FortiManager:FAQ

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

FortiManager:FAQ

Vorwort

Diese FAQ's sind für FortiManager Systeme basierend ab FortiOS Version 5.4 bis 6.0

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

License

Wie wird ein FortiManager unter VMware lizensiert?

Eine FortiManager Lizenz basiert auf folgender Matirx (Stackable License basierend auf Devices und NICHT GB Logs pro Tag): 

       NOTE Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:
            
            1 Cluster            = 1 Device
            1 VDOM               = 1 Device
            1 Forti Access Point = 1 Device
            1 FortiSwitch        = 1 Device
            
            Ab FortiOS 5.4.2 werden Forti Access Point sowie FortiSwitch ebenfalls als Devices gezählt!
       
       Fortinet-1084.jpg
       
       Weitere Informationen welche Platform resp. Versionen der Virtualisierung genau unterstützt wird siehe nachfolgender Artikel:
       
       Fortinet:Virtualisierung#Gibt_es_f.C3.BCr_Fortinet_VMware_eine_Uebersicht_betreffend_Compatibility_Matrix.3F
       
       Fortinet-931.jpg
   
   NOTE Weitere Informationen wie eine FortiAManager VM Lizenz registriert resp. eingespielt wird
        siehe folgender Artikel:
        
        FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F

Bei der Generierung der Lizenz muss die IP Adresse des FortiManagers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren sind die Maximum Values eines FortiManagers Wichtig. Dazu siehe nachfolgender Artikel: 

       FortiManager-5.0-5.2:FAQ#Was_sind_die_.22maximum_values.22_f.C3.BCr_FortiManager_Platformen.3F

Wie wird ein FortiManager unter VMware/HyperV installiert?

Nachfolgender Link gibt Auskunft wie ein FortiManager unter VMware/HyperV installiert wird: 

       Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F

Wie wird eine License für FortiManager für VMware registriert und eingespielt?

Wenn man einen FortiManager für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument: 

       Datei:FMVM0002306.pdf

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite: 

       http://support.fortinet.com
       
       NOTE Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch" 
            kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
            Anweisungen durch:
       
       FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F
       
       Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
       Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog:
       
       Datei:Fortinet-212.jpg

       Datei:Fortinet-216.jpg

       Datei:Fortinet-217.jpg

       Datei:Fortinet-218.jpg
       
       NOTE Auf diser Seite kann uner der Positon "License File Download" das Licens File, dass auf dem FortiManager
            eingespielt werden muss runtergeladen werden!

Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiManager unter folgender Position eingespielt werden: 

       NOTE Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support 
            Account erstellt werden!

       System Settings > General > Dashboard > License Information > Upload License

Nachdem einspielen der License wird der FortiManager neu gestartet. Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus der Position ausgelesen werden: 

       System Settings > Dashboard > System Information > Serial Number

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

Wo finde ich auf dem FortiManager eine Ueberblick über alle Lizenzen inkl. FortiGate?

Im Device Manager kann können die Lizenzstaten von der Fortigate eingesehen werden: 

       Device Manager -> Licence -> auf die entsprechende Position mit dem Mauscursor fahren, 
       dann werden die Daten eingeblendet
       
       Fortinet-1846.jpg

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiManager Devices: 

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet: 

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate: 

       http://docs.fortinet.com/fortimanager/admin-guides (Legacy Link http://docs.fortinet.com/fmgr.html)

       Datei:FortiManager-Best-Practices-Guide.pdf         (FortiManager Best Practices Guide)
       Datei:FortiManager-Security-Operations-App-1.2.pdf  (FortiManager Security Operations FortiManager Integration App - User Guide)
       Datei:FortiOS-Compatibility-FMG.pdf                 (FortiManager v5.4 Managed Compatibility Matrix)

FortiOS 5.4

       Datei:Fortimanager-admin-54.pdf                     (FortiManager v5.4 Administration Guide)
       Datei:FortiManager-cli-54.pdf                       (FortiManager v5.4 CLI Refrence)
       Datei:FortiManager-54-secure-dns-guide.pdf          (FortiManager v5.4 Secure DNS Guide)
       Datei:FortiManager-54-event-log-reference guide.pdf (FortiManager v5.4 Event Log Reference)
       Datei:FortiManager Managing-FortiOS-with-FSSO.pdf   (FortiManager - Managing FortiOS and FSSO)

       API-XML
       Datei:FortiManager-XML-API ReferenceGuide-5.4.4.pdf (FortiManager - XML API Reference 5.4.4)

FortiOS 5.6

       Datei:FortiManager-admin-56.pdf                        (FortiManager v5.6 Administration Guide)
       Datei:FortiManager-cli-56.pdf                          (FortiManager v5.6 CLI Refrence)
       Datei:FortiManager-56-event-log-reference guide.pdf    (FortiManager v5.6 Event Log Reference)
       Datei:FortiManager Managing-FortiOS-with-FSSO.pdf      (FortiManager - Managing FortiOS and FSSO)
       Datei:FortiManager-VM-VMware-Install-Guide-56.pdf      (FortiManager v5.6 VMware Install Guide)

       Datei:FortiManager-56-SecurityOperationsApp-1.1.pdf    (FortiManager 5.6.3 - Security Operations Integration App UserGuide)

FortiOS 6.0

       Datei:FortiManager-Admin-60.pdf                     (FortiManager v6.0 Administration Guide)
       Datei:FortiManager-CLI-60.pdf                       (FortiManager v6.0 CLI Refrence)
       Datei:FortiManager-60-EventLog-ReferenceGuide.pdf   (FortiManager v6.0 Event Log Reference)
       Datei:FortiManager Managing-FortiOS-with-FSSO.pdf   (FortiManager - Managing FortiOS and FSSO)
       Datei:FortiManager-VM-InstallGuide-60.pdf           (FortiManager v6.0 VMware Install Guide)

       Datei:FortiManager-60-SecurityOperationsApp-1.1.pdf (FortiManager 6.0.1 - Security Operations Integration App UserGuide)

Die Aktuellen Fortimanager Dokumente für die Version 6.0 können auch auf dieser Fortinet Seite entnommen werden:

Wo finde ich die FAQs über die Version 5.0 und 5.2?

Unter folgenden Link können die FAQs für 5.0 und 5.2 über die FortiGate, den FortiAnalyzer und den FortiManager eingesehen werden:

Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?

       http://pub.kb.fortinet.com/index/

Request of Proposel (RFP)

Gibt es produktspezifische Dokumente die für eine Ausschreibung die Funktionen/Möglichkeiten beschreiben?

Wenn eine Ausschreibung existiert und man eine Fortinet Offerte abgibt für diese Ausschreibung, ist es Sinnvoll Dokumente beizulegen die entsprechenden Funktionen eines Fortinet Produkts beschreibt sowie dessen Möglichkeiten. Nachfolgende Dokumente sind RFP Dokumente (Proof of Proposel) die genau für diese Zwecke erstellt wurden: 

       Datei:FortiOS-FGT-RFP-EN.docx               Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Englisch)
       Datei:FortiOS-FGT-RFP-FR.docx               Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Französisch)

       Datei:FortiOS-FMG-FAZ-CSF-FCL-RFP-EN.docx   Request of Proposal FortiManager, FortiAnalyzer, Corporate Security Fabric, FortiClient 5.4 Q042016 V1.0 (Englisch)

Hardware

Was sind die "maximum values" für FortiManager Platformen?

Für die verschiedenen Platformen sei es Hardware Appliance und VMWare existieren folgende "maximum values": 

       NOTE Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:
           
            1 Cluster = 1 Device
            1 VDOM    = 1 Device

FortiManager Series

Produkt Max Device Max ADOMS Storage Kapazität
FMG-200D 30 30 1x1TB
FMG-300D 300 300 2x2TB
FMG-300E 100 100 4x3TB
FMG-400E 300 300 8x3TB
FMG-1000D 1000 1000 4x2TB
FMG-2000E 1200 1200 12x3TB
FMG-3000F 4000 4000 16x3TB
FMG-3900E 10000 10000 15x1TB

FortiManager-VM Series

Produkt Max Device Max ADOMS Max Webportal Max Portal Users GB Logs/day Storage Kapazität (Min/Max)
FMG-VM-Base 10 10 10 10 1 80GB / 16TB
FMG-VM-10 +10 +10 +10 +10 2 80GB / 16TB
FMG-VM-100 +10 +100 +100 +100 5 80GB / 16TB
FMG-VM-1000 +10 +1000 +1000 +1000 10 80GB / 16TB
FMG-VM-5000 +5000 +5000 +5000 +5000 25 80GB / 16TB
FMG-VM-U Unlimited Unlimited Unlimited Unlimited 50 80GB / 16TB

Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?

Weitere Informationen siehe folgender Artikle: 

       FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F

Upgrade

Wie führe ich ein Upgrade beim FortiManager durch?

Die Software für den Upgrade kann im Supportportal von Fortinet im Download Bereich heruntergeladen werden:

Konfiguration über das WebGui Beschreibung
Fortinet-1867.jpg Einloggen im Supportportal : https://support.fortinet.com

Menu Download wählen und im PopUp Menu den FortiManager auswählen. Jetzt kann die entsprechende FortiOS Version unter dem Tab Download ausgewählt werden.

Bevor ein Upgrade durchgeführt wird, empfiehlt es sich ein Backup zu erstellen. Wie ein Backup erstellt wird, kann im folgenden Artikel entnommen werden:

Es ist wichtig, dass die Release Notes durchgelesen werden, um wichtige Informationen über die entsprechende Version zu erhalten.

Release Notes für FortiOS 5.4:
Release Notes für FortiOS 5.6:
Release Notes für FortiOS 6.0

Der Upgrade Pfad muss unbedingt eingehalten werden:

Upgrade Guide auf FortiOS
Upgrade Guide auf FortiOS 6.0
Upgrade Guide auf FortiOS 6.0

Jetzt kann das Update durchgeführt werden:

Konfiguration über das WebGui Beschreibung
Fortinet-1868.jpg System Settings -> Dashboard und bei Firmware Version das Symbol mit Pfeil nach oben anwählen
Fortinet-1869.jpg Jetzt kann die entsprechende Firmware ausgewählt werden und mit OK wird der Update gestartet.
Fortinet-1870.jpg Das ausgewählte File wird auf den FortiManager hochgeladen. Im Hintergrund wird das File auf die Korrekte Version geprüft, wenn dies erfolgreich verifiziert wurde, wird der Upgrade Prozess gestartet.
Fortinet-1871.jpg Nach dem Upgrade wird der FortiManager neu gestartet.

Wie upgrade ich ein FortiGate Device über den FortiManager?

In diesem Dokument wird beschrieben wie eine FortiGate über den FortiManager upgegradet wird: 

       Datei:FortiManager-Upgrading-FortiGate Devices-56.pdf

Setup

Wie kann ich die Standard Ports 80 sowie 443 für die FortiManager Administration ändern?

Der FortiManager ist per Default für das Management über den Port TCP443(https) und TCP80(http) erreichbar. Es ist möglich den Management Port auf einen beliebig andern zu ändern. Der entsprechende Dienst muss aber auf dem Interface noch aktiviert werden. Folgendermassen muss vorgegangen werden um den Management Port zu ändern:

WebGui Screenshot Beschreibung über CLI
Fortinet-1893.jpg System Settings -> Admin -> Admin Settings
Im Feld HTTP oder HTTPS kann jetzt der gewünschte Port angepasst werden.		 
# config system admin setting  
# set https_port <gewünschter Port>
# set http_port <gewünschter Port>
# end

       NOTE Der Port TCP8443 kann ab Version 5.6.1 nicht mehr verwendet werden, da dieser reserviert ist vom FortiClient EMS für Chrombook.
       Dies kann aus den ReleaseNotes vom FortiManager entnommen werden:
       Fortinet-1895.jpg

Der Management Zugriff muss auf dem Netzwerkinterface noch für den entsprechenden Dienst aktiviert oder deaktiviert werden:

WebGui Screenshot Beschreibung über CLI
Fortinet-1894.jpg System Settings -> Network -> <Interface wählen>
Die Dienste anwählen, welche gebraucht werden.
Wir empfehlen http und telnet nicht zu benutzen!		 
# config system interface 
# edit port1 [Entsprechendes Interface wählen]
# set allowaccess [https ssh ping snmp webservice http telnet]
# end

Wie kann ich den Hostname für den FortiManager konfigurieren?

Der Hostname wird im Menu System Settings im Dashboard im Widgets System Information folgendermassen konfiguriert:

WebGui Screenshot Beschreibung über CLI
Fortinet-1896.jpg System Settings -> Dashboard -> System Information
Position Host Name Symbol Fortinet-1900.jpg anwählen.		 
# config system global
# set hostname [Name des Host]
# end

Wie kann ich das Datum und die Zeit manuell auf dem FortiManager konfigurieren?

Das Datum und die Zeit können über die System Settings im Dashboard manuell konfiguriert werden.

WebGui Screenshot Beschreibung über CLI
Fortinet-1897.jpg System Settings -> Dashboard -> System Information
Position System Time Symbol Fortinet-1900.jpg anwählen.		 
# execute time hh:mm:ss
# execute date mm/dd/yyyy

Wie kann ich die Zeitzone und einen NTP Server für den FortiManager konfigurieren?

WebGui Screenshot Beschreibung über CLI
Fortinet-1898.jpg System Settings -> Dashboard -> System Information
Position System Time Symbol Fortinet-1900.jpg anwählen.		 
# config system global
# set timezone [Entsprechende Zeitzone wählen] (siehe NOTE)
# end
Fortinet-1899.jpg Der NTP Server kann über IP Adresse oder über FQDN eingetragen werden.
Ein möglicher NTP Server : ch.pool.ntp.org		 
# config system ntp
# set status [enable | disable]
# config ntpserver
# edit [Integer zB "1"]
# set server [IPv4 Adresse oder den FQDN an]
# set ntpv3 [enable | disable]
# end
# end

       NOTE Durch die Angaben von "set timezone ?" werden die verschiedenen Zeitzonen aufgelistet.
            Es kann für die gewünschte Zeitzone die entsprechende Nummer konfiguriert werden. 
            Für GMT+1 gilt "26".

Device Manager

Wie kann ich über den FortiManager 5.4 ein FortiGate Device upgraden?

Man kann die FortiGate bequem über den FortiManager auf das gewünschte FortiOS upgraden. Auch hier gilt, dass man die Release Notes gut durchlesen muss. Der Upgrade Pfad muss auch über das Upgraden im FortiManager beachtet werden. Damit man die FortiGate über den FortiManager upgraden kann, empfiehlt es sich die entsprechende Software auf den FortiManager hochzuladen. Das FortiOS für die entsprechende FortiGate kann über das Support Portal von Fortinet im Download Bereich heruntergeladen werden.

Konfiguration über das WebGui

Beschreibung
Fortinet-1882.jpg Im Device Manager auf Firmware und dann Importet Images.
Fortinet-1876.jpg Import anwählen.
Fortinet-1877.jpg Den Pfad angeben, in welchem das gewünschte FortiOS abgelegt ist, damit es auf den FortiManager hochgeladen werden kann.
Fortinet-1878.jpg Das FortiOS Image wird auf den Manager hochgeladen. Dieses Image kann dann für alle Devices desselben FortiGate Modell benutzt werden.

Wenn das Image im FortiManager hochgeladen wurde, kann die FortiGate jetzt upgegradet werden:

Konfiguration über das WebGui

Beschreibung
Fortinet-1883.jpg Das gewünschte Device selektieren und dann den Menupunkt Upgrade anwählen.
Fortinet-1879.jpg Das hochgeladene Image kann jetzt im Dropdown Menu angewählt werden. (Upgrade Pfad muss beachtet werden!)
Fortinet-1880.jpg Der Upgrade Prozess wird initiiert. (Image auf die FortiGate hochgeladen und das Upgrade durchgeführt)
Fortinet-1881.jpg Im Taskmanager kann der Status des Updates überprüft werden. Den Taskmanager erreicht man unter System Settings -> Task Monitor

Wenn das Upgrade durchgeführt wurde, kann auf der FortiGate überprüft werden, ob der Upgrade sauber funktioniert hat.

Policy Manager

Wie kann ich ein dynamisches Interface Objekt im FortiManager konfigurieren?

FMG60.jpgFMG62.jpg

Im Fortimanager ist es möglich, dass man ein Interface nach seinen Wünschen benennen kann und pro FortiGate (Device) ein originales Interface darauf "mappen" kann. Zum Beispiel habe ich auf einer FortiGate 60E das Interface internal1, auf einer FortiGate 100E aber port1. In meinem Policy Template im FortiManager möchte ich jetzt aber Geräte unabhängig ein Interface für ein Server Lan erstellen. Das heisst in meiner Regel ist das Source Interface immer das Objekt server-lan. Wenn ich jetzt die FortiGate 60E in den Manager einbinde, hinterlege ich, dass internal1 Interface dem server-lan Interface entspricht. Das selbe funktioniert dann mit der FortiGate 100E. Da hinterlege ich aber das der port1 dem server-lan Interface entspricht.

Folgendermassen kann man das Konfigurieren:

Konfiguration über das WebGui Durchzuführende Schritte

Fortinet-2509.jpg

  1. In die entsprechende ADOM gehen
  2. Policy & Objects auswählen
    Fortinet-2513.jpg
  3. Auf Zone/Interface -> Interface
  4. Create New und aus der Liste Dynamic Interface auswählen

Fortinet-2510.jpg

  1. Den gewünschten Interface Name angeben
  2. Optional noch eine Beschreibung des Interfaces hinterlegen
  3. im Menu Punkt Color kann dem Interface eine Farbe zugordnet werden.
  4. um das Mapping zu aktivieren muss der Schalter Per-Device Mapping auf on geschaltet werden
  5. unter Create New kann eine neue FortiGate mit dem Portmapping hinzugefügt werden.

Fortinet-2511.jpg

  1. Die gewünschte FortiGate (Device) auswählen
  2. das Original Interface auf der FortiGate auswählen, welches im FortiManager auf das angelegte Interface verweist.
  3. Mit OK die Aktion bestätigen

Fortinet-2512.jpg

  1. In der Liste unten kann man alle gemappten FortiGates sehen und welches Interface auf das dynamische Interface zeigt.
  2. mit OK schliesst man das ganze ab

Wie kann ich ein dynamisches Adressenobjekt im FortiManager konfigurieren?

FMG60.jpgFMG62.jpg

Wir haben auf dem FortiManager die Möglichkeit, Adressobjekte auch per Device zu definieren. Das heisst ein Adressobjekt welches im FortiManager internal-lan heisst, kann auf eine x-beliebige FortiGate deployed werden mit dem für die FortiGate relevanten IP-Wert. Dies kann sehr praktisch sein, wenn man ein Policyset definiert und dieses Policyset für diverse FortiGates brauchen will. So muss ich nicht für jede FortiGate ein eigenes Policy Set definieren

Folgendermassen kann man das Konfigurieren:

Konfiguration über das WebGui Durchzuführende Schritte

Fortinet-2514.jpg

  1. In die entsprechende ADOM gehen
  2. Policy & Objects auswählen
    Fortinet-2513.jpg
  3. Auf Addresses
  4. Create New

Fortinet-2515.jpg

  1. Adressen Objekt Namen definieren
  2. Den gewünschten Typ auswählen (wie auf der FortiGate)
  3. Es kann eine beliebige IP Adresse als Platzhalter definiert werden, wenn wir mit dynamischen Adressen Zuweisung arbeiten. Wenn wir das Objekt nicht zuweisen, wird dieser Wert verwendet!
  4. Die Farbe nach eigenen Wünschen definieren

Fortinet-2516.jpg

  1. Der Per-Device Mapping Schieber muss auf ON geschaltet werden
  2. mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden

Fortinet-2517.jpg

  1. Die FortiGate auswählen, auf welches das Adressobjekt zugewiesen werden soll
  2. Die IP Adresse für die ausgewählte FortiGate angeben (Diese Adresse wird dann auf der FortiGate konfiguriert sein)
  3. Kommentare und Farben können noch für das Gerät spezifisch definiert werden
  4. Mit OK wird das Adress Mapping für die ausgewählte FortiGate abgeschlossen.

Wie kann ich ein dynamisches VIP-Objekt im Fortimanager konfigurieren?

FMG60.jpgFMG62.jpg

Auf dem FortiManager ist es auch möglich, ein Virtuelle IP Objekt dynamisch zu konfigurieren. Dabei können auch die gemappten Interfaces benutzt werden. Im Prinzip wird ein Virtual IP (Destinations NAT) Objekt erstellt mit IP und Port Werten, welche dann per Device definiert werden kann. Mit diesem Objekt ist es also möglich zum Beispiel ein Destinations NAT Objekt für ein Mail Server zu definieren, welches dann auf die entsprechenden FortiGates mit den eigenen Werten deploeyed werden kann.

Folgendermassen kann man das Konfigurieren:

Konfiguration über das WebGui Durchzuführende Schritte

Fortinet-2518.jpg

  1. In die entsprechende ADOM gehen
  2. Policy & Objects auswählen
    Fortinet-2513.jpg
  3. Auf Virtual IPs
  4. Create New

Fortinet-2519.jpg

  1. Objekt Name definieren
  2. Wenn gewünscht kann die Farbe definiert werden
  3. Interface auswählen, bei welchem das NAT Objekt terminiert. (Dies kann auch ein gemapptes Interface sein)
  4. Für die External Adress (Orginal IP-Adresse) kann ein beliebiger Wert als Variable gewählt werden.
  5. Für Mapped IP Adress (Destinations NAT IP Adresse) kann ein beliebiger Wert als Variable gewählt werden.
  6. Port Forwarding aktivieren um definierte Ports zu definieren (Best Praxis)
  7. Es können für External Service Port und Map to Port auch beliebige Werte als Variable gesetzt werden.

Fortinet-2520.jpg

  1. Der Per-Device Mapping Schieber muss auf ON geschaltet werden
  2. mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden

Fortinet-2521.jpg

  1. bei Mapped Device kann die FortiGate ausgewählt werden, auf welche das mapping zutreffen soll
  2. Bei External IP Address/Range kann jetzt die effektive orginal IP Adresse konfiguriert werden
  3. Bei Mapped IP Address/Range kann die effektive Ziel IP Adresse eingetragen werden.
  4. Bei Portforwarding die effektiven Ports definieren.
  5. Mit OK das mapping abschliessen.

Was sind im PolicyManager ab Version 6.2 Policy Blocks?

FMG62.jpg

Policy Blöcke sind dafür da, dass mehrere Regeln zusammen gespeicherte werden können. Diese Policy Blöcke können im Policypaket dann hinzugefügt werden. Dies hat der Vorteil, dass immer wiederkehrende Regeln auf verschiedene Policies Packet direkt angehängt werden können, ohne dass diese jedes Mal neu erstellt werden müssen. Dieses Feature ist in der Version 6.2.0 neu beim FortiManager hinzugefügt worden.

Konfiguration über das WebGui Durchzuführende Schritte

Fortinet-2561.jpg

Fortinet-2560.jpg

Damit man Policyblöcke einrichten kann, muss man zuerst das Menu anzeigen lassen. Dies geht folgendermassen:

  1. Im PolicyManager auf Tools -> Display Options
  2. Policy Block Optionen aktivieren

Fortinet-2562.jpg

Fortinet-2563.jpg

Im Seitenmenu wo die Policypaket angezeigt werden, wird jetzt der Ordner Policy Blocks mit angezeigt. Um einen neuen Policy Block zu erstellen, rechten Mausklick und New auswählen.

Fortinet-2564.jpg

  1. Konfigurieren des Policy Block Namen
  2. Zentrale Nat Option aktivieren oder deaktiviert lassen
  3. den NGFW Mode konfigurieren --> Was ist der NGFW Modus?

Fortinet-2565.jpg

  1. Im Seitenmenu kann unter Policy Blocks jetzt die entsprechende Policy angewählt werden (Rechtsklick)

Fortinet-2566.jpg

  1. Die Policy kann konfiguriert werden, wie die üblichen Policies.
  2. es empfiehlt sich bei den Adressen Objekten und den Interfaces mit dynamischen Objekten zu arbeiten.

Fortinet-2567.jpg

Fortinet-2568.jpg

Um einen Policy Block im Regelwerk einzubinden muss folgendermassen vorgegangen werden:

  1. Im entsprechenden Policy Paket an der gewünschten Position Rechte Maustaste drücken
  2. Im Menu Insert Policy Block Above (oberhalb) oder Below (unterhalb) wählen, um den Block einzufügen.
  3. Den gewünschten Policy Block selektieren.

Fortinet-2569.jpg

Im Policy Paket sehen wir die eingefügten Blöcke jetzt hellgrau geschrieben. Diese können nur im Policy Block Register editiert werden und die Änderungen werden auf alle Policy Paket angewendet, in welcher dieser Block konfiguriert ist.

Fortinet-2570.jpg

Auf der FortiGate sehen wir die eingefügten Policy Blocks im Policy Set. Die Policy ID wird automatisch vom Manager hinzugefügt und ist in der Regel eine sehr hohe Zahl.

Backup/Restore

Wie führe ich ein Backup auf dem FortiManager durch?

Konfiguration über das WebGui

Beschreibung
Fortinet-1872.jpg Unter System Settings -> Dashboard -> System Configuration das Icon mit dem schrägen Pfeil nach oben anwählen.
Fortinet-1873.jpg Das File kann durch ein Passwort gesichert und verschlüsselt werden. ACHTUNG wenn das Passwort verloren geht, gibt es keine Möglichkeit mehr das Backupfile wieder einzuspielen. Auch Fortinet ist nicht in der Lage das File zu entschlüsseln.
Fortinet-1874.jpg Den Pfad angeben, wohin das File gespeichert werden soll, danach wird der Backup durchgeführt. Das Backup wird als .dat File abgelegt. Wenn das Backup über das WebInterface durchgeführt wird, sind nicht alle Informationen vorhanden (Logs und Reports und dessen Konfigurationen)

Weitere Informationen siehe nachfolgenden Artikel:

FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_CLI_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F

Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=FortiManager:FAQ&oldid=22632