Bom dia meu povo.....
Já sabem né? Muito trampo e pouco tempo para postar aqui no blog.
Hoje vamos para mais um post rápido, porém muito útil na organização das policies do nosso Fortigate, principalmente para quem possui um número grande de regras.
Para organizar nossas regras vamos usar o recurso chamado de "Sequence Grouping", esse recurso funciona como um "grupo" ou "Sessão" onde vamos agrupar regras que possuem propósitos semelhantes (Regras de bloqueio, regras de publicação, regras de VPN, etc). Um ponto importante e como o próprio nome do recurso já indica, esse agrupamento respeita a sequencia das regras, ou seja, as regras dentro de um Sequence Grouping devem está posicionadas corretamente no esquema de TOP DOWN. Como já deve ser do conhecimento de vocês as policies são aplicadas a um trafego da primeira regra até a ultima, até que esse trafego tenha um match com um regra especifica ou acabe na "Deny All", sendo assim é importante que você tenha conhecimento das boas práticas quanto ao posicionamento de regras, seguem alguns exemplos:
Regras de bloqueio em geral no top das regras;
Regras de navegação no final das regras;
Sempre especificar as redes no campo source ao invés de usar o objeto "ALL".
No nosso exemplo vamos criar três Sequence Groupings, um para regras de bloqueio, outro para trafego de VPN e um para regras de acesso a internet. Nosso firewall já possui as regras configuradas na seguinte ordem de cima(TOP) pata baixo (Donw): Bloqueio, VPN e acesso a internet.
Vamos a mão na massa.
O Sequence Grouping sempre é criado da regra selecionada para baixo, ou seja, quando criar o Sequence Group todas as regras abaixo da regra selecionadas serão inseridas nesse grupo.
Segue exemplo:
Como é possível ver na sequencia de imagens acima, todas as regras abaixo da regra que o Sequence Grouping foi criado, foram inseridas no mesmo, com exceção da regra acima, que foi adicionada a um Sequence Grouping criado automaticamente chamado de "Uncategorized".
Considerando que todas as regra abaixo da regra 19 são regras de acesso a recursos na internet, vamos criar um novo Sequence Grouping a partir da regra 16.
Para finalizar vamos criar o Sequence Group para a regra de bloqueio.
Pronto!
Tá no grale rsrsrsr
As regras podem ser movidas normalmente de ordem e inclusive para dentro de um Sequence Grouping, um outro ponto importante é que caso todas as regras sejam movidas de dentro de um Sequence Group o mesmo será deletado automaticamente, sendo assim é pré-requisito ter ao menos uma regra por Sequence Grouping. Também é possível deletar o Sequence Grouping, isso não ira gerar nenhum impacto nas regras que estão dentro do mesmo.
Valeu galera, até o próximo post.
Comments