Hola a tod@s.
En este post vamos a ver como configurar las opciones de Políticas y Objetos en un firewall Fortigate, concretamente con el modelo FG 50E.
- Una vez que hemos iniciado sesión en nuestro Fortigate 50E, nos vamos a la opción de Políticas y Objetos y lo primero que haremos será configurarnos los objetos de Dirección que más tarde los usaremos en nuestras políticas, podemos creárnoslos de dos tipos, Dirección y Grupo de Dirección, según nos interese:
- Para empezar a configurar nuestra infraestructura, nos vamos a crear dos objetos de Dirección por cada red implementada en nuestro firewall, un objeto va a definir al propio firewall que será el Gateway de la red a la que pertenece y el otro objeto va a definir la red completa.
- Empezaremos por la DMZ, objeto – dirección para definir a la red completa, DMZ-NET:
- DMZ, objeto – dirección para definir al Gateway DMZ-210_dmz-gw:
- GESTION, objeto – dirección para definir a la red completa, GESTION-NET:
- GESTION, objeto – dirección para definir al Gateway GESTION-210_gestion-gw:
- HYPERVLAB, objeto – dirección para definir a la red completa, HYPERVLAB-NET:
- HYPERVLAB, objeto – dirección para definir al Gateway HYPERVLAB-210_hypervlab-gw:
- LANRGS, objeto – dirección para definir a la red completa, LANRGS-NET:
- LANRGS, objeto – dirección para definir al Gateway LANRGS-210_lanrgs-gw:
- LANRGS, objeto – dirección para definir a uno de los equipos de la red LANRGS LANRGS-14_xenon:
- LANRGS, objeto – dirección para definir a uno de los equipos de la red LANRGS LANRGS-15_krypton:
- VMWARELAB, objeto – dirección para definir a la red completa, VMWARELAB-NET:
- VMWARELAB, objeto – dirección para definir al Gateway VMWARELAB-210_vmwarelab-gw:
- ISCSIA, objeto – dirección para definir a la red completa, ISCSIA-NET:
- ISCSIA, objeto – dirección para definir al Gateway ISCSIA-72.1_iscsia-gw:
- ISCSIB, objeto – dirección para definir a la red completa, ISCSIB-NET:
- ISCSIB, objeto – dirección para definir al Gateway ISCSIB-73.1_iscsib-gw:
- WAN1, objeto – dirección para definir a la red completa, WAN1-NET:
- WAN1, objeto – dirección para definir al Gateway WAN1-210_wan1-gw:
- Ahora nos vamos a crear un Grupo de dirección, dónde vamos a incluir dos equipos de la red LANRGS:
- Nos creamos otro Grupo de dirección, dónde vamos a incluir los Controladores de dominio, en este caso, sólo tenemos uno, pero ya lo dejamos creado por si en un futuro vamos añadiendo más:
- Con estos objetos de Dirección nos podemos ir creando todos los que nos vayan interesando, para después usarlos en nuestras políticas.
- Los que nos hemos creado quedarían de la siguiente manera, los he ordenado por colores según la red a la que pertenecen:
- Ahora vamos a ver la parte de Políticas y Objetos > Servicios, dónde vienen predefinidos la mayoría de los servicios que utilizaremos en nuestras políticas, en estos servicios se define el protocolo y puerto que utiliza el servicio que queremos configurar, los he ordenado por colores según la Categoría:
- Para crearnos un nuevo Servicio o un Grupo de servicios simplemente clicamos sobre Crear nuevo y elegimos la opción que nos interese:
- Por ejemplo, para el servicio de WSUS que utilizará nuestro servidor central de actualizaciones de Windows no crearemos este Servicio:
- Y otro ejemplo para mostrar sería el utilizado para los controladores de dominio, dónde nos crearemos un Grupo de servicios con los siguientes miembros:
- Bueno, una vez que tenemos definidos los objetos Dirección, Grupo de dirección, Servicios y Grupos de servicios, podemos empezar a definir las políticas o reglas de nuestro firewall, por defecto, viene definida una regla implícita dónde se niega todo el tráfico, nosotros empezaremos a configurar reglas por encima de ésta aceptando o denegando todo lo que nos vaya interesando y según lo requiera nuestra infraestructura de red:
- Para empezar vamos a crear las reglas para dar conexión a Internet a todas nuestras redes, sólo voy a mostrar una, para la red LANRGS, ya que para todas las demás será exactamente igual:
- Como podemos ver está política la hemos creado para las demás redes:
- Ahora vamos a ver otra política para el acceso de los equipos del dpto. de TI a las distintas redes del firewall, sólo voy a mostrar una, para la red GESTION, ya que para todas las demás será exactamente igual:
- Como podemos ver está política la hemos creado para las demás redes:
- Ahora vamos a ver una política para que todos los equipos de la red de GESTION se puedan comunicar con nuestros controladores de dominio:
- Así nos quedaría:
- Por último vamos a habilitar la Política DoS, para detectar y bloquear ataques de Denegación de Servicios (DoS), para ello, lo haremos desde Sistema > Visibilidad de Característica > Política DoS:
- Una vez habilitada la política DoS, nos vamos a Políticas y Objetos > Política DoS IPv4 > Crear nuevo:
- Configuramos los umbrales para detectar y bloquear ataques de DoS en la interface que tiene la salida a Internet (WAN1), para todas las direcciones de origen y destino y para cualquier servicio:
Saludos y espero que os sea de ayuda 😉