Fortimanager 7.4 Administrator Flashcards
1
Q
Vad är en ADOM?
A
Det är en grupp där enheter har lagts till för att manageras från FortiManager
Administrative domain
2
Q
Vad gör Advanced mode när det gäller ADOMs?
A
Det tillåter att VDOMs läggs till i en ADOM
3
Q
Vilken användare har full kontrol över alla ADOMs?
A
Super_user
Andra Admin konton kan knytas till ADOMs
4
Q
Vilken funktion försvinner i FortiManager när man kopplar FortiAnalyzer till den för att manageras?
A
Advanced mode på ADOMs
5
Q
Kan en FortiAnalyzer som ligger i flera ADOMs ha funktioner mellan dem?
A
Nej
ADOMs är fortfarande separata från varandra
6
Q
FortiManager kan ta sig på en roll av en annan produkt. Vilken?
A
FortiAnalyzer.
FortiManager med FortiAnalyzer funktioner
7
Q
Hur många loggar per sekund kan en FortiManager som har FortiAnalyzer funktioner hantera?
A
150 loggar per sekund
8
Q
Från och upp till hur många loggar per sekund kan en dedikerad FortiAnalyzer hantera?
A
Börjar på 500 loggar per sekund upp till 150 000.
9
Q
En FortiManager med aktiverad FortiAnalyzer-funktion saknar stöd för en funktion. Vilken?
A
HA
10
Q
Var i en nätverkstopologi är det “best practice” att lägga en FortiManager?
A
Bakom en brandvägg
+Att bara tillåta nödvändiga portar för managern
11
Q
Vad är skillnaden på en Fortimanager som jobbar i “Air Gap Mode” jämfört med en som jobbar i “Cascade Mode”?
A
Cascade Mode = nätverksansluten och kan hierarkiskt hantera flera FortiManager-enheter
Air Gap Mode = isolerad från nätverket och kräver manuell import/export av konfigurationer för att hantera säkerhetspolicyer i känsliga miljöer.
12
Q
Hur ser topologin ut i Cascade Mode?
A
En huvud FortiManager har internet access och har underliggande FortiManagers som tar emot uppdateringar från den.
Huvud FortiManagern tar emot uppdateringar från en FortiGuard servern.
13
Q
Hur ser topologin ut i Air Gap Mode?
A
En primary-FortiManager har internet access och är inte kopplad till några underliggande FortiManagers.
(Updates till resterande Fortimanagers får importeras manuellt)
14
Q
Vad är det enda kravet i initial setup wizard?
A
Konfigurera SSO med FortiCare
Eller importera entitlement fil om det inte finns internet access
15
Q
Vad gör “service access - FortiCare Updates?”
A
Tillitåter FortiManager att svara på förfrågningar från managerade enhter om t.ex efterfrågan av uppdateringar.
16
Q
Vilken formatering har texten vid API-anrop till och från FortiManager?
A
JSON RPC Standard (JSON API)
17
Q
Vilka enheter tillåter ADOMen konfigurerad som “Fabric?”
A
Tillåter flera typer av enheter att manageras samtidigt.
ex. (ADOM type Fortigate tillåter endast Fortigates)
18
Q
Måste enheterna i ADOM:en matcha ADOD:ens firmware?
A
Nej, men rekommenderas att ADOM:en har samma firmware som enheterna.
19
Q
Vad behöver en admin user för rättighet för att kunna konfa FortiManager?
A
Read/write på rpc-permit
20
Q
Vad skiljer “operation mode normal” och “operation mode backup” i Fortimanagern?
A
Normal mode(default) - Devices kan confas både via FMG och direkt via enheterna.
Backup mode - Konfigureering sker endast direkt på managerade enheter
I backup används managern endast för revisionskotroll och tracking
21
Q
Om man vill konfa en ADOM i backup mode så används vilken metod?
A
Script
22
Q
Vad skiljer System admin och restricted admin?
A
System admin kan konfa allt, men även skräddarsy för admin profiler.
Restricted admin tilldelas rättigheter till specifika securtity profiles (IPS, Web Filter & App Control) baserat på tilldelade ADOMs.
23
Q
Vilka tre vanliga parametrar kan man lägga på ett admin konto?
A
Access till specifika ADOMs
admin profiler (system/restricted)
Trusted hosts
24
Q
Vilka tredjepartsprotokoll stöds för hantering av användar/administratörkonton?
A
LDAP, RADIUS, TACACS+ & PKI
25
Vad skiljer de tre workspace metoderna?
(All-ADOMs, Per-ADOM, Workflow(All ADOMs)
Workspace (All ADOMs) - låser alla ADOMs
Workspace (Per-ADOM) - låser den ADOMs som görs ändringar i
Workflow (All ADOMs) - låser alla ADOMs samt kräver revidering och autentisering från super Admin
| Finns även Per-Policy lock
26
Vad kan man låsa utöver ADOMs?
Specifika managerade enheter, policypaket & objekt.
27
Vilka metoder finns för att låsa upp ADOMs mm...
Manuell upplåsning eller logga ut från FortiManager
28
Kan olika firmware i ADOMs och tillhörande enheter skilja?
Ja.
7.2 funkar mellan 7.0 och 7.4
ex. 7.4 funkar med 7.2
| Är rekommenderat att inte mixa firwares i ADOMs
29
När man uppdaterar FMG kommer även ADOMen att uppdateras?
Nej
30
Uppdateras managerade enheter i en ADOM om ADOMen uppdateras?
Nej.
31
Vilken firmware rekommenderas att uppdateras först, ADOMens eller enheternas?
Enheternas.
32
Vad försvinner vid migrering av enheter mellan ADOMs?
Policys och objekt.
| Behövs importas till enheterna i nya ADOMen.
33
Vad backas inte up när man gör en backup på FortiManager?
Loggar, FortiGuard objekt & sparade firmware images.
34
Vilka protokoll kan användas vid backup?
FTP, SCP & SFTP
35
Vid vilka två typiska tillfällen vill man göra en backup på Fortimanagern?
Vid migrering till ny FMG-modell eller vid felsökning.
| System settings migreras ej.
36
Vad händer med en FortiManager i offline mode?
Anslutning till enheter stryps för att kunna göra ändringar i FortiManagern utan att påverka enheter eller för felsökning.
37
Vad används provisioning template till?
För att skapa profiler med device-level settings.
38
Vad används system templates till?
Standardisera och förenkla konfigurationen av flera FortiGate-enheter genom att skapa och tillämpa gemensamma inställningar.Administrativa inställningar för managerade enheter.
39
Till vad används install wizarden vid device registration?
Installera ändringar/ny konf på device settings eller policys på managerade enheter.
## Footnote
Det kan även vara att admins gör en preview på ändringar innan ändringar görs.
40
Vilka två metoder finns det för att lägga till en enhet i fortimanagern?
Add device wizard från FMGn.
Förfrågan från blivande managerad enhet
| Kan göras både med helt nya enheter och redan konfade enheter
## Footnote
Offline enheter kan också läggas till.
41
Nya enheter har ofta en "call home" konfiguration. Vad innehåller denna?
Minimal konf för att en fortigate ska kunna nå fortimanager.
| Kan läggas till en av lokal tekniker under installation.
42
Vad importeras i "import configuration" under add wizarden.
Följande blir importerat: Interface Mapping (Namn på interface) & policy DB objekt.
| Dessa läggs till i ADOMens DB.
43
Vilka två metoder finns det för att lägga till en enhet till Fortimanager?
Från Fortimanager eller via en request från supporterad enhet.
44
Vilken ip-adress ska man ange när man använder device discovery från fortigaten?
Fortimanagers management interfacets ip.
45
Vad innebär att importera settings per-platform?
Man importeras settings så som interface konf till alla fortigate av vald modell. Ex 40F.
| Per-plafrom = per-model, per-device = valda enheter
46
Fortimanager kan pusha normaliserade policies på olika enheters olika interface med hjälp av vad?
(ex. alla 40Fs port 2 ska vara WAN)
Per-device/per-platform mapping.
47
På vilket sätt skiljer sig interface när de imoprteras till en lokal Fortigate från Fortimanager ?
Importerade interface kommer inte ha samma namn som de har i Fortimanagern.
| Detta kallas dynamic mapping.
48
Vad innebär en model-device?
En förkonfigurerad enhet som ännu inte anslutits till Fortimanager.
49
Vilka två metoder finns det att länka en model-device till en riktig enhet?
Serienummer & pre-shared key
50
Vart hamnar enheten när man använder psk, respektive serienummer för addering av denna.
Serienummer = pre-staged ADOM
PSK = Root ADOM
## Footnote
Även om man använde serinummer måste man skriva in en "psk". spelar dock ingen roll vad du skriver, den kommer endast gå på serienr för addering.
51
Vad är en device blueprint?
Görs under add device för att underlätta konfigurering av policy packages, pre-run templates etc... i nya managerade enheter.
52
Vad behöver göras i Fortigate för att kunna göra en request till Fortimanager för att bli managerad?
Aktivera central management i fabric connectors.
## Footnote
Har man credetials till FMG så kan man acceptera requesten direkt från FGT.
53
Vilken Fortigate-serie supporterar chassi management från Fortimanager?
5000-serien.
54
Vad baseras den maximala mängden enheter en Fortimanager kan hantera på?
Modell på Fortimanager, samt licenstyp/antal
55
Hur fungerar licenseringen för HA,VMs & VDOMs?
HA cluster = 1 licens
VM/Fysisk = 1 licens
VDOM = 1 licens
56
Hur kan en Fortimanager managera ett HA-cluster?
Read-only förutom att byta vilken Fortigate som är primär HA-enhet.
57
Vad gör FGFM protokollet?
Etablerar en säker tunnel mellan Fortimanager och Fortigate.
## Footnote
Port TCP 541
58
Vad är krav på Fortigate-interfacet för att Fortimanager-managering ska funka?
Interfacet riktad mot Fortimanager måste tillåta FGFM.
59
Vilka Link level adresser använder FGFM-tunnlar?
169.254.0.0/16
| 169.254.0.1 är resarverad för Fortimanager.
60
Hur ses det till att FGFM-tunnlar är aktiva?
Fortigatearna skickar keep-alive probes.
61
Vad krävs för att ändringar ska träda i kraft efter man gjort ändringar i Fortimanager?
Man måste installera dem.
62
Hur säkerställer Fortimanagern att komfigurationen på enheter stämmer lokalt och i managern?
Fortimanager jämför enhetens running device config med current version i revision historyn.
63
Vad innebär dessa konfig status:
* Synchronized
* Out-of-Sync
* Unknown
Synchronized - Senaste revisionen av konf stämmer överens med confen på FGTn.
Out-Of-Sync - Ändringar har gjorts direkt på FGTn och är inte synkade med FMGn.
Unknown - FMGn når inte FGTn och kan därför inte veta status på synkningen.
64
Vad innebär dessa konfig status:
* Conflict
* Modified
* Auto-updated
* Modified (recent auto-update)
Conflict - Ifall olika ändringar gjorts både på FGTn och FMGn och är ej i synk.
Modified - Konf är ändrad i Managern, men inte installerats till FGTn.
Auto-updated - Konf har ändrats direkt på FGn och automatiskt synkat till FMGn.
Modified (recent auto-update) - Konf ändrad på bada, autosynk har nu synkat dem.
65
Auto-update-funktionen innebär att fortimanagern automatiskt uppdaterar sin revision då den upptäcker en lokal förändring hos en Fortigate.
Är denna funktion automatiskt implementerad?
Auto-update är by default påslaget, men kan stängas av under system admin setting.
| CLI: config system admin setting --> set auto-update disable --> end
66
Vilken "basic" information tar Fortimanager mot när man gör en refresh device?
Fortimanager hämtar enhetens; serienummer, firmware version, support kontrakt och FGT HA medlemmar.
67
Vad innebär Quick Install (Device DB)?
Fortmanager hoppar över install wizard och man får ej en preview.
68
I Fortimanager skapas en ny revission vid fyra olika tillfällen. Vilka?
* En ny Fortigate läggs till
* Device ändingar installeras från Fortimanager
* Fortigate konf hämtas från Fortimanager
* Lokal ändring på Fortigate orsakar en auto-update
## Footnote
+Även när script körts direkt på emn remote enhet.
69
Efter en configuration revert så krävs detta för att även policys ska synkas.
Import configuration.
70
Vilka skriptspråk är supporterade i Fortimanager?
CLI & Tcl - Tool command language
## Footnote
Tcl är mer avancerat.
71
Hur opererar Tcl, respektive CLI mellan Fortimanager och Fortigate?
CLI: FGMF-tunnel
Tcl: SSH-tunnel
## Footnote
SSH-tunneln kräver SSH credentials.
72
Vilka tre områden kan man köra skript mot?
* Direkt mot device DB på Fortmanagern
* Remote Fortigate direkt via CLI
* ADOM DB/policy package från Fortimanagern
| Ändingar gjorda direkt på Fortigate kräver inte installation från FMG.
73
Hur skiljer sig version i policys, repsektive objekt?
Policys kan finnas i flera versioner medan objekt endast finns i aktuell version.
74
Vad använder man för att återställa både regler och objektförändringar?
ADOM-revisioner
75
I vilken databas lagras policys och objekt?
I dess ADOMs databas.
76
Vad innebär installation targets för policy paket?
Det innebär mappning av policy paket till valda enheter och vdoms.
77
Kan ett installation target ha flera policy paket tilldelade till sig?
Ja, men endast en kan vara aktiv.
78
Hur kan skräddarsy specifika policys till installation targets?
Man kan granulärt ändra eller ta bort enskilda policys från policy paketet på specifik enhet.
79
Till vad används dynamisk mappning?
Mappar enstaka logiska objekt till en unik defintion per enhet.
80
Vad används normalized interfaces för?
För att standardisera interfaces baserat på per-platform eller per-device.
| ex. port 3 på FG-40F är lan
81
Man har konfiguerat både per-platform och per-device, vilken mappning kommer prioriteras?
per-device mappningen.
82
Objekt som används går att radera i Fortimanagern, vad händer med objektmappning referad i policyn?
Objektet bytts mot standardobjektet "none" och allt som träffar denna regeln blockas.
| none har värdet null
83
Vad gör verktyget policy check?
Gör en check på policies för att hitta policies som är shadowade, oanvända, dupliceringar, överlappar eller dylikt.
| Rekommendar endast, gör inga ändringar.
84
Hur kan mappa dynamiska värden i t.ex. templates, script, fw adress objekt, ip pools & vips?
ADOM-level Metadata variables.
| ex. $LAN_SUBNET pekar på enhetens konfade lan-ip.
## Footnote
Fält med förstoringlas indikerar att variabler anvädnas.
85
Vad betyder statusen "never installed" när det gäller policy paket?
Policy paket har aldrig skapats och har därför aldrig importerats.
86
Vad innebär import configuration i Fortimanager?
Att man importerar en currently running config från Fortigate intill Fortmanager.
## Footnote
Impoerterade objekt kan modifiera befintliga objekt i Fortimanager.
87
Vad är skillnaden mella all objects & policy bound objects vid importering av running konfig från Fortigate?
Väljer man all, kommer allt följa med.
Väljer man policy bound, kommer endast refererade objekt importeras, resten raderas vid nästa installation.
88
Vad gör funktionen
re-install?
Skapar en ny revision history och applyar den till vald(a) Fortigate(s).
89
Vad sparas en ADOM snapshot?
Policy paket, objekt & VPN settings.
90
Vid flytt av Fortigate till annan ADOM, följer även policys & objekt med?
FALSK. Dessa behöver importeras manuellt med import configuration wizard.
| VId importering av unsued objects krävs CLI.
91
Kommer VPN-inställningar att hänga med vid importering av konf?
FALSK. Dessa måste konfigureras om på nytt manuellt.
92
Vad innebär policy lock?
Möjliggör att en administratör kan jobba på och låsa ett enskilt policy package istället för att låsa hela ADOMen.
| Fungerar bådei workspace mode normal och workspace per-adom
## Footnote
När man låser ett policy-paket, kvarstår ADOMen som olåst.
93
Vad innebär device lock?
Tillfäligt låsa specifika enheter från andra administatörer att konfigurera.
## Footnote
Funkar inte i ADOM advanced mode.
94
Vilka fem sätt finns det för att låsa upp en låst workspace/workflow session?
* Timeout
* Utloggning
* Låser upp manuellt.
* Översittande admin terminerar session
* ADOM med tillhörande enhet låses.
95
Vad innebär per-policy lock?
Temporärt låsa individuella policies.
| Funkar inte ifall policy är med i ett policy block.
96
Vad innebär workflow mode?
En admin med approve-rättigheter måste godkänna ändringar innan de kan installeras.
97
Hur kan workflow mode användas för att gruppera admins till specifika rättigheter.
Admins kan begränsas till att bara göra vissa ändringar såsom bara kunna konfa i policy & objects managment pane.
98
Vad krävs för att en admin ska kunna approva change submissions.
Att adminkontot är med i approval group.
| Det räcker inte att vara Super_Admin.
99
Vad gör de olika åtgärderna som listas:
* Approve
* Reject
* Repair
* Discard
* Revert
* View DIff
Approve: Godkänner sessionen, inga fler åtgärder krävs.
Reject: Avvisar sessionen, måste åtgärdas innan nästa godkänns.
Repair: Korrigerar en avvisad session.
Discard: Kassera ändringarna, ingen vidare åtgärd krävs.
Revert: Återställ en tidigare godkänd session, skapar en ny.
View Diff: Jämför ändringar med originalkonfigurationen.
100
Vad är globala policys och objekt?
Policys och objekt som kan appliceras på alla eller valda ADOMs
101
Vilken bokstav börjar alla globala objekt på?
g
102
Hur får man en Fortigate att kunna announca sig till en Fortimanager som är bakom en NAT-enhet?
Man behöver lägga in Fortimanagers NATade ip på Fortigaten.
103
Om en Fortigate är bakom en NATad address och FGMF-tunneln går ner, hur fungerar återetableringen av tunneln?
Endast Fortigate kommer försöka återuppta tunneln.
## Footnote
Däremot kan man köra refresha enheten på Fortmanager för ett nytt försök.
104
Vilka enheter är det som skickar keepalive messages i en FGFM-tunnel?
Endast FGT skickar dessa i intervaller.
105
Vilka ytterligare parametrar innhåller keepalive messages?
Config checksum & IPS version.
106
Vad gör en Fortigate som har ny konf i sitt minne om den har tappat connection med FMG i över 15 min?
Fortigate unsetar den temporära konfen till senate sparade konf.
107
Vad behöver du konfa i FMG för att byta en defekt FGT?
Manuellt byta den defekta enhetens serienummer till den nya enhetens. Därfefter göra en redeploy.
108
Hur många enhter kan man ha i ett FMG HA cluster?
fem
## Footnote
Heartbeat-paket skickas på TCP port 5199
109
Hur fungerar firmware uppdatering i ett HA cluster?
Uppdatering på primary kommer automatiskt pusha på secondaries.
110
Vad kommer inte synkas mellan FMGs i HA? (Nämn 6 saker)
Fortiguard DBs, loggar, SNMP, interface, routes & HA settings.
111
Vad skiljer manuell, respektive VRRP(auto failover) vid HA failover?
Manuellt: Måste manuellt assigna den nya primary, samt att peka om till den på alla secondaries?
VRRP(auto failover): Behöver konfa VIP, VRRP interface, prioritet och monitorera det interfacet för automatisk failover.
## Footnote
Secondary HA-medlem med högst prio blir primary.
112
Vad är fördelarna med att köra Fortimanager som local Fortiguard-server?
* Lägre internet connection load
* Enheter får uppdateringar snabbare
112
Vad ansvarar respektive Fortinettjänster för?
* FDS
* FGD
* FDN
* FDS - AV & IPS
* FGD - Web- & email-filter
* FDN - Publika Foriguard distribution Network
113
Agerar ett HA cluster som en Fortiguard-server?
Nej, varje enhet är sin egna Fortiguard-server.
114
Vad innebär dessa package management service statusar?
* Up to date
* Never updated
* Pendig
* Problem
* Unknown
* Up to date - Den funkar
* Never updated - Enhet har aldrig gjort en förfrågan eller to aldrig mot paketet.
* Pending - Enheten har en äldre version av paketet och är t.ex schemalagd uppdatering.
* Problem - Enhet har missat schemalagd uppdatering eller tog inte mot senaste paket korrekt.
* Unknown - Enhetens status är okänd.
115
Vad är skillnaden på loose och strict server override moden gällande FDN-servrar?
Loose: Default och Fortimanager kommer att fallbaka till valfri tillänglig FDN-server.
Strict: Fallbaka enbart till valda FDN-servrar.
116
Hur fungerar override på Loose mode gällande FDN-servrar?
Failover kommer prioritera konfade FDNs, men är alla dessa otillgängliga kommer de FDNs att användas.
