Ns4 Security 1-50

Machine Translated by Google

NO REIMPRIMIR
© FORTINET
Registro de cambios
Esta tabla incluye actualizaciones de la Guía de estudio de FortiGate Security 7.0 con fecha del 7/6/2021 del documento actualizado
versión de fecha 26/01/2022.
Cambiar Ubicación
Varias correcciones de formato Guía completa
l Diapositivas eliminadas: métodos de administración, comandos CLI básicos, dos factores

Autenticación, Agregación de enlaces Lección 1
l Diapositivas añadidas: relacionadas con VDOM
Comando CLI actualizado update-ffdb Lección 3: Diapositiva 15
Ejemplo de diapositiva de políticas de mezcla actualizada Lección 5: Diapositiva 37
Notas fijas Lección 10: Diapositiva 14
Notas fijas Lección 11: Diapositiva 8
Recorte el contenido de SSL VPN y agregue la sección ZTNA Lección 12
Guía de estudio de FortiGate Security 7.0 4

Introducción y configuración inicial
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los conceptos básicos de administración de FortiGate y los componentes dentro
de FortiGate que puede habilitar para ampliar la funcionalidad. Esta lección también incluye detalles sobre cómo
y dónde encaja FortiGate en su arquitectura de red existente.

NO REIMPRIMIR
© FORTINET
En esta lección, explorará los temas que se muestran en esta diapositiva.

NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en la identificación de las características de diseño de la plataforma de FortiGate, las

características de FortiGate en redes virtualizadas y la nube, así como las unidades de procesamiento de seguridad
de FortiGate, podrá describir los componentes fundamentales de FortiGate y explicar los tipos de tareas que FortiGate puede llev

NO REIMPRIMIR
© FORTINET
En el pasado, la forma habitual de proteger una red era asegurar el perímetro e instalar un cortafuegos en el punto de
entrada. Los administradores de red solían confiar en todo y en todos dentro del perímetro.
Ahora, el malware puede eludir fácilmente cualquier firewall de punto de entrada y entrar en la red. Esto podría
suceder a través de una memoria USB infectada o el dispositivo personal comprometido de un empleado
conectado a la red corporativa. Además, debido a que los ataques pueden provenir del interior de la red, los
administradores de red ya no pueden confiar inherentemente en los usuarios y dispositivos internos.
Además, las redes actuales son entornos muy complejos cuyas fronteras cambian constantemente.
Las redes se ejecutan verticalmente desde la LAN hasta Internet y horizontalmente desde la red física hasta una red
virtual privada y hasta la nube. Una fuerza de trabajo móvil y diversa (empleados, socios y clientes) que accede a los
recursos de la red, las nubes públicas y privadas, los programas IoT y BYOD conspiran para aumentar la cantidad de
vectores de ataque contra su red.
En respuesta a este entorno altamente complejo, los firewalls se han convertido en dispositivos multifuncionales
robustos que contrarrestan una variedad de amenazas a su red. Por lo tanto, FortiGate puede actuar en diferentes
modos o roles para abordar diferentes requisitos. Por ejemplo, FortiGate se puede implementar como un firewall de
centro de datos cuya función es monitorear las solicitudes entrantes a los servidores y protegerlas sin aumentar la
latencia para el solicitante. O bien, FortiGate se puede implementar como un firewall de segmentación interna como un medio para
FortiGate también puede funcionar como servidores DNS y DHCP, y configurarse para proporcionar servicios de filtro
web, antivirus e IPS.

NO REIMPRIMIR
© FORTINET
En el diagrama de arquitectura que se muestra en esta diapositiva, puede ver cómo las plataformas FortiGate agregan fuerza, sin
comprometer la flexibilidad. Al igual que los dispositivos de seguridad independientes y dedicados, FortiGate sigue siendo modular internamente.
• Los dispositivos agregan duplicación. A veces, dedicación no significa eficiencia. Si está sobrecargado, ¿puede uno
dispositivo toma prestada memoria RAM libre de otros nueve? ¿Quiere configurar políticas, registro y enrutamiento en 10
dispositivos separados? ¿Diez veces la duplicación le brinda 10 veces el beneficio, o es una molestia? Para pequeñas y
medianas empresas o sucursales empresariales, la gestión unificada de amenazas (UTM) suele ser una solución superior, en
comparación con los dispositivos dedicados independientes.
• El hardware de FortiGate no solo está listo para usar. Es de grado portador. La mayoría de los modelos de FortiGate tienen uno o
más circuitos especializados, llamados ASIC, diseñados por Fortinet. Por ejemplo, un chip CP o NP maneja la criptografía y el
reenvío de paquetes de manera más eficiente. En comparación con un dispositivo de propósito único con solo una CPU,
FortiGate puede tener un rendimiento mucho mejor. Esto es especialmente crítico para los centros de datos y los operadores
donde el rendimiento es crítico para el negocio.
(¿La excepción? Las plataformas de virtualización, VMware, Citrix Xen, Microsoft u Oracle Virtual Box, tienen vCPU de uso
general. Pero la virtualización puede valer la pena debido a otros beneficios, como la computación distribuida y la seguridad
basada en la nube).
• FortiGate es flexible. Si todo lo que necesita es un firewall y un antivirus rápidos, FortiGate no requerirá que desperdicie CPU,
RAM y electricidad en otras funciones. En cada política de firewall, puede habilitar o deshabilitar UTM y módulos de firewall de
próxima generación. Además, no pagará más para agregar licencias de asientos de VPN más adelante. • FortiGate coopera. Una
preferencia por los estándares abiertos en lugar de los protocolos propietarios significa menos bloqueo de proveedores y más
opciones para los integradores de sistemas. Y, a medida que crece su red, FortiGate puede aprovechar otros productos de
Fortinet, como FortiSandbox y FortiWeb, para distribuir el procesamiento para una seguridad más profunda y un rendimiento
óptimo: un enfoque de Security Fabric total.

NO REIMPRIMIR
© FORTINET
Las máquinas virtuales (VM) de FortiGate tienen las mismas características que los dispositivos físicos de FortiGate, excepto la
aceleración de hardware. ¿Por qué? Primero, el software de capa de abstracción de hardware para hipervisores está hecho por
VMware, Xen y otros fabricantes de hipervisores, no por Fortinet. Esos otros fabricantes no fabrican los chips SPU patentados
de Fortinet. Pero también hay otra razón. El propósito de las CPU virtuales genéricas y otros chips virtuales para hipervisores es
abstraer los detalles del hardware. De esa manera, todos los sistemas operativos invitados de VM pueden ejecutarse en una
plataforma común, sin importar el hardware diferente en el que estén instalados los hipervisores. A diferencia de las vCPU o vGPU
que usan vCPU y RAM genéricas y no óptimas para la abstracción, los chips SPU son circuitos optimizados especializados.
Por lo tanto, un chip ASIC virtualizado no tendría los mismos beneficios de rendimiento que un chip SPU físico.
Si el rendimiento en hardware equivalente es menor, puede preguntarse, ¿por qué alguien usaría una máquina virtual FortiGate?
En las redes a gran escala que cambian rápidamente y pueden tener muchos inquilinos, se puede lograr una potencia de
procesamiento y una distribución equivalentes utilizando cantidades más grandes de hardware de propósito general más
económico. Además, puede valer la pena intercambiar algo de rendimiento por otros beneficios. Puede beneficiarse de una
implementación y desmontaje más rápidos de la red y los dispositivos.
FortiGate VMX y FortiGate Connector para Cisco ACI son versiones especializadas de FortiOS y una API que le permiten orquestar
cambios rápidos en la red a través de estándares, como OpenStack para redes definidas por software (SDN). • FortiGate VM se
implementa como una VM invitada en el hipervisor.
• FortiGate VMX se implementa dentro de las redes virtuales de un hipervisor, entre máquinas virtuales
invitadas. • FortiGate Connector para Cisco ACI permite que ACI implemente máquinas virtuales FortiGate físicas o virtuales para norte-sur
tráfico.

NO REIMPRIMIR
© FORTINET
Todo el hardware de aceleración de hardware de Fortinet ha sido renombrado como unidades de procesamiento de
seguridad (SPU). Esto incluye procesadores NPx y CPx.
La mayoría de los modelos de FortiGate tienen hardware de aceleración especializado, llamado SPU, que puede
descargar el procesamiento intensivo de recursos de los recursos de procesamiento principal (CPU). La mayoría de los
dispositivos FortiGate incluyen procesadores de contenido (CP) especializados que aceleran una amplia gama de
importantes procesos de seguridad, como el análisis de virus, la detección de ataques, el cifrado y el descifrado. (Solo los
modelos FortiGate de nivel de entrada seleccionados no incluyen un procesador CP).
Los datos de SPU y nTurbo ahora son visibles en varios lugares de la GUI. Por ejemplo, las sesiones activas
columna emergente en la lista de políticas de firewall y el widget del panel de sesiones. La contabilidad por sesión es una
función de registro que permite a FortiGate informar los números correctos de bytes por paquete por sesión para las sesiones
descargadas a un procesador NP7, NP6 o NP6lite.
El siguiente ejemplo muestra el widget del tablero de Sesiones que rastrea las sesiones de SPU y nTurbo. Las sesiones
actuales muestran el número total de sesiones, SPU muestra el porcentaje de estas sesiones que son sesiones SPU y Nturbo
muestra el porcentaje que son sesiones nTurbo.
NTurbo descarga sesiones de firewall que incluyen perfiles de seguridad basados en flujo a procesadores de red NP6 o NP7.
Sin NTurbo, o con NTurbo deshabilitado, la CPU de FortiGate procesa todas las sesiones de firewall que incluyen perfiles de
seguridad basados en flujo.

NO REIMPRIMIR
© FORTINET
El procesador de contenido de Fortinet (CP9) funciona fuera del flujo directo de tráfico, proporcionando criptografía
de alta velocidad y servicios de inspección de contenido. Esto libera a las empresas para implementar seguridad avanzada
cuando sea necesario sin afectar la funcionalidad de la red. CP8 y CP9 proporcionan una ruta rápida para el tráfico inspeccionado
por IPS, incluidas las sesiones con inspección basada en flujo.
Los procesadores CP también aceleran tareas intensivas basadas en proxy:

• Cifrado y descifrado (SSL)
• antivirus
Los procesadores de red FortiSPU funcionan en el nivel de la interfaz para acelerar el tráfico descargando el tráfico de la CPU
principal. Los modelos que admiten FortiOS 6.4 o posterior contienen procesadores de red NP6, NP6lite y NP7.
Fortinet integra procesadores de red y contenido junto con una CPU basada en RISC en un solo procesador conocido como
SoC4 para dispositivos de seguridad FortiGate de nivel de entrada utilizados para empresas distribuidas. Esto simplifica el
diseño del dispositivo y permite un rendimiento innovador sin comprometer la seguridad.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende algunas de las características de alto nivel de FortiGate.
Ahora, aprenderá cómo realizar la configuración inicial de FortiGate y aprenderá por qué podría decidir usar una
configuración sobre otra.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en la configuración de FortiGate, podrá usar el dispositivo de manera efectiva en su

propia red.

NO REIMPRIMIR
© FORTINET
¿Qué pasa con la arquitectura de la red? ¿Dónde encaja FortiGate?
Cuando implementa FortiGate, puede elegir entre dos modos operativos: modo NAT o modo transparente.
• En modo NAT, FortiGate enruta paquetes basados en la capa 3, como un enrutador. Cada uno de su red lógica
interfaces tiene una dirección IP y FortiGate determina la interfaz saliente o de salida en función de la dirección IP de
destino y las entradas en sus tablas de enrutamiento.
• En modo transparente, FortiGate reenvía paquetes en la capa 2, como un conmutador. Sus interfaces no tienen IP
direcciones y FortiGate identifica la interfaz de salida o de salida en función de la dirección MAC de destino.
El dispositivo en modo transparente tiene una dirección IP utilizada para el tráfico de administración.
Las interfaces pueden ser excepciones al modo de operación del enrutador versus el conmutador, de forma individual.
Cuando habilita los dominios virtuales (VDOM) en FortiGate, puede configurar cada VDOM para el modo NAT o el modo
transparente, independientemente del modo de operación de otros VDOM en FortiGate. De manera predeterminada, los VDOM
están deshabilitados en el dispositivo FortiGate, pero todavía hay un VDOM activo: el VDOM raíz. Siempre está ahí en el fondo.
Cuando los VDOM están deshabilitados, el modo NAT o el modo transparente se relaciona con el VDOM raíz.
Los VDOM son un método para dividir un dispositivo FortiGate en dos o más dispositivos virtuales que funcionan como
múltiples dispositivos independientes. Los VDOM pueden proporcionar políticas de firewall separadas y, en modo NAT,
configuraciones completamente separadas para los servicios de enrutamiento y VPN para cada red u organización conectada.
En modo transparente, VDOM aplica escaneo de seguridad al tráfico y se instala entre la red interna y la externa
la red.
De forma predeterminada, un VDOM está en modo NAT cuando se crea. Puede cambiarlo al modo transparente, si es necesario.
Guía de estudio de FortiGate Security 7.0 dieciséis

NO REIMPRIMIR
© FORTINET
El modo de traducción de direcciones de red (NAT) es el modo de funcionamiento predeterminado. ¿Cuáles son las otras
configuraciones predeterminadas de fábrica? Después de sacar FortiGate de su caja, ¿qué sigue?
Ahora verás cómo configuras FortiGate.
Conecte el cable de red de su computadora al puerto 1 o a los puertos del conmutador interno (en el modelo básico). Para
modelos de gama alta y gama media, conéctese a la interfaz MGMT. En la mayoría de los modelos de nivel de entrada, hay un
servidor DHCP en esa interfaz, por lo que, si la configuración de red de su computadora tiene DHCP habilitado, su
computadora debería obtener automáticamente una IP y puede comenzar la configuración.
Para acceder a la GUI en FortiGate o FortiWifi, abra un navegador web y visite https://192.168.1.99.
La información de inicio de sesión predeterminada es de conocimiento público. Nunca deje la contraseña predeterminada
en blanco. Su red es tan segura como su cuenta de administrador de FortiGate. Una vez que haya iniciado sesión con los
detalles de inicio de sesión predeterminados, verá un mensaje para cambiar la contraseña en blanco predeterminada para la
contraseña del usuario administrador. Antes de conectar FortiGate a su red, debe establecer una contraseña compleja. También
se le pedirá que aplique una configuración adicional, como nombre de host, configuración del panel, registro en FortiCare, etc.
Todos los modelos de FortiGate tienen un puerto de consola y/o un puerto de administración USB. El puerto proporciona acceso
CLI sin una red. Puede acceder a la CLI mediante el widget de la consola CLI en la GUI o desde un emulador de terminal, como
PuTTY o Tera Term.

NO REIMPRIMIR
© FORTINET
Algunos servicios de FortiGate se conectan a otros servidores, como FortiGuard, para poder funcionar. Los servicios de
suscripción de FortiGuard proporcionan a FortiGate inteligencia de amenazas actualizada. FortiGate usa FortiGuard por:
• Solicitud periódica de paquetes que contengan un nuevo motor y firmas

• Consultar el FDN en una URL individual o nombre de host
De manera predeterminada, la ubicación del servidor de FortiGuard se establece en cualquier lugar donde FortiGate seleccione un servidor
en función de la carga del servidor, desde cualquier parte del mundo. Sin embargo, tiene la opción de cambiar la ubicación del servidor
de FortiGuard a EE. UU. En este caso, FortiGate selecciona un servidor FortiGuard basado en EE. UU.
Las consultas son en tiempo real; es decir, FortiGate pregunta a la FDN cada vez que busca spam o sitios web filtrados.
Consultas de FortiGate, en lugar de descargar la base de datos, debido al tamaño y la frecuencia de los cambios que se producen en la
base de datos. Además, puede seleccionar consultas para usar UDP o HTTP para el transporte; los protocolos no están diseñados para
la tolerancia a fallas, sino para la velocidad. Por lo tanto, las consultas requieren que su dispositivo FortiGate tenga una conexión a
Internet confiable.
Los paquetes, como antivirus e IPS, son más pequeños y no cambian con tanta frecuencia, por lo que se descargan (en muchos
casos) solo una vez al día. Se descargan mediante TCP para un transporte fiable. Después de que se descarga la base de datos, sus
características FortiGate asociadas continúan funcionando, incluso si FortiGate no tiene una conectividad a Internet confiable. Sin
embargo, aún debe intentar evitar interrupciones durante las descargas; si su dispositivo FortiGate debe intentar descargar actualizaciones
repetidamente, no puede detectar nuevas amenazas durante ese tiempo.

NO REIMPRIMIR
© FORTINET
En FortiOS 6.4 o posterior, la verificación de certificados SSL de terceros y la verificación de grapado OCSP se implementaron
para todos los servidores FortiGuard. De forma predeterminada, el modo de acceso de FortiGuard es anycast en FortiGate, para
optimizar el rendimiento del enrutamiento a los servidores de FortiGuard. El servidor FortiGuard tiene una dirección IP que
coincide con su nombre de dominio. FortiGate se conecta con una única dirección de servidor, independientemente de dónde se encuentre el
El nombre de dominio de cada servicio de FortiGuard es el nombre común en el certificado de ese servicio. El certificado
está firmado por una CA intermedia de terceros. El servidor FortiGuard utiliza la técnica de grapado del Protocolo de estado de
certificado en línea (OCSP), de modo que FortiGate siempre puede validar el certificado del servidor FortiGuard de manera
eficiente. FortiGate completará el protocolo de enlace TLS solo con un servidor FortiGuard que proporcione un buen estado OCSP
para su certificado. Cualquier otro estado da como resultado una conexión SSL fallida.
Los servidores de FortiGuard consultan al respondedor OCSP de la CA cada cuatro horas y actualizan su estado OCSP. Si
FortiGuard no puede comunicarse con el respondedor OCSP, mantiene el último estado OCSP conocido durante siete días.
FortiGate aborta la conexión al servidor FortiGuard si:

• El CN en el certificado del servidor no coincide con el nombre de dominio resuelto desde el DNS.
• El estado de OCSP no es bueno.
• La CA emisora es revocada por la CA raíz.
La configuración anycast del modo de acceso de FortiGuard obliga al proceso de clasificación a utilizar el protocolo HTTPS y el puerto 443.
La tabla de esta diapositiva muestra una lista de algunos de los servidores FortiGuard y sus nombres de dominio y
direcciones IP.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende cómo realizar la configuración inicial de FortiGate y por qué podría decidir
usar una configuración sobre otra. Ahora, aprenderá sobre la administración básica.

NO REIMPRIMIR
© FORTINET
Después de completar esta lección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en administración básica, podrá administrar mejor a los usuarios administrativos e
implementar prácticas de seguridad más sólidas en torno al acceso administrativo.

NO REIMPRIMIR
© FORTINET
Independientemente del método que utilice, comience iniciando sesión como administrador. Comience creando cuentas
separadas para otros administradores. Por motivos de seguridad y seguimiento, se recomienda que cada administrador tenga
su propia cuenta.
En la lista desplegable Crear nuevo, puede seleccionar Administrador o Administrador de API REST. Por lo general, seleccionará
Administrador y luego asignará un Perfil de administrador, que especifica los permisos administrativos de ese usuario. Puede
seleccionar REST API Admin para agregar un usuario administrativo que usaría una aplicación personalizada para acceder a
FortiGate con una REST API. La aplicación le permitiría iniciar sesión en FortiGate y realizar cualquier tarea que le permita su perfil
de administrador asignado.
Otras opciones que no se muestran aquí incluyen:

• En lugar de crear cuentas en el propio FortiGate, puede configurar FortiGate para consultar un servidor de autenticación
remoto.
• En lugar de contraseñas, sus administradores pueden autenticarse mediante certificados digitales emitidos por
su servidor interno de autoridad de certificación.
Si usa contraseñas, asegúrese de que sean seguras y complejas. Por ejemplo, puede usar varias palabras intercaladas con
diferentes mayúsculas e insertar números y signos de puntuación al azar. No utilice contraseñas cortas, ni contraseñas que
contengan nombres, fechas o palabras que existan en algún diccionario. Estos son susceptibles al ataque de fuerza bruta. Para
auditar la seguridad de sus contraseñas, utilice herramientas como L0phtcrack (http://www.l0phtcrack.com/) o John the Ripper
(http://www.openwall.com/john/). El riesgo de un ataque de fuerza bruta aumenta si conecta el puerto de administración a Internet.
Para restringir el acceso a funciones específicas, puede asignar permisos.

NO REIMPRIMIR
© FORTINET
Al asignar permisos a un perfil de administrador, puede especificar lectura y escritura, solo lectura o ninguno para cada área.
De forma predeterminada, existe un perfil especial denominado super_admin, que utiliza la cuenta denominada admin. No
puedes cambiarlo. Proporciona acceso completo a todo, haciendo que la cuenta de administrador sea similar a un superusuario raíz
cuenta.
El prof_admin es otro perfil predeterminado. También brinda acceso completo, pero a diferencia de super_admin, solo se aplica a
su dominio virtual, no a la configuración global de FortiGate. Además, puede cambiar sus permisos.
No es necesario que utilice un perfil predeterminado. Podría, por ejemplo, crear un perfil llamado auditor_access
con permisos de solo lectura. Restringir los permisos de una persona a los necesarios para su trabajo es una práctica
recomendada, porque incluso si esa cuenta se ve comprometida, el compromiso de su dispositivo FortiGate (o red) no es total.
Para hacer esto, cree perfiles de administrador, luego seleccione el perfil apropiado al configurar una cuenta.
La función Anular tiempo de espera inactivo permite que el valor de tiempo de espera de administración, en el perfil de acceso del
sistema de configuración, se anule por perfil de acceso. Puede configurar perfiles de administrador para aumentar el tiempo de
espera de inactividad y facilitar el uso de la GUI para la supervisión central.
Tenga en cuenta que puede hacer esto perfil por perfil, para evitar que la opción se configure globalmente de forma involuntaria.

NO REIMPRIMIR
© FORTINET
¿Cuáles son los efectos de los perfiles de administrador?
En realidad, es más que solo acceso de lectura o escritura.
Según el tipo de perfil de administrador que asigne, es posible que un administrador no pueda acceder a todo el dispositivo
FortiGate. Por ejemplo, puede configurar una cuenta que solo pueda ver los mensajes de registro.
Es posible que los administradores tampoco puedan acceder a la configuración global fuera de su dominio virtual asignado.
Los dominios virtuales (VDOM) son una forma de subdividir los recursos y las configuraciones en un solo FortiGate.
Los administradores con un alcance menor de permisos no pueden crear, ni siquiera ver, cuentas con más permisos.
Entonces, por ejemplo, un administrador que usa prof_admin o un perfil personalizado no puede ver o restablecer la contraseña
de las cuentas que usan el perfil super_admin.

NO REIMPRIMIR
© FORTINET
Para asegurar aún más el acceso a la seguridad de su red, use la autenticación de dos factores.
La autenticación de dos factores significa que, en lugar de usar un método para verificar su identidad, generalmente una
contraseña o un certificado digital, su identidad se verifica mediante dos métodos. En el ejemplo que se muestra en esta
diapositiva, la autenticación de dos factores incluye una contraseña más un número RSA generado aleatoriamente a partir
de un FortiToken que está sincronizado con FortiGate.

NO REIMPRIMIR
© FORTINET
¿Qué sucede si olvida la contraseña de su cuenta de administrador o un empleado malintencionado la cambia?
Este método de recuperación está disponible en todos los dispositivos FortiGate e incluso en algunos dispositivos
que no son FortiGate, como FortiMail. No hay ningún procedimiento de mantenimiento en la máquina virtual. El
administrador debe volver a una instantánea o reaprovisionar la máquina virtual y restaurar la configuración. Es una
cuenta temporal, solo disponible a través del puerto de la consola local, y solo después de un reinicio completo,
interrumpiendo la energía al desconectar o apagar la energía y luego restaurarla. Debe apagar FortiGate físicamente, luego volver a encen
El inicio de sesión del mantenedor está disponible para iniciar sesión solo durante unos 60 segundos después de que se completa el reinicio
(o menos tiempo en modelos más antiguos).
Si no puede garantizar la seguridad física o tiene requisitos de cumplimiento, puede desactivar el mantenedor
cuenta. Tenga cuidado si deshabilita el mantenedor y luego pierde su contraseña de administrador, porque no puede
recuperar el acceso a su dispositivo FortiGate. Para recuperar el acceso en este escenario, deberá volver a cargar el
dispositivo. Esto restablecerá el dispositivo a su configuración predeterminada de fábrica.

NO REIMPRIMIR
© FORTINET
Otra forma de asegurar FortiGate es definir los hosts o subredes que son fuentes confiables desde las cuales iniciar sesión.
En este ejemplo, hemos configurado 10.0.1.10 como la única IP confiable para el administrador desde la cual el administrador inicia
sesión. Si el administrador intenta iniciar sesión desde una máquina con cualquier otra IP, recibirá un mensaje de falla de autenticación.
Tenga en cuenta que si los hosts de confianza están configurados en todos los administradores y un administrador intenta iniciar
sesión desde una dirección IP que no está configurada en ninguno de los hosts de confianza para ningún administrador, entonces el
administrador no obtendrá la página de inicio de sesión, sino que recibirá la mensaje: "No se puede contactar con el servidor".
Si deja cualquier dirección IPv4 como 0.0.0.0/0, significa que se permitirán conexiones desde cualquier IP de origen.
De forma predeterminada, 0.0.0.0/0 es la configuración para el administrador, aunque es posible que desee cambiar esto.
Tenga en cuenta que cada cuenta puede definir su host de administración o subred de manera diferente. Esto es especialmente útil si usted
están configurando VDOM en FortiGate, donde los administradores de VDOM ni siquiera pueden pertenecer a la misma
organización. Tenga en cuenta cualquier NAT que ocurra entre el dispositivo deseado y FortiGate. Puede evitar fácilmente que un
administrador inicie sesión desde la dirección IP deseada si luego se NAT a otra dirección antes de llegar a FortiGate, anulando
así el propósito de los hosts de confianza.

NO REIMPRIMIR
© FORTINET
También puede personalizar los números de puerto de los protocolos administrativos.
Puede elegir si desea permitir sesiones simultáneas. Puede utilizar sesiones simultáneas para evitar sobrescribir accidentalmente la configuración, si
normalmente mantiene abiertas varias pestañas del navegador o deja abierta accidentalmente una sesión de CLI sin guardar la configuración, luego
inicia una sesión de GUI y edita accidentalmente la misma configuración de manera diferente.
Para una mayor seguridad, use solo protocolos seguros y haga cumplir la complejidad y los cambios de la contraseña.
La configuración del tiempo de espera de inactividad especifica la cantidad de minutos antes de que se agote el tiempo de espera de una sesión de
administrador inactiva (el valor predeterminado es cinco minutos). Un tiempo de espera de inactividad más corto es más seguro, pero aumentar el
temporizador puede ayudar a reducir la posibilidad de que los administradores cierren sesión mientras prueban los cambios.
Puede anular la configuración de tiempo de espera inactivo por perfil de administrador utilizando la configuración Anular tiempo de espera inactivo.
Puede configurar un perfil de administrador para aumentar el tiempo de espera de inactividad y facilitar el uso de la GUI para la supervisión central. La
configuración Override Idle Timeout permite que el valor de admintimeout, bajo config system accprofile, sea anulado por perfil de acceso.
Tenga en cuenta que puede hacer esto perfil por perfil, para evitar que la opción se configure globalmente de forma involuntaria.

NO REIMPRIMIR
© FORTINET
Ha definido la subred de administración, es decir, los hosts de confianza, para cada cuenta de administrador.
¿Cómo se activan o desactivan los protocolos de gestión?
Esto es específico para cada interfaz. Por ejemplo, si sus administradores se conectan a FortiGate solo desde
el puerto 3, debe deshabilitar el acceso administrativo en todos los demás puertos. Esto evita los intentos de
fuerza bruta y también el acceso inseguro. Sus protocolos de gestión son HTTPS, HTTP, PING y SSH. De forma
predeterminada, la opción HTTP y TELNET no está visible en la GUI.
Considere la ubicación de la interfaz en su red. Habilitar PING en una interfaz interna es útil para solucionar
problemas. Sin embargo, si se trata de una interfaz externa (en otras palabras, expuesta a Internet), el protocolo
PING podría exponer a FortiGate a un ataque DoS. Debe deshabilitar los protocolos que no cifran el flujo de datos,
como HTTP y TELNET. Los protocolos IPv4 e IPv6 están separados. Es posible tener direcciones IPv4 e IPv6 en
una interfaz, pero solo responder a pings en IPv6.
La conexión de Security Fabric incluye CAPWAP y FortiTelemetry. Los protocolos como FortiTelemetry no son
para acceso administrativo, pero, como el acceso GUI y CLI, son protocolos en los que los paquetes tienen
FortiGate como IP de destino. Utilice el protocolo FortiTelemetry específicamente para administrar FortiClient y Security Fabric
Utilice el protocolo CAPWAP para FortiAP, FortiSwitch y FortiExtender cuando sean administrados por FortiGate.
Utilice el protocolo FMG-Access específicamente para comunicarse con FortiManager cuando ese servidor
administre varios dispositivos FortiGate. Utilice el protocolo de contabilidad RADIUS cuando FortiGate necesite
escuchar y procesar paquetes de contabilidad RADIUS para la autenticación de inicio de sesión único. FTM, o
FortiToken Mobile push, admite solicitudes de autenticación de segundo factor desde una aplicación móvil FortiToken.
Cuando asigna los roles de interfaz LAN o WAN a las interfaces apropiadas, su FortiGate utiliza el Protocolo de
descubrimiento de capa de enlace (LLDP) para detectar si hay un FortiGate ascendente en su red. Si FortiGate
descubre un FortiGate ascendente, se le solicitará que configure el dispositivo FortiGate ascendente para unirse
a Security Fabric.

NO REIMPRIMIR
© FORTINET
FortiGate tiene cientos de características. Si no los usa todos, ocultar las funciones que no usa hace que sea más fácil concentrarse
en su trabajo.
Ocultar una función en la GUI no la desactiva. Todavía es funcional y todavía se puede configurar mediante la CLI.
Algunas funciones avanzadas o menos utilizadas, como IPv6, están ocultas de forma predeterminada.
Para mostrar funciones ocultas, haga clic en Sistema > Visibilidad de funciones.

NO REIMPRIMIR
© FORTINET
Cuando FortiGate está operando en modo NAT, cada interfaz que maneja el tráfico debe tener una dirección IP. Cuando está en
modo NAT, FortiGate puede usar la dirección IP para generar el tráfico, si necesita iniciar o responder a una sesión, y como
dirección de destino para los dispositivos que intentan contactar a FortiGate o enrutar el tráfico a través de él. Hay varias formas
de obtener una dirección IP:
• Manualmente
• Automáticamente, utilizando DHCP o PPPoE (disponible en la CLI)

NO REIMPRIMIR
© FORTINET
FortiGate puede usar FortiIPAM para asignar automáticamente direcciones IP según el tamaño de red configurado
para la interfaz de FortiGate. FortiIPAM proporciona una solución de administración de direcciones IP en las
instalaciones al integrar recursos de red con FortiGate, y automáticamente asigna subredes a FortiGate para evitar
que las direcciones IP duplicadas se superpongan dentro del mismo Security Fabric. Tenga en cuenta que FortiIPAM es un ser
Hay una excepción al requisito de la dirección IP: el tipo de interfaz One-Arm Sniffer. Esta interfaz es
no se le ha asignado una dirección.
Cuando selecciona One-Arm Sniffer habilitando un sniffer en la CLI, la interfaz no está en línea con el flujo de
tráfico. Más bien, recibe una copia del tráfico de un puerto reflejado en un conmutador. La interfaz opera en modo
promiscuo, escaneando el tráfico que ve, pero no puede hacer cambios porque el switch ya procesó el paquete
original. Como resultado, el modo de rastreador de un solo brazo se usa principalmente en pruebas de concepto
(POC) o en entornos donde los requisitos corporativos establecen que el tráfico no debe cambiarse, solo
registrarse. Una vez que está habilitado, aparece la opción One-Arm Sniffer en la configuración del modo de direccionamiento

NO REIMPRIMIR
© FORTINET
¿Cuántas veces ha visto problemas de red causados por un servidor DHCP (no un cliente) habilitado en la interfaz WAN?
Puede configurar el rol de interfaz. Los roles que se muestran en la GUI son la configuración de interfaz habitual para esa parte de
una topología. Las configuraciones que no se aplican al rol actual están ocultas en la GUI. (Todas las configuraciones están
siempre disponibles en la CLI, independientemente del rol). Esto evita errores de configuración accidentales.
Por ejemplo, cuando la función está configurada como WAN, no hay ninguna configuración de detección de
dispositivo y servidor DHCP disponible. La detección de dispositivos generalmente se usa para detectar dispositivos internamente en su LAN.
Si hay un caso inusual y necesita usar una opción que está oculta por el rol actual, siempre puede cambiar el rol a Indefinido.
Esto muestra todas las opciones.
Para ayudarlo a recordar el uso de cada interfaz, puede darles alias. Por ejemplo, podría llamar a port3 internal_network. Esto puede
ayudar a que su lista de políticas sea más fácil de comprender.

NO REIMPRIMIR
© FORTINET
Antes de integrar FortiGate en su red, debe configurar una puerta de enlace predeterminada.
Si FortiGate obtiene su dirección IP a través de un método dinámico como DHCP o PPPoE, también debería
recuperar la puerta de enlace predeterminada.
De lo contrario, debe configurar una ruta estática. Sin esto, FortiGate no podrá responder a paquetes fuera de las
subredes conectadas directamente a sus propias interfaces. Probablemente tampoco podrá conectarse a FortiGuard
para obtener actualizaciones y es posible que no enrute correctamente el tráfico.
Debe asegurarse de que FortiGate tenga una ruta que coincida con todos los paquetes (el destino es 0.0.0.0/0), conocida
como ruta predeterminada, y los reenvíe a través de la interfaz de red que está conectada a Internet, a la dirección IP del
siguiente enrutador
El enrutamiento completa la configuración de red básica que se requiere antes de poder configurar políticas de firewall.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora tiene los conocimientos necesarios para llevar a cabo algunas tareas administrativas básicas. Ahora,
aprenderá acerca de los servidores incorporados.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en la implementación de los servidores integrados de DHCP y DNS, sabrá cómo
proporcionar estos servicios a través de FortiGate.

NO REIMPRIMIR
© FORTINET
Los clientes inalámbricos no son los únicos que pueden usar FortiGate como su servidor DHCP.
Para una interfaz (como el puerto 3), seleccione la opción Manual, ingrese una IP estática y luego habilite la opción
Servidor DHCP. Aparecen las opciones para el servidor DHCP incorporado, incluidas las funciones de aprovisionamiento,
como las opciones de DHCP y las reglas de asignación de direcciones IP. También puede bloquear direcciones MAC
específicas para que no reciban una dirección IP.
Tenga en cuenta que la captura de pantalla en el medio de la diapositiva muestra que puede crear reglas de asignación de
direcciones IP en la sección Regla de asignación de direcciones IP.

NO REIMPRIMIR
© FORTINET
Para el servidor DHCP incorporado, puede reservar direcciones IP específicas para dispositivos con direcciones MAC específicas.
La acción seleccionada para Direcciones MAC desconocidas define lo que hace el servidor DHCP de FortiGate cuando
recibe una solicitud de una dirección MAC que no figura explícitamente en la lista. La acción predeterminada es Asignar
IP; sin embargo, puede cambiar el tipo de acción predeterminado a Asignar IP o Bloquear.
• Asignar IP: permite que el servidor DHCP asigne desde su conjunto de direcciones a la dirección MAC identificada. Un
dispositivo que recibe una dirección IP siempre recibirá la misma dirección siempre que su arrendamiento no haya
vencido.
• Bloquear: es el equipo con la dirección MAC identificada y la opción Bloquear no recibirá una IP
habla a.
• Reservar IP: le permite vincular una IP específica a una dirección MAC.

NO REIMPRIMIR
© FORTINET
Puede configurar FortiGate para que actúe como su servidor DNS local. Puede habilitar y configurar DNS por separado en cada
interfaz.
Un servidor DNS local puede mejorar el rendimiento de su dispositivo FortiMail u otros dispositivos que utilizan consultas DNS
con frecuencia. Si su dispositivo FortiGate ofrece DHCP a su red local, puede usar DHCP para configurar esos hosts para usar
FortiGate como puerta de enlace y servidor DNS.
FortiGate puede responder consultas de DNS de una de tres maneras:
• Reenviar: transmite todas las consultas a un servidor DNS independiente (que ha configurado en Red > DNS); es decir, actúa
como un relé DNS en lugar de un servidor DNS.
• No recursivo: responde a consultas de elementos en las bases de datos de DNS de FortiGate y no reenvía consultas
irresolubles.
• Recursivo: responde a las consultas de elementos en las bases de datos de DNS de FortiGate y reenvía todas las demás consultas a un
servidor DNS separado para la resolución.
Puede configurar todos los modos en la GUI o CLI.

NO REIMPRIMIR
© FORTINET
Si selecciona Recursivo, FortiGate consulta su propia base de datos antes de reenviar las solicitudes no resueltas a los servidores
DNS externos.
Si selecciona Reenviar a DNS del sistema, puede controlar las consultas de DNS dentro de su propia red, sin tener que ingresar ningún
nombre de DNS en el servidor de DNS de FortiGate.
Si elige que su servidor DNS resuelva las consultas, o elige un DNS dividido, debe configurar una base de datos DNS en su dispositivo
FortiGate.
Esto define los nombres de host para los que FortiGate resuelve las consultas. Tenga en cuenta que FortiGate actualmente solo admite
los tipos de registros DNS que se enumeran en esta diapositiva.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora sabe cómo habilitar los servicios DHCP y DNS en FortiGate, y tiene cierta
comprensión de las posibilidades de configuración. Ahora, aprenderá sobre el concepto VDOM.

NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.
Al demostrar competencia en VDOM, podrá comprender los beneficios clave y los casos de uso de VDOM.

NO REIMPRIMIR
© FORTINET
¿Qué sucede si, más que segmentar su red, desea subdividir políticas y administradores en múltiples dominios
de seguridad?
En ese caso, puede habilitar los VDOM de FortiGate, que dividen su FortiGate en varios dispositivos lógicos.
Cada VDOM tiene políticas de seguridad y tablas de enrutamiento independientes. Además, y por defecto, el
tráfico de un VDOM no puede ir a otro VDOM. Esto significa que dos interfaces en diferentes VDOM pueden
compartir la misma dirección IP, sin problemas de superposición de subredes.
Cuando utiliza VDOM, un solo dispositivo FortiGate se convierte en un centro de datos virtual de seguridad de
red, inspección UTM y dispositivos de comunicación seguros.

NO REIMPRIMIR
© FORTINET
Hay algunas maneras de organizar sus VDOM. En la topología que se muestra en esta diapositiva, cada red accede a
Internet a través de su propio VDOM.
Tenga en cuenta que no hay enlaces entre VDOM. Por lo tanto, el tráfico entre VDOM no es posible a menos que salga físicamente
FortiGate, hacia Internet, y se desvía de regreso. Esta topología sería la más adecuada en un escenario donde
varios clientes comparten un solo FortiGate, cada uno en su propio VDOM, con ISP separados físicamente.

NO REIMPRIMIR
© FORTINET
En la topología de ejemplo que se muestra en esta diapositiva, el tráfico fluye de nuevo a través de una única canalización en To_Internet
VDOM hacia Internet. El tráfico entre VDOM no necesita salir de FortiGate.
Sin embargo, ahora el tráfico entre VDOM no necesita fluir a través de To_Internet VDOM. Los enlaces inter-VDOM entre VDOM
permiten una comunicación más directa.
De manera similar a la topología del ejemplo anterior, la inspección se puede realizar mediante To_Internet o el VDOM de origen,
según sus requisitos.
Debido a la cantidad de enlaces entre VDOM, el ejemplo que se muestra en esta diapositiva es el más complejo y requiere la mayor
cantidad de rutas y políticas de firewall. La solución de problemas de VDOM en malla también puede llevar más tiempo.
Sin embargo, los VDOM en malla también brindan la mayor flexibilidad. Para grandes empresas, es posible que se requiera comunicación
entre VDOM. Además, el rendimiento del tráfico entre VDOM puede ser mejor debido a una ruta de procesamiento más corta,
que pasa por alto los VDOM intermedios.

NO REIMPRIMIR
© FORTINET
Hasta ahora, ha aprendido sobre el tráfico que pasa a través de FortiGate, de un VDOM a otro. ¿Qué pasa con el
tráfico que se origina en FortiGate?
Algunos demonios del sistema, como las actualizaciones de NTP y FortiGuard, generan tráfico proveniente de
FortiGate. A uno, y solo uno, de los VDOM en un dispositivo FortiGate se le asigna la función de VDOM de
administración. El tráfico proveniente de FortiGate a esos servicios globales se origina desde el VDOM de
administración. De manera predeterminada, el VDOM raíz actúa como el VDOM de administración, pero puede
reasignar manualmente esta tarea a un VDOM diferente en modo multivdom.
Similar a FortiGate sin VDOM habilitado, el VDOM administrativo debe tener acceso a Internet saliente.
De lo contrario, fallarán funciones como las actualizaciones programadas de FortiGuard.
Es importante tener en cuenta que la designación de VDOM de administración es únicamente para el tráfico
originado por FortiGate, como las actualizaciones de FortiGuard, y no tiene efecto en el tráfico que pasa por FortiGate.
Como tal, la función de gestión puede ser realizada por cualquier VDOM designado.

NO REIMPRIMIR
© FORTINET

Ns4 Security 1-50

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ns4 Security 1-50

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

Machine Translated by Google

Varias correcciones de formato Guía completa

l Diapositivas eliminadas: métodos de administración, comandos CLI básicos, dos factores

l Diapositivas añadidas: relacionadas con VDOM

Comando CLI actualizado update-ffdb Lección 3: Diapositiva 15

Ejemplo de diapositiva de políticas de mezcla actualizada Lección 5: Diapositiva 37

Notas fijas Lección 10: Diapositiva 14

Notas fijas Lección 11: Diapositiva 8

Recorte el contenido de SSL VPN y agregue la sección ZTNA Lección 12

Guía de estudio de FortiGate Security 7.0 4

Guía de estudio de FortiGate Security 7.0 5

En esta lección, explorará los temas que se muestran en esta diapositiva.

Guía de estudio de FortiGate Security 7.0 6

Al demostrar competencia en la identificación de las características de diseño de la plataforma de FortiGate, las

Guía de estudio de FortiGate Security 7.0 7

Guía de estudio de FortiGate Security 7.0 8

Guía de estudio de FortiGate Security 7.0 9

Guía de estudio de FortiGate Security 7.0 10

Guía de estudio de FortiGate Security 7.0 11

Los procesadores CP también aceleran tareas intensivas basadas en proxy:

Guía de estudio de FortiGate Security 7.0 12

Guía de estudio de FortiGate Security 7.0 13

Guía de estudio de FortiGate Security 7.0 14

Al demostrar competencia en la configuración de FortiGate, podrá usar el dispositivo de manera efectiva en su

Guía de estudio de FortiGate Security 7.0 15

¿Qué pasa con la arquitectura de la red? ¿Dónde encaja FortiGate?

Guía de estudio de FortiGate Security 7.0 dieciséis

Ahora verás cómo configuras FortiGate.

Guía de estudio de FortiGate Security 7.0 17

• Solicitud periódica de paquetes que contengan un nuevo motor y firmas

Guía de estudio de FortiGate Security 7.0 18

FortiGate aborta la conexión al servidor FortiGuard si:

Guía de estudio de FortiGate Security 7.0 19

Guía de estudio de FortiGate Security 7.0 20

Guía de estudio de FortiGate Security 7.0 21

Guía de estudio de FortiGate Security 7.0 22

Otras opciones que no se muestran aquí incluyen:

Para restringir el acceso a funciones específicas, puede asignar permisos.

Guía de estudio de FortiGate Security 7.0 23

Guía de estudio de FortiGate Security 7.0 24

¿Cuáles son los efectos de los perfiles de administrador?

En realidad, es más que solo acceso de lectura o escritura.

Guía de estudio de FortiGate Security 7.0 25

Guía de estudio de FortiGate Security 7.0 26

¿Qué sucede si olvida la contraseña de su cuenta de administrador o un empleado malintencionado la cambia?

Guía de estudio de FortiGate Security 7.0 27

Guía de estudio de FortiGate Security 7.0 28

También puede personalizar los números de puerto de los protocolos administrativos.

Guía de estudio de FortiGate Security 7.0 29

Guía de estudio de FortiGate Security 7.0 30

Guía de estudio de FortiGate Security 7.0 31

Guía de estudio de FortiGate Security 7.0 32

Guía de estudio de FortiGate Security 7.0 33

Guía de estudio de FortiGate Security 7.0 34

Guía de estudio de FortiGate Security 7.0 35

Guía de estudio de FortiGate Security 7.0 36

Guía de estudio de FortiGate Security 7.0 37

Guía de estudio de FortiGate Security 7.0 38

Guía de estudio de FortiGate Security 7.0 39

Guía de estudio de FortiGate Security 7.0 40

FortiGate puede responder consultas de DNS de una de tres maneras:

Puede configurar todos los modos en la GUI o CLI.

Guía de estudio de FortiGate Security 7.0 41