Fortigate – VDOM (FortiOS 5.6)

Os Virtual Domains  (VDOMs) são um método para divisão de um firewall Fortigate em duas ou mais unidades virtuais que funcionam como firewalls independentes. Os VDOMs podem fornecer políticas de Firewall, NAT, endereço de rede, roteamento e VPNs de forma independente dos outros VDOMs.

Em resumo, os VDOMs permitem dividir sua unidade FortiGate física em várias unidades virtuais.

Quando os VDOMs estão desabilitados em um FortiGate, o equipamento possui um VDOM raiz (root VDOM), que incluirá todas as interfaces físicas, VLAN, zonas, firewall policies, configurações de roteamento e VPN.

Para habilitar a utilização de VDOM(s) em um Fortigate com FortiOS 5.6, utlilize um usuário com privilégio super_admin,  e vá para  SystemSettings e habilite Virtual Domains.

Após habilitar o Virtual Domain, o Fortigate solicitará uma nova autenticação.

Após autenticar, veja que em System aparecerá a opção VDOM com o VDOM raiz ‘root’

Para criar um novo VDOM, clique em “Create New”.

Uma vez criado os VDOMs, é possível mudar a administração de cada um utilizando o menu no canto superior esquerdo . Em nosso caso criamos o VDOM teste.

  1. Atribuindo interfaces a cada VDOM (Exemplo)

Vá para Global> Network> Interfaces.  Escolha a Interface e clique em edit.  Na opção Virtual Domain escolha o VDOM que deseja atribuir aquela interface.

Uma vez que a interface é atribuida ao VDOM, ao acessar a view da VDOM a interface estará habilitada para configuração – naquela determinada VDOM.

  1. Criando administradores para cada VDOM (Exemplo)

Vá para Global> System> Administrators. Criamos um usuario com funções de administrador para o exemplo, chamamos de teste-admin.

Defina o Type para Local User, digite e confirme uma senha, configure o Perfil do Administrador em prof_admin e defina Virtual Domain como  teste.

Este usuário terá acesso restrito a somente as configuraçãoes deste VDOM e para conectividade das interfaces do VDOM .

Com esta configuração básica, segregamos o equipamento em dois VDOMs distintos, com Interfaces totalmente apartadas e com perfis de administradores também separados, todo o restante da configuração como rotas, políticas de segurança, perfis de UTM e etc, agora são configurados em seu respectivo menu de firewall apartados sobre o menu de cada VDOM como utilizados no exemplo.

Para habilitar VDOM via CLI:

config system global
    set vdom-admin enable
end

Obs: em versões anteriores do FortiOS a versão para habilitar VDOMs estava disponivel no widget em System Information.

Versão utilizada no lab: FortiOS v5.6.2 build1486 (GA)
Agradeço ao Marcelo Machado por escrever boa parte desse documento.

Referência:

https://docs.fortinet.com/uploaded/files/3646/fortigate-virtual-domains-56.pdf

Leave a Reply

Your email address will not be published. Required fields are marked *