Segmentação de rede com VLANs no FortiGate
Colocar todos os dispositivos na mesma rede é um convite para movimentação lateral de ataques. A segmentação com VLANs isola riscos e limita o raio de explosão de qualquer incidente.
Por que segmentar a rede?
Imagine que um computador da recepção seja comprometido por ransomware. Em uma rede plana (sem segmentação), esse malware pode se mover livremente para servidores financeiros, estações de TI e câmeras de segurança — todos na mesma rede.
Com segmentação adequada, o comprometimento fica contido no segmento da recepção. O FortiGate inspeciona e controla qualquer tentativa de comunicação entre segmentos, tornando o movimento lateral muito mais difícil para um atacante.
Além da segurança, a segmentação melhora desempenho (reduz domínios de broadcast), facilita auditorias de conformidade e simplifica o gerenciamento de políticas por grupo funcional.
VLANs no FortiGate: conceitos básicos
No FortiGate, cada VLAN é criada como uma subinterface de uma interface física ou agregada. Cada subinterface recebe um VLAN ID (1–4094), um endereço IP e age como uma interface independente para fins de roteamento e políticas.
O FortiGate funciona como um router-on-a-stick quando conectado a um switch gerenciável: o switch segmenta o tráfego em VLANs e envia tudo em trunk para o FortiGate, que roteia entre elas conforme as políticas definidas.
Cada VLAN pode ter seu próprio servidor DHCP configurado diretamente no FortiGate — eliminando a necessidade de um servidor DHCP externo para redes menores.
Router-on-a-stick: toda a comunicação entre VLANs passa pelo FortiGate, que inspeciona e aplica políticas de segurança em cada fluxo inter-VLAN. Isso significa visibilidade total sobre movimentação lateral na rede.
Modelo de segmentação recomendado
Um modelo prático e eficiente para médias empresas organiza a rede em pelo menos 5 segmentos:
VLAN Corporativa (usuários): estações de trabalho e laptops dos colaboradores. Acesso à internet com filtragem web e controle de aplicações. Sem acesso direto a servidores.
VLAN Servidores: servidores de arquivos, ERP, banco de dados e aplicações internas. Acesso restrito apenas às VLANs e IPs que realmente precisam consumir esses serviços.
VLAN IoT / OT: câmeras, impressoras, dispositivos de automação, relógios de ponto. Esses dispositivos raramente recebem atualizações de segurança — isolá-los limita enormemente o risco que representam.
VLAN Gestão (Management): acesso aos switches, APs, UPS e ao próprio FortiGate. Acessível apenas por IPs de administração explicitamente autorizados.
VLAN Visitantes / Wi-Fi Guest: internet apenas, sem acesso a qualquer recurso interno. Bandwidth limiting recomendado para evitar abuso.
Passo a passo: criando VLANs no FortiGate
1. Criar a subinterface VLAN: em Network > Interfaces, selecione a interface física conectada ao switch e clique em Create New > Interface. Defina o tipo como VLAN, informe o VLAN ID e configure o endereço IP do gateway.
2. Configurar DHCP server: na mesma interface, expanda DHCP Server e defina o range de endereços. O FortiGate passa a responder requisições DHCP direto nessa subinterface.
3. Configurar o switch: no switch gerenciável, defina a porta conectada ao FortiGate como trunk e as demais portas como access na VLAN correspondente.
4. Criar objetos de endereço: em Policy & Objects > Addresses, crie objetos para cada subnet de VLAN. Isso facilita a criação e manutenção das políticas.
5. Criar políticas inter-VLAN: em Policy & Objects > Firewall Policy, crie políticas explícitas para cada fluxo legítimo entre VLANs. Todo o resto é bloqueado implicitamente.
Atenção: Criar as VLANs sem criar as políticas inter-VLAN resulta em bloqueio total de comunicação entre segmentos — inclusive para tráfego legítimo. Planeje as políticas antes de aplicar em produção e teste em janela de manutenção.
Políticas inter-VLAN com perfis de segurança
A grande vantagem da segmentação via FortiGate é poder inspecionar o tráfego inter-VLAN com os mesmos perfis de segurança usados para tráfego à internet. Isso é fundamental para detectar movimentação lateral de malware dentro da rede corporativa.
Para tráfego de servidores críticos, ative IPS em modo prevent nas políticas de entrada. Para tráfego de IoT em direção à internet, aplique filtragem estrita de destino — esses dispositivos raramente precisam acessar mais do que alguns endpoints específicos do fabricante.
Use application control para identificar e bloquear protocolos de acesso remoto não autorizados (como TeamViewer ou ferramentas de RAT) que possam estar tunelando sobre portas liberadas.
Microsegmentação com FortiGate
Para ambientes mais críticos, é possível ir além das VLANs e implementar microsegmentação: controle de tráfego no nível de host individual, não apenas de subnet.
No FortiGate, isso é viável utilizando endereços dinâmicos baseados em tags de inventário do FortiClient EMS ou integração com Active Directory via FSSO. Cada host ou grupo de hosts recebe políticas específicas independentemente da VLAN em que está.
Microsegmentação é especialmente relevante para ambientes Zero Trust, onde a posição de rede não é mais suficiente para autorizar acesso — o dispositivo precisa estar em conformidade (patch atualizado, antivírus ativo) para receber acesso a recursos críticos.