Como habilitar o switch mode no Fortigate (5.2)

   Este artigo é direcionado para a ativação do modo "Switch Mode" nas interfaces do Fortigate.

   Para que serve?
 
   Este recurso serve para você poder utilizar todas as interfaces do Switch Internal de modo separado, inclusive como uma nova interface Wan, o que acaba com algumas dores de cabeça no caso de você já tenha duas interfaces Wan em uso e necessite de uma terceira, ou até mesmo para facilitar a criação redes separadas fisicamente.
 
   Como habilitar:

   Para habilitar o Switch mode você deve abrir a CLI do firewall e digitar os seguintes comandos, respectivamente:

# config system global

# set internal-switch-mode switch

# end 

   Feito isto, você perceberá que a listagem de interfaces teremos a internal dentro de "Hardware Switch", no menu Interfaces (System>Network>Interfaces).
 .

 

Devemos agora clicar duas vezes na internal e nos redirecionará para a seguinte página:

 Na opção, neste exemplo eu desmarquei a internal 3,5,6 e 7 do campo "Physical Inteface Members", e após isto estas interfaces estarão disponíveis para uso conforme a imagem abaixo:

Obs: Este procedimento foi realizado no Fortigate 5.2 e 5.0, podendo sofrer alterações para firmwares diferentes.

Habilitando DHCP avançado na interface gráfica (Fortigate 5.2)

   Se você estava habituado com o Fortigate 5.0 e atualizou para 5.2 ou simplesmente está executando uma configuração de servidor Dhcp na 5.2 você logo perceberá que na configuração de dhcp na interface (Network>Interfaces) não tem mais a opção "Advanced"visível.

Uma opção para usar este recurso, que tem principalmente a reserva de Ips, é a administração via console.
Convenhamos que é um retrocesso realizar uma configuração de reserva de dhcp via console, além de perder muito tempo, a chance de erro humano aumenta drasticamente.

Outra opção, a qual eu demorei para tomar conhecimento, é habilitar via console o gerenciamento de dhcp avançado na interface visual do Fortigate.

Basta seguir a seguinte linha de comandos:

#config system global

#set gui-dhcp-advanced enable

#end

Após a execução destes comandos, a opção Advanced estará novamente visível, conforme imagem abaixo:

Usando o recurso Policy Routes no Fortigate 5.2

    Neste artigo, vamos aprender a utilizar um recurso de roteamento avançado do Fortigate, o "Policy Routes".

 Para que serve?

   O Policy Routes é uma ferramenta de roteamento avançado onde você cria políticas de roteamento para específicos sources, sem afetar a tabela de roteamento principal. Podemos utilizar este recurso para que determinado IP da sua rede ou até mesmo que uma rede inteira tenha uma política de roteamento, não somente para acessos Lan>Wan, mas também na comunicação entre interfaces do próprio firewall.
Neste artigo simularemos uma saída de internet para um determinado Ip por um link secundário, com prioridade maior na tabela de roteamento principal.

 Como Fazer?

   
    Para utilizarmos recursos avançados de roteamento, teremos que habilitar a feature "Advanced Routing", para isto, devemos ir na aba System>Config>Features e marcar a opção "Advanced Routing" como ON;

    Após isto, as opções de Roteamento não estarão mais no caminho System>Network>Routing e será criada uma nova aba com o nome "Router". Ao selecionarmos a opção "Policy Routes", devemos em seguida selecionar "Create New";

   Feito isto,devemos preencher da seguinte forma:

Protocolo: No caso de somente navegação, você pode especificar, por exemplo uma policy route para a port TCP 80 e outra para a TCP 443;
Incoming interface: Sua interface de Lan;
Souce adress/mask:  Ip e máscara do source, neste caso como aplicarei para somente um completei com /32;

Destination adress/mask: 0.0.0.0/0.0.0.0, pois quero que esta rota se aplique para qualquer destino, como rota padrão.
Action: Forward Traffic, para indicar que é somente o trafego Lan>Wan;
Outgoing interface: Wan2 (simbolizando um link secundário);
Gateway Adress: Gateway da interface Wan2;

  Após esta configuração, o Ip citado na regra já estará saindo pela interface selecionada.

Para você configurar um uso de failover neste IP, ou seja, se cair o link da interface secundária ele sair para navegação pelo link principal, você deve ir em Router>Static>Settings,  e criar uma checagem icmp na interface wan2, marcando a opção "Update Routing Table when Gateway Detection Status Changes",  e isto fará com que, em caso de falha icmp para o destino que você escolher o fortigate aplicará a Tabela de roteamento padrão.

  Pronto! Seu dispositivo na rede já está configurado para utilizar a interface de link secundário.


 OBS:Para que este procedimento funcione, não pode ser esquecido o fato de que na política de acesso (policy & Objects>Policy> Ipv4)  Lan>Wan onde este Ip esteja inserido, esteja mencionada tanta interface Wan1 quanto a Wan2.
Este procedimento foi efetuado em um Fortigate com a firmware 5.2, podendo sofrer alterações em diferentes versões.

Configurando autenticação via browser e mútliplos perfis de webfilter (Fortigate 5.0)

Passo 1: Para realizar a configuração de múltiplas regras de Webfilter, você deve selecionar na lacuna “System” a opção “Config” e logo após clique em “Features”. No campo “Features Settings” você deve clicar na opção “Show More”, e depois verificar se a opção “Multiple Security Profiles” está habilitada, caso não esteja deve ser marcada como “On” e deve ser aplicada a alteração.

Passo 2: Para criar um novo usuário local, você deve selecionar na lacuna “User & Device” clique na opção “User” e após na opção “User Definition”. Para inserir um novo usuário local, clique na opção “Create New”.
 

  

Na tela que é gerada após o comando “Create New”, deve ser selecionada a opção “Local User”, inserir o nome de usuário e senha de autenticação (esta senha será solicitada na primeira vez que abrir o Browser), inserir informações adicionais de e-mail e número para SMS caso seja necessário e por fim deve marcar a opção “Enable” e pode inserir o usuário em um grupo já existente, clicando na opção “User Group” e depois selecionando o grupo clicando em “Click to set..”, e para finalizar selecione a opção “Done”.

Passo 3: Para criar um grupo de usuários, você deve selecionar a opção “User & Device”, “User Groups” e “Create New”. Digite o nome do grupo a ser criado no campo “Name” e selecione no campo “Type” a opção “Firewall”. Para atribuir usuários ao grupo, clique no campo “Click to set...” na opção ”Members”.

Passo 4: Para criar um novo perfil de Web filter você deve clicar na opção “Security Profiles”, “Web filter”, “Profiles” e no botão com o sinal “+” conforme ilustrado na imagem abaixo. Ao criar um novo perfil de Web filter você deve digitar o nome do perfil no campo “Name”, fazer algum comentário abaixo caso ache pertinente, e selecionar a opção “Firewall” no campo “Inspection Mode”. Habilite a opção “FortiGuard Categories” para inserir as permissões do perfil a ser criado.

 

Passo 5: Para criar uma nova política de bloqueio você deve clicar no campo “Policy”, clicar na interface Lan > Wan1 e edite a Interface. No campo “Policy Subtype” deve ser selecionada a opção “User Identity” e no quadro “Configure Authentication Rules” selecionar “Create New”. Na Janela “New Authentication Rule” você deve selecionar o Usuário ou Grupo que devem se enquadrar nesta política nos campos “User (s) ” e “Group (s) ”. No campo “Service” deve ser selecionado o serviço a que esta política deve ser aplicada (no caso de todos os serviços selecione “ALL”). Para finalizar, deve ser marcada a opção “Web filter” e selecionado o perfil de Web filter a ser aplicado na Política.

OBS: Após a aplicação desta configuração, todos os usuários da rede terão que se logar via Browser para terem suas credenciais validadas e as regras de firewall referentes ao seu usuário sejam aplicadas. O acesso a rede somente é validado após o login do usuário via Browser. A tela de login é igual a representada abaixo:

Este procedimento foi efetuado no Fortigate Firmware 5.0, podendo sofrer alterações para versões posteriores.