Saltar al contenido

Proteger un servidor web con DMZ

Una red DMZ es una red segura, protegida por el FortiGate, la cual sólo permite el acceso si éste ha sido explicitamente autorizado.

Una regla de firewall de WAN a DMZ con una Virtual IP (VIP) utiliza source NAT para esconder la dirección del servidor, permitiendo a los usuario externos acceder a través de la IP pública. Para los usuarios internos, una regla LAN a DMZ permite el acceso a través de la dirección DMZ.

Configuración de la interface DMZ
  1. En Network ingresamos a Interfaces
  2. Seleccionamos el puerto que vamos a utilizar. En algunos modelos de FortiGate hay un puerto predeterminado llamado DMZ, pero si no lo hay, podemos utilizar cualquier puerto que tengamos sin uso
  3. En la siguiente pantalla deberemos completar los siguientes datos:
    • Alias- Escribimos un nombre con el cual identifiquemos a la interface (por ej.: DMZ server network)
    • Role – DMZ
    • Adressing mode – Seleccionamos manual
    • IP/Network Mask – Escribimos la IP y la máscara de subred de la interface
    • Administrative Acces – Para mayor seguridad, dejamos todo sin habilitar
Creación de un Virtual IP:
  1. En Policy & Objects ingresamos a Virtual IPs
  2. Hacemos click en Create New
  3. En la siguiente pantalla deberemos completar los siguientes datos:
    • Name – Elegimos un nombre con el que luego identifiquemos la VIP
    • Interface – Seleccionamos la interface WAN a travé de la cual ingresarán los usuarios externos
    • External IP Address/Range – Escribimos la IP pública desde la cual se va a acceder
    • Mapped IP Address/Range – Escribimos la IP privada correspondiente al servidor
    • Protocol – Seleccionamos el protocolo TCP
    • External service port – 80 o 443 según usemos HTTP o HTTPS. Lo recomendable es crear una VIP para cada uno
  4. Click sobre OK
Creación de las reglas de firewall (firewall policies)
  • Primero crearemos una regla que permita el acceso desde internet al servidor, a través de la DMZ:
    1. En Policy & Objects vamos a IPv4 Policy
    2. Hacemos click en Create New
    3. En la siguiente pantalla deberemos completar los siguientes datos:
      • Name – Elegimos un nombre con el que luego identifiquemos la regla (por ej: WAN-a-DMZ)
      • Incoming Interface – Seleccionamos la interface WAN a través de la cual ingresarán los usuarios externos
      • Outgoing Interface – Seleccionamos la interface que configuramos como DMZ
      • Source – all
      • Destination Address – all
      • Schedule – Always, ya que queremos que el servidor esté accesible permanentemente
      • Service – Seleccionamos HTTP y HTTPS
      • Action – Accept
      • NAT – Lo dejamos deshabilitado
    4. Click sobre OK
  • Luego crearemos una segunda regla, la cual permitirá acceder al servidor desde la red interna. Esta regla tendrá los mismos valores que la anterior, excepto en Incoming Interface, donde seleccionaremos la interface correspondiente a la LAN interna. El nombre, por supuesto, también será distinto.