🔧 Configuração de Interfaces e Zonas em FortiGate

Publicado em 7 de Novembro de 2024 | Por Seta TEC
HomeBlog → Configuração FortiGate

Interfaces e zonas de segurança são fundamentos da arquitetura FortiGate. Configuração adequada de interfaces define como o firewall se conecta à rede física, enquanto zonas agrupam interfaces logicamente para simplificar políticas de segurança. Este guia completo apresenta configuração passo a passo via interface gráfica (GUI) e linha de comando (CLI), cobrindo interfaces físicas, VLANs, agregação de links, zonas de segurança e melhores práticas para segmentação de rede corporativa.

Tipos de Interfaces no FortiGate

Tipo Descrição Uso Comum
Physical Portas Ethernet físicas WAN, LAN, DMZ
VLAN Sub-interfaces 802.1Q Segmentação lógica
Aggregate LACP/Static LAG Alta disponibilidade/banda
Loopback Interface virtual Gestão, VPN
Tunnel VPN IPsec/SSL Conexões remotas

Configuração de Interface Física via GUI

📸 Tela: Network → Interfaces

Caminho: Dashboard → Network → Interfaces

Elementos da tela:

  • Lista de Interfaces: Tabela mostrando todas as interfaces (port1, port2, etc.) com status (up/down), endereço IP, role e descrição
  • Botão "Create New": Cria VLAN, agregação ou loopback
  • Ícone de Edição: Clique para editar interface existente
  • Status LED: Verde (up), vermelho (down), cinza (disabled)

Passo 1: Acessar Configuração de Interface

  1. Faça login na interface web do FortiGate (https://IP-do-FortiGate)
  2. No menu lateral esquerdo, navegue: Network → Interfaces
  3. Localize a interface que deseja configurar (ex: port2)
  4. Clique no ícone de edição (lápis) à direita da interface

📸 Tela: Edit Interface - port2

Campos principais do formulário:

Seção "General":

  • Alias: Nome descritivo (ex: "LAN-Corporativa")
  • Role: Dropdown com opções: LAN, WAN, DMZ, Undefined
  • Addressing mode: Manual, DHCP, PPPoE
  • IP/Netmask: Campos para endereço IP e máscara (ex: 192.168.10.1/24)

Seção "Administrative Access":

  • Checkboxes: HTTPS, HTTP, SSH, PING, SNMP, FMG-Access
  • Trusted Hosts: Restringe acesso administrativo a IPs específicos

Seção "DHCP Server":

  • Enable: Checkbox para habilitar servidor DHCP
  • Address Range: Início e fim do pool (ex: 192.168.10.100 - 192.168.10.200)
  • Netmask, Gateway, DNS: Configurações distribuídas aos clientes

Passo 2: Configurar Interface LAN

Exemplo: Configurar port2 como LAN corporativa

  1. Alias: Digite "LAN-Corporativa"
  2. Role: Selecione "LAN"
  3. Addressing mode: Selecione "Manual"
  4. IP/Netmask: Digite "192.168.10.1/24"
  5. Administrative Access: Marque "HTTPS", "PING", "SSH"
  6. DHCP Server: Marque "Enable"
    • Address Range: 192.168.10.100 - 192.168.10.200
    • Netmask: 255.255.255.0
    • Default Gateway: 192.168.10.1
    • DNS Server: 8.8.8.8, 8.8.4.4
  7. Clique em "OK" para salvar
✅ DICA: Use o campo "Alias" para nomes descritivos que facilitem identificação em políticas. "LAN-Corporativa" é mais claro que "port2".

Configuração via CLI

Acesse CLI via SSH ou console web (Dashboard → CLI Console):

config system interface edit "port2" set vdom "root" set ip 192.168.10.1 255.255.255.0 set allowaccess https ping ssh set alias "LAN-Corporativa" set role lan set snmp-index 2 next end config system dhcp server edit 1 set dns-service default set default-gateway 192.168.10.1 set netmask 255.255.255.0 set interface "port2" config ip-range edit 1 set start-ip 192.168.10.100 set end-ip 192.168.10.200 next end next end

Configuração de VLANs

VLANs (802.1Q) permitem segmentação lógica em uma única interface física.

📸 Tela: Create New Interface → VLAN

Caminho: Network → Interfaces → Create New → Interface

Formulário de criação de VLAN:

  • Interface name: Nome da sub-interface (ex: "VLAN-Vendas")
  • Type: Selecione "VLAN"
  • Interface: Dropdown para selecionar interface física pai (ex: port3)
  • VLAN ID: Campo numérico (1-4094, ex: 10)
  • Role: LAN, WAN, DMZ, Undefined
  • IP/Netmask: Endereço IP da VLAN

Exemplo: Criar VLAN para Departamento de Vendas

  1. Em Network → Interfaces, clique "Create New" → Interface
  2. Preencha os campos:
    • Interface name: VLAN-Vendas
    • Type: VLAN
    • Interface: port3
    • VLAN ID: 10
    • Role: LAN
    • IP/Netmask: 192.168.20.1/24
  3. Configure DHCP se necessário
  4. Clique "OK"

Configuração via CLI

config system interface edit "VLAN-Vendas" set vdom "root" set ip 192.168.20.1 255.255.255.0 set allowaccess ping set alias "Departamento Vendas" set interface "port3" set vlanid 10 set role lan next end

Zonas de Segurança

Zonas agrupam interfaces com requisitos de segurança similares, simplificando políticas.

📌 CONCEITO: Ao invés de criar políticas individuais entre cada par de interfaces, crie zonas e políticas entre zonas. Exemplo: zona "LAN" agrupa todas as interfaces LAN; política única "LAN → WAN" cobre todo tráfego de saída.

Criar Zona via GUI

📸 Tela: Network → Interfaces → Create New → Zone

Caminho: Network → Interfaces → Create New → Zone

Formulário de criação de zona:

  • Zone Name: Nome da zona (ex: "ZONE-LAN")
  • Interface Members: Lista de checkboxes com todas as interfaces disponíveis
  • Intra-zone Traffic: Dropdown: Allow, Deny (controla tráfego entre membros da zona)

Exemplo: Criar Zona LAN

  1. Em Network → Interfaces, clique "Create New" → Zone
  2. Zone Name: ZONE-LAN
  3. Interface Members: Marque port2 (LAN-Corporativa), VLAN-Vendas, VLAN-TI
  4. Intra-zone Traffic: Selecione "Allow" (permitir tráfego entre VLANs da mesma zona)
  5. Clique "OK"

Configuração via CLI

config system zone edit "ZONE-LAN" set intrazone allow set interface "port2" "VLAN-Vendas" "VLAN-TI" next end

Agregação de Links (LACP)

Link Aggregation combina múltiplas interfaces físicas para aumentar banda e redundância.

📸 Tela: Create New Interface → Hardware Switch

Caminho: Network → Interfaces → Create New → Interface

Formulário de agregação:

  • Type: Selecione "802.3ad Aggregate"
  • Interface name: Nome do agregado (ex: "LAG1")
  • Interface Members: Selecione portas físicas (ex: port5, port6)
  • Mode: LACP (dinâmico) ou Static (manual)
  • LACP Mode: Active (inicia negociação) ou Passive (aguarda)

Exemplo: Criar Agregação LACP

  1. Em Network → Interfaces, clique "Create New" → Interface
  2. Type: 802.3ad Aggregate
  3. Interface name: LAG1
  4. Interface Members: port5, port6
  5. Mode: LACP
  6. LACP Mode: Active
  7. Configure IP e role conforme necessário
  8. Clique "OK"
⚠️ ATENÇÃO: Switch conectado também deve ter LACP configurado nas portas correspondentes. Modos incompatíveis (Active/Passive) impedem formação do LAG.

Configuração via CLI

config system interface edit "LAG1" set vdom "root" set ip 10.0.1.1 255.255.255.0 set allowaccess ping https ssh set type aggregate set member "port5" "port6" set lacp-mode active set role lan next end

Verificação e Troubleshooting

Comandos de Diagnóstico

# Verificar status de interfaces get system interface physical # Detalhes de interface específica diagnose ip address list | grep -A 10 port2 # Status de VLAN diagnose sys vlan-switch list # Status de agregação diagnose netlink aggregate list # Verificar zonas diagnose firewall zone list # Testar conectividade execute ping 192.168.10.100

Problemas Comuns

Problema Causa Provável Solução
Interface down Cabo desconectado, porta desabilitada Verificar cabo físico, habilitar interface
VLAN não funciona Switch não configurado para trunk Configurar porta do switch como trunk 802.1Q
LACP não forma Modos incompatíveis Usar Active/Passive ou Active/Active
Sem acesso admin Administrative Access não habilitado Habilitar HTTPS/SSH na interface

Melhores Práticas

  1. Use Aliases Descritivos: Facilita identificação em políticas e logs
  2. Restrinja Acesso Administrativo: Habilite apenas em interfaces confiáveis (LAN), use Trusted Hosts
  3. Implemente Zonas: Simplifica gestão de políticas em ambientes com muitas VLANs
  4. Documente VLAN IDs: Mantenha planilha com mapeamento VLAN ID → Departamento
  5. Use Agregação para Uplinks: Conexões para switches core devem usar LACP para redundância
  6. Segmente por Função: Separe usuários, servidores, gestão, convidados em VLANs/zonas distintas

Arquitetura de Referência

📐 EXEMPLO DE SEGMENTAÇÃO:
  • port1 (WAN): Conexão com ISP - 200.1.1.2/30
  • port2 (LAN-Corp): Usuários corporativos - 192.168.10.1/24
  • port3.10 (VLAN-Servidores): Servidores internos - 192.168.20.1/24
  • port3.20 (VLAN-Gestao): Gestão de equipamentos - 192.168.30.1/24
  • port3.30 (VLAN-Convidados): WiFi guest - 192.168.40.1/24
  • port4 (DMZ): Servidores públicos - 10.0.1.1/24
  • LAG1 (port5+port6): Uplink para switch core - 10.0.10.1/24

Zonas:

  • ZONE-LAN: LAN-Corp, VLAN-Servidores, VLAN-Gestao
  • ZONE-GUEST: VLAN-Convidados
  • ZONE-DMZ: DMZ

Conclusão

Configuração adequada de interfaces e zonas é fundamento para segurança e performance em FortiGate. Interfaces físicas conectam firewall à rede, VLANs segmentam logicamente, agregação aumenta capacidade, e zonas simplificam políticas. Siga melhores práticas de nomenclatura, restrinja acesso administrativo, e documente sua arquitetura. Com base sólida em interfaces e zonas, você está pronto para configurar políticas de firewall, NAT, VPN e serviços avançados.

Precisa de Firewalls FortiGate?

A Seta TEC oferece locação e venda de firewalls Fortinet, configuração profissional, suporte 24/7 e consultoria especializada.

💬 Solicitar Orçamento 🔥 Ver Modelos

📚 Artigos Relacionados

💬

📧 Precisa de Ajuda Técnica Especializada?

Nossa equipe técnica está pronta para ajudar você a implementar, configurar ou resolver qualquer desafio de infraestrutura de TI. Preencha nosso formulário de contato e retornaremos em até 24 horas.

Preencher Formulário de Contato → 💬 Falar no WhatsApp