Firewall Cloud¶
Firewall Cloud Fortinet — Armazém Cloud¶
Esta seção apresenta a documentação técnica do Firewall Cloud Fortinet hospedado na Armazém Cloud, utilizado no ambiente da FÁCIL para controle de tráfego, publicações externas, NAT, rotas, ZTNA, VPNs e comunicação com a matriz, parceiros e redes remotas.
O objetivo é consolidar os componentes efetivamente encontrados no ambiente cloud, mantendo a documentação organizada, objetiva e de fácil consulta.
Firewall Cloud
Ambiente Armazém Cloud com solução Fortinet / FortiGate para controle, segurança, NAT, publicações, rotas, ZTNA e conectividade.
Especificações identificadas
| Informação | Detalhamento |
|---|---|
| Cliente | FÁCIL |
| Componente | Firewall Cloud |
| Ambiente | Armazém Cloud |
| Solução | Fortinet / FortiGate |
| Equipamento identificado na console | JLLE-FWCLOUD01 |
| VDOM identificado | FACIL |
| Endereço de administração observado | https://172.16.10.1/ |
| Escopo documentado | Objetos, NAT, IP Pools, Web Filter, políticas, ZTNA, rotas e VPNs |
| Função no ambiente | Proteção e controle de tráfego do ambiente hospedado na Armazém Cloud e integrações com matriz, parceiros e redes remotas |
Leitura técnica:
O Firewall Cloud está hospedado na Armazém Cloud e atua como componente central de segurança e conectividade do ambiente da FÁCIL, concentrando publicações externas, NAT, políticas entre redes, acesso remoto, ZTNA, rotas e túneis VPN.
Objetos de endereço principais
| Nome | Tipo | Endereço / Detalhe |
|---|---|---|
| FACIL | FQDN | vpn.facilresultado.com.br |
| FACIL AD DC | Subnet | 172.16.10.250/32 |
| FACIL AD LOCAL | Subnet | 10.150.100.4/32 |
| FACIL FW DC | Subnet | 172.16.10.1/32 |
| FACIL LAN MATRIZ | Subnet | 10.150.100.0/22 |
| FACIL VPN REMOTE | Subnet | 10.30.20.0/24 |
| FACIL WTS 2 | Subnet | 172.16.10.241/32 |
| FACIL WTSDC | Subnet | 172.16.10.240/32 |
| FACILDC-VPN_range | IP Range | 10.11.12.1 - 10.11.12.254 |
| LINK-LAN-FACIL address | Interface Subnet | 172.16.10.0/24 |
| LAN_NAT | Subnet | 10.71.10.0/24 |
| VPN_NAT | Subnet | 10.71.20.0/24 |
| REDE VPN | Subnet | 10.30.120.0/24 |
| SSL VPN | Subnet | 192.168.188.0/24 |
| SSLVPN TUNNEL ADDR1 | IP Range | 10.212.134.200 - 10.212.134.210 |
Leitura técnica:
Os objetos principais indicam a presença de redes internas, redes de VPN, faixas NAT, acesso remoto, servidores cloud e integração com a matriz da FÁCIL.
Objetos de parceiros e integrações
| Nome | Tipo | Endereço / Detalhe |
|---|---|---|
| AMBIENTAL DC | Subnet | 10.40.10.4/32 |
| COBMAIS | Subnet | 172.36.0.0/24 |
| CRMGESTAO | Subnet | 172.16.10.231/32 |
| DC STORAGE GRAVACOES | Subnet | 172.16.10.2/32 |
| EMS DC | Subnet | 160.223.171.232/32 |
| LAN REDE SERVICE | Subnet | 172.17.84.0/24 |
| OC08 | Subnet | 10.196.228.0/24 |
| OC11 | Subnet | 10.240.120.0/24 |
| ORVYX-BOT | Subnet | 4.228.59.149/32 |
| ORVYX-STAGE | Subnet | 200.98.201.70/32 |
| RAID BANCADA | Subnet | 192.168.63.0/24 |
| RAID UNIFIQUE | Subnet | 179.190.110.135/32 |
| REDESERVICE INT | Subnet | 10.10.1.55/32 |
| REDESERVICE CRMGESTAO | Device MAC Address | 00:50:56:01:24:d7 |
| REDESERVICE DSDISCADOR | Device MAC Address | 00:50:56:01:24:d2 |
| REDESERVICE PBX-AGENTE | Device MAC Address | 00:50:56:01:24:d8 |
Leitura técnica:
Foram identificados objetos relacionados a parceiros, serviços de CRM, gravações, OLOS, Ambiental, Rede Service, RAID e integrações específicas do ambiente.
IP Pools e redes NAT
| Nome | Faixa externa | Tipo | ARP Reply |
|---|---|---|---|
| NAT LAN | 10.71.10.1 - 10.71.10.254 |
One-to-One | Enabled |
| NAT VPN | 10.71.20.1 - 10.71.20.254 |
One-to-One | Enabled |
Leitura técnica:
Os IP Pools indicam uso de NAT dedicado para redes distintas, separando o tráfego de LAN e VPN. Essa separação facilita controle, rastreabilidade e integração entre ambientes.
Web Filter
| Perfil | Escopo | Descrição observada |
|---|---|---|
| x-default | Global | Default web filtering |
| g-wifi-default | Global | Default configuration for offloading WiFi traffic |
| PROXY EXCECOES | VDOM | Acesso somente à lista operacional + reuniões e mensagens instantâneas |
| PROXY LIBERADO | VDOM | Acesso liberado, exceto sites de violência e conteúdo adulto |
| PROXY OPERACAO | VDOM | Acesso somente à lista de sites do operacional |
| PROXY OPERACAOWTS | VDOM | Acesso somente à lista operacional dedicada ao WTS |
| PROXY VENDAS | VDOM | Lista operacional + reuniões, mensagens instantâneas e vendas |
Leitura técnica:
Os perfis indicam segmentação de navegação por finalidade, separando operação, WTS, vendas, exceções e tráfego Wi-Fi.
Virtual IPs e publicações externas
| Nome | Publicação externa | Destino interno | Finalidade observada |
|---|---|---|---|
| NAT ACESSO EXTERNO | 132.255.223.92:10443/TCP |
10.128.126.1:443 |
Acesso externo HTTPS |
| NAT_ZBX_STORAGE | 132.255.223.93:10050/TCP |
172.16.10.2:10050 |
Zabbix Storage |
| NAT RDP AD | 132.255.223.92:3389/TCP |
172.16.10.240:3389 |
Publicação RDP |
| NAT STORAGE | 132.255.223.93:1122/TCP |
172.16.10.2:1122 |
Publicação Storage |
| NAT_KRB_AD | 132.255.223.92:389/TCP |
172.16.10.250:389 |
LDAP |
| NAT ZBX AD | 132.255.223.93:10049/TCP |
172.16.10.250:10049 |
Zabbix AD |
| NAT ZBX WTSDC | 132.255.223.93:10048/TCP |
172.16.10.240:10048 |
Zabbix WTSDC |
| NAT FSSO AD TCP 8000 | 132.255.223.92:8000/TCP |
172.16.10.250:8000 |
FSSO AD |
| NAT FSSO AD TCP 8001 | 132.255.223.92:8001/TCP |
172.16.10.250:8001 |
FSSO AD |
| NAT FSSO AD TCP 8002 | 132.255.223.92:8002/TCP |
172.16.10.250:8002 |
FSSO AD |
| NAT FSSO AD UDP 8000 | 132.255.223.92:8000/UDP |
172.16.10.250:8000 |
FSSO AD |
| NAT FSSO AD UDP 8001 | 132.255.223.92:8001/UDP |
172.16.10.250:8001 |
FSSO AD |
| NAT FSSO AD UDP 8002 | 132.255.223.92:8002/UDP |
172.16.10.250:8002 |
FSSO AD |
| NAT_KRB_AD_445 | 132.255.223.92:445/TCP |
172.16.10.250:445 |
SMB |
| NAT KRB AD 88 | 132.255.223.92:88/TCP |
172.16.10.250:88 |
Kerberos |
| NAT KRB AD 3268 | 132.255.223.92:3268/TCP |
172.16.10.250:3268 |
Global Catalog |
| NAT_ZBX_WTS2 | 132.255.223.93:10051/TCP |
172.16.10.241:10051 |
Zabbix WTS2 |
| NAT CRM-GESTAO 11080 | 132.255.223.93:11080/TCP |
172.16.10.231:80 |
CRM Gestão |
| NAT CRM-GESTAO 1433 | 132.255.223.93:1433/TCP |
172.16.10.231:1433 |
SQL CRM Gestão |
Leitura técnica:
As publicações externas incluem acessos administrativos, monitoramento, AD/FSSO, serviços de autenticação e CRM. Esses itens representam uma superfície relevante de exposição e devem ser correlacionados com as regras de firewall e justificativas operacionais.
Políticas de internet e navegação
| Política | Objetivo observado | Perfis / comportamento |
|---|---|---|
| LIBERA INTERNET SERVIDORES (16) | Liberação de internet para servidores | ACCEPT, NAT, SSL no-inspection |
| LIBERA INTERNET SERVICOS (15) | Liberação de serviços externos específicos | ACCEPT, NAT, destinos como Bitdefender |
| LIBERA COMUNICAÇÃO PARA SERVIDORE (1) | Comunicação com destinos internos específicos | ACCEPT, NAT |
| INTERNET PROXY LIBERADO (14) | Navegação com perfil liberado | APPS LIBERADOS + deep-inspection |
| INTERNET PROXY VENDAS (13) | Navegação com política de vendas | APPS PADRAO + deep-inspection |
| INTERNET PROXY EXCECOES (12) | Navegação com exceções | APPS PADRAO + deep-inspection |
| INTERNET OPERACAO WTS (11) | Navegação operacional para WTS | certificate-inspection + Web Filter PROXY OPERACAOWTS |
Leitura técnica:
As políticas demonstram separação entre tráfego de servidores, serviços específicos e grupos de navegação, com uso de Web Filter, Application Control e inspeção SSL conforme o perfil.
Políticas entre redes e integrações
| Política | Origem / destino resumido | Observação |
|---|---|---|
| ACESSO SISTEMA PARCEIROS (29) | LINK_LAN_FACIL → COBMAIS, OC08 e outros |
Acesso entre ambiente local e parceiros |
| AMBIENTAL NAT ACESSO (30) | LINK-LAN-FACIL address → AMBIENTAL_DC |
Uso de NAT_LAN |
| DC x FACIL MATRIX (6) | DC ↔ Matriz | ACCEPT, sem NAT |
| FACIL x TERCEIRO IPSEC (9) | Terceiros / IPsec | Perfis de inspeção e segurança |
| REDESERVICE TO DC (32) | LAN REDE SERVICE → LINK_LAN_FACIL |
Comunicação com DC |
| vpn FACILDC-VPN_remote_0 (34) | FACILDC-VPN_range → all |
NAT habilitado, certificado + AV |
| BLOCK LAN FACIL TO COBMAIS (26) | FACIL LAN MATRIZ → COBMAIS |
Regra de bloqueio |
| ACESSO SISTEMA TERCEIROS (10) | LINK_LAN_FACIL → parceiros |
ACCEPT, sem NAT |
| DC x FACIL MATRIZ (7) | DC ↔ Matriz | ACCEPT |
| Lan x DC Ambiental (22) | LINK-LAN-FACIL address → AMBIENTAL_DC |
Uso de NAT_LAN |
| Acesso remoto (21) | REDE VPN → LINK-LAN-FACIL address |
ACCEPT, sem NAT |
| REMOTO x AMBIENTAL (23) | Remoto → AMBIENTAL_DC |
Uso de NAT VPN |
| ACESSO-EXT (5) | ACESSO EXTERNO → NAT ACESSO EXTERNO |
Publicação HTTPS |
| ACESSO VPN PARCEIROS (27) | Matriz / VPN Remote / Rede Service → LINK_LAN_FACIL |
Integração com parceiros |
| VPN PARCEIROS (28) | AMBIENTAL_DC, OC08 e outros → LINK_LAN_FACIL |
Cert inspection + AV + IPS |
| REDESERVICE PORTS (33) | REDESERVICE INT → CRMGESTAO |
Comunicação específica |
| ZBX STORAGE (3) | RAID → NAT Zabbix | Monitoramento |
| NAT STORAGE GRAVACOES (8) | Fontes RAID → NAT STORAGE |
Publicação / integração |
| NAT EMS TO AD DC (18) | IPs públicos específicos → FSSO AD | Integração externa |
| NAT ORVYX TO CRM-GESTAO (35) | ORVYX-BOT, RAID → CRM Gestão 11080 |
Integração CRM |
| NAT ORVYX TO CRM-GESTAO 1433 (36) | ORVYX-STAGE, RAID → CRM Gestão 1433 |
Integração CRM / SQL |
Leitura técnica:
As políticas demonstram integração entre o firewall cloud hospedado na Armazém Cloud, matriz, parceiros, ambiente DC, serviços de monitoramento, CRM, AD/FSSO e VPNs.
ZTNA
Servidores ZTNA¶
| Nome | IP externo | Porta externa | Interface externa | Mapeamento |
|---|---|---|---|---|
| ACESSO AD DC | 132.255.223.92 |
19443 |
LINK-WAN-FACIL |
TCP Forwarding |
| ACESSO VPN | 132.255.223.92 |
18443 |
LINK-WAN-FACIL |
TCP Forwarding |
Políticas ZTNA observadas¶
| Política | Comportamento |
|---|---|
| BLOCK ACESSO INSEGURO ZTNA (19) | Regra de bloqueio |
| LIBERA RDP EAD (20) | Liberação controlada de RDP |
| LIBERA RDP AO EMS (17) | Liberação específica vinculada ao EMS |
Leitura técnica:
Foi identificado uso de ZTNA para publicação e controle de acesso, incluindo cenários específicos para acesso ao AD/DC e VPN.
Rotas estáticas
| Destino | Interface / próximo salto |
|---|---|
0.0.0.0/0 |
virtual-wan-link |
10.150.100.0/22 |
FACIL x DC |
172.17.84.0/24 |
FACIL x DC |
10.40.10.4/32 |
AMBIENTAL_VPN |
10.196.228.0/24 |
OLOS OC08 |
10.240.120.0/24 |
OLOS OC11 |
192.168.63.0/24 |
RAID x DC |
10.30.20.0/24 |
FACIL x DC |
10.10.1.55/32 |
DCxREDESERVICE |
Leitura técnica:
As rotas confirmam o papel do firewall cloud como ponto de integração entre internet, matriz, redes de parceiros, VPNs e ambientes específicos como RAID e Rede Service.
Túneis VPN identificados
| Túnel | Status |
|---|---|
| AMBIENTAL_VPN | Up |
| Acesso Remoto | Inactive |
| COBMAIS | Inactive |
| DCxREDESERVICE | Up |
| FACIL M VPN1 | Up |
| FACIL M VPN2 | Up |
| FACIL_M_VPN3 | Inactive |
| OLOS OC08 | Up |
| OLOS OC11 | Up |
| RAID x DC | Inactive |
| FACILDC-VPN | Inactive |
Leitura técnica:
O ambiente possui múltiplos túneis configurados, com parte deles ativos e parte inativos no momento do levantamento. O firewall cloud atua como hub de conectividade entre a Armazém Cloud, matriz, parceiros e redes remotas.
Resumo técnico consolidado
- O Firewall Cloud da FÁCIL está hospedado na Armazém Cloud.
- A solução identificada é baseada em Fortinet / FortiGate, com VDOM FACIL.
- O equipamento identificado na console é JLLE-FWCLOUD01.
- O firewall atua como ponto central de segurança, NAT, publicações, ZTNA, rotas e VPNs entre a Armazém Cloud, matriz FÁCIL, parceiros e redes remotas.
- Foram identificados objetos de rede, FQDNs, ranges, redes NAT, VPNs, parceiros e recursos internos.
- O ambiente possui publicações externas relevantes para acesso, monitoramento, AD/FSSO, CRM e integrações.
- Foram identificados IP Pools separados para NAT de LAN e VPN.
- Há perfis de Web Filter segmentados por finalidade operacional.
- O firewall possui políticas para internet, servidores, parceiros, ZTNA, acesso remoto, integrações e tráfego entre redes.
- Existem rotas estáticas para matriz, Ambiental, OLOS, RAID, Rede Service e redes internas.
- Existem túneis VPN ativos e inativos, indicando uso do firewall cloud como concentrador de conectividade.
Importante:
Esta página possui caráter documental e consultivo. Alterações em regras, publicações, NAT, objetos, ZTNA, VPNs ou rotas deverão ser avaliadas em novo escopo técnico, com validação prévia de impacto.