para ello, lo haremos desde Sistema > Visibilidad de Característica > Política DoS:

  • Una vez habilitada la política DoS, nos vamos a Políticas y Objetos > Política DoS IPv4 > Crear nuevo:

  • Configuramos los umbrales para detectar y bloquear ataques de DoS en la interface que tiene la salida a Internet (WAN1), para todas las direcciones de origen y destino y para cualquier servicio:

 

Saludos y espero que os sea de ayuda 😉

jramos

Técnico Superior STI

5 comentarios

  1. Excelente manual. Podrías algun día crear un post sobre como gestionar SD-WAN?
    Como configurar 2 wan con este modo.

    Un saludo y buena suerte.

  2. gracias por tus videos.

    Tengo una duda con respecto al orden de las políticas.
    Tengo un escenario de 2 redes LAN en 2 interfaces. + la WAN
    En la política 1 sale la ip 10.122 a la WAN para Internet al igual que la Política 2 sale la ip 192.168…a la wan.
    Ahora el tema es como se crean las políticas para asignarles a los usuarios’??’ de arriba a abajo o de abajo hacia arriba?
    tengo mi IP que toma limitaciones de otros usuarios. Fortigate me comentó que la politica general siempre va por abajo siempre. Dejando lo especifico encima de la red general. Pero tengo inconvenientes con eso…

    Muchas gracias.-

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.