intranetfirewall-fortinet

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Ambdós costats versió prèvia Revisió prèvia
Següent revisió		 Revisió prèvia
intranetfirewall-fortinet [2026/02/13 07:30] – [Logs] roger.ferreintranetfirewall-fortinet [2026/02/13 09:36] (actual) – [Logs] roger.ferre
Línia 24: Línia 24:
  
 Per exemple, en el cas de CCPB-CPD es defineix una zona XARXA_INTERNA que conté totes les interficies de les xarxes privades UPC. Per exemple, en el cas de CCPB-CPD es defineix una zona XARXA_INTERNA que conté totes les interficies de les xarxes privades UPC.
 +
 +==== Addresses / Services ====
 +
 +Podem definir adreces i serveis amb noms representatius per tal de facilitar la lectura de les regles. 
 +
 +Es poden gestionar des de Policy & Objects > Addresses o Services.
 +
 +Sembla que aquests apartats apliquen únicament al FortiGate que hem accedit via URL, independentment del VDOM que haguem triat.
  
 ==== Regles ==== ==== Regles ====
Línia 33: Línia 41:
 Per a cada regla, es pot restringir més l'àmbit d'aplicació, de manera que no necessàriament ha d'aplicar a totes les interficies (xarxes). Per a cada regla, es pot restringir més l'àmbit d'aplicació, de manera que no necessàriament ha d'aplicar a totes les interficies (xarxes).
  
 +En l'exemple següent definim:
 +
 +<code>
 +1. Regla que permet l'accés al servidor de llicències llic2-camins.
 +2. Regla que permet l'accés entre equips de les xarxes privades al servei de Windows Update P2P.
 +3. Regla genèrica que permet l'accés entre equips de les xarxes privades.
 +</code>
 +
 +És interessant consultar els logs de la 3a regla per veure coses que se'ns poden estar escapant i potser ens interessaria capar.
 +
 +La situació final hauria de ser que la regla 3 tingués una política de DENY.
 +
 +{{ ::kotelcamins2.png |}}
  
 ==== Logs ==== ==== Logs ====
Línia 40: Línia 61:
 Aquí podrem veure els logs generats per les regles que tinguin el log habilitat. Es pot filtrar per múltiples camps. Aquí podrem veure els logs generats per les regles que tinguin el log habilitat. Es pot filtrar per múltiples camps.
  
-Durant el procés de migració de PFSENSE a FORTIGATE és molt útil definir una darrera regla a cada zona-zona que permeti el tràfic i registri els logs. D'aquesta manera podem veure totes les connexions que se'ns escapen del conjunt de regles que haguem definit.+Durant el procés de migració de PFSENSE a FORTIGATE és molt útil definir una darrera regla a cada bloq de zona origen-destí que permeti el tràfic i registri els logs. D'aquesta manera podem veure totes les connexions que se'ns escapen del conjunt de regles que haguem definit
 + 
 +Hem d'indicar l'equip sobre el que volem veure els logs (KotelCamins01 / 02), ja que tot i estar al VDOM que pertoqui en aquest cas l'apartat de logs pot mostrar informació de qualsevol dels dos.
  
-S'ha de filtrar també per FortiGate (KotelCamins01 / 02), ja que tot i estar al VDOM que pertoqui en aquest cas l'apartat de logs pot mostrar informació de qualsevol dels dos.+Començarem filtrant per ID de la regla
  
-Hi ha protocols que ens generaran molt tràfic que no ens aporta informació. Per exemple, en el cas de Windows Update hi ha un protocol Peer2Peer a través del port 7680 que permet que els equips es passin actualitzacions entre ellsAixò ens pot inundar els logs i és recomanable anar-ho filtrant, ja sigui amb una regla de DENY o bé en la vista dels logs.+Seguirem filtrant, eliminant aquells protocols que ens generen molt tràffic i ens acaben ofuscant, com per exemple el servei de Windows Update Peer2Peer (port 7680)Podem filtrar-ho als logs o bé fer una regla amb més prioritat abans de la nostra regla genèrica de captura de logs.
  
-{{ ::fortinet1.png?400 |}}+{{ ::fortinet1.png |}}
  • intranetfirewall-fortinet.1770967853.txt.gz
  • Darrera modificació: 2026/02/13 07:30
  • per roger.ferre