Los firewalls Fortigate son componentes críticos en infraestructuras de red empresariales. Sin embargo, muchos administradores cometen el error de configurarlos una vez y olvidarse de su mantenimiento. Esto puede generar:
-
Problemas de rendimiento: Saturación de CPU/RAM sobre todo útil para modelos chicos.
-
Vulnerabilidades: Reglas obsoletas o políticas mal configuradas.
-
Fallas inesperadas: Reinicios o caídas por falta de monitoreo proactivo.
Esta guía cubre comandos CLI esenciales, scripts de automatización y buenas prácticas para mantener tu Fortigate en óptimas condiciones.
📌 Comandos CLI Esenciales para Diagnóstico
1. Monitoreo de Recursos
| Comando | Descripción | Ejemplo de Uso |
|---|---|---|
get system performance status |
Muestra uso de CPU, memoria y sesiones | get system performance status | grep "CPU|Memory" |
get system performance top |
Lista procesos activos (como top en Linux) |
get system performance top |
get system session list |
Sesiones activas (tráfico en tiempo real) | get system session list |
2. Auditoría de Configuración
| Comando | Descripción |
|---|---|
get system interface |
Estado de interfaces físicas y VLANs |
diagnose sys sdwan health-check |
Verifica estado de SD-WAN |
get router info routing-table all |
Tabla de enrutamiento completa |
3. Seguridad y Threat Monitoring
| Comando | Descripción |
|---|---|
diagnose firewall iprope list |
Reglas de firewall cargadas en kernel |
diagnose ips anomaly list |
Alertas de IPS/IDS |
get webfilter ftgd-stat |
Estadísticas de filtrado web |
⚙️ Automatización con Scripts (Ejemplo Práctico)
Script Nocturno para Liberar Recursos
config system automation-action
edit "CLI_KILL_WAD_IPS"
set action-type cli-script
set script "fnsysctl killall wad
diag test application ipsmonitor 99"
next
end
¿Qué hace?
-
Mata procesos
wad(Web Application Daemon) que consumen RAM. -
Reinicia el motor IPS para limpiar caché.
Programación con Automation-Stitch
config system automation-stitch
edit "Nightly_Maintenance"
set trigger "Midnight_Trigger"
config actions
edit 1
set action "CLI_KILL_WAD_IPS"
next
edit 2
set action "Generate_Report"
set delay 60 # Espera 1 minuto
next
end
next
end
🔍 Comandos Avanzados para Troubleshooting
1. Diagnóstico de Ancho de Banda
diagnose traffic-filter dump
-
Analiza tráfico por interfaz/protocolo.
2. Conexiones SOSPECHOSAS
diagnose sys session filter src 192.168.1.100
diagnose sys session list
-
Filtra sesiones por IP origen.
3. Logs en Tiempo Real
execute log display
-
Muestra logs de eventos (ataques, bloqueos, etc.).
📊 Mejores Prácticas para Optimización
-
Limpieza Regular de Reglas:
-
Eliminar políticas obsoletas con
config firewall policy delete.
-
-
Actualización de Firmware:
execute restore image ftp://user:pass@server/firmware.ftz
-
Monitoreo Proactivo:
-
Usar SNMP con
config system snmp. -
Integrar con herramientas como Zabbix o PRTG.
-
🎯 Conclusión
Un Fortigate optimizado no solo mejora la seguridad, sino también el rendimiento de toda la red. Combina:
-
Comandos CLI para diagnóstico rápido.
-
Automatización para mantenimiento preventivo.
-
Monitoreo continuo con alertas proactivas.
💡 Tip Extra: Usa diag debug con precaución (solo en entornos controlados).
🔗 Recursos Oficiales:
📌 ¿Qué Incluir en un Reporte Semanal?
-
Uso de CPU/memoria (
get system performance status). -
Reglas más utilizadas (
diagnose firewall iprope stats). -
Alertas de seguridad (
get log stat).
