ventas@znet.com.ar
En principio tenemos que tener en cuenta que el Firewall viene con una política implícita de denegar cualquier tráfico, nosotros debemos armar las rutas y dejar pasar dicho tráfico.
Los equipos de Small Business a diferencia de los más grandes vienen con la política de internal a WAN1 ya armada.
Esto permite el tráfico de toda la LAN privada a WAN1, por lo que si lo vamos a dejar activo debemos repasar la configuración:
Source Interface/Zone: Debemos definir en este campo la interface de origen. (Como estamos editando una política ya creada no nos permite cambiar en este caso)
Source Address: Este campo hace referencia a los Objetos de Firewall que ya definimos anteriormente, con “all” estamos diciendo que todo IP no importa el rango se aplique.
Destination Interface/Zone: Al igual que el primer campo definimos la Interface pero en este caso de destino.
Destination Address: Al igual que Source Address definimos el Objeto de Firewall, en este caso de destino.
Schedule: Definimos el Horario en que se va a aplicar esta política, hace referencia también al objeto de Firewall “Schedule”.
Service: En este campo podemos definir Puertos, para que la política se aplique solo en un puerto/servicio determinado como por ejemplo FTP o un grupo previamente definidos en Firewall Objects/service.
Action: Definimos si esta Política va a denegar o aceptar el tráfico. También definimos las conexiones para VPN en este campo, pero lo vamos a detallar más adelante.
Log Allowed Traffic: Permite hacer un log del trafico permitido en esta política.
Enable NAT:
– Use Destination Interface Address: Permite hacer NAT sobre las direcciones definidas en Destination Address.
– Use Dynamic IP Pool: Permite hacer NAT sobre las direcciones definidas previamente en Firewall Objects/Virtual IP/IP pool.
Enable Identity Based Policy: Nos permite definir accesos por Usuarios basados en políticas, es decir que si la conexión aplica en esta política nos va a pedir que nos autentiquemos. La base de datos de los Usuarios se alimenta desde lo configurado en Users.
Resolve User Names Using FSSO Agent: Este “Checkbox” define si estamos levantando los usuarios con un agente FSSO (single sign-on) desde un Directorio Activo.
UTM: (FortiOS en estas versiones tienen problemas para desplegar las opciones en este check sobre Chrome, se recomienda Firefox) Nos permite definir que funcionalidades de UTM (Gestión Unificada de Amenazas) vamos a utilizar entre las que tenemos Antivirus perimetral, Web Filter, Application Control, IPS, Email Filter y Protocol Options.
Traffic Shaping: Esta opción permite limitar o garantizar un ancho de banda determinado para una conexión determinada. Esto lo configuramos en Firewall Objects/Traffic Shaper.
Tutorial ZNET armado en base a Fortigate con FortiOS MR3 patch 10. +Info aqui