Cómo resolver el bloqueo de directorios URL en Fortinet y permitir el acceso a la página raíz con un filtro URL estático

En este artículo, abordaremos un problema común en la configuración de firewalls FortiGate: cómo permitir el acceso al dominio raíz de un sitio web mientras se bloquean sus subdominios. Este tema es crucial para garantizar la seguridad y el control del tráfico web en su red. A través de este artículo, aprenderá a configurar las políticas de filtrado web de manera efectiva para lograr este objetivo.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

El reto principal es permitir el acceso al dominio principal de un sitio web, mientras se restringe el acceso a sus subdominios. Esto es relevante para las organizaciones que desean controlar el contenido al que sus usuarios pueden acceder, asegurándose de que respeten las políticas de seguridad internas.

Alcance

Este artículo es aplicable a dispositivos FortiGate que utilizan filtrado web y políticas de firewall para gestionar el tráfico de internet.

Diagnóstico paso a paso

Para diagnosticar y solucionar este problema, primero necesitamos verificar la configuración actual del filtrado web y las políticas de firewall implementadas. Los pasos son los siguientes:

Acceder a la interfaz de administración de FortiGate.
Revisar la configuración de filtrado web para identificar las reglas existentes.
Confirmar si se está utilizando Deep Packet Inspection en las políticas de firewall.

Solución recomendada

A continuación se presenta un ejemplo de configuración que permite el acceso a www.oracle.com mientras bloquea www.oracle.com/java/technologies/downloads/.

La configuración del filtrado web es la siguiente:

La política de firewall está configurada de la siguiente manera:

Como se muestra en las capturas de pantalla, www.oracle.com es accesible, mientras que www.oracle.com/java/technologies/downloads/ lanza una página bloqueada.

Para más información sobre cómo se realiza la descomposición de componentes en la URL, consulte este artículo y ajuste las acciones configuradas según sea necesario.

Nota: Es necesario utilizar Deep Packet Inspection en la política; de lo contrario, el filtro web no podrá bloquear la URL de destino exacta.

Comandos CLI utilizados

No se incluyen comandos CLI específicos en este artículo, pero generalmente se puede acceder a la configuración y monitoreo a través de la siguiente sintaxis:

config webfilter urlfilter
edit {name}
set action block
next
end

Buenas prácticas y recomendaciones

Realice auditorías periódicas de la configuración para asegurarse de que las políticas de filtrado web estén actualizadas.
Capacite a su equipo sobre la importancia del filtrado adecuado y el monitoreo del tráfico.
Considere documentar todas las configuraciones y cambios realizados para facilitar la gestión futura.

Notas adicionales

Asegúrese de que su dispositivo FortiGate esté funcionando con la última versión del firmware para aprovechar las últimas mejoras y características de seguridad.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo resolver el error de actualización de firmware en FortiGate por falta de licencia
Este artículo aborda la necesidad de una licencia activa para realizar actualizaciones de firmware en dispositivos FortiGate. La importancia de este asunto radica en que sin una licencia válida, los usuarios no podrán realizar las actualizaciones necesarias, lo que puede afectar la seguridad y el rendimiento del dispositivo. Aquí, proporcionaremos un diagnóstico paso a paso Leer
FortiGate no puede actualizar las bases de datos de IPS y antivirus
Bienvenidos 👍, para los que nos os acordéis de mí soy Mila Jiménez y hoy vamos a aprender sobre: ⬇️ FortiGate no puede actualizar las bases de datos de IPS y antivirus 1) Compruebe la política del cortafuegos y asegúrese de que un perfil de seguridad como el antivirus y/o el IPS está configurado en Leer
Cómo configurar los ajustes de correo electrónico de alerta
Descripción Este artículo describe cómo configurar alertas de correo electrónico para eventos de perfil de seguridad, administrativos y VPN. Solución desde GUI. Configurar un servicio de correo. De forma predeterminada, utilizará el servidor de correo de fortinet y se puede personalizar habilitando la configuración personalizada. Vaya a Sistema -> Avanzado . Configurar correo electrónico de Leer
Cómo solucionar la visualización del latido de Fabric Switch en chasis 7K de Fortinet
En este artículo, abordaremos el problema de la sincronización entre el Fabric Management Processor (FPM) y el Fabric Interface Module (FIM) en un chasis FortiGate 7000. Este asunto es fundamental ya que una falla en la sincronización puede impactar en la gestión del tráfico y la estabilidad del sistema. Aquí proporcionaremos un diagnóstico detallado y Leer
Cómo solucionar el error de conexión del túnel FGFM a FortiManager por número de serie y certificado local incompatibles
En este artículo, abordaremos un problema común que enfrentan los dispositivos FortiGate en un clúster HA: la incapacidad de conectarse a FortiManager debido a un desajuste entre el número de serie en su certificado local y el que se espera en FortiManager. Este problema es crítico ya que puede afectar la gestión y supervisión del Leer