Importante Gruppo Nazionale - Cluster Firewall FortiGate in HA
Migrazione FortiOS 7.6 → 8.0 con cluster HA active-passive, audit di sicurezza e segmentazione VLAN end-to-end
!La sfida
La soluzione
Fase 1 - Preparazione e audit (3 settimane)
•Parsing completo della configurazione 7.6 esistente (oltre 14.700 righe) e split per topic in 16 sezioni dedicate (interfacce, VLAN, DNS, DHCP, VIP, policy, utenti, VPN, routing, automation)
•Esecuzione audit di sicurezza con cross-reference findings ↔ regole firewall
•Stesura del migration plan e definizione di 11 "agenti" specializzati (preflight, backup, validator, rollback, ecc.) per supervisione strutturata
•Generazione automatizzata della config target FortiOS 8.0 a partire dalla 7.6, con verifica sintassi sui manuali ufficiali
•Identificazione e correzione preventiva di 5 fix sintassi necessari per la nuova major (`change-4-characters`, `ntpserver`, `service-account-id`, `federated-upgrade`, `email-subject`)
•Split del deploy in 21 blocchi CLI sequenziali, ognuno testabile e atomico
•Runbook step-by-step con checklist di rollback definita
Fase 2 - Intervento on-site (3 ore di finestra di servizio)
•Isolamento dell'unità target e upgrade firmware via TFTP (FortiOS 7.6.4 → 8.0.0 build 0167)
•Restore della config rigenerata, deploy a blocchi con validazione live
•Cutover dei cavi fisici (LAN, trunk core, VoIP, telecamere)
•Test post-cutover su flussi business: telefonia 3CX, accesso DVR, e-commerce esposto, VPN SSL utenti remoti
Fase 3 - Cluster HA active-passive (10 giorni dopo)
•Aggiunta della seconda unità FG-100F come peer HA, configurazione di un cluster active-passive con priority 150 (primary) e 50 (secondary)
•Sync configurazione via heartbeat dedicato, test failover con simulazione spegnimento nodo
•Documentazione del cluster e procedure di manutenzione zero-downtime
Hardening post-migrazione
•Applicazione di geofencing (limitazione traffico esposto a IP italiani) sulle policy critiche
•Session-helper SIP UDP/5060 e FTP TCP/21 ripristinati dove necessario (rimossi di default in FortiOS 8.0)
•Replica di 3 VIP DVR HikVision con isolamento dedicato
•Pattern 3CX hairpin documentato e validato lato server PBX, niente NAT loopback inutile
Tecnologie utilizzate
Servizi erogati
“Avevamo un audit con cinque criticità sul firewall e un modello in end-of-sale: dovevamo fare un salto generazionale senza fermare il negozio, il magazzino o il centralino. DF Solutions ha gestito tutto con un piano scritto al millimetro: tre ore di finestra serale, nessuna sorpresa il giorno dopo, e oggi abbiamo un cluster HA che ci permette di intervenire senza fermare nulla.”