Como configurar VLANs por departamento no FortiGate com políticas inter-VLAN

Por que separar por departamento

A segmentação por VLAN departamental resolve dois problemas simultâneos: limita o impacto de incidentes de segurança e melhora a visibilidade do tráfego interno.

Com todos os dispositivos na mesma rede, um computador comprometido tem acesso direto a todos os outros — servidores financeiros, estações de TI, câmeras IP, impressoras. Com VLANs por departamento, o tráfego inter-departamental passa pelo FortiGate, que aplica políticas e perfis de segurança — limitando o que cada segmento pode alcançar.

Planejamento: definindo as VLANs

Antes de configurar, planeje a estrutura. Um modelo típico para médias empresas:

VLAN 10 — Usuários Geral: estações de trabalho de colaboradores sem acesso a sistemas sensíveis. Subnet: 10.10.10.0/24.

VLAN 20 — Financeiro: estações do departamento financeiro com acesso ao ERP e sistemas bancários. Subnet: 10.10.20.0/24.

VLAN 30 — Servidores: servidores de aplicação, arquivos e banco de dados. Subnet: 10.10.30.0/24.

VLAN 40 — IoT: câmeras IP, impressoras, dispositivos de automação predial. Subnet: 10.10.40.0/24. Sem acesso a outras VLANs — apenas saída para internet quando necessário.

VLAN 50 — Gestão: interfaces de gestão de switches, APs e outros equipamentos de rede. Subnet: 10.10.50.0/24. Acessível apenas pelo IP da estação de TI.

Criando subinterfaces VLAN no FortiGate

O FortiGate cria VLANs como subinterfaces de uma interface física (ex: internal ou port2):

Em Network > Interfaces, clique em Create New > Interface. Selecione o tipo VLAN, escolha a interface física de origem, informe o VLAN ID (ex: 10) e configure o endereço IP do gateway (ex: 10.10.10.1/24). Repita para cada VLAN.

Ative o servidor DHCP em cada subinterface VLAN em Network > DHCP Server — defina o range de IPs, gateway e DNS. O FortiGate passa a ser o gateway e o servidor DHCP de cada segmento.

Políticas inter-VLAN: controlando o tráfego entre segmentos

Com as VLANs criadas, todo tráfego entre elas passa pelo FortiGate. Agora é preciso criar políticas explícitas para cada fluxo que deve ser permitido — o padrão é negar tudo.

Exemplo de política: Usuários Geral → Servidores: crie uma política de VLAN 10 para VLAN 30 permitindo apenas as portas necessárias — TCP 445 (compartilhamento de arquivos), TCP 3389 (RDP para servidores específicos) ou as portas do ERP. Associe perfis de IPS e controle de aplicações.

Exemplo de política: Financeiro → Servidores: política específica para o segmento financeiro com acesso adicional ao servidor de banco de dados (TCP 1433, 5432 ou a porta do SGBD em uso).

IoT → qualquer coisa: negar toda comunicação da VLAN de IoT para as demais VLANs internas. Câmeras e impressoras não precisam se comunicar com estações de usuários ou servidores internos — se estiverem tentando, é sinal de comprometimento.

Integrando com Active Directory via FSSO

Para políticas baseadas em identidade de usuário — em vez de apenas IP de origem — integre o FortiGate com o Active Directory via FSSO (Fortinet Single Sign-On).

Com FSSO, o FortiGate sabe quem está logado em cada estação em tempo real. É possível criar políticas que permitem ao grupo Financeiro acessar o servidor de ERP, independentemente de qual VLAN ou IP a estação está usando. Isso é especialmente útil em ambientes com DHCP onde os IPs mudam entre sessões.

O agente FSSO é instalado em um servidor Windows (ou no próprio Domain Controller) e comunica os eventos de login ao FortiGate via conexão TCP segura.