Checklist de implantação do FortiGate: o que fazer antes, durante e após a instalação
Uma implantação bem planejada evita retrabalho, interrupções e configurações inseguras que ficam esquecidas por meses. Use este checklist para garantir que nada fique para trás.
Antes da instalação: planejamento
Mapeamento de rede: documente todas as interfaces, VLANs, subnets, IPs fixos de servidores e dispositivos críticos. O FortiGate precisará de endereços IP para cada interface e subinterface.
Levantamento de serviços: liste todas as aplicações em uso — ERP, VoIP, videoconferência, VPNs existentes, servidores publicados externamente (MX, HTTPS, RDP). Cada um precisa de política específica.
Definição de janela de manutenção: a instalação do FortiGate implica interrupção de rede. Comunique os times afetados e defina um horário de menor impacto — idealmente fora do horário comercial.
Plano de rollback: defina como reverter rapidamente caso algo dê errado. Se há um firewall anterior, mantenha-o configurado e acessível até a nova implantação ser validada em produção.
Durante a instalação: configuração inicial
Registro no FortiCloud: registre o equipamento em support.fortinet.com imediatamente após ligar. O registro ativa as licenças FortiGuard e FortiCare e é necessário para receber atualizações de firmware e assinaturas.
Atualizar firmware antes de configurar: antes de iniciar qualquer configuração, atualize para a versão mais recente recomendada para o modelo. Configurar em uma versão antiga e depois atualizar pode causar problemas de migração de configuração.
Alterar credenciais padrão: a senha padrão admin / sem senha deve ser alterada imediatamente. Configure uma senha forte e desabilite o acesso de administração via HTTP — use apenas HTTPS.
Configurar NTP: logs com timestamp incorreto são inúteis para correlação e auditoria. Configure o FortiGate para sincronizar com servidores NTP confiáveis e verifique o fuso horário correto (America/Sao_Paulo).
Interfaces e VLANs: configure cada interface com nome descritivo, endereço IP e modo de operação. Crie as subinterfaces VLAN conforme o mapeamento feito no planejamento.
Atenção: nunca deixe o FortiGate com as credenciais padrão em produção. Equipamentos Fortinet com senha padrão expostos à internet são varridos por scanners automatizados em menos de 24 horas após a implantação.
Políticas e perfis de segurança
Criar objetos de endereço: antes de criar políticas, crie objetos nomeados para todas as subnets, IPs de servidores e grupos de endereços. Políticas com objetos nomeados são muito mais fáceis de manter e auditar do que políticas com IPs hardcoded.
Políticas com escopo mínimo: siga o princípio do menor privilégio — cada política deve cobrir apenas o tráfego legítimo necessário. Evite any/any como ponto de partida.
Perfis de segurança: crie e associe perfis de antivírus, IPS, filtragem web e controle de aplicações nas políticas de usuários antes de colocar em produção. Não ative políticas sem perfis de segurança associados.
Logging em todas as políticas: ative log em todas as políticas — permitidas e bloqueadas. Sem log, não há visibilidade e não há auditoria.
Após a instalação: validação
Teste de conectividade: valide que todos os fluxos de rede legítimos funcionam — acesso à internet dos usuários, acesso a servidores internos, VPNs, aplicações críticas. Faça testes com usuários reais antes de encerrar a janela de manutenção.
Verificar assinaturas FortiGuard: em Sistema > FortiGuard, confirme que todas as licenças estão ativas e que as assinaturas foram baixadas. O status deve mostrar verde para IPS, antivírus, filtragem web e DNS.
Backup da configuração: após a configuração inicial validada, faça backup completo e guarde em local seguro externo ao FortiGate. Este é o ponto de restauração de referência.
Documentação: registre todas as decisões de configuração — por que cada política existe, quais serviços foram publicados e para quais IPs, quais exceções foram criadas na inspeção SSL. Documentação feita na hora da implantação evita semanas de troubleshooting no futuro.
Hardening pós-implantação
Restringir acesso de administração: em Sistema > Administradores, configure trusted hosts para cada conta de administrador — apenas IPs autorizados podem fazer login administrativo.
Desabilitar serviços desnecessários na interface WAN: verifique em cada interface WAN quais serviços de gerenciamento estão habilitados. Ping, HTTPS de gestão e SSH não devem estar acessíveis pela internet.
Configurar alertas de e-mail: configure notificações para eventos críticos — logins administrativos, detecções de vírus, alertas de IPS de alta severidade e falhas de autenticação VPN.
Agendar backup automático: configure backup automático da configuração via FTP, SCP ou e-mail — diariamente ou semanalmente, dependendo da frequência de mudanças no ambiente.
Dica Fortilab: a Fortilab oferece implantação assistida do FortiGate — da configuração inicial ao hardening e documentação. Para projetos críticos, ter um especialista no processo reduz o risco de configurações incorretas que só aparecem meses depois.