Guia Estudiante Fortigate

GUÍA DEL ESTUDIANTE
10-Sep-18 FortiGate 6.0.X
Esta guía describe una serie de tareas administrativas para configurar su

FortiGate, las mejores prácticas y ejemplos de consejos de configuración, también
incluye numerosos temas que abarcan componentes de FortiOS que se pueden
utilizar para configurar su red y firewall.
Guía del Estudiante
CONTENTS
VIRTUAL LABS BASICS ............................................................................................................................. 4

Network Topology ...............................................................................................................................................................4
LAB1. INTRODUCCION A FORTIGATE ..................................................................................................... 5

Objetivos ............................................................................................................................................................................5
Tiempo estimado ...............................................................................................................................................................5
Trabajando con la Linea de Comando (CLI) .................................................................................................................. 6
Backups de Configuraciones........................................................................................................................................... 11
Restaurando una Configuracion desde un Backup ................................................................................................. 11
Realizando un Backup de Configuracion ................................................................................................................. 13
Restaurando un Archivo de Configuracion Encriptado .......................................................................................... 14
Compare las dos Configuraciones ............................................................................................................................. 14
Cuentas Administrativas................................................................................................................................................... 15
Creando un Perfil de Administrador ......................................................................................................................... 15
Creando una Cuenta de Administrador ................................................................................................................... 15
Comprobando la Nueva Cuenta de Administracion .............................................................................................. 16
LAB2. LOGGING Y MONITOREO ........................................................................................................... 17

Objetivos ......................................................................................................................................................................... 17
Tiempo estimado ............................................................................................................................................................ 17
Configuracion de Logs en el Fortigate ......................................................................................................................... 18
Configure Logs Settings ................................................................................................................................................ 18
Configuracion de Threat Weight (Peso de Amenazas)......................................................................................... 18
Habilite Logging en la Politica de Firewall ............................................................................................................. 20
Generando Trafico en el Fortigate ........................................................................................................................... 22
Revisando los Logs en la GUI del Fortigate ............................................................................................................ 24
Observando Logs en FortiView .................................................................................................................................. 25
LAB3. POLITICAS DE FIREWALL ............................................................................................................. 26

Objetivos ......................................................................................................................................................................... 26
Tiempo estimado ............................................................................................................................................................ 26
Creando Objetos de Direccion y Politicas de Firewall............................................................................................. 27
Creando Objetos de direccion ................................................................................................................................... 27
Creando una Politica de Firewall .............................................................................................................................. 28
Probando la Politica ..................................................................................................................................................... 29
Identificación de Dispositivos.......................................................................................................................................... 30
Configurando y probando la politica por dispositivo........................................................................................... 31
Reconfigurando la identificacion de dispositivos.................................................................................................... 33
Viendo el detalle de un dispositivo identificado .................................................................................................... 34
Page 1
LAB3.1 POLITICAS DE FIREWALL ........................................................................................................... 36
LAB4. NETWORK ADDRESS TRANSLATION (NAT) ................................................................................ 38
Objetivos ......................................................................................................................................................................... 38
Tiempo estimado ............................................................................................................................................................ 38
Requisitos ......................................................................................................................................................................... 38
Acceso Utilizando VIPs ..................................................................................................................................................... 39
Creando una VIP ........................................................................................................................................................... 39
Creando la Politica de Firewall ................................................................................................................................. 40
Validando nuestra politica con destino VIP ............................................................................................................. 41
NAT Dinamicos usando IP POOL ................................................................................................................................... 42
Creando un IP Pool........................................................................................................................................................ 42
Editando la politica para usar su IP Pool ................................................................................................................. 42
Probando su Politica de IP Pool ................................................................................................................................. 43
LAB5. WEB FILTER .................................................................................................................................. 45

Objetivos ......................................................................................................................................................................... 45
Tiempo estimado ............................................................................................................................................................ 45
Requisitos ......................................................................................................................................................................... 45
Fortiguard Web Filtering ................................................................................................................................................ 46
Configurando Perfiles de Filtrado web basados en categorias de FortiGuard ............................................. 46
Aplicando el perfil de Web Filter a la politica de Firewall................................................................................ 48
Probando el Filtrado de Contenido .......................................................................................................................... 48
Creando un Web Rating Override ........................................................................................................................... 50
Probando su Web Rating Override .......................................................................................................................... 51
LAB5.1 WEB FILTER ................................................................................................................................ 52

LAB6. APPLICATION CONTROL............................................................................................................. 53
Objetivos ......................................................................................................................................................................... 53
Tiempo estimado ............................................................................................................................................................ 53
Requisitos ......................................................................................................................................................................... 53
Creando un perfil de control de aplicaciones ............................................................................................................ 54
Configurando Overrides de Aplicaciones ................................................................................................................ 54
Verificando que el Perfil de Control de Aplicaciones esta siendo Aplicado ................................................... 55
Probando el Perfil de Control de Aplicaciones ...................................................................................................... 56
Revisando Logs ............................................................................................................................................................... 57
Limitando el trafico de una aplicación usando Traffic Shapers ............................................................................. 58
Modificando el Override de la aplicación dailymotion ....................................................................................... 58
Creando el perfil de Traffic Shaper ......................................................................................................................... 58
Configurando la Politica de Traffic Shaper ............................................................................................................ 59
Probando el Traffic Shaper ........................................................................................................................................ 59
LAB6.1 APPLICATION CONTROL .......................................................................................................... 60
Page 2
LAB7. FIREWALL AUTHENTICATION – LOCAL ....................................................................................... 61
Objetivos ......................................................................................................................................................................... 61
Tiempo estimado ............................................................................................................................................................ 61
Requisitos ......................................................................................................................................................................... 61
Autenticacion Local ........................................................................................................................................................... 62
Configurando su Fortigate........................................................................................................................................... 62
Asignando Usuarios Locales a un Grupo de Firewall ............................................................................................ 63
Portal Captivo ................................................................................................................................................................... 64
Habilitando Portal Captivo ......................................................................................................................................... 64
Autenticando usuarios y Monitoreando .................................................................................................................... 65
LAB8. SDWAN ....................................................................................................................................... 66
Objetivos ......................................................................................................................................................................... 66
Tiempo estimado ............................................................................................................................................................ 66
Requisitos ......................................................................................................................................................................... 66
Enlaces de Internet usando SDWAN............................................................................................................................. 67
Configurando nuestros dos enlaces a Internet ........................................................................................................ 67
LAB9. SSL VPN....................................................................................................................................... 70

Objetivos ......................................................................................................................................................................... 70
Tiempo estimado ............................................................................................................................................................ 70
Requisitos ......................................................................................................................................................................... 70
Conexiones SSL usando FortiClient ............................................................................................................................... 71
Configurando Nuestro Enlace VPN-SSL .................................................................................................................... 71
LAB10. IPSEC VPN ................................................................................................................................. 77

Objetivos ......................................................................................................................................................................... 77
Tiempo estimado ............................................................................................................................................................ 77
Requisitos ......................................................................................................................................................................... 77
Route-Based IPSec VPN................................................................................................................................................... 78
Usando el Wizard de VPNs ........................................................................................................................................ 78
Page 3
VIRTUAL LABS BASICS
NOTA
En esta clase, usará el laboratorio virtual para ejercicios prácticos. Esta sección explica Si usted tiene alguna duda sobre
cómo conectarse al laboratorio y a sus máquinas virtuales. También muestra la topología como ingresar a su ambiente de
de red de las máquinas virtuales en el laboratorio.
Laboratorio, favor de solicitar
ayuda a su instructor
NETWORK TOPOLOGY
Desde su PC conectarse por RDP (Remote

Desktop Connection) a la IP de Administración
de su bastion
LA DIRECCION IP DE SU BASTION LA
ISP WAN1
ENCONTRARA EN LA GUIA DEL
IP: 190.5.24.169
ESTUDIANTE EN LA TABLA DE
ACCESOS
ISP WAN2
IP: 138.99.3.169
FORTIGATE
LAN IP: 192.168.1.1
WAN1: 190.5.24.170
WAN2: 138.99.3.170
192.9.200.0/24 WAN Empresarial
LAN
192.168.1.0/24 DMZ LINUX
Administration IP: 172.30.5.X 10.0.1.0/24 DNS-WEBSERVER
LAN IP: DHCP IP: 10.0.1.243
Page 4
LAB1. INTRODUCCION A FORTIGATE
Este laboratorio provee instrucciones de como ingresar a la administración de su FortiGate usando la CLI (Línea de Comando)
y la GUI (Interfaz Gráfica de Usuario). Adicional a esto el Laboratorio lo guiara a través de como ejecutar un backup y una
restauración de forma correcta de su configuración, de igual manera crearemos una nueva cuenta de administración y
modificaremos los permisos de acceso de dicha cuenta.
OBJETIVOS
• Acceder a la CLI (Línea de comando) de su FortiGate

• Backup y Restore de archivos de Configuración
• Encontrar el modelo de su FortiGate y la versión de FortiOS Firmware dentro del archivo de configuración
• Crear un usuario administrativo
• Restringir accesos administrativos
TIEMPO ESTIMADO
• 30 minutos
Page 5
TRABAJANDO CON LA LINEA DE COMANDO (CLI)
Usted iniciara ingresando a su FortiGate usando la Línea de Comando (CLI)
Existen múltiples maneras de poder ingresar a la CLI, las cuales son:
• Usando cable de Consola Serial

• Por medio de SSH o Telnet
• Desde la misma GUI
• Usando FortiExplorer (solo ciertos modelos)
En este laboratorio utilizaremos Kitty (Putty) y crearemos una sesión SSH hacia la interfaz LAN del Firewall. Para activar la
administración por SSH seguimos los siguientes pasos:
1. Primeramente, ingrese a la GUI (Interfaz Gráfica de Usuario) usando la siguiente URL: https://192.168.1.1
2. Digite el usuario: admin (todo en minúscula) y deje la casilla de password en blanco, es decir sin contraseña. Por ser la
primera vez que ingresa a su equipo debe definir un password para el usuario admin (favor de ingresar el password:
123456) luego tendrá que ingresar el usuario admin con el password que definió en este paso
3. Ingrese al menú de NETWORK  INTERFACES

4. Seleccionamos la Interface LAN (port1) y damos click en EDIT
5. Entre las opciones de ADMINISTRATIVE ACCESS seleccionamos SSH y la marcamos.
Page 6
6. Le damos click al Botón de OK

7. En el escritorio de la PC Windows (Bastión) seleccionamos KITTY (Cliente SSH similar a Putty) e ingresamos la IP de la
interface LAN de nuestro FortiGate, nos aseguramos de que tengamos el puerto 22 definido y apretamos la tecla de
ENTER
8. Ingresamos el usuario: admin con el password que hemos definido en el paso 3 (123456) e inmediatamente iniciaremos
la sesión de administración por SSH contra nuestro FortiGate
Page 7
9. Ingresamos el siguiente comando:
get sys status
Este comando muestra la información básica del status de su equipo, el output incluye el número de serie de su
FortiGate, modo de operación y demás información. Cuando aparezca --More-- en la CLI presione la barra
espaciadora de su teclado para continuar avanzando, presione Enter para avanzar una línea a la vez o presione Q
para salir.
10. Ingrese el siguiente comando:
get ? NOTA
El carácter ? no es mostrado dentro de
la pantalla
Este comando muestra todas las opciones que la CLI aceptará después de digitar el comando GET, dependiendo del
comando, usted tendrá que ingresar alguna palabra adicional para especificar las opciones de la configuración.
11. Presione la tecla hacia arriba esta acción mostrara el ultimo comando digitado. Trate las siguientes
combinaciones que se muestran a continuación:
Acción Comando
Comando anterior
Comando siguiente
Inicio de línea CTRL+A
Final de la línea CTRL+E
Retrocede una palabra CTRL+B
Avanza una palabra CTRL+F
Borra el carácter actual CTRL+D
Limpia la pantalla CTRL+L
Comando para abortar y salir CTRL+C
12. Ingrese el comando:
execute ?
Esto muestra todas las opciones que la CLI aceptara luego del comando execute
Page 8
13. Digite exe seguido de la tecla TAB, note que la CLI completa el comando
14. Luego de tener el comando execute (del paso anterior) presione la barra espaciadora y presione la tecla TAB tres
veces. Cada vez que usted presiona la tecla TAB, la CLI reemplaza la segunda palabra con la siguiente posible opción
para el comando execute, en modo alfabético.
NOTA
La mayoría de los comandos pueden ser abreviados, en los siguientes Labs, muchos de los comandos serán digitados de manera
abreviada. Use esta técnica para reducir el número de teclas que son requeridas para ingresar comandos. De esta manera, expertos
pueden configurar el fortigate de manera más rápida por CLI que por GUI
Si algún otro comando posee en un inicio los mismos caracteres que otro, la abreviatura deberá de ser lo suficientemente larga para
que su unidad fortigate pueda distinguir entre una y otra, de lo contrario la CLI mostrara un error de comando ambiguo.
Page 9
15. Ingrese el siguiente comando en la CLI para revisar la configuración del puerto LAN
show system interface port1
16. Ingrese el siguiente comando:
show full-configuration system interface port1
Deténgase y Piense
Compare los dos outputs de los comandos digitados en el paso 15 y 16, ¿en que son diferentes?
El comando show full-configuration system interface port1 muestra todos los settings de configuración
para la interface port1 (LAN), el comando show muestra únicamente los valores que son diferentes al
valor default de configuración
Page 10
BACKUPS DE CONFIGURACIONES
Durante este ejercicio usted aprenderá como generar y restaurar configuraciones de backups en texto plano y encriptados.
RESTAURANDO UNA CONFIGURACION DESDE UN BACKUP
En este procedimiento realizaremos una restauración de un backup en su FortiGate
1. Ingrese a su FortiGate usando el usuario admin junto con el password que ha definido.
2. Vaya al dashboard MAIN (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate)
3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION  RESTORE
4. Click en UPLOAD y seleccione el archivo de backup que va a restaurar
NOTA
El backup está situado en el escritorio de su Bastión en el folder: DESKTOP  BACKUPS
Y se llama: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
Page 11
5. Luego de haber seleccionado su archivo de configuración a restaurar el FortiGate mostrara una alerta, ya que esta
acción causa que el equipo se reinicie de manera automática
6. Ingrese a NETWORK  INTERFACES y verifique que los permisos administrativos de sus interfaces fueron restaurados
Page 12
REALIZANDO UN BACKUP DE CONFIGURACION
1. Ingrese a su FortiGate usando el usuario admin y dejando el campo de password en blanco.

2. Vaya al dashboard - Main (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate)
3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION  BACKUP
4. Habilite ENCRYPTION
5. Ingrese el password: “fortinet” (sin las comillas) dos veces y seleccione OK
6. Guarde el archivo de configuración encriptado en el folder de BACKUPS de su Bastión.
NOTA
NO existe manera de recuperar una contraseña
olvidada de un archivo de configuración, si usted no
recuerda la contraseña en un backup, quedara
inservible.
ALERTA
Siempre guarde un backup de su configuración antes de cualquier cambio (incluso si es un cambio menor
o sin importancia), no existe manera de deshacer los cambios (undo). Restaurar un backup le permitirá
revertir cambios si descubre algún problema con la nueva configuración
Page 13
RESTAURANDO UN ARCHIVO DE CONFIGURACION ENCRIPTADO
Para restaurar un archivo de configuración encriptado necesitamos:
1. Ingrese a su FortiGate usando el usuario admin y dejando el campo de password en blanco.

2. Vaya al dashboard (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate)
3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION  RESTORE
4. Click en el botón de UPLOAD y seleccione el archivo que encripto en la sección anterior (Realizando un Backup de
Configuración)
5. Click OK
Nótese que esta vez usted debe de ingresar el password “fortinet” (sin comillas)
COMPARE LAS DOS CONFIGURACIONES
1. Inicie Notepad++ dándole doble click en el icono

de su escritorio:
2. Abra el archivo de configuración que encriptó en la
sección “Realizando un Backup de Configuración”
3. Inicie otra instancia de Notepad++ y abra el
backup inicial que restauro en la sección
“Restaurando una Configuración desde un Backup”
4. Compare los detalles del contenido de ambos
archivos
NOTA
En ambos archivos los headers listan el firmware y la
información de a qué modelo pertenece la
configuración
Page 14
CUENTAS ADMINISTRATIVAS
FortiGate ofrece una gran flexibilidad para configurar privilegios de administrador. Usted puede especificar la IP desde la
cual los administradores pueden conectarse a su equipo. Este Lab incluye el procedimiento relacionado de cómo trabajar con
cuentas de administración.
CREANDO UN PERFIL DE ADMINISTRADOR
Para configurar un perfil de administrador se requiere de los siguientes pasos:
1. Desde la GUI de su FortiGate ingrese al menú SYSTEM  ADMIN PROFILE

2. Click en CREATE NEW y cree un nuevo perfil llamado Security_Admin_Profile
3. Seleccione la opción de SECURITY PROFILE en READ-WRITE, pero seleccione los otros permisos como READ
4. Click OK y guarde los cambios
CREANDO UNA CUENTA DE ADMINISTRADOR
1. Desde la GUI de su FortiGate ingrese al menú SYSTEM  ADMINISTRATORS

2. Click en CREATE NEW y cree una nueva cuenta de administrador configurando los siguientes parámetros
NOTA
Los nombres de usuarios de administración son case sensitive, es decir que respetan las mayúsculas y minúsculas. No puede incluir
en los nombres o contraseñas de administrador caracteres especiales como <>()#”. Espacios están permitidos, pero no como el primero
ni el ultimo carácter
3. Click OK y guarde los cambios
Page 15
COMPROBANDO LA NUEVA CUENTA DE ADMINISTRACION
1. Desde la GUI del FortiGate salga de la sesión de admin con la cual ingreso
2. Ingrese como “Security_Admin” con el password “fortinet” (sin comillas)

3. Valide los accesos de administrador: trate de crear o modificar las configuraciones de red en el menú NETWORK 
INTERFACES
Page 16
LAB2. LOGGING Y MONITOREO
En este Lab, usted configurará logueo de eventos en su FortiGate y podrá visualizar logs para Troubleshooting.
OBJETIVOS
• Configurar logs en su FortiGate para que pueda comprender como el appliance interpreta el trafico
• Configurar Threat Weight (Peso de amenazas)
• Monitorear logs a través de la GUI
• Ver logs en la GUI de su FortiGate
TIEMPO ESTIMADO
• 20 Minutos
Page 17
CONFIGURACION DE LOGS EN EL FORTIGATE
Configurar los Settings de logs en el FortiGate no genera logs automáticamente, sino más bien define como los logs serán
tratados. Por ejemplo, enviar logs en tiempo real hacia un FortiAnalyzer, habilitar el logueo de forma local o habilitar histórico
para su uso en FortiView.
CONFIGURE LOGS SETTINGS
1. Ingrese a la GUI de su FortiGate usando la url: https://192.168.1.1 con el usuario admin (sin contraseña)
2. Ingrese al menú de LOG & REPORT  LOG SETTINGS
3. Asegúrese que al logueo en disco este habilitado
4. Bajo LOG SETTINGS asegúrese que LOCAL TRAFFIC LOG esta deshabilitado ya que esta opción puede llenar el disco
del FortiGate si no es debidamente configurado y monitoreado. Asegure que la opción EVENT LOGGING está
habilitado y ENABLE ALL seleccionado
5. Ingrese a las GUI PREFERENCES y complete lo siguiente:
6. Click en APPLY
CONFIGURACION DE THREAT WEIGHT (PESO DE AMENAZAS)
Page 18
El peso de las amenazas le permite configurar el valor del riesgo de una amenaza en bajo, media, alta y niveles críticos y
luego aplicar un peso par categorías específicas.
1. En la GUI del FortiGate ingrese al meno de LOG & REPORT  THREAT WEIGHT
2. Bajo la opción de WEB ACTIVITY deslice la barra hasta el valor critico de 50 para las siguientes categorías:
o MALICIOUS WEBSITES
o HACKING
o EXPLICIT VIOLENCE
o PORNOGRAPHY
3. Click en APPLY
Page 19
HABILITE LOGGING EN LA POLITICA DE FIREWALL
Ahora que ya tenemos las configuraciones de LOG configuradas, debemos de habilitar la opción de logueo en la política de
firewall. Hasta que habilitamos el logueo en la política de firewall es entonces que se registran y se generan los mensajes de
logs
1. En la política de firewall situada en POLICY & OBJECTS  IPV4 POLICY edite la política que va de la LAN hacia
INTERNET
2. Bajo la opción de SECURITY PROFILE, habilite la opción de WEB FILTER y seleccione la categoría de MONITOR_ALL.
Note que las casillas de PROXY OPTIONS y SSL INSPECTION se marcan automáticamente
Page 20
3. Bajo las opciones de LOGGING OPTIONS habilite LOG ALLOWED TRAFFIC y seleccione ALL SESSIONS, recuerde,
usted no tendrá logs de ningún tipo si LOG ALLOWED TRAFFIC no está habilitado en las políticas
4. Click OK. Con esto usted ya configuro logs en la política. Más adelante en este Lab usted hará pruebas de estas
configuraciones
Page 21
GENERANDO TRAFICO EN EL FORTIGATE
Para poder generar logs hacia múltiples sitios de manera rápida utilizaremos WEBTIMER de cacheflow (Webtimer es un
software gratis que puede ser descargado de internet)
1. Ejecute el programa WebTimer dándole doble click en el icono que está en el escritorio de su Bastión.
2. Seleccione la lista de URLs por default que trae el programa dándole click en el menú FILE  SELECT URL LIST
Page 22
3. Inicie el proceso de cacheo de sitios dándole click al botón de PLAY en el WebTimer
NOTA
Si le aparece un mensaje de alerta de que la versión del navegador que está utilizando esta desactualizado, dele click en continuar
Page 23
REVISANDO LOS LOGS EN LA GUI DEL FORTIGATE
1. Ingrese al menú de LOG & REPORT  FORWARD TRAFFIC para ver el tráfico que está atravesando el FortiGate
1. Ingrese al menú de LOG & REPORT  WEB FILTER donde podrá ver los logs de sitios permitidos y bloqueados por
categoría de FortiGuard
NOTA
Los logs de web filter no serán mostrados sino existe ningún evento de Webfilter
Page 24
OBSERVANDO LOGS EN FORTIVIEW
1. En la GUI ingresamos al menú FORTIVIEW  WEB SITES por default los logs mostrados son de ahorita o NOW, si
WebTimer dejo de generar hits hacia páginas web es muy probable que no se muestren logs, esto es normal y
esperado, habrá que ajustar el tiempo para 5 minutos, 1 hora o 24 horas. Luego verifique el menú de FORTIVIEW 
THREATS para determinar las amenazas de navegación en su red.
2. Dele click en el icono y seleccione BUBBLE CHART

3. Use la opción de SORT BY para mostrar la información por THREAT SCORE, SESSIONS o por BYTES
Page 25
LAB3. POLITICAS DE FIREWALL
OBJETIVOS
• Configurar objetos de firewall y políticas de firewall

• Configurar opciones disponibles en las políticas usando diferentes orígenes de trafico
• Aplicar servicios y horarios de firewall en políticas
• Configurar logueo en políticas de firewall
• Configurar políticas de firewall basadas en dispositivos
• Reordenar las políticas
• Leer y entender logs
• Uso de Policy Lookup para encontrar políticas que hagan match
TIEMPO ESTIMADO
• 40 Minutos
Page 26
CREANDO OBJETOS DE DIRECCION Y POLITICAS DE FIREWALL
En este ejercicio usted aprenderá a configurar objetos de dirección, también aprenderá a configurar políticas de IPv4 donde
se aplicarán los objetos de firewall junto con horarios, servicios y opciones de logs. Luego usted validara las políticas generando
tráfico a través de ellas y revisando los logs de tráfico del FortiGate.
Como usted sabe, FortiGate en su Core es un firewall, por tanto, casi todo lo que se aplica a su tráfico de red está directamente
relacionado con políticas de firewall.
CREANDO OBJETOS DE DIRECCION
Su FortiGate por default trae pre configurado múltiples objetos de dirección, sin embargo, si estos no cumplen los requerimientos
de su organización usted puede configurar muchos más y de diferentes tipos.
Para crear un objeto de firewall siga los siguientes pasos:
1. En la GUI de su FortiGate ingrese al menú de POLICY & OBJECTS  ADDRESSES

2. Dele click en el botón de CREATE NEW  ADDRESS
3. Configure los siguientes parámetros para su nuevo objeto de dirección
CAMPO VALOR
Name RED_LOCAL
Type IP/Netmask
Subnet/IP range 192.168.1.0/24
Interface any
4. Click en el botón de OK
Page 27
CREANDO UNA POLITICA DE FIREWALL

Primeramente, usted deberá de deshabilitar la política de firewall dándole click derecho a la política con secuencia 3 que va
desde la LAN hacia la Interface de INTERNET (source all, destination all, schedule always, service all, action Accept, NAT enable)
Para crear una nueva política seguiremos los siguientes pasos:
1. En el menú POLICY & OBJECTS  IPv4 POLICY le damos click al botón de CREATE NEW para agregar una nueva
política de firewall.
2. Luego configuramos nuestra política con los siguientes valores
CAMPO VALOR
Name Internet_Access
Incoming Interface LAN
Outgoing Interface INTERNET
Source Red_Local
Destination Address all
Schedule always
Service HTTP, HTTPS, ALL_ICMP, SSH
Action ACCEPT
NAT Enable
Log Allowed Traffic Enable and select ALL SESSIONS
Generate Logs when Session Starts Enable
Enable Policy Enable
Page 28
Deténgase y Piense
¿Cuál piensa usted que es la razón por la cual no agregamos el servicio de DNS a la política, si es un
servicio clave para que los usuarios de su red local puedan navegar a Internet y resuelvan nombres de sitios
web en internet, en lugar de ingresar IPs para navegar?
3. Deje las demás opciones por default y dele click en el botón de OK
PROBANDO LA POLITICA
Ahora que usted ha configurado la política de firewall, la probaremos generando tráfico hacia internet y revisando los logs
de la política.
1. Desde su Bastión trate de navegar a www.fortinet.com o a cualquier otro sitio que usted desee (de preferencia navegue
en varios sitios diferentes donde no ha navegado anteriormente antes de revisar los logs)
2. En la GUI ingrese al menú POLICY & OBJECTS  IPv4 POLICY
3. Dele click derecho al número de secuencia (SEQ.#) de la nueva política que acaba de crear con nombre INTERNET
ACCESS
4. Luego seleccione el menú SHOW MATCHING LOGS
5. Identifique la entrada de log de su navegación a internet.
Con su configuración actual usted tendrá muchas entradas de logs con mensajes ACCEPT: SESSION START en la
columna de resultados, estos son logs de inicio de la sesión, cuando la sesión se cierre usted tendrá otra entrada con
la cantidad de data enviada y recibida.
NOTA
LOGGING SESSION START genera el doble de entradas de logs, usted debe de utilizar esta opción UNICAMENTE cuando el nivel de
detalle de log sea necesario (Troubleshooting)
Page 29
NOTA
Cuando usted le da click en SHOW MATCHING LOGS en la política de firewall se agrega un filtro UUID en la ventana de Forward
Traffic
Cuando usted remueve el filtro de UUID, los logs serán mostrados sin ningún filtro y en su totalidad tomando en cuenta los logs
de las demás políticas de firewall que tienen activo esta opción. Estos logs los usaremos en los laboratorios de más adelante.
6. Cierre todas las ventanas a excepción de la GUI de su FortiGate
NOTA
Para reordenar las políticas basta con arrastrarlas al lugar o secuencia deseada. OJO, no podemos mover políticas de una sección a
otra dentro del gestor de políticas, únicamente las podemos mover dentro de la sección que contenga las interfaces de origen y destino.
IDENTIFICACIÓN DE DISPOSITIVOS
FortiGate tiene la habilidad de detectar tráfico por el tipo de dispositivos que lo genera, hay dos maneras de poder detectar
dispositivos:
• Agentless Device identification, usa el tráfico de los dispositivos y los indexa por MAC Address
• Agent-based Device identification, usa FortiClient quien envía un ID único al FortiGate para identificar el dispositivo
En este laboratorio usaremos la técnica de Agent-based Device identification. Usted agregara un dispositivo en el campo de
origen de la política actual de firewall que creamos en el lab anterior y observara como hace match el dispositivo de origen
con la política.
Page 30
CONFIGURANDO Y PROBANDO LA POLITICA POR DISPOSITIVO
1. Como primer paso usaremos la política que creamos anteriormente que decía así:
CAMPO VALOR
Name Internet_Access
Incoming Interface LAN
Outgoing Interface SD-WAN
Source Red_Local
Destination Address all
Schedule always
Service HTTP, HTTPS, ALL_ICMP, SSH
Action ACCEPT
NAT Enable
Generate Logs when Session Starts Enable
2. Abra una ventana de DOS y deje un ping continuo a 8.8.8.8 ingresando:
ping 8.8.8.8 –t
3. Ingrese a su gestor de políticas en el firewall ingresando al menú POLICY & OBJECTS  IPv4 POLICY dele click
derecho al número de ID de la Policita INTERNET_ACCESS
4. Seleccione la opción de EDIT
5. Seleccione SOURCE
6. Del lado derecho seleccione DEVICE y dele click en LINUX PC (Usted está seleccionando un dispositivo que no hace
match su máquina bastión – Windows)
Page 31
7. Click OK
8. Regrese a la ventana de comandos de DOS en su Bastión donde estaba corriendo un ping continuo, usted debería de
ver que el trafico está siendo bloqueado
9. Trate de navegar a cualquier sitio de internet y debería de ver el timeout default del navegador de no poder ingresar.
El tráfico es bloqueado debido a que el dispositivo de origen en la política de firewall es una PC Linux, el cual no
hace match con su máquina windows desde donde está generando el tráfico
Page 32
RECONFIGURANDO LA IDENTIFICACION DE DISPOSITIVOS
1. Ingrese a su gestor de políticas en el firewall ingresando al menú POLICY & OBJECTS  IPv4 POLICY dele click
derecho al número de ID de la política INTERNET_ACCESS
2. Seleccione la opción de EDIT
3. Seleccione SOURCE
4. Del lado derecho seleccione DEVICE y dele click en WINDOWS PC
5. Luego dele click en LINUX PC para quitarlo del campo de Source o dele click en la X al lado del objeto LINUX PC
6. Dele click en OK
Para confirmar que el trafico está siendo permitido por la política, seguimos los siguientes pasos:
1. Desde su Bastión, revise el Ping extendido que tenía en la línea de comandos de DOS, y usted debería de ver el
trafico permitido y tener respuesta del host 8.8.8.8
2. Cierre la ventana de línea de comandos
3. Abra su navegador y trate de ingresar a cualquier sitio en internet al que no haya navegado con anterioridad
4. Confirme que puede navegar sin ningún problema
Page 33
VIENDO EL DETALLE DE UN DISPOSITIVO IDENTIFICADO
1. Ingrese desde la GUI a USER & DEVICES  DEVICE INVENTORY y dele click al signo + para expandir las maquinas
windows
2. Revise los detalles de su bastión y como fue detectado por el FortiGate utilizando la ayuda de FortiClient
3. Abramos una sesión de SSH usando putty y conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-
FORTIGATE Ingrese el usuario admin con contraseña 123456
4. Ejecute el siguiente comando: diagnose user device list
Page 34
NOTA
OJO… Device detection sin FortiClient funciona únicamente en una red CAPA 2, si usted esta siendo ruteado, la detección del
dispositivo no podrá realizarse a menos que sus usuarios tenga el cliente endpoint instalados en sus PCs y en la interface está
habilitada la opción de TELEMETRI. En el método de Agentless Device, los dispositivos se detectan a través de la mac address,
por tanto, si existe un appliance capa 3 o router en medio de la comunicación, el FortiGate detectara la mac address de dicho
appliance.
Adicional usted puede agregar dispositivos nuevos de manera manual ingresando al menú USER DEVICES & GROUPS y le da
clic en el botón de CREATE NEW
Deténgase y Piense
¿Cuál cree usted que serían las ventajas y desventajas entre las técnicas de Agentless y Agent-Based
Device Identification?
¿Dónde se activa la identificación de dispositivos en el FortiGate?
Page 35
LAB3.1 POLITICAS DE FIREWALL
A continuación, validaremos los conocimientos que acaba de adquirir creando la siguiente política de Firewall
EJERCICIO 1
1. Elimine todas las políticas que van desde su red local hacia internet
2. Cree una política de acceso a internet que vaya desde su red local únicamente hacia sitios web alojados en el Salvador
3. Valide el funcionamiento de la política que acaba de crear tratando de ingresar a www.mh.gob.sv

www.elsalvador.com www.uca.edu.sv www.ufg.edu.sv
4. Explique el resultado del fallo de algunas paginas
____________________________________________________________________________________________________
____________________________________________________________________________________________________
____________________________________________________________________________________________________
____________________________________________________________________________________________________
EJERCICIO 2
2. Cree una política hacia internet (all to all) donde el servicio será únicamente ALL_TCP
3. Trate de navegar hacia cualquier sitio en internet y valide el funcionamiento de la política
4. Abra una ventana de DOS y trate de hacer ping a 8.8.8.8
5. Explique el resultado
____________________________________________________________________________________________________
____________________________________________________________________________________________________
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Page 36
EJERCICIO 3
1. Cargue el backup de su folder de Backups llamado: EJERCICIO3_POLITICAS.CONF
2. Planteamiento del problema:
Son las 7:40 am día lunes inicio de semana y la junta directiva tiene una reunión a las 8:00 am donde se presentarán nuevos
planes estratégicos y es necesario que todos los gerentes y directores que asistan a la reunión posean acceso a internet
Cuando usted llego a su oficina uno de los gerentes le informo que no tienen internet en la sala de reuniones ni en ningún otro
lugar dentro de su oficina. Cuando usted revisa se da cuenta que efectivamente nadie posee internet y cree que fue a partir
de un cambio realizado el fin de semana dentro del firewall que no fue debidamente documentado ni tampoco se sacó un
backup antes de realizarlo.
Analice el problema y haga el Troubleshooting necesario para determinar dónde está el error antes que de inicio la reunión
Sugerencias:
• Apóyese en los logs

• Valide resolución de nombres y si puede alcanzar su DNS server
• Valide si puede hacer ping
• Revise si tiene internet desde el mismo FortiGate ejecutando el comando: exe ping 8.8.8.8
Al finalizar los ejercicios restaure el backup “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” de su folders de
Backups
Page 37
LAB4. NETWORK ADDRESS TRANSLATION (NAT)
NAT es utilizado para traducir orígenes y destinos para el tráfico que cruza el FortiGate. Existen dos maneras de configurar,
Source NAT (SNAT) y Destination NAT (DNAT).
• Firewall Policy NAT

• Central NAT
En este Lab usted aprenderá a configurar y validar políticas de NAT para SNAT usando IP Pool y DNAT usando Virtual IP (VIP)
OBJETIVOS
• Configurar Destination NAT usando VIPs

• Configurar Source NAT usando overload IP Pools
TIEMPO ESTIMADO
• 45 Minutos
REQUISITOS
1. Haber completado el LAB de Políticas de Firewall

2. Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
el cual regresara nuestra configuración a su estado inicial
Page 38
ACCESO UTILIZANDO VIPS
Direcciones de VIP son típicamente usados en NAT externos o IPs publicas hacia la red interna o IPs privadas de nuestra red.
En este ejercicio usted configurara una VIP para su página web en su servidor de dominio. Luego usted creara una política de
externa-a-interna donde aplicara el uso de la VIP. Esto permitirá conexiones entrantes desde internet hacia du server IIS en su
controlador de dominio, también verificaremos el comportamiento del Destination NAT y Source NAT usando la Línea de
comandos CLI de su FortiGate.
CREANDO UNA VIP

En su FortiGate, una VIP es un destino (DNAT) y puede ser únicamente seleccionada en una política de firewall en el campo
de destino.
En este procedimiento usted configurara una VIP para mapear su controlador de dominio el cual es parte de su DMZ, usted
puede referirse al diagrama de red de su ambiente de Laboratorio.
Para crear una VIP seguimos los siguientes pasos:
1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS  VIRTUAL IPS
2. Le damos click al botón de CREATE NEW y seleccionamos VIRTUAL IP
3. Configuramos los siguientes campos:
CAMPO VALOR
Name VIP-INTERNAL-HOST
Interface INTERNET (este puerto está conectado a sus
enlaces públicos de internet con direcciones
190.5.24.170/30 y 138.99.3.170/30)
External IP Address/Range 190.5.24.170 (Este es una IP de su enlace
principal de internet en la WAN1)
Mapped IP Address/Range 10.0.1.243
4. Click OK
Page 39
CREANDO LA POLITICA DE FIREWALL
Usted debe de configurar una política de firewall donde utilizaremos la VIP que acaba de crear en el campo destino de la
política.
1. Ingresamos al menú POLICY & OBJECTS  IPv4 POLICY

2. Le damos click al botón de CREATE NEW
3. Procedemos a configurar los siguientes campos de nuestra política:
CAMPO VALOR
Name Web-Server-Access
Incoming Interface SD-WAN
Outgoing Interface DMZ
Source all
Destination Address VIP-INTERNAL-HOST
TIP: Esta listado bajo la sección de Virtual
IP
Schedule always
Service HTTP
TIP: Utilice la opción de SEARCH para
localizar los servicios
Action ACCEPT
NAT Disable
Deténgase y Piense
¿Cuál cree usted que es la razón por la cual deshabilitamos la opción de NAT en la política cuando usamos
VIPs?
Discútalo con el grupo
4. Click en OK
Page 40
VALIDANDO NUESTRA POLITICA CON DESTINO VIP
1. Desde su Bastión abra una ventana de línea de comando de DOS e ingrese los siguientes comandos:
a) nslookup
b) webserver.lab.local (valide que la entrada de DNS esta correcta y que resuelve la IP de su VIP 190.5.24.170)
2. Cierre la ventana de DOS y abra una ventana en su navegador. En la barra de direcciones ingrese la siguiente URL:
http://webserver.lab.local o en su defecto la IP de su VIP http://190.5.24.170
3. Si la operación de la VIP es exitosa debería de aparecerla la página default de Apache si utiliza la IP o la pagina
de inicio de WordPress si lo accede por nombre
4. Abramos una sesión de SSH usando Kitty (Putty) y conéctese a la sesión que ya está salvada y que tiene por nombre
LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña
5. Ejecute el siguiente comando: get system session list
6. Usted notara que la dirección destino 190.5.24.170 es NATeada con la dirección 10.0.1.243 la cual es su dirección
mapeada en su VIP
NOTA
Además de las sesiones hacia su VIP podrá
ver todas las sesiones atravesando su
FortiGate, esto es normal.
Page 41
NAT DINAMICOS USANDO IP POOL
Los IP Pools son usados para trasladar las direcciones de origen hacia una dirección del pool definido en lugar de la IP que la
interface tiene configurada.
Actualmente para llegar a su DMZ no posee ningún tipo de NAT dinámico, es decir que llega con la IP real de su Bastión.
En este ejercicio usted aprenderá a crear un IP Pool y aplicarlo en la política de firewall para trasladar la dirección de su
Bastión a otra del Pool perteneciente a su DMZ y podrá verificar el DNAT desde la CLI o línea de comando de su FortiGate.
CREANDO UN IP POOL
1. Ingrese a la GUI de su FortiGate y vaya al menú POLICY & OBJECTS  IP POOLS

2. Dele click en el botón de CREATE NEW y configure los siguientes campos
CAMPO VALOR
Name INTERNAL-HOST-EXT-IP
Type Overload
External IP Range/Subnet 10.0.1.50-10.0.1.50
EDITANDO LA POLITICA PARA USAR SU IP POOL
1. Ingresamos al menú POLICY & OBJECTS  IPv4 POLICY

2. Editamos la política que va desde su LAN hacia la DMZ
3. Procedemos a configurar los siguientes campos de nuestra política:
4. Y configuramos los siguientes parámetros para la política:
Page 42
CAMPO VALOR
NAT ENABLE
IP Pool Configuration USE DYNAMIC IP POOL
Click + y seleccione INTERNAL-HOST-EXT-IP
5. Su configuración debe de verse similar a esta:
PROBANDO SU POLITICA DE IP POOL
1. Abra una ventana de DOS y deje un ping continuo a 10.0.1.243 ingresando:
ping 10.0.1.243 –t
2. Abramos una sesión de SSH usando Kitty (Putty) y conéctese a la sesión que ya está salvada y que tiene por nombre
LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña
3. Ejecute el siguiente comando: diagnose system session clear
NOTA
El comando anterior de CLI del FortiGate limpia toda la tabla de sesiones, esto causara que su Kitty (putty) se desconecte, este resultado
es el normal del comando ejecutado. (No debe de utilizarlo en un ambiente de producción solo en caso de troubleshooting)
Page 43
4. Cierre Kitty (Putty) y vuélvalo abrir para crear una nueva sesión de SSH, conéctese a la sesión que ya está salvada y
que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña
5. Ejecute el siguiente comando: get system session list
6. Ahora puede ver que el origen (IP de su Bastión) es traducida al pool que acabamos de crear.
7. Cierre Kitty (Putty)

8. Cierre todas las ventanas de su navegador, a excepción de la GUI de su FortiGate.
Deténgase y Piense
¿Cuál es la diferencia entre una VIP y un IP POOL?
¿En qué escenarios cree usted que debe de utilizar cada uno de los objetos VIP y IP POOL?
Discútalo con el grupo…
Page 44
LAB5. WEB FILTER
En este lab usted aprenderá como configurar perfiles de filtrado web incluyendo categorías de filtrado web de FortiGuard,
aplicar los perfiles a una política de firewall y Troubleshooting básico.
También aprenderá a sobrescribir categorías y a ejecutar overrides en el perfil de seguridad. Web Filter overrides permite
ejecutar acciones diferentes, en lugar de la configurada en el perfil de filtrado web.
OBJETIVOS
• Configurar perfiles de web filter en su FortiGate

• Aplicar filtrados basados en categorías de FortiGuard para su filtro web
• Troubleshooting de web filter
• Leer e interpretar logs de filtrado web
• Configurar web filter overrides
TIEMPO ESTIMADO
• 50 Minutos
REQUISITOS
Page 45
FORTIGUARD WEB FILTERING
Para poder configurar perfiles de filtrado web utilizando las categorías de FortiGuard, usted debe de asegurarse que su
FortiGate posee licencias de suscripción válidas. El licenciamiento provee capacidades de hacer filtrado web necesarias para
protegerse de websites inapropiados para su organización.
Luego usted debe de configurar perfiles de filtrado web basados en categorías en fu FortiGate y aplicarlas a políticas de
firewall para que pueda inspeccionar tráfico HTTP y HTTPS
Finalmente usted podrá probar diferentes acciones que puede tomar el FortiGate de acuerdo al rating de los sitios web visitados
y que pertenecen a una categoría de FortiGuard.
CONFIGURANDO PERFILES DE FILTRADO WEB BASADOS EN CATEGORIAS DE FORTIGUARD
1. En la GUI de su FortiGate ingrese al menú SECURITY PROFILES  WEB FILTER
NOTA
Usted recibirá una alerta diciendo que su FortiGate no tiene licencias validas
de filtrado web. Esto es normal ya que usted no ha configurado en ninguna
política algún perfil de filtro web, cuando usted termine el lab ya no se
presentará ninguna alerta.
2. Del menú de drop-down en la parte superior derecha, asegúrese que el perfil DEFAULT este seleccionado como su
perfil de filtrado web a editar:
3. Habilite FORTIGUARD CATEGORY BASED FILTER
Page 46
4. Verifique la acción predefinida para cada una de las categorías globales y configúrelas de la siguiente manera:
CATEGORIA ACCION
Local Categories Monitor
Potentially Liable Block
Adult/Mature Content Block: Other Adult Material y Pornography
Monitor: Todas las otras subcategorías
Bandwidth Consuming Block: Streaming Media and Download
Warning: todas las demás subcategories
(Definir un intervalo de 5 min – default)
Security Risk Block
General Interest - Personal Monitor
General Interest - Business Monitor
Unrated Monitor
5. Expanda la categoría principal GENERAL INTEREST – BUSINESS Luego dele click derecho a la sub categoría SEARCH
ENGINES AND PORTALS y seleccione ALLOW
6. Click APPLY
Page 47
APLICANDO EL PERFIL DE WEB FILTER A LA POLITICA DE FIREWALL

1. En la GUI de su FortiGate ingrese al menú POLICY & OBJECTS  IPV4 POLICY y edite la política llamada LAN A
INTERNET
2. Bajo la sección SECURITY PROFILES habilite WEB FILTER y seleccione el perfil llamado DEFAULT. Note que esta acción
habilita los perfiles de PROXY OPTIONS y CERTIFICATE-INSPECTION de manera automática
3. En la sección de LOGGING OPTIONS, habilite LOG ALLOWED TRAFFIC, y seleccione SECURITY EVENTS para habilitar
los logs de UTM (esta opción solo loguea eventos de UTM, ALL SESSIONS loguea trafico permitido o negado y además
logs de UTM)
4. Mantenga todas las demás opciones default y dele click en el botón de OK
PROBANDO EL FILTRADO DE CONTENIDO
El propósito de este lab es que usted revise el rating de los sitios web y pruebe el perfil de filtrado web para cada categoría
configurada.
1. Desde su Bastión ingrese a https://www.fortiguard.com/webfilter
Page 48
2. Busque a que categoría pertenece: http://www.playboy.com
Este es uno de los sitios con el que usted hará pruebas más adelante con su perfil de filtrado web. Como puede ver,
Playboy esta categorizado como PORNOGRAPHY
3. Use nuevamente la herramienta de FortiGuard Web Filter para buscar a que categorías pertenecen los siguientes
sitios web:
a. www.magicjack.com
b. www.bing.com
La siguiente tabla muestra la categoría asignada a cada URL y la acción que se tomara cada vez que usted visite
estos sitios de acuerdo a la configuración de su perfil de filtrado web
WEBSITE CATEGORIA ACCION

www.playboy.com Pornography Block
www.magicjack.com Internet Telephony Warning
www.bing.com Search engines and portals Allow
4. En su máquina bastión ingrese a www.playboy.com (recuerde que este es un laboratorio donde simulamos escenarios
de la vida real). La página de bloqueo deberá de aparecer de acuerdo a la acción configurada para la categoría
en pornografía en el perfil de Webfilter
Page 49
5. Abra otra ventana de su navegador e ingrese a www.magicjack.com Una pagina de advertencia aparecerá de
acuerdo a la acción configurada en el perfil de web filter
6. Dele click en PROCEED para aceptar la advertencia e ingresar al sitio web

7. Abra otra ventana de su navegador e ingrese a www.bing.com, el sitio web debe de aparecer normalmente ya que
la acción configurada en el filtrado web es ALLOW
CREANDO UN WEB RATING OVERRIDE
En este procedimiento usted re categorizara la página de www.bing.com
1. En la GUI de su FortiGate ingrese al menú SECURITY PROFILES  WEB RATING OVERRIDES

2. Dele click en el botón de CREATE NEW y configure los siguientes parámetros:
CAMPO VALOR
URL www.bing.com
Category Security Risk
Sub-Category Malicious Websites
3. Click OK
Page 50
PROBANDO SU WEB RATING OVERRIDE
1. Abramos una sesión de SSH usando Kitty (putty) y conéctese a la sesión que ya está salvada y que tiene por nombre
LOCAL-FORTIGATE Ingrese el usuario admin con contraseña 123456
2. Ejecute el siguiente comando:
 diagnose debug application urlfilter -1
 diagnose debug enable
3. cierre todas las ventanas de su navegador y solo deje una para tratar de ingresar a la página de www.bing.com
4. Regrese a la sesión de SSH en el Kitty (putty) y digite el comando diagnose debug disable y observe el output,
debería ser similar a la siguiente imagen:
El diagnostico muestra que la URL hace match en una categoría de local rating en FortiGuard. Así que www.bing.com es
bloqueado porque usted tiene override en este rating de categoría
Page 51
LAB5.1 WEB FILTER
EJERCICIO 1
Necesita darle accesos a un grupo de IPs de su empresa (La IP de su Bastión) para que puedan acceder a 4 sitios únicamente,
usando una combinación entre FortiGuard Webfilter y URL Filter permita el tráfico hacia:
o bancoagricola.com
o davivienda.com.sv
o mh.gob.sv
o equifax.com
EJERCICIO 2
2. Cargue el backup de su carpeta de Backups llamado: EJERCICIO5_WEBFILTER.CONF
El gerente de Recursos Humanos se ha quejado porque ha visto a usuarios con acceso limitado ingresando a sitios como
www.facebook.com, www.twitter.com, www.instagram.com, otras redes sociales y correo web.
Le ha solicitado al departamento de TI que bloquee de manera inmediata el acceso a esos sitios y que ningún usuario pueda
ingresar a navegar a ellos.
Usted como encargado del departamento está seguro que posee un web filter donde se bloquean las categorías de redes
sociales, pornografía, consumo de ancho de banda, entre otras.
¿Porque razón no está funcionando el perfil de filtrado web si sus licencias están validas, y efectivamente usted está consiente
que las categorías están siendo filtradas y la acción es BLOCK?
Sugerencias:
• Valide el funcionamiento del Webfilter ingresando a la página www.playboy.com

• Verifique las licencias en el dashboard
• Verifique si es bloqueado cuando ingresa algún sitio web de alguna red social o correo web como Hotmail
• Apóyese en los Logs para validar la política por la cual están saliendo los usuarios
Al finalizar los ejercicios restaure el backup “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” de su folders de
Backups
Page 52
LAB6. APPLICATION CONTROL
En este lab usted aprenderá a configurar y usar control de aplicaciones para tomar acciones apropiadas basados en sus
aplicaciones. Usted revisara los logs y monitoreo del FortiView, también aprenderemos a cómo controlar el tráfico de una
aplicación usando calidad de servicio (traffic Shapping)
OBJETIVOS
• Configurar perfiles de control de aplicaciones

• Leer y entender logs de control de aplicaciones desde FortiView
• Configurar y monitoreas calidad de servicio en perfiles de control de aplicaciones
TIEMPO ESTIMADO
• 30 Minutos
REQUISITOS
Page 53
CREANDO UN PERFIL DE CONTROL DE APLICACIONES
En este ejercicio usted creara un perfil de application control. El FortiGate hace match en el tráfico en el siguiente orden:
• Application Overrides
• Filter Overrides
• Categorías
Usted también vera el log de control de aplicaciones desde su FortiView para confirmar que las aplicaciones estén siendo
logueadas de manera correcta
CONFIGURANDO OVERRIDES DE APLICACIONES
En la configuración de su FortiGate ya tenemos un perfil de aplicaciones que está configurado como “monitor”, esto permite a
la aplicación pasar a través del FortiGate, pero genera un mensaje de log.
En este ejercicio usted configurara un override de aplicaciones para que tome precedencia sobre las categorías de aplicaciones.
1. Desde su bastión, ingrese a la GUI de su FortiGate

2. Ingrese al menú SECURITY PROFILES  APPLICATION CONTROL
3. Revise como está configurado el perfil DEFAULT
4. En la página EDIT APPLICATION SENSOR, click en ADD SIGNATURE en el apartado APPLICATION OVERRIDES
para agregar una firma de aplicación
5. Click en NAME y digite DAILYMOTION en el campo de búsqueda
6. Click en DAILYMOTION
7. Luego dele click en el botón USE SELECTED SIGNATURES. Su configuración debería de verse de la siguiente manera:
Page 54
8. La acción debe de mostrarse como BLOCK por default, dele click en el botón de APPLY
VERIFICANDO QUE EL PERFIL DE CONTROL DE APLICACIONES ESTA SIENDO APLICADO
1. Desde la GUI de su FortiGate ingrese al menú POLICY & OBJECTS  IPV4 POLICY
2. Dele click en la columna de ID de la política que va de la LAN hacia INTERNET y seleccione EDIT
3. Bajo la sección de SECURITY PROFILES active la opción de APPLICATION CONTROL y verifique que este
seleccionado el perfil DEFAULT
Page 55
4. Asegúrese que la política tenga las opciones de Logging activas de la siguiente manera:
5. Click en el Botón de OK
PROBANDO EL PERFIL DE CONTROL DE APLICACIONES
1. Desde su Bastión, abra una ventana de su navegador e ingrese a la URL: http://dailymotion.com

2. Usted debería de ver un mensaje de bloqueo indicando que la aplicación está bloqueada
Page 56
REVISANDO LOGS
1. Desde la GUI del FortiGate ingrese al menú LOG & REPORT  APPLICATION CONTROL
NOTA
La sección de LOGS de APPLICATION CONTROL no será mostrada hasta que se genere un evento de control de aplicaciones.
FortiGate lo mostrara luego de haber creado el Log. Si este menú no es mostrado, refresque la ventana de su navegador.
2. Busque la entrada donde se confirme que DAILYMOTION fue bloqueado
3. Ingrese a LOG & REPORT  FORWARD TRAFFIC y busque la entrada de DAILYMOTION (asegúrese de no tener
ningún filtro y estar viendo los logs del disco duro del FortiGate), usted puede ver más detalle acerca del log así como
la IP NATeada, bytes enviados y recibidos, la acción y la aplicación
Page 57
LIMITANDO EL TRAFICO DE UNA APLICACIÓN USANDO TRAFFIC SHAPERS
Usted puede limitar el tráfico de una o varias aplicaciones o categorías usando calidad de servicio. Usted debe de asegurarse
que los parámetros configurados hagan match con la política donde usted quiere aplicar el traffic shaper
MODIFICANDO EL OVERRIDE DE LA APLICACIÓN DAILYMOTION
1. Desde la GUI de su FortiGate ingrese al menú SECURITY PROFILES  APPLICATION CONTROL

2. Verifique que tenga seleccionado el perfil DEFAULT en la esquina superior derecha
3. Bajo la sección de APPLICATION OVERRIDE dele click derecho a DAILYMOTION y click en MONITOR, esto cambiara
la acción de BLOCK a MONITOR
4. Click en el botón de APPLY
NOTA
Para que nuestro traffic shaper
funcione debemos de permitir que el
tráfico fluya a través del FortiGate en
lugar de bloquearlo.
CREANDO EL PERFIL DE TRAFFIC SHAPER
1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS  TRAFFIC SHAPERS
2. Le damos click al botón de CREATE NEW
3. A continuación, configuraremos los siguientes campos:
CAMPO VALOR
Type Shared
Name Dailymotion_Shaper
Traffic Priority Low
Max Bandwidth 128 Kbps
Page 58
CONFIGURANDO LA POLITICA DE TRAFFIC SHAPER
1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS  TRAFFIC SHAPING POLICY y dele click en
el botón de CREATE NEW
2. Configuramos los siguientes campos:
CAMPO VALOR
Source all
Destination all
Service ALL
Application Dailymotion
Outgoing SD-WAN
Interface
Reverse Shaper Habilite el Traffic Shaper
creado en el paso
anterior
DAILYMOTION_SHAPER
Enable this policy Enable
PROBANDO EL TRAFFIC SHAPER
Ahora que ya ha realizado la configuración completa, ingrese a dailymotion.com y mire un video.
1. Desde su Web browser ingrese a la página http://dailymotion.com

2. Trate de ver algún video del sitio web
Usted podrá notar que el acceso al sitio es lento y que el video está tomando mucho en cargar
3. En la GUI de su FortiGate ingrese al menú POLICY & OBJECTS  TRAFFIC SHAPERS
4. Revise la cantidad de paquetes DROPPED para el traffic shaper configurado, usted se puede fijar que su FortiGate
está botando paquetes de la aplicación Dailymotion
Page 59
LAB6.1 APPLICATION CONTROL
La Gerencia de su empresa requiere que todas las aplicaciones en la categoría de sean bloqueadas para
todos los usuarios, pero se necesita que se permita el acceso a YouTube de manera controlada donde no sobrepase los
128kbps de tráfico para dicha aplicación
3. Cree una política y asigne un perfil de Application Control para cumplir el requerimiento de gerencia
Page 60
LAB7. FIREWALL AUTHENTICATION – LOCAL
En este lab usted aprenderá a configurar su FortiGate para sirva como un servidor de autenticación local, de igual manera
configurará un portal captivo en su interface de salida a internet para que le solicite credenciales para navegación
(autenticación activa)
OBJETIVOS
• Configurar autenticación de forma local

• Configurar un portal captivo parta forzar que los usuarios se autentiquen cuando quieran navegar a internet
TIEMPO ESTIMADO
• 60 Minutos
REQUISITOS
Page 61
AUTENTICACION LOCAL
En este ejercicio usted aprenderá a configurar su FortiGate para autenticación de usuarios de forma local.
CONFIGURANDO SU FORTIGATE
1. Desde la GUI de su FortiGate ingrese al menú USER & DEVICE  USER DEFINITION y dele click al botón de CREATE
NEW
2. Configure los siguientes parámetros:
CAMPO VALOR
User Type Local User
Username usuario_local
Password 123456
Email Address Deje este parámetro por default
SMS
Two-factor Authentication
User Account Status Enable
User Group Deje este parámetro por default
3. Click SUBMIT
4. Ahora tendrá dos usuarios dentro de su base de datos local de usuarios.
Page 62
ASIGNANDO USUARIOS LOCALES A UN GRUPO DE FIREWALL
1. Desde la GUI ingrese al menú USER & DEVICE  USER GROUPS

2. Dele click en el botón de CREATE NEW
3. Configure los siguientes campos:
CAMPO VALOR
Name Local-Users
Type firewall
En el apartado de MEMBERS seleccionamos:
Members Usuario_local
Page 63
PORTAL CAPTIVO
En este ejercicio usted configurara un portal captivo para restringir el acceso en la navegación para que solo un grupo de
usuarios pueda acceder a internet. Portales captivos es conveniente para autenticar usuarios en la navegación o redes wireless.
Una forma en HTML será presentada al usuario donde estos tendrán que ingresar un usuario y password válidos para poder
continuar.
HABILITANDO PORTAL CAPTIVO
Como la finalidad es habilitar la autenticación local para un grupo específico de usuarios a través de un portal captivo,
usaremos el grupo que creamos en el apartado anterior
1. Ingresamos desde nuestra GUI al menú NETWORK  INTERFACES y editamos el puerto LAN (port1). Este es su puerto
de tráfico entrante, para más información revise la topología de red de su laboratorio.
2. Complete las siguientes configuraciones en el apartado ADMISSION CONTROL:
CAMPO VALOR
Security Mode Captive Portal
Authentication Portal Local
User Access Restricted to Groups
User Groups Local-Users
3. Click OK para guardar los cambios.
Page 64
AUTENTICANDO USUARIOS Y MONITOREANDO
Ahora que ya tenemos nuestro portal captivo funcionando, usted puede probar la autenticación local de usuario usando portal
captivo.
1. Abra una ventana de su navegador y trate de navegar a www.bbc.com o a cualquier otro sitio web
2. Cuando le aparezca el portal captivo ingrese las credenciales siguientes (Respetando las mayúsculas y minúsculas):
o Usuario: usuario_local
o Password: 123456
3. Regrese a la GUI de su FortiGate, dejando las ventanas abiertas de los sitios donde navegó, e ingrese al menú
MONITOR  FIREWALL USER MONITOR
4. Seleccione en la ventana a su usuario, luego click derecho y seleccione DE-AUTHENTICATE para que manualmente le
dé “de baja” a la sesión de autenticación que acaba de iniciar
5. Click en OK
6. Cierre su navegador
Page 65
LAB8. SDWAN
En este lab validaremos el funcionamiento de un enlace de internet secundario o de backup para redundancia de navegación
OBJETIVOS
• Configurar un enlace principal de internet con su respectiva ruta

• Configurar un enlace secundario de internet con su respectiva ruta
• Determinar el uso de distancia y prioridad en las rutas estáticas
• Configurar una interface de SDWAN
• Aplicar políticas de Performance de SLA
• Monitorear el uso de sus enlaces a través de la interface de SDWAN
• Crear políticas de SDWAN para navegación
• Balancear tráfico entre sus dos enlaces de internet
• Simular falla de los enlaces para validar el funcionamiento de fail-over
TIEMPO ESTIMADO
• 40 minutos
REQUISITOS
1. Debemos de hacer la restauración del backup llamado: “EJERCICIO8_SDWAN.conf” el cual adecuara la configuración
para el lab de SDWAN
Page 66
ENLACES DE INTERNET USANDO SDWAN
Durante este laboratorio usted configurara dos enlaces de internet destinados para la navegación a internet, además
configuraremos una interface de SDWAN para el balanceo, fail-over y monitoreo de dichos enlaces a internet.
CONFIGURANDO NUESTROS DOS ENLACES A INTERNET
Ingrese a su FortiGate luego de haber cargado el backup “EJERCICIO8_SDWAN.conf” usando el usuario “admin” y password
“123456”
Deténgase y Observe
Revise si posee navegación hacia internet desde su bastión.
Observe su gestor de políticas y valide si existen permisos de navegación para su red local y para su servidor
de DNS (Controlador de Dominio en su DMZ)
Verifique si los enlaces (principal y secundario) está configurado en el port3 (como VLANs en dicho puerto
dándole click e el signo “+” al lado izquierdo dl port3)
Valide las rutas estáticas en su FortiGate y revise si existen rutas hacia sus dos enlaces de internet (Network
 Static Routes) adicionales a las rutas de administración (172.30.1.0/24 y 192.168.0.0/16 no modificar)
1. Ingrese al menú NETWORKSTATIC ROUTES

2. Deberá de agregar una ruta defaults adicional a la WAN1 la cual pertenece a su enlace de respaldo o de backup
dándole click al botón de CREATE NEW para su nuevo enlace de Internet de la siguiente manera:
WAN 1 (YA CONFIGURADA) WAN 2 (NUEVO ENLACE)
Page 67
Deténgase y Piense
¿Qué entiende por distancia y prioridad en las rutas estáticas?
3. Ingrese al menú NETWORKSD-WAN

4. Dele click al botón de ENABLE y en el cuadro de selección (SD-WAN Interface Members) dele click en el signo “+” y
configure su puerto de WAN1 con su respectivo Gateway o puerta de enlace y haga lo mismo con su WAN2 luego
dele click en el botón de APPLY
5. Luego tenemos que configurar nuestro FortiGate para que detecte cuando uno de nuestros dos enlaces se caiga para
realizar el fail-over automáticamente. Ingrese al menú NETWORKPERFORMANCE SLA y le damos click en el botón
de CREATE NEW
NOTA
Con esta configuración estamos midiendo:
PROTOCOL
A través de ping miraremos la disponibilidad del enlace haciéndole ping a un
server en internet (en este caso el DNS 8.8.8.8 y 4.2.2.2) por cada uno de sus
enlaces a internet
SLA TARGETS
Mediremos el estado del enlace a través de valores como Latencia, Jitter y la
perdida de paquetes por cada interface a monitorear, esto sirve para que su
FortiGate tome una decisión por cual enlace enviara el tráfico, en este caso por
la que cumpla las SLA definidas
LINK STATUS
El intervalo en el cual se hará la verificación (ping) hacia el server en internet
definido en “server”, cuantos pings se deben de perder para hacer el fail-over
(failures before inactive) y cuantos pings se requieren para volver a utilizar el
enlace (restauración del enlace), por último, se hará una actualización de la tabla
de rutas para eliminar o agregar la ruta de cada enlace monitoreado en caso de
caída o de restauración de la comunicación.
Page 68
6. Ya teniendo nuestros valores de monitoreo para ambas interfaces procedemos a crear las políticas para acceso de
Internet para la DMZ y para la red local.
Creamos dos políticas:
• La primera que permita acceso desde la DMZ hacia la interface SD-WAN, origen all, destino all, horario
always, servicio ALL, acción Accept, NAT Enable, Log All Sessions, Enable this Policy. (si tiene alguna duda
regrese al LAB.3 donde vimos configuración de políticas o pregunte a su instructor)
• La segunda que permita acceso desde la LAN hacia la interface SD-WAN, origen all, destino all, horario
always, servicio ALL, acción Accept, NAT Enable, Log All Sessions, Enable this Policy. (si tiene alguna duda
regrese al LAB.3 donde vimos configuración de políticas o pregunte a su instructor)
7. Abra una ventana de MS-DOS y deje un ping extendido a 8.8.8.8 y solicite a su instructor que de de baja al enlace
primario de internet (ISP) para validar la prueba de fail-over (Si los demás asistentes aun no terminan la configuración,
navegue a internet para generar trafico y valide el performance de su SD-WAN)
8. Ingrese al menú NETWORKSD-WAN y verifique el uso de sus interfaces de Internet
9. Ingrese al menú NETWORKPERFORMANCE SLA y verifique el estado del monitoreo para la WAN1
Page 69
LAB9. SSL VPN

En este lab configuraremos una VPN SSL móvil utilizando su FortiGate y el FortiClient instalado en su bastión
OBJETIVOS
• Aprender a como configurar una VPN SSL para acceso desde su FortiClient o vía Web
• Conocer las ventajas de tener una interface de LoopBack para validar la conectividad en una VPN
• Definir políticas de autenticación de usuarios remotos para uso en FortiClient
• Aprender a como configurar un FortiClient para conexiones de VPN SSL
TIEMPO ESTIMADO
• 40 minutos
REQUISITOS
1. Haber concluido satisfactoriamente el LAB.3 - Políticas y LAB.9 - SDWAN además de tener acceso a internet.
2. Hacer la restauración del backup llamado: “EJERCICIO9-EJERCICIO10_VPNs.conf” el cual adecuara nuestra
configuración para el LAB de VPNSSL y VPN IPSEC
Page 70
CONEXIONES SSL USANDO FORTICLIENT
Durante este laboratorio usted configurara una VPN SSL a través de autenticación local utilizando como cliente móvil el
FortiClient para acceder a redes remotas a través de internet o de enlaces dedicados.
Notara que existen dos nuevas interfaces
a) LAN_VPN (LOOPBACK) La ventaja de una interfaz de loopback es que esta interfaz lógica siempre está activa
(sin dependencia del enlace físico) y las subredes conectadas siempre están presentes en la tabla de enrutamiento.
b) port10 (WAN EMPRESARIAL)
CONFIGURANDO NUESTRO ENLACE VPN-SSL
Ingrese a su FortiGate luego de haber cargado el backup “EJERCICIO9-EJERCICIO10_VPNs.conf” usando el usuario “admin”
y password “123456”
1. Este laboratorio lo haremos en parejas para validar la conectividad entre los FortiGate y clientes móviles usando
FortiClient
2. Como primer paso de la configuración vamos a crear un grupo de usuario local en el FortiGate y un usuario local al
cual haremos miembro del grupo que acabamos de crear. Ingresamos al menú de USER & DEVICE --> USER GROUPS
--> CREATE NEW
3. Luego de crear nuestro grupo de usuarios que nos servirá para autenticar a los clientes móviles, crearemos a nuestro
usuario para hacerlo miembro del grupo de autenticación. Ingresamos al menú de USER & DEVICE --> USER DEFINITION
--> CREATE NEW
a) User type: Local User
b) Username : vpn
c) Password: 123456
d) Contact Info (dejarlo por default)
e) Extra Info: UserGroup --> SSL_VPN_GROUP
Page 71
4. Debemos de crear un objeto de dirección con la red LAN_VPN local de su FortiGate (LOOPBACK) que nos servirá
para agregar la ruta en el cliente móvil. Ingrese al menú POLICY & OBJECTS --> ADDRESSES --> CREATE NEW
(Nótese que en el campo de SUBNET / IP RANGE debe de ingresar la red local del a interface LAN_VPN, la imagen
muestra la LAN del instructor, usted debe de ingresar su propia red de acuerdo a la configuración de su FortiGate) y
creamos un nuevo objeto de Direccion llamado LOCAL_NETWORK y definimos la red 172.16.X.0/24 (donde la X
definen el tercer octeto de la red a la que quiere acceder desde el FortiClient VPN.
5. Ingrese al menú VPN --> SSL-VPN PORTALS y editamos el portal default FULL-ACCESS. Nos aseguramos que SPLIT
TUNNELING este seleccionado y definimos la red local a la cual los usuarios móviles podrán tener acceso desde la
VPN (Objeto que creamos en el paso anterior LOCAL_NETWORK) luego le damos click al botón de OK
Page 72
6. Ingrese al menú VPN --> SSL-VPN SETTINGS donde debemos de definir:

a) La interface por la cual permitiremos conexiones SSL (PORT10)
b) Modificamos el puerto default de 443 a 10443 (ya que si lo dejamos en 443 perderemos la administración
de nuestro FortiGate ya que a través de dicho puerto solamente se permitirán conexiones SSL).
c) En la opción de RESTRICT ACCESS seleccionamos la opción de ALLOW ACCESS FROM ANY HOST
d) En la opción de ADDRESS RANGE seleccionamos que automáticamente asigne una Direccion IP a nuestros
clientes móviles.
e) Por último, agregamos nuestro grupo de usuarios para autenticación y definimos un portal default para todos
los demás grupos. En el apartado AUTHENTICATION/PORTAL MAPPING damos click en el botón de CREATE
NEW y seleccionamos nuestro grupo de usuarios que creamos en el paso 2 y definimos como portal para
dicho grupo el portal FULL-ACCESS
f) Editamos el grupo ALL OTHER USERS/GROUP y definimos el portal WEB-ACCESS
g) Aplicamos las configuraciones dando click al botón de APPLY
Page 73
h) Por último, luego de guardar nuestras configuraciones, aparecerá una alerta en la parte superior de SSL-
VPN SETTINGS donde nos alerta que no existen políticas que permitan acceso a la red local (loopback) a la
que tiene acceso la VPN. Le damos click en la alerta y definimos nuestra política de la siguiente manera:
Page 74
7. Debemos de configurar una política que permita el trafico desde su red LAN hacia la WAN EMPRESARIAL para que
su FortiClient se pueda conectar al firewall remoto y poder establecer la VPN (debe de utilizar NAT en dicha política
– puede ayudarse del LAB.3 – Políticas)
8. Ahora es momento de configurar el FortiClient en la PC Bastión de su compañero de trabajo de la siguiente manera:
a) Iniciamos nuestro FortiClient dándole click al botón en la barra de tareas cerca del reloj de Windows
b) Seleccionamos la opción de REMOTE ACCESS y agregamos una nueva configuración de la siguiente manera
(Donde 192.9.200.X, es la IP del puerto10 de su compañero):
Page 75
c) ingresamos el usuario y password definidos en el paso 6
d) Abrimos una ventana de DOS y hagamos ping a la IP 172.16.X.1 (siendo X el tercer octeto de la red del
FortiGate a la que se quiere conectar el cliente móvil
Page 76
LAB10. IPSEC VPN
En este lab configuraremos una VPN de punto a punto utilizando su FortiGate y otro firewall en internet o a través de un
enlace dedicado
OBJETIVOS
• Identificar las fases de Internet Key Exchange (IKEv1)

• Identificar la necesidad de rutas para las VPNs en modo Interface
• Desplegar una VPN site-to-site entre su FortiGate y otro firewall en la nube de internet o la de su proveedor de
enlaces dedicados
• Monitorear los túneles VPNs
TIEMPO ESTIMADO
• 60 Minutos
REQUISITOS
1. Haber concluido satisfactoriamente el LAB.3 - Políticas y LAB.9 - SDWAN además de tener acceso a internet.
2. Hacer la restauración del backup llamado: “EJERCICIO9-EJERCICIO10_VPNs.conf” el cual adecuara nuestra
configuración para el LAB de VPNSSL y VPN IPSEC
Page 77
ROUTE-BASED IPSEC VPN
Durante este laboratorio usted configurara un túnel IPSec entre su FortiGate y otro firewall o concentrador de VPN para
poder comunicar su bastión y otra red completamente diferente (FortiGate de su Compañero)
USANDO EL WIZARD DE VPNS
Abra una ventana de DOS y trate de hacerle ping a la IP remota 172.16.X.1 (Donde X es el tercer octeto de la red local -
loopback- de su compañero), usted puede ver que no tiene respuesta desde ese host, la finalidad de la VPN es poder tener
acceso a la red remota a través de una conexión segura.
1. Desde la GUI de su FortiGate ingrese al menú VPN  IPSEC TUNNELS

2. Dele click en el botón de CREATE NEW
3. Configure los siguientes parámetros:
CAMPO VALOR
Name Hacia_Remoto
Template Type Site to Site
Remote Device Type FortiGate
NAT Configuration No NAT between sites
4. Click en NEXT
5. A continuación, configure los siguientes parámetros:
CAMPO VALOR
Remote Device IP Address
IP Address 192.9.200.X (IP FortiGate Remoto)
Outgoing Interface WAN EMPRESARIAL (PORT10) debería de
seleccionarla automáticamente, en caso de
no hacerlo seleccionarla manualmente
Authentication Method Pre-shared Key
Page 78
Pre-shared Key Fortinet$$

(Respetando las mayúsculas y minúsculas)
6. Click NEXT
7. Prosiga en el wizard y configure los siguientes campos:
CAMPO VALOR
Local Interface LAN_VPN (LoopBack)
Local Subnets 172.16.X.0/24 (El Wizard la
debería de seleccionar de manera
automática sino defínala
manalmente)
Remote Subnets 172.16.X.0/24 Red remota de la
interface LAN_VPN del FortiGate
de su compañero la cual es
diferente en el tercer octeto a la
de su FortiGate
8. Click en CREATE, usted debería de ver la siguiente ventana:
9. Click en SHOW TUNNEL LIST usted podrá ver el túnel que acaba de crear.
Notara que el status de la VPN esta INACTIVE
10. Ingrese al menú MONITOR  IPSEC MONITOR y dele click derecho a la VPN y levántela de manera manual (siempre
y cuando este configurado de la misma manera en el FortiGate de su compañero, la VPN debería de levantar
automáticamente)
Page 79
11. Abra una ventana de KITTY (SSH Client similar a Putty) y digite los siguientes comandos
exe ping-options source 172.16.X.1
Con el comando anterior forzaremos a nuestro FortiGate hacer ping desde la IP de su interface de LoopBack, sustituyendo la
X por el tercer octeto de su red de LoopBack
exe ping 172.16.X.1
Con este comando haremos ping a la interface de LoopBack del sitio remoto (Interface del FortiGate de su compañero),
sustituyendo la X por el tercer octeto de la red de LoopBack de su compañero
Debería de poder hacerle ping a la interface remota a través de la VPN
12. Ingrese al menú POLICY & OBJECTS  ADDRESS y observe dos nuevos objetos que fueron creados de manera
automática por el Wizard
o Hacia_Remoto_local
o Hacia_Remoto_remote
13. Ingrese al menú POLICY & OBJECTS  IPV4 y observe dos nuevas políticas:
14. Ingrese a NETWORK  STATIC ROUTES y verifique la ruta estática ingresada por el wizard
Page 80
Deténgase y Piense
¿Para qué cree usted que el wizard agrega una ruta de Blackhole?
Page 81

Guia Estudiante Fortigate

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guia Estudiante Fortigate

Transféré par

Droits d'auteur :

Formats disponibles

GUÍA DEL ESTUDIANTE

10-Sep-18 FortiGate 6.0.X

Esta guía describe una serie de tareas administrativas para configurar su

VIRTUAL LABS BASICS ............................................................................................................................. 4

LAB1. INTRODUCCION A FORTIGATE ..................................................................................................... 5

LAB2. LOGGING Y MONITOREO ........................................................................................................... 17

LAB3. POLITICAS DE FIREWALL ............................................................................................................. 26

LAB5. WEB FILTER .................................................................................................................................. 45

LAB5.1 WEB FILTER ................................................................................................................................ 52

LAB6.1 APPLICATION CONTROL .......................................................................................................... 60

LAB9. SSL VPN....................................................................................................................................... 70

LAB10. IPSEC VPN ................................................................................................................................. 77

VIRTUAL LABS BASICS

Desde su PC conectarse por RDP (Remote

192.9.200.0/24 WAN Empresarial

LAB1. INTRODUCCION A FORTIGATE

• Acceder a la CLI (Línea de comando) de su FortiGate

TRABAJANDO CON LA LINEA DE COMANDO (CLI)

Usted iniciara ingresando a su FortiGate usando la Línea de Comando (CLI)

Existen múltiples maneras de poder ingresar a la CLI, las cuales son:

• Usando cable de Consola Serial

3. Ingrese al menú de NETWORK  INTERFACES

5. Entre las opciones de ADMINISTRATIVE ACCESS seleccionamos SSH y la marcamos.

6. Le damos click al Botón de OK

9. Ingresamos el siguiente comando:

get sys status

10. Ingrese el siguiente comando:

12. Ingrese el comando:

show system interface port1

16. Ingrese el siguiente comando:

show full-configuration system interface port1

RESTAURANDO UNA CONFIGURACION DESDE UN BACKUP

En este procedimiento realizaremos una restauración de un backup en su FortiGate

4. Click en UPLOAD y seleccione el archivo de backup que va a restaurar

REALIZANDO UN BACKUP DE CONFIGURACION

1. Ingrese a su FortiGate usando el usuario admin y dejando el campo de password en blanco.

RESTAURANDO UN ARCHIVO DE CONFIGURACION ENCRIPTADO

Para restaurar un archivo de configuración encriptado necesitamos:

1. Ingrese a su FortiGate usando el usuario admin y dejando el campo de password en blanco.

COMPARE LAS DOS CONFIGURACIONES

1. Inicie Notepad++ dándole doble click en el icono

CREANDO UN PERFIL DE ADMINISTRADOR

Para configurar un perfil de administrador se requiere de los siguientes pasos:

1. Desde la GUI de su FortiGate ingrese al menú SYSTEM  ADMIN PROFILE

CREANDO UNA CUENTA DE ADMINISTRADOR

1. Desde la GUI de su FortiGate ingrese al menú SYSTEM  ADMINISTRATORS

3. Click OK y guarde los cambios

COMPROBANDO LA NUEVA CUENTA DE ADMINISTRACION

2. Ingrese como “Security_Admin” con el password “fortinet” (sin comillas)

LAB2. LOGGING Y MONITOREO

CONFIGURACION DE LOGS EN EL FORTIGATE

CONFIGURE LOGS SETTINGS

5. Ingrese a las GUI PREFERENCES y complete lo siguiente:

CONFIGURACION DE THREAT WEIGHT (PESO DE AMENAZAS)

HABILITE LOGGING EN LA POLITICA DE FIREWALL

GENERANDO TRAFICO EN EL FORTIGATE

3. Inicie el proceso de cacheo de sitios dándole click al botón de PLAY en el WebTimer

REVISANDO LOS LOGS EN LA GUI DEL FORTIGATE

OBSERVANDO LOGS EN FORTIVIEW

2. Dele click en el icono y seleccione BUBBLE CHART

LAB3. POLITICAS DE FIREWALL

• Configurar objetos de firewall y políticas de firewall

CREANDO OBJETOS DE DIRECCION Y POLITICAS DE FIREWALL