FortiGate Hardening

Versiones

1.0 Documento Incial Jose Luis Laguna Merino

2.0 DoS, IPS, Servicios Rodrigo H. Vázquez Cañás
Administrativos,
Correcciones varias
2.1 Revisión Marcelo Mayorga
2.2 Agregado Revision History Rodrigo H. Vázquez Cañás
 ÍNDICE

FORTIGATE HARDENING....................................................................................................1
1. OBJETO.............................................................................................................................5
2. ALCANCE.........................................................................................................................5
3. GENERAL.........................................................................................................................5
4. DESARROLLO.................................................................................................................5
4.1 ACTUALIZACIÓN FIRMWARE...........................................................................5
4.2 NOMBRE DEL DISPOSITIVO...............................................................................5
4.3 INVENTARIO DE EQUIPOS.................................................................................5
4.4 REGISTRO EN WEB DE SOPORTE.....................................................................6
4.5 MONITORIZACION LOGS...................................................................................6
4.6 INFORMES...............................................................................................................6
4.7 GUÍA DE SEGURIDAD...........................................................................................6
4.7.1 Configuración de mensajes de advertencia.........................................6
4.7.1.1 Objetivo.............................................................................................6
4.7.1.2 Beneficios de seguridad....................................................................6
4.7.1.3 Guía..................................................................................................7
4.7.2 Política de contraseñas locales para Administradores ensobrados..7
4.7.2.1 Objetivo.............................................................................................7
4.7.2.2 Beneficios de seguridad....................................................................7
4.7.2.3 Guía..................................................................................................7
4.7.3 Configuración de Administradores.......................................................8
4.7.3.1 Objetivo.............................................................................................8
4.7.3.2 Beneficios de seguridad....................................................................8
4.7.3.3 Guía..................................................................................................8
4.7.4 Configuración OTP para Administradores diarios...............................8
4.7.4.1 Objetivo.............................................................................................8
4.7.4.2 Beneficios de seguridad....................................................................8
4.7.4.3 Guía..................................................................................................8
4.7.5 Cerrar los interfaces no utilizados........................................................9
4.7.5.1 Objetivo.............................................................................................9
4.7.5.2 Beneficios de seguridad....................................................................9
4.7.5.3 Guía..................................................................................................9
4.7.6 Descripción de los interfaces utilizados...............................................9
4.7.6.1 Objetivo.............................................................................................9
4.7.6.2 Beneficios de seguridad....................................................................9
4.7.6.3 Guía..................................................................................................9
4.7.7 Limitar el acceso administrativo a cada interfaz................................10
4.7.7.1 Objetivo...........................................................................................10
4.7.7.2 Beneficios de seguridad..................................................................10
4.7.7.3 Guía................................................................................................10
4.7.8 Limitar el tiempo de inactividad..........................................................10
4.7.8.1 Objetivo...........................................................................................10
4.7.8.2 Beneficios de seguridad..................................................................10
4.7.8.3 Guía................................................................................................11
4.7.9 Deshabilitar la auto instalación a través de USB...............................11
4.7.9.1 Objetivo...........................................................................................11
4.7.9.2 Beneficios de seguridad..................................................................11
4.7.9.3 Guía................................................................................................11
4.7.10 Sincronización automática del reloj....................................................11
 4.7.10.1 Objetivo...........................................................................................11
4.7.10.2 Beneficios de seguridad..................................................................11
4.7.10.3 Guía................................................................................................12
4.7.11 Configurar acceso SSH y HTTPS........................................................12
4.7.11.1 Objetivo...........................................................................................12
4.7.11.2 Beneficios de seguridad..................................................................12
4.7.11.3 Guía................................................................................................12
4.7.12 Configurar WEBFILTER.......................................................................13
4.7.12.1 Objetivo...........................................................................................13
4.7.12.2 Beneficios de seguridad..................................................................13
4.7.12.3 Guía................................................................................................13
4.7.13 Configurar actualizaciones antivirus..................................................13
4.7.13.1 Objetivo...........................................................................................13
4.7.13.2 Beneficios de seguridad..................................................................13
4.7.13.3 Guía................................................................................................13
4.7.14 Configurar autenticación RADIUS.......................................................14
4.7.14.1 Objetivo...........................................................................................14
4.7.14.2 Beneficios de seguridad..................................................................14
4.7.14.3 Guía................................................................................................14
4.7.15 Configurar Logs en reglas...................................................................15
4.7.15.1 Objetivo...........................................................................................15
4.7.15.2 Beneficios de seguridad..................................................................15
4.7.15.3 Guía................................................................................................15
4.8 DIAGRAMA TOPOLOGÍA..................................................................................16
4.9 REGISTRO DE CONTROL DE CAMBIOS........................................................16
4.10 REGLAS DE SEGURIDAD...................................................................................16
4.11 REGLAS PROTECION PARA DOS....................................................................17
4.11.1.1 Objetivo...........................................................................................17
4.11.1.2 Beneficios........................................................................................17
4.11.1.3 Guía................................................................................................17
4.12 ENRUTAMIENTO IP............................................................................................18
5. REVISION HISTORY....................................................................................................18
6. REGISTROS (MINIMOS SUGERIDOS).....................................................................20
7. ANEXOS..........................................................................................................................20
1. OBJETO

El objeto de esta instrucción es establecer las normas de obligado cumplimiento para

la correcta instalación de los firewalls FortiGate de la forma más segura.

2. ALCANCE

Esta instrucción es de aplicación para la instalación y gestión de firewalls FortiGate del

fabricante Fortinet. Por tanto, el acceso al presente documento está restringido a dicho
personal.

3. GENERAL

El seguimiento de una serie de recomendaciones de seguridad a la hora de instalar un

nuevo firewall, garantizará que se instale de forma homogénea al resto de equipos
similares y garantizará la seguridad de la red.

4. DESARROLLO

4.1 ACTUALIZACIÓN FIRMWARE

En el momento de la instalación de un firewall nuevo, es necesario actualizar el

firmware a la última versión proporcionada por el fabricante.

4.2 NOMBRE DEL DISPOSITIVO

Es necesario modificar el nombre del dispositivo, de modo que éste quede

perfectamente identificado. Se colocará también una pegatina con el nombre en el
equipo. Por último, será necesario introducir una entrada en el DNS con el nombre del
equipo y la dirección IP del mismo.

4.3 INVENTARIO DE EQUIPOS

Tras la instalación de un nuevo firewall, se deberá rellenar en un fichero de inventario,
la siguiente información: Ubicación, marca, modelo, nombre dispositivo, número de
serie, IP de gestión, versión del sistema operativo (build), puertos totales, puertos
activos, configuración alta disponibilidad, registro en soporte y registro en Fortianalyzer
(si procede).

4.4 REGISTRO EN WEB DE SOPORTE

Para la activación de servicios y la cobertura de garantía del dispositivo, es necesario

registrar el número de serie del equipo en la web del fabricante. Esta labor se realizará
siempre con la misma cuenta, de modo que haya una gestión centralizada.

4.5 MONITORIZACION LOGS

Se deberá configurar el equipo para que registre los logs en el dispositivo

Fortianalyzer. Para que la comunicación entre el nuevo dispositivo y el Fortianalyzer
sea posible, habrá que permitir el tráfico en todos los firewalls intermedios que puedan
existir, por los que pasen los paquetes (puerto Syslog = UDP 514)

4.6 INFORMES

Para cada firewall nuevo o existente que se instale, se deberá generar un informe que
recoja el nombre del dispositivo, el número de serie, la fecha de instalación, el nombre
del técnico que realizó la instalación, la dirección IP y una checklist de los puntos que
se han seguido de la instrucción contenida en este documento.

4.7 GUÍA de Seguridad

4.7.1 Configuración de mensajes de advertencia

4.7.1.1 Objetivo

Introducir banners que informen a los usuarios no autorizados que no deben

conectarse a estos equipos.

4.7.1.2Beneficios de seguridad

Desde un punto de vista jurídico, es necesario introducir estos mensajes disuasorios.

 4.7.1.3 Guía

Los comandos de creación de mensajes de advertencia o información se utilizan en

modo de configuración global (config global).

config system replacemsg admin "admin-disclaimer-text"

set buffer "ATENCION: Acceso restringido a
personal autorizado.

Este equipo, incluidos los dispositivos relacionados

con el mismo, es propiedad de XXXXX

Toda actividad esta siendo monitorizada y cualquier

evidencia de uso no autorizado podra ser utilizada
como prueba en la imputacion de un delito.
"

4.7.2 Política de contraseñas locales para Administradores ensobrados

4.7.2.1Objetivo

Establecer una password robusta.

4.7.2.2
Beneficios de seguridad

Las contraseñas representan la primera defensa contra los accesos no permitidos al

equipo.

4.7.2.3 Guía

Los comandos de creación de una política de contraseñas se utilizan en modo de

configuración global. (config global)

config system password-policy

set status enable
set apply-to admin-password
set minimum-length 8
set must-contain upper-case-letter lower-case-
letter number
set change-4-characters disable
set expire 0
end
 4.7.3 Configuración de Administradores

4.7.3.1Objetivo

Establecer la contraseña del usuario admin y delimitar las redes de origen desde las
que se puede acceder a la administración del equipo.

4.7.3.2
Beneficios de seguridad

Impedir el acceso a la gestión desde redes ajenas a TR o desde internet.

Las contraseñas representan la primera defensa contra los accesos no permitidos al

equipo.

4.7.3.3 Guía

Los comandos se ejecutan en modo de configuración global. (config global)

config system admin

edit "admin"
set trusthost1 172.16.0.0 255.240.0.0
set trusthost2 172.16.0.0 255.240.0.0
set trusthost3 172.16.0.0 255.240.0.0
set password XXXX
next
end

Las contraseñas establecidas serán debidamente custodiadas.

4.7.4 Configuración OTP para Administradores diarios

4.7.4.1Objetivo

Establecer Passwords de uso única para los administradores.

4.7.4.2
Beneficios de seguridad

Impedir el robo de passwords.

4.7.4.3 Guía

Los comandos se ejecutan en modo de configuración global. (config global)

config system admin

edit "admin"
set two-factor fotitoken
 set fortitoken SeriaNumber
next
end

4.7.5 Cerrar los interfaces no utilizados

4.7.5.1Objetivo

Deshabilitar las interfaces no utilizadas en el firewall.

4.7.5.2
Beneficios de seguridad

Minimizar los riesgos de exposición a ataques en interfaces que no se utilizan. Así

como problemas derivados de errores al conectar los cables a los puertos del equipo.

4.7.5.3 Guía

Ejecutar el comando “set status down” en modo de configuración global en el interfaz

en cuestión, por ejemplo para el interfaz port3:

Config global
config system interface

edit "port3"
set status down
next

4.7.6 Descripción de los interfaces utilizados

4.7.6.1Objetivo

Introducir una etiqueta que identifique el uso para el que está destinado el interface.

4.7.6.2
Beneficios de seguridad

Minimizar los riesgos de error en la configuración, modificaciones, etc.

4.7.6.3 Guía

Ejecutar el comando “set alias” en modo de configuración global en el interfaz en

cuestión, por ejemplo para identificar que el interfaz port3 es el de acceso a internet:
 Config global
config system interface

edit "port3"
set alias “Internet”
next

4.7.7 Limitar el acceso administrativo a cada interfaz

4.7.7.1Objetivo

Limitar el tipo de acceso administrativo por interfaz

4.7.7.2
Beneficios de seguridad

Minimizar los riesgos producto de accesos administrativos mal configurados.

4.7.7.3 Guía

Permitir accesos sólo a las interfaces administrativas. Será deseable

configurar sólo protocolos cifrados como SSH y HTTPs, tal y como se
describe más adelante:

config system interface

edit "port1"
set vdom "root"
set ip XXXX YYYY
set allowaccess ssh
set type physical
set alias "Internet"
next

4.7.8 Limitar el tiempo de inactividad

4.7.8.1Objetivo

Establecer el tiempo máximo de inactividad en 10 minutos.

4.7.8.2
Beneficios de seguridad

Limitando el tiempo en el que una sesión SSH o HTTPS permanece inactiva, evita el
acceso por parte de usuarios no autorizados a una terminal que permanezca abierta.
 4.7.8.3 Guía

Ejecutar los siguientes comandos en modo de configuración global (Config

global):

config system Global

set admintimeout 10

4.7.9 Deshabilitar la auto instalación a través de USB

4.7.9.1Objetivo

Evitar que el equipo tome una configuración o instale un nuevo firmware a partir de un
fichero que resida en una llave USB que se conecte al dispositivo.

4.7.9.2
Beneficios de seguridad

Un atacante con acceso físico al dispositivo, podría cargar una nueva configuración o
firmware en el equipo a través del puerto USB, reiniciando el dispositivo a través de un
corte de alimentación eléctrica.

4.7.9.3 Guía

Ejecutar los siguientes comandos en modo de configuración global (Config

global):

config system auto-install

set auto-install-config disable
set auto-install-image disable
end

4.7.10 Sincronización automática del reloj

4.7.10.1Objetivo

Mantener el reloj del equipo sincronizado con el del resto de equipos de la

organización (como equipos de log, de autenticación, etc).
 4.7.10.2Beneficios de seguridad

Posibilitar trabajos de auditoría forense y consistencia en fechas de caducidad usadas

en expiración de certificados y protocolos de seguridad.

4.7.10.3 Guía

En modo configuración Global (Config Global), ejecutar:

config system ntp

config ntpserver
edit 1
set server "X.X.X.X"
next
end
set ntpsync enable
set syncinterval 60
end

4.7.11 Configurar acceso SSH y HTTPS

4.7.11.1Objetivo

Acceder a la gestión de los equipos a través de SSH (Secure Shell) y HTTPS,

desactivando el acceso Telnet y HTTP.

4.7.11.2Beneficios de seguridad

Una sesión Telnet o http no cifra la comunicación, siendo posible que un atacante
capture las password de acceso a la sesión. El protocolo SSH o HTTPS cifra la
comunicación, impidiendo la captura de la password.

4.7.11.3 Guía

Solo se debe habilitar HTTPS y SSH en el interfaz de gestión, en el resto de

interfaces, no debe estar permitido ningún acceso.

En modo configuración Global (Config Global), ejecutar:

Para el interfaz de gestión:

config system interface

edit "nombre-interfaz-gestión"
set allowaccess ping https ssh
next
 Para el resto de interfaces, deshabilitar los accesos administrativos:

config system interface

edit "nombre-interfaz"
set allowaccess ping

next

4.7.12 Configurar WEBFILTER

4.7.12.1
Objetivo

Configurar el servicio Webfilter para poder aplicarlo posteriormente en las reglas de

seguridad.

4.7.12.2
Beneficios de seguridad

Evitar que los usuarios accedan a páginas inseguras, donde sus equipos pueden
verse infectados con malware.

4.7.12.3Guía

En modo configuración Global (Config Global), ejecutar:

config system fortiguard

set port 53
set webfilter-status enable
set webfilter-cache enable
set webfilter-cache-ttl 3600
set webfilter-timeout 15
end

4.7.13 Configurar actualizaciones antivirus

4.7.13.1Objetivo

Mantener las firmas de antivirus actualizadas.

4.7.13.2Beneficios de seguridad

Reconocer los últimos virus que el motor antivirus del equipo es capaz de detectar.
 4.7.13.3 Guía

En modo configuración Global (Config Global), ejecutar:

config system autoupdate push-update

set address 0.0.0.0
set override disable
set port 9443
set status enable
end
config system autoupdate schedule
set frequency every
set status enable
set time 02:60
end

4.7.14 Configurar autenticación RADIUS

4.7.14.1Objetivo

Centralizar la autenticación de los administradores de los equipos FortigateFortiGate.

4.7.14.2Beneficios de seguridad

Al utilizar cada administrador su propio usuario, será posible tener trazabilidad de los
cambios realizados por cada uno de ellos. Al mismo tiempo, se aprovecha la
caducidad de contraseña del sistema de autenticación externo, de modo que se
aumenta la seguridad para los accesos administrativos.

4.7.14.3 Guía

Será necesario configurar los servidores RADIUS de la compañía para que acepten
solicitudes de cada equipo FortiGate que se configure con este mecanismo de
autenticación. Además será necesario establecer una contraseña (secreto compartido)
en la conexión entre el equipo FortiGate y el servidor RADIUS.

Tras la configuración de los servidores RADIUS, será necesario ejecutar los siguientes
comandos en el equipo FortiGate, Los comandos se ejecutarán en el VDOM de
gestión en caso de que esté activada la característica VDOM:

config user radius

edit "RADIUS"
set auth-type ms_chap_v2 (en caso de usar AD)
set secret (secreto compartido configurado en
el servidor Radius)
set server "X.X.X.X"
 set secondary-secret (secreto compartido
configurado en el servidor Radius)
set secondary-server "Y.Y.Y.Y"
next
end

config user group

edit "Radius-access”
set member "RADIUS"
next
end

Para cada usuario administrador, ejecutar en modo global (config

global):

config system admin

edit "[Identificador_usuario_administrador]"
set remote-auth enable
set trusthost1 172.16.0.0 255.240.0.0
set trusthost2 172.16.0.0 255.240.0.0
set trusthost3 172.16.0.0 255.240.0.0
set accprofile "super_admin"
set remote-group "Radius-access"
set password ENC xxxxxx
next

4.7.15 Configurar Logs en reglas

4.7.15.1Objetivo
Habilitar los logs en las reglas de seguridad de los firewalls para tener constancia en
los sistemas de análisis de logs.

Deben habilitarse en las reglas añadidas, así como en la regla implícita que deniega
todo el tráfico en el firewall de forma predeterminada.

Dependiendo de las reglas y o normas que alcancen a la compañía debe determinarse

si fuera necesario activar los logs para tráfico “aceptado”. En algunos casos esto es
mandatorio, pero donde no lo fuese es conveniente evitarlo para ahorrar en recursos.

4.7.15.2Beneficios de seguridad
Obtener información acerca del tráfico para poder analizarlo en los sistemas de
gestión de LOGS.

4.7.15.3 Guía
Para la regla implícita: ejecutar los comandos:
 config global
config system global
set fwpolicy-implicit-log enable
Para el resto de reglas: teclear el siguiente comando en la configuración de la regla:

set logtraffic enable

En el caso de que la regla tenga configurados perfiles UTM (filtrado web, control de
aplicaciones, antivirus…), será necesario marcar la opción de log en el momento de la
creación de los perfiles UTM.

4.8 DIAGRAMA TOPOLOGÍA

Tras finalizar la instalación del firewall, es necesario documentar de forma gráfica,

mediante un diagrama, la topología en la que se conecta con internet, otros equipos de
comunicaciones y la red corporativa, identificando los puertos por los que se conecta,
así como las direcciones IP. Estos diagramas han de ser modificados cada vez que se
produzca un cambio en la configuración del equipo que así lo requiera. Estos
documentos son muy útiles también para la ayuda de resolución de problemas.

4.9 REGISTRO DE CONTROL DE CAMBIOS

Con el objetivo de poder tener trazabilidad de los cambios realizados en la

configuración de los firewalls FortiGate de la Compañía, se deberá documentar cada
modificación que se realice en los equipos FortiGate que estén en producción.

4.10 REGLAS DE SEGURIDAD

A la hora de establecer las reglas de seguridad del firewall, se han de especificar

concretamente los protocolos/puertos permitidos, interfaces de entrada y salida y las
direcciones IP de origen y destino; evitando en la medida de lo posible especificar
“any” como dirección IP de origen o destino y/o como protocolo/puerto permitido y/o
interface de entrada o salida.

Igualmente, en las reglas de salida a internet, se permitirán las mínimas necesarias

para el correcto funcionamiento de la red.

También para las reglas de salida a internet, se recomienda activar el escaneo

antivirus e impedir el uso de programas no permitidos. Esto es posible gracias a la
creación de un perfil de “control de aplicaciones” en el que se debiera denegar, como
mínimo, las siguientes aplicaciones, que suponen normalmente un riesgo para la
seguridad:

Categoría Aplicación
P2P ALL
Proxy ALL
Game ALL
Remote-Access ALL

4.11 REGLAS PROTECION PARA DoS

4.11.1.1Objetivo

Prevenir ataques de DoS al Firewall.

4.11.1.2Beneficios

Mantener un nivel de servicio adecuado, minimizando el impacto de ataques contra la

disponibilidad de los servicios.

4.11.1.3 Guía

Crear Reglas de protección DoS, una por cada protocolo desde Internet y por
destino:
config firewall DoS-policy edit "udp_flood"
edit 1 set status enable
set interface "port1" set log enable
set srcaddr "all" set action block
set dstaddr "all" set threshold 2000
set service "HTTP" next
config anomaly edit "udp_scan"
edit "tcp_syn_flood" set status enable
set status enable set log enable
set log enable set action block
set action block set threshold 2000
set threshold 2000 next
next edit "udp_src_session"
edit "tcp_port_scan" set status enable
set status enable set log enable
set log enable set threshold 5000
set action block next
set threshold 1000 edit "udp_dst_session"
next set status enable
edit "tcp_src_session" set log enable
set status enable set action block
set log enable set threshold 5000
set action block next
set threshold 5000 edit "icmp_flood"
next set status enable
edit "tcp_dst_session" set log enable
set status enable set action block
set log enable set threshold 250
set action block next
set threshold 5000 edit "icmp_sweep"
next set status enable
 set log enable
set action block
set threshold 100
next
edit "icmp_src_session"
set status enable
set log enable
set action block
set threshold 300
next
edit "icmp_dst_session"
set status enable
set log enable
set action block
set threshold 1000
next
edit "ip_src_session"
set status enable
set log enable
set action block
set threshold 5000
next
edit "ip_dst_session"
set status enable
set log enable
set action block
set threshold 5000 end
next
edit "sctp_flood"
set status enable
set log enable
set action block
set threshold 2000
next
edit "sctp_scan"
set status enable
set log enable
set action block
set threshold 1000
next
edit "sctp_src_session"
set status enable
set log enable
set action block
set threshold 5000
next
edit "sctp_dst_session"
set status enable
set log enable
set action block
set threshold 5000
next
end
next

Consideraciones:

Es necesario realizar un backup de la configuración previo a cualquier cambio

importante en la misma, de modo que ante un problema, se pueda retroceder a la
configuración anterior. Los equipos FortiGate almacenan directamente en la NVRAM
cualquier cambio que se realice en la configuración, sin necesidad de guardar dicho
cambio, como ocurre en otros equipos.

Igualmente es necesario guardar un backup de la configuración cada vez que se

realice un cambio en la misma, pues ante la avería de un equipo será posible
recuperar la misma configuración que tenía el equipo antes de averiarse. El backup
que se realiza al finalizar una configuración, evitará la necesidad de hacer un backup
previo a la siguiente modificación, pues se podrá volver a una versión anterior de la
configuración utilizando el último fichero de backup.

Es por tanto necesario que ante la instalación de un nuevo firewall, se realice un

backup de la configuración al finalizar ésta.

En últimas versiones del sistema operativo FortiOS, el equipo FortiGate realiza de

forma automática backups de configuración que se almacenan en el propio dispositivo.
(Revision History). Si bien esta medida puede servir en muchos casos, en el caso de
avería de la máquina se perderían estas copias de seguridad, por lo que la
recomendación de almacenar las copias en un lugar externo evitará esta
vulnerabilidad.
 4.12 ENRUTAMIENTO IP

Todos los firewalls FortiGate de la Compañía deberán tener una ruta para localizar
todos los servicios corporativos a través de la línea de comunicaciones por la que
acceda a la red corporativa.

5. REVISION HISTORY

Fortigate tiene incorporado un completo sistema de seguimiento y registro de

cambios denominado Revision History. Este registro puede ser accedido
desde: System (Tab) > Dashboard > Status > System Information (Widget)
> System Configurations > Revisions

Con esta opción puede fácilmente revisar cambios y eventualmente volver a

una versión anterior.
Más información puede ser encontrada en:
http://help.fortinet.com/fos50hlp/50/index.html#page/FortiOS
%25205.0%2520Handbook/basic_setup.020.65.html

6. REGISTROS (MINIMOS SUGERIDOS)

PERIODO
REGISTRO RESPONSABLE LUGAR ARCHIVO
CONSERVACIÓN

Informe Mientras el equipo

Procedimiento Técnico se encuentre en la
Operativo de Responsable XXXXXXX Compañía
Seguridad Instalación Instalación
de firewall

Mientras el equipo
Técnico se encuentre en la
Diagrama Topología
Responsable XXXXXXX Compañía
Firewall
Instalación

Mientras el equipo
Técnico se encuentre en la
Inventario Firewalls Responsable XXXXXXX Compañía
Instalación

7. ANEXOS
A - Checklist para la instalación de firewall

Nombre dispositivo:    
Dirección IP:    
Nº Serie:    
Fecha:    

Acciones Instalado No instalado Observaciones

Instalación
Actualizar firmware      
Configurar Fecha, hora y Zona
Configurar Direcciones IP
Default Gateway
Establecer nombre máquina
Pegatina con nombre máquina
Registros
Activar Logs en regla implícita
Activar Logs en reglas añadidas
Backup de la configuración
Descripción en los Interfaces
Configurar Fortianalyzer
Accesos
Mensajes de advertencia      
Configurar User Admin Alternativo
Configurar trusted hosts
Password Admin      
Política de contraseñas locales      
Cerrar los interfaces no utilizados.      
Configurar acceso SSH y HTTPS      
Limitar Protocolos Administrativos
Limitar el tiempo de inactividad.      
Habilitar RADIUS
RADIUS en servidores Windows
Varios
Deshabilitar auto instalación USB.      
Sincronización automática del reloj      
Configurar WebFilter      
Configurar actualizaciones antivirus      
Configurar autenticación RADIUS
Rutas adicionales
Tareas Administrativas
Alta en DNS
Registro en soporte
Registro en inventario
Diagrama del Firewall