Bom dia, meu povo! Tudo certo com vocês?
Depois de um tempinho "off", por conta dos estudos, vamos retomar os posts aqui no blog.
No post de hoje, vamos falar de um recurso bem interessante, que muita gente desconhece, ou se conhece, não costuma usar. Esse recurso é o Negate.
O parâmetro Negate, tem como objetivo, indicar "quem não pode", quando configuramos uma policy no fortigate, que tem como o intuito liberar o tráfego de uma origem, destino e até, um serviço específico. Montamos a regra considerando sempre "quem pode" ter o tráfego liberado.
O recurso Negate, trás o conceito de "quem não pode". Imagine, que você precisa liberar um tráfego, que tem como interface de origem uma zona com várias VLANs inseridas nessa zona, porém, a subnet de uma dessas zonas, não deve ter o acesso liberado, nesse caso, ao invés de você ter de inserir a subnet de todas as zonas que devem ter o acesso liberado, você pode adicionar apenas no campo source address a subnet da zona que não deve ter o acesso liberado, e habilitar o parâmetro "set srcaddr-negate" na regra. Quando habilitamos esse recurso, o objeto fica com uma exclamação vermelha, indicando que o "Negate" está habilitado. Com isso, qualquer origem será liberada, com exceção daquela especificada.
O recurso Negate, pode ser utilizado na origem, destino, serviço, ISDB, etc. Ele pode ser aplicado a IPv4 Policy, SD-WAN Rules, SSL VPN, etc.
O recurso é muito utilizado em regras de acesso à internet, que tem como destination o objeto all, para essas regras é uma boa prática, aplicar no destino, um address group com as redes RFCs e com o Negate habilitado. Com isso, o firewall só irá encaminhar para o gateway subnets WAN, evitando que subnets de redes LAN sejam encaminhadas para o gateway da operadora.
É importante entender, que o recurso é aplicado a regra e não ao objeto. Você não configura um objeto como Negate e sim, ativa o recurso no campo da regra.
Espero que esse post ajude no entendimento do recurso e que de alguma forma, venha ajudar na administração do seu Fortigate.
Um abraço e até o próximo post!
Contato para projetos, serviços e parceiras, click AQUI.
Comentários