7 boas práticas de configuração do FortiGate que fazem diferença na segurança

1. Ative inspeção SSL nas políticas de navegação

Mais de 80% do tráfego de internet é HTTPS. Sem inspeção SSL, o FortiGate é cego ao conteúdo de praticamente todo o tráfego — malware, exfiltração de dados e C2 de ransomware passam livremente dentro de conexões HTTPS aparentemente legítimas.

O passo mais impactante é criar um perfil de inspeção SSL em modo deep inspection e associá-lo às políticas de acesso à internet dos usuários. O certificado de CA do FortiGate precisa ser distribuído para os endpoints — via GPO no Active Directory ou manualmente. Sem o certificado de CA instalado, os usuários verão alertas de segurança no navegador.

2. Use perfis de segurança em modo flow, não proxy

O FortiGate oferece dois modos para perfis de antivírus e controle web: proxy-based e flow-based. O modo proxy armazena o arquivo completo antes de inspecionar — maior detecção, maior impacto de performance. O modo flow inspeciona em tempo real, byte a byte — performance superior com detecção muito próxima do proxy.

Para a maioria dos ambientes, o modo flow entrega a melhor relação entre proteção e performance. Reserve o modo proxy para tráfego de alto risco específico — como downloads de executáveis em políticas de usuários privilegiados. Aplicar proxy em todas as políticas é o erro de configuração mais comum que causa lentidão inexplicada no FortiGate.

3. Restrinja o acesso administrativo com trusted hosts

Por padrão, qualquer IP pode tentar autenticar na interface administrativa do FortiGate. Configure trusted hosts em cada conta de administrador — apenas os IPs ou subnets autorizados conseguirão fazer login, mesmo com credenciais corretas.

Em Sistema > Administradores, adicione o IP da estação de gestão ou a subnet de TI em cada conta. Combine com desabilitar HTTP e SSH nas interfaces WAN, e habilitar apenas HTTPS na interface de gestão interna. Ataques de força bruta ao painel administrativo de FortiGates expostos à internet são frequentes e automatizados.

4. Crie políticas com escopo mínimo, não any/any

Políticas any/any são o caminho mais rápido para colocar o firewall em produção — e o mais perigoso. Uma política que permite qualquer origem, qualquer destino, qualquer serviço não está controlando nada.

A prática correta é criar objetos de endereço nomeados para subnets, grupos de servidores e IPs externos conhecidos, e construir políticas com o menor escopo necessário. Cada política deve ter um comentário explicando por que existe. Políticas sem comentário e com poucos hits nas últimas semanas são candidatas a revisão.

O FortiGate tem uma ferramenta de Policy Lookup em Policy & Objects > Firewall Policy que simula como um fluxo específico seria tratado — use-a para validar políticas antes de aplicar em produção.

5. Ative log em todas as políticas, incluindo as permitidas

Um erro comum é ativar log apenas nas políticas de bloqueio. Sem log nas políticas permitidas, não há como investigar um incidente — você não sabe quem acessou o quê, quando e de qual IP.

Ative Log Allowed Traffic: All Sessions em todas as políticas. O volume de logs aumenta, mas é o preço da visibilidade real. Se o armazenamento local for limitado, envie para FortiAnalyzer ou Syslog externo — os logs locais têm retenção curta na maioria dos modelos.

6. Configure segmentação básica de rede

Colocar todos os dispositivos na mesma VLAN é a configuração mais comum e a mais arriscada. Quando um dispositivo é comprometido — um computador com malware, uma câmera IP vulnerável, uma impressora sem patch — ele tem acesso direto a todos os outros dispositivos da rede.

A segmentação mínima recomendada: VLAN separada para servidores, VLAN para usuários, VLAN para IoT (câmeras, impressoras, dispositivos de automação) e VLAN para gestão de infraestrutura. O FortiGate controla e inspeciona o tráfego entre segmentos — limitando o raio de explosão de qualquer incidente.

7. Agende backup automático e configure alertas

Sem backup da configuração, uma falha de hardware ou reset acidental significa reconfigurar o FortiGate do zero. Configure backup automático em Sistema > Settings > Automatic Backup para enviar a configuração via FTP, SCP ou e-mail periodicamente.

Combine com alertas por e-mail para eventos críticos: login administrativo (especialmente fora do horário), detecções de vírus em volume alto, atividade de IPS de alta severidade e falhas de autenticação VPN repetidas. O FortiGate tem configuração de alertas em Log & Report > Email Alert Settings — sem isso, incidentes podem passar despercebidos por horas ou dias.