FortiWeb:FAQ

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

FortiWeb:FAQ

Vorwort

Diese FAQ's sind für FortiWeb Systeme basierend auf OS 5.x und 6.x.

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Über folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiWeb Devices:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

       http://docs.fortinet.com/fweb.html

FortiWeb Dokumente Version 5.x

Administrations Guide

CLI Reference:

Log Reference:

RESTful API Refrence:

Release Notes:

NMI & COMlog Technical Note:

FortiWeb Mangager Administration Guide:

FortiWeb Dokumente Version 6.x

Administrations Guide

Release Notes:

Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?

       http://pub.kb.fortinet.com/index/

Hardware

Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) eines FortiWeb?

Weitere Informationen können im folgenden Artikel entnommen werden:

       FortiGate-6.0:FAQ#Was_f.C3.BCr_ein_Kabel_wird_f.C3.BCr_den_Konsolen_Anschluss_.28RS-232.29_ben.C3.B6tigt.3F

Setup

Was für Operations Modi gibt es beim FortiWeb?

Für den FortiWeb gibt es folgende Operations Modi:

Offline Protection Im Offline Modus sind Anfragen für einen Webserver bestimmt und nicht für die für den FortiWeb. Der Traffic wird aus dem Flow dupliziert und über einen Switched Port Analyzer (SPAN oder Mirroring) Port auf einer Out-of-Line Verbindung zum FortiWeb gesendet. Sofern es sich nicht um einen Regelverstoss handelt, gibt der FortiWeb keinen keine Antwort. Erkennt der FortiWeb ein Issues wird der Request resetet. Je nachdem, ob die vorgelagerten Firewalls oder Router Sourcel-NAT (SNAT) verwenden, können die Webserver die SourceIP Adressen der Clients sehen und diese auch verwenden.

Für den FortiWeb im Offline-Modus arbeitet zu lassen, ist keine Neukonfiguration der Webserver erforderlich.

WCCP Der FortiWeb kann als Web-Cache Communication Protocol (WCCP)-Client konfiguriert werden. Diese Konfiguration ermöglicht es einer als WCCP-Server konfigurierten FortiGate, HTTP- und HTTPS-Traffic zur Überprüfung an den FortiWeb weiterzuleiten.
Reverse Proxy Dies ist die Standardbetriebsart welche auch am häufigsten eingesetzt wird. Die meisten Funktionen sind dabei unterstützt Siehe: Welche Features sind in welchem Operationsmodus möglich?

Anfragen sind für die Netzwerkschnittstelle und IP-Adresse eines virtuellen Servers in FortiWeb bestimmt und nicht für einen Webserver direkt. FortiWeb verwendet in der Regel volles NAT.

True Transparent Proxy FortiWeb proxiefiziert transparent den Datenverkehr, welcher auf einem Netzwerkport ankommt, der zu einer Layer-2-Bridge gehört, wendet die erste anwendbare Regel an und lässt den zulässigen Datenverkehr passieren. FortiWeb protokolliert, blockiert oder ändert Verstösse gemäs der übereinstimmenden Policy und deren Securtiyprofile. Dieser Modus unterstützt die Benutzerauthentifizierung über HTTP aber nicht HTTPS.
Transparent Inspection Der FortiWeb prüft asynchron den Datenverkehr, welcher über einen Netzwerkport ankommt, der zu einer Layer-2-Bridge gehört. Er wendet die erste anwendbare Policy an und lässt den zulässigen Datentraffic passieren. (Da es asynchron ist, minimiert sich die Latenzzeit.) FortiWeb protokolliert oder blockiert den Datentraffic gemäss der übereinstimmenden Policy und den dazugehörenden Security Profile. Er ändert ihn aber nicht andersweitig ab. (Er kann zum Beispiel SSL, Load-Balance-Verbindungen oder die Unterstützung der Benutzerauthentifizierung nicht auslagern.

Welche Features sind in welchem Operationsmodus möglich?

In dieser Grafik gibt es eine Übersicht in welchem Operationsmodus welche Features unterstützt werden:

Übersicht Operationsmodi und Features:

Fortinet-1970.jpg

Legende:

  • ^ Die vollständige Konfigurationssynchronisation wird im Reverse-Proxy-Modus nicht unterstützt.
  • § Nur die Alert Action wird unterstützt.
  • * Erfordert, dass die Webapplikation eine Session-ID hat. Siehe Session Key.
  • ~ DSA-verschlüsselte Serverzertifikate werden nicht unterstützt.
  • Diffie-Hellman Exchanges werden nicht unterstützt.
  • # PKI-Authentifizierung erfordert HTTPS.

Wie kann ich den Operations Modus beim FortiWeb ändern?

Operations Modus umstellen über CLI:
# config system settings
# set opmode <Operations Modus>
# end

Operations Modus Parameter die möglich sind:

  • offline-protection
  • reverse-proxy
  • transparent
  • transparent-inspection
  • wccp

FortiWeb in den Reverse Proxy Modus konfigurieren:

# config system settings
# set opmode reverse-proxy
# end
NOTE

Wichtig ist, dass die Konfiguration gesichert (BACKUP) wird, bevor die Betriebsart geändert wird. Das Ändern vom Modus löscht alle Policies, die nicht auf den neuen Modus anwendbar sind. Es werden alle statischen Routen, V-Zonen-IPs und VLANs gelöscht. Möglicherweise muss auch die Netzwerktopologie entsprechend der Betriebsart neu verkabelt werden. Ausnahmen: Umschalten zwischen den beiden transparenten Moden welche eine ähnliche Anforderungen an die Netzwerktopologie stellt.