A Policy no firewall é o eixo em torno do qual a maioria dos recursos do FortiGate gira. Muitas configurações de firewall acabam relacionadas ou estão associadas às Policys e ao tráfego que elas governam. Qualquer tráfego passando por um Firewall FortiGate deve ser associado a uma Policy.
Essas Policys são essencialmente conjuntos discretos de instruções compartimentadas que controlam o fluxo de tráfego passando pelo firewall Fortinet. Estas instruções controlam para onde vai o tráfego, como é processado, se é processado e se é permitido ou não passar pelo Firewall FortiGate.
Quando o firewall Fortigate recebe um pacote de conexão, ele analisa o endereço de origem, o endereço de destino e o serviço (pelo número da porta). Ele também registra a interface de entrada, a interface de saída que precisa usar e a hora do dia.
Usando essas informações, o firewall FortiGate tenta localizar uma Policy de segurança que corresponda ao pacote. Se uma política corresponder aos parâmetros, o FortiGate executará a ação necessária para essa Policy. Se for “Aceitar” o tráfego poderá prosseguir para a próxima etapa. Se a ação for “Negar” ou uma correspondência não for encontrada, o tráfego não poderá continuar.
As duas ações básicas na conexão inicial são Aceitar ou Negar:
- Se a ação for Aceitar, a Policy permitirá sessões de comunicação. Pode haver outras instruções de processamento de pacotes, como exigir autenticação para usar a diretiva ou restrições na origem e destino do tráfego.
- Se a ação for Negar, a Policy bloqueará as sessões de comunicação e, opcionalmente, você pode registrar o tráfego negado. Se nenhuma Policy de segurança corresponder ao tráfego, os pacotes serão descartados. Uma Policy de segurança Negar é necessária quando é necessário registrar o tráfego negado, também chamado de tráfego de violação.
Parâmetros da diretiva de firewall Fortinet
Para o tráfego fluir através do firewall FortiGate, deve haver uma Policy que corresponda aos seus parâmetros:
- Interface (s) de entrada
- Interface (s) de saída
- Endereço (s) de origem
- Identidade do usuário
- Endereço (s) de destino
- Serviços da Internet)
- Cronograma
- Serviço
Sem todas as seis (possivelmente oito) dessas coisas correspondentes, o tráfego é recusado.
O fluxo de tráfego iniciado em cada direção requer uma Policy, ou seja, se as sessões podem ser iniciadas em ambas as direções, cada direção exige uma Policy para ela.
Só porque os pacotes podem ir do ponto A ao ponto B na porta X não significa que o tráfego possa fluir do ponto B ao ponto A na porta X. Uma política deve ser configurada para cada direção.
Ao projetar uma policy, geralmente há referência ao fluxo de tráfego, mas a maior parte da comunicação é bidirecional, portanto, tentar determinar a direção do fluxo pode ser confuso. Se o tráfego é tráfego da Web HTTP, o usuário envia uma solicitação ao site, mas a maior parte do fluxo de tráfego será proveniente do site para o usuário ou nas duas direções? Para fins de determinar a direção de uma policy, o fator importante é a direção da comunicação inicial. O usuário está enviando uma solicitação para o site, então essa é a comunicação inicial; o site está respondendo e o tráfego é da rede do usuário para a Internet.
Serviço padrão do modo de aplicação de Policy NGFW
No modo baseado em policy do NGFW, o serviço padrão aplica aplicativos em execução apenas em sua porta de serviço padrão. Os aplicativos especificados na policy são monitorados e, se o tráfego for detectado a partir de uma porta não padrão, ele será bloqueado e uma entrada de log será registrada com um tipo de evento de violação de porta.
Se você não estiver usando as portas padrão e precisar escolher serviços específicos, selecione Especificar para selecionar os serviços necessários.
Exemplo
Neste exemplo, a porta padrão é imposta ao tráfego HTTPS usando o aplicativo HTTP.Audio.
Primeiro, uma policy de inspeção e autenticação SSL é criada para trafegar antes da correspondência e, em seguida, uma policy de segurança é criada para permitir o aplicativo HTTP.Audio ao usar a porta padrão. A busca de um arquivo MP3 de um servidor HTTP usando a porta 443 é permitida, mas é bloqueada ao usar uma porta não padrão, como 8443.
Para impor o aplicativo HTTP.Audio usando a porta padrão na GUI:
- Crie uma nova política de inspeção e autenticação SSL ou use a política padrão.
- Vá para Política e objetos> Política de segurança e clique em Criar novo.
- Digite um nome para a política, como allow_HTTP.Audio.
- Configure as portas conforme necessário.
- Defina Serviço como App Default.
- No campo Aplicativo, selecione HTTP.Audio.
- Defina a ação para aceitar.
- Clique ok

Para impor o aplicativo HTTP.Audio usando a porta padrão na CLI:
Crie uma policy de firewall:
config firewall consolidated policy
edit 1
set name "consolidated_all"
set srcintf "port13"
set dstintf "port14"
set srcaddr4 "all"
set dstaddr4 "all"
set service "ALL"
set ssl-ssh-profile "new-deep-inspection"
next
end
Crie uma policy de segurança:
config firewall security-policy
edit 1
set name "allow_HTTP.Audio"
set srcintf "port13"
set dstintf "port14"
set srcaddr4 "all"
set enforce-default-app-port enable
set action accept
set schedule "always"
set logtraffic all
set application 15879
next
end
Os Logs
Os logs do aplicativo mostram logs com um tipo de evento de violação de porta para o tráfego na porta 8443 que está bloqueado e um tipo de evento de assinatura para o tráfego na porta 443 que é permitido.
Blocked:
2: date=2019-06-18 time=16:15:40 logid="1060028736" type="utm" subtype="app-ctrl" eventtype="port-violation" level="warning" vd="vd1" eventtime=1560899740218875746 tz="-0700" appid=15879 srcip=10.1.100.22 dstip=172.16.200.216 srcport=52680 dstport=8443 srcintf="port13" srcintfrole="undefined" dstintf="port14" dstintfrole="undefined" proto=6 service="HTTPS" direction="incoming" policyid=1 sessionid=5041 appcat="Video/Audio" app="HTTP.Audio" action="block" hostname="172.16.200.216" incidentserialno=1906780850 url="/app_data/story.mp3" securityid=2 msg="Video/Audio: HTTP.Audio," apprisk="elevated"
Allowed:
1: date=2019-06-18 time=16:15:49 logid="1059028704" type="utm" subtype="app-ctrl" eventtype="signature" level="information" vd="vd1" eventtime=1560899749258579372 tz="-0700" appid=15879 srcip=10.1.100.22 dstip=172.16.200.216 srcport=54527 dstport=443 srcintf="port13" srcintfrole="undefined" dstintf="port14" dstintfrole="undefined" proto=6 service="HTTPS" direction="incoming" policyid=1 sessionid=5064 appcat="Video/Audio" app="HTTP.Audio" action="pass" hostname="172.16.200.216" incidentserialno=1139663486 url="/app_data/story.mp3" securityid=2 msg="Video/Audio: HTTP.Audio," apprisk="elevated"
Exibições e Pesquisa das Policys no Firewall Fortigate
Este tópico fornece uma amostra de exibições de política de firewall e pesquisa de política de firewall.
Exibições da Policy
Na página de lista de diretivas das Policys e Objects, há duas exibições de diretivas: Exibição de Par de Interface e Exibição Por Sequência.
A exibição de pares de interfaces exibe as Policys na ordem em que são verificadas quanto ao tráfego correspondente, agrupadas pelos pares de interfaces de entrada e saída. Por exemplo, todas as policys que referenciam o tráfego da WAN1 para a DMZ estão em uma seção. As policys que referenciam o tráfego da DMZ para a WAN1 estão em outra seção. As seções são dobráveis, de modo que você só precisa olhar para as seções que deseja.
Por sequência exibe as policys na ordem em que são verificadas quanto ao tráfego correspondente sem nenhum agrupamento.
A exibição padrão é Visualização de par de interface. Você pode alternar entre as duas visualizações, exceto se alguma ou várias interfaces forem aplicadas na policy.
Como qualquer policy ou várias interfaces podem alterar a Visualização do Par de Interface
O Firewall FortiGate altera automaticamente a exibição na página da lista de policys para pôr uma sequência sempre que houver uma política que contenha uma ou várias interfaces como interface de origem ou destino. Se a Visualização do par de interface estiver acinzentada, é provável que uma ou mais policys tenham usado a interface qualquer ou múltiplas.
Quando você usa uma ou várias interfaces, a policy entra em várias seções porque pode ser qualquer um de vários pares de interfaces. As policys são divididas em seções usando os pares de interface, por exemplo, porta1 a porta2.
Cada seção tem sua própria ordem de policy. A ordem na qual uma policy é verificada quanto à correspondência de critérios com as informações de um pacote é baseada apenas na posição da policy em sua seção ou em toda a lista de policys. Se a policy estiver em várias seções, o FortiGate não poderá colocar a política em ordem em várias seções. Portanto, a visualização pode ser apenas por sequência.
Pesquisa de policy
A pesquisa de diretiva de firewall é baseada Source_interfaces/ Protocol/ Source_Address/ Destination_Address que correspondem à source-port e à dst-port do protocolo. Use esta ferramenta para descobrir qual policy corresponde ao tráfego específico de várias policys.
Após concluir a pesquisa, a policy do firewall correspondente é destacada na página da lista de políticas.
A ferramenta Policy Lookup possui os seguintes requisitos:
O modo transparente não suporta a função de pesquisa de policy.
Ao executar a pesquisa de policy, você precisa confirmar se a rota relevante necessária para o trabalho da policy já existe.
Exemplo de Configuração de pesquisa de Policy
Este exemplo usa o protocolo TCP para mostrar como a pesquisa de policy funciona:
Na página da lista de diretivas Policys e Objects, clique em Pesquisa de Policy e insira os parâmetros de tráfego.
Clique em Pesquisar para exibir os resultados da pesquisa de policy.
SNAT estático
Network Address Translation (NAT) é o processo que permite que um único dispositivo, como um roteador ou firewall, atue como um agente entre a Internet ou a rede pública e uma rede local ou privada.
Esse agente atua em tempo real para converter o endereço IP de origem ou destino de um cliente ou servidor na interface de rede. Para a tradução do IP de origem, isso permite que um único endereço público represente um número significativamente maior de endereços privados.
Para a conversão de IP de destino, o firewall pode converter um endereço de destino público em um endereço privado. Portanto, não precisamos configurar um endereço IP público real para o servidor implantado em uma rede privada.
Podemos subdividir o NAT em dois tipos: NAT de origem (SNAT) e NAT de destino (DNAT). Este tópico é sobre SNAT, suportamos três modos de trabalho NAT: SNAT estático, SNAT dinâmico e SNAT central.
No SNAT estático, todos os endereços IP internos são sempre mapeados para o mesmo endereço IP público. Esta é uma conversão de endereço de porta. Como temos 60416 números de porta disponíveis, esse endereço IP público pode lidar com a conversão de 60.416 endereços IP internos.
Veja o exemplo abaixo.
As configurações de firewall do FortiGate geralmente usam o endereço da Interface de saída.
Configuração de Exemplo
O exemplo a seguir de SNAT estático usa uma rede interna com a sub-rede 10.1.100.0/24 (vlan20) e uma rede externa / ISP com a sub-rede 172.16.200.0/24 (vlan30).
Quando os clientes na rede interna precisam acessar os servidores na rede externa, precisamos converter os endereços IP de 10.1.100.0/24 para um endereço IP 172.16.200.0/24. Neste exemplo, implementamos o SNAT estático criando uma política de firewall.
Para configurar o NAT estático:
- Em Política e objetos> Política IPv4, clique em Criar novo.
- Digite os parâmetros de política necessários.
- Habilite o NAT e selecione Usar endereço de interface de saída.
- Se necessário, habilite Preserve Source Port.
Ative Preservar porta de origem para manter a mesma porta de origem para serviços que esperam que o tráfego venha de uma porta de origem específica.
Desabilite Preserve Source Port para permitir mais de uma conexão através do firewall para esse serviço.
Para pacotes que correspondem a essa policy, seu endereço IP de origem é convertido no endereço IP da interface de saída.