Fortigate firewall-regels

Te vaak kom ik Fortigate firewalls tegen waar men de volledige Premium-licentie heeft afgenomen, zonder policies in te stellen die deze features ook daadwerkelijk gaan gebruiken. Bij deze een korte opsomming van de instellingen die te vaak vergeten worden:

  • Van intern (de gebruikers) naar het Internet blokkeren:
    Destination = Internet Service Botnet-C&C.Server
    Destination = Internet Service Phishing-Phishing.Server
    Destination = Internet Service Spam-Spamming.Server
  • Maak een lijstje met de landen waar je geen verkeer van wilt ontvangen. Bijvoorbeeld Rusland en China. Maak hier Address-objecten van (type Geolocation). Nu alle verkeer van je gebruikers naar deze landen blokkeren. Handig om deze landen in een groep te zetten om de lijst policies leesbaar te houden.
  • Als je verkeer vanaf het Internet naar intern toestaat, ongeacht of dit gerouteerd of middels VIPs gebeurt, vergeet dan niet de geoblock-regels op die verkeersstromen toe te passen..
  • Maak een DNS Filter Profile aan met de gewenste instellingen. Zet op z’n minst aan: “Redirect botnet C&C requests to Block Portal” en “Allow DNS requests when a rating error occurs”. Pas deze toe op elke firewall-regel die DNS verzoeken kan toestaan. (Of gewoon op elke firewall-regel)
  • Het kan handig zijn om de Fortigate zelf DHCP en DNS server te laten spelen. In dat geval kun je de zojuist gemaakte DNS Filter Profile op deze DNS listener instellen.

Ben ik nog een belangrijke instelling vergeten? Let me know in the comments..

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *