Administrador configurando firewall FortiGate em interface web e CLI lado a lado
Guias e Tutoriais

Como configurar o Fortigate: do acesso inicial à criação de regras

Matheus Azzi 11 min de leitura

Eu sei que começar a configurar um Fortigate pode parecer intimidador no início. Já estive na mesma posição, diante de um equipamento novo, pronto para integrá-lo à rede e garantir que tudo fique seguro, ágil e funcionando sem surpresas. Neste artigo, vou guiar você passo a passo pelo processo – desde o primeiro acesso até a estruturação de regras de firewall e boas práticas que, com o tempo, se tornam naturais para quem busca aperfeiçoamento na área, como compartilho nos conteúdos do SECINFRA.

Primeiros passos: conhecendo o Fortigate e como acessá-lo

Toda configuração bem-sucedida começa pelo acesso inicial ao Fortigate. O equipamento pode ser acessado de duas maneiras: pela interface gráfica (Web GUI) e pela interface de linha de comando (CLI, ou Command Line Interface). Cada uma tem suas particularidades e situações em que são preferidas – e ao longo dos anos, percebi que conhecer ambas amplia as possibilidades na hora de gerenciar a segurança da rede.

Quando usar GUI e quando usar CLI?

Na maioria das instalações que fiz ou acompanhei, o acesso inicial ao Fortigate costuma ser realizado pela interface gráfica Web. Ela é visual, fácil de entender e permite configurar a maior parte dos recursos através do navegador, o que é excelente para quem está começando ou quer agilidade em ajustes rápidos.

Por outro lado, percebo que a CLI é fundamental para configurações avançadas, automações ou quando se perde acesso via web. Quem busca domínio total do equipamento, precisa pelo menos entender os comandos básicos da CLI.

Preparando-se para o primeiro acesso

Saindo do zero, você vai precisar conectar um cabo de rede da porta interna (geralmente ‘internal1’ ou ‘LAN1’) do Fortigate até o seu computador. Em muitos modelos, o endereço IP padrão da interface interna é 192.168.1.99 com máscara 255.255.255.0.

Conecte o cabo e configure seu computador com um IP da mesma faixa, algo como 192.168.1.100.

Após isso, abra o navegador e acesse https://192.168.1.99. Uma tela de login aparecerá.

  • Usuário padrão: admin
  • Senha: geralmente a senha será em branco

Entrando, você verá o dashboard inicial do Fortigate.

Se preferir acessar pelo CLI, pode usar um cabo serial diretamente ou telnet/SSH, dependendo do modelo e da configuração padrão. Recomendo manter ambos os métodos habilitados ao configurar para o dia a dia.

Configurando as interfaces de rede e IPs

Antes de pensar em liberar ou bloquear acessos, precisamos conectar o Fortigate à rede corporativa. As interfaces de rede são os pontos onde o tráfego entra ou sai do dispositivo. Saber nomear, configurar e entender cada interface evita confusões no futuro.

Definindo as interfaces

No menu da GUI, vá em Network > Interfaces.

Para cada interface, configure:

  1. Nome identificador
  2. Modo (Static, DHCP ou PPPoE)
  3. Endereço IP (fixo ou dinâmico, conforme o cenário)
  4. Máscara de rede
  5. Habilite ou desabilite serviço de acesso administrativo (HTTPS, SSH, Ping, etc.) – a depender de onde fica fisicamente seu equipamento

Definir endereços IP corretos desde o início facilita o troubleshooting e a expansão da infraestrutura.

Integrando o Fortigate à infraestrutura atual

Eu já tive casos em que uma configuração errada na interface derrubou a comunicação de toda uma filial. Por isso:

  • Confirme com o time de redes ou com quem gerencia o ambiente quais as faixas IP e gateways já usados
  • Dê nomes claros às interfaces, algo que explique facilmente para outros administradores, mesmo meses depois

Criando objetos: organizando endereços, serviços e grupos

No Fortigate, objetos facilitam o gerenciamento ao permitir que você agrupe endereços IP, ranges, nomes de usuários e até serviços (como “HTTP”, “DNS” ou “impressora”). Organizar objetos deixa as regras mais legíveis e evita erros de permissão.

Como criar objetos de endereço

Vá em Policy & Objects > Addresses e clique em “Create New”.

  • Defina um nome lógico e autoexplicativo (exemplo: “SRV-ERP_xxx.xxx.xxx.xx/32”, “IMP-SalaA_xxx.xxx.xxx.xx/32”, “RD_SERVIDORES_xxx.xxx.xxx.xx/24”)
  • Escolha o tipo: host único, range, subnet ou FQDN
  • Informe o IP ou faixa
  • Salve o objeto criado

Faça o mesmo com grupos, que reúnem vários objetos – usei muito, por exemplo, para criar exceções rápidas na política de acesso.

Criando serviços personalizados

Nem todos os serviços vão aparecer como padrão. Para aplicações internas, defina novos serviços em Policy & Objects > Services, indicando portas destino e protocolos usados.

Manter os objetos e serviços organizados faz cada minuto gasto na criação valer a pena, especialmente para ambientes complexos.

Configurando regras de firewall: liberando ou restringindo acessos

O coração de qualquer appliance de segurança são as regras de firewall. Sem elas, tudo seria aberto ou fechado em bloco – e a real proteção da rede começa nesse ponto.

Como estruturar regras no Fortigate

Na GUI, navegue até Policy & Objects > IPv4 Policy. Ali estarão as regras, que funcionam de forma sequencial (de cima para baixo):

  1. Crie uma nova regra (“Create New”)
  2. Defina o nome (exemplo: “Acesso_internet_colaboradores”)
  3. Escolha interface de entrada (Rede interna) e saída (Interface de internet ou SDWAN)
  4. Selecione os objetos de origem e destino (endereços, grupos)
  5. Defina o(s) serviço(s): HTTP, HTTPS, ALL, etc.
  6. Configure ações (ACCEPT para liberar, DENY para bloquear)
  7. Habilite logging para auditoria, se necessário

No artigo Guia: como criar regras no Fortigate, aprofundo detalhes de cada campo para diferentes cenários.

As regras podem ser tão restritivas ou abrangentes quanto você definir, mas sempre recomendo o princípio do “tudo negado, só o necessário liberado”.

Ordem das regras – por que ela importa?

Em algumas situações, um erro comum é autorizar sem querer um acesso proibido por montar regras abrangentes antes das mais restritivas. No Fortigate, a primeira regra que bater com o tráfego será aplicada e o processo para ali. Então:

  • Regras de bloqueio/negado ficam no topo
  • Permissões específicas logo em seguida
  • Regra generosa por último (ex: liberar tudo da rede interna para internet)

Uma regra mal posicionada pode abrir portas indesejadas, mesmo sem intenção.

Configurando NAT para saída à internet

Para que os dispositivos internos naveguem na internet, é necessário traduzir os endereços privados para o IP público do Fortigate, recurso conhecido como NAT (Network Address Translation).

No Fortigate, por padrão, o NAT é habilitado dentro da própria regra de firewall:

  1. Na regra de saída (LAN > WAN), marque a caixa “NAT”
  2. Normalmente, selecione “Use Outgoing Interface Address” – assim, todo o tráfego aparece vindo do IP da interface WAN
  3. Salve a regra

Se o NAT não for configurado, estações internas não conseguirão navegar na internet, mesmo com a regra de firewall correta.

DHCP: ativando e ajustando o servidor na LAN

No novo ambiente, pode ser útil que o próprio Fortigate distribua IPs, DNS e gateway para os dispositivos internos usando DHCP. Já tive redes que ganharam muito em gestão só por centralizar isso nele.

Para ativar o DHCP:

  1. Vá em Network > Interfaces e edite a interface interna que deseja habilitar o DHCP
  2. Habilite “DHCP Server”
  3. Defina range de endereços para distribuição automática (exemplo: 192.168.10.10 a 192.168.10.200)
  4. Configure gateway, DNS (interno, externo ou ambos), domínio, etc.
  5. Salve e monitore se as máquinas recebem IP conforme esperado

Manter o controle do DHCP pelo Fortigate permite políticas de segurança mais refinadas – como impedir dispositivos não autorizados de receber IP.

Boas práticas de segurança ao definir políticas e gerenciar o Fortigate

Proteção nunca é só sobre bloquear ou liberar portas: envolve atualização, auditoria e supervisão constante. Com o tempo, aprendi que são as práticas simples que evitam os grandes incidentes.

  • Renomeie o usuário “admin” e crie contas com permissões mínimas necessárias;
  • Ative a autenticação em dois fatores (2FA) para acessos administrativos;
  • Desabilite protocolos inseguros como TELNET e HTTP para administração, priorizando HTTPS e SSH;
  • Documente cada alteração e revisão de regra – uso planilhas, descrições e até comentários nos próprios objetos e regras;
  • Mantenha o firmware do Fortigate sempre atualizado;
  • Implemente logs e monitore eventos regularmente;
  • Defina políticas “default deny” no final da lista, liberando apenas o necessário.

Menos é mais. Quanto menos exposto, mais seguro.

Essas dicas, que sempre reforço em treinamentos do SECINFRA, fazem diferença no dia a dia da gestão de firewalls.

Backup e restauração de configuração: garantindo a continuidade

Uma das tarefas que nunca deixo de lado ao finalizar uma configuração (ou antes de atualizar qualquer firmware) é salvar o backup completo do equipamento.

No Fortigate, o backup pode ser feito em poucos cliques pela interface Web.

  1. Acesse Dashboard > System > Backup & Restore
  2. Clique em “Backup”, escolha o formato (plain text ou encrypted) e faça o download seguro do arquivo
  3. Armazene sempre em local protegido e, se possível, com controle de versões

Para restaurar, basta ir no mesmo menu e selecionar o arquivo desejado. No entanto, já vi casos em que a restauração falhou porque o firmware era mais antigo do que o backup. Fique atento ao versionamento.

Sugiro documentar onde e quando cada backup foi salvo, testando a restauração em ambiente de homologação quando possível. Assim, você garante não só a continuidade, mas confiança nas operações até nos cenários menos favoráveis.

Tela mostrando painel de backup e restauração no Fortigate Primeiros testes e validação da configuração

Depois que tudo está configurado, é hora de validar cada parte:

  • Tente navegar na internet por um computador da rede interna
  • Teste bloqueios (acesso a sites indesejados, portas restritas)
  • Simule falhas de VPN desligando interfaces ou mudando parâmetros
  • Analise os logs para checar correspondência com as regras
  • Documente quem aprovou as regras e a data da alteração

Os primeiros dias da operação são ideais para capturar pequenos ajustes necessários – suas anotações valem ouro nessa etapa.

Conclusão: estar preparado é meio caminho andado

Depois de anos trabalhando com redes, aprendi que dominar a configuração do Fortigate reforça não apenas a segurança, mas também a confiança da equipe e dos usuários atendidos. Do acesso inicial, passando pela criação de objetos, regras, NAT, DHCP e VPN, cada detalhe faz diferença no funcionamento estável e seguro da empresa.

Se você gostou desse passo a passo, recomendo acompanhar mais aulas e artigos semanais no SECINFRA. Lá, aprofundo dicas sobre configurações específicas e corrijo erros comuns para quem está começando ou já gerencia firewalls em ambientes profissionais. E se quer saber mais sobre como configurar o firewall Fortigate com exemplos práticos, veja também o guia do SECINFRA sobre firewall Fortigate – vale cada minuto investido.

Não espere algum problema acontecer: comece agora mesmo a revisar e documentar a configuração do seu Fortigate. Faça parte da comunidade SECINFRA e mantenha-se sempre um passo à frente em infraestrutura e proteção digital!

Perguntas frequentes sobre Fortigate

O que é o Fortigate e para que serve?

Fortigate é uma solução de firewall de próxima geração desenvolvida para proteger redes contra ameaças virtuais, controlar acessos e gerenciar o tráfego entre diferentes setores de uma empresa. Ele integra funcionalidades como UTM, VPN, filtros web, IPS e mais, tudo em um único equipamento, tornando possível proteger ambientes corporativos de variados portes.

Como acessar o Fortigate pela primeira vez?

Para acessar pela primeira vez, conecte seu computador a uma porta interna (por exemplo, “LAN”) usando um cabo de rede. Configure um IP fixo na mesma faixa do endereço padrão da interface do Fortigate, geralmente 192.168.1.99. Acesse pelo navegador em https://192.168.1.99, usando o usuário padrão “admin”. A senha pode ser em branco ou estar na etiqueta do equipamento em modelos mais novos. Prefira a interface gráfica para facilitar a configuração inicial.

Quais os passos para criar regras no Fortigate?

Após configurar as interfaces e objetos, vá em Policy & Objects > IPv4 Policy, clique em “Create New”, defina um nome, selecione interfaces de entrada e saída, escolha os objetos de endereço, serviços e configure se será permitido (ACCEPT) ou bloqueado (DENY). Distribua as regras em ordem lógica, do mais restritivo ao mais permissivo e não esqueça de habilitar registro (logging) para auditoria.

Como configurar o firewall do Fortigate?

Acesse o menu de políticas (Policy & Objects), crie ou edite regras que definem quais fontes podem acessar determinados destinos por um conjunto de serviços (como HTTP, HTTPS, etc.). Use objetos para tornar as políticas mais claras. Determine se deseja liberar ou negar acessos e use NAT caso precise permitir saída para internet. Assegure que a ordem das regras respeite sua estratégia de segurança.

Como salvar as configurações feitas no Fortigate?

Pela interface Web, acesse o painel de backup em Dashboard > System > Backup & Restore. Clique em “Backup”, selecione o formato desejado e faça o download do arquivo gerado. Guarde o backup em local seguro, fora do próprio Fortigate. Para restaurar, use o mesmo painel, selecionando o arquivo salvo. Sempre faça backup antes de atualizações ou grandes mudanças.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Posts relacionados