4

Configuración Fortigate – Políticas y Objetos

Hola a tod@s.

En este post vamos a ver como configurar las opciones de Políticas y Objetos en un firewall Fortigate, concretamente con el modelo FG 50E.

  • Una vez que hemos iniciado sesión en nuestro Fortigate 50E, nos vamos a la opción de Políticas y Objetos y lo primero que haremos será configurarnos los objetos de Dirección que más tarde los usaremos en nuestras políticas, podemos creárnoslos de dos tipos, Dirección y Grupo de Dirección, según nos interese:

  • Para empezar a configurar nuestra infraestructura, nos vamos a crear dos objetos de Dirección por cada red implementada en nuestro firewall, un objeto va a definir al propio firewall que será el Gateway de la red a la que pertenece y el otro objeto va a definir la red completa.
  • Empezaremos por la DMZ, objeto – dirección para definir a la red completa, DMZ-NET:

  • DMZ, objeto – dirección para definir al Gateway DMZ-210_dmz-gw:

  • GESTION, objeto – dirección para definir a la red completa, GESTION-NET:

  • GESTION, objeto – dirección para definir al Gateway GESTION-210_gestion-gw:

  • HYPERVLAB, objeto – dirección para definir a la red completa, HYPERVLAB-NET:

  • HYPERVLAB, objeto – dirección para definir al Gateway HYPERVLAB-210_hypervlab-gw:

  • LANRGS, objeto – dirección para definir a la red completa, LANRGS-NET:

  • LANRGS, objeto – dirección para definir al Gateway LANRGS-210_lanrgs-gw:

  • LANRGS, objeto – dirección para definir a uno de los equipos de la red LANRGS LANRGS-14_xenon:

  • LANRGS, objeto – dirección para definir a uno de los equipos de la red LANRGS LANRGS-15_krypton:

  • VMWARELAB, objeto – dirección para definir a la red completa, VMWARELAB-NET:

  • VMWARELAB, objeto – dirección para definir al Gateway VMWARELAB-210_vmwarelab-gw:

  • ISCSIA, objeto – dirección para definir a la red completa, ISCSIA-NET:

  • ISCSIA, objeto – dirección para definir al Gateway ISCSIA-72.1_iscsia-gw:

  • ISCSIB, objeto – dirección para definir a la red completa, ISCSIB-NET:

  • ISCSIB, objeto – dirección para definir al Gateway ISCSIB-73.1_iscsib-gw:

  • WAN1, objeto – dirección para definir a la red completa, WAN1-NET:

  • WAN1, objeto – dirección para definir al Gateway WAN1-210_wan1-gw:

  • Ahora nos vamos a crear un Grupo de dirección, dónde vamos a incluir dos equipos de la red LANRGS:

  • Nos creamos otro Grupo de dirección, dónde vamos a incluir los Controladores de dominio, en este caso, sólo tenemos uno, pero ya lo dejamos creado por si en un futuro vamos añadiendo más:

  • Con estos objetos de Dirección nos podemos ir creando todos los que nos vayan interesando, para después usarlos en nuestras políticas.
  • Los que nos hemos creado quedarían de la siguiente manera, los he ordenado por colores según la red a la que pertenecen:

  • Ahora vamos a ver la parte de Políticas y Objetos > Servicios, dónde vienen predefinidos la mayoría de los servicios que utilizaremos en nuestras políticas, en estos servicios se define el protocolo y puerto que utiliza el servicio que queremos configurar, los he ordenado por colores según la Categoría:

  • Para crearnos un nuevo Servicio o un Grupo de servicios simplemente clicamos sobre Crear nuevo y elegimos la opción que nos interese:

  • Por ejemplo, para el servicio de WSUS que utilizará nuestro servidor central de actualizaciones de Windows no crearemos este Servicio:

  • Y otro ejemplo para mostrar sería el utilizado para los controladores de dominio, dónde nos crearemos un Grupo de servicios con los siguientes miembros:

  • Bueno, una vez que tenemos definidos los objetos Dirección, Grupo de dirección, Servicios y Grupos de servicios, podemos empezar a definir las políticas o reglas de nuestro firewall, por defecto, viene definida una regla implícita dónde se niega todo el tráfico, nosotros empezaremos a configurar reglas por encima de ésta aceptando o denegando todo lo que nos vaya interesando y según lo requiera nuestra infraestructura de red:

  • Para empezar vamos a crear las reglas para dar conexión a Internet a todas nuestras redes, sólo voy a mostrar una, para la red LANRGS, ya que para todas las demás será exactamente igual:

  • Como podemos ver está política la hemos creado para las demás redes:

  • Ahora vamos a ver otra política para el acceso de los equipos del dpto. de TI a las distintas redes del firewall, sólo voy a mostrar una, para la red GESTION, ya que para todas las demás será exactamente igual:

  • Como podemos ver está política la hemos creado para las demás redes:

  • Ahora vamos a ver una política para que todos los equipos de la red de GESTION se puedan comunicar con nuestros controladores de dominio:

  • Así nos quedaría:

  • Por último vamos a habilitar la Política DoS, para detectar y bloquear ataques de Denegación de Servicios (DoS), para ello, lo haremos desde Sistema > Visibilidad de Característica > Política DoS:

  • Una vez habilitada la política DoS, nos vamos a Políticas y Objetos > Política DoS IPv4 > Crear nuevo:

  • Configuramos los umbrales para detectar y bloquear ataques de DoS en la interface que tiene la salida a Internet (WAN1), para todas las direcciones de origen y destino y para cualquier servicio:

 

Saludos y espero que os sea de ayuda 😉

ragasys

Técnico Superior STI

4 comentarios

  1. Excelente manual. Podrías algun día crear un post sobre como gestionar SD-WAN?
    Como configurar 2 wan con este modo.

    Un saludo y buena suerte.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.