FortiGateCloud:FAQ

Vorwort

FortiGate Cloud bietet Dir eine zentrale und cloudbasierte Plattform zur Verwaltung, Überwachung und Automatisierung Deiner Fortinet-Infrastruktur. Diese Seite gibt Dir einen umfassenden Überblick über die Funktionen, Einsatzmöglichkeiten und technischen Vorteile der Lösung – speziell ausgerichtet auf den professionellen Einsatz in produktiven Netzwerkumgebungen.

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Einführung

Was ist die FortiGate Cloud?

FortiGate Cloud – Zentrale Cloud-Managementlösung für FortiGate FortiGate Cloud ist eine cloudbasierte Software-as-a-Service (SaaS)-Plattform zur zentralen Verwaltung, Protokollierung und Analyse von FortiGate Next Generation Firewalls sowie weiteren Fortinet-Komponenten wie FortiAP, FortiSwitch und FortiExtender.

Die Lösung bietet Dir eine zentrale, mandantenfähige Steuerungsumgebung mit Fokus auf Automatisierung, Sichtbarkeit und Sicherheit – ideal für den Einsatz in Unternehmensnetzwerken und MSP-Umgebungen.

Was sind die zentrale Merkmale der FortiGateCloud?

Konfigurations- & Gerätemanagement

• Vollständige FortiOS-Konfigurationsverwaltung direkt aus der Cloud
• Echtzeit-Konfigurationssynchronisation mit FortiGate-Geräten
• Zero-Touch Provisioning (ZTP) zur automatisierten Bereitstellung
• Verwaltung angebundener FortiAPs, FortiSwitches und FortiExtender
• Zentrale Firmware-Upgrades innerhalb der Security Fabric
• Unterstützung von CLI-Skripten für Automatisierung

Protokollierung, Analyse & Reporting

• Zentrales Logging mit leistungsstarker Analysefunktion
• Umfangreiche Log-Ansichten und Suchfunktionen
• Erstellung und Zeitplanung von Berichten inkl. Templates
• Automatische Cloud-Backups & Wiederherstellung
• Möglichkeit zum Download von Logdaten
• Einjährige Log-Aufbewahrung standardmässig enthalten

Benutzer- & Sicherheitsmanagement

• Integration in FortiCloud mit Multi-Faktor-Authentifizierung (MFA)
• Benutzerverwaltung über FortiCloud Identity & Access Management
• Rollenbasierte Zugriffskontrolle (inkl. Read-Only-Optionen)
• Nachvollziehbarkeit durch Audit Logs
• Unterstützung von FortiGuard Indicators of Compromise (IoC)
• Anbindung an FortiSandbox Cloud (SaaS)

Netzwerkvisualisierung & SD-WAN

• Zentrale Dashboards mit konfigurierbaren Widgets
• Visualisierung von Fabric-Geräten, Gesundheitsstatus, Lizenzen
• SD-WAN-Dashboard zur Überwachung und Analyse
• Unterstützung für SD-WAN Overlay-as-a-Service

Weitere Funktionen

• Mehrsprachige Benutzeroberfläche
• Unterstützung für Multimandantenbetrieb via FortiCloud Organizations

Zusammenfassung
Mit FortiGate Cloud steht Dir eine leistungsstarke und skalierbare Plattform für das ganzheitliche Management Deiner Fortinet-Infrastruktur zur Verfügung. Die Lösung erleichtert Dir die zentrale Administration, bietet hohe Transparenz und ermöglicht den Betrieb auch in komplexen Mandanten- oder MSP-Umgebungen.

Dokumente

Wo finde ich die Release Notes der FortiGate Cloud?

Version 25.2

• Datei:FortiGateCloud-Release-Notes-Version-25.2.0.pdf
• Datei:FortiGateCloud-Release-Notes-Version-25.2.a.pdf

Du findest die aktuellen Releasenotes unter folgendem Link:

• Release Notes 25.2.x Shift + Linke Maustaste

add 05.06.2025 - 4Tinu

Wo finde ich die AdminGuides für die FortiGate Cloud?

• Datei:FortiGateCloud-AdministrationGuide-25.2.pdf Version 25.2.a

Legacy Admin Guides:

• Datei:FortiGateCloud-Legacy-AdministrationGuide-25.2.pdf Version 25.2.a

add 05.06.2025 - 4Tinu

Management Funktionen

Unterstütz mein FortiGate Modell die FortiCloud management Funktion?

In der folgenden Matrix kann nachgeschaut werden, ob mein FortiGate Modell die Management Funktion unterstütz in der FortiCloud:

• https://www.forticloud.com/help/supportedmodels.html

In der Folgenden Datei findet man die unterstützen FortiGate Modelle, Stand 20.08.2020:

• Datei:HowTo FortiGate Kompatibilitaet FortiCloud-v1.0.pdf

edit 30.10.2024 - 4Tinu

Was ist der Unterschied beim automatischem Pachtupgrade zwischen der FortiGate Cloud Premium und der lokalen Einstellungen auf der FortiGate?

In diesem Artikel erfährst du, wie die Priorität und Unabhängigkeit der automatischen Patch-Upgrades zwischen den Einstellungen in der FortiGate Cloud Premium und den lokalen FortiGate-Einstellungen funktioniert. Du bekommst Klarheit darüber, welche Einstellungen wann das Sagen haben und wie sie sich gegenseitig beeinflussen – oder eben auch nicht!

Ausgangslage:
FortiGates, welche FortiGate Cloud nutzen (sowohl im Premium- als auch im Standard-Portal), automatische Firmware-Updates über die FortiGate Cloud und lokale Einstellungen, FortiCloud v24.2.0 und v7.2.

Mit der FortiGate hast du die volle Kontrolle: Du kannst automatische Patch-Upgrades entweder über FortiGate Cloud oder lokal verwalten. Hier erfährst du, wie die beiden Optionen zusammenarbeiten und welche das letzte Wort hat:

Parallel Operation:
Die automatische Patch-Funktion in FortiGate Cloud läuft unabhängig von der lokalen FortiGate-Einstellung. Du kannst die Cloud-Einstellungen jederzeit anpassen, wenn dein FortiGate-Gerät ein FortiGate Cloud Service-Abonnement hat. Änderungen in der Cloud beeinflussen die lokale Einstellung jedoch nicht und umgekehrt – jede arbeitet eigenständig.

Precedence:
Falls ein automatisches Patch-Upgrade sowohl in der Cloud als auch lokal geplant ist, wird die zuerst angesetzte Aufgabe ausgeführt. Hat die Cloud entdeckt, dass das Gerät bereits lokal gepatcht wurde, wird sie kein weiteres Upgrade starten.

Buffer Period:
Die automatische Patch-Funktion der Cloud hat momentan eine Pufferzeit von 90 Tagen (Empfehlung des Rechtsteams). Das heisst, dass Änderungen an der Auto-Patch-Einstellung in der Cloud erst nach dieser Zeitspanne greifen.

add 30.10.2024 - 4Tinu

Was bedeutet automatisches Update in der FortiGate Cloud fuer mich?

In FortiGate Cloud v24.2.0 wurde die neue Funktion Automatische Updates eingeführt, die dir als Administrator die Möglichkeit bietet, Updates auf die neueste Patch-Version für alle deine gemanagten FortiGates automatisch zu planen und durchzuführen. In der späteren Version v24.3.0 wurde diese Funktion erweitert und in die Option Firmware-Profile integriert.

So kannst du nun gezielt Profile erstellen und zuweisen, um die Updates noch flexibler und bedarfsgerechter zu steuern.

Aktuell stehen dir in der FortiGate Cloud zwei Standardprofile zur Auswahl, zusätzlich kannst du auch benutzerdefinierte Profile erstellen:

(none):

Diese Einstellung ist technisch gesehen kein Profil, lässt sich jedoch auf eine cloud-gemanagtes FortiGate anwenden, wenn du die automatische Update-Funktion deaktivieren möchtest. Das ist die Standardeinstellung für alle FortiGates mit einem kostenpflichtigen FortiGate Cloud-Abonnement. In der Asset-Übersicht unter „Firmware-Profil“ wird bei der Auswahl von „(Kein Profil)“ einfach ein leerer Eintrag angezeigt.

latest-patch:

Dieses integrierte Profil ist für jedes FortiGate verfügbar, das von FortiGate Cloud für automatische Updates unterstützt wird, und ermöglicht eine unkomplizierte Update-Automatisierung. Mit diesem Profil werden Firmware-Updates automatisch an allen Wochentagen zwischen 23 Uhr und 2 Uhr (lokale Zeitzone des jeweiligen FortiGates) durchgeführt.

Allgemeine Hinweise zu automatischen Updates und Firmware-Profilen:

Mit den neuen Firmware-Profilen in FortiGate Cloud wird die Verwaltung deiner FortiGate-Geräte noch einfacher und effizienter – du hast die Kontrolle über den Zeitpunkt und Umfang der automatischen Updates und kannst diese optimal an deine Anforderungen anpassen.

FortiGates, die ohne kostenpflichtiges Abonnement mit der FortiGate Cloud verbunden sind (also im kostenlosen Bereich), verwenden derzeit das Profil none. Ab dem 1. November 2024 werden jedoch alle kostenlosen FortiGates automatisch dem latest-patch-Profil zugewiesen.

Hinweis im FortiGate Cloud Portal:

Automatische Updates folgen dem Firmware-Upgrade-Pfad und aktualisieren auf die neueste verfügbare Patch-Version für die aktuell verwendete FortiGate-Firmware (z. B. werden Patch-Versionen automatisch aktualisiert, nicht jedoch Haupt- oder Nebenreleases). Für FortiGates mit einem kostenpflichtigen FortiGate Cloud-Abonnement kann ein Administrator ein benutzerdefiniertes Firmware-Profil erstellen, das eine bestimmte Version für das Upgrade festlegt. Das (none)-Profil reicht aus, um automatische Updates für FortiGates mit FortiGate Cloud-Abonnements zu deaktivieren, es ist jedoch auch möglich, ein Profil zu erstellen, bei dem automatische Updates ausdrücklich deaktiviert sind.

FortiGates, die einer Security Fabric zugeordnet sind, werden nicht für automatische Updates unterstützt. Es ist möglich, einem FortiGate im Security Fabric ein Firmware-Profil zuzuweisen, allerdings wird das Profil nach dem Aktualisieren der FortiGate Cloud-Seite wieder entfernt (dies ist erwartetes Verhalten).

Deaktivierung von automatischen Updates/Firmware-Profilen:
Das Anwenden des neuesten Patches stellt sicher, dass neu entdeckte Schwachstellen den Betrieb deiner FortiGates nicht beeinträchtigen. Fortinet empfiehlt daher, diese Option zu verwenden, auch wenn sie für mit einer gültigen FortiGate Cloud Lizenz deaktiviert werden kann.

Falls du jedoch Updates manuell durchführen möchtes, stehen dir folgende Möglichkeiten zur Verfügung:

• Das (none)-Profil reicht aus, um automatische Updates für FortiGates mit einem FortiGate Cloud-Abonnement zu deaktivieren.
• Alternativ kann ein Profil erstellt werden, in dem automatische Updates ausdrücklich deaktiviert sind.

Für gemanagte FortiGates ohne eine kostenpflichtiges FortiGate Cloud-Subscription (Gratis Version) kann der Administrator die FortiGate so konfigurieren, dass das Management durch die FortiGate Cloud deaktiviert wird.
Du findest im folgendem Artikel eine Anleitung, wie du das FortiGate Cloud Management auf deiner FortiGate deaktivieren kannst:

• Wie kann ich auf der FortiGate das management von der FortiGate Cloud deaktivieren? Shift + Linke Maustaste

edit 04.02.2025 - 4Tinu

Wie kann ich auf der FortiGate das management von der FortiGate Cloud deaktivieren?

Wenn du die FortiGate mit der FortiGate Cloud verbindest, wird die Management Funtkion über die FortiGate Cloud auf deiner FortiGate aktiviert. Falls du keine gültige FortiGate Cloud Lizenz aktiv hast, wird sich deine FortiGate automatisch Updaten. Mehr Infos darüber findest du in diesem Artikel:

• Was bedeutet automatisches Update in der FortiGate Cloud fuer mich? Shift + Linke Maustaste

Konfiguration über das WebGui:

Navigiere über folgendes Menu damit du das Management von der FortiGate Cloud deaktivieren kannst: Security Fabric→Fabric Connectors Nun kannst du das Management über die FortiGate Cloud deaktivieren:

Konfiguration über die CLI:

config system central-management set type none end

Dadurch werden alle Remote-Management-Funktionen der FortiGate Cloud für diese FortiGate deaktiviert, einschliesslich Firmware-Updates durch FortiGate Cloud.
Folgendes funktioniert weiterhin in der FortiGate Cloud:

• FortiCloud Sandbox Funktion. Dies setzt eine gültige Advanced Malware Protection - AMP Lizenz voraus.
• Logdaten werden in die FortiGate Cloud gesendet und können eingesehen werden (Sieben Tage Rotation)

Siehe den Artikel:

• https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-disable-management-tunnel-to-FortiGate/ta-p/348924 Shift + Linke Maustaste

add 04.02.2025 - 4Tinu

Was muss ich beachten nach dem 28.2.2025 mit der FortiGate Cloud?

Wenn du deine FortiGate mit der FortiGate Cloud verbunden hast, wirst du im Januar 2025 folgende Email zugestellt bekommen haben:

Übersetzung des Mails auf Deutsch:

Lieber Kunde,

Wir möchten Dich über eine wichtige Aktualisierung bezüglich der FortiGates informieren, die ohne aktive Abonnements 
bei FortiGate Cloud bereitgestellt wurden.
 
Um die robuste Sicherheitslage Deiner Geräte zu gewährleisten, müssen FortiGate Geräte ohne aktives FortiGate Cloud 
Abonnement ab dem 28. Februar 2025 innerhalb von 7 Tagen nach Veröffentlichung des Patchs auf die neueste 
Firmware-Version aktualisiert werden.

Diese Änderung stellt sicher, dass die Sicherheit, Zuverlässigkeit und Einhaltung der neuesten Funktionen und Updates, 
die von FortiGate Cloud bereitgestellt werden, verbessert wird. 
FortiGate Cloud wird Benachrichtigungen und Aufforderungen zur Aktualisierung anzeigen, wenn neue Patches im Webportal 
verfügbar sind, und die Möglichkeit bieten, das Upgrade-Fenster innerhalb eines 7-Tage-Zeitraums nach Belieben zu 
konfigurieren.
Bitte beachte, dass der Cloud-Zugang und das Hochladen von Logdaten zur FortiGate Cloud eingeschränkt werden können, 
wenn für Geräte ohne gültiges FortiCare keine Aktualisierung durchgeführt wird.

Was bedeutet das für Dich:
* Um einen unterbrechungsfreien Service zu gewährleisten, stelle sicher, dass Firmware-Updates für Geräte ohne Abonnement 
  rechtzeitig innerhalb des 7-Tage-Fensters angewendet werden. Die Auto-Patch-Aktualisierungsfunktion von FortiOS kann 
  verwendet werden, um stets die neuesten Firmware-Patches zu erhalten. 
 
* Für alle Geräte überprüfe den Status Deines FortiGate Cloud Abonnements und die Firmware-Aktualisierungseinstellungen, 
  um sicherzustellen, dass die Geräte auf dem neuesten Stand der Firmware-Patch-Versionen bleiben. 
  Die Erinnerungsfunktion steht nur für Geräte mit aktivem FortiGate Cloud Abonnement zur Verfügung.

Für weitere Details kontaktiere bitte den Kundenservice unter https://www.fortinet.com/support/contact.

Danke für Dein Vertrauen in Fortinet. Wir sind bestrebt, Dir sichere und zuverlässige Dienstleistungen zu bieten.

Mit freundlichen Grüssen,
Dein FortiGate Cloud Team

Bedeutet für dich, wenn du die FortiGate Cloud Funktionen nutzen willst (Log, Sandbox) solltest du bei einem neuen Patch innerhalb von sieben Tagen deine FortiGate upgraden, damit die FortiGate Cloud fehlerfrei funktioniert. Diese Funktion wird ab dem 28.Februar 2025 aktiv.

Falls du nicht das automatische Updaten auf der FortiGate aktiviert hast, solltest du dafür sorgen, dass du innerhalb von sieben Tagen dein System auf den neuesten Patchlevel in deiner GA Linie bringst.

add 04.02.2025 - 4Tinu

FortiGateCloud - Troubleshooting

Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden?

Beispiele:

Invalid Username or Password
FortiCloud Internal Error
HTTP 400

Lösungen:

• Passwort darf maximal 20 Zeichen enthalten
• Port TCP 443 muss offen/verfügbar sein
• FortiGate muss logctrl1.fortinet.com oder globallogctrl.fortinet.net pingen können
• Falls keine Änderung, dann wird FortiGateCloud-Debug empfohlen (Output anschliessend an TAC senden):

Konfiguration über die CLI:

# get # end # diag debug console timestamp enable # diag debug app forticldd -1 # diag debug enable # exec fortiguard-log login

- Falls Fehlermeldung mit HTTP 400, dann wird HTTP-Debug empfohlen:

Konfiguration über die CLI:

# diag debug app httpsd -1

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. Sonderzeichen im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: Erst-Aktivierung immer im Master/Primary -> Aktivierung findet gleichzeitig im Slave/Secondary statt

Wie aktiviere ich den Management Tunnel Status auf der FortiGate?

- Mit foldendem CLI-Befehl:

Konfiguration über die CLI:

# config system central-management # set type fortiguard # end # diag fdsm contract-controller-update # fnsysctl killall fgfmd

- Falls FortiGate länger als 24 Stunden inaktiv ist, muss überprüft werden, ob Port443 offen/verfügbar ist, und via Port443 eine Telnet-Verbindung zu logctrl1.fortinet.com oder globallogctrl.fortinet.net möglich ist

Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal?

• Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint
• FortiGate wird entweder zum globalen oder europäischen FortiCloud-Service hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!
• Falls auf der FortiGate Domain Selection (beim Login) möglich ist, kann man direkt auf den globalen (www.forticloud.com) oder europäischen (europe.forticloud.com) Service gelangen

Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht?

- Mit foldendem CLI-Befehl:

Konfiguration über die CLI:

# execute fortiguard-log login

Wie gehe ich vor, wenn Log-Uploads auf FortiCloud nicht funktionieren?

- Mit folgenden CLI-Befehlen:

Konfiguration über die CLI:

# execute telnet 514 # diag test app forticldd 1 # diag test app miglogd 6 # diag debug app miglogd -1 # diag debug enable

- Um Unterbrüche bei schlechter Netzwerkverbindung zu vermeiden, kann das Time-Out erhöht werden:

Konfiguration über die CLI:

# config log fortiguard setting # set conn-timeout 120 # end

Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden?

1. GUI: System > Feature Visibility, FortiSandbox Cloud einstellen
2. GUI: Security Fabric > Settings, Sandbox Inspection einstellen
3. GUI: Security Profile > AntiVirus, Suspicious Files Only oder All Supported Files einstellen
4. GUI: Policy & Objects > IPv4 Policy, AntiVirus für die entsprechende Policy aktivieren

Was muss ich beim Auto-Backup beachten?

• Auto-Backup entweder Per Session (default: nach 600 Sekunden) oder Per Day
• Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden
• Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung 7 Tage, bei lizenzierten FortiGates hingegen 1 Jahr

Wie gehe ich vor, wenn FortiDeploy nicht funktioniert?

• FortiManager-Einstellungen überprüfen
• Sicherstellen, dass Central Management Settings auf FortiGateCloud eingestellt sind
• Sicherstellen, dass via Port443 auf logctrl1.fortinet.com verbunden werden kann
• Mittels Device Key das Inventory importieren
• FortiGate im FortiManager ausrollen und neustarten, ansonsten:

Konfiguration über die CLI:

# execute fortiguard-log join

Welcher IP Range benutzt die FortiGate Cloud in Europa?

Um eine reibungslose Kommunikation zwischen Deinen FortiGate-Systemen und der FortiGate Cloud (europäische Instanz) sicherzustellen, ist es zwingend erforderlich, dass Du bestimmte IP-Adressbereiche sowie Ports an der Perimeter-Firewall freigibst. Diese Konfiguration stellt die Grundlage für Logging, Konfigurationsmanagement, Analysefunktionen sowie zusätzliche Cloud-Dienste wie die FortiSandbox SaaS dar.

Im Folgenden findest Du die aktuellen IP-Ranges und Portanforderungen für den Zugriff auf die FortiGate Cloud Infrastruktur in der EU-Region, gültig seit dem 03.12.2021.

Für die Kommunikation mit der europäischen Instanz der FortiGate Cloud benötigst Du Zugriff auf folgende IP-Adressbereiche:

• 154.52.10.0/24
• 154.45.6.0/24

Diese IP-Ranges müssen an Deiner Perimeter-Firewall – sofern zutreffend – mit einer entsprechenden Allow-Policy freigegeben werden.

Für die Nutzung sämtlicher Funktionen von FortiGate Cloud sind folgende TCP-Ports erforderlich:

• TCP 80 – HTTP-Zugriff (z. B. Initiale Verbindung / Fallback)
• TCP 443 – HTTPS-Zugriff (API-Kommunikation, UI, Secure Transmission)
• TCP 514 – OFTP (für Logdaten in die Cloud)
• TCP 541 – Management

Diese Ports sollten ausgehend (von Deinen FortiGates) berücksichtigt werden.

Falls Du innerhalb der FortiGate Cloud zusätzlich die FortiSandbox SaaS verwendest, musst Du auch Zugriff auf folgende Subnetze erlauben:

FortiSandbox SaaS – IP-Ranges (EU-Instanz)

• 83.231.212.128/25
• 154.45.1.0/24
• 154.52.11.0/24

Diese Adressbereiche werden für die Integration der Cloud-Sandbox genutzt, insbesondere für Datei-Scans, Threat-Detection und dynamische Analyse in der Cloud.

Wenn Du selbst eine FortiGate-Firewall als Perimeter-Firewall einsetzt, kannst Du anstelle der manuellen IP-Konfiguration auch auf die interne Internet Service Database (ISDB) zurückgreifen. Fortinet pflegt dort einen entsprechenden Eintrag für FortiGate Cloud, den Du komfortabel als Zielobjekt in Deiner Firewall-Policy verwenden kannst – inklusive automatischer Aktualisierung durch FortiGuard.

Historische IP-Ranges (bis 03.12.2021):

Bis zum 03.12.2021 wurden folgende IP-Adressbereiche für die europäische FortiGate Cloud verwendet: 81.201.100.224/24 81.201.101.192/26 62.209.37.64/26 Falls Du noch statische Regeln auf diese Adressen konfiguriert hast, solltest Du sie überprüfen und ggf. entfernen.

Edit 26.05.2025 – Autor: 4Tinu