You are on page 1of 50

No puede ser reproducido

© FORTINET

Guía de estudio de seguridad FortiGate

para FortiOS 6.0


No puede ser reproducido ©
FORTINET

Formación Fortinet

http://www.fortinet.com/training

Fortinet biblioteca de documentos

http://docs.fortinet.com

Fortinet base de conocimientos

http://kb.fortinet.com

Fortinet foros

https://forum.fortinet.com

Soporte de Fortinet

https://support.fortinet.com 

FortiGuard Labs

http://www.fortiguard.com

Programa de Expertos Fortinet Security Network (NSE)

https://www.fortinet.com/support-and-training/training/network-security-expert-program.html

Realimentación

E-mail: courseware@fortinet.com

09/08/2018
No puede ser reproducido ©
FORTINET

TABLA DE CONTENIDO

cambio de registro 4
01 Introducción 5
02 políticas de cortafuegos 66
Traducción de Direcciones de Red 03 115
04 de autenticación de servidor de seguridad 168
05 Registro y supervisión 224
06 operaciones de certificados 282
07 Filtrado Web 331
Control de Aplicación 08 389
09 Antivirus 432
10 Sistema de prevención de intrusiones 485
11 SSL VPN 535
12 acceso telefónico IPsec VPN 592
13 Prevención de Fuga de Datos 637
No puede ser reproducido ©
FORTINET

cambio de registro

Esta tabla incluye cambios a la FortiGate Seguridad 6.0 Guía de estudio de fecha 14/05/2018 a esta versión actualizada del documento de fecha
09/08/2018.

Puede encontrar el número de la diapositiva que se hace referencia en la siguiente tabla en la parte inferior derecha de cada diapositiva en su guía. Por ejemplo:

Lección y número de la diapositiva Cambio

02 políticas de cortafuegos, diapositivas 30, 33 y 49 referencias eliminado para número de secuencia

06 operaciones de certificados, 30 de deslizamiento Fuente fija tema

07 Web Filter, deslice 21 Formateo y erratas

08 de control de aplicaciones, deslice 40 dirección incorrecta en la lista. actualizado a update.fortiguard.net.

09 AntiVirus, deslice 10 problema de formato fijo

09 AntiVirus, deslice 31 Virus @ 6MB pasó de 99,3% a 99,93%

09 AntiVirus, deslice 48 dirección incorrecta en la lista. actualizado a update.fortiguard.net.

animación fija en las marcas de verificación (ambas respuestas se dieron a conocer en un solo clic)
11 SSL VPN, deslice 37

FortiGate Seguridad 6.0 Guía de estudio 4


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

En esta lección, usted aprenderá acerca de conceptos básicos de administración FortiGate y los componentes dentro de FortiGate que se pueden habilitar
para ampliar la funcionalidad. Esta lección también incluye cómo y dónde FortiGate encaja en la arquitectura de red existente y la tela de Seguridad.

FortiGate Seguridad 6.0 Guía de estudio 5


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

En esta lección usted explorará los siguientes temas:


• Características de alto nivel

• Las decisiones de configuración

• Administración básica
• Servidores Built-in
• Mantenimiento fundamental
• FortiGate dentro de la trama de Seguridad

FortiGate Seguridad 6.0 Guía de estudio 6


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Al completar esta sección, debe ser capaz de:


• Identificar las características de diseño de la plataforma FortiGate

• Identificar características de FortiGate en redes virtualizados y la nube

Demostrando competencia en la identificación de las características de diseño de la plataforma FortiGate, así como la función de FortiGate en las
redes virtuales y la nube, usted será capaz de describir los componentes fundamentales de FortiGate y explicar los tipos de tareas que FortiGate
puede hacer.

FortiGate Seguridad 6.0 Guía de estudio 7


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

En el pasado, la forma común de proteger una red era asegurar el perímetro y la instalación de un servidor de seguridad en el punto de entrada. Los

administradores de red utilizan para confiar en todo y todos en el interior del perímetro. Ahora, el malware puede pasar por alto fácilmente cualquier servidor de

seguridad de punto de entrada y entrar en la red. Esto podría ocurrir a través de una memoria USB infectada o dispositivo personal comprometida de un

empleado que está conectado a la red corporativa. Además, dado que los ataques pueden venir de dentro de la red, los administradores de red ya no pueden

confiar inherentemente usuarios y dispositivos internos.

Lo que es más, las redes de hoy en día son entornos altamente complejas cuyas fronteras están cambiando constantemente. Redes corren en forma vertical

desde la red local a Internet, y horizontalmente desde la red física a una red virtual privada y a la nube. Una fuerza de trabajo móvil y diversa (empleados,

socios y clientes) para acceder a recursos de red, las nubes públicas y privadas, la Internet de los objetos (IO), y traiga su dispositivo de propia programas de

todos conspiran para aumentar el número de vectores de ataque en contra de su red. En respuesta a este entorno tan complejo, se han convertido en los

cortafuegos robustos dispositivos multifuncionales que contrarrestan una serie de amenazas a la red. Por lo tanto, FortiGate puede actuar en diferentes

modos o roles para abordar diferentes requisitos. Por ejemplo, FortiGate se puede implementar como un servidor de seguridad del centro de datos cuya

función es supervisar las solicitudes entrantes a los servidores y para protegerlos sin aumentar la latencia para el solicitante. O, FortiGate se puede

implementar como un cortafuegos de segmentación interna como medio para contener una violación a la red. FortiGate también puede funcionar como

servidores DNS y DHCP, y ser configurado para proporcionar filtro web, antivirus y servicios de IPS.

FortiGate Seguridad 6.0 Guía de estudio 8


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

En el diagrama de la arquitectura se muestra en esta diapositiva, se puede ver cómo las plataformas FortiGate añadir fuerza, sin comprometer la flexibilidad. Al igual que
los dispositivos de seguridad, dedicado separado, FortiGate es todavía internamente modular. Más:

• Dispositivos complementarios duplicación. A veces, la dedicación no hace significa eficiencia. Si está sobrecargado, puede tomar prestado un dispositivo de
memoria RAM libre de otros nueve? ¿Quieres configurar políticas, registro y enrutamiento de 10 dispositivos por separado? Hace 10 de la duplicación que Lleva
10 veces el beneficio, o se trata de una molestia? Para los más pequeños y medianas empresas o sucursales de la empresa, la gestión unificada de amenazas
(UTM) es a menudo una solución superior, en comparación con los aparatos dedicados separados.

• FortiGate de hardware no está justo al lado de la plataforma. Es a nivel de operador. La mayoría de los modelos FortiGate tienen uno o más circuitos
especializados, llamados ASIC, que se han diseñado por Fortinet. Por ejemplo, un CP o chip NP maneja la criptografía y el reenvío de paquetes más eficiente. En
comparación con un dispositivo de un solo objetivo con sólo una CPU, FortiGate puede tener un mejor rendimiento de forma espectacular. Esto es especialmente
crítico para los centros de datos y portadoras en las que el rendimiento es crítica para el negocio.

(La excepción? Virtualización de plataformas de VMware, Citrix Xen, Microsoft u Oracle Virtual Box-tiene de propósito general vCPU.
Pero, la virtualización podría ser útil debido a otros beneficios, tales como la computación distribuida y la seguridad basada en la nube).

• FortiGate es flexible. Si todo lo que necesita es un cortafuegos rápido y antivirus, FortiGate no requieren que se pierda la CPU, RAM, y la electricidad en otras
características. En cada política de firewall, módulos UTM y firewall de próxima generación pueden ser activadas o desactivadas. Además, no tendrá que pagar
más para agregar licencias de uso de VPN más tarde.
• coopera FortiGate. La preferencia por los estándares abiertos en lugar de protocolos propietarios significa menos dependencia de un proveedor y
más opciones para los integradores de sistemas. Y, como su red crece, FortiGate pueden aprovechar otros productos Fortinet como FortiSandbox y
FortiWeb a distribuir el procesamiento de más profunda seguridad y rendimiento total de un enfoque de seguridad óptimo de las telas.

FortiGate Seguridad 6.0 Guía de estudio 9


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

máquinas virtuales FortiGate (VM) tienen las mismas características que FortiGates físicas, excepto para la aceleración de hardware. ¿Por qué? En primer
lugar, el software de la capa de abstracción de hardware para hipervisores se hace por VMware, Xen, y otros fabricantes de hipervisor, no por Fortinet. Esos
otros fabricantes no hacen fichas FortiASIC ​propiedad de Fortinet. Pero hay otra razón, también. El propósito de las CPU virtuales genéricas y otras fichas
virtuales para hipervisores es abstraer los detalles de hardware. De esta manera, todos los huéspedes VM sistemas operativos se puede ejecutar en una
plataforma común, sin importar los diferentes hardware en el que se instalan los hipervisores. A diferencia de vCPU o vGPUs que utilizan genérico, no óptima RAM
y CPU virtuales para la abstracción, los chips son especializados FortiASIC

optimizado circuitos. Por lo tanto, un chip ASIC virtualizado no tendría las mismas ventajas de rendimiento como un chip ASIC física.

Si el rendimiento en el hardware equivalente es menor, usted puede preguntarse, ¿por qué alguien usar un FortiGate VM? En las redes a gran escala que cambian
rápidamente y pueden tener muchos arrendatarios, potencia de procesamiento equivalente y distribución pueden ser alcanzable usando cantidades más grandes de
hardware de propósito más barato, general. Además, el comercio de algo de rendimiento para otros beneficios puede valer la pena. Usted puede beneficiarse de una
implementación más rápida de la red y del aparato y desmontaje.

FortiGate VMX y el conector FortiGate para Cisco ACI son versiones especializadas de FortiOS y una API que le permite orquestar cambios en
la red rápidas a través de normas, como OpenStack para redes definidas por software (SDN).

• FortiGate VM se implementa como un invitado VM en el hipervisor.


• FortiGate VMX se despliega dentro de las redes virtuales de un hipervisor, Entre VM invitadas.
• Conector FortiGate para Cisco ACI ACI permite desplegar física o virtuales FortiGate máquinas virtuales para el tráfico norte-sur.

FortiGate Seguridad 6.0 Guía de estudio 10


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

FortiGate Seguridad 6.0 Guía de estudio 11


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

¡Buen trabajo! Ahora entiendo algunas de las características de alto nivel de FortiGate.

A continuación, usted se inclina cómo realizar la configuración inicial de FortiGate y aprender acerca de por qué es posible que decida usar una configuración sobre otra.

FortiGate Seguridad 6.0 Guía de estudio 12


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Al completar esta sección, debe ser capaz de:


• Identificar los valores predeterminados de fábrica

• Seleccionar un modo de operación

• Comprender la relación de FortiGate con FortiGuard y distinguir entre consultas en directo y actualizaciones de paquetes

Demostrando competencia en la creación de FortiGate, usted será capaz de utilizar el dispositivo de manera efectiva en su propia red.

FortiGate Seguridad 6.0 Guía de estudio 13


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

¿Qué pasa con la arquitectura de red? Cuando hace FortiGate encajar?

Al implementar FortiGate, se puede elegir entre dos modos de funcionamiento: el modo NAT o en modo transparente.

• En el modo NAT, de las rutas de FortiGate paquetes basados ​en la capa 3, como un router. Cada una de sus interfaces de red lógicas tiene una
dirección IP y FortiGate determina la interfaz de salida o salida basándose en la dirección IP de destino y entradas en sus tablas de enrutamiento.

• En el modo transparente, FortiGate reenvía los paquetes en la capa 2, como un interruptor. Sus interfaces no tienen direcciones IP y FortiGate

determina la interfaz de salida o salida en base a la dirección MAC de destino. El dispositivo en modo transparente tiene una dirección IP que se

utiliza para el tráfico de administración. Interfaces puede haber excepciones a la enrutador modo versus el funcionamiento del interruptor, sobre una

base individual.

FortiGate Seguridad 6.0 Guía de estudio 14


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

modo de traducción de direcciones de red (NAT) es el modo de funcionamiento por defecto. ¿Cuáles son los otros valores predeterminados de fábrica? Después de

haber eliminado FortiGate de su caja, ¿qué hacer a continuación? Ahora vamos a echar un vistazo a la forma de configurar FortiGate.

Conectar el cable de red de su ordenador para Port1 o los puertos de conmutación internos (dependiendo del modelo). En la mayoría de los modelos de entrada, hay un

servidor DHCP en la interfaz, por lo que, si la configuración de red de su ordenador tienen DHCP activado, el equipo debe recibir automáticamente una dirección IP, y se

puede iniciar la configuración. Para acceder a la interfaz gráfica de usuario de FortiGate o FortiWifi, abra un navegador Web y vaya a http://192.168.1.99.

La información de acceso por defecto es de conocimiento público. Nunca deje en blanco la contraseña por defecto. Su red es tan segura como su
FortiGate de administración cuenta. Antes de conectarse a la red FortiGate, debe establecer una contraseña compleja.

Todos los modelos FortiGate tienen un puerto de consola y / o puerto USB gestión. El puerto proporciona acceso CLI sin una red. El CLI puede accederse
por el widget CLI consola en la interfaz gráfica de usuario o desde un emulador de terminal, tal como masilla o Tera Term.

FortiGate Seguridad 6.0 Guía de estudio 15


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Algunos servicios FortiGate se conectan a otros servidores, como FortiGuard, con el fin de trabajar. Servicios de suscripción FortiGuard ofrecen
FortiGate con la inteligencia de amenazas actualizada. FortiGate utiliza FortiGuard por:

• solicitando periódicamente paquetes que contienen un nuevo motor y firmas


• Consulta de la FDN de una URL o host nombre individual

Las consultas son en tiempo real; es decir, FortiGate pide al FDN cada vez que se analiza en busca de spam o sitios web filtrados. FortiGate consultas en lugar
de descargar la base de datos debido al tamaño y la frecuencia de los cambios que se producen en la base de datos. Además, consultas utilizan UDP para el
transporte; que son sin conexión y el protocolo no está diseñado para la tolerancia a fallos, pero para la velocidad. Por lo tanto, las consultas de requerir que su
FortiGate tiene una conexión a Internet fiable.

Paquetes, como antivirus e IPS, son más pequeñas y no cambian con tanta frecuencia, por lo que se descargan (en muchos casos) sólo una vez al día.
Que se descargan a través de TCP para el transporte fiable. Después de descargar la base de datos, sus características FortiGate asociados continúan
funcionando incluso si FortiGate no tiene conectividad a Internet fiable. Sin embargo, aún debe tratar de evitar interrupciones durante las descargas-si su
FortiGate debe intentar varias veces para descargar actualizaciones, puede no detectar nuevas amenazas durante ese tiempo.

FortiGate Seguridad 6.0 Guía de estudio dieciséis


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

FortiGate Seguridad 6.0 Guía de estudio 17


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

¡Buen trabajo! Ahora entiendo cómo realizar la configuración inicial de FortiGate y por las que puede optar por utilizar una configuración sobre otra. A
continuación, usted aprenderá acerca de la administración básica.

FortiGate Seguridad 6.0 Guía de estudio 18


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Después de completar esta lección, usted debe ser capaz de:


• Administrar los perfiles de administrador

• Administrar los usuarios administrativos

• Definir el método de configuración para los usuarios administrativos


• Controlar el acceso administrativo a la GUI y CLI FortiGate
• Manejo de aspectos específicos de las interfaces de red

Demostrando competencia en la administración básica, usted será capaz de gestionar mejor a los usuarios administrativos e implementar prácticas de
seguridad más fuertes de todo el acceso administrativo.

FortiGate Seguridad 6.0 Guía de estudio 19


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

La mayoría de las funciones están disponibles tanto en la GUI y CLI, pero hay algunas excepciones. Los informes no se pueden ver en la CLI. Además, la configuración
avanzada y comandos de diagnóstico para superusuarios por lo general no están disponibles en la interfaz gráfica de usuario.

A medida que se familiarice con el FortiGate, y especialmente si quieres la escritura de su configuración, es posible que desee utilizar la CLI, además de la
interfaz gráfica de usuario. Puede acceder a la CLI a través de ya sea el widget JavaScript en la interfaz gráfica de usuario llamado CLI consola, o a través
de un emulador de terminal tal como Tera Term ( http://ttssh2.sourceforge.jp/index.html.en ) O masilla ( http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
). El emulador de terminal puede conectarse a través de la red-SSH o telnet o el puerto de consola local.

SNMP y otros protocolos administrativos también son compatibles, sino que son de sólo lectura. No pueden ser utilizados para la configuración básica.

FortiGate Seguridad 6.0 Guía de estudio 20


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Esta diapositiva muestra algunos comandos CLI básico que se puede utilizar para ver los comandos bajo un conjunto de comandos, compruebe el estado del sistema, y
​la lista de atributos y sus valores para una interfaz.

FortiGate Seguridad 6.0 Guía de estudio 21


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Sea cual sea el método que utilice, de empezar una sesión como administrador. Comience por la creación de cuentas separadas para otros administradores. Por

razones de seguridad y de seguimiento, es una buena práctica para cada administrador a tener su propia cuenta. En el Crear nuevo En la lista desplegable, puede

seleccionar Administrador o Permite administrar la API REST. Por lo general, tendrá que elegir Administrador y luego asignar una Un perfil de administración, que

especifica permisos administrativos de ese usuario. Usted puede seleccionar REST API de administración Para añadir un usuario administrativo que utilizaría una

aplicación personalizada para acceder FortiGate con un API REST. La aplicación le permitirá iniciar sesión en FortiGate y llevar a cabo cualquier tarea que le asigna

su Un perfil de administración permisos. Otras opciones no se muestran aquí:

• En lugar de crear cuentas en FortiGate sí, podría configurar FortiGate para consultar un servidor de autenticación remota.

• En lugar de las contraseñas, los administradores pueden autenticarse utilizando certificados digitales emitidos por el servidor de la autoridad de
certificación interna.

Si usted hace uso de contraseñas, asegúrese de que son fuertes y complejos. Por ejemplo, podría utilizar varias palabras intercaladas con una

capitalización variable, y al azar los números y puntuacion insertar. No utilice contraseñas cortas, o contraseñas que contienen los nombres, fechas o

palabras que existen en cualquier diccionario. Estos son susceptibles al ataque de fuerza bruta. Para auditar la fuerza de sus contraseñas, utilizar

herramientas tales como L0phtcrack (http://www.l0phtcrack.com/) o John the Ripper (http://www.openwall.com/john/). El riesgo de un ataque de fuerza

bruta se incrementa si se conecta el puerto de administración de Internet. Con el fin de restringir el acceso a características específicas, puede asignar

permisos.

FortiGate Seguridad 6.0 Guía de estudio 22


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Al asignar permisos a un perfil de administrador, puede especificar lectura y escritura, de sólo lectura, o ninguno a cada área.

Por defecto, no es un perfil especial llamado super_admin, que es utilizado por la cuenta llamada administración. No se puede cambiar. Proporciona
acceso completo a todo, haciendo que la administración cuenta similar a una raíz
superusuario cuenta. los prof_admin es otro perfil predeterminado. También proporciona acceso completo, pero a diferencia de super_admin, sólo se aplica a su

dominio, no la configuración global virtuales de FortiGate. También, sus permisos se pueden cambiar. Usted no está obligado a utilizar un perfil predeterminado.

Podría, por ejemplo, crear un perfil denominado auditor_access

con permisos de sólo lectura. La restricción de los permisos de una persona a las necesarias para su puesto de trabajo es una buena práctica, porque incluso si

se ve comprometida esa cuenta, el compromiso de su FortiGate (o red) no es total. Para ello, crear perfiles de administrador, a continuación, seleccione el perfil

adecuado al configurar una cuenta. los Anular de espera en inactividad característica permite que el valor admintimeout, bajo sistema de configuración

accprofile, a ser anulado por el perfil de acceso. Perfiles de administración se pueden configurar para aumentar el tiempo de espera de inactividad y facilitar el uso

de la interfaz gráfica de usuario para el control central.

Tenga en cuenta que esto puede lograrse en función de cada perfil, para evitar que la opción de estar ajustado involuntariamente a nivel mundial.

FortiGate Seguridad 6.0 Guía de estudio 23


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

¿Cuáles son los efectos de los perfiles de administración? En realidad

es más que sólo de lectura o escritura.

Dependiendo del tipo de perfil de administrador que asigne, un administrador puede no ser capaz de acceder a todo el FortiGate. Por ejemplo, podría
configurar una cuenta que puede ver sólo los mensajes de registro. Los administradores pueden no ser capaces de acceder a la configuración global, ya
sea fuera de su dominio virtual asignado. dominios virtuales (VDOMs) son una forma de subdividir los recursos y configuraciones en una sola FortiGate.
Los administradores con un alcance más pequeño de permisos no puede crear, o incluso ver, las cuentas con más permisos. Así, por ejemplo, un
administrador mediante el prof_admin o un perfil personalizado no puede ver, o restablecer la contraseña de, cuentas que utilizan el super_admin perfil.

FortiGate Seguridad 6.0 Guía de estudio 24


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Para aún más el acceso seguro a la seguridad de la red, utilizar la autenticación de dos factores.

autenticación de dos factores significa que en lugar de utilizar un método para verificar su identidad, por lo general una contraseña o un certificado digital-su
identidad se verificó mediante dos métodos. En el ejemplo mostrado en esta diapositiva, la autenticación de dos factores incluye una contraseña además de un
número generado aleatoriamente RSA de un FortiToken que se sincroniza con FortiGate.

FortiGate Seguridad 6.0 Guía de estudio 25


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

¿Qué pasa si se olvida la contraseña de su administración cuenta o un empleado malicioso cambia?

Este método de recuperación está disponible en todos los dispositivos FortiGate e incluso algunos dispositivos no FortiGate como FortiMail. Es un temporal cuenta, sólo está

disponible a través del puerto de consola local, y sólo después de un reinicio de energía que alteran duro desconectando o apagar la alimentación, y luego restaurarlo.

FortiGate se debe desconectar físicamente fuera, luego se volvió de nuevo, no simplemente reiniciado a través de la CLI. los mantenedor inicio de sesión sólo estará disponible

para inicio de sesión durante unos 60 segundos después de la ultima de arranque (o menos tiempo en los modelos más antiguos).

Si no se puede garantizar la seguridad física, o tienen requisitos de cumplimiento, puede desactivar la mantenedor
cuenta. Con precaución; si se desactiva mantenedor y luego perder su administración contraseña, no puede recuperar el acceso a tu FortiGate. Con el fin de
recuperar el acceso en este escenario, tendrá que volver a cargar el dispositivo. Esto restablecerá a los valores de fábrica.

FortiGate Seguridad 6.0 Guía de estudio 26


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Otra manera de asegurar su FortiGate es definir los hosts o subredes que son de confianza fuentes de las que identificarse.

En este ejemplo, hemos configurado 10.0.1.10 como la única IP fiables para admin1 a partir del cual admin1 iniciar sesión. Si admin1 los intentos de iniciar
sesión desde una máquina con cualquier otra IP, recibirán un mensaje de error de autenticación.

Nota: Si el host de confianza se configura en todos los administradores y un administrador está tratando de iniciar sesión desde una dirección IP que no se

encuentra en cualquiera de los host de confianza para cualquier administrador, el administrador no obtendrá la página de inicio de sesión, sino que recibirá un

mensaje “ Incapaz de contactar con el servidor". Si deja ninguna dirección IPv4 como 0.0.0.0/0, esto significa que se permitirá conexiones desde cualquier dirección

IP de origen. Por defecto, 0.0.0.0/0 es la configuración de administrador, aunque es posible que desee cambiar esto.

Observe que cada cuenta puede definir su host de administración o subred diferente. Esto es especialmente útil si va a configurar VDOMs en su
FortiGate, donde los administradores de la VDOM pueden ni siquiera pertenecen a la misma organización. Estar al tanto de cualquier NAT que se
produce entre el dispositivo y FortiGate deseada. Se puede evitar fácilmente que un administrador de iniciar sesión desde la dirección IP deseada, si
es posterior NAT'd a otra dirección antes de llegar a FortiGate, anulando así el propósito de los hosts de confianza.

FortiGate Seguridad 6.0 Guía de estudio 27


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

También es posible que desee personalizar los números de puerto protocolos administrativos.

Puede elegir si desea permitir sesiones concurrentes. Esto se puede utilizar para evitar los ajustes de la sobrescritura, si suele mantener varias pestañas abiertas del

navegador, o lo deja accidentalmente una sesión CLI abiertos sin guardar los ajustes, a continuación, iniciar una sesión de interfaz gráfica de usuario, y sin querer editar la

misma configuración diferente. Para mayor seguridad, utilice únicamente los protocolos seguros, y hacer cumplir complejidad de la contraseña y cambios. los Tiempo de

inactividad es el número de minutos antes de que un administrador de tiempos de la sesión inactiva fuera (por defecto es de 5 minutos). Un tiempo de espera más corto

es más seguro, pero aumentando el contador de tiempo puede ayudar a reducir la probabilidad de que los administradores se registra mientras se prueba los cambios.

Puede anular este tiempo de inactividad por perfiles de administración, por favor refiérase a la nueva función de Anulación de espera en inactividad en Perfiles de administración.

Anular de espera en inactividad - Perfiles de administración se pueden configurar para aumentar el tiempo de espera de inactividad y facilitar el uso de la interfaz gráfica de

usuario para el control central. Esta nueva característica permite que el valor admintimeout, bajo accprofile sistema de configuración, a ser anulado por el perfil de acceso.

Tenga en cuenta que esto puede lograrse en función de cada perfil, para evitar la opción de estar ajustado involuntariamente a nivel mundial.

FortiGate Seguridad 6.0 Guía de estudio 28


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Que haya definido la subred-que la administración es, los anfitriones-confianza para cada cuenta de administrador. ¿Cómo se puede activar o desactivar los
protocolos de gestión?
Esto es específico para cada interfaz. Por ejemplo, si los administradores se conectan a FortiGate sólo de port3, a continuación, debe deshabilitar el acceso
administrativo en todos los demás puertos. Esto evita los intentos de fuerza bruta y también el acceso inseguro. Sus protocolos de gestión son HTTPS, HTTP,
PING, SSH. Por defecto, la opción TELNET no es visible en la interfaz gráfica de usuario.

Tenga en cuenta la ubicación de la interfaz de la red. Activación de PING en una interfaz interna es útil para la resolución de problemas. Sin embargo, si se
trata de una interfaz externa (en otras palabras expuestas a Internet), es que el protocolo PING podría exponer FortiGate a un ataque de denegación de
servicio. Los protocolos que no cifran el flujo de datos, tales como HTTP y Telnet, deben ser desactivados. protocolos IPv4 e IPv6 están separados. Es
posible tener ambas direcciones IPv4 e IPv6 en una interfaz, pero sólo responderá a los pings en IPv6. Tenga en cuenta que algunos protocolos como son
FortiTelemetry no para el acceso administrativo, pero, al igual que el acceso GUI y CLI, que son protocolos, donde los paquetes tendrán FortiGate como un
destino de IP-FortiGate y no usar sólo como el siguiente salto o un puente. El protocolo FortiTelemetry se utiliza específicamente para la gestión de
FortiClients y Tela de Seguridad. protocolo FMG-Access se utiliza específicamente para la comunicación con FortiManager cuando ese servidor es la gestión
de múltiples dispositivos FortiGate. El protocolo CAPWAP se utiliza para FortiAP, FortiSwitch y FortiExtender cuando son administrados por FortiGate.
protocolo de contabilidad RADIUS se utiliza cuando FortiGate necesita para escuchar y procesar los paquetes RADIUS de contabilidad para inicio de sesión
único de autenticación. FTM, o empujar FortiToken móvil, apoya las solicitudes de autenticación de factor de segundo de una aplicación móvil FortiToken. El
servicio Push es proporcionado por Apple (APN) y Google (GCM) para iPhone y teléfonos inteligentes Android, respectivamente. Además, FortiOS soporta
push FTM cuando FortiAuthenticator es el servidor de autenticación.

FortiGate Seguridad 6.0 Guía de estudio 29


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

FortiGate tiene cientos de características. Si usted no utiliza todos ellos, ocultando las características que usted no utiliza hace que sea más fácil centrarse en su
trabajo.

Ocultación de una característica en el GUI no deshabilitarlo. Todavía es funcional, y todavía se puede configurar mediante la CLI. Algunas funciones avanzadas o

menos de uso común, tales como IPv6, están ocultas por defecto. Para mostrar las características ocultas, haga clic sistema> Visibilidad función.

FortiGate Seguridad 6.0 Guía de estudio 30


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Recuerde, cuando FortiGate es en modo NAT, cada interfaz que maneja el tráfico debe tener una dirección IP. Cuando está en modo NAT, la dirección IP puede ser
utilizado por FortiGate a la fuente el tráfico, si es que necesita para iniciar o responder a una sesión, y se puede utilizar como una dirección de destino para los dispositivos
que tratan de ponerse en contacto con FortiGate o enrutar el tráfico a través de él. Hay varias maneras de obtener una dirección IP:

• manual
• automático, usando DHCP o PPPoE

Hay dos excepciones al requisito de dirección IP: la Uno-Brazo Sniffer y Dedicado a FortiSwitch
tipos de interfaz. Estas interfaces son no asignado una dirección.

• Cuando Uno-Brazo Sniffer se selecciona como el modo de direccionamiento, la interfaz no está en línea con el flujo de tráfico, sino que está
recibiendo una copia del tráfico de un puerto duplicado en un interruptor. La interfaz opera en el tráfico de exploración modo promiscuo que ve, pero es
incapaz de hacer cambios como el paquete original ya ha sido procesado por el conmutador. Como resultado, Uno-Brazo Sniffer se utiliza sobre todo
en la prueba de concepto (POC) o en entornos en los requisitos de las empresas afirman que el tráfico no debe ser cambiado, sólo se registran.

• Cuando Dedicado a FortiSwitch se selecciona como el modo de direccionamiento, FortiGate asigna automáticamente una dirección IP a esta
interfaz. Dedicado a FortiSwitch es una opción de la interfaz que se utiliza para gestionar FortiSwitch de FortiGate.

FortiGate Seguridad 6.0 Guía de estudio 31


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

¿Cuántas veces usted ha visto los problemas de red causados ​por un servidor DHCP-cliente-no está activado en la interfaz WAN?

Se puede configurar la función de la interfaz. Las funciones que se muestran en la GUI son los valores de la interfaz habituales para esa parte de una topología. Ajustes

que no se aplican a la función actual están ocultas en la interfaz gráfica de usuario (todos los valores están siempre disponibles en la línea de comandos sin tener en

cuenta el papel). Esto evita una mala configuración accidental. Por ejemplo, cuando el papel está configurado como WAN, no hay ninguna configuración de detección de

servidor DHCP y el dispositivo disponible. detección de dispositivos se utiliza generalmente para detectar los dispositivos internos de la LAN. Si hay un caso inusual, y hay

que utilizar una opción que está oculto por el papel actual, siempre se puede cambiar el papel de Indefinido. Esta muestra todas las opciones.

Para ayudarle a recordar el uso de cada interfaz, se les puede dar alias. Por ejemplo, se podría llamar como port3 red interna. Esto puede
ayudar a hacer su lista de políticas más fácil de comprender.

FortiGate Seguridad 6.0 Guía de estudio 32


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Antes de integrar FortiGate en su red, debe configurar una puerta de enlace predeterminada. Si FortiGate obtiene su dirección IP a través de un

método dinámico como DHCP o PPPoE, entonces también debe recuperar la puerta de enlace predeterminada.

De lo contrario, debe configurar una ruta estática. Sin esto, FortiGate no será capaz de responder a los paquetes fuera de las subredes conectadas
directamente a sus propias interfaces. Es probable que también no será capaz de conectarse a FortiGuard de actualizaciones y no puede enrutar el tráfico
correctamente.

detalles de una ruta están cubiertos en otra lección. Por ahora, usted debe asegurarse de que FortiGate tiene una ruta que coincida con todos los

paquetes (destino es 0.0.0.0/0), conocida como una ruta por defecto, y las envía a través de la interfaz de red que está conectado a Internet, a la

dirección IP del router siguiente. Enrutamiento completa los ajustes de red básicos que se requieren para poder configurar las directivas de

cortafuegos.

FortiGate Seguridad 6.0 Guía de estudio 33


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

La agregación de enlaces se une lógicamente múltiples interfaces físicas en un solo canal. La agregación de enlaces aumenta el ancho de banda y
proporciona redundancia entre dos dispositivos de red.

FortiGate Seguridad 6.0 Guía de estudio 34


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

FortiGate Seguridad 6.0 Guía de estudio 35


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

¡Buen trabajo! Ahora tiene los conocimientos necesarios para llevar a cabo algunas tareas básicas de administración. A continuación, usted aprenderá acerca de los servidores

incorporados.

FortiGate Seguridad 6.0 Guía de estudio 36


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Al completar esta sección, debe ser capaz de:

• Habilitar el servicio DHCP en FortiGate

• Habilitar el servicio DNS en FortiGate

• Entender las posibilidades de configuración y algunas de sus implicaciones

Demostrando competencia en la aplicación del DHCP y DNS servidores integrados que sabrá cómo proporcionar estos servicios a
través de FortiGate.

FortiGate Seguridad 6.0 Guía de estudio 37


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Los clientes inalámbricos no son los únicos que pueden utilizar FortiGate como su servidor DHCP. Para una interfaz (tal como port3), seleccione el Manual opción,

introduzca una dirección IP estática, y luego permitir que el servidor DHCP opción. Las opciones para la incorporada en el servidor DHCP aparecerá, incluyendo

funciones de aprovisionamiento, como las opciones de DHCP y reservas MAC. También puede bloquear direcciones MAC específicas de recibir una dirección IP.

Obsérvese que en la pantalla en el lado derecho de la corredera, en el Reserva MAC + Control de Acceso

sección, en el Acción o IP columna, que la lista desplegable ofrece tres opciones:


• IP de reserva: permita enlazar una dirección IP específica a una dirección MAC.
• Asignar IP: permite que el servidor DHCP para asignar de su conjunto de direcciones a la dirección MAC identificada. Un dispositivo que recibe una
dirección IP siempre recibirá la misma dirección siempre que su concesión no ha expirado.

• Bloquear: el equipo con la dirección MAC y la identificada Bloquear opción no recibirá una dirección IP.

FortiGate Seguridad 6.0 Guía de estudio 38


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Para que el servidor DHCP incorporado, se puede reservar direcciones IP específicas para los dispositivos con direcciones MAC específicas. La acción de Las direcciones

MAC desconocidas define lo que el servidor DHCP del FortiGate hará cuando se hace una petición de un MAC no dirección que aparece de forma explícita.

FortiGate Seguridad 6.0 Guía de estudio 39


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Al igual que con DHCP, también puede configurar FortiGate para actuar como su servidor DNS local. Puede activar y configurar el DNS por
separado en cada interfaz.

Un servidor DNS local puede mejorar el rendimiento de su FortiMail u otros dispositivos que utilizan con frecuencia las consultas DNS. Si su FortiGate ofrece

DHCP para su red local, DHCP se puede utilizar para configurar los hosts para utilizar FortiGate como la puerta de enlace y el servidor DNS. FortiGate puede

responder a las consultas de DNS en una de tres maneras:

• Adelante: retransmite todas las consultas a un servidor DNS independiente (que ha configurado en Red> DNS); es decir, que actúa como un relé DNS en
lugar de un servidor DNS.
• No recursivo: las respuestas a las consultas de bases de datos de artículos en DNS de FortiGate; no reenviar las consultas que no tienen solución.

• Recursiva: las respuestas a las consultas de bases de datos de artículos en DNS de FortiGate; reenvía todas las otras consultas a un servidor DNS

independiente para su resolución. Puede configurar todos los modos en la GUI o CLI.

FortiGate Seguridad 6.0 Guía de estudio 40


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Si elige recursiva, FortiGate consulta su propia base de datos antes de reenviar las solicitudes no resueltas a los servidores DNS externos.

Si elige la opción de reenvío de DNS, puede controlar las consultas DNS dentro de su propia red, sin tener que introducir ningún nombre
DNS en el servidor DNS de FortiGate.

FortiGate Seguridad 6.0 Guía de estudio 41


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Si usted elige tener sus consultas resolver el servidor de DNS, o elegir un DNS dividido, debe configurar una base de datos DNS en su
FortiGate.

Esto define los nombres de host que se FortiGate para resolver consultas. Tenga en cuenta que FortiGate soporta actualmente sólo los tipos de registros DNS que figuran en
esta diapositiva.

FortiGate Seguridad 6.0 Guía de estudio 42


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

FortiGate Seguridad 6.0 Guía de estudio 43


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

¡Buen trabajo! Ahora ya sabe cómo habilitar servicios DHCP y DNS en FortiGate, y tienen una cierta comprensión de posibilidades de configuración. A
continuación, usted aprenderá sobre el mantenimiento fundamental.

FortiGate Seguridad 6.0 Guía de estudio 44


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Al completar esta sección, debe ser capaz de:

• Una copia de seguridad y restaurar los archivos de configuración del sistema

• Comprender los requisitos para restaurar texto y archivos de configuración encriptados

• Identificar la versión actual del firmware

• Actualización de firmware

• firmware rebaja

Demostrando competencia en la ejecución de tareas básicas de mantenimiento de FortiGate, usted será capaz de realizar las actividades vitales de copia de
seguridad y restaurar y actualizar o degradar el firmware, y asegurarse de que FortiGate sigue siendo fiable en servicio durante todo su ciclo de vida.

FortiGate Seguridad 6.0 Guía de estudio 45


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Ahora que tiene la configuración de red FortiGate básicas y las cuentas administrativas, podrás buscar la forma de copia de seguridad de la adición configuration.In
de seleccionar el destino del archivo de copia de seguridad, puede elegir para cifrar o no para cifrar el archivo de copia de seguridad. Incluso si decide no cifrar el
archivo, que es el valor por defecto, las contraseñas almacenadas en el archivo son ordenadas, y, por lo tanto, ofuscado. Las contraseñas que se almacenan en el
fichero de configuración incluirían las contraseñas de los usuarios administrativos y usuarios locales, y las claves previamente compartidas para su IPSec VPN.
También puede incluir contraseñas para los servidores FSSO y LDAP.

La otra opción es para cifrar el archivo de configuración con una contraseña. Además de asegurar la privacidad de su configuración, sino que también
tiene algunos efectos que no se pueden esperar. Después de cifrado, el archivo de configuración no puede ser descifrado sin la contraseña y una
FortiGate del mismo modelo y firmware. Esto significa que si se envía un archivo de configuración de cifrado al soporte técnico de Fortinet, incluso si se
les da la contraseña, no pueden cargar su configuración hasta que consiguen el acceso al mismo modelo de FortiGate. Esto puede causar demoras
innecesarias en la resolución de su billete.

Si habilita dominios virtuales (VDOMs), que subdividen los recursos y la configuración de su FortiGate, cada administrador VDOM puede realizar copias de
seguridad y restaurar sus propias configuraciones. Usted no tiene que realizar copias de seguridad de toda la configuración FortiGate, sin embargo, todavía se
recomienda.

Se necesitan copias de seguridad para ayudar a acelerar el retorno a la producción en el caso de un desastre imprevisto que dañe FortiGate. Tener que

volver a crear cientos de políticas y objetos desde cero toma una cantidad significativa de tiempo, durante la carga de un archivo de configuración en un

nuevo dispositivo tarda mucho menos. Restauración de un archivo de configuración es muy similar a la copia de uno y reinicia el FortiGate.

FortiGate Seguridad 6.0 Guía de estudio 46


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Si abre el archivo de configuración en un editor de texto, verá que los dos archivos de configuración codificado o abierto contienen una cabecera de
texto claro que contiene información básica sobre el dispositivo. El ejemplo de esta diapositiva muestra qué información es included.To restaurar una
configuración de cifrado, debe cargarlo en un FortiGate del mismo modelo y firmware, a continuación, proporcionar la contraseña.

Para restaurar un archivo de configuración no cifrado, se le requiere para que coincida con sólo el modelo FortiGate. Si el firmware es diferente, FortiGate
intentará actualizar la configuración. Esto es similar a la forma en que utiliza scripts de actualización de la configuración existente al actualizar el firmware. Sin
embargo, todavía se recomienda para que coincida con el firmware de FortiGate al firmware que aparece en el archivo de configuración.

Por lo general, el archivo de configuración sólo contiene la configuración no predeterminada, además de unos pocos por defecto, pero crucial, ajustes. Esto reduce al mínimo el tamaño

de la copia de seguridad, que de otro modo podrían haber varios MB de tamaño.

FortiGate Seguridad 6.0 Guía de estudio 47


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

Puede ver la versión actual del firmware en varios lugares de la interfaz gráfica de usuario FortiGate. La primera vez que inicie sesión en FortiGate, la
página de destino es la Tablero. Verá la versión del firmware en el Sistema Widget. Esta información también se encuentra en Sistema> Firmware. Y, por
supuesto, se puede recuperar la información de la CLI mediante el comando obtener el estado del sistema.

Si hay una nueva versión del firmware disponible, se le notificará en el Tablero y en el firmware
página.

Recuerde leer el Notas de lanzamiento para asegurarse de que usted entiende la ruta de actualización. los
Notas de lanzamiento también proporcionar información pertinente que pueda afectar a la actualización.

FortiGate Seguridad 6.0 Guía de estudio 48


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

La actualización del firmware de FortiGate es simple. Hacer clic Sistema> Firmware, y luego buscar el archivo de firmware que ha
descargado de support.fortinet.com o optar por actualizar en línea.

Si desea realizar una instalación limpia al sobrescribir tanto el firmware existente y su configuración actual, puede hacerlo utilizando la CLI consola local,
dentro del menú del gestor de arranque, mientras que FortiGate se está reiniciando. Sin embargo, este no es el método habitual.

FortiGate Seguridad 6.0 Guía de estudio 49


• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©


FORTINET

También puede degradar el firmware. Dado que la configuración cambian en cada versión del firmware, usted debe tener un archivo de
configuración en la sintaxis que es compatible con el firmware. Recuerde leer el Notas de lanzamiento. A veces una rebaja entre versiones de
firmware que conserva la configuración no es posible, tal como cuando el OS cambió de 32 bits a 64 bits. En esa situación, la única manera de
degradar es formatear el disco, vuelva a instalar.

Después de confirmar que la rebaja es posible, verificar todo de nuevo, a continuación, iniciar la rebaja. Una vez finalizada la rebaja, restaurar una

copia de seguridad de configuración que es compatible con esa versión. ¿Por qué debe mantener el firmware de emergencia y el acceso físico?

Las versiones anteriores de firmware no saben cómo convertir configuraciones posteriores. También, cuando se actualiza a través de un camino que no es
compatible con los scripts de traducción configuración, podría perderá todos los ajustes excepto los ajustes de acceso básicos, tales como cuentas de
administrador y las direcciones IP de las interfaces de red. Otra rara, pero posible, escenario es que el firmware podría estar dañado cuando se está cargando la
misma. Por todas estas razones, siempre se debe tener acceso a la consola local durante una actualización. Sin embargo, en la práctica, si usted lee el

Notas de lanzamiento y tener una conexión fiable a la GUI o CLI, no debería ser necesario.

FortiGate Seguridad 6.0 Guía de estudio 50