NO REIMPRIMIR

© FORTINET LAB 3 - Políticas del Cortafuegos

Lab 3 - Políticas del Cortafuegos

Objetivos
• Configurar objetos y políticas del Cortafuegos.
• Configurar las opciones de coincidencia de origen disponibles en las políticas del
Cortafuegos.
• Aplicar los servicios y horarios a las políticas del Cortafuegos.
• Configurar las opciones de registro de las políticas del Cortafuegos.
• Configurar las políticas del Cortafuegos basado en los tipos de dispositivos.
• Reordenar las políticas del Cortafuegos.
• Leer e interpretar los registros.
• Utilizar las búsquedas personalizadas para encontrar políticas coincidentes.

Tiempo para completar

Estimado: 35 minutos.

Prerequisitos
Antes de comenzar esta práctica de laboratorio, debe restaurar un archivo de configuración
en Local-FortiGate.

Para restaurar el archivo de configuración de Local-FortiGate.

1. En la máquina virtual de Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Vaya al Panel (Dashboard), y desde el grupo System Information (Información del Sistema),
haga clic en Restore (Restaurar).

3. Seleccione restaurar desde Local PC y haga clic en Upload (Cargar).

4. Ingrese a Desktop (Escritorio) > Resources (Recursos) > FortiGate-I > Firewall-Policies
(Políticas-Cortafuegos) y seleccione localfirewall-policy.conf.
5. Haga clic en OK, y luego nuevamente en OK para reiniciar.

FortiGate I - Guía del Estudiante 1

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

2. Creación de objetos de dirección y las políticas

para su uso en el Cortafuegos.
En este ejercicio, se llevará a cabo la configuración de los objetos de dirección del
Cortafuegos. Luego se hará la configuración de la política IPv4 del Cortafuegos a la que
se aplicará los objetos de dirección junto con la programación de los horarios, los servicios
y las opciones de registro. Luego, se probará las políticas y el tráfico en el Cortafuegos y
se revisarán los registros del tráfico.
En esencia, FortiGate es un firewall, por lo que casi todo lo que hace con el tráfico de red,
está vinculado al alcance las políticas definidas en el Cortafuegos.

Creando objetos de dirección en el Cortafuegos

FortiGate tiene muchos objetos de dirección que son muy comunes y vienen preconfigurados
de fábrica. Sin embargo, si no cumplen con las necesidades de una organización, se
puede personalizar la configuración.

Para crear un objeto de dirección en el Cortafuegos.

1. Desde la máquina virtual Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate con la dirección 10.0.1.254
2. Ingrese a Policy & Objects > Addresses. (Política y Objetos > Direcciones)
3. Ingrese a Create New > Address. (Crear Nuevo > Dirección)
4. Proceda a configurar con las siguientes opciones:

FIELD (Campo) VALUE (Valor)

Name (Nombre) LOCAL_SUBNET

Type (Tipo) IP/Netmask

Subnet (SubRed) / IP Range (Rango IP) 10.0.1.0/24

5. Haga clic en OK (Aceptar).

Creando una política en el Cortafuegos

Primero, hay que deshabilitar la política predeterminada del Cortafuegos. Luego, se creará
una política de cortafuego más específica utilizando el objeto de dirección que se creó
en el procedimiento anterior. Finalmente se seleccionarán los servicios específicos y se
realizará los ajustes del registro.

Para deshabilitar la política predeterminada del Cortafuegos.

1. En la interface gráfica de Local-FortiGate, ingresar a Policy & Objects (Objetos y Políticas)
> IPv4 Policy (Política IPv4).
2. Haga clic derecho en la columna Seq.# para tener acceso completo a la política del
Cortafuegos.
3. Seleccione Status (Estado) y haga clic en Disable (Deshabilitar).

FortiGate I - Guía del Estudiante 2

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

Para crear una política en el Cortafuegos.

1. Ingrese a la sección Policy & Objects (Objetos y Política) > IPv4 Policy (Política IPv4) y haga
clic en Create New (Crear Nuevo) para agregar una nueva política en el Cortafuegos.
2. Configure con los siguientes ajustes:

FIELD (Campo) VALUE (Valor)

Name (Nombre) Internet_Access (Acceso_Internet)

Incoming Interface (Interface Entrante) port3 (Puerto 3)

Outgoing Interface (Interface Saliente) port1 (Puerto 1)

Source (Origen) LOCAL_SUBNET (SubRed_Local)

Destination Address (Dirección Destino) all (Todos)

Schedule (Horario) always (Siempre)

HTTP, HTTPS, DNS ALL_ICMP, SSH
Service (Servicio) (Consejo: Escriba el nombre en el lado derecho del cua-
dro de búsqueda y haga clic en Services para añadirlo.)
Action (Acción) ACCEPT (Aceptar)

NAT (Network Address Translation) Enable (Habilitar)

Log Allowed Traffic Enable and select All Sessions
(Registrar Tráfico Permitido) (Habilitar y seleccionar Todas las Sesiones)
Generate Logs when Session Starts
Enable (Habilitar)
(Crear Registros al Iniciar la Sesión)
Enable this policy (Habilitar esta Política) Enable (Habilitar)

3. Deje todos los demás ajustes en su configuración predeterminada y haga clic en OK

(Aceptar) para guardar los cambios.

Nota: Cuando se crea políticas en el Cortafuegos, recuerde que FortiGate es un Cortafuegos con
estado. Como resultado, solo se necesita crear una política de Cortafuegos que coincida con la
dirección del tráfico que inicia la sesión.

Probando la política del Cortafuegos y visualizando los

registros generados.
Después de configurar la política del Cortafuegos, se probará pasando tráfico de prueba y
visualizando lo registros generados.

Para probar y visualizar los registros de una política del Cortafuegos.

1. Desde la máquina virtual Local-Windows, abra un navegador web y conéctese a varios
sitios web externos, como www.fortinet.com y www.bbc.com.
2. En la interface gráfica de Local-FortiGate, ingresar a Policy & Objects (Política y Objetos)
> IPv4 Policy (Política IPv4).
3. Haga clic derecho en la columna Seq.# de la política Internet_Access.
4. Haga clic en la opción Show Matching Logs (Mostrar Registros Coincidentes).

FortiGate I - Guía del Estudiante 3

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

5. Identifique las entradas de registro del tráfico de navegación de Internet.

Con la configuración actual, deben aparecer muchos mensajes de registro Accept
Session Start (Aceptar Inicio de Sesión) en la columna Result (Resultado). Estos son los
registros de inicio de la sesión.
Cuando se cierren las sesiones, se tendrá una entrada de registro separada para la
cantidad de datos enviados y recibidos.

Nota: Cada inicio de sesión de registro genera el doble de mensajes de registro. Se debe usar esta
opción solo cuando el nivel de detalle sea absolutamente necesario.

Nota: Cuando se hace clic en Show Matching Logs (Mostrar Registros Coincidentes) en la política del
Cortafuegos, éste añade el filtro para la política de identificación (UUID) en los registros de reenvío de
tráfico. (Universally Unique IDentifier)
6. En los registros Forward Traffic (Reenvío de Tráfico), haga clic en X para eliminar el filtro
para la política de identificación.

Cuando se elimina el filtro para la política de identificación, los registros se muestran

sin ningún tipo de filtro.
Se usarán los registros de reenvío de tráfico en los próximos laboratorios.
7. Cierre todas las demás pestañas del navegador, excepto la de interface gráfica de
Local-FortiGate.

FortiGate I - Guía del Estudiante 4

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

2. Reordenando las políticas del Cortafuegos y

acciones de política del Cortafuegos
En la sección correspondiente del par de interfaces, FortiGate buscará una política de
coincidencia, comenzando en la parte superior. Así que, por lo general, se debe ubicar
las políticas más específicas en la parte superior; porque de lo contrario, las políticas más
generales coincidirán primero con el tráfico de la parte superior, y las políticas específicas
nunca se aplicarán.
En este ejercicio, crearemos una nueva política para el Cortafuegos con ajustes más
específicos para el origen, el destino, el servicio y la acción a tomar en una denegación.
Luego, ubicaremos esta política por encima de todas las políticas existentes en el
Cortafuegos y analizaremos el comportamiento de la nueva ordenación.

Creando un política para el Cortafuegos

Crearemos una nueva política para el Cortafuegos, que va a coincidir con un origen
específico, un destino, un servicio y un conjunto de acciones para su denegación.

Nota: Se ha preconfigurado la dirección LINUX_ETH1 con IP/Netmask 10.200.1.254/32 para el

Cortafuegos, la cual va a ser utilizada al crearse la nueva política en el Cortaguegos.

Para crear una política para el Cortafuegos

1. Desde la máquina virtual Local-Windows, abra un navegador e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Ingrese a Policy & Objects (Política y Objetos) > IPv4 Policy (Política IPv4), y haga clic en
Create New (Crear Nuevo).
3. Y proceda a configurar con las siguientes opciones:

FIELD (Campo) VALUE (Valor)

Name (Nombre) Block_Ping

Incoming Interface (Interface Entrante) port3 (Puerto 3)

Outgoing Interface (Interface Saliente) port1 (Puerto 1)

Source (Origen) LOCAL_SUBNET (SubRed_Local)

Destination Address (Dirección Destino) LINUX_ETH1 (Ethernet 1)

Schedule (Horario) always (Siempre)

PING (Packet INternet Groper)
Service (Servicio) (Consejo: Escriba el nombre en el lado derecho del cua-
dro de búsqueda y haga clic en Services para añadirlo.)
Action (Acción) DENY (Denegar)
Log Violation Traffic Enable
(Registrar Tráfico Infractor) (Habilitar)
Enable this policy (Habilitar esta Política) Enable (Habilitar)

4. Haga clic en OK (Aceptar) para guardar los cambios.

FortiGate I - Guía del Estudiante 5

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

Agregando la columna para la política de Identificación (ID).

El número de secuencia de política define el orden en el que las políticas del Cortafuegos
coincidirán con el tráfico desde la parte superior hasta la inferior. Los comandos de consola
utilizan la identificación de política en lugar del número de secuencia de política. Por lo
tanto, cuando se reordenan las políticas, el número de secuencia de cada política cambia,
pero el valor que se adhiere a la política del Cortafuegos es el de la política de identificación.

Para agregar una columna de identificación.

1. En la sección Policy & Objects (Política y Objetos) > IPv4 Policy (Política IPv4), haga clic
con el botón derecho en cualquiera de los encabezados de columna y seleccione ID
(Identificación) de la ventana Available Columns (Columnas Disponibles).

2. Avance hasta la parte inferior y haga clic en Apply (Aplicar) para guardar los cambios.
3. Puede arrastrar la columna ID a donde desee colocarla en la ventana de columnas.

Probando el reordenamiento de una política del Cortafuegos

Para probar la configuración, vamos a mover la política Block_Ping del Cortafuegos por
encima de la política Internet_Access. El objetivo es confirmar que, después de reordenar
la política del Cortafuegos, el tráfico se corresponda con una política de cortafuego más
específica, la ID de política permanezca igual y el número de secuencia cambie.

Para confirmar las coincidencias de tráfico con una política de cortafuego más
específica después de reordenar la política del Cortafuegos.
1. Desde la máquina virtual Local-Windows, ingrese a la Consola de Comandos.
2. Haga PING a la dirección destino (LINUX_ETH1) que se configuró en la política Block_
Ping del Cortafuegos.
ping –t 10.200.1.254
Si no ha cambiado el patrón de ordenamiento, el PING debería funcionar porque
coincide con la política ACCEPT (Aceptar) y no con la política DENY (Denegar) creadas
anteriormente. Esto demuestra el comportamiento del ordenamiento de las políticas.

FortiGate I - Guía del Estudiante 6

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

La política Block_Ping no llegó a verificarse, porque el tráfico coincidía con la política

en la parte superior (Internet_Access).
3. Deje esta ventana abierta y proceda a ejecutar el siguiente paso.
4. En la sección Policy & Objects (Política y Objetos) > IPv4 Policy (Política IPv4), tome nota
del número Seq.# actual y del ID (ID de política) de estas dos políticas del Cortafuegos.
5. Haga clic en Seq.# de la política Block_Ping del Cortafuegos.
6. Arrástrelo por encima de la política Internet_Access del Cortafuegos.
Al mover hacia arriba la política Block_Ping, el número de Seq.# Cambia, pero el ID
(ID de política) permanece igual.
7. Regrese a la máquina virtual de Local-Windows y observe que en la ventana de la
Consola de Comandos aún se está ejecutando el comando PING continuamente.
También observe que el tráfico está bloqueado y la única respuesta que se muestra
es: Request timed out. (Tiempo de espera agotado).
Esto demuestra el resultado del reordenamiento de las políticas. Después de mover
la política más específica por encima de la política de acceso general, el tráfico se
corresponde con la política más específica y, en concordancia con la acción DENY
(Denegar), el tráfico detiene el procesamiento.
8. Cierre la ventana de la Consola de Comandos.

FortiGate I - Guía del Estudiante 7

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

3. Identificación de Dispositivos
FortiGate puede hacer coincidir el tráfico por tipo de dispositivo seleccionando el dispositivo
en el campo Origen (Source). Hay dos tipos de identificación de dispositivo.
• La identificación de dispositivo sin agente, donde se utiliza el tráfico del dispositivo y los
dispositivos indexados por su dirección MAC, y,
• La identificación de dispositivo basada en agentes, donde se utiliza FortiClient, que
envía su única ID FortiClient a FortiGate.
En esta práctica de laboratorio, se utilizará la técnica de identificación de dispositivo sin
agente. Primero se agregará el dispositivo en el campo de origen de la política existente
en el Cortafuegos y luego se observará el comportamiento de coincidencia de origen de la
política del Cortafuegos.

Deshabilitando la política existente en el Cortafuegos.

Primero, se procederá a deshabilitar la política Block_Ping del Cortafuegos y el tráfico
coincidirá con la política Internet_Access del Cortafuegos.

Para deshabilitar la política existente en el Cortafuegos.

1. En la máquina virtual Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate en la dirección 10.0.1.254
2. Ingrese a Policy & Objects (Política y Objetos) > IPv4 Policy (Política IPv4).
3. Haga clic derecho en la columna Seq.# para la política Block_Ping del Cortafuegos.
4. Seleccione Status (Estado) y haga clic en Disable (Deshabilitar).

Configurando y probando la identificación del dispositivo.

Ahora, ejecutaremos un PING continuo a una dirección IP. Para probar el comportamiento
de coincidencia de Origen de la política del Cortafuegos, se agregará un dispositivo no
coincidente, como Linux PC, al campo Origen.

Para configurar y probar la identificación del dispositivo.

1. En la máquina virtual Local-Windows, abra la Consola de Comandos.
2. Ejecute un PING contínuo a la dirección 10.200.1.254 ingresando en la consola:
ping –t 10.200.1.254
3. En la opción Policy & Objects (Política y Objetos) > IPv4 Policy (Política IPv4) en la interface
gráfica de Local-FortiGate, haga clic derecho en la columna Seq.# para la política
Internet_Access del Cortafuegos.
4. Haga clic en Edit (Editar).
5. Seleccione Source (Origen).
6. En el lado derecho, seleccione Device (Dispositivo).
7. Haga clic en Linux PC.
Se está seleccionando un dispositivo que no coincide con el dispositivo que se está
utilizando (Windows)

FortiGate I - Guía del Estudiante 8

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

8. Haga clic en OK (Aceptar).

FortiGate va a notificar que esta acción está habilitando la identificación del dispositivo
en la interface de origen.
9. Haga clic en OK (Aceptar).

Nota: Si se habilita un tipo de dispositivo origen en la política del Cortafuegos, FortiGate habilita la
detección del dispositivo en la interface de origen de la política.
10. Regrese a la Consola de Comandos de la máquina virtual Local-Windows, donde se
estaba ejecutando el PING continuo.
Como puede observar, el tráfico está bloqueado.
11. En la máquina virtual Local-Windows, intente navegar en Internet abriendo navegadores
web y tratando de conectarse a varios sitios web externos, como www.fortinet.
com y www.bbc.com.
Confirme que el Cortafuegos bloquea este tráfico.
El tráfico queda bloqueado porque el tipo de dispositivo de origen en la política del
Cortafuegos está configurado en Linux-PC, que no coincide con el dispositivo Windows
que es donde se genera el tráfico.

Modificar la política de denegación implícita del Cortafuegos.

FortiGate comprueba de arriba a abajo para encontrar una política de cortafuego que
coincida con el tráfico. Si ninguna de las políticas del Cortafuegos coincide con el tráfico, la
política de denegación implícita predeterminada del Cortafuegos detiene el tráfico.
Para confirmar que el tráfico queda detenido por la política de denegación implícita, se tiene
que habilitar el inicio de sesión en la política implícita del Cortafueogos y luego comprobar
los registros.

Para habilitar el inicio de sesión en la política de denegación implícita.

1. En la interface gráfica de Local-FortiGate, ingrese a Policy & Objects (Política y Objetos)
> IPv4 Policy (Política IPv4).
2. Haga clic derecho en la columna Seq.# para la política Implicit Deny (Denegación Implícita)
del Cortafuegos.

FortiGate I - Guía del Estudiante 9

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

3. Haga clic en Edit (Editar).

4. Habilite la opción Log Violation Traffic (Registrar Tráfico Infractor).
5. Haga clic en OK (Aceptar).

Para confirmar que el tráfico queda detenido mediante la política de denegación

implícita del Cortafuegos.
1. En la interface gráfica de Local-FortiGate, ingrese a Log & Report (Registro y Reporte) >
Forward Traffic (Reenviar Tráfico)
2. Confirme que existan las entradas de registro para el tráfico de PING denegado.

Reconfigurando la identificación del dispositivo.

Ahora editaremos la política Internet_Access del Cortafuegos y agregaremos una PC con
Windows para que coincida con la máquina virtual Local-Windows, de modo que se habilite
el tráfico después de que se agregue un dispositivo de origen coincidente.

Para reconfigurar la identificación del dispositivo.

1. En la interface gráfica de Local-FortiGate, ingrese a Policy & Objects (Política y Objetos)
> IPv4 Policy (Política IPv4).
2. Haga clic derecho en la columna Source (Origen) para la política Internet_Access del
Cortafuegos.
3. Haga clic en la opción Select Entries (Seleccionar Entradas).

4. Haga clic en Device (Dispositivo).

5. Haga clic en Windows PC para seleccionarlo.
6. Haga clic en Linux PC para deseleccionarlo.
7. Haga clic en OK (Aceptar).

Para confirmar que el tráfico esté habilitado por una política del Cortafuegos.
1. En la máquina virtual Local-Windows, regrese al PING continuo iniciado anteriormente.
Deberá notar que el tráfico está habilitado.
2. Cierre la ventana de la Consola de Comandos.
3. En la máquina virtual Local-Windows, abra un navegador web e intente conectarse a
varias sitios web externos tales como www.yahoo.com y www.google.com
Confirme que el Cortafuegos permite el tráfico.

FortiGate I - Guía del Estudiante 10

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

Visualizando los detalles de un dispositivo identificado.

Una vez que se identifica un dispositivo, FortiGate actualiza su lista de dispositivos y guarda
la lista en el disco de estado sólido para acelerar la detección. Podemos tener acceso a
los detalles de un dispositivo identificado. Estos detalles incluyen el tipo de dispositivo, el
método de detección y la dirección IP, y otros más no mencionados.

Para visualizar los detalles de un dispositivo identificado.

1. En la interface gráfica de Local-FortiGate, Ingrese a User & Device (Usuario y Dispositivo)
> Device Inventory (Inventario del Dispositivo).
2. Haga clic en el ícono + para mostrar la lista.

3. Revise los detalles del dispositivo anfitrión (host) detectado.

Se puede ver los detalles del dispositivo, tales como la dirección IP, la interface, el
estado y otros más.
4. En la máquina virtual Local-Windows abra PuTTY y conéctese a la sesión guardada
de Local-FortiGate (Conectarse por medio de SSH).
5. Inicie sesión como admin y ejecute el siguiente comando para revisar el método de
detección y otros detalles del dispositivo:
diagnose user device list

Agregar un dispositivo identificado al archivo de configuración.

El dispositivo identificado se almacena en caché en FortiGate y no se agrega al archivo
de configuración. Agregaremos el dispositivo identificado al archivo de configuración
agregando un alias al dispositivo.

Para agregar un dispositivo identificado al archivo de configuración.

1. En una sesión de PuTTY de Local-FortiGate, ejecute el siguiente comando para
confirmar de que no existan dispositivos en el archivo de configuración:
show user device

FortiGate I - Guía del Estudiante 11

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

2. En la interface gráfica de Local-FortiGate, Ingrese a User & Device (Usuario y Dispositivo)

> Device Inventory (Inventario del Dispositivo).
3. Haga clic en el dispositivo.
4. Haga clic en Edit (Editar).
5. Configure lo siguiente:
FIELD (Campo) VALUE (Valor)
Alias MyDevice

Esto crea un dispositivo estático en el archivo de configuración.

6. Haga clic en OK (Aceptar).
7. En la sesión de PuTTY de Local-FortiGate, ejecute el siguiente comando para confirmar
que el dispositivo ahora aparece en el archivo de configuración como un dispositivo
permanente:
show user device
8. En la interface gráfica de Local-FortiGate, ingrese a User & Device (Usuario y Dispositivo)
> Custom Devices & Groups (Dispositivos Personalizados y Grupos).
Observe que el dispositivo se encuentra en la lista Custom Devices (Dispositivos
Personalizados).

Agregando un dispositivo personalizado a la política.

Ahora que se ha agregado un dispositivo como dispositivo personalizado, lo agregaremos
a la política del Cortafuegos.

Para agregar un dispositivo personalizado a la política del Cortafuegos.

1. En la interface gráfica de Local-FortiGate, ingrese a Policy & Objects (Política y Objetos)
> IPv4 Policy (Política IPv4).
2. Haga clic derecho en la columna Source (Origen) para la política Internet_Access del
Cortafuegos.
3. Haga clic en la opción Select Entries (Seleccionar Entradas).

4. Haga clic en Device (Dispositivo) en el lado derecho.

5. Haga clic en Windows PC para deseleccionarlo.
6. En Custom Device (Dispositivo Personalizado), haga clic en MyDevice para seleccionarlo
7. Haga clic en OK (Aceptar)

Para confirmar que el tráfico esté habilitado por la política del Cortafuegos.
1. En la máquina virtual Local-Windows, abra un navegador web e intente conectarse a
varias sitios web externos tales como www.yahoo.com y www.google.com
Confirme que el Cortafuegos permite el tráfico.

FortiGate I - Guía del Estudiante 12

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

4. Búsqueda de políticas
FortiGate puede encontrar una política de cortafuego coincidente basada en los criterios
ingresados al hacer la búsqueda. El fundamento es de crear un flujo de paquetes en el
entorno FortiGate, sin que sea un tráfico real. A partir de este flujo de paquetes, FortiGate
puede extraer una ID de política y destacarla en la página de configuración de políticas de
la interface gráfica.
En esta práctica de laboratorio, usará la función de búsqueda de políticas para encontrar
una política de cortafuego coincidente basada en los criterios de entrada.

Habilitando las políticas existentes en el Cortafuegos.

Tal como lo fueron durante la configuración y prueba de las políticas del Cortafuegos en
los laboratorios anteriores, la mayoría de las políticas de cortafuego configuradas están
actualmente deshabilitadas. Ahora, habilitará las políticas existentes en el Cortafuegos.

Para habilitar las políticas existentes en el Cortafuegos.

1. En la máquina virtual Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate en la dirección 10.0.1.254
2. Ingrese a Policy & Objects (Política y Objetos) > IPv4 Policy (Política IPv4).
3. Haga clic derecho en la columna Seq.# para la política Fortinet del Cortafuegos.
4. Seleccione Status (Estado) y haga clic en Enable (Habilitar).
5. Haga clic derecho en la columna Seq.# para la política Full_Access del Cortafuegos.
6. Seleccione Status (Estado) y haga clic en Enable (Habilitar).

Configuración y prueba de los criterios de búsqueda de políticas.

Ahora, vamos a configurar los criterios de búsqueda de las políticas. FortiGate buscará y
resaltará la política de cortafuego coincidente en función los criterios ingresados.

Para configurar y probar los criterios de búsqueda de políticas.

1. En Policy & Objects (Política y Objetos) > IPv4 Policy (Política IPv4), haga clic en Policy
Lookup (Búsqueda de Política)
2. Haga los siguientes cambios:

FIELD (Campo) VALUE (Valor)

Source Interface (Interface Origen) port3 (Puerto 3)

Protocol (Protocolo) TCP (Transmission Control Protocol)

Source (Origen) 10.0.1.100

Source Port (Puerto Origen) Leave it blank (Dejar en blanco)

Destination (Destino) fortinet.com

Destination Port (Puerto Destino) 443

FortiGate I - Guía del Estudiante 13

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

3. Haga clic en Search (Buscar).

La búsqueda coincidirá con la política Full_Access, pero no con la política de cortafuego

más específica, Fortinet.

En los criterios de búsqueda, la dirección de origen es 10.0.1.100. Esta dirección

de origen no forma parte de la política de cortafuego llamada Fortinet; por lo tanto, la
búsqueda no coincide con la política Fortinet del Cortafuegos.

Nota: Cuando FortiGate realiza búsquedas de políticas, realiza una serie de comprobaciones de
ingreso, inspección de estados y salidas para la política de cortafuego correspondiente. Y efectúa
verificaciones de arriba a abajo, antes de proveer los resultados de políticas coincidentes.

4. Haga clic en Policy Lookup (Búsqueda de Política) y cambie Source (Origen) a 10.0.1.10
Asegúrese de que todas las demás configuraciones coincidan con las configuraciones
que se utilizó en el paso 2.

5. Haga clic en Search (Buscar).

Esta vez, la búsqueda coincide con la política denominada Fortinet, cuyo destino está
establecido en FQDN. (Fully Qualified Domain Name)

Reordenando las políticas del Cortafuegos.

Ahora vamos a reordenar las políticas del Cortafuegos. Moveremos la política Block_Ping
por encima de la política Full_Access.

Para reordenar las políticas del Cortafuegos.

1. En Policy & Objects (Política y Objetos) > IPv4 Policy (Política IPv4), haga clic en la columna
Seq.# para la política Block_Ping del Cortafuegos.

2. Arrástrelo por encima de la política Full_Access del Cortafuegos.

3. El orden de las políticas del Cortafuegos debe ser similar a este:

FortiGate I - Guía del Estudiante 14

NO REIMPRIMIR
© FORTINET LAB 3 - Políticas del Cortafuegos

Volver a probar la búsqueda de políticas después de reordenar

las políticas del Cortafuegos.
Ahora probará la característica de búsqueda de política luego de reordenar las políticas
del Cortafuegos.

Para volver a probar la búsqueda de políticas después de reordenar las políticas

del Cortafuegos.
1. En Policy & Objects (Política y Objetos) > IPv4 Policy (Política IPv4), haga clic en Policy
Lookup (Búsqueda de Política)
2. Haga los siguientes cambios:

FIELD (Campo) VALUE (Valor)

Source Interface (Interface Origen) port3 (Puerto 3)

Protocol (Protocolo) ICMP (Internet Control Message Protocol)

ICMP Type (Tipo ICMP) 8

ICMP Code (Código ICMP) 0

Source (Origen) 10.0.1.100

Destination (Destino) 10.200.1.254

3. Haga clic en Search (Buscar).

La búsqueda coincidirá con la política Full_Access, pero no con la política más
específica, Block_Ping, porque está deshabilitada.
4. Haga clic derecho en la columna Seq.# de la política Block_Ping y cambie Status
(Estado) en Enable (Habilitar).
5. Haga clic en Search (Búscar).
Esta vez, la búsqueda coincide con una política habilitada y más específica, Block_
Ping.

FortiGate I - Guía del Estudiante 15