Firewall Local¶
Firewall Local FortiGate¶
Esta seção consolida as configurações relevantes identificadas no Firewall Local FortiGate da FÁCIL, com foco em perfis de segurança, SD-WAN, rotas, proteção DoS e políticas de navegação.
O objetivo é documentar as configurações levantadas de forma organizada e consultiva, mantendo a página objetiva e facilitando a consulta por tópico.
Especificações identificadas
| Informação | Detalhamento |
|---|---|
| Cliente | FÁCIL |
| Componente | Firewall Local |
| Solução | FortiGate |
| Modelo identificado | FortiGate 80F |
| Fabricante | Fortinet |
| Nome identificado na console | FW-FACIL |
| Usuário administrativo visualizado | suporte.facil |
| Endereço de administração observado | https://10.150.100.1:10443 |
| Porta administrativa observada | 10443 |
| Recursos documentados | Web Filter, Antivirus, Application Control, DoS Policy, SD-WAN e rotas estáticas |
Web Filter
Foram identificados perfis de Web Filter organizados por finalidade de navegação, indicando segmentação de acesso para operação, WTS, vendas, visitantes, exceções e tráfego Wi-Fi.
| Perfil | Finalidade / comentário | Referências |
|---|---|---|
| default | Default web filtering. | 0 |
| monitor-all | Monitor and log all visited URLs, flow-based. | 0 |
| PROXY EXCECOES | Acesso somente à lista operacional + reuniões e mensagens instantâneas. | 1 |
| PROXY LIBERADO | Acesso liberado, com exceção de violência e conteúdo adulto. | 3 |
| PROXY OPERACAO | Acesso somente à lista de sites do operacional. | 2 |
| PROXY OPERACAO WTS | Acesso somente à lista operacional dedicada ao WTS. | 1 |
| PROXY VENDAS | Lista operacional + reuniões e mensagens instantâneas + vendas. | 1 |
| PROXY VISITANTES | Perfil dedicado a visitantes da rede. | 0 |
| wifi-default | Default configuration for offloading WiFi traffic. | 1 |
Leitura técnica:
A estrutura de Web Filter demonstra uma política de navegação segmentada por perfil de uso, permitindo tratar operação, visitantes, vendas e exceções de forma separada.
Antivirus
Foram identificados perfis de Antivirus utilizados para inspeção de arquivos e bloqueio de ameaças.
| Perfil | Finalidade / comentário | Referências |
|---|---|---|
| AV PADRAO | Scan files and block viruses. | 9 |
| default | Scan files and block viruses. | 1 |
| wifi-default | Default configuration for offloading WiFi traffic. | 1 |
Leitura técnica:
O perfil AV PADRAO aparece com maior número de referências, indicando uso relevante nas políticas do firewall.
Application Control
Foram identificados perfis de Application Control, incluindo perfis padrão, liberados, exceções e bloqueio de aplicações de alto risco.
| Perfil | Comentário / finalidade | Referências |
|---|---|---|
| APP LIBERADO | Perfil de aplicações liberadas. | 3 |
| APP PADRAO | Perfil padrão de aplicações. | 3 |
| APP WF EXCECOES | Perfil de exceções. | 2 |
| block-high-risk | Perfil para bloqueio de alto risco. | 0 |
| default | Monitor all applications. | 1 |
| wifi-default | Default configuration for offloading WiFi traffic. | 1 |
Overrides observados no perfil APP WF EXCECOES¶
| Prioridade | Aplicações observadas | Tipo | Ação |
|---|---|---|---|
| 10 | CRTP, IRTP, RTCP, RTP | Application | Allow |
| 11 | Telegram, Telegram_VoIPcall | Application | Allow |
| 12 | Google_Cloud.Platform, MSSQL, MySQL, SQL.Navigator | Application | Allow |
| 13 | AnyDesk | Application | Allow |
Leitura técnica:
Há liberações específicas para aplicações de comunicação, acesso remoto e bancos de dados. Essas exceções devem ter justificativa operacional clara, principalmente quando envolvem AnyDesk, Telegram, MSSQL e MySQL.
DoS Policy
Foram identificadas políticas de DoS Policy aplicadas aos links de internet.
| Policy ID | Nome | Interface | Origem | Destino | Serviço |
|---|---|---|---|---|---|
| 1 | DDOS UNIFIQUE | LINK_UNIFIQUE (wan1) | all | all | ALL |
| 2 | DDOS BRDIGITAL | BRDIGITAL (b) | all | all | ALL |
| 3 | DDOS ALGAR | LINK_ALGAR (wan2) | all | all | ALL |
Leitura técnica:
As políticas de DoS estão aplicadas por link, indicando proteção direcionada aos circuitos de internet UNIFIQUE, BRDIGITAL e ALGAR.
SD-WAN · Zonas
Foram identificadas zonas SD-WAN separando links de internet, conectividades IPsec, OLOS e ambiente FACIL DC.
| Zona SD-WAN | Membros identificados | Finalidade observada |
|---|---|---|
| FACIL DC | FACIL DC B, FACIL DC A | Conectividade com ambiente FACIL DC |
| IPSEC | AMBIENTAL DC, HOEPERS 1, HOEPERS_2, REDESERVICE_1 | Conectividades IPsec / redes remotas |
| OLOS | OLOS OC08, OLOS OC11, OC08_VPN2, OC11_VPN2 | Conectividade com ambiente OLOS |
| virtual-wan-link | LINK_ALGAR, LINK_UNIFIQUE, BRDIGITAL | Links de internet |
SD-WAN · Links e membros
| Zona | Interface / Membro | Gateway | Cost | Download | Upload |
|---|---|---|---|---|---|
| virtual-wan-link | LINK_ALGAR (wan2) | 200.225.254.206 | 0 | 17.79 Mbps | 16.97 Mbps |
| virtual-wan-link | LINK_UNIFIQUE (wan1) | 192.168.1.1 | 0 | 18.47 Mbps | 4.65 Mbps |
| virtual-wan-link | BRDIGITAL (b) | 200.195.250.185 | 0 | 63.49 Mbps | 21.18 Mbps |
| IPSEC | AMBIENTAL DC | 0.0.0.0 | 0 | 1.69 Mbps | 63.52 kbps |
| IPSEC | HOEPERS 1 | 0.0.0.0 | 0 | 0 bps | 0 bps |
| IPSEC | HOEPERS_2 | 0.0.0.0 | 0 | 0 bps | 0 bps |
| IPSEC | REDESERVICE 1 | 0.0.0.0 | 0 | 33.95 kbps | 42.67 kbps |
| IPSEC | COMBAIS | 0.0.0.0 | 0 | 266 bps | 794 bps |
| IPSEC | MOAITECH FACIL | 0.0.0.0 | 0 | 0 bps | 0 bps |
| FACIL DC | FACIL DC BR | 0.0.0.0 | 2 | 54.96 Mbps | 16.19 Mbps |
| FACIL DC | FACIL DC ALGAR | 0.0.0.0 | 1 | 9.58 Mbps | 1.78 Mbps |
| OLOS | OLOS OC08 | 0.0.0.0 | 1 | 1.41 Mbps | 133.43 kbps |
| OLOS | OLOS OC11 | 0.0.0.0 | 1 | 575.59 kbps | 3.72 Mbps |
| OLOS | OC08_VPN2 | 0.0.0.0 | 2 | 1.14 kbps | 86 bps |
| OLOS | OC11_VPN2 | 0.0.0.0 | 2 | 220 bps | 86 bps |
Leitura técnica:
A zona virtual-wan-link agrupa os links principais de internet. O membro BRDIGITAL apresentava maior tráfego no momento da evidência coletada.
SD-WAN · Regras
| ID | Nome | Origem | Destino | Membro / saída | Critério | SLA | Status |
|---|---|---|---|---|---|---|---|
| 5 | OUT_REDESERVICE | 172.17.84.12 | TELSIM | BRDIGITAL (b) | - | - | Desabilitada |
| 6 | SAIDA_DIALER_ORVYX | ORVIX-DIALER | all | BRDIGITAL (b) | Selected route | - | Habilitada |
| 7 | REDESERVICE_TO_DC | VLAN 40 address | LAN DC | FACIL DC BR | Selected route | - | Habilitada |
| 1 | OUT_REDESERVICE_TELSIM | VLAN 40 address | all | LINK_UNIFIQUE (wan1) | Selected route | - | Habilitada |
| 3 | SAIDA_OLOS_OC08 | INTERNA address / Acesso Remoto_range / MOAITECH LAN | OLOS OC08 | OLOS OC08 / OC08_VPN2 | Packet Loss | OC08 | Habilitada |
| 2 | SAIDA_OLOS_OC11 | INTERNA address / Acesso Remoto_range / MOAITECH LAN | OC11 | OLOS OC11 / OC11_VPN2 | Packet Loss | OC11 | Habilitada |
| 4 | SAIDA_LANDC | INTERNA address / Acesso Remoto_range | LAN DC | FACIL DC BR / FACIL DC ALGAR | Latency | ICMP_DC | Habilitada |
Leitura técnica:
As regras SD-WAN direcionam tráfego para links e túneis conforme destino, rota selecionada, perda de pacotes ou latência. Isso indica uso de lógica de caminho preferencial para ambientes como OLOS e FACIL DC.
Rotas estáticas
Foram identificadas rotas estáticas habilitadas para internet e redes remotas.
| Destino | Interface | Status |
|---|---|---|
| 0.0.0.0/0 | virtual-wan-link | Enabled |
| 192.168.150.0/24 | HOEPERS 1 | Enabled |
| 192.168.150.0/24 | HOEPERS_2 | Enabled |
| 10.101.55.32 | REDESERVICE_1 | Enabled |
| 172.36.0.0/16 | COMBAIS | Enabled |
| 10.196.228.0/24 | OLOS | Enabled |
| 10.240.120.0/24 | OLOS | Enabled |
| 10.0.0.0/24 | MOAITECH_FACIL | Enabled |
| 172.16.10.0/24 | FACIL DC | Enabled |
| 10.40.100.0/24 | AMBIENTAL DC | Enabled |
Leitura técnica:
As rotas estáticas indicam conectividade com múltiplos ambientes remotos, incluindo HOEPERS, REDESERVICE, COMBAIS, OLOS, MOAITECH, FACIL DC e AMBIENTAL DC.
Administração e acesso
| Item | Informação |
|---|---|
| URL observada | https://10.150.100.1:10443 |
| Porta administrativa | 10443 |
| Usuário administrativo visualizado | suporte.facil |
| Console identificada | FW-FACIL |
Leitura técnica:
O uso de porta administrativa customizada reduz exposição a tentativas automatizadas em portas padrão, mas não substitui controles como restrição por origem, MFA e gestão individualizada de usuários administrativos.
Leitura técnica consolidada
- O firewall local identificado é um FortiGate 80F com console nomeada como FW-FACIL.
- A administração web observada utiliza o endereço
https://10.150.100.1:10443. - Existem perfis de segurança configurados para Web Filter, Antivirus e Application Control.
- O firewall possui configuração de DoS Policy aplicada aos links UNIFIQUE, BRDIGITAL e ALGAR.
- A estrutura possui SD-WAN configurado com múltiplas zonas e regras.
- Foram identificadas zonas SD-WAN para
virtual-wan-link,IPSEC,FACIL DCeOLOS. - Existem regras SD-WAN com critérios de Packet Loss e Latency, indicando uso de monitoramento de qualidade para seleção de rota.
- A regra
OUT_REDESERVICEestá desabilitada. - Foram identificadas rotas estáticas para redes remotas e ambientes integrados.
- Os perfis de Application Control possuem liberações específicas, incluindo Telegram, AnyDesk, MSSQL, MySQL e SQL Navigator.
- A existência de políticas específicas para proxy, operação, vendas, visitantes e Wi-Fi indica segmentação de acesso à navegação.
Importante:
Esta página possui caráter documental. Qualquer alteração em políticas, NAT, objetos, serviços, perfis de segurança, SD-WAN, rotas, acesso administrativo ou configuração do FortiGate deverá ser avaliada em novo escopo técnico e comercial.