Aula 3 - FGT 7.2 - Introdução ao Fortigate - Instalação e configuração inicial (Parte final)

fala pessoal sejam bem-vindos de volta ao meu canal eu sou o Vinícius fiorotto e essa nossa última aula de introdução ao Ford Gate na aula de hoje nós vamos aprender como que eu configuro uma interface no meu forte Gate como que eu configuro o vilã como que eu configuro ele como DHCP server como que eu configuro ele como DNS server e também alguns recursos de manutenção Como que eu faço um backup no meu Ford rate como que eu atualizo a versão de firma do meu Ford Gate e a visão de alguns status da nossa caixa também se esse vídeo está te ajudando a aprender mais sobre o português não esqueça de deixar um like no vídeo para me motivar continuar criando esse conteúdo compartilha com seu amigo que também tá aprendendo sobre o inss4 e se inscreve no canal os últimos vídeos tivemos boas visualizações mas poucos inscritos e também não custa nada né só apertar o botãozinho aí embaixo e se inscrever no canal e isso vai me motivar bastante para continuar essa série de vídeos da fortnite no próximo vídeo a gente começa a falar sobre as políticas no português né como que eu crio pó esses dentro do meu português e como que é a de política do nosso Fire eu diria que é uma das coisas mais importantes né dentro de um Fire seria as suas políticas então não deixe de ativar o Sininho para vocês receberem né as notificações dos vídeos novos que estão sendo criado aqui no canal Tá bom vamos lá para nossa aula bom aquelas configurações de acesso à porta eu coloquei lá na minha interface parte 1 via cli mas agora que eu tenho acesso a interface gráfica eu posso colocar via interface gráfica habilitados habilitar esses protocolos na cli eu tenho muito mais protocolos do que esse né mas aqui eu tenho https http só tá aqui porque eu configurei http por padrão http pessoal é possível colocar na interface cli então abrir outra porta aqui que eu não configurei e veja que eu só tenho https Pink não tem o telnet né tem o SSH mas quando eu configuro essas informações não segura na cli ele passa a aparecer aqui também como http se eu configurar assim o nosso tel apareceria até o net aqui também mas ele só aparece a primeira vez via cli tá então aqui eu também posso colocar essa MMP para essa interface enviar FMG access que é para o acesso do Forte Manager quando meu Fire tá sendo a lhe gerenciado via forte Manager Eu posso também habilitar aqui o ftm que é o nosso é forte Toke mobile puxe né quando eu tenho ali esse formato de de forte token dentro do meu ambiente Ele oferece essa solicitação ao suporte do fortup na interface radios acount eu posso mandar para um log né de radios ali as informações e sei que ele te ver que quando eu vou trabalhar com cerca de febre aqui no meio ambiente eu habilito isso tá esse teste eu posso habilitar para ele fazer testes ali na interface a velocidade colocar isso em gráfico lá no meu dashboard depois o fortgate também trabalha com lldp né protocolo aberto aí para descoberta de redes o nosso link ler Discovery protondp posso colocar tudo por uma virtual do homem eu vou falar já já de virtual do Man ou eu posso habilitar ou desabilitar o lldp dentro desse ambiente tá o nosso interface também trabalha com DHCP Então o meu fortegate pode ser DHCP da minha rede onde eu vou colocar Qual é o Range que ele vai entregar de p aqui qual é a máscara se ele vai pegar o de fuga e descendo essa própria interface ou eu posso especificar quem é o defugator DNS se ele vai pegar o próprio do sistema aqui por padrão ele tá usando o DNS da forte guarde mas eu poderia ter um específico DNS 888 do Google ou 1. 1. 1.

1 da Cloud flaire né se for o padrão ele pega esse próprio DNS da forte guard então aqui no DHCP eu poderia falar se eu quero que ele usa esse DNS eu colo colocar o mesmo DNS que essa interface tá ou especificar um DNS que eu quero que ele busque aqui o time quanto tempo essa pessoa vai ficar com aquele IP para ela né aquela máquina que solicitou Ipê isso em segundos na parte de Advanced eu tenho aqui o formato né se ele vai ser server ou se ele vai ser rei lei se ele for server ele entrega os Ipês se ele for rei eu falo qual é o DHCP que ele tem que pegar aquele P né então quando a gente trabalha com DHCP ou DHCP funciona mais ou menos assim a máquina dentro do ambiente vai solicitar um IP nosso forte Gate sendo DHCP server na hora que essa máquina entra dentro da rede ela quer um IP ela vai mandar um DHCP Discovery para quem ela manda isso ele vai mandar isso via broadcast para todo mundo dentro da rede buscando na porta meia sete a origem que vai ser esse cara que vai ser a porta 68 e ele vai mandar abrir a broadcast para porta 67 que é a porta do servidor de DHCP esse DHCP estando dentro da rede ele vai responder com DHCP offer de oferta via e unicast só para aquela máquina na porta 68 então ele vai falar ó Eu tenho eu sou DHCP server da rede e eu te ofereço esse P você quer esse p e ele vai mandar um DHCP request via broadcast novamente porque via broadcast para todas as outras máquinas no ambiente saber que ele aceitou aquele peito DHCP enviou então ele vai fazer isso para todas as máquinas no ambiente já irem atualizando suas tabelas arp e ele vai responder isso para todo mundo na rede que tá requisitando esse o IP que foi ofertado pelo DHCP server Tá e por último servidor de DHCP responde com a mensagem de DHCP é que dia que nós OK recebi a sua informação Então essa primeira comunicação klight manda para o servidor de DHCP para todo mundo na rede buscando o servidor DHCP responde com a oferta de IP ele requisita esse IP para ele e o servidor libera esse pape para o equipamento só que quando eu tenho uma rede de DHCP então isso aqui é quando eu tenho na mesma rede broadcast Por que equipamentos de ler 3 eles param um broadcast numa rede como DHCP trabalho em cima de broadcast quando eu tenho uma rede de servidores e eu tenho um DHCP server nessa outra rede e eu quero que esse cara pegue o IP deste de hcp server ele mandaria um broadcast aqui na rede e o fire bloquearia esse broadcast e ele não conseguiria chegar esse DHCP server por isso existe o formato de lei eu coloco que quando vi uma solicitação de DHCP um broadcast com destino a todo mundo na porta 67 eu mando isso via unicast diretamente para o servidor de idhcp E aí esse servidor de DHCP me entrega um IP e eu entrego para aquela máquina este formato dentro do de DHCP lá no formato de rei lei serve para fazer esse encaminhamento via e unicast para diretamente para aquele servidor de DHCP aí não é o forte Gate que faz esse papel então quando eu utilizo aqui nesse formato de relei eu coloco aqui qual é o IP do meu DHCP server para ele fazer essa busca tá se ele for o servidor ele que entregar os Ipês aí eu posso colocar aqui se ele vai Qual é o tipo de DHCP de comunicação se é regular sem criptografia ou se tem criptografia ntp se eu quero especificar uma interpretava para essa comunicação pegar o forte Gate Como temperar eu colocar o mesmo do sistema né no caso do nosso aqui pegando lá da Ford guard se eu deixar específico e não colocar nada não vai ter nem tempo server aqui essa parte de Controller se eu tenho uma Controller externa e eu quero mandar por exemplo numa rede de APS e eu quero mandar informação de quem é controladora que tá numa rede diferente e eu vou entregar para os meus AP o via DHCP o IP para aquela P mas eu quero que ele saiba com quem que ele tem que se comunicar para fechar o túnel keep web ali da minha rede sem fio eu vou colocar para ele especificar Qual é o ip da minha Controller ou se a minha Controller foi o próprio Ford Gate nos formatos de forte ap aí eu posso colocar que é o mesmo interface aqui tá time Zone eu posso utilizar específico um time Zone nessa parte de Next Blue strep server se eu tiver um dhc PC com Darius balanceando com esse DHCP aqui eu posso colocar Qual é ele e eu posso também adicionar informações de tftp server aqui dentro e adicional de hcp options eu posso adicionar informações que eu quero adicionar mais no meu dega por exemplo mandar informações quando for uma rede de telefonia IP e eu quero mandar informação específica do meu pé BX aí eu posso adicionar um tipo novo aqui de entrada no meu DHCP para ser enviado via o meu DHCP server para aquele equipamentos para aquela rede de telefonia IP por exemplo tá aqui em IP address a sigmant to rules eu posso criar entradas reservas através do macdons eu posso bloquear aquele macdons eu posso assinar o IP ele já é o padrão então qualquer IP pode ter pegar um IP no meu DHCP então não faria muito sentido mas eu poderia bloquear aquele macdo ele não pegar IPVA meu DHCP ou eu poderia colocar uma reserva esse macdores vai sempre pegar esse mesmo IP do Range né então reservaria aquele P para aquele dispositivo específico ali mas para frente falamos dessa parte aqui de Network detection e Security mode isso aqui quando a gente fala de Security Faber que isso aqui quando a gente vai falando de autenticação mais específico com Captiva e Portal trapic Shape eu posso adicionar um Traffic Shape específico nessa Interface para a largura de banda maximizar quando a gente for falar de Traffic Shape a gente volta aqui também e eu posso habilitar ou desabilitar interface também do meu equipamento tá as nossas interfaces podem pegar IP Então na hora que eu configuro Ipê a laser que nem a gente fez no início da configuração colocamos o IP manualmente o 92682. 20 lá via cli eu posso colocar aqui também na interface gráfica mas na interface gráfica Eu posso também pegar um IP na interface via DHCP através do alto managebai a e b i am aqui que é um software da própria fortnite para fazer esse tipo de configuração nós temos o formato de One warm sniffer que esse formato aqui serve para captura de dados para uma rede que vai fazer ali um porta mirror né Então vai fazer ali uma porta espelhada um spam e equipamento cisco por exemplo Então não vai ter IP ele só vai ter um tráfego espelhado vindo pra gerência da da nossa interface porém Fiquem tranquilos que nós vamos falar desses assuntos mais à frente um pouco mais a fundo e eu também consigo colocar para minha interface e pegar via ppp né como aquele cenário que eu tenho algo como uma operadora em modo Bridge eu posso colocar para ela fazer ali a captação via ppp oe mas a primeira configuração tem que servir a cli então eu posso acessar CL aqui diretamente na caixinha de diálogo e colocar o comando config System interface Edite corte vou editar dois aqui só porque a porta um é a nossa gerência e não fazer nenhuma alteração nela nesse momento vou colocar aqui sete molde ppppoe Andy para salvar Quando eu for nessa interface novamente interfaces e na parte 2 agora também tem um formato de PPP oe para colocar o usuário e senha da operadora e fazer essa captura do usuário através do ppppo então é outra forma de ser gerenciar e pegar IP nessa interface do nosso Fire tá uma coisa bacana que nós temos aqui dentro da nossa interface é dar Ilhas para essa interface então ele vai nos ajudar a ter um nome é amigável né é um friendly então por exemplo se isso aqui foi uma interface de redelan ou de One eu poderia colocar aqui ó que é a minha interface de lã isso não vai fazer alteração no meu Fire Então se eu tenho por exemplo políticas de Fire já criada algo criado em cima dessa interface quando dou um nome para ela vai se manter todas essas configurações eu não vou perder nada então pode colocar o nome pode colocar esse fone dele name via a eles bem tranquilamente que você não vai parar o seu ambiente tá outra coisa que eu posso determinar na minha interface é a Rule dessa interface então por exemplo essa interface eu posso definir que ela é uma interface de rede lã interfaces de rede lá eu posso ter Captiva e porta eu posso detectar dispositivos aqui né então vou colocar aqui Manual então eu posso colocar aqui Security mode pra ter Captiva e porta eu posso fazer detecção de dispositivos nessa rede nós vamos falar sobre isso mais à frente é eu posso habilitar DHCP nessa rede né Diferente de quando eu tenho uma rede ali de One na rede de One eu posso colocar o IP manual pegar via DHCP de ppoe mas vejam que eu não tenho device detection como é que eu vou Detectar todos os dispositivos que estão na internet né Isso é muito Custoso por esse motivo eu não tenho essa informação aqui e quando eu tenho Ah uma coisa que eu tenho aqui esqueci de falar é o Ben do IF né então eu coloco aqui qual é a contratação do meu link então se eu tenho um link de 100 Mega eu coloco aqui em kbps ou de 50 megas eu vou colocando aqui em kbps essa quantidade e quando eu vejo os gráficos lá nos meus status dashboard status eu consigo ver esse teto máximo quanto que tá consumindo do meu link ali né então esses valores não vai alterar nada na na nossa interface é simplesmente semântica para mim poder ter uma visão melhorada do meu ambiente tá E no formato de dmz veja que eu não tenho um DHCP Mas como é uma rede de uma zona desmeterializada do meio ambiente né aquela minhas publicações para internet geralmente são servidores e servidores não pega IPVA e a DHCP então não tem um DHCP server porém eu posso detectar os dispositivos dessa rede né do meu servidores ali dentro desse ambiente eu posso fazer essa verificação tá então dentro aqui desses formatos de Rule se eu deixar como Indefinido eu tenho todos os principais recursos das três né isso daqui também é semântica é para eu conseguir trabalhar de forma mais amigável na minha interface definisse ela é uma lança ela é um lance ela é uma dmz tá mas se eu colocar como Indefinido aí eu posso colocar o padrão que eu quiser aqui dentro vai funcionar tudo de da forma correta o meu forte Gate eu também posso criar velas né então Imagine que essa minha interface eu tenho ali um ambiente desse formato nesse formato eu posso ter aqui um Switch que possa falar só camada dois ou um Switch ler 3 tanto faz mas o importante é que as velas falam na camada dois né e eu posso ter esse Switch ligado no Forte Gate o meu forte Gate que vai ser o meu ler 3 da rede ele que vai gerenciar essas velas né no formato ali o roteo night Stick né Todo mundo vai passar por dentro desse mesmo link aqui ele vai ter as interfaces de velas virtuais ali para gerenciar Então nesse formato eu tenho aqui dentro desse cara várias velazinhas criadas por exemplo avelã 10 para ti eu posso ter avelã 20 para o RH eu posso ter avelã 30 para diretoria mas eu quero que o forte Gate gerencia o IP dessas velas então eu posso criar uma avelã vindo desse cara né então no Switch aqui estaria em montrec se for nos universo cisco ou like cisco mas eu poderia ter também nesse fone um dispositivo de outro vendedor o modo Tiger Então esse modo Tiger é o modo Trunk para quem tá acostumado aí no formato dos ambientes físicos e no Forte Gate eu crio as minhas vilãs naquele link né então vamos fazer usar a nossa porta dois ali como se fosse a minha interface de rede lá ali do nosso ambiente bom para mim criar uma vilão interface vou dar um nome para minha avelã vai chamar avelã 10 Williams o Fred name vai se chamar o tipo vai ser velando depois a gente fala dos outros tipos de criação aqui de interface o protocolo nós vamos utilizar o 8021q Né o dot One kill que é o protocolo mais utilizado aí foi lá em 98 né tem aqui o 8021 AD também na versão 7. 2 nas anteriores não tinha essa essa função o 8021 AD foi uma atualização do Dot One kill feito em 2011 essa atualização aqui foi feita para conseguir trafegar outras vilãs de clientes dentro do header de camada 2 muito utilizado ali por operadoras né então eu consigo fazer com que os fornecedores de serviço transporte velas ali de clientes Entulhos estanques né mas o mais comum dentro de enterprise né redes é de empresas 8021q tá então aqui dentro de interface vou selecionar uma interface vou pegar aqui a parte 3 que eu não fiz nenhum alteração nela né as outras eu fiz alteração colocar aqui avelã 10 posso colocar um IP para ela vou colocar aqui um nove dois 8 10.

1/24 vou colocar apenas ping para essa vela analisar simplesmente ping nada mais que isso Possivelmente aqui nós teríamos um erro ao aplicar por lá questão de não ter licença né E a gente já tem a quantidade de interfaces que essa licença gratuita deixa né E aí eu não posso criar mais uma interface vê lá vamos ver é isso mesmo ela falou que tem o máximo de números de entradas né já aplicadas ali então é isso aqui é uma limitação que a gente tem por conta de estar usando essa versão gratuita é a gente vai ter muitas limitações na versão gratuita então eu vou sempre utilizar nos conteúdos para vocês verem funcionando de fato é recursos com licenciado tá então você para vocês conseguirem ver um web Filter funcionando um application control né então eu vou utilizar Fire que tem a licença para vocês verem isso acontecendo de fato Fiquem tranquilos mas eu quero que vocês façam um laboratório de vocês para o mínimo vocês conseguirem é mexer aí no dia a dia coisas é vocês não vão conseguir simular sem a licença do Forte Gate tá bom como que eu crio uma rota estática né a gente já criou via cli Mas eu posso criar via interface gráfica também vendo increate New coloca qual é o IP destino Qual é o Gateway desse destino e a interface que vai sair e aqui a distância administrativa Quando a gente chegar lá no capítulo de roteamento aí a gente vai e mais a fundo Nessas questões aqui de roteamento eu explico o que que é uma distância administrativa o que que é que uma praia tá então Fiquem tranquilos que chegando lá na frente a gente fala mais sobre isso mas só para vocês saberem que Aqui é onde eu crio o meu roteamento estático se eu tiver que ter um link de internet eu sou obrigado a ter mais rota estática defu então é aqui que eu crio minha rota de fogo qualquer IP de destino com qualquer máscara manda para esse Gateway que geralmente a internet né meus roteamentos dentro de casa são mais específicos e hoje em dia a gente já inicia o falha ali utilizando quando for falar de S de One vocês vão ver que é muito mais tranquilo eu já nasci com um SDU E aí mesmo que eu tenho um link ou dois links é melhor já nasci dessa forma para quando a minha empresa for crescendo eu já tá dentro de um padrão melhor para o meu ambiente e assim eu não preciso ter o esforço de alterador da minha topologia para habilitar o sd One bom nosso forte Gate também consegue fazer de DNS server para habilitar server ela não vem habilitada por padrão aqui eu só tenho simplesmente a visão de DNS do próprio Fire onde ele busca né o seu domínio server Mas eu posso habilitar também o meu DNS server vindo em System featureza e bilhetes e habilitar aqui a função de DNS dele a base a partir do momento que eu apliquei essa informação no meu fortgate também terá a informação de DNS server e eu posso criar uma entrada de DNS para uma interface né então pegar aqui a minha parte aqui eu posso falar que ele é um DNS recursivo né DNS recursivo ele vai que é primeiro analisar dentro do desse DNS se tem entradas de rede Se ele não encontrar nada de entrada de nome de domínio aí ele vai para o DNS que tá aqui se eu colocar como não recursivo ele só vai olhar aqui no fortgate eu tenho essa entrada de nome de domínio não não tem então ele não procura na internet não procura no DNS externo e aí eu não vou chegar naquele site se eu não tiver essa entrada cadastrada aqui na interface do meu português e se eu colocar como Fall world to System DNS é para ele encaminhar para o DNS de sistema então era a mesma coisa que ter isso desabilitado né O que a gente mais utiliza é o recursive e uma coisa importante que quando eu tô utilizando o meu forte Gate ele não é recomendado para ser DNS público tá então sem o meu DNS principal para Internet isso aí utilize de outras plataformas né Tem um forte DNS Mais também pode ser conforte a descer que é o balanceador de carga que tem o DNS integrado também ou você pode utilizar um DNS externo numa Cláudia como WS né DNS o DNS do gcp pode ser utilizado também após criar minha entrada de DNS server Eu posso também criar minha entrada de DNS e da base Onde eu posso falar que esse aqui é meu DNS primário ou secundário né eu posso colocar ali que ele é uma cópia ou ele é público né dentro do meio ambiente posso criar uma zona né devo criar aqui uma zona Então vou colocar aqui Lab ponto local Essa vai ser a minha zona também o meu nome do domínio né Vou colocar aqui Lab ponto local bom E aqui dentro feito isso eu posso criar minhas entradas de DNS para esse cara então eu posso colocar entrada Azul tipo A então para IPVA quatro posso colocar entradas do tipo ah para ip6 né for Ei né então para ipv6 ali eu posso utilizar a entradas para nem me serve né então adicionar outros servidores de domínio então quando eu abro ali algum site host fortnite. com eu tenho aqui os Ipês da internet a partir de snp Então deixa eu dar um Ruiz a fortnite. com e aqui eu também tenho as minhas entradas de nome de domínio deixou eu achar ele aqui nem server então eu posso adicionar quem é o servidor de domínio para aquele domínio e ele também fazer essas buscas para esses Snap serve eu posso adicionar isso dentro da minha zona é de domínio aqui do meu forte Gate posso colocar entrada de cinema canone cal name que é já existe uma entrada do tipo ah ou do tipo A e eu não posso criar duas para o mesmo IP destino mas eu posso criar nomes alternativos Então coloca o qual é o nome do host name que já existia e para onde que ele vai ser enviado agora o que que ele vai digitar posso ter entradas de meio Exchange né então meu MX isso aqui utiliza-se muito para quando eu tenho um servidores internos de e-mail ou que seja externo mas eu tenho uma cópia dentro de casa pode ser também E aí eu vou usar aqui o meu MX para fazer essa correlação com o meu servidor de e-mail entregar isso DNS server que é meu servidor de meio assim como nós vimos aqui dentro do cale que esse aqui é o meio server da fortnite né o smtp.

fortnet. com ele deve ter outros smtp server esse daqui deve ser apenas o primário deve haver outros também Esses são tipos de entradas que eu consigo colocar no nosso DNS e para a gente finalizar essa aula vou falar um pouquinho sobre a manutenção básica do meu português coisa importante como que eu faço backup do meu forte Gate venho aqui no nome do usuário configuration backup posso fazer o backup local ou via USB posso fazer o backup no formato do Forte os que ele trabalha com linguagem XML posso fazer também o download no formato de I am metal nesse formato aqui ele faz uma linguagem mais reduzida então a linguagem seria neste formato aqui um pouco reduzido né então esse aqui é o formato de fogo do meu português então a configuração neste formato aqui olhando todas as configurações em XML vejam que no formato de i'mall ela é mais reduzida Então nesse formato aqui de I'll Now ele vai ter ali é mais performance por ser menor mas ele é mais utilizado para quando eu quero fazer algum tipo de desenvolvimento viapi para buscar alguma informação do Forte Gate essa linguagem é melhor para essa minha comunicação via api então eu posso utilizar ali o download nesse formato e ali eu vou ter todas as configurações do Forte Gate neste formato tá quando eu vou fazer o meu backup simplesmente eu falo o local e dou um ok vejam que quando eu faço backup diretamente sem criptografia então consigo enxergar todas as configurações feitas dentro do Ford Gate ou eu posso também fazer no formato criptografado no formato criptografado Vou colocar aqui a senha forte net fortnite e vejam que nesse formato criptografado eu não tenho essa visão do que tem dentro do arquivo né a única coisa que eu vejo é tudo que criptografado de fato é se eu abrir através de um que não seja o Note Pad mas por exemplo um Word ele vai me dar a visão pelo menos de qual é a versão do Fire Então nesse formato Eu só consigo enxergar que é um forte Gate VMA na versão 7. 2 e aqui a build qual é a versão já na versão dele sem criptografia eu tenho a visão toda inclusive também qual é a versão do Forte Gate aqui e a BIOS de que ele está então uma coisa muito importante é sempre que eu vou fazer voltar um backup para o forte Gate que é muito fácil voltar esse backup vem aqui em configuration Esse meu restore tem que ser na mesma versão de firmer e na mesma caixa Então quando vocês precisarem abrir o chamado junta forte net nunca mandem no formato criptografado porque para ele abrir isso ele tem que voltar o backup dentro daquela caixa no mesmo modelo que você tem então se você tem 200 F técnico lá na fortnite tem que ter na bancada também F para ele poder abrir o seu arquivo e quando eu mando ele sem criptografia ele consegue ver e ler ali o arquivo né independente da versão Então sempre que for chamado com a fortnite não que photografa o arquivo para enviar para fortnite eles não vão conseguir ler esse arquivo que eles não vão ter todos os modelos em bancadas simplesmente para abrir mesmo que você mande a senha tá E para finalizar Como que eu faço o upgrade de firmar do meu português aqui dentro antigamente era insiste em firma tá Mudou o nome na versão 7.

2 E aí eu posso fazer o upgrade aqui das versões que ele me der de informação né E aí ele me pode me dar um upgrade de formato online ele mesmo já me traz todos os upgrades ali se eu tiver licença Mas eu posso também fazer o upgrade através de arquivo né Então para mim fazer o upgrade também eu posso vir aqui selecionar a caixa em upgrade E aí eu posso selecionar o arquivo que ele me recomenda ou também subiu o arquivo aqui para dentro upload da firmer e atualizando a partir deste upload tá então eu posso fazer desses dois formatos para mim fazer o download de um arquivo de firmware eu tenho que acessar o meu [Música] suporte. fortenet.