intranetfirewall-fortinet

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Següent revisió		 Revisió prèvia
intranetfirewall-fortinet [2026/02/13 07:12] – creat roger.ferreintranetfirewall-fortinet [2026/02/13 09:36] (actual) – [Logs] roger.ferre
Línia 10: Línia 10:
 Els dos equips estan connectats entre ells per tal de garantir HA, de manera que si un cau, l'altre agafa les seves xarxes i el servei no es veu afectat. Els dos equips estan connectats entre ells per tal de garantir HA, de manera que si un cau, l'altre agafa les seves xarxes i el servei no es veu afectat.
  
-==== Administració ====+==== Accés a l'administració ====
  
 Accedirem indistintament a qualsevol dels dos FortiGates (10.10.101.62 o 10.10.101.66). Credencials a Roques. Accedirem indistintament a qualsevol dels dos FortiGates (10.10.101.62 o 10.10.101.66). Credencials a Roques.
Línia 16: Línia 16:
 Un cop dins, a la part superior dreta podrem canviar el VDOM, el que ens donarà accés a la configuració d'un o altre firewall (CCPB-CPD / CCPB-XARXES). Un cop dins, a la part superior dreta podrem canviar el VDOM, el que ens donarà accés a la configuració d'un o altre firewall (CCPB-CPD / CCPB-XARXES).
  
 +
 +==== Interfaces / Zones ====
 +
 +Les Zones són agrupacions d'interfaces (xarxes), sobre les que després podrem aplicar regles.
 +
 +Es poden gestionar des de Network > Interfaces.
 +
 +Per exemple, en el cas de CCPB-CPD es defineix una zona XARXA_INTERNA que conté totes les interficies de les xarxes privades UPC.
 +
 +==== Addresses / Services ====
 +
 +Podem definir adreces i serveis amb noms representatius per tal de facilitar la lectura de les regles. 
 +
 +Es poden gestionar des de Policy & Objects > Addresses o Services.
 +
 +Sembla que aquests apartats apliquen únicament al FortiGate que hem accedit via URL, independentment del VDOM que haguem triat.
 +
 +==== Regles ====
 +
 +Es poden gestionar des de Policy & Objects > Firewall Policy
 +
 +Les regles s'agrupen en funció de la zona d'origen i la zona de destí. 
 +
 +Per a cada regla, es pot restringir més l'àmbit d'aplicació, de manera que no necessàriament ha d'aplicar a totes les interficies (xarxes).
 +
 +En l'exemple següent definim:
 +
 +<code>
 +1. Regla que permet l'accés al servidor de llicències llic2-camins.
 +2. Regla que permet l'accés entre equips de les xarxes privades al servei de Windows Update P2P.
 +3. Regla genèrica que permet l'accés entre equips de les xarxes privades.
 +</code>
 +
 +És interessant consultar els logs de la 3a regla per veure coses que se'ns poden estar escapant i potser ens interessaria capar.
 +
 +La situació final hauria de ser que la regla 3 tingués una política de DENY.
 +
 +{{ ::kotelcamins2.png |}}
 +
 +==== Logs ====
 +
 +Es poden consultar des de Log & Report > Forward Traffic
 +
 +Aquí podrem veure els logs generats per les regles que tinguin el log habilitat. Es pot filtrar per múltiples camps.
 +
 +Durant el procés de migració de PFSENSE a FORTIGATE és molt útil definir una darrera regla a cada bloq de zona origen-destí que permeti el tràfic i registri els logs. D'aquesta manera podem veure totes les connexions que se'ns escapen del conjunt de regles que haguem definit.
 +
 +Hem d'indicar l'equip sobre el que volem veure els logs (KotelCamins01 / 02), ja que tot i estar al VDOM que pertoqui en aquest cas l'apartat de logs pot mostrar informació de qualsevol dels dos.
 +
 +Començarem filtrant per ID de la regla. 
 +
 +Seguirem filtrant, eliminant aquells protocols que ens generen molt tràffic i ens acaben ofuscant, com per exemple el servei de Windows Update Peer2Peer (port 7680). Podem filtrar-ho als logs o bé fer una regla amb més prioritat abans de la nostra regla genèrica de captura de logs.
 +
 +{{ ::fortinet1.png |}}
  • intranetfirewall-fortinet.1770966777.txt.gz
  • Darrera modificació: 2026/02/13 07:12
  • per roger.ferre