Fortimanager 7.4 Administrator Flashcards
Vad är en ADOM?
Det är en grupp där enheter har lagts till för att manageras från FortiManager
Administrative domain
Vad gör Advanced mode när det gäller ADOMs?
Det tillåter att VDOMs läggs till i en ADOM
Vilken användare har full kontrol över alla ADOMs?
Super_user
Andra Admin konton kan knytas till ADOMs
Vilken funktion försvinner i FortiManager när man kopplar FortiAnalyzer till den för att manageras?
Advanced mode på ADOMs
Kan en FortiAnalyzer som ligger i flera ADOMs ha funktioner mellan dem?
Nej
ADOMs är fortfarande separata från varandra
FortiManager kan ta sig på en roll av en annan produkt. Vilken?
FortiAnalyzer.
FortiManager med FortiAnalyzer funktioner
Hur många loggar per sekund kan en FortiManager som har FortiAnalyzer funktioner hantera?
150 loggar per sekund
Från och upp till hur många loggar per sekund kan en dedikerad FortiAnalyzer hantera?
Börjar på 500 loggar per sekund upp till 150 000.
En FortiManager med FortiAnalyzer funktioner saknar en funktion. Vilken?
HA
Vad är best practice att lägga en FortiManager i en nätverks topologi?
Bakom en brandvägg
+Att bara tillåta nödvändiga portar för managern
Vilka två stängda nätverkstopologier finns det för FortiManager?
Cascade Mode & Air gap mode
Hur ser topologin ut i Cascade Mode?
En huvud FortiManager har internet access och har underliggande FortiManagers som tar emot uppdateringar från den.
Huvud FortiManagern tar emot uppdateringar från en FortiGuard servern.
Hur ser topologin ut i Air Gap Mode?
En huvud FortiManager har internet access och är inte kopplad till några underliggande FortiManagers.
Vad är det enda kravet i initial setup wizard?
Konfigurera SSO med FortiCare
Eller importera entitlement fil om det inte finns internet access
Vad gör “service access - FortiCare Updates?”
Tillitåter FortiManager att svara på förfrågningar från managerade enhter om t.ex efterfrågan av uppdateringar.
Vilken formatering har texten vid API-anrop till och från FortiManager?
JSON RPC Standard (JSON API)
Vilka enheter tillåter ADOM typen “Fabric?”
Tillåter flera typer av enheter att manageras samtidigt.
Måste enheterna i ADOM:en matcha ADOD:ens firmware?
Nej, men rekommenderas att ADOM:en har samma firmware som enheterna.
Vad behöver en admin user för rättighet för att kunna konfa FortiManager?
Read/write på rpc-permit
Vad skiljer operation mode normal och operation mode backup i Fortimanagern?
Normal mode(default) - Devices kan confas både via FMG och direkt via enheterna.
Backup mode - Konfigureering sker endast direkt på managerade enheter
I backup används managern endast för revisionskotroll och tracking
Om man vill konfa en ADOM i backup mode så används vilken metod?
Script
Vad skiljer System admin och restricted admin?
System admin kan konfa allt, men även skräddarsy för admin profiler.
Restricted admin tilldelas rättigheter till specifika securtity profiles (IPS, Web Filter & App Control) baserat på tilldelade ADOMs.
Vilka tre vanliga parametrar kan man lägga på ett admin konto?
Access till specifika ADOMs
admin profiler (system/restricted)
Trusted hosts
Vilka tredjepartsprotokoll stöds för hantering av administratörkonton?
LDAP, RADIUS, TACACS+ & PKI
Vad skiljer de tre workspace metoderna?
Workspace (All ADOMs) - låser alla ADOMs
Workspace (Per-ADOM) - låser den ADOMs som görs ändringar i
Workflow (All ADOMs) - låser alla ADOMs samt kräver revidering och autentisering från super Admin
Finns även Per-Policy lock
Vad kan man låsa utöver ADOMs?
Specifika managerade enheter, policypaket & objekt.
Vilka metoder finns för att låsa upp ADOMs mm…
Manuell upplåsning eller logga ut från FortiManager
Kan olika firmware i ADOMs och tillhörande enheter skilja?
Ja.
7.2 funkar mellan 7.0 och 7.4
ex. 7.4 funkar med 7.2
Är rekommenderat att inte mixa firwares i ADOMs
När man uppdaterar FMG kommer även ADOMen att uppdateras?
Nej
Uppdateras enheter i en ADOM om denna uppdateras?
Nej.
Vilken firmware rekommenderas att uppdateras först, ADOMens eller enheternas?
Enheternas.
Vad försvinner vid migrering av enheter mellan ADOMs?
Policys och objekt.
Behövs importas till enheterna i nya ADOMen.
Vad backas inte up när man gör en backup på FortiManager?
Loggar, FortiGuard objekt & sparade firmware images.
Vilka protokoll kan användas vid backup?
FTP, SCP & SFTP
När vill man göra en backup på FortiManager?
Vid migrering till ny FMG-modell eller vid felsökning.
System settings migreras ej.
Vad händer med en FortiManager i offline mode?
Anslutning till enheter stryps för att kunna göra ändringar i FortiManagern utan att påverka enheter eller för felsökning.
Vad används provisioning template till?
För att skapa profiler med device-level settings.
Vad innehåller system templates?
Administrativa inställningar för managerade enheter.
Kan assignas till devices/groups över flera devices inom samma adom.
System templates kan även importeras mellan olika adoms, bör dock vara samma firware.
Till vad används install wizarden vid device registration?
Installera ändringar/ny konf på device settings eller policys på managerade enheter.
Det kan även vara att admins gör en preview på ändringar innan ändringar görs.
Vilka metoder finns det för device registration?
Add device wizard
Förfrågan från managerad enhet
Kan göras både med helt nya enheter och redan konfade enheter
Offline enheter kan också läggas till.
Nya enheter har ofta en “call home” konfiguration. Vad innehåller denna?
Minimal konf för att en fortigate ska kunna nå fortimanager.
Kan läggas till en av lokal tekniker under installation.
Vad importeras i “import configuration” under add wizarden.
Följande blir importerat: Interface Mapping (Namn på interface) & policy DB objekt.
Dessa läggs till i ADOMens DB.
Vilka två metoder finns det för att lägga till en enhet till Fortimanager?
Från Fortimanager eller via en request från supporterad enhet.
Vilken ip-adress ska man ange när man använder device discovery från fortigaten?
Fortimanagers management interfacets ip.
Vad innebär att importera settings per-platform?
Man importeras settings så som interface konf till alla fortigate av vald modell. Ex 40F.
Per-plafrom = per-model, per-device = valda enheter
Fortimanager kan pusha policies på olika enheters olika interface med hjälp av vad?
Per-device/per-platform mapping.
På vilket skiljer sig interface när de imoprteras till en lokal Fortigate från Fortimanager ?
Importerade interface kommer inte ha samma namn som de har i Fortimanagern.
Detta kallas dynamic mapping.
Vad innebär en model-device?
En förkonfigurerad enhet som ännu inte anslutits till Fortimanager.
Vilka två metoder finns det att länka en model-device till en riktig enhet?
Serienummer & pre-shared key
Vart hamnar enheten när man använder psk, respektive serienummer för addering av denna.
Serienummer = pre-staged ADOM
PSK = Root ADOM
Även om man använde serinummer måste man skriva in en psk. Kan vara vad som helst?
Vad är en device blueprint?
Görs under add device för att underlätta konfigurering av policy packages, pre-run templates etc… i nya managerade enheter.
Vad behöver göras i Fortigate för att kunna göra en request till Fortimanager för att bli managerad?
Aktivera central management i fabric connectors.
Har man credetials till FMG så kan man acceptera requesten direkt från FGT.
Vilken Fortigate-serie supporterar chassi management från Fortimanager?
5000-serien.
Vad baseras den maximala mängden enheter en Fortimanager kan hantera?
Modell på Fortimanager, samt licenstyp/antal
Hur fungerar licenseringen för HA,VMs & VDOMs?
HA cluster = 1 licens
VM/Fysisk = 1 licens
VDOM = 1 licens
Hur ser managaering av HA ut i Fortimanagern?
Read-only förutom att byta vilken Fortigate som är primär HA-enhet.
Vad gör FGFM protokollet?
Etablerar en säker tunnel mellan Fortimanager och Fortigate.
Port TCP 541
Vad är krav på Fortigate interface för att Fortmanager managering ska funka?
Interfacet riktad mot Fortimanager måste tillåta FGFM.
Vilka Link level adresser använder FGFM-tunnlar?
169.254.0.0/16
169.254.0.1 är resarverad för Fortimanager.
Hur ses det till att FGFM-tunnlar är aktiva?
Fortigatearna skickar keep-alive probes.
Vad krävs för att ändringar ska träda i kraft efter man gjort ändringar i Fortimanager?
Man måste installera dem.
Hur säkerställer Fortimanagern att komfigurationen på enheter stämmer lokalt och i managern?
Fortimanager jämför enhetens running device config med current version i revision historyn.
Vad innebär dessa konfig status:
* Synchronized
* Out-of-Sync
* Unknown
Synchronized - Senaste revisionen av konf stämmer överens med confen på FGTn.
Out-Of-Sync - Ändringar har gjorts direkt på FGTn och är inte synkade med FMGn.
Unknown - FMGn når inte FGTn och kan därför inte veta status på synkningen.
Vad innebär dessa konfig status:
* Conflict
* Modified
* Auto-updated
* Modified (recent auto-update)
Conflict - Ifall olika ändringar gjorts både på FGTn och FMGn och är ej i synk.
Modified - Konf är ändrad i Managern, men inte installerats till FGTn.
Auto-updated - Konf har ändrats direkt på FGn och automatiskt synkat till FMGn.
Modified (recent auto-update) - Konf ändrad på bada, autosynk har nu synkat dem.
Auto-update-funktionen innebär att fortimanagern automatiskt uppdaterar sin revision då den upptäcker en lokal förändring hos en Fortigate.
Är denna funktion automatiskt implementerad?
Auto-update är by default påslaget, men kan stängas av under system admin setting.
CLI: config system admin setting –> set auto-update disable –> end
Vilken “basic” information tar Fortimanager mot när man gör en refresh device?
Fortimanager hämtar enhetens; serienummer, firmware version, support kontrakt och FGT HA medlemmar.
Vad innebär Quick Install (Device DB)?
Fortmanager hoppar över install wizard och man får ej en preview.
I Fortimanager skapas en ny revission vid fyra olika tillfällen. Vilka?
- En ny Fortigate läggs till
- Device ändingar installeras från Fortimanager
- Fortigate konf hämtas från Fortimanager
- Lokal ändring på Fortigate orsakar en auto-update
+Även när script körts direkt på emn remote enhet.
Efter en configuration revert så krävs detta för att även policys ska synkas.
Import configuration.
Vilka skriptspråk är supporterade i Fortimanager?
CLI & Tcl - Tool command language
Tcl är mer avancerat.
Hur opererar Tcl, respektive CLI mellan Fortimanager och Fortigate?
CLI: FGMF-tunnel
Tcl: SSH-tunnel
SSH-tunneln kräver SSH credentials.
Vilka tre områden kan man köra skript mot?
- Direkt mot device DB på Fortmanagern
- Remote Fortigate direkt via CLI
- ADOM DB/policy package från Fortimanagern
Ändingar gjorda direkt på Fortigate kräver inte installation från FMG.
Hur skiljer sig version i policys, repsektive objekt?
Policys kan finnas i flera versioner medan objekt endast finns i aktuell version.
Vad använder man för att återställa både regler och objektförändringar?
ADOM-revisioner
I vilken databas lagras policys och objekt?
I dess ADOMs databas.
Vad innebär installation targets för policy paket?
Det innebär mappning av policy paket till valda enheter och vdoms.
Kan ett installation target ha flera policy paket tilldelade till sig?
Ja, men endast en kan vara aktiv.
Hur kan skräddarsy specifika policys till installation targets?
Man kan granulärt ändra eller ta bort enskilda policys från policy paketet på specifik enhet.
Till vad används dynamisk mappning?
Mappar enstaka logiska objekt till en unik defintion per enhet.
Vad används normalized interfaces för?
För att standardisera interfaces baserat på per-platform eller per-device.
ex. port 3 på FG-40F är lan
Man har konfiguerat både per-platform och per-device, vilken mappning kommer prioriteras?
per-device mappningen.
Objekt som används går att radera i Fortimanagern, vad händer med objektmappning referad i policyn?
Objektet bytts mot standardobjektet “none” och allt som träffar denna regeln blockas.
none har värdet null
Vad gör verktyget policy check?
Gör en check på policies för att hitta policies som är shadowade, oanvända, dupliceringar, överlappar eller dylikt.
Rekommendar endast, gör inga ändringar.
Hur kan mappa dynamiska värden i t.ex. templates, script, fw adress objekt, ip pools & vips?
ADOM-level Metadata variables.
ex. $LAN_SUBNET pekar på enhetens konfade lan-ip.
Fält med förstoringlas indikerar att variabler anvädnas.
Vad betyder statusen “never installed” när det gäller policy paket?
Policy paket har aldrig skapats och hra därför aldrig importerats.
Vad innebär import configuration i Fortimanager?
Att man importerar en currently running config från Fortigate intill Fortmanager.
Impoerterade objekt kan modifiera befintliga objekt i Fortimanager.
Vad är skillnaden mella all objects & policy bound objects vid importering av running konfig från Fortigate?
Väljer man all, kommer allt följa med.
Väljer man policy bound, kommer endast refererade objekt importeras, resten raderas vid nästa installation.
Vad gör funktionen
re-install?
Skapar en ny revision history och applyar den till vald(a) Fortigate(s).
Vad sparas en ADOM snapshot?
Policy paket, objekt & VPN settings.
Vid flytt av Fortigate till annan ADOM, följer även policys & objekt med?
FALSK. Dessa behöver importeras manuellt med import configuration wizard.
VId importering av unsued objects krävs CLI.
Kommer VPN-inställningar att hänga med vid importering av konf?
FALSK. Dessa måste konfigureras om på nytt manuellt.
Vad innebär policy lock?
Möjliggör att en administratör kan jobba på och låsa ett enskilt policy package istället för att låsa hela ADOMen.
Fungerar bådei workspace mode normal och workspace per-adom
När man låser ett policy-paket, kvarstår ADOMen som olåst.
Vad innebär device lock?
Tillfäligt låsa specifika enheter från andra administatörer att konfigurera.
Funkar inte i ADOM advanced mode.
Vilka fem sätt finns det för att låsa upp en låst workspace/workflow session?
- Timeout
- Utloggning
- Låser upp manuellt.
- Översittande admin terminerar session
- ADOM med tillhörande enhet låses.
Vad innebär per-policy lock?
Temporärt låsa individuella policies.
Funkar inte ifall policy är med i ett policy block.
Vad innebär workflow mode?
En admin med approve-rättigheter måste godkänna ändringar innan de kan installeras.
Hur kan workflow mode användas för att gruppera admins till specifika rättigheter.
Admins kan begränsas till att bara göra vissa ändringar såsom bara kunna konfa i policy & objects managment pane.
Vad krävs för att en admin ska kunna approva change submissions.
Att adminkontot är med i approval group.
Det räcker inte att vara Super_Admin.
Vad gör de olika åtgärderna som listas:
* Approve
* Reject
* Repair
* Discard
* Revert
* View DIff
Approve: Godkänner sessionen, inga fler åtgärder krävs.
Reject: Avvisar sessionen, måste åtgärdas innan nästa godkänns.
Repair: Korrigerar en avvisad session.
Discard: Kassera ändringarna, ingen vidare åtgärd krävs.
Revert: Återställ en tidigare godkänd session, skapar en ny.
View Diff: Jämför ändringar med originalkonfigurationen.
Vad är globala policys och objekt?
Policys och objekt som kan appliceras på alla eller valda ADOMs
Vilken bokstav börjar alla globala objekt på?
g
Hur får man en Fortigate att kunna announca sig till en Fortimanager som är bakom en NAT-enhet?
Man behöver lägga in Fortimanagers NATade ip på Fortigaten.
Om en Fortigate är bakom en NATad address och FGMF-tunneln går ner, hur fungerar återetableringen av tunneln?
Endast Fortigate kommer försöka återuppta tunneln.
Däremot kan man köra refresha enheten på Fortmanager för ett nytt försök.
Vilka enheter är det som skickar keepalive messages i en FGFM-tunnel?
Endast FGT skickar dessa i intervaller.
Vilka ytterligare parametrar innhåller keepalive messages?
Config checksum & IPS version.
Vad gör en Fortigate som har ny konf i sitt minne om den har tappat connection med FMG i över 15 min?
Fortigate unsetar den temporära konfen till senate sparade konf.
Vad behöver du konfa i FMG för att byta en defekt FGT?
Manuellt byta den defekta enhetens serienummer till den nya enhetens. Därfefter göra en redeploy.
Hur många enhter kan man ha i ett FMG HA cluster?
fem
Heartbeat pakets skickas på TCP poer 5199
Hur fungerar firmware uppdatering i ett HA cluster?
Uppdatering på primary kommer automatiskt pusha på secondaries.
Vad kommer inte synkas mellan FMGs i HA? (Nämn 6 saker)
Fortiguard DBs, loggar, SNMP, interface, routes & HA settings.
Vad skiljer manuell, respektive VRRP(auto failover) vid HA failover?
Manuellt: Måste manuellt assigna den nya primary, samt att peka om till den på alla secondaries?
VRRP(auto failover): Behöver konfa VIP, VRRP interface, prioritet och monitorera det interfacet för automatisk failover.
Secondary HA-medlem med högst prio blir primary.
Vad är fördelarna med att köra Fortimanager som local Fortiguard-server?
- Lägre internet connection load
- Enheter får uppdateringar snabbare
Vad ansvarar respektive Fortinettjänster för?
* FDS
* FGD
* FDN
- FDS - AV & IPS
- FGD - Web- & email-filter
- FDN - Publika Foriguard distribution Network
Agerar ett HA cluster som en Fortiguard-server?
Nej, varje enhet är sin egna Fortiguard-server.
Vad innebär dessa package management service statusar?
* Up to date
* Never updated
* Pendig
* Problem
* Unknown
- Up to date - Den funkar
- Never updated - Enhet har aldrig gjort en förfrågan eller to aldrig mot paketet.
- Pending - Enheten har en äldre version av paketet och är t.ex schemalagd uppdatering.
- Problem - Enhet har missat schemalagd uppdatering eller tog inte mot senaste paket korrekt.
- Unknown - Enhetens status är okänd.
Vad är skillnaden på loose och strict server override moden gällande FDN-servrar?
Loose: Default och Fortimanager kommer att fallbaka till valfri tillänglig FDN-server.
Strict: Fallbaka enbart till valda FDN-servrar.
Hur fungerar override på Loose mode gällande FDN-servrar?
Failover kommer prioritera konfade FDNs, men är alla dessa otillgängliga kommer de FDNs att användas.
