NSE 4 - Fortigate

● Lesson 01: Introdução e configuração inicial

4-

In the past, the common way of protecting a network was securing the perimeter and installing a
firewall at the entry point. Network administrators used to trust everything and everyone inside the
perimeter.
Now, malware can easily bypass any entry-point firewall and get inside the network. This could
happen through an infected USB stick, or an employee’s compromised personal device being
connected to the corporate network. Additionally, because attacks can come from inside the network,
network administrators can no longer inherently trust internal users and devices.
What’s more, today’s networks are highly complex environments whose borders are constantly
changing. Networks run vertically from the LAN to the Internet, and horizontally from the physical
network to a private virtual network and to the cloud. A mobile and diverse workforce (employees,
partners, and customers) accessing network resources, public and private clouds, the Internet of
Things (IoT), and bring-your-own- device programs all conspire to increase the number of attack
vectors against your network.
In response to this highly complex environment, firewalls have become robust multi-functional devices
that counter an array of threats to your network. Thus, FortiGate can act in different modes or roles to
address different requirements. For example, FortiGate can be deployed as a data center firewall
whose function is to monitor inbound requests to servers and to protect them without increasing
latency for the requester. Or, FortiGate can be deployed as an internal segmentation firewall as a
means to contain a network breach.
FortiGate can also function as DNS and DHCP servers, and be configured to provide web filter, anti-
virus, and IPS services.

No passado, a maneira comum de proteger uma rede era proteger o perímetro e instalar um firewall
no ponto de entrada. Os administradores de rede costumavam confiar em tudo e em todos dentro do
perímetro.
Agora, o malware pode facilmente contornar qualquer firewall de ponto de entrada e entrar na rede.
Isso pode acontecer por meio de um stick USB infectado ou do dispositivo pessoal comprometido de
um funcionário conectado à rede corporativa. Além disso, como os ataques podem vir de dentro da
rede, os administradores de rede não podem mais confiar em usuários e dispositivos internos
inerentemente.
Além disso, as redes de hoje são ambientes altamente complexos cujas fronteiras estão em
constante mudança. As redes são executadas verticalmente da LAN para a Internet e
horizontalmente da rede física para uma rede virtual privada e para a nuvem. Uma força de trabalho
móvel e diversificada (funcionários, parceiros e clientes) acessando recursos de rede, nuvens
públicas e privadas, a Internet das Coisas (IoT) e programas traga seu próprio dispositivo conspiram
para aumentar o número de vetores de ataque contra seu rede.
Em resposta a esse ambiente altamente complexo, os firewalls se tornaram dispositivos
multifuncionais robustos que combatem uma série de ameaças à sua rede. Assim, o FortiGate pode
atuar em diferentes modos ou funções para atender a diferentes requisitos. Por exemplo, o FortiGate
pode ser implantado como um firewall de data center cuja função é monitorar as solicitações de
entrada para os servidores e protegê-los sem aumentar a latência para o solicitante. Ou o FortiGate
pode ser implantado como um firewall de segmentação interna como meio de conter uma violação de
rede.
O FortiGate também pode funcionar como servidores DNS e DHCP e ser configurado para fornecer
filtro da web, antivírus e serviços IPS.

5-

In the architecture diagram shown on this slide, you can see how FortiGate platforms add strength,
without compromising flexibility. Like separate, dedicated security devices, FortiGate is still internally
modular. Plus:
⦁ Devices add duplication. Sometimes, dedication doesn’t mean efficiency. If it’s overloaded, can one
device borrow free RAM from nine others? Do you want to configure policies, logging, and routing on 10
separate devices? Does 10 times the duplication bring you 10 times the benefit, or is it a hassle? For smaller
to midsize businesses or enterprise branch offices, unified threat management (UTM) is often a superior
solution, compared to separate dedicated appliances.
⦁ FortiGate hardware isn’t just off-the-shelf. It’s carrier-grade. Most FortiGate models have one or more
specialized circuits, called ASICs, that are engineered by Fortinet. For example, a CP or NP chip handles
cryptography and packet forwarding more efficiently. Compared to a single-purpose device with only a
CPU, FortiGate can have dramatically better performance. This is especially critical for data centers and
carriers where throughput is business critical.
(The exception? Virtualization platforms—VMware, Citrix Xen, Microsoft, or Oracle Virtual Box—have
general-purpose vCPUs. But, virtualization might be worthwhile because of other benefits, such as
distributed computing and cloud-based security.)
⦁ FortiGate is flexible. If all you need is fast firewalling and antivirus, FortiGate won’t require you to
waste CPU, RAM, and electricity on other features. In each firewall policy, UTM and next-generation
firewall modules can be enabled or disabled. Also, you won’t pay more to add VPN seat licenses later.
⦁ FortiGate cooperates. A preference for open standards instead of proprietary protocols means less
vendor lock-in and more choice for system integrators. And, as your network grows, FortiGate can
leverage other Fortinet products such as FortiSandbox and FortiWeb to distribute processing for deeper
security and optimal performance—a total Security Fabric approach.

No diagrama da arquitetura mostrado neste slide, você pode ver como as plataformas FortiGate
agregam força, sem comprometer a flexibilidade. Como dispositivos de segurança separados e
dedicados, o FortiGate ainda é modular internamente. Mais:
⦁ Dispositivos adicionam duplicação. Às vezes, dedicação não significa eficiência. Se estiver sobrecarregado,
um dispositivo pode emprestar RAM livre de outros nove? Você deseja configurar políticas, registro e
roteamento em 10 dispositivos separados? A duplicação de 10 vezes traz 10 vezes mais benefícios ou é um
incômodo? Para empresas de pequeno a médio porte ou escritórios de filiais, o gerenciamento unificado de
ameaças (UTM) costuma ser uma solução superior, em comparação com dispositivos dedicados separados.
⦁ O hardware FortiGate não é apenas comercial. É uma categoria de operadora. A maioria dos modelos
FortiGate tem um ou mais circuitos especializados, chamados ASICs, que são projetados pela Fortinet. Por
exemplo, um chip CP ou NP lida com criptografia e encaminhamento de pacotes com mais eficiência.
Comparado a um dispositivo de finalidade única com apenas uma CPU, o FortiGate pode ter um
desempenho dramaticamente melhor. Isso é especialmente crítico para data centers e operadoras onde o
rendimento é crítico para os negócios.
(A exceção? As plataformas de virtualização - VMware, Citrix Xen, Microsoft ou Oracle Virtual Box -
têm vCPUs de uso geral. Mas a virtualização pode valer a pena por causa de outros benefícios,
como computação distribuída e segurança baseada em nuvem.)
⦁ O FortiGate é flexível. Se tudo o que você precisa é um firewall e antivírus rápidos, o FortiGate não
exigirá que você desperdice CPU, RAM e eletricidade em outros recursos. Em cada política de firewall,
UTM e módulos de firewall de próxima geração podem ser ativados ou desativados. Além disso, você não
pagará mais para adicionar licenças de assento VPN mais tarde.
⦁ FortiGate coopera. A preferência por padrões abertos em vez de protocolos proprietários significa menos
dependência do fornecedor e mais opções para integradores de sistema. E, à medida que sua rede cresce, o
FortiGate pode aproveitar outros produtos Fortinet, como FortiSandbox e FortiWeb, para distribuir o
processamento para maior segurança e desempenho ideal - uma abordagem total do Security Fabric.

6-
FortiGate virtual machines (VMs) have the same features as physical FortiGates, except for hardware
acceleration. Why? First, the hardware abstraction layer software for hypervisors is made by VMware,
Xen, and other hypervisor manufacturers, not by Fortinet. Those other manufacturers don’t make
Fortinet’s proprietary SPU chips. But there is another reason, too. The purpose of generic virtual
CPUs and other virtual chips for hypervisors is to abstract the hardware details. That way, all VM
guest OSs can run on a common platform, no matter the different hardware on which the hypervisors
are installed. Unlike vCPUs or vGPUs that use generic, non-optimal RAM and vCPUs for abstraction,
SPU chips are specialized optimized circuits.
Therefore, a virtualized ASIC chip would not have the same performance benefits as a physical SPU
chip.
If performance on equivalent hardware is less, you may wonder, why would anyone use a FortiGate
VM? In large-scale networks that change rapidly and may have many tenants, equivalent processing
power and distribution may be achievable using larger amounts of cheaper, general purpose
hardware. Also, trading some performance for other benefits may be worth it. You can benefit from
faster network and appliance deployment and teardown.
FortiGate VMX and the FortiGate Connector for Cisco ACI are specialized versions of FortiOS and an
API that allows you to orchestrate rapid network changes through standards, such as OpenStack for
software-defined networking (SDN).
⦁ FortiGate VM is deployed as a guest VM on the hypervisor.
⦁ FortiGate VMX is deployed inside a hypervisor’s virtual networks, between guest VMs.
⦁ FortiGate Connector for Cisco ACI allows ACI to deploy physical or virtual FortiGate VMs for north-
south traffic.

As máquinas virtuais (VMs) FortiGate possuem os mesmos recursos que os FortiGates físicos,
exceto pela aceleração de hardware. Por quê? Primeiro, o software da camada de abstração de
hardware para hipervisores é feito pela VMware, Xen e outros fabricantes de hipervisores, não pela
Fortinet. Esses outros fabricantes não fabricam os chips SPU de propriedade da Fortinet. Mas
também há outro motivo. O objetivo das CPUs virtuais genéricas e outros chips virtuais para
hipervisores é abstrair os detalhes do hardware. Dessa forma, todos os SOs convidados da VM
podem ser executados em uma plataforma comum, independentemente do hardware diferente no
qual os hipervisores estão instalados. Ao contrário das vCPUs ou vGPUs que usam RAM e vCPUs
genéricas e não ideais para abstração, os chips SPU são circuitos otimizados especializados.
Portanto, um chip ASIC virtualizado não teria os mesmos benefícios de desempenho de um chip SPU
físico.
Se o desempenho em hardware equivalente for menor, você pode se perguntar, por que alguém
usaria uma VM FortiGate? Em redes de grande escala que mudam rapidamente e podem ter muitos
inquilinos, poder de processamento e distribuição equivalentes podem ser alcançados usando uma
quantidade maior de hardware de uso geral mais barato. Além disso, pode valer a pena trocar algum
desempenho por outros benefícios. Você pode se beneficiar de uma implantação e desmontagem
mais rápida de redes e dispositivos.
O FortiGate VMX e o FortiGate Connector for Cisco ACI são versões especializadas do FortiOS e
uma API que permite orquestrar mudanças rápidas de rede por meio de padrões, como OpenStack
para rede definida por software (SDN).
⦁ O FortiGate VM é implantado como um convidado VM no hipervisor.
⦁ FortiGate VMX é implantado dentro de redes virtuais de um hipervisor, entre VMs convidadas.
⦁ O Conector FortiGate para Cisco ACI permite que a ACI implante VMs FortiGate físicas ou virtuais para
tráfego norte-sul.

7-

All Fortinet hardware acceleration hardware has been renamed security processing units (SPUs). This
includes NPx and CPx processors.
Most FortiGate models have specialized acceleration hardware, called SPUs that can offload
resource intensive processing from main processing (CPU) resources. Most FortiGate devices include
specialized content processors (CPs) that accelerate a wide range of important security processes
such as virus scanning, attack detection, encryption and decryption. (Only selected entry-level
FortiGate models do not include a CP processor.) Many FortiGate models also contain security
processors (SPs) that accelerate processing for specific security features such as IPS and network
processors (NPs) that offload processing of high volume network traffic.
SPU and nTurbo data is now visible in a number of places on the GUI. For example, the Active
Sessions column pop-up in the firewall policy list and the Sessions dashboard widget. Per-session
accounting is a logging feature that allows the FortiGate to report the correct bytes/pkt numbers per
session for sessions offloaded to an NP7, NP6 or NP6lite processor.
The following example shows the Sessions dashboard widget tracking SPU and nTurbo sessions.
Current sessions shows the total number of sessions, SPU shows the percentage of these sessions
that are SPU sessions and Nturbo shows the percentage that are nTurbo sessions.
NTurbo offloads firewall sessions that include flow-based security profiles to NP6 or NP7 network
processors. Without NTurbo, or with NTurbo disabled, all firewall sessions that include flow-based
security profiles are processed by the FortiGate CPU.
Todo o hardware de aceleração de hardware Fortinet foi renomeado para unidades de
processamento de segurança (SPUs). Isso inclui processadores NPx e CPx.
A maioria dos modelos FortiGate tem hardware de aceleração especializado, chamado SPUs, que
pode descarregar o processamento intensivo de recursos dos recursos de processamento principal
(CPU). A maioria dos dispositivos FortiGate incluem processadores de conteúdo (CPs)
especializados que aceleram uma ampla gama de processos de segurança importantes, como
varredura de vírus, detecção de ataques, criptografia e descriptografia. (Apenas os modelos
FortiGate de nível básico selecionados não incluem um processador CP.) Muitos modelos FortiGate
também contêm processadores de segurança (SPs) que aceleram o processamento de recursos de
segurança específicos, como IPS e processadores de rede (NPs) que descarregam o processamento
de tráfego de rede de alto volume .
Os dados SPU e nTurbo agora estão visíveis em vários locais na GUI. Por exemplo, a coluna
Sessões ativas pop-up na lista de políticas de firewall e o widget do painel Sessões. A contabilidade
por sessão é um recurso de registro que permite ao FortiGate relatar os números corretos de bytes /
pkt por sessão para sessões transferidas para um processador NP7, NP6 ou NP6lite.
O exemplo a seguir mostra o widget do painel Sessões rastreando sessões SPU e nTurbo. Sessões
atuais mostra o número total de sessões, SPU mostra a porcentagem dessas sessões que são
sessões SPU e Nturbo mostra a porcentagem que são sessões nTurbo.
NTurbo descarrega sessões de firewall que incluem perfis de segurança baseados em fluxo para
processadores de rede NP6 ou NP7. Sem o NTurbo ou com o NTurbo desabilitado, todas as sessões
de firewall que incluem perfis de segurança baseados em fluxo são processadas pela CPU FortiGate.

8-

Fortinet’s content processor (CP9) works outside of the direct flow of traffic, providing high-speed
cryptography and content inspection services. This frees businesses to deploy advanced security
whenever it is needed without impacting network functionality. CP8 and CP9 provide a fast path for
traffic inspected by IPS, including sessions with flow-based inspection.
CP processors also accelerate intensive proxy-based tasks:
⦁ Encryption and decryption (SSL)
⦁ Antivirus
FortiGate security processing (SP) modules, such as the SP3 but also including the XLP, XG2, XE2,
FE8, and CE4, work at both the interface and system level to increase overall system performance by
accelerating specialized security processing. You can configure the SP to favor IPS over firewall
processing in hostile high- traffic environments.
FortiSPU network processors work at the interface level to accelerate traffic by offloading traffic from
the main CPU. Models which support FortiOS 6.4 contain NP6, NP6lite, and NP7 network processors.
Fortinet integrates content and network processors along with RISC-based CPU into a single
processor known as SoC4 for entry-level FortiGate security appliances used for distributed
enterprises. This simplifies appliance design and enables breakthrough performance without
compromising on security.

O processador de conteúdo da Fortinet (CP9) funciona fora do fluxo direto de tráfego, fornecendo
criptografia de alta velocidade e serviços de inspeção de conteúdo. Isso libera as empresas para
implementar segurança avançada sempre que necessário, sem afetar a funcionalidade da rede. CP8
e CP9 fornecem um caminho rápido para tráfego inspecionado por IPS, incluindo sessões com
inspeção baseada em fluxo.
Os processadores CP também aceleram tarefas intensivas baseadas em proxy:
⦁ Criptografia e descriptografia (SSL)
⦁ Antivírus
Os módulos de processamento de segurança (SP) FortiGate, como o SP3, mas também incluindo o
XLP, XG2, XE2, FE8 e CE4, funcionam tanto na interface quanto no nível do sistema para aumentar
o desempenho geral do sistema, acelerando o processamento de segurança especializado. Você
pode configurar o SP para favorecer o IPS sobre o processamento do firewall em ambientes hostis
de alto tráfego.
Os processadores de rede FortiSPU funcionam no nível da interface para acelerar o tráfego,
descarregando o tráfego da CPU principal. Os modelos que suportam FortiOS 6.4 contêm
processadores de rede NP6, NP6lite e NP7.
Fortinet integra conteúdo e processadores de rede junto com CPU baseada em RISC em um único
processador conhecido como SoC4 para dispositivos de segurança FortiGate básicos usados para
empresas distribuídas. Isso simplifica o design do dispositivo e permite um desempenho inovador
sem comprometer a segurança.

9- Qual é uma descrição mais precisa de um firewall moderno? Um dispositivo multifuncional que
inspeciona o tráfego de rede do perímetro ou internamente, dentro de uma rede que tem muitos
pontos de entrada diferentes
10- Qual solução, específica da Fortinet, melhora o desempenho e reduz a latência para recursos e
tráfego específicos? Hardware de aceleração, chamado SPUs

13-
What about the network architecture? Where does FortiGate fit in?
When you deploy FortiGate, you can choose between two operating modes: NAT mode or
transparent mode.
⦁ In NAT mode, FortiGate routes packets based on Layer 3, like a router. Each of its logical network
interfaces has an IP address and FortiGate determines the outgoing or egress interface based on the
destination IP address and entries in its routing tables.
⦁ In transparent mode, FortiGate forwards packets at Layer 2, like a switch. Its interfaces have no IP
addresses and FortiGate determines the outgoing or egress interface based on the destination MAC address.
The device in transparent mode has an IP address used for management traffic.
Interfaces can be exceptions to the router versus switch operation mode, on an individual basis.
When virtual domains (VDOMs) are enabled on FortiGate, each VDOM can be configured for NAT
mode or transparent mode, regardless of the operation mode of other VDOMs on FortiGate. By
default, VDOMs are disabled on the FortiGate device, but there is still one VDOM active: the root
VDOM. It is always there in the background. When VDOMs are disabled, the NAT mode or
transparent mode relates to the root VDOM.
VDOMs are a method of dividing a FortiGate device into two or more virtual devices that function as
multiple independent devices. VDOMs can provide separate firewall policies and, in NAT mode,
completely separate configurations for routing and VPN services for each connected network or
organization. In transparent mode, VDOM applies security scanning to traffic and is installed between
the internal network and the external network.
By default, a VDOM is in NAT mode when it is created. You can switch it to transparent mode, if
required.

E quanto à arquitetura de rede? Onde o FortiGate se encaixa?

Ao implantar o FortiGate, você pode escolher entre dois modos de operação: modo NAT ou modo
transparente.
⦁ No modo NAT, o FortiGate roteia pacotes com base na Camada 3, como um roteador. Cada uma de suas
interfaces de rede lógicas tem um endereço IP e o FortiGate determina a interface de saída ou saída com
base no endereço IP de destino e nas entradas em suas tabelas de roteamento.
⦁ No modo transparente, o FortiGate encaminha pacotes na Camada 2, como um switch. Suas interfaces
não possuem endereços IP e o FortiGate determina a interface de saída ou saída com base no endereço
MAC de destino. O dispositivo no modo transparente possui um endereço IP usado para gerenciamento de
tráfego.
As interfaces podem ser exceções ao modo de operação do roteador versus switch, de forma
individual.
Quando os domínios virtuais (VDOMs) são habilitados no FortiGate, cada VDOM pode ser
configurado para o modo NAT ou modo transparente, independente do modo de operação dos outros
VDOMs no FortiGate. Por padrão, os VDOMs estão desabilitados no dispositivo FortiGate, mas ainda
há um VDOM ativo: o VDOM raiz. Está sempre lá em segundo plano. Quando os VDOMs são
desabilitados, o modo NAT ou modo transparente está relacionado ao VDOM raiz.
VDOMs são um método de dividir um dispositivo FortiGate em dois ou mais dispositivos virtuais que
funcionam como vários dispositivos independentes. Os VDOMs podem fornecer políticas de firewall
separadas e, no modo NAT, configurações completamente separadas para roteamento e serviços
VPN para cada rede ou organização conectada. No modo transparente, o VDOM aplica a varredura
de segurança ao tráfego e é instalado entre a rede interna e a externa.
Por padrão, um VDOM está no modo NAT quando é criado. Você pode alternar para o modo
transparente, se necessário.

14-

Network address translation (NAT) mode is the default operation mode. What are the other factory
default settings? After you’ve removed FortiGate from its box, what do you do next?
Now you’ll take a look at how you set up FortiGate.
Attach your computer’s network cable to port1 or the internal switch ports (entry-level model). For
high-end and mid-range models, connect to the MGMT interface. In most entry models, there is a
DHCP server on that interface, so, if your computer’s network settings have DHCP enabled, your
computer should automatically get an IP, and you can begin setup.
To access the GUI on FortiGate or FortiWifi, open a web browser and go to http://192.168.1.99.
The default login information is public knowledge. Never leave the default password blank. Your
network is only as secure as your FortiGate’s admin account. Once you logged in with default login
details, you'll see a message to change default blank password for admin user. Before you connect
FortiGate to your network, you should set a complex password.
All FortiGate models have a console port and/or USB management port. The port provides CLI
access without a network. The CLI can be accessed by the CLI console widget on the GUI or from a
terminal emulator, such as PuTTY or Tera Term.
O modo de conversão de endereço de rede (NAT) é o modo de operação padrão. Quais são as
outras configurações padrão de fábrica? Depois de remover o FortiGate de sua caixa, o que você faz
a seguir?
Agora você vai dar uma olhada em como configurar o FortiGate.
Conecte o cabo de rede do seu computador à porta 1 ou às portas do switch interno (modelo básico).
Para modelos de gama alta e média, conecte-se à interface MGMT. Na maioria dos modelos básicos,
há um servidor DHCP nessa interface, então, se as configurações de rede do seu computador
estiverem com DHCP habilitado, seu computador deve obter automaticamente um IP e você pode
começar a configuração.
Para acessar a GUI no FortiGate ou FortiWifi, abra um navegador da web e vá para
http://192.168.1.99.
As informações de login padrão são de conhecimento público. Nunca deixe a senha padrão em
branco. Sua rede é tão segura quanto sua conta de administrador do FortiGate. Depois de fazer login
com os detalhes de login padrão, você verá uma mensagem para alterar a senha em branco padrão
do usuário administrador. Antes de conectar o FortiGate à sua rede, você deve definir uma senha
complexa.
Todos os modelos FortiGate possuem uma porta de console e / ou porta de gerenciamento USB. A
porta fornece acesso CLI sem uma rede. A CLI pode ser acessada pelo widget do console CLI na
GUI ou a partir de um emulador de terminal, como PuTTY ou Tera Term.

15-

Some FortiGate services connect to other servers, such as FortiGuard, in order to work. FortiGuard
Subscription Services provide FortiGate with up-to-date threat intelligence. FortiGate uses FortiGuard
by:
⦁ Periodically requesting packages that contain a new engine and signatures
⦁ Querying the FDN on an individual URL or host name
By default, the FortiGuard server location is set to any where FortiGate will select a server based on
server load from any part of the world. However, you have an option to change the FortiGuard server
location to USA. In this case, FortiGate will select a USA based FortiGuard server.
Queries are real-time; that is, FortiGate asks the FDN every time it scans for spam or filtered
websites. FortiGate queries, instead of downloading the database, because of the size and frequency
of changes that occur to the database. Also, you can select queries to use UDP or HTTPs for
transport; the protocols are not designed for fault tolerance, but for speed. So, queries require that
your FortiGate has a reliable Internet connection.
Packages, like antivirus and IPS, are smaller and don't change as frequently, so they are downloaded
(in many cases) only once a day. They are downloaded, using TCP for reliable transport. After the
database is downloaded, their associated FortiGate features continue to function, even if FortiGate
does not have reliable Internet connectivity. However, you should still try to avoid interruptions during
downloads—if your FortiGate must try repeatedly to download updates, it can’t detect new threats
during that time.

Alguns serviços FortiGate se conectam a outros servidores, como o FortiGuard, para funcionar. Os
serviços de assinatura do FortiGuard fornecem ao FortiGate informações atualizadas sobre ameaças.
FortiGate usa FortiGuard por:
⦁ Solicitar pacotes periodicamente que contenham um novo motor e assinaturas
⦁ Consulta ao FDN em um URL individual ou nome de host
Por padrão, a localização do servidor FortiGuard é configurada para qualquer lugar onde o FortiGate
irá selecionar um servidor com base na carga do servidor de qualquer parte do mundo. No entanto,
você tem a opção de alterar a localização do servidor FortiGuard para os EUA. Neste caso, FortiGate
irá selecionar um servidor FortiGuard baseado nos EUA.
As consultas são em tempo real; ou seja, o FortiGate pergunta ao FDN toda vez que verifica se há
spam ou sites filtrados. FortiGate consulta, em vez de baixar o banco de dados, por causa do
tamanho e frequência das alterações que ocorrem no banco de dados. Além disso, você pode
selecionar consultas para usar UDP ou HTTPs para transporte; os protocolos não são projetados
para tolerância a falhas, mas para velocidade. Portanto, as consultas exigem que o seu FortiGate
tenha uma conexão de Internet confiável.
Pacotes, como antivírus e IPS, são menores e não mudam com tanta frequência, portanto, são
baixados (em muitos casos) apenas uma vez por dia. Eles são baixados, usando TCP para
transporte confiável. Após o download do banco de dados, seus recursos FortiGate associados
continuam a funcionar, mesmo se o FortiGate não tiver conectividade confiável com a Internet. No
entanto, você ainda deve tentar evitar interrupções durante os downloads - se o FortiGate tiver que
tentar fazer download das atualizações repetidamente, ele não poderá detectar novas ameaças
durante esse tempo.

16-

In FortiOS 6.4, third party SSL certificate verification and OCSP stapling check has been implemented
for all FortiGuard servers. By default, the FortiGuard access mode is anycast on the FortiGate to
optimize the routing performance to the FortiGuard servers. The FortiGuard server has one IP
address to match its domain name. FortiGate connects with a single server address, regardless of
where the FortiGate is located.
The domain name of each FortiGuard service is the common name in that service's certificate. The
certificate is signed by a third party intermediate CA. The FortiGuard server uses the Online
Certificate Status Protocol (OCSP) stapling technique, so that FortiGate can always validate the
FortiGuard server certificate efficiently. FortiGate will only complete the TLS handshake with a
FortiGuard that provides a good OCSP status for its certificate, any other status will result in a failed
SSL connection.
The FortiGuard servers query the CA's OCSP responder every four hours and update its OCSP
status. If the FortiGuard is unable to reach the OCSP responder, it will keep the last known OCSP
status for seven days.
FortiGate aborts connection to the FortiGuard server if:
⦁ The CN in the server's certificate does not match the domain name resolved from the DNS.
⦁ The OCSP status is not good.
⦁ The issuer-CA is revoked by the root-CA.
The FortiGuard access mode anycast setting, force the rating process to use protocol HTTPS, and
port 443. The table in a slide, shows a list of some the FortiGuard servers and their domain name and
IP address.

No FortiOS 6.4, verificação de certificado SSL de terceiros e verificação de grampeamento OCSP

foram implementadas para todos os servidores FortiGuard. Por padrão, o modo de acesso
FortiGuard é anycast no FortiGate para otimizar o desempenho de roteamento para os servidores
FortiGuard. O servidor FortiGuard possui um endereço IP para corresponder ao seu nome de
domínio. O FortiGate se conecta com um único endereço de servidor, independentemente de onde o
FortiGate está localizado.
O nome de domínio de cada serviço FortiGuard é o nome comum no certificado daquele serviço. O
certificado é assinado por um terceiro CA intermediário. O servidor FortiGuard usa a técnica de
grampeamento do Protocolo de Status do Certificado Online (OCSP), para que o FortiGate possa
sempre validar o certificado do servidor FortiGuard de forma eficiente. O FortiGate somente
completará o handshake TLS com um FortiGuard que forneça um bom status OCSP para seu
certificado; qualquer outro status resultará em uma conexão SSL falha.
Os servidores FortiGuard consultam o respondente OCSP da CA a cada quatro horas e atualizam
seu status OCSP. Se o FortiGuard não conseguir alcançar o respondente OCSP, ele manterá o
último status OCSP conhecido por sete dias.
O FortiGate aborta a conexão com o servidor FortiGuard se:
⦁ O CN no certificado do servidor não corresponde ao nome de domínio resolvido do DNS.
⦁ O status do OCSP não é bom.
⦁ O CA do emissor é revogado pelo CA raiz.
A configuração anycast do modo de acesso FortiGuard força o processo de classificação a usar o
protocolo HTTPS e a porta 443. A tabela em um slide mostra uma lista de alguns servidores
FortiGuard e seus nomes de domínio e endereço IP.

17-Qual protocolo o FortiGate usa para baixar pacotes de antivírus e IPS? TCP
18- Como o FortiGate verifica o conteúdo em busca de spam ou sites maliciosos? Consultas ao vivo
para FortiGuard por UDP ou HTTPS

21-
Most features are available on both the GUI and CLI, but there are a few exceptions. Reports cannot
be viewed on the CLI. Also, advanced settings and diagnostic commands for super users are usually
not available on the GUI.
As you become more familiar with FortiGate, and especially if you want to script its configuration, you
may want to use the CLI in addition to the GUI. You can access the CLI through either the JavaScript
widget in the GUI named CLI Console, or through a terminal emulator such as Tera Term
(http://ttssh2.sourceforge.jp/index.html.en) or PuTTY
(http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html). Your terminal emulator can
connect through the network—SSH or telnet—or the local console port.
SNMP and some other administrative protocols are also supported, but they are read-only. They can’t
be used for basic setup.

A maioria dos recursos está disponível na GUI e na CLI, mas há algumas exceções. Os relatórios
não podem ser visualizados no CLI. Além disso, configurações avançadas e comandos de
diagnóstico para superusuários geralmente não estão disponíveis na GUI.
À medida que você se familiariza com o FortiGate e, especialmente, se deseja fazer o script de sua
configuração, pode querer usar a CLI além da GUI. Você pode acessar a CLI por meio do widget
JavaScript na GUI denominado CLI Console ou por meio de um emulador de terminal como Tera
Term (http://ttssh2.sourceforge.jp/index.html.en) ou PuTTY (http: //
www.chiark.greenend.org.uk/~sgtatham/putty/download.html). Seu emulador de terminal pode se
conectar por meio da rede - SSH ou telnet - ou da porta de console local.
SNMP e alguns outros protocolos administrativos também são suportados, mas são somente leitura.
Eles não podem ser usados para configuração básica.

22-
This slide shows some basic CLI commands that you can use to list commands under a command
set, check the system status, and list attributes and their values for an interface.

Este slide mostra alguns comandos básicos da CLI que você pode usar para listar comandos em um
conjunto de comandos, verificar o status do sistema e listar atributos e seus valores para uma
interface.

23-

Whichever method you use, start by logging in as admin. Begin by creating separate accounts for
other administrators. For security and tracking purposes, it is a best practice for each administrator to
have their own account.
In the Create New drop-down list, you can select either Administrator or REST API Admin. Typically,
you will select Administrator and then assign an Administrator Profile, which specifies that user’s
administrative permissions. You could select REST API Admin to add an administrative user who
would use a custom application to access FortiGate with a REST API. The application would allow
you to log in to FortiGate and perform any task that your assigned Administrator Profile permits.
Other options not shown here, include:
⦁ Instead of creating accounts on FortiGate itself, you could configure FortiGate to query a remote
authentication server.
⦁ In place of passwords, your administrators could authenticate using digital certificates that are issued by
your internal certification authority server.
If you do use passwords, ensure that they are strong and complex. For example, you could use
multiple interleaved words with varying capitalization, and randomly insert numbers and punctuation.
Do not use short passwords, or passwords that contain names, dates, or words that exist in any
dictionary. These are susceptible to brute force attack. To audit the strength of your passwords, use
tools such as L0phtcrack (http://www.l0phtcrack.com/) or John the Ripper
(http://www.openwall.com/john/). Risk of a brute force attack is increased if you connect the
management port to the Internet.
In order to restrict access to specific features, you can assign permissions.

Qualquer que seja o método que você usar, comece fazendo login como administrador. Comece
criando contas separadas para outros administradores. Para fins de segurança e rastreamento, é
uma prática recomendada que cada administrador tenha sua própria conta.
Na lista suspensa Criar novo, você pode selecionar Administrador ou Administrador da API REST.
Normalmente, você seleciona Administrador e atribui um Perfil de Administrador, que especifica as
permissões administrativas desse usuário. Você pode selecionar REST API Admin para adicionar um
usuário administrativo que usaria um aplicativo customizado para acessar o FortiGate com uma
REST API. O aplicativo permite que você efetue login no FortiGate e execute qualquer tarefa que o
seu Perfil de Administrador atribuído permita.
Outras opções não mostradas aqui, incluem:
⦁ Em vez de criar contas no próprio FortiGate, você pode configurar o FortiGate para consultar um
servidor de autenticação remoto.
⦁ No lugar de senhas, seus administradores podem autenticar usando certificados digitais emitidos por seu
servidor interno de autoridade de certificação.
Se você usar senhas, certifique-se de que sejam fortes e complexas. Por exemplo, você pode usar
várias palavras intercaladas com letras maiúsculas variadas e inserir números e pontuação
aleatoriamente. Não use senhas curtas ou que contenham nomes, datas ou palavras que existam em
qualquer dicionário. Eles são suscetíveis a ataques de força bruta. Para auditar a força de suas
senhas, use ferramentas como L0phtcrack (http://www.l0phtcrack.com/) ou John the Ripper
(http://www.openwall.com/john/). O risco de um ataque de força bruta aumenta se você conectar a
porta de gerenciamento à Internet.
Para restringir o acesso a recursos específicos, você pode atribuir permissões.

24-
When assigning permissions to an administrator profile, you can specify read-and-write, read-only, or
none to each area.
By default, there is a special profile named super_admin, which is used by the account named admin.
It cannot be changed. It provides full access to everything, making the admin account similar to a root
superuser account.
The prof_admin is another default profile. It also provides full access, but unlike super_admin, it only
applies to its virtual domain—not the global settings of FortiGate. Also, its permissions can be
changed.
You aren’t required to use a default profile. You could, for example, create a profile named
auditor_access with read-only permissions. Restricting a person’s permissions to those necessary for
his or her job is a best practice, because even if that account is compromised, the compromise to your
FortiGate (or network) is not total. To do this, create administrator profiles, then select the appropriate
profile when configuring an account.
The Override Idle Timeout feature allows the admintimeout value, under config system accprofile, to
be overridden per access profile. Administrator profiles can be configured to increase inactivity
timeout and facilitate use of the GUI for central monitoring.
Note that this can be achieved on a per-profile basis, to prevent the option from being unintentionally
set globally.

Ao atribuir permissões a um perfil de administrador, você pode especificar leitura e gravação,

somente leitura ou nenhuma para cada área.
Por padrão, existe um perfil especial denominado super_admin, que é usado pela conta denominada
admin. Não pode ser alterado. Ele fornece acesso total a tudo, tornando a conta de administrador
semelhante a uma conta de superusuário root.
O prof_admin é outro perfil padrão. Ele também fornece acesso total, mas ao contrário de
super_admin, ele se aplica apenas ao seu domínio virtual - não às configurações globais do
FortiGate. Além disso, suas permissões podem ser alteradas.
Você não é obrigado a usar um perfil padrão. Você pode, por exemplo, criar um perfil denominado
auditor_access com permissões somente leitura. Restringir as permissões de uma pessoa àquelas
necessárias para o seu trabalho é uma prática recomendada, porque mesmo que essa conta seja
comprometida, o comprometimento do seu FortiGate (ou rede) não é total. Para fazer isso, crie perfis
de administrador e selecione o perfil apropriado ao configurar uma conta.
O recurso Override Idle Timeout permite que o valor admintimeout, na configuração accprofile do
sistema, seja substituído por perfil de acesso. Os perfis do administrador podem ser configurados
para aumentar o tempo limite de inatividade e facilitar o uso da GUI para monitoramento central.
Observe que isso pode ser feito por perfil, para evitar que a opção seja definida globalmente de
forma não intencional.

25-

What are the effects of administrator profiles?

It’s actually more than just read or write access.
Depending on the type of administrator profile that you assign, an administrator may not be able to
access the entire FortiGate. For example, you could configure an account that can view only log
messages.
Administrators may not be able to access global settings outside their assigned virtual domain either.
Virtual domains (VDOMs) are a way of subdividing the resources and configurations on a single
FortiGate.
Administrators with a smaller scope of permissions cannot create, or even view, accounts with more
permissions. So, for example, an administrator using the prof_admin or a custom profile cannot see,
or reset the password of, accounts that use the super_admin profile.

Quais são os efeitos dos perfis de administrador?

Na verdade, é mais do que apenas acesso de leitura ou gravação.
Dependendo do tipo de perfil de administrador que você atribuir, um administrador pode não
conseguir acessar todo o FortiGate. Por exemplo, você pode configurar uma conta que pode exibir
apenas mensagens de log.
Os administradores também podem não conseguir acessar as configurações globais fora do domínio
virtual atribuído. Os domínios virtuais (VDOMs) são uma forma de subdividir os recursos e
configurações em um único FortiGate.
Os administradores com um escopo menor de permissões não podem criar, ou mesmo visualizar,
contas com mais permissões. Assim, por exemplo, um administrador usando o prof_admin ou um
perfil customizado não pode ver ou redefinir a senha de contas que usam o perfil super_admin.

26-

To further secure access to your network security, use two-factor authentication.

Two-factor authentication means that instead of using one method to verify your identity—typically a
password or digital certificate—your identity is verified by two methods. In the example shown on this
slide, two-factor authentication includes a password plus an RSA randomly generated number from a
FortiToken that is synchronized with FortiGate.

Para proteger ainda mais o acesso à segurança da rede, use a autenticação de dois fatores.
A autenticação de dois fatores significa que em vez de usar um método para verificar sua identidade -
normalmente uma senha ou certificado digital - sua identidade é verificada por dois métodos. No
exemplo mostrado neste slide, a autenticação de dois fatores inclui uma senha mais um número RSA
gerado aleatoriamente de um FortiToken que é sincronizado com FortiGate.

27-
What happens if you forget the password for your admin account, or a malicious employee changes
it?
This recovery method is available on all FortiGate applicance devices and even some non-FortiGate
devices, like FortiMail. There is no maintainer procedure in VM. Administrator must revert to snapshot
or reprovision the VM and restore configuration. It’s a temporary account, only available through the
local console port, and only after a hard reboot—disrupting power by unplugging or turning off the
power, then restoring it. FortiGate must be physically shut off, then turned back on, not simply
rebooted through the CLI.
The maintainer login will only be available for login for about 60 seconds after the restart completes
(or less time on older models).
If you cannot ensure physical security, or have compliance requirements, you can disable the
maintainer account. Use caution if you disable maintainer and then lose your admin password, you
cannot recover access to your FortiGate. In order to regain access in this scenario, you will need to
reload the device. This will reset to factory default.

O que acontece se você esquecer a senha de sua conta de administrador ou um funcionário mal-
intencionado alterá-la?
Este método de recuperação está disponível em todos os dispositivos de aplicação FortiGate e até
mesmo em alguns dispositivos não FortiGate, como o FortiMail. Não há procedimento de mantenedor
no VM. O administrador deve reverter para a captura instantânea ou reprovisionar a VM e restaurar a
configuração. É uma conta temporária, disponível apenas por meio da porta do console local e
somente após uma reinicialização forçada - interrompendo a energia ao desconectar ou desligar a
energia e restaurá-la. O FortiGate deve ser fisicamente desligado e, em seguida, ligado novamente,
não simplesmente reiniciado através do CLI.
O login do mantenedor só estará disponível para login por cerca de 60 segundos após a conclusão
da reinicialização (ou menos tempo em modelos mais antigos).
Se você não puder garantir a segurança física ou tiver requisitos de conformidade, pode desabilitar a
conta do mantenedor. Tenha cuidado se você desabilitar o mantenedor e depois perder sua senha de
administrador, você não pode recuperar o acesso ao seu FortiGate. Para recuperar o acesso neste
cenário, você precisará recarregar o dispositivo. Isso será redefinido para o padrão de fábrica.

28-

Another way to secure your FortiGate is to define the hosts or subnets that are trusted sources from
which to log in.
In this example, we have configured 10.0.1.10 as the only trusted IP for admin1 from which admin1
log in. If admin1 attempts to log in from a machine with any other IP, they will receive an
authentication failure message.
Note that If trusted hosts are configured on all administrators and an administrator is trying to log in
from an IP address that is not set on any of the trusted host for any administrators, then the
administrator will not get the login page but rather will receive the message: “Unable to contact
server”.
If you leave any IPv4 address as 0.0.0.0/0, it means that connections from any source IP will be
allowed. By default, 0.0.0.0/0 is the configuration for administrator, although you may want to change
this.
Notice that each account can define its management host or subnet differently. This is especially
useful if you are setting up VDOMs on your FortiGate, where the VDOM’s administrators may not
even belong to the same organization. Be aware of any NAT that occurs between the desired device
and FortiGate. You can easily prevent an administrator from logging in from the desired IP address if
it is later NATed to another address before reaching FortiGate, thus defeating the purpose of the
trusted hosts.

Outra forma de proteger o seu FortiGate é definir os hosts ou sub-redes que são fontes confiáveis de
login.
Neste exemplo, configuramos 10.0.1.10 como o único IP confiável para admin1 a partir do qual
admin1 faz logon. Se admin1 tentar fazer logon em uma máquina com qualquer outro IP, eles
receberão uma mensagem de falha de autenticação.
Observe que se os hosts confiáveis estiverem configurados em todos os administradores e um
administrador estiver tentando fazer login a partir de um endereço IP que não está configurado em
nenhum host confiável para nenhum administrador, o administrador não obterá a página de login,
mas receberá o mensagem: “Incapaz de contactar o servidor”.
Se você deixar qualquer endereço IPv4 como 0.0.0.0/0, significa que as conexões de qualquer IP de
origem serão permitidas. Por padrão, 0.0.0.0/0 é a configuração para administrador, embora você
possa querer mudar isso.
Observe que cada conta pode definir seu host de gerenciamento ou sub-rede de maneira diferente.
Isso é especialmente útil se você estiver configurando VDOMs em seu FortiGate, onde os
administradores do VDOM podem nem pertencer à mesma organização. Esteja ciente de qualquer
NAT que ocorra entre o dispositivo desejado e o FortiGate. Você pode facilmente impedir que um
administrador efetue login a partir do endereço IP desejado, se posteriormente for feito o NAT para
outro endereço antes de chegar ao FortiGate, anulando assim o propósito dos hosts confiáveis.

29-

You may also want to customize the administrative protocols’ port numbers.
You can choose whether to allow concurrent sessions. This can be used to prevent accidentally
overwriting settings, if you usually keep multiple browser tabs open, or accidentally leave a CLI
session open without saving the settings, then begin a GUI session and accidentally edit the same
settings differently.
For better security, use only secure protocols, and enforce password complexity and changes.
The Idle timeout settings specifies the number of minutes before an inactive administrator session
times out (default is 5 minutes). A shorter idle timeout is more secure, but increasing the timer can
help reduce the chance of administrators being logged out while testing changes.
You can override the idle timeout setting per administrator profile using the Override Idle Timeout
setting.
You can configure an administrator profile to increase inactivity timeout and facilitate use of the GUI
for central monitoring. The Override Idle Timeout setting allows the admintimeout value, under config
system accprofile, to be overridden per access profile.
Note that this can be achieved on a per profile basis, to avoid the option from being unintentionally set
globally.

Você também pode querer personalizar os números de porta dos protocolos administrativos.
Você pode escolher se deseja permitir sessões simultâneas. Isso pode ser usado para evitar a
substituição acidental das configurações, se você costuma manter várias guias do navegador abertas
ou, acidentalmente, deixar uma sessão CLI aberta sem salvar as configurações, então inicie uma
sessão GUI e acidentalmente edite as mesmas configurações de forma diferente.
Para melhor segurança, use apenas protocolos seguros e imponha a complexidade e as alterações
de senha.
As configurações de tempo limite ocioso especificam o número de minutos antes que uma sessão de
administrador inativa expire (o padrão é 5 minutos). Um tempo limite de inatividade mais curto é mais
seguro, mas aumentar o cronômetro pode ajudar a reduzir a chance de os administradores serem
desconectados durante o teste de alterações.
Você pode substituir a configuração de tempo limite ocioso por perfil de administrador usando a
configuração Substituir tempo limite ocioso.
Você pode configurar um perfil de administrador para aumentar o tempo limite de inatividade e
facilitar o uso da GUI para monitoramento central. A configuração Override Idle Timeout permite que
o valor admintimeout, sob config system accprofile, seja substituído por perfil de acesso.
Observe que isso pode ser feito por perfil, para evitar que a opção seja definida globalmente de
forma não intencional.

30-

You’ve defined the management subnet—that is, the trusted hosts—for each administrator account.
How do you enable or disable management protocols?
This is specific to each interface. For example, if your administrators connect to FortiGate only from
port3, then you should disable administrative access on all other ports. This prevents brute force
attempts and also insecure access. Your management protocols are HTTPS, HTTP, PING, SSH. By
default, the TELNET option is not visible on the GUI.
Consider the location of the interface on your network. Enabling PING on an internal interface is
useful for troubleshooting. However, if it’s an external interface (in other words exposed to the
Internet), then the PING protocol could expose FortiGate to a DoS attack. Protocols that do not
encrypt data flow, such as HTTP and TELNET, should be disabled. IPv4 and IPv6 protocols are
separate. It’s possible to have both IPv4 and IPv6 addresses on an interface, but only respond to
pings on IPv6.
Security Fabric connection includes CAPWAP and FortiTelemetry. Protocols like FortiTelemetry are
not for administrative access, but, like GUI and CLI access, they are protocols where the packets will
have FortiGate as a destination IP. The FortiTelemetry protocol is used specifically for managing
FortiClients and the Security Fabric. The CAPWAP protocol is used for FortiAP, FortiSwitch, and
FortiExtender when they are managed by FortiGate. FMG-Access protocol is used specifically for
communicating with FortiManager when that server is managing multiple FortiGate devices. RADIUS
accounting protocol is used when FortiGate needs to listen for and process RADIUS Accounting
packets for single sign-on authentication. FTM, or FortiToken Mobile push, supports second-factor
authentication requests from a FortiToken mobile app.
When you assign the interface roles LAN or WAN to the appropriate interfaces, your FortiGate uses
Link Layer Discovery Protocol (LLDP) to detect if there’s an upstream FortiGate in your network. If an
upstream FortiGate is discovered, you're prompted to configure the FortiGate to join the Security
Fabric.

Você definiu a sub-rede de gerenciamento, ou seja, os hosts confiáveis, para cada conta de
administrador. Como você ativa ou desativa os protocolos de gerenciamento?
Isso é específico para cada interface. Por exemplo, se seus administradores se conectam ao
FortiGate apenas a partir da porta 3, você deve desabilitar o acesso administrativo em todas as
outras portas. Isso evita tentativas de força bruta e também acesso inseguro. Seus protocolos de
gerenciamento são HTTPS, HTTP, PING, SSH. Por padrão, a opção TELNET não está visível na
GUI.
Considere a localização da interface em sua rede. Ativar o PING em uma interface interna é útil para
solucionar problemas. No entanto, se for uma interface externa (em outras palavras exposta à
Internet), o protocolo PING pode expor o FortiGate a um ataque DoS. Os protocolos que não
criptografam o fluxo de dados, como HTTP e TELNET, devem ser desabilitados. Os protocolos IPv4
e IPv6 são separados. É possível ter endereços IPv4 e IPv6 em uma interface, mas apenas
responder a pings no IPv6.
A conexão do Security Fabric inclui CAPWAP e FortiTelemetry. Protocolos como o FortiTelemetry
não são para acesso administrativo, mas, como o acesso GUI e CLI, são protocolos onde os pacotes
terão o FortiGate como IP de destino. O protocolo FortiTelemetry é usado especificamente para
gerenciar FortiClients e o Security Fabric. O protocolo CAPWAP é usado para FortiAP, FortiSwitch e
FortiExtender quando eles são gerenciados pelo FortiGate. O protocolo FMG-Access é usado
especificamente para comunicação com o FortiManager quando o servidor está gerenciando vários
dispositivos FortiGate. O protocolo de contabilidade RADIUS é usado quando o FortiGate precisa
ouvir e processar pacotes de contabilidade RADIUS para autenticação de logon único. FTM, ou
FortiToken Mobile push, oferece suporte a solicitações de autenticação de segundo fator de um
aplicativo móvel FortiToken.
Quando você atribui as funções de interface LAN ou WAN às interfaces apropriadas, seu FortiGate
usa Link Layer Discovery Protocol (LLDP) para detectar se há um FortiGate upstream em sua rede.
Se um FortiGate upstream for descoberto, você será solicitado a configurar o FortiGate para
ingressar no Security Fabric.

31-
FortiGate has hundreds of features. If you don’t use all of them, hiding features that you don’t use
makes it easier to focus on your work.
Hiding a feature on the GUI does not disable it. It is still functional, and still can be configured using
the CLI. Some advanced or less commonly used features, such as IPv6, are hidden by default.
To show hidden features, click System > Feature Visibility.

FortiGate possui centenas de recursos. Se você não usar todos eles, ocultar recursos que você não
usa torna mais fácil se concentrar no seu trabalho.
Ocultar um recurso na GUI não o desativa. Ainda é funcional e ainda pode ser configurado usando a
CLI. Alguns recursos avançados ou menos usados, como IPv6, ficam ocultos por padrão.
Para mostrar os recursos ocultos, clique em Sistema> Visibilidade do recurso.

32-

When FortiGate is operating in NAT mode, every interface that handles traffic must have an IP
address. When in NAT mode, the IP address can be used by FortiGate to source the traffic, if it needs
to start or reply to a session, and can be used as a destination address for devices trying to contact
FortiGate or route traffic through it. There are multiple ways to get an IP address:
⦁ Manually
⦁ Automatically, using either DHCP or PPPoE
There is an exception to the IP address requirement: the One-Arm Sniffer interface type. This
interfaces is not assigned an address.
When One-Arm Sniffer is selected as the addressing mode, the interface is not inline with the traffic
flow, rather it is receiving a copy of the traffic from a mirrored port on a switch. The interface operates
in promiscuous mode scanning traffic that it sees but is unable to make changes as the original
packet has already been processed by the switch. As a result, one-arm sniffer mode is mostly used in
proof of concept (POC) or in environments where corporate requirements state that traffic must not be
changed, only logged.

Quando o FortiGate está operando em modo NAT, toda interface que trata o tráfego deve ter um
endereço IP. Quando em modo NAT, o endereço IP pode ser usado pelo FortiGate para originar o
tráfego, se precisar iniciar ou responder a uma sessão, e pode ser usado como endereço de destino
para dispositivos que tentam contatar o FortiGate ou rotear o tráfego através dele. Existem várias
maneiras de obter um endereço IP:
⦁ Manualmente
⦁ Automaticamente, usando DHCP ou PPPoE
Há uma exceção ao requisito de endereço IP: o tipo de interface One-Arm Sniffer. Esta interface é
não atribuído um endereço.
Quando o One-Arm Sniffer é selecionado como o modo de endereçamento, a interface não está
alinhada com o fluxo de tráfego, em vez disso, está recebendo uma cópia do tráfego de uma porta
espelhada em um switch. A interface opera em modo promíscuo, verificando o tráfego que vê, mas
não pode fazer alterações, pois o pacote original já foi processado pelo switch. Como resultado, o
modo sniffer de um braço é usado principalmente em prova de conceito (POC) ou em ambientes
onde os requisitos corporativos declaram que o tráfego não deve ser alterado, apenas registrado.

33-

How many times have you seen network issues caused by a DHCP server—not client—enabled on
the WAN interface?
You can configure the interface’s role. The roles shown in the GUI are the usual interface settings for
that part of a topology. Settings that do not apply to the current role are hidden on the GUI (all settings
are always available on the CLI regardless of the role). This prevents accidental misconfiguration.
For example, when the role is configured as WAN, there is no DHCP server and device detection
configuration available. Device detection is usually used to detect devices internally on your LAN.
If there is an unusual case, and you need to use an option that’s hidden by the current role, you can
always switch the role to Undefined. This displays all options.
To help you remember the use of each interface, you can give them aliases. For example, you could
call port3 internal_network. This can help to make your list of policies easier to comprehend.

Quantas vezes você viu problemas de rede causados por um servidor DHCP - não um cliente -
habilitado na interface WAN?
Você pode configurar a função da interface. As funções mostradas na GUI são as configurações de
interface usuais para essa parte de uma topologia. As configurações que não se aplicam à função
atual estão ocultas na GUI (todas as configurações estão sempre disponíveis na CLI,
independentemente da função). Isso evita configuração incorreta acidental.
Por exemplo, quando a função é configurada como WAN, não há servidor DHCP e configuração de
detecção de dispositivo disponível. A detecção de dispositivos geralmente é usada para detectar
dispositivos internamente em sua LAN.
Se houver um caso incomum e você precisar usar uma opção que está oculta pela função atual, você
sempre pode mudar a função para Indefinido. Isso exibe todas as opções.
Para ajudá-lo a se lembrar do uso de cada interface, você pode atribuir aliases a elas. Por exemplo,
você pode chamar port3 internal_network. Isso pode ajudar a tornar sua lista de políticas mais fácil
de compreender.

34-

Before you integrate FortiGate into your network, you should configure a default gateway.
If FortiGate gets its IP address through a dynamic method such as DHCP or PPPoE, then it should
also retrieve the default gateway.
Otherwise, you must configure a static route. Without this, FortiGate will not be able to respond to
packets outside the subnets directly attached to its own interfaces. It probably also will not be able to
connect to FortiGuard for updates, and may not properly route traffic.
You should make sure that FortiGate has a route that matches all packets (destination is 0.0.0.0/0),
known as a default route, and forwards them through the network interface that is connected to the
Internet, to the IP address of the next router.
Routing completes the basic network settings that are required before you can configure firewall
policies.

Antes de integrar o FortiGate em sua rede, você deve configurar um gateway padrão.
Se o FortiGate obtiver seu endereço IP por meio de um método dinâmico como DHCP ou PPPoE, ele
também deverá recuperar o gateway padrão.
Caso contrário, você deve configurar uma rota estática. Sem isso, o FortiGate não será capaz de
responder a pacotes fora das sub-redes diretamente conectadas às suas próprias interfaces.
Provavelmente também não será capaz de se conectar ao FortiGuard para atualizações e pode não
rotear o tráfego de maneira adequada.
Você deve certificar-se de que o FortiGate tem uma rota que corresponda a todos os pacotes (o
destino é 0.0.0.0/0), conhecida como rota padrão, e os encaminha através da interface de rede que
está conectada à Internet, para o endereço IP do próximo roteador.
O roteamento conclui as configurações básicas de rede necessárias para que você possa configurar
as políticas de firewall.

35-
Link aggregation logically binds multiple physical interfaces into a single channel. Link aggregation
increases bandwidth and provides redundancy between two network devices.

A agregação de link liga logicamente várias interfaces físicas em um único canal. A agregação de link
aumenta a largura de banda e fornece redundância entre dois dispositivos de rede.

40-

Wireless clients are not the only ones that can use FortiGate as their DHCP server.
For an interface (such as port3), select the Manual option, enter a static IP, and then enable the
DHCP Server option. Options for the built-in DHCP server will appear, including provisioning features,
such as DHCP options and IP address assignment rules. You can also block specific MAC addresses
from receiving an IP address. Note that in the screenshot on the middle of the slide, in the IP Address
Assignment Rule section, you can create IP address assignment rules.
Os clientes sem fio não são os únicos que podem usar o FortiGate como servidor DHCP.
Para uma interface (como a porta 3), selecione a opção Manual, insira um IP estático e ative a opção
Servidor DHCP. As opções para o servidor DHCP integrado serão exibidas, incluindo recursos de
provisionamento, como opções de DHCP e regras de atribuição de endereço IP. Você também pode
impedir que endereços MAC específicos recebam um endereço IP. Observe que na captura de tela
no meio do slide, na seção Regra de atribuição de endereço IP, você pode criar regras de atribuição
de endereço IP.

41-

For the built-in DHCP server, you can reserve specific IP addresses for devices with specific MAC
addresses.
The action selected for Unknown MAC Addresses defines what FortiGate DHCP server does when it
gets a request from a MAC address that is not explicitly listed. The default action is Assign IP;
however, you can change the default action type to Assign IP or Block.
⦁ Assign IP: Permits the DHCP server to assign from its pool of addresses to the identified MAC address.
A device receiving an IP address will always receive the same address provided that its lease has not expired.
⦁ Block: The computer with the identified MAC address and the Block option will not receive an IP
address.
⦁ Reserve IP: This allows you to bind a specific IP to a MAC address.
Para o servidor DHCP integrado, você pode reservar endereços IP específicos para dispositivos com
endereços MAC específicos.

A ação selecionada para endereços MAC desconhecidos define o que o servidor FortiGate DHCP faz
quando recebe uma solicitação de um endereço MAC que não está explicitamente listado. A ação
padrão é Atribuir IP; entretanto, você pode alterar o tipo de ação padrão para Atribuir IP ou Bloquear.
⦁ Atribuir IP: Permite que o servidor DHCP atribua de seu pool de endereços ao endereço MAC
identificado. Um dispositivo que recebe um endereço IP sempre receberá o mesmo endereço, desde que seu
aluguel não tenha expirado.
⦁ Bloquear: O computador com o endereço MAC identificado e a opção Bloquear não receberá um
endereço IP.
⦁ Reserve IP: permite vincular um IP específico a um endereço MAC.

42-

You can configure FortiGate to act as your local DNS server. You can enable and configure DNS
separately on each interface.
A local DNS server can improve performance for your FortiMail or other devices that use DNS queries
frequently. If your FortiGate offers DHCP to your local network, DHCP can be used to configure those
hosts to use FortiGate as both the gateway and DNS server.
FortiGate can answer DNS queries in one of three ways:
⦁ Forward: Relays all queries to a separate DNS server (that you have configured in Network > DNS);
that is, it acts as a DNS relay instead of a DNS server.
⦁ Non-Recursive: Replies to queries for items in FortiGate's DNS databases and does not forward
unresolvable queries.
⦁ Recursive: Replies to queries for items in FortiGate's DNS databases and forwards all other queries to a
separate DNS server for resolution.
You can configure all modes on the GUI or CLI.

Você pode configurar o FortiGate para atuar como seu servidor DNS local. Você pode habilitar e
configurar o DNS separadamente em cada interface.
Um servidor DNS local pode melhorar o desempenho do seu FortiMail ou de outros dispositivos que
usam consultas DNS com frequência. Se o seu FortiGate oferece DHCP para a sua rede local, o
DHCP pode ser usado para configurar esses hosts para usar o FortiGate como gateway e servidor
DNS.
O FortiGate pode responder a consultas DNS de uma das três maneiras:
⦁ Encaminhar: Retransmite todas as consultas para um servidor DNS separado (que você configurou em
Rede> DNS); ou seja, ele atua como uma retransmissão DNS em vez de um servidor DNS.
⦁ Não Recursivo: Responde a consultas de itens nos bancos de dados DNS do FortiGate e não encaminha
consultas sem solução.
⦁ Recursivo: Respostas às consultas por itens nos bancos de dados DNS do FortiGate e encaminha todas as
outras consultas a um servidor DNS separado para resolução.
Você pode configurar todos os modos na GUI ou CLI.

43-
If you choose Recursive, FortiGate queries its own database before forwarding unresolved requests
to the external DNS servers.
If you choose Forward to System DNS, you can control DNS queries within your own network, without
having to enter any DNS names in FortiGate’s DNS server.

Se você escolher Recursivo, o FortiGate consultará seu próprio banco de dados antes de encaminhar
as solicitações não resolvidas aos servidores DNS externos.
Se você escolher Encaminhar para DNS do sistema, você pode controlar as consultas DNS dentro de
sua própria rede, sem ter que inserir nenhum nome DNS no servidor DNS do FortiGate.

44-

If you choose to have your DNS server resolve queries, or you choose a split DNS, you must set up a
DNS database on your FortiGate.
This defines the host names that FortiGate will resolve queries for. Note that FortiGate currently
supports only the DNS record types listed on this slide.
Se você escolher que seu servidor DNS resolva as consultas, ou escolher um DNS dividido, você
deve configurar um banco de dados DNS em seu FortiGate.
Isso define os nomes de host para os quais o FortiGate resolverá as consultas. Observe que o
FortiGate atualmente suporta apenas os tipos de registro DNS listados neste slide.

49-

Now that FortiGate has basic network settings and administrative accounts, you will learn how to back
up the configuration. In addition to selecting the destination of the backup file, you can choose to
encrypt or not to encrypt the backup file. Even if you choose not to encrypt the file, which is the
default, the passwords stored in the file are hashed, and, therefore, obfuscated. The passwords that
are stored in the configuration file would include passwords for the administrative users and local
users, and preshared keys for your IPSec VPNs. It may also include passwords for the FSSO and
LDAP servers.
The other option is to encrypt the configuration file with a password. Besides securing the privacy of
your configuration, it also has some effects you may not expect. After encryption, the configuration file
cannot be decrypted without the password and a FortiGate of the same model and firmware. This
means that if you send an encrypted configuration file to Fortinet Technical Support, even if you give
them the password, they cannot load your configuration until they get access to the same model of
FortiGate. This can cause unnecessary delays when resolving your ticket.
If you enable virtual domains (VDOMs), subdividing the resources and configuration of your FortiGate,
each VDOM administrator can back up and restore their own configurations. You don’t have to back
up the entire FortiGate configuration, however it is still recommended.
Backups are needed to help speed up the return to production in the event of an unforeseen disaster
that damages FortiGate. Having to recreate hundreds of policies and objects from scratch takes a
significant amount of time, while loading a configuration file on a new device takes much less.
Restoring a configuration file is very similar to backing one up and restarts the FortiGate.

Agora que o FortiGate tem configurações básicas de rede e contas administrativas, você aprenderá
como fazer backup da configuração. Além de selecionar o destino do arquivo de backup, você pode
optar por criptografar ou não criptografar o arquivo de backup. Mesmo se você optar por não
criptografar o arquivo, que é o padrão, as senhas armazenadas no arquivo são hash e, portanto,
ofuscadas. As senhas armazenadas no arquivo de configuração incluiriam senhas para usuários
administrativos e usuários locais, e chaves pré-compartilhadas para suas VPNs IPSec. Também
pode incluir senhas para os servidores FSSO e LDAP.
A outra opção é criptografar o arquivo de configuração com uma senha. Além de proteger a
privacidade de sua configuração, ele também tem alguns efeitos inesperados. Após a criptografia, o
arquivo de configuração não pode ser descriptografado sem a senha e um FortiGate do mesmo
modelo e firmware. Isso significa que se você enviar um arquivo de configuração criptografado para o
Suporte Técnico Fortinet, mesmo se você fornecer a senha, eles não podem carregar sua
configuração até que tenham acesso ao mesmo modelo do FortiGate. Isso pode causar atrasos
desnecessários ao resolver seu tíquete.
Se você habilitar domínios virtuais (VDOMs), subdividindo os recursos e a configuração de seu
FortiGate, cada administrador VDOM pode fazer backup e restaurar suas próprias configurações.
Você não precisa fazer backup de toda a configuração do FortiGate, no entanto, ainda é
recomendado.
Os backups são necessários para ajudar a acelerar o retorno à produção no caso de um desastre
imprevisto que danifique o FortiGate. Ter que recriar centenas de políticas e objetos do zero leva
uma quantidade significativa de tempo, enquanto carregar um arquivo de configuração em um novo
dispositivo leva muito menos.
Restaurar um arquivo de configuração é muito semelhante a fazer o backup e reiniciar o FortiGate.

50-

If you open the configuration file in a text editor, you’ll see that both encrypted and unencrypted
configuration files contain a clear text header that contains some basic information about the device.
The example on this slide shows what information is included. To restore an encrypted configuration,
you must upload it to a FortiGate of the same model and firmware, then provide the password.
To restore an unencrypted configuration file, you are required to match only the FortiGate model. If
the firmware is different, FortiGate will attempt to upgrade the configuration. This is similar to how it
uses upgrade scripts on the existing configuration when upgrading firmware. However, it is still
recommended to match the firmware on FortiGate to the firmware listed in the configuration file.
Usually, the configuration file only contains non-default settings, plus few default, yet crucial, settings.
This minimizes the size of the backup, which could otherwise be several MB in size.

Se você abrir o arquivo de configuração em um editor de texto, verá que os arquivos de configuração
criptografados e não criptografados contêm um cabeçalho de texto não criptografado que contém
algumas informações básicas sobre o dispositivo. O exemplo neste slide mostra quais informações
estão incluídas. Para restaurar uma configuração criptografada, você deve carregá-la em um
FortiGate do mesmo modelo e firmware e fornecer a senha.
Para restaurar um arquivo de configuração não criptografado, você deve corresponder apenas ao
modelo FortiGate. Se o firmware for diferente, o FortiGate tentará atualizar a configuração. Isso é
semelhante a como ele usa scripts de atualização na configuração existente ao atualizar o firmware.
No entanto, ainda é recomendável combinar o firmware do FortiGate com o firmware listado no
arquivo de configuração.
Normalmente, o arquivo de configuração contém apenas configurações não padrão, além de
algumas configurações padrão, mas cruciais. Isso minimiza o tamanho do backup, que de outra
forma poderia ter vários MB.

51-

You can view the current firmware version in multiple places on the FortiGate GUI. When you first log
in to FortiGate, the landing page is the dashboard. You will see the firmware version in the System
widget. This information is also found at System > Firmware. And, of course, you can retrieve the
information on the CLI using the command get system status.
If a new version of the firmware is available, you will be notified on the dashboard and on the
Firmware page. Remember to read the Release Notes to make sure that you understand the
supported upgrade path. The Release Notes also provide pertinent information that may affect the
upgrade.

Você pode ver a versão atual do firmware em vários lugares na interface do FortiGate. Quando você
faz login pela primeira vez no FortiGate, a página inicial é o painel. Você verá a versão do firmware
no widget do sistema. Essas informações também são encontradas em Sistema> Firmware. E, é
claro, você pode recuperar as informações na CLI usando o comando get system status.
Se uma nova versão do firmware estiver disponível, você será notificado no painel e na página
Firmware. Lembre-se de ler as notas de versão para certificar-se de que compreende o caminho de
atualização com suporte. o As notas de versão também fornecem informações pertinentes que
podem afetar a atualização.

52-
Upgrading the firmware on FortiGate is simple. Click System > Firmware, and then browse to the
firmware file that you have downloaded from support.fortinet.com or choose to upgrade online.
If you want to make a clean install by overwriting both the existing firmware and its current
configuration, you can do this using the local console CLI, within the boot loader menu, while
FortiGate is rebooting. However, this is not the usual method.

Atualizar o firmware no FortiGate é simples. Clique em Sistema> Firmware e, em seguida, navegue

até o arquivo de firmware que você baixou de support.fortinet.com ou opte por atualizar online.
Se você quiser fazer uma instalação limpa sobrescrevendo o firmware existente e sua configuração
atual, você pode fazer isso usando a CLI do console local, dentro do menu do carregador de boot,
enquanto o FortiGate está reiniciando. No entanto, este não é o método usual.

53-

You can also downgrade the firmware. Because settings change in each firmware version, you should
have a configuration file in the syntax that is compatible with the firmware.
Remember to read the Release Notes. Sometimes a downgrade between firmware versions that
preserves the configuration is not possible, such as when the OS changed from 32-bit to 64-bit. In that
situation, the only way to downgrade is to format the disk, then reinstall.
After you’ve confirmed that the downgrade is possible, verify everything again, then start the
downgrade. After the downgrade completes, restore a configuration backup that is compatible with
that version.
Why should you keep emergency firmware and physical access?
Earlier firmware versions do not know how to convert later configurations. Also, when upgrading
through a path that is not supported by the configuration translation scripts, you might lose all settings
except basic access settings, such as administrator accounts and network interface IP addresses.
Another rare, but possible, scenario is that the firmware could be corrupted when you are uploading it.
For all of those reasons, you should always have local console access during an upgrade. However,
in practice, if you read the Release Notes and have a reliable connection to the GUI or CLI, it should
not be necessary.

Você também pode fazer o downgrade do firmware. Como as configurações mudam em cada versão
do firmware, você deve ter um arquivo de configuração na sintaxe que seja compatível com o
firmware.
Lembre-se de ler as notas de versão. Às vezes, um downgrade entre as versões de firmware que
preservam a configuração não é possível, como quando o sistema operacional mudou de 32 bits para
64 bits. Nessa situação, a única maneira de fazer o downgrade é formatar o disco e reinstalá-lo.
Depois de confirmar que o downgrade é possível, verifique tudo novamente e inicie o downgrade.
Depois que o downgrade for concluído, restaure um backup de configuração que seja compatível
com essa versão.
Por que você deve manter o firmware de emergência e o acesso físico?
Versões de firmware anteriores não sabem como converter configurações posteriores. Além disso, ao
atualizar por um caminho que não é compatível com os scripts de conversão de configuração, você
pode perder todas as configurações, exceto as configurações de acesso básicas, como contas de
administrador e endereços IP de interface de rede. Outro cenário raro, mas possível, é que o
firmware pode ser corrompido durante o upload. Por todos esses motivos, você deve sempre ter
acesso ao console local durante uma atualização. No entanto, na prática, se você ler as Notas de
versão e tiver uma conexão confiável com a GUI ou CLI, isso não será necessário.

● LESSON 02: Security Fabric

4-

What is the Fortinet Security Fabric?

It is a Fortinet enterprise solution that enables a holistic approach to network security, whereby the
network landscape is visible through a single console and all network devices are integrated into a
centrally managed and automated defence.
The network devices include all components, from physical endpoints to virtual devices in the cloud.
Because devices are centrally managed and are sharing threat intelligence with one another in real
time, and are receiving updates from Fortinet at the macro level, your network can quickly identify,
isolate, and neutralize threats as they appear.
The Security Fabric has the following attributes:
⦁ Broad: It provides visibility of the entire digital attack surface to better manage risk
⦁ Integrated: It provides a solution that reduces the complexity of supporting multiple point products
⦁ Automated: Threat intelligence is exchanged between network components in real-time allowing for
automated response to threats
A fourth attribute could be added to this description of the Security Fabric: open. The API and protocol
are available for other vendors to join and for partner integration. This allows for communication
between Fortinet and third-party devices.

O que é o Fortinet Security Fabric?

É uma solução empresarial Fortinet que permite uma abordagem holística à segurança da rede, em
que o cenário da rede é visível através de um único console e todos os dispositivos de rede são
integrados em uma defesa automatizada e gerenciada centralmente.
Os dispositivos de rede incluem todos os componentes, de terminais físicos a dispositivos virtuais na
nuvem. Como os dispositivos são gerenciados centralmente e compartilham inteligência de ameaças
entre si em tempo real e recebem atualizações da Fortinet no nível macro, sua rede pode identificar,
isolar e neutralizar ameaças à medida que aparecem.
O Security Fabric possui os seguintes atributos:
⦁ Amplo: fornece visibilidade de toda a superfície de ataque digital para gerenciar melhor os riscos
⦁ Integrado: fornece uma solução que reduz a complexidade do suporte a vários produtos pontuais
⦁ Automatizado: a inteligência de ameaças é trocada entre os componentes da rede em tempo real,
permitindo uma resposta automatizada às ameaças
Um quarto atributo pode ser adicionado a esta descrição do Security Fabric: aberto. A API e o
protocolo estão disponíveis para a adesão de outros fornecedores e integração com parceiros. Isso
permite a comunicação entre a Fortinet e dispositivos de terceiros.

5-
Why has Fortinet deemed the Security Fabric an essential solution for a robust network defence?
As networks evolved and various new types of threats surfaced, point security products were
deployed to address these emerging threats. Oftentimes, these piecemeal solutions were effective,
but deploying products using different standards and protocols often meant that defence assets could
not be effectively coordinated.
The illustration on the right side of the slide tells a story of a network that has deployed security
solutions from four different vendors. The administrator at the center, working from the security
console, has visibility into only some of the security solutions. This lack of visibility of the entire
network defence is a serious flaw, and could allow a foreign infiltrator to breach network defences
undetected.
The sheer complexity of today’s networks compounds this problem. In addition, increasingly
sophisticated malware has an expanding attack surface on which to exploit, because networks have
broken out of the confines of a traditional network perimeter and have expanded to virtualized
networks and public clouds. Add to this mix, the ever growing numbers of unmanaged devices, as a
result of bring-your-own-device(BYOD) programs, and you have the perfect security storm.
The most feasible solution is to build a centrally managed, holistic approach to security, whereby you
have a clear line of sight to all potential infiltration points and can coordinate defences to contain and
neutralize network breaches.

Por que a Fortinet considerou o Security Fabric uma solução essencial para uma defesa de rede
robusta?
Conforme as redes evoluíram e vários novos tipos de ameaças surgiram, produtos de segurança
pontuais foram implantados para lidar com essas ameaças emergentes. Muitas vezes, essas
soluções fragmentadas eram eficazes, mas a implantação de produtos usando padrões e protocolos
diferentes geralmente significava que os ativos de defesa não podiam ser coordenados de forma
eficaz.
A ilustração do lado direito do slide conta a história de uma rede que implantou soluções de
segurança de quatro fornecedores diferentes. O administrador no centro, trabalhando no console de
segurança, tem visibilidade de apenas algumas das soluções de segurança. Essa falta de visibilidade
de toda a defesa da rede é uma falha séria e poderia permitir que um infiltrado estrangeiro violasse
as defesas da rede sem ser detectado.
A grande complexidade das redes de hoje agrava esse problema. Além disso, o malware cada vez
mais sofisticado tem uma superfície de ataque em expansão para explorar, porque as redes
escaparam dos limites de um perímetro de rede tradicional e se expandiram para redes virtualizadas
e nuvens públicas. Adicione a essa mistura o número cada vez maior de dispositivos não
gerenciados, como resultado de programas traga seu próprio dispositivo (BYOD), e você terá a
tempestade de segurança perfeita.
A solução mais viável é construir uma abordagem holística e gerenciada centralmente para a
segurança, por meio da qual você tem uma linha de visão clara para todos os pontos de infiltração
em potencial e pode coordenar as defesas para conter e neutralizar violações de rede.

6-

As shown on this slide, the Fortinet Security Fabric offers eight solutions: Network Access, Secure
WLAN/LAN, Public and Private Cloud Infrastructure, Applications, Endpoint, Security Operations,
Open Fabric Ecosystem, and Fabric Management Center. Each of these solutions is based on
specific use cases and involve the integration of specific Fortinet products.
The Fortinet Security Fabric offers network security with FortiGate, IPS, VPN, SDWAN. It also offers
multi- cloud strategy across public clouds, private clouds, and hybrid clouds, and SaaS. It also offers
quite a sophisticated endpoint offering ranging from the Fabric Agent all the way up to full endpoint
protection, email security, web application security, which is growing very fast in the cloud, secure
access across more distributed enterprises and SD-WAN environments, advanced threat protection,
management and analytics, and SIEM.
All of these are underscored and supported by FortiGuard Services that deliver AI-powered
intelligence and protection across the Security Fabric.

Conforme mostrado neste slide, o Fortinet Security Fabric oferece oito soluções: Acesso à rede,
WLAN / LAN segura, infraestrutura de nuvem pública e privada, aplicativos, terminal, operações de
segurança, ecossistema de malha aberta e centro de gerenciamento de malha. Cada uma dessas
soluções é baseada em casos de uso específicos e envolve a integração de produtos Fortinet
específicos.
O Fortinet Security Fabric oferece segurança de rede com FortiGate, IPS, VPN, SDWAN. Ele
também oferece estratégia de várias nuvens em nuvens públicas, privadas e híbridas e SaaS. Ele
também oferece uma oferta de endpoint bastante sofisticada, que vai desde o Fabric Agent até a
proteção completa do endpoint, segurança de e-mail, segurança de aplicativo da web, que está
crescendo muito rápido na nuvem, acesso seguro em empresas mais distribuídas e ambientes SD-
WAN, proteção avançada contra ameaças, gerenciamento e análise e SIEM.
Tudo isso é enfatizado e apoiado pelos Serviços FortiGuard, que fornecem inteligência e proteção
alimentadas por IA em todo o Security Fabric.
7-

FortiGate and FortiAnalyzer creates the core of the security fabric. To add more visibility and control,
Fortinet recommends adding FortiManager, FortiAP, FortiClient, FortiSandbox, FortiMail, and
FortiSwitch. The solution can be extended by adding other network security devices.

FortiGate e FortiAnalyzer criam o núcleo da estrutura de segurança. Para adicionar mais visibilidade
e controle, a Fortinet recomenda adicionar FortiManager, FortiAP, FortiClient, FortiSandbox, FortiMail
e FortiSwitch. A solução pode ser estendida adicionando outros dispositivos de segurança de rede.

12-

In this simple network that comprises only the core devices of a Security Fabric, there is one
FortiAnalyzer and one next-generation firewall (NGFW) FortiGate. This implementation example is
intended to be a high- level view only. For more detail, see docs.fortinet.com. The FortiGate device
named External is acting as the edge firewall and will also be configured as the root firewall within the
Security Fabric. Downstream from the root firewall there are three internal segmentation firewalls that
compartmentalize the WAN in order to contain a breach and control access to various LANs. In this
example, there are Accounting, Marketing, and Sales LANs.

Nessa rede simples que compreende apenas os dispositivos principais de um Security Fabric, há um
FortiAnalyzer e um FortiGate de firewall de última geração (NGFW). Este exemplo de implementação
destina-se a ser apenas uma exibição de alto nível. Para obter mais detalhes, consulte
docs.fortinet.com. O dispositivo FortiGate denominado Externo está atuando como firewall de borda e
também será configurado como firewall raiz no Security Fabric. A jusante do firewall raiz, existem três
firewalls de segmentação interna que compartimentam a WAN para conter uma violação e controlar o
acesso a várias LANs. Neste exemplo, existem LANs de contabilidade, marketing e vendas.

13-

First, on the root FortiGate, you must enable Security Fabric Connection in the interfaces facing any
downstream FortiGate. If you select Serve as Fabric Root, you also need to configure the
FortiAnalyzer IP address. Then, you need to configure a fabric name for the Security Fabric. This
FortiAnalyzer configuration will be pushed to all the downstream FortiGate devices. All downstream
FortiGate devices send logs directly to FortiAnalyzer.
You can also preauthorize your downstream devices by adding the serial number of the device. When
you add the serial number of a Fortinet device to the trusted list on the root FortiGate, the device can
join the Security Fabric as soon as it connects. After you authorize the new FortiGate, additional
connected FortiAP and FortiSwitch devices automatically appear in the topology tree. On the topology
tree, it's easier for you to authorize them with one click.

Primeiro, no FortiGate raiz, você deve habilitar o Security Fabric Connection nas interfaces voltadas
para qualquer FortiGate downstream. Se você selecionar Servir como raiz de malha, também
precisará configurar o endereço IP do FortiAnalyzer. Em seguida, você precisa configurar um nome
de malha para o Security Fabric. Esta configuração FortiAnalyzer será enviada para todos os
dispositivos FortiGate downstream. Todos os dispositivos FortiGate downstream enviam registros
diretamente para o FortiAnalyzer.
Você também pode pré-autorizar seus dispositivos downstream adicionando o número de série do
dispositivo. Quando você adiciona o número de série de um dispositivo Fortinet à lista de confiáveis
no FortiGate raiz, o dispositivo pode ingressar no Security Fabric assim que se conectar. Depois de
autorizar o novo FortiGate, dispositivos FortiAP e FortiSwitch conectados adicionais aparecem
automaticamente na árvore de topologia. Na árvore de topologia, é mais fácil para você autorizá-los
com um clique.

14-

The second step in implementing the Security Fabric is configuring the downstream Fortinet devices.
On the downstream FortiGate devices, you must enable Security Fabric Connection and Device
Detection on the interfaces facing the downstream FortiGate devices. On the Fabric Connectors page,
select Join Existing Fabric and add the root (upstream) FortiGate IP address. The root FortiGate
pushes its FortiAnalyzer configuration to all downstream FortiGate devices.

A segunda etapa na implementação do Security Fabric é configurar os dispositivos Fortinet

downstream. Nos dispositivos FortiGate downstream, você deve habilitar a Conexão de Fabric de
Segurança e Detecção de Dispositivos nas interfaces voltadas para os dispositivos FortiGate
downstream. Na página Fabric Connectors, selecione Join Existing Fabric e adicione o endereço IP
do FortiGate raiz (upstream). O FortiGate raiz envia sua configuração FortiAnalyzer para todos os
dispositivos FortiGate downstream.

15-
The third step in implementing the Security Fabric is to authorize the downstream FortiGate device on
the both root FortiGate and the FortiAnalyzer. Click the serial number of the highlighted downstream
FortiGate device and select Authorize. After few seconds, the downstream FortiGate will join the
Security Fabric. In order to complete the full Security Fabric process, you will need to authorize all
your devices on the FortiAnalyzer. From the FortiAnalyzer Device Manager section, select all your
devices in the Security Fabric and click Authorize. After few seconds, you will notice all your
authorized devices join the Security Fabric.

A terceira etapa na implementação do Security Fabric é autorizar o dispositivo FortiGate downstream

no FortiGate raiz e no FortiAnalyzer. Clique no número de série do dispositivo FortiGate downstream
destacado e selecione Autorizar. Após alguns segundos, o FortiGate downstream irá se juntar ao
Security Fabric. Para concluir todo o processo do Security Fabric, você precisará autorizar todos os
seus dispositivos no FortiAnalyzer. Na seção FortiAnalyzer Device Manager, selecione todos os seus
dispositivos no Security Fabric e clique em Authorize. Após alguns segundos, você notará que todos
os seus dispositivos autorizados ingressam no Security Fabric.

16-
When the Security Fabric is enabled, various objects such as addresses, services, and schedules are
synced from the upstream FortiGate to all downstream devices by default.
In this example, the notifications icon displays a message that Firewall objects are not synchronized
with all the FortiGates in the Fabric. In the topology tree, Remote- FortiGate is highlighted in yellow
because it is out of sync.
In the example shown on this slide, you will examine how to resolve a syncing conflict.
⦁ The notification icon displays this message: Firewall objects are not synchronized with all FortiGates in
the Fabric. Click Open Synchronization Wizard
⦁ On the Review FortiGates page, the Remote-Fortigate is highlighted in yellow, with status of Out of
sync. Click Next.
⦁ On the Review Tables page, the status of the Address object is Needs manual intervention. Click
Resolve Conflicts.
⦁ On the Resolve Conflicts page, you can see that both the root FortiGate and downstream FortiGate
devices contain the Local_Subnet object (with different IP address/subnet schema on each device), causing
a status of Name Conflict. In the Strategy field, there are two options to resolve the conflict: Automatic
and Manual. If you select Automatic, as shown in this example, you can then click Rename All Objects.
⦁ Remote-FortiGate is appended to the name of the downstream FortiGate device Local Subnet address
object and the status has change to Resolved.
⦁ On the last page of the wizard, a message indicates: All FortiGates have been synced.

Quando o Security Fabric está habilitado, vários objetos, como endereços, serviços e horários são
sincronizados do FortiGate upstream para todos os dispositivos downstream por padrão.
Neste exemplo, o ícone de notificações exibe uma mensagem de que os objetos do Firewall não
estão sincronizados com todos os FortiGates do Fabric. Na árvore de topologia, o RemoteFortiGate é
destacado em amarelo porque está fora de sincronia.
No exemplo mostrado neste slide, você examinará como resolver um conflito de sincronização.
⦁ O ícone de notificação exibe esta mensagem: Os objetos de firewall não estão sincronizados com todos os
FortiGates no Fabric. Clique em Abrir Assistente de Sincronização
⦁ Na página Review FortiGates, o Remote-Fortigate é destacado em amarelo, com o status de fora de
sincronia. Clique em Avançar.
⦁ Na página Revisar tabelas, o status do objeto Endereço é Necessita intervenção manual. Clique
Resolver conflitos.
⦁ Na página Resolve Conflicts, você pode ver que os dispositivos raiz FortiGate e FortiGate downstream
contêm o objeto Local_Subnet (com endereço IP / esquema de sub-rede diferente em cada dispositivo),
causando um status de Conflito de Nome. No campo Estratégia, existem duas opções para resolver o
conflito: Automático e Manual. Se você selecionar Automático, conforme mostrado neste exemplo, poderá
clicar em Renomear todos os objetos.
⦁ Remote-FortiGate é anexado ao nome do objeto de endereço de sub-rede local do dispositivo FortiGate
downstream e o status foi alterado para Resolvido.
⦁ Na última página do assistente, uma mensagem indica: Todos os FortiGates foram sincronizados.

17-

Starting with FortiOS 6.2, you can enable FortiGate security fabric in split-task VDOM mode. If you
enable split-task VDOM mode on the upstream FortiGate device, it can allow downstream FortiGate
devices to join the Security Fabric in the root and FG-traffic VDOMs. If split-task VDOM mode is
enabled on the downstream FortiGate, it can only connect to the upstream FortiGate through the
downstream FortiGate interface on
the root VDOM.
Telemetry settings are shown in both global and VDOM contexts, but in VDOM context, only the
topology and FortiTelemetry-enabled interface fields are shown.

A partir do FortiOS 6.2, você pode habilitar a estrutura de segurança FortiGate no modo VDOM de
tarefa dividida. Se você habilitar o modo VDOM de tarefa dividida no dispositivo FortiGate upstream,
ele pode permitir que os dispositivos FortiGate downstream se juntem ao Security Fabric na raiz e no
VDOM de tráfego FG. Se o modo VDOM de tarefa dividida estiver habilitado no FortiGate
downstream, ele só pode se conectar ao FortiGate upstream por meio da interface FortiGate
downstream em
o VDOM raiz.
As configurações de telemetria são mostradas em contextos globais e VDOM, mas no contexto
VDOM, apenas a topologia e os campos de interface habilitados para FortiTelemetria são mostrados.

18-
You can click Global > Physical Topology to see the root FortiGate and all downstream FortiGate
devices that are in the same Security Fabric as the root FortiGate. You can click root > Physical
Topology or FG- Traffic > Physical Topology to see the root FortiGate and only the downstream
FortiGate devices that are connected to the current selected VDOM on the root FortiGate.

Você pode clicar em Global> Topologia física para ver o FortiGate raiz e todos os dispositivos
FortiGate downstream que estão na mesma estrutura de segurança do FortiGate raiz. Você pode
clicar em root> Physical Topology ou FG- Traffic> Physical Topology para ver o FortiGate raiz e
apenas os dispositivos FortiGate downstream que estão conectados ao VDOM atualmente
selecionado no FortiGate raiz.

19-

Device identification is an important component in the Security Fabric. FortiGate detects most of the
third- party devices in your network and added into the topology view in the Security Fabric. There are
two device identification techniques: with an agent and without an agent (agentless).
Agentless identification uses traffic from the device. Devices are indexed by their MAC address and
there are various ways to identify devices, such as HTTP user-Agent header, TCP fingerprint, MAC
address OUI, and FortiOS-VM detection methods, to name a few. Agentless device identification is
only effective if FortiGate and the workstations are directly connected network segments, where traffic
is sent directly to FortiGate, and there is no intermediate router or Layer 3 device between FortiGate
and the workstations.
Note that FortiGate uses a first come, first served approach to determine the device identity. For
example, if a device is detected by the HTTP user agent, FortiGate updates its device table with the
detected MAC address and scanning stops as soon as the type has been determined for that MAC
address.
Agent-based device identification uses FortiClient. FortiClient sends information to FortiGate, and the
device is tracked by its unique FortiClient user ID (UID).
A identificação do dispositivo é um componente importante do Security Fabric. O FortiGate detecta a
maioria dos dispositivos de terceiros em sua rede e é adicionado à visualização da topologia no
Security Fabric. Existem duas técnicas de identificação de dispositivo: com um agente e sem agente
(sem agente).

A identificação sem agente usa o tráfego do dispositivo. Os dispositivos são indexados por seus
endereços MAC e existem várias maneiras de identificar os dispositivos, como cabeçalho do agente
do usuário HTTP, impressão digital TCP, endereço MAC OUI e métodos de detecção FortiOS-VM,
para citar alguns. A identificação do dispositivo sem agente só é eficaz se o FortiGate e as estações
de trabalho forem segmentos de rede diretamente conectados, onde o tráfego é enviado diretamente
para o FortiGate, e não há roteador intermediário ou dispositivo de Camada 3 entre o FortiGate e as
estações de trabalho.
Observe que o FortiGate usa uma abordagem primeiro a chegar, primeiro a ser servido para
determinar a identidade do dispositivo. Por exemplo, se um dispositivo é detectado pelo agente de
usuário HTTP, o FortiGate atualiza sua tabela de dispositivos com o endereço MAC detectado e a
varredura é interrompida assim que o tipo for determinado para aquele endereço MAC.
A identificação de dispositivo baseada em agente usa FortiClient. O FortiClient envia informações ao
FortiGate, e o dispositivo é rastreado por seu ID de usuário FortiClient (UID) exclusivo.

20-
By default, FortiGate uses device detection (passive scanning), which runs scans based on the arrival
of traffic.

Por padrão, o FortiGate usa detecção de dispositivo (varredura passiva), que executa varreduras
com base na chegada do tráfego.

25-

Fortinet recommends using a FortiManager for centralized management of all ForitGate devices, and
access devices in the security fabric. You can integrate FortiSwitch devices, and FortiAP devices to
extend the Security Fabric down to the access layer. You can also extend the Security Fabric by
integrating FortiMail, FortiWeb, FortiCache, FortiSandbox, and FortiClient EMS.

A Fortinet recomenda o uso de um FortiManager para gerenciamento centralizado de todos os

dispositivos ForitGate e dispositivos de acesso na estrutura de segurança. Você pode integrar
dispositivos FortiSwitch e dispositivos FortiAP para estender o Security Fabric até a camada de
acesso. Você também pode estender o Security Fabric integrando FortiMail, FortiWeb, FortiCache,
FortiSandbox e FortiClient EMS.

26-
Administrator-defined automated work flows (called stitches) use if/ then statements to cause the
FortiOS to automatically respond to an event in a preprogrammed way. Because this workflow is part
of the Security Fabric, you can set up if/then statements for any device in the Security Fabric.
However, the Security Fabric is not required to use stiches.
Each automation stitch pairs an event trigger and one or more actions. Automation stitches allow you
to monitor your network and take appropriate action when the Security Fabric detects a threat. You
can use Automation stitches to detect events from any source in the Security Fabric and apply actions
to any destination.
You can configure the Minimum internal (seconds) setting to make sure you don’t receive repeat
notifications about the same event.

Fluxos de trabalho automatizados definidos pelo administrador (chamados de pontos) usam

instruções if / then para fazer com que o FortiOS responda automaticamente a um evento de forma
pré-programada. Como esse fluxo de trabalho faz parte do Security Fabric, você pode configurar
instruções if / then para qualquer dispositivo do Security Fabric. No entanto, o Security Fabric não é
obrigado a usar pontos.
Cada ponto de automação emparelha um acionador de evento e uma ou mais ações. Os pontos de
automação permitem que você monitore sua rede e execute as ações apropriadas quando o Security
Fabric detecta uma ameaça. Você pode usar pontos de automação para detectar eventos de
qualquer origem no Security Fabric e aplicar ações a qualquer destino.
Você pode definir a configuração Mínimo interno (segundos) para garantir que não receberá
notificações repetidas sobre o mesmo evento.

27-
You can configure the Compromised Host trigger to create an automated threat response stitch. This
trigger uses indicator of compromise (IoC) event reporting from FortiAnalyzer. Based on the Threat
level threshold setting, you can configure the stitch to take different remediation steps:
⦁ Quarantine the compromised host at the FortiSwitch or FortiAP
⦁ Quarantine FortiClient on the compromised host using FortiClient EMS
⦁ Ban the IP
You can also click Monitor > Quarantine Monitor to view quarantined and banned IP addresses.
Quarantined addresses are automatically removed from quarantine after a configurable period of time.
Banned IP addresses can be removed from the list only by administrator intervention.

Você pode configurar o gatilho do Host comprometido para criar um ponto de resposta automatizado
à ameaça. Este acionador usa o relatório de evento de indicador de comprometimento (IoC) do
FortiAnalyzer. Com base na configuração do limite do nível de ameaça, você pode configurar o ponto
para realizar diferentes etapas de correção:
⦁ Colocar em quarentena o host comprometido no FortiSwitch ou FortiAP
⦁ Quarentena o FortiClient no host comprometido usando FortiClient EMS
⦁ Banir o IP
Você também pode clicar em Monitorar> Monitorar quarentena para ver os endereços IP em
quarentena e proibidos. Os endereços em quarentena são removidos automaticamente da
quarentena após um período de tempo configurável. Os endereços IP banidos podem ser removidos
da lista apenas por intervenção do administrador.

28-
You can also view compromised hosts on the FortiGate GUI and get output notifications in various
ways such as iOS push. This feature is integrated with IFTT.

Você também pode visualizar hosts comprometidos na GUI do FortiGate e obter notificações de
saída de várias maneiras, como push iOS. Este recurso é integrado ao IFTT.

29-

External connectors allow you to integrate multi-cloud support, such as ACI and AWS, to name a few.
In an application centric infrastructure (ACI), the SDN connector serves as a gateway bridging SDN
controllers and FortiGate devices. The SDN Connector registers itself to APIC in the Cisco ACI fabric,
polls interested objects, and translates them into address objects. The translated address objects and
associated endpoints populate on FortiGate.
FortiGate VM for Microsoft Azure also supports cloud-init and bootstrapping.

Os conectores externos permitem que você integre o suporte a várias nuvens, como ACI e AWS,
para citar alguns.
Em uma infraestrutura centrada em aplicativos (ACI), o conector SDN serve como um gateway de
ponte entre controladores SDN e dispositivos FortiGate. O conector SDN se registra no APIC na
estrutura Cisco ACI, pesquisa os objetos interessados e os traduz em objetos de endereço. Os
objetos de endereço traduzidos e terminais associados são preenchidos no FortiGate.
FortiGate VM para Microsoft Azure também oferece suporte a inicialização em nuvem e
bootstrapping.

30-

The Security Fabric Status widget shows a visual summary of many of the devices in the Security
Fabric. You can hover over the icons at the top of the widget to get a quick view of the status of the
Security Fabric, including the status of FortiTelemetry and devices in the Security Fabric. You can
click to authorize FortiAP and FortiSwitch devices that are connected to an authorized FortiGate.
Icons represent the other Fortinet devices that can be used in the Security Fabric:
⦁ Devices in blue are connected in your network.
⦁ Devices in gray are unauthorized devices that are connected in your network.
⦁ Devices in red are not detected in your network, but are recommended for the Security Fabric.
⦁ An attention icon indicates a FortiGate or FortiWiFi waiting for authorization.

O widget Security Fabric Status mostra um resumo visual de muitos dos dispositivos no Security
Fabric. Você pode passar o mouse sobre os ícones na parte superior do widget para obter uma visão
rápida do status do Security Fabric, incluindo o status do FortiTelemetry e dos dispositivos no
Security Fabric. Você pode clicar para autorizar os dispositivos FortiAP e FortiSwitch que estão
conectados a um FortiGate autorizado.
Os ícones representam os outros dispositivos Fortinet que podem ser usados no Security Fabric:
⦁ Os dispositivos em azul estão conectados à sua rede.
⦁ Dispositivos em cinza são dispositivos não autorizados que estão conectados em sua rede.
⦁ Dispositivos em vermelho não são detectados em sua rede, mas são recomendados para o Security Fabric.
⦁ Um ícone de atenção indica um FortiGate ou FortiWiFi aguardando autorização.

31-
The Security Posture widget shows the latest security rating for your Security Fabric. You can
configure the widget to show either how your organization’s Security Fabric rating compares to the
ratings of other organizations in the same industry, or to organization in all industries. Your
organization's industry is determined from your FortiCare account. You can also configure the widget
to show scores that are specific to your organization’s region or all regions. The widget shows the
security rating score by percentile. To receive a security rating score, all FortiGate devices in the
Security Fabric must have a valid security rating license.
The security rating license is a FortiGuard service. You must purchase a license to access to all the
latest features. Security audit checks from FortiOS 5.6 will continue to run, but the following upgrades
are available only when you purchase a security rating license:
⦁ FortiGuard updates
⦁ The ability to run security rating checks across each licensed device or all FortiGates in the Security
Fabric from the root FortiGate
⦁ New 6.0 rating checks
⦁ The ability to submit rating scores to FortiGuard and receive security rating scores from FortiGuard for
ranking customers by percentile

O widget Postura de segurança mostra a classificação de segurança mais recente para seu Security
Fabric. Você pode configurar o widget para mostrar como a classificação do Security Fabric de sua
organização se compara às classificações de outras organizações no mesmo setor ou à organização
em todos os setores. O setor de sua organização é determinado a partir de sua conta FortiCare.
Você também pode configurar o widget para mostrar pontuações específicas da região da sua
organização ou de todas as regiões. O widget mostra a pontuação da classificação de segurança por
percentil. Para receber uma pontuação de classificação de segurança, todos os dispositivos
FortiGate no Security Fabric devem ter uma licença válida de classificação de segurança.
A licença de classificação de segurança é um serviço FortiGuard. Você deve adquirir uma licença
para acessar todos os recursos mais recentes. As verificações de auditoria de segurança do FortiOS
5.6 continuarão em execução, mas as seguintes atualizações estão disponíveis apenas quando você
compra uma licença de classificação de segurança:
⦁ Atualizações do FortiGuard
⦁ A capacidade de executar verificações de classificação de segurança em cada dispositivo licenciado ou em
todos os FortiGates no Security Fabric a partir do FortiGate raiz
⦁ Novas verificações de classificação 6.0
⦁ A capacidade de enviar pontuações de classificação ao FortiGuard e receber classificações de classificação
de segurança do FortiGuard para classificar clientes por percentil

36-

Security rating is a subscription service that requires a security rating license. This service now
provides the ability to perform many best practices, including password checks, to audit and
strengthen your network security.
The Security Rating page is separated into three major scorecards:
⦁ Security Posture
⦁ Fabric Coverage
⦁ Optimization
These scorecards provide executive summaries of the three largest areas of security focus in the
Security Fabric.
The scorecards show an overall letter grade and breakdown of the performance in sub-categories.
Clicking a scorecard drills down to a detailed report of itemized results and compliance
recommendations.
The point score represents the net score for all passed and failed items in that area. The report
includes the security controls that were tested against, linking to specific FSBP or PCI compliance
policies. You can click FSBP and PCI to reference the corresponding standard.

A classificação de segurança é um serviço de assinatura que requer uma licença de classificação de

segurança. Este serviço agora oferece a capacidade de realizar várias práticas recomendadas,
incluindo verificações de senha, para auditar e fortalecer a segurança da rede.
A página de Classificação de Segurança é separada em três scorecards principais:
⦁ Postura de Segurança
⦁ Cobertura de tecido
⦁ Otimização
Esses scorecards fornecem resumos executivos das três maiores áreas de enfoque de segurança no
Security Fabric.
Os scorecards mostram uma nota geral por letras e detalhamento do desempenho em subcategorias.
Clicar em um scorecard leva a um relatório detalhado de resultados discriminados e recomendações
de conformidade.
A pontuação representa a pontuação líquida de todos os itens aprovados e reprovados nessa área. O
relatório inclui os controles de segurança que foram testados, vinculando-os a políticas de
conformidade FSBP ou PCI específicas. Você pode clicar em FSBP e PCI para fazer referência ao
padrão correspondente.

37-

Click on the Security Posture scorecard on the Security Rating page to expand the scorecard and see
more details.
The security posture service now supports the following:
⦁ Customer rankings by percentile using security audit (FortiGuard data): Security rating now supports
sending results to FortiGuard, and receiving statistics from FortiGuard. Results are displayed to customer in
the form of percentile.
⦁ Security audits running in the background, not just on demand, when an administrator is logged into
the GUI. When you view the security audit page, the latest saved security audit data is loaded. From the
GUI you can run audits on demand and view results for different devices in the Security Fabric. You can
also view all results or just failed test results.
⦁ New security checks that can help you make improvements to your organization’s network. These
results include enforcing password security, applying recommended login attempt thresholds, encouraging
two factor authentication, and more.

Clique no scorecard de Postura de Segurança na página Classificação de Segurança para expandir o

scorecard e ver mais detalhes.
O serviço de postura de segurança agora oferece suporte ao seguinte:
⦁ Classificações de clientes por percentil usando auditoria de segurança (dados do FortiGuard): A
classificação de segurança agora suporta o envio de resultados para o FortiGuard e o recebimento de
estatísticas do FortiGuard. Os resultados são exibidos para o cliente na forma de percentil.
⦁ Auditorias de segurança em execução em segundo plano, não apenas sob demanda, quando um
administrador está conectado à GUI. Quando você visualiza a página de auditoria de segurança, os dados
de auditoria de segurança salvos mais recentes são carregados. A partir da GUI, você pode executar
auditorias sob demanda e visualizar os resultados de diferentes dispositivos no Security Fabric. Você
também pode ver todos os resultados ou apenas os resultados dos testes com falha.
⦁ Novas verificações de segurança que podem ajudá-lo a fazer melhorias na rede da sua organização. Esses
resultados incluem reforçar a segurança da senha, aplicar limites de tentativa de login recomendados,
incentivar a autenticação de dois fatores e muito mais.

38-

The Security rating service reports the security posture score per the Security Fabric group.
FortiGuard Security Rating Service is a subscription-based service that takes the generated report
and obtains analysis by FortiGuard. It compares security score results within the industry that the
fabric group belongs to. All FortiGate devices in the group need to have FortiGuard Security Rating
Service and the score can be obtained only on the Security Fabric root node. The score can be
obtained after the security rating report is generated. The scores are presented as percentiles, and
are based on the industry, the size of the organization, and the region.

O serviço de classificação de segurança relata a pontuação da postura de segurança por grupo do

Security Fabric. O FortiGuard Security Rating Service é um serviço baseado em assinatura que
obtém o relatório gerado e obtém a análise do FortiGuard. Ele compara os resultados da pontuação
de segurança dentro do setor ao qual o grupo de malhas pertence. Todos os dispositivos FortiGate
do grupo precisam ter o FortiGuard Security Rating Service e a pontuação pode ser obtida apenas no
nó raiz do Security Fabric. A pontuação pode ser obtida após a geração do relatório de classificação
de segurança. As pontuações são apresentadas como percentis e baseiam-se no setor, no tamanho
da organização e na região.

39-
You can view the Security Fabric topology on the FortiGate GUI, from the Security Fabric menu. You
can select the Physical Topology or Logical Topology view. To view the complete network, you must
access the topology views on the root FortiGate in the Security Fabric.
The Physical Topology view displays your network as a bubble chart of interconnected devices.
These devices are grouped based on the upstream device they are connected to. The bubbles appear
smaller or larger, based on their traffic volume. You can double-click any bubble to resize it and view
more information about the device.
The Logical Topology view is similar to the Physical Topology view, but it shows the network
interfaces, logical or physical, that are used to connect devices in the Security Fabric.
Você pode visualizar a topologia do Security Fabric na GUI do FortiGate, no menu do Security Fabric.
Você pode selecionar a visualização Topologia Física ou Topologia Lógica. Para visualizar a rede
completa, você deve acessar as visualizações de topologia no FortiGate raiz no Security Fabric.

A visualização Physical Topology exibe sua rede como um gráfico de bolhas de dispositivos
interconectados. Esses dispositivos são agrupados com base no dispositivo upstream ao qual estão
conectados. As bolhas parecem menores ou maiores, com base em seu volume de tráfego. Você
pode clicar duas vezes em qualquer bolha para redimensioná-la e ver mais informações sobre o
dispositivo.
A visualização Logical Topology é semelhante à visualização Physical Topology, mas mostra as
interfaces de rede, lógicas ou físicas, que são usadas para conectar dispositivos no Security Fabric.

40-
This slide shows the difference between the Physical Topology view and the Logical Topology view.

Este slide mostra a diferença entre a visualização Physical Topology e a visualização Logical Topology.

● LESSON 03: Firewall Policies

4-

To begin, you will learn about what firewall policies are.

Firewall policies define which traffic matches them and what FortiGate does when traffic does match.
Should the traffic be allowed? Initially, FortiGate bases this decision on simple criteria, such as the
source of the traffic. Then, if the policy does not block the traffic, FortiGate begins a more
computationally expensive security profile inspection–often known as unified threat management
(UTM)–such as antivirus, application control, and web filtering, if you’ve chosen it in the policy. Those
scans could block the traffic if, for example, it contains a virus. Otherwise, the traffic is allowed.
Will network address translation (NAT) be applied? Authentication required? Firewall policies also
determine the answers to these questions. After processing is finished, FortiGate forwards the packet
toward its destination.
FortiGate looks for the matching firewall policy from top to bottom and, if a match is found, the traffic is
processed based on the firewall policy. If no match is found, the traffic is dropped by the default
Implicit Deny firewall policy.

Para começar, você aprenderá o que são as políticas de firewall.

As políticas de firewall definem qual tráfego corresponde a eles e o que o FortiGate faz quando o
tráfego corresponde.
O tráfego deve ser permitido? Inicialmente, o FortiGate baseia essa decisão em critérios simples,
como a origem do tráfego. Então, se a política não bloquear o tráfego, o FortiGate começa uma
inspeção de perfil de segurança mais cara computacionalmente - muitas vezes conhecida como
gerenciamento unificado de ameaças (UTM) - como antivírus, controle de aplicativos e filtragem da
web, se você tiver escolhido no política. Essas verificações podem bloquear o tráfego se, por
exemplo, ele contiver um vírus. Caso contrário, o tráfego é permitido.
A conversão de endereço de rede (NAT) será aplicada? Autentificação requerida? As políticas de
firewall também determinam as respostas a essas perguntas. Após o término do processamento, o
FortiGate encaminha o pacote para seu destino.
O FortiGate procura a política de firewall correspondente de cima para baixo e, se uma
correspondência for encontrada, o tráfego é processado com base na política de firewall. Se
nenhuma correspondência for encontrada, o tráfego será descartado pela política de firewall de
negação implícita padrão.

5-

Each policy matches traffic and applies security by referring to the objects that you’ve defined, such
as addresses and profiles.
What about other firewall policy types? Do IPv6 or virtual wire policies exist? Yes. These policies use
slightly different objects that are relevant to their type. In this lesson, you will learn about IPv4 firewall
policies, because they are the most common use case.
Cada política corresponde ao tráfego e aplica segurança referindo-se aos objetos que você definiu,
como endereços e perfis.
E quanto a outros tipos de política de firewall? Existem políticas de IPv6 ou de fio virtual? Sim. Essas
políticas usam objetos ligeiramente diferentes que são relevantes para seu tipo. Nesta lição, você
aprenderá sobre as políticas de firewall IPv4, porque são o caso de uso mais comum.

6-

When a packet arrives, how does FortiGate find a matching policy? Each policy has match criteria,
which you can define using the following objects:
⦁ Incoming Interface
⦁ Outgoing Interface
⦁ Source: IP address, user, Internet services
⦁ Destination: IP address or Internet services
⦁ Service: IP protocol and port number
⦁ Schedule: Applies during configured times
When the traffic matches a firewall policy, FortiGate applies the action configured in the firewall policy.
⦁ If the Action is set to DENY, FortiGate drops the session.
⦁ If the Action is set to ACCEPT, FortiGate applies other configured settings for packet processing, such
as antivirus scanning, web filtering, or source NAT.
For example, if you want to block incoming FTP to all but a few FTP servers, you would define the
addresses of your FTP servers, select those as the destination, and select FTP as the service. You
probably wouldn’t specify a source (often any location on the Internet is allowed) or schedule (usually
FTP servers are always available, day or night). Finally, you would set the Action setting to ACCEPT.
This might be enough, but often you’ll want more thorough security. Here, the policy also
authenticates the user, scans for viruses, and logs blocked connection attempts.

Quando um pacote chega, como o FortiGate encontra uma política correspondente? Cada política
tem critérios de correspondência, que você pode definir usando os seguintes objetos:
⦁ Interface de entrada
⦁ Interface de saída
⦁ Fonte: endereço IP, usuário, serviços de Internet
⦁ Destino: endereço IP ou serviços de Internet
⦁ Serviço: protocolo IP e número da porta
⦁ Programação: Aplica-se durante os horários configurados
Quando o tráfego corresponde a uma política de firewall, o FortiGate aplica a ação configurada na
política de firewall.
⦁ Se a ação for definida como NEGAR, o FortiGate interrompe a sessão.
⦁ Se a ação for definida para ACEITAR, o FortiGate aplica outras configurações definidas para o
processamento de pacotes, como varredura antivírus, filtragem da web ou NAT de origem.
Por exemplo, se você deseja bloquear o FTP de entrada para todos, exceto alguns servidores FTP,
você deve definir os endereços de seus servidores FTP, selecioná-los como o destino e selecionar
FTP como o serviço. Você provavelmente não especificaria uma fonte (muitas vezes, qualquer local
na Internet é permitido) ou programação (geralmente os servidores FTP estão sempre disponíveis,
dia ou noite). Finalmente, você definiria a configuração de Ação para ACEITAR.
Isso pode ser suficiente, mas geralmente você deseja uma segurança mais completa. Aqui, a política
também autentica o usuário, verifica a existência de vírus e registra tentativas de conexão
bloqueadas.

7-

To begin describing how FortiGate finds a policy for each packet, let’s start with the interface(s).
Packets arrive on an incoming, or ingress, interface. Routing determines the outgoing, or egress,
interface. In each policy, you must set a source and destination interface; even if one or both are set
to any. Both interfaces must match the policy’s interface criteria in order to be a successful match.
For example, if you configure policies between port3 (LAN) ingress and port1 (WAN) egress and a
packet arrives on port2, the packet would not match your policies and, therefore, would be dropped
because of the implicit deny policy at the end of the list. Even if the policy is from port3 (LAN) ingress
to any egress, the packet would still be dropped because it did not match the incoming interface.
To simplify policy configuration, you can group interfaces into logical zones. For example, you could
group port4 to port7 as a DMZ zone. Zones can be created from the Interfaces page. However, you
should note that an interface in a zone cannot be referenced individually, and, if you need to add the
interface to the zone, you must remove all references to that interface (for example, firewall policies,
firewall addresses, and so on). If you think that you might need to reference interfaces individually,
you should set multiple source and destination interfaces in the firewall policy, instead of using zones.
Para começar a descrever como FortiGate encontra uma política para cada pacote, vamos começar
com a (s) interface (s).
Os pacotes chegam em uma interface de entrada ou entrada. O roteamento determina a interface de
saída ou saída. Em cada política, você deve definir uma interface de origem e destino; mesmo se um
ou ambos forem definidos como qualquer. Ambas as interfaces devem corresponder aos critérios de
interface da política para obter uma correspondência bem-sucedida.
Por exemplo, se você configurar políticas entre a entrada da porta 3 (LAN) e a saída da porta 1
(WAN) e um pacote chegar na porta 2, o pacote não corresponderá às suas políticas e, portanto,
será descartado devido à política de negação implícita no final de a lista. Mesmo se a política for da
entrada da porta 3 (LAN) para qualquer saída, o pacote ainda será descartado porque não
corresponde à interface de entrada.
Para simplificar a configuração da política, você pode agrupar interfaces em zonas lógicas. Por
exemplo, você pode agrupar a porta 4 na porta 7 como uma zona DMZ. As zonas podem ser criadas
na página Interfaces. No entanto, você deve observar que uma interface em uma zona não pode ser
referenciada individualmente e, se você precisar adicionar a interface à zona, deve remover todas as
referências a essa interface (por exemplo, políticas de firewall, endereços de firewall e assim por
diante) Se você acha que pode precisar fazer referência às interfaces individualmente, deve definir
várias interfaces de origem e destino na política de firewall, em vez de usar zonas.

8-

By default, you can select only a single interface as the incoming interface and a single interface as
the outgoing interface. This is because the option to select multiple interfaces, or any interface in a
firewall policy, is disabled on the GUI. However, you can enable the Multiple Interface Policies option
on the Feature Visibility page to disable the single interface restriction.
You can also specify multiple interfaces, or use the any option, if you configure a firewall policy on the
CLI, regardless of the default GUI setting.
It is also worth mentioning that when you choose the any interface option, you cannot select multiple
interfaces for that interface. In this example, because any is selected as the outgoing interface, you
cannot add any additional interfaces, because any interface implies that all interfaces have already
been selected.

Por padrão, você pode selecionar apenas uma única interface como interface de entrada e uma única
interface como interface de saída. Isso ocorre porque a opção de selecionar várias interfaces, ou
qualquer interface em uma política de firewall, está desabilitada na GUI. No entanto, você pode ativar
a opção Multiple Interface Policies na página Feature Visibility para desativar a restrição de interface
única.
Você também pode especificar interfaces múltiplas ou usar a opção any, se configurar uma política
de firewall na CLI, independentemente da configuração padrão da GUI.
Também vale a pena mencionar que ao escolher a opção qualquer interface, você não pode
selecionar várias interfaces para essa interface. Neste exemplo, como qualquer um está selecionado
como a interface de saída, você não pode adicionar nenhuma interface adicional, porque qualquer
interface implica que todas as interfaces já foram selecionadas.

9-

The next match criteria that FortiGate considers is the packet’s source.
In each firewall policy, you must select a source address object. Optionally, you can refine your
definition of the source address by also selecting a user, or a user group, which provides a much
more granular match, for increased security. You can also select ISDB objects as source in the
firewall policy which we will discuss later in the lesson.
When selecting a fully qualified domain name (FQDN) as the source address, it must be resolved by
DNS and cached in FortiGate. Make sure FortiGate is configured properly for DNS settings. If
FortiGate is not able to resolve an FQDN address, it will present a warning message, and a firewall
policy configured with that FQDN may not function properly.

O próximo critério de correspondência que o FortiGate considera é a fonte do pacote.

Em cada política de firewall, você deve selecionar um objeto de endereço de origem. Opcionalmente,
você pode refinar sua definição do endereço de origem selecionando também um usuário ou grupo
de usuários, que fornece uma correspondência muito mais granular, para maior segurança. Você
também pode selecionar objetos ISDB como fonte na política de firewall, que discutiremos mais tarde
nesta lição.
Ao selecionar um nome de domínio totalmente qualificado (FQDN) como o endereço de origem, ele
deve ser resolvido pelo DNS e armazenado em cache no FortiGate. Certifique-se de que o FortiGate
está configurado corretamente para as configurações de DNS. Se o FortiGate não for capaz de
resolver um endereço FQDN, ele apresentará uma mensagem de aviso, e uma política de firewall
configurada com aquele FQDN pode não funcionar corretamente.

10-
If a user is added as part of the source, FortiGate must verify the user before allowing or denying
access based on the firewall policy. There are different ways that a user can authenticate.
For local users, the username and password is configured locally on FortiGate. When a local user
authenticates, the credentials that they enter must match the username and password configured
locally on FortiGate.
For a remote user (for example, LDAP or RADIUS), FortiGate receives the username and password
from the remote user and passes this information to the authentication server. The authentication
server verifies the user login credentials and updates FortiGate. After FortiGate receives that
information, it grants access to the network based on the firewall policy.
A Fortinet single sign-on (FSSO) user's information is retrieved from the domain controller. Access is
granted based on the group information on FortiGate.

Se um usuário for adicionado como parte da fonte, o FortiGate deve verificar o usuário antes de
permitir ou negar acesso com base na política de firewall. Existem diferentes maneiras de um usuário
se autenticar.
Para usuários locais, o nome de usuário e a senha são configurados localmente no FortiGate.
Quando um usuário local se autentica, as credenciais inseridas devem corresponder ao nome de
usuário e senha configurados localmente no FortiGate.
Para um usuário remoto (por exemplo, LDAP ou RADIUS), o FortiGate recebe o nome de usuário e a
senha do usuário remoto e passa essas informações para o servidor de autenticação. O servidor de
autenticação verifica as credenciais de login do usuário e atualiza o FortiGate. Após o FortiGate
receber essas informações, ele concede acesso à rede com base na política do firewall.
As informações de um usuário do Fortinet single sign-on (FSSO) são recuperadas do controlador de
domínio. O acesso é concedido com base nas informações do grupo no FortiGate.

11-
In this example, source selectors identify the specific subnet and user group.
Remember, user is an optional object. The user object is used here to make the policy more specific.
If you wanted the policy to match more traffic, you would leave the user object undefined.
You can also use Internet service (ISDB) objects as a source in the firewall policy. There is an
either/or relationship between Internet service objects and source address objects in firewall policies.
This means that you can select either a source address or an Internet service, but not both.

Neste exemplo, os seletores de origem identificam a sub-rede específica e o grupo de usuários.

Lembre-se de que o usuário é um objeto opcional. O objeto de usuário é usado aqui para tornar a
política mais específica. Se você quiser que a política corresponda a mais tráfego, deve deixar o
objeto de usuário indefinido.
Você também pode usar objetos de serviço da Internet (ISDB) como uma fonte na política de firewall.
Há um relacionamento ou / ou entre os objetos de serviço da Internet e os objetos de endereço de
origem nas políticas de firewall. Isso significa que você pode selecionar um endereço de origem ou
um serviço de Internet, mas não ambos.

12-

Like the packet’s source, FortiGate also checks the destination address for a match.
You can use address objects or ISDB objects as destinations in the firewall policy. The address object
may be a host name, IP subnet, or range. If you enter an FQDN as the address object, make sure that
you’ve configured your FortiGate with DNS servers. FortiGate uses DNS to resolve those FQDN host
names to IP addresses, which are what actually appear in the IP header.
Geographic addresses, which are groups or ranges of addresses allocated to a country, can be
selected instead. These objects are updated through FortiGuard.
Why is there is no option to select a user? The user identification is determined at the ingress
interface, and packets are forwarded only to the egress interface after user authentication is
successful.

Como a fonte do pacote, FortiGate também verifica o endereço de destino para uma
correspondência.
Você pode usar objetos de endereço ou objetos ISDB como destinos na política de firewall. O objeto
de endereço pode ser um nome de host, sub-rede IP ou intervalo. Se você inserir um FQDN como o
objeto de endereço, certifique-se de ter configurado seu FortiGate com servidores DNS. FortiGate
usa DNS para resolver esses nomes de host FQDN em endereços IP, que são o que realmente
aparecem no cabeçalho IP.
Os endereços geográficos, que são grupos ou intervalos de endereços alocados a um país, podem
ser selecionados. Esses objetos são atualizados através do FortiGuard.
Por que não há opção para selecionar um usuário? A identificação do usuário é determinada na
interface de ingresso e os pacotes são encaminhados apenas para a interface de saída após a
autenticação do usuário ser bem-sucedida.

13-

Internet Service is a database that contains a list of IP addresses, IP protocols, and port numbers
used by the most common Internet services. FortiGate periodically downloads the newest version of
this database from FortiGuard. These can be selected as Source or Destination in the firewall policy.
What happens if you need to allow traffic to only a few well-known public Internet destinations, such
as Dropbox or Facebook?
When configuring your firewall policy, you can use Internet Service as the destination in a firewall
policy, which contains all the IP addresses, ports, and protocols used by that service. For the same
reason, you cannot mix regular address objects with ISDB objects, and you cannot select services on
a firewall policy. The ISDB objects already have services information which is hardcoded.
Compared with address objects, which you need to check frequently to make sure that none of the IP
addresses have changed or appropriate ports are allowed, Internet services helps make this type of
deployment easier and simpler.

Serviço de Internet é um banco de dados que contém uma lista de endereços IP, protocolos IP e
números de porta usados pelos serviços de Internet mais comuns. O FortiGate baixa periodicamente
a versão mais nova deste banco de dados do FortiGuard. Eles podem ser selecionados como Origem
ou Destino na política de firewall.
O que acontecerá se você precisar permitir o tráfego apenas para alguns destinos públicos
conhecidos da Internet, como o Dropbox ou o Facebook?
Ao configurar sua política de firewall, você pode usar o Serviço de Internet como destino em uma
política de firewall, que contém todos os endereços IP, portas e protocolos usados por esse serviço.
Pelo mesmo motivo, você não pode misturar objetos de endereço regulares com objetos ISDB e não
pode selecionar serviços em uma política de firewall. Os objetos ISDB já possuem informações de
serviços que estão codificadas permanentemente.
Em comparação com os objetos de endereço, que você precisa verificar frequentemente para
garantir que nenhum dos endereços IP tenha mudado ou que as portas apropriadas sejam
permitidas, os serviços de Internet ajudam a tornar esse tipo de implantação mais fácil e simples.

14-

Geographic-based ISDB objects allow users to define a country, region, and city. These objects can
be used in firewall policies for more granular control over the location of the parent ISDB object.
ISDB objects are referenced in policies by name, instead of by ID.

Os objetos ISDB com base geográfica permitem que os usuários definam um país, região e cidade.
Esses objetos podem ser usados em políticas de firewall para um controle mais granular sobre a
localização do objeto ISDB pai.
Os objetos ISDB são referenciados nas políticas por nome, em vez de por ID.

15-
Schedules add a time element to the policy. For example, you might use a policy to allow backup
software to activate at night, or create a test window for a remote address that is allowed for testing
purposes.
Schedules can be configured and use a 24-hour time clock. There are a few configuration settings
worth mentioning:
⦁ Recurring: If All Day is enabled, traffic will be allowed for 24 hours for the days selected. When
configuring recurring schedules, if the stop time is set earlier than the start time, the stop time will occur
the next day. For example, if you select Sunday as the day, 10:00 as the start time, and 09:00 as the stop
time, the schedule will stop on Monday at 09:00. If the start and stop time are identical, the schedule will
run for 24 hours.
⦁ One-time: The start date and time must be earlier than the stop date and time. You can also enable Pre-
expiration event log, which will generate an event log N number of days before the schedule expires,
where N can be from 1 to 100 days.

As programações adicionam um elemento de tempo à política. Por exemplo, você pode usar uma
política para permitir que o software de backup seja ativado à noite ou criar uma janela de teste para
um endereço remoto permitido para fins de teste.
As programações podem ser configuradas e usar um relógio de 24 horas. Existem algumas
configurações que valem a pena mencionar:
⦁ Recorrente: Se Dia inteiro estiver habilitado, o tráfego será permitido por 24 horas para os dias
selecionados. Ao configurar horários recorrentes, se a hora de parada for definida antes da hora de início, a
hora de parada ocorrerá no dia seguinte. Por exemplo, se você selecionar Domingo como o dia, 10:00
como hora de início e 09:00 como hora de parada, a programação irá parar na segunda-feira às 09:00. Se a
hora de início e de término forem idênticas, a programação será executada por 24 horas.
⦁ Único: A data e hora de início devem ser anteriores à data e hora de término. Você também pode habilitar
o registro de eventos de pré-expiração, o que irá gerar um registro de eventos N número de dias antes que
a programação expire, onde N pode ser de 1 a 100 dias.

16-
Another criterion that FortiGate uses to match policies is the packet’s service.
At the IP layer, protocol numbers (for example, TCP, UDP, SCTP, and so on) together with source
and destination ports, define each network service. Generally, only a destination port (that is, the
server’s listening port) is defined. Some legacy applications may use a specific source port, but in
most modern applications, the source port is randomly identified at transmission time, and therefore is
not a reliable way to define the service.
For example, the predefined service object named HTTP is TCP destination port 80, and the
predefined service object named HTTPS is TCP destination port 443. However, the source ports are
ephemeral and, therefore, not defined.
By default, services are grouped together to simplify administration by categories. If the predefined
services don’t meet your organizational needs, you can create one or more new services, service
groups, and categories.

Outro critério que FortiGate usa para combinar políticas é o serviço do pacote.
Na camada IP, os números de protocolo (por exemplo, TCP, UDP, SCTP e assim por diante) junto
com as portas de origem e destino definem cada serviço de rede. Geralmente, apenas uma porta de
destino (ou seja, a porta de escuta do servidor) é definida. Alguns aplicativos legados podem usar
uma porta de origem específica, mas na maioria dos aplicativos modernos, a porta de origem é
identificada aleatoriamente no momento da transmissão e, portanto, não é uma maneira confiável de
definir o serviço.
Por exemplo, o objeto de serviço predefinido denominado HTTP é a porta de destino TCP 80 e o
objeto de serviço predefinido denominado HTTPS é a porta de destino TCP 443. No entanto, as
portas de origem são efêmeras e, portanto, não definidas.
Por padrão, os serviços são agrupados para simplificar a administração por categorias. Se os
serviços predefinidos não atendem às suas necessidades organizacionais, você pode criar um ou
mais novos serviços, grupos de serviços e categorias.

21-
When you configure a new firewall policy on the GUI, you must specify a unique name for the firewall
policy because it is enabled by default, but it is optional in the CLI. This helps the administrator to
quickly identify the policy that they are looking for. However, you can make this feature optional on the
GUI on the Feature Visibility page by enabling Allow Unnamed Policies.
Note that if a policy is configured without a policy name on the CLI and you modify that existing policy
on the GUI, you must specify a unique name. The FortiGate flat GUI view allows you to select
interfaces and other objects by clicking or dragging and dropping from the list populated on the right
side.
You can select Internet service as the source. Internet service is a combination of one or more
addresses and one or more services associated with a service found on the Internet, such as an
update service for software.
There are many other options that you can configure in the firewall policy, such as firewall and
network options, security profiles, logging options, and enabling or disabling a policy.
When creating firewall objects or policies, a universally unique identified (UUID) attribute is added so
that logs can record these UUID and improve functionality when integrating with FortiManager or
FortiAnalyzer.
When creating firewall policies, remember that FortiGate is a stateful firewall. As a result, you need to
create only one firewall policy that matches the direction of the traffic that initiates the session.
FortiGate will automatically remember the source-destination pair and allow replies.

Ao configurar uma nova política de firewall na GUI, você deve especificar um nome exclusivo para a
política de firewall, pois ela é habilitada por padrão, mas é opcional na CLI. Isso ajuda o
administrador a identificar rapidamente a política que está procurando. No entanto, você pode tornar
esse recurso opcional na GUI na página Visibilidade do recurso habilitando Permitir políticas sem
nome.
Observe que se uma política for configurada sem um nome de política no CLI e você modificar essa
política existente na GUI, deverá especificar um nome exclusivo. A visualização plana da GUI do
FortiGate permite que você selecione interfaces e outros objetos clicando ou arrastando e soltando
da lista preenchida no lado direito.
Você pode selecionar o serviço de Internet como a fonte. O serviço de Internet é uma combinação de
um ou mais endereços e um ou mais serviços associados a um serviço encontrado na Internet, como
um serviço de atualização de software.
Existem muitas outras opções que você pode configurar na política de firewall, como firewall e
opções de rede, perfis de segurança, opções de registro e habilitação ou desabilitação de uma
política.
Ao criar objetos ou políticas de firewall, um atributo identificado universalmente exclusivo (UUID) é
adicionado para que os logs possam registrar esses UUID e melhorar a funcionalidade ao integrar
com FortiManager ou FortiAnalyzer.
Ao criar políticas de firewall, lembre-se de que FortiGate é um firewall com estado. Como resultado,
você precisa criar apenas uma política de firewall que corresponda à direção do tráfego que inicia a
sessão. O FortiGate lembrará automaticamente o par origem-destino e permitirá respostas.

22-

One of the most important features that a firewall policy can apply is security profiles, such as IPS and
antivirus. A security profile inspects each packet in the traffic flow, where the session has already
been conditionally accepted by the firewall policy.
When inspecting traffic, FortiGate can use one of two methods: flow-based inspection or proxy-based
inspection. Different security features are supported by each inspection type.
Note that by default, the VOIP security profile option is not visible in the policy page on the GUI. You
need to enable VOIP on the Feature Visibility page.

Um dos recursos mais importantes que uma política de firewall pode aplicar são os perfis de
segurança, como IPS e antivírus. Um perfil de segurança inspeciona cada pacote no fluxo de tráfego,
onde a sessão já foi aceita condicionalmente pela política de firewall.
Ao inspecionar o tráfego, o FortiGate pode usar um de dois métodos: inspeção baseada em fluxo ou
inspeção baseada em proxy. Diferentes recursos de segurança são suportados por cada tipo de
inspeção.
Observe que, por padrão, a opção de perfil de segurança VOIP não está visível na página de política
na GUI. Você precisa habilitar VOIP na página Feature Visibility.

23-
If you have enabled logging in the policy, FortiGate will generate traffic logs after a firewall policy
closes an IP session.
By default, Log Allowed Traffic is enabled and set to Security Events and generates logs for only the
applied security profiles in the firewall policy. However, you can change the setting to All Sessions,
which generates logs for all sessions.
If you enable Generate Logs when Session Starts, FortiGate creates a traffic log when the session
begins. FortiGate also generates a second log for the same session when it is closed. But remember
that increasing logging decreases performance, so use it only when necessary.
During the session, if a security profile detects a violation, FortiGate records the attack log
immediately. To reduce the amount of log messages generated and improve performance, you can
enable a session table entry of dropped traffic. This creates the denied session in the session table
and, if the session is denied, all packets of that session are also denied. This ensures that FortiGate
does not have to do a policy lookup for each new packet matching the denied session, which reduces
CPU usage and log generation.
This option is in the CLI, and is called ses-denied-traffic. You can also set the duration for block
sessions. This determines how long a session will be kept in the session table by setting block-
session-timer in the CLI. By default, it is set to 30 seconds.
If the GUI option Generate Logs when Session Starts is not displayed, this means that your FortiGate
device does not have internal storage. This option is in the CLI, regardless of internal storage, and is
called set logtraffic-start enable.

Se você habilitou o log na política, o FortiGate irá gerar logs de tráfego após uma política de firewall
fechar uma sessão IP.
Por padrão, Log Allowed Traffic está habilitado e definido como Security Events e gera logs apenas
para os perfis de segurança aplicados na política de firewall. No entanto, você pode alterar a
configuração para Todas as sessões, o que gera logs para todas as sessões.
Se você habilitar Gerar Logs ao Iniciar a Sessão, o FortiGate cria um log de tráfego quando a sessão
começa. O FortiGate também gera um segundo log para a mesma sessão quando é fechado. Mas
lembre-se de que aumentar o registro diminui o desempenho, portanto, use-o apenas quando
necessário.
Durante a sessão, se um perfil de segurança detectar uma violação, o FortiGate registra o log de
ataque imediatamente. Para reduzir a quantidade de mensagens de log geradas e melhorar o
desempenho, você pode habilitar uma entrada na tabela de sessão de tráfego descartado. Isso cria a
sessão negada na tabela de sessão e, se a sessão for negada, todos os pacotes dessa sessão
também serão negados. Isso garante que o FortiGate não precise fazer uma pesquisa de política
para cada novo pacote que corresponda à sessão negada, o que reduz o uso da CPU e a geração de
logs.
Esta opção está na CLI e é chamada de tráfego negado ses. Você também pode definir a duração
das sessões de bloco. Isso determina por quanto tempo uma sessão será mantida na tabela de
sessões, definindo o temporizador da sessão de bloqueio no CLI. Por padrão, é definido como 30
segundos.
Se a opção GUI Gerar Logs quando a Sessão for iniciada não for exibida, significa que seu
dispositivo FortiGate não possui armazenamento interno. Esta opção está na CLI,
independentemente do armazenamento interno, e é chamada de set logtraffic-start enable.

24-

Two types of traffic shapers can be configured: shared and per IP.
A shared shaper applies a total bandwidth to all traffic using that shaper. The scope can be per policy
or for all policies referencing that shaper. FortiGate can count the packet rates of ingress and egress
to police traffic.
FortiGate allows you to create three types of traffic shaping policies:
⦁ Shared policy shaping: Bandwidth management of security policies
⦁ Per-IP shaping: Bandwidth management of user IP addresses
⦁ Application control shaping: Bandwidth management by application
When creating traffic shaping policies, you must ensure that the matching criteria is the same as the
firewall policies you want to apply shaping to. Note that these apply equally to TCP and UDP, and
UDP protocols may not recover as gracefully from packet loss.

Dois tipos de modeladores de tráfego podem ser configurados: compartilhado e por IP.
Um shaper compartilhado aplica uma largura de banda total a todo o tráfego que usa esse shaper. O
escopo pode ser por política ou para todas as políticas que fazem referência a esse shaper. O
FortiGate pode contar as taxas de entrada e saída dos pacotes para policiar o tráfego.
O FortiGate permite que você crie três tipos de políticas de modelagem de tráfego:
⦁ Moldagem de política compartilhada: gerenciamento de largura de banda de políticas de segurança
⦁ Moldagem por IP: gerenciamento de largura de banda de endereços IP de usuários
⦁ Modelagem de controle de aplicativo: gerenciamento de largura de banda por aplicativo
Ao criar políticas de modelagem de tráfego, você deve garantir que os critérios de correspondência
sejam iguais às políticas de firewall às quais deseja aplicar a modelagem. Observe que eles se
aplicam igualmente a TCP e UDP, e os protocolos UDP podem não se recuperar tão bem da perda
de pacotes.

25-

By default, IPv4 and IPv6 policies are combined into a single consolidated policy, rather than creating
and maintaining two different policy sets for IPv4 and IPv6.
You can share the Incoming Interface, Outgoing Interface, Schedule, and Service fields with both IPv4
and IPv6. For source addresses, destination addresses, and IP pool, you must select addresses for
both IPv4 and IPv6.
While configuring a consolidated firewall policy, you can configure a policy with IPv4 source
addresses, IPv4 destination addresses, and an IPv4 IP pool, without specifying any IPv6 references.
You can also configure the policy with same behavior for IPv6. However, if you want to combine IPv4
and IPv6, you must select both IPv4 addresses and IPv6 addresses in the Source and Destination
address fields in the firewall policy.The IP version of the sources and destinations in a policy must
match. For example, a policy cannot have only an IPv4 source and an IPv6 destination. The policy
table in the GUI can be filtered to show policies with IPv4, IPv6, or IPv4 and IPv6 sources and
destinations.
Note that by default, the IPv6 option is not visible in the policy table in the GUI. You need to enable
IPv6
on the Feature Visibility page.
When upgrading from FortiOS 6.2.3 to 6.4.0, if consolidated policy mode is enabled, consolidated
policies will be changed to firewall policies:
⦁ In NGFW profile-based mode, IPv4 and IPv6 policies will all be added to the firewall policy list, with
IPv6 policies listed after IPv4 policies.
⦁ In NGFW policy-based mode, policies will be changed from consolidated policies to firewall policies
on the CLI.

Por padrão, as políticas IPv4 e IPv6 são combinadas em uma única política consolidada, em vez de
criar e manter dois conjuntos de políticas diferentes para IPv4 e IPv6.
Você pode compartilhar os campos Interface de entrada, Interface de saída, Programação e Serviço
com IPv4 e IPv6. Para endereços de origem, endereços de destino e pool de IP, você deve
selecionar endereços para IPv4 e IPv6.
Ao configurar uma política de firewall consolidada, você pode configurar uma política com endereços
de origem IPv4, endereços de destino IPv4 e um pool de IP IPv4, sem especificar nenhuma
referência IPv6. Você também pode configurar a política com o mesmo comportamento para IPv6. No
entanto, se você deseja combinar IPv4 e IPv6, deve selecionar os endereços IPv4 e IPv6 nos
campos de endereço de origem e destino na política de firewall. A versão IP das origens e destinos
em uma política deve corresponder. Por exemplo, uma política não pode ter apenas uma origem IPv4
e um destino IPv6. A tabela de políticas na GUI pode ser filtrada para mostrar políticas com origens e
destinos IPv4, IPv6 ou IPv4 e IPv6.
Observe que, por padrão, a opção IPv6 não está visível na tabela de políticas na GUI. Você precisa
habilitar o IPv6
na página Visibilidade do recurso.
Ao atualizar do FortiOS 6.2.3 para 6.4.0, se o modo de política consolidada estiver habilitado, as
políticas consolidadas serão alteradas para políticas de firewall:
⦁ No modo baseado em perfil NGFW, as políticas IPv4 e IPv6 serão todas adicionadas à lista de políticas do
firewall, com as políticas IPv6 listadas após as políticas IPv4.
⦁ No modo baseado em política do NGFW, as políticas serão alteradas de políticas consolidadas para
políticas de firewall no CLI.

30-

Firewall policies appear in an organized list. The list is organized either in Interface Pair View or By
Sequence.
Usually, the list will appear in Interface Pair View. Each section contains policies for that ingress-
egress pair. Alternatively, you can view your policies as a single, comprehensive list by selecting By
Sequence at the top of the page.
In some cases, you won’t have a choice of which view is used.
If you use multiple source or destination interfaces, or the any interface in a firewall policy, policies
cannot be separated into sections by interface pairs–some would be triplets or more. So instead,
policies are then always displayed in a single list (By Sequence).
To help you remember the use of each interface, you can give them aliases by editing the interface on
the Network page. For example, you could call port1 ISP1. This can help to make your list of policies
easier to understand.

As políticas de firewall aparecem em uma lista organizada. A lista é organizada em Visualização de

par de interface ou por sequência.
Normalmente, a lista aparecerá na Visualização de pares de interface. Cada seção contém políticas
para esse par de entrada-saída. Como alternativa, você pode visualizar suas políticas como uma lista
única e abrangente, selecionando Por sequência na parte superior da página.
Em alguns casos, você não terá a escolha de qual visualização será usada.
Se você usar múltiplas interfaces de origem ou destino, ou qualquer interface em uma política de
firewall, as políticas não podem ser separadas em seções por pares de interface - algumas seriam
triplas ou mais. Portanto, em vez disso, as políticas são sempre exibidas em uma única lista (por
sequência).
Para ajudá-lo a se lembrar do uso de cada interface, você pode atribuir apelidos a elas editando a
interface na página Rede. Por exemplo, você pode ligar para port1 ISP1. Isso pode ajudar a tornar
sua lista de políticas mais fácil de entender.

31-

When you edit the policy, policy information will be visible.

This feature is very useful if admin wanted to check the policy usage such as last used, first used, hit
count, active sessions, and so on.

Quando você edita a política, as informações da política ficam visíveis.

Esse recurso é muito útil se o administrador quiser verificar o uso da política, como a última usada, a
primeira usada, a contagem de ocorrências, as sessões ativas e assim por diante.

32-
An important concept to understand about how firewall policies work is the precedence of order, or, if
you prefer a more recognizable term, first come, first served.
Policy IDs are identifiers. By default, policy IDs are not displayed on the policy list GUI. You can add a
policy ID column using the Configure Table settings icon.
FortiGate automatically assigns a policy ID when you create a new firewall policy on the GUI. The
policy ID never changes, even if you move the rule higher or lower in the sequence.
If you are enable Policy Advanced Options, then you can manually assign policy ID while creating a
new policy. If a duplicate entry is found, the system will produces an error, so you can assign a
different available policy ID number.
Policy Advanced Options is not available on the GUI by default, you need enable it on the Feature
Visibility page.

Um conceito importante para entender sobre como as políticas de firewall funcionam é a precedência
da ordem ou, se você preferir um termo mais reconhecível, primeiro a chegar, primeiro a ser servido.
IDs de política são identificadores. Por padrão, os IDs de política não são exibidos na GUI da lista de
política. Você pode adicionar uma coluna de ID de política usando o ícone Definir configurações da
tabela.
O FortiGate atribui automaticamente um ID de política quando você cria uma nova política de firewall
na GUI. O ID da política nunca muda, mesmo se você mover a regra para cima ou para baixo na
sequência.
Se você habilitar as Opções avançadas de política, poderá atribuir manualmente a ID da política ao
criar uma nova política. Se uma entrada duplicada for encontrada, o sistema produzirá um erro, então
você pode atribuir um número de ID de política disponível diferente.
As opções avançadas de política não estão disponíveis na GUI por padrão, você precisa ativá-las na
página Visibilidade do recurso.

33-
To simplify administration, you can group service and address objects. Then, you can reference that
group in the firewall policy, instead of selecting multiple objects each time or making multiple policies.
On this slide, four services are used to configure the policy: HTTP, HTTPS, FTP, and DNS. DNS is
used by browsers to resolve URLs to IP addresses because people remember domain names for web
sites instead of IP addresses. If you need to make many policies for web and FTP traffic, then it
makes sense to create a service object named Web-FTP. That way, you don’t have to manually select
all four services each time you make a policy. Policies can reference the Web-FTP service group
instead.
Also, you can consolidate source addresses in source groups.

Para simplificar a administração, você pode agrupar objetos de serviço e endereço. Em seguida,
você pode fazer referência a esse grupo na política de firewall, em vez de selecionar vários objetos a
cada vez ou fazer várias políticas.
Neste slide, quatro serviços são usados para configurar a política: HTTP, HTTPS, FTP e DNS. O
DNS é usado pelos navegadores para resolver URLs para endereços IP porque as pessoas se
lembram dos nomes de domínio dos sites em vez de endereços IP. Se você precisar fazer muitas
políticas para o tráfego da Web e FTP, faz sentido criar um objeto de serviço denominado Web-FTP.
Dessa forma, você não precisa selecionar manualmente todos os quatro serviços sempre que fizer
uma política. As políticas podem fazer referência ao grupo de serviços Web-FTP.
Além disso, você pode consolidar endereços de origem em grupos de origem.

34-
We’ve just shown several component objects that can be reused as you make policies. What if you
want to delete an object?
If an object is being used, you can’t delete it. First, you must reconfigure the objects that are currently
using it. The GUI provides a simple way to find out where in the FortiGate’s configuration an object is
being referenced. See the numbers in the Ref. column? They are the number of places where that
object is being used. The number is actually a link, so if you click it, you can see which objects are
using it.
In this example, the all address object is being used by the Training address group and three firewall
policies. If you select a firewall policy, you can use the Edit, View List, and View Properties tabs.
⦁ Edit: Allows you to edit the selected object. In this example, it shows the edit page for the firewall
policy ID 4.
⦁ View List: Allows you to view selected objects in its category. In this example, it will show you the list
of all the firewall policies.
⦁ View Properties: Shows where the object is used in that configuration. In this example, address object
all is being used in the destination address and source address of that firewall policy.

Acabamos de mostrar vários objetos de componente que podem ser reutilizados conforme você faz
políticas. E se você quiser excluir um objeto?
Se um objeto está sendo usado, você não pode excluí-lo. Primeiro, você deve reconfigurar os objetos
que o estão usando atualmente. A GUI fornece uma maneira simples de descobrir onde na
configuração do FortiGate um objeto está sendo referenciado. Veja os números na Ref. coluna? Eles
são o número de lugares onde o objeto está sendo usado. O número é na verdade um link, portanto,
se você clicar nele, poderá ver quais objetos o estão usando.
Neste exemplo, o objeto de todos os endereços está sendo usado pelo grupo de endereços de
treinamento e três políticas de firewall. Se você selecionar uma política de firewall, poderá usar as
guias Editar, Exibir lista e Exibir propriedades.
⦁ Editar: Permite que você edite o objeto selecionado. Neste exemplo, ele mostra a página de edição para a
política de firewall ID 4.
⦁ Exibir Lista: Permite que você visualize os objetos selecionados em sua categoria. Neste exemplo, ele
mostrará a lista de todas as políticas de firewall.
⦁ Exibir Propriedades: Mostra onde o objeto é usado nessa configuração. Neste exemplo, o objeto de
endereço all está sendo usado no endereço de destino e no endereço de origem dessa política de firewall.
35-

You can right-click any firewall policy to see different menu options to edit or modify the policy. The
options include enabling or disabling a firewall policy, inserting firewall policies (above or below),
copying and pasting policies, and cloning reverse (only if NAT is disabled on that policy).
Clicking Edit in CLI opens the CLI console for the selected firewall policy or object. It shows the
configured settings in the CLI and can modify the selected firewall policy or object directly in the CLI
Console.

Você pode clicar com o botão direito em qualquer política de firewall para ver diferentes opções de
menu para editar ou modificar a política. As opções incluem habilitar ou desabilitar uma política de
firewall, inserir políticas de firewall (acima ou abaixo), copiar e colar políticas e clonagem reversa
(somente se o NAT estiver desabilitado nessa política).
Clicar em Editar na CLI abre o console da CLI para a política ou objeto de firewall selecionado. Ele
mostra as configurações definidas no CLI e pode modificar a política de firewall ou objeto selecionado
diretamente no Console CLI.

36-
You can filter firewall policies on the GUI using filters in each column. You can add the ID column and
then click the ID column filter icon to filter and search policies based on policy Id numbers. You can
click the Name filter icon to search policies based on policy name, and so on.

Você pode filtrar políticas de firewall na GUI usando filtros em cada coluna. Você pode adicionar a
coluna de ID e clicar no ícone de filtro da coluna de ID para filtrar e pesquisar políticas com base nos
números de ID da política. Você pode clicar no ícone de filtro Nome para pesquisar políticas com
base no nome da política e assim por diante.

40-

When configuring names for firewall objects, only certain characters are supported. For example,
Training(LAN) is not a valid name for an address object because it includes special characters that
are not supported. Although spaces are supported in the names, as a best practice, avoid using
spaces in names. Instead, use a hyphen or underscore. Using spaces can cause issues when trying
to modify on the CLI or troubleshooting.
However, many special characters are supported in passwords, comments, replacement messages,
and so on.

Ao configurar nomes para objetos de firewall, apenas alguns caracteres são suportados. Por
exemplo, Treinamento (LAN) não é um nome válido para um objeto de endereço porque inclui
caracteres especiais que não são suportados. Embora espaços sejam suportados nos nomes, como
prática recomendada, evite usar espaços nos nomes. Em vez disso, use um hífen ou sublinhado. O
uso de espaços pode causar problemas ao tentar modificar na CLI ou solucionar problemas.
No entanto, muitos caracteres especiais são suportados em senhas, comentários, mensagens de
substituição e assim por diante.

41-

Always plan a maintenance window and create a test case for a few IP addresses, users, before
implementing configuration changes in the production network. Any configuration changes made
using the GUI or CLI take effect immediately, and can interrupt service.
As a best practice, try to configure firewall policies as specifically as possible. This helps to restrict
access only to those resources. For example, use proper subnets when configuring address objects.
Another setting worth mentioning is security profiles. Security profiles help to provide appropriate
security for your network. Proper logging configuration can also help you to analyze, diagnose, and
resolve common network issues.

Sempre planeje uma janela de manutenção e crie um caso de teste para alguns endereços IP,
usuários, antes de implementar alterações de configuração na rede de produção. Quaisquer
alterações de configuração feitas usando a GUI ou CLI entram em vigor imediatamente e podem
interromper o serviço.
Como prática recomendada, tente configurar as políticas de firewall da forma mais específica
possível. Isso ajuda a restringir o acesso apenas a esses recursos. Por exemplo, use sub-redes
adequadas ao configurar objetos de endereço.
Outra configuração que vale a pena mencionar são os perfis de segurança. Perfis de segurança
ajudam a fornecer segurança apropriada para sua rede. A configuração de registro adequada
também pode ajudá-lo a analisar, diagnosticar e resolver problemas comuns de rede.

42-
Remember you learned that only the first matching policy applies? Arranging your policies in the
correct position is important. It affects which traffic is blocked or allowed. In the applicable interface
pair’s section, FortiGate looks for a matching policy, beginning at the top. So, you should put more
specific policies at the top; otherwise, more general policies will match the traffic first, and more
granular policies will never be applied.
In the example shown on this slide, you’re moving the Block_FTP policy (ID 2) that matches only FTP
traffic, to a position above a more general Full_Access (accept everything from everywhere) policy.
Otherwise, FortiGate would always apply the first matching policy in the applicable interface pairs–
Full_Access–and never reach the Block_FTP policy.
When moving the policies across the policy list, policy IDs remain unchanged.
Note that FortiGate assigns the next highest available ID number as policies are created.
Note that, policy IDs are identifiers and are not displayed by default on the policy list GUI. You can
add a policy ID column using Configure Table settings icon.

Lembra que você aprendeu que apenas a primeira política de correspondência se aplica? Organizar
suas políticas na posição correta é importante. Afeta o tráfego bloqueado ou permitido. Na seção do
par de interface aplicável, FortiGate procura uma política de correspondência, começando no topo.
Portanto, você deve colocar políticas mais específicas no topo; caso contrário, políticas mais gerais
corresponderão primeiro ao tráfego e políticas mais granulares nunca serão aplicadas.
No exemplo mostrado neste slide, você está movendo a política Block_FTP (ID 2) que corresponde
apenas ao tráfego de FTP, para uma posição acima de uma política Full_Access mais geral (aceitar
tudo de qualquer lugar).
Caso contrário, o FortiGate sempre aplicaria a primeira política de correspondência nos pares de
interface aplicáveis -
Full_Access - e nunca alcance a política Block_FTP.
Ao mover as políticas pela lista de políticas, os IDs das políticas permanecem inalterados.
Observe que o FortiGate atribui o próximo número de ID mais alto disponível conforme as políticas
são criadas.
Observe que os IDs de política são identificadores e não são exibidos por padrão na GUI da lista de
política. Você pode adicionar uma coluna de ID de política usando o ícone Definir configurações da
tabela.

43-
In order to optimize and consolidate firewall policies, always check all configured settings. In this
example, the two firewall policies have differences in terms of services, security profiles, and logging
settings. You can consolidate these two firewall policies by combining services and choosing
appropriate logging settings.
If you select Security Events (UTM) for the logging settings, traffic logs will not be generated for
ALL_ICMP traffic.
Note that the ALL_ICMP service is not subject to web filter and antivirus scans, which means that
applying these security profiles to the ICMP traffic will result in the traffic passing through without
being inspected.

Para otimizar e consolidar as políticas de firewall, sempre verifique todas as configurações definidas.
Neste exemplo, as duas políticas de firewall têm diferenças em termos de serviços, perfis de
segurança e configurações de registro. Você pode consolidar essas duas políticas de firewall
combinando serviços e escolhendo as configurações de registro apropriadas.
Se você selecionar eventos de segurança (UTM) para as configurações de registro, os registros de
tráfego não serão gerados para
Tráfego ALL_ICMP.
Observe que o serviço ALL_ICMP não está sujeito a filtros da Web e varreduras de antivírus, o que
significa que a aplicação desses perfis de segurança ao tráfego ICMP resultará na passagem do
tráfego sem ser inspecionado.

44-
You can find a matching firewall policy based on the policy lookup input criteria. Policy lookup creates
a packet flow over FortiGate without real traffic. From this, policy lookup can extract a policy ID from
the flow trace and highlight it on the GUI policy configuration page.
Depending on the protocol you select (for example, TCP, UDP, IP, ICMP, and so on), you need to
define other input criteria. For example, when you select TCP as the protocol, you need to define the
source address, source port (optional), destination port, and destination address. When you select
ICMP as the protocol, you need to define the ICMP type/code, source address, and destination
address.
When FortiGate is performing policy lookup, it performs a series of checks on ingress, stateful
inspection, and egress, for the matching firewall policy, from top to bottom, before providing results for
the matching policy.
Note that if the firewall policy status is set to disable, the policy lookup skips the disabled policy and
checks for the next matching policy in the list.

Você pode encontrar uma política de firewall correspondente com base nos critérios de entrada da
pesquisa de política. A consulta de política cria um fluxo de pacotes no FortiGate sem tráfego real. A
partir disso, a consulta de política pode extrair um ID de política do rastreamento de fluxo e destacá-
lo na página de configuração de política da GUI.
Dependendo do protocolo selecionado (por exemplo, TCP, UDP, IP, ICMP e assim por diante), você
precisa definir outros critérios de entrada. Por exemplo, ao selecionar TCP como protocolo, você
precisa definir o endereço de origem, a porta de origem (opcional), a porta de destino e o endereço
de destino. Ao selecionar ICMP como protocolo, você precisa definir o tipo / código ICMP, o endereço
de origem e o endereço de destino.
Quando o FortiGate está realizando uma pesquisa de política, ele realiza uma série de verificações
na entrada, inspeção com estado e saída, para a política de firewall correspondente, de cima para
baixo, antes de fornecer resultados para a política de correspondência.
Observe que se o status da política de firewall estiver definido como desabilitado, a consulta de
política ignora a política desabilitada e verifica a próxima política correspondente na lista.

45-
Based on the input criteria, after clicking Search, the trace result will be selected and highlighted on
the
Firewall Policy page.
Why didn’t policy ID #1 or ID #2 match the input criteria?
Because policy ID #1 status is set to disable, policy lookup skips the disabled policy. For firewall
policy
ID #2 , it doesn’t match the destination port specified in the policy lookup matching criteria.

Com base nos critérios de entrada, após clicar em Pesquisar, o resultado do rastreamento será
selecionado e destacado no
Página de política de firewall.
Por que a política ID # 1 ou ID # 2 não correspondem aos critérios de entrada?
Como o status da ID # 1 da política está definido como desabilitado, a consulta de política ignora a
política desabilitada. Para política de firewall
ID # 2, não corresponde à porta de destino especificada nos critérios de correspondência da
pesquisa de política.

● LESSON 04: Network Address Translation (NAT)

4-
NAT is the process that enables a single device, such as a firewall or router, to act as an agent
between the Internet, or public network, and a local, or private, network.
NAT is usually implemented for one, or a combination, of the following reasons:
⦁ Improved security: The addresses behind the NAT device are virtually hidden.
⦁ Amplification of addresses: Hundreds of computers can use as few as one public IP address.
⦁ Internal address stability: The addresses can stay the same, even if Internet service providers (ISPs)
change.
NAT and PAT, also known as NAPT, translate internal, typically private, IP addresses to external,
typically public or Internet, IP addresses. In FortiOS, NAT and traffic forwarding apply to the same
firewall policy.
However, diagnostics clearly show NAT and forwarding as separate actions.
⦁ For outgoing connections: The NAT option in a central SNAT, IP pool, and central SNAT table can
be used and is known as source NAT.
⦁ For incoming connections: Virtual IPs (VIPs) and DNAT can be used and are known as destination
NAT.
NAT64 and NAT46 are the terms used to refer to the mechanism that allows IPv6 addressed hosts to
communicate with IPv4 addressed hosts and the reverse. Without this mechanism, an IPv6 node on a
network, such as a corporate LAN, would not be able to communicate with a website that was in an
IPv4-only environment, and IPv4 environments would not be able to connect to IPv6 networks.
NAT66 is NAT between two IPv6 networks.

NAT é o processo que permite que um único dispositivo, como um firewall ou roteador, atue como um
agente entre a Internet, ou rede pública, e uma rede local ou privada.
O NAT é geralmente implementado por um ou uma combinação dos seguintes motivos:
⦁ Segurança aprimorada: os endereços por trás do dispositivo NAT estão virtualmente ocultos.
⦁ Amplificação de endereços: Centenas de computadores podem usar apenas um endereço IP público.
⦁ Estabilidade de endereço interno: Os endereços podem permanecer os mesmos, mesmo se os provedores
de serviços de Internet (ISPs) mudarem.
NAT e PAT, também conhecidos como NAPT, traduzem endereços IP internos, geralmente privados,
em endereços IP externos, geralmente públicos ou da Internet. No FortiOS, o NAT e o
encaminhamento de tráfego se aplicam à mesma política de firewall.
No entanto, os diagnósticos mostram claramente o NAT e o encaminhamento como ações
separadas.
⦁ Para conexões de saída: A opção NAT em um SNAT central, conjunto de IP e tabela SNAT central pode
ser usada e é conhecida como NAT de origem.
⦁ Para conexões de entrada: IPs virtuais (VIPs) e DNAT podem ser usados e são conhecidos como NAT de
destino.
NAT64 e NAT46 são os termos usados para se referir ao mecanismo que permite que hosts
endereçados IPv6 se comuniquem com hosts endereçados IPv4 e vice-versa. Sem esse mecanismo,
um nó IPv6 em uma rede, como uma LAN corporativa, não seria capaz de se comunicar com um site
que estivesse em um ambiente somente IPv4 e os ambientes IPv4 não seriam capazes de se
conectar a redes IPv6.
NAT66 é o NAT entre duas redes IPv6.

5-

When you use firewall policy NAT mode, you must configure SNAT and DNAT for each firewall policy.
Central NAT configurations are done per virtual domain, which means SNAT and DNAT
configurations automatically apply to multiple firewall policies. This is according to the SNAT and
DNAT rules that you specify, as opposed to each firewall policy in firewall policy NAT.
As a best practice, when you use central NAT, you should configure specific SNAT and DNAT rules,
so that they match only the desired firewall policies in your configuration.
Both firewall policy NAT and central NAT produce the same results; however, some deployment
scenarios are best suited to firewall policy NAT and some are best suited to central NAT.
Firewall policy NAT is suggested for deployments that include relatively few NAT IP addresses and
where each NAT IP address would have separate policies and security profiles. Central NAT is
suggested for more complex scenarios where multiple NAT IP addresses have identical policies and
security profiles, or in next generation firewall (NGFW) policy mode, where the appropriate policy may
not be determined at the first packet.

Ao usar o modo NAT de política de firewall, você deve configurar SNAT e DNAT para cada política de
firewall.
As configurações centrais de NAT são feitas por domínio virtual, o que significa que as configurações
SNAT e DNAT se aplicam automaticamente a várias políticas de firewall. Isso está de acordo com as
regras SNAT e DNAT que você especifica, em oposição a cada política de firewall na política de
firewall NAT.
Como prática recomendada, ao usar o NAT central, você deve configurar regras SNAT e DNAT
específicas, para que correspondam apenas às políticas de firewall desejadas em sua configuração.
O NAT da política de firewall e o NAT central produzem os mesmos resultados; no entanto, alguns
cenários de implantação são mais adequados para a política de firewall NAT e alguns são mais
adequados para o NAT central.
A política de firewall NAT é sugerida para implantações que incluem relativamente poucos endereços
IP NAT e onde cada endereço IP NAT teria políticas e perfis de segurança separados. O NAT central
é sugerido para cenários mais complexos em que vários endereços IP NAT têm políticas e perfis de
segurança idênticos ou no modo de política de firewall de próxima geração (NGFW), onde a política
apropriada pode não ser determinada no primeiro pacote.

10-

There two ways to configure firewall policy SNAT:

⦁ Use the outgoing interface address
⦁ Use the dynamic IP pool

Existem duas maneiras de configurar a política de firewall SNAT:

⦁ Use o endereço da interface de saída
⦁ Use o pool de IP dinâmico

11-
The source NAT option uses the egress interface address when NAT is enabled on the firewall policy.
This is many-to-one NAT. In other words, PAT is used, and connections are tracked using the original
source address and source port combinations, as well as the allocated source port. This is the same
behavior as the overload IP pool type, which you will also learn about.
Optionally, you may select a fixed port, in which case the source port translation is disabled. With a
fixed port, if two or more connections require the same source port for a single IP address, only one
connection can establish.
In the example shown on this slide, a firewall policy from internal to wan1 (IP address 203.0.113.10) is
created, and the user initiates traffic from source 10.10.10.10:1025 destined for 192.168.10.10:80.
Because NAT is enabled on the firewall policy, the source IP address is translated to the egress
interface IP, with port translation.

A opção do NAT de origem usa o endereço da interface de saída quando o NAT está habilitado na
política de firewall. Este é o NAT muitos para um. Em outras palavras, o PAT é usado e as conexões
são rastreadas usando o endereço de origem original e as combinações de porta de origem, bem
como a porta de origem alocada. Este é o mesmo comportamento do tipo de pool de IP de
sobrecarga, sobre o qual você também aprenderá.
Opcionalmente, você pode selecionar uma porta fixa, caso em que a tradução da porta de origem é
desabilitada. Com uma porta fixa, se duas ou mais conexões exigirem a mesma porta de origem para
um único endereço IP, apenas uma conexão poderá ser estabelecida.
No exemplo mostrado neste slide, uma política de firewall interna para wan1 (endereço IP
203.0.113.10) é criada e o usuário inicia o tráfego da origem 10.10.10.10:1025 destinada a
192.168.10.10:80. Como o NAT está habilitado na política de firewall, o endereço IP de origem é
convertido para o IP da interface de saída, com a tradução da porta.

12-
IP pools are a mechanism that allow sessions leaving the FortiGate firewall to use NAT. An IP pool
defines a single IP address or a range of IP addresses to be used as the source address for the
duration of the session. These assigned addresses will be used instead of the IP address assigned to
that FortiGate interface.
IP pools are usually configured in the same range as the interface IP address.
When you configure the IP pools that will be used for NAT, there is a limitation that you must take into
account. If the IP addresses in the IP pool are different from the IP addresses that are assigned to the
interface(s), communications based on those IP addresses may fail if the routing is not properly
configured. For example, if the IP address assigned to an interface is 172.16.100.1/24, you cannot
choose
10.10.10.1 to 10.10.10.50 for the IP pool unless appropriate routing is configured.
There are four types of IP pools that can be configured on the FortiGate firewall:
⦁ Overload
⦁ One-to-one
⦁ Fixed port range
⦁ Port block allocation

Os pools de IP são um mecanismo que permite que as sessões que saem do firewall FortiGate usem
NAT. Um pool de IP define um único endereço IP ou um intervalo de endereços IP a serem usados
como o endereço de origem durante a sessão. Esses endereços atribuídos serão usados em vez do
endereço IP atribuído a essa interface FortiGate.
Os pools de IP são geralmente configurados no mesmo intervalo do endereço IP da interface.
Ao configurar os pools de IP que serão usados para NAT, há uma limitação que você deve levar em
consideração. Se os endereços IP no pool de IP forem diferentes dos endereços IP atribuídos à (s)
interface (s), as comunicações baseadas nesses endereços IP podem falhar se o roteamento não
estiver configurado corretamente. Por exemplo, se o endereço IP atribuído a uma interface é
172.16.100.1/24, você não pode escolher
10.10.10.1 a 10.10.10.50 para o pool de IP, a menos que o roteamento apropriado seja configurado.
Existem quatro tipos de pools de IP que podem ser configurados no firewall FortiGate:
⦁ Sobrecarga
⦁ Um para um
⦁ Faixa de porta fixa
⦁ Alocação de bloqueio de porta

13-

If you use an IP pool, the source address is translated to an address from that pool, rather than the
egress interface address. The larger the number of addresses in the pool, the greater the number of
connections that can be supported. For example, in an enterprise network where you require a
greater number of connections, or in a network where you want one subnet to use one specific public
IP over another to restrict access based on source IP address.
The default IP pool type is overload. In the overload IP pool type, a many-to-one or many-to-few
relationship and port translation is used.
In this example, source IP 10.10.10.10 will be translated to an IP address from the IP pool
(203.0.113.2 - 203.0.113.5).

Se você usar um pool de IP, o endereço de origem será traduzido para um endereço desse pool, em
vez do endereço da interface de saída. Quanto maior o número de endereços no pool, maior o
número de conexões que podem ser suportadas. Por exemplo, em uma rede corporativa onde você
precisa de um número maior de conexões ou em uma rede onde deseja que uma sub-rede use um IP
público específico em vez de outro para restringir o acesso com base no endereço IP de origem.
O tipo de pool de IP padrão é sobrecarga. No tipo de pool de IP de sobrecarga, um relacionamento
muitos-para-um ou muitos-para-poucos e a conversão de portas são usados.
Neste exemplo, o IP de origem 10.10.10.10 será convertido em um endereço IP do pool de IP
(203.0.113.2 - 203.0.113.5).

14-
In the one-to-one pool type, an internal IP address is mapped with an external address on a first-
come, first- served basis.
There is a single mapping of an internal address to an external address. Mappings are not fixed and,
if there are no more addresses available, a connection will be refused.
Also, in one-to-one, PAT is not required. In the example on this slide, you can see the same source
port is shown for both the ingress and egress address.

No tipo de pool um-para-um, um endereço IP interno é mapeado com um endereço externo com
base na ordem de chegada.
Existe um único mapeamento de um endereço interno para um endereço externo. Os mapeamentos
não são fixos e, se não houver mais endereços disponíveis, a conexão será recusada.
Além disso, no um-para-um, o PAT não é necessário. No exemplo deste slide, você pode ver que a
mesma porta de origem é mostrada para o endereço de entrada e saída.

15-

For the overload and one-to-one IP pool types, we do not need to define the internal IP range. For the
fixed port range type of IP pool, we can define both internal IP range and external IP range.
Since each external IP address and the number of available port numbers is a specific number, if the
number of internal IP addresses is also determined, we can calculate the port range for each address
translation combination. So we call this type fixed port range. This type of IP pool is a type of port
address translation (PAT).
The fixed port range allows fixed mapping of the internal start IP or internal end IP range to the
external start IP or external end IP range.
The example on this slide shows a fixed port range IP pool. The internal address range 10.0.1.10 to
10.0.1.11 maps to the external address range 10.200.1.7 to 10.200.1.8.

Para os tipos de pool de IP de sobrecarga e um para um, não precisamos definir o intervalo de IP
interno. Para o tipo de intervalo de porta fixa do pool de IP, podemos definir o intervalo de IP interno
e o intervalo de IP externo.
Como cada endereço IP externo e o número de números de porta disponíveis são um número
específico, se o número de endereços IP internos também for determinado, podemos calcular o
intervalo de portas para cada combinação de conversão de endereço. Portanto, chamamos esse tipo
de intervalo de portas fixas. Este tipo de pool de IP é um tipo de tradução de endereço de porta
(PAT).
O intervalo de porta fixa permite o mapeamento fixo do IP inicial interno ou intervalo de IP final
interno para o IP inicial externo ou intervalo de IP final externo.
O exemplo neste slide mostra um pool de IP de intervalo de porta fixa. O intervalo de endereço
interno 10.0.1.10 a
10.0.1.11 mapeia para o intervalo de endereços externos 10.200.1.7 a 10.200.1.8.

16-

IP Pool type port block allocation is also a type of PAT. It gives users a more flexible way to control
the way external IPs and ports are allocated.
Users need to define Block Size and Block Per User and external IP range. Block Size means how
many ports each block contains. Block per User means how many blocks each host or (internal IP)
can use.
The two CLI outputs shown on this slide illustrate the behavior difference between the port block
allocation IP pool type and the default overload IP pool type.
Using hping, a rogue client generates many SYN packets per second. In the first example, the port
block allocation type limits the client to 64 connections for that IP pool. Other users will not be
impacted by the rogue client.
In the second example, the overload type imposes no limits, and the rogue client uses many more
connections in the session table. Other users will be impacted.
Port block allocation timeout period is configurable on the FortiGate CLI.
A alocação de bloco de porta do tipo Pool de IP também é um tipo de PAT. Ele oferece aos usuários
uma maneira mais flexível de controlar a maneira como os IPs e portas externas são alocados.
Os usuários precisam definir o tamanho do bloco e o bloco por usuário e o intervalo de IP externo.
Tamanho do bloco significa quantas portas cada bloco contém. Bloco por usuário significa quantos
blocos cada host ou (IP interno) pode usar.
As duas saídas CLI mostradas neste slide ilustram a diferença de comportamento entre o tipo de pool
de IP de alocação de bloco de porta e o tipo de pool de IP de sobrecarga padrão.
Usando hping, um cliente não autorizado gera muitos pacotes SYN por segundo. No primeiro
exemplo, o tipo de alocação de bloco de porta limita o cliente a 64 conexões para esse pool de IP.
Outros usuários não serão afetados pelo cliente não autorizado.
No segundo exemplo, o tipo de sobrecarga não impõe limites e o cliente não autorizado usa muito
mais conexões na tabela de sessão. Outros usuários serão afetados.
O período de tempo limite de alocação de bloqueio de portas é configurável no FortiGate CLI.

17-

VIPs are DNAT objects. For sessions matching a VIP, the destination address is translated: usually a
public Internet address is translated to a server’s private network address. VIPs are selected in the
firewall policy’s Destination field.
The default VIP type is static NAT. This is a one-to-one mapping, which applies for incoming and
outgoing connections; that is, an outgoing policy with NAT enabled would use the VIP address instead
of the egress interface address. However, this behavior can be overridden using an IP pool.
The static NAT VIP can be restricted to forward only certain ports. For example, connections to the
external IP on port 8080 map to the internal IP on port 80.
On the CLI, you can select the NAT type as load-balance and server-load-balance. Plain load
balancing distributes connections from an external IP address to multiple internal addresses. Server
load balancing builds on that mechanism, using a virtual server and real servers, and provides
session persistence and server availability check mechanisms.
VIPs should be routable to the external facing (ingress) interface. FortiOS responds to ARP requests
for VIP and IP pool objects. ARP responses are configurable.
VIPs são objetos DNAT. Para sessões que correspondem a um VIP, o endereço de destino é
traduzido: normalmente, um endereço de Internet público é traduzido para o endereço de rede
privada de um servidor. VIPs são selecionados no campo Destino da política de firewall.
O tipo de VIP padrão é NAT estático. Este é um mapeamento um para um, que se aplica a conexões
de entrada e saída; ou seja, uma política de saída com NAT habilitado usaria o endereço VIP em vez
do endereço da interface de saída. No entanto, esse comportamento pode ser anulado usando um
pool de IP.
O VIP NAT estático pode ser restrito para encaminhar apenas algumas portas. Por exemplo, as
conexões com o IP externo na porta 8080 são mapeados para o IP interno na porta 80.
No CLI, você pode selecionar o tipo de NAT como equilíbrio de carga e equilíbrio de carga do
servidor. O balanceamento de carga simples distribui conexões de um endereço IP externo para
vários endereços internos. O balanceamento de carga do servidor baseia-se nesse mecanismo,
usando um servidor virtual e servidores reais, e fornece persistência de sessão e mecanismos de
verificação de disponibilidade do servidor.
Os VIPs devem ser roteáveis para a interface externa (entrada). O FortiOS responde às solicitações
ARP para objetos VIP e IP pool. As respostas ARP são configuráveis.

18-

In this example, source IP address 192.168.10.10 is trying to access destination IP address

203.0.113.22 over port TCP 80.
Connections to the VIP 203.0.113.22 are NATed to the internal host 10.10.10.10.
Because this is a static NAT, all NATed outgoing connections from 10.10.10.10 will use VIP address
203.0.113.22 in the packet’s IP source field and not the egress interface IP address 203.0.113.10.
Neste exemplo, o endereço IP de origem 192.168.10.10 está tentando acessar o endereço IP de
destino
203.0.113.22 pela porta TCP 80.
As conexões com o VIP 203.0.113.22 são conectadas ao host interno 10.10.10.10.
Como este é um NAT estático, todas as conexões de saída com NAT de 10.10.10.10 usarão o
endereço VIP
203.0.113.22 no campo de origem do pacote IP e não no endereço IP da interface de saída
203.0.113.10.
19-

In FortiOS, VIPs and firewall address objects are completely different, they are stored separately with
no overlap. By default, firewall address objects do not match VIPs. In the example shown on this
slide, the all address object as a destination in the first policy does not include any VIPs, so traffic
destined to the Webserver VIP will skip the first policy and match the second Allow_access. In order
for the first policy to match the VIP, you either need to edit the policy on the CLI and set match-vip
enable, which allows address objects to match the VIP address, or change the destination address of
the first policy to be the VIP in question.
Traffic is permitted to fall through to the next policy; however, when you use VIP firewall policies, there
can be some exceptions.
When VIP(s) are configured, for incoming (WAN to LAN) connections, it will be first matched against
the VIP table.
In the example shown on this slide, a firewall policy from WAN to LAN is configured with a specific
source and the action is Deny. There is second firewall policy that is allowing access to the VIP (the
destination address). Even though the deny firewall policy is at the top of the list, the denied source is
still allowed by the second firewall policy to access the VIP.
In order to block traffic from the denied source, you must enable set match-vip enable in the deny
firewall policy, which skips the VIP id checking. Alternatively, you can configure the destination
address as the virtual IP in the deny policy instead of all.
No FortiOS, VIPs e objetos de endereço de firewall são completamente diferentes, eles são
armazenados separadamente sem sobreposição. Por padrão, os objetos de endereço do firewall não
correspondem aos VIPs. No exemplo mostrado neste slide, o objeto de todos os endereços como
destino na primeira política não inclui nenhum VIP, portanto, o tráfego destinado ao VIP do servidor
da Web ignorará a primeira política e corresponderá ao segundo Allow_access. Para que a primeira
política corresponda ao VIP, você precisa editar a política no CLI e definir match-vip enable, que
permite que os objetos de endereço correspondam ao endereço VIP, ou alterar o endereço de
destino da primeira política para ser o VIP em questão.
O tráfego pode cair para a próxima política; entretanto, ao usar políticas de firewall VIP, pode haver
algumas exceções.
Quando VIP (s) são configurados, para conexões de entrada (WAN para LAN), eles serão
comparados primeiro com a mesa VIP.
No exemplo mostrado neste slide, uma política de firewall de WAN para LAN é configurada com uma
fonte específica e a ação é Negar. Há uma segunda política de firewall que permite o acesso ao VIP
(o endereço de destino). Mesmo que a política de firewall de negação esteja no topo da lista, a fonte
negada ainda é permitida pela segunda política de firewall para acessar o VIP.
Para bloquear o tráfego da origem negada, você deve habilitar set match-vip enable na política de
firewall de negação, que ignora a verificação de id VIP. Como alternativa, você pode configurar o
endereço de destino como o IP virtual na política de negação em vez de todos.

24-

By default, central NAT is disabled and can only be enabled on the CLI. After central NAT is enabled,
these two options are available to be configured on the GUI:
⦁ Central SNAT
⦁ DNAT & Virtual IPs
What happens if you try to enable central NAT, but there are still IP pool or VIPs configured in firewall
policies?
The CLI will not allow this and will present a message referencing the firewall policy ID with the VIP or
IP pool. You must remove VIP or IP pool references from existing firewall policies in order to enable
central NAT.
Central SNAT is mandatory for the new NGFW mode in policy-based. This means SNAT behaves
only according to the NAT settings found by clicking Policy & Objects > Central SNAT.
Por padrão, o NAT central está desabilitado e só pode ser habilitado no CLI. Após a ativação do NAT
central, essas duas opções estão disponíveis para serem configuradas na GUI:
⦁ SNAT Central
⦁ DNAT e IPs virtuais
O que acontece se você tentar habilitar o NAT central, mas ainda houver pool de IP ou VIPs
configurados nas políticas de firewall?
A CLI não permitirá isso e apresentará uma mensagem referenciando o ID da política de firewall com
o VIP ou pool de IP. Você deve remover as referências VIP ou de pool de IP das políticas de firewall
existentes para habilitar o NAT central.
SNAT central é obrigatório para o novo modo NGFW com base em políticas. Isso significa que o
SNAT se comporta apenas de acordo com as configurações NAT encontradas clicando em Política e
objetos> SNAT central.

25-
You can have more granular control, based on source and destination interfaces in the central SNAT
policy, over traffic passing through firewall policies.
You can now define matching criteria in the central SNAT policy, based on:
⦁ Source interface
⦁ Destination interface
⦁ Source address
⦁ Destination address
⦁ Protocol
⦁ Source port
Starting in FortiOS version 6.0, a matching central SNAT policy is mandatory for all firewall policies. If
there is no matching SNAT policy, no NAT will be applied and session will be created using original
source IP address.
If the central SNAT policy criteria matches the traffic based on multiple firewall policies, the central
SNAT policy will be applied to those firewall policies.
Similar to firewall policies, a central SNAT policy is processed from top to bottom and if a match is
found, source address and source port are translated based on that central SNAT policy.
Você pode ter um controle mais granular, com base nas interfaces de origem e destino na política
SNAT central, sobre o tráfego que passa pelas políticas de firewall.
Agora você pode definir critérios de correspondência na política SNAT central, com base em:
⦁ Interface de origem
⦁ Interface de destino
⦁ Endereço de origem
⦁ Endereço de destino
⦁ Protocolo
⦁ Porta de origem
A partir do FortiOS versão 6.0, uma política SNAT central correspondente é obrigatória para todas as
políticas de firewall. Se não houver uma política SNAT correspondente, nenhum NAT será aplicado e
a sessão será criada usando o endereço IP de origem original.
Se os critérios da política SNAT central corresponderem ao tráfego com base em várias políticas de
firewall, a política SNAT central será aplicada a essas políticas de firewall.
Semelhante às políticas de firewall, uma política SNAT central é processada de cima para baixo e, se
uma correspondência for encontrada, o endereço de origem e a porta de origem são convertidos com
base nessa política SNAT central.
26-

In the example shown on this slide, the central SNAT policy translates the source IP address to the
defined IP pool address (203.0.113.5). However, the translation takes place only if the traffic matches
all the variables defined in the central SNAT policy, that is, traffic from the source IP address through
the source interface internal to FortiGate must be destined for destination IP address (192.168.10.10)
through destination interface wan1 and the protocol must be TCP. For illustration purposes, only a
single IP address is used for the destination, and the IP pool type is set to overload with a single IP
address.
The firewall policy is created from internal to wan1 . There is no NAT option available in FortiOS
version 6.0 onwards firewall policy, and matching SNAT policy is mandatory to pass the traffic. If there
is no matching central SNAT policy, no NAT will be applied and session will be created using original
source IP address.
If the user tries any TCP-based sessions (for example HTTP, HTTPS) to the destination IP address
192.168.10.10, the source IP address will be translated to an IP pool address or addresses defined in
the central NAT policy.
What if the user tries to send any ICMP or UDP-based traffic to 192.168.10.10? Will the source
address be translated to the IP pool defined in the central NAT policy?
As the central SNAT policy does not match, FortiGate will apply no NAT. What if the user tries TCP-
based traffic to another destination IP address, 192.168.10.20? Will the source address be translated
to the IP pool defined in the central SNAT policy?
Again, the destination IP address of 192.168.10.20 does not match the central NAT policy, so
FortiGate will not apply NAT and firewall session will be created using original source IP.
No exemplo mostrado neste slide, a política SNAT central traduz o endereço IP de origem para o
endereço de pool de IP definido (203.0.113.5). No entanto, a tradução ocorre apenas se o tráfego
corresponder a todas as variáveis definidas na política SNAT central, ou seja, o tráfego do endereço
IP de origem através da interface de origem interna do FortiGate deve ser destinado ao endereço IP
de destino (192.168.10.10) através interface de destino wan1 e o protocolo deve ser TCP. Para fins
de ilustração, apenas um único endereço IP é usado para o destino, e o tipo de pool de IP é
configurado para sobrecarregar com um único endereço IP.
A política de firewall é criada de interna para wan1. Não há opção de NAT disponível na política de
firewall do FortiOS versão 6.0 em diante, e a política de SNAT correspondente é obrigatória para
passar o tráfego. Se não houver uma política SNAT central correspondente, nenhum NAT será
aplicado e a sessão será criada usando o endereço IP de origem original.
Se o usuário tentar qualquer sessão baseada em TCP (por exemplo HTTP, HTTPS) para o endereço
IP de destino 192.168.10.10, o endereço IP de origem será traduzido para um endereço de pool de
IP ou endereços definidos na política de NAT central.
E se o usuário tentar enviar qualquer tráfego baseado em ICMP ou UDP para 192.168.10.10? O
endereço de origem será convertido para o pool de IP definido na política central de NAT?
Como a política SNAT central não corresponde, o FortiGate não aplicará nenhum NAT. E se o
usuário tentar tráfego baseado em TCP para outro endereço IP de destino, 192.168.10.20? O
endereço de origem será convertido para o pool de IP definido na política SNAT central?
Novamente, o endereço IP de destino de 192.168.10.20 não corresponde à política de NAT central,
então o FortiGate não aplicará o NAT e a sessão de firewall será criada usando o IP de origem
original.

27-

Traditionally on FortiGate, VIPs are selected in the firewall policy as the destination address.
On FortiGate, you can configure DNAT and VIPs for DNAT. As soon as a VIP is configured, FortiGate
automatically creates a rule in the kernel to allow DNAT to occur. No additional configuration is
required.
Do you lose the granularity of being able to define a firewall policy for a specific VIP and services?
No, you don’t. If you have several WAN-to-internal policies and multiple VIPs, and you want to allow
specific services for specific VIPs, you can define each firewall policy with the destination address of
the mapped IP of the VIP, and select the appropriate services to allow or deny.
Note that if both central SNAT and central DNAT (VIP) are configured, the outgoing (internal-to-WAN)
traffic will source NAT, based on the matching central SNAT policy configurations and if there is not
matching central SNAT policy no NAT will applied outgoing traffic.
Tradicionalmente no FortiGate, os VIPs são selecionados na política de firewall como o endereço de
destino.
No FortiGate, você pode configurar DNAT e VIPs para DNAT. Assim que um VIP é configurado, o
FortiGate cria automaticamente uma regra no kernel para permitir que o DNAT ocorra. Nenhuma
configuração adicional é necessária.
Você perde a granularidade de ser capaz de definir uma política de firewall para um VIP e serviços
específicos?
Não, você não precisa. Se você tiver várias políticas de WAN para interno e vários VIPs e quiser
permitir serviços específicos para VIPs específicos, pode definir cada política de firewall com o
endereço de destino do IP mapeado do VIP e selecionar os serviços apropriados para permitir ou
negar.
Observe que se ambos SNAT central e DNAT central (VIP) estiverem configurados, o tráfego de
saída (interno para WAN) irá originar NAT, com base nas configurações de política SNAT central
correspondentes e se não houver política SNAT central correspondente, nenhum NAT será aplicado
tráfego de saída.
28-

In the example shown on this slide, a DNAT and VIP rule is created to map external IP address
203.0.113.22 to internal IP address 10.10.10.10. Remember, as soon as a VIP is created, a rule is
created in the kernel to allow DNAT to occur.
The firewall policy from wan1 to internal is created with the destination address all or Mapped IP
Address/Range (10.10.10.10) of the VIP.
The source IP address 192.168.10.10 is trying to access the destination IP address 203.0.113.22 over
port TCP 80. Connections to the VIP 203.0.113.22 are NATed to the internal host 10.10.10.10,
without any additional configuration.
No exemplo mostrado neste slide, uma regra DNAT e VIP é criada para mapear o endereço IP
externo 203.0.113.22 para o endereço IP interno 10.10.10.10. Lembre-se, assim que um VIP é
criado, uma regra é criada no kernel para permitir que o DNAT ocorra.
A política de firewall de wan1 para interno é criada com o endereço de destino all ou Mapped IP
Address / Range (10.10.10.10) do VIP.
O endereço IP de origem 192.168.10.10 está tentando acessar o endereço IP de destino
203.0.113.22 na porta TCP 80. As conexões com o VIP 203.0.113.22 são conectadas ao host interno
10.10.10.10, sem qualquer configuração adicional.

29-

You can disable central NAT on the CLI by running set central-nat disable under the config system
setting. What happens to firewall policies that are using central SNAT and DNAT rules, if central NAT
is disabled?
For new firewall sessions, the incoming to outgoing firewall policies will no longer perform SNAT. You
must manually edit firewall policies to enable NAT and select appropriate IP pool addresses, which
were previously tied to the central SNAT policy.
Egress-to-ingress firewall policies that use DNAT and VIP will no longer perform DNAT. In central
NAT, the destination address in the firewall policy is simply an address object, not an actual VIP.
Without the central NAT hook into the DNAT table, the address object will cause a forward policy
check failure—the traffic will be denied by policy ID 0.
You must edit the egress-to-ingress firewall policies and select VIP as the destination address.
Você pode desabilitar o NAT central na CLI executando set central-nat disable na configuração do
sistema de configuração. O que acontecerá com as políticas de firewall que usam regras SNAT e
DNAT centrais, se o NAT central estiver desabilitado?
Para novas sessões de firewall, as políticas de firewall de entrada para saída não executarão mais
SNAT. Você deve editar manualmente as políticas de firewall para habilitar o NAT e selecionar os
endereços de pool de IP apropriados, que estavam anteriormente vinculados à política SNAT central.
As políticas de firewall de saída para entrada que usam DNAT e VIP não executarão mais DNAT. No
NAT central, o endereço de destino na política de firewall é simplesmente um objeto de endereço,
não um VIP real. Sem o gancho NAT central na tabela DNAT, o objeto de endereço causará uma
falha de verificação de política de encaminhamento - o tráfego será negado pela ID de política 0.
Você deve editar as políticas de firewall de saída para entrada e selecionar VIP como o endereço de
destino.

34-

Some application layer protocols are not fully independent of the lower layers, such as the network or
transport layers. The addresses may be repeated in the application layer, for example. If the session
helper detects a pattern like this, it may change the application headers, or create the required
secondary connections.
A good example of this is an application that has both a control channel and a data or media channel,
such as FTP. Firewalls will typically allow the control channel and rely on the session helpers to
handle the dynamic data or media transmission connections.
When more advanced application tracking and control is required, ALG can be used. The VOIP profile
is an example of an ALG.
Alguns protocolos da camada de aplicativo não são totalmente independentes das camadas
inferiores, como as camadas de rede ou de transporte. Os endereços podem ser repetidos na
camada de aplicação, por exemplo. Se o auxiliar de sessão detectar um padrão como esse, ele
poderá alterar os cabeçalhos do aplicativo ou criar as conexões secundárias necessárias.
Um bom exemplo disso é um aplicativo que possui um canal de controle e um canal de dados ou
mídia, como FTP. Normalmente, os firewalls permitem o canal de controle e contam com os
auxiliares de sessão para lidar com os dados dinâmicos ou conexões de transmissão de mídia.
Quando rastreamento e controle de aplicativo mais avançados são necessários, ALG pode ser
usado. O perfil VOIP é um exemplo de ALG.
35-

In the examples shown on this slide, the media recipient address in the SIP SDP payload is modified
to reflect the translated IP address.
Notice how, because firewall policies are stateful, a pinhole is opened to allow reply traffic,
even though you have not explicitly created a firewall policy to allow incoming traffic. This concept is
used with some other protocols, such as NAT-T for IPsec.
Nos exemplos mostrados neste slide, o endereço do destinatário da mídia na carga útil do SIP SDP é
modificado para refletir o endereço IP traduzido.
Observe como, como as políticas de firewall têm estado, um orifício é aberto para permitir o tráfego
de resposta,
mesmo que você não tenha criado explicitamente uma política de firewall para permitir o tráfego de
entrada. Este conceito é usado com alguns outros protocolos, como NAT-T para IPsec.

40-
You can view the Sessions page on the GUI, but the CLI provides more information regarding
sessions in the session table.
Firewall performance of connections for each session, and the maximum number of connections, are
indicated by the session table. However, if your FortiGate contains security processors designed to
accelerate processing without loading the CPU, the session table information may not be completely
accurate, because the session table reflects what is known to, and processed by, the CPU.
Você pode visualizar a página Sessões na GUI, mas a CLI fornece mais informações sobre as
sessões na tabela de sessões.
O desempenho das conexões do firewall para cada sessão e o número máximo de conexões são
indicados pela tabela de sessões. Porém, se o seu FortiGate contém processadores de segurança
projetados para acelerar o processamento sem carregar a CPU, as informações da tabela de sessão
podem não ser totalmente precisas, porque a tabela de sessão reflete o que é conhecido e
processado pela CPU.

41-

Each session on FortiGate can idle for a finite time, which is defined by TTL. When the FortiGate
detects the session is idle after some time of inactivity, and TTL is reached, the session is deleted
from the session table.
Because the session table has a finite amount of RAM that it can use on FortiGate, adjusting the
session TTL can improve performance. There are global default timers, session state timers, and
timers configurable in firewall objects.
Cada sessão no FortiGate pode ficar inativa por um tempo finito, que é definido pelo TTL. Quando o
FortiGate detecta que a sessão está ociosa após algum tempo de inatividade e o TTL é atingido, a
sessão é excluída da tabela de sessões.
Como a tabela de sessão tem uma quantidade finita de RAM que pode ser usada no FortiGate,
ajustar o TTL da sessão pode melhorar o desempenho. Existem cronômetros globais padrão,
cronômetros de estado de sessão e cronômetros configuráveis em objetos de firewall.

42-
The diagnose sys session command tree provides options to filter, clear, or show the list of sessions.
You can also list brief information about sessions by running the get system session list command.
Before looking at the session table, first build a filter. To look at our test connection, you can filter on
dst 10.200.1.254 and dport 80.
A árvore de comandos diagnose sys session fornece opções para filtrar, limpar ou mostrar a lista de
sessões. Você também pode listar informações breves sobre as sessões executando o comando get
system session list.
Antes de examinar a tabela de sessão, primeiro construa um filtro. Para ver nossa conexão de teste,
você pode filtrar em dst 10.200.1.254 e dport 80.

43-

In the example shown on this slide, you can see the session TTL, which reflects how long FortiGate
can go without receiving any packets for this session, until it will remove the session from its table.
Here you can see the routing and NAT actions that apply to the traffic. The firewall policy ID is also
tracked. The proto_state for TCP is taken from its state machine, which you’ll learn about in this
lesson.
No exemplo mostrado neste slide, você pode ver o TTL da sessão, que reflete quanto tempo o
FortiGate pode ficar sem receber nenhum pacote para esta sessão, até que ele remova a sessão de
sua tabela.
Aqui você pode ver o roteamento e as ações NAT que se aplicam ao tráfego. O ID da política de
firewall também é rastreado. O proto_state para TCP é obtido de sua máquina de estado, que você
aprenderá nesta lição.

44-

Earlier in this lesson, you learned that the session table contains a number that indicates the
connection’s current TCP state. These are the states of the TCP state machine. They are single-digit
values, but proto_state is always shown as two digits. This is because FortiGate is a stateful firewall
and keeps track of the original direction (client-side state) and the reply direction (server-side state). If
there are too many connections in the SYN state for long periods of time, this indicates a SYN flood,
which you can mitigate with DoS policies.
This table and flow graph correlate the second digit value with the different TCP session states. For
example, when the FortiGate receives the SYN packet, the second digit is 2. It goes to 3 once the
SYN/ACK is received. After the three-way handshake, the state value changes to 1.
When a session is closed by both sides, FortiGate keeps it in the session table for a few seconds
more, to allow any out-of-order packets that could arrive after the FIN/ACK packet. This is the state
value 5.
No início desta lição, você aprendeu que a tabela de sessão contém um número que indica o estado
atual do TCP da conexão. Esses são os estados da máquina de estado TCP. Eles são valores de um
dígito, mas proto_state é sempre mostrado como dois dígitos. Isso ocorre porque o FortiGate é um
firewall com estado e mantém o controle da direção original (estado do lado do cliente) e da direção
da resposta (estado do lado do servidor). Se houver muitas conexões no estado SYN por longos
períodos de tempo, isso indica uma inundação de SYN, que você pode mitigar com políticas DoS.
Esta tabela e gráfico de fluxo correlacionam o valor do segundo dígito com os diferentes estados de
sessão TCP. Por exemplo, quando o FortiGate recebe o pacote SYN, o segundo dígito é 2. Ele vai
para 3 quando o SYN / ACK é recebido. Após o handshake triplo, o valor do estado muda para 1.
Quando uma sessão é fechada por ambos os lados, o FortiGate a mantém na tabela de sessões por
mais alguns segundos, para permitir qualquer pacote fora de ordem que possa chegar após o pacote
FIN / ACK. Este é o valor de estado 5.

45-

Although (UDP) is a message-oriented, stateless protocol, it doesn’t inherently require confirmed

bidirectional connections like TCP, so there is no connection state. However, FortiGate’s session
table does use the proto_state= field to track the unidirectional UDP as state 0, and the bidirectional
UDP as state 1.
When FortiGate receives the first packet, it creates the entry and sets the state to 0. If the destination
replies, FortiGate updates the state flag to 1 for the remainder of the conversation.
Notably, (ICMP), such as ping and traceroute, have no protocol state and it will always show
proto_state=00.
Embora (UDP) seja um protocolo orientado a mensagem e sem estado, ele não requer
inerentemente conexões bidirecionais confirmadas como o TCP, portanto, não há estado de
conexão. No entanto, a tabela de sessão do FortiGate usa o campo proto_state = para rastrear o
UDP unidirecional como estado 0 e o UDP bidirecional como estado 1.
Quando o FortiGate recebe o primeiro pacote, ele cria a entrada e define o estado para 0. Se o
destino responder, o FortiGate atualiza o sinalizador de estado para 1 para o restante da conversa.
Notavelmente, (ICMP), como ping e traceroute, não tem estado de protocolo e sempre mostrará
proto_state = 00.

49-

NAT port exhaustion occurs when FortiGate is unable to allocate ports for performing NAT on new
sessions because there are no available ports. When NAT port exhaustion occurs, FortiGate informs
the administrator by displaying the log shown on this slide, with a severity of critical.
To address NAT port exhaustion, you must take one of the following actions:
⦁ Create an IP pool that has more than one external IP tied to it (so it load balances across them)
⦁ Reduce the number of sessions that require NAT
To receive important logs like this one, you must make sure that the necessary logging is enabled. On
the FortiGate GUI, click Log&Report > Log Settings, to check that the default setting, logging to disk
or memory, is activated.
A exaustão da porta NAT ocorre quando o FortiGate não consegue alocar portas para realizar o NAT
em novas sessões porque não há portas disponíveis. Quando ocorre o esgotamento da porta NAT, o
FortiGate informa o administrador exibindo o log mostrado neste slide, com gravidade crítica.
Para resolver o esgotamento da porta NAT, você deve realizar uma das seguintes ações:
⦁ Crie um pool de IP que tenha mais de um IP externo vinculado a ele (para que haja equilíbrio de carga
entre eles)
⦁ Reduza o número de sessões que requerem NAT
Para receber registros importantes como este, você deve certificar-se de que o registro necessário
está habilitado. Na GUI do FortiGate, clique em Registro e relatório> Configurações de registro para
verificar se a configuração padrão, registro em disco ou memória, está ativada.

50-

NAT port exhaustion is also highlighted by a rise in the clash counter from the diagnose system
session stat command.
O esgotamento da porta NAT também é destacado por um aumento no contador de interferências do
comando diagnose system session stat.

51-
You can use the diagnose firewall ippool-all list command which will lists all of the configured NAT IP
pools with their NAT IP range and type.
Você pode usar o comando diagnose firewall ippool-all list que lista todos os pools de IP NAT
configurados com seu tipo e intervalo de IP NAT.

52-

The diagnose firewall ippool-all stats shows the stats for all of the IP pools. The stats command
provide the following data and information:
⦁ NAT sessions per IP pool
⦁ Total tcp sessions per IP pool
⦁ Total udp sessions per IP pool
⦁ Total others (non-TCP and non-UDP) sessions per IP pool
Optionally, you can filter the output for specific IP pool by using the name of IP pool.
O diagnóstico de firewall ippool-all stats mostra as estatísticas de todos os pools de IP. O comando
stats fornece os seguintes dados e informações:
⦁ Sessões NAT por pool de IP
⦁ Total de sessões tcp por pool de IP
⦁ Total de sessões udp por pool de IP
⦁ Total de outras sessões (não TCP e não UDP) por pool de IP
Opcionalmente, você pode filtrar a saída de um pool de IP específico usando o nome do pool de IP.

53-

The Services option has been added to VIP objects. When services and portforward are configured,
only a single mapped port can be configured. However, multiple external ports can be mapped to that
single internal port.
This configuration was made possible to allow for complex scenarios where multiple sources of traffic
are using multiple services to connect to a single computer, while requiring a combination of source
and destination NAT, and not requiring numerous VIPs to be bundled into VIP groups.
VIPs with different services are considered non-overlapping.
A opção Serviços foi adicionada aos objetos VIP. Quando serviços e portforward são configurados,
apenas uma única porta mapeada pode ser configurada. No entanto, várias portas externas podem
ser mapeadas para essa única porta interna.
Essa configuração foi possível para permitir cenários complexos em que várias fontes de tráfego
estão usando vários serviços para se conectar a um único computador, ao mesmo tempo que exige
uma combinação de NAT de origem e destino e não exige que vários VIPs sejam agrupados em
grupos VIP.
VIPs com serviços diferentes são considerados não sobrepostos.

54-
Use the following best practices when implementing NAT:
⦁ Avoid the misconfiguration of an IP pool range:
⦁ Double-check the start and end IPs of each IP pool.
⦁ Ensure that the IP pool does not overlap with addresses assigned to FortiGate interfaces or to any hosts
on directly connected networks.
⦁ If you have internal and external users accessing the same servers, use split DNS to offer an internal IP
to internal users so that they don’t have to use the external-facing VIP.
⦁ Don’t configure NAT rule for inbound traffic unless it is required by an application. If, for example, if
there is a matching NAT rule for inbound SMTP traffic, the SMTP server might act as an open relay.
⦁ You must schedule a maintenance window to switch from central NAT mode, to firewall policy NAT
mode, or from firewall policy NAT mode to central NAT mode. Switching between NAT modes can
create a network outage.
Use as seguintes práticas recomendadas ao implementar o NAT:
⦁ Evite a configuração incorreta de um intervalo de pool de IP:
⦁ Verifique novamente os IPs de início e fim de cada pool de IP.
⦁ Certifique-se de que o pool de IP não se sobreponha aos endereços atribuídos às interfaces FortiGate ou a
quaisquer hosts em redes diretamente conectadas.
⦁ Se você tiver usuários internos e externos acessando os mesmos servidores, use o DNS dividido para
oferecer um IP interno aos usuários internos para que eles não tenham que usar o VIP externo.
⦁ Não configure a regra NAT para o tráfego de entrada, a menos que seja exigido por um aplicativo. Se,
por exemplo, houver uma regra de NAT correspondente para o tráfego SMTP de entrada, o servidor
SMTP pode atuar como uma retransmissão aberta.
⦁ Você deve agendar uma janela de manutenção para alternar do modo NAT central para o modo NAT de
política de firewall ou do modo NAT de política de firewall para o modo NAT central. Alternar entre os
modos NAT pode criar uma interrupção da rede.

● LESSON 05: Firewall Authentication

4-
Traditional firewalling grants network access by verifying the source IP address and device. This is
inadequate and can pose a security risk, because the firewall cannot determine who is using the
device to which it is granting access.
FortiGate includes authentication of users and user groups. As a result, you can follow individuals
across multiple devices.
Where access is controlled by a user or user group, users must authenticate by entering valid
credentials (such as username and password). After FortiGate validates the user, FortiGate applies
firewall policies and profiles to allow or deny access to specific network resources.
O firewall tradicional concede acesso à rede verificando o endereço IP de origem e o dispositivo. Isso
é inadequado e pode representar um risco de segurança, porque o firewall não pode determinar
quem está usando o dispositivo ao qual está concedendo acesso.
FortiGate inclui autenticação de usuários e grupos de usuários. Como resultado, você pode seguir
indivíduos em vários dispositivos.
Onde o acesso é controlado por um usuário ou grupo de usuários, os usuários devem se autenticar
inserindo credenciais válidas (como nome de usuário e senha). Após o FortiGate validar o usuário, o
FortiGate aplica políticas de firewall e perfis para permitir ou negar acesso a recursos específicos da
rede.

5-

FortiGate supports multiple methods of firewall authentication:

⦁ Local password authentication
⦁ Server-based password authentication (also called remote password authentication)
⦁ Two-factor authentication
This is a system of authentication that is enabled on top of an existing method—it cannot be enabled
without first configuring one of the other methods. It requires something you know, such as a
password, and something you have, such as a token or certificate.
During this lesson, you will learn about each method of firewall authentication in detail.
FortiGate oferece suporte a vários métodos de autenticação de firewall:
⦁ Autenticação de senha local
⦁ Autenticação de senha baseada em servidor (também chamada de autenticação de senha remota)
⦁ Autenticação de dois fatores
Este é um sistema de autenticação que é habilitado em cima de um método existente - ele não pode
ser habilitado sem primeiro configurar um dos outros métodos. Requer algo que você conhece, como
uma senha, e algo que você possui, como um token ou certificado.
Durante esta lição, você aprenderá sobre cada método de autenticação de firewall em detalhes.

6-
The simplest method of authentication is local password authentication. User account information
(username and password) is stored locally on the FortiGate device. This method works well for a
single FortiGate installation.
Local accounts are created on the User Definition page where a wizard takes you through the
process. For local password authentication, select Local User as the user type and create a username
and password. If desired, you can also add email and SMS information to the account, enable two-
factor authentication, and add the user to a preconfigured user group.
After you create the user, you can add the user—or any preconfigured user group in which the user is
a member—to a firewall policy, in order to authenticate. You will learn about user groups and firewall
policies in this lesson.
O método mais simples de autenticação é a autenticação de senha local. As informações da conta do
usuário (nome de usuário e senha) são armazenadas localmente no dispositivo FortiGate. Este
método funciona bem para uma única instalação FortiGate.
As contas locais são criadas na página Definição do usuário, onde um assistente o conduz pelo
processo. Para autenticação de senha local, selecione Usuário local como o tipo de usuário e crie um
nome de usuário e senha. Se desejar, você também pode adicionar informações de e-mail e SMS à
conta, habilitar a autenticação de dois fatores e adicionar o usuário a um grupo de usuários pré-
configurado.
Depois de criar o usuário, você pode adicionar o usuário - ou qualquer grupo de usuários pré-
configurado do qual o usuário é membro - a uma política de firewall para autenticar. Você aprenderá
sobre grupos de usuários e políticas de firewall nesta lição.

7-
When server-based password authentication is used, a remote authentication server authenticates
users. This method is desirable when multiple FortiGate devices need to authenticate the same users
or user groups, or when adding a FortiGate to a network that already contains an authentication
server.
When you use a remote authentication server to authenticate users, FortiGate sends the user’s
entered credentials to the remote authentication server. The remote authentication server responds
by indicating whether the credentials are valid or not. If valid, FortiGate consults its configuration to
deal with the traffic. Note that it is the remote authentication server—not FortiGate—that evaluates the
user credentials.
When the server-based password authentication method is used, FortiGate does not store all (or, in
the case of some configurations, any) of the user information locally.
Quando a autenticação de senha baseada em servidor é usada, um servidor de autenticação remoto
autentica os usuários. Este método é desejável quando vários dispositivos FortiGate precisam
autenticar os mesmos usuários ou grupos de usuários, ou ao adicionar um FortiGate a uma rede que
já contém um servidor de autenticação.
Quando você usa um servidor de autenticação remoto para autenticar usuários, FortiGate envia as
credenciais inseridas do usuário para o servidor de autenticação remoto. O servidor de autenticação
remota responde indicando se as credenciais são válidas ou não. Se válido, o FortiGate consulta sua
configuração para lidar com o tráfego. Observe que é o servidor de autenticação remota - não o
FortiGate - que avalia as credenciais do usuário.
Quando o método de autenticação de senha baseado em servidor é usado, o FortiGate não
armazena todas (ou, no caso de algumas configurações, nenhuma) as informações do usuário
localmente.

8-
FortiGate provides support for many remote authentication servers, including POP3, RADIUS, LDAP,
and TACACS+.
POP3 is the only server that requires an email address as the login credential. All other remote
authentication servers use the user name. Some POP3 servers require the full email with domain
(user@example.com), others require the suffix only, while still others accept both formats. This
requirement is determined by the configuration of the server and is not a setting on FortiGate. You
can configure POP3 authentication only though the CLI. Note that LDAP can be configured to validate
with email, rather than the user name.
FortiGate oferece suporte para muitos servidores de autenticação remota, incluindo POP3, RADIUS,
LDAP e TACACS +.
POP3 é o único servidor que requer um endereço de e-mail como credencial de login. Todos os
outros servidores de autenticação remota usam o nome de usuário. Alguns servidores POP3 exigem
o e-mail completo com o domínio (usuário@example.com), outros exigem apenas o sufixo, enquanto
outros aceitam os dois formatos. Este requisito é determinado pela configuração do servidor e não é
uma configuração do FortiGate. Você pode configurar a autenticação POP3 apenas através do CLI.
Observe que o LDAP pode ser configurado para validar com e-mail, em vez do nome do usuário.

9-
You can configure FortiGate to use external authentication servers in the following two ways:
⦁ Create user accounts on FortiGate. With this method, you must select the remote authentication server
type (RADIUS, TACACS+, or LDAP), point FortiGate to your preconfigured remote authentication
server, and add the user to an appropriate group. This is usually done when you want to add two-factor
authentication to your remote users. Remember, POP3 is only configurable through the CLI.
⦁ Add the remote authentication server to user groups. With this method, you must create a user group
and add the preconfigured remote server to the group. Accordingly, any user who has an account on the
remote authentication server can authenticate. If you are using other types of remote server, such as an
LDAP server, as the remote authentication server, you can control access to specific LDAP groups, as
defined on the LDAP server.
Similar to local password authentication, you must then add the preconfigured user group (in which
the user is a member) to a firewall policy in order to authenticate. We will discuss user groups and
firewall policies later in this lesson.
Você pode configurar o FortiGate para usar servidores de autenticação externos das seguintes
maneiras:
⦁ Crie contas de usuário no FortiGate. Com este método, você deve selecionar o tipo de servidor de
autenticação remota (RADIUS, TACACS + ou LDAP), apontar o FortiGate para seu servidor de
autenticação remota pré-configurado e adicionar o usuário a um grupo apropriado. Isso geralmente é feito
quando você deseja adicionar autenticação de dois fatores aos usuários remotos. Lembre-se de que o POP3
só pode ser configurado por meio da CLI.
⦁ Adicione o servidor de autenticação remota aos grupos de usuários. Com este método, você deve criar um
grupo de usuários e adicionar o servidor remoto pré-configurado ao grupo. Da mesma forma, qualquer
usuário que tenha uma conta no servidor de autenticação remota pode autenticar. Se estiver usando outros
tipos de servidor remoto, como um servidor LDAP, como o servidor de autenticação remota, você pode
controlar o acesso a grupos LDAP específicos, conforme definido no servidor LDAP.
Semelhante à autenticação de senha local, você deve adicionar o grupo de usuários pré-configurado
(do qual o usuário é membro) a uma política de firewall para fazer a autenticação. Discutiremos
grupos de usuários e políticas de firewall posteriormente nesta lição.

10-
Traditional user authentication requires your user name plus something you know, such as a
password. The weakness with this traditional method of authentication is that if someone obtains your
user name, they only need your password to compromise your account. Furthermore, since people
tend to use the same password across multiple accounts (some sites with more security
vulnerabilities than others), accounts are vulnerable to attack, regardless of password strength.
Two-factor authentication, on the other hand, requires something you know, such as a password, and
something you have, such as a token or certificate. Because this method places less importance on,
often vulnerable passwords, it makes compromising the account more complex for an attacker. You
can use two- factor authentication on FortiGate with both user and administrator accounts. The user
(or user group to which the user belongs) is added to a firewall policy in order to authenticate. Note
that you cannot use two-factor authentication with explicit proxies.
You can use one-time passwords (OTPs) as your second factor. OTPs are more secure than static
passwords because the passcode changes at regular intervals and is only valid for a short amount of
time. Once you use the OTP, it cannot be used again. So, even if it is intercepted, it is useless.
FortiGate can deliver OTPs through tokens, such as FortiToken 200 (hardware token) and FortiToken
Mobile (software token), as well as through email or SMS. To deliver an OTP over email or SMS, the
user account must contain user contact information.
FortiTokens and OTPs delivered through email and SMS are time based. FortiTokens, for example,
generate a new six-digit password every 60 seconds (by default). An NTP server is highly
recommended to ensure the OTPs remain in sync. FortiToken Mobile Push allows users to simply
accept the authorization request from their FortiToken mobile app, without the need to enter an
additional code.
A autenticação de usuário tradicional requer seu nome de usuário e algo que você conheça, como
uma senha. A fraqueza desse método tradicional de autenticação é que, se alguém obtiver seu nome
de usuário, precisará apenas de sua senha para comprometer sua conta. Além disso, como as
pessoas tendem a usar a mesma senha em várias contas (alguns sites com mais vulnerabilidades de
segurança do que outros), as contas são vulneráveis a ataques, independentemente da força da
senha.
A autenticação de dois fatores, por outro lado, requer algo que você conhece, como uma senha, e
algo que você possui, como um token ou certificado. Como esse método dá menos importância às
senhas, geralmente vulneráveis, torna o comprometimento da conta mais complexo para um invasor.
Você pode usar a autenticação de dois fatores no FortiGate com contas de usuário e administrador.
O usuário (ou grupo de usuários ao qual o usuário pertence) é adicionado a uma política de firewall
para autenticação. Observe que você não pode usar a autenticação de dois fatores com proxies
explícitos.
Você pode usar senhas de uso único (OTPs) como seu segundo fator. As OTPs são mais seguras do
que as senhas estáticas porque a senha muda em intervalos regulares e só é válida por um curto
período de tempo. Depois de usar o OTP, ele não pode ser usado novamente. Portanto, mesmo que
seja interceptado, é inútil. O FortiGate pode fornecer OTPs por meio de tokens, como FortiToken 200
(token de hardware) e FortiToken Mobile (token de software), bem como por e-mail ou SMS. Para
entregar uma OTP por e-mail ou SMS, a conta do usuário deve conter informações de contato do
usuário.
FortiTokens e OTPs entregues por e-mail e SMS são baseados no tempo. FortiTokens, por exemplo,
gera uma nova senha de seis dígitos a cada 60 segundos (por padrão). Um servidor NTP é altamente
recomendado para garantir que os OTPs permaneçam em sincronia. O FortiToken Mobile Push
permite que os usuários simplesmente aceitem a solicitação de autorização de seu aplicativo móvel
FortiToken, sem a necessidade de inserir um código adicional.

11-

Tokens use a specific algorithm to generate an OTP. The algorithm consists of:
⦁ A seed: a unique, randomly-generated number that does not change over time
⦁ The time: obtained from an accurate internal clock
Both seed and time go through an algorithm that generates an OTP (or passcode) on the token. The
passcode has a short life span, usually measured in seconds (60 seconds for a FortiToken 200,
possibly more or less for other RSA key generators). Once the life span ends, a new passcode
generates.
When using two-factor authentication using a token, the user must first log in with a static password
followed by the passcode generated by the token. A validation server (FortiGate) receives the user’s
credentials and validates the static password first. The validation server then proceeds to validate the
passcode. It does so by regenerating the same passcode using the seed and system time (which is
synchronized with the one on the token) and comparing it with the one received from the user. If the
static password is valid, and the OTP matches, the user is successfully authenticated. Again, both the
token and the validation server must use the same seed and have synchronized system clocks. As
such, it is crucial that you configure the date and time correctly on your FortiGate, or link it to an NTP
server (recommended).
Os tokens usam um algoritmo específico para gerar uma OTP. O algoritmo consiste em:
⦁ Uma semente: um número único, gerado aleatoriamente, que não muda com o tempo
⦁ A hora: obtida a partir de um relógio interno preciso
A semente e o tempo passam por um algoritmo que gera uma OTP (ou senha) no token. A senha
tem uma vida útil curta, geralmente medida em segundos (60 segundos para um FortiToken 200,
possivelmente mais ou menos para outros geradores de chave RSA). Uma vez que a vida útil
termina, uma nova senha é gerada.
Ao usar a autenticação de dois fatores com um token, o usuário deve primeiro fazer login com uma
senha estática seguida pela senha gerada pelo token. Um servidor de validação (FortiGate) recebe
as credenciais do usuário e valida a senha estática primeiro. O servidor de validação então
prossegue para validar a senha. Ele faz isso gerando novamente a mesma senha usando a semente
e a hora do sistema (que é sincronizada com a do token) e comparando-a com a recebida do usuário.
Se a senha estática for válida e a OTP corresponder, o usuário será autenticado com êxito.
Novamente, o token e o servidor de validação devem usar a mesma semente e ter relógios de
sistema sincronizados. Como tal, é crucial que você configure a data e hora corretamente em seu
FortiGate, ou vincule-o a um servidor NTP (recomendado).

12-

You can add a FortiToken 200 or FortiToken Mobile to FortiGate on the FortiTokens page.
For the hard token, a serial number is used to provide FortiGate with details on the initial seed value.
If you have several hard tokens to add, you can import a text file, where one serial number is listed
per line.
For the soft token, an activation code is required. Note that each FortiGate (and FortiGate VM)
provides two free FortiToken Mobile activations. Any additional tokens must be purchased from
Fortinet.
You cannot register the same FortiToken on more than one FortiGate. If you want to use the same
FortiToken for authentication on multiple FortiGate devices, you must use a central validation server,
such as FortiAuthenticator. In that case, FortiTokens are registered and assigned to users on
FortiAuthenticator, and FortiGate uses FortiAuthenticator as its validation server.
Once you have registered the FortiTokens with FortiGate, you can assign them to users to use as
their second-factor authentication method. To assign a token, edit (or create) the user account and
select Enable Two-factor Authentication. From the Token drop-down list, select the registered token
you want to assign.
Você pode adicionar um FortiToken 200 ou FortiToken Mobile ao FortiGate na página FortiTokens.
Para o token de hardware, um número de série é usado para fornecer ao FortiGate detalhes sobre o
valor inicial da semente. Se você tiver vários tokens rígidos para adicionar, poderá importar um
arquivo de texto, onde um número de série é listado por linha.
Para o token suave, é necessário um código de ativação. Observe que cada FortiGate (e FortiGate
VM) fornece duas ativações FortiToken Mobile gratuitas. Quaisquer tokens adicionais devem ser
adquiridos da Fortinet.
Você não pode registrar o mesmo FortiToken em mais de um FortiGate. Se você deseja usar o
mesmo FortiToken para autenticação em vários dispositivos FortiGate, você deve usar um servidor
de validação central, como FortiAuthenticator. Nesse caso, FortiTokens são registrados e atribuídos a
usuários no FortiAuthenticator, e FortiGate usa FortiAuthenticator como seu servidor de validação.
Depois de registrar o FortiTokens no FortiGate, você pode atribuí-los a usuários para usar como
método de autenticação de segundo fator. Para atribuir um token, edite (ou crie) a conta do usuário e
selecione Habilitar autenticação de dois fatores. Na lista suspensa Token, selecione o token
registrado que deseja atribuir.

13-

All the authentication methods you’ve learned about—local password authentication, server-based
authentication, and two-factor authentication—use active authentication. Active authentication means
that users are prompted to manually enter their login credentials before being granted access.
But not all users authenticate the same way. Some users can be granted access transparently,
because user information is determined without asking the user to enter their login credentials. This is
known as passive authentication. Passive authentication occurs with the single sign-on method for
server-based password authentication: FSSO, RSSO, and NTLM.
Todos os métodos de autenticação que você aprendeu - autenticação de senha local, autenticação
baseada em servidor e autenticação de dois fatores - usam autenticação ativa. A autenticação ativa
significa que os usuários são solicitados a inserir manualmente suas credenciais de login antes de
receberem acesso.
Mas nem todos os usuários se autenticam da mesma maneira. Alguns usuários podem ter acesso
transparente, porque as informações do usuário são determinadas sem solicitar que o usuário insira
suas credenciais de login. Isso é conhecido como autenticação passiva. A autenticação passiva
ocorre com o método de logon único para autenticação de senha baseada no servidor: FSSO, RSSO
e NTLM.

18-
Lightweight Directory Access Protocol (LDAP) is an application protocol used for accessing and
maintaining distributed directory information services.
The LDAP protocol is used to maintain authentication data that may include departments, people,
groups of people, passwords, email addresses, and printers. LDAP consists of a data-representation
scheme, a set of defined operations, and a request and response network.
The LDAP protocol includes a number of operations that a client can request, such as search,
compare, and add or delete an entry. Binding is the operation in which the LDAP server authenticates
the user. If the user is successfully authenticated, binding allows the user access to the LDAP server,
based on that user’s permissions.
O protocolo LDAP (Lightweight Directory Access Protocol) é um protocolo de aplicativo usado para
acessar e manter serviços de informações de diretório distribuídos.
O protocolo LDAP é usado para manter dados de autenticação que podem incluir departamentos,
pessoas, grupos de pessoas, senhas, endereços de e-mail e impressoras. O LDAP consiste em um
esquema de representação de dados, um conjunto de operações definidas e uma rede de solicitação
e resposta.
O protocolo LDAP inclui várias operações que um cliente pode solicitar, como pesquisar, comparar e
adicionar ou excluir uma entrada. A vinculação é a operação na qual o servidor LDAP autentica o
usuário. Se o usuário for autenticado com sucesso, a vinculação permite que o usuário acesse o
servidor LDAP, com base nas permissões desse usuário.

19-
The root of the LDAP directory tree represents the organization itself, and is defined as a domain
component (DC). The DC is usually a DNS domain, such as example.com. (Because the name
contains a dot, it is written as two parts separated by a comma: dc=example,dc=com.) Additional
entries, known as objects, can be added to the hierarchy as needed. Generally, two types of objects
make up most entries: containers and leafs.
Containers are objects that can include other objects, similar to a folder in a file system. Example
containers include:
⦁ Country (represented as c)
⦁ Organizational unit (represented as ou)
⦁ Organization (represented as o)
Leafs are objects at the end of a branch and have no subordinate objects. Example leafs include:
⦁ User ID (represented as uid)
⦁ Common name (represented as cn)
A raiz da árvore do diretório LDAP representa a própria organização e é definida como um
componente de domínio (DC). O DC geralmente é um domínio DNS, como example.com. (Como o
nome contém um ponto, ele é escrito como duas partes separadas por uma vírgula: dc = exemplo, dc
= com.) Entradas adicionais, conhecidas como objetos, podem ser adicionadas à hierarquia conforme
necessário. Geralmente, dois tipos de objetos constituem a maioria das entradas: contêineres e
folhas.
Os contêineres são objetos que podem incluir outros objetos, semelhantes a uma pasta em um
sistema de arquivos. Contêineres de exemplo incluem:
⦁ País (representado como c)
⦁ Unidade organizacional (representada como ou)
⦁ Organização (representada como o)
Folhas são objetos no final de um galho e não têm objetos subordinados. Folhas de exemplo
incluem:
⦁ ID do usuário (representado como uid)
⦁ Nome comum (representado como cn)

20-

This slide shows an example of a simple LDAP hierarchy.

The FortiGate device (acting as an LDAP client) requesting authentication must be configured to
address its request to the part of the hierarchy where user records exist: either the domain component
or a specific container where the record exists. Similar to users, containers have DNs, and in this
example, the DN is ou=people,dc=example,dc=com.
The authentication request must also specify the user account entry. This can be one of many options
including the common name (cn) or, on a computer network, the user ID (uid), which is the information
users use to log in. Note that if the object name includes a space, such as John Smith, you must
enclose the text with double quotes when testing in the CLI. For example: cn=“John Smith”.
Este slide mostra um exemplo de uma hierarquia LDAP simples.
O dispositivo FortiGate (atuando como um cliente LDAP) solicitando autenticação deve ser
configurado para endereçar sua solicitação à parte da hierarquia onde existem os registros do
usuário: o componente de domínio ou um recipiente específico onde o registro existe. Semelhante
aos usuários, os contêineres têm DNs e, neste exemplo, o DN é ou = people, dc = example, dc =
com.
A solicitação de autenticação também deve especificar a entrada da conta do usuário. Pode ser uma
das muitas opções, incluindo o nome comum (cn) ou, em uma rede de computadores, a ID do
usuário (uid), que é a informação que os usuários usam para fazer login. Observe que se o nome do
objeto incluir um espaço, como John Smith, você deve colocar o texto entre aspas duplas ao testar
na CLI. Por exemplo: cn = “John Smith”.

21-

On the LDAP Servers page, you can configure FortiGate to point to an LDAP server for server-based
password authentication. The configuration depends heavily on the server’s schema and security
settings. Windows Active Directory (AD) is very common.
The Common Name Identifier setting is the attribute name used to find the user name. Some
schemas allow you to use the attribute uid. AD most commonly uses sAMAccountName or cn, but can
use others as well.
The Distinguished Name setting identifies the top of the tree where the users are located, which is
generally the dc value; however, it can be a specific container or ou. You must use the correct X.500
or LDAP format.
The Bind Type setting depends on the security settings of the LDAP server. The setting Regular (to
specify a regular bind) is required if you are searching across multiple domains and require the
credentials of a user that is authorized to perform LDAP queries (for example, an LDAP
administrator).
If you want to have a secure connection between FortiGate and the remote LDAP server, enable
Secure Connection and include the LDAP server protocol (LDAPS or STARTTLS) as well as the CA
certificate that verifies the server certificate.
Note that the Test Connectivity button only tests whether the connection to the LDAP server is
successful or not. To test whether a user’s credentials can successfully authenticate, you must use
the CLI.
Na página Servidores LDAP, você pode configurar o FortiGate para apontar para um servidor LDAP
para autenticação de senha baseada em servidor. A configuração depende muito do esquema do
servidor e das configurações de segurança. O Windows Active Directory (AD) é muito comum.
A configuração Common Name Identifier é o nome do atributo usado para localizar o nome do
usuário. Alguns esquemas permitem que você use o atributo uid. O AD usa mais comumente
sAMAccountName ou cn, mas também pode usar outros.
A configuração Distinguished Name identifica o topo da árvore onde os usuários estão localizados,
que geralmente é o valor dc; entretanto, pode ser um contêiner específico ou ou. Você deve usar o
formato X.500 ou LDAP correto.
A configuração Tipo de vinculação depende das configurações de segurança do servidor LDAP. A
configuração Regular (para especificar uma ligação regular) é necessária se você estiver
pesquisando em vários domínios e exigir as credenciais de um usuário que está autorizado a realizar
consultas LDAP (por exemplo, um administrador LDAP).
Se você deseja ter uma conexão segura entre o FortiGate e o servidor LDAP remoto, habilite a
Conexão Segura e inclua o protocolo do servidor LDAP (LDAPS ou STARTTLS), bem como o
certificado CA que verifica o certificado do servidor.
Observe que o botão Testar conectividade testa apenas se a conexão com o servidor LDAP foi bem-
sucedida ou não. Para testar se as credenciais de um usuário podem ser autenticadas com sucesso,
você deve usar a CLI.

22-

Use the diagnose test authserver command in the CLI to test whether a user’s credentials can
successfully authenticate. You want to ensure that authentication is successful, prior to implementing
it on any of your firewall policies.
The response from the server reports success, failure, and group membership details.
Use o comando diagnose test authserver na CLI para testar se as credenciais de um usuário podem
ser autenticadas com sucesso. Você deseja garantir que a autenticação seja bem-sucedida antes de
implementá-la em qualquer uma de suas políticas de firewall.
A resposta do servidor relata detalhes de sucesso, falha e associação ao grupo.

23-
RADIUS is much different than LDAP, because there is no directory tree structure to consider.
RADIUS is a standard protocol that provides authentication, authorization, and accounting (AAA)
services.
When a user is authenticating, the client (FortiGate) sends an ACCESS-REQUEST packet to the
RADIUS server. The reply from the server will be one of the following:
⦁ ACCESS-ACCEPT, which means that the user credentials are ok
⦁ ACCESS-REJECT, which means that the credentials are wrong
⦁ ACCESS-CHALLENGE, which means that the server is requesting a secondary password ID, token, or
certificate. This is typically the reply from the server when using two-factor authentication.
Not all RADIUS clients support the RADIUS challenge method.
O RADIUS é muito diferente do LDAP porque não há uma estrutura de árvore de diretório a ser
considerada. RADIUS é um protocolo padrão que fornece serviços de autenticação, autorização e
contabilidade (AAA).
Quando um usuário está se autenticando, o cliente (FortiGate) envia um pacote ACCESS-REQUEST
para o servidor RADIUS. A resposta do servidor será uma das seguintes:
⦁ ACESSO-ACEITAR, o que significa que as credenciais do usuário estão ok
⦁ ACCESS-REJECT, o que significa que as credenciais estão erradas
⦁ ACCESS-CHALLENGE, o que significa que o servidor está solicitando um ID de senha secundária,
token ou certificado. Normalmente, essa é a resposta do servidor ao usar a autenticação de dois fatores.
Nem todos os clientes RADIUS suportam o método de desafio RADIUS.

24-
You can configure FortiGate to point to a RADIUS server for server-based password authentication
through the RADIUS Servers page.
The Primary Server IP/Name setting is the IP address or FQDN of the RADIUS server.
The Primary Server Secret setting is the secret that was set up on the RADIUS server in order to
allow remote queries from this client. Backup servers (with separate secrets) can be defined in case
the primary server fails. Note that FortiGate must be listed on the RADIUS server as a client of that
RADIUS server or else the server will not reply to queries done by FortiGate.
The Authentication Method setting refers to the authentication protocol that the RADIUS server
supports. Options include chap, pap, mschap, and mschap2. If you select Default the FortiGate will
use pap, mschap2, and chap (in that order).
Unlike LDAP configurations, the Test Connectivity button used here can test actual user credentials,
but, like LDAP, you can also test this using the CLI.
The Include in every User Group option adds the RADIUS server and all users that can authenticate
against it, to every user group created on the FortiGate. So, this option should only be enabled in very
specific scenarios (for example, when only administrators can authenticate against the RADIUS
server and policies are ordered from least restrictive to most restrictive).
Você pode configurar o FortiGate para apontar para um servidor RADIUS para autenticação de
senha baseada em servidor através da página Servidores RADIUS.
A configuração IP / Nome do servidor primário é o endereço IP ou FQDN do servidor RADIUS.

A configuração do segredo do servidor primário é o segredo que foi configurado no servidor RADIUS
para permitir consultas remotas a partir deste cliente. Os servidores de backup (com segredos
separados) podem ser definidos no caso de falha do servidor principal. Observe que o FortiGate deve
estar listado no servidor RADIUS como um cliente desse servidor RADIUS ou o servidor não
responderá às consultas feitas pelo FortiGate.
A configuração do Método de autenticação se refere ao protocolo de autenticação compatível com o
servidor RADIUS. As opções incluem chap, pap, mschap e mschap2. Se você selecionar Padrão, o
FortiGate usará pap, mschap2 e chap (nessa ordem).
Ao contrário das configurações LDAP, o botão Testar conectividade usado aqui pode testar as
credenciais reais do usuário, mas, como o LDAP, você também pode testar isso usando a CLI.
A opção Incluir em cada Grupo de Usuários adiciona o servidor RADIUS e todos os usuários que
podem se autenticar nele, a cada grupo de usuários criado no FortiGate. Portanto, essa opção só
deve ser habilitada em cenários muito específicos (por exemplo, quando apenas os administradores
podem autenticar no servidor RADIUS e as políticas são ordenadas do menos restritivo para o mais
restritivo).

25-

Testing RADIUS is much the same as testing LDAP. Use the diagnose test authserver command on
the CLI to test whether a user’s credentials can successfully authenticate. Again, you should do this to
ensure authentication is successful before implementing it on any of your firewall policies.
Like LDAP, it reports success, failure, and group membership details, depending on the server’s
response. Deeper troubleshooting usually requires RADIUS server access.
Note that Fortinet has a vendor-specific attributes (VSA) dictionary to identify the Fortinet-proprietary
RADIUS attributes. This capability allows you to extend the basic functionality of RADIUS. You can
obtain the Fortinet VSA dictionary from the Fortinet Knowledge Base (kb.fortinet.com).
Testar RADIUS é quase o mesmo que testar LDAP. Use o comando diagnose test authserver na CLI
para testar se as credenciais de um usuário podem ser autenticadas com sucesso. Novamente, você
deve fazer isso para garantir que a autenticação seja bem-sucedida antes de implementá-la em
qualquer uma das políticas de firewall.
Como o LDAP, ele relata detalhes de sucesso, falha e associação ao grupo, dependendo da resposta
do servidor. A solução de problemas mais profunda geralmente requer acesso ao servidor RADIUS.
Observe que a Fortinet tem um dicionário de atributos específicos do fornecedor (VSA) para
identificar os atributos RADIUS proprietários da Fortinet. Esse recurso permite estender a
funcionalidade básica do RADIUS. Você pode obter o dicionário Fortinet VSA na Base de
Conhecimento Fortinet (kb.fortinet.com).

31-
FortiGate allows administrators to assign users to groups. Generally, groups are used to more
effectively manage individuals that have some kind of shared relationship. You might want to group
employees by business area, such as finance or HR, or by employee type, such as contractors or
guests.
After you create user groups, you can add them to firewall policies. This allows you to control access
to network resources, because policy decisions are made on the group as a whole. You can define
both local and remote user groups on a FortiGate device. There are four user group types:
⦁ Firewall
⦁ Guest
⦁ Fortinet single sign-on (FSSO)
⦁ RADIUS single sign-on (RSSO)

The firewall user groups on FortiGate do not need to match any type of group that may already exist
on an external server such as an LDAP server. The firewall user groups exist solely to make
configuration of firewall policies easier.
Most authentication types have the option to make decisions based on the individual user, rather than
just user groups.
O FortiGate permite que os administradores atribuam usuários a grupos. Geralmente, os grupos são
usados para gerenciar com mais eficácia indivíduos que têm algum tipo de relacionamento
compartilhado. Você pode querer agrupar funcionários por área de negócios, como finanças ou RH,
ou por tipo de funcionário, como contratados ou convidados.
Depois de criar grupos de usuários, você pode adicioná-los às políticas de firewall. Isso permite que
você controle o acesso aos recursos da rede, porque as decisões de política são feitas no grupo
como um todo. Você pode definir grupos de usuários locais e remotos em um dispositivo FortiGate.
Existem quatro tipos de grupos de usuários:
⦁ Firewall
⦁ Convidado
⦁ Fortinet single sign-on (FSSO)
⦁ Logon único RADIUS (RSSO)
Os grupos de usuários do firewall no FortiGate não precisam corresponder a nenhum tipo de grupo
que já exista em um servidor externo, como um servidor LDAP. Os grupos de usuários do firewall
existem apenas para facilitar a configuração das políticas do firewall.
A maioria dos tipos de autenticação tem a opção de tomar decisões com base no usuário individual,
em vez de apenas grupos de usuários.
32-

Guest user groups are different from firewall user groups because they contain exclusively temporary
guest user accounts (the whole account, not just the password). Guest user groups are most
commonly used in wireless networks. Guest accounts expire after a predetermined amount of time.
Administrators can manually create guest accounts or create many guest accounts at once using
randomly- generated user IDs and passwords. This reduces administrator workload for large events.
Once created, you can add accounts to the guest user group and associate the group with a firewall
policy.
You can create guest management administrators that have access only to create and manage guest
user accounts.
Os grupos de usuários convidados são diferentes dos grupos de usuários do firewall porque contêm
contas de usuários convidados exclusivamente temporárias (a conta inteira, não apenas a senha). Os
grupos de usuários convidados são mais comumente usados em redes sem fio. As contas de
convidados expiram após um período de tempo predeterminado.
Os administradores podem criar contas de convidado manualmente ou criar várias contas de
convidado de uma vez usando IDs de usuário e senhas geradas aleatoriamente. Isso reduz a carga
de trabalho do administrador para grandes eventos. Depois de criado, você pode adicionar contas ao
grupo de usuários convidados e associar o grupo a uma política de firewall.
Você pode criar administradores de gerenciamento de convidados que têm acesso apenas para criar
e gerenciar contas de usuários convidados.

33-
You can configure user groups on the User Groups page. You must specify the user group type and
add users to the group. Depending on the group you create, different configurations are required. For
the firewall user group, for example, members can consist of local users, PKI peer users, and users
from one or more remote authentication servers. If your remote authentication server is an LDAP
server, you can select specific LDAP groups to add to your user group, as defined on the LDAP
server. Note that you can also select RADIUS groups, but this requires additional configuration on
your RADIUS server and FortiGate (see the Fortinet Knowledge Base at kb.fortinet.com).
User groups simplify your configuration if you want to treat specific users in the same way, for
example, if you want to provide the entire training department with access to the same network
resources. If you want to treat all users differently, you need to add all users to firewall policies
separately.
Você pode configurar grupos de usuários na página Grupos de usuários. Você deve especificar o tipo
de grupo de usuários e adicionar usuários ao grupo. Dependendo do grupo que você cria, diferentes
configurações são necessárias. Para o grupo de usuários do firewall, por exemplo, os membros
podem consistir em usuários locais, usuários de mesmo nível de PKI e usuários de um ou mais
servidores de autenticação remota. Se o seu servidor de autenticação remota for um servidor LDAP,
você pode selecionar grupos LDAP específicos para adicionar ao seu grupo de usuários, conforme
definido no servidor LDAP. Observe que você também pode selecionar grupos RADIUS, mas isso
requer configuração adicional em seu servidor RADIUS e FortiGate (consulte a Base de
Conhecimento Fortinet em kb.fortinet.com).
Os grupos de usuários simplificam sua configuração se você quiser tratar usuários específicos da
mesma maneira, por exemplo, se quiser fornecer a todo o departamento de treinamento acesso aos
mesmos recursos de rede. Se você deseja tratar todos os usuários de maneira diferente, é
necessário adicionar todos os usuários às políticas de firewall separadamente.

38-
A firewall policy consists of access and inspection rules (compartmentalized sets of instructions) that
tell FortiGate how to handle traffic on the interface whose traffic they filter. After the user makes an
initial connection attempt, FortiGate checks the firewall policies to determine whether to accept or
deny the communication session. However, a firewall policy also includes a number of other
instructions, such as those dealing with authentication. You can use the source of a firewall policy for
this purpose. The source of a firewall policy must include the source address (IP address), but you
can also include the user, and user group. In this way, any user, or user group that is included in the
source definition for the firewall policy can successfully authenticate.
User and user group objects can consist of local firewall accounts, external server accounts, PKI
users, and FSSO users.
Uma política de firewall consiste em regras de acesso e inspeção (conjuntos de instruções
compartimentadas) que dizem ao FortiGate como lidar com o tráfego na interface cujo tráfego eles
filtram. Após o usuário fazer uma tentativa de conexão inicial, o FortiGate verifica as políticas do
firewall para determinar se aceita ou nega a sessão de comunicação. No entanto, uma política de
firewall também inclui várias outras instruções, como aquelas que lidam com autenticação. Você
pode usar a fonte de uma política de firewall para essa finalidade. A origem de uma política de
firewall deve incluir o endereço de origem (endereço IP), mas você também pode incluir o usuário e o
grupo de usuários. Dessa forma, qualquer usuário ou grupo de usuários incluído na definição de
origem da política de firewall pode ser autenticado com êxito.
Os objetos de usuário e grupo de usuários podem consistir em contas de firewall locais, contas de
servidor externo, usuários de PKI e usuários de FSSO.

39-
A firewall policy also checks the service in order to transport the named protocols or group of
protocols. No service (with the exception of DNS) is allowed through the firewall policy prior to
successful user authentication. DNS is usually used by HTTP so that people can use domain names
for websites, instead of their IP address. DNS is allowed because it is a base protocol and will most
likely be required to initially see proper authentication protocol traffic. Hostname resolution is almost
always a requirement for any protocol. However, the DNS service must still be defined in the policy as
allowed, in order for it to pass.
In the example shown on this slide, policy sequence 1 (Full_Access) allows users to use external
DNS servers in order to resolve host names, prior to successful authentication. DNS is also allowed if
authentication is unsuccessful, because users need to be able to try to authenticate again. Any
service that includes DNS would function the same way, like the default ALL service.
HTTP service is TCP port 80 and does not include DNS (UDP port 53).
Uma política de firewall também verifica o serviço para transportar os protocolos nomeados ou grupo
de protocolos. Nenhum serviço (com exceção do DNS) é permitido através da política de firewall
antes da autenticação do usuário com sucesso. O DNS é geralmente usado por HTTP para que as
pessoas possam usar nomes de domínio para sites, em vez de seu endereço IP. O DNS é permitido
porque é um protocolo básico e provavelmente será necessário para ver inicialmente o tráfego do
protocolo de autenticação adequado. A resolução do nome do host é quase sempre um requisito
para qualquer protocolo. No entanto, o serviço DNS ainda deve ser definido na política como
permitido, para que seja aprovado.
No exemplo mostrado neste slide, a sequência de política 1 (Full_Access) permite que os usuários
usem servidores DNS externos para resolver nomes de host, antes de uma autenticação bem-
sucedida. O DNS também é permitido se a autenticação não for bem-sucedida, porque os usuários
precisam tentar autenticar novamente. Qualquer serviço que inclua DNS funcionaria da mesma
maneira, como o serviço ALL padrão.
O serviço HTTP é a porta TCP 80 e não inclui DNS (porta UDP 53).

40-
As well as the DNS service, the firewall policy must specify the allowed protocols, such as HTTP,
HTTPS, FTP, and Telnet. If the firewall policy that has authentication enabled does not allow at least
one of the supported protocols used for obtaining user credentials, the user will not be able to
authenticate.
Protocols are required for all authentication methods that use active authentication (local password
authentication, server-based password authentication, and two-factor authentication). Active
authentication prompts the user for user credentials based on the following:
⦁ The protocol of the traffic
⦁ The firewall policy
Passive authentication, on the other hand, determines the user identity behind the scenes, and does
not require any specific services to be allowed within the policy.
Assim como o serviço DNS, a política de firewall deve especificar os protocolos permitidos, como
HTTP, HTTPS, FTP e Telnet. Se a política de firewall com autenticação habilitada não permitir pelo
menos um dos protocolos suportados usados para obter as credenciais do usuário, o usuário não
poderá autenticar.
Os protocolos são necessários para todos os métodos de autenticação que usam autenticação ativa
(autenticação de senha local, autenticação de senha baseada em servidor e autenticação de dois
fatores). A autenticação ativa solicita ao usuário credenciais de usuário com base no seguinte:
⦁ O protocolo de tráfego
⦁ A política de firewall
A autenticação passiva, por outro lado, determina a identidade do usuário nos bastidores e não exige
que nenhum serviço específico seja permitido na política.

41-

In the example shown on this slide, assuming active authentication is used, any initial traffic from
LOCAL_SUBNET will not match policy sequence 1 (Full_Access). Policy sequence 1 looks for both IP
and user, and user group information (LOCAL_SUBNET and HR-group respectively), and since the
user has not yet authenticated, the user group aspect of the traffic does not match. Since the policy
match is not complete, FortiGate continues its search down the sequence list, to see if there is a
complete match.
Next, FortiGate evaluates policy sequence 2 to see if the traffic matches. It matches all criteria, so
traffic is allowed with no need to authenticate.
When only active authentication is used, if all possible policies that could match the source IP have
authentication enabled, then the user will receive a login prompt (assuming they use an acceptable
login protocol). In other words, if policy sequence 2 also had authentication enabled, the users would
receive login prompts.
If passive authentication is used and it can successfully obtain user details, then traffic from
LOCAL_SUBNET with users that belong to HR-group will apply to policy sequence 1, even though
policy sequence 2 does not have authentication enabled.
If you are using both active and passive authentication, and a user’s credentials can be determined
through passive authentication, the user will never receive a login prompt, regardless of the order of
any firewall policies. This is because there is no need for FortiGate to prompt the user for login
credentials when it can determine who the user is passively. When active and passive authentication
methods are combined, active authentication is intended to be used as a backup, to be used only
when passive authentication fails.
No exemplo mostrado neste slide, supondo que a autenticação ativa seja usada, qualquer tráfego
inicial de LOCAL_SUBNET não corresponderá à sequência de política 1 (Full_Access). A sequência
de política 1 procura informações de IP e de usuário e de grupo de usuários (LOCAL_SUBNET e HR-
group respectivamente) e, como o usuário ainda não foi autenticado, o aspecto do grupo de usuários
do tráfego não corresponde. Uma vez que a correspondência de política não está completa,
FortiGate continua sua pesquisa na lista de sequência, para ver se há uma correspondência
completa.
Em seguida, o FortiGate avalia a sequência de política 2 para ver se o tráfego corresponde. Ele
atende a todos os critérios, portanto, o tráfego é permitido sem a necessidade de autenticação.
Quando apenas a autenticação ativa é usada, se todas as políticas possíveis que podem
corresponder ao IP de origem tiverem a autenticação habilitada, o usuário receberá um prompt de
login (presumindo que ele use um protocolo de login aceitável). Em outras palavras, se a sequência
de política 2 também tivesse a autenticação habilitada, os usuários receberiam prompts de login.
Se a autenticação passiva for usada e puder obter os detalhes do usuário com êxito, o tráfego de
LOCAL_SUBNET com usuários que pertencem ao grupo HR será aplicado à sequência de política 1,
mesmo que a sequência de política 2 não tenha a autenticação habilitada.
Se você estiver usando autenticação ativa e passiva e as credenciais de um usuário puderem ser
determinadas por meio da autenticação passiva, o usuário nunca receberá um prompt de login,
independentemente da ordem de quaisquer políticas de firewall. Isso ocorre porque não há
necessidade do FortiGate solicitar ao usuário as credenciais de login quando ele pode determinar
quem é o usuário passivamente. Quando os métodos de autenticação ativa e passiva são
combinados, a autenticação ativa deve ser usada como backup, a ser usada apenas quando a
autenticação passiva falhar.

42-
As mentioned earlier, there are three different ways you can alter active authentication behavior. If
you have an active authentication firewall policy followed by a fall-through policy that does not have
authentication enabled on it, then all traffic will use the fall-through policy. This means that users will
not be asked to authenticate. By default, all traffic will pass through the catch-all policy without being
authenticated. You can alter this behavior by enabling authentication on all firewall policies. When you
enable authentication, all the systems will have to authenticated before traffic is placed on egress
interface.
Alternatively, only on the CLI, you can change the auth-on-demand option to always. This will instruct
FortiGate to trigger an authentication request, if there is a firewall policy with active authentication
enabled. In this case, the traffic will not be allowed until authentication is successful.
If you wish to have all users connect to a specific interface, then it is better to enable captive portal
authentication at the interface level. This way, all devices must authenticate before they are allowed to
access any resources.

47-

If you want all users connecting to the network to be prompted for their login credentials (active
authentication), you can enable captive portal. Captive portal is a convenient way to authenticate web
users on wired or Wi-Fi networks through an HTML form that requests a username and password.
You can host a captive portal on a FortiGate device or an external authentication server, such as a
FortiAuthenticator.
Se quiser que todos os usuários que se conectam à rede sejam solicitados a fornecer suas
credenciais de login (autenticação ativa), você pode ativar o portal cativo. O portal cativo é uma
maneira conveniente de autenticar usuários da web em redes com fio ou Wi-Fi por meio de um
formulário HTML que solicita um nome de usuário e senha.
Você pode hospedar um portal cativo em um dispositivo FortiGate ou um servidor de autenticação
externo, como um FortiAuthenticator.

48-

Captive portal, for both wired and Wi-Fi networks, is enabled at the interface level—regardless of the
firewall policy that allows it or the port that it ultimately leaves by (authentication being enabled or
disabled on the policy is not a factor). This is true for any network interface, including Wi-Fi and VLAN
interfaces. On the local network, the captive portal setting must be enabled on the incoming port.
You can configure a captive portal on the Interfaces page. Select the required interface. On the
Network section, enable Security mode, and in the drop-down list, select Captive Portal. Note that if
you are configuring captive portal for a Wi-Fi network, the Wi-Fi SSID must first exist.
Captive portals are not compatible with interfaces in DHCP mode.
O portal cativo, tanto para redes com fio quanto para redes Wi-Fi, é habilitado no nível da interface -
independentemente da política de firewall que o permite ou da porta pela qual ele sai (autenticação
habilitada ou desabilitada na política não é um fator). Isso é verdadeiro para qualquer interface de
rede, incluindo interfaces de Wi-Fi e VLAN. Na rede local, a configuração do portal cativo deve ser
habilitada na porta de entrada.
Você pode configurar um portal cativo na página Interfaces. Selecione a interface necessária. Na
seção Rede, ative o modo de segurança e, na lista suspensa, selecione Portal cativo. Observe que
se você estiver configurando o portal cativo para uma rede Wi-Fi, o SSID Wi-Fi deve existir primeiro.
Portais cativos não são compatíveis com interfaces no modo DHCP.

49-
In the Network section, you also restrict captive portal user access.
Select Restricted to Groups to control the access from the captive portal configuration. Select Allow all
to control the access in the firewall policy configuration.
Na seção Rede, você também restringe o acesso do usuário cativo ao portal.
Selecione Restrito a grupos para controlar o acesso da configuração do portal cativo. Selecione
Permitir que todos controlem o acesso na configuração da política de firewall.

50-

You can also configure a firewall policy to suppress captive portal for specific addresses, or services.
This is useful for devices that are unable to actively authenticate, such as printers and fax machines,
but still need to be allowed by the firewall policy. When suppressed, traffic that matches the source or
destination is not presented with the captive portal login page.
There are two ways you can bypass captive portal:
⦁ Through a security exemption list in the GUI or the CLI under config user security-exempt-list
⦁ Through the firewall policy. In the CLI, edit the policy and set captive-portal-exempt enable. All traffic
matching this policy is now exempt from having to authenticate through the captive portal.
Você também pode configurar uma política de firewall para suprimir o portal cativo para endereços ou
serviços específicos. Isso é útil para dispositivos que não conseguem se autenticar ativamente, como
impressoras e aparelhos de fax, mas ainda precisam ser permitidos pela política de firewall. Quando
suprimido, o tráfego que corresponde à origem ou ao destino não é apresentado com a página de
login do portal cativo.
Existem duas maneiras de contornar o portal cativo:
⦁ Por meio de uma lista de isenção de segurança na GUI ou CLI sob config user security-exempt-list
⦁ Através da política de firewall. Na CLI, edite a política e defina captive-portal-exempt enable. Todo o
tráfego que corresponda a esta política agora está isento de ter que autenticar por meio do portal cativo.

51-

If you want to enable a terms of service disclaimer to be used in combination with captive portal
authentication, you can do so by using the config firewall policy and set disclaimer enable command
on the CLI. The terms of service disclaimer states the legal responsibilities of the user and the host
organization. When you enable the disclaimer, the use must agree to the terms outlined in the
statement in order to proceed to the requested URL. When enabled, the terms of service disclaimer
opens immediately following a successful authentication.
Neither a security exemption list, nor a captive portal exemption on a firewall, can bypass a
disclaimer.
Se você deseja permitir que uma isenção de responsabilidade dos termos de serviço seja usada em
combinação com a autenticação do portal cativo, você pode fazer isso usando a política de firewall de
configuração e definir o comando de ativação da isenção de responsabilidade no CLI. A isenção de
responsabilidade dos termos de serviço declara as responsabilidades legais do usuário e da
organização anfitriã. Quando você ativa a isenção de responsabilidade, o uso deve concordar com os
termos descritos na declaração, a fim de prosseguir para o URL solicitado. Quando ativado, a
isenção de responsabilidade dos termos de serviço é aberta imediatamente após uma autenticação
bem-sucedida.
Nem uma lista de isenção de segurança, nem uma isenção de portal cativo em um firewall podem
ignorar uma isenção de responsabilidade.
52-

FortiGate allows you to customize portal messages, which include the login page and disclaimer
page. You can customize the messages on the Replacement Messages page.
The disclaimer page is in HTML, so you must have knowledge of HTML in order to customize the
message. The default layout is Simple View, which hides most of the replacement messages. Use
Extended View to show all editable replacement messages.
FortiGate permite que você personalize as mensagens do portal, que incluem a página de login e a
página de isenção de responsabilidade. Você pode personalizar as mensagens na página
Mensagens de Substituição.
A página de isenção de responsabilidade está em HTML, portanto, você deve ter conhecimento de
HTML para personalizar a mensagem. O layout padrão é Visualização Simples, que oculta a maioria
das mensagens de substituição. Use a Visualização estendida para mostrar todas as mensagens de
substituição editáveis.

53-
An authentication timeout is useful for security purposes. It minimizes the risk of someone using the
IP of the legitimate authenticated user. It also ensures users do not authenticate and then stay in
memory indefinitely. If users stayed in memory forever, it would eventually lead to memory
exhaustion.
There are three options for timeout behavior:
⦁ Idle: Looks at the packets from the host’s IP. If there are no packets generated by the host device in the
configured timeframe, then the user is logged out.
⦁ Hard: Time is an absolute value. Regardless of the user’s behavior, the timer starts as soon as the user
authenticates and expires after the configured value.
⦁ New session: Even if traffic is being generated on existing communications channels, the authentication
expires if no new sessions are created through the firewall from the host device within the configured
timeout value.
Choose the type of timeout that best suits the authentication needs of your environment.
Um tempo limite de autenticação é útil para fins de segurança. Ele minimiza o risco de alguém usar o
IP do usuário autenticado legítimo. Ele também garante que os usuários não se autentiquem e
fiquem na memória indefinidamente. Se os usuários permanecessem na memória para sempre, isso
acabaria levando ao esgotamento da memória.
Existem três opções para o comportamento do tempo limite:
⦁ Idle: Observa os pacotes do IP do host. Se não houver pacotes gerados pelo dispositivo host no intervalo
de tempo configurado, o usuário será desconectado.
⦁ Difícil: o tempo é um valor absoluto. Independentemente do comportamento do usuário, o cronômetro
inicia assim que o usuário se autentica e expira após o valor configurado.
⦁ Nova sessão: Mesmo que o tráfego esteja sendo gerado nos canais de comunicação existentes, a
autenticação expira se nenhuma nova sessão for criada através do firewall do dispositivo host dentro do
valor de tempo limite configurado.
Escolha o tipo de tempo limite que melhor se adapta às necessidades de autenticação de seu
ambiente.

58-

You can monitor users who authenticate through your firewall policies using the Dashboard > User &
Devices > Firewall Users page. It displays the user, user group, duration, IP address, traffic volume,
and authentication method.
It does not include administrators, because they are not authenticating through firewall policies that
allow traffic, they are logging in directly on FortiGate.
This page also allows you to disconnect a user, or multiple users, simultaneously.
Você pode monitorar os usuários que se autenticam por meio de suas políticas de firewall usando a
página Painel> Usuário e dispositivos> Usuários de firewall. Ele exibe o usuário, grupo de usuários,
duração, endereço IP, volume de tráfego e método de autenticação.
Não inclui administradores, porque eles não estão se autenticando por meio de políticas de firewall
que permitem o tráfego, eles estão se logando diretamente no FortiGate.
Esta página também permite que você desconecte um ou vários usuários simultaneamente.

59-

In the web-based manager, a good tool for troubleshooting is the Bytes column on the security policy
page, which is opened by clicking Policy & Objects > Firewall Policy. This column displays the number
of bytes that have passed through this policy. This is valuable information to have when you are
troubleshooting.
When you are testing your configuration (end-to-end connectivity, user authentication, policy use)
watching the byte count for an increase can help with troubleshooting. An increase indicates if the
policy in question is seeing any traffic, which is useful information if you expect a user to require
authentication, but they are never prompted.
Use the following CLI commands to gather more information about users and user authentication
attempts to help troubleshoot failed authentication attempts:
⦁ diagnose firewall auth list: Shows authenticated users and their IP address.
⦁ diagnose firewall auth clear: Clears all authorized users from the current list. This is useful when you
need to force users to reauthenticate after system or group changes. However, this command can easily
result in many users having to reauthenticate, so use it carefully.
⦁ diagnose debug application fnbamd -1: Used to troubleshoot active authentication (must use in
conjunction with diagnose debug enable).
⦁ diagnose test authserver radius-direct <ip> <port> <secret>: Tests preshared key between FortiGate and
the RADIUS server.
⦁ diagnose test authserver ldap <server_name> <username> <password>: Tests LDAP authentication for
the specified user account.
No gerenciador baseado na web, uma boa ferramenta para solução de problemas é a coluna Bytes
na página da política de segurança, que é aberta clicando em Política e objetos> Política de firewall.
Esta coluna exibe o número de bytes que passaram por esta política. Esta é uma informação valiosa
para se ter ao solucionar problemas
Quando você está testando sua configuração (conectividade ponta a ponta, autenticação de usuário,
uso de política), observar a contagem de bytes para um aumento pode ajudar na solução de
problemas. Um aumento indica se a política em questão está vendo algum tráfego, o que é uma
informação útil se você espera que um usuário exija autenticação, mas eles nunca são solicitados.
Use os seguintes comandos CLI para coletar mais informações sobre usuários e tentativas de
autenticação de usuário para ajudar a solucionar problemas de tentativas de autenticação com falha:
⦁ diagnosticar lista de autenticação de firewall: Mostra usuários autenticados e seus endereços IP.
⦁ diagnosticar autenticação de firewall: Limpa todos os usuários autorizados da lista atual. Isso é útil quando
você precisa forçar os usuários a se autenticar novamente após alterações no sistema ou no grupo. No
entanto, esse comando pode facilmente fazer com que muitos usuários tenham que se autenticar
novamente, portanto, use-o com cuidado.
⦁ diagnosticar aplicativo de depuração fnbamd -1: usado para solucionar problemas de autenticação ativa
(deve ser usado em conjunto com diagnosticar depuração habilitar).
⦁ diagnosticar teste authserver radius-direct <ip> <port> <secret>: Testa a chave pré-compartilhada entre
FortiGate e o servidor RADIUS.
⦁ diagnosticar teste authserver ldap <server_name> <username> <password>: Testa a autenticação LDAP
para a conta de usuário especificada.

60-

Use the best practices listed on this slide to avoid unnecessary issues when configuring firewall
authentication.
Use as práticas recomendadas listadas neste slide para evitar problemas desnecessários ao
configurar a autenticação do firewall.

● LESSON 06: Logging and Monitoring

4-
When traffic passes through FortiGate to your network, FortiGate scans the traffic, and then takes
action based on the firewall policies in place. This activity is recorded, and the information is
contained in a log message. The log message is stored in a log file. The log file is then stored on a
device capable of storing logs. FortiGate can store logs locally on its own disk space, or can send logs
to an external storage device, such as FortiAnalyzer.
The purpose of logs is to help you monitor your network traffic, locate problems, establish baselines,
and more. Logs provide you with a greater perspective of your network, allowing you to make
adjustments to your network security, if necessary.
Some organizations have legal requirements when it comes to logging, so it is important to be aware
of your organization’s policies during configuration.
For effective logging, your FortiGate system date and time should be accurate. You can either
manually set the system date and time, or configure FortiGate to keep its time correct automatically by
synchronizing with a Network Time Protocol (NTP) server. An NTP server is highly recommended.
Quando o tráfego passa pelo FortiGate para a sua rede, o FortiGate verifica o tráfego e, a seguir, age
com base nas políticas de firewall em vigor. Esta atividade é registrada e as informações estão
contidas em uma mensagem de log. A mensagem de log é armazenada em um arquivo de log. O
arquivo de log é então armazenado em um dispositivo capaz de armazenar logs. O FortiGate pode
armazenar logs localmente em seu próprio espaço em disco, ou pode enviar logs para um dispositivo
de armazenamento externo, como FortiAnalyzer.
O objetivo dos logs é ajudá-lo a monitorar o tráfego da rede, localizar problemas, estabelecer linhas
de base e muito mais. Os logs fornecem uma perspectiva mais ampla de sua rede, permitindo que
você faça ajustes na segurança da rede, se necessário.
Algumas organizações têm requisitos legais quando se trata de registro, por isso é importante estar
ciente das políticas da sua organização durante a configuração.
Para um registro eficaz, a data e a hora do sistema FortiGate devem ser precisas. Você pode definir
manualmente a data e hora do sistema ou configurar o FortiGate para manter sua hora correta
automaticamente, sincronizando com um servidor Network Time Protocol (NTP). Um servidor NTP é
altamente recomendado.

5-
To FortiGate, there are three different types of logs: traffic logs, event logs, and security logs. Each
type is further divided into subtypes.
Traffic logs record traffic flow information, such as an HTTP/HTTPS request and its response, if any. It
contains subtypes named forward, local, and sniffer.
⦁ Forward traffic logs contain information about traffic that FortiGate either accepted or rejected
according to a firewall policy.
⦁ Local traffic logs contain information about traffic directly to and from the FortiGate’s management IP
addresses. They also include connections to the GUI and FortiGuard queries.
⦁ Sniffer logs contain information related to traffic seen by the one-arm sniffer.
Event logs record system and administrative events, such as adding or modifying a setting, or
daemon activities. It contains subtypes named endpoint control, high availability, system, user, router,
VPN, WAD, and wireless.
⦁ System event logs contain information related to operations, such as automatic FortiGuard updates and
GUI logins.
⦁ User logs contain logon and logoff events for firewall policies with user authentication.
⦁ Router, VPN, WAD, and wireless subtypes include logs for those features. For example, VPN contains
IPsec and SSL VPN log entries.
Finally, security logs record security events, such as virus attacks and intrusion attempts. They
contain log entries based on the security profile type (log type = utm), including application control,
antivirus, DLP, anti- spam (email filter), web filter, intrusion protection, anomaly (DoS-policy), and
WAF. Security logs and subtypes are only visible in the GUI if logs are created within it—if no security
logs exists, the menu item does not appear.
Para FortiGate, existem três tipos diferentes de logs: logs de tráfego, logs de eventos e logs de
segurança. Cada tipo é dividido em subtipos.
Os logs de tráfego registram informações de fluxo de tráfego, como uma solicitação HTTP / HTTPS e
sua resposta, se houver. Ele contém subtipos denominados forward, local e sniffer.
⦁ Os logs de tráfego de encaminhamento contêm informações sobre o tráfego que o FortiGate aceitou ou
rejeitou de acordo com uma política de firewall.
⦁ Os registros de tráfego local contêm informações sobre o tráfego diretamente de e para os endereços IP de
gerenciamento do FortiGate. Eles também incluem conexões para as consultas da GUI e do FortiGuard.
⦁ Os logs do sniffer contêm informações relacionadas ao tráfego visto pelo sniffer de um braço.
Os logs de eventos registram eventos do sistema e administrativos, como adicionar ou modificar uma
configuração ou atividades daemon. Ele contém subtipos denominados controle de endpoint, alta
disponibilidade, sistema, usuário, roteador, VPN, WAD e wireless.
⦁ Os logs de eventos do sistema contêm informações relacionadas às operações, como atualizações
automáticas do FortiGuard e logins da GUI.
⦁ Os logs do usuário contêm eventos de logon e logoff para políticas de firewall com autenticação do
usuário.
⦁ Os subtipos de roteador, VPN, WAD e sem fio incluem logs para esses recursos. Por exemplo, VPN
contém entradas de log de VPN IPsec e SSL.
Por fim, os logs de segurança registram eventos de segurança, como ataques de vírus e tentativas
de intrusão. Eles contêm entradas de registro com base no tipo de perfil de segurança (tipo de
registro = utm), incluindo controle de aplicativo, antivírus, DLP, anti-spam (filtro de e-mail), filtro da
web, proteção contra intrusão, anomalia (política DoS) e WAF. Os logs e subtipos de segurança só
são visíveis na GUI se os logs forem criados nela - se não houver logs de segurança, o item de menu
não aparecerá.

6-

Each log entry includes a log level (or priority level) that ranges in order of importance from
emergency to information.
There is also a debug level. It puts diagnostic information into the event log. The debug level is rarely
used, unless you are actively investigating an issue with Fortinet Support. Generally, the lowest level
you want to use is information, but even this level generates many logs and can cause premature
hard disk failure.
Depending on the type of log and the needs of your organization, you may want to log only notification
levels or higher.
You and your organization’s policies dictate what must be logged.
Cada entrada de registro inclui um nível de registro (ou nível de prioridade) que varia em ordem de
importância, desde a emergência até a informação.
Também existe um nível de depuração. Ele coloca informações de diagnóstico no log de eventos. O
nível de depuração raramente é usado, a menos que você esteja investigando ativamente um
problema com o Suporte Fortinet. Geralmente, o nível mais baixo que você deseja usar é a
informação, mas mesmo esse nível gera muitos logs e pode causar falha prematura do disco rígido.
Dependendo do tipo de registro e das necessidades de sua organização, você pode desejar registrar
apenas níveis de notificação ou superiores.
Você e as políticas da sua organização determinam o que deve ser registrado.

7-

Every log message has a standard layout comprising two sections: a header and a body.
The header contains fields that are common to all log types, such as originating date and time, log
identifier, log category, severity level, and virtual domain (VDOM). The value of each field, however, is
specific to the log message. In the raw log entry example shown on this slide, the log type is UTM, the
subtype is webfilter, and the level is warning. The type and subtype of logs determine what fields
appear in the log body.
The body, therefore, describes the reason why the log was created and actions taken by FortiGate.
These fields vary by log type. In the example shown on this slide, the fields are as follows:
⦁ the policyid field indicates which firewall rule matched the traffic
⦁ the srcip field indicates the source IP address
⦁ the dstip field indicates the destination IP address
⦁ the hostname field indicates the URL or IP of the host
⦁ the action field indicates what FortiGate did when it found a policy that matched the traffic
⦁ the msg field indicates the reason for the action taken. In this example, the action is blocked, which
means that FortiGate prevented this IP packet from passing, and the reason is because it belonged to a
denied category in the firewall policy.
If you log to a third-party device, such as a syslog server, knowing the log structure is crucial to
integration. For information on log structures and associated meanings, visit http://docs.fortinet.com.
Cada mensagem de log tem um layout padrão que compreende duas seções: um cabeçalho e um
corpo.
O cabeçalho contém campos que são comuns a todos os tipos de log, como data e hora de origem,
identificador de log, categoria de log, nível de gravidade e domínio virtual (VDOM). O valor de cada
campo, entretanto, é específico da mensagem de log. No exemplo de entrada de registro bruto
mostrado neste slide, o tipo de registro é UTM, o subtipo é webfilter e o nível é aviso. O tipo e subtipo
de logs determinam quais campos aparecem no corpo do log.
O corpo, portanto, descreve a razão pela qual o log foi criado e as ações realizadas pelo FortiGate.
Esses campos variam de acordo com o tipo de registro. No exemplo mostrado neste slide, os
campos são os seguintes:
⦁ o campo policyid indica qual regra de firewall correspondeu ao tráfego
⦁ o campo srcip indica o endereço IP de origem
⦁ o campo dstip indica o endereço IP de destino
⦁ o campo do nome do host indica o URL ou IP do host
⦁ o campo de ação indica o que FortiGate fez quando encontrou uma política que correspondia ao tráfego
⦁ o campo msg indica o motivo da ação executada. Neste exemplo, a ação está bloqueada, o que significa
que o FortiGate impediu a passagem deste pacote IP, e o motivo é porque ele pertencia a uma categoria
negada na política de firewall.
Se você fizer logon em um dispositivo de terceiros, como um servidor syslog, saber a estrutura do log
é crucial para a integração. Para obter informações sobre estruturas de log e significados associados,
visite http://docs.fortinet.com.

8-

Collecting logs from the devices in your Security Fabric is important. This is why two or more
FortiGate devices and a FortiAnalyzer—a remote logging device—are requisite products at the core of
the Security Fabric solution. With FortiGate, you can enable different security features, like antivirus
(AV), web filtering, intrusion prevention (IPS), and application control, in different firewalls in the fabric.
For example, in the Internal Segmentation firewall (ISFW), you can enable only AV, while in the Next
Generation firewall (NGFW) facing the Internet, you can enable web filtering, IPS, and application
control. This means you do not have to duplicate scans and logs of the same traffic flow when it
passes through multiple firewalls.
The Security Fabric can provide a network topology view (physical and logical), and FortiGate devices
can share network-related information. For example, devices connected to downstream FortiGate
devices will be visible on the upstream device as well (you must enable device detection on the
Interfaces page of the FortiGate GUI). In short, administrators can view logs and devices connected to
the network by logging on to the root FortiGate in the Security Fabric. This information is securely
shared using the FortiTelemetry protocol.
Coletar logs dos dispositivos em seu Security Fabric é importante. É por isso que dois ou mais
dispositivos FortiGate e um FortiAnalyzer - um dispositivo de registro remoto - são produtos
necessários no núcleo da solução Security Fabric. Com o FortiGate, você pode habilitar diferentes
recursos de segurança, como antivírus (AV), filtragem da web, prevenção de intrusão (IPS) e controle
de aplicativos, em diferentes firewalls da malha. Por exemplo, no firewall de segmentação interna
(ISFW), você pode habilitar apenas AV, enquanto no firewall de próxima geração (NGFW) voltado
para a Internet, você pode habilitar a filtragem da web, IPS e controle de aplicativos. Isso significa
que você não precisa duplicar verificações e logs do mesmo fluxo de tráfego quando ele passa por
vários firewalls.
O Security Fabric pode fornecer uma visão da topologia da rede (física e lógica), e os dispositivos
FortiGate podem compartilhar informações relacionadas à rede. Por exemplo, os dispositivos
conectados a dispositivos FortiGate downstream também serão visíveis no dispositivo upstream
(você deve habilitar a detecção de dispositivos na página Interfaces da GUI FortiGate). Resumindo,
os administradores podem visualizar registros e dispositivos conectados à rede, fazendo logon no
FortiGate raiz no Security Fabric. Essas informações são compartilhadas com segurança usando o
protocolo FortiTelemetry.

9-

It is important to remember that the more logs that get generated, the heavier the toll on your CPU,
memory, and disk resources. Storing logs for a period of time also requires disk space, as does
accessing them. So, before configuring logging, make sure it is worth the extra resources and that
your system can handle the influx.
Also important to note is logging behavior with security profiles. Security profiles can, depending on
the logging settings, create log events when traffic matching the profile is detected. Depending on the
amount of traffic you have, and logging settings that are enabled, your traffic logs can swell and,
ultimately, impact the performance of your firewall.
From the FortiGate CLI, you can enable performance statistic logging for remote logging devices,
such as FortiAnalyzer and syslog, to occur every 1-15 minutes (0 to disable). This is not available for
local disk logging or FortiCloud.
É importante lembrar que quanto mais logs forem gerados, maior será a carga sobre os recursos de
CPU, memória e disco. Armazenar logs por um período de tempo também requer espaço em disco,
assim como acessá-los. Portanto, antes de configurar o registro, certifique-se de que os recursos
extras valem a pena e que seu sistema pode lidar com o influxo.
Também é importante observar o comportamento do log com perfis de segurança. Os perfis de
segurança podem, dependendo das configurações de registro, criar eventos de registro quando o
tráfego correspondente ao perfil é detectado. Dependendo da quantidade de tráfego que você tem e
das configurações de registro ativadas, seus registros de tráfego podem aumentar e, em última
análise, impactar o desempenho do firewall.
A partir do FortiGate CLI, você pode habilitar o registro de estatísticas de desempenho para
dispositivos de registro remoto, como FortiAnalyzer e syslog, para ocorrer a cada 1-15 minutos (0
para desabilitar). Isso não está disponível para registro de disco local ou FortiCloud.

10-
You should always have a log management plan that addresses the following topics:
⦁ The FortiGate activities that you want and need logged (for example, security features)?
⦁ The logging device that is best suited to your network structure
⦁ Log archiving, if required
⦁ A backup solution that will be used in the event of a failure
You should also implement a remote logging solution, such as FortiAnalyzer, and ensure you plan for
future growth.
Finally, ensure you revisit your plan and backup solution frequently, and configure alert messages that
will notify you of activities that are important.
Você deve sempre ter um plano de gerenciamento de log que aborde os seguintes tópicos:
⦁ As atividades do FortiGate que você deseja e precisa registradas (por exemplo, recursos de segurança)?
⦁ O dispositivo de registro mais adequado à sua estrutura de rede
⦁ Arquivo de registro, se necessário
⦁ Uma solução de backup que será usada em caso de falha
Você também deve implementar uma solução de registro remoto, como FortiAnalyzer, e garantir que
você planeje o crescimento futuro.
Por fim, certifique-se de revisitar seu plano e solução de backup com frequência e configurar
mensagens de alerta que o notificarão sobre atividades que são importantes.

15-
Storing logs on FortiGate is known as local logging. You can store logs to the device’s hard drive.
Typically, mid- to high-end FortiGates have a hard drive. Logging to a hard drive is known as disk
logging. Depending on the model series, disk logging may be enabled by default.
FortiGates can store all log types, including log archives and traffic logs locally. Traffic logs and log
archives are larger files, and need a lot of room when being logged by FortiGate.
Under heavy log usage, any logging to FortiGate—disk—will result in a performance impact.
If you are using the local hard disk on a device for WAN optimization, you cannot also log to disk
(unless your device has two separate disks: you can use one with WAN optimization and the other for
logging). If you are using the local hard disk for WAN optimization, you can log to remote
FortiAnalyzer devices or syslog servers.
O armazenamento de registros no FortiGate é conhecido como registro local. Você pode armazenar
registros no disco rígido do dispositivo.
Normalmente, os FortiGates de gama média a alta têm um disco rígido. O registro em um disco rígido
é conhecido como registro em disco. Dependendo da série do modelo, o registro do disco pode ser
habilitado por padrão.
FortiGates pode armazenar todos os tipos de log, incluindo arquivos de log e logs de tráfego
localmente. Os logs de tráfego e arquivos de log são arquivos maiores e precisam de muito espaço
ao serem registrados pelo FortiGate.
Sob uso pesado de log, qualquer log no FortiGate - disco - resultará em um impacto no desempenho.
Se você estiver usando o disco rígido local em um dispositivo para otimização de WAN, você também
não pode registrar no disco (a menos que seu dispositivo tenha dois discos separados: você pode
usar um com otimização de WAN e outro para registro). Se estiver usando o disco rígido local para
otimização de WAN, você pode fazer logon em dispositivos FortiAnalyzer remotos ou servidores
syslog.

16-
If you want to store logs locally on FortiGate, you must enable disk logging from the Log Settings
page. Only certain FortiGate models support disk logging. If your FortiGate does not support disk
logging, you can log to an external device instead. You will learn about remote logging later in this
lesson.
Disk logging must be enabled in order for information to appear on the FortiView dashboards. If
disabled, logs display in real-time only. You can also enable this setting using the CLI config log disk
setting command.
By default, logs older than seven (7) days are deleted from the disk (log age is configurable).
Se você deseja armazenar os registros localmente no FortiGate, você deve habilitar o registro do
disco na página Configurações de registro. Apenas alguns modelos FortiGate suportam registro em
disco. Se o seu FortiGate não suporta registro em disco, você pode fazer o registro em um dispositivo
externo. Você aprenderá sobre registro remoto posteriormente nesta lição.
O registro do disco deve ser ativado para que as informações apareçam nos painéis do FortiView. Se
desativado, os logs são exibidos apenas em tempo real. Você também pode habilitar essa
configuração usando o comando de configuração do disco de log de configuração CLI.
Por padrão, os logs com mais de sete (7) dias são excluídos do disco (a idade do log é configurável).

17-
If you decide to log locally on FortiGate, be aware that the entire disk space is not available to store
logs. The FortiGate system reserves approximately 25% of its disk space for system usage and
unexpected quota overflow.
To determine the amount of reserved space on your FortiGate, use the CLI command diagnose sys
logdisk usage. Subtract the total logging space from the total disk space to calculate the reserved
space.
Se você decidir fazer logon localmente no FortiGate, esteja ciente de que todo o espaço em disco
não está disponível para armazenar os logs. O sistema FortiGate reserva aproximadamente 25% de
seu espaço em disco para uso do sistema e estouro de cota inesperado.
Para determinar a quantidade de espaço reservado em seu FortiGate, use o comando CLI diagnose
sys logdisk usage. Subtraia o espaço total de registro do espaço total em disco para calcular o
espaço reservado.

18-

The Log Settings page displays two charts to visualize disk space: Disk Usage, which is a pie-chart
illustrating the free and used space on the internal hard drive, and Historical Disk Usage, which
displays the volume of disk logging activity over time. These charts may not be visible if disk logging is
disabled.
The diagnose sys logdisk usage command allows you to view detailed information about how much
space is currently being used for logs. FortiGate uses only 75 percent of the available disk capacity to
avoid a high storage amount, so the percentage refers to the 75 percent that is available.
A página Configurações de registro exibe dois gráficos para visualizar o espaço em disco: Uso do
disco, que é um gráfico de pizza que ilustra o espaço livre e usado no disco rígido interno, e Uso do
disco histórico, que exibe o volume da atividade de registro do disco ao longo do tempo. Esses
gráficos podem não ser visíveis se o registro do disco estiver desativado.
O comando diagnose sys logdisk usage permite que você visualize informações detalhadas sobre
quanto espaço está sendo usado atualmente para os logs. O FortiGate usa apenas 75 por cento da
capacidade do disco disponível para evitar uma grande quantidade de armazenamento, portanto, a
porcentagem se refere aos 75 por cento disponíveis.

19-

By default, when your disk is full, the oldest logs are overwritten. However, you can change this
behaviour to stop logging when the disk is full using the config log disk setting command.
Before your disk reaches a full state, FortiGate sends multiple warnings. By default, the first warning
arrives when the disk usage reaches 75%, the second warning at 90%, and the final warning at 95%.
These thresholds are configurable using the config log disk setting command.
Por padrão, quando o disco está cheio, os logs mais antigos são substituídos. No entanto, você pode
alterar esse comportamento para interromper o registro quando o disco estiver cheio, usando o
comando de configuração do disco de registro de configuração.
Antes que seu disco atinja um estado completo, FortiGate envia vários avisos. Por padrão, o primeiro
aviso chega quando o uso do disco atinge 75%, o segundo aviso em 90% e o aviso final em 95%.
Esses limites são configuráveis usando o comando de configuração do disco de log de configuração.

25-
If storing logs locally does not fit your requirements, you can store logs externally. You can configure
FortiGate to store logs on syslog servers, FortiCloud, FortiSIEM, FortiAnalyzer, or FortiManager.
These logging devices can also be used as a backup solution.
Syslog is a logging server that is used as a central repository for networked devices.
FortiCloud is a Fortinet subscription-based, hosted security management and log retention service
that offers long-term storage of logs with reporting. If you have a smaller network, FortiCloud is
usually more feasible than buying a dedicated logging device. Note that every FortiGate offers a free
tier and will keep logs for seven days. You must upgrade to the paid service to retain logs for one
year.
FortiSIEM provides unified event correlation and risk management that can collect, parse, normalize,
index, and store security logs.
FortiAnalyzer and FortiManager are external logging devices with which FortiGate can communicate.
You can place FortiAnalyzer or FortiManager in the same network as FortiGate, or outside of it. While
FortiAnalyzer and FortiManager share a common hardware and software platform and can both take
log entries, FortiAnalyzer and FortiManager actually have different capabilities that are worth noting.
The primary purpose of FortiManager is to centrally manage multiple FortiGate devices. As such, log
volumes are limited to a fixed amount per day, which are less than the equivalent size FortiAnalyzer.
On the other hand, the primary purpose of FortiAnalyzer is to store and analyze logs, so the log limit is
much higher (though the limit is model dependent). Note that local disk or logging is not required for
you to configure logging to FortiAnalyzer or FortiManager.
Se o armazenamento de logs localmente não atender aos seus requisitos, você pode armazenar os
logs externamente. Você pode configurar o FortiGate para armazenar logs em servidores syslog,
FortiCloud, FortiSIEM, FortiAnalyzer ou FortiManager. Esses dispositivos de registro também podem
ser usados como uma solução de backup.
Syslog é um servidor de registro usado como repositório central para dispositivos em rede.
O FortiCloud é um serviço de gerenciamento de segurança hospedado e retenção de log baseado
em assinatura da Fortinet que oferece armazenamento de longo prazo de logs com relatórios. Se
você tem uma rede menor, o FortiCloud geralmente é mais viável do que comprar um dispositivo de
registro dedicado. Observe que cada FortiGate oferece um nível gratuito e manterá registros por sete
dias. Você deve atualizar para o serviço pago para reter os registros por um ano.
O FortiSIEM fornece correlação de eventos unificada e gerenciamento de risco que pode coletar,
analisar, normalizar, indexar e armazenar logs de segurança.
FortiAnalyzer e FortiManager são dispositivos externos de registro com os quais o FortiGate pode se
comunicar. Você pode colocar o FortiAnalyzer ou FortiManager na mesma rede do FortiGate, ou fora
dela. Enquanto o FortiAnalyzer e o FortiManager compartilham uma plataforma comum de hardware
e software e podem receber entradas de registro, o FortiAnalyzer e o FortiManager na verdade têm
recursos diferentes que vale a pena observar. O objetivo principal do FortiManager é gerenciar
centralmente vários dispositivos FortiGate. Como tal, os volumes de log são limitados a uma
quantidade fixa por dia, que é menor do que o tamanho equivalente do FortiAnalyzer. Por outro lado,
o objetivo principal do FortiAnalyzer é armazenar e analisar logs, portanto, o limite de log é muito
mais alto (embora o limite seja dependente do modelo). Observe que o disco local ou o registro não
são necessários para configurar o registro no FortiAnalyzer ou FortiManager.

26-

Configuring FortiGate to send logs to FortiAnalyzer or FortiManager is identical. In order for FortiGate
to send logs to either device, you must register FortiGate with FortiAnalyzer or FortiManager. After it
is registered, the FortiAnalyzer or FortiManager can begin to accept incoming logs from FortiGate.
You can configure remote logging to FortiAnalyzer or FortiManager using both the GUI and the CLI.
⦁ GUI: On the Log Settings page, enable logging to FortiAnalyzer/FortiManager, and type the IP
address of the remote logging device.
⦁ CLI: For both FortiAnalyzer and FortiManager, use the config log fortianalyzer setting command.
Even though FortiManager isn’t explicitly mentioned in the command, it is used for FortiManager as well.
Using the CLI, up to three separate devices can be added to increase redundancy for the protection of log
data. The commands for the three devices are not cumulative. Generating logs uses system resources, so if
FortiGate frequently creates and sends logs to multiple places, CPU and RAM usage increase.
Note that the Test Connectivity function on the GUI will report as failing until FortiGate is registered on
FortiAnalyzer or FortiManager, because it is not yet authorized to send logs.
A configuração do FortiGate para enviar logs ao FortiAnalyzer ou FortiManager é idêntica. Para que o
FortiGate envie logs para qualquer um dos dispositivos, você deve registrar o FortiGate com o
FortiAnalyzer ou FortiManager. Depois de registrado, o FortiAnalyzer ou FortiManager pode começar
a aceitar os logs de entrada do FortiGate.
Você pode configurar o log remoto para FortiAnalyzer ou FortiManager usando a GUI e a CLI.
⦁ GUI: Na página Configurações de registro, habilite o registro no FortiAnalyzer / FortiManager e digite o
endereço IP do dispositivo de registro remoto.
⦁ CLI: Para FortiAnalyzer e FortiManager, use o comando de definição config log fortianalyzer. Embora o
FortiManager não seja mencionado explicitamente no comando, ele também é usado para o FortiManager.
Usando a CLI, até três dispositivos separados podem ser adicionados para aumentar a redundância para a
proteção dos dados de registro. Os comandos para os três dispositivos não são cumulativos. A geração de
logs usa recursos do sistema, portanto, se o FortiGate frequentemente cria e envia logs para vários locais, o
uso de CPU e RAM aumenta.
Observe que a função Testar Conectividade na GUI relatará como falha até que o FortiGate seja
registrado no FortiAnalyzer ou FortiManager, porque ainda não está autorizado a enviar logs.

27-

FortiGate allows near real-time uploading and consistent high-speed compression and analysis to
FortiAnalyzer and FortiManager.
On the GUI, upload options include Real Time, Every Minute, and Every 5 Minutes (default).
If your FortiGate model includes an internal hard drive, you also have the store-and-upload option.
This allows you to store logs to disk and then upload to FortiAnalyzer or FortiManager at a scheduled
time (usually a low bandwidth time). You can configure the store-and-upload option, as well as a
schedule, on the CLI only.
FortiGate permite upload quase em tempo real e compressão e análise consistentes de alta
velocidade para FortiAnalyzer e FortiManager.
Na GUI, as opções de upload incluem Tempo Real, A Cada Minuto e A Cada 5 Minutos (padrão).
Se o seu modelo FortiGate inclui um disco rígido interno, você também tem a opção de armazenar e
carregar. Isso permite que você armazene os registros no disco e depois carregue no FortiAnalyzer
ou FortiManager em um horário programado (geralmente um horário de baixa largura de banda).
Você pode configurar a opção armazenar e carregar, bem como uma programação, apenas na CLI.

28-
If FortiAnalyzer becomes unavailable to FortiGate for any reason, FortiGate uses its miglogd process
to cache the logs. There is a maximum value to the cache size, and the miglogd process will begin
dropping cached logs (oldest first) once this value is reached. When the connection between the two
devices is restored, the miglogd process begins to send the cached logs to FortiAnalyzer. Therefore,
the FortiGate buffer keeps logs long enough to sustain a reboot of your FortiAnalyzer (if you are
upgrading the firmware, for example), but it is not intended for a lengthy FortiAnalyzer outage.
On FortiGate, the CLI command diagnose test application miglogd 6 displays statistics for the miglogd
process, including the total cache size, and current cache size.
The CLI command diagnose log kernel-stats will show an increase in failed-log if the cache is full and
needs to drop logs.
FortiGate devices with an SSD disk have a configurable log buffer. When the connection to
FortiAnalyzer is unreachable, the FortiGate is able to buffer logs on disk if the memory log buffer is
full. The logs queued on the disk buffer can be sent successfully after the connection to FortiAnalyzer
is restored.
Se o FortiAnalyzer ficar indisponível para o FortiGate por qualquer motivo, o FortiGate usa seu
processo miglogd para armazenar os logs. Há um valor máximo para o tamanho do cache e o
processo miglogd começará a eliminar os logs em cache (os mais antigos primeiro) assim que esse
valor for atingido. Quando a conexão entre os dois dispositivos é restaurada, o processo miglogd
começa a enviar os logs em cache para o FortiAnalyzer. Portanto, o buffer FortiGate mantém logs por
tempo suficiente para sustentar uma reinicialização do FortiAnalyzer (se você estiver atualizando o
firmware, por exemplo), mas não se destina a uma interrupção prolongada do FortiAnalyzer.
No FortiGate, o aplicativo de teste de diagnóstico do comando CLI miglogd 6 exibe estatísticas para o
processo miglogd, incluindo o tamanho total do cache e o tamanho atual do cache.
O comando CLI diagnose log kernel-stats mostrará um aumento no fail-log se o cache estiver cheio e
precisar descartar os logs.
Os dispositivos FortiGate com disco SSD possuem um buffer de registro configurável. Quando a
conexão com o FortiAnalyzer está inacessível, o FortiGate é capaz de fazer o buffer dos logs no
disco se o buffer de log da memória estiver cheio. Os logs enfileirados no buffer do disco podem ser
enviados com sucesso após a conexão com o FortiAnalyzer ser restaurada.

29-
Similar to FortiAnalyzer and FortiManager, you can configure remote logging to FortiCloud on the Log
Settings page or the CLI. However, you must first activate your FortiCloud account, so FortiGate can
communicate with your FortiCloud account. Once complete, you can enable FortiCloud logging and
set the upload option. If you want to store your logs to disk first and then upload to FortiCloud, you
must specify a schedule. When disk usage is set to WAN optimization (wanopt), the store and upload
option for logging to FortiCloud is removed.
You can also configure remote logging to syslog and FortiSIEM on the Log Settings page or the CLI.
You can configure FortiGate to send logs to up to four syslog servers or FortiSIEM devices using the
config log syslogd CLI command.
FortiGate supports sending logs to syslog in CSV and CEF format, an open log management
standard that provides interoperability of security-related information between different network
devices and applications. CEF data can be collected and aggregated for analysis by enterprise
management or Security Information and Event Management (SIEM) systems, such as FortiSIEM.
You can configure each syslog server separately to send log messages in CEF or CSV format.
You can configure an individual syslog to use CSV and CEF format using the CLI. An example shown
on this slide is for syslogd3. All other syslog settings can be configured as required independently of
the log message format, including the server address and transport (UDP or TCP) protocol.
Semelhante ao FortiAnalyzer e FortiManager, você pode configurar o registro remoto do FortiCloud
na página Configurações de registro ou no CLI. No entanto, você deve primeiro ativar sua conta
FortiCloud, para que o FortiGate possa se comunicar com sua conta FortiCloud. Depois de concluído,
você pode habilitar o registro do FortiCloud e definir a opção de upload. Se você deseja armazenar
seus logs no disco primeiro e depois carregá-los no FortiCloud, você deve especificar uma
programação. Quando o uso do disco é definido para otimização WAN (wanopt), a opção de
armazenamento e upload para registro no FortiCloud é removida.
Você também pode configurar o registro remoto para syslog e FortiSIEM na página Configurações de
registro ou no CLI. Você pode configurar o FortiGate para enviar logs para até quatro servidores
syslog ou dispositivos FortiSIEM usando o comando config log syslogd CLI.
O FortiGate suporta o envio de logs para syslog em formato CSV e CEF, um padrão de
gerenciamento de log aberto que fornece interoperabilidade de informações relacionadas à
segurança entre diferentes dispositivos e aplicativos de rede. Os dados CEF podem ser coletados e
agregados para análise por sistemas de gerenciamento corporativo ou de gerenciamento de
informações e eventos de segurança (SIEM), como o FortiSIEM. Você pode configurar cada servidor
syslog separadamente para enviar mensagens de log no formato CEF ou CSV.
Você pode configurar um syslog individual para usar o formato CSV e CEF usando o CLI. Um
exemplo mostrado neste slide é para syslogd3. Todas as outras configurações de syslog podem ser
definidas conforme necessário, independentemente do formato da mensagem de log, incluindo o
endereço do servidor e o protocolo de transporte (UDP ou TCP).

30-

If you have a FortiGate with virtual domains (VDOMs) configured, you can globally add multiple
FortiAnalyzers and syslog servers. You can configure up to three FortiAnalyzer devices and up to four
syslog servers under global settings.
Se você tiver um FortiGate com domínios virtuais (VDOMs) configurado, poderá adicionar
globalmente vários FortiAnalyzers e servidores syslog. Você pode configurar até três dispositivos
FortiAnalyzer e até quatro servidores syslog em configurações globais.

31-

On each VDOM, you can override the global settings, that allow you to configure up to three override
FortiAnalyzer devices, or up to four override syslog servers, or both, for that VDOM.
The management VDOM is responsible for sending logs to FortiAnalyzer devices and syslog servers,
So, if you use the override-setting in a VDOM, then that VDOM is responsible for sending logs to the
new FortiAnalyzer or syslog server that you configured for that VDOM.
Em cada VDOM, você pode substituir as configurações globais, que permitem configurar até três
dispositivos FortiAnalyzer de substituição, ou até quatro servidores syslog de substituição, ou ambos,
para aquele VDOM.
O VDOM de gerenciamento é responsável por enviar logs para dispositivos FortiAnalyzer e
servidores syslog. Portanto, se você usar a configuração de substituição em um VDOM, esse VDOM
é responsável por enviar logs para o novo FortiAnalyzer ou servidor syslog que você configurou para
aquele VDOM.

32-

FortiGate uses UDP port 514 (or TCP port 514, if reliable logging is enabled) for log transmission.
Log messages are stored on disk and transmitted to FortiAnalyzer as plain text in LZ4 compressed
format. This reduces disk log size and reduces log transmission time and bandwidth usage.
O FortiGate usa a porta UDP 514 (ou a porta TCP 514, se o registro confiável estiver habilitado) para
a transmissão do log.
As mensagens de log são armazenadas em disco e transmitidas ao FortiAnalyzer como texto simples
no formato compactado LZ4. Isso reduz o tamanho do log do disco e reduz o tempo de transmissão
do log e o uso da largura de banda.

33-
When you enable reliable logging on FortiGate, the log transport delivery method changes from UDP
(User Datagram Protocol) to TCP (Transmission Control Protocol). TCP provides reliable data
transfer, guaranteeing that the data transferred remains intact and arrives in the same order in which
it was sent.
If you enable logging to FortiAnalyzer or FortiManager using the GUI, reliable logging is automatically
enabled. If you enable logging using the CLI, you must enable reliable logging using the CLI
command shown on this slide.
Logging to FortiCloud uses TCP, and you can set the encryption algorithm using the CLI (the default
setting is high).
Quando você habilita o log confiável no FortiGate, o método de entrega de transporte de log muda de
UDP (User Datagram Protocol) para TCP (Transmission Control Protocol). O TCP fornece
transferência de dados confiável, garantindo que os dados transferidos permaneçam intactos e
cheguem na mesma ordem em que foram enviados.
Se você habilitar o registro no FortiAnalyzer ou FortiManager usando a GUI, o registro confiável é
automaticamente habilitado. Se você habilitar o registro usando o CLI, deverá habilitar o registro
confiável usando o comando CLI mostrado neste slide.
O registro no FortiCloud usa TCP, e você pode definir o algoritmo de criptografia usando a CLI (a
configuração padrão é alta).

34-
Optionally, if using reliable logging, you can encrypt communications using SSL-encrypted OFTP
traffic, so when a log message is generated, it is safely transmitted across an unsecure network. You
can encrypt communications using SSL-secured OFTP by configuring the enc-algorithm setting on the
CLI.
Opcionalmente, se estiver usando um registro confiável, você pode criptografar as comunicações
usando o tráfego OFTP criptografado por SSL, de forma que quando uma mensagem de registro é
gerada, ela é transmitida com segurança por uma rede não segura. Você pode criptografar as
comunicações usando OFTP protegido por SSL, configurando a configuração do algoritmo de
codificação no CLI.

40-

There are two steps involved in configuring logging. You must first configure the logging settings to
determine if, where, and how a log is stored. You can configure these settings primarily on the GUI on
the Log Settings page. You must then configure logging on your firewall policies to determine whether
logs are generated. You can configure these settings on the GUI on the Firewall Policy page.
The logging preparedness checklist shown on this slide identifies what you need to configure for
logging based on your requirements.
Existem duas etapas envolvidas na configuração do registro. Você deve primeiro definir as
configurações de registro para determinar se, onde e como um registro é armazenado. Você pode
definir essas configurações principalmente na GUI na página Configurações de log. Você deve então
configurar o registro em suas políticas de firewall para determinar se os registros são gerados. Você
pode definir essas configurações na GUI na página Política de firewall.
A lista de verificação de preparação de log mostrada neste slide identifica o que você precisa
configurar para log com base em seus requisitos.

41-
The Log Settings page allows you to decide if, where, and how a log is stored.
As previously discussed, you must configure whether to store logs locally on your FortiGate disk, or
remotely to an external device, such as FortiAnalyzer.
You must also configure what event logs and local traffic logs to capture. Local traffic logs provide
information about traffic directly to and from FortiGate. By default, this option is disabled because of
the large number of logs they can generate. Event logs provide all of the system information
generated by FortiGate, such as administrator logins, configuration changes made by administrators,
user activity, and daily operations of the device—they are not directly caused by traffic passing
through firewall policies. For example, IPsec VPNs closing, or routing protocol activity, are not caused
by traffic passing through a firewall policy. One exception might be the user log, because it does
record user logon and logoff events on traffic that passes through policies. The event logs you choose
to enable depend on what features you are implementing and what information you need to get from
the logs.
The Resolve Hostnames feature resolves IP addresses to host names. This requires FortiGate to
perform reverse DNS lookups for all IP addresses. If your DNS server is not available or is slow to
reply, it can impact your ability to look through the logs, because the requests will time out.
A página Configurações de log permite que você decida se, onde e como um log é armazenado.
Conforme discutido anteriormente, você deve configurar se deseja armazenar os registros localmente
em seu disco FortiGate ou remotamente em um dispositivo externo, como FortiAnalyzer.
Você também deve configurar quais logs de eventos e logs de tráfego local capturar. Os registros de
tráfego local fornecem informações sobre o tráfego diretamente de e para o FortiGate. Por padrão,
esta opção está desabilitada devido ao grande número de logs que eles podem gerar. Os logs de
eventos fornecem todas as informações do sistema geradas pelo FortiGate, como logins de
administrador, alterações de configuração feitas por administradores, atividade do usuário e
operações diárias do dispositivo - eles não são causados diretamente pelo tráfego que passa pelas
políticas de firewall. Por exemplo, o fechamento de VPNs IPsec ou a atividade do protocolo de
roteamento não são causados pelo tráfego que passa por uma política de firewall. Uma exceção
pode ser o log do usuário, porque ele registra eventos de logon e logoff do usuário no tráfego que
passa pelas políticas. Os logs de eventos que você escolhe habilitar dependem de quais recursos
você está implementando e de quais informações você precisa obter dos logs.
O recurso Resolve Hostnames resolve endereços IP para nomes de host. Isso requer que o
FortiGate execute pesquisas reversas de DNS para todos os endereços IP. Se o seu servidor DNS
não estiver disponível ou demorar para responder, isso pode afetar sua capacidade de examinar os
logs, pois as solicitações expirarão.
42-

While the log settings on the GUI allow you to configure what event logs and local traffic logs to
capture, you can also set more robust and granular options using the CLI.
Previously, we mentioned that you can configure up to four logging services for syslog and FortiSIEM
using the command config log syslogd setting, and up to three FortiAnalyzer devices using the config
log fortianalyzer setting. You can control what logs are sent to each of these devices separately, using
the command config log syslogd filter for remote syslog or FortiSIEM, and the command config log
fortianalyzer filter for FortiAnalyzer devices.
In this way, you can set devices to different logging levels and/or send only certain types of logs to
one device and other types (or all logs) to others. For example, you can send all logs at information
level and above to fortianalyzer, alert level and above to fortianalyzer2, and only traffic logs to
fortianalyzer3.
Embora as configurações de log na GUI permitam que você configure quais logs de eventos e logs
de tráfego local capturar, você também pode definir opções mais robustas e granulares usando a
CLI.
Anteriormente, mencionamos que você pode configurar até quatro serviços de registro para syslog e
FortiSIEM usando a configuração do comando config log syslogd, e até três dispositivos
FortiAnalyzer usando a configuração do config log fortianalyzer. Você pode controlar quais logs são
enviados para cada um desses dispositivos separadamente, usando o comando config log syslogd
filter para syslog remoto ou FortiSIEM, e o comando config log fortianalyzer filter para dispositivos
FortiAnalyzer.
Desta forma, você pode definir dispositivos para diferentes níveis de registro e / ou enviar apenas
certos tipos de registros para um dispositivo e outros tipos (ou todos os registros) para outros. Por
exemplo, você pode enviar todos os registros em nível de informação e acima para fortianalyzer,
nível de alerta e acima para fortianalyzer2 e apenas registros de tráfego para fortianalyzer3.

43-
After you configure all logging settings, you can enable logging on your firewall policies. Only when
enabled on a firewall policy can a log message—caused by traffic passing through that firewall policy
—generate.
Generally, if you configure FortiGate to inspect traffic, you should also enable logging for that security
feature to help you track and debug your traffic flow. Except for violations that you consider to be low
in severity, you’ll want to know if FortiGate is blocking attacks. Most attacks don’t result in a security
breach on the first try. A proactive approach, when you notice a persistent attacker whose methods
seem to be evolving, can avoid a security breach. To get early warnings like this, enable logging for
your security profiles.
To enable logging on traffic passing through a firewall policy, you must do the following:
⦁ Enable the desired security profile(s) on your firewall policy.
⦁ Enable Log Allowed Traffic on that firewall policy. This setting is vital. If disabled, you will not receive
logs of any kind—even if you have enabled a security profile on your firewall policy. You can choose to
log only security events, or log all sessions:
⦁ Security Events: If enabled (along with one or more security profiles), security log events appear in the
forward traffic log and security log. A forward traffic log generates for packets causing a security event.
⦁ All Sessions: If enabled, a forward traffic log generates for every single session. If one or more security
profiles is also enabled, security log events appear in the forward traffic log and security log.
Depois de definir todas as configurações de registro, você pode habilitar o registro em suas políticas
de firewall. Apenas quando habilitado em uma política de firewall, uma mensagem de log - causada
pelo tráfego que passa por essa política de firewall - pode ser gerada.
Geralmente, se você configurar o FortiGate para inspecionar o tráfego, você também deve habilitar o
registro para esse recurso de segurança para ajudá-lo a rastrear e depurar seu fluxo de tráfego.
Exceto por violações que você considera de baixa gravidade, você vai querer saber se o FortiGate
está bloqueando ataques. A maioria dos ataques não resulta em uma violação de segurança na
primeira tentativa. Uma abordagem proativa, ao observar um invasor persistente cujos métodos
parecem estar em evolução, pode evitar uma violação de segurança. Para obter avisos antecipados
como este, habilite o registro de seus perfis de segurança.
Para habilitar o registro do tráfego que passa por uma política de firewall, você deve fazer o seguinte:
⦁ Ative o (s) perfil (s) de segurança desejado (s) em sua política de firewall.
⦁ Habilite o tráfego permitido de log nessa política de firewall. Essa configuração é vital. Se desativado, você
não receberá logs de qualquer tipo - mesmo se tiver ativado um perfil de segurança em sua política de
firewall. Você pode optar por registrar apenas eventos de segurança ou todas as sessões:
⦁ Eventos de segurança: Se habilitado (junto com um ou mais perfis de segurança), os eventos do log de
segurança aparecem no log de tráfego de encaminhamento e no log de segurança. Um log de tráfego de
encaminhamento é gerado para pacotes que causam um evento de segurança.
⦁ Todas as sessões: Se habilitado, um registro de tráfego de encaminhamento é gerado para cada sessão. Se
um ou mais perfis de segurança também estiverem ativados, os eventos de log de segurança serão exibidos
no log de tráfego de encaminhamento e no log de segurança.

44-

After you configure logging, you can test that the modified settings are working properly. This test is
done on the CLI using the diagnose log test command.
On the FortiGate GUI, view the logs to see some of the recently generated test log messages. You
can distinguish the test log messages from real log messages because they do not have “real”
information; for example, the test log messages for the vulnerability scan contain the destination IP
address of 1.1.1.1 or 2.2.2.2.
Depois de configurar o log, você pode testar se as configurações modificadas estão funcionando
corretamente. Este teste é feito no CLI usando o comando diagnose log test.
Na GUI do FortiGate, visualize os logs para ver algumas das mensagens de log de teste geradas
recentemente. Você pode distinguir as mensagens de log de teste das mensagens de log reais
porque elas não possuem informações “reais”; por exemplo, as mensagens de log de teste para a
varredura de vulnerabilidade contêm o endereço IP de destino 1.1.1.1 ou 2.2.2.2.

45-
On FortiGate, you can hide usernames in traffic logs and UTM logs, so that the username appears as
anonymous. This is useful, because some countries do not permit non-anonymized logging. To
anonymize usernames, use the set user-anonymize enable CLI command.
It is assumed that logging is enabled in firewall policies and security profiles, and that identity-based
policies are configured on FortiGate.
No FortiGate, você pode ocultar nomes de usuário em registros de tráfego e registros UTM, para que
o nome de usuário apareça como
anônimo. Isso é útil porque alguns países não permitem o registro não anônimo. Para tornar nomes
de usuário anônimos, use o comando set user-anonymize enable da CLI.
Presume-se que o registro está habilitado nas políticas de firewall e perfis de segurança, e que as
políticas baseadas em identidade são configuradas no FortiGate.

51-

You can access your logs on the GUI in the Log & Report menu. The options that appear in this menu
depend on your configuration. Security logs appear only if security events exist.
Select the type of log you want to view, such as Forward Traffic. Logs on the GUI appear in a
formatted table view. The formatted view is easier to read than the raw view, and enables you to filter
information when viewing log messages. To view the log details, select the log in the table. The log
details then appear in the Log Details pane on the right side of the window.
If archiving is enabled on security profiles that support it (such as DLP), archived information appears
within the Log Details pane in the Archived Data section. Archived logs are also recorded when using
FortiAnalyzer or FortiCloud.
If you configure FortiGate to log to multiple locations, you can change the log display location in this
section. In the example shown on this slide, the log location is set to Disk. If logging to a syslog, you
must view logs on the syslog instead.
Você pode acessar seus registros na GUI no menu Registro e relatório. As opções que aparecem
neste menu dependem da sua configuração. Os logs de segurança aparecem apenas se houver
eventos de segurança.
Selecione o tipo de registro que deseja visualizar, como Encaminhar tráfego. Os registros na GUI
aparecem em uma visualização de tabela formatada. A visualização formatada é mais fácil de ler do
que a visualização bruta e permite que você filtre informações ao visualizar mensagens de log. Para
ver os detalhes do log, selecione o log na tabela. Os detalhes do registro aparecem no painel
Detalhes do registro no lado direito da janela.
Se o arquivamento estiver habilitado em perfis de segurança que o suportam (como DLP), as
informações arquivadas aparecem no painel Detalhes do log na seção Dados arquivados. Os logs
arquivados também são registrados ao usar o FortiAnalyzer ou FortiCloud.
Se você configurar o FortiGate para registrar em vários locais, você pode alterar o local de exibição
do registro nesta seção. No exemplo mostrado neste slide, o local do registro é definido como Disco.
Se estiver registrando em um syslog, você deve visualizar os logs no syslog.

52-

Depending on your configuration, your FortiGate might record a high volume of logs. This can make it
more difficult to locate a specific log, especially during an investigation.
To navigate the logs more efficiently, you can set up log filters. The more information you specify in
the filter, the easier it is to find the precise log entry. Filters are configurable for each column of log
data on the display. Click Add Filter to select the filter from the drop-down list that appears. If you see
data that you want to filter on in a log in the table already, you can right-click that data to select the
quick filter option. For example, if you see an antivirus log in the table with a specific botnet name,
right-click the botnet name in the table and a quick filter option appears that lets you filter on all logs
with that botnet name.
By default, the most common columns are shown and less common columns are hidden. Accordingly,
if filtering data based on a column that is hidden, be sure to add the column as a selected column. To
add columns, right-click any column field, and, in the pop-up menu that appears, select the column in
the Available Columns section.
If your search filters don’t return any results when the log data does exist, the filter may be poorly
formed. FortiGate looks for an exact match in the log, so you must form the search string correctly.
Dependendo de sua configuração, seu FortiGate pode registrar um grande volume de logs. Isso pode
tornar mais difícil localizar um log específico, especialmente durante uma investigação.
Para navegar pelos logs com mais eficiência, você pode configurar filtros de log. Quanto mais
informações você especificar no filtro, mais fácil será encontrar a entrada de registro precisa. Os
filtros são configuráveis para cada coluna de dados de registro na tela. Clique em Adicionar filtro para
selecionar o filtro na lista suspensa que aparece. Se você já vir dados que deseja filtrar em um log da
tabela, clique com o botão direito do mouse nesses dados para selecionar a opção de filtro rápido.
Por exemplo, se você vir um log de antivírus na tabela com um nome de botnet específico, clique
com o botão direito do mouse no nome de botnet na tabela e uma opção de filtro rápido aparecerá,
permitindo filtrar todos os logs com esse nome de botnet.
Por padrão, as colunas mais comuns são mostradas e as colunas menos comuns são ocultadas. Da
mesma forma, se estiver filtrando dados com base em uma coluna que está oculta, certifique-se de
adicionar a coluna como uma coluna selecionada. Para adicionar colunas, clique com o botão direito
em qualquer campo de coluna e, no menu pop-up que aparece, selecione a coluna na seção Colunas
disponíveis.
Se seus filtros de pesquisa não retornarem nenhum resultado quando os dados de registro existirem,
o filtro pode estar mal formado. O FortiGate procura uma correspondência exata no log, portanto,
você deve formar a string de pesquisa corretamente.

53-

You can also access log messages generated by individual policies. Right-click the policy for which
you want to view all associated logs and, in the pop-up menu, select Show Matching Logs. FortiGate
takes you to the Forward Traffic page where a filter is automatically set based on the policy UUID.
Você também pode acessar mensagens de log geradas por políticas individuais. Clique com o botão
direito na política para a qual deseja visualizar todos os logs associados e, no menu pop-up,
selecione Mostrar Logs Correspondentes. O FortiGate leva você à página Forward Traffic, onde um
filtro é definido automaticamente com base na política UUID.

54-
You are not restricted from viewing log messages on the GUI. You can also view log messages on the
CLI, using the execute log display command. This command allows you to see specific log messages
that you already configured within the execute log filter command. The execute log filter command
configures what log messages you will see, how many log messages you can view at one time (a
maximum of 1000 lines of log messages), and the type of log messages you can view.
Logs appear in the raw format view. The raw format displays logs as they appear within the log file.
Similar to the GUI, if you have configured either a syslog or SIEM server, you will not be able to view
log messages on the CLI.
Você não está impedido de visualizar mensagens de log na GUI. Você também pode visualizar
mensagens de log na CLI, usando o comando execute log display. Este comando permite que você
veja mensagens de log específicas que você já configurou no comando execute log filter. O comando
execute log filter configura quais mensagens de log você verá, quantas mensagens de log você pode
ver de uma vez (um máximo de 1000 linhas de mensagens de log) e o tipo de mensagens de log que
você pode ver.
Os registros aparecem na visualização do formato bruto. O formato bruto exibe os logs conforme
aparecem no arquivo de log.
Semelhante à GUI, se você configurou um servidor syslog ou SIEM, não será capaz de ver as
mensagens de log no CLI.

55-
Since you can’t always be physically watching the logs on the device, you can monitor events by
setting up alert email. Alert emails provide an efficient and direct method of notifying an administrator
of events.
Before you configure alert email, you should configure your own SMTP server on your FortiGate first.
The FortiGate has an SMTP server preconfigured, but it is recommended that you use your internal
email server if you have one.
You can configure alert emails on the Email Alert Settings page. You can trigger alert emails based on
event (such as any time an intrusion is detected or the web filter blocked traffic), or on minimum log
severity level (such as all logs at the Alert level or above). You can configure up to three recipients.
Como nem sempre é possível assistir fisicamente os registros no dispositivo, você pode monitorar
eventos configurando e-mail de alerta. E-mails de alerta fornecem um método eficiente e direto de
notificar um administrador sobre eventos.
Antes de configurar o e-mail de alerta, você deve primeiro configurar seu próprio servidor SMTP em
seu FortiGate. O FortiGate possui um servidor SMTP pré-configurado, mas é recomendado que você
use seu servidor de e-mail interno, se houver.
Você pode configurar e-mails de alerta na página Configurações de alerta de e-mail. Você pode
acionar e-mails de alerta com base no evento (como sempre que uma intrusão é detectada ou o filtro
da web bloqueou o tráfego) ou no nível de gravidade mínimo do log (como todos os logs no nível de
Alerta ou acima). Você pode configurar até três destinatários.

56-
In order to prioritize solving the most relevant issues easily, you can configure severity levels for IPS
signatures, web categories, and applications that are associated with a threat weight (or score).
On the Threat Weight page, you can apply a risk value of either low, medium, high, or critical to each
category-based item. Each of these levels includes a threat weight. By default, low = 5, medium = 10,
high = 30, and critical = 50. You can adjust these threat weights based on your organizational
requirements.
After threat weight is configured, you can view all detected threats on the Security page. You can also
search for logs by filtering on threat score.
Note that threat weight is for informational purposes only. FortiGate will not take any action based on
threat weight.
Para priorizar a solução fácil dos problemas mais relevantes, você pode configurar níveis de
gravidade para assinaturas IPS, categorias da web e aplicativos associados a um peso de ameaça
(ou pontuação).
Na página Peso da ameaça, você pode aplicar um valor de risco baixo, médio, alto ou crítico a cada
item baseado em categoria. Cada um desses níveis inclui um peso de ameaça. Por padrão, baixo =
5, médio = 10, alto = 30 e crítico = 50. Você pode ajustar esses pesos de ameaça com base em seus
requisitos organizacionais.
Após a configuração do peso da ameaça, você pode visualizar todas as ameaças detectadas na
página Segurança. Você também pode pesquisar logs filtrando pela pontuação da ameaça.
Observe que o peso da ameaça é apenas para fins informativos. O FortiGate não realizará nenhuma
ação com base no peso da ameaça.

61-
You can also protect your log data by performing log backups, which is to say copying log files from
the database to a specified location.
The execute backup disk alllogs command backs up all logs to FTP, TFTP, or USB, while execute
backup disk log <log type> backs up specific log types (such as web filter or IPS) to FTP, TFTP, or
USB. These logs are stored in LZ4 format and cannot be restored to another FortiGate.
You can also back up logs to USB using the GUI. The GUI menu item appears when you insert a USB
drive into FortiGate’s USB port.
Você também pode proteger seus dados de registro executando backups de registro, o que significa
copiar arquivos de registro do banco de dados para um local especificado.
O comando execute backup disk alllogs faz backup de todos os logs para FTP, TFTP ou USB,
enquanto executar backup de log de disco <tipo de log> faz backup de tipos de log específicos (como
filtro da web ou IPS) para FTP, TFTP ou USB. Esses registros são armazenados no formato LZ4 e
não podem ser restaurados em outro FortiGate.
Você também pode fazer backup dos registros em USB usando a GUI. O item de menu GUI aparece
quando você insere uma unidade USB na porta USB do FortiGate.

62-
Using the config log disk setting command, you can configure logs to roll (which is similar to zipping a
file) to lower the space requirements needed to contain them so they don’t get overwritten. By default,
logs roll when they reach 20 MB in size. You can also configure a roll schedule and time.
Using the same CLI command, you can also configure rolled logs to upload to an FTP server to save
disk space. You can configure which types of log files to upload, when, and whether to delete files
after uploading. You can also configure encrypted FTPS communication.
Usando o comando de configuração do disco de log de configuração, você pode configurar os logs
para rolar (que é semelhante a compactar um arquivo) para reduzir os requisitos de espaço
necessários para contê-los, de modo que não sejam sobrescritos. Por padrão, os logs rolam quando
atingem 20 MB de tamanho. Você também pode configurar uma programação e hora de rotação.
Usando o mesmo comando CLI, você também pode configurar os logs rolados para fazer upload
para um servidor FTP para economizar espaço em disco. Você pode configurar quais tipos de
arquivos de log devem ser carregados, quando e se deseja excluir os arquivos após o upload. Você
também pode configurar a comunicação FTPS criptografada.

63-
You can also download a copy of the logs from FortiGate and save them on a server or on a computer
to view and access later. This ensures that you still have a copy when the originals are eventually
overwritten on FortiGate.
You can download logs by clicking the download icon on the associated log type page (for example,
Forward Traffic or Web Filter). This only downloads the logs in the results table—not all logs on disk.
As such, you can add log filters if you only want to download a subset of logs. When you download
the log messages on the GUI, you are downloading log messages in the raw format.
Você também pode baixar uma cópia dos logs do FortiGate e salvá-los em um servidor ou em um
computador para ver e acessar posteriormente. Isso garante que você ainda tenha uma cópia
quando os originais forem substituídos no FortiGate.
Você pode baixar os logs clicando no ícone de download na página de tipo de log associada (por
exemplo, Forward Traffic ou Web Filter). Isso apenas baixa os logs na tabela de resultados - nem
todos os logs no disco. Dessa forma, você pode adicionar filtros de registro se quiser apenas fazer
download de um subconjunto de registros. Ao baixar as mensagens de log na GUI, você está
baixando mensagens de log no formato bruto.

● LESSON 07: Certificate Operations

4-

FortiGate uses digital certificates to enhance security.

FortiGate uses digital certificates for inspection. The device can generate certificates on demand for
the purpose of inspecting encrypted data that is transferred between two devices; essentially, a man-
in-the-middle (MITM) attack. FortiGate can also inspect certificates to identify people and devices (in
the network and on the internet), before it permits a person or device to make a full connection to the
entity that it is protecting. If FortiGate trusts the certificate, it permits the connection. But if FortiGate
does not trust the certificate, it can prevent the connection. How you configure FortiGate determines
the behavior; however, other policies that are being used may also affect whether connection
attempts are accepted or rejected.
FortiGate uses digital certificates to enforce privacy. Certificates, and their associated private keys,
ensure that FortiGate can establish a private SSL connection to another device, such as FortiGuard, a
web browser, or a web server.
FortiGate also uses certificates for authentication. Users who have certificates issued by a known and
trusted certification authority (CA) can authenticate on FortiGate to access the network or to establish
a VPN connection. Administrators users can use certificates as a second-factor authentication, to log
in to FortiGate.
FortiGate usa certificados digitais para aumentar a segurança.
FortiGate usa certificados digitais para inspeção. O dispositivo pode gerar certificados sob demanda
com o objetivo de inspecionar dados criptografados que são transferidos entre dois dispositivos;
essencialmente, um ataque man-in-the-middle (MITM). O FortiGate também pode inspecionar
certificados para identificar pessoas e dispositivos (na rede e na Internet), antes de permitir que uma
pessoa ou dispositivo faça uma conexão completa com a entidade que está protegendo. Se o
FortiGate confiar no certificado, ele permite a conexão. Mas se o FortiGate não confiar no certificado,
ele pode impedir a conexão. Como você configura o FortiGate determina o comportamento; no
entanto, outras políticas que estão sendo usadas também podem afetar se as tentativas de conexão
são aceitas ou rejeitadas.
FortiGate usa certificados digitais para garantir a privacidade. Os certificados e suas chaves privadas
associadas, garantem que o FortiGate pode estabelecer uma conexão SSL privada com outro
dispositivo, como o FortiGuard, um navegador da web ou um servidor da web.
O FortiGate também usa certificados para autenticação. Os usuários que possuem certificados
emitidos por uma autoridade de certificação (CA) conhecida e confiável podem se autenticar no
FortiGate para acessar a rede ou para estabelecer uma conexão VPN. Os usuários administradores
podem usar certificados como uma autenticação de segundo fator, para fazer login no FortiGate.

5-

What is a digital certificate?

A digital certificate is a digital document produced and signed by a CA. It identifies an end entity, such
as a person (example, Joe Bloggins), a device (example, webserver.acme.com), or thing (example, a
certificate revocation list). FortiGate identifies the device or person by reading the value in the Subject
field, which is expressed as a distinguished name (DN). FortiGate could also use alternate identifiers,
shown in the Subject Alternative Name field, whose values could be a network ID or email address,
for example. FortiGate can use the Subject Key Identifier and Authority Key Identifier values to
determine the relationship between the issuer of the certificate (identified in the Issuer field) and the
certificate. FortiGate supports the X.509v3 certificate standard, which is the most common standard
for certificates.
O que é um certificado digital?
Um certificado digital é um documento digital produzido e assinado por uma CA. Ele identifica uma
entidade final, como uma pessoa (por exemplo, Joe Bloggins), um dispositivo (por exemplo,
webserver.acme.com) ou algo (por exemplo, uma lista de certificados revogados). O FortiGate
identifica o dispositivo ou pessoa lendo o valor no campo Assunto, que é expresso como um nome
distinto (DN). O FortiGate também pode usar identificadores alternativos, mostrados no campo Nome
alternativo do assunto, cujos valores podem ser um ID de rede ou endereço de e-mail, por exemplo.
O FortiGate pode usar os valores do Identificador da Chave do Assunto e do Identificador da Chave
da Autoridade para determinar a relação entre o emissor do certificado (identificado no campo
Emissor) e o certificado. O FortiGate suporta o padrão de certificado X.509v3, que é o padrão mais
comum para certificados.

6-

FortiGate runs the following checks before it will trust the certificate:
⦁ Checks the certificate revocation lists (CRLs) locally (on FortiGate) to verify if the certificate has been
revoked by the CA. If the serial number of the certificate is listed on the CRL, then the certificate has been
revoked and it is no longer trusted. FortiGate also supports Online Certificate Status Protocol (OCSP),
where FortiAuthenticator acts as the OCSP responder.
⦁ Reads the value in the Issuer field to determine if it has the corresponding CA certificate. Without the
CA certificate, FortiGate will not trust the certificate. FortiOS uses the Mozilla CA certificate store. You
can view the list by clicking Security Profiles > SSL Inspection > View Trusted CA List > Factory Bundles.
⦁ Verifies that the current date is between the Valid From and Valid To values. If it is not, the certificate
is rendered invalid.
⦁ Validates the signature on the certificate. The signature must be successfully validated. Because a valid
signature is a critical requirement for trusting a certificate, it may be useful to review how FortiGate
verifies digital signatures.
O FortiGate executa as seguintes verificações antes de confiar no certificado:
⦁ Verifica as listas de revogação de certificados (CRLs) localmente (no FortiGate) para verificar se o
certificado foi revogado pela CA. Se o número de série do certificado estiver listado na CRL, o certificado
foi revogado e não é mais confiável. O FortiGate também suporta o Protocolo de Status do Certificado
Online (OCSP), onde o FortiAuthenticator atua como o respondente OCSP.
⦁ Lê o valor no campo Issuer para determinar se ele possui o certificado CA correspondente. Sem o
certificado CA, FortiGate não confiará no certificado. O FortiOS usa o armazenamento de certificados
Mozilla CA. Você pode exibir a lista clicando em Perfis de segurança> Inspeção SSL> Exibir lista de CA
confiáveis> Pacotes de fábrica.
⦁ Verifica se a data atual está entre os valores Válido desde e Válido até. Se não for, o certificado será
invalidado.
⦁ Valida a assinatura no certificado. A assinatura deve ser validada com sucesso. Como uma assinatura válida
é um requisito crítico para confiar em um certificado, pode ser útil revisar como o FortiGate verifica as
assinaturas digitais.

7-

Before it generates a digital signature, the CA runs the content of the certificate through a hash
function, which produces a hash result. The hash result, which is a mathematical representation of the
data, is referred to as the original hash result. The CA encrypts the original hash result using its
private key. The encrypted hash result is the digital signature.
When FortiGate verifies the digital signature, it runs the certificate through a hash function, producing
a fresh hash result. FortiGate must use the same hash function, or hashing algorithm, that the CA
used to create the digital signature. The hashing algorithm is identified in the certificate.
In the second part of the verification process, FortiGate decrypts the encrypted hash result (or digital
signature) using the CA’s public key, and applying the same algorithm that the CA used to encrypt the
hash result. This process verifies the signature. If the key cannot restore the encrypted hash result to
its original value, then the signature verification fails.
In the third, and final, part of the verification process, FortiGate compares the fresh hash result to the
original hash result. If the two values are identical, then the integrity of the certificate is confirmed. If
the two hash results are different, then the version of the certificate that FortiGate has is not the same
as the one that the CA signed, and data integrity fails.
Antes de gerar uma assinatura digital, a CA executa o conteúdo do certificado por meio de uma
função hash, que produz um resultado hash. O resultado hash, que é uma representação matemática
dos dados, é conhecido como o resultado hash original. A CA criptografa o resultado de hash original
usando sua chave privada. O resultado do hash criptografado é a assinatura digital.
Quando o FortiGate verifica a assinatura digital, ele executa o certificado por meio de uma função
hash, produzindo um resultado hash novo. O FortiGate deve usar a mesma função hash, ou
algoritmo de hash, que o CA usou para criar a assinatura digital. O algoritmo de hashing é
identificado no certificado.
Na segunda parte do processo de verificação, FortiGate descriptografa o resultado hash
criptografado (ou assinatura digital) usando a chave pública da CA e aplicando o mesmo algoritmo
que a CA usou para criptografar o resultado hash. Este processo verifica a assinatura. Se a chave
não puder restaurar o resultado do hash criptografado ao seu valor original, a verificação da
assinatura falhará.
Na terceira e última parte do processo de verificação, o FortiGate compara o resultado hash fresco
com o resultado hash original. Se os dois valores forem idênticos, a integridade do certificado será
confirmada. Se os dois resultados de hash forem diferentes, então a versão do certificado que o
FortiGate possui não é a mesma que a CA assinou e a integridade dos dados falha.

8-

Certificate-based user authentication uses an end-entity certificate to identify the user. This certificate
contains the user’s public key and the signature of the CA that issued the certificate. The
authentication server (for example, FortiGate) must have the CA certificate whose private key signed
the user certificate. FortiGate verifies that the certificate’s signature is valid, that the certificate has not
expired, and that the certificate hasn’t been revoked. If any of these verifications fail, the certificate-
based user authentication fails.
You can configure FortiGate to require that administrators use certificates for second-factor
authentication. The process for verifying administrator certificates is the same.
A autenticação de usuário baseada em certificado usa um certificado de entidade final para identificar
o usuário. Este certificado contém a chave pública do usuário e a assinatura da CA que emitiu o
certificado. O servidor de autenticação (por exemplo, FortiGate) deve ter o certificado CA cuja chave
privada assinou o certificado do usuário. O FortiGate verifica se a assinatura do certificado é válida,
se o certificado não expirou e se o certificado não foi revogado. Se alguma dessas verificações
falhar, a autenticação do usuário baseada em certificado falhará.
Você pode configurar o FortiGate para exigir que os administradores usem certificados para
autenticação de segundo fator. O processo de verificação dos certificados do administrador é o
mesmo.

9-
As you can see in the example shown on this slide, trust in the web model is determined by whether
or not your certificate store possesses the CA certificate that is required to verify the signature on the
SSL certificate. Certificate stores come prepopulated with root and subordinate CA certificates. You
can choose to add or remove the certificates, which will affect which websites you trust.
By default, FortiGate uses a self-signed certificate to authenticate itself to HTTPS clients.
Self-signed certificates can be configured to establish SSL sessions, just like those certificates issued
by Verisign, Entrust Datacard, and other certificate vendors. But, because self-signed certificates do
not come prepopulated in client certificate stores, your end users will get a security warning. You can
choose to add the self-signed certificate to clients, or to purchase an SSL certificate from an approved
CA vendor for your FortiGate.
Como você pode ver no exemplo mostrado neste slide, a confiança no modelo da web é determinada
pelo fato de o armazenamento de certificados possuir ou não o certificado CA necessário para
verificar a assinatura no certificado SSL. Os armazenamentos de certificados vêm pré-preenchidos
com certificados de CA raiz e subordinados. Você pode optar por adicionar ou remover os
certificados, o que afetará os sites em que você confia.
Por padrão, o FortiGate usa um certificado autoassinado para autenticar-se para clientes HTTPS.
Os certificados autoassinados podem ser configurados para estabelecer sessões SSL, assim como
os certificados emitidos pela Verisign, Entrust Datacard e outros fornecedores de certificados. Mas,
como os certificados autoassinados não vêm pré-preenchidos nos armazenamentos de certificados
do cliente, seus usuários finais receberão um aviso de segurança. Você pode optar por adicionar o
certificado autoassinado aos clientes ou adquirir um certificado SSL de um fornecedor de CA
aprovado para o seu FortiGate.

10-
FortiGate uses SSL to ensure that data remains private when connecting with servers, such as
FortiGuard, and with clients, such as a web browser. Another feature of SSL is that one or both
parties can be identified using certificates. SSL uses symmetric and asymmetric cryptography to
establish a secure session between two points.
It is beneficial to understand the high-level process of an SSL handshake, in order to understand how
FortiGate secures private sessions.
An important attribute of symmetric cryptography is that the same key is used to encrypt and decrypt
data. When FortiGate establishes an SSL session between itself and another device, the symmetric
key (or rather the value required to produce it), must be shared so that data can be encrypted by one
side, sent, and decrypted by the other side.
Asymmetric cryptography uses a pair of keys: one key performs one function and the other key
performs the opposite function. When FortiGate connects to a web server, for example, it uses the
web server’s public key to encrypt a string known as the pre-master secret. The web server’s private
key decrypts the pre-master secret.
O FortiGate usa SSL para garantir que os dados permaneçam privados ao se conectar com
servidores, como FortiGuard, e com clientes, como um navegador da web. Outro recurso do SSL é
que uma ou ambas as partes podem ser identificadas por meio de certificados. SSL usa criptografia
simétrica e assimétrica para estabelecer uma sessão segura entre dois pontos.
É benéfico entender o processo de alto nível de um handshake SSL, a fim de entender como o
FortiGate protege sessões privadas.
Um atributo importante da criptografia simétrica é que a mesma chave é usada para criptografar e
descriptografar dados. Quando o FortiGate estabelece uma sessão SSL entre ele mesmo e outro
dispositivo, a chave simétrica (ou melhor, o valor necessário para produzi-la), deve ser compartilhada
para que os dados possam ser criptografados por um lado, enviados e descriptografados pelo outro
lado.
A criptografia assimétrica usa um par de chaves: uma chave executa uma função e a outra chave
executa a função oposta. Quando o FortiGate se conecta a um servidor web, por exemplo, ele usa a
chave pública do servidor web para criptografar uma string conhecida como o segredo pré-mestre. A
chave privada do servidor da web descriptografa o segredo pré-mestre.

11-
Now, you will learn more about the process of establishing an SSL session.
In the first step of the example shown on this slide, FortiGate connects to a web server that is
configured for SSL. In the initial hello message, the browser provides critical information that is
needed to communicate with the web server. This information includes the server’s SSL version
number and the names of the cryptographic algorithms that it supports.
In the second step, the web server receives the message from FortiGate, and chooses the first suite
of cryptographic algorithms that is in FortiGate’s list and that it supports. The web server sends its
certificate to FortiGate. Note that the certificate information is passed as clear text over the public
network. The information contained in a certificate is typically public, so this is not a security concern.
In the third step, FortiGate validates the web server’s certificate. The checklist shown on the slide
represents the checks that FortiGate performs on the certificate to ensure that it can be trusted. If
FortiGate determines that the certificate can be trusted, then the SSL handshake continues.
Agora, você aprenderá mais sobre o processo de estabelecimento de uma sessão SSL.
Na primeira etapa do exemplo mostrado neste slide, o FortiGate se conecta a um servidor web
configurado para SSL. Na mensagem inicial de olá, o navegador fornece informações críticas que
são necessárias para se comunicar com o servidor da web. Essas informações incluem o número da
versão SSL do servidor e os nomes dos algoritmos criptográficos que ele suporta.
Na segunda etapa, o servidor web recebe a mensagem do FortiGate e escolhe o primeiro conjunto
de algoritmos criptográficos que está na lista do FortiGate e que ele suporta. O servidor web envia
seu certificado para FortiGate. Observe que as informações do certificado são transmitidas como
texto não criptografado pela rede pública. As informações contidas em um certificado são geralmente
públicas, portanto, essa não é uma preocupação de segurança.
Na terceira etapa, FortiGate valida o certificado do servidor web. A lista de verificação mostrada no
slide representa as verificações que o FortiGate realiza no certificado para garantir que ele seja
confiável. Se o FortiGate determinar que o certificado pode ser confiável, o handshake SSL continua.

12-
In the fourth step, FortiGate generates a value known as the pre-master secret. FortiGate uses the
server’s public key, which is in the certificate, to encrypt the pre-master secret. FortiGate then sends
the encrypted pre-master secret to the web server. If a third-party intercepted the pre-master secret,
they would be unable to read it, because they do not have the private key.
In the fifth step, the web server uses its private key to decrypt the pre-master secret. Now, both
FortiGate and the web server share a secret value that is known by only these two devices.
Na quarta etapa, o FortiGate gera um valor conhecido como segredo pré-mestre. O FortiGate usa a
chave pública do servidor, que está no certificado, para criptografar o segredo pré-mestre. O
FortiGate então envia o segredo pré-mestre criptografado para o servidor web. Se um terceiro
interceptasse o segredo pré-mestre, eles não seriam capazes de lê-lo, porque eles não têm a chave
privada.
Na quinta etapa, o servidor da web usa sua chave privada para descriptografar o segredo pré-mestre.
Agora, o FortiGate e o servidor web compartilham um valor secreto que é conhecido apenas por
esses dois dispositivos.

13-

In the sixth step, both FortiGate and the web server derive the master secret based on the pre-master
secret.
In the seventh step, based on the master secret value, FortiGate and the web server generate the
session key. The session key is a symmetric key. It is required to encrypt and decrypt the data.
Because both sides have the session key, both sides can encrypt and decrypt data for each other.
In the eighth, and final step before these two entities establish the secure connection, both FortiGate
and the web server send each other a summary (or digest) of the messages sent so far. The digests
are encrypted with the session key. The digests ensure that none of the messages exchanged during
the creation of the session have been intercepted or replaced. If the digests match, the secure
communication channel is established.
The SSL handshake is now complete. Both FortiGate and the web server are ready to communicate
securely, using the session keys to encrypt and decrypt the data they send over the network or
internet.
Na sexta etapa, o FortiGate e o servidor web derivam o segredo mestre com base no segredo pré-
mestre.
Na sétima etapa, com base no valor do segredo mestre, o FortiGate e o servidor web geram a chave
de sessão. A chave de sessão é uma chave simétrica. É necessário criptografar e descriptografar os
dados. Como os dois lados têm a chave de sessão, ambos podem criptografar e descriptografar os
dados um do outro.
Na oitava e última etapa antes que essas duas entidades estabeleçam a conexão segura, o FortiGate
e o servidor web enviam um ao outro um resumo (ou compilação) das mensagens enviadas até o
momento. Os resumos são criptografados com a chave de sessão. Os resumos garantem que
nenhuma das mensagens trocadas durante a criação da sessão foi interceptada ou substituída. Se
os resumos corresponderem, o canal de comunicação seguro será estabelecido.
O handshake SSL agora está completo. Tanto o FortiGate quanto o servidor web estão prontos para
se comunicar com segurança, usando as chaves de sessão para criptografar e descriptografar os
dados que enviam pela rede ou internet.

18-

While there are benefits to using HTTPS, there are risks associated with its use as well, because
encrypted traffic can be used to get around normal defenses. For example, if a session is encrypted
when you download a file containing a virus, the virus might get past your network’s security
measures.
In the example shown on this slide, Bob connects to a site with a certificate issued by a legitimate CA.
Because the CA is an approved CA, the CA’s verification certificate is in Bob’s certificate store, and
Bob’s browser is able to establish an SSL session with the example.com site. However, unknown to
Bob, the example.com site has been infected with a virus. The virus, cloaked by encryption, passes
through FortiGate undetected and enters Bob’s computer. The virus is able to breach security
because full SSL inspection is not enabled.
You can use full SSL inspection, also known as deep inspection, to inspect encrypted sessions.
Embora haja benefícios em usar HTTPS, também há riscos associados ao seu uso, porque o tráfego
criptografado pode ser usado para contornar as defesas normais. Por exemplo, se uma sessão for
criptografada quando você baixar um arquivo contendo um vírus, o vírus pode passar pelas medidas
de segurança da sua rede.
No exemplo mostrado neste slide, Bob se conecta a um site com um certificado emitido por uma CA
legítima. Como a CA é uma CA aprovada, o certificado de verificação da CA está no armazenamento
de certificados de Bob e o navegador de Bob é capaz de estabelecer uma sessão SSL com o site
example.com. No entanto, sem que Bob saiba, o site example.com foi infectado com um vírus. O
vírus, encoberto por criptografia, passa pelo FortiGate sem ser detectado e entra no computador de
Bob. O vírus é capaz de violar a segurança porque a inspeção SSL completa não está habilitada.
Você pode usar a inspeção SSL completa, também conhecida como inspeção profunda, para
inspecionar sessões criptografadas.

19-

During the exchange of hello messages at the beginning of an SSL handshake, the SSL server sends
FortiGate its SNI, which is an extension to the TLS protocol. The SNI tells FortiGate the hostname of
the SSL server, which is validated against the DNS name before receipt of the server’s certificate. If
there is no SNI exchanged, then FortiGate identifies the server by the value in the Subject field or
SAN (subject alternative name) field in the server’s certificate.
When certificate inspection is used, FortiGate inspects only the header information of the packets.
Certificate inspection is used to verify the identity of web servers and can be used to make sure that
HTTPS protocol isn't used as a workaround to access sites you have blocked using web filtering.
The only security feature that can be applied using SSL certificate inspection mode is web filtering.
However, since only the packet is inspected, this method does not introduce certificate errors and can
be a useful alternative to full SSL inspection when web filtering is used.
Certificate inspection offers some level of security, but it does not allow FortiGate to inspect the flow
of encrypted data between the outside server and the internal client.
Durante a troca de mensagens de olá no início de um handshake SSL, o servidor SSL envia ao
FortiGate seu SNI, que é uma extensão do protocolo TLS. O SNI informa ao FortiGate o nome do
host do servidor SSL, que é validado contra o nome DNS antes do recebimento do certificado do
servidor. Se não houver SNI trocado, o FortiGate identifica o servidor pelo valor no campo Assunto
ou SAN (nome alternativo do assunto) no certificado do servidor.
Quando a inspeção de certificado é usada, o FortiGate inspeciona apenas as informações do
cabeçalho dos pacotes. A inspeção de certificado é usada para verificar a identidade dos servidores
da web e pode ser usada para garantir que o protocolo HTTPS não seja usado como uma solução
alternativa para acessar sites que você bloqueou usando a filtragem da web.
O único recurso de segurança que pode ser aplicado usando o modo de inspeção de certificado SSL
é a filtragem da web. No entanto, como apenas o pacote é inspecionado, esse método não apresenta
erros de certificado e pode ser uma alternativa útil para a inspeção SSL completa quando a filtragem
da web é usada.
A inspeção de certificado oferece algum nível de segurança, mas não permite que o FortiGate
inspecione o fluxo de dados criptografados entre o servidor externo e o cliente interno.

20-

FortiGate has a read-only preconfigured profile for SSL certificate inspection named certificate-
inspection. If you want to enable SSL certificate inspection, select this profile when configuring a
firewall policy.
Alternatively, you can create your own profile for SSL certificate inspection by following the steps
below:
⦁ On the FortiGate GUI, click Security Profiles > SSL/SSH Inspection.
⦁ Click Create New to create a new SSL/SSH inspection profile.
⦁ Select Multiple Clients Connecting to Multiple Servers, and click SSL Certificate Inspection.
O FortiGate tem um perfil pré-configurado somente leitura para inspeção de certificado SSL
denominado inspeção de certificado. Se você deseja habilitar a inspeção de certificado SSL,
selecione este perfil ao configurar uma política de firewall.
Como alternativa, você pode criar seu próprio perfil para inspeção de certificado SSL seguindo as
etapas abaixo:
⦁ Na GUI do FortiGate, clique em Perfis de segurança> Inspeção SSL / SSH.
⦁ Clique em Criar novo para criar um novo perfil de inspeção SSL / SSH.
⦁ Selecione Multiple Clients Connecting to Multiple Servers e clique em SSL Certificate Inspection.

21-
FortiGate must act as a CA in order for it to perform full SSL inspection. The internal CA must
generate an SSL private key and certificate each time an internal user connects to an external SSL
server. The key pair and certificate are generated immediately so the user’s connection with the web
server is not delayed.
Although it appears as though the user's browser is connected to the web server, the browser is
connected to FortiGate. FortiGate is acting as a proxy web server. In order for FortiGate to act in
these roles, its CA certificate must have the basic constraints extension set to cA=True and the value
of the keyUsage extension set to keyCertSign.
The cA=True value identifies the certificate as a CA certificate. The keyUsage=keyCertSign value
indicates that the certificate’s corresponding private key is permitted to sign certificates. For more
information, see RFC 5280 Section 4.2.1.9 Basic Constraints.
All FortiGate devices that support full SSL inspection can use the self-signed Fortinet_CA_SSL
certificate that is provided with FortiGate, or an internal CA, to issue FortiGate a CA certificate. When
FortiGate uses an internal CA, FortiGate acts as a subordinate CA. Note that your client machines
and devices will need to import the root CA certificate, in order to trust FortiGate and accept an SSL
session. The chain of CA certificates must be installed on FortiGate. FortiGate sends the chain of
certificates to the client, so that the client can validate the signatures and build a chain of trust.
O FortiGate deve atuar como um CA para realizar a inspeção SSL completa. A CA interna deve gerar
uma chave privada SSL e um certificado cada vez que um usuário interno se conecta a um servidor
SSL externo. O par de chaves e o certificado são gerados imediatamente para que a conexão do
usuário com o servidor web não seja atrasada.
Embora pareça que o navegador do usuário está conectado ao servidor web, o navegador está
conectado ao FortiGate. FortiGate está atuando como um servidor proxy da web. Para que o
FortiGate atue nessas funções, seu certificado CA deve ter a extensão de restrições básicas definida
como cA = True e o valor da extensão keyUsage definido como keyCertSign.
O valor cA = True identifica o certificado como um certificado CA. O valor keyUsage = keyCertSign
indica que a chave privada correspondente do certificado tem permissão para assinar certificados.
Para obter mais informações, consulte RFC 5280 Seção 4.2.1.9 Restrições básicas.
Todos os dispositivos FortiGate que suportam inspeção SSL completa podem usar o certificado
autoassinado Fortinet_CA_SSL que é fornecido com o FortiGate, ou uma CA interna, para emitir um
certificado CA para o FortiGate. Quando o FortiGate usa um CA interno, o FortiGate atua como um
CA subordinado. Observe que suas máquinas e dispositivos clientes precisarão importar o certificado
de CA raiz, a fim de confiar no FortiGate e aceitar uma sessão SSL. A cadeia de certificados CA deve
ser instalada no FortiGate. FortiGate envia a cadeia de certificados ao cliente, para que o cliente
possa validar as assinaturas e construir uma cadeia de confiança.

22-
Some FortiGate devices offer a mechanism to inspect encrypted data that flows between external
SSL servers and internal clients. Without full SSL inspection, FortiGate cannot inspect encrypted
traffic, because the firewall does not have the SSL key that is required to decrypt the data, and that
was negotiated between client and server during the SSL handshake.
There are two possible configurations for full SSL inspection: one for outbound traffic and one for
inbound traffic.
If the connection request is outbound (initiated by an internal client to an external server), you must
select the option, Multiple Clients Connecting to Multiple Servers. Then, you must select the CA
certificate that will be used to sign the new certificates. In this example, it is the built-in
FortiGate_CA_SSL certificate, which is available on FortiGate devices that support SSL inspection.
You will also learn about configuring full SSL inspection for inbound traffic, in this lesson.
Alguns dispositivos FortiGate oferecem um mecanismo para inspecionar dados criptografados que
fluem entre servidores SSL externos e clientes internos. Sem a inspeção SSL completa, o FortiGate
não pode inspecionar o tráfego criptografado, porque o firewall não possui a chave SSL necessária
para descriptografar os dados e que foi negociada entre o cliente e o servidor durante o handshake
SSL.
Existem duas configurações possíveis para a inspeção SSL completa: uma para tráfego de saída e
outra para tráfego de entrada.
Se a solicitação de conexão for de saída (iniciada por um cliente interno para um servidor externo),
você deve selecionar a opção Vários clientes conectando-se a vários servidores. Em seguida, você
deve selecionar o certificado CA que será usado para assinar os novos certificados. Neste exemplo,
é o certificado FortiGate_CA_SSL integrado, que está disponível em dispositivos FortiGate que
suportam inspeção SSL. Você também aprenderá a configurar a inspeção SSL completa para tráfego
de entrada, nesta lição.

23-
In step 1, an internal web browser connects to an SSL-enabled web server. Normally, when a browser
connects to a secure site, the web server sends its certificate to the browser. However, in step 2,
FortiGate intercepts the web server certificate. In step 3, FortiGate’s internal CA generates a new key
pair and certificate. The new certificate’s subject name must be the DNS name of the website (for
example, ex.ca). In steps 4 and 5, the new key pair and certificate are used to establish a secure
connection between FortiGate and the web browser. A new temporary key pair and certificate are
generated each time a client requests a connection with an external SSL server.
Outward facing and included in step 5, FortiGate uses the web server’s certificate to initiate a secure
session with the web server. In this configuration, FortiGate can decrypt the data from both the web
server and the browser, in order to scan the data for threats before re-encrypting it, and sending it to
its destination. This scenario is, essentially, an MITM attack.
Na etapa 1, um navegador da web interno se conecta a um servidor da web habilitado para SSL.
Normalmente, quando um navegador se conecta a um site seguro, o servidor da web envia seu
certificado ao navegador. No entanto, na etapa 2, o FortiGate intercepta o certificado do servidor
web. Na etapa 3, a CA interna do FortiGate gera um novo par de chaves e certificado. O nome do
assunto do novo certificado deve ser o nome DNS do site (por exemplo, ex.ca). Nos passos 4 e 5, o
novo par de chaves e certificado são usados para estabelecer uma conexão segura entre o FortiGate
e o navegador. Um novo par de chaves temporário e certificado são gerados cada vez que um cliente
solicita uma conexão com um servidor SSL externo.
Voltado para o exterior e incluído no passo 5, FortiGate usa o certificado do servidor web para iniciar
uma sessão segura com o servidor web. Nesta configuração, FortiGate pode descriptografar os
dados do servidor web e do navegador, a fim de escanear os dados em busca de ameaças antes de
criptografá-los novamente e enviá-los ao seu destino. Este cenário é, essencialmente, um ataque
MITM.

24-
The browser presents a certificate warning when you attempt to access an HTTPS site that uses an
untrusted certificate. Untrusted certificates include self-signed SSL certificates, unless the certificate is
imported into the browser’s trusted certificate store. FortiGate has its own configuration setting on the
SSL/SSH Inspection page, which includes options to Allow, Block, or Ignore untrusted SSL
certificates.
When the Untrusted SSL certificates setting is set to Allow and FortiGate detects an untrusted SSL
certificate, FortiGate generates a temporary certificate signed by the built-in Fortinet_CA_Untrusted
certificate. FortiGate then sends the temporary certificate to the browser, which presents a warning to
the user indicating that the site is untrusted. If FortiGate receives a trusted SSL certificate, then it
generates a temporary certificate signed by the built-in Fortinet_CA_SSL certificate and sends it to the
browser. If the browser trusts the Fortinet_CA_SSL certificate, the browser will complete the SSL
handshake. Otherwise, the browser will also present a warning message informing the user that the
site is untrusted. In other words, for this function to work as intended, you must import the
Fortinet_CA_SSL certificate into the trusted root CA certificate store of your browser. The
Fortinet_CA_Untrusted cert must not be imported.
When the setting is set to Block and FortiGate receives an untrusted SSL certificate, FortiGate blocks
the connection outright, and the user cannot proceed.
When the setting is set to Ignore, FortiGate sends the browser a temporary certificate signed by the
Fortinet_CA_SSL certificate, regardless of the SSL certificate’s status—trusted or untrusted. FortiGate
then proceeds to establish SSL sessions.
O navegador apresenta um aviso de certificado quando você tenta acessar um site HTTPS que usa
um certificado não confiável. Os certificados não confiáveis incluem certificados SSL autoassinados,
a menos que o certificado seja importado para o armazenamento de certificados confiáveis do
navegador. FortiGate tem sua própria definição de configuração na página SSL / SSH Inspection, que
inclui opções para Permitir, Bloquear ou Ignorar certificados SSL não confiáveis.
Quando a configuração de certificados SSL não confiáveis é definida para Permitir e o FortiGate
detecta um certificado SSL não confiável, o FortiGate gera um certificado temporário assinado pelo
certificado interno Fortinet_CA_Untrusted. O FortiGate então envia o certificado temporário para o
navegador, que apresenta um aviso ao usuário indicando que o site não é confiável. Se o FortiGate
receber um certificado SSL confiável, então ele gera um certificado temporário assinado pelo
certificado Fortinet_CA_SSL embutido e o envia ao navegador. Se o navegador confiar no certificado
Fortinet_CA_SSL, o navegador concluirá o handshake SSL. Caso contrário, o navegador também
apresentará uma mensagem de aviso informando ao usuário que o site não é confiável. Em outras
palavras, para que esta função funcione conforme o esperado, você deve importar o certificado
Fortinet_CA_SSL para o armazenamento de certificados CA raiz confiável do seu navegador. O
certificado Fortinet_CA_Untrusted não deve ser importado.
Quando a configuração é definida como Bloquear e o FortiGate recebe um certificado SSL não
confiável, o FortiGate bloqueia a conexão imediatamente e o usuário não pode prosseguir.
Quando a configuração é definida para Ignorar, FortiGate envia ao navegador um certificado
temporário assinado pelo certificado Fortinet_CA_SSL, independentemente do status do certificado
SSL - confiável ou não confiável. O FortiGate então prossegue para estabelecer sessões SSL.

25-

The scenario shown on this slide describes how FortiGate handles a trusted external site regardless
of
Untrusted SSL Certificate setting.
In step 1, the browser initiates a connection with an external site that is trusted by FortiGate. In step 2,
the trusted server sends its SSL certificate to FortiGate. In step 3, FortiGate trusts the certificate
because it has the corresponding CA certificate in its trusted certificate store. FortiGate can validate
the signature on the SSL certificate. In step 4, because FortiGate trusts the SSL certificate, it
generates a temporary certificate signed by Fortinet_CA_SSL certificate. FortiGate sends the
temporary certificate to the browser. Finally, in step 5, the browser trusts the temporary certificate
because Fortinet_CA_SSL certificate is in its trusted root CA store.
After the browser finishes validating the certificate, it completes the SSL handshake with FortiGate.
Next, FortiGate continues the SSL handshake with the trusted server.
O cenário mostrado neste slide descreve como FortiGate lida com um site externo confiável,
independentemente de
Configuração de certificado SSL não confiável.
Na etapa 1, o navegador inicia uma conexão com um site externo que é confiável para FortiGate. Na
etapa 2, o servidor confiável envia seu certificado SSL para o FortiGate. Na etapa 3, o FortiGate
confia no certificado porque possui o certificado CA correspondente em seu armazenamento de
certificados confiáveis. O FortiGate pode validar a assinatura no certificado SSL. Na etapa 4, como o
FortiGate confia no certificado SSL, ele gera um certificado temporário assinado pelo certificado
Fortinet_CA_SSL. O FortiGate envia o certificado temporário para o navegador. Finalmente, na etapa
5, o navegador confia no certificado temporário porque o certificado Fortinet_CA_SSL está em seu
armazenamento de CA raiz confiável.
Depois que o navegador termina de validar o certificado, ele conclui o handshake SSL com FortiGate.
Em seguida, o FortiGate continua o handshake SSL com o servidor confiável.

26-

The scenario shown on this slide describes how FortiGate handles an untrusted external site when
Untrusted SSL Certificate is set to Allow.
In step 1, the browser initiates a connection with an external site that is not trusted by FortiGate. In
step 2, the untrusted server sends its self-signed SSL certificate to FortiGate. In step 3, FortiGate
does not find a copy of the certificate in its trusted certificate store and, therefore, does not trust the
SSL certificate. In step 4, because FortiGate does not trust the SSL certificate, it generates a
temporary certificate signed by Fortinet_CA_Untrusted certificate. This temporary certificate is sent to
the browser. In step 5, the browser does not trust the temporary certificate because it does not have
the Fortinet_CA_Untrusted certificate in its trusted root CA store. The browser displays a warning
alerting the user that the certificate is untrusted. If the user decides to ignore the warning and
proceed, the browser completes the SSL handshake with FortiGate. Next, FortiGate continues the
SSL handshake with the untrusted server.
The user may have the option to write this temporary certificate to the browser’s trusted certificate
store. However, this will have no impact going forward. The next time the user connects to the same
untrusted site, a new temporary certificate will be produced for the session.
O cenário mostrado neste slide descreve como o FortiGate lida com um site externo não confiável
quando o Certificado SSL não confiável é definido como Permitir.
Na etapa 1, o navegador inicia uma conexão com um site externo que não é confiável para FortiGate.
Na etapa 2, o servidor não confiável envia seu certificado SSL autoassinado ao FortiGate. Na etapa
3, o FortiGate não encontra uma cópia do certificado em seu armazenamento de certificados
confiável e, portanto, não confia no certificado SSL. Na etapa 4, como o FortiGate não confia no
certificado SSL, ele gera um certificado temporário assinado pelo certificado Fortinet_CA_Untrusted.
Este certificado temporário é enviado ao navegador. Na etapa 5, o navegador não confia no
certificado temporário porque não possui o certificado Fortinet_CA_Untrusted em seu
armazenamento de CA raiz confiável. O navegador exibe um aviso alertando o usuário de que o
certificado não é confiável. Se o usuário decidir ignorar o aviso e prosseguir, o navegador conclui o
handshake SSL com FortiGate. Em seguida, o FortiGate continua o handshake SSL com o servidor
não confiável.
O usuário pode ter a opção de gravar este certificado temporário no armazenamento de certificados
confiáveis do navegador. No entanto, isso não terá impacto no futuro. Na próxima vez que o usuário
se conectar ao mesmo site não confiável, um novo certificado temporário será produzido para a
sessão.

27-

The scenario shown on this slide describes how FortiGate handles an untrusted external site when
Untrusted SSL Certificate is set to Block.
In step 1, the browser initiates a connection with an external site that is not trusted by FortiGate. In
step 2, the untrusted server sends its self-signed SSL certificate to FortiGate. In step 3, FortiGate
does not find the certificate in its trusted certificate store and, therefore, does not trust the SSL
certificate. In step 4, because FortiGate does not trust the SSL certificate, it stops the session. In step
5, FortiGate notifies the browser that the site is blocked.
O cenário mostrado neste slide descreve como o FortiGate lida com um site externo não confiável
quando o Certificado SSL não confiável é definido como Bloquear.
Na etapa 1, o navegador inicia uma conexão com um site externo que não é confiável para FortiGate.
Na etapa 2, o servidor não confiável envia seu certificado SSL autoassinado ao FortiGate. Na etapa
3, o FortiGate não encontra o certificado em seu armazenamento de certificados confiável e,
portanto, não confia no certificado SSL. Na etapa 4, como o FortiGate não confia no certificado SSL,
ele interrompe a sessão. Na etapa 5, o FortiGate notifica o navegador de que o site está bloqueado.

28-
The scenario shown on this slide describes how FortiGate handles an untrusted external site when
Untrusted SSL Certificate is set to Ignore.
In step 1, the browser initiates a connection with an external site that is not trusted by FortiGate. In
step 2, the untrusted server sends its self-signed SSL certificate to FortiGate. Because the setting is
set to Ignore, FortiGate does not check the certificate store. In step 3, FortiGate generates a
temporary certificate signed by Fortinet_CA_SSL certificate, and sends the certificate to the browser.
In step 4, the browser trusts the certificate because Fortinet_CA_SSL certificate is in its trusted root
CA store. Once the browser finishes checking the certificate, it completes the SSL handshake with
FortiGate. Next, FortiGate continues the SSL handshake with the trusted server.
A connection to a trusted site is handled the same way.
O cenário mostrado neste slide descreve como o FortiGate lida com um site externo não confiável
quando o Certificado SSL não confiável é definido como Ignorar.
Na etapa 1, o navegador inicia uma conexão com um site externo que não é confiável para FortiGate.
Na etapa 2, o servidor não confiável envia seu certificado SSL autoassinado ao FortiGate. Como a
configuração está definida como Ignorar, o FortiGate não verifica o armazenamento de certificados.
Na etapa 3, FortiGate gera um certificado temporário assinado pelo certificado Fortinet_CA_SSL e
envia o certificado ao navegador. Na etapa 4, o navegador confia no certificado porque o certificado
Fortinet_CA_SSL está em seu armazenamento de CA raiz confiável. Quando o navegador termina de
verificar o certificado, ele conclui o handshake SSL com FortiGate. Em seguida, o FortiGate continua
o handshake SSL com o servidor confiável.
Uma conexão com um site confiável é tratada da mesma maneira.

29-
Within the full SSL inspection profile, you can also specify which SSL sites, if any, you want to exempt
from SSL inspection. You may need to exempt traffic from SSL inspection if it is causing problems
with traffic or for legal reasons.
Performing SSL inspection on a site that is enabled with HTTP public key pinning (HPKP), for
example, can cause problems with traffic. Remember, the only way for FortiGate to inspect encrypted
traffic is to intercept the certificate coming from the server, and generate a temporary one. Once
FortiGate presents the temporary SSL certificate, browsers that use HPKP will refuse to proceed. The
SSL inspection profile, therefore, allows you to exempt specific traffic.
Laws protecting privacy may be another reason to bypass SSL inspection. For example, in some
countries, it is illegal to inspect SSL bank-related traffic. Configuring an exemption for sites is simpler
than setting up firewall policies for each individual bank. You can exempt sites based on their web
category, such as finance or banking, or you can exempt them based on their address. Alternatively,
you can enable Reputable websites, which excludes a white list of reputable domain names
maintained by FortiGuard from full SSL inspection. This list is periodically updated and downloaded to
FortiGate devices through FortiGuard.
No perfil de inspeção SSL completo, você também pode especificar quais sites SSL, se houver, você
deseja isentar da inspeção SSL. Pode ser necessário isentar o tráfego da inspeção SSL se estiver
causando problemas de tráfego ou por motivos legais.
Executar a inspeção SSL em um site habilitado com a fixação de chave pública HTTP (HPKP), por
exemplo, pode causar problemas de tráfego. Lembre-se, a única maneira do FortiGate inspecionar o
tráfego criptografado é interceptar o certificado vindo do servidor e gerar um temporário. Assim que o
FortiGate apresentar o certificado SSL temporário, os navegadores que usam HPKP se recusarão a
continuar. O perfil de inspeção SSL, portanto, permite isentar tráfego específico.
As leis que protegem a privacidade podem ser outro motivo para ignorar a inspeção SSL. Por
exemplo, em alguns países, é ilegal inspecionar o tráfego SSL relacionado ao banco. Configurar uma
isenção para sites é mais simples do que configurar políticas de firewall para cada banco individual.
Você pode isentar sites com base em sua categoria na web, como finanças ou bancos, ou pode
isentá-los com base em seus endereços. Alternativamente, você pode habilitar sites respeitáveis, o
que exclui uma lista branca de nomes de domínio respeitáveis mantida pelo FortiGuard da inspeção
SSL completa. Esta lista é atualizada periodicamente e baixada para dispositivos FortiGate através
do FortiGuard.

30-
FortiGate can detect certificates that are invalid for the following reasons:
⦁ Expired: The certificate is expired.
⦁ Revoked: The certificate has been revoked based on CRL or OCSP information.
⦁ Validation timeout: The certificate could not be validated because of a communication timeout.
⦁ Validation failed: The certificate could not be validated because of a communication error.
When a certificate fails for any of the reasons above, you can configure any of the following actions:
⦁ Allow: FortiGate allows the website and lets the browser decide the action to take. FortiGate takes the
certificate as trusted.
⦁ Block: FortiGate blocks the content of the site.
⦁ Ignore: FortiGate allows the website and takes the certificate as trusted. This action is available only on
the CLI if full SSL inspection has been enabled.
The certificate check feature can be broken down into two major checks, which are done in parallel:
⦁ FortiGate checks if the certificate is invalid because of the four reasons described on this slide.
⦁ FortiGate performs certificate chain validation based on the CA certificates installed locally and the
certificates presented by the SSL server. This is described in this lesson.
Based on the actions configured and the check results, FortiGate will present the certificate as either
trusted (signed by Fortinet_CA_SSL) or untrusted (signed by Fortinet_CA_Untrusted), and will either
allow the content or block it. You can also track certificate anomalies by enabling the Log SSL
anomalies option.
O FortiGate pode detectar certificados inválidos pelos seguintes motivos:
⦁ Expirado: O certificado expirou.
⦁ Revogado: O certificado foi revogado com base nas informações de CRL ou OCSP.
⦁ Tempo limite de validação: O certificado não pôde ser validado devido a um tempo limite de
comunicação.
⦁ Falha na validação: O certificado não pôde ser validado devido a um erro de comunicação.
Quando um certificado falha por qualquer um dos motivos acima, você pode configurar qualquer uma
das seguintes ações:
⦁ Permitir: FortiGate permite o site e permite que o navegador decida a ação a ser executada. O FortiGate
considera o certificado como confiável.
⦁ Bloquear: FortiGate bloqueia o conteúdo do site.
⦁ Ignorar: FortiGate permite o site e leva o certificado como confiável. Esta ação está disponível apenas no
CLI se a inspeção SSL completa tiver sido ativada.
O recurso de verificação de certificado pode ser dividido em duas verificações principais, que são
feitas em paralelo:
⦁ O FortiGate verifica se o certificado é inválido devido aos quatro motivos descritos neste slide.
⦁ FortiGate realiza a validação da cadeia de certificados com base nos certificados CA instalados localmente
e nos certificados apresentados pelo servidor SSL. Isso é descrito nesta lição.
Com base nas ações configuradas e nos resultados da verificação, FortiGate apresentará o
certificado como confiável (assinado por Fortinet_CA_SSL) ou não confiável (assinado por
Fortinet_CA_Untrusted), e permitirá ou bloqueará o conteúdo. Você também pode rastrear anomalias
de certificado ativando a opção Registrar anomalias SSL.

31-

You can enable SSH deep scan when you select Multiple Clients Connecting to Multiple Servers.
When you enable SSH deep scan, FortiGate does a MITM attack for SSH traffic. A process similar to
the one done for full SSL inspection takes place. FortiGate intercepts the SSH key sent by the server,
generates a new one, and sends it to the client. If the SSH client had stored the original host key, then
it will see a change in the host key and warn the user. The user can then replace the original host key
with the new host key generated by FortiGate.
By default, SSH deep scan listens on TCP port 22. You can specify a different port number or select
Any in the SSH port field. When you do this, FortiGate scans all connections to identify SSH traffic
using different ports. Specifying a port for SSH traffic is not as comprehensive as searching all ports,
but it is easier on the performance of the firewall.
Finally, note that SSH deep scan is a proxy-based inspection feature only. In addition, the only
security features that use SSH deep scan are antivirus and data leak prevention.
Você pode ativar a varredura profunda SSH ao selecionar Vários clientes conectando-se a vários
servidores. Quando você ativa a varredura profunda SSH, o FortiGate faz um ataque MITM para o
tráfego SSH. Um processo semelhante ao feito para a inspeção SSL completa ocorre. O FortiGate
intercepta a chave SSH enviada pelo servidor, gera uma nova e a envia ao cliente. Se o cliente SSH
armazenou a chave do host original, ele verá uma alteração na chave do host e avisará o usuário. O
usuário pode então substituir a chave de host original pela nova chave de host gerada pelo FortiGate.
Por padrão, a varredura profunda SSH escuta na porta TCP 22. Você pode especificar um número de
porta diferente ou selecionar Qualquer no campo Porta SSH. Quando você faz isso, o FortiGate
verifica todas as conexões para identificar o tráfego SSH usando portas diferentes. Especificar uma
porta para o tráfego SSH não é tão abrangente quanto pesquisar todas as portas, mas é mais fácil
para o desempenho do firewall.
Por fim, observe que a varredura profunda SSH é apenas um recurso de inspeção baseado em
proxy. Além disso, os únicos recursos de segurança que usam a varredura profunda SSH são
antivírus e prevenção de vazamento de dados.

32-

In this example, FortiGate is protecting a web server. This is the second configuration option for full
SSL inspection. When configuring the SSL inspection profile for this server, you must select
Protecting SSL Server, import the server’s key pair to FortiGate, and then select the certificate from
the Server Certificate drop-down list. If you have multiple servers to protect, you will need to add an
SSL inspection profile for each server, unless the servers share the same certificate.
When Alice attempts to connect to the protected server, FortiGate becomes a surrogate web server
by establishing the secure connection with the client using the server’s key pair. FortiGate also
establishes a secure connection with the server, but acting as a client. This configuration allows
FortiGate to decrypt the data from either direction, scan it, and if it is clean, re-encrypt it and send it to
the intended recipient.
You will need to install the server’s certificate and private key plus the chain of certificates required to
build the chain of trust. FortiGate sends the chain of certificates to the browser for this purpose.
Neste exemplo, o FortiGate está protegendo um servidor web. Esta é a segunda opção de
configuração para inspeção SSL completa. Ao configurar o perfil de inspeção SSL para este servidor,
você deve selecionar Proteger Servidor SSL, importar o par de chaves do servidor para FortiGate e,
em seguida, selecionar o certificado na lista suspensa Certificado do Servidor. Se você tiver vários
servidores para proteger, precisará adicionar um perfil de inspeção SSL para cada servidor, a menos
que os servidores compartilhem o mesmo certificado.
Quando Alice tenta se conectar ao servidor protegido, FortiGate se torna um servidor web substituto,
estabelecendo uma conexão segura com o cliente usando o par de chaves do servidor. O FortiGate
também estabelece uma conexão segura com o servidor, mas atuando como cliente. Esta
configuração permite ao FortiGate descriptografar os dados de qualquer direção, digitalizá-los e, se
estiverem limpos, criptografá-los novamente e enviá-los ao destinatário pretendido.
Você precisará instalar o certificado do servidor e a chave privada, além da cadeia de certificados
necessários para construir a cadeia de confiança. O FortiGate envia a cadeia de certificados ao
navegador para este propósito.

33-

After you create and configure an SSL inspection profile, you must assign it to a firewall policy so
FortiGate knows how to inspect encrypted traffic. Most of the internet traffic is being encrypted
nowadays. For this reason, you normally want to enable SSL inspection to protect your network from
security threats transported over encrypted traffic. If you don’t want to enable SSL or SSH inspection,
select the no-inspection profile from the drop-down list. If SSL inspection is not enabled in a policy,
FortiGate will not scan SSL or SSH encrypted traffic matching that policy.
If you select a profile with full SSL inspection enabled, the option Decrypted Traffic Mirror appears.
Enable this option if you want FortiGate to send a copy of the decrypted SSL traffic to an interface.
When you enable Decrypted Traffic Mirror, FortiGate displays a window with the terms of use for this
feature. The user must agree with the terms before the feature can be used.
Depois de criar e configurar um perfil de inspeção SSL, você deve atribuí-lo a uma política de firewall
para que o FortiGate saiba como inspecionar o tráfego criptografado. A maior parte do tráfego da
Internet está sendo criptografada atualmente. Por esse motivo, você normalmente deseja habilitar a
inspeção SSL para proteger sua rede contra ameaças de segurança transportadas por tráfego
criptografado. Se você não quiser habilitar a inspeção SSL ou SSH, selecione o perfil sem inspeção
na lista suspensa. Se a inspeção SSL não estiver habilitada em uma política, o FortiGate não fará a
varredura do tráfego criptografado SSL ou SSH que corresponda a essa política.
Se você selecionar um perfil com a inspeção SSL completa habilitada, a opção Descriptografado
Traffic Mirror aparecerá. Habilite esta opção se você deseja que o FortiGate envie uma cópia do
tráfego SSL descriptografado para uma interface. Ao habilitar o Traffic Mirror descriptografado, o
FortiGate exibe uma janela com os termos de uso deste recurso. O usuário deve concordar com os
termos antes que o recurso possa ser usado.

34-
When doing full SSL inspection using the FortiGate self-signed CA, your browser displays a certificate
warning each time you connect to an HTTPS site. This is because the browser is receiving certificates
signed by FortiGate, which is a CA it does not know and trust. The browser also displays a certificate
warning when performing SSL certificate inspection and an HTTPS website is blocked by FortiGate.
Because FortiGate needs to present a replacement message to the browser, FortiGate performs
MITM and signs the certificate with its self-signed CA as well.
You can avoid this warning by doing one of the following:
⦁ Download the Fortinet_CA_SSL certificate and install it on all the workstations as a trusted root
authority.
⦁ Use an SSL certificate issued by a CA and ensure the certificate is installed in the necessary browsers.
The SSL certificate must be installed on FortiGate and the device configured to use that certificate for
SSL inspection. If the SSL certificate is signed by a subordinate CA, ensure that the entire chain of
certificates— from the SSL certificate to the root CA certificate—is installed on FortiGate. Verify that
the root CA is installed on all client browsers. This is required for trust purposes. Because FortiGate
sends the chain of certificates to the browser during the SSL handshake, the intermediate CA
certificates do not have to be installed on the browsers.
Ao fazer a inspeção SSL completa usando a CA autoassinada FortiGate, seu navegador exibe um
aviso de certificado cada vez que você se conecta a um site HTTPS. Isso ocorre porque o navegador
está recebendo certificados assinados pelo FortiGate, que é uma CA que ele não conhece e não
confia. O navegador também exibe um aviso de certificado ao realizar a inspeção do certificado SSL
e um site HTTPS é bloqueado pelo FortiGate. Como o FortiGate precisa apresentar uma mensagem
de substituição ao navegador, o FortiGate executa MITM e também assina o certificado com sua CA
autoassinada.
Você pode evitar esse aviso executando uma das seguintes ações:
⦁ Baixe o certificado Fortinet_CA_SSL e instale-o em todas as estações de trabalho como uma autoridade
raiz confiável.
⦁ Use um certificado SSL emitido por uma CA e certifique-se de que o certificado seja instalado nos
navegadores necessários.
O certificado SSL deve ser instalado no FortiGate e o dispositivo configurado para usar esse
certificado para inspeção SSL. Se o certificado SSL for assinado por um CA subordinado, certifique-
se de que toda a cadeia de certificados - do certificado SSL ao certificado CA raiz - está instalado no
FortiGate. Verifique se a CA raiz está instalada em todos os navegadores do cliente. Isso é
necessário para fins de confiança. Como o FortiGate envia a cadeia de certificados ao navegador
durante o handshake SSL, os certificados CA intermediários não precisam ser instalados nos
navegadores.

35-
Some security measures have been introduced by the IETF to mitigate the MITM attack. Some of
these measures cause problems when outbound full SSL inspection is implemented.
HTTP strict transport security (HSTS) and HTTP public key pinning (HPKP) are security features
designed to thwart MITM attacks. HSTS is “a mechanism enabling websites to declare themselves
accessible only through secure connections …”, according to RFC 6797 of the IETF. In other words, a
user from a web browser would be forced to use HTTPS when connecting to a website with this
policy; there would be no option to connect using HTTP. HPKP is a security feature imposed by the
web server that associates one or more public keys with the website for a specified period of time.
The public key doesn’t have to be the web server’s public key, it could be one of the intermediate or
root CA public keys, as long as it exists in the certificate chain. When the web browser visits an
HPKP-enabled website, hashes of the public keys associated with a website are cached on the client
machine.
Going forward, each time the web browser connects to the web server, it will compare one or more of
the keys presented with the cached key fingerprints. If the browser cannot match at least one of the
keys, the SSL handshake terminates. This is a problem for outbound full SSL inspection. FortiGate
generates a new certificate and public key to establish an SSL session with the web browser.
FortiGate cannot provide an authentic certificate chain, so the connection would be rejected by the
browser. Predictably, this could prevent users from connecting to a lot of legitimate sites.
Algumas medidas de segurança foram introduzidas pela IETF para mitigar o ataque MITM. Algumas
dessas medidas causam problemas quando a inspeção SSL completa de saída é implementada.
HTTP strict transport security (HSTS) e HTTP public key pinning (HPKP) são recursos de segurança
projetados para impedir ataques MITM. O HSTS é “um mecanismo que permite que os sites se
declarem acessíveis apenas por meio de conexões seguras ...”, de acordo com a RFC 6797 da IETF.
Em outras palavras, um usuário de um navegador da web seria forçado a usar HTTPS ao se
conectar a um site com esta política; não haveria opção de conexão usando HTTP. HPKP é um
recurso de segurança imposto pelo servidor da web que associa uma ou mais chaves públicas ao
site por um determinado período de tempo. A chave pública não precisa ser a chave pública do
servidor da web, pode ser uma das chaves públicas intermediárias ou raiz da CA, desde que exista
na cadeia de certificados. Quando o navegador da web visita um site habilitado para HPKP, os
hashes das chaves públicas associadas a um site são armazenados em cache na máquina cliente.
Daqui para frente, cada vez que o navegador da web se conectar ao servidor da web, ele irá
comparar uma ou mais das chaves apresentadas com as impressões digitais das chaves em cache.
Se o navegador não puder corresponder a pelo menos uma das chaves, o handshake SSL termina.
Este é um problema para a inspeção SSL completa de saída. FortiGate gera um novo certificado e
chave pública para estabelecer uma sessão SSL com o navegador da web. O FortiGate não pode
fornecer uma cadeia de certificados autêntica, então a conexão seria rejeitada pelo navegador.
Previsivelmente, isso pode impedir que os usuários se conectem a muitos sites legítimos.

36-

The options available to circumvent HPKP are limited. One option is to exempt SSL inspection for
those sites. Another option is to use SSL certificate inspection instead. A third option is to use a
browser that does not support HPKP, like Chrome, Internet Explorer, or Edge. Last, in some browsers
it is possible to disable HPKP.
As opções disponíveis para contornar o HPKP são limitadas. Uma opção é isentar a inspeção SSL
para esses sites. Outra opção é usar a inspeção de certificado SSL. Uma terceira opção é usar um
navegador que não suporte HPKP, como Chrome, Internet Explorer ou Edge. Por último, em alguns
navegadores é possível desativar o HPKP.

37-

More and more applications are using SSL to securely exchange data over the internet. While most of
the content in this lesson centers around the operation and impact of SSL inspection on browsers, the
same applies to other applications using SSL as well. After all, the browser is just another application
using SSL on your device.
For this reason, when you enable SSL inspection on FortiGate, you need to consider the potential
impact on your SSL-based applications. For example, Microsoft Outlook 365 for Windows will report a
certificate error when you enable full SSL inspection because the CA certificate used by FortiGate is
not trusted. To solve this issue, you can import the CA certificate into your Windows certificate store
as a trusted root certification authority. Because Microsoft Outlook 365 trusts the certificates in the
Windows certificate store, then the application won’t report the certificate error anymore. Another
option is to exempt your Microsoft Exchange server addresses from SSL inspection. While this
prevents the certificate error, you are no longer performing SSL inspection on email traffic.
There are other applications that have built-in extra security checks that prevent MITM attacks, such
as HPKP or certificate pinning. For example, Dropbox uses certificate pinning to ensure that no SSL
inspection is possible on user traffic. As a result, when you enable full SSL inspection on FortiGate,
your Dropbox client will stop working and report that it can’t establish a secure connection. In the case
of Dropbox, the only way to solve the connection error is by exempting the domains Dropbox
connects to from SSL inspection.
In addition, remember that SSL is leveraged by different protocols, not just HTTP. For example, there
are other SSL-based protocols such as FTPS, POP3S, SMTPS, STARTTLS, LDAPS, and SIP TLS. If
you have an application using any of these SSL-based protocols, and you have turned on SSL
inspection along with a security profile that inspects those protocols, then the applications may report
an SSL or certificate error. The solution will depend on the security measures adopted by the
application.
Mais e mais aplicativos estão usando SSL para trocar dados com segurança pela Internet. Embora a
maior parte do conteúdo desta lição se concentre na operação e no impacto da inspeção SSL nos
navegadores, o mesmo se aplica a outros aplicativos que usam SSL. Afinal, o navegador é apenas
mais um aplicativo que usa SSL no seu dispositivo.
Por este motivo, ao habilitar a inspeção SSL no FortiGate, você precisa considerar o impacto
potencial em seus aplicativos baseados em SSL. Por exemplo, o Microsoft Outlook 365 para
Windows reportará um erro de certificado quando você habilitar a inspeção SSL completa porque o
certificado CA usado pelo FortiGate não é confiável. Para resolver esse problema, você pode
importar o certificado CA para o armazenamento de certificados do Windows como uma autoridade
de certificação raiz confiável. Como o Microsoft Outlook 365 confia nos certificados no
armazenamento de certificados do Windows, o aplicativo não relatará mais o erro de certificado.
Outra opção é isentar os endereços do servidor Microsoft Exchange da inspeção SSL. Embora isso
evite o erro de certificado, você não está mais executando a inspeção SSL no tráfego de e-mail.
Existem outros aplicativos que possuem verificações de segurança extras integradas que evitam
ataques MITM, como HPKP ou pinning de certificado. Por exemplo, o Dropbox usa a fixação de
certificado para garantir que nenhuma inspeção SSL seja possível no tráfego do usuário. Como
resultado, quando você ativa a inspeção SSL completa no FortiGate, seu cliente Dropbox para de
funcionar e relata que não consegue estabelecer uma conexão segura. No caso do Dropbox, a única
maneira de resolver o erro de conexão é isentar os domínios aos quais o Dropbox se conecta da
inspeção SSL.
Além disso, lembre-se de que o SSL é aproveitado por diferentes protocolos, não apenas HTTP. Por
exemplo, existem outros protocolos baseados em SSL, como FTPS, POP3S, SMTPS, STARTTLS,
LDAPS e SIP TLS. Se você tiver um aplicativo que usa qualquer um desses protocolos baseados em
SSL e ativou a inspeção SSL junto com um perfil de segurança que inspeciona esses protocolos, os
aplicativos podem relatar um erro de certificado ou SSL. A solução vai depender das medidas de
segurança adotadas pelo aplicativo.

42-
The process of obtaining a digital certificate for FortiGate begins with creating a certificate signing
request (CSR). The process is as follows:
⦁ FortiGate generates a CSR. A private and public key pair is created for FortiGate. The CSR is signed by
FortiGate’s private key.
⦁ FortiGate submits the CSR to a CA. The CSR includes the FortiGate public key and specific
information about FortiGate (IP address, distinguished name, email address, and so on). Note that the
private key remains confidential on FortiGate.
⦁ The CA verifies that the information in the CSR is valid, and then creates a digital certificate for
FortiGate. The certificate is digitally signed using the CA’s private key. The CA also publishes the
certificate to a central repository. The certificate binds the public key to FortiGate.
⦁ The certificate is returned to install on FortiGate.
O processo de obtenção de um certificado digital para FortiGate começa com a criação de uma
solicitação de assinatura de certificado (CSR). O processo é como se segue:
⦁ FortiGate gera um CSR. Um par de chaves privadas e públicas é criado para FortiGate. O CSR é assinado
pela chave privada do FortiGate.
⦁ O FortiGate submete o CSR a um CA. O CSR inclui a chave pública FortiGate e informações específicas
sobre o FortiGate (endereço IP, nome distinto, endereço de e-mail e assim por diante). Observe que a
chave privada permanece confidencial no FortiGate.
⦁ O CA verifica se as informações no CSR são válidas e, em seguida, cria um certificado digital para
FortiGate. O certificado é assinado digitalmente usando a chave privada da CA. A CA também publica o
certificado em um repositório central. O certificado liga a chave pública ao FortiGate.
⦁ O certificado é devolvido para instalação no FortiGate.

43-
You can generate a CSR on the Certificates page of the GUI by clicking Generate. Enter all of the
required information, such as the IP address (or FQDN) and company name. Ensure the key type and
size fit your requirements. You can submit the CSR to a CA using either of the following methods:
⦁ Select File Based to generate the CSR as a .csr file, which is then sent to the CA.
⦁ Select Online SCEP to submit the CSR to the CA online using the Simple Certificate Enrollment
Protocol (SCEP). For example, if you are using FortiAuthenticator as your CA, you can enable and
configure SCEP on FortiAuthenticator and use this method.
Você pode gerar um CSR na página Certificados da GUI clicando em Gerar. Insira todas as
informações necessárias, como o endereço IP (ou FQDN) e o nome da empresa. Certifique-se de
que o tipo e o tamanho da chave atendam aos seus requisitos. Você pode enviar o CSR para uma
CA usando um dos seguintes métodos:
⦁ Selecione Arquivo com base para gerar o CSR como um arquivo .csr, que é então enviado ao CA.
⦁ Selecione SCEP online para enviar o CSR à CA online usando o protocolo de registro de certificado
simples (SCEP). Por exemplo, se você estiver usando o FortiAuthenticator como seu CA, você pode
habilitar e configurar o SCEP no FortiAuthenticator e usar este método.

44-
If you are using the file-based method, the CSR is added to your list of certificates on the Certificates
page. Select the CSR and click Download. The administrator can now submit the file (.csr), which is a
PKCS#10 request, to the CA. PKCS#10 is the most common format for a certificate request. The CA
uses this file to generate a signed certificate.
If using the online SCEP method, enter the CA server URL used for SCEP and the challenge
password provided by the CA administrator. The CSR is automatically submitted online.
After the CSR is submitted using either method, FortiGate shows the certificate status as Pending
until the certificate is returned by the CA and imported into FortiGate. At this point, the status changes
to Valid and the digital certificate can be used.
Note that if you delete the CSR, you will not be able to install the certificate and you will have to start
over.
Se você estiver usando o método baseado em arquivo, o CSR será adicionado à sua lista de
certificados na página Certificados. Selecione o CSR e clique em Download. O administrador agora
pode enviar o arquivo (.csr), que é uma solicitação PKCS # 10, para a CA. PKCS # 10 é o formato
mais comum para uma solicitação de certificado. A CA usa esse arquivo para gerar um certificado
assinado.
Se estiver usando o método SCEP online, insira o URL do servidor CA usado para SCEP e a senha
de desafio fornecida pelo administrador CA. O CSR é enviado automaticamente online.
Após o CSR ser submetido usando qualquer um dos métodos, o FortiGate mostra o status do
certificado como Pendente até que o certificado seja devolvido pela CA e importado para o FortiGate.
Nesse ponto, o status muda para Válido e o certificado digital pode ser usado.
Observe que se você excluir o CSR, não poderá instalar o certificado e terá que reiniciar.

45-
The file-based method of submitting a CSR is a manual process. The SCEP process, which occurs
automatically online, requires no manual file import.
You can import the certificate from the Certificates page. Click Import and select Local Certificate. On
the Import Certificate dialog, in the Type field, select Local Certificate and browse to the CER file
provided by the CA.
Once you import the certificate, the status changes from Pending to Valid. Note that it is possible to
add a certificate that FortiGate will use in SSL communications without generating and signing a CSR.
The CA can create a certificate for your FortiGate without a CSR (though the CA is responsible for
providing all the certificate details for your FortiGate). In this way, you can add a certificate using the
following methods:
⦁ Upload a PKCS#12 file, which is a single file that includes the signed certificate file and the key file
⦁ Upload both a certificate file and the key file
An administrator user with the super_admin profile can put a password on a certificate and control
access to its private key.
O método de envio de CSR baseado em arquivo é um processo manual. O processo SCEP, que
ocorre automaticamente online, não requer importação manual de arquivo.
Você pode importar o certificado da página Certificados. Clique em Importar e selecione Certificado
local. Na caixa de diálogo Importar certificado, no campo Tipo, selecione Certificado local e navegue
até o arquivo CER fornecido pela CA.
Depois de importar o certificado, o status muda de Pendente para Válido. Observe que é possível
adicionar um certificado que o FortiGate usará nas comunicações SSL sem gerar e assinar um CSR.
A CA pode criar um certificado para o seu FortiGate sem um CSR (embora a CA seja responsável
por fornecer todos os detalhes do certificado para o seu FortiGate). Dessa forma, você pode
adicionar um certificado usando os seguintes métodos:
⦁ Faça upload de um arquivo PKCS # 12, que é um único arquivo que inclui o arquivo de certificado
assinado e o arquivo de chave
⦁ Carregue um arquivo de certificado e o arquivo de chave
Um usuário administrador com o perfil super_admin pode colocar uma senha em um certificado e
controlar o acesso à sua chave privada.

46-
When FortiGate is validating a certificate, it checks that the certificate’s serial number is not listed in a
CRL imported to FortiGate.
You can import a CRL from the Certificates page by clicking Import > CRL. In the Import CRL dialog,
you can select one of these four import options: HTTP, LDAP, SCEP, and Local PC. The first three
options point to external repositories and require you to connect to the repositories to upload the CRL
to FortiGate. The last option, Local PC, requires you to have the CRL file locally stored before you can
upload the CRL to FortiGate.
Before the CRL expires, FortiGate will automatically retrieve the latest iteration using the protocol
specified in the configuration.
Quando o FortiGate está validando um certificado, ele verifica se o número de série do certificado
não está listado em uma CRL importada para o FortiGate.
Você pode importar uma CRL da página Certificados clicando em Importar> CRL. Na caixa de
diálogo Importar CRL, você pode selecionar uma destas quatro opções de importação: HTTP, LDAP,
SCEP e PC local. As três primeiras opções apontam para repositórios externos e exigem que você se
conecte aos repositórios para fazer o upload da CRL para o FortiGate. A última opção, PC local,
requer que você tenha o arquivo CRL armazenado localmente antes de fazer o upload da CRL para o
FortiGate.
Antes que a CRL expire, o FortiGate irá recuperar automaticamente a última iteração usando o
protocolo especificado na configuração.

47-
When you back up the FortiGate configuration, the keys and certificates are backed up as well.
FortiGate also provides the option to store digital certificates as a PKCS#12 file, which includes the
private and public keys as well as the certificate. You can restore the PKCS#12 file to a FortiGate
device of any model or firmware version, or to a non-FortiGate device.
You can perform the backup and restore from the CLI only, which requires the use of a TFTP server.
Quando você faz backup da configuração do FortiGate, as chaves e os certificados também são
copiados.
O FortiGate também oferece a opção de armazenar certificados digitais como um arquivo PKCS #
12, que inclui as chaves privada e pública, bem como o certificado. Você pode restaurar o arquivo
PKCS # 12 para um dispositivo FortiGate de qualquer modelo ou versão de firmware, ou para um
dispositivo não FortiGate.
Você pode executar o backup e a restauração apenas da CLI, o que requer o uso de um servidor
TFTP.

48-
You can configure a CA and local certificate globally or for a VDOM. If you upload a certificate to a
VDOM, it is accessible only inside that VDOM. If you upload a certificate globally, it is accessible to all
VDOMs and globally.
Global and VDOM-based certificate configuration includes the ability to view certificate details, as well
as to download, delete, and import certificates.
Note that some of the FortiGate certificates have specific signature algorithms and key lengths in their
names, such as Elliptic Curve Digital Signature Algorithm 256 (ECDSA256) and RSA2048. Policy and
technical requirements may determine which certificates you use.
Você pode configurar uma CA e um certificado local globalmente ou para um VDOM. Se você
carregar um certificado em um VDOM, ele ficará acessível apenas dentro desse VDOM. Se você
carregar um certificado globalmente, ele ficará acessível a todos os VDOMs e globalmente.
A configuração de certificado global e baseada em VDOM inclui a capacidade de visualizar detalhes
do certificado, bem como fazer download, excluir e importar certificados.
Observe que alguns dos certificados FortiGate têm algoritmos de assinatura específicos e
comprimentos de chave em seus nomes, como Elliptic Curve Digital Signature Algorithm 256
(ECDSA256) e RSA2048. A política e os requisitos técnicos podem determinar quais certificados
você usa.

49-

If you are using an SSL certificate issued by a private CA, you must install the CA certificate in the list
of trusted CAs. If you fail to do this, a warning message will appear in your web browser any time you
access an HTTPS website. Encrypted communications may also fail, simply because the CA that
issued and signed the certificate is untrusted.
Once you download the SSL certificate from FortiGate, you can install it on any web browser or
operating system. Not all browsers use the same certificate repository. For example, Firefox uses its
own repository, while Internet Explorer and Chrome store certificates in a system-wide repository. In
order to avoid certificate warnings, you need to install the SSL certificate as a trusted root CA.
When you install the certificate, make sure that it is saved to the certificate store for root authorities.
Se você estiver usando um certificado SSL emitido por uma CA privada, deverá instalar o certificado
CA na lista de CAs confiáveis. Se você não fizer isso, uma mensagem de aviso aparecerá em seu
navegador sempre que você acessar um site HTTPS. As comunicações criptografadas também
podem falhar, simplesmente porque a CA que emitiu e assinou o certificado não é confiável.
Depois de baixar o certificado SSL do FortiGate, você pode instalá-lo em qualquer navegador da web
ou sistema operacional. Nem todos os navegadores usam o mesmo repositório de certificados. Por
exemplo, o Firefox usa seu próprio repositório, enquanto o Internet Explorer e o Chrome armazenam
certificados em um repositório de todo o sistema. Para evitar avisos de certificado, você precisa
instalar o certificado SSL como uma CA raiz confiável.
Ao instalar o certificado, certifique-se de salvá-lo no armazenamento de certificados para autoridades
raiz.

● LESSON 08: Web Filtering

4-

Each inspection component plays a role in processing traffic on its way to its destination. Having
control over flow-based and proxy-based mode is helpful if you want to be sure that only flow-based
inspection mode is used. In most cases, proxy mode is preferred because more security profile
features and more configuration options are available. However, some implementations require all
security profile scanning to use only flow- based inspection mode for the highest possible throughput.
You can configure the firewall policy to use flow- based mode (which is the default option for a new
policy), and vice versa. While both modes offer significant security, proxy-based mode is more
thorough while flow-based mode is designed to optimize performance.
You can select the inspection mode in a firewall policy. Switching from flow-based to proxy-based
mode will not require removing the selected security profiles on the policy. However, switching from
proxy-based to flow-based mode will remove any security profiles configured to use proxy-based
inspection mode.
Cada componente de inspeção desempenha um papel no processamento do tráfego em seu
caminho até seu destino. Ter controle sobre os modos baseado em fluxo e em proxy é útil se você
deseja ter certeza de que apenas o modo de inspeção baseado em fluxo é usado. Na maioria dos
casos, o modo proxy é preferido porque mais recursos de perfil de segurança e mais opções de
configuração estão disponíveis. No entanto, algumas implementações exigem que toda a varredura
de perfil de segurança use apenas o modo de inspeção baseado em fluxo para o maior rendimento
possível. Você pode configurar a política de firewall para usar o modo baseado em fluxo (que é a
opção padrão para uma nova política) e vice-versa. Embora ambos os modos ofereçam segurança
significativa, o modo baseado em proxy é mais completo, enquanto o modo baseado em fluxo é
projetado para otimizar o desempenho.
Você pode selecionar o modo de inspeção em uma política de firewall. Alternar do modo baseado em
fluxo para o modo baseado em proxy não exigirá a remoção dos perfis de segurança selecionados na
política. No entanto, alternar do modo baseado em proxy para o modo baseado em fluxo removerá
todos os perfis de segurança configurados para usar o modo de inspeção baseado em proxy.

5-

Flow-based inspection mode examines the file as it passes through FortiGate, without any buffering.
As each packet arrives, it is processed and forwarded without waiting for the complete file or web
page. If you are familiar with the TCP flow analysis of Wireshark, then that is essentially what the flow
engine sees. Packets are analyzed and forwarded as they are received. Original traffic is not altered.
Therefore, advanced features that modify content, such as safe search enforcement, are not
supported.
The advantages of flow-based mode are:
⦁ The user sees a faster response time for HTTP requests compared to proxy based
⦁ There is less chance of a time-out error because of the server at the other end responding slowly
The disadvantages of flow-based mode are:
⦁ A number of security features that are available in proxy-based mode are not available in flow-based
mode
⦁ Fewer actions are available based on the categorization of the website by FortiGuard services
O modo de inspeção baseado em fluxo examina o arquivo conforme ele passa pelo FortiGate, sem
qualquer buffer. À medida que cada pacote chega, ele é processado e encaminhado sem esperar
pelo arquivo ou página da web completos. Se você estiver familiarizado com a análise de fluxo de
TCP do Wireshark, isso é essencialmente o que o mecanismo de fluxo vê. Os pacotes são
analisados e encaminhados à medida que são recebidos. O tráfego original não é alterado. Portanto,
os recursos avançados que modificam o conteúdo, como a aplicação de pesquisa segura, não são
suportados.
As vantagens do modo baseado em fluxo são:
⦁ O usuário vê um tempo de resposta mais rápido para solicitações HTTP em comparação com o proxy
baseado
⦁ Há menos chance de um erro de tempo limite porque o servidor na outra extremidade está respondendo
lentamente
As desvantagens do modo baseado em fluxo são:
⦁ Vários recursos de segurança que estão disponíveis no modo baseado em proxy não estão disponíveis no
modo baseado em fluxo
⦁ Menos ações estão disponíveis com base na categorização do site pelos serviços FortiGuard

6-

Proxy-based scanning refers to transparent proxy. It’s called transparent because, at the IP layer,
FortiGate is not the destination address, but FortiGate does intercept the traffic. When proxy-based
inspection is enabled, FortiGate buffers traffic and examines it as a whole, before determining an
action. Because FortiGate examines the data as a whole, it can examine more points of data than it
does when using flow-based.
In TCP connections, FortiGate’s proxy generates the SYN-ACK to the client, and completes the three-
way handshake with the client, before creating a second, new connection to the server. If the payload
is less than the oversize limit, the proxy buffers transmitted files or emails for inspection, before
continuing transmission. The proxy analyzes the headers and may change the headers, such as
HTTP host and URL, for web filtering. If a security profile decides to block the connection, the proxy
can send a replacement message to the client. This adds latency to the overall transmission speed.
Proxy-based inspection is more thorough than flow-based, yielding fewer false positives and negative
results.
A varredura baseada em proxy refere-se ao proxy transparente. É chamado de transparente porque,
na camada de IP, FortiGate não é o endereço de destino, mas FortiGate intercepta o tráfego. Quando
a inspeção baseada em proxy está habilitada, o FortiGate armazena o tráfego em buffer e o examina
como um todo, antes de determinar uma ação. Como o FortiGate examina os dados como um todo,
ele pode examinar mais pontos de dados do que quando usa o fluxo.
Em conexões TCP, o proxy do FortiGate gera o SYN-ACK para o cliente e completa o handshake de
três vias com o cliente, antes de criar uma segunda e nova conexão com o servidor. Se a carga útil
for menor que o limite de tamanho excessivo, o proxy armazena arquivos ou e-mails transmitidos
para inspeção, antes de continuar a transmissão. O proxy analisa os cabeçalhos e pode alterar os
cabeçalhos, como host HTTP e URL, para filtragem da web. Se um perfil de segurança decidir
bloquear a conexão, o proxy pode enviar uma mensagem de substituição ao cliente. Isso adiciona
latência à velocidade geral de transmissão.
A inspeção baseada em proxy é mais completa do que a baseada em fluxo, produzindo menos falsos
positivos e resultados negativos.
7-

FortiGate web filters are also security profiles. The security profiles are customizable, according to the
selected inspection mode. So, the first step, before setting up a web filter, is to configure the
inspection mode.
The protocol options profile determines the protocols your security profiles use, for example, to
inspect web or DNS traffic.
Note that HTTPS inspection port numbers, and other settings related to the handling of SSL, are
defined separately in the SSL/SSH inspection profile.
Os filtros da web FortiGate também são perfis de segurança. Os perfis de segurança são
personalizáveis, de acordo com o modo de inspeção selecionado. Portanto, a primeira etapa, antes
de configurar um filtro da web, é configurar o modo de inspeção.
O perfil de opções de protocolo determina os protocolos que seus perfis de segurança usam, por
exemplo, para inspecionar o tráfego da web ou DNS.
Observe que os números da porta de inspeção HTTPS e outras configurações relacionadas ao
manuseio de SSL são definidos separadamente no perfil de inspeção SSL / SSH.

8-
FortiGate, or the individual VDOM, has two next-generation firewall (NGFW) modes available:
⦁ Profile-based mode: Requires administrators to create and use application control and web filter profiles
and apply them to a firewall policy. Profile-based mode is applicable to use flow-based or proxy-based
inspection mode as per the policy.
⦁ Policy-based mode: Administrators can apply application control and web filter configuration directly
to a security policy. Flow-based inspection mode is the only applicable process available in policy-based
NGFW mode.
Antivirus scanning is available as a security profile that you can apply in a profile-based NGFW mode
firewall policy or policy-based NGFW mode security policy.
You can change NGFW mode in the system settings of FortiGate or the individual VDOM. Note that
the change will require you to remove all existing policies in either mode.
FortiGate, ou o VDOM individual, tem dois modos de firewall de próxima geração (NGFW)
disponíveis:
⦁ Modo baseado em perfil: requer que os administradores criem e usem o controle de aplicativos e perfis de
filtro da web e os apliquem a uma política de firewall. O modo baseado em perfil é aplicável para usar o
modo de inspeção baseado em fluxo ou proxy de acordo com a política.
⦁ Modo baseado em política: Os administradores podem aplicar controle de aplicativo e configuração de
filtro da web diretamente a uma política de segurança. O modo de inspeção baseado em fluxo é o único
processo aplicável disponível no modo NGFW baseado em política.
A varredura antivírus está disponível como um perfil de segurança que pode ser aplicado a uma
política de firewall do modo NGFW baseada em perfil ou à política de segurança do modo NGFW
baseada em política.
Você pode alterar o modo NGFW nas configurações do sistema do FortiGate ou no VDOM individual.
Observe que a mudança exigirá que você remova todas as políticas existentes em qualquer um dos
modos.

9-
If you configured FortiGate to use NGFW policy-based mode or created a VDOM specifically to
provide NGFW policy-based mode, you must configure a few policies to allow traffic.
SSL Inspection & Authentication (consolidated) policy: This allows traffic from a specific user or user
group to match the criteria specified within the consolidated policy and inspect SSL traffic using the
SSL inspection profile selected. FortiGate can either accept or deny the traffic.
Security policy: If the traffic is allowed as per the consolidated policy, FortiGate will then process it
based on the security policy to analyze additional criteria, such as URL categories for web filtering
and application control. Also, if enabled, the security policy further inspects traffic using security
profiles such as IPS and AV.
Se você configurou o FortiGate para usar o modo baseado em política NGFW ou criou um VDOM
especificamente para fornecer o modo baseado em política NGFW, você deve configurar algumas
políticas para permitir o tráfego.
Política de inspeção e autenticação SSL (consolidada): permite que o tráfego de um usuário ou grupo
de usuários específico corresponda aos critérios especificados na política consolidada e inspecione o
tráfego SSL usando o perfil de inspeção SSL selecionado. O FortiGate pode aceitar ou negar o
tráfego.
Política de segurança: Se o tráfego for permitido de acordo com a política consolidada, o FortiGate
irá processá-lo com base na política de segurança para analisar critérios adicionais, como categorias
de URL para filtragem da web e controle de aplicativos. Além disso, se ativada, a política de
segurança inspeciona ainda mais o tráfego usando perfis de segurança como IPS e AV.

15-
Web filtering helps to control, or track, the websites that people visit. There are many reasons why
network administrators apply web filtering, including to:
⦁ Preserve employee productivity
⦁ Prevent network congestion, where valuable bandwidth is used for non-business purposes
⦁ Prevent loss or exposure of confidential information
⦁ Decrease exposure to web-based threats
⦁ Limit legal liability when employees access or download inappropriate or offensive material
⦁ Prevent copyright infringement caused by employees downloading or distributing copyrighted
materials
⦁ Prevent children from viewing inappropriate material
A filtragem da Web ajuda a controlar ou rastrear os sites que as pessoas visitam. Existem muitos
motivos pelos quais os administradores de rede aplicam a filtragem da web, incluindo:
⦁ Preserve a produtividade dos funcionários
⦁ Previna o congestionamento da rede, onde valiosa largura de banda é usada para fins não comerciais
⦁ Evite a perda ou exposição de informações confidenciais
⦁ Diminuir a exposição a ameaças baseadas na web
⦁ Limitar a responsabilidade legal quando os funcionários acessam ou baixam material impróprio ou
ofensivo
⦁ Impedir a violação de direitos autorais causada por funcionários que baixam ou distribuem materiais
protegidos por direitos autorais
⦁ Impedir que crianças vejam material impróprio

16-
The example on this slide shows the flow of an HTTP filter process.
FortiGate looks for the HTTP GET request to collect URL information and perform web-filtering.
So, as shown, in HTTP the domain name and URL are separate pieces. The domain name might look
like this in the header: Host: www.acme.com, and the URL might look like this in the header:
/index.php?login=true.
If we filter by domain, sometimes it blocks too much. For example, the blogs on tumblr.com are
considered different content, because of all the different authors. In that case, you can be more
specific, and block by the URL part, tumblr.com/hacking, for example.
O exemplo neste slide mostra o fluxo de um processo de filtro HTTP.
O FortiGate procura a solicitação HTTP GET para coletar informações de URL e realizar a filtragem
da web.
Portanto, como mostrado, em HTTP o nome de domínio e a URL são peças separadas. O nome do
domínio pode ser assim no cabeçalho: Host: www.acme.com, e o URL pode ser assim no cabeçalho:
/index.php?login=true.
Se filtrarmos por domínio, às vezes bloqueia muito. Por exemplo, os blogs em tumblr.com são
considerados conteúdos diferentes, por causa de todos os autores diferentes. Nesse caso, você pode
ser mais específico e bloquear pela parte da URL, tumblr.com/hacking, por exemplo.

17-
Now, you will look at the web filter profile.
This security profile can be configured to use a feature set for proxy-based or flow-based inspection
modes. However, depending on the mode you select, the available settings are different. The flow-
based inspection has fewer available options.
In the examples shown on this slide, the web filter profile has a FortiGuard category-based filter that
categorizes the websites based on categories and sub-categories by FortiGuard. Also, in a flow-
based inspection firewall and security policy, FortiGate offers two additional NGFW options:
⦁ Profile-Based (default)
⦁ Web filters are defined as security profiles and applied to the firewall policy
⦁ Policy-Based
⦁ URL categories are defined directly under the firewall policy Other profile-based options include:
⦁ File Filter
⦁ Search Engines
⦁ Static URL Filter
⦁ Rating Options
⦁ Proxy Options
Agora, você verá o perfil do filtro da web.
Este perfil de segurança pode ser configurado para usar um conjunto de recursos para modos de
inspeção baseados em proxy ou fluxo. No entanto, dependendo do modo selecionado, as
configurações disponíveis são diferentes. A inspeção baseada em fluxo tem menos opções
disponíveis.
Nos exemplos mostrados neste slide, o perfil de filtro da web tem um filtro baseado em categoria
FortiGuard que categoriza os sites com base em categorias e subcategorias do FortiGuard. Além
disso, em um firewall de inspeção baseado em fluxo e política de segurança, o FortiGate oferece
duas opções adicionais de NGFW:
⦁ Baseado em Perfil (padrão)
⦁ Os filtros da web são definidos como perfis de segurança e aplicados à política de firewall
⦁ Baseado em políticas
⦁ As categorias de URL são definidas diretamente na política de firewall. Outras opções baseadas em perfil
incluem:
⦁ Filtro de arquivo
⦁ Mecanismos de pesquisa
⦁ Filtro de URL estático
⦁ Opções de classificação
⦁ Opções de proxy

18-

In this example shown on this slide, the security profile is configured to use a proxy-based feature set.
The profile is available to a firewall policy configured to use proxy-based inspection mode. Other local
options include:
⦁ File Filter
⦁ Search Engines
⦁ Static URL Filter
⦁ Proxy Options
Once you have configured your web filter profile, apply this profile to your firewall policy so the filtering
is applied to your web traffic.
Neste exemplo mostrado neste slide, o perfil de segurança é configurado para usar um conjunto de
recursos baseado em proxy. O perfil está disponível para uma política de firewall configurada para
usar o modo de inspeção baseado em proxy. Outras opções locais incluem:
⦁ Filtro de arquivo
⦁ Mecanismos de pesquisa
⦁ Filtro de URL estático
⦁ Opções de proxy
Depois de configurar seu perfil de filtro da web, aplique esse perfil à sua política de firewall para que
a filtragem seja aplicada ao tráfego da web.

19-
Rather than block or allow websites individually, FortiGuard category filtering looks at the category
that a website has been rated with. Then, FortiGate takes action based on that category, not based on
the URL.
FortiGuard category filtering is a live service that requires an active contract. The contract validates
connections to the FortiGuard network. If the contract expires, there is a two-day grace period during
which you can renew the contract before the service cuts off. If you do not renew, after the two-day
grace period, FortiGate will report a rating error for every rating request made. In addition, by default,
FortiGate blocks web pages that return a rating error. You can change this behavior by enabling Allow
websites when a rating error occurs setting. You will learn more about this setting in this lesson.
FortiManager can be configured to act as a local FortiGuard server. To do this, you must download
the databases to FortiManager, and configure FortiGate to validate the categories against
FortiManager, instead of FortiGuard.
Em vez de bloquear ou permitir sites individualmente, a filtragem de categorias do FortiGuard analisa
a categoria com a qual um site foi classificado. Então, o FortiGate age com base nessa categoria,
não com base no URL.
A filtragem de categoria FortiGuard é um serviço ao vivo que requer um contrato ativo. O contrato
valida as conexões com a rede FortiGuard. Se o contrato expirar, haverá um período de carência de
dois dias durante o qual você poderá renovar o contrato antes que o serviço seja encerrado. Se você
não renovar, após o período de carência de dois dias, o FortiGate relatará um erro de classificação
para cada solicitação de classificação feita. Além disso, por padrão, o FortiGate bloqueia páginas da
web que retornam um erro de classificação. Você pode alterar esse comportamento ativando a
configuração Permitir sites quando ocorrer um erro de classificação. Você aprenderá mais sobre essa
configuração nesta lição.
O FortiManager pode ser configurado para atuar como um servidor FortiGuard local. Para fazer isso,
você deve baixar os bancos de dados para o FortiManager e configurar o FortiGate para validar as
categorias no FortiManager, ao invés do FortiGuard.

20-
Website categories are determined by both automatic and human methods. The FortiGuard team has
automatic web crawlers that look at various aspects of the website in order to come up with a rating.
There are also people who examine websites and look into rating requests to determine categories.
To review the complete list of categories and subcategories, go to www.fortiguard.com.
As categorias do site são determinadas por métodos automáticos e humanos. A equipe do
FortiGuard possui rastreadores de web automáticos que analisam vários aspectos do site para obter
uma classificação. Também há pessoas que examinam sites e analisam as solicitações de
classificação para determinar as categorias.
Para revisar a lista completa de categorias e subcategorias, vá para www.fortiguard.com.

21-

So, how does it work?

FortiGate queries the FDN—or FortiManager, if it has been configured to act as a local FortiGuard
server—to determine the category of a requested webpage.
When users visit websites, FortiGate uses the FortiGuard live service to determine the category that
the URL belongs to and take a configured action for that category, such as allow or block access.
Using this feature, you can perform bulk URL filtering, without individually defining each website.
You can enable the FortiGuard category filtering on the web filter, or DNS filter profiles. Categories
and subcategories are listed, and the actions to perform can be individually customized.
The actions available will depend on the mode of inspection:
⦁ Proxy: Allow, Block, Monitor, Warning, and Authenticate.
⦁ Flow-based, profile-based: Allow, Block, Monitor, Warning, and Authenticate.
⦁ Flow-based, policy-based: Action defined in a security policy.
Então, como isso funciona?
O FortiGate consulta o FDN - ou FortiManager, se foi configurado para atuar como um servidor
FortiGuard local - para determinar a categoria de uma página da web solicitada.
Quando os usuários visitam sites, o FortiGate usa o serviço FortiGuard Live para determinar a
categoria à qual o URL pertence e realizar uma ação configurada para essa categoria, como permitir
ou bloquear o acesso. Usando esse recurso, você pode realizar a filtragem de URL em massa, sem
definir individualmente cada site.
Você pode habilitar a filtragem de categorias FortiGuard no filtro da web ou perfis de filtro DNS.
Categorias e subcategorias são listadas e as ações a serem executadas podem ser personalizadas
individualmente.
As ações disponíveis dependerão do modo de inspeção:
⦁ Proxy: permitir, bloquear, monitorar, advertir e autenticar.
⦁ Baseado em fluxo, baseado em perfil: Permitir, Bloquear, Monitorar, Advertir e Autenticar.
⦁ Baseado em fluxo, baseado em política: Ação definida em uma política de segurança.

22-

The warning action informs users that the requested website is not allowed by the internet policies.
However, the action does give the user the option to proceed to the requested website or return to the
previous website.
The warning interval can be customized, so you can present this warning page at specific times,
according to the configured period.
A ação de aviso informa aos usuários que o site solicitado não é permitido pelas políticas de Internet.
No entanto, a ação dá ao usuário a opção de prosseguir para o site solicitado ou retornar ao site
anterior.
O intervalo de aviso pode ser personalizado, para que você possa apresentar esta página de aviso
em horários específicos, de acordo com o período configurado.

23-
The authenticate action blocks the requested websites, unless the user enters a successful username
and password.
You can customize the interval of time to allow access. Users are not prompted to authenticate again
if they access other websites in the same category, until the timer expires.
Choosing this action will prompt you to define user groups that will be allowed to override the block.
A ação de autenticação bloqueia os sites solicitados, a menos que o usuário insira um nome de
usuário e uma senha com sucesso.
Você pode personalizar o intervalo de tempo para permitir o acesso. Os usuários não são solicitados
a se autenticar novamente se acessarem outros sites da mesma categoria, até que o tempo expire.
A escolha desta ação solicitará que você defina os grupos de usuários que terão permissão para
substituir o bloqueio.

24-

The threat feeds feature enables FortiGate to dynamically import external block lists from an HTTP
server. You can use the block lists to enforce special security requirements specified by your
organization. These requirements can include long-term policies to always block access to specific
websites, or short-term requirements to block access to known compromised locations. These block
lists are text files that are in plain text format, where each line contains a single URL to be blocked.
Because the lists are dynamically imported, any changes made to the list are instantly imported by
FortiOS using the Security Fabric feature.
FortiGuard Category: This resource name will appear as a “Remote Category” in web filter profiles
and SSL inspection exemptions.
Firewall IP Address: This resource name will appear as an “External IP Block List” in DNS filter
profiles and as a “Source/Destination” in IPv4 policy, IPv6, and Proxy policy.
Domain Name: This resource name will appear as a “Remote Category” in DNS filter profiles.
Refresh Rate: Using this setting, you can specify how often, in minutes, block lists can be refreshed
from the external source.
The size of the block list file can be 10 MB or 128,000 lines of text, whichever is most restrictive. Note
that the DNS profile supports only IPv4 addresses and will ignore IPv6 addresses.
O recurso de feeds de ameaças permite ao FortiGate importar dinamicamente listas de bloqueio
externas de um servidor HTTP. Você pode usar as listas de bloqueio para impor requisitos de
segurança especiais especificados por sua organização. Esses requisitos podem incluir políticas de
longo prazo para sempre bloquear o acesso a sites específicos ou requisitos de curto prazo para
bloquear o acesso a locais comprometidos conhecidos. Essas listas de bloqueio são arquivos de
texto que estão em formato de texto simples, em que cada linha contém um único URL a ser
bloqueado.
Como as listas são importadas dinamicamente, todas as alterações feitas na lista são importadas
instantaneamente pelo FortiOS usando o recurso Security Fabric.
Categoria FortiGuard: este nome de recurso aparecerá como uma “Categoria Remota” em perfis de
filtro da web e isenções de inspeção SSL.
Endereço IP do firewall: este nome de recurso aparecerá como uma “Lista de IPs bloqueados
externos” nos perfis de filtro DNS e como uma “Origem / Destino” na política IPv4, IPv6 e política de
proxy.
Nome de domínio: este nome de recurso aparecerá como uma “Categoria remota” nos perfis de filtro
DNS.
Taxa de atualização: usando esta configuração, você pode especificar com que frequência, em
minutos, as listas de bloqueio podem ser atualizadas da fonte externa.
O tamanho do arquivo da lista de bloqueios pode ser de 10 MB ou 128.000 linhas de texto, o que for
mais restritivo. Observe que o perfil DNS oferece suporte apenas a endereços IPv4 e irá ignorar os
endereços IPv6.

25-
Dynamic block lists can be added to:
⦁ Web filter profiles and SSL inspection exemptions
⦁ DNS filter profiles and source/destination addresses in firewall policies

Listas de bloqueio dinâmicas podem ser adicionadas a:

⦁ Perfis de filtro da Web e isenções de inspeção SSL
⦁ Perfis de filtro DNS e endereços de origem / destino nas políticas de firewall

26-

When using FortiGuard category filtering to allow or block access to a website, one option is to make
a web rating override and define the website in a different category. Web ratings are only for host
names—no URLs or wildcard characters are allowed.
If the contract expires, and the two-day grace period passes, web rating overrides will be not be
effective. All website category rating requests will be returned with a rating error.
Ao usar a filtragem de categoria do FortiGuard para permitir ou bloquear o acesso a um site, uma
opção é substituir a classificação da web e definir o site em uma categoria diferente. As
classificações da Web são apenas para nomes de host - nenhum URL ou caractere curinga são
permitidos.
Se o contrato expirar e o período de carência de dois dias passar, as substituições de classificação
da web não terão efeito. Todas as solicitações de classificação de categoria de site serão retornadas
com um erro de classificação.

27-

If you want to make an exception, for example, rather than unblock access to a potentially unwanted
category, just change the website to an allowed category. The reverse can also be performed, you
can block a website that belongs to an allowed category.
Remember that changing categories does not automatically result in a different action for the website.
This will depend on the settings within the web filter profile.
Se você quiser fazer uma exceção, por exemplo, em vez de desbloquear o acesso a uma categoria
potencialmente indesejada, basta alterar o site para uma categoria permitida. O inverso também
pode ser feito, você pode bloquear um site que pertença a uma categoria permitida.
Lembre-se de que a mudança de categorias não resulta automaticamente em uma ação diferente
para o site. Isso dependerá das configurações no perfil de filtro da web.

28-
If the predefined categories in FortiGuard are not suitable for the situation, you can add additional
custom categories.
You can add and delete custom categories as needed, as long as they are not in use.
Se as categorias predefinidas no FortiGuard não forem adequadas para a situação, você pode
adicionar outras categorias personalizadas.
Você pode adicionar e excluir categorias personalizadas conforme necessário, desde que não
estejam em uso.

29-

Static URL filtering is another web filter feature. Configured URLs in the URL filter are checked
against the visited websites. If a match is found, the configured action is taken. URL filtering has the
same patterns as static domain filtering: simple, wildcard, and regular expressions.
Let’s look at how it works.
When a user visits a website, FortiGate looks at the URL list for a matching entry. In this example, the
website matches the third entry in the table, which is set as type Simple. This type means that the
match must be exact—there is no option for a partial match with this pattern. Also, the action is set to
Block, thus FortiGate will display a block page message.
A filtragem de URL estática é outro recurso de filtro da web. Os URLs configurados no filtro de URL
são verificados em relação aos sites visitados. Se uma correspondência for encontrada, a ação
configurada é executada. A filtragem de URL tem os mesmos padrões da filtragem de domínio
estático: expressões simples, curinga e regulares.
Vamos ver como funciona.
Quando um usuário visita um site, o FortiGate procura na lista de URLs uma entrada correspondente.
Neste exemplo, o site corresponde à terceira entrada na tabela, que é definida como tipo Simples.
Esse tipo significa que a correspondência deve ser exata - não há opção para uma correspondência
parcial com esse padrão. Além disso, a ação é definida como Bloquear, portanto, o FortiGate exibirá
uma mensagem de página de bloqueio.

30-

There is always the possibility for errors in ratings, or a scenario where you simply do not agree with
the rating given. In that case, you can use the web portal to contact the FortiGuard team to submit a
website for a new rating, or get it rated if it is not already in the database.
Sempre existe a possibilidade de erros nas classificações ou um cenário em que você simplesmente
não concorda com a classificação fornecida. Nesse caso, você pode usar o portal da web para entrar
em contato com a equipe FortiGuard e enviar um site para uma nova classificação, ou classificá-lo se
ainda não estiver no banco de dados.

35-
FortiGate also includes a feature to customize the quotas of time to access the categories that are set
to monitor, warning, or authenticate in the web filter profile.
You can customize multiple quotas (timers). Each quota can be applied to either a single category or
multiple categories. If the quota applies to multiple categories, the timer is shared among all the
categories instead of having a single timer for each individual category.
If the authentication action is not enabled, FortiGate automatically assigns quotas for each source IP,
as the monitor feature shows.
Now, let’s take a look at how quotas work.
O FortiGate também inclui um recurso para personalizar as cotas de tempo para acessar as
categorias que são definidas para monitorar, alertar ou autenticar no perfil do filtro da web.
Você pode personalizar várias cotas (temporizadores). Cada cota pode ser aplicada a uma única
categoria ou a várias categorias. Se a cota se aplica a várias categorias, o cronômetro é
compartilhado entre todas as categorias, em vez de ter um único cronômetro para cada categoria
individual.
Se a ação de autenticação não estiver habilitada, o FortiGate atribui cotas automaticamente para
cada IP de origem, como mostra o recurso de monitor.
Agora, vamos dar uma olhada em como as cotas funcionam.

36-
As shown on this slide, the FortiGuard quota limits the time users spend on websites, based on
category. You can also set a quota, on the amount of traffic that can be allowed to a particular
category.
A quota cannot redirect the user once the website is loaded in their browser. For example, if the user
has 45 seconds left in their quota, and they access a website from the specified category, the
selected website will likely finish loading before the remaining 45 seconds are up. Then, the user can
stay on that website, and that website won’t be blocked until the browser is refreshed. This scenario
occurs because the connection to the website is not, generally, a live stream. Once you receive the
information, the connection is closed.
Note that the quota is reset every 24 hours at midnight.
Conforme mostrado neste slide, a cota FortiGuard limita o tempo que os usuários passam em sites,
com base na categoria. Você também pode definir uma cota, na quantidade de tráfego que pode ser
permitida para uma determinada categoria.
Uma cota não pode redirecionar o usuário depois que o site é carregado em seu navegador. Por
exemplo, se o usuário tiver 45 segundos restantes em sua cota e acessar um site da categoria
especificada, o site selecionado provavelmente terminará de carregar antes que os 45 segundos
restantes terminem. Então, o usuário pode permanecer no site, e esse site não será bloqueado até
que o navegador seja atualizado. Este cenário ocorre porque a conexão com o site não é,
geralmente, uma transmissão ao vivo. Depois de receber as informações, a conexão é encerrada.
Observe que a cota é redefinida a cada 24 horas à meia-noite.

37-
Some FortiGate features can’t provide direct feedback to users. For example, FortiGuard quota
doesn’t provide any feedback until users exceed the quota and refresh the browser, unless the
Fortinet bar is enabled.
The Fortinet bar injects a Java applet that communicates with FortiGate and gets additional
information from features that would otherwise provide no direct feedback.
The Fortinet bar provides a countdown for FortiGuard quotas. Other features that can’t block pages
(for example, application control) will show block events in the top bar.
It is important to note that the Fortinet bar can be configured for proxy-based inspection mode, and is
only supported for sites using HTTP (not HTTPS).
Alguns recursos do FortiGate não podem fornecer feedback direto aos usuários. Por exemplo, a cota
FortiGuard não fornece nenhum feedback até que os usuários excedam a cota e atualizem o
navegador, a menos que a barra Fortinet esteja habilitada.
A barra Fortinet injeta um miniaplicativo Java que se comunica com o FortiGate e obtém informações
adicionais de recursos que, de outra forma, não forneceriam feedback direto.
A barra Fortinet fornece uma contagem regressiva para cotas FortiGuard. Outros recursos que não
podem bloquear páginas (por exemplo, controle de aplicativos) mostrarão eventos de bloqueio na
barra superior.
É importante observar que a barra Fortinet pode ser configurada para o modo de inspeção baseado
em proxy e só é compatível com sites que usam HTTP (não HTTPS).

38-
The web filter security profile can provide file filtering when enabled onto proxy-based inspection
mode firewall policies. It inspects files traversing over HTTP and FTP protocols.
You can select supported file types, such as compressed files and javascript content, when creating a
new file filter rule. The rule can also specify whether to log or block files entering or leaving the
network, or both.
O perfil de segurança do filtro da web pode fornecer filtragem de arquivo quando habilitado nas
políticas de firewall do modo de inspeção baseado em proxy. Ele inspeciona arquivos que passam
por protocolos HTTP e FTP.
Você pode selecionar os tipos de arquivo suportados, como arquivos compactados e conteúdo
javascript, ao criar uma nova regra de filtro de arquivo. A regra também pode especificar se deve
registrar ou bloquear arquivos que entram ou saem da rede, ou ambos.

39-

You can also override the filter profile. Web profile overrides change the rules that are used to inspect
traffic. Overrides authorize specified users, user groups, or predefined source IPs, to use a different
web filter profile to inspect their traffic.
In the example shown on this slide, the new profile applied to the user student, inspects all of that
user’s web traffic from the time that the new profile is applied, until the timer expires. To use this
override, you need to enable an override authentication. When you enable the web profile override,
the FortiGuard block page shows a link that you can select to activate the override.
Você também pode substituir o perfil do filtro. As substituições de perfil da Web alteram as regras
usadas para inspecionar o tráfego. As substituições autorizam usuários especificados, grupos de
usuários ou IPs de origem predefinidos a usar um perfil de filtro da web diferente para inspecionar
seu tráfego.
No exemplo mostrado neste slide, o novo perfil aplicado ao aluno usuário inspeciona todo o tráfego
da web desse usuário desde o momento em que o novo perfil é aplicado até o tempo expirar. Para
usar esta substituição, você precisa habilitar uma autenticação de substituição. Quando você ativa a
substituição de perfil da web, a página de bloqueio do FortiGuard mostra um link que você pode
selecionar para ativar a substituição.

40-

Search engine filtering provides two important features: safe search and restrict YouTube access.
⦁ Safe search is an option that some browsers support. It applies internal filters to the search results. When
you enable safe search for the supported search sites, FortiGate appends code to the URL to enforce the use
of safe search. For example, on a Google search, FortiGate adds the string &safe=active to the URL in the
search. So, even if it is not locally enabled in the browser, FortiGate will apply safe search to the requests
when they pass through. Safe search is supported for Google, Yahoo, Bing, and Yandex.
⦁ When inspection mode is set to proxy-based, you can set Strict or Moderate access to YouTube in a
web filter profile. For more information about strict and moderate access control, go to
support.google.com.
⦁ Only supported when using full SSL inspection because FortiGate requires access to the full header.
A filtragem do mecanismo de pesquisa oferece dois recursos importantes: pesquisa segura e acesso
restrito ao YouTube.
⦁ A pesquisa segura é uma opção compatível com alguns navegadores. Ele aplica filtros internos aos
resultados da pesquisa. Quando você habilita a busca segura para os sites de busca suportados, o FortiGate
anexa o código ao URL para impor o uso da busca segura. Por exemplo, em uma pesquisa do Google,
FortiGate adiciona a string & safe = active ao URL na pesquisa. Portanto, mesmo que não esteja habilitado
localmente no navegador, o FortiGate aplicará a pesquisa segura às solicitações quando elas passarem. A
pesquisa segura é compatível com Google, Yahoo, Bing e Yandex.
⦁ Quando o modo de inspeção é definido como baseado em proxy, você pode definir o acesso restrito ou
moderado ao YouTube em um perfil de filtro da web. Para obter mais informações sobre controle de acesso
restrito e moderado, acesse support.google.com.
⦁ Suportado apenas ao usar a inspeção SSL completa porque o FortiGate requer acesso ao cabeçalho
completo.

41-

You can also control web content in the web filter profile by blocking access to websites containing
specific words or patterns. This helps to prevent access to sites with questionable material.
You can add words, phrases, patterns, wildcards, and Perl regular expressions to match content on
websites. You configure this feature on a per-web-filter-profile basis, not at the global level. So, it is
possible to add multiple web content filter lists and then select the best list for each web filter profile.
The system administrator can specify banned words and phrases and attach a numerical value, or
score, to the importance of those words and phrases. When the web content filter scan detects
banned content, it adds the scores of banned words and phrases in the page. If the sum is higher
than the threshold set in the web filter profile, FortiGate blocks the site.
The maximum number of web content patterns in a list is 5000.
Like search engine filtering, web content filtering requires that FortiGate is using deep SSL inspection
because FortiGate will require full access to the packet headers.
Você também pode controlar o conteúdo da web no perfil de filtro da web, bloqueando o acesso a
sites que contenham palavras ou padrões específicos. Isso ajuda a evitar o acesso a sites com
material questionável.
Você pode adicionar palavras, frases, padrões, curingas e expressões regulares Perl para
corresponder ao conteúdo em sites. Você configura esse recurso com base no perfil de filtro da web,
não no nível global. Assim, é possível adicionar várias listas de filtros de conteúdo da web e, a seguir,
selecionar a melhor lista para cada perfil de filtro da web.
O administrador do sistema pode especificar palavras e frases proibidas e anexar um valor numérico,
ou pontuação, à importância dessas palavras e frases. Quando a verificação do filtro de conteúdo da
web detecta conteúdo banido, ela adiciona as pontuações de palavras e frases proibidas na página.
Se a soma for superior ao limite definido no perfil do filtro da web, o FortiGate bloqueia o site.
O número máximo de padrões de conteúdo da web em uma lista é 5000.
Como a filtragem de mecanismo de pesquisa, a filtragem de conteúdo da web requer que o FortiGate
esteja usando inspeção SSL profunda porque o FortiGate exigirá acesso total aos cabeçalhos dos
pacotes.

42-

You can use advanced web filtering settings to improve the web filter. The rating options are as
follows:
⦁ If a rating error occurs from the FortiGuard web filter service, users will have full unfiltered access to all
websites.
⦁ Rate URLs by domain and IP address. This option sends both the URL and the IP address of the
requested site for checking, providing additional security against attempts to bypass the FortiGuard system.
⦁ Rate images by URL. This option replaces blocked images with blanks, even if they are part of a
website in an allowed category.
Você pode usar configurações avançadas de filtragem da web para melhorar o filtro da web. As
opções de classificação são as seguintes:
⦁ Se ocorrer um erro de classificação do serviço de filtro da web FortiGuard, os usuários terão acesso total e
não filtrado a todos os sites.
⦁ Classifique os URLs por domínio e endereço IP. Esta opção envia a URL e o endereço IP do site
solicitado para verificação, fornecendo segurança adicional contra tentativas de contornar o sistema
FortiGuard.
⦁ Avalie as imagens por URL. Esta opção substitui as imagens bloqueadas por espaços em branco, mesmo
que façam parte de um site em uma categoria permitida.

43-
If the web filter profile is configured to use a proxy-based feature set, the advanced proxy option
settings for web filtering are as follows:
⦁ Block access to some Google accounts and services. You can include an exception list.
⦁ FortiGate is now able to block access to specific YouTube channels based on Channel IDs.
⦁ HTTP POST is the command used by your browser when you send information, so you can limit the
information and files to websites. The Allow option prevents a server timeout when scanning, or when
other filtering processes are performed for outgoing traffic.
⦁ Filter Cookies, Java Applets, and ActiveX scripts from web traffic.
Se o perfil de filtro da web estiver configurado para usar um conjunto de recursos baseado em proxy,
as configurações de opção de proxy avançadas para a filtragem da web são as seguintes:
⦁ Bloqueie o acesso a algumas contas e serviços do Google. Você pode incluir uma lista de exceções.
⦁ FortiGate agora é capaz de bloquear o acesso a canais específicos do YouTube com base em IDs de canal.
⦁ HTTP POST é o comando usado pelo seu navegador ao enviar informações, para que você possa limitar
as informações e os arquivos a sites. A opção Permitir impede o tempo limite do servidor durante a
verificação ou quando outros processos de filtragem são executados para o tráfego de saída.
⦁ Filtrar cookies, miniaplicativos Java e scripts ActiveX do tráfego da web.

48-
You can also inspect DNS traffic using the DNS filter security profile.
Rather than looking at the HTTP protocol, this option filters the DNS request that occurs prior to an
HTTP GET request. This has the advantage of being very lightweight, but at a cost, because it lacks
the precision of HTTP filtering.
Every protocol will generate DNS requests in order to resolve a host name; therefore, this kind of
filtering will impact all of the higher level protocols that depend on DNS, not just web traffic. For
example, it could apply FortiGuard categories to DNS requests for FTP servers. Very few web filtering
features are possible beyond host name filtering because of the amount of data available at the point
of inspection.
Você também pode inspecionar o tráfego DNS usando o perfil de segurança do filtro DNS.
Em vez de examinar o protocolo HTTP, essa opção filtra a solicitação DNS que ocorre antes de uma
solicitação HTTP GET. Isso tem a vantagem de ser muito leve, mas tem um custo, pois não tem a
precisão da filtragem HTTP.
Cada protocolo irá gerar solicitações de DNS para resolver um nome de host; portanto, esse tipo de
filtragem afetará todos os protocolos de nível superior que dependem do DNS, não apenas o tráfego
da web. Por exemplo, ele poderia aplicar as categorias FortiGuard a solicitações DNS para
servidores FTP. Muito poucos recursos de filtragem da web são possíveis além da filtragem de nome
de host, devido à quantidade de dados disponíveis no ponto de inspeção.

49-
This example illustrates filtering at the DNS lookup process.
DNS filtering looks at the nameserver response, which typically occurs when you connect to a
website.

As discussed previously, in HTTP, the domain name and URL are separate pieces. The domain name
might look like this in the header: Host: www.acme.com, and the URL might look like this in the
header:
/index.php?login=true.
When a device initiates a DNS lookup, it sends the FQDN information in the initial request. The DNS
lookup occurs before the HTTP request can be sent.
When FortiGate receives the DNS request from the client, it sends a simultaneous request to the
FortiGuard SDNS servers. With FortiGuard SDNS service, there are two possible results:
⦁ Category is allowed: The original DNS response is passed and the remainder of the connection flow
continues normally through to the HTTP 200 response. At this point, other web filters might be applied.
⦁ Category is blocked: FortiGate overrides the site’s IP address with the FortiGuard override address and
presents a DNS error to the client.
As a result, if you are using DNS filter, and the domain is being blocked, the connection will be
blocked before the HTTP request is even sent.
Este exemplo ilustra a filtragem no processo de pesquisa DNS.
A filtragem de DNS analisa a resposta do servidor de nomes, que geralmente ocorre quando você se
conecta a um site.
Conforme discutido anteriormente, em HTTP, o nome de domínio e a URL são peças separadas. O
nome do domínio pode ser assim no cabeçalho: Host: www.acme.com, e o URL pode ser assim no
cabeçalho: /index.php?login=true.
Quando um dispositivo inicia uma pesquisa DNS, ele envia as informações de FQDN na solicitação
inicial. A consulta DNS ocorre antes que a solicitação HTTP possa ser enviada.
Quando o FortiGate recebe a requisição DNS do cliente, ele envia uma requisição simultânea aos
servidores FortiGuard SDNS. Com o serviço FortiGuard SDNS, existem dois resultados possíveis:
⦁ A categoria é permitida: a resposta DNS original é aprovada e o restante do fluxo de conexão continua
normalmente até a resposta HTTP 200. Nesse ponto, outros filtros da web podem ser aplicados.
⦁ A categoria está bloqueada: FortiGate substitui o endereço IP do site com o endereço de substituição
FortiGuard e apresenta um erro de DNS para o cliente.
Como resultado, se você estiver usando o filtro DNS e o domínio estiver sendo bloqueado, a conexão
será bloqueada antes mesmo que a solicitação HTTP seja enviada.

50-

Here’s a look at the DNS filter profile.

The DNS filter includes various configuration settings. You can enable or disable the FortiGuard
category- based filter and the static domain filter. You also have the option to:
⦁ Redirect botnet command and control requests to block portal
⦁ Allow DNS requests when a rating error occurs from the FortiGuard web filter service
⦁ Redirect blocked requests to a specific portal (the Use FortiGuard Default setting is recommended)
Using DNS Translation feature, you can translate a DNS resolved IP address to another IP address
you specify on a per-policy basis.
Once you have enabled and saved the settings you require, remember to apply this profile to your
firewall policy to activate the options. Any traffic being examined by the policy will have those
operations applied to it.
Aqui está uma olhada no perfil do filtro DNS.
O filtro DNS inclui várias configurações. Você pode habilitar ou desabilitar o filtro baseado em
categoria FortiGuard e o filtro de domínio estático. Você também tem a opção de:
⦁ Redirecionar o comando do botnet e as solicitações de controle para bloquear o portal
⦁ Permitir solicitações de DNS quando ocorrer um erro de classificação do serviço de filtro da web
FortiGuard
⦁ Redirecionar solicitações bloqueadas para um portal específico (a configuração Usar FortiGuard Padrão é
recomendada)
Usando o recurso de tradução de DNS, você pode converter um endereço IP resolvido de DNS para
outro endereço IP especificado por política.
Depois de habilitar e salvar as configurações necessárias, lembre-se de aplicar este perfil à sua
política de firewall para ativar as opções. Qualquer tráfego sendo examinado pela política terá essas
operações aplicadas a ele.

51-
So, how does it work?
FortiGate queries the FortiGuard SDNS servers—or FortiManager, if it has been configured to act as
a local FortiGuard server—to identify the category of a requested website.
When users visit websites, FortiGate uses the FortiGuard SDNS service to identify the category that
the URL belongs to and take a configured action for that category, such as allow, or redirect to a block
portal. Using this feature, you can perform bulk URL filtering, without individually defining each
website.
You can enable the FortiGuard category filtering on DNS filter profiles, just as for web filter profiles.
Categories and subcategories are listed, and you can customize the actions to perform individually.
DNS filtering supports the following actions:
⦁ Allow
⦁ Redirect to block portal
⦁ Monitor
Então, como isso funciona?
O FortiGate consulta os servidores FortiGuard SDNS - ou FortiManager, se foi configurado para atuar
como um servidor FortiGuard local - para identificar a categoria de um site solicitado.
Quando os usuários visitam sites, o FortiGate usa o serviço FortiGuard SDNS para identificar a
categoria à qual o URL pertence e realizar uma ação configurada para essa categoria, como permitir
ou redirecionar para um portal de bloqueio. Usando esse recurso, você pode realizar a filtragem de
URL em massa, sem definir individualmente cada site.
Você pode habilitar a filtragem de categorias FortiGuard em perfis de filtro DNS, assim como para
perfis de filtro da web. Categorias e subcategorias são listadas e você pode personalizar as ações
para serem executadas individualmente.
A filtragem de DNS suporta as seguintes ações:
⦁ Permitir
⦁ Redirecionar para bloquear o portal
⦁ Monitorar

52-
You can configure DNS filtering to allow, redirect to a block portal, or monitor access to websites
through the static domain filter. Entries in the domain list are checked against the DNS requests. If a
match is found, the configured action is taken.
Patterns set to Simple are exact text matches. Patterns set to Wildcard allow for some flexibility in the
text pattern by allowing wildcard characters and partial matching to occur. Patterns set to Reg.
Expression allow for the use of PCRE regular expressions.
With this feature, you can prevent many HTTP requests from ever being made, because the initial
lookup fails.
Você pode configurar a filtragem de DNS para permitir, redirecionar para um portal de bloqueio ou
monitorar o acesso a sites por meio do filtro de domínio estático. As entradas na lista de domínios
são verificadas em relação às solicitações DNS. Se uma correspondência for encontrada, a ação
configurada é executada.
Os padrões definidos como Simples são correspondências de texto exatas. Os padrões definidos
como curinga permitem alguma flexibilidade no padrão de texto, permitindo que caracteres curinga e
correspondência parcial ocorram. Padrões definidos para Reg. Expressão permite o uso de
expressões regulares PCRE.
Com esse recurso, você pode evitar que muitas solicitações HTTP sejam feitas, porque a pesquisa
inicial falha.

53-
When you enable Block DNS requests to known botnet C&C from your DNS filter profile, DNS
lookups are checked against the botnet command and control database. This database is dynamically
updated from FortiGuard and stored on FortiGate.
All matching DNS lookups are blocked. Matching uses a reverse prefix match, so all subdomains are
also blocked.
This service requires an active IPS and web filtering license.
Quando você habilita Bloquear solicitações de DNS para botnet C&C conhecido de seu perfil de filtro
DNS, as pesquisas de DNS são verificadas em relação ao comando botnet e banco de dados de
controle. Este banco de dados é atualizado dinamicamente do FortiGuard e armazenado no
FortiGate.
Todas as pesquisas DNS correspondentes são bloqueadas. A correspondência usa uma
correspondência de prefixo reversa, portanto, todos os subdomínios também são bloqueados.
Este serviço requer um IPS ativo e uma licença de filtragem da web.

58-
Remember that the web filtering profile has several features. So, if you have enabled many of them,
the inspection order flows as follows:
⦁ The local static URL filter
⦁ FortiGuard category filtering (to determine a rating)
⦁ Advanced filters (such as safe search or removing Active X components)
For each step, if there is no match, FortiGate will move on to the next check enabled.

Lembre-se de que o perfil de filtragem da web possui vários recursos. Portanto, se você ativou muitos
deles, a ordem de inspeção flui da seguinte forma:
⦁ O filtro de URL estático local
⦁ Filtragem de categoria FortiGuard (para determinar uma classificação)
⦁ Filtros avançados (como pesquisa segura ou remoção de componentes Active X)
Para cada etapa, se não houver correspondência, o FortiGate passará para a próxima verificação
habilitada.

59-

You have configured your security profiles, but they are not performing web or DNS inspection. Why?
Check to see if you have applied the security profiles to your firewall policies. Also, make sure that the
SSL inspection profile is applied as needed.
Additionally, to use the FortiGate DNS filter, you must use the FortiGuard SDNS service for DNS
lookups. DNS lookup requests sent to the FortiGuard SDNS service return with an IP address and a
domain rating that includes the FortiGuard category of the website. As a result, for this mechanism to
work, the FortiGuard SDNS service must be reachable by FortiGate.

Você configurou seus perfis de segurança, mas eles não estão realizando inspeção da web ou DNS.
Por quê?
Verifique se você aplicou os perfis de segurança às suas políticas de firewall. Além disso, certifique-
se de que o perfil de inspeção SSL seja aplicado conforme necessário.
Além disso, para usar o filtro FortiGate DNS, você deve usar o serviço FortiGuard SDNS para
pesquisas de DNS. As solicitações de pesquisa de DNS enviadas ao serviço FortiGuard SDNS
retornam com um endereço IP e uma classificação de domínio que inclui a categoria FortiGuard do
site. Como resultado, para que este mecanismo funcione, o serviço FortiGuard SDNS deve estar
acessível pelo FortiGate.

60-
Category-based filtering requires a live connection to FortiGuard.
You can verify the connection to FortiGuard servers by running the diagnose debug rating CLI
command. This command displays a list of FortiGuard servers you can connect to, as well as the
following information:
⦁ Weight: Based on the difference in time zone between the FortiGate and this server (modified by
traffic)
⦁ RTT: Return trip time
⦁ Flags: D (IP returned from DNS), I (Contract server contacted), T (being timed), F (failed)
⦁ TZ: Server time zone
⦁ Curr Lost: Current number of consecutive lost packets (in a row, resets to 0 when one packet succeeds)
⦁ Total Lost: Total number of lost packets
The list is of variable length depending on the FortiGuard Distribution Network.

A filtragem por categoria requer uma conexão ativa com o FortiGuard.

Você pode verificar a conexão com os servidores FortiGuard executando o comando diagnose debug
rating CLI. Este comando exibe uma lista de servidores FortiGuard aos quais você pode se conectar,
bem como as seguintes informações:
⦁ Peso: baseado na diferença de fuso horário entre o FortiGate e este servidor (modificado pelo tráfego)
⦁ RTT: Tempo de viagem de retorno
⦁ Sinalizadores: D (IP retornado do DNS), I (servidor contratado contatado), T (sendo cronometrado), F
(falhou)
⦁ TZ: Fuso horário do servidor
⦁ Curr Lost: Número atual de pacotes perdidos consecutivos (em uma linha, redefine para 0 quando um
pacote é bem-sucedido)
⦁ Total Perdido: Número total de pacotes perdidos
A lista é de comprimento variável dependendo da Rede de Distribuição FortiGuard.

61-
FortiGate can maintain a list of recent website rating responses in memory. So, if the URL is already
known, FortiGate doesn’t send back a rating request.
By default, FortiGate is configured to enforce the use of HTTPS port 443 to perform live filtering with
FortiGuard or FortiManager. Other ports and protocols are available by disabling the FortiGuard
anycast setting on the CLI. These ports and protocols to query the servers (FortiGuard or
FortiManager) HTTPS port 53 and port 8888, UDP port 443, port 53, and port 8888. If you are using
UDP port 53, any kind of inspection will reveal that this traffic is not DNS and prevent the service from
working. In this case, you can switch to the alternate UDP port 443 or port 8888, or change the
protocol to HTTPS, but these ports are not guaranteed to be open in all networks, so you will need to
check beforehand.
Caching responses reduces the amount of time it takes to establish a rating for a website. Also,
memory lookup is much quicker than packets travelling on the internet.
The timeout defaults to 15 seconds, but you can set it as high as 30 seconds, if necessary.

O FortiGate pode manter uma lista de respostas de classificação de sites recentes na memória.
Portanto, se o URL já for conhecido, o FortiGate não envia de volta uma solicitação de classificação.
Por padrão, FortiGate é configurado para forçar o uso da porta HTTPS 443 para realizar a filtragem
ao vivo com FortiGuard ou FortiManager. Outras portas e protocolos estão disponíveis desabilitando
a configuração anycast do FortiGuard no CLI. Essas portas e protocolos para consultar os servidores
(FortiGuard ou FortiManager) HTTPS porta 53 e porta 8888, porta UDP 443, porta 53 e porta 8888.
Se você estiver usando a porta UDP 53, qualquer tipo de inspeção irá revelar que este tráfego não é
DNS e impedir que o serviço funcione. Nesse caso, você pode alternar para a porta UDP 443 ou
porta 8888 alternativa, ou alterar o protocolo para HTTPS, mas essas portas não têm garantia de
abertura em todas as redes, portanto, é necessário verificar com antecedência.
O cache de respostas reduz o tempo necessário para estabelecer uma classificação para um site.
Além disso, a pesquisa de memória é muito mais rápida do que pacotes que viajam pela Internet.
O tempo limite padrão é 15 segundos, mas você pode defini-lo para até 30 segundos, se necessário.

62-
Now, take a look at the web filter log and report feature.
This slide shows an example of a log message. Access details include information about the
FortiGuard quota and category (if those are enabled), which web filter profile was used to inspect the
traffic, the URL, and more details about the event.
You can also view the raw log data by clicking the download icon at the top of the GUI. The file
downloaded is a plain text file in a Syslog format.

Agora, dê uma olhada no registro do filtro da web e no recurso de relatório.

Este slide mostra um exemplo de mensagem de registro. Os detalhes de acesso incluem
informações sobre a cota e categoria do FortiGuard (se estiverem habilitadas), qual perfil de filtro da
web foi usado para inspecionar o tráfego, a URL e mais detalhes sobre o evento.
Você também pode visualizar os dados de log brutos clicando no ícone de download na parte
superior da GUI. O arquivo baixado é um arquivo de texto simples em formato Syslog.

● LESSON 09: Application Control

4-
Application control detects applications—often applications that consume a lot of bandwidth—and
allows you to take appropriate action related to application traffic, such as monitoring, blocking, or
applying traffic shaping.
Application control identifies applications, such as Google Talk, by matching known patterns to the
application’s transmission patterns. Therefore, an application can be accurately identified, only if its
transmission pattern is unique. However, not every application behaves in a unique way. Many
applications reuse pre-existing, standard protocols and communication methods. For example, many
video games, such as World of Warcraft, use the BitTorrent protocol to distribute game patches.
Application control can be configured in proxy-based and flow-based firewall policies. However,
because application control uses the IPS engine, which uses flow-based inspection, inspection is
always flow-based. By comparison, when applying web filtering and antivirus through an HTTP proxy,
the proxy first parses HTTP and removes the protocol, and then scans only the payload inside.
Why does FortiGate use a flow-based scan for application control?
Unlike other forms of security profiles, such as web filtering or antivirus, application control is not
applied by a proxy. It uses an IPS engine to analyze network traffic and detect application traffic, even
if the application is using standard or non-standard protocols and ports. It doesn’t operate using built-
in protocol states. It matches patterns in the entire byte stream of the packet, and then looks for
patterns.

O controle de aplicativos detecta aplicativos - geralmente aplicativos que consomem muita largura de
banda - e permite que você execute as ações apropriadas relacionadas ao tráfego de aplicativos,
como monitoramento, bloqueio ou aplicação de modelagem de tráfego.
O controle de aplicativos identifica aplicativos, como o Google Talk, combinando padrões conhecidos
com os padrões de transmissão do aplicativo. Portanto, um aplicativo pode ser identificado com
precisão, apenas se seu padrão de transmissão for único. No entanto, nem todo aplicativo se
comporta de maneira única. Muitos aplicativos reutilizam protocolos e métodos de comunicação
padrão pré-existentes. Por exemplo, muitos videogames, como World of Warcraft, usam o protocolo
BitTorrent para distribuir patches de jogos.
O controle de aplicativos pode ser configurado em políticas de firewall baseadas em proxy e em
fluxo. No entanto, como o controle de aplicativos usa o mecanismo IPS, que usa inspeção baseada
em fluxo, a inspeção é sempre baseada em fluxo. Em comparação, ao aplicar a filtragem da web e
antivírus por meio de um proxy HTTP, o proxy primeiro analisa o HTTP e remove o protocolo e, em
seguida, verifica apenas a carga útil dentro dele.
Por que o FortiGate usa uma varredura baseada em fluxo para controle de aplicativos?
Ao contrário de outras formas de perfis de segurança, como filtragem da web ou antivírus, o controle
de aplicativos não é aplicado por um proxy. Ele usa um mecanismo IPS para analisar o tráfego da
rede e detectar o tráfego do aplicativo, mesmo se o aplicativo estiver usando portas e protocolos
padrão ou não padrão. Ele não funciona usando estados de protocolo integrados. Ele corresponde a
padrões em todo o fluxo de bytes do pacote e, em seguida, procura padrões.

5-
When HTTP and other protocols were designed, they were designed to be easy to trace. Because of
that, administrators could easily give access to single servers behind NAT devices, such as routers
and, later, firewalls.
But when P2P applications were designed, they had to be able to work without assistance—or
cooperation— from network administrators. In order to achieve this, the designers made P2P
applications able to bypass firewalls and incredibly hard to detect. Port randomization, pinholes, and
changing encryption patterns are some of the techniques that P2P protocols use.
These techniques make P2P applications difficult to block using a firewall policy, and also make them
difficult to detect by proxy-based inspection.
Flow-based inspection using the IPS engine can analyze packets for pattern matching and then look
for patterns to detect P2P applications.

Quando o HTTP e outros protocolos foram projetados, eles foram projetados para serem fáceis de
rastrear. Por causa disso, os administradores podem facilmente dar acesso a servidores únicos atrás
de dispositivos NAT, como roteadores e, posteriormente, firewalls.
Mas quando os aplicativos P2P foram projetados, eles tiveram que ser capazes de funcionar sem
ajuda - ou cooperação - dos administradores de rede. Para conseguir isso, os designers tornaram os
aplicativos P2P capazes de contornar firewalls e incrivelmente difíceis de detectar. Randomização de
portas, furos e mudanças nos padrões de criptografia são algumas das técnicas que os protocolos
P2P usam.
Essas técnicas tornam os aplicativos P2P difíceis de bloquear usando uma política de firewall e
também tornam difícil detectá-los por inspeção baseada em proxy.
A inspeção baseada em fluxo usando o mecanismo IPS pode analisar pacotes para correspondência
de padrões e, em seguida, procurar padrões para detectar aplicativos P2P.

6-
This slide shows a traditional, client-server architecture. There may be many clients of popular sites,
but often, such as with an office file server, it’s just one client and one server.
Traditional downloads use a defined protocol over a standard port number. Whether it’s from a web or
FTP site, the download is from a single IP address, to a single IP address. So, blocking this kind of
traffic is easy: you only need one firewall policy.
But, it’s more difficult to block traffic from peer-to-peer downloads. Why?

Este slide mostra uma arquitetura cliente-servidor tradicional. Pode haver muitos clientes de sites
populares, mas frequentemente, como em um servidor de arquivos de escritório, é apenas um cliente
e um servidor.
Os downloads tradicionais usam um protocolo definido sobre um número de porta padrão. Seja de
um site da web ou de FTP, o download é de um único endereço IP para um único endereço IP.
Portanto, bloquear esse tipo de tráfego é fácil: você só precisa de uma política de firewall.
Porém, é mais difícil bloquear o tráfego de downloads ponto a ponto. Por quê?

7-
Peer-to-peer (P2P) downloads divide each file among multiple (theoretically unlimited) peers. Each
peer delivers part of the file. While having many clients is a disadvantage in client-server
architectures, it is an advantage for P2P architecture because, as the number of peers increases to n,
the file is delivered n times faster.
Because popularity increases the speed of delivery—unlike traditional client-server architecture where
popularity could effectively cause a denial of service (DoS) attack on the server—some software, such
as BitTorrent distributions of Linux, and games distributing new patches, leverage this advantage.
Even if each client has little bandwidth, together they can offer more bandwidth for the download than
many powerful servers.
Consequently, in order to download the file, the requesting peer can consume much more bandwidth
per second than it would from only a single server. Even if there is only one peer in your network, it
can consume unusually large amounts of bandwidth. Because the protocols are usually evasive, and
there will be many sessions to many peers, they are difficult to completely block.

Os downloads ponto a ponto (P2P) dividem cada arquivo entre vários pontos (teoricamente
ilimitados). Cada par entrega parte do arquivo. Embora ter muitos clientes seja uma desvantagem
nas arquiteturas cliente-servidor, é uma vantagem para a arquitetura P2P porque, à medida que o
número de pares aumenta para n, o arquivo é entregue n vezes mais rápido.
Como a popularidade aumenta a velocidade de entrega - ao contrário da arquitetura cliente-servidor
tradicional, onde a popularidade pode efetivamente causar um ataque de negação de serviço (DoS)
no servidor - alguns softwares, como distribuições BitTorrent de Linux e jogos que distribuem novos
patches, aproveitam esta vantagem . Mesmo que cada cliente tenha pouca largura de banda, juntos
eles podem oferecer mais largura de banda para download do que muitos servidores poderosos.
Conseqüentemente, para baixar o arquivo, o par solicitante pode consumir muito mais largura de
banda por segundo do que consumiria de apenas um único servidor. Mesmo se houver apenas um
par em sua rede, ele pode consumir uma quantidade incomum de largura de banda. Como os
protocolos geralmente são evasivos e haverá muitas sessões para muitos pares, eles são difíceis de
bloquear completamente.

8-
Before you try to control applications, it’s important to understand the signatures used by application
control. How does application control detect the newest applications and changes to application
protocols?
Application control requires a subscription to FortiGuard application control. The database for
application control signatures is separate from the intrusion prevention system (IPS) database. You
can configure FortiGate to automatically update its application control signature database on the
FortiGuard page. The application control signature database information is also displayed on the
FortiGuard page. You can also enable push updates so that FortiGate receives updates as soon as
they are available from the FortiGuard server.

Antes de tentar controlar os aplicativos, é importante entender as assinaturas usadas pelo controle
de aplicativos. Como o controle de aplicativos detecta os aplicativos mais recentes e as alterações
nos protocolos de aplicativos?
O controle de aplicativos requer uma assinatura do controle de aplicativos FortiGuard. O banco de
dados para assinaturas de controle de aplicativos é separado do banco de dados do sistema de
prevenção de intrusão (IPS). Você pode configurar o FortiGate para atualizar automaticamente seu
banco de dados de assinatura de controle de aplicativos na página FortiGuard. As informações do
banco de dados de assinatura de controle de aplicativos também são exibidas na página FortiGuard.
Você também pode habilitar as atualizações por push para que o FortiGate receba atualizações
assim que estiverem disponíveis no servidor FortiGuard.

9-
You can view the latest version of the application control database on the FortiGuard website, or by
clicking an individual application signature in the application control profile.
The application control database provides details about application control signatures based on
category, popularity, and risk, to name a few.
When building an application control signature, the FortiGuard security research team evaluates the
application and assigns a risk level. The assigned risk level is based on the type of security risk. The
rating is Fortinet-specific, and not related to the common vulnerability scoring system (CVSS) or other
external systems. If you aren’t aware of the specific application, this information can help you to
decide if it would be wise to block an application or not.
On the FortiGuard website, you can read details about each signature’s related application.
On this slide, you can see an example article for Ultrasurf_9.6+. Ultrasurf_9.6+ is a web proxy, so it
belongs in the proxy category. It is a good practice to create test policies that you can use to observe
policy behavior.
If there are new applications that you need to control, and the latest update doesn't include definitions
for them, you can go to the FortiGuard website and submit a request to have the new applications
added. You can also submit a request to re-evaluate an application category, if you believe an
application should belong to a different category.

Você pode visualizar a versão mais recente do banco de dados de controle de aplicativos no site
FortiGuard ou clicando em uma assinatura de aplicativo individual no perfil de controle de aplicativos.
O banco de dados de controle de aplicativos fornece detalhes sobre assinaturas de controle de
aplicativos com base na categoria, popularidade e risco, para citar alguns.
Ao construir uma assinatura de controle de aplicativo, a equipe de pesquisa de segurança FortiGuard
avalia o aplicativo e atribui um nível de risco. O nível de risco atribuído é baseado no tipo de risco de
segurança. A classificação é específica da Fortinet e não está relacionada ao sistema de pontuação
de vulnerabilidade comum (CVSS) ou outros sistemas externos. Se você não conhece o aplicativo
específico, essas informações podem ajudá-lo a decidir se é aconselhável bloquear um aplicativo ou
não.
No site do FortiGuard, você pode ler detalhes sobre o aplicativo relacionado a cada assinatura.
Neste slide, você pode ver um artigo de exemplo para Ultrasurf_9.6 +. Ultrasurf_9.6 + é um proxy da
web, portanto, pertence à categoria de proxy. É uma boa prática criar políticas de teste que você
possa usar para observar o comportamento da política.
Se houver novos aplicativos que você precisa controlar e a atualização mais recente não incluir
definições para eles, você pode ir ao site do FortiGuard e enviar uma solicitação para que os novos
aplicativos sejam adicionados. Você também pode enviar uma solicitação para reavaliar uma
categoria de inscrição, se você acredita que uma inscrição deve pertencer a uma categoria diferente.

10-

Many web applications offer functionality that can be embedded in third-party websites or
applications. For example, you can embed a Facebook Like button at the end of an article or
reference a YouTube video on an educational website. FortiOS gives administrators all the tools they
need to inspect sub-application traffic. The FortiGuard application control signature database is
organized in hierarchical structure. This gives you the ability to inspect the traffic with more
granularity. You can block Facebook apps while allowing users to collaborate using Facebook chat.

Muitos aplicativos da web oferecem funcionalidade que pode ser incorporada em sites ou aplicativos
de terceiros. Por exemplo, você pode incorporar um botão Curtir do Facebook no final de um artigo
ou fazer referência a um vídeo do YouTube em um site educacional. O FortiOS oferece aos
administradores todas as ferramentas de que precisam para inspecionar o tráfego de sub-aplicativos.
O banco de dados de assinatura de controle de aplicativos FortiGuard é organizado em uma
estrutura hierárquica. Isso dá a você a capacidade de inspecionar o tráfego com mais granularidade.
Você pode bloquear aplicativos do Facebook enquanto permite que os usuários colaborem usando o
bate-papo do Facebook.

15-
When FortiGate or a VDOM is operating in flow-based (NGFW mode set to profile-based, policy set to
flow- based) inspection mode or policy set to proxy-based inspection mode, to configure application
control, administrators must create an application control profile and apply that profile to a firewall
policy.
It is important to note that the application control profile uses flow-based scanning techniques,
regardless of which inspection mode is used on the policy.
The application control profile consists of three different types of filters:
⦁ Categories: Groups applications based on similarity. For example, all applications that are capable of
providing remote access are grouped in the Remote Access category. You can view the signatures of all
applications in a category or apply an action to a category as a whole.
⦁ Application overrides: Provides the flexibility to control specific signatures and applications.
⦁ Filter overrides: Useful when a predefined category does not meet your requirements and you want to
block all applications based on criteria that is not available in categories. You can configure the
categorization of applications based on behavior, popularity, protocol, risk, vendor, or the technology used
by the applications, and take action based on that.

Quando o FortiGate ou um VDOM está operando em modo de inspeção baseado em fluxo (modo
NGFW definido como baseado em perfil, política definida como baseado em fluxo) ou política definida
como modo de inspeção baseado em proxy, para configurar o controle de aplicativo, os
administradores devem criar um controle de aplicativo perfil e aplique esse perfil a uma política de
firewall.
É importante observar que o perfil de controle de aplicativo usa técnicas de varredura baseadas em
fluxo, independentemente de qual modo de inspeção é usado na política.
O perfil de controle de aplicativo consiste em três tipos diferentes de filtros:
⦁ Categorias: agrupa os aplicativos com base na similaridade. Por exemplo, todos os aplicativos que são
capazes de fornecer acesso remoto são agrupados na categoria Acesso remoto. Você pode ver as assinaturas
de todos os aplicativos em uma categoria ou aplicar uma ação a uma categoria como um todo.
⦁ Substituições de aplicativos: oferece flexibilidade para controlar assinaturas e aplicativos específicos.
⦁ Substituições de filtro: Útil quando uma categoria predefinida não atende aos seus requisitos e você deseja
bloquear todos os aplicativos com base em critérios que não estão disponíveis nas categorias. Você pode
configurar a categorização de aplicativos com base no comportamento, popularidade, protocolo, risco,
fornecedor ou tecnologia usada pelos aplicativos e agir com base nisso.
16-

The application control profile is configured on the Application Control page. You can configure
actions based on categories, application overrides, and filter overrides. You can also view the list of
application control signatures by clicking View Application Signatures.
At the top of the Application Control profile page, you will see a summary of how many cloud
applications require deep inspection. Cloud applications that use SSL encryption cannot be scanned
without a deep inspection profile. FortiGate will need to decrypt the traffic in order to perform
inspection and control application traffic.
The Unknown Applications setting matches traffic that can’t be matched to any application control
signature and identifies the traffic as unknown application in the logs. Factors that contribute to traffic
being identified as unknown application include:
⦁ How many rare applications your users are using
⦁ Which IPS database version you are using
Identifying traffic as unknown can cause frequent log entries. Frequent log entries decrease
performance.

O perfil de controle de aplicativos é configurado na página Controle de aplicativos. Você pode

configurar ações com base em categorias, substituições de aplicativo e substituições de filtro. Você
também pode ver a lista de assinaturas de controle de aplicativo clicando em Exibir assinaturas de
aplicativo.
Na parte superior da página de perfil do Controle de aplicativos, você verá um resumo de quantos
aplicativos em nuvem exigem uma inspeção profunda. Os aplicativos em nuvem que usam
criptografia SSL não podem ser verificados sem um perfil de inspeção profunda. O FortiGate
precisará descriptografar o tráfego para realizar a inspeção e controlar o tráfego do aplicativo.
A configuração de aplicativos desconhecidos corresponde ao tráfego que não pode ser
correspondido a nenhuma assinatura de controle de aplicativo e identifica o tráfego como aplicativo
desconhecido nos logs. Os fatores que contribuem para que o tráfego seja identificado como
aplicativo desconhecido incluem:
⦁ Quantos aplicativos raros seus usuários estão usando
⦁ Qual versão do banco de dados IPS você está usando
Identificar o tráfego como desconhecido pode causar entradas de log frequentes. As entradas de
registro frequentes diminuem o desempenho.

17-

The number listed to the right of the cloud symbol indicates the number of cloud applications within a
specified category.
If you need to enable Allow and Log DNS Traffic, you should enable it only for short periods, such as
during an investigation. Depending on the application and how often it queries DNS servers, enabling
this setting can use significant system resources.
QUIC is a protocol from Google. Instead of using the standard TCP connections for web access,
QUIC uses UDP, which is not scanned by web filtering. Allowing QUIC instructs FortiGate to inspect
Google Chrome packets for a QUIC header, and generate logs as a QUIC message. Blocking QUIC
forces Google Chrome to use HTTP2/TLS1.2 and FortiGate to log QUIC as blocked. The default
action for QUIC is Block.
The Replacement Messages for HTTP-based Applications setting allows you to replace blocked
content with an explanation (for the user’s benefit). However, for non-HTTP/HTTPS applications, you
can only drop the packets or reset the TCP connection.
After you’ve configured the application control profile, select the profile in the firewall policy. Like any
other security profile, the settings you configure in the application control profile are not applied
globally. FortiGate applies the application control profile settings to only traffic governed by the firewall
policy in which you’ve selected the application control profile. This allows granular control.

O número listado à direita do símbolo de nuvem indica o número de aplicativos em nuvem dentro de
uma categoria especificada.
Se você precisar habilitar Permitir e registrar tráfego de DNS, deverá habilitá-lo apenas por curtos
períodos, como durante uma investigação. Dependendo do aplicativo e da frequência com que ele
consulta os servidores DNS, habilitar essa configuração pode usar recursos significativos do sistema.
QUIC é um protocolo do Google. Em vez de usar as conexões TCP padrão para acesso à web, o
QUIC usa UDP, que não é verificado pela filtragem da web. Permitir o QUIC instrui o FortiGate a
inspecionar os pacotes do Google Chrome para um cabeçalho QUIC e gerar logs como uma
mensagem QUIC. O bloqueio do QUIC força o Google Chrome a usar HTTP2 / TLS1.2 e FortiGate
para registrar o QUIC como bloqueado. A ação padrão para QUIC é Bloquear.
A configuração Mensagens de substituição para aplicativos baseados em HTTP permite que você
substitua o conteúdo bloqueado por uma explicação (para o benefício do usuário). No entanto, para
aplicativos não HTTP / HTTPS, você só pode descartar os pacotes ou redefinir a conexão TCP.
Depois de configurar o perfil de controle de aplicativos, selecione o perfil na política de firewall. Como
qualquer outro perfil de segurança, as configurações definidas no perfil de controle de aplicativo não
são aplicadas globalmente. O FortiGate aplica as configurações do perfil de controle de aplicativos
apenas ao tráfego regido pela política de firewall na qual você selecionou o perfil de controle de
aplicativos. Isso permite o controle granular.

18-

Protocol enforcement is added to the application control profile, allowing the administrator to configure
network services (for example, FTP, HTTP, and HTTPS) on known ports (for example, 21, 80, and
443), while blocking those services on other ports.
The feature takes action in the following scenarios:
⦁ When one protocol dissector confirms the service of network traffic, protocol enforcement can check
whether the confirmed service is whitelisted under the server port. If it is not, then the traffic is considered
a violation and IPS can take the action (for example, block) specified in the configuration.
⦁ There is no confirmed service for network traffic. It would be considered a service violation if IPS
dissectors rule out all the services enforced under its server port.

A imposição de protocolo é adicionada ao perfil de controle de aplicativo, permitindo que o

administrador configure serviços de rede (por exemplo, FTP, HTTP e HTTPS) em portas conhecidas
(por exemplo, 21, 80 e 443), enquanto bloqueia esses serviços em outras portas .
O recurso atua nas seguintes situações:
⦁ Quando um dissecador de protocolo confirma o serviço de tráfego de rede, a aplicação do protocolo pode
verificar se o serviço confirmado está na lista de permissões na porta do servidor. Se não for, o tráfego é
considerado uma violação e o IPS pode executar a ação (por exemplo, bloquear) especificada na
configuração.
⦁ Não há serviço confirmado para tráfego de rede. Seria considerado uma violação de serviço se os
dissetores IPS descartassem todos os serviços impostos em sua porta de servidor.

19-
The IPS engine examines the traffic stream for a signature match.
Then, FortiGate scans packets for matches, in this order, for the application control profile:
⦁ Application and filter overrides: If you have configured any application overrides or filter overrides, the
application control profile considers those first. It looks for a matching override starting at the top of the
list, like firewall policies.
⦁ Categories: Finally, the application control profile applies the action that you’ve configured for
applications in your selected categories.

O mecanismo IPS examina o fluxo de tráfego em busca de uma correspondência de assinatura.

Em seguida, o FortiGate verifica os pacotes em busca de correspondências, nesta ordem, para o
perfil de controle do aplicativo:
⦁ Substituições de aplicativos e filtros: Se você configurou quaisquer substituições de aplicativos ou filtros, o
perfil de controle de aplicativos as considera primeiro. Ele procura uma substituição correspondente
começando no topo da lista, como políticas de firewall.
⦁ Categorias: Finalmente, o perfil de controle de aplicativos aplica a ação que você configurou para
aplicativos em suas categorias selecionadas.

20-
In the example profile shown on this slide, the application control profile blocks the Game and
Video/Audio categories. For applications in these categories, FortiGate responds with the application
control HTTP block message. (It is slightly different from the web filtering HTTP block message.) All
other categories are set to Monitor, except Unknown Applications, and are allowed to pass traffic.
In the Application Overrides section, you can see that some exceptions are specified. Instead of being
set to Block, Battle.Net (Game) and Dailymotion (Video/Audio) are set to Monitor. Because application
overrides are applied first in the scan, these two applications will be allowed, and will generate logs.
Next, the scan will check for Application and Filter Overrides. Because a filter override is configured to
block applications that use excessive bandwidth, it will block all applications using excessive
bandwidth, regardless of categories that allow these applications.
This slide shows an example of how several security profile features could work together, overlap, or
work as substitutes, on the same traffic.
After the application control profile scan is done, FortiGate begins other scans, such as web filtering.
The web filtering scan could block Battle.Net and Dailymotion, but it would use its own block
message. Also, web filtering doesn’t check the list of application control overrides. So, even if an
application control override allows an application, web filtering could still block it.
Similarly, static URL filtering has its own exempt action, which bypasses all subsequent security
checks. However, application control occurs before web filtering, so that the web filtering exemption
cannot bypass application control.

No perfil de exemplo mostrado neste slide, o perfil de controle do aplicativo bloqueia as categorias
Jogo e Vídeo / Áudio. Para aplicativos nestas categorias, FortiGate responde com a mensagem de
bloqueio HTTP de controle de aplicativos. (É um pouco diferente da mensagem de bloqueio HTTP de
filtragem da Web.) Todas as outras categorias são definidas como Monitor, exceto Aplicativos
desconhecidos, e podem passar tráfego.
Na seção Substituições do aplicativo, você pode ver que algumas exceções são especificadas. Em
vez de serem definidos como Bloquear, Battle.Net (Jogo) e Dailymotion (Vídeo / Áudio) são definidos
como Monitor. Como as substituições de aplicativo são aplicadas primeiro na varredura, esses dois
aplicativos serão permitidos e gerarão logs.
Em seguida, a varredura verificará as substituições de filtro e aplicativo. Como uma substituição de
filtro é configurada para bloquear aplicativos que usam largura de banda excessiva, ela bloqueará
todos os aplicativos que usam largura de banda excessiva, independentemente das categorias que
permitem esses aplicativos.
Este slide mostra um exemplo de como vários recursos de perfis de segurança podem funcionar
juntos, se sobrepor ou funcionar como substitutos no mesmo tráfego.
Após a verificação do perfil de controle do aplicativo, o FortiGate inicia outras verificações, como
filtragem da web. A varredura de filtragem da web poderia bloquear Battle.Net e Dailymotion, mas
usaria sua própria mensagem de bloqueio. Além disso, a filtragem da web não verifica a lista de
substituições de controle de aplicativos. Portanto, mesmo se uma substituição de controle de
aplicativo permitir um aplicativo, a filtragem da Web ainda pode bloqueá-lo.
Da mesma forma, a filtragem de URL estática tem sua própria ação de isenção, que ignora todas as
verificações de segurança subsequentes. No entanto, o controle de aplicativos ocorre antes da
filtragem da web, de modo que a isenção de filtragem da web não pode ignorar o controle de
aplicativos.

21-

In the example profile shown on this slide, the filter override has been moved above the application
override. In this scenario, the filter override (Excessive-Bandwidth) will be blocked and since
Dailymotion falls under the excessive bandwidth category, Dailymotion will be blocked even though it
is set to Allow under the Application and Filter Overrides section.
The priority in which application and filter overrides are placed takes precedence.

No perfil de exemplo mostrado neste slide, a substituição do filtro foi movida acima da substituição do
aplicativo. Neste cenário, a substituição do filtro (largura de banda excessiva) será bloqueada e, uma
vez que o Dailymotion se enquadra na categoria de largura de banda excessiva, o Dailymotion será
bloqueado, embora esteja definido como Permitir na seção Substituições do aplicativo e filtro.
A prioridade na qual as substituições de aplicativo e filtro são colocadas tem precedência.

22-
For each filter in the application control profile, you must indicate an action—what FortiGate does
when traffic matches. Actions include the following:
⦁ Allow: Passes the traffic and does not generate a log
⦁ Monitor: Passes the traffic, but also generates a log message
⦁ Block: Drops the detected traffic and generates a log message
⦁ Quarantine: Blocks the traffic from an attacker IP until the expiration time is reached and generates a
log message
The View Signature action allows you to view signatures from a particular category only and is not a
configurable action. The View Cloud Signatures action allows you to view application signatures for
cloud applications from a particular category.
Which is the correct action to choose?
If you’re not sure which action to choose, Monitor can be useful initially, while you study your network.
Later, after you have studied your network traffic, you can fine-tune your filter selection by choosing
the most appropriate action. The action you choose also depends on the application. If an application
requires feedback to prevent instability or other unwanted behavior, then you might choose
Quarantine instead of Block.
Otherwise, the most efficient use of FortiGate resources is to block.

Para cada filtro no perfil de controle de aplicativo, você deve indicar uma ação - o que o FortiGate faz
quando o tráfego coincide. As ações incluem o seguinte:
⦁ Permitir: Passa o tráfego e não gera um log
⦁ Monitorar: Passa o tráfego, mas também gera uma mensagem de registro
⦁ Bloquear: descarta o tráfego detectado e gera uma mensagem de registro
⦁ Quarentena: bloqueia o tráfego de um IP do invasor até que o tempo de expiração seja atingido e gera
uma mensagem de log
A ação Exibir Assinatura permite que você exiba assinaturas de uma categoria específica apenas e
não é uma ação configurável. A ação Exibir assinaturas em nuvem permite que você exiba
assinaturas de aplicativos para aplicativos em nuvem de uma categoria específica.
Qual é a ação correta a escolher?
Se você não tiver certeza de qual ação escolher, o Monitor pode ser útil inicialmente, enquanto você
estuda sua rede. Posteriormente, depois de estudar o tráfego da rede, você pode ajustar a seleção
do filtro escolhendo a ação mais apropriada. A ação escolhida também depende do aplicativo. Se um
aplicativo exigir feedback para evitar instabilidade ou outro comportamento indesejado, você pode
escolher Quarentena em vez de Bloquear.
Caso contrário, o uso mais eficiente dos recursos do FortiGate é o bloqueio.
23-

After an application control profile is configured, it must be applied to a firewall policy. This will instruct
FortiGate to start scanning application traffic that is subject to the firewall policy.

Depois que um perfil de controle de aplicativo é configurado, ele deve ser aplicado a uma política de
firewall. Isso instruirá o FortiGate a iniciar a varredura do tráfego do aplicativo que está sujeito à
política do firewall.

24-

For HTTP-based applications, application control can provide feedback to the user about why their
application was blocked. This is called a block page, and it is similar to the one you can configure for
URLs that you block using FortiGuard web filtering.
It is also worth mentioning that, if deep inspection is enabled in the firewall policy, all HTTPS-based
applications will provide this block page.
The block page contains the following information:
⦁ Signature that detected the application (in this case, Dailymotion)
⦁ Signature’s category (Video/Audio)
⦁ URL that was specifically blocked (in this case, the index page of www.dailymotion.com), since a web
page can be assembled from multiple URLs
⦁ User name (if authentication is enabled)
⦁ Group name (if authentication is enabled)
⦁ UUID of the policy governing the traffic
The last item in this list can help you to identify which policy on FortiGate blocked the page, even if
you have a large number of policies with many FortiGate devices securing different segments.

Para aplicativos baseados em HTTP, o controle de aplicativos pode fornecer feedback ao usuário
sobre o motivo do bloqueio de seu aplicativo. Isso é chamado de página de bloqueio e é semelhante
àquela que você pode configurar para URLs que você bloqueia usando a filtragem da Web
FortiGuard.
Também vale a pena mencionar que, se a inspeção profunda estiver habilitada na política de firewall,
todos os aplicativos baseados em HTTPS fornecerão esta página de bloqueio.
A página de bloqueio contém as seguintes informações:
⦁ Assinatura que detectou o aplicativo (neste caso, Dailymotion)
⦁ Categoria de assinatura (vídeo / áudio)
⦁ URL que foi especificamente bloqueado (neste caso, a página de índice de www.dailymotion.com), uma
vez que uma página da web pode ser montada a partir de vários URLs
⦁ Nome de usuário (se a autenticação estiver habilitada)
⦁ Nome do grupo (se a autenticação estiver habilitada)
⦁ UUID da política que rege o tráfego
O último item desta lista pode ajudá-lo a identificar qual política no FortiGate bloqueou a página,
mesmo se você tiver um grande número de políticas com muitos dispositivos FortiGate protegendo
diferentes segmentos.

25-

When FortiGate is operating in NGFW policy-based mode, administrators can apply application
control to a security policy directly, instead of having to create an application control profile first and
then apply that to a firewall policy. Eliminating the need to use an application control profile makes it
easier for the administrator to select the applications or application categories they want to allow or
deny in the firewall policy.
It is important to note that all security policies in an NGFW policy-based mode VDOM or FortiGate
must specify an SSL/SSH inspection profile on a consolidated policy. NGFW policy-based mode also
requires the use of central source NAT (SNAT), instead of NAT settings applied within the firewall
policy.

Quando o FortiGate está operando no modo baseado em política NGFW, os administradores podem
aplicar o controle de aplicativos a uma política de segurança diretamente, ao invés de ter que criar
um perfil de controle de aplicativos primeiro e depois aplicá-lo a uma política de firewall. Eliminar a
necessidade de usar um perfil de controle de aplicativo torna mais fácil para o administrador
selecionar os aplicativos ou categorias de aplicativos que deseja permitir ou negar na política de
firewall.
É importante observar que todas as políticas de segurança em um modo baseado em política NGFW
VDOM ou FortiGate devem especificar um perfil de inspeção SSL / SSH em uma política
consolidada. O modo baseado em política NGFW também requer o uso de NAT (SNAT) de fonte
central, em vez de configurações de NAT aplicadas na política de firewall.

26-

You can select one or more applications, application groups, and application categories on a security
policy in the Application section. After you click the + icon for an application, a pop-up window opens.
In that window, you can search for and select one or more application signatures, application groups,
or application categories. Based on the applications, groups, and application categories applied to the
policy, FortiOS will apply the security action to the application traffic.
You can configure the URL Category within the same security policy; however, adding a URL filter will
cause application control to scan applications in only the browser-based technology category. For
example, Facebook Messenger on the Facebook website.
You can also configure the Group with multiple applications and application categories. This allows
the administrator to mix multiple applications and categories.
In addition to applying a URL category filter, you can also apply AntiVirus and IPS security profiles to
application traffic that is allowed to pass through.

Você pode selecionar um ou mais aplicativos, grupos de aplicativos e categorias de aplicativos em

uma política de segurança na seção Aplicativo. Depois de clicar no ícone + de um aplicativo, uma
janela pop-up é aberta. Nessa janela, você pode pesquisar e selecionar uma ou mais assinaturas de
aplicativos, grupos de aplicativos ou categorias de aplicativos. Com base nos aplicativos, grupos e
categorias de aplicativos aplicados à política, o FortiOS aplicará a ação de segurança ao tráfego do
aplicativo.
Você pode configurar a Categoria de URL dentro da mesma política de segurança; entretanto,
adicionar um filtro de URL fará com que o controle de aplicativos varra aplicativos apenas na
categoria de tecnologia baseada em navegador. Por exemplo, Facebook Messenger no site do
Facebook.
Você também pode configurar o Grupo com vários aplicativos e categorias de aplicativos. Isso
permite ao administrador combinar vários aplicativos e categorias.
Além de aplicar um filtro de categoria de URL, você também pode aplicar perfis de segurança
antivírus e IPS ao tráfego de aplicativo que tem permissão para passar.

27-

FortiOS uses a three-step process to perform NGFW policy-based application filtering. Here is a brief
overview of what happens at each step.
In step 1, FortiOS will allow all traffic while forwarding packets to the IPS engine for inspection and
identification of the traffic. At the same time, FortiOS creates an entry in the session table allowing the
traffic to pass and it adds a may_dirty flag to it.
In step 2, as soon as the IPS engine identifies the application, it updates the session entry with the
following information: dirty flag, app_valid flag, and an application ID.
In step 3, the FortiOS kernel performs a security policy lookup again, to see if the identified application
ID is listed in any of the existing security policies. This time the kernel uses both Layer 4 and Layer 7
information for policy matching. After the criteria matches a firewall policy rule, the FortiOS kernel
applies the action configured on the security policy to the application traffic.

O FortiOS usa um processo de três etapas para realizar a filtragem de aplicativos baseada em
políticas NGFW. Aqui está uma breve visão geral do que acontece em cada etapa.
Na etapa 1, o FortiOS permitirá todo o tráfego enquanto encaminha os pacotes ao mecanismo IPS
para inspeção e identificação do tráfego. Ao mesmo tempo, o FortiOS cria uma entrada na tabela de
sessão permitindo a passagem do tráfego e adiciona um sinalizador may_dirty a ela.
Na etapa 2, assim que o mecanismo IPS identifica o aplicativo, ele atualiza a entrada da sessão com
as seguintes informações: flag sujo, flag app_valid e um ID de aplicativo.
Na etapa 3, o kernel FortiOS executa uma pesquisa de política de segurança novamente, para ver se
o ID do aplicativo identificado está listado em alguma das políticas de segurança existentes. Desta
vez, o kernel usa as informações da Camada 4 e da Camada 7 para correspondência de política.
Após os critérios corresponderem a uma regra de política de firewall, o kernel FortiOS aplica a ação
configurada na política de segurança ao tráfego do aplicativo.

28-
Configuring application control in NGFW policy-based mode is simple. You can create a new security
policy or edit an existing security policy. In the Application section, select the applications, categories,
or groups that you want to allow or deny, and change the security policy Action accordingly. On
applications that you selected to allow, you can further enhance network security by enabling antivirus
scanning and IPS control.
You can also enable the logging of Security Events or All Sessions to ensure that all application
control events are logged.

Configurar o controle de aplicativos no modo baseado em política NGFW é simples. Você pode criar
uma nova política de segurança ou editar uma política de segurança existente. Na seção Aplicativo,
selecione os aplicativos, categorias ou grupos que deseja permitir ou negar e altere a ação da política
de segurança de acordo. Em aplicativos que você selecionou para permitir, você pode aumentar
ainda mais a segurança da rede habilitando a verificação antivírus e o controle IPS.
Você também pode ativar o registro de eventos de segurança ou todas as sessões para garantir que
todos os eventos de controle de aplicativo sejam registrados.

29-
You must have a matching central SNAT policy in NGFW policy-based mode to be able to pass traffic.
NAT is applied on the traffic based on criteria defined in the central SNAT policy.
It is extremely important to arrange security policies so that the more specific policies are located at
the top to ensure proper use of application control.
A default SSL Inspection & Authentication policy is defined to inspect traffic accepted by any of the
security firewalls, and by using the certificate-inspection SSL inspection profile.

Você deve ter uma política SNAT central correspondente no modo baseado em política NGFW para
poder transmitir o tráfego. O NAT é aplicado no tráfego com base em critérios definidos na política
SNAT central.
É extremamente importante organizar as políticas de segurança de forma que as políticas mais
específicas estejam localizadas na parte superior para garantir o uso adequado do controle de
aplicativos.
Uma política de inspeção e autenticação SSL padrão é definida para inspecionar o tráfego aceito por
qualquer um dos firewalls de segurança e usando o perfil de inspeção SSL de inspeção de
certificado.

30-
NGFW policy matching works using a top-to-bottom approach. You must have a specific policy above
a more broad or open policy. For example, if you would like to block Facebook but allow the
Social.Media category, you must place the policy blocking Facebook traffic above the policy allowing
the Social.Media category.

A correspondência de políticas do NGFW funciona usando uma abordagem de cima para baixo. Você
deve ter uma política específica acima de uma política mais ampla ou aberta. Por exemplo, se você
deseja bloquear o Facebook, mas permite a categoria Social.Media, deve colocar a política de
bloqueio de tráfego do Facebook acima da política que permite a categoria Social.Media.

31-

If an application is necessary, but you need to prevent it from impacting bandwidth, then instead of
blocking it entirely, you can apply a rate limit to the application. For example, you can rate limit
applications used for storage or backup leaving enough bandwidth for more sensitive streaming
applications, such as video conferencing.
Applying traffic shaping to applications is very useful when you’re trying to limit traffic that uses the
same TCP or UDP port numbers as mission-critical applications. Some high-traffic web sites, such as
YouTube, can be throttled in this way.
Examine the details of how throttling works. Not all URL requests to www.youtube.com are for video.
Your browser makes several HTTPS requests for:
⦁ The web page itself
⦁ Images
⦁ Scripts and style sheets
⦁ Video
All of these items have separate URLs. If you analyze a site like YouTube, the web pages themselves
don’t use much bandwidth; it is the video content that uses the most bandwidth. But, since all content
is transported using the same protocol (HTTPS), and the URLs contain dynamically generated
alphanumeric strings, traditional firewall policies can't block or throttle the traffic by port number or
protocol because they are the same. Using application control, you can rate limit only videos. Doing
this prevents users from saturating your network bandwidth, while still allowing them to access the
other content on the site, such as for comments or sharing links.

Se um aplicativo for necessário, mas você precisar evitar que ele afete a largura de banda, em vez
de bloqueá-lo totalmente, você pode aplicar um limite de taxa ao aplicativo. Por exemplo, você pode
limitar a taxa de aplicativos usados para armazenamento ou backup, deixando largura de banda
suficiente para aplicativos de streaming mais sensíveis, como videoconferência.
Aplicar modelagem de tráfego a aplicativos é muito útil quando você está tentando limitar o tráfego
que usa os mesmos números de porta TCP ou UDP que aplicativos de missão crítica. Alguns sites de
alto tráfego, como o YouTube, podem ser restringidos dessa maneira.
Examine os detalhes de como funciona a limitação. Nem todas as solicitações de URL para
www.youtube.com são para vídeo. Seu navegador faz várias solicitações HTTPS para:
⦁ A própria página da web
⦁ Imagens
⦁ Scripts e folhas de estilo
⦁ Vídeo
Todos esses itens têm URLs separados. Se você analisar um site como o YouTube, as páginas da
web em si não usam muita largura de banda; é o conteúdo de vídeo que usa mais largura de banda.
Mas, como todo o conteúdo é transportado usando o mesmo protocolo (HTTPS), e os URLs contêm
strings alfanuméricas geradas dinamicamente, as políticas de firewall tradicionais não podem
bloquear ou limitar o tráfego por número de porta ou protocolo porque são iguais. Usando o controle
de aplicativos, você pode limitar a taxa de apenas vídeos. Isso evita que os usuários saturem a
largura de banda da rede, ao mesmo tempo que permite que eles acessem outro conteúdo do site,
como para comentários ou links de compartilhamento.

32-
You can limit the bandwidth of an application category or specific application by configuring a traffic
shaping policy. You can also apply traffic shaping to FortiGuard web filter categories and to the
application group.
You must ensure that the matching criteria aligns with the firewall policy or policies to which you want
to apply shaping. It does not have to match outright. For example, if the source in the firewall policy is
set to all (0.0.0.0/0.0.0.0), the source in the traffic shaping policy can be set to any source that is
included in all, for example, LOCAL_SUBNET (10.0.1.0/24).
If the traffic shaping policy is not visible in the GUI, you can enable it on the Feature Visibility page.
There are two types of shapers that can be configured on the Traffic Shaping Policy page, and you
can apply them in the traffic shaping policy:
⦁ Shared shaper: Applies a total bandwidth to all traffic using that shaper. The scope can be per policy or
for all policies referencing that shaper.
⦁ Per-IP shaper: Applies traffic shaping to all source IP addresses in the security policy. Bandwidth is
equally divided among the group.
Note that the outgoing interface is usually the egress interface (WAN). The Shared shaper setting is
applied to ingress-to-egress traffic, which is useful for restricting bandwidth for uploading. The
Reverse Shaper setting is also a shared shaper, but it is applied to traffic in the reverse direction
(egress-to-ingress traffic).
This is useful for restricting bandwidth for downloading or streaming, because it limits the bandwidth
from the external interface to the internal interface.

Você pode limitar a largura de banda de uma categoria de aplicativo ou aplicativo específico
configurando uma política de modelagem de tráfego. Você também pode aplicar modelagem de
tráfego às categorias de filtro da web FortiGuard e ao grupo de aplicativos.
Você deve garantir que os critérios de correspondência estejam alinhados com a política ou políticas
de firewall às quais deseja aplicar a modelagem. Não precisa ser totalmente igual. Por exemplo, se a
origem na política de firewall for configurada para todos (0.0.0.0/0.0.0.0), a origem na política de
modelagem de tráfego pode ser configurada para qualquer origem incluída em todos, por exemplo,
LOCAL_SUBNET (10.0. 1.0 / 24).
Se a política de modelagem de tráfego não estiver visível na GUI, você pode habilitá-la na página
Visibilidade do recurso.
Existem dois tipos de shapers que podem ser configurados na página Traffic Shaping Policy e você
pode aplicá-los na política de modelagem de tráfego:
⦁ Shaper compartilhado: Aplica uma largura de banda total a todo o tráfego que usa esse shaper. O escopo
pode ser por política ou para todas as políticas que fazem referência a esse shaper.
⦁ Shaper por IP: Aplica modelagem de tráfego a todos os endereços IP de origem na política de segurança.
A largura de banda é dividida igualmente entre o grupo.
Observe que a interface de saída geralmente é a interface de saída (WAN). A configuração do
shaper compartilhado é aplicada ao tráfego de entrada para saída, o que é útil para restringir a
largura de banda para upload. A configuração Reverse Shaper também é um shaper compartilhado,
mas é aplicada ao tráfego na direção reversa (tráfego de saída para entrada).
Isso é útil para restringir a largura de banda para download ou streaming, porque limita a largura de
banda da interface externa para a interface interna.

37-

Regardless of which operation mode application control is configured in, logging must be enabled on
the security or firewall policy. When you enable the logging of security events or all session on a
security or firewall policy, application control events are also logged. You must apply application
control to the security or firewall policy to enable application control event logging.
When the Deny action is selected on a security or firewall policy, the Log Violations option must be
enabled to generate application control events for blocked traffic.

Independentemente de em qual modo de operação o controle de aplicativo está configurado, o log

deve ser habilitado na política de segurança ou firewall. Quando você ativa o registro de eventos de
segurança ou todas as sessões em uma política de segurança ou firewall, os eventos de controle de
aplicativos também são registrados. Você deve aplicar o controle de aplicativos à política de
segurança ou firewall para habilitar o registro de eventos de controle de aplicativos.
Quando a ação Negar é selecionada em uma política de segurança ou firewall, a opção Registrar
Violações deve ser habilitada para gerar eventos de controle de aplicativo para tráfego bloqueado.

38-
All application control events are logged on the Application Control pane on the Log & Report page.
You can view details about individual logs by clicking on the log entry.
In the example shown on this slide, access to Dailymotion is blocked using the default application
control profile. This information is available in the Log Details section, as well as information about the
log source, destination, application, and action.
Note that this log message was generated by application control using a profile-based configuration.
In an NGFW policy-based configuration, you will not find information such as application sensor
name, because it does not apply. The remainder of the information and structure of the log message
is the same for each log, regardless of which inspection mode FortiGate is operating in.
You can also view the details on the Forward Traffic logs pane. This pane is where firewall policies
record activity. You’ll also find a summary of the traffic to which FortiGate applied application control.
Again, this is because application control is applied by a firewall policy. To find out which policy
applied application control, you can review either the Policy ID or the Policy UUID fields of the log
message.

Todos os eventos de controle de aplicativos são registrados no painel Controle de aplicativos na

página Log e relatório. Você pode ver detalhes sobre os registros individuais clicando na entrada do
registro.
No exemplo mostrado neste slide, o acesso ao Dailymotion é bloqueado usando o perfil de controle
de aplicativo padrão. Essas informações estão disponíveis na seção Detalhes do log, bem como
informações sobre a origem, o destino, o aplicativo e a ação do log.
Observe que esta mensagem de log foi gerada pelo controle de aplicativos usando uma configuração
baseada em perfil. Em uma configuração baseada em política do NGFW, você não encontrará
informações como o nome do sensor do aplicativo, porque não se aplica. O restante das informações
e estrutura da mensagem de log é o mesmo para cada log, independentemente do modo de
inspeção em que o FortiGate está operando.
Você também pode ver os detalhes no painel de logs de tráfego de encaminhamento. Este painel é
onde as políticas de firewall registram a atividade. Você também encontrará um resumo do tráfego ao
qual o FortiGate aplicou o controle de aplicativos. Novamente, isso ocorre porque o controle de
aplicativos é aplicado por uma política de firewall. Para descobrir qual política aplicou o controle de
aplicativos, você pode revisar os campos ID da política ou UUID da política da mensagem de log.

39-
On the Dashboard menu, the Top Applications standalone page provides details about each
application, such as the application name, category, and bandwidth. You can drill down further to see
more granular details by double-clicking an individual log entry. The detailed view provides
information about the source, destination, policies, or sessions for the selected application.

No menu Dashboard, a página independente Top Applications fornece detalhes sobre cada
aplicativo, como o nome do aplicativo, categoria e largura de banda. Você pode fazer uma busca
detalhada para ver detalhes mais granulares clicando duas vezes em uma entrada de registro
individual. A visualização detalhada fornece informações sobre a origem, o destino, as políticas ou as
sessões do aplicativo selecionado.

44-

This slide lists some best practices to keep in mind when implementing application control on
FortiGate. Not all traffic requires an application control scan. Don’t apply application control to
internal-only traffic.
To minimize resource use on FortiGate, be as specific as possible when creating firewall policies. This
will not only reduce resource use, it will also help you build a more secure firewall configuration.
Create identical firewall policies for all redundant internet connections, to ensure that the same
inspection is performed on failover traffic. Select Deep-Inspection instead of Certificate-based
inspection for the SSL/SSH inspection mode, to ensure content inspection is performed on encryption
protocols.
FortiGate models that feature specialized chips, such as network processors and content processors,
can offload and accelerate application signature matching for enhanced performance.
You can use a FortiCloud account to save and view application control logs in FortiView, on FortiGate
devices that do not have a log disk.

Este slide lista algumas das melhores práticas a serem lembradas ao implementar o controle de
aplicativos no FortiGate. Nem todo tráfego requer uma varredura de controle de aplicativo. Não
aplique o controle de aplicativos ao tráfego apenas interno.
Para minimizar o uso de recursos no FortiGate, seja o mais específico possível ao criar políticas de
firewall. Isso não apenas reduzirá o uso de recursos, mas também ajudará a criar uma configuração
de firewall mais segura.
Crie políticas de firewall idênticas para todas as conexões redundantes da Internet, para garantir que
a mesma inspeção seja realizada no tráfego de failover. Selecione Deep-Inspection em vez de
inspeção baseada em certificado para o modo de inspeção SSL / SSH, para garantir que a inspeção
de conteúdo seja realizada em protocolos de criptografia.
Modelos FortiGate que apresentam chips especializados, como processadores de rede e
processadores de conteúdo, podem descarregar e acelerar a correspondência de assinatura de
aplicativo para desempenho aprimorado.
Você pode usar uma conta FortiCloud para salvar e visualizar logs de controle de aplicativos no
FortiView, em dispositivos FortiGate que não possuem um disco de log.

45-

If you are experiencing issues with a FortiGuard application control update, start troubleshooting the
issue with the most basic steps:
⦁ Make sure that FortiGate has a stable connection to the internet or FortiManager (if FortiGate is
configured to receive updates from a FortiManager)
⦁ If the internet connection is stable, check DNS resolution on FortiGate
⦁ If FortiGate is installed behind a network firewall, make sure that port 443 is being allowed from
FortiGate
You can check the FortiGuard website for the latest version of the application control database. If your
locally installed database is out-of-date, try forcing FortiGate to check for the latest updates by
running the execute update-now command.

Se você estiver tendo problemas com uma atualização de controle de aplicativo FortiGuard, comece
a solucionar o problema com as etapas mais básicas:
⦁ Certifique-se de que o FortiGate tenha uma conexão estável com a internet ou FortiManager (se o
FortiGate estiver configurado para receber atualizações de um FortiManager)
⦁ Se a conexão com a internet estiver estável, verifique a resolução DNS no FortiGate
⦁ Se o FortiGate estiver instalado atrás de um firewall de rede, certifique-se de que a porta 443 está sendo
permitida pelo FortiGate
Você pode verificar o site FortiGuard para obter a versão mais recente do banco de dados de
controle de aplicativos. Se o banco de dados instalado localmente estiver desatualizado, tente forçar
o FortiGate a verificar as atualizações mais recentes, executando o comando execute update-now.

● LESSON 10: Antivirus

4-

An antivirus is a database of virus signatures that is used to identify infections. During an antivirus
scan, in order to be detected as a virus, the virus must match a defined pattern called a signature.
Different vendors assign different names to the same virus. All vendors use the attack vector
designation in the virus name. The vector comes at the beginning of the virus name. Some examples
include:
⦁ W32, which represents 32-bit Windows
⦁ W64, which represents 64-bit Windows
⦁ JS, which represents JavaScript (which is cross-platform)
Some vendors also use a pattern as part of the virus name. Some patterns detect only one virus per
pattern. Other patterns are more flexible and can detect multiple viruses per pattern. The pattern that
the vendor uses depends on the vendor’s engine.
Host-based antivirus software, such as FortiClient, can help at the host level; however, host-based
antivirus software cannot be installed on routers. Also, guest Wi-Fi networks and ISP customers might
not have antivirus software installed.
So, how can you protect guest networks, ISP customers, and your own network from malware
threats?

Um antivírus é um banco de dados de assinaturas de vírus usado para identificar infecções. Durante
uma varredura antivírus, para ser detectado como um vírus, o vírus deve corresponder a um padrão
definido denominado assinatura.
Fornecedores diferentes atribuem nomes diferentes ao mesmo vírus. Todos os fornecedores usam a
designação do vetor de ataque no nome do vírus. O vetor vem no início do nome do vírus. Alguns
exemplos incluem:
⦁ W32, que representa o Windows de 32 bits
⦁ W64, que representa o Windows de 64 bits
⦁ JS, que representa JavaScript (que é multiplataforma)
Alguns fornecedores também usam um padrão como parte do nome do vírus. Alguns padrões
detectam apenas um vírus por padrão. Outros padrões são mais flexíveis e podem detectar vários
vírus por padrão. O padrão que o fornecedor usa depende do mecanismo do fornecedor.
O software antivírus baseado em host, como FortiClient, pode ajudar no nível do host; no entanto, o
software antivírus baseado em host não pode ser instalado em roteadores. Além disso, redes Wi-Fi
de convidados e clientes de ISP podem não ter software antivírus instalado.
Então, como você pode proteger as redes de convidados, clientes de ISP e sua própria rede contra
ameaças de malware?

5-

Like viruses, which use many methods to avoid detection, FortiGate uses many techniques to detect
viruses. These detection techniques include:
⦁ Antivirus scan: This is the first, fastest, simplest way to detect malware. It detects viruses that are an
exact match for a signature in the antivirus database.
⦁ Grayware scan: This scan detects unsolicited programs, known as grayware, that have been installed
without the user’s knowledge or consent. Grayware is not technically a virus. It is often bundled with
innocuous software, but does have unwanted side effects, so it is categorized as malware. Often, grayware
can be detected with a simple FortiGuard grayware signature.
⦁ Heuristics scan: These scans are based on probability, so they increase the possibility of false positives,
but they also detect zero-day viruses. Zero-day viruses are viruses that are new, unknown, and, therefore,
have no existing associated signature. If your network is a frequent target, enabling a heuristics scan may
be worth the performance cost because it can help you to detect a virus before the outbreak begins. By
default, when the heuristic engine detects a virus-like characteristic, it logs the file as Suspicious but does
not block it. You can choose whether to block or allow suspicious files.
The heuristics scan is an optional feature that must be enabled in the CLI. You can configure the
action for the heuristic scan to pass, block, disable using the CLI command and by setting the modes
to:
⦁ pass: Detected files will be passed by FortiGate and will record an event log.
⦁ block: Detected files will be blocked by FortiGate and will record an event log.
If all antivirus features are enabled, FortiGate applies the following scanning order: antivirus scan >
grayware scan > heuristics scan.

Como os vírus, que usam muitos métodos para evitar a detecção, o FortiGate usa muitas técnicas
para detectar vírus. Essas técnicas de detecção incluem:
⦁ Varredura antivírus: Esta é a primeira, mais rápida e simples maneira de detectar malware. Ele detecta
vírus que correspondem exatamente a uma assinatura no banco de dados de antivírus.
⦁ Verificação de grayware: essa verificação detecta programas não solicitados, conhecidos como grayware,
que foram instalados sem o conhecimento ou consentimento do usuário. Grayware não é tecnicamente um
vírus. Muitas vezes, é fornecido com software inócuo, mas tem efeitos colaterais indesejados, por isso é
classificado como malware. Freqüentemente, o grayware pode ser detectado com uma assinatura de
grayware FortiGuard simples.
⦁ Varredura heurística: Essas varreduras são baseadas na probabilidade, portanto, aumentam a possibilidade
de falsos positivos, mas também detectam vírus de dia zero. Os vírus de dia zero são vírus novos,
desconhecidos e, portanto, não possuem assinatura associada existente. Se sua rede for um alvo frequente, a
ativação de uma varredura heurística pode compensar o custo do desempenho, pois pode ajudá-lo a
detectar um vírus antes que o surto comece. Por padrão, quando o mecanismo heurístico detecta uma
característica semelhante a um vírus, ele registra o arquivo como Suspeito, mas não o bloqueia. Você pode
escolher se deseja bloquear ou permitir arquivos suspeitos.
A varredura heurística é um recurso opcional que deve ser habilitado na CLI. Você pode configurar a
ação para que a verificação heurística passe, bloqueie, desative usando o comando CLI e definindo
os modos para:
⦁ pass: Os arquivos detectados serão passados pelo FortiGate e irão registrar um log de eventos.
⦁ bloquear: Os arquivos detectados serão bloqueados pelo FortiGate e registrarão um log de eventos.
Se todos os recursos antivírus estiverem habilitados, o FortiGate aplica a seguinte ordem de
verificação: verificação antivírus> verificação de grayware> verificação heurística.

6-
What if heuristics scans are too uncertain? What if you need a more sophisticated, more certain way
to detect malware and find zero-day viruses?
You can integrate your antivirus scans with FortiSandbox. For environments that require more
certainty, FortiSandbox executes the file within a protected environment (VMs), then examines the
effects of the software to see if it is dangerous.
For example, let’s say you have two files. Both alter the system registry and are, therefore,
suspicious. One is a driver installation—its behavior is normal—but the second file installs a virus that
connects to a botnet command and control server. Sandboxing would reveal the difference.
FortiGate can be configured to receive a supplementary signature database from FortiSandbox based
on the sandboxed results.

E se as varreduras heurísticas forem muito incertas? E se você precisar de uma maneira mais
sofisticada e segura de detectar malware e encontrar vírus de dia zero?
Você pode integrar suas varreduras de antivírus com FortiSandbox. Para ambientes que exigem mais
certeza, o FortiSandbox executa o arquivo em um ambiente protegido (VMs) e, a seguir, examina os
efeitos do software para ver se ele é perigoso.
Por exemplo, digamos que você tenha dois arquivos. Ambos alteram o registro do sistema e,
portanto, são suspeitos. Um é a instalação de um driver - seu comportamento é normal - mas o
segundo arquivo instala um vírus que se conecta a um comando botnet e servidor de controle.
Sandboxing revelaria a diferença.
O FortiGate pode ser configurado para receber um banco de dados de assinatura suplementar do
FortiSandbox com base nos resultados do sandbox.

7-
FortiOS is smart when it comes to determining what files are sent to FortiSandbox. FortiGuard
provides FortiGate with information, based on the current threat climate, that is used to determine if a
file should be deemed suspicious or not. FortiGate provides the administrator with granular control
when it comes to determining what type of files are sent to FortiSandbox for further investigation.
Administrators also have the option to use the FortiSandbox database in conjunction with the
FortiGuard AV database to enhance their network security.

O FortiOS é inteligente quando se trata de determinar quais arquivos são enviados para o
FortiSandbox. O FortiGuard fornece ao FortiGate informações, com base no clima de ameaça atual,
que são usadas para determinar se um arquivo deve ser considerado suspeito ou não. O FortiGate
fornece ao administrador controle granular quando se trata de determinar quais tipos de arquivos são
enviados ao FortiSandbox para investigação posterior. Os administradores também têm a opção de
usar o banco de dados FortiSandbox em conjunto com o banco de dados FortiGuard AV para
aumentar a segurança da rede.

8-
You can update the antivirus database using the push method, schedule method, or both methods.
Scheduled updates allow you to configure scheduled updates at regular intervals, such as hourly,
daily, or weekly. You can also enable Accept push updates, which allows you to add new definitions
as soon as they are released by FortiGuard. This is useful for high-security environments, because
FortiGate will receive urgent security updates as soon as they are released.
Regardless of which method you select, you must enable virus scanning in at least one firewall policy.
Otherwise, FortiGate will not download any updates. Alternatively, you can download packages from
the Fortinet customer service and support website (requires subscription), and then manually upload
them to your FortiGate. You can verify the update status and signature versions from the FortiGuard
page on the GUI or using the CLI console.

Você pode atualizar o banco de dados de antivírus usando o método push, o método de
programação ou ambos os métodos. As atualizações programadas permitem que você configure as
atualizações programadas em intervalos regulares, como de hora em hora, diariamente ou
semanalmente. Você também pode ativar Aceitar atualizações por push, o que permite adicionar
novas definições assim que forem lançadas pelo FortiGuard. Isso é útil para ambientes de alta
segurança, porque FortiGate receberá atualizações de segurança urgentes assim que forem
lançadas.
Independentemente do método selecionado, você deve habilitar a verificação de vírus em pelo
menos uma política de firewall. Caso contrário, o FortiGate não baixará nenhuma atualização.
Alternativamente, você pode baixar pacotes do site de atendimento ao cliente e suporte da Fortinet
(requer assinatura), e então carregá-los manualmente para o seu FortiGate. Você pode verificar o
status de atualização e as versões de assinatura na página do FortiGuard na GUI ou usando o
console CLI.

9-
Multiple FortiGuard antivirus databases exist, which you can configure using CLI commands. Support
for each database type varies by FortiGate model.
All FortiGate devices include the extended database. The extended database contains signatures for
viruses that have been detected in recent months, as identified by the FortiGuard Global Security
Research Team. The extended database also detects viruses that are no longer active.
The extreme database is intended for use in high-security environments. The extreme database
detects all known viruses, including viruses targeted at legacy operating systems that are no longer
widely used. Most FortiGate models support the extreme database.

Existem vários bancos de dados de antivírus FortiGuard, que você pode configurar usando
comandos CLI. O suporte para cada tipo de banco de dados varia de acordo com o modelo
FortiGate.
Todos os dispositivos FortiGate incluem o banco de dados estendido. O banco de dados estendido
contém assinaturas de vírus que foram detectados nos últimos meses, conforme identificado pela
FortiGuard Global Security Research Team. O banco de dados estendido também detecta vírus que
não estão mais ativos.
O banco de dados extremo destina-se ao uso em ambientes de alta segurança. O banco de dados
extremo detecta todos os vírus conhecidos, incluindo vírus direcionados a sistemas operacionais
legados que não são mais amplamente usados. A maioria dos modelos FortiGate suporta o banco de
dados extremo.

10-
Content disarm and reconstruction (CDR): The CDR removes exploitable content and replaces it with
content that's known to be safe. As files are processed through an enabled antivirus profile, content
that's found to be malicious or unsafe is replaced with content that allows the traffic to continue, but
doesn't put the recipient at risk. Content that can be scanned includes PDF and Microsoft Office files
leaving the network on CDR- supported protocols (such as HTTP, SMTP, IMAP, and POP3—MAPI
isn't supported). When the client tries to download the file, FortiGate removes all exploitable content in
real-time, then the original file is sent to FortiSandbox for inspection. The client can download the
original file by logging in to the FortiSandbox.
Virus outbreak prevention: An additional layer of protection that keeps your network safe from newly
emerging malware. Quick virus outbreaks can infect a network before signatures can be developed to
stop them.
Outbreak protection stops these virus outbreaks until signatures become available in FortiGuard.
FortiGate must have a Zero-Hour Virus Outbreak (ZHVO) license. FortiGate adds hash-based virus
detection for new threats that are not yet detected by the antivirus signatures. When the file is sent to
the scanunit deamon, buffers are hashed and a request is sent to the urlfilter deamon. After checking
against its request cache for known signatures, the urlfilter deamon sends an antivirus request to
FortiGuard with the remaining signatures. FortiGuard returns a rating that is used to determine if the
scanunit deamon should report the file as harmful or not. Jobs remain suspended in the scanunit
deamon until the client receives a response, or the request times out.
Malware block list: FortiGate can enhance the antivirus database by linking a dynamic external
malware block list to FortiGate. The list is hosted on a web server and is available through
HTTP/HTTPS URL defined within the Security Fabric malware hash list. The list can be in the forms of
MD5, SHA1, and SHA256 hashes, and are written on separate lines on a plaintext file. The malware
block list can be defined as a Security Fabric connector and configured to pull the list dynamically by
setting the refresh rate.

Desarmamento e reconstrução de conteúdo (CDR): o CDR remove o conteúdo explorável e o

substitui por conteúdo que é conhecido como seguro. Conforme os arquivos são processados por
meio de um perfil de antivírus habilitado, o conteúdo considerado malicioso ou inseguro é substituído
por conteúdo que permite que o tráfego continue, mas não coloca o destinatário em risco. O
conteúdo que pode ser digitalizado inclui arquivos PDF e Microsoft Office que saem da rede em
protocolos compatíveis com CDR (como HTTP, SMTP, IMAP e POP3 - MAPI não é compatível).
Quando o cliente tenta baixar o arquivo, o FortiGate remove todo o conteúdo explorável em tempo
real, então o arquivo original é enviado ao FortiSandbox para inspeção. O cliente pode baixar o
arquivo original fazendo login no FortiSandbox.
Prevenção contra epidemias de vírus: uma camada adicional de proteção que mantém sua rede
segura contra malware emergente. Surtos rápidos de vírus podem infectar uma rede antes que as
assinaturas possam ser desenvolvidas para impedi-los.
A proteção contra epidemias interrompe esses ataques de vírus até que as assinaturas estejam
disponíveis no FortiGuard. O FortiGate deve ter uma licença Zero-Hour Virus Outbreak (ZHVO). O
FortiGate adiciona detecção de vírus baseada em hash para novas ameaças que ainda não foram
detectadas pelas assinaturas de antivírus. Quando o arquivo é enviado para o deamon scanunit, os
buffers são hash e uma solicitação é enviada para o deamon urlfilter. Após verificar em seu cache de
solicitação por assinaturas conhecidas, o urlfilter deamon envia uma solicitação de antivírus ao
FortiGuard com as assinaturas restantes. O FortiGuard retorna uma classificação que é usada para
determinar se o scanunit deamon deve relatar o arquivo como prejudicial ou não. Os trabalhos
permanecem suspensos no scanunit deamon até que o cliente receba uma resposta ou a solicitação
expire.
Lista de bloqueio de malware: FortiGate pode aprimorar o banco de dados de antivírus vinculando
uma lista de bloqueio de malware externo dinâmico ao FortiGate. A lista é hospedada em um servidor
da web e está disponível por meio do URL HTTP / HTTPS definido na lista de hash de malware do
Security Fabric. A lista pode ter as formas de hashes MD5, SHA1 e SHA256 e são gravadas em
linhas separadas em um arquivo de texto simples. A lista de bloqueio de malware pode ser definida
como um conector do Security Fabric e configurada para puxar a lista dinamicamente, definindo a
taxa de atualização.

15-

AV can operate in flow-based or proxy-based inspection mode, both of which use the full AV database
(extended or extreme–depending on the CLI settings) and the IPS engine to examine network traffic.
Flow-based inspection mode uses a hybrid of the scanning modes available in proxy-based
inspection: the default scanning mode and the legacy scanning mode. The default mode enhances
the scanning of nested archive files without buffering the container archive file. The legacy mode
buffers the full container, and then scans it.
In flow-based inspection mode, the IPS engine reads the payload of each packet, caches a local
copy, and forwards the packet to the receiver at the same time. Because the file is transmitted
simultaneously, flow- based mode consumes more CPU cycles than proxy-based. However,
depending on the FortiGate model, some operations can be offloaded to SPUs to improve
performance. When FortiGate receives the last packet of the file, it puts the packet on hold and sends
a copy to the IPS engine. The IPS engine extracts the payload and assembles the whole file, and then
sends the whole file to the AV engine for scanning.
Two possible scenarios can occur when a virus is detected:
⦁ When a virus is detected on a TCP session where some packets have been already forwarded to the
receiver, FortiGate resets the connection and does not send the last piece of the file. Although the receiver
got most of the file content, the file has been truncated and therefore, can’t be opened. The IPS engine also
caches the URL of the infected file, so that if a second attempt to transmit the file is made, the IPS engine
will then send a block replacement message to the client instead of scanning the file again.
⦁ If the virus is detected at the start of the connection, the IPS engine sends the block replacement
message immediately.

O AV pode operar no modo de inspeção baseado em fluxo ou proxy, sendo que ambos usam o
banco de dados AV completo (estendido ou extremo - dependendo das configurações CLI) e o
mecanismo IPS para examinar o tráfego de rede.
O modo de inspeção baseado em fluxo usa um híbrido dos modos de varredura disponíveis na
inspeção baseada em proxy: o modo de varredura padrão e o modo de varredura legado. O modo
padrão aprimora a varredura de arquivos compactados aninhados sem armazenar em buffer o
arquivo compactado do contêiner. O modo legado armazena em buffer o contêiner completo e, em
seguida, verifica-o.
No modo de inspeção baseado em fluxo, o mecanismo IPS lê a carga útil de cada pacote, armazena
em cache uma cópia local e encaminha o pacote para o receptor ao mesmo tempo. Como o arquivo
é transmitido simultaneamente, o modo baseado em fluxo consome mais ciclos de CPU do que o
modo proxy. No entanto, dependendo do modelo FortiGate, algumas operações podem ser
transferidas para SPUs para melhorar o desempenho. Quando o FortiGate recebe o último pacote do
arquivo, ele coloca o pacote em espera e envia uma cópia para o mecanismo IPS. O mecanismo IPS
extrai a carga útil e monta todo o arquivo e, em seguida, envia o arquivo inteiro para o mecanismo AV
para verificação.
Dois cenários possíveis podem ocorrer quando um vírus é detectado:
⦁ Quando um vírus é detectado em uma sessão TCP onde alguns pacotes já foram encaminhados ao
receptor, o FortiGate zera a conexão e não envia a última parte do arquivo. Embora o destinatário tenha
obtido a maior parte do conteúdo do arquivo, o arquivo foi truncado e, portanto, não pode ser aberto. O
mecanismo IPS também armazena em cache a URL do arquivo infectado, de forma que, se uma segunda
tentativa de transmitir o arquivo for feita, o mecanismo IPS enviará uma mensagem de substituição de
bloco ao cliente em vez de verificar o arquivo novamente.
⦁ Se o vírus for detectado no início da conexão, o mecanismo IPS enviará a mensagem de substituição do
bloco imediatamente.

16-
As you can see on this slide, the client sends a request and starts receiving packets immediately, but
FortiGate also caches those packets at the same time. When the last packet arrives, FortiGate
caches it and puts it on hold. Then, the IPS engine extracts the payload of the last packet, assembles
the whole file, and sends it to the antivirus engine for scanning. If the antivirus scan does not detect
any viruses, and the result comes back clean, the last cached packet is regenerated and delivered to
the client. However, if a virus is found, the last packet is dropped. Even if the client has received most
of the file, the file will be truncated and the client will be not able to open a truncated file.
Regardless of which mode you use, the scan techniques give similar detection rates. How can you
choose between the scan engines? If performance is your top priority, then flow inspection mode is
more appropriate. If security is your priority, proxy inspection mode—with client comforting disabled—
is more appropriate.

Como você pode ver neste slide, o cliente envia uma solicitação e começa a receber os pacotes
imediatamente, mas o FortiGate também armazena esses pacotes em cache ao mesmo tempo.
Quando o último pacote chega, o FortiGate o armazena em cache e o coloca em espera. Em
seguida, o mecanismo IPS extrai a carga útil do último pacote, monta o arquivo inteiro e o envia ao
mecanismo antivírus para verificação. Se a varredura antivírus não detectar nenhum vírus e o
resultado voltar limpo, o último pacote armazenado em cache é gerado novamente e entregue ao
cliente. No entanto, se um vírus for encontrado, o último pacote será descartado. Mesmo se o cliente
tiver recebido a maior parte do arquivo, o arquivo será truncado e o cliente não poderá abrir um
arquivo truncado.
Independentemente de qual modo você usa, as técnicas de varredura fornecem taxas de detecção
semelhantes. Como você pode escolher entre os mecanismos de verificação? Se o desempenho for
sua prioridade, o modo de inspeção de fluxo é mais apropriado. Se a segurança for sua prioridade, o
modo de inspeção de proxy - com conforto do cliente desativado - é mais apropriado.

17-
This slide shows an example of the AntiVirus Profile operating in flow-based inspection mode. By
default, Feature set is set to Flow-based.

Este slide mostra um exemplo do Perfil do AntiVírus operando no modo de inspeção baseado em
fluxo. Por padrão, o conjunto de recursos é definido como baseado em fluxo.

18-

Each protocol’s proxy picks up a connection and buffers the entire file first (or waits until the oversize
limit is reached) before scanning. The client must wait for the scanning to finish. If the virus is
detected, the block replacement page is displayed immediately. Because FortiGate has to buffer the
whole file and then do the scanning, it takes a long time to scan. Also, from the client point of view, it
has to wait for the scanning to finish and might terminate the connection due to lack of data.
You can configure client comforting for HTTP and FTP from the config firewall profile-protocol- options
command tree. This allows the proxy to slowly transmit some data until it can complete the buffer and
finish the scan. This prevents a connection or session timeout. No block replacement message
appears in the first attempt, as FortiGate is transmitting the packets to the end client.

O proxy de cada protocolo pega uma conexão e armazena em buffer o arquivo inteiro primeiro (ou
espera até que o limite de tamanho excessivo seja alcançado) antes da digitalização O cliente deve
aguardar o término da digitalização. Se o vírus for detectado, a página de substituição de bloqueio
será exibida imediatamente. Como o FortiGate precisa armazenar todo o arquivo em buffer e depois
fazer a varredura, a varredura demora muito. Além disso, do ponto de vista do cliente, ele deve
aguardar o término da digitalização e pode encerrar a conexão por falta de dados.
Você pode configurar o conforto do cliente para HTTP e FTP a partir da árvore de comandos config
firewall profile-protocol- options. Isso permite que o proxy transmita lentamente alguns dados até que
possa completar o buffer e finalizar a varredura. Isso evita uma conexão ou tempo limite de sessão.
Nenhuma mensagem de substituição de bloco aparece na primeira tentativa, pois o FortiGate está
transmitindo os pacotes para o cliente final.

19-

With a proxy inspection mode scan, the client sends a request and FortiGate starts buffering the
whole file, then sends it to the antivirus engine for scanning. If the file is clean (without any viruses),
FortiGate starts transmitting the file to the end client. If a virus is found, no packets are delivered to
the end client and the proxy sends the replacement block message to the end client.

Com uma varredura no modo de inspeção de proxy, o cliente envia uma solicitação e o FortiGate
começa a armazenar todo o arquivo em buffer, em seguida, o envia ao mecanismo antivírus para
varredura. Se o arquivo estiver limpo (sem vírus), o FortiGate começa a transmitir o arquivo para o
cliente final. Se um vírus for encontrado, nenhum pacote será entregue ao cliente final e o proxy
enviará a mensagem de bloqueio de substituição ao cliente final.

20-
Applying a proxy-based antivirus profile requires two sections in FortiGate configuration to use non-
default settings:
⦁ Antivirus profile
⦁ Firewall policy
Antivirus profile provides the option to select a proxy-based approach as the inspection mode within
the profile. This allows the profile to inspect MAPI protocol traffic, as well as to sanitize Microsoft
documents and PDF files using the content disarm and reconstruction (CDR) feature.
If the inspection mode on the antivirus profile is set as Proxy-based, it is only available when the
firewall policy inspection mode is set to Proxy-based.

A aplicação de um perfil de antivírus baseado em proxy requer duas seções na configuração do

FortiGate para usar configurações não padrão:
⦁ Perfil antivírus
⦁ Política de firewall
O perfil antivírus oferece a opção de selecionar uma abordagem baseada em proxy como o modo de
inspeção dentro do perfil. Isso permite que o perfil inspecione o tráfego do protocolo MAPI, bem
como higienize documentos da Microsoft e arquivos PDF usando o recurso de desarme e
reconstrução de conteúdo (CDR).
Se o modo de inspeção no perfil de antivírus estiver definido como Baseado em Proxy, ele estará
disponível apenas quando o modo de inspeção de política de firewall estiver definido como Baseado
em Proxy.

21-
This slide provides comparison of the different antivirus scanning modes.

Este slide fornece uma comparação dos diferentes modos de varredura antivírus.

26-

The antivirus profile can be configured on the AntiVirus page. Since the default inspection mode on a
firewall policy is flow-based, Feature set is required to be set to Flow-based. If the inspection mode of
the firewall policy is proxy-based, Feature set can be set to Proxy-based, which allows specific
functions that are only available using proxy-based inspection mode firewall policy such as MAPI
protocol and CDR.
Both feature sets provide the following options:
APT (Advanced Persistent Threats) Protection Options:
⦁ Treat Windows Executables in Email Attachment as Viruses: By default, this option is enabled and files
(including compressed files) identified as Windows executables can be treated as viruses.
⦁ Send Files to FortiSandbox Appliance for Inspection: If FortiSandbox Cloud or Appliance is configured,
you can configure the antivirus profile to send malicious files to FortiSandbox for behaviour analysis. If
tagged as malicious, any future files matching the same behavior will be blocked if Use FortiSandbox
Database is enabled.
Virus Outbreak Prevention:
⦁ Use FortiGuard Virus Outbreak Prevention Database: FortiGuard virus outbreak prevention is an
additional layer of protection that keeps your network safe from newly emerging malware. Quick virus
outbreaks can infect a network before signatures can be developed to stop them. Outbreak protection stops
these virus outbreaks until signatures become available on FortiGuard.
⦁ Use External Malware Block List: FortiGate can enhance the antivirus database by linking a dynamic
external malware block list to FortiGate. Malware block list can be defined as a Security Fabric connector
and configured to pull the list dynamically by setting the refresh rate.
In the antivirus profile, you can define what FortiGate should do if it detects an infected file. After you
configure an antivirus profile, you must apply it in the firewall policy.

O perfil de antivírus pode ser configurado na página AntiVírus. Como o modo de inspeção padrão em
uma política de firewall é baseado em fluxo, o conjunto de recursos deve ser definido como baseado
em fluxo. Se o modo de inspeção da política de firewall for baseado em proxy, o conjunto de recursos
pode ser definido como baseado em proxy, o que permite funções específicas que só estão
disponíveis usando a política de firewall do modo de inspeção baseado em proxy, como protocolo
MAPI e CDR.
Ambos os conjuntos de recursos oferecem as seguintes opções:
Opções de proteção de APT (ameaças persistentes avançadas):
⦁ Tratar executáveis do Windows em anexos de e-mail como vírus: Por padrão, essa opção é habilitada e os
arquivos (incluindo arquivos compactados) identificados como executáveis do Windows podem ser tratados
como vírus.
⦁ Enviar arquivos para FortiSandbox Appliance para inspeção: Se FortiSandbox Cloud ou Appliance estiver
configurado, você pode configurar o perfil de antivírus para enviar arquivos maliciosos para FortiSandbox
para análise de comportamento. Se marcado como malicioso, quaisquer arquivos futuros com o mesmo
comportamento serão bloqueados se Usar banco de dados FortiSandbox estiver habilitado.
Prevenção de epidemia de vírus:
⦁ Use o banco de dados de prevenção contra epidemias de vírus FortiGuard: a prevenção contra epidemias
de vírus FortiGuard é uma camada adicional de proteção que mantém sua rede protegida contra malware
emergente. Surtos rápidos de vírus podem infectar uma rede antes que as assinaturas possam ser
desenvolvidas para impedi-los. A proteção contra epidemias interrompe esses ataques de vírus até que as
assinaturas estejam disponíveis no FortiGuard.
⦁ Usar Lista Externa de Bloqueio de Malware: O FortiGate pode aprimorar o banco de dados de antivírus
vinculando uma lista de bloqueio externo de malware dinâmico ao FortiGate. A lista de bloqueio de
malware pode ser definida como um conector do Security Fabric e configurada para puxar a lista
dinamicamente, definindo a taxa de atualização.
No perfil do antivírus, você pode definir o que o FortiGate deve fazer se detectar um arquivo
infectado. Depois de configurar um perfil de antivírus, você deve aplicá-lo na política de firewall.

27-
Protocol options provide more granular control than antivirus profiles. You can configure protocol port
mappings, common options, web options, and email options, to name a few.
By default, Feature set is set to Flow-based. It can be set to Proxy-based, which allows a function to
add a Fortinet bar for the purpose of presenting the countdown for FortiGuard quotas, and is only
available on firewall policy using proxy-based inspection mode.
You can configure protocol options on the Proxy Options page on the GUI or from the CLI. Protocol
options are used by antivirus and other security profiles, such as web filtering, DNS filtering, and data
loss prevention (DLP), to name a few.
Once protocol options are configured, they are applied in the firewall policy.

As opções de protocolo fornecem controle mais granular do que os perfis de antivírus. Você pode
configurar mapeamentos de porta de protocolo, opções comuns, opções da web e opções de e-mail,
para citar alguns.
Por padrão, o conjunto de recursos é definido como baseado em fluxo. Pode ser definido como
baseado em proxy, o que permite uma função para adicionar uma barra Fortinet com o objetivo de
apresentar a contagem regressiva para cotas FortiGuard, e está disponível apenas na política de
firewall usando o modo de inspeção baseado em proxy.
Você pode configurar opções de protocolo na página Opções de proxy na GUI ou no CLI. As opções
de protocolo são usadas por antivírus e outros perfis de segurança, como filtragem da web, filtragem
de DNS e prevenção de perda de dados (DLP), para citar alguns.
Depois que as opções de protocolo são configuradas, elas são aplicadas na política de firewall.

28-
So what is the recommended buffer limit? It varies by model and configuration. You can adjust the
oversize-limit for your network for optimal performance. A smaller buffer minimizes proxy latency (for
both scanning modes) and RAM usage, but that may allow viruses to pass through undetected. When
a buffer is too large, clients may notice transmission timeouts. You need to balance the two.
If you aren’t sure about the value to set oversize-limit to, you can temporarily enable oversize-log to
see if your FortiGate is scanning large files frequently. You can then adjust the value accordingly.
Files that are bigger than the oversize limit are bypassed from scanning. You can enable logging of
oversize files by enabling the oversize-log option from the CLI.

Então, qual é o limite de buffer recomendado? Isso varia de acordo com o modelo e a configuração.
Você pode ajustar o
limite de tamanho excessivo para sua rede para desempenho ideal. Um buffer menor minimiza a
latência do proxy (para ambos os modos de varredura) e o uso de RAM, mas isso pode permitir que
vírus passem sem serem detectados. Quando um buffer é muito grande, os clientes podem notar
tempos limite de transmissão. Você precisa equilibrar os dois.
Se você não tiver certeza sobre o valor para definir o limite de tamanho excessivo, você pode
habilitar temporariamente o registro de tamanho maior para ver se o FortiGate está escaneando
arquivos grandes com freqüência. Você pode então ajustar o valor de acordo.
Arquivos maiores do que o limite de tamanho maior são ignorados na verificação. Você pode habilitar
o registro de arquivos de tamanho grande habilitando a opção de log de tamanho grande da CLI.

29-
Large files are often compressed. When compressed files go through scanning, the compression acts
like encryption: the signatures won't match. So, FortiGate must decompress the file in order to scan it.
Before decompressing a file, FortiGate must first identify the compression algorithm. Some archive
types can be correctly identified using only the header. Also, FortiGate must check whether the file is
password protected. If the archive is protected with a password, FortiGate can’t decompress it, and,
therefore, can’t scan it.
FortiGate decompresses files into RAM. Just like other large files, the RAM buffer has a maximum
size. Increasing this limit may decrease performance, but it allows you to scan larger compressed
files.
If an archive is nested—for example, if an attacker is trying to circumvent your scans by putting a zip
file inside the zip file—FortiGate will try to undo all layers of compression. By default, FortiGate will
attempt to decompress and scan up to 12 layers deep, but you can configure it to scan up to the
maximum number supported by your device (usually 100). Often, you shouldn’t increase this setting
because it increases RAM usage.

Arquivos grandes geralmente são compactados. Quando os arquivos compactados passam pela
varredura, a compactação atua como criptografia: as assinaturas não coincidem. Portanto, o
FortiGate deve descompactar o arquivo para fazer a varredura.
Antes de descompactar um arquivo, FortiGate deve primeiro identificar o algoritmo de compressão.
Alguns tipos de arquivo podem ser identificados corretamente usando apenas o cabeçalho. Além
disso, o FortiGate deve verificar se o arquivo está protegido por senha. Se o arquivo estiver protegido
por senha, o FortiGate não pode descompactá-lo e, portanto, não pode digitalizá-lo.
O FortiGate descompacta os arquivos na RAM. Assim como outros arquivos grandes, o buffer de
RAM tem um tamanho máximo. Aumentar esse limite pode diminuir o desempenho, mas permite que
você verifique arquivos compactados maiores.
Se um arquivo estiver aninhado - por exemplo, se um invasor está tentando burlar suas verificações
colocando um arquivo zip dentro do arquivo zip - o FortiGate tentará desfazer todas as camadas de
compressão. Por padrão, o FortiGate tentará descompactar e escanear até 12 camadas de
profundidade, mas você pode configurá-lo para escanear até o número máximo suportado pelo seu
dispositivo (geralmente 100). Frequentemente, você não deve aumentar essa configuração porque
aumenta o uso de RAM.

30-
An antivirus profile in full scan mode buffers up to your specified file size limit. The default is 10 MB.
That is large enough for most files, except video files. If your FortiGate model has more RAM, you
may be able to increase this threshold.
Without a limit, very large files could exhaust the scan memory. So, this threshold balances risk and
performance. Is this tradeoff unique to FortiGate, or to a specific model? No. Regardless of vendor or
model, you must make a choice. This is because of the difference between scans in theory, that have
no limits, and scans on real-world devices, that have finite RAM. In order to detect 100% of malware
regardless of file size, a firewall would need infinitely large RAM—something that no device has in the
real world.
Most viruses are very small. This table shows a typical tradeoff. You can see that with the default 10
MB threshold, only 0.01% of viruses pass through.

Um perfil de antivírus no modo de varredura completa armazena até o limite de tamanho de arquivo
especificado. O padrão é 10 MB. Isso é grande o suficiente para a maioria dos arquivos, exceto
arquivos de vídeo. Se o seu modelo FortiGate tiver mais RAM, você poderá aumentar esse limite.
Sem limite, arquivos muito grandes podem esgotar a memória da digitalização. Portanto, esse limite
equilibra risco e desempenho. Essa compensação é exclusiva do FortiGate ou de um modelo
específico? Não. Independentemente do fornecedor ou modelo, você deve fazer uma escolha. Isso
ocorre por causa da diferença entre as varreduras em teoria, que não têm limites, e as varreduras em
dispositivos do mundo real, que têm RAM finita. Para detectar 100% do malware, independentemente
do tamanho do arquivo, um firewall precisaria de uma RAM infinitamente grande - algo que nenhum
dispositivo possui no mundo real.
A maioria dos vírus é muito pequena. Esta tabela mostra uma compensação típica. Você pode ver
que, com o limite padrão de 10 MB, apenas 0,01% dos vírus passam.

31-
Before FortiGate devices can start scanning traffic for malware, you need to apply the antivirus profile,
the protocol options, and SSL/SSH inspection profiles on the firewall policy.
In full SSL inspection level, FortiGate terminates the SSL/TLS handshake at its own interface, before
it reaches the server. When certificates and private keys are exchanged, it is with FortiGate and not
the server. Next, FortiGate starts a second connection with the server.
Because traffic is unencrypted while passing between its interfaces, FortiGate can inspect the
contents and look for matches with the antivirus signature database, before it re-encrypts the packet
and forwards it.
For these reasons, full SSL inspection level is the only choice that allows antivirus to be effective.

Antes que os dispositivos FortiGate possam começar a escanear o tráfego em busca de malware,
você precisa aplicar o perfil antivírus, as opções de protocolo e os perfis de inspeção SSL / SSH na
política de firewall.
No nível de inspeção SSL completo, o FortiGate termina o handshake SSL / TLS em sua própria
interface, antes que ele alcance o servidor. Quando certificados e chaves privadas são trocados, é
com o FortiGate e não com o servidor. Em seguida, o FortiGate inicia uma segunda conexão com o
servidor.
Como o tráfego não é criptografado enquanto passa entre suas interfaces, o FortiGate pode
inspecionar o conteúdo e procurar correspondências com o banco de dados de assinatura de
antivírus, antes de recriptografar o pacote e encaminhá-lo.
Por esses motivos, o nível de inspeção SSL completo é a única opção que permite que o antivírus
seja eficaz.

32-
For antivirus scanning in proxy-based inspection mode (with client comforting disabled), the block
replacement page is displayed immediately when a virus is detected.
For flow-based inspection mode scanning, if a virus is detected at the start of the stream, the block
replacement page is displayed at the first attempt. If a virus is detected after a few packets have been
transmitted, the block replacement page is not displayed. However, FortiGate caches the URL and
can display the replacement page immediately, on the second attempt.
Note that if deep inspection is enabled, all HTTPS-based applications also display the block
replacement message.
The block page includes the following:
⦁ File name
⦁ Virus name
⦁ Website host and URL
⦁ User name and group (if authentication is enabled)
⦁ Link to FortiGuard Encyclopedia—which provides analysis, recommended actions (if any), and
detection availability
You can go directly to the FortiGuard website to view information about other malware, and scan,
submit, or do both, with a sample of a suspected malware.

Para varredura de antivírus no modo de inspeção baseado em proxy (com configuração de cliente
desativada), a página de substituição de bloqueio é exibida imediatamente quando um vírus é
detectado.
Para a varredura no modo de inspeção baseada em fluxo, se um vírus for detectado no início do
fluxo, a página de substituição do bloco será exibida na primeira tentativa. Se um vírus for detectado
após a transmissão de alguns pacotes, a página de substituição de blocos não será exibida. No
entanto, o FortiGate armazena em cache a URL e pode exibir a página de substituição
imediatamente, na segunda tentativa.
Observe que, se a inspeção profunda estiver habilitada, todos os aplicativos baseados em HTTPS
também exibem a mensagem de substituição de bloco.
A página de bloqueio inclui o seguinte:
⦁ Nome do arquivo
⦁ Nome do vírus
⦁ Host e URL do site
⦁ Nome de usuário e grupo (se a autenticação estiver habilitada)
⦁ Link para a Enciclopédia FortiGuard - que fornece análise, ações recomendadas (se houver) e
disponibilidade de detecção
Você pode ir diretamente para o site do FortiGuard para ver informações sobre outro malware e fazer
a varredura, enviar, ou fazer ambos, com uma amostra de um malware suspeito.

33-

You can find virus scanning statistics on the Advanced Threat Protection Statistics widget on the
dashboard.
If your FortiGate is submitting files for sandboxing, it keeps statistics about the number of files
submitted and the results of those scans. These statistics are separate from files that are scanned
locally on FortiGate.

Você pode encontrar estatísticas de varredura de vírus no widget Estatísticas de proteção avançada
contra ameaças no painel.
Se o seu FortiGate está enviando arquivos para sandbox, ele mantém estatísticas sobre o número de
arquivos enviados e os resultados dessas verificações. Essas estatísticas são separadas dos
arquivos verificados localmente no FortiGate.

34-
If you enable logging, you can find details on the AntiVirus log page.
When the antivirus scan detects a virus, by default, it creates a log about what virus was detected, as
well as the action, policy ID, antivirus profile name, and detection type. It also provides a link to more
information on the FortiGuard website.
You can also view log details on the Forward Traffic log page, where firewall policies record traffic
activity. You’ll also find a summary of the traffic on which FortiGate applied an antivirus action.

Se você ativar o registro, poderá encontrar detalhes na página de registro do antivírus.

Quando a verificação antivírus detecta um vírus, por padrão, ela cria um registro sobre o vírus
detectado, bem como a ação, a ID da política, o nome do perfil do antivírus e o tipo de detecção. Ele
também fornece um link para mais informações no site FortiGuard.
Você também pode ver os detalhes do registro na página de registro do tráfego de encaminhamento,
onde as políticas de firewall registram a atividade do tráfego. Você também encontrará um resumo do
tráfego no qual o FortiGate aplicou uma ação antivírus.

38-

The following are some best practices to follow when configuring antivirus scanning for use on
FortiOS:
⦁ Enable antivirus scanning on all internet traffic.
This includes internal to external firewall policies, and any VIP firewall policies.
⦁ Use deep-inspection instead of certificate-based inspection, to ensure that full content inspection is
performed.
⦁ Use FortiSandbox for protection against new viruses.
⦁ Do not increase the maximum file size to be scanned, unless there is good reason, or you need to do so
in order to meet a network requirement.

A seguir estão algumas das melhores práticas a serem seguidas ao configurar a verificação antivírus
para uso no FortiOS:
⦁ Habilite a verificação antivírus em todo o tráfego da Internet.
Isso inclui políticas de firewall internas para externas e quaisquer políticas de firewall VIP.
⦁ Use a inspeção profunda em vez da inspeção baseada em certificado, para garantir que a inspeção
completa do conteúdo seja realizada.
⦁ Use o FortiSandbox para proteção contra novos vírus.
⦁ Não aumente o tamanho máximo do arquivo a ser verificado, a menos que haja um bom motivo ou seja
necessário fazer isso para atender a um requisito de rede.

39-

Additional best practices to follow when configuring antivirus scanning include the following:
⦁ Enable FortiGuard push updates to ensure that FortiGate receives antivirus updates as soon as they are
available.
This will help keep the FortiGate database up-to-date and offer protection against new viruses.
⦁ Ensure that FortiGate has a stable connection to FortiGuard servers.

As melhores práticas adicionais a serem seguidas ao configurar a verificação antivírus incluem o

seguinte:
⦁ Habilite as atualizações push do FortiGuard para garantir que o FortiGate receba atualizações de antivírus
assim que estiverem disponíveis.
Isso ajudará a manter o banco de dados FortiGate atualizado e oferecerá proteção contra novos
vírus.
⦁ Certifique-se de que o FortiGate tenha uma conexão estável com os servidores FortiGuard.

40-
Logging is an important part of managing a secure network. Enable logging for oversized files so that
if there are files that are not scanned, you can be aware of it. Also, ensure that security events logging
is enabled on all firewall policies using security profiles. Use the standalone dashboards to view
relevant information regarding threats to your network. The standalone dashboard organizes
information into network segments and breaks it down into various categories.

O registro é uma parte importante do gerenciamento de uma rede segura. Habilite o registro de
arquivos grandes para que, se houver arquivos que não foram verificados, você possa estar ciente
disso. Além disso, certifique-se de que o registro de eventos de segurança esteja habilitado em todas
as políticas de firewall usando perfis de segurança. Use os painéis independentes para visualizar
informações relevantes sobre ameaças à sua rede. O painel autônomo organiza as informações em
segmentos de rede e as divide em várias categorias.

41-

The FortiGate main CPU is responsible for performing UTM/NGFW inspection on the network traffic.
FortiGate models that have specialized chips can offload inspection tasks to enhance performance
while providing the same level of protection. FortiGate devices that support the NTurbo feature can
offload UTM/NGFW sessions to network processors. NTurbo creates a special data path to redirect
traffic from the ingress interface to the IPS engine, and from the IPS engine to the egress interface.
This can improve performance by accelerating antivirus inspection, without sacrificing security.
A CPU principal do FortiGate é responsável por realizar a inspeção UTM / NGFW no tráfego da rede.
Os modelos FortiGate que possuem chips especializados podem aliviar as tarefas de inspeção para
melhorar o desempenho ao mesmo tempo que fornecem o mesmo nível de proteção. Dispositivos
FortiGate que suportam o recurso NTurbo podem descarregar sessões UTM / NGFW para
processadores de rede. O NTurbo cria um caminho de dados especial para redirecionar o tráfego da
interface de entrada para o mecanismo IPS e do mecanismo IPS para a interface de saída. Isso pode
melhorar o desempenho ao acelerar a inspeção antivírus, sem sacrificar a segurança.

42-

FortiGate models that have CP8 or CP9 content processors can offload flow-based pattern matching
to CP8 or CP9 processors. When CP acceleration is enabled, flow-based pattern databases are
compiled and downloaded to the content processors from the IPS engine and IPS database. This
reduces load on the FortiGate CPU because flow-based pattern matching requests are redirected to
the CP hardware. Before flow-based inspection is applied to the traffic, the IPS engine uses a series
of decoders to determine the appropriate security modules that can be used, depending on the
protocol of the packet and policy settings. In addition, if SSL inspection is configured, the IPS engine
also decrypts SSL packets. SSL decryption is also offloaded and accelerated by CP8 or CP9
processors.

Os modelos FortiGate que possuem processadores de conteúdo CP8 ou CP9 podem descarregar a
correspondência de padrões baseados em fluxo para processadores CP8 ou CP9. Quando a
aceleração de CP é ativada, os bancos de dados de padrões baseados em fluxo são compilados e
baixados para os processadores de conteúdo do mecanismo IPS e do banco de dados IPS. Isso
reduz a carga na CPU FortiGate porque os pedidos de correspondência de padrões baseados em
fluxo são redirecionados para o hardware do CP. Antes que a inspeção baseada em fluxo seja
aplicada ao tráfego, o mecanismo IPS usa uma série de decodificadores para determinar os módulos
de segurança apropriados que podem ser usados, dependendo do protocolo do pacote e das
configurações de política. Além disso, se a inspeção SSL estiver configurada, o mecanismo IPS
também descriptografa os pacotes SSL. A descriptografia SSL também é descarregada e acelerada
por processadores CP8 ou CP9.

47-
What if FortiGate shows a valid license but the antivirus database is out-of-date?
Check the current database version installed on your FortiGate and compare the version number with
the current release on the FortiGuard website. FortiGate may not update the antivirus database if it is
not being used (applied on a firewall policy). Make sure the antivirus profile is applied on at least one
firewall policy. If you continue to see issues with the update, run the real-time debug command to
identify the problem.

E se o FortiGate mostrar uma licença válida, mas o banco de dados de antivírus estiver
desatualizado?
Verifique a versão atual do banco de dados instalada em seu FortiGate e compare o número da
versão com a versão atual no site do FortiGuard. O FortiGate pode não atualizar o banco de dados
de antivírus se não estiver sendo usado (aplicado em uma política de firewall). Certifique-se de que o
perfil de antivírus seja aplicado a pelo menos uma política de firewall. Se você continuar a ver
problemas com a atualização, execute o comando debug em tempo real para identificar o problema.

48-

If you are having issues with the antivirus license or FortiGuard updates, start troubleshooting with
basic connectivity tests. Most of the time, issues related to updates are caused by connectivity
problems with FortiGuard servers.
⦁ Make sure that FortiGate has a stable internet connection and can resolve DNS (update.fortinet.com).
⦁ If there is another firewall between FortiGate and the internet, make sure TCP port 443 is open and
traffic is allowed from and to the FortiGate device.
⦁ Force FortiGate to check for new virus updates using the CLI command: execute update-av.
⦁ Verify that the FortiGate device is registered and has a valid antivirus service contract.

Se você estiver tendo problemas com a licença do antivírus ou atualizações do FortiGuard, comece a
solucionar problemas com testes básicos de conectividade. Na maioria das vezes, os problemas
relacionados às atualizações são causados por problemas de conectividade com os servidores
FortiGuard.
⦁ Certifique-se de que FortiGate tenha uma conexão de Internet estável e possa resolver DNS
(update.fortinet.com).
⦁ Se houver outro firewall entre o FortiGate e a internet, certifique-se de que a porta TCP 443 esteja aberta
e o tráfego seja permitido de e para o dispositivo FortiGate.
⦁ Force o FortiGate a verificar novas atualizações de vírus usando o comando CLI: execute update-av.
⦁ Verifique se o dispositivo FortiGate está registrado e possui um contrato de serviço antivírus válido.

49-

What if you have a valid contract and updated database, and you are still having issues catching
viruses? Start troubleshooting for basic configuration errors. Most of the time, issues are caused by
misconfiguration on the device.
⦁ Make sure that the correct antivirus profile is applied on the right firewall policy.
⦁ Make sure that you are using the same antivirus profile and SSL/SSH inspection on all internet
connection firewall policies.
⦁ Add and use advanced the threat protection statistics widget to get the latest virus statistics from the
unit.
These are some of the commands that can be used to retrieve information and troubleshoot antivirus
issues:
⦁ get system performance status: Displays statistics for the last one minute.
⦁ diagnose antivirus database-info: Displays current antivirus database information.
⦁ diagnose autoupdate versions: Displays current antivirus engine and signature versions.
⦁ diagnose antivirus test "get scantime": Displays scan times for infected files.
⦁ execute update-av: Forces FortiGate to check for antivirus updates from the FortiGuard server.

E se você tiver um contrato válido e um banco de dados atualizado e ainda estiver tendo problemas
para detectar vírus? Inicie a solução de problemas para erros básicos de configuração. Na maioria
das vezes, os problemas são causados por configuração incorreta do dispositivo.
⦁ Certifique-se de que o perfil de antivírus correto seja aplicado à política de firewall correta.
⦁ Certifique-se de usar o mesmo perfil de antivírus e inspeção SSL / SSH em todas as políticas de firewall de
conexão com a Internet.
⦁ Adicione e use o widget avançado de estatísticas de proteção contra ameaças para obter as estatísticas de
vírus mais recentes da unidade.
Estes são alguns dos comandos que podem ser usados para recuperar informações e solucionar
problemas de antivírus:
⦁ obter status de desempenho do sistema: Exibe estatísticas do último minuto.
⦁ diagnosticar informações do banco de dados de antivírus: Exibe informações do banco de dados de
antivírus atual.
⦁ diagnosticar versões de atualização automática: Exibe o mecanismo antivírus atual e as versões de
assinatura.
⦁ teste de diagnóstico de antivírus "get scantime": exibe os tempos de verificação de arquivos infectados.
⦁ execute update-av: Força o FortiGate a verificar se há atualizações de antivírus no servidor FortiGuard.

● LESSON 11: Intrusion Prevention and Denial of Service

4-

Organizations are under continuous attacks. Cybercriminals, motivated by previously successful high-
profile hacks and a highly profitable black market for stolen data, continue to increase both the volume
and sophistication of their attacks on organizations. Many organizations encourage BYOD and flexible
working environments, which has led to the explosion of anytime, anywhere data consumption. This
consumption increases the risk that sensitive data will be exposed to unauthorized access outside
corporate boundaries.
Today’s threat landscape requires IPS to block a wider range of threats, while minimizing false
positives.
As organizações estão sob ataques contínuos. Os cibercriminosos, motivados por hacks de alto perfil
anteriormente bem-sucedidos e um mercado negro altamente lucrativo para dados roubados,
continuam a aumentar o volume e a sofisticação de seus ataques às organizações. Muitas
organizações encorajam BYOD e ambientes de trabalho flexíveis, o que levou à explosão do
consumo de dados a qualquer hora e em qualquer lugar. Esse consumo aumenta o risco de que
dados confidenciais sejam expostos a acesso não autorizado fora dos limites corporativos.
O cenário de ameaças de hoje requer IPS para bloquear uma gama mais ampla de ameaças,
minimizando os falsos positivos.

5-

It’s important to understand the difference between an anomaly and an exploit. It’s also important to
know which FortiGate features offer protection against each of these types of threats.
Exploits are known attacks, with known patterns that can be matched by IPS, WAF, or antivirus
signatures.
Anomalies are unusual behaviors in the network, such as higher-than-usual CPU usage or network
traffic. Anomalies must be detected and monitored (and, in some cases, blocked or mitigated)
because they can be the symptoms of a new, never-seen-before attack. Anomalies are usually better
detected by behavioral analysis, such as rate-based IPS signatures, DoS policies, and protocol
constraints inspection.

É importante entender a diferença entre uma anomalia e um exploit. Também é importante saber
quais recursos do FortiGate oferecem proteção contra cada um desses tipos de ameaças.
Exploits são ataques conhecidos, com padrões conhecidos que podem ser correspondidos por IPS,
WAF ou assinaturas de antivírus.
Anomalias são comportamentos incomuns na rede, como uso de CPU ou tráfego de rede acima do
normal. As anomalias devem ser detectadas e monitoradas (e, em alguns casos, bloqueadas ou
mitigadas) porque podem ser os sintomas de um novo ataque nunca visto antes. Normalmente, as
anomalias são mais bem detectadas pela análise comportamental, como assinaturas IPS baseadas
em taxas, políticas DoS e inspeção de restrições de protocolo.

6-
IPS on FortiGate uses signature databases to detect known attacks. Protocol decoders can also
detect network errors and protocol anomalies.
The IPS engine is responsible for most of the features shown in this lesson: IPS and protocol
decoders. It’s also responsible for application control, flow-based antivirus protection, web filtering,
email filtering, and flow- based DLP in one-arm sniffer mode.

O IPS no FortiGate usa bancos de dados de assinatura para detectar ataques conhecidos. Os
decodificadores de protocolo também podem detectar erros de rede e anomalias de protocolo.
O mecanismo IPS é responsável pela maioria dos recursos mostrados nesta lição: IPS e
decodificadores de protocolo. Ele também é responsável pelo controle de aplicativos, proteção
antivírus baseada em fluxo, filtragem da web, filtragem de e-mail e DLP baseado em fluxo no modo
sniffer de um braço.

7-

How does the IPS engine determine if a packet contains an attack or anomaly?
Protocol decoders parse each packet according to the protocol specifications. Some protocol
decoders require a port number specification (configured in the CLI), but usually, the protocol is
automatically detected. If the traffic doesn’t conform to the specification—if, for example, it sends
malformed or invalid commands to your servers—then the protocol decoder detects the error.

Como o mecanismo IPS determina se um pacote contém um ataque ou anomalia?

Os decodificadores de protocolo analisam cada pacote de acordo com as especificações do
protocolo. Alguns decodificadores de protocolo requerem uma especificação de número de porta
(configurada na CLI), mas geralmente, o protocolo é detectado automaticamente. Se o tráfego não
estiver de acordo com a especificação - se, por exemplo, ele enviar comandos malformados ou
inválidos para seus servidores - o decodificador de protocolo detecta o erro.

8-

By default, an initial set of IPS signatures is included in each FortiGate firmware release. FortiGuard
updates the IPS signature database with new signatures. That way, IPS remains effective against
new exploits. Unless a protocol specification or RFC changes (which doesn’t happen very often),
protocol decoders are rarely updated. The IPS engine itself changes more frequently, but still not
often.
FortiGuard IPS service updates the IPS signatures most often. The FortiGuard research team
identifies and builds new signatures, just like antivirus signatures. So, if your FortiGuard Services
contract expires, you can still use IPS. However, just like antivirus scans, IPS scans will become
increasingly ineffective the longer your signatures go without being updated—old signatures won’t
defend against new attacks.
IPS is a FortiGuard subscription, and includes Botnet IPs and Domains databases.

Por padrão, um conjunto inicial de assinaturas IPS é incluído em cada versão de firmware FortiGate.
O FortiGuard atualiza o banco de dados de assinaturas IPS com novas assinaturas. Dessa forma, o
IPS permanece eficaz contra novos exploits. A menos que uma especificação de protocolo ou
mudanças RFC (o que não acontece com muita frequência), os decodificadores de protocolo
raramente são atualizados. O próprio motor IPS muda com mais freqüência, mas ainda não com
freqüência.
O serviço FortiGuard IPS atualiza as assinaturas IPS com mais freqüência. A equipe de pesquisa do
FortiGuard identifica e cria novas assinaturas, assim como as assinaturas de antivírus. Portanto, se o
seu contrato de Serviços FortiGuard expirar, você ainda pode usar o IPS. No entanto, assim como as
varreduras de antivírus, as varreduras IPS se tornarão cada vez mais ineficazes quanto mais tempo
suas assinaturas ficarem sem serem atualizadas - assinaturas antigas não irão defender contra
novos ataques.
IPS é uma assinatura do FortiGuard e inclui bancos de dados de Domínios e IPs de Botnet.

9-

The IPS signature database is divided into the regular and extended databases. The regular signature
database contains signatures for common attacks whose signatures cause rare or no false positives.
It's a smaller database, and its default action is to block the detected attack.
The extended signature database contains additional signatures for attacks that cause a significant
performance impact, or don’t support blocking because of their nature. In fact, because of its size, the
extended database is not available for FortiGate models with a smaller disk or RAM. But, for high-
security networks, you might be required to enable the extended signatures database.

10-
After FortiGate downloads a FortiGuard IPS package, new signatures appear in the signature list.
When configuring FortiGate, you can change the Action setting for each sensor that uses a signature.
The default action setting is often correct, except in the following cases:
⦁ Your software vendor releases a security patch. Continuing to scan for exploits will waste FortiGate
resources.
⦁ Your network has a custom application with traffic that inadvertently triggers an IPS signature. You
can disable the setting until you notify Fortinet so that the FortiGuard team can modify the signature to
avoid false positives.

Depois que o FortiGate baixa um pacote FortiGuard IPS, novas assinaturas aparecem na lista de
assinaturas. Ao configurar o FortiGate, você pode alterar a configuração de ação para cada sensor
que usa uma assinatura.
A configuração de ação padrão geralmente está correta, exceto nos seguintes casos:
⦁ O fornecedor do software lança um patch de segurança. Continuar a procurar exploits irá desperdiçar
recursos do FortiGate.
⦁ Sua rede tem um aplicativo personalizado com tráfego que dispara inadvertidamente uma assinatura IPS.
Você pode desabilitar a configuração até notificar a Fortinet para que a equipe FortiGuard possa modificar
a assinatura para evitar falsos positivos.

11-
There are two ways to add predefined signatures to an IPS sensor. One way is to select the
signatures individually. After you select a signature in the list, the signature is added to the sensor
with its default action. Then, you can right-click the signature and change the action.
The second way to add a signature to a sensor is using filters. FortiGate will add all the signatures
that match the filters.

Existem duas maneiras de adicionar assinaturas predefinidas a um sensor IPS. Uma maneira é
selecionar as assinaturas individualmente. Depois de selecionar uma assinatura na lista, a assinatura
é adicionada ao sensor com sua ação padrão. Em seguida, você pode clicar com o botão direito na
assinatura e alterar a ação.
A segunda maneira de adicionar uma assinatura a um sensor é usando filtros. FortiGate irá adicionar
todas as assinaturas que correspondam aos filtros.

12-
You can also add rate-based signatures to block specific traffic when the threshold is exceeded during
the configured time period. You should apply rate-based signatures only to protocols you actually use.
Then, configure Duration to block malicious clients for extended periods. This saves system resources
and can discourage a repeat attack. FortiGate does not track statistics for that client while it is
temporarily blocklisted.

Você também pode adicionar assinaturas baseadas em taxa para bloquear tráfego específico quando
o limite for excedido durante o período de tempo configurado. Você deve aplicar assinaturas
baseadas em taxas apenas para protocolos que você realmente usa. Em seguida, configure a
duração para bloquear clientes mal-intencionados por longos períodos. Isso economiza recursos do
sistema e pode desencorajar um ataque repetido. O FortiGate não rastreia estatísticas para aquele
cliente enquanto ele está temporariamente na lista de bloqueio.

13-
When the IPS engine compares traffic with the signatures in each filter, order matters. The rules are
similar to firewall policy matching: the engine evaluates the filters and signatures at the top of the list
first, and applies the first match. The engine skips subsequent filters.
So, position the most likely matching filters, or signatures, at the top of the list. Avoid making too many
filters, because this increases evaluations and CPU usage. Also, avoid making very large signature
groups in each filter, which increase RAM usage.
In the event of a false-positive outbreak, you can add the triggered signature as an individual
signature and set the action to Monitor. This will allow you to monitor the signature events using IPS
logs, while investigating the false-positive issue.

Quando o mecanismo IPS compara o tráfego com as assinaturas em cada filtro, a ordem é
importante. As regras são semelhantes à correspondência de política de firewall: o mecanismo avalia
os filtros e as assinaturas no topo da lista primeiro e aplica a primeira correspondência. O mecanismo
ignora os filtros subsequentes.
Portanto, posicione os filtros correspondentes mais prováveis, ou assinaturas, no topo da lista. Evite
fazer muitos filtros, pois isso aumenta as avaliações e o uso da CPU. Além disso, evite criar grupos
de assinaturas muito grandes em cada filtro, o que aumenta o uso de RAM.
No caso de um surto de falso positivo, você pode adicionar a assinatura disparada como uma
assinatura individual e definir a ação para Monitorar. Isso permitirá que você monitore os eventos de
assinatura usando logs IPS, enquanto investiga o problema de falso-positivo.

14-

Sometimes it is necessary to exempt specific source or destination IP addresses from specific

signatures. This feature is useful during false-positive outbreaks. You can temporarily bypass affected
endpoints until you investigate and correct the false-positive issue.
You can configure IP exemptions on individual signatures only. Each signature can have multiple
exemptions.

Às vezes, é necessário isentar endereços IP de origem ou destino específicos de assinaturas

específicas. Este recurso é útil durante surtos de falsos positivos. Você pode ignorar os terminais
afetados temporariamente até investigar e corrigir o problema de falso positivo.
Você pode configurar isenções de IP apenas em assinaturas individuais. Cada assinatura pode ter
várias isenções.

15-

When you create a new entry to add signatures or filters, you can select the action by clicking Action.
Select Allow to allow traffic to continue to its destination. Select Monitor to allow traffic to continue to
its destination and log the activity. Select Block to silently drop traffic matching any of the signatures
included in the entry. Select Reset to generate a TCP RST packet whenever the signature is
triggered. Select Default to use the default action of the signatures.
Quarantine allows you to quarantine the attacker’s IP address for a set duration. You can set the
quarantine duration to any number of days, hours, or minutes.
If you enable Packet logging, FortiGate saves a copy of the packet that matches the signature.

Ao criar uma nova entrada para adicionar assinaturas ou filtros, você pode selecionar a ação clicando
em Ação.
Selecione Permitir para permitir que o tráfego continue até seu destino. Selecione Monitorar para
permitir que o tráfego continue até seu destino e registre a atividade. Selecione Bloquear para
descartar silenciosamente o tráfego que corresponda a qualquer uma das assinaturas incluídas na
entrada. Selecione Redefinir para gerar um pacote TCP RST sempre que a assinatura for disparada.
Selecione Padrão para usar a ação padrão das assinaturas.
A quarentena permite que você coloque o endereço IP do invasor em quarentena por um
determinado período. Você pode definir a duração da quarentena para qualquer número de dias,
horas ou minutos.
Se você habilitar o registro de pacotes, o FortiGate salva uma cópia do pacote que corresponde à
assinatura.

16-
Since the botnet database is part of the FortiGuard IPS contract, administrators can enable scanning
of botnet connections to maximize their internal security. You enable botnet scanning on the IPS
profile that you applied the firewall policy on. You can also enable scanning of botnet connections
using the CLI.
There are three possible actions for botnet and C&C:
⦁ Disable: Do not scan connections to botnet servers
⦁ Block: Block connections to botnet servers
⦁ Monitor: Log connections to botnet servers

Como o banco de dados de botnet faz parte do contrato FortiGuard IPS, os administradores podem
habilitar a varredura de conexões de botnet para maximizar sua segurança interna. Você habilita a
varredura de botnet no perfil IPS ao qual aplicou a política de firewall. Você também pode habilitar a
varredura de conexões de botnet usando a CLI.
Existem três ações possíveis para botnet e C&C:
⦁ Desabilitar: Não escaneie conexões para servidores de botnet
⦁ Bloquear: Bloqueia conexões para servidores botnet
⦁ Monitorar: registrar conexões com servidores botnet

17-
To apply an IPS sensor, you must enable IPS and then select the sensor in a firewall policy. By
default, FortiGate logs all security events. This means you can see any traffic that is being blocked by
IPS.
If you think some traffic should be blocked but is passing through the policy, you should change the
Log Allowed Traffic method to All Sessions. This will log all traffic processed by that firewall policy,
and not just the traffic that is blocked by the security profiles. This can help you in identifying false
negative events.

Para aplicar um sensor IPS, você deve habilitar o IPS e então selecionar o sensor em uma política de
firewall. Por padrão, o FortiGate registra todos os eventos de segurança. Isso significa que você pode
ver qualquer tráfego que está sendo bloqueado pelo IPS.
Se você acha que algum tráfego deve ser bloqueado, mas está passando pela política, altere o
método Registrar tráfego permitido para Todas as sessões. Isso registrará todo o tráfego processado
por aquela política de firewall, e não apenas o tráfego bloqueado pelos perfis de segurança. Isso
pode ajudá-lo a identificar eventos falsos negativos.

18-
If you enabled security events logging in the firewall policies that apply IPS, you can view IPS events
by clicking Log & Report > Intrusion Prevention. The Intrusion Prevention log menu appears only if
FortiGate has matched attack attempts with IPS signatures.
You should review IPS logs frequently. The logs are an invaluable source of information about the
kinds of attacks that are being targeted at your network. This will help you develop action plans and
focus on specific events, for example, patching a critical vulnerability.

Se você habilitou o registro de eventos de segurança nas políticas de firewall que aplicam IPS, você
pode visualizar os eventos IPS clicando em Registro e Relatório> Prevenção de Intrusão. O menu de
registro de prevenção de intrusão aparece apenas se o FortiGate tiver correspondido as tentativas de
ataque com assinaturas IPS.
Você deve revisar os logs do IPS com freqüência. Os logs são uma fonte inestimável de informações
sobre os tipos de ataques que estão sendo direcionados à sua rede. Isso o ajudará a desenvolver
planos de ação e se concentrar em eventos específicos, por exemplo, corrigir uma vulnerabilidade
crítica.

23-

So far, you’ve learned about signatures that match illegal commands and invalid protocol
implementations. Those are easy to confirm as attacks.
What about attacks that function by exploiting asymmetric processing or bandwidth between clients
and servers?
The goal of a DoS attack is to overwhelm the target—to consume resources until the target can’t
respond to legitimate traffic. There are many ways to accomplish this. High-bandwidth usage is only
one type of DoS attack. Many sophisticated DoS attacks, such as Slowloris, don’t require high
bandwidth.

Até agora, você aprendeu sobre assinaturas que correspondem a comandos ilegais e
implementações de protocolo inválido. Esses são fáceis de confirmar como ataques.
E os ataques que funcionam explorando processamento assimétrico ou largura de banda entre
clientes e servidores?
O objetivo de um ataque DoS é oprimir o alvo - consumir recursos até que o alvo não possa
responder ao tráfego legítimo. Existem muitas maneiras de fazer isso. O uso de alta largura de banda
é apenas um tipo de ataque DoS. Muitos ataques DoS sofisticados, como Slowloris, não exigem alta
largura de banda.

24-

To block DoS attacks, apply a DoS policy on a FortiGate device that is located between attackers and
all the resources that you want to protect.
DoS filtering is done early in the packet handling process, which is handled by the kernel.

Para bloquear ataques DoS, aplique uma política DoS em um dispositivo FortiGate que está
localizado entre os atacantes e todos os recursos que você deseja proteger.
A filtragem DoS é feita no início do processo de manipulação de pacotes, que é tratado pelo kernel.

25-

In TCP, the client sends a SYN packet to initiate a connection. The server must respond with a
SYN/ACK packet, and save the connection information in RAM while it waits for the client to
acknowledge with an ACK packet. Normal clients will ACK quickly and begin to transmit data. But
malicious clients continue to send more SYN packets, half-opening more connections, until the
server’s connection table becomes full. Once the server’s table is full, it can’t accept more
connections and begins to ignore all new clients.
ICMP is used during troubleshooting: devices respond with success or error messages. However
attackers can use ICMP to probe a network for valid routes and responsive hosts. By doing an ICMP
sweep, the attacker can gain information about your network before crafting more serious exploits.
Attackers use port scanning to determine which ports are active on a system. The attacker sends TCP
SYN requests to varying destination ports. Based on the replies, the attacker can map out which
services are running on the system, and then proceed to exploit those services.

No TCP, o cliente envia um pacote SYN para iniciar uma conexão. O servidor deve responder com
um pacote SYN / ACK e salvar as informações de conexão na RAM enquanto espera que o cliente
confirme com um pacote ACK. Os clientes normais farão um ACK rapidamente e começarão a
transmitir dados. Mas os clientes maliciosos continuam a enviar mais pacotes SYN, abrindo mais
conexões pela metade, até que a tabela de conexão do servidor fique cheia. Uma vez que a mesa do
servidor está cheia, ele não pode aceitar mais conexões e começa a ignorar todos os novos clientes.
ICMP é usado durante a solução de problemas: os dispositivos respondem com sucesso ou
mensagens de erro. No entanto, os invasores podem usar o ICMP para sondar uma rede em busca
de rotas válidas e hosts responsivos. Fazendo uma varredura ICMP, o invasor pode obter
informações sobre sua rede antes de criar exploits mais sérios.
Os invasores usam a varredura de portas para determinar quais portas estão ativas em um sistema.
O invasor envia solicitações TCP SYN para várias portas de destino. Com base nas respostas, o
invasor pode mapear quais serviços estão sendo executados no sistema e, em seguida, continuar a
explorar esses serviços.

26-

An individual DoS attack is a flood of traffic coming from a single address. It can originate from the
internet, or even from your internal network. Typically, a single device makes many connections or
sessions, and possibly uses much bandwidth to connect to a single location. A variation of this is the
distributed denial of service attack or DDoS. It has many of the same characteristics as an individual
DoS attack, but the main difference is that multiple devices are all attacking one destination at the
same time.

Um ataque DoS individual é uma inundação de tráfego proveniente de um único endereço. Ele pode
se originar da Internet ou até mesmo de sua rede interna. Normalmente, um único dispositivo faz
muitas conexões ou sessões e, possivelmente, usa muita largura de banda para se conectar a um
único local. Uma variação disso é o ataque distribuído de negação de serviço ou DDoS. Ele tem
muitas das mesmas características de um ataque DoS individual, mas a principal diferença é que
vários dispositivos estão atacando um destino ao mesmo tempo.

27-

You can apply DoS protection to four protocols: TCP, UDP, ICMP, and SCTP. And, you can apply
four different types of anomaly detection protocol:
⦁ A flood sensor detects a high volume of that specific protocol, or signal in the protocol
⦁ A sweep/scan detects probing attempts to map which of the host’s ports respond and, therefore, might
be vulnerable
⦁ Source signatures look for large volumes of traffic originating from a single IP
⦁ Destination signatures look for large volumes of traffic destined for a single IP
When you implement DoS for the first time, if you don’t have an accurate baseline for your network,
be careful not to completely block network services. To prevent this from happening, configure the
DoS policy initially to log, but not block. Using the logs, you can analyze and identify normal and peak
levels for each protocol.
Then, adjust the thresholds to allow normal peaks, while applying appropriate filtering.
The threshold for flood, sweep, and scan sensors are defined as the maximum number of sessions or
packets per second. The threshold for source and destination sensors are defined as concurrent
sessions. Thresholds that are too high can exhaust your resources before the DoS policies trigger.
Thresholds that are too low will cause FortiGate to drop normal traffic.

Você pode aplicar a proteção DoS a quatro protocolos: TCP, UDP, ICMP e SCTP. E você pode
aplicar quatro tipos diferentes de protocolo de detecção de anomalias:
⦁ Um sensor de inundação detecta um alto volume desse protocolo específico, ou sinal no protocolo
⦁ Uma varredura / varredura detecta tentativas de sondagem para mapear quais portas do host respondem e,
portanto, podem ser vulneráveis
⦁ As assinaturas de origem procuram grandes volumes de tráfego originado de um único IP
⦁ As assinaturas de destino procuram grandes volumes de tráfego destinados a um único IP
Ao implementar o DoS pela primeira vez, se você não tiver uma linha de base precisa para sua rede,
tome cuidado para não bloquear completamente os serviços de rede. Para evitar que isso aconteça,
configure a política DoS inicialmente para registrar, mas não bloquear. Usando os logs, você pode
analisar e identificar os níveis normais e de pico para cada protocolo.
Em seguida, ajuste os limites para permitir picos normais, enquanto aplica a filtragem apropriada.
O limite para sensores de inundação, varredura e varredura são definidos como o número máximo de
sessões ou pacotes por segundo. O limite para sensores de origem e destino são definidos como
sessões simultâneas. Limites muito altos podem exaurir seus recursos antes que as políticas DoS
sejam acionadas. Limites muito baixos farão com que o FortiGate diminua o tráfego normal.

32-

What is a WAF and why do you need it?

Some FortiGate features are meant to protect clients, not servers. For example, FortiGuard web
filtering blocks requests based on the category of the server’s web pages. Antivirus prevents clients
from accidentally downloading spyware and worms. Neither protects a server (which doesn’t send
requests—it receives them) from malicious scripts or SQL injections. Protecting web servers requires
a different approach because they are subject to other kinds of attacks. This is where WAF applies.
The WAF feature is available only in proxy inspection mode.

O que é WAF e por que você precisa dele?

Alguns recursos do FortiGate têm o objetivo de proteger clientes, não servidores. Por exemplo, a
filtragem da web do FortiGuard bloqueia solicitações com base na categoria das páginas da web do
servidor. O antivírus evita que os clientes baixem acidentalmente spyware e worms. Nenhum dos
dois protege um servidor (que não envia solicitações - ele as recebe) de scripts maliciosos ou
injeções de SQL. A proteção de servidores da Web requer uma abordagem diferente porque eles
estão sujeitos a outros tipos de ataques. É aqui que o WAF se aplica.
O recurso WAF está disponível apenas no modo de inspeção de proxy.
33-

Let's look at some examples of attacks that target web applications specifically.
One type of attack is called cross-site scripting (XSS). If a web application doesn’t sanitize its inputs
and reject JavaScript, it ends up storing the XSS attack in its database. Then, when other clients
request the page that reuses that data, the JavaScript is now embedded in the page.
JavaScript can do many things with a page, including rewriting the whole page and making its own
requests. This is the basic mechanism of asynchronous JavaScript and XML (AJAX) apps. In this
case, XSS causes innocent clients to transmit to a different server that is controlled by the attacker.
This could, for example, transmit credit card information or passwords from an HTTP form to the
attacker.

Vejamos alguns exemplos de exercícios que visam especificamente aplicativos da web.

Um tipo de ataque é chamado de cross-site scripting (XSS). Se um aplicativo da web não limpa suas
entradas e rejeita JavaScript, ele acaba armazenando o ataque XSS em seu banco de dados. Então,
quando outros clientes solicitados a página que reutiliza esses dados, o JavaScript será incorporado
à página.
JavaScript pode fazer muitas coisas com uma página, incluindo reescrever a página inteira e fazer
suas próprias necessidades. Este é o mecanismo básico de aplicativos JavaScript e XML
assíncronos (AJAX). Nesse caso, o XSS faz com que clientes inocentes transmitam para um servidor
diferente que é controlado pelo invasor. Isso poderia, por exemplo, transmitir informações de cartão
de crédito ou senhas de um formulário HTTP para o invasor.

34-

Another very common web attack is a SQL injection. Just like an XSS attack, the root cause of a SQL
injection is that the web application doesn’t sanitize input. If the attacker enters a SQL query into an
input such as an HTML form, the web app simply accepts it, and passes it along to the database
engine, which accidentally runs the query.
The SQL language can do anything to the data. It can, for example, download the table of users so
that the attacker can run a password cracker. A query could add new entries for new administrator log
in attempts, or modify log in attempts, blocking administrators from logging in.

Outro ataque da Web muito comum é uma injeção de SQL. Assim como um ataque XSS, a causa
raiz de uma injeção de SQL é que o aplicativo da web não limpa a entrada. Se o invasor inserir uma
consulta SQL em uma entrada, como um formulário HTML, o aplicativo da web simplesmente a
aceita e a passa para o mecanismo de banco de dados, que acidentalmente executa a consulta.
A linguagem SQL pode fazer qualquer coisa com os dados. Pode, por exemplo, baixar a tabela de
usuários para que o invasor execute um cracker de senha. Uma consulta pode adicionar novas
entradas para novas tentativas de login do administrador ou modificar as tentativas de login,
bloqueando o login dos administradores.

35-

One component of a WAF profile is WAF signatures. WAF signatures work in the same way as IPS
signatures. FortiGate can act on the traffic that matches any of them. Some WAF signatures are
categorized as extended. They are more likely to cause false positives, but are sometimes required in
high-security environments.
HTTP constraints can monitor and control the number, type, and length of many HTTP headers,
which are also inputs. This prevents unexpected inputs that a malicious client could craft to
compromise your server. The limits can vary by your server’s software, but also by its hardware. If a
server has limited RAM, for example, then it is potentially easier to overload or crash with an
excessive number of headers, because parsing the headers and storing them in buffers requires
RAM.
After you configure a WAF profile, it is assigned to one or more firewall policies.

Um componente de um perfil WAF são as assinaturas WAF. As assinaturas WAF funcionam da

mesma maneira que as assinaturas IPS. O FortiGate pode atuar no tráfego que corresponda a
qualquer um deles. Algumas assinaturas WAF são categorizadas como estendidas. Eles têm maior
probabilidade de causar falsos positivos, mas às vezes são necessários em ambientes de alta
segurança.
As restrições HTTP podem monitorar e controlar o número, tipo e comprimento de muitos cabeçalhos
HTTP, que também são entradas. Isso evita entradas inesperadas que um cliente malicioso possa
criar para comprometer seu servidor. Os limites podem variar de acordo com o software do seu
servidor, mas também com o hardware. Se um servidor tem RAM limitada, por exemplo, então é
potencialmente mais fácil sobrecarregar ou travar com um número excessivo de cabeçalhos, porque
analisar os cabeçalhos e armazená-los em buffers requer RAM.
Depois de configurar um perfil WAF, ele é atribuído a uma ou mais políticas de firewall.

36-

FortiWeb is a specialized WAF device. For environments where the protection of web services is
critical, you can complement FortiGate with a FortiWeb device.
FortiWeb offers a more complete HTTP protocol understanding and state attack protection. It can
perform vulnerability scans and penetration tests. It can also rewrite the HTTP packets, and route
traffic based on the HTTP content.

FortiWeb é um dispositivo WAF especializado. Para ambientes onde a proteção de serviços da web é
crítica, você pode complementar o FortiGate com um dispositivo FortiWeb.
O FortiWeb oferece uma compreensão mais completa do protocolo HTTP e proteção contra ataques
de estado. Ele pode realizar varreduras de vulnerabilidade e testes de penetração. Ele também pode
reescrever os pacotes HTTP e rotear o tráfego com base no conteúdo HTTP.

37-
In most cases, FortiWeb is installed as a standalone device, usually located between FortiGate and
the protected web servers. FortiWeb can be installed online (web traffic crossing the device) or offline
(device is connected as a one-arm sniffer).
Alternatively, you can configure FortiGate to forward web traffic to an external FortiWeb, where the
WAF inspection happens. This is useful, for example, when you need to protect servers located in
multiple sites with one single FortiWeb. With this setup, FortiGate will forward all web traffic to the
FortiWeb if the traffic matches a firewall policy configured with a WAF profile enabled for external
inspection.
For detailed information on FortiWeb, see the NSE 6 FortiWeb training material.

Na maioria dos casos, o FortiWeb é instalado como um dispositivo autônomo, geralmente localizado
entre o FortiGate e os servidores web protegidos. O FortiWeb pode ser instalado online (tráfego da
web cruzando o dispositivo) ou offline (o dispositivo é conectado como um sniffer de um braço).
Alternativamente, você pode configurar o FortiGate para encaminhar o tráfego da web para um
FortiWeb externo, onde ocorre a inspeção WAF. Isso é útil, por exemplo, quando você precisa
proteger servidores localizados em vários sites com um único FortiWeb. Com esta configuração, o
FortiGate irá encaminhar todo o tráfego da web para o FortiWeb se o tráfego corresponder a uma
política de firewall configurada com um perfil WAF habilitado para inspeção externa.
Para obter informações detalhadas sobre o FortiWeb, consulte o material de treinamento do NSE 6
FortiWeb.

42-
Before you implement IPS, you must analyze the needs of your network. Enabling the default profiles
across all policies will quickly cause issues, the least of which are false positives. Performing
unnecessary inspections on all network traffic can cause high resource utilization which can hamper
the FortiGate ability to process regular traffic.
You must also evaluate applicable threats. If your organization runs only Windows, there is no need to
scan for Mac OS vulnerabilities. It is also important to consider the direction of the traffic. There are
many IPS signatures that apply only to clients, and many signatures that apply only to servers. Create
IPS sensors specific to the resources you want to protect. This will make sure that FortiGate is not
scanning traffic with irrelevant signatures.
Lastly, IPS is not a set-and-forget implementation. You must monitor logs regularly for anomalous
traffic patterns, and adjust your IPS profile configuration based on your observations. You should also
audit your internal resources regularly to identify if certain vulnerabilities are still applicable to your
organization.

Antes de implementar o IPS, você deve analisar as necessidades de sua rede. Habilitar os perfis
padrão em todas as políticas causará problemas rapidamente, o menor dos quais são falsos
positivos. A execução de inspeções desnecessárias em todo o tráfego da rede pode causar alta
utilização de recursos, o que pode prejudicar a capacidade do FortiGate de processar o tráfego
regular.
Você também deve avaliar as ameaças aplicáveis. Se sua organização executa apenas o Windows,
não há necessidade de verificar vulnerabilidades do Mac OS. Também é importante considerar a
direção do tráfego. Existem muitas assinaturas IPS que se aplicam apenas a clientes e muitas
assinaturas que se aplicam apenas a servidores. Crie sensores IPS específicos para os recursos que
você deseja proteger. Isso garantirá que o FortiGate não esteja escaneando o tráfego com
assinaturas irrelevantes.
Por último, o IPS não é uma implementação do tipo "configure e esqueça". Você deve monitorar os
registros regularmente em busca de padrões de tráfego anômalos e ajustar a configuração do perfil
IPS com base em suas observações. Você também deve auditar seus recursos internos
regularmente para identificar se certas vulnerabilidades ainda são aplicáveis à sua organização.

43-
Certain vulnerabilities apply only to encrypted connections. In some of these cases, FortiGate can’t
identify the threat reliably if it can’t parse the payload. For this reason, you must use an SSL
inspection profile if you want to get the maximum benefit from your IPS and WAF features.
The example on this slide shows an SSL inspection profile configured to protect a server. This policy,
when applied to inbound traffic, will be able to apply IPS and WAF inspection on encrypted traffic
reliably, because FortiGate will be able to decrypt encrypted sessions and inspect all parts of the
packet.
It’s important to note that DoS policies do not have the ability to assign SSL inspection profiles. This is
because DoS does not require SSL inspection to maximize its detection ability, because it does not
inspect packet payload. DoS inspects only specific session types and their associated volume.

Certas vulnerabilidades se aplicam apenas a conexões criptografadas. Em alguns desses casos, o

FortiGate não pode identificar a ameaça de forma confiável se não puder analisar a carga útil. Por
esse motivo, você deve usar um perfil de inspeção SSL se quiser obter o máximo benefício de seus
recursos IPS e WAF.
O exemplo neste slide mostra um perfil de inspeção SSL configurado para proteger um servidor. Esta
política, quando aplicada ao tráfego de entrada, será capaz de aplicar a inspeção IPS e WAF no
tráfego criptografado de forma confiável, pois o FortiGate será capaz de descriptografar sessões
criptografadas e inspecionar todas as partes do pacote.
É importante observar que as políticas DoS não têm a capacidade de atribuir perfis de inspeção SSL.
Isso ocorre porque o DoS não requer inspeção SSL para maximizar sua capacidade de detecção,
porque ele não inspeciona a carga útil do pacote. O DoS inspeciona apenas tipos de sessão
específicos e seus volumes associados.

44-
Usually, traffic requiring inspection, such as antivirus or IPS, is handled by the CPU on FortiGate.
However, there are specialized chips on specific FortiGate models that can offload these inspection
tasks. This frees up CPU cycles to manage other tasks, and also accelerates sessions requiring
security inspection.
FortiGate models that support a feature called NTurbo can offload IPS processing to NP6, NP7, or
SoC4 processors. If the command np-accel-mode is available under config system global, then the
FortiGate model supports NTurbo.
Some FortiGate models also support offloading IPS pattern matching to CP8 or CP9 content
processors. If the command cp-accel-mode is available under config ips global, then the FortiGate
model supports IPS pattern matching acceleration to its CP8 or CP9 processor.

Normalmente, o tráfego que requer inspeção, como antivírus ou IPS, é gerenciado pela CPU no
FortiGate. No entanto, existem chips especializados em modelos FortiGate específicos que podem
aliviar essas tarefas de inspeção. Isso libera os ciclos da CPU para gerenciar outras tarefas e
também acelera as sessões que exigem inspeção de segurança.
Os modelos FortiGate que suportam um recurso chamado NTurbo podem descarregar o
processamento IPS para processadores NP6, NP7 ou SoC4. Se o comando np-accel-mode estiver
disponível no config system global, então o modelo FortiGate suporta NTurbo.
Alguns modelos FortiGate também suportam o descarregamento de padrões IPS correspondentes
aos processadores de conteúdo CP8 ou CP9. Se o comando cp-accel-mode estiver disponível em
config ips global, então o modelo FortiGate suporta aceleração de correspondência de padrão IPS
para seu processador CP8 ou CP9.

49-
FortiGate IPS update requests are sent to update.fortiguard.net on TCP port 443. You can also
configure FortiGate to connect through a web proxy for updates.
You should check the last update timestamp regularly. You can verify it in the GUI. If there is any
indication that the IPS definitions are not updating, you should investigate. Always make sure
FortiGate has proper DNS resolution for update.fortiguard.net. If, by chance, there are any
intermediary devices between the FortiGate and the internet, make sure the correct firewall rules are
in place to allow traffic on port 443. Any intermediary devices performing SSL inspection on this traffic
can also cause issues with updates.
Finally, you can use the FortiGuard update debug to monitor update events in real time.

As solicitações de atualização do FortiGate IPS são enviadas para update.fortiguard.net na porta

TCP 443. Você também pode configurar o FortiGate para se conectar através de um proxy da web
para atualizações.
Você deve verificar o carimbo de data / hora da última atualização regularmente. Você pode verificar
isso na GUI. Se houver qualquer indicação de que as definições IPS não estão atualizando, você
deve investigar. Sempre certifique-se de que o FortiGate tenha a resolução DNS adequada para
update.fortiguard.net. Se, por acaso, houver algum dispositivo intermediário entre o FortiGate e a
Internet, certifique-se de que as regras de firewall corretas estejam em vigor para permitir o tráfego
na porta 443. Quaisquer dispositivos intermediários realizando inspeção SSL neste tráfego também
podem causar problemas com atualizações.
Finalmente, você pode usar a depuração de atualização FortiGuard para monitorar eventos de
atualização em tempo real.

50-
Short spikes in CPU usage by IPS processes could be caused by firewall policy or profile changes.
These spikes are usually normal. Spikes might happen when FortiGate has hundreds of policies and
profiles, or many virtual domains. Continuous high-CPU use by the IPS engines is not normal, and
you should investigate it. The command shown here, along with displayed options, can be used to
troubleshoot these issues.
If there are high-CPU use problems caused by the IPS, you can use the diagnose test application
ipsmonitor command with option 5 to isolate where the problem might be. Option 5 enables IPS
bypass mode. In this mode, the IPS engine is still running, but it is not inspecting traffic. If the CPU
use decreases after that, it usually indicates that the volume of traffic being inspected is too high for
that FortiGate model.
If the CPU use remains high after enabling IPS bypass mode, it usually indicates a problem in the IPS
engine, that you must report to Fortinet's support team. You can disable the IPS engine completely
using option 2. If you wish to restore IPS inspection of traffic after you finish troubleshooting, use
option 5 again.
Another recommendation to keep in mind: if you need to restart the IPS, use option 99, as shown on
this slide. This guarantees that all the IPS-related processes restart properly.

Picos curtos no uso da CPU por processos IPS podem ser causados por políticas de firewall ou
alterações de perfil. Esses picos geralmente são normais. Picos podem acontecer quando FortiGate
tem centenas de políticas e perfis, ou muitos domínios virtuais. O uso contínuo de alta CPU pelos
motores IPS não é normal e você deve investigá-lo. O comando mostrado aqui, junto com as opções
exibidas, pode ser usado para solucionar esses problemas.
Se houver problemas de alto uso de CPU causados pelo IPS, você pode usar o comando diagnose
test application ipsmonitor com a opção 5 para isolar onde o problema pode estar. A opção 5 ativa o
modo de desvio IPS. Nesse modo, o mecanismo IPS ainda está funcionando, mas não está
inspecionando o tráfego. Se o uso da CPU diminuir depois disso, geralmente indica que o volume de
tráfego sendo inspecionado é muito alto para aquele modelo FortiGate.
Se o uso da CPU permanecer alto depois de habilitar o modo de bypass IPS, geralmente indica um
problema no mecanismo IPS, que você deve relatar à equipe de suporte da Fortinet. Você pode
desativar o mecanismo IPS completamente usando a opção 2. Se desejar restaurar a inspeção IPS
do tráfego após concluir a solução de problemas, use a opção 5 novamente.
Outra recomendação a ter em conta: se precisar reiniciar o IPS, use a opção 99, conforme mostrado
neste slide. Isso garante que todos os processos relacionados ao IPS sejam reiniciados
corretamente.

51-

IPS goes into fail open mode when there is not enough available memory in the IPS socket buffer for
new packets. What happens during that state depends on the IPS configuration. If the fail-open
setting is enabled, some new packets (depending on the system load) will pass through without being
inspected. If it is disabled, new packets will be dropped.
Frequent IPS fail open events usually indicate that the IPS is not able to keep up with the traffic
demands. So, try to identify patterns. Has the traffic volume increased recently? Have throughput
demands increased? Does fail open trigger at specific times during the day?
Tune and optimize your IPS configuration. Create IPS profiles specific to the type of traffic being
inspected, and disable IPS profiles on policies that don’t need them.

O IPS entra no modo de falha aberta quando não há memória suficiente disponível no buffer do
soquete IPS para novos pacotes. O que acontece durante esse estado depende da configuração IPS.
Se a configuração fail-open estiver habilitada, alguns pacotes novos (dependendo da carga do
sistema) passarão sem serem inspecionados. Se estiver desabilitado, novos pacotes serão
descartados.
Os eventos frequentes de falha de abertura de IPS geralmente indicam que o IPS não é capaz de
acompanhar as demandas de tráfego. Portanto, tente identificar padrões. O volume de tráfego
aumentou recentemente? As demandas de rendimento aumentaram? A falha abre o gatilho em
horários específicos durante o dia?
Ajuste e otimize sua configuração IPS. Crie perfis IPS específicos para o tipo de tráfego que está
sendo inspecionado e desative os perfis IPS nas políticas que não precisam deles.

52-
In the event of a false-positive detection, first determine which signature is generating them. You
should also verify that the traffic is hitting the correct policy and IPS sensor. After you have verified
these factors, you should gather samples of the traffic. Use the Packet Logging action on the
signature. Provide the traffic samples and the matching IPS logs to the FortiGuard team for further
investigation.

No caso de uma detecção de falso positivo, primeiro determine qual assinatura os está gerando.
Você também deve verificar se o tráfego está atingindo a política e o sensor IPS corretos. Depois de
verificar esses fatores, você deve coletar amostras do tráfego. Use a ação Packet Logging na
assinatura. Forneça as amostras de tráfego e os registros IPS correspondentes para a equipe
FortiGuard para investigação posterior.

● LESSON 12: SSL-VPN

4-
A VPN creates a tunnel that gives users or remote LANs secure access to your private network, as if
they were connected to your LAN.
A VPN is often used when LANs are separated by an untrusted public network, such as the Internet.
As well as providing users with secure access to private networks while they are traveling, a VPN can
also interconnect branch office networks located across the internet, and even on the other side of the
world.
User data inside a VPN tunnel is encrypted for privacy. It cannot be read, even if it is intercepted by
unauthorized users. VPNs also use security methods to ensure that only authorized users can
establish a VPN and access the private network’s resources. They typically also provide tamper
proofing.
Most VPNs are SSL or IPsec VPNs. FortiOS supports both, as well as less common, weaker VPNs
such as PPTP. In this lesson, we will focus on SSL-VPNs.

Uma VPN cria um túnel que fornece aos usuários ou LANs remotas acesso seguro à sua rede
privada, como se eles estivessem conectados à sua LAN.
Uma VPN é freqüentemente usada quando as LANs são separadas por uma rede pública não
confiável, como a Internet. Além de fornecer aos usuários acesso seguro a redes privadas enquanto
estão viajando, uma VPN também pode interconectar redes de filiais localizadas na Internet e até
mesmo do outro lado do mundo.
Os dados do usuário dentro de um túnel VPN são criptografados para privacidade. Não pode ser lido,
mesmo que seja interceptado por usuários não autorizados. VPNs também usam métodos de
segurança para garantir que apenas usuários autorizados possam estabelecer uma VPN e acessar
os recursos da rede privada. Eles normalmente também fornecem proteção contra violação.
A maioria das VPNs são VPNs SSL ou IPsec. O FortiOS oferece suporte a VPNs menos comuns e
mais fracos, como PPTP. Nesta lição, vamos nos concentrar em SSL-VPNs.

5-

How are SSL-VPNs different from IPsec VPNs?

The protocols are different. SSL and TLS are commonly used to encapsulate and secure e-commerce
and online banking on the Internet (HTTP). SSL-VPNs use a similar technique, but often with non-
HTTP protocols encapsulated. SSL resides higher up on the network stack than IP and, therefore, it
usually requires more bits—more bandwidth—for SSL-VPN headers. In comparison, IPsec uses some
special protocols. The primary protocol is ESP, which encapsulates and encrypts UDP, RDP, HTTP,
or other protocols that are inside in the IPsec tunnel.
Also, IPsec VPN is a standard. It can interoperate with multiple vendors, and supports peers that are
devices and gateways—not just user clients with FortiGate only, like SSL-VPN does.
The client software is also different. In an SSL-VPN, your web browser might be the only client
software you need. You can go to FortiGate’s SSL-VPN portal (an HTTPS web page), and then log in.
Alternatively, you can install a FortiClient. This increases the number of protocols that can be sent
through the VPN tunnel.
In comparison, to use IPsec VPN, you’re usually required to install special client software, or have a
local gateway, such as a desktop model FortiGate, in order to connect to the remote gateway. You
might also need to configure firewalls between VPN peers to allow IPsec protocols. However, IPsec is
a standard protocol supported by most vendors, so a VPN session can be established not only
between two FortiGate devices, but also between different vendors’ devices, and between a gateway
and clients. It’s highly extensible and configurable. By comparison, SSL-VPN can only be established
between a computer and a vendor-specific gateway, such as FortiGate.

Como SSL-VPNs são diferentes de IPsec VPNs?

Os protocolos são diferentes. SSL e TLS são comumente usados para encapsular e proteger o e-
commerce e serviços bancários online na Internet (HTTP). SSL-VPNs usam uma técnica semelhante,
mas geralmente com protocolos não HTTP encapsulados. O SSL reside mais acima na pilha da rede
do que o IP e, portanto, geralmente requer mais bits - mais largura de banda - para cabeçalhos SSL-
VPN. Em comparação, o IPsec usa alguns protocolos especiais. O protocolo principal é ESP, que
encapsula e criptografa UDP, RDP, HTTP ou outros protocolos que estão dentro do túnel IPsec.
Além disso, a VPN IPsec é um padrão. Ele pode interoperar com vários fornecedores e oferece
suporte a pares que são dispositivos e gateways - não apenas clientes usuários com FortiGate
apenas, como o SSL-VPN faz.
O software cliente também é diferente. Em um SSL-VPN, seu navegador da web pode ser o único
software cliente de que você precisa. Você pode ir ao portal SSL-VPN do FortiGate (uma página da
web HTTPS) e, em seguida, fazer o login. Alternativamente, você pode instalar um FortiClient. Isso
aumenta o número de protocolos que podem ser enviados através do túnel VPN.
Em comparação, para usar VPN IPsec, geralmente é necessário instalar um software cliente especial
ou ter um gateway local, como um modelo de desktop FortiGate, para se conectar ao gateway
remoto. Também pode ser necessário configurar firewalls entre pares VPN para permitir protocolos
IPsec. No entanto, o IPsec é um protocolo padrão compatível com a maioria dos fornecedores,
portanto, uma sessão VPN pode ser estabelecida não apenas entre dois dispositivos FortiGate, mas
também entre dispositivos de fornecedores diferentes e entre um gateway e clientes. É altamente
extensível e configurável. Em comparação, o SSL-VPN só pode ser estabelecido entre um
computador e um gateway específico do fornecedor, como FortiGate.

6-
After you’ve logged in, the SSL-VPN connects your computer to your private network. No user-
configured settings are required, and firewalls are typically configured to allow outgoing HTTP, so
technical support calls are less likely. Simplicity makes SSL-VPN ideal for non-technical users, or
users who connect from public computers, such as those found in public libraries and Internet cafés.
In general, IPsec VPN is preferred when tunnels must be up continuously and interoperate with many
types of devices, while SSL-VPN is preferred when people travel and need to connect to the office.

Depois de fazer login, o SSL-VPN conecta seu computador à rede privada. Nenhuma configuração
definida pelo usuário é necessária e os firewalls são normalmente configurados para permitir HTTP
de saída, portanto, chamadas de suporte técnico são menos prováveis. A simplicidade torna o SSL-
VPN ideal para usuários não técnicos ou usuários que se conectam a partir de computadores
públicos, como os encontrados em bibliotecas públicas e cibercafés.
Em geral, a VPN IPsec é preferida quando os túneis devem estar ativos continuamente e interoperar
com muitos tipos de dispositivos, enquanto o SSL-VPN é preferido quando as pessoas viajam e
precisam se conectar ao escritório.

11-
There are two modes you can use to access an SSL-VPN. Both can build an SSL-VPN connection,
but they don’t support the same features.
Which should you choose?
It depends on which applications you need to send through the VPN, the technical knowledge of your
users, and whether or not you have administrative permissions on their computers.
Tunnel mode supports the most protocols, but requires the installation of a VPN client, or more
specifically, a virtual network adapter. To tunnel traffic using the virtual adapter, you must use
FortiClient remote access feature or FortiClient VPN-only client.
Web mode requires only a web browser, but supports a limited number of protocols.

Existem dois modos que você pode usar para acessar um SSL-VPN. Ambos podem construir uma
conexão SSL-VPN, mas não suportam os mesmos recursos.
Qual você deve escolher?
Depende de quais aplicativos você precisa enviar por meio da VPN, do conhecimento técnico de
seus usuários e se você tem ou não permissões administrativas em seus computadores.
O modo de túnel oferece suporte à maioria dos protocolos, mas requer a instalação de um cliente
VPN ou, mais especificamente, de um adaptador de rede virtual. Para encapsular o tráfego usando o
adaptador virtual, você deve usar o recurso de acesso remoto FortiClient ou o cliente FortiClient
apenas VPN.
O modo Web requer apenas um navegador da Web, mas oferece suporte a um número limitado de
protocolos.

12-
Web access is the simplest SSL-VPN mode.
Like you would with any other HTTPS website, you simply log in to the SSL-VPN portal web page on
FortiGate. It acts like a server-side reverse proxy, or a simple secure HTTP/HTTPS gateway, that
connects you with the applications on the private network.
The Bookmarks section on the SSL-VPN Portal page contains links to all or some of the resources
available for the user to access. The Quick Connection widget allows users to type the URL or IP
address of the server they want to reach. A web SSL-VPN user makes use of these two widgets to
access the internal network. The main advantage of web mode is that it does not usually require you
to install extra software.
Web mode has two main disadvantages:
⦁ All interaction with the internal network must be done using the browser exclusively (through the web
portal). External network applications running on the user’s PC cannot send data across the VPN.
⦁ This a secure HTTP/HTTPS gateway mechanism that doesn’t work for accessing everything, but just
few popular protocols, such as HTTP, FTP, and Windows shares.

O acesso à Web é o modo SSL-VPN mais simples.

Como você faria com qualquer outro site HTTPS, basta fazer login na página da web do portal SSL-
VPN no FortiGate. Ele atua como um proxy reverso do lado do servidor, ou um gateway HTTP /
HTTPS seguro simples, que conecta você aos aplicativos na rede privada.
A seção Marcadores na página Portal SSL-VPN contém links para todos ou alguns dos recursos
disponíveis para o usuário acessar. O widget Conexão rápida permite que os usuários digitem o URL
ou endereço IP do servidor que desejam acessar. Um usuário SSL-VPN da web usa esses dois
widgets para acessar a rede interna. A principal vantagem do modo web é que geralmente não
requer a instalação de software extra.
O modo Web tem duas desvantagens principais:
⦁ Toda interação com a rede interna deve ser feita exclusivamente no navegador (através do portal web).
Aplicativos de rede externa executados no PC do usuário não podem enviar dados através da VPN.
⦁ Este é um mecanismo de gateway HTTP / HTTPS seguro que não funciona para acessar tudo, mas
apenas alguns protocolos populares, como HTTP, FTP e compartilhamentos do Windows.

13-
How does web mode work?
⦁ Remote users establish a secure connection between the SSL security in the web browser and the
FortiGate SSL-VPN portal, using HTTPS.
⦁ Once connected, users provide credentials in order to pass an authentication check.
⦁ Then, FortiGate displays the SSL-VPN portal that contains services and network resources for users to
access.
Different users can have different portals with different resources and access permissions. Also notice
the source IP seen by the remote resources is FortiGate’s internal IP address and not the user’s IP
address.

Como funciona o modo web?

⦁ Os usuários remotos estabelecem uma conexão segura entre a segurança SSL no navegador da web e o
portal FortiGate SSL-VPN, usando HTTPS.
⦁ Depois de conectado, os usuários fornecem credenciais para passar na verificação de autenticação.
⦁ Em seguida, o FortiGate exibe o portal SSL-VPN que contém serviços e recursos de rede para os usuários
acessarem.
Diferentes usuários podem ter diferentes portais com diferentes recursos e permissões de acesso.
Observe também que o IP de origem visto pelos recursos remotos é o endereço IP interno do
FortiGate e não o endereço IP do usuário.

14-
Tunnel mode is the second option FortiGate provides to access resources within an SSL-VPN.
Tunnel mode requires FortiClient to connect to FortiGate. FortiClient adds a virtual network adapter
identified as fortissl to the user’s PC. This virtual adapter dynamically receives an IP address from
FortiGate each time FortiGate establishes a new VPN connection. Inside the tunnel, all traffic is
SSL/TLS encapsulated.
The main advantage of tunnel mode over web mode is that after the VPN is established, any IP
network application running on the client can send traffic through the tunnel. The main disadvantage
is that tunnel mode requires the installation of a VPN software client, which requires administrative
privileges.

O modo túnel é a segunda opção que o FortiGate oferece para acessar recursos dentro de um SSL-
VPN.
O modo túnel requer o FortiClient para se conectar ao FortiGate. O FortiClient adiciona um adaptador
de rede virtual identificado como fortissl ao PC do usuário. Este adaptador virtual recebe
dinamicamente um endereço IP do FortiGate cada vez que o FortiGate estabelece uma nova
conexão VPN. Dentro do túnel, todo o tráfego é encapsulado em SSL / TLS.
A principal vantagem do modo túnel em relação ao modo web é que, após o estabelecimento da
VPN, qualquer aplicativo de rede IP em execução no cliente pode enviar tráfego pelo túnel. A
principal desvantagem é que o modo de túnel requer a instalação de um cliente de software VPN, o
que requer privilégios administrativos.

15-
How does tunnel mode work?
⦁ Users connect to FortiGate through FortiClient.
⦁ Users provide credentials to successfully authenticate.
⦁ FortiGate establishes the tunnel and assigns an IP address to the client’s virtual network adapter
(fortissl). This is the client’s source IP address for the duration of the connection.
⦁ Then, users can access services and network resources through the encrypted tunnel.
FortiClient encrypts all traffic from the remote computer and sends it over the SSL-VPN tunnel.
FortiGate receives the encrypted traffic, de-encapsulates the IP packets, and forwards them to the
private network as if the traffic originated from inside the network.

Como funciona o modo de túnel?

⦁ Os usuários se conectam ao FortiGate através do FortiClient.
⦁ Os usuários fornecem credenciais para autenticação com êxito.
⦁ O FortiGate estabelece o túnel e atribui um endereço IP ao adaptador de rede virtual do cliente (fortissl).
Este é o endereço IP de origem do cliente para a duração da conexão.
⦁ Em seguida, os usuários podem acessar serviços e recursos de rede por meio do túnel criptografado.
O FortiClient criptografa todo o tráfego do computador remoto e o envia pelo túnel SSL-VPN. O
FortiGate recebe o tráfego criptografado, desencapsula os pacotes IP e os encaminha para a rede
privada como se o tráfego fosse originado de dentro da rede.

16-
Tunnel mode also supports split tunneling.
When split tunneling is disabled, all IP traffic generated by the client’s computer—including Internet
traffic—is routed across the SSL-VPN tunnel to FortiGate. This sets up FortiGate as the default
gateway for the host.
You can use this method in order to apply security features to the traffic on those remote clients, or to
monitor or restrict internet access. This adds more latency and increases bandwidth usage.
When split tunneling is enabled, only traffic that is destined for the private network behind the remote
FortiGate is routed through the tunnel. All other traffic is sent through the usual unencrypted route.
Split tunneling helps to conserve bandwidth and alleviates bottlenecks.

O modo de túnel também oferece suporte a túnel dividido.

Quando o túnel dividido está desabilitado, todo o tráfego IP gerado pelo computador do cliente -
incluindo o tráfego da Internet - é roteado através do túnel SSL-VPN para FortiGate. Isso configura o
FortiGate como o gateway padrão para o host.
Você pode usar este método para aplicar recursos de segurança ao tráfego nesses clientes remotos
ou para monitorar ou restringir o acesso à Internet. Isso adiciona mais latência e aumenta o uso da
largura de banda.
Quando o túnel dividido está habilitado, apenas o tráfego destinado à rede privada por trás do
FortiGate remoto é roteado através do túnel. Todo o resto do tráfego é enviado pela rota não
criptografada usual.
O tunelamento dividido ajuda a conservar a largura de banda e alivia gargalos.

22-
To configure SSL-VPN, you must take these steps:
⦁ Configure user accounts and groups.
⦁ Configure the SSL-VPN portal.
⦁ Configure SSL-VPN settings.
⦁ Create a firewall policy to accept and decrypt packets. This policy is also used to provide access to
internal networks.
⦁ Optionally, configure a firewall policy to allow traffic from the SSL-VPN client to the internet and
apply security profiles. User traffic will go to the internet through FortiGate, where you can monitor or
restrict client access to the internet.
Some steps can be configured in a different order than what is shown on this slide.

Para configurar SSL-VPN, você deve seguir estas etapas:

⦁ Configure contas de usuários e grupos.
⦁ Configure o portal SSL-VPN.
⦁ Defina as configurações de SSL-VPN.
⦁ Crie uma política de firewall para aceitar e descriptografar pacotes. Esta política também é usada para
fornecer acesso a redes internas.
⦁ Opcionalmente, configure uma política de firewall para permitir o tráfego do cliente SSL-VPN para a
Internet e aplique perfis de segurança. O tráfego do usuário irá para a Internet através do FortiGate, onde
você pode monitorar ou restringir o acesso do cliente à Internet.
Algumas etapas podem ser configuradas em uma ordem diferente da mostrada neste slide.

23-
The first step is to create the accounts and user groups for the SSL-VPN clients.
All FortiGate authentication methods, with the exception of remote password authentication using the
Fortinet Single Sign-On (FSSO) protocol, can be used for SSL-VPN authentication. This includes local
password authentication and remote password authentication (using the LDAP, RADIUS, and
TACACS+ protocols).
FortiOS version 6.4 also support SSL-VPN authentication using certificate or both certificate and
remote authentication (using the LDAP or RADIUS).
You can also configure two-factor authentication with FortiToken, for better security.

A primeira etapa é criar as contas e grupos de usuários para os clientes SSL-VPN.

Todos os métodos de autenticação FortiGate, com exceção da autenticação de senha remota usando
o protocolo Fortinet Single Sign-On (FSSO), podem ser usados para autenticação SSL-VPN. Isso
inclui autenticação de senha local e autenticação de senha remota (usando os protocolos LDAP,
RADIUS e TACACS +).
O FortiOS versão 6.4 também suporta autenticação SSL-VPN usando certificado ou certificado e
autenticação remota (usando LDAP ou RADIUS).
Você também pode configurar a autenticação de dois fatores com FortiToken, para melhor
segurança.

24-
The second step is to configure the SSL-VPN portal(s). An SSL-VPN portal contains tools and
resource links for the users to access.
In tunnel mode, when you enable split tunneling, you need to select a Routing Address setting, which
usually specifies networks behind the FortiGate for the SSL-VPN users to access.
Also, for tunnel mode you need to select an IP pool for users to acquire an IP address when
connecting. There is a default pool available within the address objects if you do not create your own.
If you enable web mode, you can customize the SSL-VPN portal and preconfigure bookmarks to
appear for all users who log in to the SSL-VPN portal. Also, you can individually configure and link
each portal to a specific user or user group, so they have access to only required resources.

A segunda etapa é configurar o (s) portal (s) SSL-VPN. Um portal SSL-VPN contém ferramentas e
links de recursos para os usuários acessarem.
No modo de túnel, quando você ativa o túnel dividido, é necessário selecionar uma configuração de
Endereço de Roteamento, que geralmente especifica as redes atrás do FortiGate para os usuários
SSL-VPN acessarem.
Além disso, para o modo de túnel, você precisa selecionar um pool de IP para os usuários adquirirem
um endereço IP ao se conectar. Há um pool padrão disponível nos objetos de endereço, se você não
criar o seu próprio.
Se você habilitar o modo web, poderá personalizar o portal SSL-VPN e pré-configurar os marcadores
para que apareçam para todos os usuários que fizerem login no portal SSL-VPN. Além disso, você
pode configurar e vincular individualmente cada portal a um usuário ou grupo de usuários específico,
para que eles tenham acesso apenas aos recursos necessários.

25-
This slide shows an example of an SSL-VPN web mode portal page after the user logs in. It allows
you to download a FortiClient VPN client from the Download FortiClient drop-down list. This
FortiClient VPN client is used to connect to SSL-VPN in tunnel mode.
Also notice the SSL-VPN bookmarks provide links to network resources. The settings for web mode
allow users to:
⦁ Use the administrator-defined bookmarks in the Bookmarks section. Users cannot modify
administrator- added bookmarks.
⦁ Use the widget in the Your Bookmarks section to add personal bookmarks.
⦁ Access network resources directly using the Quick Connection widget.
Now, you will learn more about the protocols and server applications available on the SSL-VPN portal
(web mode) through the Bookmarks or Quick Connection widget.

Este slide mostra um exemplo de página de portal do modo web SSL-VPN após o login do usuário.
Ele permite que você baixe um cliente VPN FortiClient da lista suspensa Download FortiClient. Este
cliente FortiClient VPN é usado para se conectar a SSL-VPN em modo de túnel.
Observe também que os marcadores SSL-VPN fornecem links para recursos de rede. As
configurações do modo web permitem que os usuários:
⦁ Use os favoritos definidos pelo administrador na seção Favoritos. Os usuários não podem modificar os
favoritos adicionados pelo administrador.
⦁ Use o widget na seção Seus favoritos para adicionar favoritos pessoais.
⦁ Acesse recursos de rede diretamente usando o widget Quick Connection.
Agora, você aprenderá mais sobre os protocolos e aplicativos de servidor disponíveis no portal SSL-
VPN (modo web) por meio dos marcadores ou widget Conexão rápida.

26-
Depending on the web portal configuration, one or more of the following are available:
⦁ HTTP/HTTPS allows you to access private websites.
⦁ File Transfer Protocol (FTP), allows you to transfer files between the SSL-VPN client and hosts or
servers located in the private network.
⦁ Virtual Network Computing (VNC), allows you to remotely control another computer within the
private network.
⦁ Remote Desktop Protocol (RDP), similar to VNC, allows you to remotely control a computer running
Microsoft Terminal Services.
⦁ Secure Shell (SSH), allows the exchange of data between two hosts using a secure channel.
⦁ Teletype Network Emulation (TELNET), enables a virtual, text-only terminal in the SSL-VPN to log
in to a remote host.
⦁ Ping, allows you to ping an IP address or a host name to check reachability.
⦁ SSH File Transfer Protocol (SFTP), allows you to transfer files over SSH between the SSL-VPN client
and hosts or servers located in the private network.
⦁ SMB/CIFS, implements the Server Message Block (SMC) protocol to support file sharing between the
SSL-VPN client and a remote host or server in the private network. Windows file sharing through
SMB/CIFS is supported through shared directories.

Dependendo da configuração do portal da web, um ou mais dos seguintes estão disponíveis:

⦁ HTTP / HTTPS permite que você acesse sites privados.
⦁ File Transfer Protocol (FTP), permite que você transfira arquivos entre o cliente SSL-VPN e hosts ou
servidores localizados na rede privada.
⦁ Virtual Network Computing (VNC), permite que você controle remotamente outro computador dentro
da rede privada.
⦁ O protocolo de área de trabalho remota (RDP), semelhante ao VNC, permite controlar remotamente um
computador executando o Microsoft Terminal Services.
⦁ Secure Shell (SSH), permite a troca de dados entre dois hosts usando um canal seguro.
⦁ Emulação de rede de teletipo (TELNET), permite que um terminal virtual apenas de texto no SSL-VPN
faça login em um host remoto.
⦁ Ping, permite que você faça ping em um endereço IP ou nome de host para verificar a acessibilidade.
⦁ Protocolo de transferência de arquivos SSH (SFTP), permite que você transfira arquivos por SSH entre o
cliente SSL-VPN e hosts ou servidores localizados na rede privada.
⦁ SMB / CIFS, implementa o protocolo Server Message Block (SMC) para oferecer suporte ao
compartilhamento de arquivos entre o cliente SSL-VPN e um host ou servidor remoto na rede privada. O
compartilhamento de arquivos do Windows por meio de SMB / CIFS é compatível com diretórios
compartilhados.

27-

After you configure the SSL-VPN portal, the next step is to configure the SSL-VPN settings.
Let’s start with the Connection Settings section. Here, you need to map a FortiGate interface to the
SSL- VPN portal. The default port for the SSL-VPN portal is 443. This means users need to connect
to the IP address of the FortiGate interface mapped to the SSL-VPN portal, using port 443-HTTPS. If
you enable Redirect HTTP to SSL-VPN, users who connect using HTTP (TCP port 80) will be
redirected to HTTPS.
Port 443 is the standard default port for administration of the HTTPS protocol. This is convenient
because users do not need to specify the port in their browsers. For example,
https://www.example.com/ automatically uses port 443 in any browser. This is considered a valid
setup on FortiGate because you usually don’t access the SSL-VPN login through every interface.
Likewise, you generally don’t enable administrative access on every interface of your FortiGate. So,
even though the ports may overlap, the interfaces that each one uses to access may not. However, if
the SSL-VPN login portal and HTTPS admin access both use the same port, and are both enabled on
the same interface, only the SSL-VPN login portal will appear. To have access to both portals on the
same interface, you need to change the port number for one of the services. If you change the
administrator access port, this will affect the port number for that service on all interfaces.
Also, an inactive SSL-VPN is disconnected after 300 seconds (5 minutes) of inactivity. You can
change this timeout using the Idle Logout setting on the GUI.
Finally, like other HTTPS websites, the SSL-VPN portal presents a digital certificate when users
connect. By default, the portal uses a self-signed certificate, which triggers the browser to show a
certificate warning. To avoid the warning, you should use a digital certificate signed by a publicly
known certificate authority (CA).
Alternatively, you can load the FortiGate self-signed digital certificate into the browser as a trusted
authority.
Depois de configurar o portal SSL-VPN, a próxima etapa é definir as configurações SSL-VPN.
Vamos começar com a seção Configurações de conexão. Aqui, você precisa mapear uma interface
FortiGate para o portal SSL-VPN. A porta padrão para o portal SSL-VPN é 443. Isso significa que os
usuários precisam se conectar ao endereço IP da interface FortiGate mapeada para o portal SSL-
VPN, usando a porta 443-HTTPS. Se você habilitar Redirecionar HTTP para SSL-VPN, os usuários
que se conectam usando HTTP (porta TCP 80) serão redirecionados para HTTPS.
A porta 443 é a porta padrão padrão para administração do protocolo HTTPS. Isso é conveniente
porque os usuários não precisam especificar a porta em seus navegadores. Por exemplo,
https://www.example.com/ usa automaticamente a porta 443 em qualquer navegador. Esta é
considerada uma configuração válida no FortiGate porque você normalmente não acessa o login
SSL-VPN através de todas as interfaces. Da mesma forma, você geralmente não habilita o acesso
administrativo em todas as interfaces de seu FortiGate. Portanto, mesmo que as portas possam se
sobrepor, as interfaces que cada uma usa para acessar podem não se sobrepor. No entanto, se o
portal de login SSL-VPN e o acesso de administrador HTTPS usam a mesma porta e estão
habilitados na mesma interface, apenas o portal de login SSL-VPN aparecerá. Para ter acesso a
ambos os portais na mesma interface, você precisa alterar o número da porta para um dos serviços.
Se você alterar a porta de acesso do administrador, isso afetará o número da porta desse serviço em
todas as interfaces.
Além disso, um SSL-VPN inativo é desconectado após 300 segundos (5 minutos) de inatividade.
Você pode alterar esse tempo limite usando a configuração Logout inativo na GUI.
Finalmente, como outros sites HTTPS, o portal SSL-VPN apresenta um certificado digital quando os
usuários se conectam. Por padrão, o portal usa um certificado autoassinado, que aciona o navegador
para mostrar um aviso de certificado. Para evitar o aviso, você deve usar um certificado digital
assinado por uma autoridade de certificação (CA) conhecida publicamente.
Alternativamente, você pode carregar o certificado digital autoassinado FortiGate no navegador como
uma autoridade confiável.

28-

Define the tunnel-mode client settings and the authentication rules that map users to the appropriate
portal.
When users connect, the tunnel is assigned an IP address. You can choose to use the default range
or create your own range. The IP range determines how many users can connect simultaneously.
DNS server resolution is only effective when the DNS traffic is sent over the VPN tunnel. Generally,
this will be the case only when split tunnel mode is disabled and all traffic is being sent from the user’s
computer across the tunnel.
Finally, you can allow different groups of users to access different portals. In the example shown on
this slide, teachers have access only to the web portal. Accountants can use FortiClient to connect in
tunnel mode.

Defina as configurações do cliente em modo de túnel e as regras de autenticação que mapeiam os

usuários para o portal apropriado.
Quando os usuários se conectam, o túnel recebe um endereço IP. Você pode escolher usar o
intervalo padrão ou criar seu próprio intervalo. O intervalo de IP determina quantos usuários podem
se conectar simultaneamente.
A resolução do servidor DNS só é eficaz quando o tráfego DNS é enviado pelo túnel VPN.
Geralmente, esse será o caso apenas quando o modo de túnel dividido estiver desabilitado e todo o
tráfego estiver sendo enviado do computador do usuário através do túnel.
Finalmente, você pode permitir que diferentes grupos de usuários acessem diferentes portais. No
exemplo mostrado neste slide, os professores têm acesso apenas ao portal da web. Os contadores
podem usar o FortiClient para se conectar no modo de túnel.

29-

The fourth, and last, mandatory step involves creating firewall policies for logging on.
SSL-VPN traffic on FortiGate uses a virtual interface called ssl.<vdom_name>. Each virtual domain
(VDOM) contains a different virtual interface based on its name. By default, if VDOMs are not
enabled, then the device operates with a single VDOM called root.
To activate and successfully log in to the SSL-VPN, there must be a firewall policy from the SSL-VPN
interface to the interface to which you want to allow access for the SSL-VPN users, including all of the
users and groups that can log in as the source. Without a policy like this, no login portal is presented
to users.
If there are resources behind other interfaces that users need access to, then you need to create
additional policies that allow traffic from ssl.root to exit those interfaces.

A quarta e última etapa obrigatória envolve a criação de políticas de firewall para logon.
O tráfego SSL-VPN no FortiGate usa uma interface virtual chamada ssl. <vdom_name>. Cada
domínio virtual (VDOM) contém uma interface virtual diferente com base em seu nome. Por padrão,
se os VDOMs não estiverem habilitados, o dispositivo opera com um único VDOM chamado root.
Para ativar e fazer login com sucesso no SSL-VPN, deve haver uma política de firewall da interface
SSL-VPN para a interface para a qual você deseja permitir o acesso para os usuários SSL-VPN,
incluindo todos os usuários e grupos que podem faça login como a fonte. Sem uma política como
essa, nenhum portal de login é apresentado aos usuários.
Se houver recursos por trás de outras interfaces que os usuários precisam acessar, você precisará
criar políticas adicionais que permitem que o tráfego de ssl.root saia dessas interfaces.
30-

Any traffic from SSL-VPN users, whether in web portal or tunnel mode, exits from the
ssl.<vdom_name>
interface.
This slide shows an example of firewall policies that are configured to allow access to resources
behind other interfaces that users need access to when connected through SSL-VPN.

Qualquer tráfego de usuários SSL-VPN, seja no portal da web ou no modo de túnel, sai do ssl.
<vdom_name>
interface.
Este slide mostra um exemplo de políticas de firewall configuradas para permitir o acesso a recursos
por trás de outras interfaces que os usuários precisam acessar quando conectados por meio de SSL-
VPN.

31-
Optionally, if split tunneling is disabled, you need to create an additional firewall policy from ssl.root to
the egress interface to allow clients access to the internet.
You can also apply security profiles to this firewall policy to restrict user access to the internet.

Opcionalmente, se o túnel dividido estiver desabilitado, você precisará criar uma política de firewall
adicional de ssl.root para a interface de saída para permitir que os clientes acessem a Internet.
Você também pode aplicar perfis de segurança a esta política de firewall para restringir o acesso do
usuário à Internet.

36-

By default, all SSL-VPN users will see the same bookmarks, configured by an administrator, and the
same theme.
By default, the features for customizing SSL-VPN realms and SSL-VPN bookmarks are hidden on the
FortiGate GUI.

Por padrão, todos os usuários SSL-VPN verão os mesmos favoritos, configurados por um
administrador, e o mesmo tema.
Por padrão, os recursos para personalizar domínios SSL-VPN e marcadores SSL-VPN estão ocultos
na GUI do FortiGate.

37-
To add flexibility to your SSL-VPN deployment, you may consider configuring SSL-VPN realms.
The realms are custom login pages. They are usually for user groups, such as your accounting team
and your sales team, but can be for individual users as well. With realms, users and user groups can
access different portals based on the URL they enter.
With different portals, you can customize each login page separately, as well as limit concurrent user
logins separately.
Example of realms on a FortiGate: https://192.168.1.1 - https://192.168.1.1/Accounting -
https://192.168.1.1/TechnicalSupport - https://192.168.1.1/Sales

Para adicionar flexibilidade à sua implantação SSL-VPN, você pode considerar a configuração de
domínios SSL-VPN.
Os reinos são páginas de login customizadas. Geralmente são para grupos de usuários, como sua
equipe de contabilidade e sua equipe de vendas, mas também podem ser para usuários individuais.
Com realms, os usuários e grupos de usuários podem acessar diferentes portais com base na URL
que inserem.
Com diferentes portais, você pode personalizar cada página de login separadamente, bem como
limitar os logins de usuários simultâneos separadamente.
Exemplo de reinos em um FortiGate: https://192.168.1.1 - https://192.168.1.1/Accounting -
https://192.168.1.1/TechnicalSupport - https://192.168.1.1/Sales

38-
After realms are set up, you must apply them in the SSL-VPN Settings window.
Configure the authentication rules in order to map users to the appropriate realm. These settings
allow different groups of users to access the defined portals by different realms.
In the example shown on this slide, teachers have access only to their own realms. If they need
access to the root realm to see the global portal, you would need to add an additional authentication
rule for them.

Após a configuração dos domínios, você deve aplicá-los na janela Configurações SSL-VPN.
Configure as regras de autenticação para mapear os usuários para a região apropriada. Essas
configurações permitem que diferentes grupos de usuários acessem os portais definidos por
diferentes domínios.
No exemplo mostrado neste slide, os professores têm acesso apenas a seus próprios domínios. Se
eles precisarem de acesso ao domínio raiz para ver o portal global, você precisará adicionar uma
regra de autenticação adicional para eles.

39-
When users log in to their individual portal, there is an option that allows them to create their own
bookmarks. An administrator must enable the User Bookmarks option on the SSL-VPN Portal page to
allow this.
Administrators can view and delete user-added bookmarks on the SSL-VPN Personal Bookmarks
page. This allows administrators to monitor and remove any unwanted bookmarks that do not meet
with corporate policy.
On the FortiGate CLI, you can create bookmarks for each user. These bookmarks will appear even if
the user bookmark option is disabled in the portal, because that option only affects the user’s ability to
create and modify their own bookmarks—not administrator-defined bookmarks.
Depending on the type of bookmark you want to create, you may need to configure additional
information that the application requires, such as URLs for websites and folders for FTP sites.

Quando os usuários fazem login em seu portal individual, há uma opção que permite que eles criem
seus próprios favoritos. Um administrador deve habilitar a opção Marcadores do usuário na página
Portal SSL-VPN para permitir isso.
Os administradores podem visualizar e excluir marcadores adicionados pelo usuário na página
Marcadores pessoais SSL-VPN. Isso permite que os administradores monitorem e removam
quaisquer marcadores indesejados que não atendam à política corporativa.
No FortiGate CLI, você pode criar marcadores para cada usuário. Esses marcadores aparecerão
mesmo se a opção de marcador do usuário estiver desabilitada no portal, porque essa opção afeta
apenas a capacidade do usuário de criar e modificar seus próprios marcadores - não marcadores
definidos pelo administrador.
Dependendo do tipo de marcador que deseja criar, pode ser necessário configurar informações
adicionais que o aplicativo requer, como URLs para sites e pastas para sites FTP.

44-

When a user connects to your network through an SSL-VPN, a portal is established between your
network and the user PC. The VPN session is secured natively in two ways: the connection is
encrypted and the user must log in with their credentials, such as a username and password.
However, you can configure additional security checks to increase the security of the connection.
One method of increasing your security is through client integrity checking. Client integrity ensures
that the connecting computer is secure by checking whether specific security software, such as
antivirus or firewall software, is installed and running. This feature only supports Microsoft Windows
clients, because it accesses the Windows Security Center to perform its checks. Alternatively, you can
customize this feature to check the status of other applications using their GUID. The GUID is a
unique ID in the Windows Configuration Registry that identifies each Windows application. Client
integrity can also check the current software and signature versions for the antivirus and firewall
applications.
Client integrity checking is applicable to both web mode and tunnel mode.

Quando um usuário se conecta à sua rede através de um SSL-VPN, um portal é estabelecido entre a
sua rede e o PC do usuário. A sessão VPN é protegida nativamente de duas maneiras: a conexão é
criptografada e o usuário deve fazer login com suas credenciais, como nome de usuário e senha. No
entanto, você pode configurar verificações de segurança adicionais para aumentar a segurança da
conexão.
Um método de aumentar sua segurança é através da verificação de integridade do cliente. A
integridade do cliente garante que o computador conectado esteja seguro, verificando se um software
de segurança específico, como antivírus ou firewall, está instalado e em execução. Este recurso só
oferece suporte a clientes Microsoft Windows, pois acessa a Central de Segurança do Windows para
realizar suas verificações. Como alternativa, você pode personalizar esse recurso para verificar o
status de outros aplicativos usando seu GUID. O GUID é um ID exclusivo no Registro de
Configuração do Windows que identifica cada aplicativo do Windows. A integridade do cliente
também pode verificar o software atual e as versões de assinatura dos aplicativos antivírus e firewall.
A verificação de integridade do cliente é aplicável tanto ao modo web quanto ao modo túnel.

45-

The client integrity check is performed while the VPN is still establishing, just after user authentication
has finished. If the required software is not running on the client’s PC, the VPN connection attempt is
rejected, even with valid user credentials. Client integrity is enabled per web portal, and can be
configured using CLI commands or the FortiGate GUI.
The list of recognized software, along with the associated registry key value, is available on the CLI
only. Software is split into three categories: antivirus (av), firewall (fw), and custom. Custom is used
for customized or proprietary software that an organization may require. Administrators can configure
av, fw, or both settings on the GUI or CLI, but custom setting is only available on the CLI.
Administrators can also configure OS versions and patch settings to allow or deny VPN connections
from specific OS versions.
The disadvantage of enabling client integrity checking is that it can result in a lot of administrative
overhead because of the following factors:
⦁ All users must have their security software updated in order to successfully establish a connection.
⦁ Software updates can result in a change to the registry key values, which can also prevent a user from
successfully connecting.
As such, administrators must have in-depth knowledge of the Windows operating system and
subsequent registry behavior in order to properly make extended use of, as well as maintain, this
feature.

A verificação de integridade do cliente é realizada enquanto a VPN ainda está se estabelecendo, logo
após o término da autenticação do usuário. Se o software necessário não estiver sendo executado no
PC do cliente, a tentativa de conexão VPN será rejeitada, mesmo com credenciais de usuário
válidas. A integridade do cliente é habilitada por portal da web e pode ser configurada usando
comandos CLI ou a GUI FortiGate.
A lista de softwares reconhecidos, junto com o valor da chave de registro associado, está disponível
apenas na CLI. O software é dividido em três categorias: antivírus (av), firewall (fw) e personalizado.
Personalizado é usado para software personalizado ou proprietário que uma organização pode exigir.
Os administradores podem definir as configurações av, fw ou ambas na GUI ou CLI, mas a
configuração personalizada está disponível apenas na CLI.
Os administradores também podem configurar versões do sistema operacional e configurações de
patch para permitir ou negar conexões VPN de versões específicas do sistema operacional.
A desvantagem de ativar a verificação de integridade do cliente é que isso pode resultar em uma
grande sobrecarga administrativa devido aos seguintes fatores:
⦁ Todos os usuários devem ter seu software de segurança atualizado para estabelecer uma conexão com
sucesso.
⦁ As atualizações de software podem resultar em uma alteração nos valores da chave de registro, o que
também pode impedir que um usuário se conecte com êxito.
Como tal, os administradores devem ter conhecimento profundo do sistema operacional Windows e
do comportamento do registro subsequente para fazer uso extensivo e manter esse recurso.

46-

You can also harden your SSL-VPN connections by applying two-factor authentication through
security certificates (X.509), by either:
⦁ Requiring clients to authenticate using their certificates
When the remote client initiates a connection, FortiGate prompts the client browser for its client-side
certificate as part of the authentication process.
⦁ Installing FortiGate’s CA certificates on your clients’ browsers

Você também pode proteger suas conexões SSL-VPN aplicando autenticação de dois fatores por
meio de certificados de segurança (X.509):
⦁ Exigir que os clientes se autentiquem usando seus certificados
Quando o cliente remoto inicia uma conexão, o FortiGate solicita ao navegador do cliente seu
certificado do lado do cliente como parte do processo de autenticação.
⦁ Instalação de certificados de CA do FortiGate nos navegadores de seus clientes

47-

You can secure SSL-VPN access by restricting host connection addresses. Setting up IP restriction
rules can be very useful when considering proper security configuration. Not all IPs need access to
the login page. This method allows you to set up rules to restrict access from specific IPs. One simple
rule is to allow or disallow traffic based on geographic IP addresses.
You must select Limit access to specific hosts and specify the IP address or network in the Hosts
field. This will allow only those users to access the login page. The Allow access from any host setting
allows all IPs to connect.
On the CLI, you can configure the VPN SSL setting to disallow specific IPs.

Você pode proteger o acesso SSL-VPN restringindo os endereços de conexão do host. Configurar
regras de restrição de IP pode ser muito útil ao considerar a configuração de segurança adequada.
Nem todos os IPs precisam de acesso à página de login. Este método permite que você configure
regras para restringir o acesso de IPs específicos. Uma regra simples é permitir ou proibir o tráfego
com base em endereços IP geográficos.
Você deve selecionar Limitar o acesso a hosts específicos e especificar o endereço IP ou rede no
campo Hosts. Isso permitirá que apenas esses usuários acessem a página de login. A configuração
Permitir acesso de qualquer host permite que todos os IPs se conectem.
Na CLI, você pode definir a configuração VPN SSL para proibir IPs específicos.

48-
You can also configure FortiGate to check against the client’s MAC address when remote users
attempt to log in to the SSL-VPN portal. This makes sure that only specific computers or devices are
connecting to the SSL- VPN tunnel.
This setting offers better security because passwords might be compromised. MAC addresses can be
tied to specific portals and can be either the entire MAC address or a subset of the address.
This setting is supported only with tunnel mode deployment.

Você também pode configurar o FortiGate para verificar o endereço MAC do cliente quando os
usuários remotos tentarem fazer login no portal SSL-VPN. Isso garante que apenas computadores ou
dispositivos específicos estejam se conectando ao túnel SSL-VPN.
Esta configuração oferece melhor segurança porque as senhas podem ser comprometidas. Os
endereços MAC podem ser vinculados a portais específicos e podem ser o endereço MAC inteiro ou
um subconjunto do endereço.
Esta configuração é compatível apenas com a implantação do modo de túnel.

53-
You can monitor which SSL-VPN users are connected on the SSL-VPN widget. This shows the
names of all SSL-VPN users that are currently connected to FortiGate, their IP addresses (both inside
the tunnel and outside), and connection times.
When a user connects using tunnel model, the Active Connections column shows the IP address
assigned by FortiGate to the fortissl virtual adapter on the client’s computer. Otherwise, the user is
connected only to the web portal page.

Você pode monitorar quais usuários SSL-VPN estão conectados no widget SSL-VPN. Isso mostra os
nomes de todos os usuários SSL-VPN que estão atualmente conectados ao FortiGate, seus
endereços IP (dentro e fora do túnel) e os tempos de conexão.
Quando um usuário se conecta usando o modelo de túnel, a coluna Conexões ativas mostra o
endereço IP atribuído pelo FortiGate ao adaptador virtual fortissl no computador do cliente. Caso
contrário, o usuário estará conectado apenas à página do portal da web.

54-

You can also review SSL-VPN logs. On Log & Report > Events:
⦁ Select VPN Events to show new connection requests, and if the SSL-VPN tunnel is established or
closed.
⦁ Select User Events to see the authentication action related to SSL-VPN users.

Você também pode revisar os registros SSL-VPN. Em Log & Report> Events:
⦁ Selecione VPN Events para mostrar novas solicitações de conexão e se o túnel SSL-VPN está estabelecido
ou fechado.
⦁ Selecione Eventos do usuário para ver a ação de autenticação relacionada aos usuários SSL-VPN.

55-

When an SSL-VPN is disconnected, either by the user or through the SSL-VPN idle setting, all
associated sessions in the FortiGate session table are deleted. This prevents the reuse of
authenticated SSL-VPN sessions (not yet expired) after the initial user terminates the tunnel.
The SSL-VPN user idle setting is not associated with the firewall authentication timeout setting. It is a
separate idle option specifically for SSL-VPN users. A remote user is considered idle when FortiGate
does not see any packets or activity from the user within the configured timeout period.

Quando um SSL-VPN é desconectado, seja pelo usuário ou através da configuração ociosa SSL-
VPN, todas as sessões associadas na tabela de sessão FortiGate são excluídas. Isso evita a
reutilização de sessões SSL-VPN autenticadas (ainda não expiradas) após o usuário inicial encerrar
o túnel.
A configuração ociosa do usuário SSL-VPN não está associada à configuração do tempo limite de
autenticação do firewall. É uma opção inativa separada especificamente para usuários SSL-VPN. Um
usuário remoto é considerado inativo quando o FortiGate não vê nenhum pacote ou atividade do
usuário dentro do tempo limite configurado.

56-
When connected to SSLVPN over high latency connections, FortiGate can time out the client before
the client can finish the negotiation process, such as DNS lookup and time to enter a token. Two new
CLI commands under config vpn ssl settings have been added to address this. The first command
allows you to set up the login timeout, replacing the previous hard timeout value. The second
command allows you to set up the maximum DTLS hello timeout for SSL-VPN connections.
Also, timers can help you to mitigate vulnerabilities such as Slowloris and R-U-Dead-Yet, that allow
remote attackers to cause a denial of service through partial HTTP requests.

Quando conectado ao SSLVPN em conexões de alta latência, o FortiGate pode atingir o tempo limite
do cliente antes que ele possa terminar o processo de negociação, como pesquisa de DNS e tempo
para inserir um token. Dois novos comandos CLI em config vpn ssl settings foram adicionados para
resolver isso. O primeiro comando permite que você configure o tempo limite de login, substituindo o
valor de tempo limite rígido anterior. O segundo comando permite que você configure o tempo limite
máximo de DTLS hello para conexões SSL-VPN.
Além disso, os temporizadores podem ajudá-lo a mitigar vulnerabilidades como Slowloris e R-U-
Dead-Yet, que permitem que atacantes remotos causem negação de serviço por meio de solicitações
HTTP parciais.

57-
The following are some best practices to keep in mind when using SSL-VPNs. These best practices
can also be helpful in many SSL-VPN troubleshooting situations:
⦁ Enable cookies in your web browser
⦁ Set Internet privacy options to high in your web browser
⦁ Use a FortiClient version that is compatible with your FortiOS firmware
⦁ Enable split tunneling or create an egress firewall policy for SSL-VPN connections in order to allow
access for external resources
⦁ Connect to the correct port number
⦁ Add SSL-VPN groups, SSL-VPN users, and destination addresses to the firewall policies
⦁ Flush inactive sessions by timeout

A seguir estão algumas das melhores práticas a serem lembradas ao usar SSL-VPNs. Essas práticas
recomendadas também podem ser úteis em muitas situações de solução de problemas SSL-VPN:
⦁ Habilite os cookies em seu navegador
⦁ Defina as opções de privacidade da Internet como altas em seu navegador da web
⦁ Use uma versão FortiClient que seja compatível com seu firmware FortiOS
⦁ Ative o túnel dividido ou crie uma política de firewall de saída para conexões SSL-VPN a fim de permitir
o acesso a recursos externos
⦁ Conecte ao número de porta correto
⦁ Adicionar grupos SSL-VPN, usuários SSL-VPN e endereços de destino às políticas de firewall
⦁ Liberar sessões inativas por tempo limite

58-
There are several useful troubleshooting commands available under diagnose vpn ssl. They include:
⦁ list: Lists logged-on users
⦁ info: Shows general SSL-VPN information
⦁ statistics: Shows statistics about memory usage on FortiGate
⦁ hw-acceleration-status: Displays the status of SSL hardware acceleration
⦁ tunnel-test: Enable or disable SSL VPN old tunnel mode IP allocation method
⦁ web-mode-test: Enable or disable random session ID in proxy URL for testing
The command diagnose debug application sslvpn shows the entire list of debug messages for SSL-
VPN connections.
Remember, to use the commands listed above, you must first run the diagnose debug enable
command.

Existem vários comandos úteis de solução de problemas disponíveis em diagnosticar vpn ssl. Eles
incluem:
⦁ lista: Lista os usuários conectados
⦁ info: Mostra informações gerais de SSL-VPN
⦁ estatísticas: Mostra estatísticas sobre o uso de memória no FortiGate
⦁ hw-acceleration-status: Exibe o status de aceleração de hardware SSL
⦁ teste de túnel: ative ou desative o método de alocação de IP do modo de túnel antigo do SSL VPN
⦁ teste do modo web: Habilite ou desabilite o ID da sessão aleatória no URL do proxy para teste
O comando diagnose debug application sslvpn mostra a lista completa de mensagens de depuração
para conexões SSL-VPN.
Lembre-se, para usar os comandos listados acima, você deve primeiro executar o comando diagnose
debug enable.

59-
FortiGate devices that have CP8 or CP9 content processors, which accelerate many common
resource- intensive, security-related processes, can offload SSL-VPN traffic to a high-performance
VPN bulk data engine.
This specialized IPsec and SSL/TLS protocol processor processes most of the latest well-known
algorithms for encryption.
By default, the offloading process is set up. If, for testing purposes you want to disable it, you can do it
using the CLI only at the firewall policy configuration level.
You can also view the status of SSL-VPN acceleration using the CLI.

Os dispositivos FortiGate que possuem processadores de conteúdo CP8 ou CP9, que aceleram
muitos processos comuns de uso intensivo de recursos e relacionados à segurança, podem
descarregar o tráfego SSL-VPN para um mecanismo de dados em massa VPN de alto desempenho.
Este processador de protocolo IPsec e SSL / TLS especializado processa a maioria dos algoritmos
conhecidos mais recentes para criptografia.
Por padrão, o processo de descarregamento é configurado. Se, para fins de teste, você quiser
desativá-lo, poderá fazê-lo usando a CLI apenas no nível de configuração da política de firewall.
Você também pode visualizar o status de aceleração SSL-VPN usando o CLI.