FortiManager:FAQ: Unterschied zwischen den Versionen
Zeile 1.476: | Zeile 1.476: | ||
| | | | ||
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet. | Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet. | ||
|} | |||
=== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? === | |||
In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht: | |||
'''Restricted User''' | |||
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' <br> | |||
'''Standard_User''' | |||
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' <br> | |||
'''Super_User''' | |||
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar <br> | |||
'''Package_User''' | |||
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' <br> <br> | |||
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions | |||
{| class="wikitable" style="width:850px" | |||
|- style="background:#89E871" | |||
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:''' | |||
|- | |||
| | |||
* Im Dashboard '''''System Settings''''' auswählen | |||
[[Datei:FMGCloud_1.png|500px|link=]] | |||
|- | |||
| | |||
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken | |||
[[Datei:FMGCloud2.png|800px|link=]] | |||
|- | |||
| | |||
Es erscheint ein '''Drop-Down mit sämtlichen Admin Profilen''', das gewünschte Admin Profil anschliessend auswählen | |||
[[Datei:FMGCloud_3.png|800px|link=]] | |||
|- | |||
| | |||
Das gewählte Admin Profil final '''mit Häkchen bestätigen''' | |||
[[Datei:FMGCloud_4.png|800px|link=]] | |||
|} | |} |
Version vom 3. März 2023, 09:50 Uhr
FortiManager:FAQ
Vorwort
Diese FAQ's sind für FortiManager Systeme basierend ab FortiOS Version 6.0-7.2
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
FAQ
License
Wie wird die Lizenz nach dem EOO vom VM-BASE für die FortiManager VM aktiviert und eingelesen?
In unserem Beispiel hat der Kunde die FMG Add On Lizenz 10 Devices zu managen und den notwendigen Support FMG-VM-10-UG + Support (Support für 1 Jahr) gekauft. Er hat bereits das PDF mit dem Registrierungscode erhalten:
*
* Screenshot ist von Analyzer Lizenz, sieht für den FMG genau gleich aus Wie kann ich jetzt die Lizenz einlesen?
Schritt 2 - Installieren der VM
Es muss die als erstes die FMG-VM installiert werden. Der Management Port auf dem FMG konfigurieren um Zugriff auf den FMG zu bekommen:
Konfiguration über die CLI: |
config system interface edit port1 set ip 198.18.0.11/24 <-- IP Adresse des FMG für das Management set allowaccess ping https ssh end end |
Die FMG-VM muss ins Internet kommunizieren können. Beduetet, auf der FMG-VM muss eine default Route konfiguriert werden und vorgeschaltete Firewalls müssen die Kommunikation vom FMG ins Internet erlauben.
Konfiguration über die CLI: |
Statische Route Default Gateway konfigurieren: config system route edit 1 set device "port1" <-- Port welcher richtung WAN angeschlossen ist set gateway 198.18.0.1 <-- Gateway IP Adresse end DNS Konfigurieren: config system dns set primary [IP Adresse DNS Server1] set secondary [IP Adresse DNS Server2] end |
Nun kann über https://[Management_IP] auf das WebGui zugegriffen werden:
Schritt 3 - Trial Lizenz aktivieren:
- Bei Benutzername und Passwort das FortiCloud (FortiCare) Konto (Email Adresse) und Passwort eingeben.
- Free Trial auswählen
- auf Loging with FortiCloud klicken. (Internetverbindung vom FortiManager muss gewährleistet sein!!)
- Die Trial Lizenzbedingungen aktzeptieren
- Die FMG-VM wird nun neu gestartet und wendet dann die Free Trial License angeschlossen
Nachdem die FortiManager Trial Lizenz aktiviert wurde kann die Add-ON Lizenz aktivieren:
Als erstes wird die Lizenz im Supportportal von Fortinet im Asset Manager registriert:
Dafür über https://support.fortinet.com einloggen und über das Menu Asset Management
- Auf Register Product klicken
- Produkte Key aus dem PDF eingeben
- Wenn es sich um keine Behörde handelt, A non-government user auswählen
- mit Next um weiter zu zu gehen.
- Produkte Beschreibung im Description Feld eingeben
- Falls verfügbar den entsprechenden Partner (Kundenaccount) auswählen
- Die IP Adresse des FortiManagers eingeben (Management IP)
- mit Save Einstellungen bestätigen
- Nun kann das Lizenzfile heruntergeladen werden.
Momentan ist auf dem FortiManager noch die Free Trial Lizenz installiert.
Diese beinhaltet:
- Nur 3 Geräte (Devices) zum Managen
- Nur 2 ADOMs (im Screenshot nicht sichtbar)
- 1GB/Tag, 500GB maximaler Speicher (FAZ Funktion)
- Kein TAC Support
Nach der Installation der neu generierten Lizenz die (VM wird neu gestartet)
Begrenzungen:
- Add-ON SKUs + Testversion + Support SKU
- 10 Geräte von der Add-ON Lizenz + 3 von der Trial Lizenz entspricht 13 Devices die gemanaget werden können.
- Datei:FMG-VM-7.0.0-TrialLicenseGuide.pdf
- direkter Link
Damit die Free Trial Lizenz benutzt werden kann, muss mindestens das Image für den FortiAnalyzer mit der Version 7.0.0 benutzt werden. Unter FortiOS 7.0 kann die Trial Lizenz nicht aktiviert werden. |
Wie wird ein FortiManager unter VMware lizensiert?
Eine FortiManager Lizenz basiert auf folgender Matirx (Stackable License basierend auf Devices und NICHT GB Logs pro Tag):
NOTE Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes: 1 Cluster = 1 Device 1 VDOM = 1 Device 1 Forti Access Point = 1 Device 1 FortiSwitch = 1 Device Ab FortiOS 5.4.2 werden Forti Access Point sowie FortiSwitch ebenfalls als Devices gezählt! Weitere Informationen welche Platform resp. Versionen der Virtualisierung genau unterstützt wird siehe nachfolgender Artikel: Fortinet:Virtualisierung#Gibt_es_f.C3.BCr_Fortinet_VMware_eine_Uebersicht_betreffend_Compatibility_Matrix.3F NOTE Weitere Informationen wie eine FortiAManager VM Lizenz registriert resp. eingespielt wird siehe folgender Artikel: FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F
Bei der Generierung der Lizenz muss die IP Adresse des FortiManagers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren sind die Maximum Values eines FortiManagers Wichtig. Dazu siehe nachfolgender Artikel:
FortiManager-5.0-5.2:FAQ#Was_sind_die_.22maximum_values.22_f.C3.BCr_FortiManager_Platformen.3F
Wie wird ein FortiManager unter VMware/HyperV installiert?
Nachfolgender Link gibt Auskunft wie ein FortiManager unter VMware/HyperV installiert wird:
Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F
Wie wird eine License für FortiManager für VMware registriert und eingespielt?
Wenn man einen FortiManager für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:
Datei:FMVM0002306.pdf
In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:
http://support.fortinet.com NOTE Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch" kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende Anweisungen durch: FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein. Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog: Datei:Fortinet-212.jpg
Datei:Fortinet-216.jpg
Datei:Fortinet-217.jpg
Datei:Fortinet-218.jpg NOTE Auf diser Seite kann uner der Positon "License File Download" das Licens File, dass auf dem FortiManager eingespielt werden muss runtergeladen werden!
Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiManager unter folgender Position eingespielt werden:
NOTE Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden!
System Settings > General > Dashboard > License Information > Upload License
Nachdem einspielen der License wird der FortiManager neu gestartet. Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus der Position ausgelesen werden:
System Settings > Dashboard > System Information > Serial Number
Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.
Wo finde ich auf dem FortiManager eine Ueberblick über alle Lizenzen inkl. FortiGate?
Im Device Manager kann können die Lizenzstaten von der Fortigate eingesehen werden:
Device Manager -> Licence -> auf die entsprechende Position mit dem Mauscursor fahren, dann werden die Daten eingeblendet
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiManager Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
https://docs.fortinet.com/product/fortimanager/7.0
Datei:FortiManager-Best-Practices-Guide.pdf (FortiManager Best Practices Guide) Datei:FortiManager-Security-Operations-App-1.2.pdf (FortiManager Security Operations FortiManager Integration App - User Guide) Datei:FortiOS-Compatibility-FMG.pdf (FortiManager ab v5.6 Managed Compatibility Matrix) Datei:FortiProxy-Compatibility-FMG.pdf (FortiManager ab v7.0.3 Manage Compatibility Matrix für FortiProxy)
FortiOS 5.4
Datei:FortiManager-54-secure-dns-guide.pdf (FortiManager v5.4 Secure DNS Guide) Datei:FortiManager Managing-FortiOS-with-FSSO.pdf (FortiManager - Managing FortiOS and FSSO)
API-XML Datei:FortiManager-XML-API ReferenceGuide-5.4.4.pdf (FortiManager - XML API Reference 5.4.4)
FortiOS 5.6
Datei:FortiManager Managing-FortiOS-with-FSSO.pdf (FortiManager - Managing FortiOS and FSSO) Datei:FortiManager-VM-VMware-Install-Guide-56.pdf (FortiManager v5.6 VMware Install Guide)
Datei:FortiManager-56-SecurityOperationsApp-1.1.pdf (FortiManager 5.6.3 - Security Operations Integration App UserGuide)
FortiOS 6.0
Datei:FortiManager Managing-FortiOS-with-FSSO.pdf (FortiManager - Managing FortiOS and FSSO) Datei:FortiManager-VM-InstallGuide-60.pdf (FortiManager v6.0 VMware Install Guide)
Datei:FortiManager-60-SecurityOperationsApp-1.1.pdf (FortiManager 6.0.1 - Security Operations Integration App UserGuide)
Die Aktuellen Fortimanager Dokumente für die Version 6.0 können auch auf dieser Fortinet Seite entnommen werden:
FortiOS 6.4
add 19.12.2022 - 4Tinu
FortiOS 7.0
edit 19.12.2022 - 4Tinu
Administrations Guide
- Datei:FortiManager-Admin-60.pdf EoS
- Datei:FortiManager-Admin-62.pdf
- Datei:FortiManager-Admin-64.pdf 6.4.10
edit 3.03.2023 - 4Tinu
CLI Referenz Guide
- Datei:FortiManager-CLI-60.pdf EoS
- Datei:FortiManager-CLI-62.pdf
- Datei:FortiManager-CLI-64.pdf 6.4.10
edit 19.12.2022 - 4Tinu
Log Reference Guide FortiManager - FortiAnalyzer
- Datei:FortiManager-54-event-log-reference guide.pdf EoS
- Datei:FortiManager-56-event-log-reference guide.pdf EoS
- Datei:FortiManager-60-EventLog-ReferenceGuide.pdf EoS
- Datei:FMG-FAZ-62-Log-ReferenceGuide.pdf
- Datei:FMG-FAZ-64-Log-ReferenceGuide.pdf 6.4.10
edit 3.03.2023 - 4Tinu
Wo finde ich die FAQs über die Version 5.0 und 5.2?
Unter folgenden Link können die FAQs für 5.0 und 5.2 über die FortiGate, den FortiAnalyzer und den FortiManager eingesehen werden:
Request of Proposel (RFP)
Gibt es produktspezifische Dokumente die für eine Ausschreibung die Funktionen/Möglichkeiten beschreiben?
Wenn eine Ausschreibung existiert und man eine Fortinet Offerte abgibt für diese Ausschreibung, ist es Sinnvoll Dokumente beizulegen die entsprechenden Funktionen eines Fortinet Produkts beschreibt sowie dessen Möglichkeiten. Nachfolgende Dokumente sind RFP Dokumente (Proof of Proposel) die genau für diese Zwecke erstellt wurden:
Datei:FortiOS-FGT-RFP-EN.docx Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Englisch) Datei:FortiOS-FGT-RFP-FR.docx Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Französisch)
Datei:FortiOS-FMG-FAZ-CSF-FCL-RFP-EN.docx Request of Proposal FortiManager, FortiAnalyzer, Corporate Security Fabric, FortiClient 5.4 Q042016 V1.0 (Englisch)
Hardware
Was sind die "maximum values" für FortiManager Platformen?
Für die verschiedenen Platformen sei es Hardware Appliance und VMWare existieren folgende "maximum values":
NOTE Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes: 1 Cluster = 1 Device 1 VDOM = 1 Device
FortiManager Series
Produkt | Max Device | Max ADOMS | Storage Kapazität |
---|---|---|---|
FMG-200D | 30 | 30 | 1x1TB |
FMG-300D | 300 | 300 | 2x2TB |
FMG-300E | 100 | 100 | 4x3TB |
FMG-400E | 300 | 300 | 8x3TB |
FMG-1000D | 1000 | 1000 | 4x2TB |
FMG-2000E | 1200 | 1200 | 12x3TB |
FMG-3000F | 4000 | 4000 | 16x3TB |
FMG-3900E | 10000 | 10000 | 15x1TB |
FortiManager-VM Series
Produkt | Max Device | Max ADOMS | Max Webportal | Max Portal Users | GB Logs/day | Storage Kapazität (Min/Max) |
---|---|---|---|---|---|---|
FMG-VM-Base | 10 | 10 | 10 | 10 | 1 | 80GB / 16TB |
FMG-VM-10 | +10 | +10 | +10 | +10 | 2 | 80GB / 16TB |
FMG-VM-100 | +10 | +100 | +100 | +100 | 5 | 80GB / 16TB |
FMG-VM-1000 | +10 | +1000 | +1000 | +1000 | 10 | 80GB / 16TB |
FMG-VM-5000 | +5000 | +5000 | +5000 | +5000 | 25 | 80GB / 16TB |
FMG-VM-U | Unlimited | Unlimited | Unlimited | Unlimited | 50 | 80GB / 16TB |
Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) einer Fortinet?
Weitere Informationen siehe folgender Artikel:
Upgrade
Wie kann ich einen FortiManager upgraden?
Die Software für den Upgrade kann im Supportportal von Fortinet im Download Bereich heruntergeladen werden:
Konfiguration über das WebGui: |
|
Bevor ein Upgrade durchgeführt wird, empfiehlt es sich ein Backup zu erstellen. Wie ein Backup erstellt wird, kann im folgenden Artikel entnommen werden:
Es ist wichtig, dass die Release Notes durchgelesen werden, um wichtige Informationen über die entsprechende Version zu erhalten.
Jetzt kann das Update durchgeführt werden:
Wo finde ich die Release Notes für den FortiManager?
edit 3.03.2023 - 4Tinu
Wo finde ich die Upgrade Pfade für den FortiManager?
Der Upgrade Pfad muss unbedingt eingehalten werden:
edit 3.03.2023 - 4Tinu
System Settings
Wie kann ich den Administrationsport auf dem FortiManager anpassen?
Defaultmässig wird das Management für das WebGui beim FortiManager im Webbrowser folgendermassen aufgerufen:
https://<fortimanager-mgmt-ip>
Da für das Management nicht unbedingt der default Port tcp443 verwendet werden soll, kann dieser Administrationsport angepasst werden:
Konfiguration über das WebGui: |
|
Konfiguration über die CLI: |
config system admin setting set admin-https-redirect [enable|disable] set https_port [ADMIN-PORT] <- HTTPS Management Port set http_port [ADMIN-PORT] <- HTTP Management Port end Beispiel: AdminPort tcp4443 - http-https redirekt deaktivieren config system admin setting set admin-https-redirect disable set https_port 4443 end |
Von nun an kann der FortiManager folgendermassen aufgerufen werden im Browser:
https://<fortimanager-mgmt-ip>:<admin-Port> https://198.18.192.11:4443
edit 3.03.2023 - 4Tinu
Wie kann ich den Hostnamen beim Anmeldefenster anzeigen lassen?
Es gibt die Möglichkeit wie auf der FortiGate beim Anmeldefenster den Hostname des FortiManager anzeigen zu lassen. Defaultmässig ist diese Option deaktiviert und muss in der CLI aktiviert werden:
Konfiguration über die CLI: |
config system admin setting set show-hostname enable end |
Ergebnis beim Anmeldefenster: |
|
Um den Hostnamen wieder auszublenden:
Konfiguration über die CLI: |
config system admin setting set show-hostname disable end |
Ergebnis beim Anmeldefenster: |
|
edit 3.03.2023 - 4Tinu
Wie kann ich einen Post-Loging Disclaimer anzeigen lassen nachdem ich mich auf dem FortiManager eingeloggt habe?
Damit nach erfolgreichem einloggen in den FortiManager noch ein Disclaimer erscheint, muss dieser in der CLI aktiviert werden. Es ist auf dem FortiManager möglich einen Post Disclaimer (nach den Einloggen) azeigen zu lassen. Dieses Hinweisfenster muss dann aktiv bestätigt werden, damit man auf die Administrationskonsole des Managers kommt.
Konfiguration über die CLI: |
Syntax: config system admin setting set set access-banner [enable|disable] end Post Disclaimer aktivieren: config system admin setting set set access-banner enable end Post Disclaimer deaktivieren: config system admin setting set set access-banner disable end |
Post Disclaimer Meldung nach erfolgreichem Anmelden: |
|
edit 3.03.2023 - 4Tinu
Wie kann die Login Post Disclaimer Message editiert werden?
Es gibt die Möglichkeit den Post Disclaimer Text zu editieren. Leider ist es nicht so konfortabel wie auf der FortiGate. Man muss den ganzen Fliesstext einlesen und kann keine Formatierungen vornehmen. Folgendes muss in der CLI dafür konfiguriert werden:
Konfiguration über die CLI: |
config system admin setting set banner-message "[MESSAGE]" <- Siehe Hinweis unten end Beispiel: config system admin setting set banner-message "Zugriff nur für Berechtigte" end |
Post Disclaimer Meldung nach erfolgreichem Anmelden: |
|
Ich habe keine Möglichkeit gefunden, auf den Default Text zurückzusetzen, daher kann dieser String reinkopiert werden:
"------------------------------------------------------------------------------------------------------------- This is a private computer system. Unauthorized access or use is prohibited and subject to prosecution and/or disciplinary action. Any use of this system constitutes consent to monitoring at all times and users are not entitled to any expectation of privacy. If monitoring reveals possible evidence of violation of criminal statutes, this evidence and any other related information, including identification information about the user, may be provided to law enforcement officials. If monitoring reveals violations of security regulations or unauthorized use, employees who violate security regulations or make unauthorized use of this system are subject to appropriate disciplinary action."
Anführungs und Schlusszeichen müssen gesetzt werden wenn man den Text reinkopiert |
edit 3.03.2023 - 4Tinu
Wie kann ich im FortiManager die erzwungene Objekt Notiz bei der Revision deaktivieren?
Im FortiManager Release 7.0.0 ist ein neues Feature hinzugefügt worden. Sobald ein Objekt editiert wird, besteht eine Notizpflicht und es wird eine Objekt Revision angelegt. Diese Notiz Pflicht kommt zum Zuge sobald das Objekt in den Editier Modus gesetzt wird. Dabei soll für ein Autit Transparent dokumentiert werden, was mit diesem Objekt in der Vergangenheit geschehen ist.
Man wird vom FortiManager freundlicherweise darauf hingewiesen, wenn man ein Objekt editiert hat und vergisst Change Note zu füttern:
Konfiguration über das WebGui: |
Sobald das Feld ausgefüllt wird, kann man mit OK die Änderung bestätigen. |
Wen man das Objekt jetzt anklickt findet man zu unterst die Revisionshistory:
Konfiguration über das WebGui: |
|
Wenn man diese Notiz Pflicht deaktivieren will, kann dies Global über die CLI passieren:
Konfiguration über die CLI: |
config system global set object-revision-mandatory-note disable end |
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen. |
Nun kann ein Objekt bearbeitet werden, ohne das man eine Revision Notiz muss hinterlegen. Eine Objekt Revision wird aber dennoch angelegt.
Wenn wir im Objekt schauen, sehen wir, dass die obersten beiden Einträge ohne Change Note gespeichert sind.
Wenn man die Revision Notizen wieder erzwingen will, kann man dies wieder über die CLI konfigurieren:
Konfiguration über die CLI: |
config system global set object-revision-mandatory-note enable end |
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen. |
edit 3.03.2023 - 4Tinu
Wie wird der System DNS auf dem FortiManager konfiguriert?
Verschiedene Funktionen im FortiManager setzen voraus, dass der FortiManager DNS Namen auflösen kann. Daher muss ein DNS Server auf dem FortiManager konfiguriert werden. Dienste wie versenden von Alarmierungs Email, FortiGuard kommunikation, auflösen von Adressobjekten usw, funktionieren nicht ohne DNS konfiguration.
Konfiguration über das WebGui: |
|
Konfiguration über die CLI: |
Syntax: config system dns set primary [IP_DNS1_SERVER] set secondary [IP_DNS2_SERVER] end Beispiel: config system dns set primary 198.18.0.1 set secondary 8.8.4.4 end |
edit 3.03.2023 - 4Tinu
Wie konfiguriere ich die Systemzeit auf dem FortiManager?
Die Systemzeit ist auf dem FortiManager wichtig. Am besten konfiguriert man entsprechende NTP Server. Falls man keinen internen NTP Server zu verfügung hat empfehle ich einer der folgenden NTP Server zu benutzen:
-> 0.ch.pool.ntp.org -> 1.ch.pool.ntp.org -> 2.ch.pool.ntp.org -> 3.ch.pool.ntp.org
- Mehr Infos darüber: https://www.pool.ntp.org/zone/ch
Konfiguration über das WebGui: |
|
|
|
Konfiguration über die CLI: |
NTP Server konfigurieren config system ntp set status enable config ntpserver edit 1 set server "1.ch.pool.ntp.org" next edit 2 set server "2.ch.pool.ntp.org" next end end |
Die Zeitzone wird folgendermassen konfiguriert: config system global set timezone [TimeZone Integer] end Beispiel für die Schweiz: (GMT+1.00) config system global set timezone 26 end Alle Zeitzonen Codes findest du hier (Mit der Tastenkombination ctrl + linksklick öffnest du ein seperates Fenster |
Automatische anpassung an die Sommerzeit aktivieren: config system global set daylightsavetime [enable|disable] (Defaultwert : enable) end Beispiel zum aktivieren: config system global set daylightsavetime enable end |
edit 3.03.2023 - 4Tinu
Wie kann ich den ADOM Modus auf dem FortiManager aktivieren?
Der Adom Modus auf dem FortiManager ermöglicht es, die verschiedenen FortiGates in unterschiedliche administratorische Domainen (adom) zu verwalten. Defaultmässig ist dieser Modus deaktiviert. Um diesen zu aktivieren kann im WebGui folgendermassen vorgegangen werden:
Konfiguration über das WebGui: |
|
Wenn wir den Adom Modus deaktivieren wollen, wird dies an der selben Stelle durchgeführt.
Es wird eine Warnmeldung angezeigt, dass alle adom ausser die root adom gelöscht werden, dies bestätigen falls man den adom Modus wirklich deaktivieren will |
edit 3.03.2023 - 4Tinu
Kann ich eine FortiGate mit VDOMs in verschiedenen ADOMs auf dem FortiManager betreiben?
Wenn ich eine FortiGate mit verschieden VDOM habe kann die Anforderung kommen, dass ich auf dem FortiManager diese VDOMs in verschiedenen ADOMS verwalten will. Defaultmässig ist dies auf dem FortiManager nicht möglich, es kann aber den advanced Modus aktiviert werden. Wenn der Advanced adom Modus auf dem FortiManager aktiviert wurde, kann ich jede VDOM einer FortiGate in eine x-beliebe ADOM Instanz (Achtung OS Version beachten) zuweisen:
Der Advanced Modus kann im WebGui folgendrmassen aktiviert werden:
Konfiguration über das WebGui: |
|
Konfiguration über die CLI: |
Syntax: config system global set adom-mode [advanced|normal] end Beispiel: config system global set adom-mode advanced end Warning: Enabling this option will result in a reduced operation mode and more complicated management scenarios. It is recommended only for advanced users. Do you want to continue? (y/n)y <- mit y bestätigen |
add 05.07.2022 - 4tinu
Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren?
Damit nicht alle Administrationsuser auf dem FortiManager manuell erfasst werden können, ist es praktisch einen Remote Server zur Authentifizierung zu definieren. Dies hat der Vorteil, wenn ein User die Firma verlässt oder keinen Zugriff mehr kriegen sollte, kann der Account Zentral verwaltet werden.
Auf dem FortiAnalyzer haben wir die Möglichkeit verschiedene Remote Server für die Authentifizierung zu definieren:
- Radius Server
- LDAP Server
- TACACS+ Server
In unserem Beispiel schauen wir an, wie ein Radius Server eingerichtet wird:
Konfiguration über das WebGui: |
|
Im Menupunkt Test Connectivity kann die Verbindung zum Radius getestet werden: |
add 07.07.2022 - 4tinu
Wie kann ich einen User vom Radius Server auf dem FortiManager einbinden?
Damit ich die User von einem Radius Server benutzen kann, muss ich als erstes auf dem FortiManager einen Radius Server definieren:
Damit wir den Gruppeninhalt des Radiusservers erhalten müssen wir auf dem FortiManager einen Wildcard User eröffnen:
Konfiguration über das WebGui: |
|
Nun schauen wir noch die Erweiterten Einstellungen(Advanced Options an, damit wir nur die definierte Gruppe berücksichtigen für die Authentifizierung. Weiter werden wir noch das Admin Profil zuweisen lassen vom Radiusserver:
Es muss natürlich jetzt auf dem Radius Server die entsprechende Konfiguration vorgenommen werden. |
add 07.07.2022 - 4tinu
Device Manager
Wie kann ich ein FortiGate Update File auf den FortiManager hochladen?
Wenn man eine FortiGate über den FortiManager upgraden will, gibt es verschiedene Möglichkeiten, wie der FortiManager an das gewünschte FortiOS gelangt. Es gibt die Möglichkeit, dass der FortiManager das FortiOS direkt von der FortiGuard sich herunterlädt, wenn es benötigt wird. Manchmal will man aber ein Spezial Build oder die Datei selber vom Supportportal herunterladen und dann auf den Manager hochladen. in diesem Artikel wird beschrieben, wie man so eine Datei auf den FortiManager hochlädt. Wir möchten für die FortiGate 300D das FortiOS 6.4.2 Build 1723 auf den FortiManager hochladen.
Konfiguration über das WebGui: |
Das FortiOS kann man von der Supportseite wie gewohnt heruntergeladen werden:
Das gewünschte FortiOS kann nun auf den FortiManager hochgeladen werden. Wenn die Software einmal für dieses Modell hochgeladen wurde, kann diese auch für die anderen Baugleichen Modelle benutzt werden (z.B FortiGate 300D in unserem Beispiel.)
Nun sieht man das hochgeladene File in der Liste der importierten FortiOS Dateien: |
In diesem Dokument wird beschrieben wie eine FortiGate über den FortiManager upgegradet wird (FortiOS 5.6):
Datei:FortiManager-Upgrading-FortiGate Devices-56.pdf
Wie kann ich über den FortiManager 5.4 ein FortiGate Device upgraden?
Die FortiGate kann direkt über den FortiManager upgegradet werden. Man hat die Möglichkeit so den Update auf eine bestimmte Zeit zu planen oder auch direkt mehrere Geräte auf einmal upzugraden. Der Upgrade wird über den DeviceManger in der entsprechenden Adom durchgeführt. Wichtig ist darauf zu achten, dass der FortiManager mindestens auf der selben FortiOS Version betrieben ist, in welche man das Gerät anheben will.
Man kann die FortiGate bequem über den FortiManager auf das gewünschte FortiOS upgraden. Auch hier gilt, dass man die Release Notes gut durchlesen muss. Der Upgrade Pfad muss auch über das Upgraden im FortiManager beachtet werden. Damit man die FortiGate über den FortiManager upgraden kann, empfiehlt es sich die entsprechende Software auf den FortiManager hochzuladen. Das FortiOS für die entsprechende FortiGate kann über das Support Portal von Fortinet im Download Bereich heruntergeladen werden.
Wenn das Image im FortiManager hochgeladen wurde, kann die FortiGate jetzt upgegradet werden:
Wenn das Upgrade durchgeführt wurde, kann auf der FortiGate überprüft werden, ob der Upgrade sauber funktioniert hat.
Wie kann ich ein Custom FortiOS auf den FortiManager hochladen?
Im FortiManager kann das Updaten von Devices einfach durchgeführt werden. Die Images werden normalerweise von der FortiGuard auf dem FortiManager zu verfügung gestellt. Falls man selber ein Image hochladen will (weil es von der FortiGuard noch nicht heruntergeladen wurde oder es ein spezial Build ist) kann es direkt auf den Manager hochgeladen werden.
Dabei muss man zuerst das entsprechende Image aus dem Support Portal --> https://support.fortinet.com heruntergeladen werden.
Auf dem FortiManager in das Menu FortiGuard gehen:
Danach im Seitenmenu den Punkt Firmware Images auswählen. Weiter auf den Menupunkt Local Images
Nun kann über den Butten Import das upload Menu geöffnet werden.
Jetzt kann die vorher heruntergeladene Image Datei auf den FortiManager hochgeladen werden. (Datei einfach in das vorhandene schattierte Feld rein ziehen)
Mit OK bestätigen und die Datei wird auf den Manager hochgeladen:
Dieser Vorgang geht eine weile. (Bitte habt ein wenig Geduld. Solange der Return Button steht, ist der Vorgang nicht abgeschlossen!
Sobald die Datei hochgeladen ist, wird eine Liste mit allen bereits hochgeladenen images angezeigt. Mit Close wird der Vorgang abgeschlossen.
Nun kann die Datei bei einem Upgrade auf dem entsprechenden Device unter Local Images ausgewählt werden:
add 28.10.2022 - 4Tinu
Policy Manager
Wie kann ich bei einem Firewall Objekt eine ältere Version wieder aktivieren?
Auf dem FortiManager wird bei jeder Objekt Mutation eine Revision erstellt, welche jederzeit wieder hervorgeholt werden kann. Diese Revision ist im Objekt selber einsehbar und auch wieder zurücksetzbar. Die Objekt Revision geschieht automatisch.
Folgendes Objekt habe ich mit der IP Adresse 198.18.0.155 definiert:
Um ein neues System zu testen, habe ich das Objekt auf 198.18.0.156 geändert:
Nach einiger Zeit möchte ich wieder die IP Adresse 198.18.0.155 haben. Dafür kann ich jetzt die Revert Funktion nutzen, da mir eine Objekt Revision automatisch erstellt wurde.:
Konfiguration über das WebGui: |
Auf das entsprechende Objekt gehen und nach unten scrollen zum Menupunkt Revision History Nun können verschiedene Revisionen angewählt werden und dann den Div angezeigt werden, was zwischen den entsprechenden Revisionen geändert wurde:
Nun sehen wir die Diffs der beiden Objekten: |
Wenn wir ein Objekt wieder auf eine frühere Version setzen möchten, kann dies über die Funktion Revert passieren:
Konfiguration über das WebGui: |
Die Sicherheitsfrage bestätigen: Im Revisons Protokoll kann diese Aktion auch nachvollzogen werden: |
Wie kann ich ein dynamisches Interface Objekt im FortiManager konfigurieren?
Im Fortimanager ist es möglich, dass man ein Interface nach seinen Wünschen benennen kann und pro FortiGate (Device) ein originales Interface darauf "mappen" kann. Zum Beispiel habe ich auf einer FortiGate 60E das Interface internal1, auf einer FortiGate 100E aber port1. In meinem Policy Template im FortiManager möchte ich jetzt aber Geräte unabhängig ein Interface für ein Server Lan erstellen. Das heisst in meiner Regel ist das Source Interface immer das Objekt server-lan. Wenn ich jetzt die FortiGate 60E in den Manager einbinde, hinterlege ich, dass internal1 Interface dem server-lan Interface entspricht. Das selbe funktioniert dann mit der FortiGate 100E. Da hinterlege ich aber das der port1 dem server-lan Interface entspricht.
Folgendermassen kann man das Konfigurieren:
Konfiguration über das WebGui | Durchzuführende Schritte |
---|---|
|
|
|
|
|
|
|
|
Wie kann ich ein dynamisches Adressenobjekt im FortiManager konfigurieren?
Wir haben auf dem FortiManager die Möglichkeit, Adressobjekte auch per Device zu definieren. Das heisst ein Adressobjekt welches im FortiManager internal-lan heisst, kann auf eine x-beliebige FortiGate deployed werden mit dem für die FortiGate relevanten IP-Wert. Dies kann sehr praktisch sein, wenn man ein Policyset definiert und dieses Policyset für diverse FortiGates brauchen will. So muss ich nicht für jede FortiGate ein eigenes Policy Set definieren
Folgendermassen kann man das Konfigurieren:
Konfiguration über das WebGui | Durchzuführende Schritte |
---|---|
|
|
|
|
|
|
|
|
Wie kann ich ein dynamisches VIP-Objekt im Fortimanager konfigurieren?
Auf dem FortiManager ist es auch möglich, ein Virtuelle IP Objekt dynamisch zu konfigurieren. Dabei können auch die gemappten Interfaces benutzt werden. Im Prinzip wird ein Virtual IP (Destinations NAT) Objekt erstellt mit IP und Port Werten, welche dann per Device definiert werden kann. Mit diesem Objekt ist es also möglich zum Beispiel ein Destinations NAT Objekt für ein Mail Server zu definieren, welches dann auf die entsprechenden FortiGates mit den eigenen Werten deploeyed werden kann.
Folgendermassen kann man das Konfigurieren:
Konfiguration über das WebGui | Durchzuführende Schritte |
---|---|
|
|
|
|
|
|
|
|
Wie konfiguriere ich im FortiManager Policy Blocks?
Policy Blöcke sind dafür da, um mehrere Regeln zusammen zu bündeln. Diese Policy Blöcke können im Policypaket, hinzugefügt werden. Dies hat der Vorteil, dass immer wiederkehrende Regeln auf verschiedene Policies Packet direkt zugwiesen werden können, ohne dass diese Regeln jedes Mal neu erstellt werden müssen. Dieses Feature ist in der Version 6.2.0 neu beim FortiManager hinzugefügt worden.
Konfiguration über das WebGui | Durchzuführende Schritte |
---|---|
|
Damit man Policyblöcke einrichten kann, muss man zuerst das Menu anzeigen lassen. Dies geht folgendermassen:
|
|
Im Seitenmenu wo die Policypaket angezeigt werden, wird jetzt der Ordner Policy Blocks mit angezeigt. Um einen neuen Policy Block zu erstellen, rechten Mausklick und New auswählen. |
|
|
|
|
|
|
|
Um einen Policy Block im Regelwerk einzubinden muss folgendermassen vorgegangen werden:
|
|
Im Policy Paket sehen wir die eingefügten Blöcke jetzt hellgrau geschrieben. Diese können nur im Policy Block Register editiert werden und die Änderungen werden auf alle Policy Paket angewendet, in welcher dieser Block konfiguriert ist. |
|
Auf der FortiGate sehen wir die eingefügten Policy Blocks im Policy Set. Die Policy ID wird automatisch vom Manager hinzugefügt und ist in der Regel eine sehr hohe Zahl. |
Backup/Restore
Wie führe ich ein Backup auf dem FortiManager durch?
FortiManager Cloud
Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden?
Früher waren FortiManagerCloud-Lizenzen auf spezifische FortiGate-Modelle ausgerichtet, sog. individual subscription SKUs. Beispiel:
FC-10-0040F-179-02-DD FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service
Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. multi-device subscription SKUs:
FC1-10-MVCLD-227-01-DD Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included. FC2-10-MVCLD-227-01-DD Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included. FC3-10-MVCLD-227-01-DD Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included. Diese Multi-Device Lizenzen unterstützen u.A. folgende Features (z.T. identisch mit FortiManagerVM): - Single Console Management - Central Policy und Device Management - Configuration Backups, Firmware Upgrades, und Script Management - Diverse Automatisierungen - Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen keine FortiAnalyzer-Features!
Es gibt häufig Verwechslungen mit FortiGateCloud-Lizenzen, die effektiv auf spezifische FortiGate-Modelle konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:
FC-10-0040F-131-02-DD FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention Diese Single-Device Lizenzen unterstützen u.A. folgende Features: - Configuration Management > war früher kostenlos - Configuration Backup and Restoration > war früher kostenlos - Firmware Upgrade - 1x Jahr Log Retention Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention) fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service) betrachtet. |
Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud?
In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:
Restricted User Restricted User Profil hat nur Read-Only Privilege für alle verwalteten Geräte, und hat keine System Privilege
Standard_User Standard User Profil hat Read-Write Access für alle verwalteten Geräte, hat keine System Privilege
Super_User Super User Profil hat sämtliche System and Device Privileges -> dieses Profil ist nicht editierbar
Package_User Package User Profil hat Read-Only Access for System and other Privileges, und hat Read-Write Policy & Object Privileges
Detaillierte Auflistung unter folgendem Link: https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions
Konfiguration über das WebGui: |
|
Admin > Administrators > hier das Pencil Icon (wird erst mit Kursor sichtbar) anklicken |
Es erscheint ein Drop-Down mit sämtlichen Admin Profilen, das gewünschte Admin Profil anschliessend auswählen |
Das gewählte Admin Profil final mit Häkchen bestätigen |