Como se ejecutan las politicas de Firewall

[jsaavedra]

Buenas a todos, en esta ocasion me dirijo a ustedes con la finalidad de que me den su opinion sobre el proceso de lectura y ejecucion de las politicas creadas en el firewall... Les muestro como las tengo configuradas actualmente. (DE ESTA MANERA ME FUNCIONA CORRECTAMENTE TODO LO CONFIGURADO)

policy.png

Mis dudas son las siguientes:

Hasta donde tengo entendido los Fortigate ejecutan de arriba hacia abajo..... Si esto es cierto basandome en mis politicas el fortigate deberia bloquear todo porque la ultima politica esta DENY.

Si se fijan voy de abajo hacia arriba primero DENY. luego voy abriendo servicios.... scaneooo, luego vienen 3 grupos de servicios principales que son: BASIC, MAIL, WEB.

BASIC: dhcp, dns, tcp, rdp, udp, ssh, ping entre otros basicos para el funcionamiento de la red.
MAIL: smtp, pop3, imap.
WEB: http, https.

Con esto voy creando filtros y limitando los servicios que son necesarios para que mi red funcione. La parte de protection profile la ejecuto de WEB hacia arriba.. depende de lo que use... puede ser una sola politica con FSAE, para los distintos grupos de mi AD.

o creo politicas exactas con servicios web pero en cambio en cada una source Address agregando grupos de IP... y asociando a distintos profile...

Espero me entiendan.... De verdad se que el ejecuta top-down. pero no me explico el funcionamiento en mi caso, al parecer es al contrario....OJO: en WAN1 no tengo nada...mi Gateway en Wan 2 para toda mi red. y wlan esta desactivada.....

[gabyrossi]

Hola, si es de arriba hacia abajo, si no entra en horario no laboral, continua con la que sigue, si no es almuerzo continua con la que sigue, asi etc etc.
lo mismo para los protocolos, si no es servicio basico, contiuna con la siguiente(antes si no fue algun horario de los scheduleados ni servicio mail).
Luego la politica 26 que como no tienen ni filros de soruce ni destino, ni horario ni filtro se servicios, llegan a esa y por ahi sale todo lo que no entro en las politicas anteriores.

por eso nunca se ejecuta la politica 34 (deny).
saludos

[jsaavedra]

Ok, Gaby, fijate... segun he visto en varios equipos por defecto traen una politica implicit... DENY.. ahora lo recomendable es comenzar con Deny , ir abriendo o filtrando en base a la necesidades de la plataforma.....

Que me aconsejas, o cual es tu mejor practica....

[gabyrossi]

Hola, en versiones 4.0 de firmware aparece esa politica implicita denegando todo.

no, si denegas toso desde el principio no seguira con el resto.

como venis esta esta bien, pero tene en cuentas las cosas que te dije en el post anterior..
ira chequeando el source, destino,scheduled,servicios... dependiendo de eso ira bajando de politica o entrara en la que si cumpla esos requisitos.

saludos