Fortigate Firewall – Basis Konfiguration

Initiale Konfiguration einer Fortigate Firewall

Die Fortigate kommt zwar Stand heute mit einer vorkonfigurierten Default IP (192.168.1.99/24) an „Port 1“ daher, manchmal macht es aber Sinn, dass man vor dem Anschließen im Netz, die Grundkonfiguration des internen Interfaces vornimmt. In unserem Beispiel wollen wir das System an ein Kundennetz anschließen und bekamen die Information, dass wir für das interne Interface die IP 10.1.1.1/24 konfigurieren sollen und alle Ports einzeln konfigurierbar sein sollen.

Die folgende Steps realiseren das in wenigen Minuten…

  • Eine Verbindung entweder via Consolenkabel / Adapter oder über den USB Management Port herstellen.

  • SSH aufrufen und mit dem Benutzernamen „admin“ und ohne Passwort anmelden… (default, bei allen Fortigate Systemen)
  • DHCP Server deaktivieren, denn es wäre schlecht, wenn der im Kundennetz IP’s verteilt, außerdem verhindern seine Referenzierungen die weiteren Schritte…

  • Alle Policies löschen, nur um auf Nummer sicher zu gehen, dass erstmal GAR NICHTS geht und auch hier alle Referenzierungen gelöscht werden…

  • Den Software „Switch“ löschen (früher „Switch-Mode“), um alle Interfaces einzeln konfigurieren zu können…

Prüfe, ob das erfolgreich war…

ACHTUNG! Bis einschl. Firmware 5.2…

  • Interface für internen Zugriff konfigurieren, um die Kundenanforderungen zu matchen…

Jetzt das Interface der Wahl raussuchen (hier „internal1“)

Ab hier ist die Konfiguration via Web GUI über https://10.1.1.1 oder aber via SSH auf die 10.1.1.1 möglich. Das System tut zunächst nichts Unerwartetes und man kann mit dem Customizing beginnen. Das passiert im Regelfall dann direkt im Kunden-Netz und der erste Schritt ist selbstverständlich die Vergabe eines komplexen Passwortes für DEN „admin“ Account, den man im Übrigen nie löscht, sondern zusätzlich auf sog. „Trusted Hosts“ einschränkt. Dieser Account wird im Prinzip nie wieder verwendet. Alle Administratoren haben dedizierte Admin Accounts, die idealerweise noch mit einer 2-Faktor Authentifizierung geschützt sind, bspw. einem „FortiToken Mobile“… Im Übrigen sind für genau diesen Zweck – nach meinem Wissen min. ab der 100er Serie – immer zwei FortiToken Mobile inclusive und an Bord…

Tip zu den Admin Rollen:
Super-Admins –> können alle VDOMs eines Systems managen
Admins –> können nur die VDOM managen, in welcher Sie angelegt sind

Insofern gibt es bei „Single VDOM Systemen“ keinen Unterschied bei den Berechtigungen der beiden Rollen…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.