FortiGate-5.4-5.6:FAQ

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

FortiGate-5.4:FAQ

 24 X 7 PROMOTION bis 31. März 2016
 
                        Weitere Informationen finden Sie hier!

Vorwort

Diese FAQ's sind für Fortinet Systeme basierend auf OS 5.4. Zu Test-Zwecken stand eine Fortigate 60D zur Verfügung!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                   ALSO SCHWEIZ SWITZERLAND.                       *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
  schriftliche Zustimmung von der Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend Fortigate Devices:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

       http://docs.fortinet.com/fortigate/admin-guides
       FortiOS 5.4
       Datei:Fortigate-Whats-New-54.pdf                                                        (FortiOS 5.4 Handbook - What's New)
       Datei:Fortigate-CLI-Ref-54.pdf                                                          (FortiOS 5.4 CLI Reference)
       Datei:FortiOS-Log-Reference-54.pdf                                                      (FortiOS 5.4 FortiOS Log Reference)
       Datei:FortiOS-Upgradepath-54.pdf                                                        (FortiOS 5.4 Supported Upgrade Paths for Firmware)
       Datei:FortiOS-Software-Platform-Matrix-54.pdf                                           (FortiOS 5.4 Feature / Platform Matrix)
       Datei:FortiGate Managed FortiSwitch Matrix.pdf                                          (Managed FortiSwitch Compatibility Matrix)
       Datei:FortiOS-Compatibility-FMG-FAZ.pdf                                                 (Managed FortiManager/FortiAnalyzer Compatibility Matrix)
       Datei:Fortigate-Authentication-54.pdf                                                   (FortiOS 5.4 Handbook - Authentication)
       Datei:Fortigate-Carrier-54.pdf                                                          (FortiOS 5.4 Handbook - Carrier)
       Datei:Fortigate-HA-54.pdf                                                               (FortiOS 5.4 Handbook - High Availability)
       Datei:Fortigate-IPSec-VPN-54.pdf                                                        (FortiOS 5.4 Handbook - IPsec VPN)
       Datei:Fortigate-IPv6-54.pdf                                                             (FortiOS 5.4 Handbook - IPv6)
       Datei:Fortigate-Load-Balancing-54.pdf                                                   (FortiOS 5.4 Handbook - Load Balancing)
       Datei:Fortigate-Managing-Devices-54.pdf                                                 (FortiOS 5.4 Handbook - Managing Devices)
       Datei:Fortigate-Managing-Switch-54.pdf                                                  (FortiOS 5.4 Handbook - Managing FortiSwitch from FortiGate)
       Datei:Fortigate-Optimal-Life-54.pdf                                                     (FortiOS 5.4 Handbook - Optimal Path Processing "Life of a Packet")
       Datei:Fortigate-SSL-VPN-54.pdf                                                          (FortiOS 5.4 Handbook - SSL VPN)
       Datei:Fortigate-Security-Profiles-54.pdf                                                (FortiOS 5.4 Handbook - Security Profiles)
       Datei:Fortigate-WANopt-Cache-Proxy-54.pdf                                               (FortiOS 5.4 Handbook - WAN Optimization, Web Cache, Explicit Proxy, and WCCP)
       Datei:Fortigate-Wireless-54.pdf                                                         (FortiOS 5.4 Handbook - Deploying Wireless Networks)

Gibt es einen direkten Link auf die "Fortinet Knowledgebase" auf der die "KB Artikel" alle aufgelistet sind?

Die Fortinet "Knowledgebase" Artikel sind über den folgenden Link erreichbar:

       http://kb.fortinet.com/

Ueber diesen Link sieht man die verschiedenen Fortinet Produkte die man anwählen und über eine Suchfunktion für das entsprechende Produkt einen entsprechenden "KB Artikel" suchen kann. Möchte man jedoch sämtliche "KB Artikel" auflisten - vorallem die Neusten - ist dies über den Link nicht möglich. Nachfolgender Link bietet diese Möglichkeit dh. sämtliche "KB Artikel" werden aufgelistet (die Neusten zu oberst):

       http://pub.kb.fortinet.com/index/

Hardware

Wo finde ich die Hardware Revision und Hardware Generation Informationen eines FortiGate Devices?

Ein FortiGate Device verfügt über eine entsprechende "Hardware Revision" und "Hardware Generation". Ueber diese Information wird ein entsprechender FortiGate Device identifiziert. Möchte man die "Hardware Revision" herausfinden einer FortiGate kann dies folgendermassen bewerkstelligt werden:

       Variante Device Label
       
       Die "Hardware Revision" wird als "label" auf der Rückseite eines FortiGate Devices aufgeführt in
       nachfolgender Form und als Strich-Code:
       
       PN: P15968-01
       Variante FortiOS
       
       Wenn man über CLI folgenden Befehl absetzt erhält man die "Hardware Revision" Information:
       
       # get system status | grep Part-Number
       System Part-Number: P15968-01

Wie schon zu Beginn erklärt wird ein Device über die "Hardware Revision" und "Hardware Generation" identifiziert. Die "Hardware Generation" kann jedoch nicht erruiert werden sei es über ein "label" noch über CLI. Wenn diese Informatione dennoch benötigt wird kann über ein Ticket die entsprechende Information der "Hardware Generation" angefragt werden. Wie ein Ticket für Fortinet eröffnet wird siehe nachfolgender Artikel:

       Fortinet:Support-Case
       
       NOTE Bei dieser "Hardware Revision" wie in unserem Beispiel gezeigt (P15968-01) handelt es sich zB um eine FG-70D. Das bedeutet: 
            Wenn eine neue "Hardware Revision" für diesen Device released wird so kann diese über eine PN Nr "P15968-01" verfügen jedoch
            als "Hardware Generation" die "2". Es kann jedoch auch sein, dass ein neue "Hardware Revision" über eine PN Nummer verfügt 
            zB "P15978-02". Somit kann anhand der PN Nummer keine Rückschlüsse gezogen werden über die nötige Information von:
            
            PN Nummer (Hardware Revision) + Hardware Generation
            
            Diese Information der "Hardware Revison" sowie "Hardware Generation" sind dann wichtig wenn es sich um einen Cluster handelt.
            Bei einem RMA Austausch achtet Fortinet darauf und übermittelt der zuständigen Stelle für den Austausch diese Informationen
            damit diese exakt die gleiche "Hardware Revision" und "Hardware Generation" dem Kunden zustellt!

Wo finde ich eine Uebersicht welcher FortiGate Device zB über wieviel "Memory" verfügt, ein "SOC" und/oder "NP" verbaut ist?

Nachfolgend eine Aufstellung die zeigt über welche Komponenten wie "SOC, NP, Memory, Storage ein FortiGate Device verfügt:

       NOTE Diese Informationen stammen aus einem Post im "Fortinet Forum" da Fortinet diese Informationen nicht komuniziert:
            
            https://forum.fortinet.com/tm.aspx?m=100451#100451
       LEGENDE
       FA = FA526id(wb) rev 1 (v4l) FortiSOC (Fortinet)
       I2 = Intel Core 2 Duo
       I3 = Intel Pentium III
       I4 = Intel Pentium 4
       IA = Intel Atom
       IC = Intel Celeron (Covington)
       II3 = Intel Core i3
       II5 = Intel Core i5
       IM = Intel Mobile
       IX = Intel Xeon
       
       CP: Content Processor
       NP: Network Processor
       SoC: System on a Chip
       Fortinet-821.jpg
       Fortinet-822.jpg
       Fortinet-823.jpg
       Fortinet-1611.jpg
       Fortinet-824.jpg

Was für FortiGate Devices stehen in den verschiedenen Verfügung und welche ist die Richtige?

Wenn für einen Kunden ein FortiGate Device installiert werden soll stellt sich die Frage welcher Device ist der Richtige? Dabei sind verschiedenen Informationen wichtig wie zB:

       - Ueber was für eine Internet Anbindung verfügt der Kunde an der ein FortiGate Device installiert werden soll?
       - Ist ein Ausbau/Wechsel der Internet Anbindung geplant und wenn ja wir diese vergrössert (Dowstream/Upstream)?
       - Wieviele User werden durch den FortiGate Device geschützt?
       - Welche UTM Features werden auf dem FortiGate Device eingesetzt (Antivirus, WebFilter, IPS usw)
       - Wird "deep inspection" eingesetzt (Aufbrechen von verschlüsseltem Traffic)?
       - Werden spezielle Interface's benötigt zB SFP+
       - Wird ein spezieller Durchsatz in einem Bereich benötigt?
       - Wo wird "logging" durchgeführt zB Disk, FortiAnalyzer usw.?

Zusätzlich stellt Fortinet die sogenannte "Produkte Matrix" zur Verfügung in der die verschiedenen Devices gegenüber gestellt werden und die verschiedenen "Durchsätze" in verschiedenen Kategorieren wie SSL-VPN, IPSec, UTM Antivirus usw. aufgelistet und gegenüber gestellt werden. Dabei ist zu beachten, dass diese "Durchsätze" als "Feature Only" Durchsatz zu verstehen sind. Dies bedeutet: Wird Antivirus mit 35 Mbps Durchsatz aufgeführt, versteht sich dieser Wert in dem Sinne, dass wenn dieser Device "nur" Antivirus Traffic erhalten würde, der Durchsatz 35 Mbps ist. Aus diesem Grund ist es unerlässlich die Produkte Matrix zu konsultieren um den richtigen Device für den Kunden auszuwählen:

       Fortinet:ProduktInfo#Fortinet_Produkt-Matrix

Zu den verschiedenen FortiGate Devices stehen jeweils die "Datasheet" zur Verfügung die nochmals detailliert über den jeweiligen FortiGate Device Auskunft gibt. Desweiteren stehen zu den "Datasheet" ebenso die "Quickstart" Guide zur Verfügung die zeigen "was" zum jeweiligen Device mitgeliefert wird sowie das Aussehen:

       Fortinet:ProduktInfo#FortiGate

Desweiteren steht für die Produkte Information der Produkt Guide zur Verfügung der jeden FortiGate Device in einer Kurzübersicht darstellt:

       Fortinet:ProduktInfo#Fortinet_Produkt-Guide

Nachfolgend als Anhaltspunkt eine Uebersicht der FortiGate Devices in den verschiedenen Kategorieren wie "Entry Level, Midsize usw.":

       Fortinet-1392.jpg
       Fortinet-1393.jpg
       Fortinet-1394.jpg
       Fortinet-1395.jpg
       Fortinet-1396.jpg
       Fortinet-1397.jpg
       Fortinet-1398.jpg
       Fortinet-1610.jpg

Wie kann ich auf einem FortiGate Device einen Hardwartest ausführen (Troubleshooting/HQIP Testing)?

Damit man den "Advanced Hardware Test" resp. HQIP Test durchführen kann, muss ein spezielles "image" das für jeden Device zur Verfügung gestellt wird, temporär geladen werden. Unter der regulären Support Seite findet man die Images über das Icon "HQIP Images" am ende der Seite. Nachfolgend der direkte Link für "HQIP Images":

       https://support.fortinet.com/Download/HQIPImages.aspx
       
       NOTE Damit man zu diesem Link gelangt muss anhand eines Support Accounts eingeloggt werden sowie damit das 
            entsprechende Image runtergeladen werden kann, muss die entsprechende Serien Nummer des Devices eingegeben
            werden. Dies muss durchgeführt werden da jeder Device identifiziert werden muss anhand der Revision und 
            Generation um das entsprechende HQIP Image zur Verfügung stellen zu können. Dies bedeutet auch: Es ist nicht
            zu empfehlen ein bestehendes Image aus einem früheren HQIP Test zu benützen um auf einem Baugleichen Device
            den Test durchzuführen da die Devices -obwohl Baugleich- sich unterscheiden können in Revision und Generation.

Auf der FortiGate wird dieses HQIP Image wie beim "staging" Prozess selber über TFTP hochgeladen. Nachdem man das HQIP Image über TFTP geladen hat kann mit dem User "admin" eingeloggt wurde (kein Passwort) kann anhand des Befehls "diagnose hqip start" ein Script ausgeführt werden. Dieses Script führt die verschiedenen Hardware Tests aus. Der Unterschied zum regulären "staging" Prozess selber ist einzig und alleine, dass dieses Image nicht anhand "D" (Default), "B" (Backup) sondern anhand "R" (Run) installiert wird. Dies bedeutet: dieses Image wird durch "R" (Run) in den Memory Bereich temporär installiert. Der Output der Serial Console muss "geloggt" werden damit es später dem Fortinet Support übermittelt werden kann. Im "putty" wird dies für eine Session unter folgender Position konfiguriert:

       Category > Session > Logging > All Session output

Nachfolgend eine Schritt für Schritt Anleitung wie so ein HQIP Image geladen sowie das Scritp ausgeführt wird:

       -> Lade das entsprechende Image herunter (siehe Link oben; Serien Nummer des Devices muss angegeben werden)
          
       -> Benenne das File um nach "image.out" und verschiebe diese in das root Verzeichnis eines TFTP Servers. 
          Wenn kein TFTP Server vorhanden ist empfehlen wird den SolarwindsTFTP Server. Nachfolgend ein Link
          um diesen runterzuladen:
          
          SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_tftp_server.aspx
          
       -> Sofern das Web Mgmt. Interface zugänglich ist empfehlen wir vor dem Test ein ordentliches Backup der
          Konfiguration der FortiGate durchzuführen!
          
       -> Führe ueber die Serielle Console nachfolgenden Befehl aus um einen Neustart des Devices durchzuführen:
       
       # execute shutdown
                
       -> Um das HQIP Image über den TFTP Server zu laden muss eine Workstation folgendermassen mit eine FortiGate
          verbunden werden (Beispiel: FortiGate-60D)
       
                      _____________________________
                     |       RS232 Verbindung      |
       Consolen Port |                             |
          ___________|___                          | RS232 Anschluss
         |               |                     ____|_______________
         | FortiGate 60D |   192.168.1.100/24 |                    |
         |_______________|               _____| LapTop/Workstation | --> SolarWindsTFTP Server starten 
                  |                     | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root
             WAN1 |                     |      
                  |_____________________|    
        
         NOTE Auf dem Laptop müssen sämtliche Firewall's, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
              muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)!
       
       -> Oeffne über Putty eine Serielle Verbindung (Console) und achte darauf das "putty" für Log aktiviert wurde. 
          Schalte Die FortiGate ein und breche den Startprozess ab wenn folgendes erscheint:
       
       FortiGate-60D (10:49-11.12.2014)
       Ver:04000024
       Serial number: FGT60D4615013788
       CPU(00): 800MHz
       Total RAM:  2GB
       Initializing boot device...
       Initializing MAC... nplite#0
       Please wait for OS to boot, or press any key to display configuration menu
       
       Unterbreche den Boot-Prozess durch "Press any key"
                
       [C]: Configure TFTP parameters.
       [R]: Review TFTP parameters.
       [T]: Initiate TFTP firmware transfer.
       [F]: Format boot device.
       [I]: System information.
       [B]: Boot with backup firmware and set as default.
       [Q]: Quit menu and continue to boot.
       [H]: Display this list of options.
        
       Enter C,R,T,F,I,B,Q,or H: T
        
       Please connect TFTP server to Ethernet port 'WAN1'.
        
       MAC: 08:5b:0e:d9:18:f0
        
       Connect to tftp server 192.168.1.100 ...
        
       ############################################################
       Image Received.
       Checking image... OK
       
       ACHTUNG Beim nächsten Menüpunkt wähle "R" dh. NICHT "D" oder "B" Speichern sondern NUR Ausführen!
       
       Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?R
       Reading boot image... 1829759 bytes.
       Initializing firewall...
       
       System is starting..
        
       Test program loading(HQIP, Build1003,Dec 15 2010 19:42:45) ...
        
       You are running HQIP test program. To start testing, login as "admin" without password, and type:
       diagnose hqip start
        
       Logge dich nun ein anhand der obigen Informationen!
        
       HQIP login: admin
       Password:
       Welcome !
       
       HQIP # diagnose hqip start

Nun wird der HQIP Test ausgeführt und zwar für folgende Informationen:

        1.BIOS Integrity Check
        2.System Configuration Check 
        3.Memory test 
        4.CPU test
        5.CPU/Memory Performance Test
        6.FortiASIC Test 
        7.USB Test
        8.Boot Device Test
        9.Hard Disk Test
       10.Network Interface Controller Test
       11.NPU DDR Memory Test
       12.LED Test
       13.Reset Button Test

dh. normalerweise müssten alle Netzwerkkarten Ports angeschlossen werden. Geschieht dies nicht erscheint eine Fehlermeldung die jedoch keinen weiteren Einfluss hat auf die auszuführenden Tests, ausser der Test soll auf den Interfaces ausgeführt werden. Wenn die Netzwerkkarten Test korrekt ausgeführt werden soll müssen die Ports folgendermassen verbunden werden (Beispiel FortiGate-60D):

       Fortinet-10000.jpg

Nachfolgend ein Output eines solchen Tests für eine FG-60D (Netzwerkport gemäss Grafik oberhalb "überlistet"):

       Datei:Hqip-output-v54.txt

Um die Fortigate wieder in den Orginalzustand zu versetzen führe ein Login über die Serielle Consoel durch mit dem User "admin" (kein Passwort). Danach führe folgendes aus:

       HQIP login: admin
       Password:
       Welcome !
       
       HQIP # execute reboot
       This operation will reboot the system !
       Do you want to continue? (y/n)y

Da das HQIP Image "nur" temporärer (Memory) installiert wurde sind alle Informationen nach einem Neustart betreffend diesem Image gelöscht worden. Wenn es nach dem Neustart zu Hinweise/Errors betreffend der Konfiguration kommt zB:

       System is started.
       The config file may contain errors,
       Please see details by the command 'diagnose debug config-error-log read'

Führe ein Login durch und führe folgendes aus:

       # diagnose debug config-error-log read
       >>>  "unset" "post-lang" @ root.firewall.profile-protocol-options.default.ftp:command parse error (error -61)

Oftmals ist ein einfach Neustart der Fortigate nötig um das Problem zu beheben:

       # execute reboot

Für eine FortiGate Device der "E" Serie existiert kein HQIP Image wie kann ich dennoch einen Hardwartest ausführen?

Bei der "E" Serie kann von der "Support" Seite kein seperates HQIP Image herungergeladen werden. Auf diesen Umstand wird auf der "Support" Seite auch darauf hingewiesen. Dazu steht jedoch auf der "E" Serie ein "diagnose" Kommando zur Verfügung der diese "Hardware Tests" im Stil von "HQIP" durchführt:

       # diagnose hardware test [Parameter]            

Als "Parameter" kommen folgende Attribute in Frage:

       bios                    führt eine BIOS spezifische Überprüfung durch
       system                  führt eine System spezifische Überprüfung durch
       usb                     führt eine USB spezifische Überprüfung durch
       button                  führt eine button spezifische Überprüfung durch
       cpu                     führt eine CPU spezifische Überprüfung durch
       memory                  führt eine Memory spezifische Überprüfung durch
       network                 führt eine Netzwerkinterface spezifische Überprüfung durch
       disk                    führt eine disk spezifische Überprüfung durch
       led                     führt eine LED spezifische Überprüfung durch
       wifi                    führt eine Wireless spezifische Überprüfung durch
       suite                   runthe HQIP test suite
       setting                 die Testeinstellungen können auf diesen Weg geändert werden
       info                    zeigt die aktuellen Test Parameter an

Gibt es für FortiGate Device's eine Uebersicht wie die Luftzirkulation (Airflow) in den Device's aufgebaut ist?

Nachfolgende Dokument zeigen für die jeweiligen FortiGate Devices wie die Luftzirkulation/Kühlung in den Devices aufgebaut ist und wie diese funktionieren. Diese Dokumente stehen jedoch nur für FortiGate Devices 100D und höher zur Verfügung.

       Datei:FG-100D Airflow.pdf
       Datei:FG-200D Airflow.pdf
       Datei:FG-300C Airflow.pdf
       Datei:FG-600C 800C Airflow.pdf
       Datei:FG-1000C Airflow.pdf
       Datei:FG-1500D Airflow.pdf
       Datei:Fg-3700D Airflow.pdf

Disk

Wie kann ich auf einer FortiGate die auf der Disk enthaltenen Daten (inkl. Boot Device) vollumfänglich (low level) löschen?

Ab FortiOS 5.0.5 gibt es die Möglichkeit die "Disk" (Internal) und/oder den "System Boot Device" über "low level" zu formatieren. Dies ist dann Wichtig wenn ein Device entsorgt wird oder dem Hersteller im RMA Fall zurückgesendet werden soll um so zu gewährleisen, dass sämtliche enthaltenen Daten auf der Disk gelöscht werden sollen. Bei der "low level" Formatierung werden die Spuren und Sektoren der "Disk" resp. des "System Boot Device's" mit zufälligen Daten 3 X überschrieben um so zu gewährleisten das die vorhandenen Daten komplett gelöscht werden. Ab FortiOS 5.0.5 steht für diesn Vorgang folgender Befehl zur Verfügung:

       # execute erase-disk [SYSTEM | Internal]

Wenn ein Device aus Gründen der "Security Gründen" bei einem RMA Austausch nicht dem Hersteller zurückgesendet werden kann obwohl die Möglichkeit einer "low level" Formatierung zur Verfügung steht bietet Fortinet innerhalb des "FortiCare" einen speziellen Vertrag an der es ermöglicht bei einem RMA Austausch den Device selber zu entsorgen anstelle diesen dem Hersteller zurück zu senden. Dieser Service wird "FortiCare RMA Secure Service" genannt. Weitere Informationen dazu siehe nachfolgenden Artikel:

       Fortinet:Support-RMA#Gibt_es_von_Fortinet_einen_.22FortiCare_Secure_RMA_Service.22.3F

Wie kann ich die Disk (Flash, SSD) eines FortiGate Device testen um zu überprüfen ob diese Fehler enthält?

Anhand des Befehls "diagnose disktest" kann auf einer FortiGate ab FortiOS 5.2.1 die Disk getestet werden. Dazu sollte berücksichtigt werden, dass dieser Test in einem Maitenance Fenster durchgeführt wird und nicht bei hoher Last. Um diesen Test zu benutzen muss anhand des Befehls zuerst die entsprechende Disk gewählt werden. Um die Disk's aufzulisten benutze folgenden Befehl:

       NOTE Der Test kann seine Zeit dauern dh. bei einer 60D ohne zusätzlichen Optionen dh. no Limit läuft der Test für 
            7728M ca 45 Minuten! Dies gilt für "Round 1" denn sobald diese beendet ist beginnt der Test erneut dh. "Round 2".
            Der Test kann anhand "Ctrl + C" abgebrochen werden. Wenn dies durchgeführt wird erscheint folgendes:
           
            "User interrupt! Restoring data back to disk....".

Wie schon erwähnt muss für einen Test die entsprechende Disk zuerst gewählt werden. Daraus ergiebt sich folgendes Vorgehen:

       Liste die vorhandenen Device's auf:
       
       # diagnose disktest device 
       1    /dev/sda, size 3864MB, boot device
       2    /dev/sdb, size 7728MB
       Selektieren die gewünschte Disk zB /dev/sdb dh. "2":
       
       # diagnose disktest device 2
       Current Test Device: /dev/sdb
       Setze für den Test verschiedene Optionen dh.:
       
       # diagnose disktest [bllock | time | size]
       
       NOTE Die Optionen haben folgende Bedeutung:
            
            block       Die Blocksize für jede Lese- sowie Schreiboperation.
            time        Die Limite der Testzeit für jeden Zyklus. Standard "keine Limite".
            size        Die Limite der Testgrösse für jeden Zyklus. Standard "keine Limite".

Wenn der gewünschte Device gesetzt/gewählt wurde/ist sowie sofern notwendig die Optionen konfiguriert wurden führe den Test aus:

       # diagnose disktest run
       
       Round 1 started.
       Current Test Device: /dev/sdb
       Total size: 7728M
       Current Test Block: 4M.
       Current Time Limit: No limit
       Current Size Limit: No limit
       Time(Sec)    Size(MB)                                                 Read(MB/s) Write(MB/s)
         0.0        0(0.00%):  ..................................................  15.0   8.6
        76.0      200(2.59%):  ..................................................  15.1   8.9
       150.2      400(5.18%):  ..................................................  15.0   9.0
       224.3      600(7.76%):  ..................................................  15.0   8.9
       298.8      800(10.35%): ..................................................  15.1   8.9
       372.9     1000(12.94%): ..................................................  15.1   9.0
       446.9     1200(15.53%): ..................................................  15.1   9.0
       520.7     1400(18.12%): ..................................................  15.2   9.0
       594.4     1600(20.70%): ..................................................  15.1   9.0
       668.4     1800(23.29%): ..................................................  15.2   9.0
       742.1     2000(25.88%): ..................................................  15.3   9.0
       815.8     2200(28.47%): ..................................................  15.3   9.0
       889.5     2400(31.06%): ..................................................  15.3   8.9
       963.1     2600(33.64%): ..................................................  15.4   9.0
       1036.7    2800(36.23%): ..................................................  15.3   9.0
       1110.3    3000(38.82%): ..................................................  15.3   9.0
       1183.9    3200(41.41%): ..................................................  15.3   9.0
       1257.6    3400(44.00%): ..................................................  15.3   9.0
       1331.2    3600(46.58%): ..................................................  15.3   9.0
       1404.7    3800(49.17%): ..................................................  15.3   9.0
       1478.3    4000(51.76%): ..................................................  15.3   9.0
       1551.9    4200(54.35%): ..................................................  15.2   8.9
       1625.8    4400(56.94%): ..................................................  14.5   8.6
       1702.5    4600(59.52%): ..................................................  15.0   8.8
       1777.3    4800(62.11%): ..................................................  15.2   8.9
       1851.6    5000(64.70%): ..................................................  15.1   8.9
       1925.9    5200(67.29%): ..................................................  15.1   8.9
       2000.3    5400(69.88%): ..................................................  15.1   8.9
       2074.7    5600(72.46%): ..................................................  15.1   8.9
       2148.9    5800(75.05%): ..................................................  15.2   8.9
       2223.2    6000(77.64%): ..................................................  15.2   8.8
       2297.5    6200(80.23%): ..................................................  15.1   8.9
       2371.9    6400(82.82%): ..................................................  15.2   8.9
       2446.2    6600(85.40%): ..................................................  15.1   8.9
       2520.5    6800(87.99%): ..................................................  15.3   8.9
       2594.6    7000(90.58%): ..................................................  14.6   8.6
       2671.4    7200(93.17%): ..................................................  15.1   8.4
       2748.0    7400(95.76%): ..................................................  15.3   5.4
       2851.2    7600(98.34%): ................................
       Test Result: Passed
       Tested size: 7728MB (100.00% Coverage of whole disk)
       Time used: 2901.5 sec
       Read Speed:  15.2MB/s
       Write Speed:   8.7MB/s
       Round 1 Finished!
       
       Round 2 started.
       Current Test Device: /dev/sdb
       Total size: 7728M
       Current Test Block: 4M.
       Current Time Limit: No limit
       Current Size Limit: No limit
       Time(Sec)    Size(MB)                                                 Read(MB/s) Write(MB/s)
         0.0        0(0.00%):  ..................................................  14.7   8.4
        77.9      200(2.59%):  .............User interrupt! Restoring data back to disk...
       
       Test Result: Interrupted
       Tested size: 256MB (3.31% Coverage of whole disk)
       Time used:  99.3 sec
       Read Speed:  14.7MB/s
       Write Speed:   8.4MB/s
       Round 2 Finished!

Wird bei einem "unclean shutdown" auf einem FortiGate Device beim Systemstart ein "filesystem check" durchgeführt?

Ab der Version 5.2.x wurde diese Funktion integriert sowie zusätzlich die Möglichkeit die Disk explizit manuell zu testen. Weitere Informationen wie man einen "expliziten" Disk Test Manuell ausführt siehe nachfolgenden Artikel:

       FortiGate-5.4:FAQ#Wie_kann_ich_die_Disk_.28Flash.2C_SSD.29_eines_FortiGate_Device_testen_um_zu_.C3.BCberpr.C3.BCfen_ob_diese_Fehler_enth.C3.A4lt.3F

Wie erwähnt wurde für ein "unclean shutdown" (zB Stromunterbruch) im FortiOS 5.2.x die Funktion eingebaut, dass nach einem "unclean shutdwown" während dem Start Prozess dies erkannt wird und automatisch ein "filesystem check" ausgeführt wird. Diese wird "nicht" anhand eines "expliziten" Disk Tst aufgeführt sondern ähnelt einem "fsck" das auf einem Linux System ausgeführt wird. In diesem Vorgang wird durch das System bemerkt das ein "unclean shutdown" stattgefunden hat. Dies wird ebenfalls indiziert in dem beim Start auf der Console folgendes erscheint:

       System is starting...
       Starting system maintenance...
       scanning /dev/sda2... (100%)

In vorhergehenden Versionen des FortiOS dh. zB 5.0 wurde dieser "filesystem check" beim Start des Devices durchgeführt. Solch ein "filesystem check" kann einige Zeit in Anspruch nehmen und deshalb wurde die Vorgehensweise ab der FortiOS Version 5.2.3 geändert. Dies bedeutet: Wenn ein "unclean shutdown" stattfindet ab FortiOS Version 5.2.3 wird kein "filesystem check" mehr direkt beim Neustart des Device ausgeführt sondern nur ein "system maintenace" indiziert. Sobald sich der Administrator auf dem Web Mgmt. Interface einloggt wird ein entsprechender Dialog angezeigt der durch den "unclean shutdown" ausgelöst wurde:

       Fortinet-1609.jpg

Durch diesen Dialog hat der Administrator die Möglichkeit den "filesystem check" auszuführen oder diesen auf einen späteren Zeitpunkt zu verschieben. Wird der "filesystem check" nach dem einloggen des Administrators ausgeführt so wird ein Neustart des Devices ausgeführt und dieser "filesystem check" beim Neustart ausgeführt. Wie schon erwähnt kann dieser "filesystem check" durchaus mehrere Minuten in Anspruch nehmen und der Vorgang sollte auf keinen Fall unterbrochen werden! Wird diese "filesystem check" Meldung beim einloggen auf das Web Mgmt. Interface anhand "Remind me later" auf einen späteren Zeitpunkt verschoben, wird die Meldung nach jedem Einloggen angezeigt bis dieser "filesystem check" ausgeführt wird!

PowerSupply

Kann man für FortiGate's seperate Spare und/oder Redundante PowerSupply (RPS) beziehen?

Für die verschiedenen FortiGate Devices stellt Fortinet seperate "PowerSupplies" zur Verfügung. Für die grösseren Devices stehen zusätzlich für die Redundanz ebenfalls "RPS Devices" (Redundand PowerSupply) zur Verfügung. Welche Geräte kompatible sind zu den seperaten "RPS Devices" siehe nachfolgender Artikel:

       Fortinet:ProduktInfo#FortiRPS

Nachfolgende Tabelle zeigt für welchen FortiGate Device welches sperate zu beziehende "PowerSupply" bestellt werden kann:

       Fortinet-1081.jpg
       Fortinet-1082.jpg

Nachfolgend einige erfasste ALSO Schweiz Artikel betreffend "PowerSupply":

       ALSO Art Nr.    Hersteller SKU          Beschreibung
       16503530H       SP-FG20C-PA-EU          AC power adaptor with EU power plug for FG/FWF-20C series, FG/FWF-30D
       16502510H       SP-FG80-PDC             AC power adaptor - AC power adaptor for FG/FWF-80C/CM
       16501668H       SP-FG60C-PDC            AC power adaptor - AC power adaptor for FG/FWF-40C, FG/FWF-60C, FG/FWF-60D, FG-70D, FG/FWF-90D
       16502889H       SP-FG600C-PS            AC power supply - AC power supply for FG-600C, FG-600D, FG-800C, and FG-1000C
       16505060H       SP-FG1240B-PS           AC power supply - AC power supply for FG-1200D, FG-1240B, FG-1500D, FG-3040B and FG-3140B

Ebenso stehen für die FortiAP sowie FortiAP-S "PowerSupplies" zur Verfügung. Weitere Informationen dazu siehe nachfolgender Artikel:

       FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F 
       FortiAP-S:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP-S_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F

SFP Ports

Kann ich für die SFP Ports auf einer FortiGate ebenfalls Fremdprodukte wie Cisco oder Huawai einsetzen?

Dies ist möglich jedoch ausgiebig vorgängig zu testen! Von unserer Seite her haben wir Tests sowie Feedback das folgende Transceiver einwandfrei funktionieren:

       Copper GigaBit 10/100/1000
       
       GLC-T=746320861579     Cisco Catalyst GigaEthernet SFP Modul 1000Base T
       02314171               Huawayi Electrical Transceiver SFP Module 1000Base T
       
       NOTE Durch Fortinet werden ebenfalls nicht eigenen Transceiver eingesetzt sondern von Fremdherstellern dh. wird ein Transceiver 
            über Fortinet bestellt, wird ein Transceiver zB von Huaway geliefert! Weitere Informationen betreffend "offizielle" SFP/SFP+ 
            Module von Fortinet sowie den Gebrauch von "nicht offiziellen" siehe folgender Artikel:
            
            FortiGate-5.4:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F

Welche FortiGate Device's unterstützen SFP's und bei welchen FortiGate Devices werden SFP's mitgeliefert?

Nachfolgende Tabelle zeigt welche FortiGate Devices wieviele SFP's unterstützen und bei welchem FortiGate Device bereits SFP Module mitgeliefert werden:

       NOTE NIL = Not Included!
       
       Fortinet-1085.jpg
       Fortinet-1086.jpg

Es können für die FortiGate Devices auch Fremdprodukte als SFP's eingesetzt werden jedoch gibt es keine Gewährleistung das diese einwandfrei funktionieren. Weitere Infos siehe nachfolgender Artikel:

       FortiGate-5.4:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F)
       
       NOTE Desweiteren ist nachfolgendes Dokument zu beachten, wenn keine "offiziellen" Tranceiver von Fortinet eingesetzt
            werden (speziell Seite 2 "3rd Party Transceivers Support"):
            
            Datei:Tech Note-Transceivers FAQs-201407-R3.pdf 

Basierend auf den "offiziellen" Tranceiver von Fortinet gemäss Preisliste stehen folgende SFP/SFP+ Module zur Verfügung:

       Transceiver LX, Long Range; all FortiGate models with SFP interfaces                                              ALSO SKU 16500426H  (Hersteller SKU FG-TRAN-LX)
       Transceiver SX, Short Range; all FortiGate models with SFP interfaces                                             ALSO SKU 16500428H  (Hersteller SKU FG-TRAN-SX)
       Transceiver Base-T (Copper); all FortiGate models with SFP interfaces (supports 10/100/1000)                      ALSO SKU 16500427H  (Hersteller SKU FG-TRAN-GC)
       
       10-Gig transceiver, short range SFP+; all FortiGate models with SFP+ interfaces                                   ALSO SKU 16500429H  (Hersteller SKU FG-TRAN-SFP+SR)
       10-Gig transceiver, short range XFP; all FortiGate models with XFP interfaces                                     ALSO SKU 16500430H  (Hersteller SKU FG-TRAN-XFPSR)
       10-Gig transceiver, SFP+, Long Range; all FortiGate models with SFP+ interfaces                                   ALSO SKU 16500431H  (Hersteller SKU FG-TRAN-SFP+LR)
       10-Gig transceiver, XFP, Long Range; all FortiGate models with XFP interfaces                                     ALSO SKU 16500432H  (Hersteller SKU FG-TRAN-XFPLR)
       
       40-Gig transceiver, QSFP+, short range; all FortiGate models with QSFP+ interfaces                                ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-QSFP+SR)
       40-Gig transceiver, QSFP+, long range; all FortiGate models with QSFP+ interfaces                                 ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-QSFP+LR)
       
       100-Gig transceiver, CFP2, short Range; all FortiGate models with CFP2 interfaces (10 Channel parallel fiber)     ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-CFP2-SR10)
       100-Gig transceiver, CFP2, long Range; all FortiGate models with CFP2 interfaces (only singlemode)                ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-CFP2-LR4)
       

Für eine direkte Verbindung zweier Fortigates über ein "direct attach cable" steht folgender Artikel zu Verfügung:

       10-Gig transceiver, SFP+, 10m direct attach cable; all FortiGate models with SFP+ and SFP/SFP+ interfaces         ALSO SKU auf Anfrage (Hersteller SKU SP-Cable-ADASFP+)      

Eine detaillierte Beschreibung der Tranceivereigenschaften befindet sich im folgenden Dokument:

       Datei:TRAN-DAT-R2-201503 web.pdf

Was sind die genauen Spezifikationen der SFP's Module die von Fortinet für die FortiGate Devices geliefert werden?

Im nachfolgenden Artikel wird beschrieben ob ein SFP/SFP+ Module zu einer FortiGate mitgeliefert wird und welche SFP/SFP+ Module offiziell für die FortiGate's zur Verfügung stehen:

       FortiGate-5.4:FAQ#Welche_FortiGate_Device.27s_unterst.C3.BCtzen_SFP.27s_und_bei_welchen_FortiGate_Devices_werden_SFP.27s_mitgeliefert.3F

In der nachfolgenden Tabelle werden die technischen Spezifikationen aufgelistet der SFP Module die von Fortinet für die FortiGate Devices geliefert werden:

       Fortinet-1087.jpg
       NOTE Die Informationen stammen aus einem Fortinet "Knowledgebase Artikel" und über diesen sind weitere Informationen verfügbar:
            
            http://kb.fortinet.com/kb/dynamickc.do?cmd=show&forward=nonthreadedKC&docType=kc&externalId=13823&sliceId=1
       Fortinet-1129.jpg

Nachfolgend das offizielle "Regulatory Compliance Document" betreffend SFP SX Transceiver:

       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-SX Rev 1.03.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-CFP2-LR4 Rev 1.00.pdf
       Regulatory Doc   Datei:Regulatory-Compliance-Document FG-TRAN-CFP2-SR10 Rev 1.00.pdf

ASIC/Hardware Acceleration

Consolen Port (Mgmt. Port)

Was für ein Kabel (Converter) benötige ich für den Consolen Anschluss (Seriell RS-232) auf einer FortiGate?

Eine Fortinet kann über Consolen Port, SSH, Telnet, HTTP, HTTPS Administriert werden. Bei Problemen oder für das initial Setup ist der Consolen Port unablässlich. Dabei handelt es sich beim Consolen Port über eine RS232 Schnittstelle. Die heutigen Workstation und/oder Laptops werden jedoch nicht mehr mit einem RS232 Anschluss ausgeliefert. Aus diesem Grund muss auf einen Converter zurückgegriffen werden. Bei diesen Convertern handelt es sich meistens um "USB to RS232 Converter". Dieses sind jedoch nicht unproblematisch dh. je nach Betriebssystem, Consolen Anschluss usw. kann es zu Problemen kommen dh. die Kompatibilität zu den verschiedenen Consolen Anschlüssen dh. vers. Hersteller und Geräten ist eine kompatibilitäts Frage! Der nachfolgende Artikel bietet eine "sehr hohe" Kompatibilität zu vers. Herstellern und hat den Vorteil, dass unter Windows 7/8 KEIN Treiber installiert werden muss (ab Windows 7 SP1). Wichtig bei der Installation ist nur das man das Gerät anschliesst und nachträglich einen Neustart ausführt. Ebenfalls wird der "FTDI Chip" basierende "USB to RS232 Converter" nur dann korrekt erkannt wenn dieser beim Start des Laptop korrekt angeschlossen ist (Immer den gleichen Anschluss benützen am Laptop). Nach der korrekten Erkennung des "USB to RS232 Converter" kann im entsprechenden Eintrag im Gerätemanager der Anschluss auf "Com1" umgestellt werden (per Standard ist Com3 gesetzt). Alle anderen Einstellungen sollten/können auf Standard belassen werden. Nachfolgend einige Informationen betreffend dieses "USB to RS232 Converter":

       Datei:Fortinet-619.jpg
       Technische Daten 
       
       Hersteller:    EXSYS (https://www.exsys.ch/index.php?page=product&info=393)
       Produkte-Nr:   EX-1301-2 
       ALSO-Nr:       [17500313H]
       Anschlüsse:    1 x A-Stecker Upstream, 1 x 9 Pin D-SUB Seriell Stecker
       Datenblatt:    Datei:EX-1301-2-Datenblatt.pdf
       Handbuch:      Datei:EX-1301-2-Handbuch.pdf
       Unterstützung: Win98SE/ME/XP/CE/2000/2003/Vista/Win7 und Linux (MacOS X)
       Driver:        Datei:EX-1301-2.zip
       Driver Link:   https://www.exsys.ch/index.php?page=product&info=393
       
       Beschreibung:  Das USB 1.1 zu RS-232 Kabel stellt eine Serielle RS-232 High Performance UART 16C550 Ausgang zur Verfügung. 
                      Er ist entwickelt worden um einen weiteren Seriellen Ausgang für PC, kleine Workstation oder Server über 
                      den USB 1.1 oder 2.0 Bus zu erweitern.
       
                      NOTE Beim EX-1301-2 wird "kein" RS232-to-RJ45 Kabel mitgeliefert. Diese kann unter folgender
                           ALSO-Nr bezogen werden:
                           
                           [16502947H]

Nachfolgendes Dokument zeigt wie auf einem MacOSx basierend auf diesem "USB to RS232 Converter" Adapter konfigiguriert wird inkl. der Konfiguration eines TFTP Servers. Dieses Dokument wurde durch einen Kunden zur Verfügung gestellt:

       Datei:RS232-USB-Converter-TFTP-Server-Konfig-MacOSx.pdf

Weitere Informationen zur genauen Pin-Belegung betreffend Fortinet Appliance und dem Seriellen Consolen Port siehe nachfolgenden Artikel:

       FortiGate-5.4:FAQ#Wie_sieht_die_PIN-Belegung_der_Seriellen_Consolen_.28RS-232_.2F_DB9_.2F_RJ-45_.2F_AUX.29_auf_einem_FortiGate_Device_aus.3F

Wie sieht die PIN-Belegung der Seriellen Consolen (RS-232 / DB9 / RJ-45 / AUX) auf einem FortiGate Device aus?

Nachfolgend die technischen Informationen über die Pin-Belegung der Seriellen Console der Fortinet Produkte wie FortiGate, FortiAnalyzer, FortiManager sowie FortiMail:

       NOTE Einige FortiGate Devices haben einen RS-232 DB9 Konsolen Verbindung und andere haben eine RJ-45 Verbindung 
            (wie zB A Modelle). Ebenso existieren Modelle mit einem AUX Port. Alle diese Varianten benützen die gleiche
            Serielle Pin-Belegung!
            
            Fortinet-1083.jpg

Kann ich auf einer FortiGate den Seriellen Consolen Port (RS-232) deaktivieren?

Wenn man zB verhindern möchte, dass in einem Datacenter usw. über den Seriellen Console Port unerlaubt zugegriffen wird, kann dieser ab FortiOS 5.0 mit folgenden Befehl deaktiviert werden:

       # config system console
       # set login disable
       # end
       
       NOTE Dieses Kommando steht ab FortiOS 5.0 zur Verfügung und deaktiviert unter FortiOS 5.0 den "Seriellen Consolen" Port
            sowie den "USB" Port für den FortiExplorer. Ab FortiOS 5.2 wurde dieses Kommando erweitert dh. durch den hier gezeigten
            Befehl wird ab FortiOS 5.2 nur der "Consolen Port" deaktiviert und der "USB" Port muss sofern gewünscht seperat deaktiviert
            werden:
            
            # config system console
            # set fortiexplorer disable
            # end

Web Gui

Unter FortiOS 5.4 ist der Hostname auf der Login Page ersichtlich wie kann ich diesen aktivieren/deaktivieren?

Wenn man über das Web Mgmt. Interface einer FortiGate unter FortiOS 5.4 einloggt dann kann es sein das die Login Seite den "Hostnamen" des FortiGate Devices zeigt:

       Fortinet-1614.jpg

Möchte man diesen "Hostnamen" über die Login Page aktivieren resp. deaktivieren kann folgendes ausgeführt werden:

       # config system global
       # set gui-display-hostname [enable | disable] 
       # end

Unter FortiOS 5.4 kann ich zwar "Dashboards" sowie "Widgets" einblenden jedoch nicht mehr eigenen konfigurieren?

Unter FortiOS 5.4 fällt einem auf das keine zusätzlichen Dashboard's mehr erstellt werden können dh. es stehen über Mgmt. Web Interface folgende Konfigurationspunkte zur Verfügung:

       Fortinet-1628.jpg

Durch "Add Widget" kann ein zusätzliches "Widget" eingeblendet werden:

       Fortinet-1629.jpg

Möchte man nun ein zusätzliches "Dashboard" und/oder ein zusätzliches "Widget" über CLI konfigurieren ist dies nicht mehr möglich da folgende Befehle nicht mehr exisiteren:

       # config system admin
       # edit [Name des Administrators zB "admin"]
       # config dashboard-tabs
       # end
       # config system admin
       # edit [Name des Administrators zB "admin"]
       # config dashboard
       # edit 0
       # set widget-type app-usage
       # set widget-type storage
       # set widget-type protocol-usage
       # set widget-type device-os-dist "Deivce/
       # next
       # end

Somit steht unter FortiOS 5.4 nur das per Standard existierende "Dashbaord" zur Verfügung sowie die zur Verfügung stehenden "Widgets" die unter "Add Widgets" hinzugefügt werden können. Möchte man die Standard Konfiguration betreffend "Dashboard" wiederherstellen kann der Menüpunkt "Reset Dashboard" ausgeführt werden oder man kann unter CLI folgendes durchführen:

       # diagnose sys dashboard reset

Durch diesen Befehl und/oder durch Ausführen von "Reset Dashboard" führt das System folgendes durch für den eingeloggten "Administratore" zB "admin":

       # config system admin
       # edit "admin"
       # config dashboard
       # edit 1
       # set column 1
       # end
       # end
       # config system admin
       # edit "admin"
       # config dashboard
       # edit 2
       # set widget-type licinfo
       # set column 1
       # end
       # end
       # config system admin
       # edit "admin"
       # config dashboard
       # edit 3
       # set widget-type jsconsole
       # set column 1
       # end
       # end
       # config system admin
       # edit "admin"
       # config dashboard
       # edit 4
       # set widget-type sysres
       # set column 2
       # end
       # end
       # config system admin
       # edit "admin"
       # config dashboard
       # edit 5
       # set widget-type alert
       # set column 2
       # set top-n 10
       # end
       # end

Unter FortiOS 5.4 sehe ich über das Web Gui nicht alle Features wie kann ich diese aktivieren/deaktivieren?

Wenn man unter FortiOS 5.4 auf dem Web Mgmt. Interface einloggt kann es sein, dass nicht alle Features resp. Menüpunkte angezeigt werden. Ein Beispiel ist zB die "Local In Policy". Auf dem Web Mgmt. Interface stehen diese Features zur Verfügung um diese zu aktivieren resp. zu deaktiveren:

       System > Feature Select
       Fortinet-1613.jpg

Diese Feature sind ebenfalls über CLI verfügbar. Der Vorteil der CLI liegt darin das dort einige zusätzliche Features zur Verfügung stehen die über Web Mgmt. Interface nicht zur Verfügung stehen. Um die verschiedenen Features im Gui Bereich aufzulisten kann folgender Befehl benutzt werden:

       # config system settings
       # get | grep gui
       gui-default-policy-columns:
       gui-icap            : disable 
       gui-implicit-policy : enable 
       gui-dns-database    : enable 
       gui-load-balance    : disable 
       gui-multicast-policy: enable 
       gui-dos-policy      : enable 
       gui-object-colors   : disable 
       gui-replacement-message-groups: enable 
       gui-voip-profile    : enable 
       gui-ap-profile      : enable 
       gui-dynamic-profile-display: disable 
       gui-ipsec-manual-key: disable 
       gui-local-in-policy : enable 
       gui-explicit-proxy  : enable 
       gui-dynamic-routing : enable 
       gui-dlp             : enable 
       gui-sslvpn-personal-bookmarks: enable 
       gui-sslvpn-realms   : enable 
       gui-policy-based-ipsec: enable 
       gui-threat-weight   : enable 
       gui-multiple-utm-profiles: enable 
       gui-spamfilter      : enable 
       gui-application-control: enable 
       gui-casi            : enable 
       gui-ips             : enable 
       gui-endpoint-control: enable 
       gui-dhcp-advanced   : enable 
       gui-vpn             : enable 
       gui-wireless-controller: enable 
       gui-switch-controller: enable 
       gui-fortiap-split-tunneling: enable 
       gui-webfilter-advanced: enable 
       gui-traffic-shaping : enable 
       gui-wan-load-balancing: enable 
       gui-antivirus       : enable 
       gui-webfilter       : enable 
       gui-dnsfilter       : enable 
       gui-waf-profile     : enable 
       gui-fortiextender-controller: disable 
       gui-advanced-policy : disable 
       gui-allow-unnamed-policy: enable 
       gui-email-collection: enable 
       gui-domain-ip-reputation: enable 
       # set [Gebe die gewünschte Gui Option an] [enable | disable]
       # config system global
       # get | grep gui
       gui-certificates    : enable 
       gui-custom-language : enable 
       gui-device-latitude : 
       gui-device-longitude: 
       gui-display-hostname: enable 
       gui-ipv6            : disable 
       gui-lines-per-page  : 50
       gui-theme           : green 
       gui-wireless-opensecurity: enable
       # set [Gebe die gewünschte Gui Option an] [enable | disable]
       # end

Kann man auf einer FortiGate unter FortiOS 5.4 die Spalten innerhalb der "IPv4 Policy" konfigurieren?

Wenn man auf einer FortiGate unter FortiOS 5.4 eine Firewall Policy Rule erstellt dh. unter dem Menüpunkt "IPv4 Policy" dann werden nach der Erstellung der Firewall Policy Rule diese innerhalb verschiedener Spalten angezeigt. Diese Spalten können zwar im Browser verändert dh. zusätzliche Spalten hinzgefügt und gelöscht werden, jedoch diese Konfiguration ist nicht "persistent" dh. wenn der Browser Cache gelöscht wird geht die Konfiguration die über den Browser durchgeführt wurde verloren. Ueber die CLI sind diese Spalten der Firewall Policy Rule dh. für den Menüpunkt "IPv4 Policy" konfigurierbar und "persistent". Dazu führe folgendes aus:

       NOTE Die Konfiguration unter zB FortiOS 5.2 für die "gui-default-policy-columns" geht bei einem Upgrade auf
            FortiOS 5.4 verloren. Der Grund ist die verschiedenen zur Verfügung stehenden Optionen wie zB "count"
            existieren nicht mehr. Anstelle von "count" wird "hit_count" benutzt und aus diesem Grund wird die 
            Konfiguration nach einem Upgrade auf "unset" gesetzt was wiederum bedeutet auf FortiOS 5.4 "Standard"!
       # config system settings
       # set gui-default-policy-columns ?
       *name                    Column name.
       #                        Seq #.
       name                     Name.
       policyid                 Policy ID.
       srcintf                  Source.
       dstintf                  Destination.
       srcaddr                  Source Address.
       dstaddr                  Destination.
       schedule                 Schedule.
       service                  Service.
       action                   Action.
       logtraffic               Log.
       nat                      NAT.
       status                   Status.
       bytes                    Bytes.
       packets                  Packets.
       session                  Sessions.
       last_used                Last Used.
       first_used               First Used.
       hit_count                Hit Count.
       profile                  Security Profiles.
       av-profile               AV.
       spamfilter-profile       Email Filter.
       webfilter-profile        Web Filter.
       application-list         Application Control.
       ips-sensor               IPS.
       dlp-sensor               DLP.
       icap-profile             ICAP Profile.
       voip-profile             VoIP Profile.
       profile-protocol-options Proxy Options.
       ssl-ssh-profile          SSL Inspection.
       vpntunnel                VPN Tunnel.
       comments                 Comments.
       source                   Source.
       users                    Users.
       groups                   Groups.
       devices                  Devices.
       profile-group            Profile Group.
       traffic-shaper           Traffic Shapers.
       per-ip-shaper            Per-IP Traffic Shaper.
       endpoint-compliance      Endpoint Compliance.

Aus den zur Verfügung stehenden Optionen kann somit folgendes als Beispiel ausgeführt werden:

       # set gui-default-policy-columns "#" "policyid" "srcintf" "dstintf" "srcaddr" "dstaddr" "schedule" "service" "groups" "action" "profile" "logtraffic" "nat" "bytes" "hit_count"
       # end
       NOTE bei der Konfiguration muss berücksichtig werden das die "Sequenz" dh. "#" definiert werden muss. Zusätzlich muss "name" ebenfalls
            definiert werden sofern das Feature "gui-allow-unnamed-policy" nicht aktiviert ist was wiederum bedeutet, dass dieses Feature
            innerhalb eine Firewall Policy erzwingt jeder Firewall Policy Rule einen Namen zu vergeben!

Upgrade

Soll ich (Stand Dezember 2015) ein Upgrade auf FortiOS 5.4.0 durchführen?

Es ist bei der FortiOS 5.4.0 zu beachten, dass es sich um einen neuen "General Availlibility Release" handelt. Wie aus den "Release Notes" zu entnehmen ist existieren auf diesem "Release 5.4.0" noch etliche "known issues". Ebenso stehen momentan noch nicht alle Informationen zur Verfügung betreffend den neuen Features und Funktionen zur Verfügung. Aus diesem Grund empfehlen wir diesen Release nicht für einen "produktiven Einsatz" da dieser Release aus unsere Sicht nicht "stable" ist. Für Testgeräte oder Laborgeräte ist es aber eine gute Sache sich mit dem neuen Release vertraut zu machen und sich in den neuen Release einzuarbeiten. Man kann sich mit dem neuen Menudesign vertraut machen und die neuen Features auf Herz Niere testen. Dabei ist jedoch die Kompatibilität zu anderen Devices wie zB FortiAnalyzr, FortiManager sowie FortiAP's zu berücksichtigen die in den "Release Notes" von FortiOS 5.4.0 explizit erwähnt werden.

       Datei:Fortios-v5.4.0-release-notes.pdf

Es ist zu erwarten, dass neue Devices wie zB eine FG-30E, FG-50E mit dem neuen FortiOS 5.4.0 ausgeliefert werden. Speziell neue Devices wie FG-30E und FG-50E werden dann mit einem sogenannten "Brache Release" ausgeliefert was nicht dem "General Availibitliy Relase" entspricht. Aus diesem Grund und in jedem Fall empfehlen wir neue Devices von Grund auf neu zu "stagen". Wie dies durchzuführen ist siehe nachfolgender Artikel:

       FortiGate:KonfigExample#How_to_Staging.2FSetup_.22Konfigurations_Example.22.3F

Welche FortiGate Geräte/Devices werden vom neuen FortiOS 5.4 unterstützt?

Das neue FortiOS Unterstützt wie nachfolgend abgebildet folgende Geräte:

       Fortinet-1608.jpg

Dies bedeutet: Nur die hier abgebildeten Geräte können durch ein Upgrade mit FortiOS 5.4 betrieben werden.

FortiView

In FortiView unter FortiOS 5.4 werden "unbekannte Applikationen" sowie "lokaler Traffic" nicht aufgelistet?

Unter der Voraussetzung das ein "logging" auf einer FortiGate korrekt konfiguriert wurde fällt einem auf, dass "unbekannte Applikationen" sowie "lokaler Traffic" nicht unter FortiView aufgelistet werden. Dies bedeutet: Wird "Application Control" benutzt und eine FortiGate kann eine Applikation nicht "identifizieren" fehlt dieser "Traffic" per Standard unter FortiView. Möchte man diese "unbekannten Applikationen" dennoch auflisten kann dies durch folgende Konfiguration durchgeführt werden:

       # config log gui-display
       # set fortiview-unscanned-apps [enable | disable]
       # end

Ebenso wird der "lokale Traffic" einer FortiGate dh. initiert durch den Device selber wie zB DNS, FortiGuard usw. nicht unter FortiView aufgelistet. Möchte man diesen "lokalen Traffic" auflisten so kann dies folgendermassen Konfiguriert werden:

       # config log gui-display
       # set fortiview-local-traffic [enable | disable]
       # end

Diese Konfiguration kann auch über Mgmt. Web Interface durchgeführt werden unter folgender Position:

       Fortinet-1626.jpg
       Fortinet-1627.jpg

Rules/Filter (Policy)

Gibt es für eine Firewall Policy Rule für FortiOS 5.4 betreffend benutzen Objekten eine Limite (Policy is too big for system)?

Ja diese Limite existiert und zwar bei allen FortiOS Versionen. Dies bedeutet: wenn eine Firewall Policy Rule erstellt wird und in dieser Firewall Policy Rule wird zB eine Gruppe benutzt für Objekte und in dieser Gruppe exisiteren eine Vielzahl von Objekten kann es zu Fehlermeldungen kommen wie zB:

       "Policy is too big for system"

Dieser Umstand tritt auf wenn zB ein Upgrade durchgeführt wird und nachträglich eine neue Firewall Policy Rule erstellt werden möchte. Die Limite für eine Firewall Policy Rule betreffend enthaltenen Objekte ist die Folgende:

       Für FortiOS 5.4.0 oder höher 9000+ Objekte
       NOTE Für Informationen betreffend FortiOS 5.2.x siehe nachfolgender Artikel:
            
            FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_eine_Firewall_Policy_Rule_f.C3.BCr_FortiOS_5.2_betreffend_benutzen_Objekten_eine_Limite_.28Policy_is_too_big_for_system.29.3F

Der Grund für diese Limite ist realtiv einfach. Eine Firewall Policy Rule wird in den Kernel eines FortiOS geschrieben. In diesem Kernel existieren "memory limits" und diese verhindern das mehr Memory alloziert wird als gesetzt. Wenn dieser Umstand eintritt dh. zB für die Limite von 8000 Objekten (FortiOS 5.2.4 und tiefer) muss die Firewall Policy aufgeteilt werden in zwei Firewall Policy Rules.

Unter FortiOS 5.4 für eine "Firewall Policy Rule" existiert die Position "Name" um was handelt es sich dabei?

Wenn man unter FortiOS 5.4 eine neue Firewall Policy Rule" erstellt so fällt einem auf das im oberen Bereich eine Position existiert "Name". Wenn man für die zu erstellende "Firewall Policy Rule" per Standard keinen "Name" vergiebt so kann die "Firewall Policy Rule" nicht nicht entsprechend abgespeichert werden da per Standard die Vergabe des "Name" erzwungen wird. Diese Position indiziert einen "PCI Compliance" und wird für "Audits" benützt:

       Fortinet-1615.jpg

Die Bezeichnung des "Name" kann nicht benützt werden um die Logs auf der FortiGate zu Filtern da keine entsprechende Position zur Verfügung steht um dies auszuführen. Ebenso ist diese Position in den "Log Refrence" nicht enthalten. Somit steht diese Position rein im Zusammenhang mit der "PCI Compliance" resp. "Audits". Dies wird dann ersichtlich wenn ein "PCI Compliance" Report ausgeführt wird:

       Fortinet-1617.jpg
       
       NOTE Weitere Informationen dazu wie ein "PCI Compliance" Report ausgeführt wird und um was es sich dabei
            handelt siehe nachfolgenden Artikel:
            
            FortiGate-5.4:FAQ#Was_ist_.22PCI_Compliance.22_und_wie_kann_ich_unter_FortiOS_5.4_einen_.22PCI_Compliance.22_Report_ausf.C3.BChren.3F

Bei einem Upgrade auf FortiOS 5.4 werden zwar die bestehenden "Firewall Policy Rules" übernommen dh. ohne "Name" und auch wenn bestehende "Firewall Policy Rules" modifiziert werden wird die Position "Name" nicht erzwungen, jedoch bei jeder neu erstellten "Firewall Policy Rule" wird "Name" erzwungen. Möchte man diese Funktion deaktiveren dh. damit die Vergabe von "Name" nicht mehr erzwungen wird so kann dieses Feature über folgende Position aktiviert werden:

       System > Feature Select > Allow unnamed Policies

Ebenso kann über CLI dies konfiguriert werden:

       # config system settings
       # set gui-allow-unnamed-policy [enable | disable]  
       # end

Wenn ich für eine "Firewall Policy Rule" unter FortiOS 5.4 verschiedenen "Inspection Mode" benütze (flow/proxy) was gilt?

Neu unter FortiOS 5.4 wird der "Inspection Mode" Global konfiguriert dh. weitere Informationen siehe nachfolgenden Artikel:

       FortiGate-5.4:FAQ#Was_hat_sich_unter_FortiOS_5.4_betreffend_.22Security_Profiles.22_und_.22Inspection_Mode.22_grunds.C3.A4tzlich_ge.C3.A4ndert.3F

Wie dieser Artikel aufzeigt ist es jedoch möglich für "Security Profiles" individuelle Konfigurationen für den "Inspection Mode" durchzuführen dh. "proxy mode" und/oder "flow mode". Wenn dies geschieht kann der Traffic jedoch nicht individuell nach Konfiguration im "proxy mode" und/oder "flow mode" abgearbeitet werden dh. es gilt dann:

       Wenn in einer Firwall Policy Rule "proxy mode" sowie "flow mode" Security Profiles gemischt werden, wird für alle UTM
       Funktionen die beides anbieten dh. "proxy mode" und/oder "flow mode" automatisch "proxy mode" benutzt obwohl ein 
       Security Profile "flow mode" konfiguriert wurde!

UTM Proxy Options / Protocol Options

Was hat sich unter FortiOS 5.4 betreffend "Security Profiles" und "Inspection Mode" grundsätzlich geändert?

Für FortiOS 5.2 und tiefer wurde der "Inspection Mode" dh. "proxy mode" und/oder "flow mode" über die "Security Profiles" gesteuert. Dies bedeutet: Es gab keine "Globale" Einstellung um den Mode eben "proxy" und/oder "flow" Mode zu bestimmen. Dies ist nun möglich dh. der "Inspecton Mode" kann nun "Global" konfiguriert werden und gilt als Konfiguration für sätmliche bestehenden und neu erstellten "Security Profiles". Die Konfiguration wird unter Mgmt. Web Interface über folgender Position konfiguriert:

       Fortinet-1620.jpg
       Fortinet-1621.jpg

Wie man sieht wird bei dieser Konfiguration ein Hinweis eingeblendet dh. "Warning" um darauf hinzuweisen, dass dieser Wechsel des "Inpsection Mode" zur Folge hat, dass entsprechende "Security Profiles" umgeschrieben werden. Dieser Hinweis dh. die "Warning" wird nur über Mgmt. Web Interface angzeigt dh. wird die Konfiguration mit nachfolgenden Kommando über CLI durchgeführt, wird kein entsprechender Hinweis gezeigt:

       # config system settings
       # set inspection-mode [proxy | flow]
       # end

Somit steht neu der "Inspection Mode" für jede VDOM im "vdom" Mode individuell zur Verfügung und kann seperat konfiguriert werden da die Option unter "config system settings" verfügbar ist dh. keine "Globale" Konfiguration sondern für jede VDOM konfigurierbar:

       # config vdom
       # edit [VDOM Name zB "root"]
       # config system settings
       # set inspection-mode [proxy | flow]
       # end

Wenn der "Inspection Mode" geändert wird dh. von "proxy mode" auf "flow mode" oder umgekehrt so führt das FortiOS 5.4 im Hintergrund folgende Modifikationen automatisch durch:

       -> Für jedes "Antivirus" Profile wird das Kommando "set inspection-mode [proxy | flow]" durchgeführt.
          
       -> Für jedes "WebFilter" Profile wird das Kommando "set inspection-mode [proxy | flow]" durchgeführt.
                    
       -> Wenn Global unter "config system settings" von "proxy mode" auf "flow mode" umkonfiguriert wird so 
          wird für jede "Firewall Policy Rule" für die ein "Security Profile" im "proxy mode" existiert dieses
          entfernt! 
          
          NOTE Wenn die "proxy mode" Security Profiles in den Firewall Policy Rules entfernt werden wie beschrieben so ist diese
               Konfiguration nicht mehr Rückgängig zu machen dh. es ist umbedingt empfohlen vorgängig ein Backup der Konfiguration
               durchzuführen. Ebenso empfiehlt es sich über Mgmt. Console den folgenden "debug" für die CLI zu aktivieren um so zu 
               sehen was genau bei der Aenderung durchgeführt wird:
               
               # diagnose debug cli -1 

Desweiteren ist ebenfalls zu berücksichtigen "was" mit den Security Profiles "Antivirus" sowie "WebFilter" durchgeführt wird, wenn der "Inspection Mode" geändert wird. Nachfolgende Tabelle zeigt au welche Unterschiede in den verschiedenen "Inspection Mode" für "Antivirus" sowie "WebFilter" Security Profiles existieren:

       Fortinet-1622.jpg
       Fortinet-1623.jpg
       Fortinet-1624.jpg

Nichts desto trotz und obwohl die Konfiguration unter "config system settings" konfiguriert wird, steht in den "Security Profiles" die "proxy mode" und "flow mode" unterstützten die Option per Standard bei Folgenden "Security Profiles" zur Verfügung um individuell eine Konfiguration durchzuführen:

       # config [webfilter | antivirus] profile
       # edit [Name des Profiles]
       # set inspection-mode [proxy | flow]
       # end

Somit fragt man sich, ob diese "Security Profiles" dh. "WebFilter" und/oder "Antivirus" die einzigen die individuell konfiguriert werden können da andere "Security Profiles" ebenfalls im "proxy mode" und/oder "flow mode" unterstüzen. Nachfolgende Tabelle zeigt auf welche "Security Profiles" welchen "Inspection Mode" unterstützen:

       Fortinet-1625.jpg

Somit kann auch ein "DLP" sowie ein "Spamfilter" auf "flow mode" konfiguriert werden jedoch sind diese per Standard im "proxy mode" und werden bei Aenderung des "Globalen" Mode unter "config system settings" nicht in "flow mode" unkonvertiert und verbleiben somit im "proxy mode":

       # config dlp sensor
       # edit [Name des Profiles]
       # set flow-based [enable | disable]
       # end
       # config spamfilter profile
       # edit [Name des Profiles]
       # set flow-based [enable | disable]
       # end

Wenn der "Inspection Mode" für verschiedenen "Security Profiles" individuell konfiguriert wird ist zu berücksichtigen, was durchgeführt wird in einer "Firewall Policy Rule" wenn beide "Inspection Mode" benützt werden dh. "proxy mode" und/oder "flow mode". Weitere Informationen dazu siehe nachfolgenden Artikel:

       FortiGate-5.4:FAQ#Wenn_ich_f.C3.BCr_eine_.22Firewall_Policy_Rule.22_unter_FortiOS_5.4_verschiedenen_.22Inspection_Mode.22_ben.C3.BCtze_.28flow.2Fproxy.29_was_gilt.3F

NTP / Time / Date

Wie kann ich auf einer FortiGate die Zeit sowie das Datum überprüfe sowie konfigurieren?

Die Zeit sowie das Datum lassen sich über Web Mgmt. Interface überprüfen sowie über CLI. Um die Zeit sowie das Datum über Web Mgmt. zu überprüfen sowie zu konfigurieren wähle folgendes:

       Dashboard > [Widget Systeminformation] > System Time > Change
       
       Fortinet-1612.jpg

Unter dieser Position kann die Zeit und das Datum manuell überprüft sowie konfiguriert werden! Um die Zeit und das Datum über die CLI zu überprüfen kann folgendes Kommando benutzt werden:

       # execute time
       current time is: 19:23:51
       last ntp sync:Wed Dec 23 18:55:08 2015
       # execute date
       current date is: 2015-12-23

Um die Zeit sowie das Datum über CLI zu konfigurieren kann folgendes durchgeführt werden:

       # execute time hh:mm:ss
       # execute date yyyy-mm-dd

Wie kann ich auf einer FortiGate die Zeitzone konfigurieren?

Die Definition der Zeitzone auf einer FortiGate kommt eine "wichtige" Funktion zu dh. FortiGuard benützt die Zeitzone für verschiedenen Konfigurationen. Die Zeitzone auf einer FortiGate ist per Standard auf "US&Canada" gesetzt. Somit benützt "FortiGuard" für dessen Service Server aus dieser Zeitzone "US&Canada". Das gleiche gilt für den WebFilter dh. wenn die Zeitzone nicht angepasst wird so benützt FortiGuard die WebFilter Datenbank der Zeitzone "US&Canada". Um die Zeitzone über Web Mgmt. Interface zu konfigurieren benütze folgende Position:

       Dashboard > [Widget Systeminformation] > System Time > Change

Um die Zeitzone über CLI zu konfigurieren kann folgendes durchgeführt werden:

       # config system global
       # set timezone ?
       01    (GMT-11:00)Midway Island, Samoa
       02    (GMT-10:00)Hawaii
       03    (GMT-9:00)Alaska
       04    (GMT-8:00)Pacific Time(US&Canada)
       05    (GMT-7:00)Arizona
       81    (GMT-7:00)Baja California Sur, Chihuahua
       06    (GMT-7:00)Mountain Time(US&Canada)
       07    (GMT-6:00)Central America
       08    (GMT-6:00)Central Time(US&Canada)
       09    (GMT-6:00)Mexico City
       10    (GMT-6:00)Saskatchewan
       11    (GMT-5:00)Bogota,Lima,Quito
       12    (GMT-5:00)Eastern Time(US & Canada)
       13    (GMT-5:00)Indiana(East)
       74    (GMT-4:30)Caracas
       14    (GMT-4:00)Atlantic Time(Canada)
       77    (GMT-4:00)Georgetown
       15    (GMT-4:00)La Paz
       16    (GMT-3:00)Santiago
       17    (GMT-3:30)Newfoundland
       18    (GMT-3:00)Brasilia
       19    (GMT-3:00)Buenos Aires
       20    (GMT-3:00)Nuuk(Greenland)
       75    (GMT-3:00)Uruguay
       21    (GMT-2:00)Mid-Atlantic
       22    (GMT-1:00)Azores
       23    (GMT-1:00)Cape Verde Is.
       24    (GMT)Monrovia
       80    (GMT)Greenwich Mean Time
       79    (GMT)Casablanca
       25    (GMT)Dublin,Edinburgh,Lisbon,London
       26    (GMT+1:00)Amsterdam,Berlin,Bern,Rome,Stockholm,Vienna
       27    (GMT+1:00)Belgrade,Bratislava,Budapest,Ljubljana,Prague
       28    (GMT+1:00)Brussels,Copenhagen,Madrid,Paris
       78    (GMT+1:00)Namibia
       29    (GMT+1:00)Sarajevo,Skopje,Warsaw,Zagreb
       30    (GMT+1:00)West Central Africa
       31    (GMT+2:00)Athens,Sofia
       85    (GMT+2:00)Istanbul
       32    (GMT+2:00)Bucharest
       33    (GMT+2:00)Cairo
       34    (GMT+2:00)Harare,Pretoria
       35    (GMT+2:00)Helsinki,Riga,Tallinn
       36    (GMT+2:00)Jerusalem
       37    (GMT+3:00)Baghdad
       38    (GMT+3:00)Kuwait,Riyadh
       83    (GMT+3:00)Moscow
       84    (GMT+3:00)Minsk
       40    (GMT+3:00)Nairobi
       41    (GMT+3:30)Tehran
       42    (GMT+4:00)Abu Dhabi,Muscat
       43    (GMT+4:00)Baku
       39    (GMT+3:00)St.Petersburg,Volgograd
       44    (GMT+4:30)Kabul
       46    (GMT+5:00)Islamabad,Karachi,Tashkent
       47    (GMT+5:30)Kolkata,Chennai,Mumbai,New Delhi
       51    (GMT+5:30)Sri Jayawardenepara
       48    (GMT+5:45)Kathmandu
       45    (GMT+5:00)Ekaterinburg
       49    (GMT+6:00)Almaty,Novosibirsk
       50    (GMT+6:00)Astana,Dhaka
       52    (GMT+6:30)Rangoon
       53    (GMT+7:00)Bangkok,Hanoi,Jakarta
       54    (GMT+7:00)Krasnoyarsk
       55    (GMT+8:00)Beijing,ChongQing,HongKong,Urumgi,Irkutsk
       56    (GMT+8:00)Ulaan Bataar
       57    (GMT+8:00)Kuala Lumpur,Singapore
       58    (GMT+8:00)Perth
       59    (GMT+8:00)Taipei
       60    (GMT+9:00)Osaka,Sapporo,Tokyo,Seoul
       62    (GMT+9:30)Adelaide
       63    (GMT+9:30)Darwin
       61    (GMT+9:00)Yakutsk
       64    (GMT+10:00)Brisbane
       65    (GMT+10:00)Canberra,Melbourne,Sydney
       66    (GMT+10:00)Guam,Port Moresby
       67    (GMT+10:00)Hobart
       68    (GMT+10:00)Vladivostok
       69    (GMT+10:00)Magadan
       70    (GMT+11:00)Solomon Is.,New Caledonia
       71    (GMT+12:00)Auckland,Wellington
       72    (GMT+12:00)Fiji,Kamchatka,Marshall Is.
       00    (GMT+12:00)Eniwetok,Kwajalein
       82    (GMT+12:45)Chatham Islands
       73    (GMT+13:00)Nuku'alofa
       86    (GMT+13:00)Samoa
       76    (GMT+14:00)Kiritimati
       # set timezone 26
       # end

Wie kann ich auf einer FortiGate die NTP Zeitsynchronisierung aktiviren und konfigurieren?

Um die NTP Zeitsynchronisierung über Web Mgmt. Interface zu aktivieren und zu konfigurieren wähle folgendes:

       Dashboard > [Widget Systeminformation] > System Time > Change
       Fortinet-1612.jpg
       NOTE Per Standard ist für die NTP Zeitsynchronisierung "FortiGuard" aktiviert. Dies ist nicht zu empfehlen. Es sollte
            ein "öffentlichen" NTP Server konfiguriert werden. Wir empfehlen "ch.pool.ntp.org" da dieser ein "öffentlicher"
            NTP Server ist und über mehrer "Stratum" Server verfügt! Wenn dennoch "FortiGuard" benutzt wird muss berücksichtig
            werden, dass diese NTP Server für "FortiGuard" nicht kostenlos zur Verfügung stehen sondern ein Service ist der unter
            der "FortiCare" Lizensierung zur Verfügung steht. Weitere Informationen dazu siehe nachfolgenden Artikel:
            
            Fortinet:FortiCare-FortiGuard#Wenn_ich_.22nur.22_DDNS_.28Dynamic_DNS.29.2C_GeoIP.2C_NTP_und_DNS_Service_von_FortiGuard_benutze_was_muss_ich_im_Minimum_lizensieren.3F

Wenn man die NTP Zeitsynchronisierung über CLI konfigurieren möcht kann folgendes durchgeführt werden:

       # config system ntp
       # set ntpsync enable
       # set type custom
       # set syncinterval 360
       # set server-mode enable
       # set interface "internal"
       # config ntpserver
       # edit 1
       # set server "ch.pool.ntp.org"
       # set ntpv3 disable
       # next
       # end
       # end

Bei diesem Beispiel wird zusätzlich zur NTP Synchronisierung über "ch.pool.ntp.org" die Option "server-mode" aktiviert sowie das "internal" Interface. Dies bedeutet: Auf dem "internal" Interface wird durch die Aktivierung von "server-mode" ein NTP Dienst aktiviert der in diesem Segment den Clients für eine NTP Zeitsynchronisierung zur Verfügung gestellt wird. Dabei ist zu beachten, dass diese Konfiguration keine zusätzliche "Firewall Policy Rule" benötigt da im Hintergrund eine automatische "Firewall Policy Rule" hinzugefügt wird durch das FortiOS (Local-In Policy). Diese erlaubt den Zugriff auf das definierte "Interface" aus diesem Segement. Diese "Local-In Policy" ist über Web Mgmt. Interface ersichtlich sofern das entsprechende Feature aktiviert ist:

       System > Feature Select > Additional Features > Local In Policy

Wenn dieses Feature aktiviert ist, sind die entsprechenden "Local In Policy" über folgende Position ersichtlich:

       Policy & Objects > Local In Policy

PCI Compliance

Was ist "PCI Compliance" und wie kann ich unter FortiOS 5.4 einen "PCI Compliance" Report ausführen?

Die "PCI Compliance" Definition ist eine Beschreibung von Standards denen ein Implementer zB ISP, Finanzinstitute usw. folgend sollte. Somit bietet die Definion "PCI Compliance" Richtlinien an denen sich diese Implementer halten muss um als "PCI Compliance" zu gelten. Dies ist speziell im Zahlungsverkehr dh. Kreditkarten ein "muss". Weitere Informationen siehe nachfolgenden Link:

       https://www.pcisecuritystandards.org/

Unter FortiOS 5.4 wurde dem Rechnung getragen dh. verschiedenen Positionen in verschiedenen Konfigurationen lehnen sich an diesen "PCI Compliance" an. Ein Beispiel wäre zB die Position "Name" innerhalb eine "Firewall Policy Rule". Weitere Informationen dazu siehe nachfolgenden Artikel:

       FortiGate-5.4:FAQ#Unter_FortiOS_5.4_f.C3.BCr_eine_.22Firewall_Policy_Rule.22_existiert_die_Position_.22Name.22_um_was_handelt_es_sich_dabei.3F

Somit kann unter FortiOS 5.4 auch ein "PCI Compliance" Report ausgeführt werden dh. dieser überprüft die vorhandenen Konfiguration nach "PCI Compliance" Standard. Der Report resp. die Funktion ist jedoch per Standard deaktiviert und kann über Web Mgmt. Interface aktiviert und über einen "schedule" konfiguriert werden. Dabei wird "täglich" durch die Definition des "schedules" ein Report generiert in Form eines Logs. Um die entsprechende Konfiguration durchzuführen wähle im Web Mgmt. Interface folgende Position:

       System > Advanced > Compliance
       Fortinet-1618.jpg

Der "PCI Compliance" Report kann ebenfalls nach der Aktivierung direkt ausgeführt werden mit "run now". Wird dies durchgeführt ist der Report in Form von Log's unter folgender Position verfügbar:

       Log & Report > Compliance Events
       Fortinet-1619.jpg
       
       NOTE Diese Konfiguration über Web Mgmt. Interface ist VDOM basierend dh. wenn der VDOM Mode benutzt wird so muss unter
            "global" generell die Funktion zur Verfügung gestellt werden. Dabei wird der "schedule" Global konfiguriert und 
            in der VDOM entweder aktiviert oder deaktiviert!

Um auf der CLI die Konfiguration des "PCI Compliance" Report durchzuführen führe folgendes aus:

       # config system global
       # set compliance-check enable 
       # set compliance-check-time 09:00:00 
       # end
       # config system settings
       # set compliance-check enable
       # end

Dabei ist folgendes zu berücksichtigen: Bei kleineren Devices wie zB FG-60D kann nicht auf "disk" geloggt werden. Somit stehen für die Logs lokal nur "memory" zur Verfügung sofern nicht Remote zB auf einen FortiAnalyzer geloggt wird. Da für das "memory" Logging 10% des vorhandenen Memory genutzt wird sind diese "Compliance Events" nicht "persistent" sondern sind nach kurzer Zeit nicht mehr verfügbar. Ebenso ist folgendes zu berücksichtigen: Jede Meldung des Reports resp. jeder Eintrag unter "Compliance Events" muss analysiert werden um zu bestimmen ob der Eintag ein Problem für die "PCI Compliance" darstellt. Dies bedeutet auch: Der nachfolgende Eintrag weist daraufhin, dass "deep inspection" für SSH nicht aktiviert wurde. Diese Funktion jedoch steht auf einem FG-60D nicht zur Verfügung also ist dieser Log Eintrag ein Hinweis jedoch kann nicht durch eine entsprechende Konfiguration behoben werden:

       Fortinet-1616.jpg

Es ist somit anzufügen, dass diese Funktion Hinweise liefert im "PCI Compliance" Bereich und nicht im allgemeinen "security" technische Bereich!

Log/Logging

Wie sieht eine vollständige Log Konfiguration für FortiOS 5.4 aus und wie wird diese durchgeführt?

Wenn man mit einer Firewall arbeitet ist die absolute Grundvoraussetzung ein zur Verfügung stehendes Log um anhand dessen Analysen durchzuführen. Desweiteren sind die enthaltenen Informationen in den Logs dh. Funktionen die man für die Log Details aktivieren kann unumgänglich und absolut Fundamental. Um eine vollständige Log Konfiguration durchzuführen unter FortiOS 5.4 führe folgendes aus:

       Globale Log Konfiguration
       
       # config log setting
       # set resolve-ip [enable | disable]
       # set resolve-port [enable | disable]
       # set log-user-in-upper [enable | disable]
       # set fwpolicy-implicit-log [enable | disable]
       # set fwpolicy6-implicit-log [enable | disable]
       # set log-invalid-packet [enable | disable]
       # set local-in-allow [enable | disable]
       # set local-in-deny-unicast [enable | disable]
       # set local-in-deny-broadcast [enable | disable]
       # set local-out [enable | disable]
       # set daemon-log [enable | disable]
       # set neighbor-event [enable | disable]
       # set brief-traffic-format [enable | disable]
       # set user-anonymize [enable | disable]
       # set fortiview-weekly-data [enable | disable]
       # end
       
       NOTE Die Option "fortiview-weekly-data" steht nur Devices zur Verfügung die über ein "disk" Logging verfügen!
       
       Wir empfehlen für eine komplette Grundkonfiguration folgendes auszuführen:
       
       # config log setting
       # set resolve-ip enable 
       # set resolve-port enable 
       # set log-user-in-upper disable 
       # set fwpolicy-implicit-log enable 
       # set fwpolicy6-implicit-log disable 
       # set log-invalid-packet disable 
       # set local-in-allow enable 
       # set local-in-deny-unicast disable 
       # set local-in-deny-broadcast disable 
       # set local-out enable 
       # set daemon-log disable 
       # set neighbor-event disable 
       # set brief-traffic-format disable 
       # set user-anonymize disable 
       # end
       Globale Network Visibility Log Konfiguration
       
       Aktiviere/Deaktivieren Network Visibility
       
       # config system network-visibility 
       # set destination-visibility [enable | disable]
       # set source-location [enable | disable]
       # set destination-hostname-visibility [enable | disable]
       # set hostname-ttl [Definiere TTL Standard 86400]
       # set hostname-limit [Definiere Anzahl Hostname Limit Standard 5000]
       # set destination-location [enable | disable]
       # end
       
       Wir empfehlen für eine Konfiguration folgendes:
       
       # config system network-visibility 
       # set destination-visibility enable
       # set source-location enable
       # set destination-hostname-visibility enable
       # set hostname-ttl 86400
       # set hostname-limit 5000
       # set destination-location enable
       # end
       Globale Eventfilter Log Konfiguration
       
       # config log eventfilter
       # set event [enable | disable]
       # set system [enable | disable]
       # set vpn [enable | disable]
       # set user [enable | disable]
       # set router [enable | disable]
       # set wireless-activity [enable | disable]
       # set wan-opt [enable | disable]
       # set endpoint [enable | disable]
       # set ha [enable | disable]
       # set compliance-check [enable | disable]
       # end
       
       Wir empfehlen für eine Konfiguration folgendes:
       
       # config log eventfilter
       # set event enable
       # set system enable
       # set vpn enable
       # set user enable
       # set router enable
       # set wireless-activity enable
       # set wan-opt enable
       # set endpoint enable
       # set ha enable
       # set compliance-check enable
       # end
       Globale Gui Log Konfiguration
       
       # config log gui-display
       # set resolve-hosts [enable | disable]
       # set resolve-apps [enable | disable]
       # set fortiview-unscanned-apps [enable | disable]
       # set fortiview-local-traffic [enable | disable]
       # set location [memory | disk | fortianalyzer | fortiguard]
       # end
       
       NOTE In dieser Konfiguration muss darauf geachtet werden, dass für die Option "location" der Device definiert ist 
            der als "Log Device" definiert wird. Dies bedeutet: Wird als "Log Device" das Memory definiert so muss als
            "location" ebenfalls "memory" definiert werden. Durch "location" wir die API Schnittstelle definiert für den
            Zugriff auf die Datenbank die benützt wird für das Logging!
       
       Wir empfehlen für eine Konfiguration ausgehend davon, dass "memory" Logging benutzt wird folgendes:
       
       # config log gui-display
       # set resolve-hosts enable
       # set resolve-apps enable
       # set fortiview-unscanned-apps enable
       # set fortiview-local-traffic enable
       # set location memory
       # end
       Device Log Konfiguration
       
       NOTE Bei dieser Konfiguration ist zu berücksichtigen, dass nur grösseren Geräten die "disk" für das Logging zur Verfügung steht.
            Kleineren Devices steht nur das "memory" für das Logging zur Verfügung. Wird "memory" benutzt wird 10% des Memory herangezogen
            um ein "memory" Logging durchzuführen. Diese 10% Memory werden immer wieder überschrieben um ein kontinuierliches Logging zu
            gewährleisten. Somit steht im Zusammenhang mit "memory" Logging keine History zur Verfügung. Wir empfehlen ein "Logging" auf
            FortiAnalyzer um eine History zu gewährleisten und das Memory nicht zusätzlich mit einem "memory" Logging zu belasten! Um zu
            verfizieren ob ein Device über die Möglichkeit verfügt auf "disk" zu "Loggen" kann die "Software Matrix" herangezogen werden:
            
            Datei:FortiOS-Software-Platform-Matrix-54.pdf
               
       Device Log Konfiguration "Null-Device"
       
       Diese Konfiguration ist zuständig, das Devices die nicht für "Remote Logging" (FortiAnalyzer) konfiguriert wurde dh. zB für "memory"
       dennoch über "statistics" verfügen. Dies bedeutet: Diese Funktion steht nur im Zusammenhang mit Lokalen Logging!
        
       # config log null-device setting
       # set status [enable | disable]
       # end
       
       Zu diesem Device dh. "null-device" existiert ebenfalls ein entsprechender Filter:
       
       # config log null-device filter 
       # set severity [emergency | alert | critical | error | warning | notification | information | debug]
       # set forward-traffic [enable | disable]
       # set local-traffic [enable | disable] 
       # set multicast-traffic [enable | disable] 
       # set sniffer-traffic [enable | disable]
       # set anomaly [enable | disable] 
       # set voip [enable | disable] 
       # set filter [Benütze ? für weitere Informationen]
       # set filter-type [include | exclude]
       # end
              
       Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "memory" oder "disk" als "Device Konfiguration" benutzt wird:
       
       # config log null-device setting
       # set status enable
       # end
       
       # config log null-device filter 
       # set severity information 
       # set forward-traffic enable
       # set local-traffic enable 
       # set multicast-traffic enable 
       # set sniffer-traffic enable
       # set anomaly enable 
       # set voip enable
       # unset filter
       # set filter-type include
       
       Device Log Konfiguration "Memory"
       
       # config log memory setting 
       # set status [enable | disable]
       # set diskfull overwrite 
       # end 
       
       # config log memory filter
       # set severity [emergency | alert | critical | error | warning | notification | information | debug]
       # set fortward-traffic [enable | disable]
       # set local-traffic [enable | disable]
       # set multicast-traffic [enable | disable]
       # set sniffer-traffic [enable | disable]
       # set anomaly [enable | disable]
       # set voip [enable | disable]
       # set set filter [Benütze ? für weitere Informationen]
       # set set filter-type [include | exclude]
       # end
       
       Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "memory" als "Device Konfiguration" benutzt wird:
       
       # config log memory setting 
       # set status enable
       # set diskfull overwrite 
       # end 
       
       # config log memory filter
       # set severity information
       # set fortward-traffic enable
       # set local-traffic enable
       # set multicast-traffic enable
       # set sniffer-traffic enable
       # set anomaly enable
       # set voip enable
       # unset filter
       # set filter-type include
       # end
       
       Device Log Konfiguration "FortiAnalyzer"
       
       # config log fortianalyzer setting 
       # set status [enable | disable] 
       # set ips-archive [enable | disable] 
       # set server [FortiAnalyzer IP] 
       # set enc-algorithm [default | high | low | disable] 
       # set conn-timeout [Buffer in Sekunden; Standard 10 ]
       # set monitor-keepalive-period [OFTP keepalive für Buffer und Status in Sekunden; Standard 5 ]
       # set monitor-failure-retry-period [Retry für keepalive und Buffer in Sekunden; Standard 5 ]
       # set source-ip 0.0.0.0 
       # set upload-option realtime 
       # set upload-interval [Frequenz für Upload; Standard daily]
       # set upload-day [Tag in der Woche/Monat für den Upload; Standard "Kein Wert"]
       # set upload-time [Zeit Definition für Upload zB 00:00]
       # set reliable [enable | disable]
       # end
       
       NOTE Die Optionen "upload-interval, upload-day sowie upload-tim" stehen nur dann zur Verfügung wenn die "disk" für das 
            Logging konfiguriert werden kann!
       
       # config log fortianalyzer filter
       # set severity [emergency | alert | critical | error | warning | notification | information | debug]
       # set fortward-traffic [enable | disable]
       # set local-traffic [enable | disable]
       # set multicast-traffic [enable | disable]
       # set sniffer-traffic [enable | disable]
       # set anomaly [enable | disable]
       # set voip [enable | disable]
       # set dlp-archive [enable | disable]
       # set filter [Benütze ? für weitere Informationen]
       # set filter-type [include | exclude]
       # end
       
       Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "fortianalyzer" als "Device Konfiguration" benutzt wird:
       
       # config log fortianalyzer setting 
       # set status enable
       # set ips-archive enable 
       # set server [FortiAnalyzer IP] 
       # set enc-algorithm default 
       # set conn-timeout 10
       # set monitor-keepalive-period 5
       # set monitor-failure-retry-period 5
       # set upload-option realtime 
       # set reliable enable
       # end
       
       # config log fortianalyzer filter
       # set severity information
       # set fortward-traffic enable
       # set local-traffic enable
       # set multicast-traffic enable
       # set sniffer-traffic enable
       # set anomaly enable
       # set voip enable
       # set dlp-archive enable
       # unset filter
       # set filter-type include
       # end
       
       Device Log Konfiguration "Disk"
       
       NOTE Ein Logging auf "disk" ist in allen Bereichen nicht empfohlen wenn der FortiGate Device über eine "Flash Disk" verfügt.
            Ob ein Device über "disk" Logging verfügt, kann der "Software Matrix" entnommen werden:
            
            Datei:FortiOS-Software-Platform-Matrix-54.pdf
       
       # config log disk setting
       # set status [enable | disable]
       # set ips-archive [enable | disable]
       # set max-log-file-size [Maximum Log Grösse bevor ein "Rolling" durchgeführt wird in MB; Standard 20]
       # set max-policy-packet-capture-size [Max Grösse für Capturing in MB; Standard 10]
       # set roll-schedule [daily | weekly]
       # set roll-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
       # set roll-time [Zeit Definition für "Rolling" zB 00:00]
       # set diskfull [overwrite | nolog]
       # set log-quota [Grösse der Log Quota in MB; Standard 0]
       # set dlp-archive-quota [Grösse der DLP Archiv Quota in MB; Standard 0]
       # set report-quota [Grösse der Report Quota in MB; Standard 0]
       # set maximum-log-age [Löschen von Logs die älter sind als X Tage; Standard 7]
       # set upload [enable | disable]
       # set upload-destination [ftp-server]
       # set uploadip [IPv4 Adresse des FTP Servers]
       # set uploadport [FTP Server Port; Standard 21]
       # set source-ip [IPv4 Source Adresse der Anfrage an FTP Server]
       # set uploaduser [FTP Server Username]
       # set uploadpass [FTP Server Passwort]
       # set uploaddir [FTP Server Upload Verzeichnis]
       # set uploadtype [traffic | event | virus | webfilter | IPS | spamfilter | dlp-archive | anomaly | voip | dlp | app-ctrl | waf | netscan | gtp]
       # set uploadzip [enable | disable]
       # set uploadsched [enable | disable]
       # set uploadtime [Zeit Definition für Upload auf FTP Server zB 00:00]
       # set upload-delete-files [enable | disable]
       # set upload-ssl-conn {default | high | low | disable}
       # set full-first-warning-threshold [Erste Log Device Full Warnung in % 1 - 98, Standard 75]
       # set full-second-warning-threshold [Zweite Log Device Full Warnung in % 2 - 99, Standard 90]
       # set full-final-warning-threshold [Finale Log Device Full Warnung in % 3 - 100, Standard 95]
       # end
       
       # config log disk filter
       # set severity [emergency | alert | critical | error | warning | notification | information | debug]
       # set fortward-traffic [enable | disable]
       # set local-traffic [enable | disable]
       # set multicast-traffic [enable | disable]
       # set sniffer-traffic [enable | disable]
       # set anomaly [enable | disable]
       # set voip [enable | disable]
       # set dlp-archive [enable | disable]
       # set filter [Benütze ? für weitere Informationen]
       # set filter-type [include | exclude]
       # end
       
       NOTE Wenn eine Konfiguration betreffend "Rolling" durchgeführt werden möchte siehe nachfolgender Artikel:
            
            FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_einen_FortiGate_Device_eine_.22Log_Rotation.22_konfigurieren.3F
       
       Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "disk" als "Device Konfiguration" benutzt wird:
       
       # config log disk setting
       # set status enable
       # set ips-archive enable
       # set max-log-file-size 512
       # set max-policy-packet-capture-size 10
       # set diskfull overwrite
       # set log-quota 2048
       # set dlp-archive-quota 256
       # set maximum-log-age 7
       # set full-first-warning-threshold 75
       # set full-second-warning-threshold 90
       # set full-final-warning-threshold 95
       # end
       
       # config log disk filter
       # set severity information
       # set fortward-traffic enable
       # set local-traffic enable
       # set multicast-traffic enable
       # set sniffer-traffic enable
       # set anomaly enable
       # set voip enable
       # set dlp-archive enable
       # unset filter
       # set filter-type include
       # end
       
       Device Log Konfiguration "Syslog"
       
       Für eine Konfiguration betreffend "syslog" Server siehe nachfolgender Artikel:
       
       FortiGate-5.4:FAQ#Wie_wird_auf_einer_Fortigate_unter_FortiOS_5.4_eine_Log_Konfiguration_f.C3.BCr_einen_.22Syslog_Server.22_durchgef.C3.BChrt.3F
       
       Device Log Konfiguration "FortiGuard"
       
       # config log fortiguard setting 
       # set status [enable | disable]
       # set upload-option [store-and-upload | realtime]
       # set upload-interval [daily | weekly | monthly]
       # set upload-day [Definition des Tages der Woche um ein Rolling der Logs durchzuführen]
       # set upload-time [Definition der Zeit für den Uploade zB 00:00]
       # set enc-algorithm [default | high | low | disable]
       # set source-ip [Definition der Source IPv4 Adresse für die Anfrage]
       # end
       
       NOTE Wenn "fortiguard" Logging konfiguriert wird muss vorgängig ein ForitCloud Account ID konfiguriert werden. Dies kann unter
            folgender Position im Mgmt. Web Interface durchgeführt werden:
            
            Dashboard > License Information Widget > FortiCloud Account > Activate
               
       Weitere Informationen zu FortiGuard "Logging" sowie FortiCloud siehe nachfolgender Artikel:
      
       FortiCloud(FAMS):FAQ

Zusätzlich existieren in den verschiedenen "Security Profiles" Logs die aktiviert werden können. Nachfolgend eine Aufstellungen dieser Logs betreffend "Security Profiles":

      SSL Inspection Profile
      # config firewall ssl-ssh-profile
      # edit [Name des Profiles] 
      # set ssl-invalid-server-cert-log [enable | disable] 
      # end
      Proxy Option Profile
      # config firewall profile-protocol-options 
      # edit [Name des Profiles] 
      # set oversize-log [enable | disable] 
      # set switching-protocols-log [enable | disable] 
      # end 
      Antivirus Profile
      # config antivirus profile 
      # edit [Name des Profiles] 
      # config http
      # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
      # end
      # config ftp
      # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
      # end
      # config imap
      # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
      # end
      # config pop3
      # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
      # end
      # config smtp
      # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
      # end
      # config mapi
      # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
      # end
      # config nntp
      # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
      # end
      # config nac-quar
      # set log [enable | disable]
      # end
      # set av-block-log [enable | disable] 
      # set av-virus-log [enable | disable] 
      # end
      WebFilter Profile
      # config webfilter profile 
      # edit [Name des Profiles] 
      # config web
      # set log-search [enable | disable] 
      # end
      # set log-all-url [enable | disable] 
      # set web-content-log [enable | disable] 
      # set web-filter-activex-log [enable | disable] 
      # set web-filter-command-block-log [enable | disable] 
      # set web-filter-cookie-log [enable | disable] 
      # set web-filter-applet-log [enable | disable] 
      # set web-filter-jscript-log [enable | disable] 
      # set web-filter-js-log [enable | disable] 
      # set web-filter-vbs-log [enable | disable] 
      # set web-filter-unknown-log [enable | disable]
      # set web-filter-referer-log [enable | disable] 
      # set web-filter-cookie-removal-log [enable | disable] 
      # set web-url-log [enable | disable] 
      # set web-invalid-domain-log [enable | disable] 
      # set web-ftgd-err-log [enable | disable] 
      # set web-ftgd-quota-usage [enable | disable]       
      # end
      Data Leak Prevention Profile
      # config dlp sensor 
      # edit [Name des Profiles]  
      # set dlp-log [enable | disable] 
      # set nac-quar-log [enable | disable] 
      # end 
      Application Control Profile
      # config application list 
      # edit [Name des Profiles] 
      # set other-application-log [enable | disable] 
      # set unknown-application-log [enable | disable] 
      # config entries
      # edit [Gebe einen entsprechenden Integer an zB "1"]
      # set log [enable | disable]
      # set log-packet [enable | disable]
      # end
      # end 
      Anti-Spam Profile
      # config spamfilter profile 
      # edit [Name des Profiles] 
      # set spam-log [enable | disable] 
      # config imap
      # set log enable
      # end
      # config pop3
      # set log enable
      # end
      # config smtp
      # set log enable
      # end
      # config mapi
      # set log enable
      # end
      # config msn-hotmail
      # set log enable
      # end
      # config yahoo-mail
      # set log enable
      # end
      # config gmail
      # set log enable
      # end
      # end
      DNS Filter Profile
      # config dnsfilter profile
      # edit [Name des Profiles] 
      # set log-all-url [enable | disable]
      # end
      Cloud Access Security Inspection Profile
      # config application casi profile
      # edit [Name des Profiles]
      # config entries
      # edit [Gebe einen entsprechenden Integer an zB "1"]
      # set log [enable | disable]
      # end
      Intrustion Protection Profile
      # config ips sensor
      # edit [Name des Profiles]
      # config entries
      # edit [Gebe einen entsprechenden Integer an zB "1"]
      # set log [enable | disable]
      # set log-packet [enable | disable]
      # set log-attack-content [enable | disable]
      # end
      VoIP Profile
      # config voip profile
      # edit [Name des Profiles]
      # config sip
      # set log-violations [enable | disable]
      # set log-call-summary [enable | disable]
      # end
      # config sccp
      # set log-violations [enable | disable]
      # set log-call-summary [enable | disable]
      # end
      # end
      Web Application Firewall
      # config waf profile
      # edit [Name des Profiles]
      # config constraint
      # config header-length
      # set log [enable | disable]
      # end
      # config content-lenght
      # set log [enable | disable]
      # end
      # config param-lenght
      # set log [enable | disable]
      # end
      # config line-length
      # set log [enable | disable]
      # end
      # config url-param-lenght
      # set log [enable | disable]
      # end
      # config version
      # set log [enable | disable]
      # end
      # config method
      # set log [enable | disable]
      # end
      # config hostname
      # set log [enable | disable]
      # end
      # config malformed
      # set log [enable | disable]
      # end
      # config max-cookie
      # set log [enable | disable]
      # end
      # config max-header-line
      # set log [enable | disable]
      # end
      # config max-url-param
      # set log [enable | disable]
      # end
      # config max-range-segment
      # set log [enable | disable]
      # end
      # end
      # config method
      # set log [enable | disable]
      # end
      # config address-list
      # set blocked-log [enable | disable]
      # end
      # config url-access
      # edit [Gebe einen entsprechenden Integer an zB "1"]
      # set log [enable | disable]
      # end
      # end
      FortiClient Profile
      # config endpoint-control profile
      # edit [Name des entsprechenden Profiles]
      # config forticlient-winmac-settings
      # set forticlient-log-upload [enable | disable]
      # end
      # end

Desweiteren stehen auf "Globaler" sowie "System" Ebene folgende Logs zur Verfügung:

      # config system global
      # set cli-audit-log [enable | disable]
      # set log-uuid [poliy-only | extended | disable]
      # end
      # config system settings
      # set vpn-stats-log [ipsec | pptp | l2tp | ssl]
      # end

Für die "DoS-Policy" kann für jede "anomaly" ein Log aktiviert resp. deaktiviert werden:

      # config firewall DoS-policy
      # edit [Gebe einen entsprechenden Integer an zB "1"]
      # config anomaly
      # edit [Name der "anomaly"]
      # set log [enable | disable]
      # end
      # end

Wie wird auf einer Fortigate unter FortiOS 5.4 eine Log Konfiguration für einen "Syslog Server" durchgeführt?

Das nachfolgend Beispiel zeigt wie auf einer FortiGate unter FortiOS 5.4 eine Log Konfiguration durchgeführt basierend auf einem "Syslog Server". Als "Syslog Server" wurde unter CentOS 5.x und/oder 6.x der integrierte "syslog" benutzt. Als ersten Schritt wird die FortiGate für den "Syslog Server" konfiguriert:

       FortiGate Konfiguration
       # config log syslogd setting
       # set status enable
       # set server [FQDN Syslog Server]
       # set reliable [Aktiviere TCP-514 Verbindung; Per Standard deaktiviert resp. UDP-514]
       # set port [Standard 514]
       # set csv [enable | disable]
       # set facility [Per Standard local0]
       # set source-ip [Source IP der FortiGate; Standard 0.0.0.0]
       # end
       
       # config log syslogd filter
       # set severity information
       # set fortward-traffic enable
       # set local-traffic enable
       # set multicast-traffic enable
       # set sniffer-traffic enable
       # set anomaly enable
       # set voip enable
       # unset filter
       # set filter-type include
       # end
       
       NOTE Achte bei der Konfiguraiton des "filter" darauf das die "severity" auf "information" gesetzt wird!
       Syslog Server Konfiguration CentOS 5.x / 6.x
       
       Als Erstes muss auf dem CentOS der "syslog" Server so konfiguriert werden, damit er von einem Remote Server "syslog" 
       Nachrichten überhaupt annimmt. Führe auf der Shell folgendes durch:
       
       # vi /etc/sysconfig/syslogd
       
       --------------- /etc/sysconfig/syslogd ---------------
       
       # Options to syslogd
       # -m 0 disables 'MARK' messages.
       # -r enables logging from remote machines
       # -x disables DNS lookups on messages recieved with -r
       # See syslogd(8) for more details
       SYSLOGD_OPTIONS="-m 0 -r"
       # Options to klogd
       # -2 prints all kernel oops messages twice; once for klogd to decode, and
       #    once for processing with 'ksymoops'
       # -x disables all klogd processing of oops messages entirely
       # See klogd(8) for more details
       KLOGD_OPTIONS="-x"
       #
       SYSLOG_UMASK=077
       # set this to a umask value to use for all log files as in umask(1).
       # By default, all permissions are removed for "group" and "other".
       
       --------------- /etc/sysconfig/syslogd ---------------
       
       NOTE Achte und aktiviere unter "SYSLOGD-OPTIONS" den Schalter "-r" denn dieser ist zuständig damit von "Remote" Syslog Nachrichten 
            entgegengenommen werden! Ist diese Option nicht gesetzt lehnt der "Syslog Server" auf dem CentOS die "syslog" Nachrichten von
            Remote ab!
       
       Nun legen wir ein neues Log File an und konfigurieren im "Syslog Server" welche Nachrichten entgegengenommen werden sollen. Zu diesem
       Zweck definieren wir die "facility" dh. "local0.*. Diese "facility" wurde ebenfalls auf der FortiGate als "local0" definiert. Durch die 
       Differenzierung über die "facility" können vers. Fortigate's diesem "Syslog Server" Nachrichten senden und somit die vers. Log's der
       FortiGate Device's unterschieden werden!
       
       # vi /etc/syslog.conf
       
       --------------- /etc/syslog.conf ---------------
       
       # Log all kernel messages to the console.
       # Logging much else clutters up the screen.
       kern.*                                                  /dev/console
       
       # Log anything (except mail) of level info or higher.
       # Don't log private authentication messages!
       local0.none;*.info;mail.none;authpriv.none;cron.none      /var/log/messages
       
       # The authpriv file has restricted access.
       authpriv.*                                              /var/log/secure
       
       # Log all the mail messages in one place.
       mail.*                                                  /var/log/maillog
       
       # Log cron stuff
       cron.*                                                  /var/log/cron
       
       # Everybody gets emergency messages
       *.emerg                                                 *
       
       # Save news errors of level crit and higher in a special file.
       uucp,news.crit                                          /var/log/spooler
       
       # Save boot messages also to boot.log
       local7.*                                                /var/log/boot.log
       
       # Save Fortigate log messages to fortigate.log
       local0.*                                                /var/log/fortigate.log
       
       #*.*                                                    @loghost
       
       --------------- /etc/syslog.conf ---------------
       
       NOTE Beachte bei der Konfiguration, dass die Leerschläge/Zwischenräume "gezwungenermassen" (Fileformat) Tabulatoren sein müssen! 
            Um das Format zu überprüfen kann folgender Befehl abgesetzt werden:
            
            # m4 -D LOGHOST /etc/syslog.conf
       
       Nun legen wir das entsprechende Log File an, dass der "Syslog Server" benutzt um die "local0" Nachrichten des FortiGate Device, in das 
       Log zu schreiben. Danach kann der "syslog" Service neu gestartetn werden um die Konfiguration zu aktivieren:
       
       # touch /var/log/fortigate.log
       # chmod 644 /var/log/fortigate.log
       # chown root:root /var/log/fortigate.log
       
       # service syslog stop
       # service syslog start
       
       Um das Log in "realtime" anzuschauen führe folgenden Befehl aus (um abzubrechen benütze Ctrl + C):
       
       # tail -f /var/log/fortigate.log

Die Konfiguration ist abgeschlossen dh. um die Konfiguration zu testen kann folgendes auf der FortiGate durchgeführt werden:

       # diagnose log test

Dieses Kommando erstellt Test Log Einträge für jeden Bereich wie Authentication, SSL-VPN, Antivirus usw. Diese Test Log Einträge werden nun durch die Konfiguration für "log syslogd setting" zum "Syslog Server" gesendet und sollten im entsprechenden Log File "/var/log/fortigate.log" ersichtlich sein. Kommt es dabei zu Problem und es muss verifiziert werden "ob" die Fortigate diese "syslog" Nachrichten überhaupt sendet resp. die Log's auf dem CenOS ankommen benütze folgenden Befehl:

       # tcpdump -nnp -i eth0 ip dst [Syslog Server IP] and port 514
         

Um das Log File "/var/log/fortigate.log" Täglich zu rotieren auf dem CentOS erstelle das folgende File:

       # vi /etc/logrotate.d/fortigate
       
       --------------- /etc/logrotate.d/fortigate ---------------
       
       /var/log/fortigate.log {
               rotate 30
               daily
               sharedscripts
               postrotate
               nomail
                       /usr/bin/killall -HUP syslogd
               endscript
       }
       
       --------------- /etc/logrotate.d/fortigate ---------------

Die Konfiguration kann getestet werden mit folgenden Befehl:

       # logrotate --force /etc/logrotate.d/fortigate

Wie kann ich unter FortiOS 5.4 für einen FortiGate Device eine "Log Rotation" konfigurieren?

Die Voraussetzung das auf einem FortiGate Device eine "Rotation" für das Log konfiguriert werden kann ist ein "disk" Logging. Ob ein FortiGate Device über diese Möglichkeit verfügt kann der "Software Matrix" entnommen werden:

       Datei:FortiOS-Software-Platform-Matrix-54.pdf

Ein Log eines FortiGate Device's wird per Standard nicht "rotiert" dh. zum Beispiel auf täglicher Basis. Möchte man dies Konfigurieren führe folgendes durch:

       # config log disk setting
       # set status enable
       # set diskfull overwrite
       # set max-log-file-size [Max Grösse in MB bevor ein neues Log erstellt wird; Standard 20]
       # set log-quota [Grösse für gesamter Log Speicher; Standard 0]
       # set roll-schedule [daily oder weekly]
       # set roll-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
       # set roll-time [Gebe die Zeit an im Format hh:mm]
       # set maximum-log-age [Gebe an nach wieviel Tagen ein Log gelöscht werden soll; Standard 7]
       # end

Berücksichtige dabei folgendes: Die Logs die "rotiert" werden können im Web Mgmt. Interface nicht explizit gewählt werden! Möchte man die Logs zusätzlich auf einen FTP Server überspielen siehe nachfolgenden Artikel:

       FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_die_Logs_eines_FortiGate_Devices_automatisiert_einem_FTP_Server_.C3.BCbermitteln.3F

Wie kann ich unter FortiOS 5.4 die Logs eines FortiGate Devices automatisiert einem FTP Server übermitteln?

Wenn unter FortiOS 5.4 die Logs eines FortiGate Devices automatisiert auf einen FTP Server übermittelt werden soll, muss muss zuerst eine Log "Rotation" konfiguriert werden. Die nötige Voraussetzung damit dies durchgeführt werden kann ist ein "disk" Logging. Ob ein "disk" Logging für einen FortiGate Device zur Verfügung steht, kann der "Software Matrix" entnommen werden:

       Datei:FortiOS-Software-Platform-Matrix-54.pdf

Um eine Log "Rotation" zu konfigurieren siehe nachfolgender Artikel:

       FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_einen_FortiGate_Device_eine_.22Log_Rotation.22_konfigurieren.3F

Für die Konfiguration um die Logs automatisiert einem FTP Server zu übermitteln stehen folgende Optionen zur Verfügung:

       # set upload [Aktiviere oder Deaktiviere einen Upload der File anhand "enable oder disable"]
       # set upload-delete-files [Aktiviere oder Deaktiviere die Löschung der Logs lokal auf der Fortigate "nach" dem Upload anhand "enable oder disable"]
       # set upload-destination [Gebe das Ziel an für den Upload dh. "rortianalyzer oder "ftp-server"]
       # set upload-ssl-conn [Gebe an sofern ein FortiAnalyzer für den Upload benutzt wird wie Verschlüsselt werden soll dh. "default | high | low | disable"]
       # set uploaddir [Gebe das Upload Verzeichnis an in der Form zB /Log-Archiv/ ]
       # set uploadip [Wenn ein FTP Server benutzt wird für den Upload gebe die IP Adresse des FTP Server an]
       # set uploaduser [Wenn ein FTP Server benutzt wird für den Upload gebe den Usernamen des FTP Server an]
       # set uploadpass [Wenn ein FTP Server benutzt wird für den Upload gebe das Passwort des FTP Server an]
       # set uploadport [Wenn ein FTP Server benutzt wird für den Upload gebe den benutzten Port des FTP Server an]
       # set uploadsched [Aktiviere oder Deaktiviere den Upload zu einer bestimmten Zeit dh. anhand "disable | enable"]
       # set uploadtime [Definiert den Zeitpunkt (hh:mm) des Uploads sofern "uploadsched" aktiviert wurde]
       # set uploadtype [Gebe an "welche" File berücksichtigt werden; traffic | event | virus | webfilter | IPS | spamfilter | dlp-archive | anomaly | voip | dlp | app-ctrl | waf | netscan | gtp]
       # set uploadzip [Gebe an ob die Log Files "nach" dem Upload anhand ZIP Komprimiert werden sollen dh "disable | enable"]
       # set source-ip [Definiert die Source IPv4 Adresse für den Upload auf den FTP Server]
       
       NOTE Wenn "uploadsched" deaktiviert ist wird per Standard der Upload "nach" dem rotieren den Log Files ausgeführt!

Aus diesen zur Verfügung stehenden Optionen kann als Beispiel folgendes konfiguriert werden:

       # config log disk setting
       # set upload enable
       # set upload-delete-files disable
       # set upload-destination ftp-server
       # set uploaddir /log-archive/
       # set uploadip 193.193.135.65
       # set uploaduser local.intra
       # set uploadpass only4also
       # set uploadport 21
       # set uploadsched disable
       # set uploadtype traffic traffic event virus webfilter IPS spamfilter dlp-archive anomaly voip dlp app-ctrl waf netscan gtp
       # set uploadzip enable

Nach der Uebermittlung der Log Files auf den FTP Server werden diese in folgender Art und Weise auf dem FTP Server gespeichert (Beispiel Traffic Log):

       tlog.FGT60D3G12013754.root.20120927000000.zip

Bei diesem Vorgehen ist folgendes zu berücksichtigen: Werden Logs vom FortiGate Device auf den FTP Server übermittelt, gibt es keine Möglichkeit diese für zB einer Analyse auf den FortiGate Device wieder einzuspielen.

Wie beeinflusst unter FortiOS 5.4 das Kommando "system network-visibility" die Logs und die enthaltenen Informationen?

Das Kommando "system network-visibility" steht im Zusammehang mit der "Geo IP Location". Diese bedeutet: Werden diese Optionen aktiviert (ist per Standard der Fall) so werden betreffend den einzelnen enthaltenen Optionen wie zB "source" Geo Location Informationen in den Logs zu den IP's angezeigt/hinzugefügt:

       # config system network-visibility 
       # destination-visibility [enable | disable]
       # source-location [enable | disable]
       # destination-hostname-visibility [enable | disable]
       # hostname-ttl [Definiere TTL Standard 86400]
       # hostname-limit [Definiere Anzahl Hostname Limit Standard 5000]
       # destination-location [enable | disable]
       # end
       
       NOTE Wenn die Option "source-location" aktiviert wird so wird für "internal" Resourcen zB LAN anstelle der Geo Location die
            Information "reserved" in den Logs angezeigt. Ebenso steht das nachfolgenden Kommando im direkten Zusammenhang mit der
            "network-visibility" resp. muss aktiviert werden damit die Geo Location in den Logs angezeigt/hinzugefügt werden:
            
            # config log gui-display
            # set resolve-hosts [enable | disable]
            # end

CLI

Wie kann ich auf einer FortiGate "sämtliche" zur Verfügung stehenden Befehle/Konfiguration aufzulisten?

Die CLI einer FortiGate ist umfassend und ist Hierachisch strukturiert. Diese Hierachie kann auf einer FortiGate anhand des nachfolgenden Befehls ausgegeben werden um einen Ueberblick zu erhalten:

       # tree

Wenn dieser Befehl abgesetzt wird sollte dieser innerhalb eine SSH Verbindung abgesetzt werden und nicht innerhalb einer RS-232 Verbindung über den Mgmt. Port. Nachfolgend ein Beispiel des Output:

       Output basierend auf FortiOS 5.4.0 tree-5.4.0