8

Configuración Fortigate – Políticas y Objetos

Publicada en 14/08/2019 por Jose Ramon Ramos Gata

Hola a tod@s.

En este post vamos a ver como configurar las opciones de Políticas y Objetos en un firewall Fortigate, concretamente con el modelo FG 50E.

Una vez que hemos iniciado sesión en nuestro Fortigate 50E, nos vamos a la opción de Políticas y Objetos y lo primero que haremos será configurarnos los objetos de Dirección que más tarde los usaremos en nuestras políticas, podemos creárnoslos de dos tipos, Dirección y Grupo de Dirección, según nos interese:

Para empezar a configurar nuestra infraestructura, nos vamos a crear dos objetos de Dirección por cada red implementada en nuestro firewall, un objeto va a definir al propio firewall que será el Gateway de la red a la que pertenece y el otro objeto va a definir la red completa.
Empezaremos por la DMZ, objeto – dirección para definir a la red completa, DMZ-NET:

DMZ, objeto – dirección para definir al Gateway DMZ-210_dmz-gw:

GESTION, objeto – dirección para definir a la red completa, GESTION-NET:

GESTION, objeto – dirección para definir al Gateway GESTION-210_gestion-gw:

HYPERVLAB, objeto – dirección para definir a la red completa, HYPERVLAB-NET:

HYPERVLAB, objeto – dirección para definir al Gateway HYPERVLAB-210_hypervlab-gw:

LANRGS, objeto – dirección para definir a la red completa, LANRGS-NET:

LANRGS, objeto – dirección para definir al Gateway LANRGS-210_lanrgs-gw:

LANRGS, objeto – dirección para definir a uno de los equipos de la red LANRGS LANRGS-14_xenon:

LANRGS, objeto – dirección para definir a uno de los equipos de la red LANRGS LANRGS-15_krypton:

VMWARELAB, objeto – dirección para definir a la red completa, VMWARELAB-NET:

VMWARELAB, objeto – dirección para definir al Gateway VMWARELAB-210_vmwarelab-gw:

ISCSIA, objeto – dirección para definir a la red completa, ISCSIA-NET:

ISCSIA, objeto – dirección para definir al Gateway ISCSIA-72.1_iscsia-gw:

ISCSIB, objeto – dirección para definir a la red completa, ISCSIB-NET:

ISCSIB, objeto – dirección para definir al Gateway ISCSIB-73.1_iscsib-gw:

WAN1, objeto – dirección para definir a la red completa, WAN1-NET:

WAN1, objeto – dirección para definir al Gateway WAN1-210_wan1-gw:

Ahora nos vamos a crear un Grupo de dirección, dónde vamos a incluir dos equipos de la red LANRGS:

Nos creamos otro Grupo de dirección, dónde vamos a incluir los Controladores de dominio, en este caso, sólo tenemos uno, pero ya lo dejamos creado por si en un futuro vamos añadiendo más:

Con estos objetos de Dirección nos podemos ir creando todos los que nos vayan interesando, para después usarlos en nuestras políticas.
Los que nos hemos creado quedarían de la siguiente manera, los he ordenado por colores según la red a la que pertenecen:

Ahora vamos a ver la parte de Políticas y Objetos > Servicios, dónde vienen predefinidos la mayoría de los servicios que utilizaremos en nuestras políticas, en estos servicios se define el protocolo y puerto que utiliza el servicio que queremos configurar, los he ordenado por colores según la Categoría:

Para crearnos un nuevo Servicio o un Grupo de servicios simplemente clicamos sobre Crear nuevo y elegimos la opción que nos interese:

Por ejemplo, para el servicio de WSUS que utilizará nuestro servidor central de actualizaciones de Windows no crearemos este Servicio:

Y otro ejemplo para mostrar sería el utilizado para los controladores de dominio, dónde nos crearemos un Grupo de servicios con los siguientes miembros:

Bueno, una vez que tenemos definidos los objetos Dirección, Grupo de dirección, Servicios y Grupos de servicios, podemos empezar a definir las políticas o reglas de nuestro firewall, por defecto, viene definida una regla implícita dónde se niega todo el tráfico, nosotros empezaremos a configurar reglas por encima de ésta aceptando o denegando todo lo que nos vaya interesando y según lo requiera nuestra infraestructura de red:

Para empezar vamos a crear las reglas para dar conexión a Internet a todas nuestras redes, sólo voy a mostrar una, para la red LANRGS, ya que para todas las demás será exactamente igual:

Como podemos ver está política la hemos creado para las demás redes:

Ahora vamos a ver otra política para el acceso de los equipos del dpto. de TI a las distintas redes del firewall, sólo voy a mostrar una, para la red GESTION, ya que para todas las demás será exactamente igual:

Como podemos ver está política la hemos creado para las demás redes:

Ahora vamos a ver una política para que todos los equipos de la red de GESTION se puedan comunicar con nuestros controladores de dominio:

Así nos quedaría:

Por último vamos a habilitar la Política DoS, para detectar y bloquear ataques de Denegación de Servicios (DoS), para ello, lo haremos desde Sistema > Visibilidad de Característica > Política DoS:

Una vez habilitada la política DoS, nos vamos a Políticas y Objetos > Política DoS IPv4 > Crear nuevo:

Configuramos los umbrales para detectar y bloquear ataques de DoS en la interface que tiene la salida a Internet (WAN1), para todas las direcciones de origen y destino y para cualquier servicio:

Saludos y espero que os sea de ayuda 😉

Relacionado

Jose Ramon Ramos Gata

Técnico Superior STI

More Posts

Responder

14/08/2019
jose ignacio

muy buen artículo, sigue con más info de los fortigate, un saludo
- Responder
  
  14/08/2019
  ragasys
  
  Gracias José Ignacio, me alegro que te puedan venir bien estos post.
  Saludos.
Responder

14/08/2019
Samuel

Excelente manual. Podrías algun día crear un post sobre como gestionar SD-WAN?
Como configurar 2 wan con este modo.

Un saludo y buena suerte.
- Responder
  
  16/08/2019
  ragasys
  
  Muchas gracias Samuel, lo intentaremos.
  Saludos.
Responder

11/06/2020
Marcelo

gracias por tus videos.

Tengo una duda con respecto al orden de las políticas.
Tengo un escenario de 2 redes LAN en 2 interfaces. + la WAN
En la política 1 sale la ip 10.122 a la WAN para Internet al igual que la Política 2 sale la ip 192.168…a la wan.
Ahora el tema es como se crean las políticas para asignarles a los usuarios’??’ de arriba a abajo o de abajo hacia arriba?
tengo mi IP que toma limitaciones de otros usuarios. Fortigate me comentó que la politica general siempre va por abajo siempre. Dejando lo especifico encima de la red general. Pero tengo inconvenientes con eso…

Muchas gracias.-
Responder

13/09/2021
Cristian Fontenla

En punto creas la misma politica para cada red disponible, y mi pregunta es si no es mejor crear una sola politica que incluya todas las redes de origen juntas en lugar de crear politicas por separado que cumplen la misma funcion?
Al hacer esto se pierde la vista por pareja de interfases, pero al tener menos reglas repetidas se agiliza el proceso del trafico y filtrado? O es solo estetico?
Responder

20/10/2022
edwin chantre

Hola quiero saber como hacer que cuando se acceda a cierta direccion ip ejemplo
https://{mi ip publica }:{cualquier puerto}/remote/login?lang=sp
bloque la conexión y no muestre lo que hay en esa ip con ese puerto como puedo hacerlo ?
Responder

12/09/2023
Santos

Buenas, lo primero felicitarte por el blog.
Tengo una duda, crear el objeto de la red y del GW ¿donde usas el de GW?
Saludos

Responder a edwin chantre Cancelar la respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.