FortiGate I

Firewall Policies

FortiGate 5.4.1
© Copyright Fortinet Inc. All rights reserved. Last Modified: 27 June 2017
1
Objectives
• Identify components of firewall policies
• Match traffic to firewall policies by:
o Source IP address, device ID/type, or user
o Interface or zone

• Configure firewall policies

o Configure log blocked traffic
• Identify policy list views
• Understand use of policy ID and sequence number
o Reorder firewall policies for correct matching
• Demonstrate how to find matching policies for traffic
type from the FortiGate GUI

2
What Are Firewall Policies?
• Policies define:
o Which traffic matches them
o How to process traffic that matches
• When a new IP session packet arrives,
FortiGate:
o Starts at the top of the list to
look for a policy match
o Applies the first matching
policy
• Implicit deny
o No matching policy?
FortiGate drops packet
Implicit Deny

3
• Para empezar, hablemos de las políticas de firewall.

• Las políticas de firewall definen qué tráfico coincide y qué hará FortiGate si lo hace.

• ¿Debe permitirse el tráfico? Esto se decide primero basado en criterios simples como la
fuente. Entonces, si la política en sí no bloquea el tráfico, FortiGate comienza una inspección
de perfil de seguridad más costosa desde el punto de vista computacional (a menudo
conocida como Unified Threat Management (UTM)), como antivirus, control de aplicaciones y
filtrado web, si lo ha elegido En la política. Esos escaneos podrían bloquear el tráfico si, por
ejemplo, contiene un virus. De lo contrario, se permite el tráfico.

• ¿Se aplicará NAT? ¿Autenticacion requerida? Las políticas de firewall también determinan
eso. Una vez finalizado el procesamiento, FortiGate reenvía el paquete hacia su destino.

• FortiGate busca la política de firewall correspondiente de 'arriba a abajo' y, si se encuentra

una coincidencia, el tráfico se procesa en base a esa directiva de firewall. Si no se encuentra
ninguna coincidencia, finalmente se deja caer por la directiva de denegación implícita
predeterminada.

4
Components and Policy Types
Objects Policies Use
• Interface/interface groups
• Address/user/device definitions
• Service definitions
• Schedules
• NAT rules
• Security profiles
Policy Types
• IPv4, IPv6
• Virtual wire pair (IPv4, IPv6)
• Explicit proxy
• Multicast
• Origin/destination is FortiGate itself
(Local traffic)
• DoS (IPv4, IPv6)
• Traffic shaping

5
• Cada directiva coincide con el tráfico y aplica la seguridad al
referirse a los objetos que ha definido, como direcciones y
perfiles.
•
• ¿Qué pasa con otros tipos de políticas de firewall? ¿Existen
políticas IPv6 o virtuales? Sí. Y usan objetos ligeramente
diferentes que son relevantes para su tipo. En esta lección,
estamos discutiendo las políticas de firewall IPv4, ya que son el
caso de uso más común.

6
Matching Criteria and Actions
 How Are Policy Matches Determined?

Incoming and outgoing interfaces

Source and destination IP address/user/device
Services
Schedules

Action = ACCEPT or DENY

Authentication Logging
Security Profile

8
Cuando llega un paquete, ¿cómo encuentra FortiGate una política de concordancia? Cada política tiene criterios
de coincidencia, que puede definir utilizando los siguientes objetos:

Ingreso y egreso
Origen y destino: Dirección IP, ID de dispositivo o usuario
Servicio (es) de red: Protocolo IP y número de puerto
Programación: se aplica durante los tiempos configurados
Acción: aceptar o negar

Una vez que FortiGate encuentra una política de coincidencia, aplica los parámetros configurados para el
procesamiento de paquetes. ¿Se aplica el análisis antivirus o el filtrado web? ¿Se aplicará NAT de origen?

Por ejemplo, si desea bloquear el FTP entrante en todos los servidores FTP excepto algunos, definiría las
direcciones de sus servidores FTP, los seleccionaría como destino y seleccionaría FTP como servicio. Es
probable que no especifique un origen (a menudo se permite ninguna ubicación en Internet) o programación
(normalmente los servidores FTP siempre están disponibles, de día o de noche). Por último, debería establecer la
configuración Acción en Aceptar.

Esto podría ser suficiente, pero a menudo usted querrá una seguridad más completa. Aquí, la política también
autentica al usuario, analiza los virus y registra los intentos de conexión bloqueados.

9
Simplify: Interfaces and Zones

Network > Interfaces

Incoming Outgoing

Zone

• Incoming Interface: Interface / zone receiving packets

• Outgoing Interface: Interface / zone forwarding packets
Zone: Logical group of interfaces
To match policies with traffic, select one (or more) interfaces or ANY

10
Para comenzar a describir cómo FortiGate encuentra una política para cada paquete, comencemos con la (s)
interfaz (es).

Los paquetes llegan a una interfaz entrante o de entrada. El enrutamiento determina la interfaz de salida o de
salida. En cada directiva, debe establecer una interfaz de origen y de destino; Incluso si uno o ambos están
ajustados a cualquiera. Ambas interfaces deben coincidir con los criterios de la interfaz de la política para ser una
coincidencia correcta.

Por ejemplo, si configura directivas entre el ingreso de puerto3 (LAN) y la salida de puerto 1 (WAN) y un paquete
llega al puerto2, el paquete no coincidirá con sus políticas y, por lo tanto, se eliminará debido a la política implícita
de denegación al final de la lista. Incluso si la política es de puerto3 (LAN) de entrada a cualquier salida, el
paquete aún se cayó porque no coincide con la interfaz entrante.

Para simplificar la configuración de la política, puede agrupar las interfaces en zonas lógicas. Por ejemplo, podría
agrupar port4 a port7 como una zona DMZ. Las zonas se pueden crear desde la página Interfaces. Sin embargo,
debe tener en cuenta que una interfaz en una zona no se puede hacer referencia individualmente y si necesita
quitar la interfaz de la zona, debe quitar todas las referencias a esa interfaz (por ejemplo, directivas de
cortafuegos, direcciones de firewall, etc.) . Si cree que es posible que tenga que hacer referencia a interfaces de
forma individual, debe establecer varias interfaces de origen y de destino en la directiva de firewall, en lugar de
utilizar zonas.

11
Selecting Multiple Interfaces or any Interface
• Disabled by default
o Cannot select multiple interfaces or any interface in firewall policy from GUI
• Can be enabled from System > Feature Select

Multiple interface policies disabled Multiple interface policies enabled

12
• De forma predeterminada, sólo puede seleccionar una interfaz única como la
interfaz entrante y una única interfaz como interfaz saliente. Esto se debe a que la
opción de seleccionar múltiples interfaces, o cualquier interfaz en una directiva de
firewall, está desactivada desde la GUI. Sin embargo, puede habilitar las
directivas de interfaz múltiple en la página Selección de características para
desactivar la restricción de interfaz única.

• También puede seleccionar múltiples interfaces o cualquier interfaz si configura

una directiva de firewall desde la CLI, independientemente de la configuración de
GUI predeterminada.

• También vale la pena mencionar que cuando se elige cualquier interfaz, no se

pueden seleccionar múltiples interfaces para esa interfaz. En este ejemplo, ya que
cualquiera está seleccionado como la interfaz de salida, no puede agregar
ninguna interfaz adicional.

13
Matching by Source
• Must specify at least one source (address) MandatorySource
Mandatory source
• May specify either, neither, or both: addressfield
Address field Optional
o Source User
o Source Device
• Source Address
o IP address
o Subnet (IP/Netmask)
o FQDN
o Wildcard FQDN
o Geography
Warning for
• Source User – Individual user or user group. This may refer to: unresolved FQDN
o Local firewall accounts
o Accounts on a remote server (e.g. Active Directory, LDAP, RADIUS)
o FSSO
o Personal certificate (PKI-authenticated) users
• Source Device – Identified or manually defined client device
o Enables device identification on the source interface

14
• El siguiente criterio de coincidencia que FortiGate considera es el origen del paquete.

• En cada directiva de firewall, debe seleccionar un objeto de dirección de origen.

Opcionalmente, puede refinar su definición de la dirección de origen seleccionando también
un usuario, un grupo o un dispositivo específico. Si su organización permite que BYOD (Bring
Your Own Device), una combinación de los tres proporcione una coincidencia mucho más
granular, para mayor seguridad.

• Nota: En FortiOS 5.4, al configurar la dirección del cortafuegos, puede permitir que el nombre
del objeto de dirección del cortafuegos sea visible en una configuración de ruta estática, que
se puede utilizar al configurar una ruta estática.

• Al seleccionar un nombre de dominio completo (FQDN) como la dirección de origen, debe

ser resuelto por DNS y almacenado en caché en FortiGate. Asegúrese de que FortiGate está
configurado correctamente para la configuración de DNS. Si FortiGate no puede resolver una
dirección FQDN, se presentará con un mensaje de advertencia y una directiva de firewall que
contiene un FQDN puede no funcionar correctamente.

15
 Source: User Identification
• Confirms identity of user
• Access to network is provided after confirming user credentials

1 3 Verify username and password

Local user 2 Username and password Verified 4 Authentication

Server

Remote user
2 Username and password

16
• Si se agrega un usuario como parte del origen, debe verificarse antes de permitir
o denegar el acceso basado en la directiva de firewall. Hay diferentes maneras en
que un usuario puede ser autenticado. Para un usuario local, el nombre de
usuario y la contraseña están configurados localmente en FortiGate. Cuando un
usuario local se autentica, debe coincidir con el nombre de usuario y la
contraseña configurados en el FortiGate localmente.

• Si se trata de un usuario remoto (por ejemplo, LDAP o RADIUS), FortiGate recibe

el nombre de usuario y la contraseña del usuario remoto y pasa esta información
al servidor de autenticación. El servidor de autenticación verifica las credenciales
de inicio de sesión de usuario y actualiza FortiGate. Una vez que FortiGate recibe
esa información, el acceso a la red se otorga en base a la política de firewall.

• Un usuario de Fortinet Single Sign-On (FSSO) se autentica iniciando sesión con

su nombre de usuario y contraseña configurados en el controlador de dominio y el
acceso se otorga en función de la información de grupo de FortiGate.

17
Device Identification: Agent vs. No Agent
No Agent Agent (FortiClient)
o HTTP user agent • Location and infrastructure independent
o TCP Fingerprinting
o MAC address vendor codes
o DHCP
FC
o Microsoft Windows browser FortiClient
service (MWBS) FC
o SIP user agent
o Link Layer Discovery
Protocol (LLDP) FortiClient
o Simple Service Discovery
Protocol (SSDP)
• Requires direct connectivity Agentless Trusted network
to FortiGate

18
• Hay dos técnicas de identificación de dispositivos: con un agente, y sin.

• Agentless utiliza el tráfico del dispositivo. Los dispositivos están indexados por su dirección MAC y hay varias maneras
de identificar dispositivos:

• Cabecera HTTP "User-Agent:"

• TCP huella dactilar
• Dirección MAC OUI
• DHCP (opción 60 identificador de clase, opción 12 nombre_host)
• Servicio de explorador de Microsoft Windows (MWBS)
• Agente de usuario SIP
• Protocolo de detección de capa de enlace (LLDP)
• Simple Service Discovery Protocol (SSDP)

• Nota: FortiGate utiliza "primero llegado, primero servido" para determinar la identidad del dispositivo. Por ejemplo, si el
agente de usuario HTTP detecta un dispositivo, FortiGate actualiza su tabla de dispositivos con la dirección MAC
detectada y el análisis se detiene tan pronto como se ha determinado el tipo para esa dirección MAC.

• El agente utiliza FortiClient. FortiClient envía información a FortiGate, y el dispositivo es rastreado por su único UID
FortiClient.

19
Device Identification
• Source Device Type – Device identification enabled on the
source interface(s) of that policy
Network > Interfaces
o Enables Device Identification

20
• Si habilita Tipo de dispositivo de origen en la directiva de firewall, FortiGate
habilita la detección de dispositivos y la exploración activa en la interfaz de origen
de la directiva. De forma predeterminada, FortiGate utiliza Device Detection
(detección pasiva) que ejecuta las exploraciones basándose en la llegada del
tráfico.

• ¿Qué es el escaneado activo?

• Si la detección pasiva no detecta el tipo de dispositivo durante más de cinco

minutos, se activa el escaneado activo y se analiza cada tres minutos. Si la
exploración activa no logra detectar el tipo de dispositivo, la siguiente exploración
se produce 10 minutos después. Si la exploración falla, la siguiente se produce 15
minutos más tarde. FortiGate utiliza un algoritmo (N + 1) * 5 minutos para
escanear, donde N es el número de exploraciones que se han realizado.
Exploración activa escanea el tipo de dispositivo, el sistema operativo y la versión
del sistema operativo.

21
Device Identification: Device List (GUI and CLI)
• User & Device > Device Inventory User & Device > Custom Devices & Groups

Detection method

22
• La lista de dispositivos muestra la lista de dispositivos detectados. También muestra el número total de dispositivos
detectados. Puede hacer clic con el botón derecho del ratón en cualquier dispositivo detectado para editar, eliminar o
ver detalles en FortiView. Los detalles incluyen sesión, destino, políticas y más.

• También puede definir entradas estáticas para grupos de dispositivos y / o dispositivos. De forma predeterminada,
los dispositivos se agrupan en grupos de dispositivos personalizados; Sin embargo, si un grupo de dispositivos
predefinido no coincide con sus necesidades organizativas, puede crear un grupo personalizado.

• Los dispositivos son indexados por MAC e identificados de múltiples fuentes. La lista de dispositivos de usuario de
diagnóstico de la orden CLI muestra un listado más detallado que la página Inventario de dispositivos, incluido el
método de detección. En este ejemplo trabajado, los dispositivos son detectados por la fuente como TCP
fingerprinting, agente de usuario HTTP y FortiClient.

• Los dispositivos detectados se guardan en la unidad flash de FortiGate. Por lo tanto, al reiniciar, FortiGate sabe que
los dispositivos ya han sido identificados, y no tiene que volver a categorizar cada dispositivo.

• El usuario que se muestra en la información del dispositivo es sólo una etiqueta; No puede utilizarse como medio de
identificación para una política de autenticación.

23
Endpoint Control
• FortiGate can control FortiClient settings via FortiClient profiles and registration
• Enable FortiTelemetry on FortiGate interface(s) for registration
Network > Interfaces

Mandatory to allow FortiClient for

registration Registered
FortiClient
FortiClient UID

Optional settings

24
• FortiGate puede controlar la configuración de FortiClient a través del perfil y registro de FortiClient. Para que
FortiClient se registre con FortiGate, FortiTelemetry debe estar habilitado en la interfaz aplicable. Hay otras
configuraciones que vale la pena mencionar, como Enforce FortiTelemetry para todos los FortiClients. Si está
habilitado, los dispositivos no reclamados se bloquean y se redirigen a un portal web que explica el incumplimiento y
proporciona un enlace para descargar FortiClient. Puede eximir los dispositivos de la aplicación de FortiClient
utilizando origen y / o destino o servicios.

• Una vez registrado FortiClient, se agrega a la lista de dispositivos. FortiGate también empuja el perfil de FortiClient al
FortiClient registrado (s). Puede configurar el perfil predeterminado de FortiClient o agregar perfiles adicionales.

• También puede ver la información del punto final de FortiClient desde la página Monitor de FortiClient.

• Puede ejecutar la lista de dispositivos de diagnóstico de usuario o diagnosticar la lista de registro de punto final para
ver el UID único de FortiClient.

• Los dispositivos FortiClient tienen un identificador único que puede utilizarse como índice para el dispositivo. El
identificador único se utiliza en lugar de la dirección MAC, ya que utilizar direcciones MAC puede ser problemático
cuando un dispositivo tiene varias direcciones MAC (como servidores o máquinas virtuales) o cuando no hay
visibilidad de capa 2 del dispositivo.

• El widget Información de Licencia en el panel de control de la GUI de FortiGate muestra el número total de
dispositivos registrados y el número total de dispositivos disponibles para el registro. Los instaladores de Windows y
Mac OS X FortiClient también están disponibles en este widget de panel de control.

25
Endpoint Control
• Firewall polices with Source Device Type restrict access to
specific devices

26
• FortiClient es el método basado en agentes para el tipo de
dispositivo de origen.

• Como se muestra en la diapositiva anterior, la aplicación

FortiClient está habilitada en la (s) interfaz (es). Las políticas de
firewall con esta interfaz de origen forzarán al usuario a
descargar o registrar FortiClient con FortiGate. En FortiOS 5.2,
la aplicación de FortiClient se habilitó política por política.

27
Example: Matching Policy by Source
• Matches by source address, user, and device type

Address

User

Device

28
• Aquí, los tres selectores de origen identifican el grupo de
usuarios, el tipo de dispositivo y la subred específica.

• Recuerde que el usuario y el dispositivo son objetos

opcionales. Se utilizan aquí para hacer la política más
específica. Si desea que la directiva coincida con más tráfico,
deje los objetos de usuario y de dispositivo sin definir.

29
Matching by Destination
• Like source, address objects can use:
o Subnet (IP/Netmask)
o IP Range
o FQDN
• Wildcard FQDN
o Geography

• DNS query used to resolve FQDN

• Country defines addresses by ISP’s geographical location
o Database updated periodically with FortiGuard

30
• Al igual que la fuente del paquete, FortiGate también comprueba la dirección de destino de
una coincidencia.

• Los objetos de dirección pueden ser un nombre de host, una subred IP o un rango. Si
introduce un FQDN como objeto de dirección, asegúrese de haber configurado FortiGate con
la configuración de DNS. FortiGate utiliza DNS para resolver esos nombres de host FQDN a
direcciones IP, que son lo que realmente aparecen en la cabecera IP.

• Las direcciones geográficas, que son grupos o rangos de direcciones asignados a un país,
pueden seleccionarse en su lugar. Estos objetos se actualizan a través de FortiGuard.

• ¿Por qué no hay opción para seleccionar usuario o dispositivos? La identificación del usuario
o la identificación del dispositivo se determinan en la interfaz de entrada y los paquetes se
reenvían a la interfaz de salida una vez que la autenticación del usuario o del dispositivo
tiene éxito.

31
Scheduling
• Objects > Schedules Recurring Schedule
• Policies apply only during
specific times and days
o Example: A less restrictive ‘lunch
time’ policy
o Default schedule applies all the
time
One-time Schedule
o Recurring
• Happens every time during
specified day(s) of the week
o One-time
• Happens only once

32
• Las programaciones agregan un elemento de tiempo a la directiva. Por ejemplo, una
política que permite el software de copia de seguridad puede activarse de noche, o una
dirección remota puede ser permitida para propósitos de prueba, y un programa
proporciona una ventana de prueba.

• Los horarios pueden configurarse desde la página Horarios y utilizar un reloj de 24

horas. Hay algunas configuraciones que vale la pena mencionar:

• Recurrente: Al configurar las programaciones periódicas, si la hora de parada se

establece antes de la hora de inicio, la hora de parada se producirá al día siguiente. Por
ejemplo, si selecciona Domingo como el día, 10:00 como hora de inicio y 09:00 como
hora de parada, el horario se detendrá el lunes a las 09:00. Si la hora de inicio y parada
es idéntica, la programación se ejecutará durante 24 horas.
• De una sola vez: La fecha y la hora de inicio deben ser anteriores a la fecha y hora de
finalización. También puede habilitar el registro de eventos de Pre-expiración, que
generará un registro de eventos N número de días antes del vencimiento del programa,
donde N puede ser de 1 a 100 días.

33
 Matching by Service

• Service determines matching transmission protocol (UDP, TCP, and so on) and port
number
o Or higher layer, such as application protocols (HTTP, HTTPS, DNS…)
• Can be predefined or custom Policy & Objects > Services
• ALL matches all ports and protocols

Packet Firewall Policy

Protocol and Port = Protocol and Port

34
Otro criterio que FortiGate utiliza para hacer coincidir las políticas es el servicio del paquete.

En la capa IP, los números de protocolo (por ejemplo, TCP, UDP, SCTP, etc.) junto con los puertos de origen y de
destino definen cada servicio de red. Generalmente, sólo se define un puerto de destino (es decir, el puerto de
escucha del servidor). Algunas aplicaciones heredadas pueden utilizar un puerto de origen específico, pero en la
mayoría de las aplicaciones modernas, el puerto de origen se determina aleatoriamente en el momento de la
transmisión y, por lo tanto, no es una forma confiable de definir el servicio.

Por ejemplo, el objeto de servicio predefinido denominado HTTP es el puerto de destino TCP 80 y el objeto de
servicio predefinido denominado HTTPS es el puerto de destino TCP 443. Sin embargo, los puertos de origen son
efímeros y, por lo tanto, no están definidos.

De forma predeterminada, los servicios se agrupan para simplificar la administración, por lo que puede ver los
servicios por categoría o por orden alfabético. Si los servicios predefinidos no responden a sus necesidades
organizativas, puede crear uno o más nuevos servicios, grupos de servicios y categorías.

35
Configuring Firewall Policies
 Configuring Firewall Policies
• Policy & Objects > IPv4 Policy
o Mandatorypolicy name (configurable from
System > Feature Select)
o Flat GUI view allows: Enabled by default
MUST specify unique name
• Select by clicking Highlights selected entry

• Drag and drop

config firewall policy

edit 1
set name “Unrestricted"
set uuid 2204966e-47f7-51..

Universally Unique Identified (UUID)

37
• Cuando configura una nueva directiva de firewall desde la GUI, debe especificar un nombre único para la directiva de
firewall, ya que está habilitado de forma predeterminada (pero opcional en la CLI). Esto ayuda al administrador a
identificar rápidamente la directiva que están buscando. Sin embargo, puede habilitar esta característica opcional en
la GUI desde la página Selección de características habilitando Permitir políticas sin nombre bajo Funciones
adicionales.

• Nota: Al actualizar desde una versión anterior del firmware de FortiGate (por ejemplo, 5.2) o una política configurada
desde la CLI, no se asignan nombres de directivas. Sin embargo, si modifica una directiva existente desde la GUI,
debe especificar un nombre único.

• La vista GUI plana de FortiGate le permite seleccionar interfaces y otros objetos haciendo clic o arrastrando y
soltando en la lista poblada en el lado derecho.

• Hay muchas otras opciones que puede configurar desde la directiva de firewall, como cortafuegos y opciones de red,
perfiles de seguridad, opciones de registro y habilitación o deshabilitación de una directiva.

• Cuando se crean objetos o directivas de cortafuegos, se agrega un atributo UUID (Universally Unique Identified) para
que los registros puedan registrar estos UUID y mejorar la funcionalidad al integrarse con FortiManager o
FortiAnalyzer.

• Al crear políticas de cortafuegos, recuerde que FortiGate es un firewall con estado. Como resultado, sólo necesita
crear una directiva de firewall que coincida con la dirección del tráfico que inicia la sesión. FortiGate recordará
automáticamente el par origen-destino y permitirá respuestas.

38
Security Profiles

39
• Una de las características más importantes que puede aplicar
una política de firewall son perfiles de seguridad, como IPS y
antivirus. Un perfil de seguridad inspecciona cada paquete en
el flujo de tráfico, donde la sesión ya ha sido condicionalmente
aceptada por la directiva de firewall.

• Al inspeccionar el tráfico, FortiGate puede utilizar uno de los

dos métodos: basado en flujo o basado en proxy. Las
diferentes características de seguridad son compatibles con
cada tipo.

40
Learning Mode
• Allows everything through firewall policy but
with fully enabled logging capabilities
o Enables hidden security profiles
• Action set to monitor
• User unable to view or edit them
• All logs generated from these policies will
be tagged as Learning.

• Provides cyber threat assessment report

o Log & Reports > Learning Reports
o Uses all learning logs and security vectors

41
• También puede habilitar el modo de aprendizaje en una directiva de
firewall. Cuando establece Acción para APRENDER, la directiva de
firewall aplica automáticamente perfiles estáticos predeterminados y
transmite tráfico a perfiles de seguridad para su supervisión.
También permite el registro con capacidades completas, que se
etiquetan como Aprendizaje en los registros.

• Puede ver el informe completo que resulta del modo de aprendizaje

en la página Informes de aprendizaje. Este informe utiliza todos los
registros de aprendizaje, en todos los vectores de tráfico y
seguridad, para generar un informe de resumen completo. Esto
permite a los usuarios implementar fácilmente un monitor y luego
aplicar el proceso.

42
Logging

Accept Deny

config system setting

set ses-denied-traffic enable
end
config system global
set block-session-timer <1-300>
end

43
Si habilita Generar registros cuando se inicia la sesión, FortiGate creará un registro de tráfico cuando comience la sesión.
Pero recuerde que el aumento del registro disminuye el rendimiento, así que úselo sólo cuando sea necesario.

Si ha habilitado el inicio de sesión en la política, FortiGate generará registros de tráfico una vez que una directiva de firewall
cierre una sesión IP.

Durante la sesión, si un perfil de seguridad detecta una violación, FortiGate registrará el registro de ataque inmediatamente.
Para reducir la cantidad de mensajes de registro generados y mejorar el rendimiento, puede habilitar una entrada de tabla
de sesión de tráfico eliminado. Esto crea la sesión denegada en la tabla de sesión y, si la sesión se deniega, todos los
paquetes de esa sesión también se deniegan. Esta opción está en la CLI, y se llama ses-denied-traffic. También puede
establecer la duración de las sesiones de bloque. Esto determina cuánto tiempo se mantendrá una sesión en la tabla de
sesiones estableciendo session-timer de bloque en la CLI. De forma predeterminada, se establece en 30 segundos.

Si no se muestra la opción GUI Generar registros cuando se inicia la sesión, significa que el dispositivo FortiGate no tiene
almacenamiento interno. Esta opción está en la CLI, independientemente del almacenamiento interno, y se denomina set
logtraffic-start enable.

44
Traffic Shapers
• Rate limiting is configurable Policies & Objects > Traffic Shaping Policy
o In bandwidth and out bandwidth
o Defines maximum and guaranteed bandwidth

Shared Traffic Shaper Per-IP Traffic Shaper

Guaranteed Bandwidth
Maximum Bandwidth

Guaranteed Bandwidth
Guaranteed Bandwidth Maximum Bandwidth
Maximum Bandwidth

Guaranteed Bandwidth
Maximum Bandwidth

45
• Se pueden configurar dos tipos de formadores de tráfico: compartido y por IP.

• Un shaper compartido aplica un ancho de banda total a todo el tráfico que usa ese formador. El
alcance puede ser por política o para todas las políticas que hacen referencia a ese formador.
FortiGate puede contar las tasas de entrada y salida de paquetes al tráfico policial.

• En FortiOS 5.4, las políticas de configuración de tráfico se crean por separado en la página Política
de modelado de tráfico. FortiGate le permite crear tres tipos de políticas de configuración del tráfico:

• Configuración compartida de políticas: Gestión de ancho de banda de las políticas de seguridad

• Formación por IP: Gestión de ancho de banda de las direcciones IP de los usuarios
• Configuración de control de aplicaciones: Gestión de ancho de banda por aplicación

• Al crear directivas de configuración de tráfico, debe asegurarse de que los Criterios de coincidencia
son los mismos que las políticas de firewall que desea aplicar. Tenga en cuenta que estos se
aplican igualmente a TCP y UDP, y los protocolos UDP pueden no recuperarse con tanta gravedad
de la pérdida de paquetes.

46
Managing Firewall Policies
Policy List: Interface Pair View and By Sequence
• Policy & Objects > IPv4 Policy
• Interface Pair View Can view By Sequence also

o Lists policies by ingress/egress interfaces

policy pairs
Interface Policy

• By Sequence (only)
o If multiple source/destination interfaces or matches any interface

Multiple interface

any interface

48
• Las directivas de firewall aparecen en una lista organizada. Se organiza en la vista de pares
de interfaz o en secuencia.

• Por lo general, aparecerá en la vista de pares de interfaz. Cada sección contiene directivas
para ese par de entradas y salidas. Como alternativa, puede ver sus políticas como una lista
única y completa seleccionando Por secuencia en la parte superior de la página.

• En algunos casos, no tendrá una opción de qué vista se utiliza.

• Si utiliza múltiples interfaces de origen y de destino o cualquier interfaz en una directiva de

firewall, las directivas no se pueden separar en secciones por pares de interfaces, algunas
de ellas serían trillizos o más. En su lugar, las políticas se muestran siempre en una sola lista
(por secuencia).

• Para ayudarle a recordar el uso de cada interfaz, puede darles alias. Por ejemplo, puede
llamar al puerto3 Internal_network. Esto puede ayudar a hacer su lista de políticas más fácil
de comprender.

49
 Policy ID and Adjusting Policy Order
• Policy IDs are identifiers Policy ID config firewall policy
edit <policy_id>
o CLI commands uses policy ID instead of sequence number end

• In GUI, drag-and-drop Seq. # Before policy move

Before
policy move

Sequence number After policy move

ID remains same
changed

After policy
move

50
• Las directivas de firewall en la GUI se ordenan principalmente por el número de secuencia de políticas. Los números de secuencia de
políticas definen el orden en que se procesan las reglas. Los ID de políticas son identificadores. De forma predeterminada, los números de
secuencia se muestran en la GUI. Los comandos CLI, sin embargo, utilizan ID de directiva.

• Tenga cuidado de no modificar accidentalmente la política incorrecta. Para evitar estos errores, puede agregar el ID de directiva a la GUI
utilizando la configuración de columna.

• ¿Recuerda que mencionamos que solo aplica la primera política de concordancia? Es importante mover sus políticas a la posición correcta.
Afecta al tráfico bloqueado o permitido. En la sección correspondiente del par de interfaces, FortiGate buscará una política de coincidencia,
comenzando por la parte superior. Por lo general, debe poner más políticas específicas en la parte superior; De lo contrario, las directivas
más generales coincidirán primero con el tráfico y sus políticas más granulares nunca se aplicarán.

• Aquí, estamos moviendo una política (número de secuencia 3, ID 8) que sólo coincide con el tráfico de syslog por encima de una directiva
más general Full_Access (aceptar todo desde cualquier lugar). De lo contrario, FortiGate siempre aplicará la primera política de
concordancia - Full_Access- y nunca alcanzará la directiva Block_Syslog.

• Observe que después de mover esta política, el número de secuencia cambió de 3 a 2, pero el ID de directiva 8 permaneció igual en la GUI.
Dado que la CLI sólo utiliza ID de política, antes de pasar, la ID de política 7 estaba en la parte superior y, después de la mudanza, la ID de
política 8 se encuentra en la parte superior.

• Como práctica recomendada, agregue siempre la columna ID de la política en la GUI. Mientras el número de secuencia cambia cuando se
mueve una política, el valor que queda con una directiva es el ID de la política.

51
Simplify: Groups of Sources/Services
• Each address and service object referenced individually, or…
• Using groups, rewrite to simplify policies

52
• Para reducir el número total de políticas de firewall en la RAM y para simplificar la
administración, puede agrupar objetos de servicio y dirección. A continuación, puede hacer
referencia a ese grupo en la directiva de firewall, en lugar de seleccionar varios objetos cada
vez o realizar varias directivas.

• Aquí, vemos cuatro servicios que coinciden con la directiva: HTTP, HTTPS, FTP y DNS. DNS
suele ser utilizado por HTTP, ya que la gente recuerda nombres de dominio para sitios web
en lugar de sus direcciones IP. Si necesita realizar muchas directivas para el tráfico web y
FTP, tiene sentido crear un objeto de servicio denominado Web-FTP. De esta manera, no
tiene que seleccionar manualmente los cuatro servicios cada vez que crea una política. En
su lugar, las directivas pueden hacer referencia al grupo de servicios Web-FTP.

• Además, si observa, puede consolidar estas dos políticas de firewall, ya que tienen la misma
fuente y destino, excepto que los servicios son diferentes. Puede consolidar la dirección de
origen como grupo de origen y crear un grupo de servicios que contenga todos los servicios
de acceso a Internet, FTP y correo electrónico.

• Al consolidar dos directivas de cortafuegos, las otras configuraciones de la directiva de

firewall, como el registro y los perfiles de seguridad, deben coincidir.

53
Object Usage
• Allows for faster changes to settings
• Reference column shows if the object is being used
o Links directly to the referencing object

Number of times object

used

Referenced by
policy ID

54
• Acabamos de mostrar varios objetos componentes que se pueden reutilizar a medida que se
generan políticas. ¿Qué sucede si desea eliminar un objeto?

• Si se está utilizando, no se puede. En primer lugar, debe reconfigurar los objetos que lo están
utilizando actualmente. La interfaz gráfica de usuario proporciona una forma sencilla de averiguar
dónde se hace referencia a un objeto en la configuración de FortiGate. Vea los números en la Ref.
¿columna? Son el número de lugares donde se está utilizando ese objeto. El número es en realidad
un enlace, por lo que si hace clic en él, puede ver qué objetos lo utilizan.

• En este ejemplo, la dirección all está siendo utilizada por un grupo de direcciones y dos políticas de
firewall. Si selecciona una directiva de firewall, puede utilizar las pestañas Editar, Ver lista y Ver
propiedades.

• Editar: le permite editar el objeto seleccionado. En este ejemplo, muestra la página de edición del ID
de directiva de firewall 3.
• Ver Lista: Le permite ver los objetos seleccionados en su categoría. En este ejemplo, le mostrará la
lista de todas las políticas de cortafuegos.
• Propiedades de la vista: Muestra dónde se utiliza el objeto en esa configuración. En este ejemplo,
todo el objeto de dirección se está utilizando en la dirección de destino y la dirección de origen de
esa directiva de firewall.

55
Firewall Policy: Fine Tuning
• Right-click menu contains various options to add/modify policies

56
• Puede hacer clic con el botón secundario en cualquier secuencia de
directivas de cortafuegos para ver opciones de menú diferentes para
editar o modificar la directiva. Las opciones incluyen habilitar o
deshabilitar una directiva de firewall, insertar políticas de firewall
(arriba o abajo), copiar y pegar directivas y clonar reverso (sólo si
NAT está inhabilitado en esa política).

• Al hacer clic en Editar en CLI, se abre la consola CLI para la directiva

de firewall u objeto seleccionado.

• Al hacer clic con el botón secundario en los objetos, se proporcionan

opciones para agregar o quitar un objeto del mismo tipo, modificar un
objeto y mostrar una referencia para ese objeto.

57
Monitoring Firewall Policies
Policy Lookup (GUI)
• Packet flow without real traffic required to trace matching policy
• Searches matching policy based on input criteria
o Source Interface
o Protocol
• Requires more granular input criteria
o Source IP address
o Destination IP/FQDN

• Policy lookup checks

o Reverse path forward (RPF)
o Destination NAT, if matching Virtual IP
o Route lookup, to resolve destination interface
o Iprope list lookup

59
• En FortiOS 5.4, puede encontrar una directiva de firewall coincidente basada en los criterios
de entrada de búsqueda de políticas. Es básicamente crear flujo de paquetes a través de
FortiGate sin tráfico real, desde el cual se puede extraer una ID de política desde la traza de
flujo y resaltarla en la página de configuración de la política de GUI.

• Dependiendo del protocolo que seleccione (por ejemplo, TCP, UDP, IP, ICMP, etc.), debe
definir otros criterios de entrada. Por ejemplo, si selecciona TCP como protocolo, debe definir
la dirección de origen, el puerto de origen (opcional), el puerto de destino y la dirección de
destino. Cuando selecciona ICMP como protocolo, debe definir el tipo / código ICMP, la
dirección de origen y la dirección de destino.

• Cuando FortiGate realiza la búsqueda de políticas, realiza una serie de comprobaciones de

entrada, inspección con estado y salida para la directiva de firewall correspondiente de arriba
a abajo antes de proporcionar resultados para la directiva de coincidencia.

• Nota: si el estado de la directiva de firewall está configurado para deshabilitar, la búsqueda

de políticas omite la directiva deshabilitada y comprueba la siguiente directiva de
concordancia de la lista.

60
Policy Lookup Example (GUI)
• Highlights matching policy after search

61
• En función de los criterios de entrada, después de hacer clic en
Buscar, el resultado del rastreo se seleccionará y se resaltará
en la página Política IPv4.

62
Review
 How packets match a firewall policy
 How FortiGate defines matching traffic
 Interfaces vs. zones
 Domain name / IP address objects
 Device list and endpoint control
 Network services
 Configuring firewall policies
 Reordering policies to match more granular policies first
 Using policy lookup to find matching policies

63
 Para revisar, aquí están todos los temas que cubrimos en
esta lección:

 Cómo los paquetes coinciden con una directiva de firewall

 Cómo FortiGate define tráfico coincidente
 Configuración de las políticas de firewall
 Reordenar políticas para que coincidan con políticas más
granulares primero
 Uso de la búsqueda de políticas para encontrar políticas de
concordancia
64