Como montar uma política de segurança eficiente no FortiGate
Uma política de segurança mal configurada pode ser tão perigosa quanto nenhuma política. Veja como estruturar regras que realmente protegem — sem travar a operação.
O que é uma política de segurança no FortiGate?
No FortiGate, uma política de segurança (Security Policy) é uma regra que define o que pode ou não pode trafegar entre duas interfaces de rede. Cada pacote que passa pelo firewall é avaliado contra essa lista de regras — de cima para baixo — e a primeira que coincidir é aplicada.
Uma política define: a interface de origem, a interface de destino, os endereços IP envolvidos, os serviços (portas), o horário de vigência e a ação (permitir, bloquear ou inspecionar). Também é possível associar perfis de segurança como IPS, filtragem web, antivírus e controle de aplicações.
Atenção: O erro mais comum é criar uma política ampla do tipo any → any / allow all para facilitar a configuração inicial — e nunca revisá-la. Isso anula praticamente toda a proteção do firewall.
Princípio do menor privilégio
A base de qualquer boa política de segurança é o princípio do menor privilégio: cada usuário, sistema ou segmento de rede deve ter acesso apenas ao que precisa para funcionar — nada mais.
Na prática, isso significa criar políticas específicas para cada fluxo legítimo de tráfego e bloquear todo o restante por padrão. O FortiGate facilita isso com uma regra implícita de deny all ao final da lista — qualquer tráfego que não coincidir com nenhuma política é bloqueado automaticamente.
Comece mapeando os fluxos de rede da sua organização: quem precisa acessar o quê, de onde e em qual horário. Esse mapeamento é a base para criar políticas com escopo mínimo necessário.
Estrutura recomendada de políticas
Uma estrutura eficiente organiza as políticas em camadas, da mais restritiva para a mais permissiva:
1. Bloqueios explícitos no topo: regras que negam tráfego de origem sabidamente maliciosa (listas de IP bloqueados, países de alto risco) ou protocolos perigosos. Colocar no topo garante que sejam avaliadas primeiro.
2. Políticas de serviços críticos: regras específicas para sistemas internos essenciais — servidores de banco de dados, ERP, autenticação. Escopo estrito: somente os IPs necessários, somente as portas necessárias.
3. Políticas de usuários por segmento: regras para acesso à internet e serviços externos, separadas por grupo de usuário ou VLAN. Associe aqui os perfis de segurança (IPS, filtragem web, antivírus).
4. Regra de deny explícita no final: mesmo que o FortiGate bloqueie por padrão, adicionar uma regra de deny com logging ativado no final permite auditar tentativas de acesso não autorizado.
Dica Fortilab: Ative o log em todas as políticas — inclusive nas de bloqueio. Sem visibilidade do que está sendo negado, é impossível identificar tentativas de ataque ou configurações incorretas que estão travando aplicações legítimas.
Perfis de segurança: inspecionar, não apenas permitir
Criar uma política que permite o tráfego HTTP/HTTPS não é suficiente. Tráfego permitido pode carregar malware, exploits ou conteúdo inadequado. É por isso que as políticas devem ser associadas a perfis de segurança.
Os principais perfis disponíveis no FortiGate são:
Perfil de antivírus: inspeciona arquivos em trânsito (downloads, e-mail, uploads) contra assinaturas de malware atualizadas via FortiGuard.
Perfil de IPS: detecta e bloqueia exploits conhecidos em tempo real, inclusive em tráfego criptografado quando a inspeção SSL está ativa.
Perfil de filtragem web: classifica e bloqueia URLs por categoria — malware, phishing, apostas, conteúdo adulto, redes sociais, etc.
Perfil de controle de aplicações: identifica aplicações independente da porta utilizada (incluindo aplicações que tunelam sobre HTTPS) e aplica políticas granulares.
Inspeção SSL/TLS: o ponto cego das políticas
Mais de 80% do tráfego corporativo atual é criptografado. Sem inspeção SSL/TLS, todos os perfis de segurança são cegos a esse tráfego — malware, exfiltração de dados e ataques podem passar despercebidos dentro de conexões HTTPS legítimas.
O FortiGate realiza inspeção SSL por meio de um proxy man-in-the-middle: ele termina a conexão SSL do cliente, inspeciona o conteúdo e reabre a conexão com o servidor de destino. Para isso, é necessário instalar o certificado CA do FortiGate nas estações como certificado confiável.
Configure exceções para tráfego financeiro (bancos) e sistemas com certificate pinning, que quebram com a inspeção. O FortiGate permite criar listas de exclusão de domínios e categorias para esses casos.
Boas práticas de manutenção
Uma política criada e esquecida é uma política desatualizada. Estabeleça uma rotina de revisão periódica:
Auditoria trimestral: revise políticas sem uso (o FortiGate mostra contadores de hits por política). Políticas com zero acesso em 90 dias são candidatas à remoção.
Documentação obrigatória: use o campo Comentários em cada política para registrar o motivo da sua existência, quem solicitou e quando foi criada. Isso facilita imensamente auditorias e troubleshooting futuro.
Controle de mudanças: qualquer nova política deve passar por aprovação formal. O FortiGate registra alterações no log de auditoria administrativa — ative e monitore esse log.
Teste antes de produção: use o recurso de Policy Lookup do FortiGate para simular como um pacote específico seria tratado pelas políticas existentes, sem precisar gerar tráfego real.
Checklist rápido: políticas com escopo mínimo necessário ✓ — perfis de segurança associados ✓ — logging ativado em todas as políticas ✓ — inspeção SSL configurada ✓ — revisão periódica agendada ✓