FortiManager:FAQ: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Zeile 1.476: Zeile 1.476:
|
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}
=== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ===
In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:
'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' <br>
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' <br>
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar <br>
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' <br> <br>
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|-
|
Es erscheint ein '''Drop-Down mit sämtlichen Admin Profilen''', das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_3.png|800px|link=]]
|-
|
Das gewählte Admin Profil final '''mit Häkchen bestätigen'''
[[Datei:FMGCloud_4.png|800px|link=]]
|}
|}

Version vom 3. März 2023, 09:50 Uhr

FortiManager:FAQ

Vorwort

Diese FAQ's sind für FortiManager Systeme basierend ab FortiOS Version 6.0-7.2

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

License

Wie wird die Lizenz nach dem EOO vom VM-BASE für die FortiManager VM aktiviert und eingelesen?

FortiOS 7x.svg

In unserem Beispiel hat der Kunde die FMG Add On Lizenz 10 Devices zu managen und den notwendigen Support FMG-VM-10-UG + Support (Support für 1 Jahr) gekauft. Er hat bereits das PDF mit dem Registrierungscode erhalten:

Fortinet-2929.jpg*

* Screenshot ist von Analyzer Lizenz, sieht für den FMG genau gleich aus Wie kann ich jetzt die Lizenz einlesen?

Schritt 2 - Installieren der VM

Es muss die als erstes die FMG-VM installiert werden. Der Management Port auf dem FMG konfigurieren um Zugriff auf den FMG zu bekommen:

Config cli.png Konfiguration über die CLI:
config system interface
edit port1
set ip 198.18.0.11/24 <-- IP Adresse des FMG für das Management
set allowaccess ping https ssh 
end
end

Die FMG-VM muss ins Internet kommunizieren können. Beduetet, auf der FMG-VM muss eine default Route konfiguriert werden und vorgeschaltete Firewalls müssen die Kommunikation vom FMG ins Internet erlauben.

Config cli.png Konfiguration über die CLI:

Statische Route Default Gateway konfigurieren:

config system route
edit 1
set device "port1" <-- Port welcher richtung WAN angeschlossen ist
set gateway 198.18.0.1 <-- Gateway IP Adresse 
end

DNS Konfigurieren:

config system dns
set primary [IP Adresse DNS Server1]
set secondary [IP Adresse DNS Server2]
end

Nun kann über https://[Management_IP] auf das WebGui zugegriffen werden:

Fortinet-2940.jpg

Schritt 3 - Trial Lizenz aktivieren:

  1. Bei Benutzername und Passwort das FortiCloud (FortiCare) Konto (Email Adresse) und Passwort eingeben.
  2. Free Trial auswählen
  3. auf Loging with FortiCloud klicken. (Internetverbindung vom FortiManager muss gewährleistet sein!!)
Fortinet-2942.jpg
  • Die Trial Lizenzbedingungen aktzeptieren
Fortinet-2935.jpg
  • Die FMG-VM wird nun neu gestartet und wendet dann die Free Trial License angeschlossen
Fortinet-2941.jpg

Nachdem die FortiManager Trial Lizenz aktiviert wurde kann die Add-ON Lizenz aktivieren:
Als erstes wird die Lizenz im Supportportal von Fortinet im Asset Manager registriert:

Dafür über https://support.fortinet.com einloggen und über das Menu Asset Management

Fortinet-2932.jpg

Fortinet-2933.jpg
  1. Auf Register Product klicken
  2. Produkte Key aus dem PDF eingeben
  3. Wenn es sich um keine Behörde handelt, A non-government user auswählen
  4. mit Next um weiter zu zu gehen.
Fortinet-2943.jpg
  1. Produkte Beschreibung im Description Feld eingeben
  2. Falls verfügbar den entsprechenden Partner (Kundenaccount) auswählen
  3. Die IP Adresse des FortiManagers eingeben (Management IP)
  4. mit Save Einstellungen bestätigen
  • Nun kann das Lizenzfile heruntergeladen werden.
Fortinet-2944.jpg

Momentan ist auf dem FortiManager noch die Free Trial Lizenz installiert.
Diese beinhaltet:

  • Nur 3 Geräte (Devices) zum Managen
  • Nur 2 ADOMs (im Screenshot nicht sichtbar)
  • 1GB/Tag, 500GB maximaler Speicher (FAZ Funktion)
  • Kein TAC Support
Fortinet-2945.jpg

Nach der Installation der neu generierten Lizenz die (VM wird neu gestartet)

Fortinet-2946.jpg

Begrenzungen:

Wichtig.svg

Damit die Free Trial Lizenz benutzt werden kann, muss mindestens das Image für den FortiAnalyzer mit der Version 7.0.0 benutzt werden. Unter FortiOS 7.0 kann die Trial Lizenz nicht aktiviert werden.

Wie wird ein FortiManager unter VMware lizensiert?

Eine FortiManager Lizenz basiert auf folgender Matirx (Stackable License basierend auf Devices und NICHT GB Logs pro Tag):

       NOTE Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:
            
            1 Cluster            = 1 Device
            1 VDOM               = 1 Device
            1 Forti Access Point = 1 Device
            1 FortiSwitch        = 1 Device
            
            Ab FortiOS 5.4.2 werden Forti Access Point sowie FortiSwitch ebenfalls als Devices gezählt!
       
       Fortinet-1084.jpg
       
       Weitere Informationen welche Platform resp. Versionen der Virtualisierung genau unterstützt wird siehe nachfolgender Artikel:
       
       Fortinet:Virtualisierung#Gibt_es_f.C3.BCr_Fortinet_VMware_eine_Uebersicht_betreffend_Compatibility_Matrix.3F
       
       Fortinet-931.jpg
   
   NOTE Weitere Informationen wie eine FortiAManager VM Lizenz registriert resp. eingespielt wird
        siehe folgender Artikel:
        
        FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F

Bei der Generierung der Lizenz muss die IP Adresse des FortiManagers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren sind die Maximum Values eines FortiManagers Wichtig. Dazu siehe nachfolgender Artikel:

       FortiManager-5.0-5.2:FAQ#Was_sind_die_.22maximum_values.22_f.C3.BCr_FortiManager_Platformen.3F

Wie wird ein FortiManager unter VMware/HyperV installiert?

Nachfolgender Link gibt Auskunft wie ein FortiManager unter VMware/HyperV installiert wird:

       Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F

Wie wird eine License für FortiManager für VMware registriert und eingespielt?

Wenn man einen FortiManager für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:

       Datei:FMVM0002306.pdf

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:

       http://support.fortinet.com
       
       NOTE Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch" 
            kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
            Anweisungen durch:
       
       FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F
       
       Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
       Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog:
       
       Datei:Fortinet-212.jpg
       Datei:Fortinet-216.jpg
       Datei:Fortinet-217.jpg
       Datei:Fortinet-218.jpg
       
       NOTE Auf diser Seite kann uner der Positon "License File Download" das Licens File, dass auf dem FortiManager
            eingespielt werden muss runtergeladen werden!

Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiManager unter folgender Position eingespielt werden:

       NOTE Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support 
            Account erstellt werden!
       System Settings > General > Dashboard > License Information > Upload License

Nachdem einspielen der License wird der FortiManager neu gestartet. Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus der Position ausgelesen werden:

       System Settings > Dashboard > System Information > Serial Number

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

Wo finde ich auf dem FortiManager eine Ueberblick über alle Lizenzen inkl. FortiGate?

Im Device Manager kann können die Lizenzstaten von der Fortigate eingesehen werden:

       Device Manager -> Licence -> auf die entsprechende Position mit dem Mauscursor fahren, 
       dann werden die Daten eingeblendet
       
       Fortinet-1846.jpg

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiManager Devices:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

       https://docs.fortinet.com/product/fortimanager/7.0
       Datei:FortiManager-Best-Practices-Guide.pdf         (FortiManager Best Practices Guide)
       Datei:FortiManager-Security-Operations-App-1.2.pdf  (FortiManager Security Operations FortiManager Integration App - User Guide)
       Datei:FortiOS-Compatibility-FMG.pdf                 (FortiManager ab v5.6 Managed Compatibility Matrix)
       Datei:FortiProxy-Compatibility-FMG.pdf              (FortiManager ab v7.0.3 Manage Compatibility Matrix für FortiProxy)

FortiOS 5.4

       Datei:FortiManager-54-secure-dns-guide.pdf          (FortiManager v5.4 Secure DNS Guide)
       Datei:FortiManager Managing-FortiOS-with-FSSO.pdf   (FortiManager - Managing FortiOS and FSSO)
       API-XML
       Datei:FortiManager-XML-API ReferenceGuide-5.4.4.pdf (FortiManager - XML API Reference 5.4.4)

FortiOS 5.6

       Datei:FortiManager Managing-FortiOS-with-FSSO.pdf      (FortiManager - Managing FortiOS and FSSO)
       Datei:FortiManager-VM-VMware-Install-Guide-56.pdf      (FortiManager v5.6 VMware Install Guide)
       Datei:FortiManager-56-SecurityOperationsApp-1.1.pdf    (FortiManager 5.6.3 - Security Operations Integration App UserGuide)

FortiOS 6.0

       Datei:FortiManager Managing-FortiOS-with-FSSO.pdf   (FortiManager - Managing FortiOS and FSSO)
       Datei:FortiManager-VM-InstallGuide-60.pdf           (FortiManager v6.0 VMware Install Guide)
       Datei:FortiManager-60-SecurityOperationsApp-1.1.pdf (FortiManager 6.0.1 - Security Operations Integration App UserGuide)

Die Aktuellen Fortimanager Dokumente für die Version 6.0 können auch auf dieser Fortinet Seite entnommen werden:

FortiOS 6.4


add 19.12.2022 - 4Tinu

FortiOS 7.0


edit 19.12.2022 - 4Tinu

Administrations Guide


edit 3.03.2023 - 4Tinu

CLI Referenz Guide


edit 19.12.2022 - 4Tinu

Log Reference Guide FortiManager - FortiAnalyzer


edit 3.03.2023 - 4Tinu

Wo finde ich die FAQs über die Version 5.0 und 5.2?

FortiOS 5x.svg

Unter folgenden Link können die FAQs für 5.0 und 5.2 über die FortiGate, den FortiAnalyzer und den FortiManager eingesehen werden:

Request of Proposel (RFP)

Gibt es produktspezifische Dokumente die für eine Ausschreibung die Funktionen/Möglichkeiten beschreiben?

Wenn eine Ausschreibung existiert und man eine Fortinet Offerte abgibt für diese Ausschreibung, ist es Sinnvoll Dokumente beizulegen die entsprechenden Funktionen eines Fortinet Produkts beschreibt sowie dessen Möglichkeiten. Nachfolgende Dokumente sind RFP Dokumente (Proof of Proposel) die genau für diese Zwecke erstellt wurden:

       Datei:FortiOS-FGT-RFP-EN.docx               Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Englisch)
       Datei:FortiOS-FGT-RFP-FR.docx               Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Französisch)
       Datei:FortiOS-FMG-FAZ-CSF-FCL-RFP-EN.docx   Request of Proposal FortiManager, FortiAnalyzer, Corporate Security Fabric, FortiClient 5.4 Q042016 V1.0 (Englisch)

Hardware

Was sind die "maximum values" für FortiManager Platformen?

Für die verschiedenen Platformen sei es Hardware Appliance und VMWare existieren folgende "maximum values":

       NOTE Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:
           
            1 Cluster = 1 Device
            1 VDOM    = 1 Device
       

FortiManager Series

Produkt Max Device Max ADOMS Storage Kapazität
FMG-200D 30 30 1x1TB
FMG-300D 300 300 2x2TB
FMG-300E 100 100 4x3TB
FMG-400E 300 300 8x3TB
FMG-1000D 1000 1000 4x2TB
FMG-2000E 1200 1200 12x3TB
FMG-3000F 4000 4000 16x3TB
FMG-3900E 10000 10000 15x1TB

FortiManager-VM Series

Produkt Max Device Max ADOMS Max Webportal Max Portal Users GB Logs/day Storage Kapazität (Min/Max)
FMG-VM-Base 10 10 10 10 1 80GB / 16TB
FMG-VM-10 +10 +10 +10 +10 2 80GB / 16TB
FMG-VM-100 +10 +100 +100 +100 5 80GB / 16TB
FMG-VM-1000 +10 +1000 +1000 +1000 10 80GB / 16TB
FMG-VM-5000 +5000 +5000 +5000 +5000 25 80GB / 16TB
FMG-VM-U Unlimited Unlimited Unlimited Unlimited 50 80GB / 16TB

Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) einer Fortinet?

Weitere Informationen siehe folgender Artikel:

Upgrade

Wie kann ich einen FortiManager upgraden?

Die Software für den Upgrade kann im Supportportal von Fortinet im Download Bereich heruntergeladen werden:

Config webgui.png Konfiguration über das WebGui:
  1. Menu Support anwählen
  2. unter Downloads den Menupunkt Firmware Download anwählen
  3. Bei Select Product im Popup Menu das Produkt 'FortiManager selektieren
  4. Sobald auf Download geklickt wird, das entsprechende Image (Version und Produkt) auswählen zum herunterladen.
Fortinet-1867.jpg

Bevor ein Upgrade durchgeführt wird, empfiehlt es sich ein Backup zu erstellen. Wie ein Backup erstellt wird, kann im folgenden Artikel entnommen werden:

Es ist wichtig, dass die Release Notes durchgelesen werden, um wichtige Informationen über die entsprechende Version zu erhalten.

Jetzt kann das Update durchgeführt werden:

Config webgui.png Konfiguration über das WebGui:

System Settings -> Dashboard und bei Firmware Version das Symbol mit Pfeil nach oben anwählen

Fortinet-1868.jpg 

Jetzt kann die entsprechende Firmware ausgewählt werden und mit OK wird der Update gestartet.

Fortinet-1869.jpg   

Das ausgewählte File wird auf den FortiManager hochgeladen. Im Hintergrund wird das File auf die Korrekte Version geprüft, wenn dies erfolgreich verifiziert wurde, wird der Upgrade Prozess gestartet.

Fortinet-1870.jpg  

Nach dem Upgrade wird der FortiManager neu gestartet.

Fortinet-1871.jpg

Wo finde ich die Release Notes für den FortiManager?

FortiOS 5x.svg Release Notes für FortiOS 5.4: EoS
FortiOS 56.svg Release Notes für FortiOS 5.6: EoS
FortiOS 60.svg Release Notes für FortiOS 6.0 EoS
FortiOS 64.svg Release Notes für FortiOS 6.4
FortiOS 70.svg Release Notes für FortiOS 7.0
FortiOS 72.svg Release Notes für FortiOS 7.2

edit 3.03.2023 - 4Tinu

Wo finde ich die Upgrade Pfade für den FortiManager?

Der Upgrade Pfad muss unbedingt eingehalten werden:

FortiOS 5x.svg Upgrade Guide auf FortiOS 5.4 EoS
FortiOS 56.svg Upgrade Guide auf FortiOS 5.6 EoS
FortiOS 60.svg Upgrade Guide auf FortiOS 6.0 EoS
FortiOS 64.svg Upgrade Guide auf FortiOS 6.4
FortiOS 70.svg Upgrade Guide auf FortiOS 7.0
FortiOS 72.svg Upgrade Guide auf FortiOS 7.2

edit 3.03.2023 - 4Tinu

System Settings

Wie kann ich den Administrationsport auf dem FortiManager anpassen?

FortiOS 70.svg FortiOS 72.svg

Defaultmässig wird das Management für das WebGui beim FortiManager im Webbrowser folgendermassen aufgerufen:

https://<fortimanager-mgmt-ip>

Da für das Management nicht unbedingt der default Port tcp443 verwendet werden soll, kann dieser Administrationsport angepasst werden:

Config webgui.png Konfiguration über das WebGui:
  • Von den System Settings aus starten
  1. Über das Menu Admin->Admin Settings navigieren
  2. Hier kann das redirekt vom HTTP Port auf HTTPS unterbunden werden
  3. Feld HTTPS Port kann der gewünschte Administrations Webport definiert werden. Daran denken, dass allfällige Firewallfreischaltungen vorgenommen werden müssen, damit der Port erreichbar ist.
Fortinet-3188.jpg
Config cli.png Konfiguration über die CLI:
config system admin setting
   set admin-https-redirect [enable|disable]
   set https_port [ADMIN-PORT] <- HTTPS Management Port
   set http_port [ADMIN-PORT]  <- HTTP Management Port 
end

Beispiel: AdminPort tcp4443 - http-https redirekt deaktivieren

config system admin setting
   set admin-https-redirect disable
   set https_port 4443
end

Von nun an kann der FortiManager folgendermassen aufgerufen werden im Browser:

https://<fortimanager-mgmt-ip>:<admin-Port>
https://198.18.192.11:4443

edit 3.03.2023 - 4Tinu

Wie kann ich den Hostnamen beim Anmeldefenster anzeigen lassen?

FortiOS 70.svg FortiOS 72.svg

Es gibt die Möglichkeit wie auf der FortiGate beim Anmeldefenster den Hostname des FortiManager anzeigen zu lassen. Defaultmässig ist diese Option deaktiviert und muss in der CLI aktiviert werden:

Config cli.png Konfiguration über die CLI:
config system admin setting
   set show-hostname enable
end
Config webgui.png Ergebnis beim Anmeldefenster:
Fortinet-2992.jpg

Um den Hostnamen wieder auszublenden:

Config cli.png Konfiguration über die CLI:
config system admin setting
   set show-hostname disable
end
Config webgui.png Ergebnis beim Anmeldefenster:
Fortinet-2993.jpg

edit 3.03.2023 - 4Tinu

Wie kann ich einen Post-Loging Disclaimer anzeigen lassen nachdem ich mich auf dem FortiManager eingeloggt habe?

FortiOS 70.svg FortiOS 72.svg

Damit nach erfolgreichem einloggen in den FortiManager noch ein Disclaimer erscheint, muss dieser in der CLI aktiviert werden. Es ist auf dem FortiManager möglich einen Post Disclaimer (nach den Einloggen) azeigen zu lassen. Dieses Hinweisfenster muss dann aktiv bestätigt werden, damit man auf die Administrationskonsole des Managers kommt.

Config cli.png Konfiguration über die CLI:

Syntax:

config system admin setting
    set set access-banner [enable|disable]
end

Post Disclaimer aktivieren:

config system admin setting
    set set access-banner enable
end

Post Disclaimer deaktivieren:

config system admin setting
    set set access-banner disable
end
Config webgui.png Post Disclaimer Meldung nach erfolgreichem Anmelden:
Fortinet-3190.jpg

edit 3.03.2023 - 4Tinu

Wie kann die Login Post Disclaimer Message editiert werden?

FortiOS 70.svg FortiOS 72.svg

Es gibt die Möglichkeit den Post Disclaimer Text zu editieren. Leider ist es nicht so konfortabel wie auf der FortiGate. Man muss den ganzen Fliesstext einlesen und kann keine Formatierungen vornehmen. Folgendes muss in der CLI dafür konfiguriert werden:

Config cli.png Konfiguration über die CLI:
config system admin setting
    set banner-message "[MESSAGE]" <- Siehe Hinweis unten
end

Beispiel:

config system admin setting
    set banner-message "Zugriff nur für Berechtigte"
end
Config webgui.png Post Disclaimer Meldung nach erfolgreichem Anmelden:
Fortinet-3191.jpg

Ich habe keine Möglichkeit gefunden, auf den Default Text zurückzusetzen, daher kann dieser String reinkopiert werden:

"------------------------------------------------------------------------------------------------------------- This is a private computer system. Unauthorized access or use is prohibited and subject to prosecution and/or disciplinary action. Any use of this system constitutes consent to monitoring at all times and users are not entitled to any expectation of privacy. If monitoring reveals possible evidence of violation of criminal statutes, this evidence and any other related information, including identification information about the user, may be provided to law enforcement officials. If monitoring reveals violations of security regulations or unauthorized use, employees who violate security regulations or make unauthorized use of this system are subject to appropriate disciplinary action." 
Info.svg

Anführungs und Schlusszeichen müssen gesetzt werden wenn man den Text reinkopiert


edit 3.03.2023 - 4Tinu

Wie kann ich im FortiManager die erzwungene Objekt Notiz bei der Revision deaktivieren?

FortiOS 70.svg

Im FortiManager Release 7.0.0 ist ein neues Feature hinzugefügt worden. Sobald ein Objekt editiert wird, besteht eine Notizpflicht und es wird eine Objekt Revision angelegt. Diese Notiz Pflicht kommt zum Zuge sobald das Objekt in den Editier Modus gesetzt wird. Dabei soll für ein Autit Transparent dokumentiert werden, was mit diesem Objekt in der Vergangenheit geschehen ist.

Man wird vom FortiManager freundlicherweise darauf hingewiesen, wenn man ein Objekt editiert hat und vergisst Change Note zu füttern:

Config webgui.png Konfiguration über das WebGui:
Fortinet-2982.jpg

Sobald das Feld ausgefüllt wird, kann man mit OK die Änderung bestätigen.

Fortinet-2983.jpg

Wen man das Objekt jetzt anklickt findet man zu unterst die Revisionshistory:

Config webgui.png Konfiguration über das WebGui:
Fortinet-2984.jpg

Wenn man diese Notiz Pflicht deaktivieren will, kann dies Global über die CLI passieren:

Config cli.png Konfiguration über die CLI:
config system global
     set object-revision-mandatory-note disable
end
Hinweis.svg

Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.

Nun kann ein Objekt bearbeitet werden, ohne das man eine Revision Notiz muss hinterlegen. Eine Objekt Revision wird aber dennoch angelegt.
Wenn wir im Objekt schauen, sehen wir, dass die obersten beiden Einträge ohne Change Note gespeichert sind.

link 

Wenn man die Revision Notizen wieder erzwingen will, kann man dies wieder über die CLI konfigurieren:

Config cli.png Konfiguration über die CLI:
config system global
     set object-revision-mandatory-note enable
end
Hinweis.svg

Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.


edit 3.03.2023 - 4Tinu

Wie wird der System DNS auf dem FortiManager konfiguriert?

FortiOS 70.svg FortiOS 72.svg

Verschiedene Funktionen im FortiManager setzen voraus, dass der FortiManager DNS Namen auflösen kann. Daher muss ein DNS Server auf dem FortiManager konfiguriert werden. Dienste wie versenden von Alarmierungs Email, FortiGuard kommunikation, auflösen von Adressobjekten usw, funktionieren nicht ohne DNS konfiguration.

Config webgui.png Konfiguration über das WebGui:
  1. Über die System Settings navigieren
  2. Menu Network auswählen
  3. im Fenster bis zum Abschnitt DNS scrollen. Im Feld Primary DNS Server den DNS1 Server eintragen, beim Feld Secondary DNS Server den DNS2 Server eintragen
  4. mit Apply die Konfiguration bestätigen.
Fortinet-3193.jpg
Config cli.png Konfiguration über die CLI:

Syntax:

config system dns
   set primary [IP_DNS1_SERVER]
   set secondary [IP_DNS2_SERVER]
end

Beispiel:

config system dns
   set primary 198.18.0.1
   set secondary 8.8.4.4
end

edit 3.03.2023 - 4Tinu

Wie konfiguriere ich die Systemzeit auf dem FortiManager?

FortiOS 70.svg FortiOS 72.svg

Die Systemzeit ist auf dem FortiManager wichtig. Am besten konfiguriert man entsprechende NTP Server. Falls man keinen internen NTP Server zu verfügung hat empfehle ich einer der folgenden NTP Server zu benutzen:

-> 0.ch.pool.ntp.org
-> 1.ch.pool.ntp.org
-> 2.ch.pool.ntp.org
-> 3.ch.pool.ntp.org
Config webgui.png Konfiguration über das WebGui:
  • Im Mainmenu im System Information Widget beim Punkt System Time editieren:
Fortinet-3182.jpg
  1. Zeitzone entsprechend auswählen
  2. Automatische anpassung an die Sommerzeit aktivieren. Wenn diese Option aktiviert ist, passt der FortiManager die Systemzeit automatisch an, wenn die Sommerzeit beginnt oder endet.
  3. Synchronisation mit dem NTP Server einschalten
  4. Den gewänschten NTP Server z.B. 1.ch.pool.ntp.org eintragen
  5. auf das Plus klicken um weitere (Backup) NTP Server hinzuzufügen
Fortinet-3183.jpg
  1. es können weitere NTP Server hinzugefügt werden, wenn der Abfallkorb angewählt wird, wird der Server wieder entfehrnt
  2. Mit OK wird die Konfiguration gesichert
Fortinet-3184.jpg
Config cli.png Konfiguration über die CLI:

NTP Server konfigurieren

config system ntp
   set status enable
      config ntpserver
         edit 1
            set server "1.ch.pool.ntp.org"
         next
         edit 2
            set server "2.ch.pool.ntp.org"
         next
      end
end

Die Zeitzone wird folgendermassen konfiguriert:
Syntax:

config system global
   set timezone [TimeZone Integer]
end

Beispiel für die Schweiz: (GMT+1.00)

config system global
   set timezone 26
end

Alle Zeitzonen Codes findest du hier (Mit der Tastenkombination ctrl + linksklick öffnest du ein seperates Fenster

Automatische anpassung an die Sommerzeit aktivieren:
Syntax:

config system global
   set daylightsavetime [enable|disable] (Defaultwert : enable)
end 

Beispiel zum aktivieren:

config system global
   set daylightsavetime enable
end 

edit 3.03.2023 - 4Tinu

Wie kann ich den ADOM Modus auf dem FortiManager aktivieren?

FortiOS 70.svg FortiOS 72.svg

Der Adom Modus auf dem FortiManager ermöglicht es, die verschiedenen FortiGates in unterschiedliche administratorische Domainen (adom) zu verwalten. Defaultmässig ist dieser Modus deaktiviert. Um diesen zu aktivieren kann im WebGui folgendermassen vorgegangen werden:

Config webgui.png Konfiguration über das WebGui:
  • Im Mainmenu im System Information Widget beim Punkt Administrative Domian den Schalter aktivieren
Fortinet-3185.jpg
  • Es wird nocheinmal gefragt, ob der adom Modus wirklich aktiviert werden soll. dies mit OK bestätigen.
Fortinet-3186.jpg
  • Man wird ausgeloggt und muss sich neu an den Manager anmelden
  • Wir sehen nun eine root adom und eine Globale adom
Fortinet-3187.jpg

Wenn wir den Adom Modus deaktivieren wollen, wird dies an der selben Stelle durchgeführt.

  • Im Mainmenu im System Information Widget beim Punkt Administrative Domian den Schalter deaktivieren

Es wird eine Warnmeldung angezeigt, dass alle adom ausser die root adom gelöscht werden, dies bestätigen falls man den adom Modus wirklich deaktivieren will

Fortinet-3192.jpg

edit 3.03.2023 - 4Tinu

Kann ich eine FortiGate mit VDOMs in verschiedenen ADOMs auf dem FortiManager betreiben?

Wenn ich eine FortiGate mit verschieden VDOM habe kann die Anforderung kommen, dass ich auf dem FortiManager diese VDOMs in verschiedenen ADOMS verwalten will. Defaultmässig ist dies auf dem FortiManager nicht möglich, es kann aber den advanced Modus aktiviert werden. Wenn der Advanced adom Modus auf dem FortiManager aktiviert wurde, kann ich jede VDOM einer FortiGate in eine x-beliebe ADOM Instanz (Achtung OS Version beachten) zuweisen:

Der Advanced Modus kann im WebGui folgendrmassen aktiviert werden:

Config webgui.png Konfiguration über das WebGui:
  1. In die System Settings wechseln
  2. Nun im Menu zu Advanced-> Advanced Settings navigieren
  3. Der ADOM Modus kann zwischen Normal und Advanced gewählt werden
Fortinet-3189.jpg
Config cli.png Konfiguration über die CLI:

Syntax:

config system global
   set adom-mode [advanced|normal]
end

Beispiel:

config system global
   set adom-mode advanced 
end
Warning:  Enabling this option will result in a reduced operation mode and more complicated management scenarios.  It is recommended only for advanced users.
Do you want to continue? (y/n)y <- mit y bestätigen

add 05.07.2022 - 4tinu

Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren?

Damit nicht alle Administrationsuser auf dem FortiManager manuell erfasst werden können, ist es praktisch einen Remote Server zur Authentifizierung zu definieren. Dies hat der Vorteil, wenn ein User die Firma verlässt oder keinen Zugriff mehr kriegen sollte, kann der Account Zentral verwaltet werden.

Auf dem FortiAnalyzer haben wir die Möglichkeit verschiedene Remote Server für die Authentifizierung zu definieren:

  • Radius Server
  • LDAP Server
  • TACACS+ Server

In unserem Beispiel schauen wir an, wie ein Radius Server eingerichtet wird:

Config webgui.png Konfiguration über das WebGui:
  1. In die System Settings navigieren
  2. Unter Admin->Remote Authentication Server auf Create New
  3. Authentifizierungs Server Art auswählen (In unserem Fall RADIUS Server
Fortinet-3194.jpg
  1. Radius Server Name definieren
  2. IP Adresse oder fqdn des Radius Servers angeben
  3. Passwort des Radius Servers angeben
  4. Authenication Type definieren (ANY, PAP, CHAP oder MSv2)
  5. Unter Advanced Optionen kann eine NAS IP definiert werden, falls dies Notwendig ist. Defaultmässig wird die ausgehende IP Adresse des FortiManagers verwendet.
  6. mit OK die Konfiguration abschliessen
Fortinet-3195.jpg

Im Menupunkt Test Connectivity kann die Verbindung zum Radius getestet werden:

Fortinet-3196.jpg

add 07.07.2022 - 4tinu

Wie kann ich einen User vom Radius Server auf dem FortiManager einbinden?

Damit ich die User von einem Radius Server benutzen kann, muss ich als erstes auf dem FortiManager einen Radius Server definieren:

Damit wir den Gruppeninhalt des Radiusservers erhalten müssen wir auf dem FortiManager einen Wildcard User eröffnen:

Config webgui.png Konfiguration über das WebGui:
  1. In das Menu System Settings navigieren
  2. Admin->Administrator auswählen
  3. Mit Create New kann der Radius Wildcarde User eröffnet werden
Fortinet-3197.jpg
  1. Username definieren (Dieser muss nicht auf dem Radius existieren, kann frei gewählt werden)
  2. Optional kann eine Beschreibung hinzugefügt werden
  3. den Admin Type auf Radius stellen. Wichtig, die Option Match all users on remote server aktivieren. Wir werden dies in den Advanced Optionen noch regulieren
  4. Den Radiusserver welchen wir vorher definiert haben auswählen
  5. das Administrations Profil kann definiert werden, wir werden es aber auch über Radius Attripute den entsprechenden User zuweisen. Daher hier das Profil No_Permission_User auswählen
  6. Hier kann der Zugriff auf die ADOM definiert werden. IN diesemem Beispiel haben wir Zugriff auf Alle Adoms (All ADOMs) Wie man die Adoms per User definiert und über Radius Attriput definiert, schauen wir in einen anderen Artikel noch an
  7. Es kann das Theme speziell definiert werden, wir benutzen das Global festgelegte Theme
  8. Unter den Advanced Optionen können noch weitere Einstellungen vorgenommen werden
Fortinet-3198.jpg

Nun schauen wir noch die Erweiterten Einstellungen(Advanced Options an, damit wir nur die definierte Gruppe berücksichtigen für die Authentifizierung. Weiter werden wir noch das Admin Profil zuweisen lassen vom Radiusserver:

  1. Der Parameter ext-auth-accprofile-override auf enable setzen. Dies bewirkt, dass das Radius Attriput welches wir mitliefern beachtet wird (Attribut Fortinet-Access-Profile)
  2. Der Parameter ext-auth-adom-override auf disable setzen. Wenn man die Adoms per User zuweisen will, muss dieser Parameter eingeschalten werden. Hier wird das Attribut Fortinet-Vdom-Name berücksichtigt
  3. Unter dem Punkt ext-auth-group-match wird definiert, aus welcher Gruppe die User berücksichtigt werden. Hier wird das Attribut Fortinet-Group-Name berücksichtigt.
  4. Mit OK wird der Radius Wildcard User auf dem FortiManager ausprobiert.
Fortinet-3199.jpg

Es muss natürlich jetzt auf dem Radius Server die entsprechende Konfiguration vorgenommen werden.
Eine Anleitung wie man den FortiAuthentikator konfiguriert findet man in diesem Artikel


add 07.07.2022 - 4tinu

Device Manager

Wie kann ich ein FortiGate Update File auf den FortiManager hochladen?

Wenn man eine FortiGate über den FortiManager upgraden will, gibt es verschiedene Möglichkeiten, wie der FortiManager an das gewünschte FortiOS gelangt. Es gibt die Möglichkeit, dass der FortiManager das FortiOS direkt von der FortiGuard sich herunterlädt, wenn es benötigt wird. Manchmal will man aber ein Spezial Build oder die Datei selber vom Supportportal herunterladen und dann auf den Manager hochladen. in diesem Artikel wird beschrieben, wie man so eine Datei auf den FortiManager hochlädt. Wir möchten für die FortiGate 300D das FortiOS 6.4.2 Build 1723 auf den FortiManager hochladen.

Config webgui.png Konfiguration über das WebGui:

Das FortiOS kann man von der Supportseite wie gewohnt heruntergeladen werden:

  1. Sofware im Supportportal herunterladen. Supportportal von Fortinet: https://support.fortinet.com
Fortinet-2742.jpg

Das gewünschte FortiOS kann nun auf den FortiManager hochgeladen werden. Wenn die Software einmal für dieses Modell hochgeladen wurde, kann diese auch für die anderen Baugleichen Modelle benutzt werden (z.B FortiGate 300D in unserem Beispiel.)

  1. Device Manager --> Firmware --> Imported Images
Fortinet-2733.jpg
  1. Auf Import gehen
Fortinet-2744.jpg 
  1. über Browse das entsprechende File auswählen
  2. mit OK den upload starten
Fortinet-2734.jpg

Nun sieht man das hochgeladene File in der Liste der importierten FortiOS Dateien:

Fortinet-2735.jpg 


In diesem Dokument wird beschrieben wie eine FortiGate über den FortiManager upgegradet wird (FortiOS 5.6):

       Datei:FortiManager-Upgrading-FortiGate Devices-56.pdf

Wie kann ich über den FortiManager 5.4 ein FortiGate Device upgraden?

Die FortiGate kann direkt über den FortiManager upgegradet werden. Man hat die Möglichkeit so den Update auf eine bestimmte Zeit zu planen oder auch direkt mehrere Geräte auf einmal upzugraden. Der Upgrade wird über den DeviceManger in der entsprechenden Adom durchgeführt. Wichtig ist darauf zu achten, dass der FortiManager mindestens auf der selben FortiOS Version betrieben ist, in welche man das Gerät anheben will.

Man kann die FortiGate bequem über den FortiManager auf das gewünschte FortiOS upgraden. Auch hier gilt, dass man die Release Notes gut durchlesen muss. Der Upgrade Pfad muss auch über das Upgraden im FortiManager beachtet werden. Damit man die FortiGate über den FortiManager upgraden kann, empfiehlt es sich die entsprechende Software auf den FortiManager hochzuladen. Das FortiOS für die entsprechende FortiGate kann über das Support Portal von Fortinet im Download Bereich heruntergeladen werden.

Konfiguration über das WebGui

Beschreibung
Fortinet-1882.jpg Im Device Manager auf Firmware und dann Importet Images.
Fortinet-1876.jpg Import anwählen.
Fortinet-1877.jpg Den Pfad angeben, in welchem das gewünschte FortiOS abgelegt ist, damit es auf den FortiManager hochgeladen werden kann.
Fortinet-1878.jpg Das FortiOS Image wird auf den Manager hochgeladen. Dieses Image kann dann für alle Devices desselben FortiGate Modell benutzt werden.

Wenn das Image im FortiManager hochgeladen wurde, kann die FortiGate jetzt upgegradet werden:

Konfiguration über das WebGui

Beschreibung
Fortinet-1883.jpg Das gewünschte Device selektieren und dann den Menupunkt Upgrade anwählen.
Fortinet-1879.jpg Das hochgeladene Image kann jetzt im Dropdown Menu angewählt werden. (Upgrade Pfad muss beachtet werden!)
Fortinet-1880.jpg Der Upgrade Prozess wird initiiert. (Image auf die FortiGate hochgeladen und das Upgrade durchgeführt)
Fortinet-1881.jpg Im Taskmanager kann der Status des Updates überprüft werden. Den Taskmanager erreicht man unter System Settings -> Task Monitor

Wenn das Upgrade durchgeführt wurde, kann auf der FortiGate überprüft werden, ob der Upgrade sauber funktioniert hat.

Wie kann ich ein Custom FortiOS auf den FortiManager hochladen?

FortiOS 72.svg

Im FortiManager kann das Updaten von Devices einfach durchgeführt werden. Die Images werden normalerweise von der FortiGuard auf dem FortiManager zu verfügung gestellt. Falls man selber ein Image hochladen will (weil es von der FortiGuard noch nicht heruntergeladen wurde oder es ein spezial Build ist) kann es direkt auf den Manager hochgeladen werden.

Dabei muss man zuerst das entsprechende Image aus dem Support Portal --> https://support.fortinet.com heruntergeladen werden.

Fortinet-3249.jpg

Auf dem FortiManager in das Menu FortiGuard gehen:

Fortinet-3250.jpg

Danach im Seitenmenu den Punkt Firmware Images auswählen. Weiter auf den Menupunkt Local Images

Fortinet-3251.jpg

Nun kann über den Butten Import das upload Menu geöffnet werden.

Fortinet-3252.jpg

Jetzt kann die vorher heruntergeladene Image Datei auf den FortiManager hochgeladen werden. (Datei einfach in das vorhandene schattierte Feld rein ziehen)

Fortinet-3253.jpg

Mit OK bestätigen und die Datei wird auf den Manager hochgeladen:

Fortinet-3254.jpg

Dieser Vorgang geht eine weile. (Bitte habt ein wenig Geduld. Solange der Return Button steht, ist der Vorgang nicht abgeschlossen!

Fortinet-3255.jpg

Sobald die Datei hochgeladen ist, wird eine Liste mit allen bereits hochgeladenen images angezeigt. Mit Close wird der Vorgang abgeschlossen.

Fortinet-3256.jpg

Nun kann die Datei bei einem Upgrade auf dem entsprechenden Device unter Local Images ausgewählt werden:

Fortinet-3257.jpg

add 28.10.2022 - 4Tinu

Policy Manager

Wie kann ich bei einem Firewall Objekt eine ältere Version wieder aktivieren?

FortiOS 70.svg

Auf dem FortiManager wird bei jeder Objekt Mutation eine Revision erstellt, welche jederzeit wieder hervorgeholt werden kann. Diese Revision ist im Objekt selber einsehbar und auch wieder zurücksetzbar. Die Objekt Revision geschieht automatisch.

Folgendes Objekt habe ich mit der IP Adresse 198.18.0.155 definiert:

Fortinet-2989.jpg

Um ein neues System zu testen, habe ich das Objekt auf 198.18.0.156 geändert:

Nach einiger Zeit möchte ich wieder die IP Adresse 198.18.0.155 haben. Dafür kann ich jetzt die Revert Funktion nutzen, da mir eine Objekt Revision automatisch erstellt wurde.:

Config webgui.png Konfiguration über das WebGui:

Auf das entsprechende Objekt gehen und nach unten scrollen zum Menupunkt Revision History Nun können verschiedene Revisionen angewählt werden und dann den Div angezeigt werden, was zwischen den entsprechenden Revisionen geändert wurde:

  1. Mindestens zwei Revisionen anwählen:
  2. View Diff auswählen
Fortinet-2985.jpg

Nun sehen wir die Diffs der beiden Objekten:

Fortinet-2986.jpg

Wenn wir ein Objekt wieder auf eine frühere Version setzen möchten, kann dies über die Funktion Revert passieren:

Config webgui.png Konfiguration über das WebGui:
  1. Im Objekt die entsprechende Version auswählen, auf welche das Objekt zurückgesetzt werden soll.
  2. Rechtsklick auf das Objekt und dann Revert anwählen.
Fortinet-2987.jpg

Die Sicherheitsfrage bestätigen:

Fortinet-2988.jpg

Im Revisons Protokoll kann diese Aktion auch nachvollzogen werden:

Fortinet-2990.jpg




Fortinet-2987.jpg
Fortinet-2988.jpg


Fortinet-2990.jpg
Fortinet-2991.jpg

Wie kann ich ein dynamisches Interface Objekt im FortiManager konfigurieren?

FortiOS 60.svg FortiOS 62.svg FortiOS 64.svg FortiOS 70.svg

Im Fortimanager ist es möglich, dass man ein Interface nach seinen Wünschen benennen kann und pro FortiGate (Device) ein originales Interface darauf "mappen" kann. Zum Beispiel habe ich auf einer FortiGate 60E das Interface internal1, auf einer FortiGate 100E aber port1. In meinem Policy Template im FortiManager möchte ich jetzt aber Geräte unabhängig ein Interface für ein Server Lan erstellen. Das heisst in meiner Regel ist das Source Interface immer das Objekt server-lan. Wenn ich jetzt die FortiGate 60E in den Manager einbinde, hinterlege ich, dass internal1 Interface dem server-lan Interface entspricht. Das selbe funktioniert dann mit der FortiGate 100E. Da hinterlege ich aber das der port1 dem server-lan Interface entspricht.

Folgendermassen kann man das Konfigurieren:

Konfiguration über das WebGui Durchzuführende Schritte

Fortinet-2509.jpg

  1. In die entsprechende ADOM gehen
  2. Policy & Objects auswählen
    Fortinet-2513.jpg
  3. Auf Zone/Interface -> Interface
  4. Create New und aus der Liste Dynamic Interface auswählen

Fortinet-2510.jpg

  1. Den gewünschten Interface Name angeben
  2. Optional noch eine Beschreibung des Interfaces hinterlegen
  3. im Menu Punkt Color kann dem Interface eine Farbe zugordnet werden.
  4. um das Mapping zu aktivieren muss der Schalter Per-Device Mapping auf on geschaltet werden
  5. unter Create New kann eine neue FortiGate mit dem Portmapping hinzugefügt werden.

Fortinet-2511.jpg

  1. Die gewünschte FortiGate (Device) auswählen
  2. das Original Interface auf der FortiGate auswählen, welches im FortiManager auf das angelegte Interface verweist.
  3. Mit OK die Aktion bestätigen

Fortinet-2512.jpg

  1. In der Liste unten kann man alle gemappten FortiGates sehen und welches Interface auf das dynamische Interface zeigt.
  2. mit OK schliesst man das ganze ab

Wie kann ich ein dynamisches Adressenobjekt im FortiManager konfigurieren?

FortiOS 60.svg FortiOS 62.svg FortiOS 64.svg FortiOS 70.svg

Wir haben auf dem FortiManager die Möglichkeit, Adressobjekte auch per Device zu definieren. Das heisst ein Adressobjekt welches im FortiManager internal-lan heisst, kann auf eine x-beliebige FortiGate deployed werden mit dem für die FortiGate relevanten IP-Wert. Dies kann sehr praktisch sein, wenn man ein Policyset definiert und dieses Policyset für diverse FortiGates brauchen will. So muss ich nicht für jede FortiGate ein eigenes Policy Set definieren

Folgendermassen kann man das Konfigurieren:

Konfiguration über das WebGui Durchzuführende Schritte

Fortinet-2514.jpg

  1. In die entsprechende ADOM gehen
  2. Policy & Objects auswählen
    Fortinet-2513.jpg
  3. Auf Addresses
  4. Create New

Fortinet-2515.jpg

  1. Adressen Objekt Namen definieren
  2. Den gewünschten Typ auswählen (wie auf der FortiGate)
  3. Es kann eine beliebige IP Adresse als Platzhalter definiert werden, wenn wir mit dynamischen Adressen Zuweisung arbeiten. Wenn wir das Objekt nicht zuweisen, wird dieser Wert verwendet!
  4. Die Farbe nach eigenen Wünschen definieren

Fortinet-2516.jpg

  1. Der Per-Device Mapping Schieber muss auf ON geschaltet werden
  2. mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden

Fortinet-2517.jpg

  1. Die FortiGate auswählen, auf welches das Adressobjekt zugewiesen werden soll
  2. Die IP Adresse für die ausgewählte FortiGate angeben (Diese Adresse wird dann auf der FortiGate konfiguriert sein)
  3. Kommentare und Farben können noch für das Gerät spezifisch definiert werden
  4. Mit OK wird das Adress Mapping für die ausgewählte FortiGate abgeschlossen.

Wie kann ich ein dynamisches VIP-Objekt im Fortimanager konfigurieren?

FortiOS 60.svg FortiOS 62.svg

Auf dem FortiManager ist es auch möglich, ein Virtuelle IP Objekt dynamisch zu konfigurieren. Dabei können auch die gemappten Interfaces benutzt werden. Im Prinzip wird ein Virtual IP (Destinations NAT) Objekt erstellt mit IP und Port Werten, welche dann per Device definiert werden kann. Mit diesem Objekt ist es also möglich zum Beispiel ein Destinations NAT Objekt für ein Mail Server zu definieren, welches dann auf die entsprechenden FortiGates mit den eigenen Werten deploeyed werden kann.

Folgendermassen kann man das Konfigurieren:

Konfiguration über das WebGui Durchzuführende Schritte

Fortinet-2518.jpg

  1. In die entsprechende ADOM gehen
  2. Policy & Objects auswählen
    Fortinet-2513.jpg
  3. Auf Virtual IPs
  4. Create New

Fortinet-2519.jpg

  1. Objekt Name definieren
  2. Wenn gewünscht kann die Farbe definiert werden
  3. Interface auswählen, bei welchem das NAT Objekt terminiert. (Dies kann auch ein gemapptes Interface sein)
  4. Für die External Adress (Orginal IP-Adresse) kann ein beliebiger Wert als Variable gewählt werden.
  5. Für Mapped IP Adress (Destinations NAT IP Adresse) kann ein beliebiger Wert als Variable gewählt werden.
  6. Port Forwarding aktivieren um definierte Ports zu definieren (Best Praxis)
  7. Es können für External Service Port und Map to Port auch beliebige Werte als Variable gesetzt werden.

Fortinet-2520.jpg

  1. Der Per-Device Mapping Schieber muss auf ON geschaltet werden
  2. mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden

Fortinet-2521.jpg

  1. bei Mapped Device kann die FortiGate ausgewählt werden, auf welche das mapping zutreffen soll
  2. Bei External IP Address/Range kann jetzt die effektive orginal IP Adresse konfiguriert werden
  3. Bei Mapped IP Address/Range kann die effektive Ziel IP Adresse eingetragen werden.
  4. Bei Portforwarding die effektiven Ports definieren.
  5. Mit OK das mapping abschliessen.

Wie konfiguriere ich im FortiManager Policy Blocks?

FortiOS 62.svg

Policy Blöcke sind dafür da, um mehrere Regeln zusammen zu bündeln. Diese Policy Blöcke können im Policypaket, hinzugefügt werden. Dies hat der Vorteil, dass immer wiederkehrende Regeln auf verschiedene Policies Packet direkt zugwiesen werden können, ohne dass diese Regeln jedes Mal neu erstellt werden müssen. Dieses Feature ist in der Version 6.2.0 neu beim FortiManager hinzugefügt worden.

Konfiguration über das WebGui Durchzuführende Schritte

Fortinet-2561.jpg


Fortinet-2560.jpg

Damit man Policyblöcke einrichten kann, muss man zuerst das Menu anzeigen lassen. Dies geht folgendermassen:

  1. Im PolicyManager auf Tools -> Display Options
  2. Policy Block Optionen aktivieren

Fortinet-2562.jpg


Fortinet-2563.jpg

Im Seitenmenu wo die Policypaket angezeigt werden, wird jetzt der Ordner Policy Blocks mit angezeigt. Um einen neuen Policy Block zu erstellen, rechten Mausklick und New auswählen.

Fortinet-2564.jpg

  1. Konfigurieren des Policy Block Namen
  2. Zentrale Nat Option aktivieren oder deaktiviert lassen
  3. den NGFW Mode konfigurieren --> Was ist der NGFW Modus?

Fortinet-2565.jpg

  1. Im Seitenmenu kann unter Policy Blocks jetzt die entsprechende Policy angewählt werden (Rechtsklick)

Fortinet-2566.jpg

  1. Die Policy kann konfiguriert werden, wie die üblichen Policies.
  2. es empfiehlt sich bei den Adressen Objekten und den Interfaces mit dynamischen Objekten zu arbeiten.

Fortinet-2567.jpg


Fortinet-2568.jpg

Um einen Policy Block im Regelwerk einzubinden muss folgendermassen vorgegangen werden:

  1. Im entsprechenden Policy Paket an der gewünschten Position Rechte Maustaste drücken
  2. Im Menu Insert Policy Block Above (oberhalb) oder Below (unterhalb) wählen, um den Block einzufügen.
  3. Den gewünschten Policy Block selektieren.

Fortinet-2569.jpg

Im Policy Paket sehen wir die eingefügten Blöcke jetzt hellgrau geschrieben. Diese können nur im Policy Block Register editiert werden und die Änderungen werden auf alle Policy Paket angewendet, in welcher dieser Block konfiguriert ist.

Fortinet-2570.jpg

Auf der FortiGate sehen wir die eingefügten Policy Blocks im Policy Set. Die Policy ID wird automatisch vom Manager hinzugefügt und ist in der Regel eine sehr hohe Zahl.

Backup/Restore

Wie führe ich ein Backup auf dem FortiManager durch?

Konfiguration über das WebGui Durchzuführende Schritte
Fortinet-1872.jpg Unter System Settings -> Dashboard -> System Configuration das Icon mit dem schrägen Pfeil nach oben anwählen.
Fortinet-1873.jpg Das File kann durch ein Passwort gesichert und verschlüsselt werden. ACHTUNG wenn das Passwort verloren geht, gibt es keine Möglichkeit mehr das Backupfile wieder einzuspielen. Auch Fortinet ist nicht in der Lage das File zu entschlüsseln.
Fortinet-1874.jpg Den Pfad angeben, wohin das File gespeichert werden soll, danach wird der Backup durchgeführt. Das Backup wird als .dat File abgelegt. Wenn das Backup über das WebInterface durchgeführt wird, sind nicht alle Informationen vorhanden (Logs und Reports und dessen Konfigurationen)

Weitere Informationen siehe nachfolgenden Artikel:

FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_CLI_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F

FortiManager Cloud

Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden?

Früher waren FortiManagerCloud-Lizenzen auf spezifische FortiGate-Modelle ausgerichtet, sog. individual subscription SKUs. Beispiel:

FC-10-0040F-179-02-DD
FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service 


Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. multi-device subscription SKUs:

FC1-10-MVCLD-227-01-DD
Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.
FC2-10-MVCLD-227-01-DD
Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.
FC3-10-MVCLD-227-01-DD
Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.

Diese Multi-Device Lizenzen unterstützen u.A. folgende Features (z.T. identisch mit FortiManagerVM):
- Single Console Management 
- Central Policy und Device Management 
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen keine FortiAnalyzer-Features!


Es gibt häufig Verwechslungen mit FortiGateCloud-Lizenzen, die effektiv auf spezifische FortiGate-Modelle konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

FC-10-0040F-131-02-DD
FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention

Diese Single-Device Lizenzen unterstützen u.A. folgende Features:
- Configuration Management > war früher kostenlos
- Configuration Backup and Restoration > war früher kostenlos
- Firmware Upgrade
- 1x Jahr Log Retention
Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison
Achtung.png

Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention) fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service) betrachtet.

Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud?

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

Restricted User
Restricted User Profil hat nur Read-Only Privilege für alle verwalteten Geräte, und hat keine System Privilege 
Standard_User Standard User Profil hat Read-Write Access für alle verwalteten Geräte, hat keine System Privilege
Super_User Super User Profil hat sämtliche System and Device Privileges -> dieses Profil ist nicht editierbar
Package_User Package User Profil hat Read-Only Access for System and other Privileges, und hat Read-Write Policy & Object Privileges

Detaillierte Auflistung unter folgendem Link: https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions
Config webgui.png Konfiguration über das WebGui:
  • Im Dashboard System Settings auswählen
FMGCloud 1.png

Admin > Administrators > hier das Pencil Icon (wird erst mit Kursor sichtbar) anklicken

FMGCloud2.png

Es erscheint ein Drop-Down mit sämtlichen Admin Profilen, das gewünschte Admin Profil anschliessend auswählen

FMGCloud 3.png

Das gewählte Admin Profil final mit Häkchen bestätigen

FMGCloud 4.png