Instalando Fortigates Internos ISFW e habilitando o Cooperative Security Fabric

Neste tutorial, você irá instalar dois Firewalls de segmentação interna (ISFWs) atrás de seu FortiGate externo. Um desses FortiGates será usado para proteger a rede da sua equipe de contabilidade, enquanto o outro será usado para a equipe de marketing. Você também vai permitir que um Fabric de Segurança Cooperativa (CSF) e usar o roteamento OSPF entre estes FortiGates.

FortiOS 5.4

Assista ao vídeo no final do artigo

cooperative-security-fabric-topologia

Configurando o Fortigate Externo para conectar ao Fortigate da Contabilidade

Neste tutorial, a porta 10 do Fortigate Externo será conectada a porta WAN1 do Fortigate da Contabilidade.

cooperative-security-fabric-interfaces

No Fortigate Externo, acesse Network >Interfaces e altere port 10.

Configure um IP/Network Mask para a interface (no exemplo, 192.168.10.2).

Configure Administrative Access para permitir FortiTelemetry, requerido para comunicações entre Fortigates em CSF ( Cooperative Security Fabric ).

Acesse Policy & Objects >IPv4 Policy e crie uma policy para tráfego entre o Fortigate da Contabilidade e a Internet.

Habilite o NAT.

cooperative-security-fabric-policy

Conecte os Fortigates

Configure o Fortigate da Contabilidade.

No Fortigate da Contabilidade, acesse Network > Interfaces e altera a interface wan1.

Configure um IP/Network Mask para a interface que está na mesma subnet que a porta 10 do Fortigate Externo ( no exemplo, 192.168.10.10 ).

for the interface that is on the same subnet as the External FortiGate’s port 10 (in the example,192.168.10.10).

cooperative-security-fabric-interfaces-contabilidade

Configure Administrative Access para permitir FortiTelemetry.

Altere a interface lan.

cooperative-security-fabric-interfaces-contabilidade-lan

Configure Addressing Mode para Manual e configure o IP/Netmask para um endereço de IP Privado (no exemplo,10.10.10.1). Configure Administrative Access para permitir FortiTelemetry.

Em Networked Devices, habilite Device Detection.

Acesse Policy & Objects > IPv4 Policy e crie uma Policy para permitir usuários da rede Contabilidade acessar a Internet.

Como usaremos OSPF routing, tenha certeza de que a opção NAT seja desabilitada.

cooperative-security-fabric-interfaces-contabilidade-sem-nat

Instalando e configurando o Fortigate do Marketing

Conecte e configure o FortiGate do Marketing usando o mesmo método como no FortiGate da Contabilidade. Certifique-se de incluir o seguinte:

No Fortigate Externo

  • Configure uma interface para conectar no Fortigate do Marketing (neste exemplo usamos port 11 com o IP168.200.2)
  • Crie uma policy para trafegar do Fortigate do Marketing para a Internet

 

No Fortigate do Marketing

  • Configure wan1 para conectar no Fortigate Externo (example IP:168.200.10)
  • Configure a interface lanpara a rede do Marketing (exemplo IP:10.200.1)

Configurando OSPF Routing entre os Fortigates

No Fortigate Externo, acesse Network > OSPF. Configure Router ID para 0.0.0.1 e selecione Apply.

cooperative-security-fabric-ospf-routing

Expanda o Advanced Options e configure Default information para Always, para ter certeza que a rota padrão está sendo transmitida do Fortigate Externo para os fortigates ISFW.

Em Areas, selecione Create New. Configure Area para 0.0.0.0, Type para Regular, e Authentication para None.

cooperative-security-fabric-ospf-authentication

Em Networks, selecione Create New. Configure IP/Netmask para 192.168.10.0/255.255.255.0 (a subnet que inclui a WAN1 da Contabilidade) e Area para 0.0.0.0.

cooperative-security-fabric-interfaces-wan1

Crie uma segunda entrada com o IP/Netmask configure para 192.168.200.0/255.255.255.0 (a subnet que inclui a WAN1 do Marketing).

No Fortigate da Contabilidade, configure OSPF routing como mostrado.

As Redes nesta configuração são a subnet que inclui a WAN1 da Contabilidade e a subnet para a rede da Contabilidade.

cooperative-security-fabric-ospf-contabilidade

No exemplo, o FortiGate do Marketing é um 90D, um modelo que não suporta a configuração OSPF usando a GUI. Para adicionar o roteamento OSPF, use o seguinte comando da CLI:

config router ospf

set router-id 0.0.0.3

config area

edit 0.0.0.0

next

end

config network

edit 1

set prefix 192.168.200.0/255.255.255.0

next

edit 2

set prefix 10.10.200.0/255.255.255.0

next

end

end

 

Habilitando o Cooperative Security Fabric

No Fortigate Externo, acesse System > Cooperative Security Fabric. Habilite Cooperative Security Fabric (CSF) e configure Group name e Group password.

cooperative-security-fabric-habilitando

No Fortigate da Contabilidade, acesse System > Cooperative Security Fabric. Habilite Cooperative Security Fabric (CSF) e entre com o nome e senha para este Fabric.

Habilite Connect to upstream FortiGate e entre com o endereço IP address da porta 10 do Fortigate Externo.

cooperative-security-fabric-connect-to-upstream

Configure CSF no Fortigate do Marketing, usando o endereço IP da porta 11 do Fortigate Externo.

Resultados

No Fortigate Externo, acesse FortiView > Physical Topology.

cooperative-security-fabric-physical-topology

Este painel mostra uma visualização de todos os dispositivos da camada de acesso na Fabric de Segurança Cooperativa.

No Fortigate Externo, acesse FortiView > Logical Topology.

cooperative-security-fabric-logical-topology

Este painel exibe informações sobre a interface (lógico ou físico) que cada dispositivo na CSF está conectado.

 

Acesse Monitor > Routing Monitor. Você verá os Fortigates ISFW listados, usando OSPF routing.

cooperative-security-fabric-monitor-routing

 

 

(Optional) Adding security profiles to the fabric

Configurações de CSF permitem distribuir as funções de segurança a diferentes FortiGates no Fabric de segurança. Por exemplo, você pode querer implementar a verificação de vírus no FortiGate externo, mas acrescentar controle de aplicativos e filtragem web para os FortiGates ISFW.

Isso resulta em processamento distribuído entre os FortiGates no CSF; reduz a carga em cada um. Ele também permite que você personalize a filtragem web e controle de aplicativos para as necessidades específicas da rede da Contabilidade, por exemplo, como outras redes internas, que podem ter diferentes requisitos de controle de aplicativos e filtragem web.

Esta configuração pode resultar em ameaças começando através do FortiGate externo que significa que você deve limitar muito de perto o acesso às conexões de rede entre os FortiGates no CSF.

No Fortigate Externo, acesse Policy & Objects > IPv4 Policy e altere a policy permitindo tráfego do Fortigate da Contabilidade para a Internet.

Em Security Profiles, habilite AntiVirus e selecione o perfil default.

Faça o mesmo para a policy permitindo tráfego do Fortigate do Marketing para a Internet.

 

Assista ao vídeo tutorial

 

Compre produtos Fortinet pelo telefone: (11) 4452-6450 ou e-mail: comercial@danresa.com.br

Contato

A DANRESA Consultoria de Informática é Fortinet Gold Partner no Brasil e está certificada a ajudá-lo a tomar as melhores decisões para proteger a infraestrutura de TI de sua empresa com os melhores custos e benefícios do mercado.

Entre em contato com um de nossos consultores.

Atendimento para todo o Brasil: (11) 4452-6450

Solicite orçamento:
comercial@danresa.com.br

DANRESA Consultoria de Informática

“Transformando conhecimento e tecnologia em soluções de negócios.”

Consultoria de Informática há 15 anos no mercado de TI prestando consultoria de informática diferenciada focada nos negócios e particularidades de grande empresas como BASF, Suvinil, Pedágio SEM PARAR, Focus, Queiroz Galvão, Grupo Petrópolis,  dentre outras.

Especializada em Produtos e Serviços de Segurança de Infraestrutura de TI, contando com profissionais certificados pela Fortinet, capacitados nas áreas de conhecimentos necessárias para definir arquiteturas otimizadas de projetos de segurança, implantação, suporte pós-implantação e suporte mensal a toda a infraestrutura de sua empresa.

A DANRESA Consultoria de informática presta serviços de Outsourcing de Infraestrutura de TI, Service Desk, Desenvolvimento de Sistemas, Fábrica de Softwares, com capacidade para atender grande demandas de seus clientes.

Hoje são mais de 100 clientes atendidos pela DANRESA, que, com qualidade e eficiência de seu trabalho, desenvolve soluções completas, com serviços e produtos para importantes organizações empresariais de todo o Brasil.

O foco da DANRESA é transformar o conhecimento e a tecnologia da informação em soluções de negócios rentáveis e sustentáveis, o que permite aos clientes alcançar uma infraestrutura dinâmica e eficiente, colocando-os à frente de seus concorrentes.

Conheça mais sobre a DANRESA, seus serviços, qualificações, destaques na mídia e outros, através do site oficial: www.danresa.com.br.

Atendimento para todo o Brasil:
(11) 4452-6450

Linha de Produtos Fortinet:

 

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Social Widgets powered by AB-WebLog.com.