Fortinet:FortiCare-FortiGuard
Fortinet:Fortinet:FortiCare-FortiGuard
Vorwort
Dieser Artikel enthält Informationen und Dokumente im Zusammenhang mit dem RMA Service/Support von Fortinet. Es zeigt Schritt für Schritt wie ein Gerät ausgetauscht wird und welche Vorraussetzungen für diesen Austausch gelten!
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
Documentation
Wo findet ich die Dokumente die zeigen wie ich im Partner/Support Portal verschiedenen Aktionen durchführe?
Fortinet stellt für die verschiedenen auszuführenden Aktionen wie zB License Registration, Support Contracts etc. Dokumente zur Verfügung die zeigen wie dies durchgeführt wird:
Account Management Datei:Account Management Create A Support Account.pdf Create a support account Datei:Account Management Create and Edit a Sub account.pdf Create and edit a sub account Datei:Account Management Recover A Lost Account ID and Password.pdf Recover a lost account ID and password Datei:Account Management View and Edit a Support Account.pdf View and edit a support account
Asset Management Datei:Asset Management How to Register a New Product.pdf How to register a new product Datei:Asset Management Modules and Chassis Registration.pdf Modules and chassis registration Datei:Asset Management Add or Renew a Support Contract.pdf Add or renew a support contract Datei:Asset Management Virtual Machine VM License Registration.pdf Virtual machine (VM) license registration Datei:Asset Management LENC License Registration.pdf LENC license registration Datei:Asset Management Online Renewal for US Customer.pdf Online renewal for US customers (USA/Canada only) Datei:Asset Management Register a Product after an RMA.pdf Register a product after an RMA Datei:Asset Management VDOM License Registration.pdf VDOM license registration Datei:Asset Management Premium Support Service Registration.pdf Premium support service registration Datei:Asset Management Update Product Description and Partner Info.pdf Update product description and partner info Datei:Asset Management Update the Product Location Address.pdf Update the product location address Datei:Asset Management Generating reports from the Support Portal.pdf Generating reports from the support portal Datei:Asset Management View the details of a Product and Service Entitlement.pdf View the details of a product and service entitlement
Assistance Center Datei:TicketCreationGuide.pdf Ticket creation guide Datei:Assistance Center View and Update an Active Ticket.pdf View and update an active ticket Datei:Assistance Center Web Chat Assistance.pdf Web chat assistance Datei:Assistance Center Fortiguard Service Request.pdf FortiGuard service request Datei:Assistance Center Run Reports on Your Tickets.pdf Run reports on your tickets
Download Center Datei:Download Center Firmware Images Download.pdf Firmware images download Datei:Download Center FortiGuard Service Updates.pdf FortiGuard service updates Datei:Download Center HQIP Images Download.pdf HQIP image downloads Datei:Download Center Verify the Checksum of a Firmware Image.pdf Verify the checksum of a firmware image
Kundendatenhandling von Fortinet Datei:Fortinet-Service-secure-Customer-Data-handling.pdf Customer Data Handling for Fortinet Services and Websites
Diese Dokumente sind ebenfalls über die Knowledge Base zugänglich:
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD32312
Lizenzierung
Was für FortiCare Maintenance und Support Services Varianten gibt es?
Fortinet bietet verschiedene RMA-Optionen (Hardware Replacement) an, die mit einem FortiCare-Wartungsvertrag gebündelt sind. Die folgenden Informationen geben einen schnellen Überblick. FortiCare Support Services-Abonnements bieten globalen Support pro Produkt für 1, 3 oder 5 Jahre.
FortiCare Service Level | Service Beschreibung und SLA | Hardware RMA SLA |
---|---|---|
FortiCare 8x5 | Hardware Abdeckung + Firmware Update + 8x5 Email und Web Support | Rückgabe und dann Austausch |
FortiCare 24x7 | Hardware Abdeckung + Firmware Update + 8x5 Email und Web Support und telefonischer Support | Vorabaustausch am nächsten Werktag aus dem lokalen Schweizer RMA-Depot (ALSO Schweiz) |
FortiCare 360 | Wie 24x7 FortiCare + Advanced Services Technischer Support. Kombiniert Elemente der FortiSIEM-Analyse mit erstklassigem Support, um Unternehmen in die Lage zu versetzen, aktuelle und potenzielle Performance Probleme im Zusammenhang mit ihren FortiGate- und FortiWifi-Geräten schneller zu erkennen und zu beheben, um Ausfallzeiten zu minimieren. | Nächster Werktag Vorabversand vom lokalen Schweizer RMA-Depot (ALSO Schweiz) |
Premium RMA 24x7 Next Day Delivery (NDD) | Wie 24x7 FortiCare (NDD nur mit P-RMA-Bundle) | Lieferung am nächsten Tag (jeden Wochentag) |
Premium RMA 24x7 Courier 4 hours | Wie 24x7 FortiCare | 4 Stunden Kurierdienst (nur Lieferung) |
Premium RMA 24x7 Onsite 4 hour | Wie 24x7 FortiCare | 4 Stunden mit Systems Engineer |
Standard-RMA: SLA nach Annahme des RMA-Tickets durch Fortinet (lokale TAC-Zeit ca. 15:00 Uhr) |
FortiCare Hardware Support Definitions (RMA)
Grundsätzlich gibt es drei Stufen des Hardware-Austauschs. Weitere Informationen zu diesen Service Levels finden man in der entsprechenden Servicebeschreibungen:
Service Level | Beschreibung | |
---|---|---|
Return & Replace | Nachdem Fortinet einen Fehler bestätigt hat, schickt der Kunde die defekte Hardware auf seine Kosten an das im RMA-Ticket (Return Merchandise Authorization) angegebene Depot. Die defekte Hardware sollte in der Originalverpackung mit einer Kopie des RMA-Formulars verpackt werden. Ein Ersatz wird innerhalb von drei Werktagen nach Erhalt der defekten Hardware verschickt. | |
Adv. Replacement | Fortinet liefert einen Ersatz für den nächsten Werktag, wenn der Fehler vor 14.00 Uhr (Uhrzeit des regionalen Ersatzteillagers) bestätigt wird. Der Kunde schickt die defekte Hardware auf seine Kosten an das im RMA-Ticket angegebene Depot zurück. Die defekte Hardware sollte in der Originalverpackung mit einer Kopie des RMA-Formulars verpackt werden. Die Rücksendung sollte innerhalb von dreißig Tagen nach Erhalt des Ersatzes erfolgen, darüber hinaus behält sich Fortinet das Recht vor, das Produkt in Rechnung zu stellen. | |
Premium RMA | Für Kunden mit kritischen Umgebungen sind höhere Service-Level innerhalb des Premium RMA (PRMA) Portfolios verfügbar. Diese Ebenen sind: | |
Next-day Delivery: | Lieferung der Teile am Tag nach der RMA-Freigabe durch den Fortinet-Support | |
4-Hour Courier: | Teile werden 24 Stunden am Tag, 7 Tage die Woche innerhalb von 4 Stunden nach der RMA-Freigabe durch den Fortinet-Support vor Ort geliefert. | |
4-Hour On-site Engineer: | Lieferung der Teile vor Ort mit einem Techniker, 24 Stunden am Tag, 7 Tage die Woche innerhalb von 4 Stunden nach der RMA-Freigabe durch den Fortinet-Support. | |
Secure RMA | Ermöglicht NON-Return einer Appliance für Kunden mit strengen Regeln und Anforderungen an den physischen Datenschutz. |
Was gibt es für FortiGate Hardware und Software Bundle?
Fortinet lizenziert die FortiGuard Services, pro Gerät und nicht pro IP-Adresse oder Benutzer. Die Dienste können als Einzelabonnement ("a la carte") oder als Security Bundle lizenziert werden. Folgende Bundels stehen zu Verfügung:
Service Bundle | Content |
---|---|
Advanced Malware Protection AMP |
|
Advanced Threat Protection ATP |
|
Unified Protection UTM |
|
Enterprise Protection ENT |
|
Alle Bundles können mit einer Laufzeit von einem, drei oder fünf Jahren lizenziert werden.
Das FortiGate Gerät kann auch als Hard- und Software Paket mit einem UTM und Enterprise Bundle erworben werden:
Welche Fortinet Produkte/Devices unterstützen welche FortiGuard Services?
Verschiedene Fortinet Produkte unterstützen verschiedene FortiGuard Services. In der folgenden Übersicht kann entnommen werden, welches Produkt welche FortiGuard Services unterstützt:
FortiGuard Services Matrix: |
---|
Weitere Informationen findet man in diesem Dokument:
Datei:FortiGate Licensing Matrix.pdf
Wie wähle ich das richtige Produkt mit welcher Lizenz aus?
- Der wichtigste Schritt für den Kunden ist die Wahl des richtigen Gerätes. Eine Auswahl der Plattform basiert auf Kriterien wie die Form (Desktop- oder Rackmount-Modell), Anzahl der Ports und Geschwindigkeiten der Ports und schliesslich der gewünschten Leistung.
- Für alle Appliances ist es möglich, nur das erforderliche FortiGuard Security Service Abonnement zu erwerben. Dieses Lizenzmodell wird "a la carte" genannt und erlaubt es, nur die benötigten Dienstleistungen auszuwählen. Dies gilt typischerweise für die NFGW-Bereitstellung. Im KMU Bereich ist es üblicher, eine FortiGate mit einem UTM- oder Enterprise Bundle zusammen zu erwerben bei welchem die Hardware und die Dienste enthalten sind.
- Beim Letzten Schritt gilt es den Support Service zu wählen : Entweder als separate Lizenz oder als Teil eines Pakets mit der gewünschten Laufzeit. Die meisten Kunden wählen eine Laufzeit von 3 oder 5 Jahren, da sie einen deutlichen Preisvorteil haben, da die Service-Lizenz mit Hardware-Rabatt vergünstigt ist. Diese Tabelle zeigt typische Anwendungsfälle mit der benötigten SKU (Stückliste).
Use Case | Content | SKU |
---|---|---|
Interne oder Data Center Firewall nur als FW/VPN-Gerät |
|
|
Interne FW mit Intrusion Prevention (IPS) |
|
|
Interne Firewall mit Advanced Threat Protection (ATP) |
|
|
Perimeter / Branch Office (Hardware Bundle) |
|
|
Was ist der Unterschied zwischen FortiCare/FortiGuard und 8 X 5 oder 24 X 7?
FortiCare ist Grundsätzlich der Service/Subscription für die Deckung der Hardware (Austausch bei Defekt, Firmware Upgrade etc.). FortiGuard ist der Service/Subscription für die UTM Services selber wie Antivirus, IPS, Application Control, WebFilter etc. Nachfolgende Tabelle gibt eine Kurzübersicht über Deckung und Unterschied zwischen 8 X 5 und 24 X 7 im Zusammenhang mit FortiCare/FortiGuards sowie den Bundle's die durch Fortinet angeboten werden:
Datei:Licensing Fortinet Services.pdf
Auf der zweiten Seite des vorhergehenden Dokuments wird erklärt wie sich die Services verhalten, wenn diese zu bestimmten Zeitpunkten registriert werden! Gleichzeitig für zB Endkunden steht folgende FortiCare Brochure zur Verfügung die den Service und die allgemeinen Möglichkeiten umschreibt:
Datei:FortiGate Licensing Matrix.pdf Datei:FortiCareOverviewSales.pdf
Datei:Renewal-Guide-2016.pdf
Dabei ist die Änderung betreffend "Fortinet Warranty Support" ab Oktober 2015 zu berücksichtigen. Weitere Informationen siehe nachfolgender Artikel:
Fortinet:FortiCare-FortiGuard#Betreffend_Fortinet_Produkten_wann_beginnt_der_.22Fortinet_Warranty_Support.22_an_zu_laufen_.28neu_ab_1._Oktober_2015.29.3F
FortiCare/FortiGuard
Wie wird ein neues Forti-Gerät im Support-Portal registriert?
Wie wird ein FortiCare oder FortiGuard Registriert?
Fortinet kennt betreffend seinen Service zwei vers. Produkte:
FortiCare Subscription für Hardware/Firmware/Support (Jährlich 8 X 5 oder 24 X 7) FortiGuard Subscription für Antivirus, IPS, WebFiltering, Email Filtering und Analysis & Mgmt (Jährlich)
Die Bestellung wird vom Reseller an die ALSO Schweiz AG als Distributor anhand der Serien Nummer des Devices aufgegeben. Die ALSO Schweiz verarbeitet den Auftrag und gibt diesen Fortinet zur Bestellung weiter. Geliefert bekommen die ALSO Schweiz ein Registration Code mit Details zur Bestellung dh. ob 8 X 5 etc. Wenn es sich um ein Renewal (Erneuerung) handelt registriert Fortinet -im normal Fall- das Renewal dh. der Reseller/Kunde muss keine erneute Registrierung zum Renewal auf dem Gerät durchführen. Wenn im Dokument indem der Registration Code enthalten ist das End-Datum enthalten ist so wurde das Renewal (Erneuerung) durch Fortinet bereits registriert. Wenn dies nicht der Fall ist muss auf dem Gerät eine Registrierung (auch im Fall eines Renewals) durchgeführt werden. Nachfolgend einige Beispiele:
Renewal (Erneuerung) muss nicht durchgeführt werden da bereits korrekt von Fortinet Registriert (Enddatum ersichtlich)! Datei:Fortinet-191.jpg
Registration Code der benutzt werden muss um eine Registrierung durchzuführen! Datei:Fortinet-192.jpg
ACHTUNG Der Registration Code ist -sofern Fortinet die Registrierung/Renewal nicht selber durchführt- nicht gekoppelt mit der Serien Nummer!
Wie verknüpfe ich einen Kontrakt mit einem Fortinet Gerät?
Screenshot Support Portal |
Beschreibung |
Der Kontrakt kommt per PDF über Email zum Partner oder Endkunde. In diesem PDF ist der Contract Registration Code vorhanden. (auf der zweiten Seite). Sobald diese Kontraktnummer auf eine Serienummer verheiratet wurde, ist er nicht mehr weiter verwendbar. Daher darauf achten, dass man den Kontrakt Code auf das richtige Gerät verknüpft!! | |
Um den Kontraktcode auf ein Device zu verknüpfen, muss man sich in das Fortinet Support Portal https://fortinet.support.com einloggen. Sobald man eingeloggt ist wird man oben Rechts in der Kopfzeile ein Feld sehen, in welchem angezeigt wird, wieviele Geräte in nächster Zeit eine Lizenerneuerung brauchen (FortiCare, FortiGuard usw... Wenn ich darauf klicke bekomme ich eine Liste mit den betroffenen Geräten. Wenn ich ein bestimmtes Gerät finden will muss ich über den Menupunkt Asset danach Manage/View Product und im Suchfeld die gewünschte Serienummer eingeben. | |
Bei der Liste kann ich jetzt das gewünschte Gerät/Device auswählen, auf welchem der Kontrakt aktiviert werden soll. | |
Im Seitenmenu kann ich jetzt unter dem Punkt Registration den Punkt Renew Contract auswählen | |
Im Contract Number Feld kann man die Kontraktnummer vom PDF reinkopieren.
| |
Die Lizenz Bedingungen gut durchlesen und dann bestätigen. Mit Next geht der Prozess weiter. | |
Es wird eine Zusammenfassung angezeigt, welche Feature alles erweitert werden. Dies ist die letzte Change um die Serienummer zu überprüfen. Wenn man hier bestätigt gibt es keine Möglichkeit mehr den Kontrakt an ein anderes Gerät zu verknüpfen. Mit Confirm wird der Vorgang abgeschlossen. | |
Wenn die Kontrakt Verknüpfung mit dem Gerät abgeschlossen ist, wird die neue Laufzeit der Services angezeigt. |
Gibt es eine Möglichkeit vers. Service mit vers. Ablaufdaten für FortiCare/FortiGuard zu Synchronisieren (Quote-Term)?
Ja, diese Möglichkeit gibt es! Dieser Vorgang wird anhand eine Quote-Term durchgeführt. Dies bedeutet, dass der Kunde die Geräte mit dessen Serien-Nummern zustellt sowie die Informationen welcher Service/Subscription gewünscht wird. Anhand dieser Informationen wird eine Quote-Term bei Fortinet erstellt mit den Angaben des Kunden. Dieser Quote-Term gilt als Offerte von Fortinet an sich selber. Bei Bestellung wird dieser Quote-Term als Bestellung selber übermittelt. Fortinet verarbeitet diesen Quote-Term und bringt alle Ablaufdaten Synchron auf das gewünschte Ablaufdatum.
Um so eine Quote-Term zu erhalten muss der Kunde dem Distributor die zu "synchronisierenden" Serien Nummern der Device übermitteln mit dem gewünschen "Synchronisations Datum". Danach kann der Distributor unter der Distributions Partner Seite eine Quote-Term erstellen:
• Logge Dich auf der Partner Seite von Fortinet ein: https://partners.fortinet.com/Login.aspx • Nachdem erfolgreichen Einloggen wähle "Rechts" den folgenden Menüpunkt: Renewal Tracking • Nun können die entsprechenden Serien Nummern unter "If you know the serial numbers,....." eingegeben werden: NOTE Wenn mehrer Serien Nummern eingegeben werden, können diese mit "," getrennt eingegeben werden! • Sobald die Serien Nummern eingegeben wurden gehe auf "Search" • Nun wird im unteren Bereich der entsprechende "Reseller/Endkunde" angezeigt! • Selektiere den Reseller unter "Company" • Im nächsten Dialog werden die einzelnen Devices mit deren Ablauf Datum aufgelistet • Selektiere (Rechts Kästchen aktivieren) nun alle Devices für die ein Quote Term erstellt werden soll! • Danach gehe auf die Position "Generate Coterm Quote". Nun gebe folgendes ein: Quote Title [ZB Reseller Name mit event. Projekt] Comment [Zusätzliche Kommentare] Effective Date [Heutiges Datum] Coterm Date [Synchronisations Datum] • Danach gehe auf "Next" • Nun kann im nächsten Schritt unter "Select Renewal Service Package" das entsprechende Service Package gewählt werden! Wähle dazu "Select" und gebe das entsprechende Service Package an. Danach gehe wiederum mit "Next" weiter (Next steht erst dann zur Verfügung wenn für alle Modelle ein entsprechendes Service Package gewählt wurde)! • Nun wird unter dem Register "Review Quote and Continue" eine Uebersicht gezeigt WAS gewählt worden ist innerhalb der Quote! • Bis anhin wurde die Quote nicht abgesendet dh. zu Fortinet übemittelt! Sobald man auf "Confirm" geht wird die Quote Fortinet übermittelt und eine Quote ID generiert anhand dieser die Bestellung an Fortinet ausgeführt wird. NOTE Um den $ Preis zu kalkulieren benutz in der Offert die Position "GPL USD"
Die Registrierung FortiCare/FortiGuard ist auf der Fortigate nicht ersichtlich, was kann ich tun?
Wir empfehlen eine Registrierung des FortiGate Devices im entsprechenden Support Account 24 Stunden bevor der Device beim Kunden installiert/eingesetzt wird. Wenn die Registrierung des Fortinet Devices ausgeführt wurde, müssten die Angaben nachträglich auf der Fortigate über das Dashboard (System Information) nach ca. 10 Minuten ersichtlich sein sofern eine Internet Verbindung konfiguriert wurde. Ist dies nicht der Fall -oder nur teilweise- so liegt das an der Kommunikaton auf der FortiGate mit dem entsprechenden Service von Fortinet der nicht korrekt durchgeführt werden kann. Grundsätzlich komuniziert eine FortiGate für die Registrierung folgendermassen:
Die meisten Fehler das diese Komunikation nicht zu stande kommt liegen darin, dass die DNS Auflösung auf der FortiGate nicht korrekt konfiguriert wurde sowie der Port (Per Standard 53) nicht auf Port 8888 umgestellt wurde. Um den Port auf 8888 umzustellen siehe nachfolgenden Artikel:
Fortinet:FortiCare-FortiGuard#Welcher_Port_wird_durch_den_FortiGuard_Service_benutzt_und_wie_kann_ich_diesen_wechseln.3F
Wenn die Komunikation nicht zu stande kommt so sollte folgendes durchgeführt werden:
Erstelle eine Consolen Verbindung (RS232) oder eine SSH Verbindung zur FortiGate. Es kann ebenfalls das "console" Widget benutzt werden das im unteren Bereich der Eingangsseite zur Verfügung gestellt wird um die nachträglich aufgeführten Kommandos einzugeben: Ist der Server für Antivirus und IPS Updates von der FortiGate erreichbar: # execute ping update.fortiguard.net Wenn der Server nicht erreichbar ist kontrolliere die DNS Einstellungen der FortiGate (System > Network > DNS) oder lösche event. den DNS Cache: # diagnose test app dnsproxy 1
Ist der Server für WebFilter und AntiSpam von der FortiGate erreichbar: # execute ping service.fortiguard.net Wenn der Server nicht erreichbar ist kontrolliere die DNS Einstellungen der FortiGate (System > Network > DNS) oder lösche event. den DNS Cache: # diagnose test app dnsproxy 1
Kontrolliere ob das Autoupdate eingeschaltet ist: # diagnose autoupdate status IPS definition update: enable Virus definition update: enable set
Kontrolliere wenn der nächste Update ausgeführt werden sollte: # diagnose test update info
Führe einen manuellen Update (force) aus: # execute update-now ACHTUNG Es sollte mind. 2 Stunden gewartet werden bis die nächsten Schritte vollzogen werden resp. Wenn sich der Status Der Registrierung nicht ändern sollten die nachfolgenden Schritte durchgeführt werden! NOTE Wenn die Fortigate oder eine Fortimail plötzlich keine Registrierung zeigt ist dieser Vorgang ebenfalls durchzuführen. Diese Situation kann entstehen wenn Fortinet Produkte abrupt vom Netz genommen werden oder unkontrolliert (Stromausfall) vom Stromnetz genommen werden. Wenn in dieser Zeit der "Update-Prozess" ausgeführt wird bleibt dieser hängen und kann nicht neu initiert werden. Durch die erneute Ausführung des "Update" (manuell über Console) und einem erneuten Reboot wird/kann dieses Problem gelöst werden! Um den Status des Updates abzufragen kann folgendes benutzt werden: # diagnose debug application update [Debug Level zB 1] # diagnose debug enable NOTE Debug Level sind: 1: Fehlermeldungen 2: Major-Events 4: Alles Nicht vergessen den Debug wieder abzuschalten mit: Deaktiviere den Debug Modus: # diagnose debug disable Setze den Debug Filter zurück: # diagnose debug reset
Durch diesen Befehl werden die Fortinet Services kontaktiert (force) und die neusten Informationen abgeholt. Bringt dies keine Abhilfe führe einen Neustart des Gerätes durch (auf jedenfall ca. 1 – 2 Stunden warten nachdem absetzen des obigen Befehls) und kontrolliere abermals das Dashboard:
# execute reboot NOTE Auch nachdem Neustart kann es durchaus bis zu 2 Stunden gehen bis sich der Registrierungs Status des Devices für die vers. Services ändert!
Wenn unsicher ist ob die FortiGuard Server zur Verfügung stehen (und welche), kann mit folgenden Befehl das "rating" dieser Server überprüft werden:
# diagnose debug rating Locale : english License : Contract Expiration : Sun Jul 24 20:00:00 2011 Hostname : service.fortiguard.net -=- Server List (Tue Nov 2 11:12:28 2010) -=- IP Weight RTT Flags TZ Packets Curr Lost Total Lost 69.20.236.180 0 10 -5 77200 0 42 69.20.236.179 0 12 -5 52514 0 34 66.117.56.42 0 32 -5 34390 0 62 80.85.69.38 50 164 0 34430 0 11763 208.91.112.194 81 223 D -8 42530 0 8129 216.156.209.26 286 241 DI -8 55602 0 21555 NOTE Es sollten zwischen 3 - 5 Server zur Verfügung stehen für den FortiGuard Service der aus der Cloud von Fortinet zur Verfügung steht! Die Server werden mit vers. Flags gekennzeichnet. Diese bedeute folgendes: Datei:Fortinet-458.jpg
Ebenso kann der FortiGuard Status abgefragt werden:
# get system fortiguard-service status
Welcher Port wird durch den FortiGuard Service benutzt und wie kann ich diesen wechseln?
Der FortiGuard Service/Port läuft per Standard auf Port TCP 53 (DNS Port). Dies ist nicht in jedem Fall empfehlenswert dh. muss der FortiGuard Request zuerst durch eine "vorgelagerte" Firewall, IPS System ", wird/kann dieser Request durch die "vorgelagerte" Firewall, IPS System geblockt werden. Der Grund dafür liegt darin das Port 53 (DNS) ein "Priviligierter Port" ( [Service Name and Transport Protocol Port Number Registry] ) darstellt dh. wird für DNS benutzt. Der FortiGuard Service über Port TCP 53 wird auf dieser "vorgelagerter" Firewall und/oder IPS System als "Malformed DNS" Anfrage erkannt und geblockt da die Header nicht einer DNS Anfrage entspricht. Als Alternative steht der Port 8888 zur Verfügung. Möchte man diese Alternative (empfohlen) nützen so benütze folgendes Kommando:
# config system fortiguard # set port [Wähle Port 53 oder 8888] # end NOTE Ab FortiOS 5.2 kann zusätzlich zu Port 53 sowie Port 8888 der Port 80 konfiguriert werden!
Der Port kann ebenfalls über das Mgmt. WebInterface gewechselt werden:
System > Config > FortiGuard > Web Filtering and Email Filtering Options
Signaturen Update, DNS Resolution funktonieren nicht auf einer 100D; Was ist zu tun?
Verschiedene FortiGate Modell wie zB FG-100D ist mit einem dezidierten Mgmt. Interface ausgerüstet. Wie bei anderen Fortigate's ist auf diesem dezidierten Mgmt. Interface die Default IP 192.168.1.99 konfiguriert! Ueber das Mgmt. Interface laufen zB DNS Resolution, Signaturen Updates etc. Aus diesem Grund muss das Mgmt. Interface über Internet Access verfügen damit dieses übers Internet die nötigen Informationen runterladen/erhalten kann (FortiGuard/FortiCare, DNS usw.). Bei einer 100D ist das Mgmt. Interface nicht in der VDOM "root" sondern in einer seperaten VDOM (dmgmt-vdom). Wird diesem Umstand nicht Rechnung getragen verfügt dieses Interface reps. VDOM (dmgmt-vdom) nicht über Internet Access. Der Umstand, dass dieses Mgmt. Interface in der VDOM (dmgmt-vdom) ist wird über das Mgmt. Gui nicht abgebildet. Möchte man das Interface in die VDOM "root" verschieben indem sich das WAN Interface befindet (Internet Access) so führe folgendes auf der Kommandozeile durch:
# config system global # set management-vdom root # end
Möchte man auf einer 100D ein Interface für ausschliesslich Mgmt. Zwecke konfigurieren so kann folgendes über Kommandozeile konfiguriert werden:
# config system dedicated-mgmt # set status [enable | disable] # set default-gateway [IPv4 Adresse] # set dhcp-server [enable | disable] # set interface [Name des Interfaces zB "port1"] # end
Wenn zusätzlich zu dieser Konfigurationspunkt eine IP und/oder ein IP Range konfiguriert werden möchte die den Zugriff auf das Management Interface einschränkt kann folgendes auf dem entsprechenden Interface konfiguriert werden:
# config system interface # edit [Name des Interfaces zB "port1"] # set trust-ip-1 [IPv4 Adresse plus Subnet zB 0.0.0.0/24] # set trust-ip-2 [IPv4 Adresse plus Subnet zB 0.0.0.0/24] # set trust-ip-3 [IPv4 Adresse plus Subnet zB 0.0.0.0/24] # end
Welche einzelnen FortiGuard Services unterstützen welche Funktion/Service?
FortiGuard Services sind grundsätzliche für kleinere Devices als FG-100D nur als Bundle zu beziehen dh. dieses Bundle beinhaltet "alle" Services gemäss unteren Tabelle. Einzelne Services zu beziehen aus dem "Bundle" ist nur möglich für Devices FG-100 und grösser. Im Februar 2016 hat Fortinet betreffend "UTM Bundle" den Service erweitert dh. neu steht allen Devices ebenfalls das FortiGuard "Mobile Security" sowie das FortiGuard "Enterprise Bundle" das wiederum das FortiGuard "Mobile Security" und "Cloud Sandbox" binhalte zur Verfügung. Desweiteren ist zu berücksichtigen, dass unter FortiOS 5.6 (GA Release Date umbekannt) die Funktionen "Botnet" sowie "IP-Reputation" nicht mehr im FortiCare beinhaltet ist, sondern im seperaten FortiGuard "AV Service", FortiGuard "UTM Bundle" oder FortiGuard "Enterprise Bundle". Somit gilt betreffend dieser Aenderung für neue und bestehende FortiCare/FortiGuard im Zusammenhang mit "Botnet" sowie "IP-Reputation" Folgendes:
• Für Alle die FortiCare für 5.0, 5.2 sowie 5.4 Erneuern - sei es für 1 oder mehrere Jahre - ist "Botnet" sowie "IP-Reputation" im FortiCare weiterhin enthalten bis diese erwähnten Versionen für FortiCare EOL sind!
• Für Alle die einen Vertrage unter 5.6 GA Release Erwerben und die Funktion "Botnet" sowie "IP-Reputation" im FortiGuard zur Verfügung haben möchten, müssen für diese Funktionen seperat "AV Service", "UTM Bundle" oder das "Enterprise Bundle" beziehen resp. lizensieren da diese Funktionen unter 5.6 GA Release nicht mehr im FortiCare enthalten sind!
Nachfolgende Uebesicht zeigt das FortiGuard UTM Bundle, FortiGuard Enterprise Bundle sowie die einzelnen FortiGuard Services sowie FortiCare inkl. der neuen Situation betreffend "Botnet" sowie "IP-Reputation" (Für 5.6 GA Release):
Ebenfalls zeigt nachfolgendes Dokument eine Detail Uebersicht der Services:
Datei:FortiGate Licensing Matrix.pdf
Grundsätzlich ist Folgendes zu berücksichtigen: Wenn einzelne Funktionen aus FortiGuard (Bundle) bezogen werden, können diese ca. 1/3 des "Bundle" Preises ausmachen dh. wenn je nach Funktion zwei Funktionen bezogen werden, ist zu überlegen dennoch das "Bundle" zu beziehen da ansonsten 2 Funktionen nicht mehr in Relation stehen betreffend Preis zum "Bundle". Desweiteren betreffend "Antispam" ist folgendes zu berücksichtigen: Diese Funktionalität ist "seperate" nicht erhältlich dh. auch nicht über CoTerm dh. Ist der Kunde angewiesen auf die "Antispam" Funktionalität auf einer FortiGate muss das "Bundle" bezogen werden damit diese Funktionalität erhältlich ist im Service von FortiGuard. Nachfolgend die offiziellen Kunden Brochure von Fortinet betreffend FortiGuard/FortiCare:
Datei:One-Bundle-To-Protect-Your-Enterprise.pdf Datei:Fortinet-Enterprise-Bundle-FortiGuard-Brochure.pdf
Wo finde ich Informationen betreffend aktueller Datenbank für Virendefinition, IPS, WebFilter usw. für FortiGuard?
Auf der Web Seite von FortiGuard sind diese Informationen vorhanden. Nachfolgend einige wichtige Links betreffend diesen Informationen:
FortiGuard Service Update http://www.fortiguard.com/updates/ Antivirus Service http://www.fortiguard.com/updates/antivirus.html Intrusion Protection http://www.fortiguard.com/updates/ips.html Application Control http://www.fortiguard.com/updates/applications.html Web Filtering http://www.fortiguard.com/updates/webfiltering.html Antispam http://www.fortiguard.com/updates/antispam.html Vulnerability Management http://www.fortiguard.com/updates/vcm.html Database Security http://www.fortiguard.com/updates/db.html Web Security http://www.fortiguard.com/updates/web.html
Muss ich für die "Lifetime Warranty" eines FortiAP's ein FortiCare (Maitenance) beziehen?
Weitere Informationen betreffend dieser Frage siehe folgender Artikel:
FortiAP:FAQ#Muss_ich_f.C3.BCr_die_.22Lifetime_Warranty.22_eines_Forti_Access_Point_ein_FortiCare_.28Maitenance.29_beziehen.3F
Betreffend Fortinet Produkten was ist unter "Fortinet Warranty Support" zu verstehen?
Die "Fortinet Warranty" ist nicht zu verwechseln mit der "Lieftime Warranty" dh. die "Fortinet Warranty" beschreibt für ein Fortinet Produkte die für ein Produkt mitgelieferte "Warranty" die von Fortinet gewährt wird nach der Registrierung des Produktes. Konkret bedeutet dies Folgendes: Wird ein Fortinet Produkte Device registriert, gewährt Fortinet eine "Warranty" von 60 Tagen. Weitere Details siehe nachfolgendes Dokument:
Datei:Warranty-Support Start Policy-D3.pdf
Betreffend Fortinet Produkten wann beginnt der "Fortinet Warranty Support" an zu laufen (neu ab 1. Oktober 2015)?
Ausgehend von nachfolgenden Artikel gewährt Fortinet auf allen Produkten eine 60 Tägige Warranty. Weitere Informationen dazu siehe nachfolgenden Artikel:
Fortinet:FortiCare-FortiGuard#Betreffend_Fortinet_Produkten_was_ist_unter_.22Fortinet_Warranty_Support.22_zu_verstehen.3F
Dabei stellt sich die Frage "wann" dieser "Warranty Support" beginnt! Ab 1. Oktober 2015 gilt folgendes:
Dies bedeutet konkret nichts anderes als Folgendes:
- Ab "Manueller" Registrierung eines Fortinet Devices wobei dies spätestens bis 100 Tagen nach "Shipping" des Fortinet Devices von Fortinet zu erfolgen hat! - "Automatische" Registrierung ab dem Zeipunkt in dem der Fortinet Device "Online" Updates durchführt wobei dies spätestens bis 100 Tagen nach "Shipping" des Fortinet Devices von Fortinet zu erfolgen hat! - "Automatische" Registrierung nach 100 Tagen des "Shipping" des Fortinet Devices!
Diese Neurung die ab ersten Oktober 2015 gilt ist/wurde von Fortinet im folgenden Dokument announced:
Datei:Warranty-Support Start Policy EMEA.APAC.pdf Datei:FAQ-Warranty-Support Start Policy EMEA.APAC.pdf
Werden in einem Trade-Up die bestehenden Services (Subscription FortiGuard/FortiCare) des alten Gerätes auf das Neue übernommen?
Wenn ein Trade-Up durchgeführt wird zB von einer Fortigate 100A auf eine 100D und auf der 100A noch bestehende Services existieren dh. zB FortiCare und/oder FortiGuard werden diese Services 1:1 übernommen sofern das Trade-Up in der gleichen Linie stattfindet! Dies gilt jedoch nicht generell dh. folgendes Dokument gibt genauen Aufschluss darüber ob die Service's für ein Device/Gerät übernommen werden:
Fortinet:Promotionen#Trade-Up
Wenn ich "nur" DDNS (Dynamic DNS), GeoIP, NTP und DNS Service von FortiGuard benutze was muss ich im Minimum lizensieren?
Bei kleineren Geräten dh. "kleiner FG-100D" können die einzelnen FortiGuard UTM Features wie Antivirus, WebFilter usw. nicht einzeln lizensiert werden sondern nur als Ganzes. Dies bedeutet: entweder als Ganzes in Form einer seperaten Bundle Lizenz die zum Gerät lizensiert wird oder beim Kauf eines neuen Gerätes inklusiv Bundle. Bei grösseren Geräten können die einzelnen UTM Features je nach Verwendung einzel Lizensiert werden. In diesem Zusammenhang stellt sich die Frage "Was" minimum lizensiert werden muss, wenn Grundfunktionen von FortiGuard benutzt werden möchten wie DDNS, SMS Messaging, GeoIP, NTP usw. Für folgende Grundfunktionen muss minimum FortiCare 8 X 5 Lizensiert werden:
• Real time GeoIP updates • SMS messaging service • NTP & DNS Service • DDNS Service • USB Modem DB updates • Device/OS Visibility signature updates
Verwirrend dabei ist das diese Services in den Dokumenten in Zusammenhang gebracht werden mit "FortiGuard" Service. Dies bedeutet diese Funktionen werden als Bestandteil eines "FortiGuard" Service's aufgelistet und somit würde man davon ausgehen, speziell bei kleineren Geräten FG-100D, dass diese Funktionen nur zur Verfügung stehen wenn FortiGuard Lizensiert wird. Dies ist nach näheren Abklärungen mit Fortinet nicht der Fall dh. wie oben beschrieben wird minimum ein FortiGare 8 X 5 benötigt! Desweiteren gibt nachfolgender Artikel Auskunft welche Funktion in welcher Lizenz dh. FortiGuard/FortiCare oder Bundle enthalten ist:
Fortinet:FortiCare-FortiGuard#Welche_einzelnen_FortiGuard_Services_unterst.C3.BCtzen_welche_Funktion.2FService.3F
Wie kann ich FortiGuard Traffic über einen Proxy konfigurieren und was ist dabei zu beachten?
Grundsätzlich ist es möglich den FortiGuard Traffic dh. Update Traffic sowie On-Demand Traffic (WebFilter) über einen existieren Proxy Server abzuwickeln. Dies ist jedoch zu überlegen da für diese Konfiguration resp. Eine Proxifizierung des FortiGuard Traffic's ist nur Unterstützt für folgende Funktionen:
Device Registration, Antivirus Updates sowie IPS Updates
On-Demand Traffic dh. für WebFilter und Antispam Filter wird nicht unterstützt dh. dieser Traffic muss wie per Standard definiert über Port 53, 8888 oder neu unter FortiOS 5.2 Port 80 abgewickelt werden. Eine Alternative zur Proxifizierung des FortiGuard Traffic's bietet der FortiManager der anstelle von FortiGuard für sämtliche Funktionen benutzt werden kann. Diese Konfiguration wird über den FNDN (Fortinet Distribution Network) Service eines FortiManagers konfiguriert. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiManager:FAQ#FNDN_.28Fortinet_Distribution_Network.29
Desweiteren wenn man dennoch eine Proxifizierung des FortiGuard Services auf einer FortiGate konfiguriert muss folgendes berücksichtigt werden betreffend benutzten Proxy Server:
• Die FortiGate resp. die FortiGuard Anfrage die zu einem Proxy Server durchgeführt wird benutzt ausschliesslich die "HTTP CONNECT" Methode (RFC 2616) • Die "HTTP CONNECT" Methode wird benutzt um den "SSL Traffic" für den FortiGuard Service für die FortiGate durch den Proxy durch zu "tunneln". Aus diesem Grund verhindern einige Proxy Server diese vorgehensweise um zu verhindern das unerlaubter Traffic das Environment verlässt (SSL VPN). Speziell verhindern einige Proxy Server Verbindungen zu verschiedenen Ports (well known ports) wenn ein HTTPS Anfrage ausgeführt wird da per Standard 443 benützt wird. Aus diesem Grund muss für den FortiGuard Service die durch die FortiGate auf dem Proxy Server ausgeführt wird einige Ports erlaubt werden da zB für "autoupdates" der Port 8890 benutzt wird was nicht dem Standard für HTTPS entspricht.
Nichts desto trotz wenn dennoch eine Proxyfizierung konfiguriert werden soll muss folgendes ausgeführt werden:
# config system autoupdate tunneling # set address [IPv4 Proxy Adresse] # set username [Proxy Username] # set password [Proxy Password] # set port [Proxy Port für die Verbindung zB 8080] # set status [enable | disable] # end NOTE Die Benützung eines Usernames und Passwort ist Optional!
Wenn die Konfiguration durchgeführt wurde sollte diese getestet werden dh. folgendes kann ausgeführt werden:
Setze den Debug Filter zurück: # diagnose debug reset Deaktiviere den Debug Modus: # diagnose debug disable Setze den Debug Filter für "update": # diagnose debug application update [Debug Level zB 1] # diagnose debug enable NOTE Debug Level sind: 1: Fehlermeldungen 2: Major-Events 4: Alles Führe ein Manuelles Update aus (force) # execute update-now
Nicht vergessen den Debug wieder nach Gebrauch abzuschalten mit:
Deaktiviere den Debug Modus: # diagnose debug disable Setze den Debug Filter zurück: # diagnose debug reset
Gibt es für FortiCare einen "preffered" support und was ist darunter zu verstehen?
Fortinet bietet seinen Enterprise Kunden einen "preffered" Support an. Dieser wird auch "advanced technical support services for enterprise" genannt. Er richtet sich Hauptsächlich an Endkunden im Enterprise Bereich um SLA's (Downtime) zu minimieren. In diesem "preffered" Support ist im Groben folgendes enthalten:
- Dem Kunden werden dezidierte Engineers für technischen Support zugewiesen sowie Stellvertretungen. - Ein Ticket eines Endkunden mit "preffered" Support wird direkt den dezidierten Resourcen zugewiesen. - Auf den Kunden mit "preffered" Support wird ein Plan erstellt mit "escalation path" der aufzeigt wie ein "case" zu behandeln ist mit Enduser Kontakten für Eskalationen/Informationen sowie "Remote Access" Informationen für die dezidierten Resourcen innerhalb von Fortinet.
Somit liegt der Vorteil eines "preffered" Support, dass der Endkunden betreffend einem Ticket mit den immer gleichen dezidierten Resourcen arbeiten kann und diese über das Environment eines Endkunden den Ueberblick haben um den Endkunden bei Lösungen zu unterstützen. Das nachfolgenden Dokument beschreibt diesen "preffered" Support im Detail:
Datei:SD-FortiCare-PreferredSupport.pdf
FortiCare 8x5 Transition FAQ
Warum stellt Fortinet den 8x5 Support ein? |
Das Geschäft schläft nie und auch das Bedürfnis nach Sicherheit nicht. Fortinet entwickelt die Angebote für den technischem Support weiter, um sich besser auf die betrieblichen Anforderungen der Kunden abzustimmen. |
Wann wird der 8x5 Bundle Support aus der externen Preisliste entfernt? |
Der Ausstieg aus den 8x5-Supportstufen beginnt ab dem 6. Mai 2019 (Datum des Inkrafttretens der Preisliste Q2 2019) und endet im ersten Halbjahr 2020. Entfernungen werden vierteljährlich gemeldet, wobei eine Benachrichtigung zum Auftragsende in der Preisliste aufgeführt ist. |
Bleibt das 8x5 FortiCare nur auf der externen Preisliste? |
Ab dem 6. Mai 2019 (dem Inkrafttreten der Preisliste Q2 Y19) werden die FortiGate 8x5 Enterprise Bundles aus der Preisliste entfernt. Alle anderen 8x5 Support Level SKUs werden in der Preisliste Q2 Y19 verfügbar sein. |
Wird Fortinet in der Lage sein, 8x5 Support für alle Kunden anzubieten, die bereits 8x5 Support haben? |
Ja, es können Verlängerung auf der Grundlage der verfügbaren Service Levels durchgeführt werden. Fortinet will die Kunden ermutigen, die Verlängerung auf FortiCare 7x24 durchzuführen. Fortinet wird in den kommenden Quartalen schrittweise zusätzliche Einschränkungen bei der Verlängerung vornehmen, welche die Streichung aus der öffentlichen Preisliste widerspiegeln, bis alle Kunden seit dem ersten Halbjahr 2007 auf 24x7 FortiCare übertragen wurden. |
Wann wird der 8x5-Support vollständig aus der Fortinet-Preisliste entfernt? |
Der 8x5 Support wird bis Ende erste Hälfte 2020 vollständig aus der Fortinet Preisliste entfernt. |
Kann der Partner nach dem ersten Quartal 2019 noch 8x5 Support über das Partnerportal anbieten? |
Ja, Partner können weiterhin alle Verlängerungen des 8x5-Supports über das Partnerportal anbieten, mit Ausnahme des 8x5 Enterprise Bundle. In der Fortinet Q2 Preisliste (ab dem 6. Mai) wird das FortiGate 8x5 Enterprise Bundle aus der öffentlichen Preisliste entfernt. Zusätzliche Dienstleistungen werden in den kommenden Quartalen eingestellt, da SKUs aus der Preisliste entfernt werden. |
Werden die 8x5 Verlängerungsangebote, die im ersten Quartal 2019 erstellt wurden und erst nach Beginn des zweiten Quartals 2019 auslaufen, weiterhin gültig sein? |
Ja, Fortinet wird diese Angebote akzeptieren bis sie ablaufen. |
Gibt es Einschränkungen in der Anzahl der Jahre für das Langzeitangebot, die Fortinet für die verfügbaren 8x5 Bundle-Support anbieten kann? |
Nein, es gibt derzeit keine Einschränkungen für 8x5-Bundles. Ausnahme sind die EOS-Daten auf der Devices. |
Haftungsausschluss: Diese FAQ kann gemäss den aktuellen Preislistenpolicies von Fortinet geändert werden.