Fortinet hat eine recht weit fortgeschrittene IPv6 Implementierung.

Leider ist es aber noch nicht möglich, einen IPS Sensor auf einer Policy für IPv6 zu definieren. Dazu gibt es aber eine Umgehungslösung.

Sie müssen einfach eine Interface Policy auf der Command Line erstellen:

config firewall interface-policy6
    edit 1
        set interface "port5"
        set srcaddr6 "all"
        set dstaddr6 "all"
        set service6 "HTTP"
        set ips-sensor-status enable
        set ips-sensor "WEB-ips"
    next
end

Auf diese Weise erstellen Sie einen Sensor pro Interface und nicht pro Policy. Auf alle Fälle viel besser als gar nichts, richtig?

Wenn Sie einen Fortigate HA Cluster konfigurieren, erscheint die Option: ”Reserve Management Port for Cluster Member”. Ist diese Option aktiv, kann ein Interface ausgesucht werden.

Mit dieser Option haben Sie die Möglichkeit, jedem Cluster Member eine IP Adresse zuzuweisen, die nicht synchronisiert wird. Speziell hilfreich ist dieses Feature in einem “virtual Cluster”, mit unterschiedlichen Master und Subordinate Geräten. So kann auch sehr einfach die CPU und Memory Auslastung pro Gerät abgefragt werden.

Auf dem GUI können Sie das meiste konfigurieren, auf der Kommandozeile gibt es aber noch ein paar Möglichkeiten mehr.

Zuerst schalten Sie das Management Interface ein:

config system ha
     set ha-mgmt-status enable
     set ha-mgmt-interface wan2
     set ha-mgmt-interface-gateway 10.11.101.100
end

Dann weisen Sie jedem Cluster Mitglied eine eigene IP Adresse zu:

config system interface
	edit wan2
	set ip 10.11.101.101/24
	set allow access https ping ssh snmp
end

config system interface
	edit wan2
	set ip 10.11.101.102/24
	set allow access https ping ssh snmp
end

Das war’s. Nun können Sie auf jedes Gerät in einem Cluster individuell zugreifen.

Fortigate beinhaltet einen mächtigen Diagnose Bereich in ihren Firewalls. Ein ganzer Zweig startet mit

diagnose oder kurz diag

Ein wichtiger Befehl ist:

diagnose sys top [refresh] [anzahl prozesse]

Dieser Befehl zeigt wie sein Verwandter ‘top’ auf Unixoiden System die aktiven Prozesse. Optional können Sie angeben, wie häufig die Anzeige erneuert werden soll und wie viele Prozesse maximal angezeigt werden sollen.

Das Resultat von ‘diag sys top‘ sieht bei Fortigate in etwa so aus:

Run Time:  1 days, 11 hours and 5 minutes
0U, 2S, 97I; 440T, 124F, 138KF
          newcli    22601      R       1.1     3.2
            sshd    22593      S       1.1     2.5
          ospf6d       42      S       0.1     0.5
       ipsengine      355      S <     0.0    29.8
          httpsd       81      S       0.0     4.3
         cmdbsvr       20      S       0.0     4.3
          httpsd       90      S       0.0     4.2
          httpsd       40      S       0.0     3.6
           fgfmd       78      S       0.0     3.2
       scanunitd      639      S <     0.0     3.2
          newcli    22597      S       0.0     3.2

Die Linie ‘Run Time’ ist ja noch ziemlich selbsterklärend. Die 2. Linie ist schon schwerer zu verstehen.

Also, die Linie mit 0U, 2S, 97I … bedeutet

U – Userspace CPU Belastung in %

S – CPU Belastung in % mit System Prozessen (Kernel)

I – CPU idle (untätig) in %

Die 2. Hälfte der Linie informiert über die Memory Auslastung:

440T – wir haben ein Total von 440MB Hauptspeicher

124F – es sind immer noch 124MB Hauptspeicher frei

138KF – die Menge der verwendeten Shared Memory Pages

Die nachfolgenden Linien wie ‘newcli 22601 R 1.1 3.2‘ bedeuten:

newcli – der Name des Prozesses

22601 – die Prozess ID

R – Running, kann aber auch S sein, wie sleeping

1.1 – dieser Prozess verwendet 1.1% CPU

3.2 – dieser Prozess verwendet 3.2% Hauptspeicher

Wenn Sie wissen möchten, welche Befehle auf der Fortigate Firewall auf der Befehls Zeile möglich sind, loggen Sie sich via SSH ein und tippen Sie einfach den Befehl:

tree

und Sie erhalten die gesamte Struktur aller möglichen Befehle.