Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 14-05

    Cargado por

    Mijail Montes de Oca Castro
    11 vistas42 páginas
    PPT_14-05

    Título original

    PPT_14-05

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    PPT_14-05

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    11 vistas42 páginas

    14-05

    Cargado por

    Mijail Montes de Oca Castro
    PPT_14-05

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 42

    1.

    WLLB / SD-WAN
    2. Integración con AD / Security
    Fabric y Conectores SDN
    3. VPN Site-to-Site / VPN IPSec
    4. VPN Client-to-Site / VPN SSL
    5. FortiAnalyzer
    WLLB / SD-WAN
    WAN link load balancing (WLLB) Software defined WAN (SD-WAN)
    • Network / WAN LLB • Network / SD-WAN
    WAN link load balancing (WLLB) Software defined WAN (SD-WAN)
    • Network / WAN Status Check • Network / SD-WAN Status Check
    WAN link load balancing (WLLB) Software defined WAN (SD-WAN)
    • Network / WAN LLB Rules • Network / SD-WAN Rules

    *Para iniciar esta configuración, se requiere que las interfaces que serán parte no estén siendo usadas y se
    cree una ruta estática para las interfaces externas:

    *Todas las políticas de salida a Internet deben usar la nueva interfaz WAN balanceada.
    SD-WAN en FOS 6.X

    (Ver en: https://www.magellan-net.de/images/downloads/Vortraege/Fortinet_SecureSDWAN_FERNAOconnect2018.pdf)


    (Ver:
    https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/19246/sd-wan
    https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/716691/wan-path-control)
    Ref. para implementaciones:
    https://cookbook.fortinet.com/redundant-internet-sd-wan-56/
    Integración con AD / Security
    Fabric y Conectores SDN
    Integración con AD
    Se requiere:
    • Un usuario con perfil de administrador
    del dominio y de equipos del dominio.
    • IP privada de su servidor AD.
    • Nombre del dominio.
    • Con agente FSSO instalado en AD del cliente
    • Sin Agente instalado en AD del cliente
    Security Fabric y SDN Connectors o Fabric
    Connectors (desde FOS 5.6.X)
    Security Fabric SDN Connectors o Fabric Connectors
    • En 5.6.X • En 5.6.X
    System / SDN Connectors

    • En 6.X
    • En 6.X
    Security Fabric / Fabric Connectors
    Instalación del Agente en el AD del cliente
    Grupos de usuarios y políticas
    Luego de estas configuraciones, deben crearse los grupos de usuarios y
    sus políticas:
    • User & Device / User Groups
    • Policy & Objects / IPv4 Policy
    Ref. para implementaciones:
    https://cookbook.fortinet.com/fsso-polling-mode/
    https://cookbook.fortinet.com/providing-single-sign-using-ldap-fsso-agent-
    advanced-mode-expert/
    VPN IPSec / VPN SSL
    VPN Site-to-Site (Static IP y Dial Up)
    VPN Client-to-Site
    VPN hacia nubes públicas
    VPN IPSec / VPN SSL

    VPN IPSec VPN SSL


    • Usa Internet Protocol Security • Usa Secure Sockets Layer (SSL)
    (IPSec) para proteger (por para proteger (por encriptación)
    autenticación y encriptación) las las conexiones VPN.
    conexiones VPN. • Se configuran para:
    • Se configuran para: -VPN Client-to-Site
    -VPN Site-to-Site (Static IP y Dial
    Up)
    -VPN Client-to-Site
    VPN Site-to-Site
    • Usando IPSec Wizard • Usando IPSec Wizard / Custom
    Solo hacia un FG o Cisco remoto: Hacia equipos de diversas marcas
    compatibles. Pueden crearse de
    dos tipos:
    -Static IP
    -Dialup User
    *Enviar al cliente el formato
    (Ver ejm. para dos FG’s en:
    https://cookbook.fortinet.com/site-site-ipsec-vpn-two-fortigates-56)
    respectivo.
    VPN Site-to-Site
    Static IP Dialup User
    Phase 1 Proposal, XAuth y Phase 2 Selectors
    Phase 1 Proposal y XAuth Phase 2 Selectors

    *Configurar con la información que se


    recopiló en el formato.
    VPN Site-to-Site hacia otro FG remoto (Static IP)
    VPN Site-to-Site hacia un WG remoto (Static IP)
    VPN Site-to-Site hacia un Sophos remoto (Static IP)
    Ruta Estática hacia redes remotas y
    políticas bidireccionales
    Luego de estas configuraciones, deben crearse las rutas estáticas hacia las
    redes remotas y políticas bidireccionales desde / hacia las mismas por la
    interfaz VPN.
    VPN Site-to-Site hacia otro FG remoto (Dialup User)

    *Se crearon rutas estáticas a las redes


    remotas por la interfaz VPN.
    *En el lado remoto se configura como
    Static IP.
    VPN Site-to-Site hacia servidor Linux (Dialup User)
    Políticas bidireccionales hacia redes
    remotas
    Luego de estas configuraciones, deben crearse las políticas
    bidireccionales desde / hacia las redes remotas por la interfaz VPN.
    VPN Client-to-Site
    • Usando IPSec Wizard
    Para este acceso se usará el
    FortiClient:

    (Ver ejm. en: https://cookbook.fortinet.com/ipsec-vpn-


    with-forticlient-56)
    • Usando VPN-SSL
    Grupos con diferentes accesos
    Políticas hacia redes internas
    Luego de estas configuraciones, deben crearse las políticas hacia las
    redes internas con origen la interfaz VPN-SSL.
    VPN hacia nubes públicas
    • Hacia servicios Azure • Hacia servicios Oracle
    Ver ejm. de configuración en: Ver ejm. de configuración en:
    https://cookbook.fortinet.com/ipsec- https://docs.cloud.oracle.com/iaas/Con
    vpn-microsoft-azure-54/ tent/Network/Reference/fortigateCPE.h
    tm

    • Hacia servicios Google Cloud


    Ver ejm. de configuración en:
    https://bamcisnetworks.wordpress.c
    om/2017/02/14/google-cloud-
    platform-vpn-to-fortigate-using-bg
    FortiAnalyzer
    FortiAnalyzer Dedicado
    • Local • Remoto

    FortiAnalyzer Compartido
    • Remoto

    También podría gustarte