FortiManager-5.0-5.2:FAQ
FortiManager-5.0-5.2:FAQ
|
Das FortiOS 5.0 bis und mit 6.0 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden. Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx |
Vorwort
Diese FAQ's sind für FortiManager Systeme basierend auf OS 5.x.
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
License
Wie wird ein FortiManager unter VMware lizensiert?
Eine FortiManager Lizenz basiert auf folgender Matirx (Stackable License basierend auf Devices und NICHT GB Logs pro Tag):
NOTE Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:
1 Cluster = 1 Device
1 VDOM = 1 Device
1 Forti Access Point = 1 Device
1 FortiSwitch = 1 Device
Ab FortiOS 5.4.2 werden Forti Access Point sowie FortiSwitch ebenfalls als Devices gezählt!
Weitere Informationen welche Platform resp. Versionen der Virtualisierung genau unterstützt wird siehe nachfolgender Artikel:
Fortinet:Virtualisierung#Gibt_es_f.C3.BCr_Fortinet_VMware_eine_Uebersicht_betreffend_Compatibility_Matrix.3F
NOTE Weitere Informationen wie eine FortiAManager VM Lizenz registriert resp. eingespielt wird
siehe folgender Artikel:
FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F
Bei der Generierung der Lizenz muss die IP Adresse des FortiManagers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren sind die Maximum Values eines FortiManagers Wichtig. Dazu siehe nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Was_sind_die_.22maximum_values.22_f.C3.BCr_FortiManager_Platformen.3F
Wie wird ein FortiManager unter VMware/HyperV installiert?
Nachfolgender Link gibt Auskunft wie ein FortiManager unter VMware/HyperV installiert wird:
Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F
Wie wird eine License für FortiManager für VMware registriert und eingespielt?
Wenn man einen FortiManager für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:
Datei:FMVM0002306.pdf
In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:
http://support.fortinet.com NOTE Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch" kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende Anweisungen durch: FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein. Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog: Datei:Fortinet-212.jpg
Datei:Fortinet-216.jpg
Datei:Fortinet-217.jpg
Datei:Fortinet-218.jpg NOTE Auf diser Seite kann uner der Positon "License File Download" das Licens File, dass auf dem FortiManager eingespielt werden muss runtergeladen werden!
Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiManager unter folgender Position eingespielt werden:
NOTE Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support
Account erstellt werden!
System Settings > General > Dashboard > License Information > Upload License
Nachdem einspielen der License wird der FortiManager neu gestartet. Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus der Position ausgelesen werden:
System Settings > Dashboard > System Information > Serial Number
Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.
Wo finde ich auf dem FortiManager eine Ueberblick über alle Lizenzen inkl. FortiGate?
Ab Version 5.0.5 gibt es unter nachfolgender Position im FortiManager ein Ueberblick inkl. Ablaufzeiten betreffend Lizenzen der Devices:
FortiGuard > License Status
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiManager Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
http://docs.fortinet.com/fortimanager/admin-guides (Legacy Link http://docs.fortinet.com/fmgr.html)
FortiOS 4 MR3
Datei:Fortimanager-admin-40-mr3.pdf (FortiManager v4.0 MR3 Administration Guide) Datei:Fortimanager-cli-40-mr3.pdf (FortiManager v4.0 MR3 CLI Refrence) Datei:Fortimanager-vm-admin.pdf (FortiManager-VM v4.0 MR3 System Guide)
FortiOS 5.0
Datei:Fortimanager-50-ga-new-features.pdf (FortiManager v5.0.0 GA New Features Guide) Datei:Fortimanager-admin-5.pdf (FortiManager v5.0 Administration Guide) Datei:FortiManager-cli-5.pdf (FortiManager v5.0 CLI Refrence) Datei:Fortimanager-log-message-refrence-501.pdf (FortiManager v5.0 Log Message Refrence) Datei:FortiOS-Compatibility-FMG.pdf (FortiManager v5.0 Managed Compatibility Matrix)
FortiOS 5.2
Datei:Fortimanager-admin-52.pdf (FortiManager v5.2 Administration Guide) Datei:FortiManager-cli-52.pdf (FortiManager v5.2 CLI Refrence) Datei:FortiOS-Compatibility-FMG.pdf (FortiManager v5.2 Managed Compatibility Matrix)
FortiOS 5.4
Datei:FortiManager-54-secure-dns-guide.pdf (FortiManager v5.4 Secure DNS Guide) Datei:FortiManager Managing-FortiOS-with-FSSO.pdf (FortiManager - Managing FortiOS and FSSO)
API-XML
Datei:FortiManager-XML-API ReferenceGuide-5.4.4.pdf (FortiManager - XML API Reference 5.4.4)
FortiOS 5.6
Datei:FortiManager Managing-FortiOS-with-FSSO.pdf (FortiManager - Managing FortiOS and FSSO) Datei:FortiManager-VM-VMware-Install-Guide-56.pdf (FortiManager v5.6 VMware Install Guide)
Datei:FortiManager-56-SecurityOperationsApp-1.1.pdf (FortiManager 5.6.3 - Security Operations Integration App UserGuide)
edit 25.05.2023 - 4Tinu
FortiOS 6.0
Datei:FortiManager Managing-FortiOS-with-FSSO.pdf (FortiManager - Managing FortiOS and FSSO) Datei:FortiManager-VM-InstallGuide-60.pdf (FortiManager v6.0 VMware Install Guide)
Datei:FortiManager-60-SecurityOperationsApp-1.1.pdf (FortiManager 6.0.1 - Security Operations Integration App UserGuide)
Die Aktuellen Fortimanager Dokumente für die Version 6.0 können auch auf dieser Fortinet Seite entnommen werden:
edit 25.05.2023 - 4Tinu
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
Hardware
Was sind die "maximum values" für FortiManager Platformen?
Für die verschiedenen Platformen sei es Hardware Appliance und VMWare existieren folgende "maximum values":
NOTE Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:
1 Cluster = 1 Device
1 VDOM = 1 Device
Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?
Weitere Informationen siehe folgender Artikle:
FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F
Upgrade
Auf was muss geachtet werden wenn ein Upgrade eines FortiManager's von 4.x auf 5.0 durchgeführt wird?
Im Dokument "FortiManager v5.0.0 GA New Features Guide" wird näher auf das Update Scenario eingegangen (Seite 9):
Datei:Fortimanager-50-ga-new-features.pdf
Wie führe ich ein reguläres Firmware Upgrade für den FortiManager durch?
Wenn für den FortiManager ein reguläres Firmware Upgrade durchgeführt werden soll kann dies über das WebGui durchgeführt werden. Bevor so ein Upgrade durchgeführt wird führe ein ordentliches Backup durch:
FortiManager-5.0-5.2:FAQ#Wo_und_wie_kann_ich_ein_Backup_des_FortiManagers_durchf.C3.BChren.3F
Danach kann ein Upgrade anhand der neuen Firmware über das WebGui durchgeführt werden:
Datei:Fortinet-587.jpg
NOTE Es ist absolut Notwendig die entsprechenden Release Notes gut durchzulesen um event. wichtige
Informationen zu berücksichtigen!
Datei:FortiManager-v5.0-Patch-Release-3-Upgrade-Guide.pdf Datei:FortiManager-v5.0-Patch-Release-4-Upgrade-Guide.pdf Datei:FortiManager-v5.0-Patch-Release-5-Upgrade-Guide.pdf Datei:FortiManager-v5.0-Patch-Release-6-Upgrade-Guide.pdf Datei:FortiManager-v5.0-Patch-Release-7-Upgrade-Guide.pdf Datei:FortiManager-v5.0-Patch-Release-8-Upgrade-Guide.pdf Datei:FortiManager-v5.0-Patch-Release-9-Upgrade-Guide.pdf Datei:FortiManager-v5.0-Patch-Release-10-Upgrade-Guide.pdf Datei:FortiManager-v5.0-Patch-Release-11-Upgrade-Guide.pdf Datei:FortiManager-v5.0-Patch-Release-12-Upgrade-Guide.pdf
Datei:FortiManager-v5.2-Patch-Release-0-Upgrade-Guide.pdf Datei:FortiManager-v5.2-Patch-Release-1-Upgrade-Guide.pdf Datei:FortiManager-v5.2-Patch-Release-2-Upgrade-Guide.pdf Datei:FortiManager-v5.2-Patch-Release-3-Upgrade-Guide.pdf Datei:FortiManager-v5.2-Patch-Release-4-Upgrade-Guide.pdf Datei:FortiManager-v5.2-Patch-Release-6-Upgrade-Guide.pdf Datei:FortiManager-v5.2-Patch-Release-7-Upgrade-Guide.pdf Datei:FortiManager-v5.2-Patch-Release-8-Upgrade-Guide.pdf Datei:FortiManager-v5.2-Patch-Release-9-Upgrade-Guide.pdf Datei:FortiManager-v5.2-Patch-Release-10-Upgrade-Guide.pdf
Datei:FortiManager-v5.4-Patch-Release-0-Upgrade-Guide.pdf Datei:FortiManager-v5.4-Patch-Release-1-Upgrade-Guide.pdf Datei:FortiManager-v5.4-Patch-Release-2-Upgrade-Guide.pdf Datei:FortiManager-v5.4-Patch-Release-3-Upgrade-Guide.pdf
Datei:FortiManager-Upgrade-Guide-5.6.0.pdf
Im Hintergrund wird das entsprechende File verifiziert dh. ob dieses dem Device entspricht etc. Danach wird der Update ausgeführt und automatisch ein Neustart durchgeführt!
Setup
Wie sieht ein Grundsetup vom Ablauf her aus für einen FortiManager?
Folgende Aufstellung/Information zeigt ein Konfigurations-Ablauf auf für einen FortiManager. Je nach Konfiguration und Vorraussetzungen entfallen bestimmte Konfigurationspunkte:
0. Vorbereitung der Implementierung / Grundkonfiguration Netzwerk FortiManager-5.0-5.2:FAQ#Welche_Ports_ben.C3.BCtzt_der_FortiManager_und_m.C3.BCssen_freigegeben_werden_f.C3.BCr_eine_einwandfreie_Komunikation_mit_einer_FortiGate.3F FortiManager-5.0-5.2:FAQ#Kann_ich_ein_Raid_Disk_System_konfigurieren_f.C3.BCr_einen_FortiManager_Device.3F FortiManager-5.0-5.2:FAQ#Wie_sieht_die_Grundkonfiguration_.28Netzwerk.29_eines_FortiManagers_aus.3F FortiManager-5.0-5.2:FAQ#Ist_es_m.C3.B6glich_einen_FortiManager_im_HA_Mode_aufzusetzen.2Fzu_betreiben.3F 1. Lizenz einspielen FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F 2. Hostname anpassen/modifizieren FortiManager-5.0-5.2:FAQ#Wo_setze_ich_den_Hostnamen_f.C3.BCr_einen_FortiManager.3F 3. Timezone setzen sowie NTP Server konfigurieren FortiManager-5.0-5.2:FAQ#Wie_kann_ich_die_entsprechende_Zeitzone_setzen_sowie_einen_NTP_Server.3F 4. Wo setze ich das Passwort des SuperAdmin (admin) FortiManager-5.0-5.2:FAQ#Wo_kann_ich_das_Passwort_des_SuperAdmin_.28admin.29_.C3.A4ndern.3F FortiManager-5.0-5.2:FAQ#Wie_kann_ich_erlauben_das_ein_lokaler_Administrator_sein_vergebenes_Passwort_.C3.A4ndern_kann.3F 5. Wie erstelle ich für Administratoren eine "Access" Profile FortiManager-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_die_Administratoren_ein_entsprechendens_.22Access.22_Profile_erstellen.3F 6. Upgrade des FortiManagers durchführen FortiManager-5.0-5.2:FAQ#Wie_f.C3.BChre_ich_ein_regul.C3.A4res_Firmware_Upgrade_f.C3.BCr_den_FortiManager_durch.3F 7. ADOM Funktionalität aktivieren FortiManager-5.0-5.2:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F FortiManager-5.0-5.2:FAQ#Kann_ich_in_einer_ADOM_FortiGate.27s_Devices_mit_FortiOS_4.3_und_5_mischen.3F 8. Aktivieren der "workspace" Funktionalität FortiManager-5.0-5.2:FAQ#Wie_kann_ich_verhindern.2C_dass_vers._Administratoren_zur_gleichen_Zeit_eine_ADOM_modifizieren.3F 9. Erstellen einer ADOM FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_eine_neue_ADOM_und_auf_was_muss_ich_dabei_achten.3F FortiManager-5.0-5.2:FAQ#ADOMs_k.C3.B6nnen_im_.22normal.22_Mode_sowie_als_.22backup.22_Mode_erstellt_werden.3B_Was_ist_der_Unterschied.3F 10. Device zu FortiManager hinzufügen FortiManager-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_einen_FortiManager_pr.C3.BCfen_ob_ein_Device.2FFortiOS_unterst.C3.BCtzt_wird.3F FortiManager-5.0-5.2:FAQ#Wie_f.C3.BCge_ich_einen_Device_zum_FortiManager_hinzu.3F 11. Erstellen einer Device Gruppe und hinzufügen des Device FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_eine_Device_Gruppe_und_wie_verwende_ich_diese.3F 12. Konfiguration eines Device Profils und hinzufügen zu einem Device FortiManager-5.0-5.2:FAQ#Was_ist_ein_Provisioning_Template_.28Device_Profile.29_und_wie_Konfiguriere_und_Weise_ich_dieses_einem_Device_zu.3F 13. Installieren eines Device Profils FortiManager-5.0-5.2:FAQ#Wie_installiere_ich_ein_Device_Profil_.28Provisioning_Templates.29_das_einem_Device_zugewiesen_wurde_auf_diesem_Device.3F 14. Estellen einer Global Policy FortiManager-5.0-5.2:FAQ#Was_sind_Policy_und_wie_sind_diese_im_Zusammenhang_mit_ADOMs_und_Devices_zu_verstehen.3F FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_eine_neue_Global_Policy_.28Global_Domain_Policy.29.3F 15. Konfigurieren der Global Policy (Rule hinzufügen) FortiManager-5.0-5.2:FAQ#Wie_f.C3.BCge_ich_eine_Rule_hinzu_zu_einer_Global_Policy_.28Global_Domain_Policy.29.3F FortiManager-5.0-5.2:FAQ#Wie_erfasse_ich_ein_.22Global_Object.22_und_wie_benutze_ich_dieses.3F 16. Hinzufügen der Global Policy zu einer ADOM FortiManager-5.0-5.2:FAQ#Wie_weise_ich_ein_entsprechende_Global_Policy_einer_ADOM_zu.3F 17. Erstellen eines Local Domain Policy Package FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_ein_neues_Policy_Package_.28Local_Domain_Policy.29.3F FortiManager-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_Policy_Package_in_der_ADOM_eine_Backup_M.C3.B6glichkeit_.28Revisions.29.3F 18. Konfigurieren der Local Domain Policy (Rule hinzufügen) FortiManager-5.0-5.2:FAQ#Wie_f.C3.BCge_ich_eine_Rule_hinzu_zu_einer_Policy_.28Local_Domain_Policy.29.3F FortiManager-5.0-5.2:FAQ#Wie_erfasse_ich_ein_.22Dynamic.22_Global_Object_und_wie_benutze_ich_dieses.3F 19. Hinzufügen der Local Domain Policy zu einer Gruppe oder Device FortiManager-5.0-5.2:FAQ#Wie_weise_ich_ein_entsprechendes_Policy_Package_.28Local_Domain_Policy.29_einer_Device_Gruppe_und.2Foder_Device_zu.3F 20. Realtime/History Logs der FortiGate Devices FortiManager-5.0-5.2:FAQ#Auf_dem_FortiManager_sind_die_Men.C3.BC.27s.2FRegister_wie_.22Log_View.2C_Drill_Down.2C_Event_Managemen_sowie_Reports.22_nicht_ersichtlich.3F FortiManager-5.0-5.2:FAQ#Log_.2F_View 21. Drill Down für FortiGate Devices FortiManager-5.0-5.2:FAQ#Drill_Down 22. Reports Erstellen, Konfigurieren FortiManager-5.0-5.2:FAQ#Reports 23. Event Management FortiManager-5.0-5.2:FAQ#Event_Management 24. Backup / Restore FortiManager-5.0-5.2:FAQ#Wo_und_wie_kann_ich_ein_Backup_des_FortiManagers_durchf.C3.BChren.3F FortiManager-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_CLI_eine_Backup_der_FortiManager_Konfiguration_durchf.C3.BChren.3F FortiManager-5.0-5.2:FAQ#Wie_f.C3.BChre_ich_auf_einem_FortiManager_f.C3.BCr_eine_FortiGate_einen_.22revert.22_durch.3F FortiManager-5.0-5.2:FAQ#Wie_tausche_ich_bei_einem_Defekt_einer_FortiGate_diese_im_FortiManager_aus.3F
Wo setze ich den Hostnamen für einen FortiManager?
Der Hostname wird folgendermassen konfiguriert:
System Settings > General > Dashboard > System Information > Hostname
Datei:Fortinet-578.jpg
Wenn der entsprechende Hostname über Kommandozeile konfiguriert werden soll benütze folgende Kommandos:
# config system global
# set hostname [Name des Host]
# end
Wie kann ich Datum und Zeit manuell auf einem FortiManager setzen?
Das Datum und die Zeit können über das Web Mgmt. Interface gesetzt werden unter folgender Position:
System Settings > General > Dashboard > System Information > System Time
Wenn das Datum und/oder die Zeit über Kommandozeile angepasst werden soll benütze folgendes Kommando:
# execute time hh:mm:ss
# execute date mm/dd/yyyy
Wie kann ich die entsprechende Zeitzone setzen sowie einen NTP Server?
Die Zeitzone sowie einen entsprechenden NTP Server kann unter folgender Position konfiguriert werden:
System Settings > General > Dashboard > System Information > System Time
Datei:Fortinet-579.jpg
Datei:Fortinet-580.jpg
Wenn man die Zeitzone sowie den NTP Server über Kommandozeile konfigurieren möchte müssen folgende Kommandos benützt werden:
# config system global
# set timezone [Gebe die entsprechende Zeitzone an]
# end
NOTE Durch die Angaben von "set timezone ?" werden die vers. Zeitzonenen aufgelistet
und die entsprechende Nummer für die entsprechende Zeitzone kann konfiguriert
werden. Für GMT+1 gilt "26".
Für den NTP Server benütze:
# config system ntp
# set status [enable | disable]
# config ntpserver
# edit [Gebe einen Integer an zB "1"]
# set server [Gebe die IPv4 Adresse oder den FQDN an]
# set ntpv3 [enable | disable]
# end
# end
Wie aktiviere/deaktivere ich für einen FortiManager die SSLv3?
Für alle FortiManager gilt das diese per Standard mit aktivierten TLSv1 und SSLv3 konfiguriert sind. Eine Ausnahme gilt für die FortiManager-VM64-AWS Version. Möchte man zB die SSLv3 deaktivieren kann folgendes ausgeführt werden:
# config system global
# set ssl-protocol [tlsv1 | sslv3]
# end
Wie sieht die Grundkonfiguration (Netzwerk) eines FortiManagers aus?
Der FortiManager ist das zentrale Management Server. Wenn man zB über VMware einen FortiManager installiert (über ovf File) so muss dieser über die Console für den ersten Zugriff Grundkonfiguriert werden (Gilt auch für den Device) dh. damit später über das WebInterface zugegriffen werden kann. Diese Grundkonfiguration sieht folgendermassen aus:
Interface Konfiguration
# config system interface
# edit port1
# set ip [IP Adresse/Netmask]
# set allowaccess https http ping
# end
Default Gateway
# config system route
# edit 1
# set device port1
# set gateway [Gateway IP Adresse]
# end
DNS Konfiguration
# config system dns
# set primary [DNS Server IP Adresse]
# set secondary [DNS Server IP Adresse]
# end
Danach kann anhand der gesetzten IP auf das WebInterface zugegriffen werden:
https://[IP Adresse]
Wo kann ich die Standard Ports 80 sowie 443 für die FortiManager Administration konfigurieren?
Per Standard läuft der FortiManager für die Administration auf Port 80 sowie 443. Diese Ports sind nur aktiv wenn diese auf dem entsprechenden Interface aktiviert werden. Möchte man die Ports verändern kann dies unter folgender Position durchgeführt werden:
System Settings > Admin > Admin Settings
Wie schon erwähnt werden die Ports über das entsprechende Interface aktiviert oder deaktiviert:
System Settings > General > Network
Datei:Fortinet-514.jpg
Was sind die "Maximum Values" eines FortiManager?
Nachfolgend eine Aufstellung (Matrix) der Maximum Values eines FortiManagers basierend auf FortiManager 5.0.4:
Welche Grundkonfiguration muss auf einer FortiGate durchgeführt werden um diese in den FortiManager einzubinden?
Informationen dazu siehe Artikel FortiManager-5.0-5.2:FAQ#Wie_f.C3.BCge_ich_einen_Device_zum_FortiManager_hinzu.3F
Ist die Komunikation zwischen einer FortiGate und einem FortiManager Verschlüsselt?
Die Kommunikation zwischen einer FortiGate und FortiManager ist verschlüsselt (SSLv3). Die Verschlüsselung (enc-algorithm) ist per Standard auf "default" gesetzt was wiederum folgendes bedeutet:
default — high strength algorithms and these mediumstrength 128-bit key length algorithms: RC4-SHA, RC4-MD5, RC4-MD
Wenn eine höhere oder tiefere Verschlüsselung gewünscht ist stehen "high" sowie "low" ebenfalls zur Verfügung was wiederum folgendes bedeutet:
high — 128-bit and larger key length algorithms: DHE-RSA-AES256-SHA, AES256-SHA, EDH-RSA-DES-CBC3-SHA, DES-CBC3-SHA, DES-CBC3-MD5, DHE-RSA-AES128-SHA, AES128-SHA
low — 64-bit or 56-bit key length algorithms without export restrictions: EDH-RSA-DES-CDBC-SHA, DES-CBC-SHA, DES-CBC-MD5
Um die entsprechende Verschlüsselung zu setzen benütze auf der CLI folgendes Kommando:
# config system central-management settings
# set enc-algorithm [default | high | low | disable]
# end
Welche Ports benützt der FortiManager und müssen freigegeben werden für eine einwandfreie Komunikation mit einer FortiGate?
Die nachfolgenden Informationen basieren auf FortiManager 5 im Zusammenhang mit einer FortiGate. Sie beschreiben nicht andere Verbindungen wie die FortiGuard Komunikation die für den FortiManager ebenfalls -sofern konfiguriert und benützt- benutzt werden. Eine FortiGate kann auf zwei Arten in einen FortiManager eingebunden werden dh.
FortiManager --> zu FortiGate (Outbound)
oder
FortiGate --> zu FortiManager (Inbound)
Je nach Komunikation dh. Inbound/Outbound ist die Einbindung unterschiedlich. Empfohlen ist beide Komunikationswege zu öffnen. Speziell da der FortiManager unter FortiOS 5 neu das Logging einer FortiGate unterstützt. Zwei Ports werden benützt vom FortiManager um eine FortiGate zu managen:
TCP/UDP 541 Management Verbindung (Inbound/Outbound; SSLv3)
TCP/UDP 514 Log Verbindung (Inbound; SSLv3 FTP)
NOTE Wenn die FortiGate mit einem FortiManager komuniziert oder visaverse wird der Mgmt. Traffic durch die SSLv3 basierende
Verbindung "getunnelt". Die Adressierung die dabei benutzt wird um die Komunikation des Mgmt. Traffics zu ermöglichen
ist die Folgende:
169.254.0.1 FortiManager System
169.254.0.2 FortiGate Device 1
169.254.0.3 FortiGate Device 2
169.254.0.4 FortiGate Device 3
usw.....
Somit -sofern ein FortiManager mit einer "Private IP" addressiert ist- muss ein einwandfreies Inbound NAT sowie ein einwandfreies Outbound NAT konfiguriert werden auf der FortiGate die den FortiManager schützt. Weitere Informationen betreffend NAT Implementierung auf einer FortiGate findet man im den nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_wird_ein_NAT_auf_einer_Fortigate_implementiert.3F
Bei der Implementierung eines FortiManagers ist deshalb folgende Ueberlegungen anzustellen:
- Soll der FortiManager mit einer "Public" oder "Privat" IP Adresse adressiert werden?
- Wenn "Private" IP adressiert wie sieht die Belastung auf der Firewall aus die den FortiManager schützt (Log und Management Traffic)?
- Wenn der FortiManager "Public" IP adressiert wird wie wird der FortiManager gemanaged?
- Wenn der FortiManager als VMware betrieben wird welche Interfaces stehen auf der VMware zur Verfügung (Shared Interface vers. Segmente)
- Wenn der FortiManager "Public" IP adressiert wird "wem" gehört die "Public" IP Adresse und was geschieht bei einem Wechsel des ISP?
- usw.
Grundsätzlich ist es eine Ueberlegung wert den FortiManager "Public" zu adressieren egal ob er durch eine Firewall geschützt wird oder nicht (Transparent). Ein managen von Devices über eine NAT Verbindung ist zwar möglich aber mit zusätzlichen Aufwänden (NAT Implementierung, Performance etc.) verbunden. Auf jedenfall ist es empfohlen -wenn der FortiManager "Public" adressiert wird- ein seperats Management Interface auf dem FortiManager zu konfigurieren und dieses über eine Firewall in ein CTL (Controll Net) zu schützen. Somit wäre der FortiManager "nicht" direkt über die "Public" IP Adresse erreichbar sondern nur über die Firewall anhand des Management Interfaces das "Private" adressiert ist. Um dennoch von Aussen dh. übers Internet den FortiManager zu managen kann eine VPN Verbindung benutzt werden um auf das "Private" adressierte Management Interface zu zugreifen. Nachfolgendes Dokument zeigt vers. Möglichkeiten und deren Komunikationswege:
Datei:FMG to FGT-communication.pdf
Nachfolgendes Dokument wurde von Fortinet released und zeigt die Ports und Komunikationswege des FortiManagers für die Versionen 4.3, 5.0.6 und 5.2:
Datei:FortiManager 4.3-5.0.6-5.2 port and protocol usage KB v1.4.pdf
Fortinet stellt ebenfalls ein Dokument zur Verfügung in dem diese Informationen betreffend den Fortinet Produkten wie FortiAnalyzer, FortiManager, FortiGate usw. dargestellt sind:
Datei:FortinetOpenPorts.pdf Datei:Fortigate-Open-Ports-54.pdf
Kann der FortiManager in Zusammenhang mit FortiAnalyzer im "Collector" Mode benützt werden?
Ein FortiAnalyzer kann im "Collector" Mode Logs von vers. FortiGate's/Devices weiterleiten zu einem FortiAnaylzer der nicht im "Collector" Mode ist (FortiAnalzer/Standalone Mode). Diese Art und Weise kann NICHT im Zusammenhang mit einem FortManager konfiguriert werden der die Features eine FortiAnalyzers aktiviert hat dh. der FortiManager kann nur als zentraler Log Server (FortiAnalzer/Standalone Mode) im Zusammenhang mit FortiGates/Devices eingesetzt werden. Dies bedeutet: Wenn diese FortiGates die Logs "direkt" dem FortiManager übermitteln. Weitere Informationen betreffend FortiAnalyzer im "Collector" Mode siehe folgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#In_welchen_Mode_kann_ein_FortiAnalyzer_betrieben_werden.3F
Was muss ich berücksichtigen betreffend Mgmt. Traffic wenn ich eine FortiGate mit VDom's in den FortiManager integriere?
Weitere Informationen siehe Artikel:
FortiGate-5.0-5.2:FAQ#In_Zusammenhang_mit_VDom.27s_auf_einer_FortiGate_.C3.BCber_welche_VDom_l.C3.A4uft_der_Mgmt._Traffic.3F
Auf was muss geachtet werden betreffend Lizenz wenn eine bestehende FortiManager Installation neu aufgesetzt wird?
Bei einer FortiManager License wird die Serien Nummer beim Registrierungsvorgang über das Support Portal (Register/Renew) erstellt. Dabei muss die IP angegeben werden die der FortiManager benutzt. Anhand dieser IP wird beim Registrierungsvorgang die effektive Serien Nummer des FortiManager generiert (Per Standard FAZ000000000). Will man nun eine "neue" Installation -der bestehenden Installation- resp. Lizenz durchführen, muss darauf geachtet werden das die "gleiche" IP -wie durch die Orginal Installation- benutzt wird. Wenn die IP gewechselt wird kann die Lizenz nicht eingespielt werden (Error "ip does not match") da daraus sich eine neue Serien Nummer ergiebt resp. das File mit der IP nicht mehr übereinstimmt. Wenn die IP gewechselt werden muss so muss ein erneueter Registrierungsvorgang durchgeführt werden. Dieser kann über das Support Portal unter Manage/Renew durchgeführt werden indem man die bereits bestehende Lizenz anwählt und die IP wechselt. Aus unbestätigten Quellen soll dies 3 mal möglich sein danach muss ein Customer Ticket eröffnet werden um den Counter zurückzustellen. Wird eine neue Lizenz bei einem IP Wechsel in den FortiManager eingespielt muss der FortiManager manuell neu gestartet werden damit diese aktiv wird.
ACHTUNG Ein FortiManager komuniziert ebenfalls in die FortiCloud dh. würden 2 Installationen zur gleichen Zeit existieren,
würde eine davon deaktiviert werden da diese auf der gleichen Lizenz basieren. Somit wir die Lizenz eines FortiManager
in der FortiCloud verifiziert.
Wie kann ich einen FortiManager zurücksetzen (full unit reset)?
Um die Konfiguration eines FortiMangaers "Vollumfänglich" (full unit reset) zurück zu setzen führe folgndes aus:
# execute reset all-settings
NOTE Die "gesamte" Konfiguratin geht verloren und es wird eine Neustart ausgeführt!
Wenn nachfolgendes Kommando durchgeführt wird werden alle Informationen auf der Disk gelöscht (Device Settings/Images, VPN & Update Manager Database, Log Data) jeodch die IP des FortiManagers sowie dessen Routing Informtionen bleiben erhalten:
# execute format disk-ext4
Auf dem FortiManager sind die Menü's/Register wie "Log View, Drill Down, Event Managemen sowie Reports" nicht ersichtlich?
Ab FortiManager 5.0.5 wurde auf dem FortiManager ein neue Funktion implementiert dh. das Feature Set des FortiAnalyzers, dass im FortiManager enthalten ist, kann komplett ausgeblendet werden. Wenn der FortiManager "keine" Logs verarbeitet sondern zB ein seperater FortiAnalyzer besteht, macht es Sinn diese Menü's/Register auszublenden um die Uebersicht besser zu gestalten. Nach Release Notes sind die Menüs des FortiAnalyzer ab Version 5.0.5 per Standard ausgeblendet. Das zuständige Kommando um das Feature Set des FortiAnalyzer ein- resp. auszublenden ist der Folgende:
# config system global
# set faz-status [enable / disable]
# end
Changing faz status will affect FAZ feature in FMG. If you continue,
system will reboot to add/remove FAZ feature.
Do you want to continue? (y/n)
FortiMoM
Gibt es die Möglichkeit mehrer FortiManager/FortiAnalyzer zusammen zu verwalten/managen?
Das Produkt "FortiMoM" (Fortinet Manager of Managers) bietet die Möglichkeit "sehr" grosse Umgebungen zu verwalten dh. FortiManager's und FortiAnalyzer's sowie FortiGate's zu integrieren. Die Vorteile des "FortiMoM" (Initial Release 1.0.0) sind die Folgenden:
- Skalieret über den Limit's eines FortiManagers
- Möglichkeiten der Migration "ADOM's" sowie Migration eines FortiGate Devices von einem FortiManager zu einem anderen FortiManager
- Zentralisierung der Konfiguration von Security Policies
- Netzwerkweite Operationen wie Firewall Policy Push oder Firmware Updates
Der initiale Release 1.0.0 verfügt über folgende Möglichkeiten:
- FortiManager und FortiAnalyzer Support
- ADOM Migration
- FortiGate und VDOM Device Migration
- Automatische Erstellung Kaskadierter Gruppen
- Task manager
- Device View
- Domain View
Nachfolgend eine grafische Darstellung des FortiMom:
FortiMom ist ausschliesslich als VM basierende Lizenz verfügbar (Initial Release VMware) und die Base License verfügt über 10 FortiGate Devices. Weitere Informationen findet man in den nachfolgenden Dokumenten:
Datei:FortiMom-admin-guide.pdf Datei:Fortimom-v1.0.0-release-notes.pdf Datei:Fortimom-v1.1.0-release-notes.pdf Datei:Fortimom-v1.1.1-release-notes.pdf Datei:Fortimom-v1.2.0-release-notes.pdf Datei:Fortimom-v1.2.1-release-notes.pdf FortiMom Datasheet
API
Welche API's existieren auf einem FortiManager und wie kann ich diese benützen?
Auf dem FortiManager existieren verschiedenen API's die genutzt werden können. Die API's sind die Folgenden:
NOTE Diese API's stehen Grundsätzlich frei zur Verfügung und müssen in dem Sinne nicht lizensiert werden. Der Support TAC von Fortinet unterstützt jedoch keine Support Anfragen betreffend diesen API's dh. man ist auf sich selber gestetllt. Benötigt man Unterstützung resp. technische Informationen betreffend diesen API's muss eine Lizenz erworben werden die eine jährliche Subscription darstellt für das "Fortinet Developer Network". Weitere Informationen betreffend "Fortinet Developer Network" siehe nachfolgender Artikel: Fortinet:DeveloperNetwork
5.2
Datei:FortiManager-XML-API ReferenceGuide-5.2.2.pdf FortiManager XML API Reference Version 5.2.2
Datei:FortiManager-XML-API ReferenceGuide-5.2.3.pdf FortiManager XML API Reference Version 5.2.3
Datei:FortiManager-XML-API ReferenceGuide-5.2.4.pdf FortiManager XML API Reference Version 5.2.4
Datei:FortiManager-XML-API ReferenceGuide-5.2.6.pdf FortiManager XML API Reference Version 5.2.6
Datei:FortiManager-XML-API ReferenceGuide-5.2.7.pdf FortiManager XML API Reference Version 5.2.7
Datei:FortiManager-XML-API ReferenceGuide-5.2.9.pdf FortiManager XML API Reference Version 5.2.8
Datei:FortiManager-XML-API ReferenceGuide-5.2.10.pdf FortiManager XML API Reference Version 5.2.10
5.4
Datei:FortiManager-XML-API ReferenceGuide-5.4.0.pdf FortiManager XML API Reference Version 5.4.0
Datei:FortiManager-XML-API ReferenceGuide-5.4.1.pdf FortiManager XML API Reference Version 5.4.1
Datei:FortiManager-XML-API ReferenceGuide-5.4.2.pdf FortiManager XML API Reference Version 5.4.2
Datei:FortiManager-XML-API ReferenceGuide-5.4.3.pdf FortiManager XML API Reference Version 5.4.3
5.6
Datei:FortiManager-XML-API ReferenceGuide-5.6.0.pdf FortiManager XML API Reference Version 5.6.0
ADOM
Was sind ADOM's und welche Ueberlegung sind in diesem Zusammenhang zu berücksichtigen?
ADOMs (Administrative Domains) sind virtuelle Container die Devices (FortiGate, VDOM) in verschiedenen ADOMs enthalten die durch die vers. Administratoren mit deren Rechten (Service Access Profile) administriert werden. Der "admin" Root Account hat sämtliche Rechte ALLE ADOMs zu administrieren. Zusätzliche erstellte Administratoren erhalten die nötigen Rechte ADOMs zu administrieren durch deren Profile. Die Funktion kann über folgende Menüpunkt im WebGui aktiviert werden:
System Settings > General > Dashboard > Administrative Domains > Enable
Datei:Fortinet-588.jpg
ACHTUNG Wenn über das WebGui die ADOM Funktionalität aktiviert wird so wird der "adom-mode"
auf "normal" gesetzt dh. wenn dieser auf "advanced" gesetzt werden soll so kann dies
über die CLI konfiguriert werden (set adom-mode [advanced oder normal]) oder über das
WebGui:
Um den ADOM "advanced" Mode über WebGui zu aktivieren führe folgendes durch:
Ueber CLI wir die Funktion ADOM folgendermassen aktiviert (FortiOS 5):
# config system global
# set adom-status [enable oder disable]
# set adom-mode [advanced oder normal]
# end
Durch die Aktivierung "adom-status enable" werden alle bestehenden Daten in die ADOM "root" verschoben! Die Funktion "adom-mode" sollte nur in den "advanced" Mode gesetzt werden sofern VDom's seperiert werden sollen/müssen dh. wenn der "normal" Mode gilt, können VDom's von "einer" FortiGate nicht als einzelne Firewall Instanzen in verschiedenen separaten ADOM's existieren und konfiguriert werden.
ADOMs können im "normal" Mode sowie als "backup" Mode erstellt werden; Was ist der Unterschied?
Wenn eine ADOM als "normal" Mode erstellt wird so wir die ADOM als "read/write" erstellt. In diesem Mode kann der entsprechende Administrator mit den entsprechenden Rechten einen Device sowie die ADOM administrieren und modifizieren. Die FortiGate Devices in so einer ADOM senden alle 5 Sekunden Anfragen betreffend deren Konfiguration zum FortiManager resp. zur entsprechenden ADOM im "normal" Mode. Wenn der FortiGate Device Aenderungen in der entsprechenden ADOM auf dem FortiManager feststellt sendet (FGFM Protokoll) der FortiGate Device eine "diff" Revision (Unterschied in der Konfiguration).
Wenn eine ADOM im "backup" Mode erstellt wird so wird die ADOM als "read-only" erstellt. In dieser ADOM können keine Konfigurationen oder Modifikationen durchgeführt werden an den FortiGate Devices sowie an der ADOM. Konfigurationen können nur über "scripts" (Script Funktion FortiManager) auf den FortiGate Devices durchgeführt werden. Ebenso sind Konfigurationen sowie Modifikationen auf dem FortiGate Device über das WebGui sowie über die CLI möglich. "diff" Revisionen werden nur zum FortiManager in die entsprechende ADOM gesendet wenn folgende Voraussetzungen gegeben sind:
• Konfigurations Aenderungen und Sessions Timeouts
• Konfigurations Aenderungen und Logouts
• Konfigurations Aenderungen und Reboots
• Manuelle Backup der Konfiguration auf dem FortiGate Device
Dieser Mode "backup" wird ausschliesslich benützt um die Konfiguration der FortiGate Device's zu sichern (Backup). In diesem Mode können die FortiGate Devices augewertet werden (sofern auf dem FortiManager die Logs der FortiGate Devices vorhanden sind) sowie die "diff" Revision (Aenderungen) aufgezeichnet werden. Desweiteren ist zu berücksichtigen, dass wenn eine FortiManager resp. eine ADOM im "backup" Mode betrieben wird, die FortiGate deren Update betreffend FortiGuard vom FortiManager beziehen müssen (gilt für FortiOS 5.0). Unter FortiOS 5.2 fällt der Umstand, dass die FortiGate Devices Ihre Update vom FortiManager beziehen müssen weg dh. unter FortiOS 5.2 können FortiGate's im "backup" Mode betrieben werden und die Updates können von den FortiGuard Servern oder vom FortiManager bezogen werden. Um eine FortiGate so zu konfigurieren, dass diese den "backup" Mode auf einem FortiManager benutzt muss folgendes auf der FortiGate konfiguriert werden:
# config system central-management
# set mode backup
# set fortimanager-fds-override enable
# set fmg [IPv4 Adresse des FortiManagers]
# end
NOTE Wenn "fortimanager-fds-override" aktiviert ist werden die FortiGuard Server überschrieben dh. die FortiGate
benutzt als FortiGuard Server die IP des FortiManagers. Dabei ist zu berücksichtigen, dass nicht alle Versionen
eines FortiManagers die Update für FortiGuard zur Verfügung stellen können. Weitere Informationen dazu siehe
nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Wenn_der_.22FortiGuard_Service.22_vom_FortiManager_bereitgestellt_werden_wie_sieht_die_Kommunkation_aus.3F
Wie kann ich verhindern, dass vers. Administratoren zur gleichen Zeit eine ADOM modifizieren?
Wenn vers. Administratoren existieren und diesen auf gleiche ADOM's Zugriff erhalten so kann es vorkommen, dass zwei Administratoren zur gleichen Zeit eine ADOM resp. FortiGate Device modifizieren. Dies ist per Standard gegeben. Möchte man dies verhindern so muss der sogenannte "workspace" aktiviert werden dh. beim Log-In eines Administrators wird die entsprechende ADOM "locked" und somit kann nur ein Administrator eine ADOM konfiguriere sowie modifizieren. Um die "workspace" Funktion zu aktivieren gebe folgenden Befehl auf der CLI ein:
# config system global
# set workspace-mode [disabled | normal | workflow]
# end
NOTE Es gibt die Möglichkeit, dass ein Administrator das Recht besitzt einen anderen Administrator auszuloggen
(kick off) dh. wenn ein Administrator sich einloggt und Aenderungen durchführen muss, jedoch die ADOM momentan
durch einen anderen Administrator "locked" ist, kann der Administrator der die Aenderungen ausführen soll
den Administrator der die ADOM locked ausloggen (kick off). Alle Aenderungen, die nicht abgespeichert wurden
durch den Administrator der ausgeloggt (kick off) wird, gehen verloren. Um diese Funktion einzuschalten benütze
zusätzlich zum "workspace-mode normal" folgender Befehl:
# set lock-preempt [enable | disable]
Zusätzlich gibt es die Möglichkeit mit der Option "workflow" zu arbeiten dh. ein Administrator hat zwar die Rechte
anhand folgenden Befehls (workflow) eine Implementierung in der Policy durchzuführen, jedoch muss diese durch einen
Administrator der die Rechte verfügt (extra Optionen in der "admin" Page) Approved werden:
# config system global
# set workspace-mode workflow
# end
# config system admin profile
# edit [Name für das Admin Profil]
# set type system
# workflow-approve [none | read | read-write]
# end
# config system admin user
# edit [Username des Administrators]
# set password <password_string>
# set profileid <profile-name>
# end
Wenn die Funktion für "workspace-mode" auf "normal" steht muss der entsprechende Administrator im Device Manager sowie in der entsprechenden ADOM diese zuerst auf "lock" setzen bevor dieser Konfigurationen sowie Modifikationen durchführen kann. Nachträglich sollte wieder ein "unlock" gesetzt werden damit der nächste Administrator der sich einloggt ebenfalls wiederum ein "lock" setzen kann. Wenn die Option "lock-preempt" auf "enable" steht werden beim ausloggen alle "lock's" entfernt". Steht diese Option auf "disable" bleiben beim ausloggen die "lock's" bestehen:
Datei:Fortinet-462.jpg Nachdem setzen des "lock" sieht man das entsprechende Symbol (grün eingefärbt) auf der entsprechenden ADOM auf dem der "lock" gesetzt wurde: Datei:Fortinet-463.jpg NOTE Die vers. Status Anzeigen betreffend dem "lock/unlock" bedeuten folgendes: • Grey lock : Die ADOM ist im "unlocked" Status und ist "read/write". • Green lock : Die ADOM ist im "locked" Status dh. der momentane Administrator ist eingeloggt. • Red lock : Die ADOM ist "locked" bei einem anderen Administrator. Nun kann die ADOM Modifiziert sowie Konfiguriert werden da ein "lock" gesetzt wurde: Datei:Fortinet-464.jpg Um wieder ein "unlock" zu setzen führe folgendes durch: Datei:Fortinet-465.jpg
Um die "workspace" Funktion wiederum zu deaktiveren führe folgendes aus:
# config system global
# set workspace disable
Warning: disabling workspaces may cause some logged in users to
lose their unsaved data. Do you want to continue? (y/n)
# end
Wie erstelle ich eine neue ADOM und auf was muss ich dabei achten?
Bevor eine neue ADOM erstellt wird sollte folgendes berücksichtigt werden (Siehe nachfolgende Artikel):
FortiManager-5.0-5.2:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F FortiManager-5.0-5.2:FAQ#ADOMs_k.C3.B6nnen_im_.22normal.22_Mode_sowie_als_.22backup.22_Mode_erstellt_werden.3B_Was_ist_der_Unterschied.3F
Eine neue ADOM kann folgendermassen erstellt werden:
Device Manageer > "root" ADOM markieren > Rechte Maustaste
Datei:Fortinet-459.jpg
Achte auf den Mode der zu wählen ist (siehe Artikel oben)!
ACHTUNG Es ist zu empfehlen die "Central VPN Console" zu wählen denn dann können die Device in einer ADOM
über diese Console konfiguriert werden. Ansonsten muss ein VPN über die Policy sowie Devices konfiguriert
werden was solange nicht ein MUSS (Interobability Device) nicht zu empfehlen ist!
Datei:Fortinet-460.jpg
Datei:Fortinet-461.jpg
Kann ich in einer ADOM FortiGate's Devices mit FortiOS 4.3 und 5 mischen?
Neu ab FortiOS 5.0.4 ist dies möglich dh. eine ADOM kann FortiOS 4.3 und/oder auch FortiOS 5.0.4 beinhalten. Dies ermöglicht ein nahtloses Migrations-Szenario!
NOTE Die Empfehlung von Fortinet ist jedoch nur auf ein solches Scanarion zurück zu greifen, wenn
eine Migration statt findet. Ein regulärer Betrieb von "einer" ADOM mit beiden FortiOS paralell ist
nicht zu empfehlen empfehlen!
In einem Upgrade Scenario muss folgender Ablauf berücksichtigt werden:
Ausgangslage:
- ADOM mit 4.3 Devices.
- FortiManager 5.0.4 oder höher.
- Reguläres Backup des FortiManagers
Weiteres Vorgehen:
- Erstellung eines Backup Files der 4.3 basierenden FortiGate.
- Upgrade eines 4.3 basierenden FortiGate Devices auf 5.0.4.
- Nachdem Upgrade des 4.3 basierenden FortiGate Devices führe
eine Resynchronisierung durch.
- Nach der Resynchronisierung des nun "neu" 5.0.4 basierenden
FortiGate Devices zeigt sich für die ADOM folgender Status:
"ADOM Objekte sowie Policy Package bleiben 4.3 basierend"
- Führe ein Upgrade für die restlichen 4.3 basierenden FortiGate
Devices durch!
- Nachdem für "ALLE" 4.3 basierenden FortiGate Devices ein Upgrade
auf 5.0.4 durchgeführt wurde führe ein Upgrade für die ADOM aus.
Wähle dazu im WebGui des FortiManagers folgendes:
System Settings > All ADOMS > [Wähle die entsprechende 4.3 basierende ADOM] > [Rechte Maustaste] > Upgrade
NOTE Wenn in der ADOM 4.3 basierende FortiGate Devices
verbleiben wird das Upgrade der ADOM zur V 5.0 verweigert!
Device Manager
Wie kann ich über einen FortiManager prüfen ob ein Device/FortiOS unterstützt wird?
Grundsätzlich geben die entsprechende Release Notes eine FortiManagers Auskunft ob ein entsprechender Device und/oder FortiOS auf dem entsprechenden FortiManager unterstützt wird und somit auf dem FortiManager hinzugefügt werden kann. Eine weitere Möglichkeit ist diese Ueberprüfung auf dem FortiManager selber über CLI durchzuführen dh. dazu muss folgendes Kommando auf der CLI eingegeben werden:
# diagnose dvm supported-platforms list
Danach wird eine komplette Liste ausgegeben mit allen Devices die auf dem FortiManager hinzugefügt werden können sowie die Angabe welche FortiOS Versionen unterstützt werden für die jeweiligen Devices.
Wie erstelle ich eine Device Gruppe und wie verwende ich diese?
Eine Device Gruppe kann folgendermassen erstellt werden:
Device Manager > [Wähle die entsprechende ADOM] > Rechte Maustaste
Der entsprechende Device kann hier angewählt und hinzugefügt werden dh. markiere den/die entsprechenden Device und verschiebe die Einträge nach Rechts. Die Devices können ebenfalls später hinzugefügt werden:
Die erstellt Gruppe findet man nachträglich unter der entsprechenden ADOM:
Um einen existierenden Device (bereits vorhanden unter "All FortiGate) in diese "Device Gruppe" hinzuzufügen wähle:
Um einen -noch nicht- existierenden Device (nicht vorhanden unter "All FortiGate) in diese Device Gruppe hinzuzufügen wähle:
Was ist ein Provisioning Template (Device Profile) und wie Konfiguriere und Weise ich dieses einem Device zu?
Ein Provisioning Template (Device Profile) definiert die Grundkonfiguration eines Gerätes. Diese Grundkonfiguration resp. Profile kann einer Gruppe von Device's oder einem Device direkt zugeordnet werden (linked). Wenn ein Profile einer Gruppe oder Device hinzugefügt wird so wird die Konfiguration eines Device aus diesem Profil gespiesen und nicht aus der FortiManager Datenbank. Es existiert ein "default" Profil das benützt werden kann für eine "default" Konfiguration. Um ein Profile zu erstellen wähle folgende Position:
"Device Manager > Provisioning Templates > [Wähle die entsprechende ADOM] > System Templates > default
Diese Profiles basieren auf "Widget's" die über folgende Position ein- und ausgeblendet werden können:
Die einzelnen "Widget's" umfassen folgende Positionen:
Um ein neues Device Profil anzulegen wähle:
"Device Manager > Provisioning Templates > [Wähle die entsprechende ADOM] > System Templates > [Rechte Maustaste] > Create New
NOTE Wenn ein existierender FortiGate Device als Template dienen soll kann diese Konfiguration des Devices
über die Position "Create from Device" als neues Profile angelegt werden!
Um einen Device einem entsprechendes Profile hinzuzufügen führe folgendes durch:
NOTE Wenn eine "Device Gruppe" existiert kann diese Gruppe unter dem entsprechenden "Device Profile" ausgewählt werden. Weitere Informationen siehe: FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_eine_Device_Gruppe_und_wie_verwende_ich_diese.3F Um ein Device Profil auf einem Device zu installieren siehe Artikel: FortiManager-5.0-5.2:FAQ#Wie_installiere_ich_ein_Device_Profil_.28Provisioning_Templates.29_das_einem_Device_zugewiesen_wurde_auf_diesem_Device.3F
Was wird genau durchgeführt wenn vom DeviceManager für eine FortiGate der Installations-Prozess gestartet wird?
Wenn im FortiManager unter dem Device Manager eine Installation für einen FortiGate Device gestartet wird so wird technisch gesehen folgendes durchgeführt:
Wie installiere ich ein Device Profil (Provisioning Templates) das einem Device zugewiesen wurde auf diesem Device?
Um ein entsprechendes Device Profil auf einen Device dh. FortiGate zu installieren gehe folgendermassen vor:
Device Manager > [Wähle die Entsprechende ADOM] > Rechte Maustaste
Es erscheint ein Wizard um die Installation durchzuführen. Es kann ein "Comment" für die Installation eingegeben werden:
Datei:Fortinet-504.jpg
Wähle nun den entsprechenden Device und/oder Gruppe. In unserem Beispiel ist zB das Profile local-device-profile" zugewiesen der Gruppe "local-group":
Datei:Fortinet-505.jpg
Unter "Preview" kann eingesehen werden was durchgeführt wird als "Kommandozeilen Auszug". Ebenfalls kann dieser "Kommandozeilen Auszug" als TXT File unter "Download" runtergeladen werden:
Datei:Fortinet-506.jpg
Nun kann die entsprechende Installation auf dem Device und/oder Gruppe durchgeführt werden. Nach Abschluss kann man unter "History" die entsprechenden Einträge resp. der Verlauf der Installation einsehen:
Datei:Fortinet-507.jpg
Wie füge ich einen Device zum FortiManager hinzu?
Um einen Device (FortiGate) zu einem FortiManager hinzuzufügen muss berücksichtigt werden ob die ADOM Funktion aktiviert worden ist oder nicht und in welcher Art (advanced | normal)! Weitee Informationen zum Thema ADOM's siehe nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_eine_neue_ADOM_und_auf_was_muss_ich_dabei_achten.3F
Die empfohlen Vorgehensweise um einen Device hinzuzufügen ist einen User (Administrator) und Passwort auf dem jeweiligen Device zB FortiGate zu erstellen um diesen zu benützen den Device hinzuzufügen resp. zu Authentifizieren. Dieser User resp. Administrator wird folgendermassen auf einer FortiGate WebGui erstellt:
Datei:Fortinet-466.jpg NOTE Der User muss über "super_admin" Rechte verfügen um diesen User für die Einbindung auf einem FortiManager zu benutzen. Sofern gewünscht kann dieser User über die Funktion "Trusted Hosts" eingeschränkt werden dh. aus welchem IP Bereich/Subnet dieser Administrator sich einloggen kann. Es ist nicht zu empfehlen den "regulären" User "admin" dazu zu benützen diese Einbindung in den FortiManager durchzuführen.
Aktiviere auf dem entsprechenden Interface den "FMG-Access" dh. über dieses Interface komuniziert der Device dh. FortiGate mit dem FortiManager:
Datei:Fortinet-474.jpg
Eine Einbindung des Device kann anhand eines Requests auf dem Device resp. FortiGate durchgeführt werden oder über den FortiManager "requested" werden:
"Request von einem FortiGate Device"
Datei:Fortinet-467.jpg
NOTE In diesem Beispiel stellt die IP 192.168.140.20 die IP des FortiManagers dar!
Gehe nun auf "Send Request":
Datei:Fortinet-468.jpg
NOTE Nachdem man auf "Continue" geht wird man sofort ausgeloggt! Wenn man sich wieder einloggt
sieht man oben im Menübalken nachfolgendes Symbole was wiederum bedeutet, dass dieser Device
im Begriff ist sich im "Central Mgmt." einzubinden. Möchte man in dieser Zeit wiederum Gewalt
über die Konfiguration verschaffen, muss auf dieses Symbole angewählt werden und es erscheint
danach folgendes:
Datei:Fortinet-472.jpg
Datei:Fortinet-473.jpg
Zurück auf dem FortiManager erscheint nun folgendes:
Datei:Fortinet-469.jpg
NOTE Wähle die entsprechende ADOM unter die der Device konfiguriert werden soll (unser Beispiel "local")
sowie gebe den entsprechenden User (Administrator) und Passwort an der benutzt werden soll um den Device
einzubinden (FMG-Admin). Gehe nun auf "Apply" und es erscheint folgendes:
Datei:Fortinet-475.jpg
Solange der Device nicht korrekt eingebunden ist/wird erscheint auf der Menü Position auf der wir den "Request"
abgesetzt haben folgendes:
Datei:Fortinet-470.jpg
"Request von einem FortiManager"
Wähle im FortiManager Gui folgendes:
Device Manager > [Wähle die entsprechende ADOM] > Rechte Maustaste
Datei:Fortinet-477.jpg
Datei:Fortinet-478.jpg
NOTE Es ist zu empfehlen den "Discover Mode" zu wählen! Gebe die IP an der FortiGate sowie den erstellten
Administratoren Account mit dessem Passwort!
Datei:Fortinet-479.jpg
NOTE Wenn eine bestimmte "Device Gruppe" bereits existiert kann der zu einzubindende Device direkt
in diese Gruppe anhand der Funktion "Add to Groups" hinzugefügt werden. Dies kann jedoch auch
später durchgeführt werden! Für weitere Informationen siehe folgender Artikel:
FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_eine_Device_Gruppe_und_wie_verwende_ich_diese.3F
Datei:Fortinet-480.jpg
Datei:Fortinet-481.jpg
NOTE "Device Profiles" können erstellt werden um die Grundkonfiguration eines Gerätes durchzuführen. Wenn
kein Device Profile existiert ausser dem "default", wähle dieses "default" Profile! Profiles können
ebenfalls später erstellt und den Devices zugeordnet werden! Weitere Informationen siehe:
FortiManager-5.0-5.2:FAQ#Wie_installiere_ich_ein_Device_Profil_.28Provisioning_Templates.29_das_einem_Device_zugewiesen_wurde_auf_diesem_Device.3F
Datei:Fortinet-482.jpg
Datei:Fortinet-483.jpg
Datei:Fortinet-484.jpg
Datei:Fortinet-485.jpg
Datei:Fortinet-486.jpg
Datei:Fortinet-487.jpg
NOTE Nach der Einbindung des Devices in den FortiManager wird als Bestätigung auf dem FortiGate
Device unter "System > Admin > Settings > Central Management" ein "Registered on FortiManager"
angezeigt!
Kann ich einen Device -der noch nicht existiert- vorgängig im FortiManager für die Vorbereitung importieren/erstellen?
Ja, diese ist möglich wähle dazu im FortiManager:
Device Manager > Device & Groups > [Wähle die entsprechende ADOM] > [Rechte Maustaste] > Add Device
Nun startet ein Wizard wähle in diesem:
Add Modell Device
Gebe IP sowie Username und Passwort an. Anhand dieser Angaben wird sich der neue Device sobald er Online ist verbinden. Danach gehe durch den Wizard und der Device wird in die entsprechende ADOM importiert. Nun kann der Device mit der entsprechenden Policy, System Settings etc. vorbereitet werden. Sobald der Device Online geht und sich mit dem FortiManager Kontakt aufnimmt kann die Policy sowie Device Settings zum Device "gepushed" resp. installiert werden.
Was wird durchgeführt wenn für ein Device ein "refresh" durchgeführt wird?
Wenn im Device Manager für einen Device ein "refresh" durchgeführt wird so werden Informationen des Devices sowie FortiGate HA Cluster Informationen auf den neusten Stand gebracht:
Datei:Fortinet-511.jpg
Eine andere Möglichkeit den "refresh" durchzuführen ist im Device Manager unter dem entsprechenden Device im "Dashboard" des Devices im Abschnitt "Connection Summary > Connectivity":
Wie kann ich für einen bestimmten Device zusätzliche Konfigurationspunkte einblenden und/oder ausblenden?
Per Standard wird innerhalb des Device Managers für einen Device vers. Konfigurationspunkte angezeigt:
Möchte man nun einen bestimmten Konfigurationspunkt und/oder Thema zusätzlich einblenden oder einfach ausblenden kann dies folgendermassen durchgeführt werden:
Was bedeutet im Device Manager unter Config Status die verschiedenen Synchronisation Status?
Nach einem ausgeführten "Retrieve" einer Konfiguration eines FortiGate Devices oder nach einer durchgeführten Installation einer Konfiguration für einen FortiGate Device wird im Hintergrund eine "checksum output" mit der "revision history" im FortiManager für den FortiGate Device abgespeichert. Auf dieser "checksum" basiert der "Config Status" eines FortiGate Devices im Device Manager. Dabei habe die verschiedenen "Config Status" folgende Bedeutung:
• Unmodified Keine Aenderungen auf dem FGT Device und keine Konfigurationsaenderung für eine Installation.
• Modified Konfiguration auf der FortiManager FGT Device Datenbank hat sich geändert und ist bereit für eine
Installation der Konfiguration oder für ein Retrieve der Konfiguration des FGT Device um die FortiManager
FGT Device Datenbank Konfiguration zu überschreiben. Wenn die FortiManager FGT Device Datenbank Installiert
wird, wird eine neue "checksum output" erstellt.
• Auto-Updated Konfiguration auf dem FGT Device wurde direkt geändert und diese wurde Automatisch über die Retrieve" Funktion
in die FortiManager FGT Device Datenbank als seperate Revision geschrieben.
• Unknown Ein Device oder ein unregistrierter Device ist nicht bekannt da keine FortiManager FGT Device Datenbank Eintrag
exisitert.
• Synchronized Der letzte bekannte Revision History Eintrag (ob Retrieve oder Install) is in Sync mit der FortiGate Device
Konfiguration. Der "checksum output" wurde nach der letzten Revision History geschrieben und stimmt mit der
"checksum" des FortiGate Device überein. Wenn in diesem "Config Status" ein Refresh durchgeführt wird, wird
Realtime eine neue "checksum" durchgeführt und mit der "checksum" des FGT Device verglichen!
• Out-of-sync Der letzte bekannte Revision History Eintrag (ob Retrieve oder Install) stimmt nicht überein mit der aktuellen
Konfigurtion des FortiGate Devices. Es wurde entweder direkt auf dem FortiGate Device eine Konfigurationsänderung
durchgeführt die noch nicht über "Auto-Update" oder "Retrieve" auf dem FortiManager für den Device in dessen
Device Datenbank geschrieben wurde oder bei einer Installation einer FortiManager FGT Device Datenbank Konfiguration
wurde nach der Installation ein "verify failure" ausgeführt!
• Unknown Der FortiManager kann den "Config Status" (Synchronisation) nicht verifizieren da der FortiGate Device nicht
erreichbar ist oder bei einer Installation konnte keine Verification durchgeführt werden. Wenn die Verbindung eines
FortiGate Devices den Status "DOWN" zeigt, wird der "Config Status" des FGT Device event. falsch angezeigt da dieser
nicht korrekt verifiziert werden kann.
• Pending Auf dem FortiManager für einen FortiGate Device wurde eine Konfigurationsänderung durchgeführt jedoch die Installation
der Konfigurationsänderung für einen FortiGate Device wurde noch nicht Installiert.
• Installed Eine Installation der Konfiguration eines FGT Devices wurde korrekt ausgeführt.
• Warning Eine Installation der Konfigurations eines FGT Devices wurde nicht korrekt ausgeführt.
• Never Installed Status für einen FGT Devices nachdem er zur FortiManager Database hinzugefügt wurde.
Weitere Informationen zu diesen Stati im Device Manager siehe folgende Artikel:
FortiManager-5.0-5.2:FAQ#Der_Device_Manager_zeigt_unter_Sync_Status_.22Out-of-sync.22_an.2C_was_ist_zu_tun.3F FortiManager-5.0-5.2:FAQ#Was_bedeutet_im_Device_Manager_unter_Config_Status_.22Synchronised_by_Auto_Update.22.3F
Der Device Manager zeigt unter Sync Status "Out-of-sync" an, was ist zu tun?
Nun wenn die FortiGate modifiziert wird lokal sei es über das Mgmt. WebInterface oder über CLI so geht die Konfig gegenüber dem FortiManager der diese Aenderung -noch nicht reflektiert- "Out-of-sync". Dies wird über folgende Position angzeigt:
Device Manager > [Wähle die entsprechende ADOM] > [Wähle den entsprechende Device] > Dashboard > Configuration and Installation Status > Sync Status
Um die Konfiguration der FortiGate wiederum mit dem FortiManager Inline zu bringen kann die Konfig -sofern gewünscht- von der FortiGate "geholt" (retrieve) werden dh. dazu benützt man die Funktion "Revision History":
Anhand der "Retrieve" Funktion kann nun die Konfiguration der FortiGate in den FortiManager geholt werden:
NOTE Dieser Vorgang "Retrieve" spielt auf dem FortiManager nur die "Device Settings" ein und nicht
zB die Policy! Soll dieser Vorgang über Kommandozeile durchgeführt werden siehe nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Wie_kann_ich_die_Konfiguration_eines_Devices_auf_dem_FortiManager_.C3.BCber_die_Kommandozeile_einspielen_.28retrieve.29.3F
NOTE Durch die Details können zB die History eingesehen werden:
Was bedeutet im Device Manager unter Config Status "Synchronised by Auto Update"?
Der Status bedeutet, dass auf der FortiGate ein "System Setting" zB Interface Modifikation durchgeführt wurden. Solche Modifikationen (System Settings) werden automatisch zum FortiManager übermittelt. Der Status bedeutet ebenfalls, dass eine Aktion vom Administrator durchgeführt werden muss. Der Change wurde zwar in der Datenbank eingetragen unter:
NOTE Die Funktion des "Auto Update" kann deaktiviert werden dh. jeder Change auf der FortiGate wird nicht anhand "Auto Update" auf
den FortiManager überspielt sondern der Administrator wird aufgefordert diesen Change zu akzeptieren oder zu verwerfen. Um die
Funktion "Auto Update" zu deaktieren führe auf der Kommandozeile folgendes aus:
# config system admin settings
# set auto-update disable
# end
Device Manager > Device & Groups > [Wähle die entsprechende ADOM] > [Wähle die entsprechende FortiGate] > Configuration and Installation Status > Database Configuration
Wurde ein effektives "Auto Update" durchgeführt und dieses "Auto Update" soll verifiziert werden muss unter der folgender Position ein sogenannter "Diff" ausgeführt werden für die entsprechende Position die mit "Auto Update" markiert ist:
Device Manager > Device & Groups > [Wähle die entsprechende ADOM] > [Wähle die entsprechende FortiGate] > Configuration and Installation Status
Unter "Total Revisions > Revision History" kann nun unter [View Installation History] die gesamte Revision eingesehen werden. Dies bedeutet: Wir wählen den ersten Eintrag der die Unterschiede aufzeigt seit der letzten Revision. Diese Unterschiede sind die Aenderungen der den "Config Status" "Synchronised by Auto Update" ausgelöst hat (Als solche markiert). Und nun kann entschieden werden ob diese Aenderungen regulärer Natur sind oder ob ein "Revert" (Rollback) ausgeführt werden soll.
Wie kann ich die Konfiguration eines Devices auf dem FortiManager über die Kommandozeile einspielen (retrieve)?
Wenn ein Device auf einem FortiManager "Out-of-sync" geht und die Konfiguration des Devices im FortiManager eingespielt werden soll (exkl. Policy Package) so kann dies über das Web Mgmt. Interface des FortiManagers durchgeführt werden. Dazu siehe nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Der_Device_Manager_zeigt_unter_Sync_Status_.22Out-of-sync.22_an.2C_was_ist_zu_tun.3F
Dies kann auch über die Kommandozeile explizit für einen Device durchgeführt werden. Dazu führe folgendes aus:
Eruieren der Device OID"
# diagnose dvm device list
There are current 4 devices managed:
TYPE OID SN HA IP NAME ADOM FIRMWARE
fmg/faz enabled 1321 FAZ-VM0000013255 - 198.18.0.12 alsochlu-fortinet-faz FortiAnalyzer 5.0 MR0 (365)
|- STATUS: conn: up
fmg/faz enabled 1196 FG300C3913601712 a-p 198.18.0.1 alsochlu-sg0e0 root 5.0 MR0 (310)
|- STATUS: db: not modified; conf: in sync; cond: OK; dm: autoupdated; conn: up
HA cluster member: FG300C3913601712 (master)
HA cluster member: FG300C3913602452 (slave 0)
|- vdom:[3]root flags:1 adom:root pkg:[unknown]alsochlu-sg0e1_root
|- vdom:[101]VDOM-dmz flags:1 adom:VDOM-dmz pkg:[unknown]alsochlu-sg0e1-VDOM-dmz
|- vdom:[102]VDOM-cisco flags:0 adom:VDOM-cisco pkg:[unknown]alsochlu-sg0e1_VDOM-cisco
|- vdom:[104]VDOM-ibm flags:0 adom:VDOM-ibm pkg:[unknown]alsochlu-sg0e1_VDOM-ibm
|- vdom:[103]VDOM-hp flags:0 adom:VDOM-hp pkg:[unknown]alsochlu-sg0e1_VDOM-hp
|- vdom:[105]VDOM-wan flags:0 adom:VDOM-wan pkg:[unknown]alsochlu-sg0e1_VDOM-wan
fmg/faz enabled 1547 FGT40C3912008918 - 188.62.22.148 meyerbe-sg0e0 ADOM-meyerbe 5.0 MR0 (310)
|- STATUS: db: not modified; conf: in sync; cond: OK; dm: retrieved; conn: up
|- vdom:[3]root flags:0 adom:ADOM-meyerbe pkg:[unknown]meyerbe-sg0e0
fmg/faz enabled 1188 FGT60C3G12013754 - 82.136.123.97 schaltyv-sg0e0 ADOM-schaltyv 5.0 MR0 (310)
|- STATUS: db: not modified; conf: in sync; cond: OK; dm: autoupdated; conn: up
|- vdom:[3]root flags:0 adom:ADOM-schaltyv pkg:[unknown]schaltyv-sg0e0
---End device list---
Wenn nun die Konfig des Devices "FGT60C3G12013754" eingespielt werden soll muss dies anhand der OID -in diesem Fall- "1188" durchgeführt werden:
Importieren (retrieve) der Device Konfiguration anhand der entsprechenden Device OID"
# diagnose test deploymanager reloadconf 1188
Retriving configuration file from FGT...
Configuration file import succeeded.
Reloading configuration file...
Configuration reload succeeded.
Dieses "retrievel" wird im Gegensatz zur Web Mgmt. Methode nicht als Revision angezeigt.
Kann ich die Firmware einer FortiGate über den FortiManager auf den neusten Stand bringen?
Ein Upgrade der Firmware einer FortiGate über den FortiManager ist möglich jedoch unter den allgemeinen Berücksichtigungen die auch für ein manuelles Update gilt die da wären:
- Ueber welche Firmware verfügt die FortiGate heute?
- Was ist der Upgrade Path um auf die gewünschte Firmware zu kommen?:
FortiGate-5.0-5.2:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
- Werden die Funktionen der alten Firmeware durch die neue Firmware vollumfänglich unterstützt?:
FortiGate-5.0-5.2:FAQ#Welche_Ger.C3.A4te.2FDevices_werden_vom_neuen_FortiOS_5_unterst.C3.BCtzt_und_welche_neuen_Features_umfasst_FortiOS_5.3F
FortiGate-5.0-5.2:FAQ#Was_ist_bei_einem_Upgrade_auf_FortiOS_5_zu_ber.C3.BCcksichtigen_betreffend_bestehender_Konfiguration.3F
- Was ist betreffend der neuen Firmware zu berücksichtigen (Release Notes)?
- Wie kann ich ein bevorstehendes "bulk" Update testen?
Wenn alle Vorbereitungen durchgeführt wurden dh. inkl. bei einem "bulk" Update das Testen kann ein Firmeware Upgrade folgendermassen durchgeführt werden (Nachfolgendes Beispiel zeigt ein Cluster Update):
Wähle im FortiManager folgendes:
FortiGuard > Firmware Images
Unter "Prefered Version" wähle die entsprechende zur Verfügung stehende Firmware (Change to Version). Danach
wähle in der letzten Spalte "Download". Nun wird die "Firmeware" von FortiGuard runtergeladen auf den FortiManager.
Nach einiger Zeit steht die Firmware inkl. den "Release Notes" zur Verfügung. Nun gehe auf den Device Manager:
Device Manager > [Wähle die entsprechende ADOM] > All FortiGates > Rechte Maustaste > Firmeware Update
Dort steht nun die vorgängig runtergeladene Firmware zur Verfügung:
Wähle nun "Upgrade Now" oder einen "Schedule Upgrade"! Nun wird der Upgrade durchgeführt auf dem Slave. Danach
-sofern der Upgrade vollzogen werden konnte- wird ein Failover initiert und das Upgrade auf dem orginal Master
durchgeführt:
NOTE Es ist zu empfehlen über die "Serielle Konsole" das Upgrade mitzuverfolgen!
---------- output seriell console Slave ----------
waiting for 2 seconds ...
waiting for 2 seconds ...
waiting for 2 seconds ...
Get image from ha master OK.
Check image OK.
Please wait for system to restart.
waiting for 2 seconds ...
Firmware upgrade in progress ...
Done.
The system is going down NOW !!
Please stand by while rebooting the system.
Restarting system.
FortiGate-300C (13:30-08.13.2012)
Ver:04000022
Serial number:FG300C3913602452
RAM activation
CPU(00:00010661 afebfbff): Do MP initialization
Total RAM: 2048MB
Enabling cache...Done.
Scanning PCI bus...Done.
Allocating PCI resources...Done.
Enabling PCI resources...Done.
Zeroing IRQ settings...Done.
Verifying PIRQ tables...Done.
Boot up, boot device capacity: 30533MB.
Press any key to display configuration menu...
......
Reading boot image 1625822 bytes.
Initializing firewall...
System is starting...
SLAVE login:
---------- output seriell console Slave ----------
Nach erfolgreichen Update auf dem Slave wird sogleich der "Master" durchgeführt:
---------- output seriell console Master ----------
Firmware upgrade in progress ...
Done.
The system is going down NOW !!
Please stand by while rebooting the system.
Restarting system.
FortiGate-300C (13:30-08.13.2012)
Ver:04000022
Serial number:FG300C3913601712
RAM activation
CPU(00:00010661 afebfbff): Do MP initialization
Total RAM: 2048MB
Enabling cache...Done.
Scanning PCI bus...Done.
Allocating PCI resources...Done.
Enabling PCI resources...Done.
Zeroing IRQ settings...Done.
Verifying PIRQ tables...Done.
Boot up, boot device capacity: 30533MB.
Press any key to display configuration menu...
......
Reading boot image 1625822 bytes.
Initializing firewall...
System is starting...
MASTER login:
---------- output seriell console Master ----------
Nachdem Upgrade kann unter folgender Position die History betreffend Firmware Upgrade eingesehen werden:
Device Manager > [Wähle die entsprechende ADOM] > All FortiGates > Rechte Maustaste > Firmeware Update
NOTE Wenn von einem FortiManager Version 5.4 ein Firmwareupgrade auf eine FortiGate vorgenommen wird,
muss das FortiGate Device manuell retrieved werden.
FortiManager-5.0-5.2:FAQ#Der_Device_Manager_zeigt_unter_Sync_Status_.22Out-of-sync.22_an.2C_was_ist_zu_tun.3F
Kann ich einen FortiAnalyzer als Device in den FortiManager unter Device Manager hinzufügen?
Ab Version 5.0.6 ist dies Möglich. Der FortiAnalyzer kann unter folgender Position als Device hinzugefügt werden:
Wähle im FortiManager Gui folgendes:
Device Manager > [Wähle die "root" ADOM] > Rechte Maustaste > Add Device
Danach erscheint der Dialog indem folgendes eingegeben werden muss:
Datei:Fortinet-478.jpg NOTE Die IP 192.168.140.60 stellt in diesem Beispiel die IP des FortiAnalyzers dar. Als Username und Passwort muss ein Administrator mit SuperUser Rechten angegeben werden der ebenfalls auf dem FortiAnalyzer existiert!
Um den FortiAnlyzer korrekt einzubinden muss der FortiAnalyzer über UDP-541 erreichbar sein. Nachdem der FortiAnalyzer eingebunden ist wird dieser in eine seperate ADOM (mit dem Namen FortiAnalyzer) zur Verfügung gestellt. Der FortiAnalyzer kann nicht über den FortiManager konfiguriert werden. Der Grund wieso die Einbindung des FortiAnalyzer ermöglicht wurde ist, dass dieser nun unter den "Provisioning Templates" für die "System Templates" und dem entsprechenden Profile und unter dem Widget "Log Settings" zur Verfügung steht.
NOTE Wenn der FortiAnylzer als Device zum FortiManager hinzugefügt wird gilt Lizenztechnisch
gesehen dieser als Device dh. eine Device Lizenz wird benötigt um den FortiAnalyzer
einzubinden!
Was ist bei einem FortiGate HA Cluster im Zusammenhang mit dessen Management über einen FortiManager zu berücksichtigen?
Wenn auf einem FortiManager ein FortiGate Cluster sei es Active Passive und/oder Active Active eingebunden wird ist betreffend Status, Konfiguration usw. dieses FortiGate Clusters auf dem FortiManager folgendes zu berücksichtigen:
>> Auf einem FortiManager wird ein FortiGate Cluster als "Single" Device Konfiguriert/Managed
>> Der FortiManager erkennt/monitored den FortiGate HA Sync Status nicht des FortiGate Clusters
>> Das dezidierte HA Management Interface auf einem Node der FortiGate im HA Cluster wird vom FortiManager nicht unterstützt (Ausnahme SNMP Monitoring)
>> Die FortiGate HA Konfiguration ist auf einem FortiManager "read-only" dh. die HA Konfiguration muss über den FortiGate Master durchgeführt werden.
>> Wenn "lokale" Konfiguration auf einem FortiGate HA Cluster durchgeführt wird so wird im FortiManager kein "out-of-sync" angzeigt.
Policy
Was sind Policy und wie sind diese im Zusammenhang mit ADOMs und Devices zu verstehen?
In einer einzelnen ADOM können entsprechende Administratoren mit den entsprechenden Rechten mehrer Policy Package's erstellen. Mit FortiManager ist es möglich Policy Packages pro Device dh. FortiGate sowie VDOMs zu erstellen und dies für eine spezifizierte ADOM. Ebenfalls können existierende Policy Package kopiert und nachträglich wiederum modifiziert werden. Je nach Anwendungszeck kann so die Arbeit und die Einbindung neuer FortiGate Devices vereinfacht werden. Dabei wird Grundsätzlich zwischen folgenden Layer unterschieden:
--> Global ADOM Layer (Global Policy Packages, Global Object Database)
--> ADOM Layer (Policy Packages, Object Database)
Nachfolgende Abbildung illustrieren diese zwei Layer:
Datei:Fortinet-516.jpg
Global Policies und Objects
Global Policies und Objects funktioneren ähnlich wie eine lokale Policy und Objects. Der Unterschied
liegt darin, dass solche Policies Universal jeglicher ADOM und/oder VDOM zugeordnet werden kann. Global
Policies werden dann benutzt wenn Policies ALLEN Devicen in Art und Weise zugeordnet werden soll. In
Komplexen Umgebungen hilft dies die Komplexität so gerin wie möglich zu halten. Ein Anwendungsbeispiele
wäre zB folgendes: Wenn aus einer Zentralen Management Umgebung die FortiGates verwaltet werden und zB
SSH Zugriff auf alle FortiGate Devices aus diesen zentralen Umgebung gewährleistet werden soll, kann nun
EINE Policy erstellt werden und allen ADOM zugewiesen werden. Dies ermöglicht EINE Poliy zu erfassen/erstellen
für ALLE Devices in den ADOMs anstelle diese Policy auf ALLEN Devices seperat zu erstellen.
Wie erstelle ich ein neues Policy Package (Local Domain Policy)?
NOTE Ab FortiOS 5.0.2 wurde das Gui durch folgende Positionen erweitert:
Unter "Display Options" stehen folgende Optionen zur Verfügung die je nach Bedarf aktiviert werden können:
Die gewünschten "Display Optionen" stehen danach innerhalb der betreffenden ADOM zur Verfügung:
Als erstes muss in der Toolbar die entsprechende ADOM gewählt werden. In unserem Beispiel wäre das die ADOM "local":
Nun gibt es zwei Möglichkeiten dh. man erstellt eine neue "local" Policy direkt unter der entsprechenden ADOM zB "local" oder man erstellt aus organisatorischen
Gründen zuerst einen seperaten "Policy Folder" unter der dann die neue "local" Policy erstellt wird. Um einen neuen Folder zu erstellen wähle unter der
entsprechenden ADOM folgendes:
Nachdem erstellen des seperaten "Policy Folder" ist dieser unter der entsprechenden ADOM ersichtlich:
Um nun eine neue Policy unter dem "Policy Folder" zu erstellen wähle folgendes:
Nun kann direkt eine entsprechende Gruppe aus dem "Device Manager" gewählt werden oder einen entsprechenden Device. Dies kann nachträglich geändert werden.
Für weitere Infos siehe Artikel:
FortiManager-5.0-5.2:FAQ#Wie_weise_ich_ein_entsprechendes_Policy_Package_.28Local_Domain_Policy.29_einer_Device_Gruppe_und.2Foder_Device_zu.3F:
NOTE Weitere Informationen zur Erstellung einer Device Gruppe siehe Artikel:
FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_eine_Device_Gruppe_und_wie_verwende_ich_diese.3F
Datei:Fortinet-521.jpg
NOTE Anhand der Position "Clone Policy Package" kann eine bestehende "Policy" herangezogen
werden um diese als neue Policy zu kopieren!
Wenn kein "Policy Folder" erstellt wird kann die Policy auch direkt in der ADOM erstellt werden:
Auch hier kann nun eine entsprechende Gruppe aus dem "Device Manager" gewählt werden oder einen entsprechenden Device. Dies kann nachträglich geändert werden.
Für weitere Infos siehe Artikel:
FortiManager-5.0-5.2:FAQ#Wie_weise_ich_ein_entsprechendes_Policy_Package_.28Local_Domain_Policy.29_einer_Device_Gruppe_und.2Foder_Device_zu.3F:
Datei:Fortinet-523.jpg
Wie füge ich eine Rule hinzu zu einer Policy (Local Domain Policy)?
Um eine Rule zu einer (Local Domain Policy) hinzuzufügen gehe folgendermassen vor:
Policy & Objects > [Wähle die entsprechende ADOM] > [Wähle die entsprechende Policy] > Rechte Maustase auf der Rechten Seite
Datei:Fortinet-554.jpg
Nun kann wie gewohnt eine Rule definiert werden:
Datei:Fortinet-555.jpg
NOTE Unter Advaned Options stehen verschiedenen Einstellungen zur Verfügung die Konfiguriert werden können:
Datei:Fortinet-556.jpg
Datei:Fortinet-557.jpg
ACHTUNG Wenn eine "Global Policy" korrekt Assigned wurde siehe Artikel:
FortiManager-5.0-5.2:FAQ#Wie_weise_ich_ein_entsprechende_Global_Policy_einer_ADOM_zu.3F)
so wird -sofern eine Rule in der "Global Policy" (für Header oder Footer) existiert diese in der entsprechenden
ADOM angezeigt. Diese Abschnitte "Header" und "Footer" sind nicht aus der entsprechenden ADOM modifizierbar dh.
Modifikationen können nur über den Administrator durchgeführt werden der auf die "Global Policy" Zugriff hat:
Wie erstelle ich eine neue Global Policy (Global Domain Policy)?
Betreffend Informationen was eine Global Policy ist siehe Artikel FortiManager-5.0-5.2:FAQ#Was_sind_Policy_und_wie_sind_diese_im_Zusammenhang_mit_ADOMs_und_Devices_zu_verstehen.3F! Um eine Global Policy zu erstellen wähle zuerst in der Toolbar die entsprechende Position "Global":
Nun gibt es zwei Möglichkeiten dh. man erstellt eine neue Global Policy direkt unter "Global" oder man erstellt aus organisatorischen Gründen
zuerst einen seperaten "Folder" unter der dann die neue Global Policy erstellt wird. Um einen neuen Folder zu erstellen wähle unter der
entsprechenden ADOM folgendes:
Nachdem erstellen des seperaten "Folder's" (local-global-policy) ist dieser unter "Global" ersichtlich:
Um nun eine neue Policy unter dem "Folder" zu erstellen wähle folgendes:
Vergebe nun einen entsprechenden Namen für die neue Global Policy:
Datei:Fortinet-530.jpg
NOTE Anhand der Position "Clone Policy Package" kann eine bestehende "Global Policy" herangezogen
werden um diese als neue Policy zu kopieren!
Wenn kein "Folder" erstellt wird kann die Global Policy auch direkt unter Global erstellt werden:
Datei:Fortinet-532.jpg NOTE Anhand der Position "Clone Policy Package" kann eine bestehende "Global Policy" herangezogen werden um diese als neue Policy zu kopieren!
Wie füge ich eine Rule hinzu zu einer Global Policy (Global Domain Policy)?
Um eine Rule zu einer Global Policy hinzuzufügen führe folgendes durch:
NOTE Wie eine Global Policy erstellt wird siehe Artikel:
FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_eine_neue_Global_Policy_.28Global_Domain_Policy.29.3F
Wähle unter "Global" die entsprechende Global Policy unter der eine Rule eingefügt werden soll sowie wähle "welche Art" der Rule eingefügt
werden soll:
Datei:Fortinet-540.jpg
Nun eine Global Policy wird unterteil in drei Sektionen:
--> Header Policy
--> Local Domain Policy
--> Footer Policy
In einer Global Policy können Rules für die "Header" sowie "Footer" Policy eingefügt werden. Der Local Domain Policy Abschnitt ist für die "Local"
Policy dh. ist über die Global Policy nicht modifizierbar! Weitere Informationen betreffend "Local Domain Policy" siehe Artikel:
FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_ein_neues_Policy_Package_.28Local_Domain_Policy.29.3F
Eine "Header" Policy wird immer VOR der "Local Domain Policy" ausgeführt und eine "Footer" Policy NACH der "Local Domain Policy". Wenn unter "New" eine solche Policy erstellt wird erscheint eine neues Fenster indem die entsprechende Rule definiert werden kann
Datei:Fortinet-541.jpg
Unter "Advanced Options" können verschiedenen Optionen gesetzt werden:
Datei:Fortinet-542.jpg
Datei:Fortinet-543.jpg
Wie weise ich ein entsprechendes Policy Package (Local Domain Policy) einer Device Gruppe und/oder Device zu?
Wenn eine Policy existiert und die Devices sowie event. existierende Device Gruppen neu hinzugefügt oder gelöscht werden sollen kann dies über das entsprechende Policy Package in der entsprechenden ADOM durchgeführt werden:
Nun kann die entsprechende Aenderung durchgeführt werden.:
Datei:Fortinet-525.jpg
Wie weise ich ein entsprechende Global Policy einer ADOM zu?
Eine Global Policy kann nur einer ADOM zugewiesen werden (assign). Um eine Global Policy einer ADOM zu zuweisen wähle die entsprechende Global Policy und den Register "Assignement". Danach führe folgendes durch:
NOTE Weitere Informationen betreffend ADOM siehe Artikel:
FortiManager-5.0-5.2:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F
Datei:Fortinet-533.jpg
Nun wähle die entsprechende ADOM oder ADOMs:
Datei:Fortinet-534.jpg
Die entsprechende ADOM wurde zwar nun zugewiesen jedoch noch nicht durchgeführt dh. für die Durchführung muss die entsprechende Zeile markiert werden und danach
"Assigne Selected" ausgeführt werden oder an der ende der Zeile "assign" gewählt werden:
Datei:Fortinet-535.jpg
Nun wird die Global Policy der ADOM als Policy hinzugefügt:
Datei:Fortinet-536.jpg
Nach der Ausführung wird als Bestätigung auf der entsprechenden Zeile ein "Up To Date" angezeigt:
Datei:Fortinet-537.jpg
Um die Global Policy wieder von einer ADOM zu entfernen wähle auf der entsprechenden Zeile "unassign":
Datei:Fortinet-538.jpg
Nun geht der Status wieder auf "Pending changes...":
Datei:Fortinet-539.jpg
Was ist ein "policy consistency check" und wann soll so ein Check durchgeführt werden?
Der "policy consistency check" prüft innerhalb einer ADOM sämtliche Policy Packag nach deren Konsistenz. Der Check kann Konflikte innerhalb dieser Package erkennen und eliminieren um Fehlkonfigurationen zu verhindern. Dies erlaubt die Policies in der Grösse und Art zu optimieren was wiederum Auswirkungen auf die Datenbank hat sprich deren Grösse! Ein "policy consistency check" führt folgendes aus:
• Object Duplication: Zwei Objekte verfügen über eine identische Definition
• Object Shadowing: Ein höher priorisiertes Objekt beinhaltet bereits eine Definiton eines anderen Objekts desselben Typs
• Object Overlap: Ein Objekt überschneidet teilweise mit dessen Definition ein anderes Objekt des gleichen Typs
• Object Orphaning: Ein definiertes existierendes Objekt das nicht in Gebrauch ist
Der "policy consistency check" benützt einen Algorithmus um Policy Objekt zu evaluieren. Dies wird anhand folgender Atribute durchgeführt:
• Source und Destination Interface Policy Objekte
• Source und Destination Adress Policy Objekte
• Service und Schedule Policy Objekte
Nach Aenderungen empfiehlt es sich so einen "policy consistency check" auszuführen. Dieser wird folgendermassen im WebGui ausgeführt:
Poliy & Objects > [Wähle die entsprechende ADOM] > Rechter Mausklick
Datei:Fortinet-544.jpg
NOTE Wo der "Policy Check" ausgeführt wird resp. auf welchen Folder etc. ist relevant denn es wird nur die Policy
überprüft auf der ein "Policy Check" durchgeführt wird. In unserem Beispiel wird auf der Policy "local-group"
unter dem Folder "local-policy" eine Ueberprüfung durchgeführt!
Datei:Fortinet-545.jpg NOTE Bei Problemen ist die History relevant dh. wenn diese eingesehen werden möchte kann der Menüpunkt "View Last Policy Consistency Check Result" eingesehen werden. Dies kann Aufschluss geben ob ein Problem schon früher bestanden hat! Datei:Fortinet-548.jpg
Datei:Fortinet-546.jpg NOTE Unter "Details" sowie "History" können die Details eingesehen werden. Hier sieht man auch auf WELCHER Policy der Check durchgeführt wurde dh. in unserem Beispiel wird angezeigt: Datei:Fortinet-547.jpg
Kann ich eine Rule von einem Policy Package zu einem andere Policy Package kopieren?
Ja dies ist ab der Version 5.0.3 möglich. Benütze auf der entsprechenden Rule die rechte Maustaste und wähle "copy". Danach wähle ein anderes Policy Package und gehe an die entsprechende Position auf der die kopierte Rule eingefügt werden soll. Danach wähle "paste" mit den Zusätzen "above" oder "below".
Gibt es für Policy Package in der ADOM eine Backup Möglichkeit (Revisions)?
Wenn in einer ADOM unter "Policy & Objects" Modifikationen durchgeführt werden und nachträglich die Policy installiert wird kann man die Installation durch eine "Revision" sichern dh. die bestehende "momentante" Konfiguration/Installation der ADOM betreffend Policy wird gesichert als "Revision".
Sobald die Installation durchgelaufen ist kann die Revision resp. die Revisions über folgende Position eingesehen werden:
Es kann ebenfalls eine Revision "manuall und explizit" angelegt werden:
NOTE Jede Revision unterliegt einer "Auto Delete" Funktion. Diese kann mit einem "Lock" versehen werden
dh. diese wird "ausgenommen" von der "Auto Delete" Funktion oder wird explizit Konfiguriert sprich zB
"Delete revisions older than xy Days".
NOTE Möchte man die "Auto Delete" Funktion für jede Revision neu setzen kann dies folgendermassen durchgeführt werden:
Ebenso lassen sich natürlich Revisions wieder zurückspielen als Restore:
NOTE Wenn eine Global Policy assigned ist zur ADOM wird eine "Warnung" ausgegeben:
Nachdem "Restore" der Revision muss das Policy Package neu zum Device installiert werden!
Auf was muss bei Backup's der ADOM im Zusammenhang mit den "Revisions" geachtet werden?
Wenn innerhalb einer ADOM Konfiguration durchgeführt werden und später ein "Policy Package" installiert wird, werden im Hintergrund "ADOM Revisions" angelegt. Wie eine "ADOM Revision" erstellt wird siehe nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_Policy_Package_in_der_ADOM_eine_Backup_M.C3.B6glichkeit_.28Revisions.29.3F
Dabei ist jedoch folgendes zu beachten: Wenn eine "ADOM Revision" angelegt wird so wird kein "incremental" Backup durchgeführt sondern für die "ADOM" ein Full Backup mit allen "Objekten" und "Policies". Somit werden durch Installatione von "Policies" viele "ADOM Revisions" angelegt wächst im Hintergrund das Backup File in dem die "ADOM Revisions" als Ganzes enthalten sind. Wenn so ein "ADOM Revision" Backup File über 400 MB ist kommt es zu Problemen bei manuellen sowie automatisierten Backups da der Vorgang viele System Resourcen alloziert. Ebenfalls verlängert sich die Zeit für das Backup selber sei es manuell oder automatisiert. Per Standard werden 120 Revisions angelegt und kann zuständig dafür sein das ein Backup File für die "ADOM Revisions" anwächst. Um die "ADOM Revisions" zu konfigurieren dh. zu bestimmen was und welche Revision gelöscht werden soll dh. "auto-delete" und sofern gewünscht nach wieviel Tagen steht folgendes Kommando zur Verfügung:
# config system global
# set adom-rev-auto-delete [bydays | by-revisions | disable]
# set adom-rev-max-days [Definition der Anzahl Tage wenn "adom-rev-auto-delete bydays" aktivirt ist]
# set adom-rev-max-revisions [Gebe einen Integer an; Default 120]
# end
Es wird empfohlen "adom-rev-auto-delete" auf "by-revisions" zu setzen und somit anhand "adom-rev-max-revisions" die Anzahl "ADOM Revisions zu definieren zB "10" anstelle von Standard "120". Die "ADOM Revisions" können ebenfalls über die "ADOM Revision" Funktion manuell gelöscht werden unabhängig von der hier gezeigten Konfiguration sowie mit einem "lock" versehen werden damit diese durch die hier gezeigte Konfiguration ignoriert werden da diese mit einem entsprechenden "lock" versehen sind. Weitere Informationen dazu siehe zu Beginn erwähnten Aritkel!
Objects
Was ist der Unterschied zwischen "Global Objects" und "ADOM Objects"?
Objects werden in Datenbanken organisiert. Objects unter "Global" sowie "ADOM" sind in seperaten Datenbank organisiert dh. wenn ein Object in einer "ADOM" Datenbank erfasst wird steht dieses Object nur in dieser "ADOM" Datenbank zur Verfügung und kann mit anderen ADOMs nicht geshared werden. Das Gleiche gilt für "Global Objects" sofern es sich nicht um ein "Dynamic" Global Object handelt. Um Objects in verschiedenen ADOMs zu verwenden muss ein "Dynamic" Global Object erfasst werden denn nur so können diese "Dynamic" Objects zwischen den ADOMs geshared werden.
Wenn Objects in Policies benutzt werden und das Object selber wird nachträglich modifiziert wird die Aenderung für die Policy "sofort" abgebildet und zwar in jeglicher Policy inder dieses Object benutzt wird.
NOTE Einige Menüposition werden per Standard unter den Objects nicht angezeigt!
Um die nicht angezeigten Menüpositionen einzublenden siehe Artikel:
FortiManager-5.0-5.2:FAQ#Wie_erstelle_ich_ein_neues_Policy_Package_.28Local_Domain_Policy.29.3F
Wie erfasse ich ein "Global Object" und wie benutze ich dieses?
Nun ein "Global Object" wird unter folgender Position erfasst:
Policy & Objects > Objects
Datei:Fortinet-549.jpg
In unserem Beispiel erfassen wir ein normales Object für einen Subnet Range der unsere LAN darstellt dh. 192.168.140.0/24:
Datei:Fortinet-550.jpg
Nach der Erfassung ist dieses "Global Object" unter "Adresses" ersichtlich und wurde in der "Global Object" Database abgelegt:
Datei:Fortinet-551.jpg
Um diese "Global Object" in einer "Global Policy" zu verwenden wählt man im oberen Bereich die entsprechende "Global Policy" an und im unteren Bereich kann nur das entsprechende "Global Object" per "Drag & Drop" (Neu in FortiManager 5.0) hinzugefügt werden. Wenn nun eine Rule (New Rule) zB in den Header eingefügt wird (siehe Artikel FortiManager-5.0-5.2:FAQ#Wie_f.C3.BCge_ich_eine_Rule_hinzu_zu_einer_Global_Policy_.28Global_Domain_Policy.29.3F) kann die Source anhand unserer neu erfassten "Adresse" (Local-LAN) modifiziert werden:
Datei:Fortinet-552.jpg
Nachträglich ergiebt sich folgendes Bild:
Datei:Fortinet-553.jpg
Wenn nun die entsprechende "Global Policy" einer entsprechenden ADOM zugewiesen wurde erhalten alle Policies in dieser ADOM diese "Global Policy". Betreffend wie man eine "Global Policy" einer ADOM zuweist siehe Artikel:
FortiManager-5.0-5.2:FAQ#Wie_weise_ich_ein_entsprechende_Global_Policy_einer_ADOM_zu.3F
Wie erfasse ich ein "Dynamic" Global Object und wie benutze ich dieses?
Nun ein "Dynamic" Object ist ein Object das unter "Global" und/oder "ADOM" erfasst wird und Device zugewiesen wird sowie mit der eigenen Adresse des Devices versehen wird (Mapping). Ein "Dynamic" Object kann ebenfalls als "Dynamischer Platzhalter" für Informationen angesehen werden. Wenn zB in einer Umgebung mit mehreren FortiGate's existiert, haben diese FortiGate's alle ein "Internal-LAN". Wenn nun in der "Global Policy" (im Header) eine Rule definiert wird die es erlaubt vom "Internal-LAN" auf das Internt zuzugreifen kann dies zwar für jede FortiGate Policy benutzt werden jedoch von FortiGate zu FortiGate ändert sich der Subnet Bereich des "Internal-LAN". Genau hier kann ein "Dynamic" Object eingesetzt werden indem für jede FortiGate das gleiche "Dynamic" Object benutzt wird jedoch mit vers. Informationen resp. IP Subnet Definitionen. Nachfolgend gemäss den hier beschriebenen ein Beispiel solch einer Konfiguration:
NOTE Die Erstellung eines "Dynamic" Object's für eine ADOM wird genau gleich durchgeführt und beinhaltet dieselbe
Logik. Es ist jedoch zu empfehlen diese Objekte wie die der "Global Polcy" speziell zu kennzeichnen (d = Dynamic)
Als Erstes erstellen wir unter "Global" das entsprechende "Dynamic" Object:
Datei:Fortinet-560.jpg
Nenne das Object "gInternal-LAN" (g = Global). Wichtig dabei ist das man das System der Namensnennung durchzieht um den
Ueberblick zu behalten. Zusätzlich kann noch mit den Farben gearbeitet werden. Als IP gibt man eine Fake IP ein jedoch
nicht 0.0.0.0/0.0.0.0 da diese IP für "all" steht:
Datei:Fortinet-561.jpg
Datei:Fortinet-562.jpg
Als nächstes erstellen wir eine Rule in der "Global Policy" im "Header" Bereich die das "Dynamic" Object beinhaltet:
Datei:Fortinet-563.jpg
Datei:Fortinet-564.jpg
Datei:Fortinet-565.jpg
Als nächsten Schritt vergewissere Dich das diese "Global Policy" der richtigen ADOM zugewiesen worden ist und schreibe die
Aenderungen in die entsprechende ADOM (in unserem Beispiel "local"):
Datei:Fortinet-566.jpg
Datei:Fortinet-567.jpg
Datei:Fortinet-568.jpg
Nun kontrolliere ob die Aenderungen in der entsprechenden ADOM (in unserem Beispiel "local") ersichtlich sind:
Datei:Fortinet-569.jpg
NOTE Achte auf die Adresse die angezeigt wird im "Header" der "Global Policy" (1.1.1.1/255.255.255.255)
Nun "Mappe" das Dynamische Objekt zum entsprechenden Device. Wähle dazu im "Device Manager" den entsprechenden Device unter
der entsprechenden Gruppe. Danach wähle "Dynamic Objects" und erstelle das "Mapping":
Datei:Fortinet-570.jpg
Datei:Fortinet-571.jpg
Datei:Fortinet-572.jpg NOTE Gebe nun unter "Dynamic Adress" das "Global Object" an das wir erstellt haben "gInternal-LAN"! Nun kann unter IP Range/Subnet der IP Range angegeben werden der benutzt wird durch den Device im Internal LAN Bereich!
Wenn man nun zurück unter "Policy & Objects" unter der entsprechenden ADOM sowie Policy das Ganze ansieht erkennt man, dass
nun das "Global Object" nicht mehr als dieses angezeigt wird dh. mit 1.1.1.1/255.255.255.255 sonderm als "Dynamic Object":
Datei:Fortinet-573.jpg
Wenn man im unteren Bereich unter "Objects > Firewall Objects > Address" folgendes ausführt sieht man das "Mapping" ebenfalls:
Datei:Fortinet-574.jpg
Datei:Fortinet-575.jpg
Es kann ebenfalls nach der Verwendung des Objects gesucht werden:
Datei:Fortinet-576.jpg
Datei:Fortinet-577.jpg
User
Wo kann ich das Passwort des SuperAdmin (admin) ändern?
Per Standard existiert auf dem FortiManager ein SuperAdmin mit dem Username "admin". Diesem SuperAdmin wurde per Standard KEIN Passwort gesetzt. Wenn dieses neu gesetzt sowie modifiziert werden möchte kann dies unter folgender Position durchgeführt werden:
System Settings > General > Dashboard > System Information > Current Administrators
Datei:Fortinet-581.jpg
Das Passwort kann ebenfalls für den SuperAdmin und für alle anderen Administratoren unter folgender Position modifiziert/konfiguriert werden:
System Settings > Admin > Administrators
Datei:Fortinet-582.jpg
Wo kann ich für die Administratoren ein entsprechendens "Access" Profile erstellen?
Wenn ein Administrator erfasst wird sei es als "lokaler" User sowie Radius oder LDAP User muss diesem ein entsprechendes Profile hinzugefügt werden. Dies bedeutet: Dieses Profile steuert die entsprechenden Rechte des Adminstrators. Per Standard existieren auf einem FortiManager/FortiAnalyzer folgende Profiles:
Restricted_User
Standard_User
Super_User
Read_only
Unter folgenden Punkt können diese Standard Profiles eingesehen werden sowie neue erstellt werden:
System Settings > Admin > Profile
Im Zusammenhang mit den "Access" Profiles dh. um differenzierte Rechte für Devices Access zu erstellen, stehen ebenfalls die ADOM Funktionalitäten. Weitere Informationen betreffend ADOM Funktionalität siehe auch nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F
Zu den im Mgmt. Interface ersichtlichen Punkte stehen einige Konfigurationen zusätzlich auf der Kommandozeile zur Verfügung die noch eine granularere Konfiguration ermöglichen:
# config system admin profile
# edit [Name des Profiles]
# set adom-policy-packages [none | read | read-write]
# set adom-switch [none | read | read-write]
# set app-filter [enable | disable]
# set assignment [none | read | read-write]
# set change-password [enable | disable]
# set config-retrieve [none | read | read-write]
# set consistency-check [none | read | read-write]
# set deploy-management [none | read | read-write]
# set description <string>
# set device-config [none | read | read-write]
# set device-manager [none | read | read-write]
# set device-op [none | read | read-write]
# set device-profile [none | read | read-write]
# set event-management [none | read | read-write]
# set fgd_center [none | read | read-write]
# set global-policy-packages [none | read | read-write]
# set ips-filter [enable | disable]
# set log-viewer [none | read | read-write]
# set policy-objects [none | read | read-write]
# set read-passwd [none | read | read-write]
# set realtime-monitor [none | read | read-write]
# set report-viewer [none | read | read-write]
# set scope (Not Applicable)
# set system-setting [none | read | read-write]
# set term-access [none | read | read-write]
# set type [restricted | system]
# set vpn-manager [none | read | read-write]
# set web-filter [enable | disable]
# set workflow-approve [none | read | read-write]
# end
Wie kann ich erlauben das ein lokaler Administrator sein vergebenes Passwort ändern kann?
Per Standard ist es nicht möglich das ein Administrator der lokal erfasst wurde auf dem FortiManager/FortiAnalyzer sein Passwort selber ändern kann. Ab FortiManager sowie FortiAnalyzer 5.2 ist dies jedoch möglich. Damit das ermöglicht wird muss ein entsprechendes Profile konfiguriert werden sowie der lokale Adminstrator dh. Im Access Profile selber muss die Funktion aktiviert werden damit diese Funktion zur Verfügung steht (Per Standard deaktiviert). Danach kann granular für jeden Adminstrator dies konfiguriert werden. Somit muss als Ausgangslage in erster Stelle ein entsprechendes Profile erstellt werden oder ein bestehndes konfiguriert werden damit das ändern eines Passwortes für einen Administrator ermöglicht wird. Wie ein Profile erfasst/konfiguriert wird siehe nachfolgenden Artikel:
FortiManager-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_die_Administratoren_ein_entsprechendens_.22Access.22_Profile_erstellen.3F
Danach muss folgende Option im Profile konfiguriert werden:
# config system admin profile
# edit [Name des Profiles]
# set change-password enable
# end
NOTE Wird ein "Read-Only" Profile erstellt kann die Option "change-password" nicht benutzt werden dh. diese Option steht
auch im per standard existierenden Profile "Read-Only" nicht zur verfügung!
Ueber Mgmt. Interface muss nun dem entsprechenden Adminstrator dieses Profile zugewiesen werden über folgende Position:
System Settings > Admin > Administrator > [Wähle den entsprechenden Administrator] > Admin Profile > [Wähle das entsprechende Profile]
Danach kann das ändern des Passwortes für den entsprechenden Administrator über Kommandozeile aktiviert werden:
# config system admin user
# edit [Name des Administrators]
# set change-password enable
# end
Sobald der entsprechende Administrator sich einloggt steht diesem im oberen linken Bereich ein neues Icon zur Verfügung im Form eines "Schlosses". Ueber diese Position kann nun der entsprechende Administrator sein Passwort ändern!
Wenn das SuperAdmin Passwort nicht mehr bekannt ist wo kann ich dieses zurücksetzen/neu setzen?
Als Grundvorraussetzung muss die Serien Nummer des FortiManages bekannt sein denn diese wird benötigt um sich als User maintainer einzuloggen:
-> Erstelle eine Serielle Console.
-> Schalte den Device aus und ein oder starte diesen neu.
-> Sobald der Login erscheint gebe ein:
User = maintainer
Password = bcpbFMG-[Serien Nummer]
Welcome!
# config system admin user
# edit admin
# set password [Neues Passwort]
# end
Wo kann ich das Timeout des Administrators konfigurieren?
Das Timeout des Administrators (Idle) ist Global konfigurierbar dh. es kann nur für alle Administratoren gesetzt werden und nicht auf den einzelnen Administrator. Dieses Timeout kann unter folgender Position im WebGui gesetzt werden:
System Settings > Admin > Admin Settings > Idle Timeout
Wo sehe ich welche Administratoren momentan im FortiManager eingeloggt sind?
Unter folgender Position bekommt man eine Uebersicht der Administratoren die momentan im FortiManager eingeloggt sind:
System Settings > General > Dashboard > System Information > Current Administrators
Datei:Fortinet-583.jpg
Datei:Fortinet-584.jpg NOTE Wenn ein "Administrator" markiert wird kann man die entsprechende Session des Administrators beenden. (kick off). Dabei wird die Session des Administrators sofort beendet. Alle ungesicherten Konfigurationen des Administrators dessen Session beendet wird gehen verloren!
Wie kann ich für einen FortiManager Administratoren basierend auf "ActiveDirectory" sowie Gruppen Zugehörigkeit konfigurieren?
Wenn man für die Authentifizierung der Administratoren ein "ActiveDirectory" einbinden möchte ist dies ohne grossen Aufwand möglich. Innerhalb dieser Konfiguration ist es möglich direkt eine bestimmte "Gruppe im ActiveDirectory" zu konfigurieren in der die Administratoren verwalten werden die auf den FortiManager Zugriff erhalten. Dabei ist jedoch zu berücksichtigen das innerhalb dieser Gruppe - für verschiedene User - es nicht möglich ist verschiedenen "Access Profiles" sowie "VDom" zu konfigurieren. Dies bedeutet: Wird für ein ActiveDirectory eine Gruppe definiert kann innerhalb dieser Gruppe nur ein "Access Profile" sowie "ADOM/s" zugewiesen werden. Möchte man eine zweite Gruppe mit underschiedlicher Zuweisung konfigurieren muss erneut ein neuer Eintrag für dieses ActiveDirectory mit der neuen Gruppen konfiguriert werden in der die neue Zuweisung von "Access Profile" sowie "ADOM/s" durchgeführt werden kann. Um das ActiveDirectory mit der entsprechenden Gruppe zu konfigurieren führe folgendes durch:
In diesem Beispiel wird von folgenden Komponenten/Informationen ausgegangen:
- ActiveDirectory Controller IP 10.0.0.1
- Domaine also.com
- OU "RemoteAdmins" entält die Gruppe "fmgAdmins" sowie "fazAdmins"
- Administrator Account für Gruppe "fmgAdmins" sowie "fazAdmins" ist "LDAPservice"
- Administrator Account "LDAPservice" verfügt über Domain Admin Rechte sowie "never expiring password"
- Administrator Account "LDAPservice" wird benützt um auf das ActiveDirectory zu verbinden
# config system admin ldap
# edit [Name des Eintrages für das ActiveDirectory zB "LDAP"]
# set server "10.0.0.1"
# set secondary-server "0.0.0.0"
# set port 389
# set cnid "sAMAccountName"
# set dn "DC=also,DC=com"
# set type regular
# set username "CN=LDAPservice,OU=RemoteAdmins,DC=also,DC=com"
# set password [Password des Service Account "LDAPservice"]
# set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
# set group CN=fmgAdmins,OU=RemoteAdmins,DC=also,DC=com
# set filter (&(objectcategory=group)(member=*))
# next
# end
Nun muss für alle User in der Gruppe "fmgAdmins" sowie "fazAdmins" ein user erfasst werden der als "wildcard" benutzt wird resp. alle User darstellt in "fmgAdmins" sowie "fazAdmins":
# config system admin user
# edit "RemoteAdmins"
# set profileid "Super_User"
# set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
# set policy-package [Definiert folgendes: [ <adom name>: <policy package id> | <adom policy folder name>/<package name> | all_policy_packages]
# set user_type ldap
# set ldap-server "AD1"
# set wildcard enable
# next
# end
Backup/Restore
Wie führe ich auf einem FortiManager für eine FortiGate einen "revert" durch?
Der FortiManager unterstützt in Details die Funktion Revision History. Wenn ein sogenannter "revert" (Revision History Restore) kommt muss folgendes berücksichtigt werden:
Der "revert" selber wird nicht direkt auf dem Device installiert sondern in die Device Level Database.
Auch von der "Device Level Database" kann der "revert" nicht direkt auf den Device installiert werden.
Zuerst muss der "revert" der sich in der "Device Level Database" befindet in die entsprechende ADOM als
Policy importiert werden. Nun wird der "revert" in der ADOM sowie in der "Device Level Database"
gleichermassen wiederspiegelt und kann anhand der Funktion "Install Policy Package & Device Settings" aus
der ADOM auf den FortiGate Device installiert werden! Diesem Umstand ist Rechnung zu tragen um einen
erfolgreichen "revert" durchzuführen!
Nachfolgend die einzelnen Schritte wie ein "revert" durchgeführt wird:
1. Wähle die "Revision History" um den "revert" zu bestimmen und zu wählen:
Device Manager > [Wähle die entsprechende ADOM] > [Wähle den entsprechende Device] > Dashboard > Configuration and Installation Status > Revision History
2. In der Auflistung wähle den entsprechenden Eintrag der als "revert" Punkt bestimmt wird (revert Icon Rechts am ende der Zeile)
3. Sobald der entsprechende Eintrag gewählt wurde wird die Information in die "Device Level Database" geschrieben. Die entsprechende
Zeile wird in der "Revision History" als "reverted" angezeigt!
NOTE Wenn jetzt ein "Install" durchgeführt würde Reflektiert die momentane Policy nicht den "revert" Stand sondern
nur die "Global Level Parameter"!
4. Nun importieren wir die Policy die den "revert" Reflektiert und momentan in der "Device Level Database" in die entsprechende ADOM
zum dazugehörigen Device. Wähle dazu:
Device Manager > Device & Groups > [Wähle die entsprechende ADOM] > [Wähle die entsprechende FortiGate] > Rechte Maustaste > Import Policy
5. Nach dem erfolgreichen Import wird unter "Policy & Objects" unter der entsprechenden ADOM ein neues Policy Package angezeigt
das nun den "revert" Reflektiert!
6. Nun kann das Policy Package auf dem FortiGate Device installiert werden dh. wähle dazu:
Device Manager > Device & Groups > [Wähle die entsprechende ADOM] > [Wähle die entsprechende Device Gruppe oder FortiGate] > Rechte Maustaste > Install
--> Wähle "Install Policy Package & Device Settings"
7. Kontrolliere ob der "revert" erfolgreich durchgeführt wurde indem auf dem FortiGate Device ein kurze Kontrolle stattfindet!
Gibt es für Policy Package eine Backup Möglichkeit sowie eine Revision Control?
Diese Möglichkeit gibt es dh. für nähere Informationen siehe folgender Artikel:
FortiManager-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_Policy_Package_in_der_ADOM_eine_Backup_M.C3.B6glichkeit_.28Revisions.29.3F
Wo und wie kann ich ein Backup des FortiManagers durchführen?
Ein Backup des FortiManagers kann über folgende Position im WebGui durchgeführt werden:
System Settings > General > Dashboard > System Information > System Configuration
Datei:Fortinet-585.jpg
NOTE Anhand des Menüpunkts "System Checkpoint" kann eine "Revision" betreffend Konfiguration des FortiManaers erstellt werden.
Wenn dieser Punkt ausgeführt wird kann eine kurze Beschreibung der "Revision" eingegeben werden und der "System Checkpoint"
wird danach erstellt. Je nach Grösse der Installation (Anzahl FGT Device) kann so ein "System Checkpoint" einige Minuten
in Anspruch nehmen. Wenn die "Revision" wiederhergestellt werden soll kann diese unter "System Checkpoint" angewählt werden
und anhand der Position "Revert" wiederhergestellt werden!
Datei:Fortinet-586.jpg NOTE Das Backup kann anhand einer Verschlüsselung (Passwort) geschützt werden. Geht das Passwort verloren gibt es keine Möglichkeit mehr das entsprechende Backup wieder herzustellen! Das Backup wird anhand eines .dat Files abgelegt! Das Backup über das Web Mgmt. Interface enthält nicht alle Informationen wie zB Logs und Report sowie deren Konfiguration. Weitere Informationen siehe nachfolgenden Artikel: FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_CLI_eine_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F
Wo und wie kann ich ein Restore des FortiManagers durchführen?
Ein Restore des FortiManagers kann über folgende Position im WebGui durchgefürht werden:
System Settings > General > Dashboard > System Information > System Configuration > Restore
NOTE Ein Restore auf einem FortiManager kann nicht durchgeführt werden wenn auf dem FortiManager eine existierende Konfiguration
enthält dh. ein Restore auf einem FortiManager wird nur dann unterstützt wenn dieser im "Factory Reset" Stand ist dh. mit
keiner existierender Konfiguration.
Dabei ist zu berücksichtigen, dass ein Restore nur bei gleicher Firmware wie das Backup erstellt wurde durchgeführt werden kann. Wenn ein Restore auf einem FortiManager durchgeführt wird für eine komplette Wiederherstellung (Disaster Scenario) des FortiManagers müssen folgende Punkte beachtet werden:
- Installiere den FortiManager anhand der Firmware (FortiOS) Version basierend auf dem vorhandenen Backup das für den Restore verwendet werden soll.
- Führe die Grundkonfiguration durch für das Netzwerk des FortiManagers resp. damit der Zugriff auf den FortiManager gewährleistet ist.
- Bevor ein Restore durchgeführt wird setze den FortiManager in den "factory reset state" was wiederum bedeuet:
führe auf der CLI folgendes Kommando durch:
# execute reset all-settings
# execute format [disk-ext4 | disk]
NOTE Nach beiden Kommandos wird ein Neustart des FortiManagers ausgeführt! Nachdem beide Kommandos abgesetzt wurden sowie
die Neustarts, kann über die oben erwähnte Position ein Restore durchgeführt werden. Berücksichtige, dass wenn der FortiManager
mit den Funktionen des FortiAnalyzer benutzt wird die Logs nicht mit einem Restore wiederhegestellt werden. Es ist empfohlen
nach dem ordentlichen Restore abermals die Diks mit folgen Kommando zu Formatieren:
# execute format [disk-ext4 | disk]
Weitere Informationen wie die Logs für einen FortiManager analog FortiAnalyzer wiederhergestellt werden siehe nachfolgenden
Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_CLI_eine_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F
Wie kann ich von einer FortiManager Konfiguration die System Konfig (system.conf) aus einem Backup File extrahieren?
Wenn auf einem FortiManager ein Backup durchgeführt wird sei es automatisiert oder manuell dann wird ein File erstellt in folgender Form:
"SYS_FMG-VM0000000001_FortiManager-VM_20121205_1346.dat"
Dieses File enthält nur System spezifische Informationen/Konfigurationen. Ebenfalls enhält das Backup File das Konfigurations File "system.conf". In diesem Konfigurations File sind in "clear-text" System spezifische Konfigurationen enthalten. Um dieses File "system.conf" aus dem Backup Fiel zu extrahieren siehe nachfolgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_ein_Backup_eines_FortiAnalyzers_herstellen_sowie_einen_Restore_durchf.C3.BChren.3F
Wie kann ich über CLI eine Backup der FortiManager Konfiguration durchführen?
Grundsätzlich kann über WebInterface ein Backup durchgeführt werden dh.:
System Settings > General > Dashboard > System Information > System Configuration
Möchte man jedoch über CLI ein Backup durchführen kann dies über folgende Protokolle durchgeführt werden:
FTP / SFTP
SCP
Folgende Kommandos müssen benutzt werden:
# execute backup all-settings [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Starting backup all settings in background, Please wait.
Starting transfer the backup file to FTP server...
Backup all settings...Ok.
oder
# execute backup all-settings scp [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [SSH Zertifikat] [Cryptpasswort]
Wenn eine VMware Installation benützt wird dh. eine Virtualisierung eines FortiManager ist die Snapshot Variante die bevorzugte resp. empfohlen Variante um ein Backup durchzuführen. Desweiteren ist zu berücksichtigen das durch das Kommando "execute backup all-settings" nur die folgenden Informationen gesichert werden:
Wenn ein Backup durch einen Administrator für eine spezifizierte VDOM durchgeführt wird so enthält das Backup folgende
Informationen: "Global Settings, Settings für spezifizierte VDOM"
Wenn ein Backup durch den "regulären" Administrator durchgeführt wird so enthält das Backup folgende Informationen:
"Global Settings, Settings für alle VDOM"
Ebenfalls sind Logs sowie Reports und Report Konfigurationen nicht im "execute backup all-settings" enthalten. Weitere Informationen wie diese Informationen gesichert werden siehe nachfolgenden Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_CLI_eine_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F
Kann ich ein Backup für einen FortiManager automatisieren?
Ja, dies ist ab Version 5.0.5 möglich und steht über die Kommandozeile zur Verfügung:
# config system backup all-settings
# set status [enable | disable]
# set server [IPv4 Adresse des Servers oder FQDN]
# set user [Username]
# set passwd [Password]
# set directory [Name des Verzeichnis auf Zielserver in Form "/[Name des Verzeichnis]
# set week_days [Wochentag für die Ausführung "monday tuesday wednesday thursday friday saturday sunday"]
# set time [hh:mm:ss]
# set protocol [Protokoll Angabe "ftp | scp | sftp"]
# set cert [SSH Zertifikat String für "scp"]
# set crptpasswd [Optionales Passwort]
# end
NOTE Berücksichtige das in diesem Backup "all-settings" nicht alle Informationen eines FortiManagers enthalten sind dh.
es werden keine Logs sowie Reports und deren Konfigurationen berücksichtigt. Weitere Informationen dazu siehe
nachfolgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_CLI_eine_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F
Wie tausche ich bei einem Defekt einer FortiGate diese im FortiManager aus?
Ausgehend davon, dass eine FortiGate im FortiManager ordnungsgemäss im Konfigurationsmodus eingebunden ist, stellt sich die Frage "Was ist zu tun" wenn eine FortiGate anlässlich eines Defekts ausgetauscht werden muss. Wenn eine FortiGate im FortiManager eingebunden wird so geschieht dies anhand Ihrer Serien Nummer. Dieses Serien Nummer ist Basis um den FortiGate Device eindeutig zu identifizieren. Unter Version 4.3 war diese Registrierungs "Optional" dh. die Registration einer FortiGate wurde nur anhand der Serien Nummer durchgeführt wenn diese Option ebenfalls aktiviert wurde (set verify_serial_number enable | disable). Nachfolgend die Informationen wie ein "Replacement" unter Version FortiManager 4.3 vorzugehen ist:
Unter FortiManager 5 ist diese Möglichkeit der Option nicht mehr vorhanden sondern ist per Default gesetzt und kann ebenfalls nicht deaktiviert werden. Somit vereinfacht sich der Prozess eines "Replacement's". Nachfolgend die Prozedur die anzuwenden ist um ein "Replacement" durchzuführen unter FortiManager 5:
FortiGate Device Defekt [Serien Nummer]
FortiGate Device Austausch [Serien Nummer]
• Als Erstes muss eine RMA durchgeführt werden! Weitere Informationen siehe Artikel:
FortiGate-5.0-5.2:FAQ#Wie_f.C3.BChre_ich_f.C3.BCr_ein_Fortinet_Hardware_eine_RMA_durch.3F
• Sobald der Device eintrifft konfiguriere den neuen Device (RMA / Austausch Device) folgendermassen:
Lade auf dem Austauschgerät die entsprechende Firmware dh. die gleiche Firmware wie auf dem defekten Device:
FortiGate-5.0-5.2:FAQ#Ist_es_m.C3.B6glich_ein_Firmware_Wiederherstellung_durchzuf.C3.BChren.3F
Verififziere die neue Serien Nummer:
# get system status | grep Serial
Konfiguriere das "externe" Interface (sofern über dieses der FortiManager Zugriff erlangt) so, dass es die alte
Konfiguration (IP) des defekten Device wiederspiegelt. Bei einer statischen IP wäre dies zB:
# config system interface
# edit [Gebe das entsprechende Interface an zB "wan1"]
# set ip [IPv4 Adresse mit Subnet zB xxx.xxx.xxx.xxx/xx]
# set allowaccess [Aktiviere das Interface für FortiManager Mgmt. "fgfm"]
# end
NOTE Es "MUSS" https auf dem externen Interface (fgfm aktiviert) aktiviert werden. Der Grund ist dahingehend, dass sobald
in den nächsten Schritten der "Mgmt. Tunnel" neu initiert wird, über https die SSL basierende Mgmt. Verschlüsselung
etabliert wird. Bei der Initierung der "Mgmt. Tunnel's" wird wie gewohnt der Port TCP-541 requested und ein "syn"
gesendet. Ist der Port für HTTPS auf dem externen Interface nicht aktiviert kann über den HTTPS Port intern die
Verschlüsselung nicht etabliert werden!
Setze sofern nötig den Default Gateway für das externe Interface:
# config router static
# edit 1
# set device [Gebe das entsprechende Interface an zB "wan1"]
# set gateway [IPv4 Adresse mit Subnet zB xxx.xxx.xxx.xxx]
# end
Konfiguriere für die FortiGate das Central Management (FortiManager) mit dessen IP sowie dessen Username und
Passwort:
# config system central-management
# set fmg [IPv4 Adresse mit Subnet zB xxx.xxx.xxx.xxx]
# end
# config system admin
# edit [Name des Administrators der benützt wird für FortiManager Login]
# set accprofile "super_admin"
# set vdom "root"
# set password [Passwort]
# end
NOTE Auf dem "defekten" Device wurde ein Administrator definiert (kann auch der Standard Administrator "admin" sein)
mit dessen Passwort der dazu benützt wurde um die FortiGate auf dem FortiManager einzubinden. Diese Informationen
müssen für das Austauschgerät identisch gesetzt werden um ein erfolgreiches "Replacement" durchzuführen! Ist das
betreffende Passwort des "alten defekten" Devices nicht mehr bekannt kann dieses auf dem FortiManager geändert
werden anhand folgenden Befehls:
# execute device replace pw [Gebe den entsprechenden Namen des Device an gemäss FortiManager]
This operation will clear the password of the device.
Do you want to continue? (y/n)y
• Nun bevor wir nun die FortiGate Online bringen muss auf dem FortiManager die alte Serien Nummer des defekten Device mit der
neuen Serien Nummer des "Austauschgerätes" ersetzt werden. Mit folgenden Befehl kann die Information des "defekten" Device
resp. dessen Namen sowie deren Serien Nummer eruiert werden um nachträglich diese Serien Nummer zu ersetzen:
# diagnose dvm device list
• Eruiere in der Device Liste den korrekten Device Namen und führe um die Serien Nummer zu ersetzen folgendes durch:
# execute device replace sn [Device Name] [Neue Serien Nummer des Austauschgerätes]
• Verifiziere in der Device Liste ob das "Replacement" der Serien Nummer erfolgreich war:
# diagnose dvm device list
• Da die alte Serien Nummer des FortiGate Devices ersetzt/ausgetauscht wurde mit der neuen Serien Nummer muss der Mgmt. Tunnel
neu gestartet werden:
# execute fgfm reclaim-dev-tunnel
• Nun verbinde die FortiGate mit dessen konfigurierten Interface damit diese über dieses Interface den FortiManager erreichen
kann. Die FortiGate nimmt mit dem von uns konfigurierten Interface sowie mit dem durch uns definierten Administrator Username
und Passwort mit dem FortiManager kontakt auf. Nach einiger Zeit erscheint der Device im FortiManager "Device Manager" unter
"Connectivity" als UP jedoch unter "Config Status" als "Out of Sync":
Nun kann im FortiManager über "Policy & Objects" die entsprechende Policy über "install" konfiguriert werden:
Policy & Objects > [Wähle die entsprechende ADOM] > [Wähle die entsprechende Policy]
HA (High Availibility)
Benötige ich für einen FortiManager Cluster seperate Lizenzen für jeden Node im Cluster?
Korrekt, jeder Node der im FortiManager Cluster Verbund Mitglied ist muss seperate voll lizensiert werden. Es werden durch Fortinet offiziell keine Cluster Konditionen gewährt (50% auf den Standby Node). Weitere Informationen betreffend Fortinet Cluster Konditionen siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_Cluster_.28Hardware_und.2Foder_Virtuell.29_Spezielle_Konditionen_bei_Fortinet.3F
Ist es möglich einen FortiManager im HA Mode aufzusetzen/zu betreiben?
Ja dies ist möglich und funktioniert folgendermassen:
NOTE In einem FortiManager Cluster Verbund sind max. 5 Devices möglich! Die Komunikation die benutzt wird für
für die Komunikation innerhalb des Clusters ist "SSL over TCP Port 5199". Desweiteren basiert ein FortiManager
Cluster im "Active-Passive" Modus dh. ein Active-Active" Modus ist nicht möglich. Der einzige Service der als
"Active-Active" funktioniert innerhalb eines FortiManager Cluster ist der "FDS" (Fortinet Distributed Service)
Service welche die FortiGuard Informationen für eine FortiGate auf dem FortiManager zur Verfügung stellt. Weitere
Informationen dazu siehe nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Wenn_der_.22FortiGuard_Service.22_vom_FortiManager_bereitgestellt_werden_wie_sieht_die_Kommunkation_aus.3F
1. Führe ein Setup durch für eine FortiManager am Standort "A" (Hostname Beispiel FMG-01-Master / IP 192.168.1.10)
2. Führe ein Setup durch für eine FortiManager am Standort "B" (Hostname Beispiel FMG-02-SLAVE / IP 192.168.2.10)
3. Führe auf dem FMG-01-MASTER die gesamte Grundkonfiguration durch!
4. Führe auf dem FMG-01-MASTER die HA Konfiguration durch dh:
System Settings > HA > Operation Mode > Master
Peer IP = IP des Slave's resp. 192.168.2.10 (FMG-02-SLAVE)
Peer SN = Serial Nummer des Slaves FMG-02-SLAVE (System Settings > Dashboard > System Information > Serial Number)
NOTE Wenn mehrer "Slave's" im Verbund hinzugefügt werden müssen kann dies über das "+"
Symbol Rechts neben der "Peer SN" durchgeführt werden! Die Konfiguration kann ebenfalls
CLI durchgeführt werden:
# config system ha
# set mode [Definiere den Mode dh. "master" oder "slave"]
# set password [Definiere das "Group" Passwort]
# set clusterid [Definiere die Cluster ID]
# config peer
# edit 1
# set ip [Setze die IPv4 Adresse für den Peer dh. des "master" oder "slave"]
# set serial-number [Gebe die Serien Nummer des FMG referenzierend auf die entsprechende IPv4 Adresse]
# next
# edit 2
# set ip [Setze die IPv4 Adresse für den Peer dh. des "master" oder "slave"]
# set serial-number [Gebe die Serien Nummer des FMG referenzierend auf die entsprechende IPv4 Adresse]
# next
# edit 3
# set ip [Setze die IPv4 Adresse für den Peer dh. des "master" oder "slave"]
# set serial-number [Gebe die Serien Nummer des FMG referenzierend auf die entsprechende IPv4 Adresse]
# next
# end
Cluster ID = Vergebe eine ID zB "5" (Für jeden FMG Cluster Verbund muss sich die ID unterscheiden)
Group Password = Vergebe ein "Password" für den Cluster Verbund resp. der ID (Für jeden FMG Cluster Verbund muss sich das Passwort unterscheiden)
Heartbeat Interval = 5 Sekunden
Failover Threshold = 3
5. Sobal der Master FMG-01-MASTER 192.168.1.10 als HA Master konfiguriert wurde definiere FMG-02-SLAVE als "Slave":
Peer IP = IP des Master's resp. 192.168.1.10 (FMG-01-MASTER)
Peer SN = Serial Nummer des Masters FMG-01-MASTER (System Settings > Dashboard > System Information > Serial Number)
Cluster ID = ID die auf dem Master definiert wurde!
Group Password = Password das auf dem Master definiert wurde!
Heartbeat Interval = 5 Sekunden
Failover Threshold = 3
6. Erstelle nun über die FortiGate eine Request zum FortiManager um den Device hinzuzufügen (Incoming) oder füge den Device
über den FortiManager und über den Device Manager hinzu (Outgoing). Weitere Informationen dazu siehe:
FortiManager-5.0-5.2:FAQ#Wie_f.C3.BCge_ich_einen_Device_zum_FortiManager_hinzu.3F
7. Nachdem hinzufügen des Devices kontrolliere ob "beide" FortiManager unter "central-managent" eingetragen wurden sowie die IP des Masters:
# config system central-management
# get
# mode : normal
# type : fortimanager
# schedule-config-restore: enable
# schedule-script-restore: enable
# allow-push-configuration: enable
# allow-pushd-firmware: enable
# allow-remote-firmware-upgrade: enable
# allow-monitor : enable
# fortimanager-fds-override: disable
# serial-number : "[Serien Nummer des Masters]" "[Serien Nummer des Slave]"
# fmg : 192.168.1.10
# fmg-source-ip : 0.0.0.0
# vdom : root
# enc-algorithm : default
Die Konfiguration des FMG im HA Mode ist abgeschlossen. Es kann nur über den Master Konfigurationen ausgeführt sowie Policy Pushe's durchgeführt werden. Die Konfiguration des Masters werden als Backup zum Slave über den Heartbeat übermittelt (TCP-5199). In einem Failover Scenario muss folgendes durchgeführt werden (Manuell):
1. Status = FMG-01-MASTER 192.168.1.10 ist down und nicht mehr erreichbar!
2. Gehe auf den FMG-02-SLAVE 192.168.2.10 und konfiguriere diesen als MASTER dh:
System Settings > HA > Operation Mode > Master
Peer IP = IP des Master's resp. 192.168.1.10 (FMG-01-MASTER)
Peer SN = Serial Nummer des Masters FMG-01-MASTER (System Settings > Dashboard > System Information > Serial Number)
Cluster ID = ID die auf dem Master definiert wurde resp. bleiben gleich wie definiert!
Group Password = Password das auf dem Master definiert wurde resp. bleiben gleich wie definiert!
Heartbeat Interval = 5 Sekunden
Failover Threshold = 3
NOTE Der Master der Momentan "down" ist wird als Slave eingetragen da wenn dieser wieder aktiv ist als
Slave fungiert und die Konfiguration des neuen Masters erhält. Ob danach wieder ein Rollback auf
die übliche Konstellation durchgeführt werden soll bleibt der Situation überlassen.
3. Sobald der Slave zum "Master" konfiguriert wurde kann über die FortiGate und folgenden Befehl kontrolliert werden ob dies
auf der FortiGate nachvollzogen worden ist:
# config system central-management
# get
# mode : normal
# type : fortimanager
# schedule-config-restore: enable
# schedule-script-restore: enable
# allow-push-configuration: enable
# allow-pushd-firmware: enable
# allow-remote-firmware-upgrade: enable
# allow-monitor : enable
# fortimanager-fds-override: disable
# serial-number : "[Serien Nummer des Masters]" "[Serien Nummer des Slave]"
# fmg : 192.168.2.10
# fmg-source-ip : 0.0.0.0
# vdom : root
# enc-algorithm : default
NOTE Durch die durchgeführte Konfiguration auf dem "ehemals" Slave der nun zum Master wurde,
wurde die entsprechende IP "fmg" vom alten Master zum neuen Master autom. gewechselt.
Nun kann über den ehemals Slave der nun als Master definiert wurde weiterhin die Konfiguration der FortiGate's ausgeführt werden sowie Policy Push's. Wenn der ehemals "Master" der im Moment down ist wieder up ist, kann entschieden werden ob dieser wiederum zum "Master" werden soll oder ob dieser im "Slave" Status bleibt!
Im FortiManager unter "Cluster Settings" kann eine "File Quota" konfiguriert werden was bedeutet diese Position?
Wenn man im FortiManager einen Cluster Konfiguriert kann unter "Cluster Settings" eine File Quota konfiguriert werden. Diese Position steht nicht im Zusammenhang mit den Log's resp. mit der Grösse der transferierten Informationen. Diese Position steht nur im Zusammenhang mit dem "Speicherplatz/Storage" der dem "Slave" resp. den Nodes zur Verfügung steht, für die synchronisierungs Informationen vom "Master". Die Grösse des "Speicherplatz/Storage" kann wie folgt gesetzt werden:
System Settings > HA > Cluster Settings > File Quota
2048MB und 20480MB (Standard 4096MB)
Wenn der gesetzte "Speicherplatz/Storage" auf dem "Slave" erreicht wird so wird auf dem "Slave" ein "Full Reset" ausgeführt (Informationen gelöscht) um "Speicherplatz"Stoarge" freizugeben. Dabei gehen sämtliche Informationen auf dem "Slave" verloren. Diese werden jedoch wieder neu aufgespielt vom Master bis die "Quota" wiederum erreicht wird. Aus diesem Grund ist es wichtig dem "Slave" resp. den Nodes genügend "Speicherplatz/Storage" zur Verfügung zu stellen damit im Fall eines "Failovers" auf den "Slave" die nötigen Informationen auf diesem zur Verfügung stehen. Bevor der "Slave" die "Quota" erreicht und ein "Full Reset" ausführt wird diese über das "Event Log" indiziert. Wenn die Konfiguration auf dem Master auf der CLI durchgeführt werden soll so muss folgendes durchgeführt werden:
# config system ha
# set file-quota <value>
# end
Ist es möglich den HA Sync Traffic (Heartbeat) eines FortiManagers' über ein seperates Interface laufen zu lassen?
Ja dies ist möglich dh. In der Konfiguration muss darauf geachtet werden das die entsprechenden Peer's der Nodes im Clusterverbund mit dessen IP im HA eingetragen werden dh Konkret folgendes:
FortiManager Master
Port 1 = 192.168.10.1/24
Port 2 = 10.10.10.1/24
FortiManager Slave
Port 1 = 192.168.20.1/24
Port 2 = 10.10.20.1/24
FortiManager Master
# config system ha
# set mode master
# set password [Definiere das "Group" Passwort]
# set clusterid [Definiere die Cluster ID]
# config peer
# edit 1
# set ip 10.10.10.1/24
# set serial-number [Gebe die Serien Nummer des FMG referenzierend auf die entsprechende IPv4 Adresse]
# next
# end
FortiManager Slave
# config system ha
# set mode slave
# set password [Definiere das "Group" Passwort]
# set clusterid [Definiere die Cluster ID]
# config peer
# edit 1
# set ip 10.10.20.1/24
# set serial-number [Gebe die Serien Nummer des FMG referenzierend auf die entsprechende IPv4 Adresse]
# next
# end
Dadurch das die Peer's sei es für den Master und/oder Slave über die IP des Port 2 definiert werden, wird der FortiManager gezwungen den Sync (Heartbeat) Traffic über Port 2 abzuwickeln. Der Port 1 sei es auf dem Master und/oder Slave mit der IP 192.168.10.1 resp. 192.168.20.1 stehen somit exklusiv für den Zugriff resp. das Management zur Verfügung.
Werden die Log's -wenn ein FortiManager zusätzlich mit den FortiAnalyzer Funktionen genutzt wird- im Cluster ebenfalls auf den Slave gespielt?
Wenn ein FortiManager betrieben wird mit den FortiAnalyzer (Log Funktion) Funktionen, werden die Logs in einem FortiManager Cluster Verbund nicht auf die Peer's resp. Slave's gespielt. In so einem Fall muss auf den FortiGates ein zweiter Log Server eingetragen werden dh. für die Master Funktion konfiguriert man:
# config log fortianalyzer setting
# set status enable
# set server [IPv4 Adresse des FortiManager Masters]
# end
Für die Peer's im Cluster Verbund resp. Slave des FortiManager's konfiguriert man einen zweiten Log Server dh.:
# config log fortianalyzer2 setting
# set status enable
# set server [IPv4 Adresse des FortiManager Peer resp. Slave]
# end
Log / View
Die Funktion "Log View" wurde unter FortiManager 5.0.4 komplett überarbeitet und ist 1:1 identisch mit dem FortiAnalyzer 5.0.4. Für weitere Informationen siehe deshalb folgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Log_.2F_View
Reports
Die Funktion "Reports" wurde unter FortiManager 5.0.4 komplett überarbeitet und ist 1:1 identisch mit dem FortiAnalyzer 5.0.4. Für weitere Informationen siehe deshalb folgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Reports
Drill Down
Die Funktion "Drill Down" ist unter FortiManager 5.0.4 komplett neu und ersetzt die RTM (Real Time Monitoring) Funktion die in früheren Versionen des FortiManagers zur Verfügung stand. Die Funktion "Drill Down" ist 1:1 identisch mit dem FortiAnalyzer 5.0.4. Für weitere Informationen siehe deshalb folgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Drill_Down
Event Management
Die Funktion "Event Management" ist unter FortiManager 5.0.4 komplett neu und ersetzt die "Alert" Funktion die in früheren Versionen des FortiManagers zur Verfügung stand. Die Funktion "Event Management" ist 1:1 identisch mit dem FortiAnalyzer 5.0.4. Für weitere Informationen siehe deshalb folgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Event_Management
Disk / Filesystem
Kann ich ein Raid Disk System konfigurieren für einen FortiManager Device?
Für einen FortiManager VM dh. virtualisiert kann kein Raid System konfiguriert werden da der virtualisierte FortiManager das Disk System der Virtualisierung benutzt. Für einen FortiManager Device (Appliance) kann ein Raid System konfiguriert werden (Web Mgmt. Interface). Für die verschiedenen Devices des FortiManager dh. Appliance stehen vers. Raid Möglichkeiten zur Verfügung jedoch unterstützt nicht jede Appliance jedes Raid System:
NOTE Welche Appliance des FortiManager welches Raid System unterstützt kann aus den Datasheets entnommen werden. Weitere Informationen dazu siehe nachfolgenden Artikel: Fortinet:ProduktInfo#FortiManager
Weitere Informationen um ein Raid System zu troubleshooten siehe nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Mit_welchen_Kommandos_kann_ich_auf_einem_FortiManager_ein_Raid_System_Troubleshooten.3F
Mit welchen Kommandos kann ich auf einem FortiManager ein Raid System Troubleshooten?
Folgende Kommandos sollten abgesetzt werden wenn es auf einem FortiManager betreffend Raid System zu Problemen kommt:
# diagnose raid info
# get system raid
# diagnose system df
# diagnose system disk attributes
# diagnose system disk info
# diagnose system disk health
# diagnose system disk errors
# diagnose system fsystem
Der Output dieser Kommandos sollte dem Support zur weiteren Lösung übermittelt werden!
Wie kann ich die Disk/Festplatten Platz einer FortiManager VMware vergrössern/erweitern?
Um den Storage/Festplattenspeicher eines FortiManagers zu vergrössern muss genau gleich vorgegangen werden wie beim FortiAnalyzer. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_die_Disk.2FFestplatten_Platz_einer_FortiAnalyzers_VMware_vergr.C3.B6ssern.2Ferweitern.3F
WebPortal
Auf dem FortiManager kann ein WebPortal konfiguriert werden um was handelt sich dabei?
Das WebPortal ist ein Portal das für interne oder für externe User eingesetzt werden kann um die Konfiguration auf den FortiGate Devices einzusehen. Dabei können einige Funktionen als read/write benutzt werden wie zB die Erstellung von SSL-VPN Usern. Folgende Komponenten können zur Verfügung gestellt werden:
Managen der eigenen SSL-VPN User
Web Filter,
URL filters und Kategorien
Firewall Policies (für FortiGate und VDOM)
Der entsprechende Administrator kann auf dem FortiManager Profile erstellen. Diese Profile werden innerhalb einer ADOM erstellt. Diese Profile sind Seiten die einem entsprechenden User (Extern und/oder Intern) zur Verfügung gesetellt werden. Die Profile werden den jeweiligen Usern zugeordnet und somit nur ersichtlich für die jeweiligen zugeordneten Usern. Es können mehrere solcher Profile erstellt werden für vers. zB Anforderungen und/oder Kunden. Die Profile selber enthalten Widgets (ähnlich dem Dashboard auf einer FortiGate) die teilweise angepasst werden können (Zeitachse, Inhalte etc.). In den Profilen können vers. Logos benutzt werden zB für vers. Kunden. Somit wird dem zB Kunden einen Ueberblick verschafft über den momentanen Status sowie Konfiguration der FortiGate Devices. Das WebPortal wird auf dem FortiManager selber zur Verfügung gestellt und für das Login wird das Standard Login des FortiManagers benutzt.
Die Funktion des FortiManager WebPortal ist per Standard nicht ersichtlich und muss über folgende Position zuerst aktiviert werden:
Datei:Fortinet-599.jpg
Nach der Aktivierung ist der Menüpunkt des WebPortal über den Device Manager und in den ADOMs ersichtlich:
Datei:Fortinet-600.jpg
Wie führe ich so eine Grundkonfiguration durch für ein WebPortal?
Wie schon im Artikel FortiManager-5.0-5.2:FAQ#Auf_dem_FortiManager_kann_ein_WebPortal_konfiguriert_werden_um_was_handelt_sich_dabei.3F beschrieben muss zuerst die Funktion aktiviert werden. Danach kann unter der entsprechenden ADOM anhand der Funktion "Web Portal ein Profil erstellt werden. Wähle dazu folgendes:
Datei:Fortinet-601.jpg
Vergebe für das Profil einen Namen sowie event. eine Beschreibung:
Datei:Fortinet-602.jpg
NOTE Ein Profil Name kann max. 35 Zeichen umfassen. Leerschläge sind nicht erlaubt!
Das Profil ist/wurde erstellt und kann nun konfiguriert werden:
Datei:Fortinet-603.jpg
Wenn ein FortiAnalyzer konfiguriert ist auf dem FortiManager kann dieser resp. dessen Reports ebenfalls
im Profil zur Verfügung gestellt werden. Sofern ein FortiAnalyzer vorhanden ist aktiviere den Konfigurations
Punkt und danach gehe auf "Configure Profile" um die Widgets etc. zum Profil hinzuzufügen:
Datei:Fortinet-604.jpg
Die angezeigte Seite entspriche nun dem Portal das der User sehen wird wenn er sich mit dem entsprechenden
User und Passwort einloggt. Füge nun die vers. Komponenten hinzu. Wähle den Titel einer Seite sowie das Layout:
Datei:Fortinet-605.jpg
Wähle zB eine neue zusätzliche Seite:
Datei:Fortinet-606.jpg
Durch "Add Content" kann die Seite mit den gewünschten Widget's konfiguriert werden dh. es stehen vers.
Kategorieren zur Verfügung. Ein Widget wird durch einen Doppelklick in der rechten Hälft hinzugefügt
oder mehrere mit Ctrl + Markierung:
Datei:Fortinet-607.jpg
Wenn ein Widget gewählt wurde kann dieses mit "Edit" sofern möglich konfiguriert werden. Ebenfalls können
die Widget mit Drag & Drop auf die gewünschte Position gebracht werden:
Datei:Fortinet-608.jpg
Unter der Menüposition "Logo Preferences" kann das Logo zB des Kunden definiert werden:
Datei:Fortinet-609.jpg
Unter "Portal Preferences" kann zwischen vers. Layouts ausgewählt werden:
Datei:Fortinet-610.jpg
Nach Beendigung der Konfiguration für das Portal kann dieses einfach geschlossen werden:
Datei:Fortinet-611.jpg
Als nächsten Schritt muss nun für das entsprechende Profil ein User angelegt werden. Dabei
unterscheidet man zwischen "Portal" und/oder "External" Users:
Datei:Fortinet-612.jpg
Um einen "Portal" User zu erfassen führe folgendes durch:
Datei:Fortinet-613.jpg
NOTE Einem User wird mit der Position "Profile" das entsprechende Profil zugewiesen!
Datei:Fortinet-614.jpg
Ein "External" User wird folgendermassen erfasst:
Datei:Fortinet-615.jpg
Datei:Fortinet-616.jpg
Scripting
Was kann ich mit der Scripting Funktion durchführen auf einem FortiManager?
Die Scripting Funktion stellt eine Möglichkeit dar auf dem FortiManager Scripts bereitzustellen um folgende Komponenten zu modifizieren/konfigurieren:
FortiGate Device
Policy Package
ADOM database
Global Policy Package
Database
Die Scripts können ebenfalls bezogen auf Device Informationen und OS Version sowie Platformen gefiltert werden. Um die Script Funktion zu nutzen müssen zwei Vorraussetzungen gegeben sein:
Aktivierung der Menüposition
Mind ein FortiGate Device muss im FortiManager existieren
Die Scripting Funktion ist per Standard als Menüposition deaktiviert. Um diese zu aktivieren wähle:
System Settings > Admin > Admin Settings
Datei:Fortinet-591.jpg
Wenn die Script Funktion aktiviert wurde so steht diese unter folgender Position zur Verfügung:
Datei:Fortinet-592.jpg
Nun unter "Create New" kann ein neues Script zB für die entsprechende ADOM durchgeführt werden. Dabei stehen wie schon erwähnt zusätzliche Optionen zur Verfügung um ein Filtering durchzuführen oder explizit das Scrit zB auf der FortiGate CLI auszuführen:
Datei:Fortinet-593.jpg
Datei:Fortinet-594.jpg NOTE Wenn Scripte auf die "Global Database" angewendet werden müssen die Kommandos "voll" ausgeschrieben werden dh. zB "config system global" (nicht conf sys global)!
Scripts können auf zwei Arten geschrieben werden:
• FortiGate CLI Kommandos (Auskommentierungen für zB Infos und Dokus werden zu Beginn der Zeile anhan des "#" ausgeführt)
• Tcl Scriptin Kommandos (Unterstützt mehr Funktionalität innerhalb des Scriptes)
NOTE Im FortiManager ist die Option "set console-output" auf "standard" gesetzt dh. wenn ein Script das länger
als die Bildschirmlänge ausgeführt werden soll wird dies durch "standard" verhindet. Dies bedeutet um die
Script Funktion einwandfrei zu nutzen sollte diese Variable auf "more" gesetzt werden!
# config system global
# set console-output more
# end
Um ein entsprechendes Script auszuführen in einer ADOM resp. auf einem Device erstellen wir kurz ein Script für Testzwecke. Danach kann das Script ausgeführt werden:
Datei:Fortinet-595.jpg
Datei:Fortinet-596.jpg
Das Script kann danach auf die entsprechende "Gruppe" oder "Device" ausgeführt werden:
Datei:Fortinet-597.jpg
Das Script wird ausgeführt und die Resultate sprich "Details" sowie "History" kann nachträglich eingesehen werden:
Datei:Fortinet-598.jpg
Gibt es für die Scripting Funktion auf einem FortiManager einen "scheduler"?
Die Scripting Funktion auf einem FortiManager ermöglicht es automatisiert Scripts auf FortiGate Devices anzuwenden. Diese Funktion ist per Standard deaktiviert. Wie diese Funktion aktiviert werden kann siehe nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Was_kann_ich_mit_der_Scripting_Funktion_durchf.C3.BChren_auf_einem_FortiManager.3F
Nachdem Die Scripting Funktion aktiviert wurde kann diese manuell auf einen Device oder mehrer angewendet werden. Per Standard ist es jedoch nicht möglich ein Script Zeitbasierend anzuwenden dh. anhand eines definierten "schedules". Auch diese Funktion ist per Standard deaktiviert und kann ab FortiManager 5.0 über folgendes Kommando in der CLI aktiviert werden:
# config system admin setting
# set show_schedule_script enable
# end
Danach erscheint ein entsprechender "schedule" unter "Execute Script" sobald ein Script anhand "run" ausgeführt wird:
Datei:Fortinet-596.jpg
FNDN (Fortinet Distribution Network)
Wenn der "FortiGuard Service" vom FortiManager bereitgestellt werden wie sieht die Kommunkation aus?
Wenn die FortiGate Devices so konfiguriert sind, dass Sie die FortiGuard Services (FNDN) vom FortiManager bekommen, werden sämtliche Datenbanken wie Antivirus, WebFilter usw. durch den FortiManager "lokal" bereitgestellt. Dies bedeutet zB bei einer WebFilter Abfrage steht die WebFilter Datenbank auf dem FortiManager vollständig für die FortiGate Devices zur Verfügung und muss nicht über die FortiGuard Services in der Cloud abgefragt werden. Somit wird durch den FortiManager das sogenannte "FortiGuard Distribution Service" (FDS) bereitgestellt als FNDN (Fortinet Distribution Network). Wenn ein FortiManager diesen Service in einem Cluster bereitstellt, werden die Informationen des "FortiGuard Distribution Network" nicht zu den anderen Nodes im Cluster überspielt (Synchronisiert) sondern jeder FortiManager ladet diese Informationen seperat vom "FortiGuard Distribution Service" runter und stellt diese zur Verfügung. Gleichzeitig kann dieser FDN Service auf jedem FortiManager seperat den FortiGate Devices zur Verfügung gestellt werden (Active-Active) obwohl ein Cluster für den FortiManager nur im Active-Passive Modus betrieben werden kann. Weitere Informationen betreffend FortiManager im Cluster Modus siehe nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Ist_es_m.C3.B6glich_einen_FortiManager_im_HA_Mode_aufzusetzen.2Fzu_betreiben.3F
NOTE Jede Hardware Appliance unterstützt vollumfänglich das "FortiGuard Distribution Service" jedoch nicht die VMWare
Version dh. bis FMG-Base + 1000-UG stehen folgende Service nicht zur Verfügung:
WebFilter und Antispam
Ab der Version FMG-Base + 1000-UG stehen alle FortiGuard Services zur Verfügung! Nachfolgende Abbildung verdeutlicht
die vorhergehenden Informationen basierend auf FortiOS 5.0/5.2:
Neu ab FortiOS 5.4 gilt diese Einschränkung betreffend VMware nicht mehr dh. das neuste Datasheet des FortiManagers
verdeutlicht dies auf der letzten Seite:
Datei:Fortimanager-datasheet.pdf
Um eine FortiGate zu konfigurieren damit diese den FortiManager als "FNDN" benutzt muss auf der FortiGate folgendes konfiguriert werden:
FortiOS 5.0
# config system central-management
# set fortimanager-fds-overrite enable
# set fmg [IPv4 Adresse des FortiManagers]
# end
FortiOS 5.2
# config system central-management
# set fmg [IPv4 Adresse des FortiManagers]
# set include-default-server [enable | disable]
# config server list
# edit [Gebe einen entsprechenden Integer an zB "1"
# set server-type [update "AV, IPS, and AV-query update server" | rating "Web Filter and anti-spam rating server"]
# next
# end
# end
NOTE Wie schon erwähnt ist ein FortiManager im Cluster Verbund nur im "Active-Passive" Modus möglich. Um jedoch den FortiGate
Devices über den FortiManger Master die zusätzlichen "FNDN" Service der Slave zur Verfügung zu stellen und somit für den
"FNDN" Service auf dem FortiManager ein "Active-Active" bereitzustellen, kann im FortiManager über die folgende Position
die zusätzlichen FortiManager "Slave" zur Verfügung gestellt werden:
FortiGuard > FortiGuard Management > Advanced Settings > "Override FortiGuard Server (Local FortiManager)"
Gleichzeitig kann unter dieser Position definiert werden, dass wenn die FortiManager "FNDN" Service nicht erreichbar sind
ob ein Fallback auf den "Public FortiGuard Service" durchgeführt werden soll:
"Allow FortiGates to Access Public FortiGuard Servers when Private Servers are Unavailable"
Nachträglich nachdem die Konfiguration auf einer FortiGate durchgeführt wurde kann kontrolliert werden ob der FortiGate Device den "FNDN" Service eine FortiManagers benutzt:
# diagnose debug rating
Locale : english
License : Contract
Expiration : Sun Jul 24 20:00:00 2011
-=- Server List (Tue Nov 2 11:12:28 2010) -=-
IP Weight RTT Flags TZ Packets Curr Lost Total Lost
10.200.1.241 0 10 -5 77200 0 42
10.200.1.242 0 12 -5 52514 0 34
Wenn für diesen "FNDN" Service ein Troubleshooting durchgeführt werden soll gibt nachfolgender Artikel Auskunft wie das durchzuführen ist:
FortiManager-5.0-5.2:FAQ#Wie_kann_ich_den_.22FNDN.22_.28Fortinet_Distribution_Network.29_Service_auf_einem_FortiManager_Troubleshooten.3F
Wie kann ich den "FNDN" (Fortinet Distribution Network) Service auf einem FortiManager Troubleshooten?
Ein FortiGate Device kann so konfiguriert werden, dass dieser anstelle des "Public FortiGuard" Service ein FortiManager benützt dh. der FortiGate Device holt die Informationen betreffend FortiGuard auf dem FortiManager. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiManager-5.0-5.2:FAQ#Wenn_der_.22FortiGuard_Service.22_vom_FortiManager_bereitgestellt_werden_wie_sieht_die_Kommunkation_aus.3F
Um diesen "FNDN" Service zu "troubleshooten" auf dem FortiManager stehen folgende Kommandos zur Verfügung:
Liste alle FortiGuard Server auf die der FortiManager benutzt:
# diagnose fmupdate fds-serverlist
Liste der Package dir über FortiGuard runtergeladen wurden betreffend Antivirus, IPS und Vulnerability Scanner:
# diagnose fmupdate fds-getobject
Liste aller License Contracts von FortiGuard betreffend FortiGate Devices:
# diagnose fmupdate fds-dbcontract
Liste der letzten Package Information die durch die FortiGate Devices vom FortiManager runtergeladen wurden:
# diagnose fmupdate getdevice fds
Liste der FortiGate VM Lizenz Informationen:
# diagnose fmupdate vm-license
Allgemein
Wo kann ich sehen wann zum letzten Mal eine Policy oder Device Profile auf einer FortiGate installiert wurde?
Wenn im Device Manager der entsprechende Device markiert wird so sieht man im unteren Bereich das Dashboard des Devices. Per Standard wird unten Links die "Last Installation" angezeigt:
Datei:Fortinet-508.jpg
Wie kann ich vom FortiManager meine FortiGate Devices über SSH und/oder Telnet managen?
Nun die Funktion um ein FortiGate Device über SSH und/oder Telnet zu managen wird im normal Fall über die FortiGate selber unter dessen Interface aktiviert und/oder deaktivert. Dies bedeutet: ist dies auf dem FortiGate Device aktiviert kann über SSH und/oder Telnet der Device direkt angegangen werden. Wird ein FortiGate Device über einen FortiManager zentral Verwaltet ist es nicht mehr nötig diese Funktion auf dem FortiGate Device zu aktivieren, denn die Funktion kann über den FortiManager genutzt werden. Dies bedeutet wird Telnet und/oder SSH auf der FortiGate deaktiviert, ist des dennoch möglich über den FortiManager auf den entsprechenden FortiGate Device SSH und/oder Telnet durchzuführen. Durchgeführt wird das auf dem FortiManager durch die sichere Verbindung (tunneling) die etabliert wurde zum entsprechenden FortiGate Device. Um SSH und/oder Telnet auszuführen auf dem FortiManager wähle im WebGui den Device Manager und den entsprechenden Device. Danach kann im Dashboard des entsprechenden Devices unter "Connection Summary" folgendes ausgeführt werden:
Datei:Fortinet-515.jpg
Einige Menüposition sind nicht ersichtlich im FortiManager wieso?
Wie auf einer FortiGate werden einige Menüpositionen aus Uebersichtsgründen ausgeblendet. Möchte man diese Menüpositionen einblenden kann dies unter folgender Position im WebGui durchgeführt werden:
System Settings > Admin > Admin Settings
Was bedeutet die Menüposition unter System Settings "Global Database Version"?
Den "Global Database Version" Konfigurationspunkt findet man unter:
System Settings > General > Dashboard > System Information > Global Database Version
Datei:Fortinet-589.jpg
Unter diesem Punkt kann die Datenbank Version auf vers. Versionen gesetzt werden:
Datei:Fortinet-590.jpg
Nun die "Global Database Version" kann zB auf FortiOS 5.0, FortiOS 4.0 MR oder FortiOS 4.0 MR2 gesetzt werden. Dies bedeutet, dass die Datenbank Version gesetzt wird für die "Global" Funktion (Global Policy und Objects) und somit für die FortiGate Devices. Nachfolgend zur besseren Erklärung ein Beispiel:
Wenn zB 2 FortiGate Device's exisiteren; 1 Device basierend auf 4.0 MR3 und der andere Device basierend auf 5.0.
Die Datenbank Version ist gesetzt auf 5.0. Eine "Global Policy" existiert und diese ist einer ADOM zugewiesen.
Die zwei erwähnten Devices einer mit FortiOS 5.0 und der andere mit FortiOS 4.0 MR3 können nicht Mitglieder
sein in einer ADOM denn eine ADOM unterstützt nur entweder FortiOS 5 oder v.4.x. Somit müssen die Device in zwei
seperaten ADOM's gemanaged werden. Die "Global Policy" steht dann "nur" für FortiOS 5 zur Verfügung und nicht für
4.x. Somit wird die "Global Policy" in der ADOM 4.x basierend ignoriert.
Dieser Umstand gilt "nur" für die "Global Policy und Objects" Funktionen. Der Grund liegt im Befehlsatz der sich durch die vers. FortiOS Versionen teilweise start verändert hat und somit die Komplexität erhöht!
Ist es möglich eine Datenbank eines FortiManagers mit einem Tool einzusehen?
Ja dies ist Grundsätzlich möglich dh. Das Backup File eines FortiManagers muss entpackt werden zB mit 7-zip. Das Entpacken muss mehrmals geschehen bis die Verzeichnis Struktur erscheint die ungefähr folgendermassen aussieht:
/var
/dm
/dvm
/fwclienttemp
/pm2
/portal
/rtm
Die Datenbank kann nur eingesehen werden jedoch nicht modifiziert werden dh. diese Daten stehen zu Informationszwecken zur Verfügung und sind nicht "modifizierbar"!
Troubleshooting
Wie kann ich auf einem FortiManager verfizieren WAS ein High CPU verursacht?
Wenn zB bei einer VMware Installation eines FortiManagers ein High CPU auftritt kann mit folgenden Befehlen eruiert werden WAS diesen High CPU verursacht um weitere Schritte in Betracht zu ziehen:
# get system status
# get system performance
# exe top
NOTE: Drücken Sie 1 um die CPU's zu separieren, danach Shift-M um nach mem zu sortieren!
# diag sys top
Datei:Fortinet-307.jpg
Wie kann ich den FortiManager Deamon (fgfm) neu starten?
Der Deamon eines FortiManagers der die Komunikation zu den Device über Port 541 aufrecht erhaltet wird als "fgfm" bezeichnet. Wenn dieser Deamon neu gestartet werden soll kann dies über Web Mgmt. Interface durchgeführt werden oder über Kommandozeile. Nachfolgend die Informationen wie das durchgeführt wird:
Web Mgmt. Interface
System Settings > Advanced > Advanced Settings > Offline Mode > [Enable | Disable]
CLI Kommando
# config system admin setting
# set offline_mode [enable | disable]
# end
Somit kommt das "aktivieren" (enable) und "deaktivieren" (disable) einem Neustart des FortiManager Deamons gleich resp. stop/start. Wenn der "fgfm" Deamon des FortiManagers im "Offline" Mode ist können keine Devices mit dem FortiManager komunizieren.
Wie kann ich auf einem FortiManager den Mgmt. Tunnel (fgfm) neu starten?
Bei einigen Konfiguration zB beim "replacement" eines FortiGate Devices (Austausch der Serien Nummer) muss der Mgmt. Tunnel des FortiManager's zum FortiGate Device neu gestartet werden. Dies wird über die Kommandozeile des FortiManagers folgendermassen durchgeführt:
# execute fgfm reclaim-dev-tunnel
NOTE Wird dieses Kommando ausgeführ werden folgende Informationen auf der FortiGate erneuert:
# get system central-managment | grep serial
serial-number FMG-VM0A11000237
Weitere Informationen betreffend "troubleshooting" der Komunikation zwischen eine FortiGate Device und FortiManager findet man unter folgenden Artikel:
FortiManager-5.0-5.2:FAQ#Wie_kann_ich_auf_einem_FortiManager_.C3.BCberpr.C3.BCfen_ob_eine_bestimmten_Device_.C3.BCber_den_Mgmt._Port_TCP_541_verbunden_ist.3F
Wie kann ich auf einem FortiManager überprüfen ob eine bestimmten Device über den Mgmt. Port TCP 541 verbunden ist?
Wenn auf einem FortiManager überprüft werden soll ob ein bestimmter Device (zB FortiGate) mit dem FortiManager über den Mgmt. Port TCP 541 kommuniziert kann folgendes Kommando benutzt werden:
# diagnose fmnetwork netstat tcp
Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 198.18.0.11:541 82.136.123.97:541 Listen
tcp 0 0 198.18.0.11:541 212.59.153.125:541 Listen
Wenn die Liste der Device realtiv gross/lang ist filtere die Liste nach der Fix IP die durch den Device benutzt wird um zum FortiManager zu verbinden:
# diagnose fmnetwork netstat tcp | grep 82.136.123.97
Ein weitere Befehl um nachzuprüfen ob eine FortiGate mit dem FortiManager verbunden ist wäre der folgende:
# diagnose fgfm session-list
Diese List die ausgegeben wird zeigt auf welche Device erreichbar sind und welche nicht sowie mit welcher IP der Device verbunden ist. Wenn der Mgmt. Traffic des FortiManagers aufgezeigt werden soll in einem Troubleshooting kann folgender Befehl benutzt werden:
# diagnose debug application fgfm 255 [Device Name]
# diagnose debug enable
NOTE Nachdem das "Debug" beendet wurde sollte der Filter sowie der Debug Modes deaktiviert werden dh. führe aus:
# diagnose debug disable
# diagnose debug reset
Wenn erzwungen werden soll, dass der Mgmt. Tunnel zwischen FortiGate und FortiManager neu gestartet werden soll gibt nachfolgender Artikel Auskunft wie das durchgeführt wird:
FortiManager-5.0-5.2:FAQ#Wie_kann_ich_auf_einem_FortiManager_den_Mgmt._Tunnel_.28fgfm.29_neu_starten.3F
Wie kann ich für das "Event Log" auf dem FortiManager den "debug" Modus einschalten?
Der FortiManager verfügt über ein eigenes Log dh. "Event Log" in diesem Log werden alle Aenderungen betreffend FortiManager Konfiguration sowie im Zusammenhang mit den Device aufgezeichnet. Dieses "Event Log" steht per Standard auf "severity notification". Wenn es bei Installationen/Konfigurationen zu Problemen kommt können wichtige Informationen aus dem "Event Log" ausgelesen werden. Damit das "Event Log" die entsprechenden Informationen aufzeigt muss die "severity" erhöht werden dh. auf den "debug" Level. Um dies durchzuführen führe folgendes auf der Kommandozeile aus:
# config system locallog disk setting
# get
status : enable
severity : notification
upload : disable
server-type : FTP
max-log-file-siez : 100
roll-schedule : none
diskfull : overwrite
log-disk-full-percentage : 80
# set severity debug
# end
NOTE Vergesse auf keinen Fall nach dem "troubleshooting" den "debug" Level wieder auf "notification" zu setzen!
CLI
Divers
Wie kann ich über CLI alle Devices in einem FortiManager anzeigen lassen?
Benutze folgendes Kommando auf der CLI um sämtlichze Devices in einem FortiManager anzeigen zu lassen:
# diagnose dvm device listThere are current 1 devices managed:
TYPE OID SN HA IP STATUS NAME ADOM FIRMWARE
REG 114 FGVMEV0000000000 - 192.168.140.60 1:1:1:4:1 FortiGate-VM local 5.0MR0 (128) |- vdom:[3]root flags:0 adom:local
---End device list---
STATUS--> db:conf:cond:dm:conn
db : 1-not modified 2-modified
conf: 1-in sync 2-out of sync
cond: 1-OK 2-out of sync 3-pending 4-conflict 5-unregistered
dm : 1-check in 2-inprogress 3-installed 4-aborted 5-sheduled 6-retry 7-canceled 8-pending 9-retrieved 10-changed 11-sync failed 12-timeout 13-reverted 14 auto updated
conn: 1-up 2-down
Wie kann ich die Serien Nummer eines Devices korrigieren oder neu eingeben?
Wenn ein Device neu zum FortiManager hinzugefügt wird (über den Device Manager Wizard) so kann dort eine Serien Nummer des Gerätes angegeben werden. Diese kann jedoch nachträglich nicht einfach so über WebGui gewechselt werden. Um diese Serien Nummer eines Devices zu wechseln und/oder zu korrigieren benütze folgendes Kommando:
# execute device replace sn [Name des Device] [Serien Nummer des Device]
Wie kann ich das Passwort eines Devices korrigieren oder neu eingeben?
Wenn ein Device neu zum FortiManager hinzugefügt wird (über den Device Manager Wizard) so muss dort ein Passwort für den Device angegeben werden sprich dieses stammt vom -für diese Verbindung erstellten Administrator- auf der FortiGate. Wechselt dieses kann dies über die CLI folgendermassen ausgeführt werden:
# execute device replace pw [Name des Device] [Passwort des Device]
NOTE Das Passwort sowie der Username kann über das WebGui geändert werden indem man den
entsprechenden Device im Device Manager editiert!
Divers
Welche Datenbank wird beim FortiAnalyzer benutzt und kann ich diese selber mit Querys abfragen?
Für weitere Informationen siehe nachfolgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Welche_Datenbank_wird_beim_FortiAnalyzer_benutzt_und_kann_ich_diese_selber_mit_Querys_abfragen.3F
Wie kann ich die Datenbank integrität eines FortiManagers überprüfen?
Wenn die nachfolgenden Kommandos benützt werden um die Datenbank "Integrität" zu überprüfen, können diese Kommandos einige Fehler beheben jedoch nicht alle. Aus diesem Grund ist es Wichtig bei einer Ueberprüfung ein Log mitlaufen zu lassen um event. -nicht zu behebende Fehler- zu protokollieren um nachträglich über ein Ticket bei Fortinet TAC diese zu melden:
# diagnose dvm check-integrity
# diagnose cdb check objcfg-integrity
# diagnose cdb check policy-assignment
# diagnose pm2 check-integrity all
NOTE Wird durch die "Checks" ein Fehler angezeigt und korrigiert ist es "Wichtig" die Kommandos ein zweites Mal
durchlaufen zu lassen um zu verifizieren ob der Fehler nun behoben ist!
Nachfolgend ein Beispiel einer Ueberprüfung bei der keine Probleme gefunden wurden:
# diagnose dvm check-integrity
[1/9] Checking object memberships ... correct
[2/9] Checking device nodes ... correct
[3/9] Checking device vdoms ... correct
[4/9] Checking duplicate device vdoms ... correct
[5/9] Checking device ADOM memberships ... correct
[6/9] Checking groups ... correct
[7/9] Checking group membership ... correct
[8/9] Checking device locks ... correct
[9/9] Checking task database ... correct
# diagnose cdb check objcfg-integrity
Checking object config database table columns ... correct
# diagnose cdb check policy-assignment
Checking global policy assignment ... correct
# diagnose pm2 check-integrity all
--- pragma integrity_check adom db ---
--- total: 19 ok.
--- pragma integrity_check device db ---
--- total: 3 ok.
--- pragma integrity_check global db ---
--- total: 2 ok.
--- pragma integrity_check ips db ---
--- total: 1 ok.
--- pragma integrity_check task db ---
--- total: 1 ok.
--- pragma integrity_check ncmdb db ---
--- total: 22 ok.