En principio tenemos que tener en cuenta que el Firewall viene con una política implícita de

denegar cualquier tráfico, nosotros debemos armar las rutas y dejar pasar dicho tráfico.
Los equipos de Small Business a diferencia de los más grandes vienen con la política de internal a
WAN1 ya armada.

Esto permite el tráfico de toda la LAN privada a WAN1, por lo que si lo vamos a dejar activo
debemos repasar la configuración:

Source Interface/Zone: Debemos definir en este campo la interface de origen. (Como estamos
editando una política ya creada no nos permite cambiar en este caso)
Source Address: Este campo hace referencia a los Objetos de Firewall que ya definimos
anteriormente, con “all” estamos diciendo que todo IP no importa el rango se aplique.
Destination Interface/Zone: Al igual que el primer campo definimos la Interface pero en este caso
de destino.
Destination Address: Al igual que Source Address definimos el Objeto de Firewall, en este caso de
destino.
Schedule: Definimos el Horario en que se va a aplicar esta política, hace referencia también al
objeto de Firewall “Schedule”.
Service: En este campo podemos definir Puertos, para que la política se aplique solo en un
puerto/servicio determinado como por ejemplo FTP o un grupo previamente definidos en Firewall
Objects/service.
Action: Definimos si esta Política va a denegar o aceptar el tráfico. También definimos las
conexiones para VPN en este campo, pero lo vamos a detallar más adelante.
Log Allowed Traffic: Permite hacer un log del trafico permitido en esta política.
Enable NAT:
– Use Destination Interface Address: Permite hacer NAT sobre las direcciones definidas en
Destination Address.
– Use Dynamic IP Pool: Permite hacer NAT sobre las direcciones definidas previamente en Firewall
Objects/Virtual IP/IP pool.
Enable Identity Based Policy: Nos permite definir accesos por Usuarios basados en políticas, es
decir que si la conexión aplica en esta política nos va a pedir que nos autentiquemos. La base de
datos de los Usuarios se alimenta desde lo configurado en Users.
Resolve User Names Using FSSO Agent: Este “Checkbox” define si estamos levantando los
usuarios con un agente FSSO (single sign-on) desde un Directorio Activo.
UTM: (FortiOS en estas versiones tienen problemas para desplegar las opciones en este check
sobre Chrome, se recomienda Firefox) Nos permite definir que funcionalidades de UTM (Gestión
Unificada de Amenazas) vamos a utilizar entre las que tenemos Antivirus perimetral, Web Filter,
Application Control, IPS, Email Filter y Protocol Options.
Traffic Shaping: Esta opción permite limitar o garantizar un ancho de banda determinado para una
conexión determinada. Esto lo configuramos en Firewall Objects/Traffic Shaper.