Adminstration

Device Manager
Policy and Objects
Advanced and Additional configuration
Diagnostic and Troubleshooting

Backup mode adom

* adom somente leitura
* fewer "menos" paineis de gerenciamento
* only scripts can be used from fortimanager to make changes device
* can make changes directly on managed device

external server
LDAP,RADIUS,TACACS and PKI

Diagnostic and troubleshooting

Fortimanager Behing a NAT Device

Fortimanager is operating behing a nat device, by default,Only fortimanager can discover a new device.
Is the FGFM tunnel is down, Only fortiamanager will try restablish the FGFM tunnel.
This because, by default, the nated fortimanager ip address is not configured on fortigate.

How can fortigate annouce iself nated fortimanager, or try to re-estabilish the FGFM tunnel if its down?

You can configure the fortimanager NAted ip address on fortigate under central management!

Configuration. This allow fortigate to annouce itself to fortimanager and try t ore-estabilish the FGFM
tunnel, if it is torn down. Configuring fortimanager nated ip address on fortigate allow both fortimanager
and fortigate to re-estabilish FGFM tunnel. Also if you configure the fortimanager nated.
Question:
If fortimanager is behind a nat device, with one these steps is recommend?
R: configure the Nated IP address of fortimanager with the set mgmt-addr command under the
Config system admin settings.

What does the fgfm-sock-timeou command do?

It sets the idle time out setting for communication between fortimanager and fortigate.

Fortigate Behing a NAT device

Both Devices Behing a NAT device

• Fortimanager can Discovery through a nated fortigate address

• Clicking the refresh icon the connection summary widget forces a one time connection attempt

If a fortimanager nated ip address is configured on fortigate then:

• Fortigate can announce itself to fortimanager

• If the connection is torn down, Only fortigate attempts t ore-estabilsh the connection.

FGFM keepalive messages

Only fortigate sends a keepalive message to fortimanager, regardless of whitch device
Established the FGFM tunnel.
Fortigate also sends a configuration checksum to confirm synchonization as a part the kepalive message.

Fortimanager Always tries to ensure connectivity with the managed fortigate:

• Set commands, needed to apply the configuration changes
• Unset commands, to recover the configuration changes

When appying changes fortigate

• Applies the set commands, using memory Only, nothing whitten to a configuration
• File
• Testes the FGFm connection to the fortimanager

Havendo falha física do dispositivo , e se for necessário subsitui-lo, é necessário alterar o serinal
number.. o serial number substituiu o dispositivo no fortimanager

Replacement fortigate should not

Contact fortimanager before.

Execute device replace sn

MANAGER DEVICE STATUS

• Synchronized / Not modified / Auto-Updat A última entrada de configuração do histórico de revisão

(seja um instalar, recuperar ou atualizar automaticamente) está alinhado com a configuração do
FortiGate.
Pending / Modified A configuração do FortiGate é diferente do FortiManager e está com instalação
pendente operação para retornar a um estado inalterado. A operação de instalação criará um novo
histórico de revisão.

Out-of-sync: a última entrada de configuração do histórico de revisão não corresponde à configuração no

FortiGate devido a alterações de configuração feitas localmente no FortiGate ou uma falha de instalação
parcial anterior. Isto é recomendado que você execute uma recuperação do FortiManager.

Conflict: Se as alterações são feitas localmente no FortiGate e não são recuperadas, mas as alterações
também são feito do FortiManager, o status entra em estado de conflito. Dependendo das mudanças
de configuração, você pode recuperar a configuração ou instalar as alterações do FortiManager.

unknown: O FortiManager não é capaz de determinar o status de sincronização porque o FortiGate está
não alcançável ou devido a uma falha parcial na instalação. É recomendável que você execute uma
recuperação do FortiManager.

---------------------------------------------------------------------------------------------------------

Unmodified configuração do FortiGate no banco de dados de nível de dispositivo está em sincronia

com a revisão atual em o histórico de revisão. Isso significa que não há alterações no banco de dados do
dispositivo e nada para instalar.

• Modified: Se o dispositivo for configurado no Gerenciador de Dispositivos, o banco de dados do

dispositivo é alterado e o o status das configurações do dispositivo é marcado como Modificado, porque
não corresponde ao histórico de revisão desse dispositivo Se as alterações forem instaladas, ele colocará
o dispositivo de volta no estado inalterado.

• Auto-Updated: : As alterações de configuração são feitas diretamente no FortiGate e têm

automaticamente atualizou o banco de dados do dispositivo

The diagnose dvm device list command provides the list of all devices or VDOMs for managed and
unregistered devices. It also provides information, such as serial number, connecting IP, firmware, HA
mode,
and statuses for device-level and policy package

FGFM SESSION LIST AND REFRESH CONNECTION

* connecting IP address
*uptime
* link-levl addresses
You can use the diagnose fgfm session-list command to verify the FGFM tunnel uptime between
FortiManager and FortiGate devices, display the connecting IP addresses of all managed devices, and
show
the link-level addresses assigned by FortiManager to FortiGate devices for management traffic.

Quick install

Does not provide:

install preview.

Conditions for revision history and trouleshooting

Fortimanager creates a revision history when:

* fortigate is added to fortimanager
*device changes are intalled
* a local change on fortigate causes an auto update
*scripts run directly on remote devices also cause auto updates and create a revision hisotory
*you revert to previon and install the changes

Explicando a revision history

https://docs.fortinet.com/document/fortimanager/6.0.3/administration-guide/42045/adom-revisions

https://docs.fortinet.com/document/fortimanager/6.0.3/administration-guide/26761/managing-
configuration-revision-history

O repositório de histórico de revisão armazena todas as revisões de configuração de um dispositivo.

Você pode ver o histórico da versão, ver as configurações e alterações, importar arquivos de um
computador local, comparar diferentes revisões, reverter para uma revisão anterior e baixar arquivos
de configuração para um computador local.
Se a configuração do dispositivo FortiGate gerenciado for modificada diretamente do FortiGate, o
FortiManager compara a soma de verificação com o histórico de revisão mais recente da configuração
em execução no FortiGate e cria um novo histórico de revisão em seu repositório. Em seguida, ele
atualiza o banco de dados FortiManager, que inclui nível de dispositivo configurações apenas. A política e
os objetos são atualizados usando o assistente Importar Política. Se as alterações forem feitas do
FortiManager para o dispositivo gerenciado, ao executar a instalação, ele irá compare a soma de
verificação com o histórico de revisão mais recente do banco de dados FortiManager e crie um novo
Histórico de Revisão. Então, quando uma mudança na configuração é detectada, FortiManager cria um
novo histórico de revisão e o marca com uma versão ou número de identificação. Selecione o dispositivo
e, no widget Configuração e instalação, você pode ver, baixe ou compare as diferenças entre as revisões.
O histórico de revisão também permite que você visualize o instalação realizada a partir do
FortiManager.

When the installation is done from FortiManager, the installation log shows the name of the
administrator who
made the change. When an install is performed, the Installation column is automatically filled with
Installed
entry. These are the revisions for which you can view install logs.

TCL scripts are not run via the FGFM tunnel like the CLI scripts. They use ssh and required SSH
authentication to work.

Observe que os scripts TCL não são executados através do túnel FGFM como os scripts CLI. Scripts TCL
usam SSH para encapsular por meio do FGFM e exigem autenticação SSH para fazer isso. Se o
FortiManager não usa o correto credenciais administrativas no Gerenciador de dispositivos, o script TCL
falhará. Os scripts CLI usam o túnel FGFM e o O túnel FGFM é autenticado usando os números de série
FortiManager e FortiGate.

Scripts can be run on:

*device database
*policy package, adom database
*remote fortigate direcly (atraves da CLI)

Este diagrama mostra as interações FortiManager-FortiGate. Como mostra este slide,

quando você executa um instalação do FortiManager para o FortiGate, o FortiGate cria um novo histórico
de revisão.

Se você executar um script em um banco de dados de dispositivo ou em um pacote de políticas, você

deve executar uma instalação no gerenciado dispositivos. Se você executar um script diretamente em
um dispositivo remoto, ocorre uma atualização automática, cria uma nova revisão e atualiza o banco de
dados em nível de dispositivo.

Se você executar uma recuperação do FortiManager ou ocorrer uma atualização automática, o

FortiManager cria uma nova revisão história. Se as alterações estiverem relacionadas a políticas ou
objetos, você deve executar o assistente Importar Política para importar políticas e objetos no banco de
dados ADOM.

Os erros comuns e as causas comuns de falha dos scripts são:

• command parse error:Não foi possível analisar esta linha do seu script em um FortiGate CLI válido
comando. Isso geralmente é causado por palavras-chave digitadas incorretamente ou um formato de
comando incorreto.

• unknown action: geralmente esta mensagem indica que a linha anterior do script não foi executada
fazendo com que os comandos CLI a seguir não sejam executados adequadamente.

Dispositivo <nome> falhou-1: Isso geralmente significa que há um problema com o final do script. O
<name> é o nome do FortiGate no qual o script é executado. Se um script não tem instrução final ou
essa linha contém um erro, você pode ver esta mensagem de erro. Você também pode ver esta
mensagem se o FortiGate a unidade não foi sincronizada ao implantar sua configuração atual.

POLICIES AND OBJECTS MANAGEMENT

All objects in an ADOM are managed by a single database that is unique to that ADOM. Objects inside
the
database include firewall objects, security profiles, users, and devices.

Policy search and filter

three types

* simple search
*columm filter
*find and replace

All objects in an ADOM are managed by a single database unique to the ADOM.

Many objects now include

the option to enable dynamic mapping. You can use dynamic objects to map a single logical object to a
unique definition per device. You can dynamically map common features such as addresses, interfaces,
virtual IPs, and IP pools. A common example is a firewall address. You may have a common name for an
address object, but have a different value depending on the device it is installed on.
On FortiManager, it is possible to delete a used object.

Se um objeto em uso for deletado do fortimanager, ele ira subsitituir o objeto para um objeto none!

A ilustração neste slide mostra o status do pacote de políticas:

• Imported: Indica que um pacote de políticas foi importado com sucesso para um dispositivo
gerenciado

• Installed: indica que um pacote de políticas foi instalado em um dispositivo gerenciado

• Never installed: o pacote de políticas nunca foi criado, portanto, nunca foi importado para um
dispositivo gerenciado

• Modifield: a configuração do pacote de políticas é alterada no FortiManager e as alterações ainda não

foram enviadas para o dispositivo gerenciado

• Out-of-sync o pacote de política mais recente não corresponde às políticas e configuração de objeto no
último histórico de revisão por causa das mudanças de configuração feitas localmente no FortiGate ou
em um parcial falha de instalação. Você deve executar uma recuperação e, em seguida, importar as
políticas do FortiManager.

• Conflict: Se você fizer mudanças na configuração da política localmente no FortiGate e não importar as
mudanças para o pacote de políticas, e você também fez as mudanças no FortiManager, o status entra
em estado de conflito. Dependendo das mudanças de configuração, você pode importar um pacote de
políticas ou instalar as mudanças do FortiManager.

• unknown: FortiManager não consegue determinar o status do pa

cote de políticas. Você pode resolver a maioria dos problemas de status de política importando um
pacote de políticas ou instalando um pacote de políticas.
por padrão multiplos admin podem logar na mesma adom ao mesmo tempo.
isso devido ao workspace mode estar desativado.

O bloqueio de política está disponível apenas no modo normal.

Vocês pode usar o workflow de trabalho para controlar a criação, configuração e instalação de políticas e
objetos de firewall.

A aprovação é necessária antes que as alterações possam ser instaladas em um dispositivo.

No modo de fluxo de trabalho, os painéis relacionados à configuração do FortiGate são somente leitura
no início. Para criar um novo fluxo de trabalho sessão de modo, você deve bloquear o ADOM primeiro,
semelhante aos espaços de trabalho.

Quando o Admin A bloqueia o ADOM, um ícone de cadeado verde é exibido. O administrador A tem
acesso de leitura e gravação e cria um nova sessão no painel Política e objetos no ADOM.

O administrador A faz alterações na configuração do dispositivos gerenciados e envia a solicitação de

aprovação ao Admin B. Este envio de aprovação automaticamente desbloqueia o ADOM.

O Admin B deve ter permissão de Leitura / Gravação para aprovação do fluxo de trabalho. Admin B então
bloqueia o ADOM e tem acesso de leitura e gravação.

O Admin B abre a lista de sessões e tem a opção de aprovar, rejeitar, descartar ou visualizar diferenças
nas alterações enviadas pelo Admin A.

CREATING NEW WORKFLOW SESSION

DIAGNOSTIC AND TROUBLESHOOTING
FortiManager está operando por trás de um dispositivo NAT. Por padrão, apenas O FortiManager pode
descobrir um novo dispositivo.

Se o túnel FGFM ficar DOWN, apenas o FortiManager tentará estabelecer o túnel FGFM. Isso ocorre
porque, por padrão, o endereço IP do FortiManager com NAT não está configurado.

Você pode configurar o endereço IP FortiManager NATed no FortiGate sob gerenciamento central
configuração. Isso permite que o FortiGate se anuncie ao FortiManager e tente restabelecer o FGFM
túnel.

Configurar o endereço IP NAT do FortiManager no FortiGate permite que o FortiManager e FortiGate

para restabelecer o túnel FGFM.

é altamente recomendável que você configure o Endereço IP do FortiManager NAT nas configurações de
administração do sistema FortiManager se o FortiManager for atrás de um dispositivo NAT.

O FortiGate está operando por trás de um dispositivo NAT. O FortiManager pode descobrir o FortiGate
através do Endereço IP do FortiGate com NAT.

O FortiGate também pode se anunciar ao FortiManager. E se o túnel FGFM for interrompido?

Se o túnel FGFM ficar DOWN, apenas o FortiGate tentará restabelecer a conexão. O FortiManager trata o
FortiGate com NAT como um dispositivo inacessível e não tenta restabelecer o túnel.

E se ambos os dispositivos - FortiManager e FortiGate - estiverem atrás de um dispositivo NAT?

Então, o dispositivo FortiGate é descoberto pelo FortiManager através do endereço IP do FortiGate
NATed.

O FortiManager não tentará restabelecer o túnel FGFM para o Endereço IP do FortiGate NATed, se o
túnel FGFM ficar DOWN Se o endereço IP do FortiManager NAT for configurado no FortiGate sob
configuração de gerenciamento central, o FortiGate tentará restabelecer o Túnel FGFM, se for destruído.

As mensagens Keepalive, incluindo as somas de verificação de configuração, são enviadas do FortiGate

em configurado intervalos. As mensagens também mostram a versão IPS do dispositivo FortiGate. A
mensagem keepalive inclui: • fgfm-sock-timeout:

O tempo máximo de ociosidade do soquete de comunicação FortiManager ou FortiGate, em segundos

• fgfm_keepalive_itvl: O intervalo em que o FortiGate enviará um sinal de manutenção de atividade

para um Dispositivo FortiManager para manter o protocolo de comunicação FortiManager ou FortiGate
ativo

RECOVERY LOGIC

Quando uma instalação é realizada do FortiManager para o FortiGate, o FortiManager sempre tenta
garantir conectividade com o FortiGate.

Se a conexão falhar, o FortiManager tenta recuperar o FGFM túnel desabilitando o comando que causou
a queda do túnel.
FortiManager saves the configuration revisions of a managed device. But what happens if you need to
replace
the standalone managed device because of hardware failure or RMA?

You can replace the faulty standalone device by manually changing the serial number of the faulty device
to
the serial number of the replacement device on FortiManager.

Note that the replacement FortiGate should not contact FortiManager before the execute device
replace sn <devname> <serialnum>
TROUBLESHOOTING

E se o FortiManager estiver demorando muito para concluir uma tarefa? Você pode usar o comando proc
list pode ser usado para identificar qualquer processo ou tarefa que esteja travado.

Uma tarefa paralisada pode impedir que outras tarefas subsequentes sejam processado.

Se você estiver experimentando um comportamento incomum no FortiManager, verifique se há

problemas com a integridade do banco de dados.

back up:
*all devices
* global databse
* flash configuration

supports FTP,SCP, and SFTP

templates
* system templates
*threat weight templates
*certificate templates