FortiWeb:FAQ: Unterschied zwischen den Versionen
(24 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 49: | Zeile 49: | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
| style="width: | | style="width: 750px; background-color: #c4dc92;"| | ||
''Administrations Guide'' | ''Administrations Guide'' | ||
|- | |- | ||
Zeile 124: | Zeile 124: | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
| style="width: | | style="width: 750px; background-color: #c4dc92;"| | ||
''Administrations Guide'' | ''Administrations Guide'' | ||
|- | |- | ||
Zeile 145: | Zeile 145: | ||
== Hardware == | == Hardware == | ||
=== Was für ein Kabel benötige ich für den | === Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) eines FortiWeb? === | ||
Weitere Informationen | Weitere Informationen können im folgenden Artikel entnommen werden: | ||
[[FortiGate-6.0:FAQ#Was_f.C3.BCr_ein_Kabel_wird_f.C3.BCr_den_Konsolen_Anschluss_.28RS-232.29_ben.C3.B6tigt.3F]] | |||
== Setup == | == Setup == | ||
=== Was für Operations Modi gibt es beim FortiWeb ? === | === Was für Operations Modi gibt es beim FortiWeb? === | ||
Für den FortiWeb gibt es folgende Operations Modi: | Für den FortiWeb gibt es folgende Operations Modi: | ||
{| class="wikitable" style="width:50%" | |||
{| class="wikitable" | |||
|- | |- | ||
! style="background-color: #c4dc92; text-align:left;width:20%"|Offline Protection | |||
| style="background-color: #f5f9ec; text-align:left;" |Im Offline Modus sind Anfragen für einen Webserver bestimmt und nicht für die für den FortiWeb. Der Traffic wird aus dem Flow dupliziert und über einen Switched Port Analyzer (SPAN oder Mirroring) Port auf einer Out-of-Line Verbindung zum FortiWeb gesendet. Sofern es sich nicht um einen Regelverstoss handelt, gibt der FortiWeb keinen keine Antwort. Erkennt der FortiWeb ein Issues wird der Request resetet. Je nachdem, ob die vorgelagerten Firewalls oder Router Sourcel-NAT (SNAT) verwenden, können die Webserver die SourceIP Adressen der Clients sehen und diese auch verwenden. | |||
|- | |||
| | |||
Im Offline Modus sind Anfragen für einen Webserver bestimmt und nicht für die für den FortiWeb. Der Traffic wird aus dem Flow dupliziert und über einen Switched Port Analyzer (SPAN oder Mirroring) Port auf einer Out-of-Line Verbindung zum FortiWeb gesendet. Sofern es sich nicht um einen Regelverstoss handelt, gibt der FortiWeb keinen keine Antwort. Erkennt der FortiWeb ein Issues wird der Request resetet. Je nachdem, ob die vorgelagerten Firewalls oder Router Sourcel-NAT (SNAT) verwenden, können die Webserver die SourceIP Adressen der Clients sehen und diese auch verwenden. | |||
Für den FortiWeb im Offline-Modus arbeitet zu lassen, ist keine Neukonfiguration der Webserver erforderlich. | Für den FortiWeb im Offline-Modus arbeitet zu lassen, ist keine Neukonfiguration der Webserver erforderlich. | ||
|- | |- | ||
! style="background-color: #c4dc92; text-align:left;"|WCCP | |||
| style="background-color: #f5f9ec; text-align:left;"|Der FortiWeb kann als '''W'''eb-'''C'''ache '''C'''ommunication '''P'''rotocol (WCCP)-Client konfiguriert werden. Diese Konfiguration ermöglicht es einer als WCCP-Server konfigurierten FortiGate, HTTP- und HTTPS-Traffic zur Überprüfung an den FortiWeb weiterzuleiten. | |||
|- | |||
| | |||
Der FortiWeb kann als '''W'''eb-'''C'''ache '''C'''ommunication '''P'''rotocol (WCCP)-Client konfiguriert werden. Diese Konfiguration ermöglicht es einer als WCCP-Server konfigurierten FortiGate, HTTP- und HTTPS-Traffic zur Überprüfung an den FortiWeb weiterzuleiten. | |||
|- | |- | ||
! style="background-color: #c4dc92; text-align:left;"|Reverse Proxy | |||
| style="background-color: #f5f9ec; text-align:left;"|Dies ist die Standardbetriebsart welche auch am häufigsten eingesetzt wird. Die meisten Funktionen sind dabei unterstützt Siehe: [[FortiWeb:FAQ#Welche_Features_sind_in_welchem_Operationsmodus_m.C3.B6glich.3F|Welche Features sind in welchem Operationsmodus möglich?]] | |||
|- | |||
Anfragen sind für die Netzwerkschnittstelle und IP-Adresse eines virtuellen Servers in FortiWeb bestimmt und nicht für einen Webserver direkt. FortiWeb verwendet in der Regel volles NAT. | |||
FortiWeb verwendet in der Regel | |||
|- | |- | ||
! style="background-color: #c4dc92; text-align:left;"|True Transparent Proxy | |||
| style="background-color: #f5f9ec; text-align:left;"|FortiWeb proxiefiziert transparent den Datenverkehr, welcher auf einem Netzwerkport ankommt, der zu einer Layer-2-Bridge gehört, wendet die erste anwendbare Regel an und lässt den zulässigen Datenverkehr passieren. FortiWeb protokolliert, blockiert oder ändert Verstösse gemäs der übereinstimmenden Policy und deren Securtiyprofile. Dieser Modus unterstützt die Benutzerauthentifizierung über HTTP aber nicht HTTPS. | |||
|- | |||
| | |||
FortiWeb proxiefiziert transparent den Datenverkehr, welcher auf einem Netzwerkport ankommt, der zu einer Layer-2-Bridge gehört, wendet die erste anwendbare Regel an und lässt den zulässigen Datenverkehr passieren. FortiWeb protokolliert, blockiert oder ändert Verstösse gemäs der übereinstimmenden Policy und deren Securtiyprofile. Dieser Modus unterstützt die Benutzerauthentifizierung über | |||
|- | |- | ||
! style="background-color: #c4dc92; text-align:left;"|Transparent Inspection | |||
| style="background-color: #f5f9ec; text-align:left;"|Der FortiWeb prüft asynchron den Datenverkehr, welcher über einen Netzwerkport ankommt, der zu einer Layer-2-Bridge gehört. Er wendet die erste anwendbare Policy an und lässt den zulässigen Datentraffic passieren. (Da es asynchron ist, minimiert sich die Latenzzeit.) FortiWeb protokolliert oder blockiert den Datentraffic gemäss der übereinstimmenden Policy und den dazugehörenden Security Profile. Er ändert ihn aber nicht andersweitig ab. (Er kann zum Beispiel SSL, Load-Balance-Verbindungen oder die Unterstützung der Benutzerauthentifizierung nicht auslagern. | |||
|- | |||
| | |||
Der FortiWeb prüft asynchron den Datenverkehr, welcher über einen Netzwerkport ankommt, der zu einer Layer-2-Bridge gehört. Er wendet die erste anwendbare Policy an und lässt den zulässigen Datentraffic passieren. (Da es asynchron ist, minimiert sich die Latenzzeit.) FortiWeb protokolliert oder blockiert den Datentraffic gemäss der übereinstimmenden Policy und den dazugehörenden Security Profile. Er ändert ihn aber nicht andersweitig ab. (Er kann zum Beispiel SSL, Load-Balance-Verbindungen oder die Unterstützung der Benutzerauthentifizierung nicht auslagern. | |||
|- | |- | ||
|} | |} | ||
Zeile 205: | Zeile 188: | ||
| Übersicht Operationsmodi und Features: | | Übersicht Operationsmodi und Features: | ||
|- | |- | ||
| style="width: | | style="width:750px" ;| | ||
[[Datei:Fortinet-1970.jpg]] | [[Datei:Fortinet-1970.jpg]] | ||
|- | |- | ||
Zeile 221: | Zeile 204: | ||
=== Wie kann ich den Operations Modus beim FortiWeb ändern? === | === Wie kann ich den Operations Modus beim FortiWeb ändern? === | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
| style="width: | | style="width: 750px; background-color: #c4dc92;"| | ||
<pre> | Operations Modus umstellen über CLI: | ||
|- | |||
| <pre> | |||
# config system settings | # config system settings | ||
# set opmode <Operations Modus> | # set opmode <Operations Modus> | ||
Zeile 248: | Zeile 231: | ||
|} | |} | ||
{| class="wikitable" style="width: | {| class="wikitable" style="width:750px" | ||
|- | |- | ||
| style="background:#ffe29b" |'''NOTE''' | | style="background:#ffe29b" |'''NOTE''' | ||
| | | | ||
Wichtig ist, dass die Konfiguration gesichert (BACKUP) wird, bevor die Betriebsart geändert wird. | Wichtig ist, dass die Konfiguration gesichert (BACKUP) wird, bevor die Betriebsart geändert wird. | ||
Das Ändern vom Modus löscht alle Policies, die nicht auf den neuen Modus anwendbar sind. Es werden alle statischen Routen, V-Zonen-IPs und VLANs gelöscht. Möglicherweise muss auch die Netzwerktopologie entsprechend der Betriebsart neu verkabelt werden. Ausnahmen: Umschalten zwischen den beiden transparenten Moden welche eine ähnliche Anforderungen an die Netzwerktopologie stellt. | |||
|- | |- | ||
|} | |} |
Aktuelle Version vom 28. September 2018, 16:08 Uhr
FortiWeb:FAQ
Vorwort
Diese FAQ's sind für FortiWeb Systeme basierend auf OS 5.x und 6.x.
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Über folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiWeb Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
http://docs.fortinet.com/fweb.html
FortiWeb Dokumente Version 5.x
FortiWeb Dokumente Version 6.x
Administrations Guide |
Release Notes: |
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
Hardware
Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) eines FortiWeb?
Weitere Informationen können im folgenden Artikel entnommen werden:
FortiGate-6.0:FAQ#Was_f.C3.BCr_ein_Kabel_wird_f.C3.BCr_den_Konsolen_Anschluss_.28RS-232.29_ben.C3.B6tigt.3F
Setup
Was für Operations Modi gibt es beim FortiWeb?
Für den FortiWeb gibt es folgende Operations Modi:
Offline Protection | Im Offline Modus sind Anfragen für einen Webserver bestimmt und nicht für die für den FortiWeb. Der Traffic wird aus dem Flow dupliziert und über einen Switched Port Analyzer (SPAN oder Mirroring) Port auf einer Out-of-Line Verbindung zum FortiWeb gesendet. Sofern es sich nicht um einen Regelverstoss handelt, gibt der FortiWeb keinen keine Antwort. Erkennt der FortiWeb ein Issues wird der Request resetet. Je nachdem, ob die vorgelagerten Firewalls oder Router Sourcel-NAT (SNAT) verwenden, können die Webserver die SourceIP Adressen der Clients sehen und diese auch verwenden.
Für den FortiWeb im Offline-Modus arbeitet zu lassen, ist keine Neukonfiguration der Webserver erforderlich. |
---|---|
WCCP | Der FortiWeb kann als Web-Cache Communication Protocol (WCCP)-Client konfiguriert werden. Diese Konfiguration ermöglicht es einer als WCCP-Server konfigurierten FortiGate, HTTP- und HTTPS-Traffic zur Überprüfung an den FortiWeb weiterzuleiten. |
Reverse Proxy | Dies ist die Standardbetriebsart welche auch am häufigsten eingesetzt wird. Die meisten Funktionen sind dabei unterstützt Siehe: Welche Features sind in welchem Operationsmodus möglich?
Anfragen sind für die Netzwerkschnittstelle und IP-Adresse eines virtuellen Servers in FortiWeb bestimmt und nicht für einen Webserver direkt. FortiWeb verwendet in der Regel volles NAT. |
True Transparent Proxy | FortiWeb proxiefiziert transparent den Datenverkehr, welcher auf einem Netzwerkport ankommt, der zu einer Layer-2-Bridge gehört, wendet die erste anwendbare Regel an und lässt den zulässigen Datenverkehr passieren. FortiWeb protokolliert, blockiert oder ändert Verstösse gemäs der übereinstimmenden Policy und deren Securtiyprofile. Dieser Modus unterstützt die Benutzerauthentifizierung über HTTP aber nicht HTTPS. |
Transparent Inspection | Der FortiWeb prüft asynchron den Datenverkehr, welcher über einen Netzwerkport ankommt, der zu einer Layer-2-Bridge gehört. Er wendet die erste anwendbare Policy an und lässt den zulässigen Datentraffic passieren. (Da es asynchron ist, minimiert sich die Latenzzeit.) FortiWeb protokolliert oder blockiert den Datentraffic gemäss der übereinstimmenden Policy und den dazugehörenden Security Profile. Er ändert ihn aber nicht andersweitig ab. (Er kann zum Beispiel SSL, Load-Balance-Verbindungen oder die Unterstützung der Benutzerauthentifizierung nicht auslagern. |
Welche Features sind in welchem Operationsmodus möglich?
In dieser Grafik gibt es eine Übersicht in welchem Operationsmodus welche Features unterstützt werden:
Übersicht Operationsmodi und Features: |
Legende:
|
Wie kann ich den Operations Modus beim FortiWeb ändern?
Operations Modus umstellen über CLI: |
# config system settings # set opmode <Operations Modus> # end Operations Modus Parameter die möglich sind:
FortiWeb in den Reverse Proxy Modus konfigurieren: # config system settings # set opmode reverse-proxy # end |
NOTE |
Wichtig ist, dass die Konfiguration gesichert (BACKUP) wird, bevor die Betriebsart geändert wird. Das Ändern vom Modus löscht alle Policies, die nicht auf den neuen Modus anwendbar sind. Es werden alle statischen Routen, V-Zonen-IPs und VLANs gelöscht. Möglicherweise muss auch die Netzwerktopologie entsprechend der Betriebsart neu verkabelt werden. Ausnahmen: Umschalten zwischen den beiden transparenten Moden welche eine ähnliche Anforderungen an die Netzwerktopologie stellt. |