Documente Academic
Documente Profesional
Documente Cultură
Prerequisitos
Antes de comenzar esta práctica de laboratorio, debe restaurar un archivo de configuración
en Local-FortiGate.
Nota: Cuando se crea políticas en el Cortafuegos, recuerde que FortiGate es un Cortafuegos con
estado. Como resultado, solo se necesita crear una política de Cortafuegos que coincida con la
dirección del tráfico que inicia la sesión.
Nota: Cada inicio de sesión de registro genera el doble de mensajes de registro. Se debe usar esta
opción solo cuando el nivel de detalle sea absolutamente necesario.
Nota: Cuando se hace clic en Show Matching Logs (Mostrar Registros Coincidentes) en la política del
Cortafuegos, éste añade el filtro para la política de identificación (UUID) en los registros de reenvío de
tráfico. (Universally Unique IDentifier)
6. En los registros Forward Traffic (Reenvío de Tráfico), haga clic en X para eliminar el filtro
para la política de identificación.
2. Avance hasta la parte inferior y haga clic en Apply (Aplicar) para guardar los cambios.
3. Puede arrastrar la columna ID a donde desee colocarla en la ventana de columnas.
Para confirmar las coincidencias de tráfico con una política de cortafuego más
específica después de reordenar la política del Cortafuegos.
1. Desde la máquina virtual Local-Windows, ingrese a la Consola de Comandos.
2. Haga PING a la dirección destino (LINUX_ETH1) que se configuró en la política Block_
Ping del Cortafuegos.
ping –t 10.200.1.254
Si no ha cambiado el patrón de ordenamiento, el PING debería funcionar porque
coincide con la política ACCEPT (Aceptar) y no con la política DENY (Denegar) creadas
anteriormente. Esto demuestra el comportamiento del ordenamiento de las políticas.
3. Identificación de Dispositivos
FortiGate puede hacer coincidir el tráfico por tipo de dispositivo seleccionando el dispositivo
en el campo Origen (Source). Hay dos tipos de identificación de dispositivo.
• La identificación de dispositivo sin agente, donde se utiliza el tráfico del dispositivo y los
dispositivos indexados por su dirección MAC, y,
• La identificación de dispositivo basada en agentes, donde se utiliza FortiClient, que
envía su única ID FortiClient a FortiGate.
En esta práctica de laboratorio, se utilizará la técnica de identificación de dispositivo sin
agente. Primero se agregará el dispositivo en el campo de origen de la política existente
en el Cortafuegos y luego se observará el comportamiento de coincidencia de origen de la
política del Cortafuegos.
Nota: Si se habilita un tipo de dispositivo origen en la política del Cortafuegos, FortiGate habilita la
detección del dispositivo en la interface de origen de la política.
10. Regrese a la Consola de Comandos de la máquina virtual Local-Windows, donde se
estaba ejecutando el PING continuo.
Como puede observar, el tráfico está bloqueado.
11. En la máquina virtual Local-Windows, intente navegar en Internet abriendo navegadores
web y tratando de conectarse a varios sitios web externos, como www.fortinet.
com y www.bbc.com.
Confirme que el Cortafuegos bloquea este tráfico.
El tráfico queda bloqueado porque el tipo de dispositivo de origen en la política del
Cortafuegos está configurado en Linux-PC, que no coincide con el dispositivo Windows
que es donde se genera el tráfico.
Para confirmar que el tráfico esté habilitado por una política del Cortafuegos.
1. En la máquina virtual Local-Windows, regrese al PING continuo iniciado anteriormente.
Deberá notar que el tráfico está habilitado.
2. Cierre la ventana de la Consola de Comandos.
3. En la máquina virtual Local-Windows, abra un navegador web e intente conectarse a
varias sitios web externos tales como www.yahoo.com y www.google.com
Confirme que el Cortafuegos permite el tráfico.
Para confirmar que el tráfico esté habilitado por la política del Cortafuegos.
1. En la máquina virtual Local-Windows, abra un navegador web e intente conectarse a
varias sitios web externos tales como www.yahoo.com y www.google.com
Confirme que el Cortafuegos permite el tráfico.
4. Búsqueda de políticas
FortiGate puede encontrar una política de cortafuego coincidente basada en los criterios
ingresados al hacer la búsqueda. El fundamento es de crear un flujo de paquetes en el
entorno FortiGate, sin que sea un tráfico real. A partir de este flujo de paquetes, FortiGate
puede extraer una ID de política y destacarla en la página de configuración de políticas de
la interface gráfica.
En esta práctica de laboratorio, usará la función de búsqueda de políticas para encontrar
una política de cortafuego coincidente basada en los criterios de entrada.
Nota: Cuando FortiGate realiza búsquedas de políticas, realiza una serie de comprobaciones de
ingreso, inspección de estados y salidas para la política de cortafuego correspondiente. Y efectúa
verificaciones de arriba a abajo, antes de proveer los resultados de políticas coincidentes.
4. Haga clic en Policy Lookup (Búsqueda de Política) y cambie Source (Origen) a 10.0.1.10
Asegúrese de que todas las demás configuraciones coincidan con las configuraciones
que se utilizó en el paso 2.