Межсетевой экран Fortigate

Первичная инициализация FortiGate

Начальные настройки

После установки FortiGate-VM на виртуальном сервере выполните следующие действия:

Подключите FortiGate-VM к сети так, чтобы он мог обрабатывать сетевой трафик и проверять подлинность лицензии.
Установите лицензию с помощью полученного от Cloud.ru токена.
Подключитесь к веб-интерфейсу FortiGate-VM через браузер и сконфигурируйте политики безопасности.

Настройка сети

При первом запуске доступ к FortiGate-VM можно получить через консоль.

Чтобы получить доступ к веб-интерфейсу FortiGate-VM, настройте один сетевой интерфейс FortiGate с правами администратора.

Настройка сетевых интерфейсов

Среда виртуализации или гипервизор включают в себя окно гостевой консоли, что позволяет получить доступ к консоли FortiGate, то есть к консольному порту на устройстве FortiGate. Чтобы получить доступ к графическому интерфейсу, настройте FortiGate-VM port1 с правами администратора.

Чтобы настроить IP-адрес port1:

В строке ввода в консоли FortiGate-VM введите имя пользователя admin. Нажмите Enter.

Примечание
По умолчанию у этой учетной записи нет пароля.

Используя команды CLI, настройте IP-адрес и сетевой интерфейс port1:

config system interface
  edit port1
    set mode static
    set ip 192.168.0.100 255.255.255.0
  next
end

Выполните настройку остальных сетевых интерфейсов по аналогии с шагом 2.
Для настройки шлюза по умолчанию введите следующие команды CLI:
```
 config router static
    edit 1
      set device port1
      set gateway 192.168.0.1
   next
end
```
Используйте IPv4-адрес для настройки шлюза по умолчанию. FortiGate-VM использует доступ в интернет для подключения к FortiGuard Distribution Network (FDN) и проверки подлинности лицензии.
Чтобы настроить DNS-серверы, используйте следующие команды CLI:
```
 config system dns
    set primary 100.125.13.19
    set secondary 8.8.8.8
end
```
По умолчанию в облаке Cloud.ru используются DNS-серверы 100.125.13.19 и 8.8.8.8.

Установка лицензии FortiGate-VM с помощью токена

Установка лицензии в FortiGate-VM производиться с помощью токена, который вы получите по email после оформления заявки. Токен устанавливается командами в CLI, доступ к которому можно получить в консоли управления облаком или через веб-интерфейс FortiGate.

Чтобы добавить токен через CLI:

Убедитесь, что FortiGate-VM может подключиться к fortinet.com.
```
# exec ping directregistration.fortinet.com
```

Добавьте токен в виртуальную машину.

# exec vm-license <License File Token>

This operation will reboot the system !
Do you want to continue? (y/n)

Виртуальная машина установит лицензию. Возможные коды ошибок при выполнении этой команды приведены в таблице.

Код	Описание
1	Ошибка на сервере FortiCare (runtime error).
57	Недействительный токен лицензии.
58	Токен лицензии уже используется.
60	Ошибка при запросе к серверу FortiCare.

При возникновении ошибок обратитесь в техническую поддержку.

Выполните принудительную перезагрузку системы с помощью команды exec reboot.
Убедитесь, что токен был добавлен.
```
diag debug vm-print-license
```

Внимание

В случае изменения конфигурации оборудования необходимо повторно принудительно перезагрузить систему с помощью команды exec reboot.

Проверка статуса лицензии

Проблемы с лицензией могут возникать по нескольким причинам, например:

Виртуальная машина FortiGate-VM не может подключиться к серверу FortiGuard из-за сетевых настроек.
Истек срок действия лицензии, это может касаться и тестовой лицензии.
Другой эксземпляр FortiGate-VM использовал эту же лицензию для подтверждения на сервере FortiGuard.

Чтобы проверить статус лицензии FortiGate-VM, используйте следующие команды CLI на FortiGate-VM:

# get system status

Version: FortiGate-VM64-KVM v7.0.0,build0066,210330 (GA)
...
Serial-Number: FGVM08**********
...
License Status: Valid
License Expiration Date: 2022-08-18
VM Resources: 1 CPU/1 allowed, 3962 MB RAM
...

Параметр License Status отображает статус лицензии. Параметр VM Resources обозначает количество процессоров, доступных согласно лицензионным ограничениям (в данном примере: 1 allowed) и использованных клиентом (в данном примере: 1 CPU).

Статус лицензии может принимать следующие значения:

Статус	Описание
Действительная (Valid)	FortiGate может подтвердить подлинность лицензии через FortiManager или FDS.
Предупреждение (Warning)	FortiGate не может подтвердить подлинность лицензии через FortiManager или FDS. Проверяется количество дней, в течение которых лицензия непрерывно находится в статусе Warning. Если прошло менее 30 дней, то статус не изменяется.
Недействительная (Invalid)	FortiGate не может подтвердить подлинность лицензии через FortiManager или FDS. Проверяется количество дней, в течение которых лицензия непрерывно находится в статусе Warning. Если прошло 30 и более дней, то статус изменяется на Недействительная (Invalid). Межсетевой экран прекращает работу.
В ожидании (Pending)	Временный статус, который присваивается, пока FortiGate пытается проверить подлинность лицензии.

Для получения детальной информации о статусе лицензии используйте следующую команду:

# diagnose hardware sysinfo vm full

UUID:     abbe****************************
valid:    1
status:   1
code:     200
warn:     0
copy:     0
received: 4604955037
warning:  4600905081
recv:     202009152207
dup:

Интерпретация параметров приведена в таблице.

Поле	Значение и описание
Valid	0 — недействительная (Invalid) 1 — действительная (Valid)
Status	0 — запускается (Startup) 1 — успешно (Success) 2 — предупреждение (Warning) 3 — ошибка (Error) 4 — недействительная копия (Invalid Copy) 5 — срок действия тестовой лицензии истек (Eval Expired)
Code	2xx, 3xx — успешно (Success) 200 — действительная (Valid) 202 — одобренная (это корректный код ответа) 4xx — ошибка (Error) 400 — срок действия истек (Expired) 401 — дубликат лицензии (Duplicate) 5xx — предупреждение (Warning) 500 — предупреждение (Warning) 502 — недействительная (отсутствует подключение к FDS) 6xx — срок действия тестовой лицензии истек (Evaluation license expired) Другой код — Ошибка (Error)

Поле

Значение и описание

Valid

0 — недействительная (Invalid)

1 — действительная (Valid)

Status

0 — запускается (Startup)

1 — успешно (Success)

2 — предупреждение (Warning)

3 — ошибка (Error)

4 — недействительная копия (Invalid Copy)

5 — срок действия тестовой лицензии истек (Eval Expired)

Code

2xx, 3xx — успешно (Success)

200 — действительная (Valid)

202 — одобренная (это корректный код ответа)

4xx — ошибка (Error)

400 — срок действия истек (Expired)

401 — дубликат лицензии (Duplicate)

5xx — предупреждение (Warning)

500 — предупреждение (Warning)

502 — недействительная (отсутствует подключение к FDS)

6xx — срок действия тестовой лицензии истек (Evaluation license expired)

Другой код — Ошибка (Error)

Наиболее часто встречающиеся комбинации параметров приведены ниже.

Параметры	Описание
valid: 1; status: 1; code: 200	Лицензия действительная, и система нормально функционирует.
valid: 1; status: 4; code: 401	Лицензия действительная, но возможно запущена на экземпляре-дубликате.
valid: 0; status: 2; code: 502	Система не может подключиться к FortiGuard.
valid: 0; status: 3; code: 400	Лицензия недействительная.
valid: 0; status: 3; code: 0	У виртуальной машины нет лицензии.

Также вы можете получить информацию о лицензии и доступной для вас функциональности веб-интерфейсе FortiGate:

Подключение к интерфейсу

Для подключения к графическому интерфейсу FortiGate-VM через веб-браузер введите внешний IP-адрес интерфейса Fortigate-VM в адресной строке. По умолчанию административный доступ разрешен только по HTTPS, поэтому необходимо указать https:// перед IP-адресом.

После первого входа в систему рекомендуется сделать следующие настройки:

Настроить часовой пояс для корректного отображения времени в журнале пакетов:
Отключить все протоколы кроме HTTPS в настройках внешнего интерфейса:
Изменить порт для HTTPS-подключения со значения по умолчанию:

Была ли статья полезной ?

Предыдущая статья

Развертывание FortiGate в Enterprise

Следующая статья

Решение проблем