Configurações e Administração FortiGate

Prévia do material em texto

<p>FortiGate Administrator</p><p>System and Network Settings</p><p>FortiOS 7.4</p><p>Last Modified: 16 March 2024</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>In this lesson, you will learn about system and network settings on FortiGate.</p><p>System and Network Settings</p><p>Configure FortiGate on factory default settings</p><p>Configure FortiGate as the DHCP server</p><p>Configure and control administrator access to FortiGate</p><p>Back up and restore system configuration files</p><p>Upgrade FortiGate firmware</p><p>Check and verify FortiGuard licenses</p><p>Objectives</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>After completing this lesson, you should be able to achieve the objectives shown on this slide.</p><p>By demonstrating competence in basic system and network administration, you will be able to install FortiGate into your network and configure basic networking settings. You will also be able to better manage administrative users to implement stronger security practices around administrative access.</p><p>System and Network Settings</p><p>Factory Default Settings</p><p>IP: 192.168.1.99/24</p><p>Interface de gerenciamento em modelos de gama alta e média</p><p>Porta1 ou interface interna em modelos básicos</p><p>Gerenciamento de protocolo PING, HTTPS e SSH ativado</p><p>O servidor DHCP integrado está habilitado na porta1 ou interface interna</p><p>Somente em modelos básicos que suportam servidor DHCP</p><p>Login padrão:</p><p>User: admin</p><p>Password: (em branco)</p><p>Ambos diferenciam maiúsculas de minúsculas</p><p>Modifique a senha padrão (em branco)</p><p>Pode acessar o FortiGate na CLI</p><p>Console: sem rede</p><p>Widget de console CLI e emulador de terminal, como PuTTY ou Tera Term</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>O modo de conversão de endereço de rede (NAT) é o modo de operação padrão. Quais são as outras configurações padrão de fábrica? Depois de remover o FortiGate da caixa, o que você faz a seguir?</p><p>Agora, você verá como configurar o FortiGate.</p><p>Conecte o cabo de rede do seu computador à porta 1 ou às portas do switch interno (no modelo básico). Para modelos de gama alta e média, conecte-se à interface de gerenciamento. Na maioria dos modelos básicos, há um servidor DHCP nessa interface. Portanto, se as configurações de rede do seu computador tiverem DHCP habilitado, seu computador deverá obter automaticamente um IP e você poderá iniciar a configuração.</p><p>Para acessar a GUI no FortiGate ou FortiWiFi, abra um navegador da web e visite https://192.168.1.99.</p><p>As informações de login padrão são de conhecimento público. Nunca deixe a senha padrão em branco. Sua rede é tão segura quanto sua conta de administrador do FortiGate. Depois de fazer login com os detalhes de login padrão, você verá uma mensagem para alterar a senha padrão em branco para a senha do usuário administrador. Antes de conectar o FortiGate à sua rede, você deve definir uma senha complexa. Você também será solicitado a aplicar configurações adicionais, como nome do host, configuração do painel, registrar-se no FortiCare e assim por diante.</p><p>Todos os modelos FortiGate possuem uma porta de console e/ou porta de gerenciamento USB. A porta fornece acesso CLI sem rede. Você pode acessar a CLI usando o widget do console CLI na GUI ou a partir de um emulador de terminal, como PuTTY ou Tera Term.</p><p>System and Network Settings</p><p>Interface IPs</p><p>No modo NAT, você não pode usar interfaces até que elas tenham um endereço IP:</p><p>Atribuído manualmente</p><p>Automático</p><p>DHCP</p><p>PPPoE</p><p>Network > Interfaces</p><p>Network > Interfaces</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Quando o FortiGate está operando no modo de tradução de endereço de rede (NAT), toda interface que lida com o tráfego deve ter um endereço IP. Quando no modo NAT, o FortiGate pode usar o endereço IP para originar o tráfego, se precisar iniciar ou responder a uma sessão, e como endereço de destino para dispositivos que tentam entrar em contato com o FortiGate ou rotear o tráfego através dele. Existem várias maneiras de obter um endereço IP:</p><p>Manualmente</p><p>Automaticamente, usando DHCP ou protocolo ponto a ponto sobre Ethernet (PPPoE) (disponível na CLI)</p><p>System and Network Settings</p><p>A função define configurações de interface normalmente agrupadas:</p><p>Evita configurações incorretas acidentais</p><p>Quatro tipos:</p><p>LAN</p><p>WAN</p><p>DMZ</p><p>Undefined (mostrar todas as configurações)</p><p>Não está na lista de políticas</p><p>Alias é um descritor amigável para a interface:</p><p>Usado na lista de políticas para rotular interfaces por finalidade</p><p>Interface Role Compared to Alias</p><p>Network > Interfaces</p><p>Policy & Objects > Firewall Policy</p><p>Role</p><p>Alias</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Quantas vezes você já viu problemas de rede causados por um servidor DHCP (não um cliente) habilitado na interface WAN?</p><p>Você pode configurar a função de interface. As funções mostradas na GUI são as configurações de interface usuais para aquela parte de uma topologia. As configurações que não se aplicam à função atual ficam ocultas na GUI. (Todas as configurações estão sempre disponíveis na CLI, independentemente da função.) Isso evita configurações incorretas acidentais.</p><p>Por exemplo, quando a função é configurada como WAN, não há configuração de servidor DHCP e de detecção de dispositivo disponível. A detecção de dispositivos geralmente é usada para detectar dispositivos internamente na sua LAN.</p><p>Se houver um caso incomum e você precisar usar uma opção oculta pela função atual, você sempre poderá mudar a função para Undefined. Isso exibe todas as opções.</p><p>Para ajudá-lo a lembrar o uso de cada interface, você pode fornecer aliases. Por exemplo, você poderia chamar port3 internal_network. Isso pode ajudar a tornar sua lista de políticas mais fácil de compreender.</p><p>System and Network Settings</p><p>FortiGate as a DHCP Server</p><p>Network > Interfaces</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Os clientes sem fio não são os únicos que podem usar o FortiGate como servidor DHCP.</p><p>Para uma interface (como porta3), selecione a opção Manual, insira um IP estático e ative a opção DHCP Server. Aparecem opções para o servidor DHCP integrado, incluindo recursos de provisionamento, como opções de DHCP e regras de atribuição de endereço IP.</p><p>System and Network Settings</p><p>VLANs</p><p>Subdivida logicamente sua rede da camada física 2 em segmentos menores</p><p>Cada segmento forma um domínio de transmissão separado</p><p>Tags VLAN adicionadas aos frames para identificar seus segmentos de rede</p><p>VLANs</p><p>Physical interfaces</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>As VLANs dividem sua LAN física em múltiplas LANs lógicas. No modo de operação NAT, cada VLAN forma um domínio de broadcast separado. Várias VLANs podem coexistir na mesma interface física, desde que tenham IDs de VLAN diferentes. Desta forma, uma interface física é dividida em duas ou mais interfaces lógicas. Uma tag é adicionada a cada quadro Ethernet para identificar a VLAN à qual ele pertence.</p><p>System and Network Settings</p><p>Creating VLANs</p><p>Os quadros enviados ou recebidos pelo segmento da interface física nunca são marcados; eles pertencem à native VLAN</p><p>Network > Interfaces</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Para criar uma VLAN usando a GUI, clique em Create New, selecione Interface e, em seguida, no campo Type, selecione VLAN. Você deve especificar o ID da VLAN e a interface física à qual a VLAN estará vinculada. Os quadros que pertencem a interfaces desse tipo são sempre marcados. Por outro lado, os quadros enviados ou recebidos pelo segmento da interface física nunca são marcados. Eles pertencem ao que é chamado de VLAN nativa (VLAN ID 0).</p><p>Observe que em um ambiente multi-VDOM, a interface física e sua subinterface VLAN podem estar em VDOMs separados.</p><p>System and Network Settings</p><p>Deve haver pelo menos um gateway padrão</p><p>Se a interface for DHCP ou PPPoE, você pode adicionar gateway dinamicamente</p><p>Static Gateway</p><p>Network > Static Routes</p><p>When multiple routes are equal in distance, routes with a lower priority value take precedence</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Antes de integrar o FortiGate à sua rede, você deve configurar um gateway padrão.</p><p>Se o FortiGate obtiver seu</p><p>endereço IP por meio de um método dinâmico, como DHCP ou PPPoE, ele também deverá recuperar o gateway padrão.</p><p>Caso contrário, você deverá configurar uma rota estática. Sem isso, o FortiGate não será capaz de responder a pacotes fora das sub-redes diretamente conectadas às suas próprias interfaces. Provavelmente também não será capaz de se conectar ao FortiGuard – importante para o acesso do FortiGate – para atualizações e pode não rotear corretamente o tráfego.</p><p>Você deve se certificar de que o FortiGate possui uma rota que corresponda a todos os pacotes (o destino é 0.0.0.0/0), conhecida como rota padrão, e os encaminhe através da interface de rede que está conectada à internet, para o endereço IP do próximo roteador.</p><p>O roteamento conclui as configurações básicas de rede necessárias antes que você possa configurar políticas de firewall.</p><p>Você pode expandir Opções Avançadas e inserir um valor de prioridade. Quando duas rotas têm distâncias iguais, a rota com valor de prioridade mais baixo tem precedência.</p><p>System and Network Settings</p><p>VDOMs</p><p>VDOMs dividem o FortiGate em vários dispositivos virtuais</p><p>Eles empregam políticas de segurança independentes, tabelas de roteamento e assim por diante</p><p>Os pacotes estão confinados ao mesmo VDOM</p><p>Por padrão, o FortiGate suporta até 10 VDOMs</p><p>Modelos topo de linha permitem a compra de VDOMs adicionais</p><p>Um domínio de segurança</p><p>Vários domínios de segurança</p><p>Global System</p><p>VDOM 1</p><p>VDOM 2</p><p>VDOM 3</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>E se, mais do que segmentar sua rede, você quiser subdividir políticas e administradores em vários domínios de segurança?</p><p>Nesse caso, você pode habilitar VDOMs FortiGate, que dividem seu FortiGate em vários dispositivos lógicos. Cada VDOM possui políticas de segurança e tabelas de roteamento independentes. Além disso, e por padrão, o tráfego de um VDOM não pode ir para um VDOM diferente. Isso significa que duas interfaces em VDOMs diferentes podem compartilhar o mesmo endereço IP, sem problemas de sobreposição de sub-redes.</p><p>Quando você usa VDOMs, um único dispositivo FortiGate se torna um data center virtual de segurança de rede, inspeção de gerenciamento unificado de ameaças (UTM) e dispositivos de comunicação seguros.</p><p>System and Network Settings</p><p>Administration Methods</p><p>CLI</p><p>Console, SSH, Telnet, GUI Widget</p><p>GUI</p><p>Web Browser (HTTP, HTTPS)</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>A maioria dos recursos está disponível na GUI e na CLI, mas há algumas exceções. Você não pode visualizar relatórios na CLI. Além disso, configurações avançadas e comandos de diagnóstico para superusuários geralmente não estão disponíveis na GUI.</p><p>À medida que você se familiariza com o FortiGate, e especialmente se deseja criar um script de sua configuração, você pode querer usar a CLI além da GUI. Você pode acessar a CLI por meio do widget JavaScript na GUI chamada CLI Console ou por meio de um emulador de terminal, como Tera Term ou PuTTY. Seu emulador de terminal pode se conectar por meio da rede (SSH ou Telnet) ou da porta do console local.</p><p>SNMP e alguns outros protocolos administrativos também são suportados, mas são somente leitura. Você não pode usá-los para configuração básica.</p><p>System and Network Settings</p><p>Create an Administrative User</p><p>System > Administrators</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Qualquer que seja o método usado, comece fazendo login como administrador. Comece criando contas separadas para outros administradores. Para fins de segurança e rastreamento, é uma prática recomendada que cada administrador tenha sua própria conta.</p><p>No campo Create New , você pode selecionar Administrator ou REST API Admin. Normalmente, você selecionará Administrator e, em seguida, atribuirá um Administrator Profile, que especifica as permissões administrativas desse usuário. Você pode selecionar REST API Admin para adicionar um usuário administrativo que usaria um aplicativo personalizado para acessar o FortiGate com uma API REST. O aplicativo permitirá que você faça login no FortiGate e execute qualquer tarefa permitida pelo seu Administrator Profileatribuído.</p><p>Outras opções, não mostradas aqui, incluem:</p><p>Em vez de criar contas no FortiGate, você pode configurar o FortiGate para consultar um servidor de autenticação remoto.</p><p>No lugar das senhas, seus administradores podem autenticar usando certificados digitais emitidos pelo servidor da autoridade de certificação interna.</p><p>Se você usar senhas, certifique-se de que sejam fortes e complexas. Por exemplo, você pode usar várias palavras intercaladas com letras maiúsculas variadas e inserir números e pontuação aleatoriamente. Não use senhas curtas ou que contenham nomes, datas ou palavras que existam em qualquer dicionário. Estes são suscetíveis a ataques de força bruta. Para auditar a força de suas senhas, use ferramentas como L0phtcrack (http://www.l0phtcrack.com/) ou John the Ripper (http://www.openwall.com/john/). O risco de um ataque de força bruta aumenta se você conectar a porta de gerenciamento à Internet.</p><p>Para restringir o acesso a recursos específicos, você pode atribuir permissões.</p><p>System and Network Settings</p><p>Hierarchy</p><p>Permissions</p><p>Administrator Profiles</p><p>System > Admin Profiles</p><p>Full access in virtual domain</p><p>Full global access</p><p>super_admin</p><p>Partial global access</p><p>custom_profile1</p><p>prof_admin</p><p>Partial access in VDOM</p><p>custom_profile2</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Ao atribuir permissões a um perfil de administrador, você pode especificar leitura e gravação, somente leitura ou nenhuma para cada área.</p><p>Por padrão, existe um perfil especial chamado super_admin, que é usado pela conta chamada admin. Você não pode mudar isso. Ele fornece acesso total a tudo, tornando a conta de administrador semelhante a uma conta de superusuário root. O prof_admin é outro perfil padrão. Ele também fornece acesso total, mas ao contrário do super_admin, aplica-se apenas ao seu domínio virtual – não às configurações globais do FortiGate, você pode alterar suas permissões.</p><p>Você não é obrigado a usar um perfil padrão. Você poderia criar um perfil chamado auditor_access com permissões somente leitura. Restringir as permissões de uma pessoa às necessárias para seu trabalho é uma prática recomendada, porque mesmo que essa conta seja comprometida, o comprometimento do seu dispositivo (ou rede) FortiGate não é total. Para fazer isso, crie perfis de administrador e selecione o perfil apropriado ao configurar uma conta.</p><p>A opção Override Idle Timeout permite que o valor admintimeout, no config system accprofile, seja substituído por perfil de acesso. Você pode configurar perfis de administrador para aumentar o tempo limite de inatividade e facilitar o uso da GUI para monitoramento central. Observe que você pode fazer isso por perfil, para evitar que a opção seja definida globalmente involuntariamente. Então, quais são os efeitos dos perfis de administrador?</p><p>Na verdade, é mais do que apenas acesso de leitura ou gravação. Dependendo do tipo de perfil de administrador atribuído, um administrador pode não conseguir acessar todo o dispositivo FortiGate. Por exemplo, você pode configurar uma conta que possa visualizar apenas mensagens de log. Os administradores também podem não conseguir acessar as configurações globais fora do domínio virtual atribuído. Domínios virtuais (VDOMs) são uma forma de subdividir os recursos e configurações em um único FortiGate. Administradores com um escopo menor de permissões não podem criar, nem mesmo visualizar, contas com mais permissões.</p><p>System and Network Settings</p><p>Administrative Access―Trusted Sources</p><p>Se o usuário administrador tentar fazer login na GUI do FortiGate de qualquer IP diferente de 10.0.1.10, ele receberá esta mensagem</p><p>System > Administrators</p><p>Você pode restringir o usuário administrador para gerenciar usuários convidados com um grupo de convidados em vigor para provisionar usuários</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Outra maneira de proteger o FortiGate é definir os hosts ou sub-redes que são fontes confiáveis para efetuar login.</p><p>Neste exemplo, 10.0.1.10 está configurado como o único IP confiável para admin a partir do qual o admin faz login. Se o admin tentar fazer login a partir de uma máquina com qualquer outro IP, ele receberá uma mensagem de falha de autenticação.</p><p>Observe que se hosts confiáveis estiverem configurados em todos os administradores e um administrador estiver tentando efetuar login a partir de um endereço IP que não esteja definido em nenhum dos hosts confiáveis para nenhum administrador, o administrador não obterá a página de login. Em vez disso, o administrador receberá esta mensagem: “Não foi possível contatar o servidor”.</p><p>Se você deixar qualquer endereço IPv4 como 0.0.0.0/0, significa que serão permitidas conexões de qualquer IP de origem. Por padrão, 0.0.0.0/0 é a configuração do administrador, embora você possa querer alterar isso.</p><p>Observe que cada conta pode definir seu host ou sub-rede de gerenciamento de maneira diferente. Esteja ciente de qualquer NAT que ocorra entre o dispositivo desejado e o FortiGate. Você pode facilmente impedir que um administrador faça login a partir do endereço IP desejado se ele for posteriormente NAT para outro endereço antes de chegar ao FortiGate, anulando assim o propósito dos hosts confiáveis.</p><p>Outra opção para configurar uma conta de administrador para restringir o acesso apenas a contas de usuários convidados. Ao ativar esta opção, a conta do administrador poderá provisionar uma conta de usuário convidado, visto que um grupo de usuários convidados está disponível para provisionar usuários convidados.</p><p>System and Network Settings</p><p>Administrative Access―Ports and Password</p><p>Os números das portas são personalizáveis</p><p>Recomenda-se usar apenas acesso seguro (SSH, HTTPS)</p><p>O Idle timeout padrão é cinco minutos</p><p>System > Settings</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Você também pode personalizar os números de porta dos protocolos administrativos.</p><p>Você pode escolher se deseja permitir sessões simultâneas. Você pode usar sessões simultâneas para evitar a substituição acidental de configurações, se você normalmente mantém várias guias do navegador abertas ou acidentalmente deixa uma sessão CLI aberta sem salvar as configurações e, em seguida, inicia uma sessão GUI e edita acidentalmente as mesmas configurações de maneira diferente.</p><p>Para melhor segurança, use apenas protocolos seguros e imponha a complexidade e as alterações de senha.</p><p>As configurações de Idle timeout especificam o número de minutos antes que uma sessão de administrador inativa expire (o padrão é cinco minutos). Um tempo limite de inatividade mais curto é mais seguro, mas aumentar o cronômetro pode ajudar a reduzir a chance de os administradores serem desconectados durante o teste de alterações.</p><p>Você pode substituir a configuração de tempo limite de inatividade por perfil de administrador usando a configuração Override Idle Timeout.</p><p>Você pode configurar um perfil de administrador para aumentar o tempo limite de inatividade e facilitar o uso da GUI para monitoramento central. A configuração Override Idle Timeout permite que o valor admin timeout, em config system accprofile, seja substituído por perfil de acesso.</p><p>Observe que você pode fazer isso por perfil, para evitar que a opção seja definida globalmente involuntariamente.</p><p>System and Network Settings</p><p>Administrative Access―Protocols</p><p>Habilite protocolos de gerenciamento aceitáveis em cada interface de forma independente:</p><p>Separe IPv4 e IPv6</p><p>Opções IPv6 ocultas por padrão</p><p>Também protocolos onde FortiGate é o IP de destino:</p><p>Security Fabric Connection:</p><p>CAPWAP</p><p>FortiTelemetry</p><p>FMG-Access</p><p>FTM</p><p>RADIUS Accounting</p><p>Suporte LLDP</p><p>Detectando um Security Fabric FortiGate upstream por meio de LLDP</p><p>Network > Interfaces</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Você definiu a sub-rede de gerenciamento, ou seja, os hosts confiáveis, para cada conta de administrador. Como você habilita ou desabilita protocolos de gerenciamento?</p><p>Isso é específico para cada interface. Por exemplo, se seus administradores se conectarem ao FortiGate apenas pela porta3, você deverá desabilitar o acesso administrativo em todas as outras portas. Isso evita tentativas de força bruta e também acesso inseguro. Seus protocolos de gerenciamento são HTTPS, HTTP, PING e SSH. Por padrão, a opção HTTP e TELNET não está visível na GUI.</p><p>Considere a localização da interface na sua rede. Habilitar o PING em uma interface interna é útil para solução de problemas. No entanto, se for uma interface externa (em outras palavras, exposta à Internet), o protocolo PING poderá expor o FortiGate a um ataque DoS. Você deve desabilitar protocolos que não criptografam o fluxo de dados, como HTTP e TELNET. Os protocolos IPv4 e IPv6 são separados. É possível ter endereços IPv4 e IPv6 em uma interface, mas responder apenas a pings em IPv6.</p><p>A conexão do Security Fabric inclui CAPWAP e FortiTelemetry. Protocolos como o FortiTelemetry não são para acesso administrativo, mas, assim como o acesso GUI e CLI, são protocolos onde os pacotes têm o FortiGate como IP de destino. Use o protocolo FortiTelemetry especificamente para gerenciar o FortiClient e o Security Fabric. Use o protocolo CAPWAP para FortiAP, FortiSwitch e FortiExtender quando gerenciados pelo FortiGate. Use o protocolo FMG-Access especificamente para comunicação com o FortiManager quando esse servidor estiver gerenciando vários dispositivos FortiGate. Use o protocolo de contabilidade RADIUS quando o FortiGate precisar escutar e processar pacotes de contabilidade RADIUS para autenticação de logon único. FTM, ou FortiToken Mobile push, oferece suporte a solicitações de autenticação de segundo fator de um aplicativo móvel FortiToken.</p><p>Quando você atribui as funções de interface LAN ou WAN às interfaces apropriadas, seu FortiGate usa o Link Layer Discovery Protocol (LLDP) para detectar se há um FortiGate upstream em sua rede. Se o FortiGate descobrir um FortiGate upstream, você será solicitado a configurar o dispositivo FortiGate upstream para ingressar no Security Fabric.</p><p>System and Network Settings</p><p>Configuration File―Backup and Restore</p><p>A configuração pode ser salva em um dispositivo externo</p><p>Pode mascarar senhas e segredos</p><p>Criptografia opcional</p><p>Pode fazer backup automaticamente</p><p>Ao sair</p><p>Não disponível em todos os modelos</p><p>Para restaurar uma configuração anterior, carregue o arquivo</p><p>Reinicia o FortiGate</p><p>Você pode exportar o arquivo de configuração no formato YAML</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Agora que o FortiGate possui configurações básicas de rede e contas administrativas, você aprenderá como fazer backup da configuração. Além de selecionar o destino do arquivo de backup, você pode optar por criptografar ou não criptografar o arquivo de backup. Mesmo que você opte por não criptografar o arquivo, que é o padrão, as senhas armazenadas no arquivo serão criptografadas e, portanto, ofuscadas. As senhas armazenadas no arquivo de configuração incluiriam senhas para usuários administrativos e usuários locais e chaves pré-compartilhadas para suas VPNs IPSec. Também pode incluir senhas para os servidores FSSO e LDAP.</p><p>A outra opção é criptografar o arquivo de configuração com uma senha. Além de garantir a privacidade da sua configuração, também traz alguns efeitos que você pode não esperar. Após a criptografia, o arquivo de configuração não pode ser descriptografado sem a senha e um FortiGate do mesmo modelo e firmware. Isso significa que se você enviar um arquivo de configuração criptografado para o suporte técnico da Fortinet, mesmo que você forneça a senha, eles não poderão carregar sua configuração até que tenham acesso ao mesmo modelo do FortiGate. Isso pode causar atrasos desnecessários na resolução do seu ticket. Em vez disso, você pode ativar a opção de mascaramento de senha ao criar um novo arquivo de backup para substituir todas as senhas e segredos no arquivo de configuração e evitar vazamento de dados não intencional ao compartilhar o arquivo de backup com terceiros.</p><p>Se você habilitar domínios virtuais (VDOMs), subdividindo</p><p>os recursos e a configuração do seu dispositivo FortiGate, cada administrador VDOM poderá fazer backup e restaurar suas próprias configurações. Você não precisa fazer backup de toda a configuração do FortiGate, no entanto, isso ainda é recomendado.</p><p>Os backups são necessários para ajudar a acelerar o retorno à produção no caso de um desastre imprevisto que danifique o FortiGate. Ter que recriar centenas de políticas e objetos do zero leva muito tempo, enquanto carregar um arquivo de configuração em um novo dispositivo leva muito menos tempo.</p><p>Restaurar um arquivo de configuração é muito semelhante a fazer backup e reiniciar o FortiGate.</p><p>System and Network Settings</p><p>Configuration File Format</p><p>Somente configurações importantes e não padrão (tamanho de arquivo menor)</p><p>O cabeçalho mostra o modelo e o firmware do dispositivo</p><p>Após o cabeçalho, o arquivo criptografado não é legível</p><p>Restaurando configuração</p><p>Criptografado? É necessário o mesmo dispositivo/modelo + compilação + senha</p><p>Não criptografado? É necessário o mesmo modelo</p><p>Plain text</p><p>Encrypted</p><p>Build number</p><p>Firmware major version</p><p>Model</p><p>Model</p><p>Firmware major version</p><p>Build number</p><p>#FGBK|4|FGVMK6|7|04|2360|</p><p>#config-version=FGVMK6-7.4.0-FW-build2360-230509:opmode=0:vdom=0:user=admin</p><p>#conf_file_ver=2184995892867880</p><p>#buildno=2360</p><p>#global_vdom=1</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Se você abrir o arquivo de configuração em um editor de texto, verá que os arquivos de configuração criptografados e não criptografados contêm um cabeçalho de texto não criptografado que contém algumas informações básicas sobre o dispositivo. O exemplo neste slide mostra quais informações estão incluídas. Para restaurar uma configuração criptografada, você deve carregá-la em um dispositivo FortiGate do mesmo modelo e firmware e, em seguida, fornecer a senha.</p><p>Para restaurar um arquivo de configuração não criptografado, é necessário corresponder apenas ao modelo FortiGate. Se o firmware for diferente, o FortiGate tentará atualizar a configuração. Isso é semelhante ao modo como ele usa scripts de atualização na configuração existente ao atualizar o firmware. No entanto, ainda é recomendado combinar o firmware do FortiGate com o firmware listado no arquivo de configuração.</p><p>Normalmente, o arquivo de configuração contém apenas configurações não padrão, além de algumas configurações padrão, mas cruciais. Isso minimiza o tamanho do backup, que de outra forma poderia ter vários megabytes.</p><p>System and Network Settings</p><p>Configuration File Format—YAML Format</p><p>Suporta YAML e pode ser copiado e restaurado por GUI e CLI</p><p>config_system_global:</p><p>admintimeout:480</p><p>alias:FortiGate-100F</p><p>config_system_settings:</p><p>default-voip-alg-mode: kernel-helper-based</p><p>gui-dynamic-routing: enable</p><p>config_system_interface:</p><p>- port1:</p><p>vdom: root</p><p>ip: "204.126.10.3 255.255.254.0"</p><p>allowaccess: ping</p><p>secondaryip:</p><p>- 0:</p><p>ip: "204.126.10.2 255.255.255.0"</p><p>allowaccess: ping</p><p>config system global</p><p>set admintimeout 480</p><p>set alias "FortiGate-100F"</p><p>end</p><p>config system settings</p><p>set default-voip-alg-mode kernel-helper-based</p><p>set gui-dynamic-routing enable</p><p>end</p><p>config system interface</p><p>edit "port1"</p><p>set vdom "root"</p><p>set ip 204.126.10.3 255.255.254.0</p><p>set allowaccess ping</p><p>config secondaryip</p><p>edit 1</p><p>set ip 204.126.10.2 255.255.255.0</p><p>set allowaccess ping</p><p>end</p><p>end</p><p>Default Format</p><p>YAML Format</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>O formato YAML se torna cada vez mais popular e costuma ser usado para criar arquivos de configuração. FortiOS agora suporta o formato YAML, você pode fazer um backup e também restaurar o arquivo de configuração YAML usando a GUI.</p><p>Este slide mostra um exemplo de configuração para entender a diferença entre o formato de arquivo padrão e o formato YAML.</p><p>System and Network Settings</p><p>Upgrade Firmware</p><p>Você pode visualizar a versão atual do firmware no painel ou em System > Firmware & Registration (ou na CLI: get system status)</p><p>Se houver uma versão de firmware atualizada, você será notificado</p><p>Você pode atualizar o firmware clicando em Upgrade e selecionando a opção All Upgrades ou a opção File Upload</p><p>Certifique-se de ler as Notas de Versão para verificar o caminho de atualização e outros detalhes</p><p>System > Firmware & Registration</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Você pode visualizar a versão atual do firmware em vários locais na GUI do FortiGate. Quando você faz login pela primeira vez no FortiGate, a página inicial é o painel. Você pode ver a versão do firmware no widget System. Essas informações também são encontradas em System > Firmware & Registration. E, claro, você pode recuperar as informações na CLI usando o comando get system status.</p><p>Se uma nova versão do firmware estiver disponível, você será notificado no painel e na página Firmware & Registration. A página Firmware & Registration permite que os administradores gerenciem o firmware em execução em cada FortiGate, FortiAP e FortiSwitch no Security Fabric e autorizem e registrem esses dispositivos Fabric.</p><p>Você pode usar a opção Upgrade para atualizar o firmware do dispositivo selecionado. A opção Fabric Upgrade atualiza o firmware para o FortiGate raiz, bem como para dispositivos Fabric. Você também pode usar esta opção para atualizar o firmware para um FortiGate que não seja do Security Fabric com dispositivos FortiSwitch e FortiAP gerenciados. A opção Fabric Upgrade usa imagens de firmware lançadas pelo FortiGuard.</p><p>Você também pode usar a opção Register para registrar um dispositivo selecionado no FortiCare e uma opção Authorize para autorizar um dispositivo selecionado para uso na estrutura de segurança.</p><p>Lembre-se de ler as Notas de versão para ter certeza de que entendeu o caminho de atualização compatível. As Notas de Versão também fornecem informações pertinentes que podem afetar a atualização.</p><p>System and Network Settings</p><p>FortiGuard Subscription Services</p><p>Conexão com a Internet e contrato necessário</p><p>Fornecido pela Rede de Distribuição FortiGuard (FDN)</p><p>Principais data centers na América do Norte, Ásia e Europa</p><p>Ou, do FDN através do seu FortiManager</p><p>FortiGate prefere o data center no fuso horário mais próximo, mas se ajustará de acordo com a carga do servidor</p><p>Atualizações de pacote: antivírus FortiGuard e IPS</p><p>update.fortiguard.net</p><p>TCP porta 443 (SSL)</p><p>Consultas ao vivo: filtragem da web FortiGuard, filtragem de DNS e antispam</p><p>service.fortiguard.net para protocolo proprietário na porta UDP 53 ou 8888</p><p>securewf.fortiguard.net para HTTPS pela porta 443, 53 ou 8888</p><p>FortiOS usa servidor FortiGuard para solicitação de DNS</p><p>Por padrão, usa DNS sobre TLS (DoT) para proteger o tráfego DNS</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Alguns serviços FortiGate se conectam a outros servidores, como o FortiGuard, para funcionar. Os serviços de assinatura FortiGuard fornecem ao FortiGate inteligência atualizada sobre ameaças. FortiGate usa FortiGuard para:</p><p>Solicitar periodicamente pacotes que contenham um novo mecanismo e assinaturas</p><p>Consultando o FDN em um URL individual ou nome de host</p><p>Por padrão, a localização do servidor FortiGuard é definida para qualquer lugar que o FortiGate selecione um servidor com base na carga do servidor, de qualquer parte do mundo. No entanto, você tem a opção de alterar a localização do servidor FortiGuard para EUA. Neste caso, o FortiGate seleciona um servidor FortiGuard baseado nos EUA.</p><p>As consultas são em tempo real; ou seja, o FortiGate pergunta ao FDN sempre que verifica spam ou sites filtrados. Consultas FortiGate, em vez de baixar o banco de dados, devido ao tamanho e frequência das alterações que ocorrem no banco de dados. Além disso, você pode selecionar consultas para usar UDP ou HTTPs para transporte; os protocolos não são projetados para tolerância a falhas, mas para velocidade. Portanto, as consultas exigem que o seu dispositivo FortiGate tenha uma</p><p>conexão confiável com a Internet.</p><p>Pacotes, como antivírus e IPS, são menores e não mudam com tanta frequência, por isso são baixados (em muitos casos) apenas uma vez por dia. Eles são baixados usando TCP para transporte confiável. Após o download do banco de dados, os recursos associados do FortiGate continuam a funcionar, mesmo que o FortiGate não tenha conectividade confiável com a Internet. No entanto, você ainda deve tentar evitar interrupções durante os downloads – se o seu dispositivo FortiGate precisar tentar baixar atualizações repetidamente, ele não conseguirá detectar novas ameaças durante esse período.</p><p>Ao usar servidores FortiGuard para DNS, o FortiOS usa DNS sobre TLS (DoT) por padrão para proteger o tráfego DNS. Novos servidores DNS FortiGuard foram adicionados como servidores primários e secundários.</p><p>System and Network Settings</p><p>FortiGuard Subscription Services (Contd)</p><p>Verificação de certificado SSL de terceiros FortiGuard e verificação de grampeamento OCSP</p><p>O modo de acesso padrão do FortiGuard é anycast</p><p>Otimize o desempenho de roteamento para os servidores FortiGuard</p><p>FortiGate obtém um único endereço IP para o nome de domínio de cada serviço FortiGuard</p><p>Os servidores FortiGuard consultam o respondedor CA OCSP a cada quatro horas</p><p>Imponha uma conexão para usar o protocolo HTTPS e a porta 443</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Agora, a verificação de certificado SSL de terceiros e a verificação de grampeamento OCSP foram implementadas para todos os servidores FortiGuard. Por padrão, o modo de acesso do FortiGuard é anycast no FortiGate, para otimizar o desempenho de roteamento para os servidores FortiGuard. O servidor FortiGuard tem um endereço IP que corresponde ao nome de domínio. O FortiGate se conecta a um único endereço de servidor, independentemente de onde o dispositivo FortiGate está localizado.</p><p>O nome de domínio de cada serviço FortiGuard é o nome comum no certificado desse serviço. O certificado é assinado por uma CA intermediária de terceiros. O servidor FortiGuard usa a técnica de grampeamento Online Certificate Status Protocol (OCSP), para que o FortiGate possa sempre validar o certificado do servidor FortiGuard com eficiência. O FortiGate concluirá o handshake TLS apenas com um servidor FortiGuard que forneça um bom status OCSP para seu certificado. Qualquer outro status resulta em falha na conexão SSL.</p><p>Os servidores FortiGuard consultam o respondedor OCSP da CA a cada quatro horas e atualizam seu status OCSP. Se o FortiGuard não conseguir entrar em contato com o respondedor OCSP, ele manterá o último status conhecido do OCSP por sete dias.</p><p>FortiGate aborta a conexão com o servidor FortiGuard se:</p><p>O CN no certificado do servidor não corresponde ao nome de domínio resolvido pelo DNS.</p><p>O status do OCSP não é bom.</p><p>A CA do emissor é revogada pela CA root.</p><p>A configuração anycast do modo de acesso do FortiGuard força o processo de classificação a usar o protocolo HTTPS e a porta 443.</p><p>System and Network Settings</p><p>FortiGuard Subscription Services (Contd)</p><p>Alguns dos nomes de domínio do FortiGuard e seus endereços IP:</p><p>Server	Domain name and IP address</p><p>Download de objeto	globalupdate.fortinet.net - 173.243.140.6</p><p>Serviço de consulta (webfiltering, antispam)	globalguardservice.fortinet.net - 173.243.140.16</p><p>Registro FortiGate Cloud	globallogctrl.fortinet.net - 173.243.132.25</p><p>Gerenciamento FortiGate Cloud	globalmgrctrl.fortinet.net - 173.243.132.26</p><p>Mensagens FortiGate Cloud	globalmsgctrl.fortinet.net - 173.243.132.27</p><p>FortiGate Cloud sandbox	globalaptctrl.fortinet.net - 184.94.112.22</p><p>A API do produto usada pelo registro OCVPN e download do ícone da GUI	globalproductapi.fortinet.net - 66.35.17.252</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>A tabela deste slide mostra uma lista de alguns servidores FortiGuard e seus nomes de domínio e endereços IP.</p><p>System and Network Settings</p><p>FortiGuard Licenses</p><p>System > FortiGuard</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>Você pode verificar o status das licenças do FortiGuard e a comunicação com o FortiGuard na GUI do FortiGate. Você também pode verificar as versões dos bancos de dados instalados localmente para cada um dos serviços FortiGuard.</p><p>System and Network Settings</p><p>FortiGuard Licenses (Contd)</p><p>Local-FortiGate # diagnose autoupdate versions</p><p>AV Engine</p><p>---------</p><p>Version: 7.00015 signed</p><p>Contract Expiry Date: Mon Jan 19 2026</p><p>Last Updated using manual update on Thu Jul 13 02:54:00 2023</p><p>Last Update Attempt: Mon Aug 25 13:52:18 2023</p><p>Result: No Updates</p><p>Virus Definitions</p><p>---------</p><p>Version: 90.01635 signed</p><p>Contract Expiry Date: Mon Jan 19 2026</p><p>Last Updated using manual update on Mon Jul 25 13:52:18 2023</p><p>Last Update Attempt: Mon Aug 25 13:52:18 2023</p><p>Result: Updates Installed</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>O comando mostrado neste slide lista todos os bancos de dados e mecanismos FortiGuard instalados. As informações incluem a versão, data de vencimento do contrato, horário de atualização e o que aconteceu na última atualização.</p><p>A lista inclui, mas não está limitada a antivírus, IPS, aplicativos, definições de malware móvel e outros serviços de segurança. O FortiGate é licenciado e atualizado usando os serviços FortiGuard.</p><p>System and Network Settings</p><p>Configure FortiGate on factory default settings</p><p>Configure FortiGate as the DHCP server</p><p>Configure and control administrator access to FortiGate</p><p>Back up and restore system configuration files</p><p>Upgrade FortiGate firmware</p><p>Check and verify FortiGuard licenses</p><p>Review</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>© Fortinet Inc. All Rights Reserved.</p><p>‹nº›</p><p>This slide shows the objectives that you covered in this lesson.</p><p>By mastering the objectives covered in this lesson, you learned how and where FortiGate fits into your network and how to perform basic FortiGate administration.</p><p>System and Network Settings</p><p>image11.png</p><p>image12.png</p><p>image2.png</p><p>image3.png</p><p>image1.emf</p><p>image4.png</p><p>image5.png</p><p>image6.png</p><p>image10.png</p><p>image8.png</p><p>image21.png</p><p>image22.png</p><p>image23.png</p><p>image24.png</p><p>image25.png</p><p>image26.png</p><p>image27.png</p><p>image28.png</p><p>image29.png</p><p>image30.png</p><p>image31.png</p><p>image32.png</p><p>image33.png</p><p>image34.png</p><p>image35.png</p><p>image36.png</p><p>image37.png</p><p>image38.png</p><p>image39.png</p><p>image40.png</p><p>image41.png</p><p>image42.png</p><p>image43.png</p><p>image44.png</p><p>image45.png</p><p>image46.png</p><p>image47.png</p><p>image48.png</p><p>image49.png</p><p>image50.png</p><p>image51.png</p><p>image52.png</p><p>image53.png</p><p>image54.png</p><p>image55.png</p><p>image56.png</p><p>image57.png</p>