FortiGate-5.4-5.6:FAQ: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(687 dazwischenliegende Versionen von 7 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
FortiGate-5.4:FAQ
FortiGate-5.4-5.6:FAQ
 
[[Category:Fortinet]]
[[Category:Fortinet]]
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #FF7730;"| <span>[[File:wichtig.svg|50px|link=]]</span>
| style="background-color: #FFB991"|
'''FortiOS 5.4 und 5.6 - End of Support'''<br>
Das FortiOS 5.4 ist seit dem '''21.Juni 2020''' und das FortiOS 5.6 seit dem '''30.September 2021''' End of Support. Damit man Support auf das System bekommt muss auf eine supportete Version upgegradet werden.


  <font size="6">'''24 X 7 <span style="color: #FF0000;">PROMOTION</span> bis 31. März 2016</font>
Weitere Informationen über den Life Cycle vom FortiOS: https://support.fortinet.com/Information/ProductLifeCycle.aspx
 
|-
                        <font size="2">[[Fortinet:24x7Promotion|'''Weitere Informationen finden Sie hier!''']]</font>
|}
 
__TOC__
 
== Vorwort ==
 
Diese FAQ's sind für Fortinet Systeme basierend auf OS 5.4. Zu Test-Zwecken stand eine Fortigate 60D zur Verfügung!
 
<br/>
 
== Datenschutz ==
 
<pre>
        *********************************************************************
        *                                                                  *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM    *
        *                  ALSO SCHWEIZ SWITZERLAND.                      *
        *                                                                  *
        *********************************************************************
 
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
  schriftliche Zustimmung von der Schweiz AG gegenüber Dritt-Unternehmen nicht
                        bekannt gemacht werden"
 
</pre>
 
== FAQ ==
 
== Documentation ==
 
=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===
 
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend Fortigate Devices:
 
        [[Fortinet:ProduktInfo]]
 
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
 
        http://community.fortinet.com/
 
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
 
        http://docs.fortinet.com/fortigate/admin-guides
 
        '''FortiOS 5.4'''
        [[Datei:Fortigate-Whats-New-54.pdf]]                                                        (FortiOS 5.4 Handbook - What's New)
        [[Datei:Fortigate-CLI-Ref-54.pdf]]                                                          (FortiOS 5.4 CLI Reference)
        [[Datei:FortiOS-Log-Reference-54.pdf]]                                                      (FortiOS 5.4 FortiOS Log Reference)
 
        [[Datei:FortiOS-Upgradepath-54.pdf]]                                                        (FortiOS 5.4 Supported Upgrade Paths for Firmware)
        [[Datei:FortiOS-Software-Platform-Matrix-54.pdf]]                                          (FortiOS 5.4 Feature / Platform Matrix)
 
        [[Datei:FortiGate_Managed_FortiSwitch_Matrix.pdf]]                                          (Managed FortiSwitch Compatibility Matrix)
        [[Datei:FortiOS-Compatibility-FMG-FAZ.pdf]]                                                (Managed FortiManager/FortiAnalyzer Compatibility Matrix)
 
        [[Datei:Fortigate-Authentication-54.pdf]]                                                  (FortiOS 5.4 Handbook - Authentication)
        [[Datei:Fortigate-Carrier-54.pdf]]                                                          (FortiOS 5.4 Handbook - Carrier)
        [[Datei:Fortigate-HA-54.pdf]]                                                              (FortiOS 5.4 Handbook - High Availability)
        [[Datei:Fortigate-IPSec-VPN-54.pdf]]                                                        (FortiOS 5.4 Handbook - IPsec VPN)
        [[Datei:Fortigate-IPv6-54.pdf]]                                                            (FortiOS 5.4 Handbook - IPv6)
        [[Datei:Fortigate-Load-Balancing-54.pdf]]                                                  (FortiOS 5.4 Handbook - Load Balancing)
        [[Datei:Fortigate-Managing-Devices-54.pdf]]                                                (FortiOS 5.4 Handbook - Managing Devices)
        [[Datei:Fortigate-Managing-Switch-54.pdf]]                                                  (FortiOS 5.4 Handbook - Managing FortiSwitch from FortiGate)
        [[Datei:Fortigate-Optimal-Life-54.pdf]]                                                    (FortiOS 5.4 Handbook - Optimal Path Processing "Life of a Packet")
        [[Datei:Fortigate-SSL-VPN-54.pdf]]                                                          (FortiOS 5.4 Handbook - SSL VPN)
        [[Datei:Fortigate-Security-Profiles-54.pdf]]                                                (FortiOS 5.4 Handbook - Security Profiles)
        [[Datei:Fortigate-WANopt-Cache-Proxy-54.pdf]]                                              (FortiOS 5.4 Handbook - WAN Optimization, Web Cache, Explicit Proxy, and WCCP)
        [[Datei:Fortigate-Wireless-54.pdf]]                                                        (FortiOS 5.4 Handbook - Deploying Wireless Networks)
 
=== Gibt es einen direkten Link auf die "Fortinet Knowledgebase" auf der die "KB Artikel" alle aufgelistet sind? ===
 
Die Fortinet "Knowledgebase" Artikel sind über den folgenden Link erreichbar:
 
        http://kb.fortinet.com/
 
Ueber diesen Link sieht man die verschiedenen Fortinet Produkte die man anwählen und über eine Suchfunktion für das entsprechende Produkt einen entsprechenden "KB Artikel" suchen kann. Möchte man jedoch sämtliche "KB Artikel" auflisten - vorallem die Neusten - ist dies über den Link nicht möglich. Nachfolgender Link bietet diese Möglichkeit dh. sämtliche "KB Artikel" werden aufgelistet (die Neusten zu oberst):
 
        http://pub.kb.fortinet.com/index/
 
== Hardware ==
 
=== Wo finde ich die Hardware Revision und Hardware Generation Informationen eines FortiGate Devices? ===
 
Ein FortiGate Device verfügt über eine entsprechende "Hardware Revision" und "Hardware Generation". Ueber diese Information wird ein entsprechender FortiGate Device identifiziert. Möchte man die "Hardware Revision" herausfinden einer FortiGate kann dies folgendermassen bewerkstelligt werden:
 
        '''Variante Device Label'''
       
        Die "Hardware Revision" wird als "label" auf der Rückseite eines FortiGate Devices aufgeführt in
        nachfolgender Form und als Strich-Code:
       
        PN: P15968-01
 
        '''Variante FortiOS'''
       
        Wenn man über CLI folgenden Befehl absetzt erhält man die "Hardware Revision" Information:
       
        # get system status | grep Part-Number
        System Part-Number: P15968-01
 
Wie schon zu Beginn erklärt wird ein Device über die "Hardware Revision" und "Hardware Generation" identifiziert. Die "Hardware Generation" kann jedoch nicht erruiert werden sei es über ein "label" noch über CLI. Wenn diese Informatione dennoch benötigt wird kann über ein Ticket die entsprechende Information der "Hardware Generation" angefragt werden. Wie ein Ticket für Fortinet eröffnet wird siehe nachfolgender Artikel:
 
        [[Fortinet:Support-Case]]
       
        '''NOTE''' Bei dieser "Hardware Revision" wie in unserem Beispiel gezeigt (P15968-01) handelt es sich zB um eine FG-70D. Das bedeutet:
            Wenn eine neue "Hardware Revision" für diesen Device released wird so kann diese über eine PN Nr "P15968-01" verfügen jedoch
            als "Hardware Generation" die "2". Es kann jedoch auch sein, dass ein neue "Hardware Revision" über eine PN Nummer verfügt
            zB "P15978-02". Somit kann anhand der PN Nummer keine Rückschlüsse gezogen werden über die nötige Information von:
           
            PN Nummer (Hardware Revision) + Hardware Generation
           
            Diese Information der "Hardware Revison" sowie "Hardware Generation" sind dann wichtig wenn es sich um einen Cluster handelt.
            Bei einem RMA Austausch achtet Fortinet darauf und übermittelt der zuständigen Stelle für den Austausch diese Informationen
            damit diese exakt die gleiche "Hardware Revision" und "Hardware Generation" dem Kunden zustellt!
 
=== Wo finde ich eine Uebersicht welcher FortiGate Device zB über wieviel "Memory" verfügt, ein "SOC" und/oder "NP" verbaut ist? ===
 
Nachfolgend eine Aufstellung die zeigt über welche Komponenten wie "SOC, NP, Memory, Storage ein FortiGate Device verfügt:
 
        '''NOTE''' Diese Informationen stammen aus einem Post im "Fortinet Forum" da Fortinet diese Informationen nicht komuniziert:
           
            https://forum.fortinet.com/tm.aspx?m=100451#100451
 
        '''LEGENDE'''
        FA = FA526id(wb) rev 1 (v4l) FortiSOC (Fortinet)
        I2 = Intel Core 2 Duo
        I3 = Intel Pentium III
        I4 = Intel Pentium 4
        IA = Intel Atom
        IC = Intel Celeron (Covington)
        II3 = Intel Core i3
        II5 = Intel Core i5
        IM = Intel Mobile
        IX = Intel Xeon
       
        CP: Content Processor
        NP: Network Processor
        SoC: System on a Chip
 
        [[Datei:Fortinet-821.jpg]]
 
        [[Datei:Fortinet-822.jpg]]
 
        [[Datei:Fortinet-823.jpg]]
 
        [[Datei:Fortinet-1611.jpg]]
 
        [[Datei:Fortinet-824.jpg]]
 
=== Was für FortiGate Devices stehen in den verschiedenen Verfügung und welche ist die Richtige? ===
 
Wenn für einen Kunden ein FortiGate Device installiert werden soll stellt sich die Frage welcher Device ist der Richtige? Dabei sind verschiedenen Informationen wichtig wie zB:
 
        - Ueber was für eine Internet Anbindung verfügt der Kunde an der ein FortiGate Device installiert werden soll?
        - Ist ein Ausbau/Wechsel der Internet Anbindung geplant und wenn ja wir diese vergrössert (Dowstream/Upstream)?
        - Wieviele User werden durch den FortiGate Device geschützt?
        - Welche UTM Features werden auf dem FortiGate Device eingesetzt (Antivirus, WebFilter, IPS usw)
        - Wird "deep inspection" eingesetzt (Aufbrechen von verschlüsseltem Traffic)?
        - Werden spezielle Interface's benötigt zB SFP+
        - Wird ein spezieller Durchsatz in einem Bereich benötigt?
        - Wo wird "logging" durchgeführt zB Disk, FortiAnalyzer usw.?
 
Zusätzlich stellt Fortinet die sogenannte "Produkte Matrix" zur Verfügung in der die verschiedenen Devices gegenüber gestellt werden und die verschiedenen "Durchsätze" in verschiedenen Kategorieren wie SSL-VPN, IPSec, UTM Antivirus usw. aufgelistet und gegenüber gestellt werden. Dabei ist zu beachten, dass diese "Durchsätze" als "Feature Only" Durchsatz zu verstehen sind. Dies bedeutet: Wird Antivirus mit 35 Mbps Durchsatz aufgeführt, versteht sich dieser Wert in dem Sinne, dass wenn dieser Device "nur" Antivirus Traffic erhalten würde, der Durchsatz 35 Mbps ist. Aus diesem Grund ist es unerlässlich die Produkte Matrix zu konsultieren um den richtigen Device für den Kunden auszuwählen:
 
        [[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix]]
 
Zu den verschiedenen FortiGate Devices stehen jeweils die "Datasheet" zur Verfügung die nochmals detailliert über den jeweiligen FortiGate Device Auskunft gibt. Desweiteren stehen zu den "Datasheet" ebenso die "Quickstart" Guide zur Verfügung die zeigen "was" zum jeweiligen Device mitgeliefert wird sowie das Aussehen:
 
        [[Fortinet:ProduktInfo#FortiGate]]
 
Desweiteren steht für die Produkte Information der Produkt Guide zur Verfügung der jeden FortiGate Device in einer Kurzübersicht darstellt:
 
        [[Fortinet:ProduktInfo#Fortinet_Produkt-Guide]]
 
Nachfolgend als Anhaltspunkt eine Uebersicht der FortiGate Devices in den verschiedenen Kategorieren wie "Entry Level, Midsize usw.":
 
        [[Datei:Fortinet-1392.jpg]]
 
        [[Datei:Fortinet-1393.jpg]]
 
        [[Datei:Fortinet-1394.jpg]]
 
        [[Datei:Fortinet-1395.jpg]]
 
        [[Datei:Fortinet-1396.jpg]]
 
        [[Datei:Fortinet-1397.jpg]]
 
        [[Datei:Fortinet-1398.jpg]]
 
        [[Datei:Fortinet-1610.jpg]]
 
=== Wie kann ich auf einem FortiGate Device einen Hardwartest ausführen (Troubleshooting/HQIP Testing)? ===
 
Damit man den "Advanced Hardware Test" resp. HQIP Test durchführen kann, muss ein spezielles "image" das für jeden Device zur Verfügung gestellt wird, temporär geladen werden. Unter der regulären Support Seite findet man die Images über das Icon "HQIP Images" am ende der Seite. Nachfolgend der direkte Link für "HQIP Images":
 
        https://support.fortinet.com/Download/HQIPImages.aspx
       
        '''NOTE''' Damit man zu diesem Link gelangt muss anhand eines Support Accounts eingeloggt werden sowie damit das
            entsprechende Image runtergeladen werden kann, muss die entsprechende Serien Nummer des Devices eingegeben
            werden. Dies muss durchgeführt werden da jeder Device identifiziert werden muss anhand der Revision und
            Generation um das entsprechende HQIP Image zur Verfügung stellen zu können. Dies bedeutet auch: Es ist nicht
            zu empfehlen ein bestehendes Image aus einem früheren HQIP Test zu benützen um auf einem Baugleichen Device
            den Test durchzuführen da die Devices -obwohl Baugleich- sich unterscheiden können in Revision und Generation.
 
Auf der FortiGate wird dieses HQIP Image wie beim "staging" Prozess selber über TFTP hochgeladen.
Nachdem man das HQIP Image über TFTP geladen hat kann mit dem User "admin" eingeloggt wurde (kein Passwort) kann anhand des Befehls "diagnose hqip start" ein Script ausgeführt werden. Dieses Script führt die verschiedenen Hardware Tests aus. Der Unterschied zum regulären "staging" Prozess selber ist einzig und alleine, dass dieses Image nicht anhand "D" (Default), "B" (Backup) sondern anhand "R" (Run) installiert wird. Dies bedeutet: dieses Image wird durch "R" (Run) in den Memory Bereich temporär installiert. Der Output der Serial Console muss "geloggt" werden damit es später dem Fortinet Support übermittelt werden kann. Im "putty" wird dies für eine Session unter folgender Position konfiguriert:
 
        Category > Session > Logging > All Session output
 
Nachfolgend eine Schritt für Schritt Anleitung wie so ein HQIP Image geladen sowie das Scritp ausgeführt wird:
 
        -> Lade das entsprechende Image herunter (siehe Link oben; Serien Nummer des Devices muss angegeben werden)
         
        -> Benenne das File um nach "image.out" und verschiebe diese in das root Verzeichnis eines TFTP Servers.
          Wenn kein TFTP Server vorhanden ist empfehlen wird den SolarwindsTFTP Server. Nachfolgend ein Link
          um diesen runterzuladen:
         
          SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_tftp_server.aspx
         
        -> Sofern das Web Mgmt. Interface zugänglich ist empfehlen wir vor dem Test ein ordentliches Backup der
          Konfiguration der FortiGate durchzuführen!
         
        -> Führe ueber die Serielle Console nachfolgenden Befehl aus um einen Neustart des Devices durchzuführen:
       
        # '''execute shutdown'''
               
        -> Um das HQIP Image über den TFTP Server zu laden muss eine Workstation folgendermassen mit eine FortiGate
          verbunden werden (Beispiel: FortiGate-60D)
       
                      _____________________________
                      |      RS232 Verbindung      |
        Consolen Port |                             |
          ___________|___                          | RS232 Anschluss
          |              |                    ____|_______________
          | FortiGate 60D |  192.168.1.100/24 |                    |
          |_______________|              _____| LapTop/Workstation | --> SolarWindsTFTP Server starten
                  |                    | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root
              WAN1 |                    |     
                  |_____________________|  
       
          '''NOTE''' Auf dem Laptop müssen sämtliche Firewall's, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
              muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)!
       
        -> Oeffne über Putty eine Serielle Verbindung (Console) und achte darauf das "putty" für Log aktiviert wurde.
          Schalte Die FortiGate ein und breche den Startprozess ab wenn folgendes erscheint:
       
        FortiGate-60D (10:49-11.12.2014)
        Ver:04000024
        Serial number: FGT60D4615013788
        CPU(00): 800MHz
        Total RAM:  2GB
        Initializing boot device...
        Initializing MAC... nplite#0
        Please wait for OS to boot, or press any key to display configuration menu
       
        '''Unterbreche den Boot-Prozess durch "Press any key"'''
               
        [C]: Configure TFTP parameters.
        [R]: Review TFTP parameters.
        [T]: Initiate TFTP firmware transfer.
        [F]: Format boot device.
        [I]: System information.
        [B]: Boot with backup firmware and set as default.
        [Q]: Quit menu and continue to boot.
        [H]: Display this list of options.
       
        Enter C,R,T,F,I,B,Q,or H: T
       
        Please connect TFTP server to Ethernet port 'WAN1'.
       
        MAC: 08:5b:0e:d9:18:f0
       
        Connect to tftp server 192.168.1.100 ...
       
        ############################################################
        Image Received.
        Checking image... OK
       
        '''ACHTUNG Beim nächsten Menüpunkt wähle "R" dh. NICHT "D" oder "B" Speichern sondern NUR Ausführen!'''
       
        Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?'''R'''
        Reading boot image... 1829759 bytes.
        Initializing firewall...
       
        System is starting..
       
        Test program loading(HQIP, Build1003,Dec 15 2010 19:42:45) ...
       
        You are running HQIP test program. To start testing, login as "admin" without password, and type:
        diagnose hqip start
       
        '''Logge dich nun ein anhand der obigen Informationen!'''
       
        HQIP login: '''admin'''
        Password:
        Welcome !
       
        HQIP # '''diagnose hqip start'''
 
Nun wird der HQIP Test ausgeführt und zwar für folgende Informationen:
 
        1.BIOS Integrity Check
        2.System Configuration Check
        3.Memory test
        4.CPU test
        5.CPU/Memory Performance Test
        6.FortiASIC Test
        7.USB Test
        8.Boot Device Test
        9.Hard Disk Test
        10.Network Interface Controller Test
        11.NPU DDR Memory Test
        12.LED Test
        13.Reset Button Test
 
dh. normalerweise müssten alle Netzwerkkarten Ports angeschlossen werden. Geschieht dies nicht erscheint eine Fehlermeldung die jedoch keinen weiteren Einfluss hat auf die auszuführenden Tests, ausser der Test soll auf den Interfaces ausgeführt werden. Wenn die Netzwerkkarten Test korrekt ausgeführt werden soll müssen die Ports folgendermassen verbunden werden (Beispiel FortiGate-60D):
 
        [[Datei:Fortinet-10000.jpg]]
 
Nachfolgend ein Output eines solchen Tests für eine FG-60D (Netzwerkport gemäss Grafik oberhalb "überlistet"):
 
        [[Datei:hqip-output-v54.txt]]
 
Um die Fortigate wieder in den Orginalzustand zu versetzen führe ein Login über die Serielle Consoel durch mit dem User "admin" (kein Passwort). Danach führe folgendes aus:
 
        HQIP login: admin
        Password:
        Welcome !
       
        HQIP # execute reboot
        This operation will reboot the system !
        Do you want to continue? (y/n)y
 
Da das HQIP Image "nur" temporärer (Memory) installiert wurde sind alle Informationen nach einem Neustart betreffend diesem Image gelöscht worden. Wenn es nach dem Neustart zu Hinweise/Errors betreffend der Konfiguration kommt zB:
 
        System is started.
        The config file may contain errors,
        Please see details by the command 'diagnose debug config-error-log read'
 
Führe ein Login durch und führe folgendes aus:
 
        # diagnose debug config-error-log read
        >>>  "unset" "post-lang" @ root.firewall.profile-protocol-options.default.ftp:command parse error (error -61)
 
Oftmals ist ein einfach Neustart der Fortigate nötig um das Problem zu beheben:
 
        # execute reboot
 
=== Für eine FortiGate Device der "E" Serie existiert kein HQIP Image wie kann ich dennoch einen Hardwartest ausführen? ===
 
Bei der "E" Serie kann von der "Support" Seite kein seperates HQIP Image herungergeladen werden. Auf diesen Umstand wird auf der "Support" Seite auch darauf hingewiesen. Dazu steht jedoch auf der "E" Serie ein "diagnose" Kommando zur Verfügung der diese "Hardware Tests" im Stil von "HQIP" durchführt:
 
        # diagnose hardware test [Parameter]           
 
Als "Parameter" kommen folgende Attribute in Frage:
 
        bios                    führt eine BIOS spezifische Überprüfung durch
        system                  führt eine System spezifische Überprüfung durch
        usb                    führt eine USB spezifische Überprüfung durch
        button                  führt eine button spezifische Überprüfung durch
        cpu                    führt eine CPU spezifische Überprüfung durch
        memory                  führt eine Memory spezifische Überprüfung durch
        network                führt eine Netzwerkinterface spezifische Überprüfung durch
        disk                    führt eine disk spezifische Überprüfung durch
        led                    führt eine LED spezifische Überprüfung durch
        wifi                    führt eine Wireless spezifische Überprüfung durch
        suite                  runthe HQIP test suite
        setting                die Testeinstellungen können auf diesen Weg geändert werden
        info                    zeigt die aktuellen Test Parameter an
 
=== Gibt es für FortiGate Device's eine Uebersicht wie die Luftzirkulation (Airflow) in den Device's aufgebaut ist? ===
 
Nachfolgende Dokument zeigen für die jeweiligen FortiGate Devices wie die Luftzirkulation/Kühlung in den Devices aufgebaut ist und wie diese funktionieren. Diese Dokumente stehen jedoch nur für FortiGate Devices 100D und höher zur Verfügung.
 
        [[Datei:FG-100D Airflow.pdf]]
        [[Datei:FG-200D Airflow.pdf]]
        [[Datei:FG-300C Airflow.pdf]]
        [[Datei:FG-600C_800C Airflow.pdf]]
        [[Datei:FG-1000C Airflow.pdf]]
        [[Datei:FG-1500D Airflow.pdf]]
        [[Datei:Fg-3700D Airflow.pdf]]
 
== Disk ==
 
=== Wie kann ich auf einer FortiGate die auf der Disk enthaltenen Daten (inkl. Boot Device) vollumfänglich (low level) löschen? ===
 
Ab FortiOS 5.0.5 gibt es die Möglichkeit die "Disk" (Internal) und/oder den "System Boot Device" über "low level" zu formatieren. Dies ist dann Wichtig wenn ein Device entsorgt wird oder dem Hersteller im RMA Fall zurückgesendet werden soll um so zu gewährleisen, dass sämtliche enthaltenen Daten auf der Disk gelöscht werden sollen. Bei der "low level" Formatierung werden die Spuren und Sektoren der "Disk" resp. des "System Boot Device's" mit zufälligen Daten 3 X überschrieben um so zu gewährleisten das die vorhandenen Daten komplett gelöscht werden. Ab FortiOS 5.0.5 steht für diesn Vorgang folgender Befehl zur Verfügung:
 
        # execute erase-disk [SYSTEM | Internal]
 
Wenn ein Device aus Gründen der "Security Gründen" bei einem RMA Austausch nicht dem Hersteller zurückgesendet werden kann obwohl die Möglichkeit einer "low level" Formatierung zur Verfügung steht bietet Fortinet innerhalb des "FortiCare" einen speziellen Vertrag an der es ermöglicht bei einem RMA Austausch den Device selber zu entsorgen anstelle diesen dem Hersteller zurück zu senden. Dieser Service wird "FortiCare RMA Secure Service" genannt. Weitere Informationen dazu siehe nachfolgenden Artikel:
 
        [[Fortinet:Support-RMA#Gibt_es_von_Fortinet_einen_.22FortiCare_Secure_RMA_Service.22.3F]]
 
=== Wie kann ich die Disk (Flash, SSD) eines FortiGate Device testen um zu überprüfen ob diese Fehler enthält? ===
 
Anhand des Befehls "diagnose disktest" kann auf einer FortiGate ab FortiOS 5.2.1 die Disk getestet werden. Dazu sollte berücksichtigt werden, dass dieser Test in einem Maitenance Fenster durchgeführt wird und nicht bei hoher Last. Um diesen Test zu benutzen muss anhand des Befehls zuerst die entsprechende Disk gewählt werden. Um die Disk's aufzulisten benutze folgenden Befehl:
 
        '''NOTE''' Der Test kann seine Zeit dauern dh. bei einer 60D ohne zusätzlichen Optionen dh. no Limit läuft der Test für
            7728M ca 45 Minuten! Dies gilt für "Round 1" denn sobald diese beendet ist beginnt der Test erneut dh. "Round 2".
            Der Test kann anhand "Ctrl + C" abgebrochen werden. Wenn dies durchgeführt wird erscheint folgendes:
           
            "User interrupt! Restoring data back to disk....".
 
Wie schon erwähnt muss für einen Test die entsprechende Disk zuerst gewählt werden. Daraus ergiebt sich folgendes Vorgehen:
 
        '''Liste die vorhandenen Device's auf:'''
       
        # diagnose disktest device
        1    /dev/sda, size 3864MB, boot device
        2    /dev/sdb, size 7728MB
 
        '''Selektieren die gewünschte Disk zB /dev/sdb dh. "2":'''
       
        # diagnose disktest device 2
        Current Test Device: /dev/sdb
 
        '''Setze für den Test verschiedene Optionen dh.:'''
       
        # diagnose disktest [bllock | time | size]
       
        '''NOTE''' Die Optionen haben folgende Bedeutung:
           
            block      Die Blocksize für jede Lese- sowie Schreiboperation.
            time        Die Limite der Testzeit für jeden Zyklus. Standard "keine Limite".
            size        Die Limite der Testgrösse für jeden Zyklus. Standard "keine Limite".
 
Wenn der gewünschte Device gesetzt/gewählt wurde/ist sowie sofern notwendig die Optionen konfiguriert wurden führe den Test aus:
 
        # diagnose disktest run
       
        Round 1 started.
        Current Test Device: /dev/sdb
        Total size: 7728M
        Current Test Block: 4M.
        Current Time Limit: No limit
        Current Size Limit: No limit
        Time(Sec)    Size(MB)                                                Read(MB/s) Write(MB/s)
          0.0        0(0.00%):  ..................................................  15.0  8.6
        76.0      200(2.59%):  ..................................................  15.1  8.9
        150.2      400(5.18%):  ..................................................  15.0  9.0
        224.3      600(7.76%):  ..................................................  15.0  8.9
        298.8      800(10.35%): ..................................................  15.1  8.9
        372.9    1000(12.94%): ..................................................  15.1  9.0
        446.9    1200(15.53%): ..................................................  15.1  9.0
        520.7    1400(18.12%): ..................................................  15.2  9.0
        594.4    1600(20.70%): ..................................................  15.1  9.0
        668.4    1800(23.29%): ..................................................  15.2  9.0
        742.1    2000(25.88%): ..................................................  15.3  9.0
        815.8    2200(28.47%): ..................................................  15.3  9.0
        889.5    2400(31.06%): ..................................................  15.3  8.9
        963.1    2600(33.64%): ..................................................  15.4  9.0
        1036.7    2800(36.23%): ..................................................  15.3  9.0
        1110.3    3000(38.82%): ..................................................  15.3  9.0
        1183.9    3200(41.41%): ..................................................  15.3  9.0
        1257.6    3400(44.00%): ..................................................  15.3  9.0
        1331.2    3600(46.58%): ..................................................  15.3  9.0
        1404.7    3800(49.17%): ..................................................  15.3  9.0
        1478.3    4000(51.76%): ..................................................  15.3  9.0
        1551.9    4200(54.35%): ..................................................  15.2  8.9
        1625.8    4400(56.94%): ..................................................  14.5  8.6
        1702.5    4600(59.52%): ..................................................  15.0  8.8
        1777.3    4800(62.11%): ..................................................  15.2  8.9
        1851.6    5000(64.70%): ..................................................  15.1  8.9
        1925.9    5200(67.29%): ..................................................  15.1  8.9
        2000.3    5400(69.88%): ..................................................  15.1  8.9
        2074.7    5600(72.46%): ..................................................  15.1  8.9
        2148.9    5800(75.05%): ..................................................  15.2  8.9
        2223.2    6000(77.64%): ..................................................  15.2  8.8
        2297.5    6200(80.23%): ..................................................  15.1  8.9
        2371.9    6400(82.82%): ..................................................  15.2  8.9
        2446.2    6600(85.40%): ..................................................  15.1  8.9
        2520.5    6800(87.99%): ..................................................  15.3  8.9
        2594.6    7000(90.58%): ..................................................  14.6  8.6
        2671.4    7200(93.17%): ..................................................  15.1  8.4
        2748.0    7400(95.76%): ..................................................  15.3  5.4
        2851.2    7600(98.34%): ................................
        Test Result: Passed
        Tested size: 7728MB (100.00% Coverage of whole disk)
        Time used: 2901.5 sec
        Read Speed:  15.2MB/s
        Write Speed:  8.7MB/s
        Round 1 Finished!
       
        Round 2 started.
        Current Test Device: /dev/sdb
        Total size: 7728M
        Current Test Block: 4M.
        Current Time Limit: No limit
        Current Size Limit: No limit
        Time(Sec)    Size(MB)                                                Read(MB/s) Write(MB/s)
          0.0        0(0.00%):  ..................................................  14.7  8.4
        77.9      200(2.59%):  .............User interrupt! Restoring data back to disk...
       
        Test Result: Interrupted
        Tested size: 256MB (3.31% Coverage of whole disk)
        Time used:  99.3 sec
        Read Speed:  14.7MB/s
        Write Speed:  8.4MB/s
        Round 2 Finished!
 
=== Wird bei einem "unclean shutdown" auf einem FortiGate Device beim Systemstart ein "filesystem check" durchgeführt? ===
 
Ab der Version 5.2.x wurde diese Funktion integriert sowie zusätzlich die Möglichkeit die Disk explizit manuell zu testen. Weitere Informationen wie man einen "expliziten" Disk Test Manuell ausführt siehe nachfolgenden Artikel:
 
        [[FortiGate-5.4:FAQ#Wie_kann_ich_die_Disk_.28Flash.2C_SSD.29_eines_FortiGate_Device_testen_um_zu_.C3.BCberpr.C3.BCfen_ob_diese_Fehler_enth.C3.A4lt.3F]]
 
Wie erwähnt wurde für ein "unclean shutdown" (zB Stromunterbruch) im FortiOS 5.2.x die Funktion eingebaut, dass nach einem "unclean shutdwown" während dem Start Prozess dies erkannt wird und automatisch ein "filesystem check" ausgeführt wird. Diese wird "nicht" anhand eines "expliziten" Disk Tst aufgeführt sondern ähnelt einem "fsck" das auf einem Linux System ausgeführt wird. In diesem Vorgang wird durch das System bemerkt das ein "unclean shutdown" stattgefunden hat. Dies wird ebenfalls indiziert in dem beim Start auf der Console folgendes erscheint:
 
        System is starting...
        Starting system maintenance...
        scanning /dev/sda2... (100%)
 
In vorhergehenden Versionen des FortiOS dh. zB 5.0 wurde dieser "filesystem check" beim Start des Devices durchgeführt. Solch ein "filesystem check" kann einige Zeit in Anspruch nehmen und deshalb wurde die Vorgehensweise ab der FortiOS Version 5.2.3 geändert. Dies bedeutet: Wenn ein "unclean shutdown" stattfindet ab FortiOS Version 5.2.3 wird kein "filesystem check" mehr direkt beim Neustart des Device ausgeführt sondern nur ein "system maintenace" indiziert. Sobald sich der Administrator auf dem Web Mgmt. Interface einloggt wird ein entsprechender Dialog angezeigt der durch den "unclean shutdown" ausgelöst wurde:
 
        [[Datei:Fortinet-1609.jpg]]
 
Durch diesen Dialog hat der Administrator die Möglichkeit den "filesystem check" auszuführen oder diesen auf einen späteren Zeitpunkt zu verschieben. Wird der "filesystem check" nach dem einloggen des Administrators ausgeführt so wird ein Neustart des Devices ausgeführt und dieser "filesystem check" beim Neustart ausgeführt. Wie schon erwähnt kann dieser "filesystem check" durchaus mehrere Minuten in Anspruch nehmen und der Vorgang sollte auf keinen Fall unterbrochen werden! Wird diese "filesystem check" Meldung beim einloggen auf das Web Mgmt. Interface anhand "Remind me later" auf einen späteren Zeitpunkt verschoben, wird die Meldung nach jedem Einloggen angezeigt bis dieser "filesystem check" ausgeführt wird!
 
== PowerSupply ==
 
=== Kann man für FortiGate's seperate Spare und/oder Redundante PowerSupply (RPS) beziehen? ===
 
Für die verschiedenen FortiGate Devices stellt Fortinet seperate "PowerSupplies" zur Verfügung. Für die grösseren Devices stehen zusätzlich für die Redundanz ebenfalls "RPS Devices" (Redundand PowerSupply) zur Verfügung. Welche Geräte kompatible sind zu den seperaten "RPS Devices" siehe nachfolgender Artikel:
 
        [[Fortinet:ProduktInfo#FortiRPS]]
 
Nachfolgende Tabelle zeigt für welchen FortiGate Device welches sperate zu beziehende "PowerSupply" bestellt werden kann:
 
        [[Datei:Fortinet-1081.jpg]]
        [[Datei:Fortinet-1082.jpg]]
 
Nachfolgend einige erfasste ALSO Schweiz Artikel betreffend "PowerSupply":
 
        '''ALSO Art Nr.'''    '''Hersteller SKU'''          '''Beschreibung'''
        16503530H      SP-FG20C-PA-EU          AC power adaptor with EU power plug for FG/FWF-20C series, FG/FWF-30D
        16502510H      SP-FG80-PDC            AC power adaptor - AC power adaptor for FG/FWF-80C/CM
        16501668H      SP-FG60C-PDC            AC power adaptor - AC power adaptor for FG/FWF-40C, FG/FWF-60C, FG/FWF-60D, FG-70D, FG/FWF-90D
        16502889H      SP-FG600C-PS            AC power supply - AC power supply for FG-600C, FG-600D, FG-800C, and FG-1000C
        16505060H      SP-FG1240B-PS          AC power supply - AC power supply for FG-1200D, FG-1240B, FG-1500D, FG-3040B and FG-3140B
 
Ebenso stehen für die FortiAP sowie FortiAP-S "PowerSupplies" zur Verfügung. Weitere Informationen dazu siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F]]
        [[FortiAP-S:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP-S_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F]]
== SFP Ports ==
 
=== Kann ich für die SFP Ports auf einer FortiGate ebenfalls Fremdprodukte wie Cisco oder Huawai einsetzen? ===
 
Dies ist möglich jedoch ausgiebig vorgängig zu testen! Von unserer Seite her haben wir Tests sowie Feedback das folgende Transceiver einwandfrei funktionieren:
 
        '''Copper GigaBit 10/100/1000'''
       
        GLC-T=746320861579    Cisco Catalyst GigaEthernet SFP Modul 1000Base T
        02314171              Huawayi Electrical Transceiver SFP Module 1000Base T
       
        '''NOTE''' Durch Fortinet werden ebenfalls nicht eigenen Transceiver eingesetzt sondern von Fremdherstellern dh. wird ein Transceiver
            über Fortinet bestellt, wird ein Transceiver zB von Huaway geliefert! Weitere Informationen betreffend "offizielle" SFP/SFP+
            Module von Fortinet sowie den Gebrauch von "nicht offiziellen" siehe folgender Artikel:
           
            [[FortiGate-5.4:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F]]
 
=== Welche FortiGate Device's unterstützen SFP's und bei welchen FortiGate Devices werden SFP's mitgeliefert? ===
 
Nachfolgende Tabelle zeigt welche FortiGate Devices wieviele SFP's unterstützen und bei welchem FortiGate Device bereits SFP Module mitgeliefert werden:
 
        '''NOTE''' NIL = Not Included!
       
        [[Datei:Fortinet-1085.jpg]]
        [[Datei:Fortinet-1086.jpg]]
 
Es können für die FortiGate Devices auch Fremdprodukte als SFP's eingesetzt werden jedoch gibt es keine Gewährleistung das diese einwandfrei funktionieren. Weitere Infos siehe nachfolgender Artikel:
 
        [[FortiGate-5.4:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F]])
       
        '''NOTE''' Desweiteren ist nachfolgendes Dokument zu beachten, wenn keine "offiziellen" Tranceiver von Fortinet eingesetzt
            werden (speziell Seite 2 "3rd Party Transceivers Support"):
           
            [[Datei:Tech_Note-Transceivers_FAQs-201407-R3.pdf]]
 
Basierend auf den "offiziellen" Tranceiver von Fortinet gemäss Preisliste stehen folgende SFP/SFP+ Module zur Verfügung:
 
        Transceiver '''LX, Long Range'''; all FortiGate models with SFP interfaces                                              ALSO SKU 16500426H  (Hersteller SKU FG-TRAN-LX)
        Transceiver '''SX, Short Range'''; all FortiGate models with SFP interfaces                                            ALSO SKU 16500428H  (Hersteller SKU FG-TRAN-SX)
        Transceiver '''Base-T''' (Copper); all FortiGate models with SFP interfaces (supports 10/100/1000)                      ALSO SKU 16500427H  (Hersteller SKU FG-TRAN-GC)
       
        10-Gig transceiver, '''short range SFP+'''; all FortiGate models with SFP+ interfaces                                  ALSO SKU 16500429H  (Hersteller SKU FG-TRAN-SFP+SR)
        10-Gig transceiver, '''short range XFP'''; all FortiGate models with XFP interfaces                                    ALSO SKU 16500430H  (Hersteller SKU FG-TRAN-XFPSR)
        10-Gig transceiver, '''SFP+, Long Range'''; all FortiGate models with SFP+ interfaces                                  ALSO SKU 16500431H  (Hersteller SKU FG-TRAN-SFP+LR)
        10-Gig transceiver, '''XFP, Long Range'''; all FortiGate models with XFP interfaces                                    ALSO SKU 16500432H  (Hersteller SKU FG-TRAN-XFPLR)
       
        40-Gig transceiver, '''QSFP+, short range'''; all FortiGate models with QSFP+ interfaces                                ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-QSFP+SR)
        40-Gig transceiver, '''QSFP+, long range'''; all FortiGate models with QSFP+ interfaces                                ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-QSFP+LR)
       
        100-Gig transceiver, '''CFP2, short Range'''; all FortiGate models with CFP2 interfaces (10 Channel parallel fiber)    ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-CFP2-SR10)
        100-Gig transceiver, '''CFP2, long Range'''; all FortiGate models with CFP2 interfaces (only singlemode)                ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-CFP2-LR4)
       
 
Für eine direkte Verbindung zweier Fortigates über ein "direct attach cable" steht folgender Artikel zu Verfügung:
       
        10-Gig transceiver, '''SFP+, 10m direct attach cable'''; all FortiGate models with SFP+ and SFP/SFP+ interfaces        ALSO SKU auf Anfrage (Hersteller SKU SP-Cable-ADASFP+)     
 
Eine detaillierte Beschreibung der Tranceivereigenschaften befindet sich im folgenden Dokument:
       
        [[Datei:TRAN-DAT-R2-201503_web.pdf]]
 
=== Was sind die genauen Spezifikationen der SFP's Module die von Fortinet für die FortiGate Devices geliefert werden? ===
 
Im nachfolgenden Artikel wird beschrieben ob ein SFP/SFP+ Module zu einer FortiGate mitgeliefert wird und welche SFP/SFP+ Module offiziell für die FortiGate's zur Verfügung stehen:
 
        [[FortiGate-5.4:FAQ#Welche_FortiGate_Device.27s_unterst.C3.BCtzen_SFP.27s_und_bei_welchen_FortiGate_Devices_werden_SFP.27s_mitgeliefert.3F]]
 
In der nachfolgenden Tabelle werden die technischen Spezifikationen aufgelistet der SFP Module die von Fortinet für die FortiGate Devices geliefert werden:
 
        [[Datei:Fortinet-1087.jpg]]
 
        '''NOTE''' Die Informationen stammen aus einem Fortinet "Knowledgebase Artikel" und über diesen sind weitere Informationen verfügbar:
           
            http://kb.fortinet.com/kb/dynamickc.do?cmd=show&forward=nonthreadedKC&docType=kc&externalId=13823&sliceId=1
 
        [[Datei:Fortinet-1129.jpg]]
 
Nachfolgend das offizielle "Regulatory Compliance Document" betreffend SFP SX Transceiver:
 
        Regulatory Doc  [[Datei:Regulatory-Compliance-Document_FG-TRAN-SX_Rev_1.03.pdf]]
        Regulatory Doc  [[Datei:Regulatory-Compliance-Document_FG-TRAN-CFP2-LR4_Rev_1.00.pdf]]
        Regulatory Doc  [[Datei:Regulatory-Compliance-Document_FG-TRAN-CFP2-SR10_Rev_1.00.pdf]]
 
== ASIC/Hardware Acceleration ==
 
== Consolen Port (Mgmt. Port) ==
 
=== Was für ein Kabel (Converter) benötige ich für den Consolen Anschluss (Seriell RS-232) auf einer FortiGate? ===
 
Eine Fortinet kann über Consolen Port, SSH, Telnet, HTTP, HTTPS Administriert werden. Bei Problemen oder für das initial Setup ist der Consolen Port unablässlich. Dabei handelt es sich beim Consolen Port über eine RS232 Schnittstelle. Die heutigen Workstation und/oder Laptops werden jedoch nicht mehr mit einem RS232 Anschluss ausgeliefert. Aus diesem Grund muss auf einen Converter zurückgegriffen werden. Bei diesen Convertern handelt es sich meistens um "USB to RS232 Converter". Dieses sind jedoch nicht unproblematisch dh. je nach Betriebssystem, Consolen Anschluss usw. kann es zu Problemen kommen dh. die Kompatibilität zu den verschiedenen Consolen Anschlüssen dh. vers. Hersteller und Geräten ist eine kompatibilitäts Frage! Der nachfolgende Artikel bietet eine "sehr hohe" Kompatibilität zu vers. Herstellern und hat den Vorteil, dass unter Windows 7/8 KEIN Treiber installiert werden muss (ab Windows 7 SP1). Wichtig bei der Installation ist nur das man das Gerät anschliesst und nachträglich einen Neustart ausführt. Ebenfalls wird der "FTDI Chip" basierende "USB to RS232 Converter" nur dann korrekt erkannt wenn dieser beim Start des Laptop korrekt angeschlossen ist (Immer den gleichen Anschluss benützen am Laptop). Nach der korrekten Erkennung des "USB to RS232 Converter" kann im entsprechenden Eintrag im Gerätemanager der Anschluss auf "Com1" umgestellt werden (per Standard ist Com3 gesetzt). Alle anderen Einstellungen sollten/können auf Standard belassen werden. Nachfolgend einige Informationen betreffend dieses "USB to RS232 Converter":
 
        [[Datei:Fortinet-619.jpg]]
 
        '''Technische Daten'''
       
        Hersteller:    EXSYS (https://www.exsys.ch/index.php?page=product&info=393)
        Produkte-Nr:  EX-1301-2
        ALSO-Nr:      [[https://ivis.also.ch/ivis/mao/DefaultShort.aspx?view=ShopArtikelDetail&artikelNr=17500313H&tab=0| 17500313H]]
        Anschlüsse:    1 x A-Stecker Upstream, 1 x 9 Pin D-SUB Seriell Stecker
        Datenblatt:    [[Datei:EX-1301-2-Datenblatt.pdf]]
        Handbuch:      [[Datei:EX-1301-2-Handbuch.pdf]]
        Unterstützung: Win98SE/ME/XP/CE/2000/2003/Vista/Win7 und Linux (MacOS X)
        Driver:        [[Datei:EX-1301-2.zip]]
        Driver Link:  https://www.exsys.ch/index.php?page=product&info=393
       
        Beschreibung:  Das USB 1.1 zu RS-232 Kabel stellt eine Serielle RS-232 High Performance UART 16C550 Ausgang zur Verfügung.
                      Er ist entwickelt worden um einen weiteren Seriellen Ausgang für PC, kleine Workstation oder Server über
                      den USB 1.1 oder 2.0 Bus zu erweitern.
       
                      '''NOTE''' Beim EX-1301-2 wird "kein" RS232-to-RJ45 Kabel mitgeliefert. Diese kann unter folgender
                            ALSO-Nr bezogen werden:
                           
                            [[https://ivis.also.ch/ivis/mao/DefaultShort.aspx?view=ShopArtikelDetail&artikelNr=16502947H&tab=0| 16502947H]]
 
Nachfolgendes Dokument zeigt wie auf einem MacOSx basierend auf diesem "USB to RS232 Converter" Adapter konfigiguriert wird inkl. der Konfiguration eines TFTP Servers. Dieses Dokument wurde durch einen Kunden zur Verfügung gestellt:
 
        [[Datei:RS232-USB-Converter-TFTP-Server-Konfig-MacOSx.pdf]]
 
Weitere Informationen zur genauen Pin-Belegung betreffend Fortinet Appliance und dem Seriellen Consolen Port siehe nachfolgenden Artikel:
 
        [[FortiGate-5.4:FAQ#Wie_sieht_die_PIN-Belegung_der_Seriellen_Consolen_.28RS-232_.2F_DB9_.2F_RJ-45_.2F_AUX.29_auf_einem_FortiGate_Device_aus.3F]]
 
=== Wie sieht die PIN-Belegung der Seriellen Consolen (RS-232 / DB9 / RJ-45 / AUX) auf einem FortiGate Device aus? ===
 
Nachfolgend die technischen Informationen über die Pin-Belegung der Seriellen Console der Fortinet Produkte wie FortiGate, FortiAnalyzer, FortiManager sowie FortiMail:
 
        '''NOTE''' Einige FortiGate Devices haben einen RS-232 DB9 Konsolen Verbindung und andere haben eine RJ-45 Verbindung
            (wie zB A Modelle). Ebenso existieren Modelle mit einem AUX Port. Alle diese Varianten benützen die gleiche
            Serielle Pin-Belegung!
           
            [[Datei:Fortinet-1083.jpg]]
 
=== Kann ich auf einer FortiGate den Seriellen Consolen Port (RS-232) deaktivieren? ===
 
Wenn man zB verhindern möchte, dass in einem Datacenter usw. über den Seriellen Console Port unerlaubt zugegriffen wird, kann dieser ab FortiOS 5.0 mit folgenden Befehl deaktiviert werden:
 
        # config system console
        # set login disable
        # end
       
        '''NOTE''' Dieses Kommando steht ab FortiOS 5.0 zur Verfügung und deaktiviert unter FortiOS 5.0 den "Seriellen Consolen" Port
            sowie den "USB" Port für den FortiExplorer. Ab FortiOS 5.2 wurde dieses Kommando erweitert dh. durch den hier gezeigten
            Befehl wird ab FortiOS 5.2 nur der "Consolen Port" deaktiviert und der "USB" Port muss sofern gewünscht seperat deaktiviert
            werden:
           
            # config system console
            # set fortiexplorer disable
            # end
 
== Web Gui ==
 
=== Unter FortiOS 5.4 ist der Hostname auf der Login Page ersichtlich wie kann ich diesen aktivieren/deaktivieren? ===
 
Wenn man über das Web Mgmt. Interface einer FortiGate unter FortiOS 5.4 einloggt dann kann es sein das die Login Seite den "Hostnamen" des FortiGate Devices zeigt:
 
        [[Datei:Fortinet-1614.jpg]]
 
Möchte man diesen "Hostnamen" über die Login Page aktivieren resp. deaktivieren kann folgendes ausgeführt werden:
 
        # config system global
        # set gui-display-hostname [enable | disable]
        # end
 
=== Unter FortiOS 5.4 kann ich zwar "Dashboards" sowie "Widgets" einblenden jedoch nicht mehr eigenen konfigurieren? ===
 
Unter FortiOS 5.4 fällt einem auf das keine zusätzlichen Dashboard's mehr erstellt werden können dh. es stehen über Mgmt. Web Interface folgende Konfigurationspunkte zur Verfügung:
 
        [[Datei:Fortinet-1628.jpg]]
 
Durch "Add Widget" kann ein zusätzliches "Widget" eingeblendet werden:
 
        [[Datei:Fortinet-1629.jpg]]
 
Möchte man nun ein zusätzliches "Dashboard" und/oder ein zusätzliches "Widget" über CLI konfigurieren ist dies nicht mehr möglich da folgende Befehle nicht mehr exisiteren:
 
        # config system admin
        # edit [Name des Administrators zB "admin"]
        # config dashboard-tabs
        # end
 
        # config system admin
        # edit [Name des Administrators zB "admin"]
        # config dashboard
        # edit 0
        # set widget-type app-usage
        # set widget-type storage
        # set widget-type protocol-usage
        # set widget-type device-os-dist "Deivce/
        # next
        # end
 
Somit steht unter FortiOS 5.4 nur das per Standard existierende "Dashbaord" zur Verfügung sowie die zur Verfügung stehenden "Widgets" die unter "Add Widgets" hinzugefügt werden können. Möchte man die Standard Konfiguration betreffend "Dashboard" wiederherstellen kann der Menüpunkt "Reset Dashboard" ausgeführt werden oder man kann unter CLI folgendes durchführen:
 
        # diagnose sys dashboard reset
 
Durch diesen Befehl und/oder durch Ausführen von "Reset Dashboard" führt das System folgendes durch für den eingeloggten "Administratore" zB "admin":
 
        # config system admin
        # edit "admin"
        # config dashboard
        # edit 1
        # set column 1
        # end
        # end
        # config system admin
        # edit "admin"
        # config dashboard
        # edit 2
        # set widget-type licinfo
        # set column 1
        # end
        # end
        # config system admin
        # edit "admin"
        # config dashboard
        # edit 3
        # set widget-type jsconsole
        # set column 1
        # end
        # end
        # config system admin
        # edit "admin"
        # config dashboard
        # edit 4
        # set widget-type sysres
        # set column 2
        # end
        # end
        # config system admin
        # edit "admin"
        # config dashboard
        # edit 5
        # set widget-type alert
        # set column 2
        # set top-n 10
        # end
        # end
 
=== Unter FortiOS 5.4 sehe ich über das Web Gui nicht alle Features wie kann ich diese aktivieren/deaktivieren? ===
 
Wenn man unter FortiOS 5.4 auf dem Web Mgmt. Interface einloggt kann es sein, dass nicht alle Features resp. Menüpunkte angezeigt werden. Ein Beispiel ist zB die "Local In Policy". Auf dem Web Mgmt. Interface stehen diese Features zur Verfügung um diese zu aktivieren resp. zu deaktiveren:
 
        System > Feature Select
 
        [[Datei:Fortinet-1613.jpg]]
 
Diese Feature sind ebenfalls über CLI verfügbar. Der Vorteil der CLI liegt darin das dort einige zusätzliche Features zur Verfügung stehen die über Web Mgmt. Interface nicht zur Verfügung stehen. Um die verschiedenen Features im Gui Bereich aufzulisten kann folgender Befehl benutzt werden:
 
        # config system settings
        # get | grep gui
        gui-default-policy-columns:
        gui-icap            : disable
        gui-implicit-policy : enable
        gui-dns-database    : enable
        gui-load-balance    : disable
        gui-multicast-policy: enable
        gui-dos-policy      : enable
        gui-object-colors  : disable
        gui-replacement-message-groups: enable
        gui-voip-profile    : enable
        gui-ap-profile      : enable
        gui-dynamic-profile-display: disable
        gui-ipsec-manual-key: disable
        gui-local-in-policy : enable
        gui-explicit-proxy  : enable
        gui-dynamic-routing : enable
        gui-dlp            : enable
        gui-sslvpn-personal-bookmarks: enable
        gui-sslvpn-realms  : enable
        gui-policy-based-ipsec: enable
        gui-threat-weight  : enable
        gui-multiple-utm-profiles: enable
        gui-spamfilter      : enable
        gui-application-control: enable
        gui-casi            : enable
        gui-ips            : enable
        gui-endpoint-control: enable
        gui-dhcp-advanced  : enable
        gui-vpn            : enable
        gui-wireless-controller: enable
        gui-switch-controller: enable
        gui-fortiap-split-tunneling: enable
        gui-webfilter-advanced: enable
        gui-traffic-shaping : enable
        gui-wan-load-balancing: enable
        gui-antivirus      : enable
        gui-webfilter      : enable
        gui-dnsfilter      : enable
        gui-waf-profile    : enable
        gui-fortiextender-controller: disable
        gui-advanced-policy : disable
        gui-allow-unnamed-policy: enable
        gui-email-collection: enable
        gui-domain-ip-reputation: enable
        # set [Gebe die gewünschte Gui Option an] [enable | disable]
 
        # config system global
        # get | grep gui
        gui-certificates    : enable
        gui-custom-language : enable
        gui-device-latitude :
        gui-device-longitude:
        gui-display-hostname: enable
        gui-ipv6            : disable
        gui-lines-per-page  : 50
        gui-theme          : green
        gui-wireless-opensecurity: enable
        # set [Gebe die gewünschte Gui Option an] [enable | disable]
        # end
 
=== Kann man auf einer FortiGate unter FortiOS 5.4 die Spalten innerhalb der "IPv4 Policy" konfigurieren? ===
 
Wenn man auf einer FortiGate unter FortiOS 5.4 eine Firewall Policy Rule erstellt dh. unter dem Menüpunkt "IPv4 Policy" dann werden nach der Erstellung der Firewall Policy Rule diese innerhalb verschiedener Spalten angezeigt. Diese Spalten können zwar im Browser verändert dh. zusätzliche Spalten hinzgefügt und gelöscht werden, jedoch diese Konfiguration ist nicht "persistent" dh. wenn der Browser Cache gelöscht wird geht die Konfiguration die über den Browser durchgeführt wurde verloren. Ueber die CLI sind diese Spalten der Firewall Policy Rule dh. für den Menüpunkt "IPv4 Policy" konfigurierbar und "persistent". Dazu führe folgendes aus:
 
        '''NOTE''' Die Konfiguration unter zB FortiOS 5.2 für die "gui-default-policy-columns" geht bei einem Upgrade auf
            FortiOS 5.4 verloren. Der Grund ist die verschiedenen zur Verfügung stehenden Optionen wie zB "count"
            existieren nicht mehr. Anstelle von "count" wird "hit_count" benutzt und aus diesem Grund wird die
            Konfiguration nach einem Upgrade auf "unset" gesetzt was wiederum bedeutet auf FortiOS 5.4 "Standard"!
 
        # config system settings
        # set gui-default-policy-columns ?
        *name                    Column name.
        #                        Seq #.
        name                    Name.
        policyid                Policy ID.
        srcintf                  Source.
        dstintf                  Destination.
        srcaddr                  Source Address.
        dstaddr                  Destination.
        schedule                Schedule.
        service                  Service.
        action                  Action.
        logtraffic              Log.
        nat                      NAT.
        status                  Status.
        bytes                    Bytes.
        packets                  Packets.
        session                  Sessions.
        last_used                Last Used.
        first_used              First Used.
        hit_count                Hit Count.
        profile                  Security Profiles.
        av-profile              AV.
        spamfilter-profile      Email Filter.
        webfilter-profile        Web Filter.
        application-list        Application Control.
        ips-sensor              IPS.
        dlp-sensor              DLP.
        icap-profile            ICAP Profile.
        voip-profile            VoIP Profile.
        profile-protocol-options Proxy Options.
        ssl-ssh-profile          SSL Inspection.
        vpntunnel                VPN Tunnel.
        comments                Comments.
        source                  Source.
        users                    Users.
        groups                  Groups.
        devices                  Devices.
        profile-group            Profile Group.
        traffic-shaper          Traffic Shapers.
        per-ip-shaper            Per-IP Traffic Shaper.
        endpoint-compliance      Endpoint Compliance.
 
Aus den zur Verfügung stehenden Optionen kann somit folgendes als Beispiel ausgeführt werden:
 
        # set gui-default-policy-columns "#" "policyid" "srcintf" "dstintf" "srcaddr" "dstaddr" "schedule" "service" "groups" "action" "profile" "logtraffic" "nat" "bytes" "hit_count"
        # end
 
        '''NOTE''' bei der Konfiguration muss berücksichtig werden das die "Sequenz" dh. "#" definiert werden muss. Zusätzlich muss "name" ebenfalls
            definiert werden sofern das Feature "gui-allow-unnamed-policy" nicht aktiviert ist was wiederum bedeutet, dass dieses Feature
            innerhalb eine Firewall Policy erzwingt jeder Firewall Policy Rule einen Namen zu vergeben!
 
== Upgrade ==
 
=== Soll ich (Stand Dezember 2015) ein Upgrade auf FortiOS 5.4.0 durchführen? ===
 
Es ist bei der FortiOS 5.4.0 zu beachten, dass es sich um einen neuen "General Availlibility Release" handelt. Wie aus den "Release Notes" zu entnehmen ist existieren auf diesem "Release 5.4.0" noch etliche "known issues". Ebenso stehen momentan noch nicht alle Informationen zur Verfügung betreffend den neuen Features und Funktionen zur Verfügung. Aus diesem Grund empfehlen wir diesen Release nicht für einen "produktiven Einsatz" da dieser Release aus unsere Sicht nicht "stable" ist. Für Testgeräte oder Laborgeräte ist es aber eine gute Sache sich mit dem neuen Release vertraut zu machen und sich in den neuen Release einzuarbeiten. Man kann sich mit dem neuen Menudesign vertraut machen und die neuen Features auf Herz Niere testen. Dabei ist jedoch die Kompatibilität zu anderen Devices wie zB FortiAnalyzr, FortiManager sowie FortiAP's zu berücksichtigen die in den "Release Notes" von FortiOS 5.4.0 explizit erwähnt werden.
 
        [[Datei:fortios-v5.4.0-release-notes.pdf]]
 
Es ist zu erwarten, dass neue Devices wie zB eine FG-30E, FG-50E mit dem neuen FortiOS 5.4.0 ausgeliefert werden. Speziell neue Devices wie FG-30E und FG-50E werden dann mit einem sogenannten "Brache Release" ausgeliefert was nicht dem "General Availibitliy Relase" entspricht. Aus diesem Grund und in jedem Fall empfehlen wir neue Devices von Grund auf neu zu "stagen". Wie dies durchzuführen ist siehe nachfolgender Artikel:
 
        [[FortiGate:KonfigExample#How_to_Staging.2FSetup_.22Konfigurations_Example.22.3F]]
 
=== Welche FortiGate Geräte/Devices werden vom neuen FortiOS 5.4 unterstützt? ===
 
Das neue FortiOS Unterstützt wie nachfolgend abgebildet folgende Geräte:
 
        [[Datei:Fortinet-1608.jpg]]
 
Dies bedeutet: Nur die hier abgebildeten Geräte können durch ein Upgrade mit FortiOS 5.4 betrieben werden.
 
== FortiView ==
 
=== In FortiView unter FortiOS 5.4 werden "unbekannte Applikationen" sowie "lokaler Traffic" nicht aufgelistet? ===
 
Unter der Voraussetzung das ein "logging" auf einer FortiGate korrekt konfiguriert wurde fällt einem auf, dass "unbekannte Applikationen" sowie "lokaler Traffic" nicht unter FortiView aufgelistet werden. Dies bedeutet: Wird "Application Control" benutzt und eine FortiGate kann eine Applikation nicht "identifizieren" fehlt dieser "Traffic" per Standard unter FortiView. Möchte man diese "unbekannten Applikationen" dennoch auflisten kann dies durch folgende Konfiguration durchgeführt werden:
 
        # config log gui-display
        # set fortiview-unscanned-apps [enable | disable]
        # end
 
Ebenso wird der "lokale Traffic" einer FortiGate dh. initiert durch den Device selber wie zB DNS, FortiGuard usw. nicht unter FortiView aufgelistet. Möchte man diesen "lokalen Traffic" auflisten so kann dies folgendermassen Konfiguriert werden:
 
        # config log gui-display
        # set fortiview-local-traffic [enable | disable]
        # end
 
Diese Konfiguration kann auch über Mgmt. Web Interface durchgeführt werden unter folgender Position:
 
        [[Datei:Fortinet-1626.jpg]]
 
        [[Datei:Fortinet-1627.jpg]]
 
== Rules/Filter (Policy) ==
 
=== Gibt es für eine Firewall Policy Rule für FortiOS 5.4 betreffend benutzen Objekten eine Limite (Policy is too big for system)? ===
 
Ja diese Limite existiert und zwar bei allen FortiOS Versionen. Dies bedeutet: wenn eine Firewall Policy Rule erstellt wird und in dieser Firewall Policy Rule wird zB eine Gruppe benutzt für Objekte und in dieser Gruppe exisiteren eine Vielzahl von Objekten kann es zu Fehlermeldungen kommen wie zB:
 
        "Policy is too big for system"
 
Dieser Umstand tritt auf wenn zB ein Upgrade durchgeführt wird und nachträglich eine neue Firewall Policy Rule erstellt werden möchte. Die Limite für eine Firewall Policy Rule betreffend enthaltenen Objekte ist die Folgende:
 
        Für FortiOS 5.4.0 oder höher 9000+ Objekte
 
        '''NOTE''' Für Informationen betreffend FortiOS 5.2.x siehe nachfolgender Artikel:
           
            [[FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_eine_Firewall_Policy_Rule_f.C3.BCr_FortiOS_5.2_betreffend_benutzen_Objekten_eine_Limite_.28Policy_is_too_big_for_system.29.3F]]
 
Der Grund für diese Limite ist realtiv einfach. Eine Firewall Policy Rule wird in den Kernel eines FortiOS geschrieben. In diesem Kernel existieren "memory limits" und diese verhindern das mehr Memory alloziert wird als gesetzt. Wenn dieser Umstand eintritt dh. zB für die Limite von 8000 Objekten (FortiOS 5.2.4 und tiefer) muss die Firewall Policy aufgeteilt werden in zwei Firewall Policy Rules.
 
=== Unter FortiOS 5.4 für eine "Firewall Policy Rule" existiert die Position "Name" um was handelt es sich dabei? ===
 
Wenn man unter FortiOS 5.4 eine neue Firewall Policy Rule" erstellt so fällt einem auf das im oberen Bereich eine Position existiert "Name". Wenn man für die zu erstellende "Firewall Policy Rule" per Standard keinen "Name" vergiebt so kann die "Firewall Policy Rule" nicht nicht entsprechend abgespeichert werden da per Standard die Vergabe des "Name" erzwungen wird. Diese Position indiziert einen "PCI Compliance" und wird für "Audits" benützt:
 
        [[Datei:Fortinet-1615.jpg]]
 
Die Bezeichnung des "Name" kann nicht benützt werden um die Logs auf der FortiGate zu Filtern da keine entsprechende Position zur Verfügung steht um dies auszuführen. Ebenso ist diese Position in den "Log Refrence" nicht enthalten. Somit steht diese Position rein im Zusammenhang mit der "PCI Compliance" resp. "Audits". Dies wird dann ersichtlich wenn ein "PCI Compliance" Report ausgeführt wird:
 
        [[Datei:Fortinet-1617.jpg]]
       
        '''NOTE''' Weitere Informationen dazu wie ein "PCI Compliance" Report ausgeführt wird und um was es sich dabei
            handelt siehe nachfolgenden Artikel:
           
            [[FortiGate-5.4:FAQ#Was_ist_.22PCI_Compliance.22_und_wie_kann_ich_unter_FortiOS_5.4_einen_.22PCI_Compliance.22_Report_ausf.C3.BChren.3F]]
 
Bei einem Upgrade auf FortiOS 5.4 werden zwar die bestehenden "Firewall Policy Rules" übernommen dh. ohne "Name" und auch wenn bestehende "Firewall Policy Rules" modifiziert werden wird die Position "Name" nicht erzwungen, jedoch bei jeder neu erstellten "Firewall Policy Rule" wird "Name" erzwungen. Möchte man diese Funktion deaktiveren dh. damit die Vergabe von "Name" nicht mehr erzwungen wird so kann dieses Feature über folgende Position aktiviert werden:
 
        System > Feature Select > Allow unnamed Policies
 
Ebenso kann über CLI dies konfiguriert werden:
 
        # config system settings
        # set gui-allow-unnamed-policy [enable | disable] 
        # end
 
=== Wenn ich für eine "Firewall Policy Rule" unter FortiOS 5.4 verschiedenen "Inspection Mode" benütze (flow/proxy) was gilt? ===
 
Neu unter FortiOS 5.4 wird der "Inspection Mode" Global konfiguriert dh. weitere Informationen siehe nachfolgenden Artikel:
 
        [[FortiGate-5.4:FAQ#Was_hat_sich_unter_FortiOS_5.4_betreffend_.22Security_Profiles.22_und_.22Inspection_Mode.22_grunds.C3.A4tzlich_ge.C3.A4ndert.3F]]
 
Wie dieser Artikel aufzeigt ist es jedoch möglich für "Security Profiles" individuelle Konfigurationen für den "Inspection Mode" durchzuführen dh. "proxy mode" und/oder "flow mode". Wenn dies geschieht kann der Traffic jedoch nicht individuell nach Konfiguration im "proxy mode" und/oder "flow mode" abgearbeitet werden dh. es gilt dann:
 
        Wenn in einer Firwall Policy Rule "proxy mode" sowie "flow mode" Security Profiles gemischt werden, wird für alle UTM
        Funktionen die beides anbieten dh. "proxy mode" und/oder "flow mode" automatisch "proxy mode" benutzt obwohl ein
        Security Profile "flow mode" konfiguriert wurde!
 
== UTM Proxy Options / Protocol Options ==
 
=== Was hat sich unter FortiOS 5.4 betreffend "Security Profiles" und "Inspection Mode" grundsätzlich geändert? ===
 
Für FortiOS 5.2 und tiefer wurde der "Inspection Mode" dh. "proxy mode" und/oder "flow mode" über die "Security Profiles" gesteuert. Dies bedeutet: Es gab keine "Globale" Einstellung um den Mode eben "proxy" und/oder "flow" Mode zu bestimmen. Dies ist nun möglich dh. der "Inspecton Mode" kann nun "Global" konfiguriert werden und gilt als Konfiguration für sätmliche bestehenden und neu erstellten "Security Profiles". Die Konfiguration wird unter Mgmt. Web Interface über folgender Position konfiguriert:
 
        [[Datei:Fortinet-1620.jpg]]
 
        [[Datei:Fortinet-1621.jpg]]
 
Wie man sieht wird bei dieser Konfiguration ein Hinweis eingeblendet dh. "Warning" um darauf hinzuweisen, dass dieser Wechsel des "Inpsection Mode" zur Folge hat, dass entsprechende "Security Profiles" umgeschrieben werden. Dieser Hinweis dh. die "Warning" wird nur über Mgmt. Web Interface angzeigt dh. wird die Konfiguration mit nachfolgenden Kommando über CLI durchgeführt, wird kein entsprechender Hinweis gezeigt:
 
        # config system settings
        # set inspection-mode [proxy | flow]
        # end
 
Somit steht neu der "Inspection Mode" für jede VDOM im "vdom" Mode individuell zur Verfügung und kann seperat konfiguriert werden da die Option unter "config system settings" verfügbar ist dh. keine "Globale" Konfiguration sondern für jede VDOM konfigurierbar:
 
        # config vdom
        # edit [VDOM Name zB "root"]
        # config system settings
        # set inspection-mode [proxy | flow]
        # end
 
Wenn der "Inspection Mode" geändert wird dh. von "proxy mode" auf "flow mode" oder umgekehrt so führt das FortiOS 5.4 im Hintergrund folgende Modifikationen automatisch durch:
 
        -> Für jedes "Antivirus" Profile wird das Kommando "set inspection-mode [proxy | flow]" durchgeführt.
         
        -> Für jedes "WebFilter" Profile wird das Kommando "set inspection-mode [proxy | flow]" durchgeführt.
                   
        -> Wenn Global unter "config system settings" von "proxy mode" auf "flow mode" umkonfiguriert wird so
          wird für jede "Firewall Policy Rule" für die ein "Security Profile" im "proxy mode" existiert dieses
          entfernt!
         
          '''NOTE''' Wenn die "proxy mode" Security Profiles in den Firewall Policy Rules entfernt werden wie beschrieben so ist diese
                Konfiguration nicht mehr Rückgängig zu machen dh. es ist umbedingt empfohlen vorgängig ein Backup der Konfiguration
                durchzuführen. Ebenso empfiehlt es sich über Mgmt. Console den folgenden "debug" für die CLI zu aktivieren um so zu
                sehen was genau bei der Aenderung durchgeführt wird:
               
                # diagnose debug cli -1
 
Desweiteren ist ebenfalls zu berücksichtigen "was" mit den Security Profiles "Antivirus" sowie "WebFilter" durchgeführt wird, wenn der "Inspection Mode" geändert wird. Nachfolgende Tabelle zeigt au welche Unterschiede in den verschiedenen "Inspection Mode" für "Antivirus" sowie "WebFilter" Security Profiles existieren:
 
        [[Datei:Fortinet-1622.jpg]]
 
        [[Datei:Fortinet-1623.jpg]]
        [[Datei:Fortinet-1624.jpg]]
 
Nichts desto trotz und obwohl die Konfiguration unter "config system settings" konfiguriert wird, steht in den "Security Profiles" die "proxy mode" und "flow mode" unterstützten die Option per Standard bei Folgenden "Security Profiles" zur Verfügung um individuell eine Konfiguration durchzuführen:
 
        # config [webfilter | antivirus] profile
        # edit [Name des Profiles]
        # set inspection-mode [proxy | flow]
        # end
 
Somit fragt man sich, ob diese "Security Profiles" dh. "WebFilter" und/oder "Antivirus" die einzigen die individuell konfiguriert werden können da andere "Security Profiles" ebenfalls im "proxy mode" und/oder "flow mode" unterstüzen. Nachfolgende Tabelle zeigt auf welche "Security Profiles" welchen "Inspection Mode" unterstützen:
 
        [[Datei:Fortinet-1625.jpg]]
 
Somit kann auch ein "DLP" sowie ein "Spamfilter" auf "flow mode" konfiguriert werden jedoch sind diese per Standard im "proxy mode" und werden bei Aenderung des "Globalen" Mode unter "config system settings" nicht in "flow mode" unkonvertiert und verbleiben somit im "proxy mode":
 
        # config dlp sensor
        # edit [Name des Profiles]
        # set flow-based [enable | disable]
        # end
 
        # config spamfilter profile
        # edit [Name des Profiles]
        # set flow-based [enable | disable]
        # end
 
Wenn der "Inspection Mode" für verschiedenen "Security Profiles" individuell konfiguriert wird ist zu berücksichtigen, was durchgeführt wird in einer "Firewall Policy Rule" wenn beide "Inspection Mode" benützt werden dh. "proxy mode" und/oder "flow mode". Weitere Informationen dazu siehe nachfolgenden Artikel:
 
        [[FortiGate-5.4:FAQ#Wenn_ich_f.C3.BCr_eine_.22Firewall_Policy_Rule.22_unter_FortiOS_5.4_verschiedenen_.22Inspection_Mode.22_ben.C3.BCtze_.28flow.2Fproxy.29_was_gilt.3F]]
 
== NTP / Time / Date ==
 
=== Wie kann ich auf einer FortiGate die Zeit sowie das Datum überprüfe sowie konfigurieren? ===
 
Die Zeit sowie das Datum lassen sich über Web Mgmt. Interface überprüfen sowie über CLI. Um die Zeit sowie das Datum über Web Mgmt. zu überprüfen sowie zu konfigurieren wähle folgendes:
 
        Dashboard > [Widget Systeminformation] > System Time > Change
       
        [[Datei:Fortinet-1612.jpg]]
 
Unter dieser Position kann die Zeit und das Datum manuell überprüft sowie konfiguriert werden! Um die Zeit und das Datum über die CLI zu überprüfen kann folgendes Kommando benutzt werden:
 
        # execute time
        current time is: 19:23:51
        last ntp sync:Wed Dec 23 18:55:08 2015
 
        # execute date
        current date is: 2015-12-23
 
Um die Zeit sowie das Datum über CLI zu konfigurieren kann folgendes durchgeführt werden:
 
        # execute time hh:mm:ss
 
        # execute date yyyy-mm-dd
 
=== Wie kann ich auf einer FortiGate die Zeitzone konfigurieren? ===
 
Die Definition der Zeitzone auf einer FortiGate kommt eine "wichtige" Funktion zu dh. FortiGuard benützt die Zeitzone für verschiedenen Konfigurationen. Die Zeitzone auf einer FortiGate ist per Standard auf "US&Canada" gesetzt. Somit benützt "FortiGuard" für dessen Service Server aus dieser Zeitzone "US&Canada". Das gleiche gilt für den WebFilter dh. wenn die Zeitzone nicht angepasst wird so benützt FortiGuard die WebFilter Datenbank der Zeitzone "US&Canada". Um die Zeitzone über Web Mgmt. Interface zu konfigurieren benütze folgende Position:
 
        Dashboard > [Widget Systeminformation] > System Time > Change
 
Um die Zeitzone über CLI zu konfigurieren kann folgendes durchgeführt werden:
 
        # config system global
        # set timezone ?
        01    (GMT-11:00)Midway Island, Samoa
        02    (GMT-10:00)Hawaii
        03    (GMT-9:00)Alaska
        04    (GMT-8:00)Pacific Time(US&Canada)
        05    (GMT-7:00)Arizona
        81    (GMT-7:00)Baja California Sur, Chihuahua
        06    (GMT-7:00)Mountain Time(US&Canada)
        07    (GMT-6:00)Central America
        08    (GMT-6:00)Central Time(US&Canada)
        09    (GMT-6:00)Mexico City
        10    (GMT-6:00)Saskatchewan
        11    (GMT-5:00)Bogota,Lima,Quito
        12    (GMT-5:00)Eastern Time(US & Canada)
        13    (GMT-5:00)Indiana(East)
        74    (GMT-4:30)Caracas
        14    (GMT-4:00)Atlantic Time(Canada)
        77    (GMT-4:00)Georgetown
        15    (GMT-4:00)La Paz
        16    (GMT-3:00)Santiago
        17    (GMT-3:30)Newfoundland
        18    (GMT-3:00)Brasilia
        19    (GMT-3:00)Buenos Aires
        20    (GMT-3:00)Nuuk(Greenland)
        75    (GMT-3:00)Uruguay
        21    (GMT-2:00)Mid-Atlantic
        22    (GMT-1:00)Azores
        23    (GMT-1:00)Cape Verde Is.
        24    (GMT)Monrovia
        80    (GMT)Greenwich Mean Time
        79    (GMT)Casablanca
        25    (GMT)Dublin,Edinburgh,Lisbon,London
        26    (GMT+1:00)Amsterdam,Berlin,Bern,Rome,Stockholm,Vienna
        27    (GMT+1:00)Belgrade,Bratislava,Budapest,Ljubljana,Prague
        28    (GMT+1:00)Brussels,Copenhagen,Madrid,Paris
        78    (GMT+1:00)Namibia
        29    (GMT+1:00)Sarajevo,Skopje,Warsaw,Zagreb
        30    (GMT+1:00)West Central Africa
        31    (GMT+2:00)Athens,Sofia
        85    (GMT+2:00)Istanbul
        32    (GMT+2:00)Bucharest
        33    (GMT+2:00)Cairo
        34    (GMT+2:00)Harare,Pretoria
        35    (GMT+2:00)Helsinki,Riga,Tallinn
        36    (GMT+2:00)Jerusalem
        37    (GMT+3:00)Baghdad
        38    (GMT+3:00)Kuwait,Riyadh
        83    (GMT+3:00)Moscow
        84    (GMT+3:00)Minsk
        40    (GMT+3:00)Nairobi
        41    (GMT+3:30)Tehran
        42    (GMT+4:00)Abu Dhabi,Muscat
        43    (GMT+4:00)Baku
        39    (GMT+3:00)St.Petersburg,Volgograd
        44    (GMT+4:30)Kabul
        46    (GMT+5:00)Islamabad,Karachi,Tashkent
        47    (GMT+5:30)Kolkata,Chennai,Mumbai,New Delhi
        51    (GMT+5:30)Sri Jayawardenepara
        48    (GMT+5:45)Kathmandu
        45    (GMT+5:00)Ekaterinburg
        49    (GMT+6:00)Almaty,Novosibirsk
        50    (GMT+6:00)Astana,Dhaka
        52    (GMT+6:30)Rangoon
        53    (GMT+7:00)Bangkok,Hanoi,Jakarta
        54    (GMT+7:00)Krasnoyarsk
        55    (GMT+8:00)Beijing,ChongQing,HongKong,Urumgi,Irkutsk
        56    (GMT+8:00)Ulaan Bataar
        57    (GMT+8:00)Kuala Lumpur,Singapore
        58    (GMT+8:00)Perth
        59    (GMT+8:00)Taipei
        60    (GMT+9:00)Osaka,Sapporo,Tokyo,Seoul
        62    (GMT+9:30)Adelaide
        63    (GMT+9:30)Darwin
        61    (GMT+9:00)Yakutsk
        64    (GMT+10:00)Brisbane
        65    (GMT+10:00)Canberra,Melbourne,Sydney
        66    (GMT+10:00)Guam,Port Moresby
        67    (GMT+10:00)Hobart
        68    (GMT+10:00)Vladivostok
        69    (GMT+10:00)Magadan
        70    (GMT+11:00)Solomon Is.,New Caledonia
        71    (GMT+12:00)Auckland,Wellington
        72    (GMT+12:00)Fiji,Kamchatka,Marshall Is.
        00    (GMT+12:00)Eniwetok,Kwajalein
        82    (GMT+12:45)Chatham Islands
        73    (GMT+13:00)Nuku'alofa
        86    (GMT+13:00)Samoa
        76    (GMT+14:00)Kiritimati
        # set timezone 26
        # end
 
=== Wie kann ich auf einer FortiGate die NTP Zeitsynchronisierung aktiviren und konfigurieren? ===
 
Um die NTP Zeitsynchronisierung über Web Mgmt. Interface zu aktivieren und zu konfigurieren wähle folgendes:
 
        Dashboard > [Widget Systeminformation] > System Time > Change
 
        [[Datei:Fortinet-1612.jpg]]
 
        '''NOTE''' Per Standard ist für die NTP Zeitsynchronisierung "FortiGuard" aktiviert. Dies ist nicht zu empfehlen. Es sollte
            ein "öffentlichen" NTP Server konfiguriert werden. Wir empfehlen "ch.pool.ntp.org" da dieser ein "öffentlicher"
            NTP Server ist und über mehrer "Stratum" Server verfügt! Wenn dennoch "FortiGuard" benutzt wird muss berücksichtig
            werden, dass diese NTP Server für "FortiGuard" nicht kostenlos zur Verfügung stehen sondern ein Service ist der unter
            der "FortiCare" Lizensierung zur Verfügung steht. Weitere Informationen dazu siehe nachfolgenden Artikel:
           
            [[Fortinet:FortiCare-FortiGuard#Wenn_ich_.22nur.22_DDNS_.28Dynamic_DNS.29.2C_GeoIP.2C_NTP_und_DNS_Service_von_FortiGuard_benutze_was_muss_ich_im_Minimum_lizensieren.3F]]
 
Wenn man die NTP Zeitsynchronisierung über CLI konfigurieren möcht kann folgendes durchgeführt werden:
 
        # config system ntp
        # set ntpsync enable
        # set type custom
        # set syncinterval 360
        # set server-mode enable
        # set interface "internal"
        # config ntpserver
        # edit 1
        # set server "ch.pool.ntp.org"
        # set ntpv3 disable
        # next
        # end
        # end
 
Bei diesem Beispiel wird zusätzlich zur NTP Synchronisierung über "ch.pool.ntp.org" die Option "server-mode" aktiviert sowie das "internal" Interface. Dies bedeutet: Auf dem "internal" Interface wird durch die Aktivierung von "server-mode" ein NTP Dienst aktiviert der in diesem Segment den Clients für eine NTP Zeitsynchronisierung zur Verfügung gestellt wird. Dabei ist zu beachten, dass diese Konfiguration keine zusätzliche "Firewall Policy Rule" benötigt da im Hintergrund eine automatische "Firewall Policy Rule" hinzugefügt wird durch das FortiOS (Local-In Policy). Diese erlaubt den Zugriff auf das definierte "Interface" aus diesem Segement. Diese "Local-In Policy" ist über Web Mgmt. Interface ersichtlich sofern das entsprechende Feature aktiviert ist:
 
        System > Feature Select > Additional Features > Local In Policy
 
Wenn dieses Feature aktiviert ist, sind die entsprechenden "Local In Policy" über folgende Position ersichtlich:
 
        Policy & Objects > Local In Policy
 
== PCI Compliance ==
 
=== Was ist "PCI Compliance" und wie kann ich unter FortiOS 5.4 einen "PCI Compliance" Report ausführen? ===
 
Die "PCI Compliance" Definition ist eine Beschreibung von Standards denen ein Implementer zB ISP, Finanzinstitute usw. folgend sollte. Somit bietet die Definion "PCI Compliance" Richtlinien an denen sich diese Implementer halten muss um als "PCI Compliance" zu gelten. Dies ist speziell im Zahlungsverkehr dh. Kreditkarten ein "muss". Weitere Informationen siehe nachfolgenden Link: 
 
        https://www.pcisecuritystandards.org/
 
Unter FortiOS 5.4 wurde dem Rechnung getragen dh. verschiedenen Positionen in verschiedenen Konfigurationen lehnen sich an diesen "PCI Compliance" an. Ein Beispiel wäre zB die Position "Name" innerhalb eine "Firewall Policy Rule". Weitere Informationen dazu siehe nachfolgenden Artikel:
 
        [[FortiGate-5.4:FAQ#Unter_FortiOS_5.4_f.C3.BCr_eine_.22Firewall_Policy_Rule.22_existiert_die_Position_.22Name.22_um_was_handelt_es_sich_dabei.3F]]
 
Somit kann unter FortiOS 5.4 auch ein "PCI Compliance" Report ausgeführt werden dh. dieser überprüft die vorhandenen Konfiguration nach "PCI Compliance" Standard. Der Report resp. die Funktion ist jedoch per Standard deaktiviert und kann über Web Mgmt. Interface aktiviert und über einen "schedule" konfiguriert werden. Dabei wird "täglich" durch die Definition des "schedules" ein Report generiert in Form eines Logs. Um die entsprechende Konfiguration durchzuführen wähle im Web Mgmt. Interface folgende Position:
 
        System > Advanced > Compliance
 
        [[Datei:Fortinet-1618.jpg]]
 
Der "PCI Compliance" Report kann ebenfalls nach der Aktivierung direkt ausgeführt werden mit "run now". Wird dies durchgeführt ist der Report in Form von Log's unter folgender Position verfügbar:
 
        Log & Report > Compliance Events
 
        [[Datei:Fortinet-1619.jpg]]
       
        '''NOTE''' Diese Konfiguration über Web Mgmt. Interface ist VDOM basierend dh. wenn der VDOM Mode benutzt wird so muss unter
            "global" generell die Funktion zur Verfügung gestellt werden. Dabei wird der "schedule" Global konfiguriert und
            in der VDOM entweder aktiviert oder deaktiviert!
 
Um auf der CLI die Konfiguration des "PCI Compliance" Report durchzuführen führe folgendes aus:
 
        # config system global
        # set compliance-check enable
        # set compliance-check-time 09:00:00
        # end
 
        # config system settings
        # set compliance-check enable
        # end
 
Dabei ist folgendes zu berücksichtigen: Bei kleineren Devices wie zB FG-60D kann nicht auf "disk" geloggt werden. Somit stehen für die Logs lokal nur "memory" zur Verfügung sofern nicht Remote zB auf einen FortiAnalyzer geloggt wird. Da für das "memory" Logging 10% des vorhandenen Memory genutzt wird sind diese "Compliance Events" nicht "persistent" sondern sind nach kurzer Zeit nicht mehr verfügbar. Ebenso ist folgendes zu berücksichtigen: Jede Meldung des Reports resp. jeder Eintrag unter "Compliance Events" muss analysiert werden um zu bestimmen ob der Eintag ein Problem für die "PCI Compliance" darstellt. Dies bedeutet auch: Der nachfolgende Eintrag weist daraufhin, dass "deep inspection" für SSH nicht aktiviert wurde. Diese Funktion jedoch steht auf einem FG-60D nicht zur Verfügung also ist dieser Log Eintrag ein Hinweis jedoch kann nicht durch eine entsprechende Konfiguration behoben werden:
 
        [[Datei:Fortinet-1616.jpg]]
 
Es ist somit anzufügen, dass diese Funktion Hinweise liefert im "PCI Compliance" Bereich und nicht im allgemeinen "security" technische Bereich!
 
== Log/Logging ==
 
=== Wie sieht eine vollständige Log Konfiguration für FortiOS 5.4 aus und wie wird diese durchgeführt? ===
 
Wenn man mit einer Firewall arbeitet ist die absolute Grundvoraussetzung ein zur Verfügung stehendes Log um anhand dessen Analysen durchzuführen. Desweiteren sind die enthaltenen Informationen in den Logs dh. Funktionen die man für die Log Details aktivieren kann unumgänglich und absolut Fundamental. Um eine vollständige Log Konfiguration durchzuführen unter FortiOS 5.4 führe folgendes aus:
 
        <big>'''Globale Log Konfiguration'''</big>
       
        # config log setting
        # set resolve-ip [enable | disable]
        # set resolve-port [enable | disable]
        # set log-user-in-upper [enable | disable]
        # set fwpolicy-implicit-log [enable | disable]
        # set fwpolicy6-implicit-log [enable | disable]
        # set log-invalid-packet [enable | disable]
        # set local-in-allow [enable | disable]
        # set local-in-deny-unicast [enable | disable]
        # set local-in-deny-broadcast [enable | disable]
        # set local-out [enable | disable]
        # set daemon-log [enable | disable]
        # set neighbor-event [enable | disable]
        # set brief-traffic-format [enable | disable]
        # set user-anonymize [enable | disable]
        # set fortiview-weekly-data [enable | disable]
        # end
       
        '''NOTE''' Die Option "fortiview-weekly-data" steht nur Devices zur Verfügung die über ein "disk" Logging verfügen!
       
        Wir empfehlen für eine komplette Grundkonfiguration folgendes auszuführen:
       
        # config log setting
        # set resolve-ip enable
        # set resolve-port enable
        # set log-user-in-upper disable
        # set fwpolicy-implicit-log enable
        # set fwpolicy6-implicit-log disable
        # set log-invalid-packet disable
        # set local-in-allow enable
        # set local-in-deny-unicast disable
        # set local-in-deny-broadcast disable
        # set local-out enable
        # set daemon-log disable
        # set neighbor-event disable
        # set brief-traffic-format disable
        # set user-anonymize disable
        # end
 
        <big>'''Globale Network Visibility Log Konfiguration'''</big>
       
        Aktiviere/Deaktivieren Network Visibility
       
        # config system network-visibility
        # set destination-visibility [enable | disable]
        # set source-location [enable | disable]
        # set destination-hostname-visibility [enable | disable]
        # set hostname-ttl [Definiere TTL Standard 86400]
        # set hostname-limit [Definiere Anzahl Hostname Limit Standard 5000]
        # set destination-location [enable | disable]
        # end
       
        Wir empfehlen für eine Konfiguration folgendes:
       
        # config system network-visibility
        # set destination-visibility enable
        # set source-location enable
        # set destination-hostname-visibility enable
        # set hostname-ttl 86400
        # set hostname-limit 5000
        # set destination-location enable
        # end
 
        <big>'''Globale Eventfilter Log Konfiguration'''</big>
       
        # config log eventfilter
        # set event [enable | disable]
        # set system [enable | disable]
        # set vpn [enable | disable]
        # set user [enable | disable]
        # set router [enable | disable]
        # set wireless-activity [enable | disable]
        # set wan-opt [enable | disable]
        # set endpoint [enable | disable]
        # set ha [enable | disable]
        # set compliance-check [enable | disable]
        # end
       
        Wir empfehlen für eine Konfiguration folgendes:
       
        # config log eventfilter
        # set event enable
        # set system enable
        # set vpn enable
        # set user enable
        # set router enable
        # set wireless-activity enable
        # set wan-opt enable
        # set endpoint enable
        # set ha enable
        # set compliance-check enable
        # end
 
        <big>'''Globale Gui Log Konfiguration'''</big>
       
        # config log gui-display
        # set resolve-hosts [enable | disable]
        # set resolve-apps [enable | disable]
        # set fortiview-unscanned-apps [enable | disable]
        # set fortiview-local-traffic [enable | disable]
        # set location [memory | disk | fortianalyzer | fortiguard]
        # end
       
        '''NOTE''' In dieser Konfiguration muss darauf geachtet werden, dass für die Option "location" der Device definiert ist
            der als "Log Device" definiert wird. Dies bedeutet: Wird als "Log Device" das Memory definiert so muss als
            "location" ebenfalls "memory" definiert werden. Durch "location" wir die API Schnittstelle definiert für den
            Zugriff auf die Datenbank die benützt wird für das Logging!
       
        Wir empfehlen für eine Konfiguration ausgehend davon, dass "memory" Logging benutzt wird folgendes:
       
        # config log gui-display
        # set resolve-hosts enable
        # set resolve-apps enable
        # set fortiview-unscanned-apps enable
        # set fortiview-local-traffic enable
        # set location memory
        # end
 
        <big>'''Device Log Konfiguration'''</big>
       
        '''NOTE''' Bei dieser Konfiguration ist zu berücksichtigen, dass nur grösseren Geräten die "disk" für das Logging zur Verfügung steht.
            Kleineren Devices steht nur das "memory" für das Logging zur Verfügung. Wird "memory" benutzt wird 10% des Memory herangezogen
            um ein "memory" Logging durchzuführen. Diese 10% Memory werden immer wieder überschrieben um ein kontinuierliches Logging zu
            gewährleisten. Somit steht im Zusammenhang mit "memory" Logging keine History zur Verfügung. Wir empfehlen ein "Logging" auf
            FortiAnalyzer um eine History zu gewährleisten und das Memory nicht zusätzlich mit einem "memory" Logging zu belasten! Um zu
            verfizieren ob ein Device über die Möglichkeit verfügt auf "disk" zu "Loggen" kann die "Software Matrix" herangezogen werden:
           
            [[Datei:FortiOS-Software-Platform-Matrix-54.pdf]]
               
        '''Device Log Konfiguration "Null-Device"'''
       
        Diese Konfiguration ist zuständig, das Devices die nicht für "Remote Logging" (FortiAnalyzer) konfiguriert wurde dh. zB für "memory"
        dennoch über "statistics" verfügen. Dies bedeutet: Diese Funktion steht nur im Zusammenhang mit Lokalen Logging!
       
        # config log null-device setting
        # set status [enable | disable]
        # end
       
        Zu diesem Device dh. "null-device" existiert ebenfalls ein entsprechender Filter:
       
        # config log null-device filter
        # set severity [emergency | alert | critical | error | warning | notification | information | debug]
        # set forward-traffic [enable | disable]
        # set local-traffic [enable | disable]
        # set multicast-traffic [enable | disable]
        # set sniffer-traffic [enable | disable]
        # set anomaly [enable | disable]
        # set voip [enable | disable]
        # set filter [Benütze ? für weitere Informationen]
        # set filter-type [include | exclude]
        # end
             
        Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "memory" oder "disk" als "Device Konfiguration" benutzt wird:
       
        # config log null-device setting
        # set status enable
        # end
       
        # config log null-device filter
        # set severity information
        # set forward-traffic enable
        # set local-traffic enable
        # set multicast-traffic enable
        # set sniffer-traffic enable
        # set anomaly enable
        # set voip enable
        # unset filter
        # set filter-type include
       
        '''Device Log Konfiguration "Memory"'''
       
        # config log memory setting
        # set status [enable | disable]
        # set diskfull overwrite
        # end
       
        # config log memory filter
        # set severity [emergency | alert | critical | error | warning | notification | information | debug]
        # set fortward-traffic [enable | disable]
        # set local-traffic [enable | disable]
        # set multicast-traffic [enable | disable]
        # set sniffer-traffic [enable | disable]
        # set anomaly [enable | disable]
        # set voip [enable | disable]
        # set set filter [Benütze ? für weitere Informationen]
        # set set filter-type [include | exclude]
        # end
       
        Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "memory" als "Device Konfiguration" benutzt wird:
       
        # config log memory setting
        # set status enable
        # set diskfull overwrite
        # end
       
        # config log memory filter
        # set severity information
        # set fortward-traffic enable
        # set local-traffic enable
        # set multicast-traffic enable
        # set sniffer-traffic enable
        # set anomaly enable
        # set voip enable
        # unset filter
        # set filter-type include
        # end
       
        '''Device Log Konfiguration "FortiAnalyzer"'''
       
        # config log fortianalyzer setting
        # set status [enable | disable]
        # set ips-archive [enable | disable]
        # set server [FortiAnalyzer IP]
        # set enc-algorithm [default | high | low | disable]
        # set conn-timeout [Buffer in Sekunden; Standard 10 ]
        # set monitor-keepalive-period [OFTP keepalive für Buffer und Status in Sekunden; Standard 5 ]
        # set monitor-failure-retry-period [Retry für keepalive und Buffer in Sekunden; Standard 5 ]
        # set source-ip 0.0.0.0
        # set upload-option realtime
        # set upload-interval [Frequenz für Upload; Standard daily]
        # set upload-day [Tag in der Woche/Monat für den Upload; Standard "Kein Wert"]
        # set upload-time [Zeit Definition für Upload zB 00:00]
        # set reliable [enable | disable]
        # end
       
        '''NOTE''' Die Optionen "upload-interval, upload-day sowie upload-tim" stehen nur dann zur Verfügung wenn die "disk" für das
            Logging konfiguriert werden kann!
       
        # config log fortianalyzer filter
        # set severity [emergency | alert | critical | error | warning | notification | information | debug]
        # set fortward-traffic [enable | disable]
        # set local-traffic [enable | disable]
        # set multicast-traffic [enable | disable]
        # set sniffer-traffic [enable | disable]
        # set anomaly [enable | disable]
        # set voip [enable | disable]
        # set dlp-archive [enable | disable]
        # set filter [Benütze ? für weitere Informationen]
        # set filter-type [include | exclude]
        # end
       
        Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "fortianalyzer" als "Device Konfiguration" benutzt wird:
       
        # config log fortianalyzer setting
        # set status enable
        # set ips-archive enable
        # set server [FortiAnalyzer IP]
        # set enc-algorithm default
        # set conn-timeout 10
        # set monitor-keepalive-period 5
        # set monitor-failure-retry-period 5
        # set upload-option realtime
        # set reliable enable
        # end
       
        # config log fortianalyzer filter
        # set severity information
        # set fortward-traffic enable
        # set local-traffic enable
        # set multicast-traffic enable
        # set sniffer-traffic enable
        # set anomaly enable
        # set voip enable
        # set dlp-archive enable
        # unset filter
        # set filter-type include
        # end
       
        '''Device Log Konfiguration "Disk"'''
       
        '''NOTE''' Ein Logging auf "disk" ist in allen Bereichen nicht empfohlen wenn der FortiGate Device über eine "Flash Disk" verfügt.
            Ob ein Device über "disk" Logging verfügt, kann der "Software Matrix" entnommen werden:
           
            [[Datei:FortiOS-Software-Platform-Matrix-54.pdf]]
       
        # config log disk setting
        # set status [enable | disable]
        # set ips-archive [enable | disable]
        # set max-log-file-size [Maximum Log Grösse bevor ein "Rolling" durchgeführt wird in MB; Standard 20]
        # set max-policy-packet-capture-size [Max Grösse für Capturing in MB; Standard 10]
        # set roll-schedule [daily | weekly]
        # set roll-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
        # set roll-time [Zeit Definition für "Rolling" zB 00:00]
        # set diskfull [overwrite | nolog]
        # set log-quota [Grösse der Log Quota in MB; Standard 0]
        # set dlp-archive-quota [Grösse der DLP Archiv Quota in MB; Standard 0]
        # set report-quota [Grösse der Report Quota in MB; Standard 0]
        # set maximum-log-age [Löschen von Logs die älter sind als X Tage; Standard 7]
        # set upload [enable | disable]
        # set upload-destination [ftp-server]
        # set uploadip [IPv4 Adresse des FTP Servers]
        # set uploadport [FTP Server Port; Standard 21]
        # set source-ip [IPv4 Source Adresse der Anfrage an FTP Server]
        # set uploaduser [FTP Server Username]
        # set uploadpass [FTP Server Passwort]
        # set uploaddir [FTP Server Upload Verzeichnis]
        # set uploadtype [traffic | event | virus | webfilter | IPS | spamfilter | dlp-archive | anomaly | voip | dlp | app-ctrl | waf | netscan | gtp]
        # set uploadzip [enable | disable]
        # set uploadsched [enable | disable]
        # set uploadtime [Zeit Definition für Upload auf FTP Server zB 00:00]
        # set upload-delete-files [enable | disable]
        # set upload-ssl-conn {default | high | low | disable}
        # set full-first-warning-threshold [Erste Log Device Full Warnung in % 1 - 98, Standard 75]
        # set full-second-warning-threshold [Zweite Log Device Full Warnung in % 2 - 99, Standard 90]
        # set full-final-warning-threshold [Finale Log Device Full Warnung in % 3 - 100, Standard 95]
        # end
       
        # config log disk filter
        # set severity [emergency | alert | critical | error | warning | notification | information | debug]
        # set fortward-traffic [enable | disable]
        # set local-traffic [enable | disable]
        # set multicast-traffic [enable | disable]
        # set sniffer-traffic [enable | disable]
        # set anomaly [enable | disable]
        # set voip [enable | disable]
        # set dlp-archive [enable | disable]
        # set filter [Benütze ? für weitere Informationen]
        # set filter-type [include | exclude]
        # end
       
        '''NOTE''' Wenn eine Konfiguration betreffend "Rolling" durchgeführt werden möchte siehe nachfolgender Artikel:
           
            [[FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_einen_FortiGate_Device_eine_.22Log_Rotation.22_konfigurieren.3F]]
       
        Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "disk" als "Device Konfiguration" benutzt wird:
       
        # config log disk setting
        # set status enable
        # set ips-archive enable
        # set max-log-file-size 512
        # set max-policy-packet-capture-size 10
        # set diskfull overwrite
        # set log-quota 2048
        # set dlp-archive-quota 256
        # set maximum-log-age 7
        # set full-first-warning-threshold 75
        # set full-second-warning-threshold 90
        # set full-final-warning-threshold 95
        # end
       
        # config log disk filter
        # set severity information
        # set fortward-traffic enable
        # set local-traffic enable
        # set multicast-traffic enable
        # set sniffer-traffic enable
        # set anomaly enable
        # set voip enable
        # set dlp-archive enable
        # unset filter
        # set filter-type include
        # end
 
        '''Device Log Konfiguration "Syslog"'''
       
        Für eine Konfiguration betreffend "syslog" Server siehe nachfolgender Artikel:
       
        [[FortiGate-5.4:FAQ#Wie_wird_auf_einer_Fortigate_unter_FortiOS_5.4_eine_Log_Konfiguration_f.C3.BCr_einen_.22Syslog_Server.22_durchgef.C3.BChrt.3F]]
       
        '''Device Log Konfiguration "FortiGuard"'''
       
        # config log fortiguard setting
        # set status [enable | disable]
        # set upload-option [store-and-upload | realtime]
        # set upload-interval [daily | weekly | monthly]
        # set upload-day [Definition des Tages der Woche um ein Rolling der Logs durchzuführen]
        # set upload-time [Definition der Zeit für den Uploade zB 00:00]
        # set enc-algorithm [default | high | low | disable]
        # set source-ip [Definition der Source IPv4 Adresse für die Anfrage]
        # end
       
        '''NOTE''' Wenn "fortiguard" Logging konfiguriert wird muss vorgängig ein ForitCloud Account ID konfiguriert werden. Dies kann unter
            folgender Position im Mgmt. Web Interface durchgeführt werden:
           
            Dashboard > License Information Widget > FortiCloud Account > Activate
               
        Weitere Informationen zu FortiGuard "Logging" sowie FortiCloud siehe nachfolgender Artikel:
     
        [[FortiCloud(FAMS):FAQ]]
 
=== Wie wird auf einer Fortigate unter FortiOS 5.4 eine Log Konfiguration für einen "Syslog Server" durchgeführt? ===
 
Das nachfolgend Beispiel zeigt wie auf einer FortiGate unter FortiOS 5.4 eine Log Konfiguration durchgeführt basierend auf einem "Syslog Server". Als "Syslog Server" wurde unter CentOS 5.x und/oder 6.x der integrierte "syslog" benutzt. Als ersten Schritt wird die FortiGate für den "Syslog Server" konfiguriert:
 
        <big>'''FortiGate Konfiguration'''</big>
        # config log syslogd setting
        # set status enable
        # set server [FQDN Syslog Server]
        # set reliable [Aktiviere TCP-514 Verbindung; Per Standard deaktiviert resp. UDP-514]
        # set port [Standard 514]
        # set csv [enable | disable]
        # set facility [Per Standard local0]
        # set source-ip [Source IP der FortiGate; Standard 0.0.0.0]
        # end
       
        # config log disk filter
        # set severity information
        # set fortward-traffic enable
        # set local-traffic enable
        # set multicast-traffic enable
        # set sniffer-traffic enable
        # set anomaly enable
        # set voip enable
        # unset filter
        # set filter-type include
        # end
       
        '''NOTE''' Achte bei der Konfiguraiton des "filter" darauf das die "severity" auf "information" gesetzt wird!
 
        <big>'''Syslog Server Konfiguration CentOS 5.x / 6.x'''</big>
       
        Als Erstes muss auf dem CentOS der "syslog" Server so konfiguriert werden, damit er von einem Remote Server "syslog"
        Nachrichten überhaupt annimmt. Führe auf der Shell folgendes durch:
       
        # vi /etc/sysconfig/syslogd
       
        --------------- /etc/sysconfig/syslogd ---------------
       
        # Options to syslogd
        # -m 0 disables 'MARK' messages.
        # -r enables logging from remote machines
        # -x disables DNS lookups on messages recieved with -r
        # See syslogd(8) for more details
        SYSLOGD_OPTIONS="-m 0 '''-r'''"
        # Options to klogd
        # -2 prints all kernel oops messages twice; once for klogd to decode, and
        #    once for processing with 'ksymoops'
        # -x disables all klogd processing of oops messages entirely
        # See klogd(8) for more details
        KLOGD_OPTIONS="-x"
        #
        SYSLOG_UMASK=077
        # set this to a umask value to use for all log files as in umask(1).
        # By default, all permissions are removed for "group" and "other".
       
        --------------- /etc/sysconfig/syslogd ---------------
       
        '''NOTE''' Achte und aktiviere unter "SYSLOGD-OPTIONS" den Schalter "-r" denn dieser ist zuständig damit von "Remote" Syslog Nachrichten
            entgegengenommen werden! Ist diese Option nicht gesetzt lehnt der "Syslog Server" auf dem CentOS die "syslog" Nachrichten von
            Remote ab!
       
        Nun legen wir ein neues Log File an und konfigurieren im "Syslog Server" welche Nachrichten entgegengenommen werden sollen. Zu diesem
        Zweck definieren wir die "facility" dh. "local0.*. Diese "facility" wurde ebenfalls auf der FortiGate als "local0" definiert. Durch die
        Differenzierung über die "facility" können vers. Fortigate's diesem "Syslog Server" Nachrichten senden und somit die vers. Log's der
        FortiGate Device's unterschieden werden!
       
        # vi /etc/syslog.conf
       
        --------------- /etc/syslog.conf ---------------
       
        # Log all kernel messages to the console.
        # Logging much else clutters up the screen.
        kern.*                                                  /dev/console
       
        # Log anything (except mail) of level info or higher.
        # Don't log private authentication messages!
        local0.none;*.info;mail.none;authpriv.none;cron.none      /var/log/messages
       
        # The authpriv file has restricted access.
        authpriv.*                                              /var/log/secure
       
        # Log all the mail messages in one place.
        mail.*                                                  /var/log/maillog
       
        # Log cron stuff
        cron.*                                                  /var/log/cron
       
        # Everybody gets emergency messages
        *.emerg                                                *
       
        # Save news errors of level crit and higher in a special file.
        uucp,news.crit                                          /var/log/spooler
       
        # Save boot messages also to boot.log
        local7.*                                                /var/log/boot.log
       
        # Save Fortigate log messages to fortigate.log
        local0.*                                                /var/log/fortigate.log
       
        #*.*                                                    @loghost
       
        --------------- /etc/syslog.conf ---------------
       
        '''NOTE''' Beachte bei der Konfiguration, dass die Leerschläge/Zwischenräume "gezwungenermassen" (Fileformat) Tabulatoren sein müssen!
            Um das Format zu überprüfen kann folgender Befehl abgesetzt werden:
           
            # m4 -D LOGHOST /etc/syslog.conf
       
        Nun legen wir das entsprechende Log File an, dass der "Syslog Server" benutzt um die "local0" Nachrichten des FortiGate Device, in das
        Log zu schreiben. Danach kann der "syslog" Service neu gestartetn werden um die Konfiguration zu aktivieren:
       
        # touch /var/log/fortigate.log
        # chmod 644 /var/log/fortigate.log
        # chown root:root /var/log/fortigate.log
       
        # service syslog stop
        # service syslog start
       
        Um das Log in "realtime" anzuschauen führe folgenden Befehl aus (um abzubrechen benütze Ctrl + C):
       
        # tail -f /var/log/fortigate.log
 
Die Konfiguration ist abgeschlossen dh. um die Konfiguration zu testen kann folgendes auf der FortiGate durchgeführt werden:
 
        # diagnose log test
 
Dieses Kommando erstellt Test Log Einträge für jeden Bereich wie Authentication, SSL-VPN, Antivirus usw. Diese Test Log Einträge werden nun durch die Konfiguration für "log syslogd setting" zum "Syslog Server" gesendet und sollten im entsprechenden Log File "/var/log/fortigate.log" ersichtlich sein. Kommt es dabei zu Problem und es muss verifiziert werden "ob" die Fortigate diese "syslog" Nachrichten überhaupt sendet resp. die Log's auf dem CenOS ankommen benütze folgenden Befehl:
         
        # tcpdump -nnp -i eth0 ip dst [Syslog Server IP] and port 514
         
Um das Log File "/var/log/fortigate.log" Täglich zu rotieren auf dem CentOS erstelle das folgende File:
           
        # vi /etc/logrotate.d/fortigate
       
        --------------- /etc/logrotate.d/fortigate ---------------
       
        /var/log/fortigate.log {
                rotate 30
                daily
                sharedscripts
                postrotate
                nomail
                        /usr/bin/killall -HUP syslogd
                endscript
        }
       
        --------------- /etc/logrotate.d/fortigate ---------------
 
Die Konfiguration kann getestet werden mit folgenden Befehl:
 
        # logrotate --force /etc/logrotate.d/fortigate
 
 
=== Wie kann ich unter FortiOS 5.4 für einen FortiGate Device eine "Log Rotation" konfigurieren? ===
 
Die Voraussetzung das auf einem FortiGate Device eine "Rotation" für das Log konfiguriert werden kann ist ein "disk" Logging. Ob ein FortiGate Device über diese Möglichkeit verfügt kann der "Software Matrix" entnommen werden:
 
        [[Datei:FortiOS-Software-Platform-Matrix-54.pdf]]
 
Ein Log eines FortiGate Device's wird per Standard nicht "rotiert" dh. zum Beispiel auf täglicher Basis. Möchte man dies Konfigurieren führe folgendes durch:
 
        # config log disk setting
        # set status enable
        # set diskfull overwrite
        # set max-log-file-size [Max Grösse in MB bevor ein neues Log erstellt wird; Standard 20]
        # set log-quota [Grösse für gesamter Log Speicher; Standard 0]
        # set roll-schedule [daily oder weekly]
        # set roll-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
        # set roll-time [Gebe die Zeit an im Format hh:mm]
        # set maximum-log-age [Gebe an nach wieviel Tagen ein Log gelöscht werden soll; Standard 7]
        # end
 
Berücksichtige dabei folgendes: Die Logs die "rotiert" werden können im Web Mgmt. Interface nicht explizit gewählt werden! Möchte man die Logs zusätzlich auf einen FTP Server überspielen siehe nachfolgenden Artikel:
 
        [[FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_die_Logs_eines_FortiGate_Devices_automatisiert_einem_FTP_Server_.C3.BCbermitteln.3F]]
 
=== Wie kann ich unter FortiOS 5.4 die Logs eines FortiGate Devices automatisiert einem FTP Server übermitteln? ===
 
Wenn unter FortiOS 5.4 die Logs eines FortiGate Devices automatisiert auf einen FTP Server übermittelt werden soll, muss muss zuerst eine Log "Rotation" konfiguriert werden. Die nötige Voraussetzung damit dies durchgeführt werden kann ist ein "disk" Logging. Ob ein "disk" Logging für einen FortiGate Device zur Verfügung steht, kann der "Software Matrix" entnommen werden:
 
        [[Datei:FortiOS-Software-Platform-Matrix-54.pdf]]
 
Um eine Log "Rotation" zu konfigurieren siehe nachfolgender Artikel:
 
        [[FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_einen_FortiGate_Device_eine_.22Log_Rotation.22_konfigurieren.3F]]
 
Für die Konfiguration um die Logs automatisiert einem FTP Server zu übermitteln stehen folgende Optionen zur Verfügung:
 
        # set upload [Aktiviere oder Deaktiviere einen Upload der File anhand "enable oder disable"]
        # set upload-delete-files [Aktiviere oder Deaktiviere die Löschung der Logs lokal auf der Fortigate "nach" dem Upload anhand "enable oder disable"]
        # set upload-destination [Gebe das Ziel an für den Upload dh. "rortianalyzer oder "ftp-server"]
        # set upload-ssl-conn [Gebe an sofern ein FortiAnalyzer für den Upload benutzt wird wie Verschlüsselt werden soll dh. "default | high | low | disable"]
        # set uploaddir [Gebe das Upload Verzeichnis an in der Form zB /Log-Archiv/ ]
        # set uploadip [Wenn ein FTP Server benutzt wird für den Upload gebe die IP Adresse des FTP Server an]
        # set uploaduser [Wenn ein FTP Server benutzt wird für den Upload gebe den Usernamen des FTP Server an]
        # set uploadpass [Wenn ein FTP Server benutzt wird für den Upload gebe das Passwort des FTP Server an]
        # set uploadport [Wenn ein FTP Server benutzt wird für den Upload gebe den benutzten Port des FTP Server an]
        # set uploadsched [Aktiviere oder Deaktiviere den Upload zu einer bestimmten Zeit dh. anhand "disable | enable"]
        # set uploadtime [Definiert den Zeitpunkt (hh:mm) des Uploads sofern "uploadsched" aktiviert wurde]
        # set uploadtype [Gebe an "welche" File berücksichtigt werden; traffic | event | virus | webfilter | IPS | spamfilter | dlp-archive | anomaly | voip | dlp | app-ctrl | waf | netscan | gtp]
        # set uploadzip [Gebe an ob die Log Files "nach" dem Upload anhand ZIP Komprimiert werden sollen dh "disable | enable"]
        # set source-ip [Definiert die Source IPv4 Adresse für den Upload auf den FTP Server]
       
        '''NOTE''' Wenn "uploadsched" deaktiviert ist wird per Standard der Upload "nach" dem rotieren den Log Files ausgeführt!
 
Aus diesen zur Verfügung stehenden Optionen kann als Beispiel folgendes konfiguriert werden:
 
        # config log disk setting
        # set upload enable
        # set upload-delete-files disable
        # set upload-destination ftp-server
        # set uploaddir /log-archive/
        # set uploadip 193.193.135.65
        # set uploaduser local.intra
        # set uploadpass only4also
        # set uploadport 21
        # set uploadsched disable
        # set uploadtype traffic traffic event virus webfilter IPS spamfilter dlp-archive anomaly voip dlp app-ctrl waf netscan gtp
        # set uploadzip enable
 
Nach der Uebermittlung der Log Files auf den FTP Server werden diese in folgender Art und Weise auf dem FTP Server gespeichert (Beispiel Traffic Log):
 
        tlog.FGT60D3G12013754.root.20120927000000.zip
 
Bei diesem Vorgehen ist folgendes zu berücksichtigen: Werden Logs vom FortiGate Device auf den FTP Server übermittelt, gibt es keine Möglichkeit diese für zB einer Analyse auf den FortiGate Device wieder einzuspielen.
 
=== Wie beeinflusst unter FortiOS 5.4 das Kommando "system network-visibility" die Logs und die enthaltenen Informationen? ===
 
Das Kommando "system network-visibility" steht im Zusammehang mit der "Geo IP Location". Diese bedeutet: Werden diese Optionen aktiviert (ist per Standard der Fall) so werden betreffend den einzelnen enthaltenen Optionen wie zB "source" Geo Location Informationen in den Logs zu den IP's angezeigt/hinzugefügt:
 
        # config system network-visibility
        # destination-visibility [enable | disable]
        # source-location [enable | disable]
        # destination-hostname-visibility [enable | disable]
        # hostname-ttl [Definiere TTL Standard 86400]
        # hostname-limit [Definiere Anzahl Hostname Limit Standard 5000]
        # destination-location [enable | disable]
        # end
       
        '''NOTE''' Wenn die Option "source-location" aktiviert wird so wird für "internal" Resourcen zB LAN anstelle der Geo Location die
            Information "reserved" in den Logs angezeigt. Ebenso steht das nachfolgenden Kommando im direkten Zusammenhang mit der
            "network-visibility" resp. muss aktiviert werden damit die Geo Location in den Logs angezeigt/hinzugefügt werden:
           
            # config log gui-display
            # set resolve-hosts [enable | disable]
            # end
 
== CLI ==
 
=== Wie kann ich auf einer FortiGate "sämtliche" zur Verfügung stehenden Befehle/Konfiguration aufzulisten? ===
 
Die CLI einer FortiGate ist umfassend und ist Hierachisch strukturiert. Diese Hierachie kann auf einer FortiGate anhand des nachfolgenden Befehls ausgegeben werden um einen Ueberblick zu erhalten:
 
        # tree
 
Wenn dieser Befehl abgesetzt wird sollte dieser innerhalb eine SSH Verbindung abgesetzt werden und nicht innerhalb einer RS-232 Verbindung über den Mgmt. Port. Nachfolgend ein Beispiel des Output:
 
        Output basierend auf FortiOS 5.4.0 [[tree-5.4.0]]

Aktuelle Version vom 7. Mai 2026, 13:42 Uhr

FortiGate-5.4-5.6:FAQ

Wichtig.svg

FortiOS 5.4 und 5.6 - End of Support
Das FortiOS 5.4 ist seit dem 21.Juni 2020 und das FortiOS 5.6 seit dem 30.September 2021 End of Support. Damit man Support auf das System bekommt muss auf eine supportete Version upgegradet werden.

Weitere Informationen über den Life Cycle vom FortiOS: https://support.fortinet.com/Information/ProductLifeCycle.aspx