Guida Fortinet FortiGate

Utilizza questa guida per aggiungere Cybora a FortiGate tramite External Connectors. FortiGate importa il feed come oggetto esterno dinamico e lo mantiene sincronizzato dalla tua URL del feed.

Cosa puo fare FortiGate con un feed Cybora

• I feed IP address possono essere usati come oggetti source o destination nelle firewall policies, proxy policies, local-in policies e ZTNA rules. Possono anche essere usati come external IP block list nei DNS filter profiles.
• I feed domain diventano Remote Categories nei DNS filter profiles e possono essere usati per bloccare o monitorare i domini corrispondenti.
• Se lavori con indicatori di tipo URL, usa il tipo di feed URL o FortiGuard Category supportato dalla tua versione di FortiOS. In pratica, i feed IP vengono di solito applicati tramite oggetti di firewall policy, mentre i feed domain vengono normalmente applicati tramite DNS filtering.

Prima di iniziare

• Usa una versione di FortiGate o FortiOS che supporti Security Fabric > External Connectors.
• Assicurati che FortiGate possa raggiungere la URL del tuo feed Cybora tramite HTTP o HTTPS.
• Usa il tipo di feed Cybora corretto per il tuo piano e per il tuo caso d’uso.
• Il file del feed deve essere in plain text con una voce per riga.
• Se usi il multi-VDOM mode, decidi in anticipo se il connector deve essere creato nella global VDOM o in un VDOM specifico.

Creare l’external connector

1. Vai su Security Fabric > External Connectors e clicca su Create New.
2. Seleziona il tipo di feed che corrisponde al tuo feed Cybora. Usa IP Address per gli indicatori IP e Domain Name per gli indicatori di dominio.
3. Inserisci un nome chiaro per il connector.
4. Imposta Update method su External Feed.
5. Incolla la URL del tuo feed Cybora in URL of external resource.
6. Lascia disabilitata HTTP basic authentication, a meno che il tuo feed non la richieda espressamente.
7. Imposta Refresh Rate in modo preciso in base al tuo piano Cybora. E consentita una sola richiesta nell’intervallo permesso. Se FortiGate interroga il feed piu spesso di quanto consentito dal tuo piano, il feed potrebbe essere bloccato.
8. Salva il connector e conferma che sia abilitato.

Applicare il feed in FortiGate

1. Per i feed IP address, usa l’oggetto importato come source o destination nella firewall policy pertinente.
2. Per i feed domain, usa il feed importato come Remote Category nel DNS filter profile associato alla tua policy.
3. Se vuoi bloccare il traffico corrispondente, assicurati che la policy o il security profile usato sia configurato per bloccare o negare il traffico basato sul feed importato.
4. Abilita il logging sulla policy o sul profile per facilitare la validazione e il troubleshooting.

Verifica

1. Apri l’external connector e controlla Last Update e lo stato della connessione.
2. Usa View Entries per confermare che FortiGate abbia importato gli indicatori attesi.
3. Verifica che il connector sia referenziato nella policy o nel DNS filter profile previsto.
4. Testa con traffico noto che dovrebbe corrispondere e controlla i relativi log di policy, DNS filter o sicurezza.

Se FortiGate perde temporaneamente la connettivita verso il server esterno, la lista gia importata puo continuare a funzionare, ma non verra aggiornata finche la connettivita non verra ripristinata.

Ulteriori letture

• Configuring a threat feed
• External feeds
• IP address threat feed
• Domain name threat feed
• External feed connectors per VDOM