Guía Técnica ⏱️ 7 días laborables (56 horas aprox.) 💰 €3,500-€8,000 según modelo

Cómo Implementar FortiGate en 7 Días (Guía Completa)

Guía paso a paso para implementar FortiGate NGFW desde cero en una empresa de 50-200 usuarios en 7 días laborables. Incluye configuración inicial, políticas, VPN, SD-WAN y mejores prácticas.

📋 Resumen de la Guía

⏱️ Tiempo Total
7 días laborables (56 horas aprox.)
📊 Dificultad
Intermedia
💰 Coste Estimado
€3,500-€8,000 según modelo

🛠️ Herramientas y Requisitos

Pasos de Implementación

1

Planificación y Diseño de Red (Día 1 - 8h)

Planifica la arquitectura de red, mapea dispositivos existentes, define políticas de seguridad y casos de uso (internet, VPN, SD-WAN, segmentación).

⏱️ 8 horas

Detalle de Pasos:

1. Documenta red actual: gateway, VLANs, subnets, firewall antiguo. 2. Define requisitos: usuarios VPN (cuántos), sucursales SD-WAN (cuántas), aplicaciones críticas (ERP, CRM, email). 3. Diseña arquitectura FortiGate: interfaces WAN (2x para HA), interfaces LAN, DMZ si aplica, VLANs. 4. Calcula throughput necesario: 100 usuarios = 2-5 Gbps throughput, 50 Mbps/usuario promedio. 5. Elige modelo: 50-100 usuarios → FortiGate 80F/100F, 100-250 usuarios → FortiGate 200F. 6. Planifica migración: ventana de mantenimiento (recomendado: viernes noche 8pm-12am para rollback el sábado).
💡
Tip Pro:
Usa herramienta gratuita FortiGate Sizing Tool en Fortinet.com para calcular modelo exacto según tráfico.
⚠️
Advertencia:
¡No olvides documentar configuración firewall actual! Exporta reglas a Excel antes de migrar.
🛠️ Herramientas para este paso:
Documentación actual FortiGate Sizing Tool Diagrama de red (Visio/Draw.io)
2

Configuración Inicial y Actualización Firmware (Día 2 - 4h)

Desempaqueta FortiGate, conecta por consola, configura IP de gestión, actualiza firmware a última versión estable, activa licencias FortiGuard.

⏱️ 4 horas

Detalle de Pasos:

1. Conecta FortiGate a fuente de alimentación + cable consola (USB-Serial). 2. Accede por consola (Putty: 9600 baud, 8N1): usuario admin, sin password por defecto. 3. Configura IP de gestión: `config system interface` → `edit port1` → `set ip 192.168.1.99/24` → `set allowaccess ping https ssh`. 4. Accede vía web https://192.168.1.99 (Chrome recomendado). 5. Ejecuta Setup Wizard: hostname, timezone, password admin (mínimo 12 caracteres, símbolos). 6. Descarga firmware latest desde support.fortinet.com (requiere cuenta gratuita). 7. Actualiza firmware: System → Firmware → Upload firmware .out → Reboot (10 minutos). 8. Registra FortiGate en FortiCare: Support → Register → Serial Number → Activa licencias UTM/Enterprise Bundle. 9. Verifica licencias activas: Dashboard → License Status → debe mostrar 'Valid' en Antivirus, IPS, Web Filtering, Application Control.
💡
Tip Pro:
Usa siempre firmware 'stable' no 'latest'. Ejemplo: 7.4.2 stable vs 7.6.0 latest. Stable tiene menos bugs.
⚠️
Advertencia:
⚠️ CRÍTICO: Haz backup de configuración antes de cada cambio: System → Configuration → Backup → Save to file.
🛠️ Herramientas para este paso:
Cable consola Putty Firmware FortiOS
3

Configuración de Interfaces y Routing (Día 2-3 - 6h)

Configura interfaces WAN (internet), LAN (usuarios internos), DMZ (servidores públicos si aplica), VLANs, y routing estático/dinámico.

⏱️ 6 horas

Detalle de Pasos:

1. WAN Interface (port1): DHCP o IP estática de ISP → set mode dhcp o set ip X.X.X.X/mask + set gateway. 2. WAN2 (port2) para redundancia: segundo ISP o 4G/LTE → activa SD-WAN automático. 3. LAN Interface (port3): `set ip 192.168.10.1/24` → habilita DHCP server: `config system dhcp server` → range 192.168.10.100-192.168.10.200. 4. Crea VLANs: Employees (VLAN 10), Guest (VLAN 20), Servers (VLAN 30) → `config system interface` → `edit VLAN10` → `set vlanid 10` → `set interface port3`. 5. Configura default route: `config router static` → `edit 1` → `set gateway ` → `set device port1`. 6. Verifica conectividad: Dashboard → Network → Router Monitor → debe mostrar ruta 0.0.0.0/0 activa.
💡
Tip Pro:
Usa nomenclatura clara: VLAN10_Employees, VLAN20_Guest. Facilita troubleshooting futuro.
🛠️ Herramientas para este paso:
Documentación VLANs CLI (opcional) Switch gestionable para VLANs
4

Configuración de Políticas de Firewall (Día 3-4 - 8h)

Crea políticas de firewall granulares: internet access, bloqueo de aplicaciones P2P/torrents, segmentación entre VLANs, NAT, permitir servicios específicos (RDP, SSH solo desde IPs autorizadas).

⏱️ 8 horas

Detalle de Pasos:

1. Política LAN → WAN (Internet): Policy & Objects → Firewall Policy → Create New → Source: VLAN10_Employees → Destination: all → Service: ALL → Action: ACCEPT → NAT: ON → Enable Security Profiles (Antivirus, IPS, Web Filter, Application Control). 2. Política Guest → WAN (limitada): Source: VLAN20_Guest → Destination: all → Service: HTTP/HTTPS solo → No acceso a LAN interna. 3. Bloquea P2P: Application Control → Create Profile 'Block_P2P' → Block: BitTorrent, eMule, uTorrent → Aplica en política LAN→WAN. 4. Segmentación LAN: Por defecto niega todo entre VLANs → crea política específica Employees→Servers solo puertos necesarios (RDP 3389, HTTPS 443, SQL 1433). 5. Acceso remoto RDP: Source: any → Destination: server_IP → Service: RDP → Source Address: solo IPs admin (whitelist) → Log ALL. 6. Virtual IPs para publicar servicios: VIP para web server: External IP port 443 → Internal 192.168.30.10 port 443. 7. Ordena políticas: específicas arriba, generales abajo (FortiGate evalúa top-down, primera coincidencia gana).
💡
Tip Pro:
Usa Address Objects y Address Groups para IPs comunes. Ejemplo: 'Admins_IPs' group con IPs de sysadmins. Cambias el grupo, no 50 políticas.
⚠️
Advertencia:
⚠️ Activa LOGGING en todas las políticas. Dashboard → Log & Report → Forward Traffic. Esencial para troubleshooting.
🛠️ Herramientas para este paso:
Documentación de aplicaciones Lista de IPs autorizadas Puertos requeridos
5

Configuración de Security Profiles (Día 4-5 - 6h)

Activa y configura IPS, Antivirus, Web Filtering, Application Control, SSL Inspection, DLP para protección completa contra amenazas.

⏱️ 6 horas

Detalle de Pasos:

1. Antivirus: Security Profiles → AntiVirus → Create 'AV_Profile' → Scan Mode: Full → Protocols: HTTP, FTP, IMAP, POP3, SMTP → Block infected + quarantine. 2. IPS (Intrusion Prevention): IPS → Create 'IPS_Profile' → Severity: Critical+High → Action: Block → Enable signatures FortiGuard. 3. Web Filtering: Web Filter → Create 'WebFilter_Profile' → Block categories: Adult, Gambling, P2P, Malware, Phishing → Monitor mode para Social Media (log but allow). 4. Application Control: Application Control → Create 'AppControl_Profile' → Block: BitTorrent, Gaming (Fortnite, LoL), Streaming (Netflix en horario laboral). 5. SSL Inspection (CRÍTICO para HTTPS): SSL/SSH Inspection → Create 'SSL_Inspection' → Deep Inspection → Certificate: Upload certificado CA empresarial (o usa Fortinet_CA_SSL, despliega en endpoints). 6. DLP (Data Loss Prevention): DLP → Create 'DLP_Profile' → Detect tarjetas crédito (regex), DNI español (\d{8}[A-Z]), IBAN → Action: Block + Alert admin. 7. Aplica profiles en políticas: Edit política LAN→WAN → Security Profiles: AV_Profile, IPS_Profile, WebFilter, AppControl, SSL_Inspection. 8. Verifica funcionamiento: navega a eicar.org (test antivirus), intenta descargar malware de test, accede a sitio bloqueado.
💡
Tip Pro:
SSL Inspection aumenta latencia ~10-20ms y consume CPU. Monitor Dashboard → System Resources → CPU <70%. Si CPU alto, reduce a 'Certificate Inspection' en vez de Deep.
⚠️
Advertencia:
SSL Inspection requiere desplegar certificado CA en todos los PCs/Mac. Usa GPO (Windows) o MDM (Mac) para deployment masivo.
🛠️ Herramientas para este paso:
Certificado CA Test malware (eicar.org) GPO para certificados
6

Configuración VPN SSL y Site-to-Site (Día 5-6 - 8h)

Configura VPN SSL para teletrabajadores (FortiClient) y VPN IPsec site-to-site para sucursales remotas con SD-WAN.

⏱️ 8 horas

Detalle de Pasos:

1. VPN SSL (usuarios remotos): VPN → SSL-VPN Settings → Listen Interface: port1 (WAN) → Port: 10443 → Tunnel Mode: Enable → IP Range: 10.200.0.1-10.200.0.250 (rango VPN). 2. Crea usuarios locales: User & Authentication → User Definition → Create New → Username/Password → Group: 'VPN_Users'. 3. Crea VPN Portal: VPN → SSL-VPN Portals → Edit 'full-access' → Tunnel Mode: Enable → Split Tunneling: Enable (solo tráfico corporativo por VPN, internet directo). 4. Crea política VPN: SSL_VPN_Tunnel_Interface → LAN → Allow ALL → Security Profiles. 5. Distribuye FortiClient VPN: descarga desde forticlient.com → Pre-configura conexión: 'vpn.empresa.com:10443'. 6. IPsec Site-to-Site (sucursal): VPN → IPsec Wizard → Site to Site → Remote Gateway: → Pre-shared Key: → Local subnet: 192.168.10.0/24 → Remote subnet: 192.168.20.0/24. 7. SD-WAN para múltiples túneles: Network → SD-WAN → Create SD-WAN Zone → Add members: VPN_Sucursal1, VPN_Sucursal2 → Strategy: Lowest Latency → Health Check: ping 8.8.8.8 cada 10s. 8. Verifica VPN: Log & Report → VPN → debe mostrar túneles UP.
💡
Tip Pro:
Usa DNS split tunneling: VPN solo resuelve DNS interno (empresa.local), resto usa DNS público (1.1.1.1). Mejora rendimiento.
⚠️
Advertencia:
Pre-shared keys IPsec: mínimo 32 caracteres random. Usa password manager para generar. No uses 'password123'.
🛠️ Herramientas para este paso:
FortiClient VPN IPs públicas sucursales Password manager
7

Testing, Optimización y Go-Live (Día 6-7 - 8h)

Prueba exhaustiva de todos los servicios, optimización de rendimiento, migración final, monitoreo post-deployment, documentación.

⏱️ 8 horas

Detalle de Pasos:

1. Testing funcional: Acceso internet desde todas VLANs → VPN SSL login remoto → Navegación HTTPS con SSL inspection → Test aplicaciones críticas (ERP, CRM, email). 2. Security testing: Test antivirus (eicar.org) → Test IPS (Metasploit simulado) → Test web filtering (accede a sitio bloqueado) → Test DLP (envía email con tarjeta crédito fake). 3. Performance testing: Speedtest desde LAN (debe ser >90% de línea ISP) → Latencia ping (<10ms LAN, <50ms WAN) → CPU/RAM usage <60% en Dashboard. 4. Migración final: Ventana de mantenimiento (viernes 8pm): 1) Backup firewall antiguo, 2) Cambia gateway de red a FortiGate, 3) Monitor tráfico en Dashboard Real-time, 4) Verifica logs por errores. 5. Rollback plan: Si falla, revierte gateway a firewall antiguo en 5 minutos → Investiga logs FortiGate. 6. Post-deployment (semana 1): Monitor diario Dashboard → Review logs (Failed attempts, Intrusions blocked) → Ajusta políticas según feedback usuarios. 7. Documentación final: Diagrama de red actualizado → Lista de políticas con justificación → Passwords en vault → Runbook de troubleshooting común. 8. Training a IT staff: 2-4 horas de training básico: cómo agregar regla firewall, cómo revisar logs, cómo crear usuario VPN.
💡
Tip Pro:
Usa Dashboard widgets personalizados: Top Applications, Top Websites, Top Threats, Bandwidth Usage. Snapshot visual de seguridad.
⚠️
Advertencia:
Planifica rollback ANTES de go-live. Necesitas: backup config, acceso físico a firewall, plan B (firewall antiguo en standby 1 semana).
🛠️ Herramientas para este paso:
Speedtest Documentation tool Password vault Monitoring tools

✅ Resultados Esperados

❌ Errores Comunes a Evitar

📚 Recursos Adicionales

¿Necesitas ayuda con la implementación?

Nuestros ingenieros certificados NSE pueden implementar FortiGate en tu empresa

Solicitar Consultoría