Strategie-Call
Titelbild eines Blogbeitrags zur IT-Sicherheit

Installation & Grundkonfiguration einer FortiGate

Einleitung: Der Weg zur erfolgreichen FortiGate-Implementierung

Die Installation und Grundkonfiguration einer FortiGate-Firewall ist ein entscheidender Schritt für die Absicherung Ihres Netzwerks. Während moderne Firewalls wie FortiGate leistungsstarke Sicherheitsfunktionen bieten, stellt die korrekte Ersteinrichtung viele IT-Teams vor Herausforderungen. Eine fehlerhafte Konfiguration kann entweder zu Sicherheitslücken oder zu unbeabsichtigten Blockaden legitimen Datenverkehrs führen.

Dieser Leitfaden richtet sich an IT-Administratoren und Sicherheitsverantwortliche, die eine FortiGate-Firewall implementieren möchten. Wir führen Sie durch den gesamten Prozess – von der Hardware-Installation über die initiale Konfiguration bis hin zur grundlegenden Einrichtung der wichtigsten Sicherheitsfunktionen.

1. Vorbereitung: Was Sie vor der Installation beachten sollten

Bevor Sie mit der physischen Installation oder dem Einrichten Ihrer FortiGate beginnen, sind einige Vorbereitungsschritte notwendig. Diese helfen Ihnen, eine reibungslose Implementierung zu gewährleisten und spätere Probleme zu vermeiden.

Netzwerkplanung und Anforderungsanalyse

  • Netzwerktopologie dokumentieren: Erstellen Sie einen Netzwerkplan mit allen Segmenten, die geschützt werden sollen.
  • Verkehrsflussanalyse: Welche Datenströme müssen durch die Firewall passieren? Welche Anwendungen werden verwendet?
  • Nutzeranforderungen sammeln: Identifizieren Sie VPN-Bedürfnisse, Remote-Zugriff und spezielle Anwendungsfälle.
  • Dimensionierung festlegen: Bestimmen Sie den benötigten Durchsatz und die Anzahl gleichzeitiger Verbindungen.

Eine häufige Herausforderung ist die Unterdimensionierung der FortiGate-Hardware, was später zu Performance-Problemen führen kann. Berücksichtigen Sie dabei nicht nur den aktuellen Bedarf, sondern planen Sie mit ausreichend Reserven für zukünftiges Wachstum.

Auswahl des passenden FortiGate-Modells

FortiGate bietet verschiedene Modelle für unterschiedliche Einsatzzwecke:

Modellreihe Typischer Einsatzbereich Empfohlene Unternehmensgröße
FortiGate 40F-80F Kleine Büros, Filialen 5-50 Benutzer
FortiGate 100F-200F Mittelständische Unternehmen 50-500 Benutzer
FortiGate 300E-1100E Größere Unternehmen 500-5.000 Benutzer
FortiGate 2000E+ Rechenzentren, große Unternehmen 5.000+ Benutzer
FortiGate VM Cloud-Umgebungen Variabel

Für eine fundierte Entscheidung sollten Sie unseren separaten Artikel FortiGate im Überblick: Funktionen & Vorteile konsultieren, der die verschiedenen Modelle im Detail vorstellt.

Checkliste vor der Installation

Stellen Sie sicher, dass Sie folgendes vorbereitet haben:

  1. Aktuelle Netzwerkdokumentation mit IP-Adressen, Subnetzen und Gateways
  2. Geplante IP-Adressen für die FortiGate-Schnittstellen
  3. Administrative Zugangsdaten (sichere Passwörter festlegen)
  4. Backup-Strategie für die FortiGate-Konfiguration
  5. Aktuelle FortiOS-Version (prüfen Sie die Fortinet-Website auf die neueste stabile Version)

2. Physische Installation der FortiGate-Hardware

Die korrekte physische Installation ist der erste Schritt für eine erfolgreiche Implementierung Ihrer FortiGate-Firewall.

Hardware-Überprüfung und Anschluss

  1. Lieferumfang kontrollieren: Überprüfen Sie, ob alle Komponenten vorhanden sind (Gerät, Netzkabel, Konsolenkabel, ggf. SFP-Module).
  2. Umgebungsbedingungen prüfen: Stellen Sie sicher, dass die Umgebungstemperatur und Luftfeuchtigkeit im zulässigen Bereich liegen.
  3. Rackmontage (falls zutreffend): Befolgen Sie die Montageanleitung für die sichere Installation im Serverschrank.
  4. Stromversorgung anschließen: Bei redundanten Netzteilen sollten beide an unterschiedliche Stromkreise angeschlossen werden.

Netzwerkanschlüsse korrekt verbinden

Ein häufiges Problem bei der Erstinstallation ist die falsche Zuweisung von Netzwerkports, was zu Verbindungsproblemen führen kann. Beachten Sie die Standard-Port-Konfiguration:

  • Port1 (WAN): Verbindung zum Internet/externen Netzwerk
  • Port2 (LAN): Internes Netzwerk
  • Port3-n: Zusätzliche Zonen oder DMZ, je nach Modell

Bei höherwertigen Modellen können die Ports frei konfiguriert werden, aber die initiale Zuweisung folgt meist diesem Muster.

Beschriften Sie die Kabel sowohl am Patch-Panel als auch an der FortiGate, um spätere Verwechslungen zu vermeiden. Eine saubere Verkabelung erleichtert die Wartung erheblich.

3. Erste Verbindung und grundlegende Konfiguration

Nach der physischen Installation folgt die initiale Konfiguration, die über verschiedene Wege erfolgen kann.

Zugriffsmethoden auf die FortiGate

Sie haben mehrere Möglichkeiten, auf Ihre neue FortiGate zuzugreifen:

  1. Web-Interface: Der Standard-Zugriff über HTTPS (https://192.168.1.99)
  2. Konsolen-Zugriff: Direkter Zugriff über die serielle Schnittstelle
  3. FortiExplorer: Mobilanwendung für die Erstkonfiguration (über USB)

Für Erstinstallationen empfehlen wir die Verwendung des Konsolen-Zugriffs, da dieser auch bei Netzwerkproblemen funktioniert und damit die zuverlässigste Methode darstellt.

Initiale Netzwerkkonfiguration

Bei der ersten Verbindung werden Sie aufgefordert, die grundlegenden Netzwerkeinstellungen zu konfigurieren:

  1. Administrator-Passwort ändern: Wählen Sie ein starkes Passwort gemäß Ihrer Sicherheitsrichtlinie.
# config system admin
# edit admin
# set password "Ihr-sicheres-Passwort"
# end
  1. Systemzeit und NTP-Server konfigurieren:
# config system ntp
# set server "pool.ntp.org"
# set status enable
# end
  1. Management-IP-Adresse festlegen:
# config system interface
# edit "port1"
# set ip 192.168.1.1 255.255.255.0
# set allowaccess ping https ssh http
# end

Ein verbreiteter Fehler ist die zu offene Konfiguration der Management-Zugänge. Beschränken Sie den Zugriff auf sichere Protokolle (HTTPS, SSH) und limitieren Sie diese auf vertrauenswürdige IP-Adressen.

Firmware-Update durchführen

Bevor Sie mit der weiteren Konfiguration fortfahren, sollten Sie sicherstellen, dass die aktuellste stabile Firmware installiert ist:

  1. Besuchen Sie support.fortinet.com und laden Sie die neueste Version herunter.
  2. Navigieren Sie im Web-Interface zu System > Firmware.
  3. Wählen Sie die heruntergeladene Datei aus und starten Sie das Update.

Führen Sie Firmware-Updates immer während eines Wartungsfensters durch und stellen Sie sicher, dass Sie eine Backup-Konfiguration haben, falls etwas schiefgeht.

4. Netzwerkschnittstellen und Zonen konfigurieren

Die korrekte Konfiguration von Netzwerkschnittstellen ist entscheidend für die Segmentierung und Absicherung Ihres Netzwerks.

Grundlegende Interface-Konfiguration

  1. Navigieren Sie zu Network > Interfaces.
  2. Konfigurieren Sie für jede Schnittstelle:
    • Name: Aussagekräftige Bezeichnung (z.B. „WAN“, „LAN“, „DMZ“)
    • IP-Adresse und Subnetzmaske
    • Administrative Zugriffe: Nur notwendige Dienste aktivieren
    • Role: Zweck der Schnittstelle (WAN, LAN, DMZ)

Beispiel für eine LAN-Schnittstelle:

# config system interface
# edit "port2"
# set alias "LAN"
# set ip 192.168.2.1 255.255.255.0
# set allowaccess ping
# set role lan
# end

Zonen für verbesserte Sicherheit erstellen

Zonen gruppieren mehrere Schnittstellen mit ähnlichen Sicherheitsanforderungen und vereinfachen die Firewall-Policy-Erstellung:

  1. Navigieren Sie zu Network > Interfaces > Zones.
  2. Erstellen Sie Zonen wie „Internal“, „External“, „DMZ“.
  3. Ordnen Sie die entsprechenden Schnittstellen den Zonen zu.

Eine effektive Zonenkonfiguration hilft, eine der häufigsten Herausforderungen zu lösen: die übermäßige Komplexität bei der Erstellung von Firewall-Regeln. Durch die Verwendung von Zonen können Sie Richtlinien für mehrere Schnittstellen gleichzeitig definieren.

5. Grundlegende Security Policies einrichten

Security Policies sind das Herzstück jeder Firewall. Sie definieren, welcher Verkehr erlaubt und welcher blockiert wird. Eine sorgfältige Konfiguration ist entscheidend für die Sicherheit Ihres Netzwerks.

Das „Least Privilege“-Prinzip anwenden

Ein häufiges Problem bei der Konfiguration von Firewalls ist die Erstellung zu permissiver Regeln, die mehr Zugriff gewähren als nötig. Folgen Sie dem Prinzip der geringsten Privilegien:

  1. Erlauben Sie nur den notwendigen Verkehr.
  2. Spezifizieren Sie Quell- und Ziel-IP-Adressen so genau wie möglich.
  3. Beschränken Sie den Zugriff auf erforderliche Ports und Protokolle.
  4. Aktivieren Sie Logging für alle wichtigen Regeln.

Erstellen von grundlegenden Security Policies

  1. Navigieren Sie zu Policy & Objects > Firewall Policy.
  2. Erstellen Sie zunächst einfache, grundlegende Regeln:

Ausgehende Internet-Zugriff-Regel:

Feld Empfohlene Einstellung
Name LAN_to_WAN_Access
Incoming Interface LAN-Zone
Outgoing Interface WAN-Zone
Source Interne Netzwerke
Destination all
Service HTTP, HTTPS, DNS
Action Accept
Logging All Sessions
Security Profiles Aktivieren Sie Web Filter, AV, IPS

Blockierung des eingehenden Verkehrs:

Feld Empfohlene Einstellung
Name Block_Inbound_Traffic
Incoming Interface WAN-Zone
Outgoing Interface LAN-Zone
Source all
Destination Interne Netzwerke
Service ANY
Action Deny
Logging All Sessions

Weitere detaillierte Informationen zur optimalen Konfiguration von Firewall-Regeln finden Sie in unserem Artikel Firewall-Regeln & Best Practices für Policy-Management.

NAT und Port Forwarding konfigurieren

Für den Zugriff auf interne Server von außen müssen Sie NAT (Network Address Translation) und Port Forwarding einrichten:

  1. Navigieren Sie zu Policy & Objects > Virtual IPs.
  2. Erstellen Sie eine VIP für jeden öffentlich zugänglichen Server.
  3. Erstellen Sie dann eine entsprechende Firewall-Policy, die den externen Zugriff auf diese VIP erlaubt.

Beispiel für einen Webserver-Zugriff:

# config firewall vip
# edit "WebServer_VIP"
# set extip [Ihre-öffentliche-IP]
# set mappedip 192.168.2.10
# set portforward enable
# set extport 80
# set mappedport 80
# end

6. DNS und Grunddienste konfigurieren

Die korrekte Konfiguration von DNS und anderen Grunddiensten ist entscheidend für ein reibungslos funktionierendes Netzwerk.

DNS-Konfiguration

  1. Navigieren Sie zu Network > DNS.
  2. Konfigurieren Sie primäre und sekundäre DNS-Server (z.B. öffentliche DNS-Server oder Ihre internen DNS-Server).
  3. Aktivieren Sie DNS-Filter für zusätzliche Sicherheit.

DNS-Probleme sind eine häufige Ursache für Netzwerkstörungen. Stellen Sie sicher, dass Sie zuverlässige DNS-Server verwenden und erwägen Sie die Einrichtung lokaler DNS-Caching.

DHCP-Server einrichten

Für die automatische IP-Konfiguration von Clients:

  1. Navigieren Sie zu Network > DHCP Server.
  2. Erstellen Sie einen DHCP-Server für jedes interne Subnetz.
  3. Definieren Sie IP-Bereiche, DNS-Server, Gateways und andere DHCP-Optionen.

Beispiel-Konfiguration:

# config system dhcp server
# edit 1
# set interface "port2"
# set default-gateway 192.168.2.1
# set dns-service default
# set ip-range 192.168.2.100 192.168.2.200
# set netmask 255.255.255.0
# end

Routing-Konfiguration

Für komplexere Netzwerke mit mehreren Subnetzen:

  1. Navigieren Sie zu Network > Static Routes.
  2. Erstellen Sie die notwendigen statischen Routen oder konfigurieren Sie dynamische Routing-Protokolle.

Eine typische Standard-Route zum Internet:

# config router static
# edit 1
# set gateway [ISP-Gateway-IP]
# set device "wan1"
# end

7. Grundlegende Sicherheitsfunktionen aktivieren

FortiGate bietet zahlreiche fortschrittliche Sicherheitsfunktionen, die Sie bereits in der Grundkonfiguration aktivieren sollten.

Antivirus und IPS

  1. Navigieren Sie zu Security Profiles > AntiVirus.
  2. Erstellen oder bearbeiten Sie ein Antivirus-Profil mit empfohlenen Einstellungen.
  3. Navigieren Sie zu Security Profiles > Intrusion Prevention.
  4. Erstellen oder bearbeiten Sie ein IPS-Profil, das bekannte Angriffe blockiert.

Ein häufiges Konfigurationsproblem ist die unnötige Aktivierung aller verfügbaren Signaturen, was zu Performance-Einbußen führen kann. Fokussieren Sie sich auf relevante Signaturen für Ihre Umgebung und achten Sie auf einen guten Kompromiss zwischen Sicherheit und Leistung.

Web-Filterung und Application Control

  1. Navigieren Sie zu Security Profiles > Web Filter.
  2. Konfigurieren Sie Kategorien, die blockiert werden sollen (z.B. Malware, Adult Content).
  3. Navigieren Sie zu Security Profiles > Application Control.
  4. Blockieren Sie unerwünschte oder risikoreiche Anwendungen.

Diese Profile müssen in den entsprechenden Firewall-Policies aktiviert werden, um wirksam zu sein.

Für eine detaillierte Betrachtung der FortiGate-Sicherheitsfunktionen empfehlen wir unseren Artikel FortiGate-Sicherheitsfunktionen im Detail.

8. Backup und Wartung einrichten

Die regelmäßige Sicherung Ihrer Konfiguration ist entscheidend, um bei Problemen schnell wiederherstellen zu können.

Konfigurationsbackup

  1. Navigieren Sie zu System > Backup > Configuration.
  2. Wählen Sie Backup to Local PC für eine manuelle Sicherung.
  3. Für automatisierte Backups können Sie auch die FortiManager-Integration nutzen.

Speichern Sie Backup-Dateien sicher, da sie Ihre Netzwerkkonfiguration enthalten. Wir empfehlen die Verschlüsselung der Backup-Dateien mit einem Passwort.

Update-Strategie festlegen

Planen Sie regelmäßige Updates für FortiOS und die Sicherheitsdatenbanken:

  1. Navigieren Sie zu System > FortiGuard.
  2. Konfigurieren Sie den automatischen Download von Updates.
  3. Legen Sie einen Zeitplan für die Installation von Firmware-Updates fest.

Eine nachlässige Update-Strategie ist eine der Hauptursachen für Sicherheitslücken. Bleiben Sie mit Patches und Sicherheitsupdates auf dem neuesten Stand, testen Sie diese jedoch vorher in einer Testumgebung.

9. Häufige Fehler und Troubleshooting

Selbst bei sorgfältiger Planung können Probleme auftreten. Hier sind typische Fehler und Lösungsansätze.

Typische Probleme bei der Erstkonfiguration

  1. Keine Netzwerkverbindung nach Installation:
    • Überprüfen Sie die physische Verkabelung
    • Kontrollieren Sie die IP-Konfiguration
    • Prüfen Sie, ob die Schnittstellen aktiviert sind (Status: up)
  2. Clients können nicht ins Internet:
    • Überprüfen Sie die NAT-Konfiguration
    • Kontrollieren Sie die DNS-Einstellungen
    • Überprüfen Sie die Firewall-Regeln
  3. VPN-Verbindungsprobleme:
    • Überprüfen Sie die Phasen-1- und Phasen-2-Parameter
    • Kontrollieren Sie die Firewall-Regeln für VPN-Traffic
    • Überprüfen Sie die Routing-Konfiguration

Diagnose-Tools in FortiGate

FortiGate bietet leistungsstarke Diagnose-Tools:

  1. Dashboard-Widgets: Fügen Sie Widgets für Systemressourcen und Traffic-Monitoring hinzu.
  2. Logs & Report: Überprüfen Sie die Logs für Hinweise auf Probleme.
  3. Diagnose-Befehle über CLI:
# diagnose sys session list
# diagnose debug flow trace start
# diagnose debug application ipsengine -1
  1. Packet Capture: Für detaillierte Analyse des Netzwerkverkehrs.

Mehr über Troubleshooting und Performance-Optimierung erfahren Sie in unserem Artikel Troubleshooting und Performance-Optimierung für Firewalls.

10. Best Practices für eine sichere Grundkonfiguration

Abschließend hier einige bewährte Vorgehensweisen, die Sie bei der FortiGate-Konfiguration beachten sollten:

Sicherheitsempfehlungen

  1. Administrator-Zugriff beschränken:
    • Aktivieren Sie Zwei-Faktor-Authentifizierung für Administratoren
    • Beschränken Sie Admin-Zugriff auf vertrauenswürdige IP-Adressen
    • Verwenden Sie separate Admin-Konten für verschiedene Benutzer
  2. Netzwerksegmentierung umsetzen:
    • Trennen Sie unterschiedliche Netzwerkbereiche (Produktion, Gäste, IoT)
    • Implementieren Sie eine Zero-Trust-Strategie
  3. Logging und Monitoring optimieren:
    • Aktivieren Sie Logging für wichtige Ereignisse
    • Konfigurieren Sie Alarme für sicherheitsrelevante Vorfälle
    • Exportieren Sie Logs zu einem zentralen Logging-System
  4. Regelmäßige Sicherheitsaudits durchführen:
    • Überprüfen Sie Firewall-Regeln auf unnötige oder zu permissive Einträge
    • Analysieren Sie Verkehrsmuster auf Anomalien
    • Testen Sie die Sicherheitskonfiguration mit Vulnerability Scans

Häufig gestellte Fragen

Wie lange dauert die Ersteinrichtung einer FortiGate typischerweise?

Die grundlegende Konfiguration einer FortiGate-Firewall kann je nach Komplexität des Netzwerks zwischen 2 und 8 Stunden dauern. Für eine vollständige Implementierung mit allen Sicherheitsfunktionen und Tests sollten Sie 1-3 Tage einplanen.

Kann ich die Installation selbst durchführen oder sollte ich einen Experten beauftragen?

Für einfache Umgebungen mit grundlegenden Sicherheitsanforderungen kann die Installation durch einen erfahrenen IT-Administrator erfolgen. Bei komplexeren Netzwerken, kritischen Infrastrukturen oder speziellen Compliance-Anforderungen empfehlen wir die Unterstützung durch einen zertifizierten FortiGate-Spezialisten.

Welche häufigen Fehler sollte ich bei der Erstkonfiguration vermeiden?

Die häufigsten Fehler sind zu permissive Firewall-Regeln, unzureichende Netzwerksegmentierung, fehlende Backup-Strategie und mangelndes Monitoring. Verwenden Sie vordefinierte Templates und folgen Sie bewährten Vorgehensweisen, um diese Fehler zu vermeiden.

Wie gehe ich vor, wenn ich nach der Konfiguration keinen Zugriff mehr auf meine FortiGate habe?

In diesem Fall können Sie über die Konsole auf die FortiGate zugreifen und die grundlegende Netzwerkkonfiguration wiederherstellen. Falls ein Backup vorhanden ist, können Sie die letzte funktionierende Konfiguration zurückspielen.

Wie kann ich testen, ob meine FortiGate-Konfiguration korrekt ist?

Führen Sie nach der Konfiguration umfassende Tests durch: Prüfen Sie den Internetzugang von verschiedenen Netzwerksegmenten, testen Sie die VPN-Verbindungen, verifizieren Sie die Wirksamkeit der Sicherheitsprofile mit Testdateien und führen Sie Vulnerability Scans durch.

Dieser Artikel ist Teil unserer umfassenden Serie zu Firewalls und FortiGate-Lösungen. Entdecken Sie weitere Fachbeiträge zu spezifischen Themen in unserem Blog.

Diesen Beitrag teilen:

Beiträge der Kategorie: Cybersecurity

Christoph Dunzinger – Ansprechpartner TOMORIS Sales

Christoph Dunzinger

Ihr Ansprechpartner bei
TOMORIS GmbH.
Sie haben Fragen oder möchten ein Thema mit uns besprechen? Ich bin gerne für Sie da.

Kontakt aufnehmen
Blog

Jetzt Strategiegespräch vereinbaren


Christoph Dunzinger – Ansprechpartner TOMORIS Sales
TOMORIS Schriftzug in offizieller CI-Variante

TOMORIS steht für leistungsstarke IT-Lösungen, die Unternehmen wachsen lassen – sicher, partnerschaftlich, zukunftsorientiert.

IT-Säulen

Download

Offizieller Schriftzug von TeamViewer

TOMORIS. IT-Lexikon

In diesem IT-Lexikon werden zentrale Begriffe aus der Informationstechnologie auf leicht verständliche Weise erläutert.

TOMORIS. IT-Blog

Der TOMORIS Blog erklärt verständlich, wie Unternehmen ihre IT-Landschaft sicher und effizient gestalten können. Kompakte Beiträge liefern praxisnahe Tipps und Einblicke aus unseren Projekten, die sich direkt umsetzen lassen.

NIS2

TOMORIS. Karriere

Weiteres

Rebranding von Tom's IT zur TOMORIS GmbH