问题标签 [fortigate]

我已经使用 Azure 自定义域之一（联合域身份验证）配置了 Azure 与第 3 方单点登录 IdP 解决方案的集成。但这并不完全是典型配置，因为我不为此使用本地 AD，也不使用 AD FS 作为联合。为了创建联合，我使用 Fortiauthenticator 作为 SAML IdP（使用旧 LDAP 作为身份存储）并使用 **Set-MsolDomainAuthentication** PowerShell 命令设置联合设置（Fortiauthenticator IdP 设置）。

Note : FortiAuthenticator can identify users through a varied range of methods and integrate with third-party LDAP or Active Directory systems

问题：但我无法通过Set-MsolDomainAuthentication命令将这些 IdP 设置应用于更多 Azure 自定义域，这就是问题所在。IssuerUri属性根据 Microsoft 要求必须是唯一的。在 Fortiauthenticator 方面，我也无法添加更多 SAML SP 配置，因为根据 Fortiauthenticator 要求，SP 实体 ID 必须是唯一的。SP 实体 ID 由 Microsoft 硬编码为urn:federation:MicrosoftOnline值。

下面是我的powershell命令：

需要从我位于同一 VPN 中的本地计算机远程调试服务器上的应用程序。应用程序正在使用参数的tomcat上运行：

agentlib:jdwp=transport=dt_socket,server=y,address=8011,suspend=n

通过使用 nmap，我检查了端口及其是否打开以进行通信，在 eclipse 中开始调试后，出现超时连接错误。当我在运行 tomcat 的服务器上与管理员交谈时，他告诉我问题是 java.debug.wire.protocol.insecure.configuration*。这意味着我的调试被标记为高安全风险，并且禁止所有通信。

所以我想问我怎样才能让我的通信“安全”以避免这个错误并允许我调试。

*错误描述： 这表示尝试使用 Java 调试有线协议 (JDWP) 访问远程调试。JDWP 允许远程调试 Java 虚拟机。然而，这个协议不验证用户并且是不安全的。攻击者可以使用 JDWP 进行命令注入。JDWP 服务端口不应该暴露给公众。此签名可以检测利用 Cisco Prime 数据中心网络管理器中的远程代码执行漏洞的尝试。Cisco Prime 数据中心网络管理器 (DCNM) 的基于角色的访问控制 (RBAC) 功能中的一个漏洞可能允许未经身份验证的远程攻击者在受影响的系统上以 root 权限执行任意代码。该漏洞是由于缺乏身份验证并将 JDWP 服务端口暴露给公众造成的。

我购买了新的 fortigate 101e，它使用 fortiOS 6.0.6，在将其连接到互联网之前，我想禁用与 fortiguard 服务器和 forti 分发网络（FDN）的所有连接，我们的环境将使用手动更新它和它的服务，所以我有：

1. 更改了 DNS 和 NTP（因为它们包含在 fortinet 中的 ips）
2. 在 FortiGuard 中，我们禁用了推送更新和计划更新，提高了 IPS 质量，覆盖了 FortiGuard 服务器。
3. 禁用向 FortiGuard 发送恶意软件静态数据
4. 通过以下方式禁用向 FortiGuard 提交安全评级结果： set security-rating-result-submission disable
5. 更改 update.fortiguard.net 的 DNS 记录以解析为 dns 服务器中的本地 ip。
6. 禁用了 fortiguard 任播。

在 web 过滤器和 DNS 中，我不会使用 foriguard 类别基本过滤器，我将使用静态 url 过滤器。

我只是想确保在我将其连接到互联网之前，我的流量不会到达 fortiguard 或 FDN 或他们的任何服务器。

感谢你的帮助。谢谢。

我在配置从 GCP 到 Fortigate 的站点到站点 vpn 时遇到问题。

在构建生产之前，我正在配置一个 1 隧道 HA VPN 作为测试。

我的 fortigate 在外部防火墙后面，IPSEC vpn 配置了 NAT。

根据 Fortigate 上的调试，Phase 1 和 Phase 2 协商建立，Fortigate 发送 AUTH_RESPONSE 并从 GCP 端得到回复说 AUTHENTICATION_FAILED。

GCP端的状态显示：

第一次握手。分配资源。VPN 隧道即将启动。

有谁知道为什么我在 GCP 端获得 AUTHENTICATION_FAILED ？

谢谢杰拉德

我有要求 IP 地址的 Jenkins 工作

用户输入的内容$ip

现在$ip是 192.168.10.10 例如

现在我正在尝试将此变量插入 FortiGate SSH

但他看不懂$ip我需要让它像 INT 一样分开.

我得到这个错误

例如，当用户输入 ip 地址时，我如何将来自用户的 sting 转换为 -> 192.168.10.10 到代码中的可用变量

我正在尝试使用 Java 创建与 Fortinet 防火墙的 SSL VPN 连接。

在 Java 中建立套接字连接不是问题，但是如何向防火墙进行身份验证并创建 VPN 隧道？不幸的是，我还没有找到任何教程。也许有人可以帮助我。

我正在使用fortiosapi和 Flask 构建一个应用程序，它将一些地址从 excel 文件移动到 Fortigate 防火墙。

在第一步 ( @app.route('/')) 中，我展示了一个要求 Fortigate IP 和凭据（用户/密码或 api 密钥）的表单。在“登录”按钮后，单击我的应用程序登录到 Fortigate（FortiOSAPI.login或FortiOSAPI.tokenlogin方法）并重定向到@app.route('/upload_file')要求用户上传 excel 文件的表单（）。在第二步中，我想从设备中获取一些数据（如端口名称）并使用已经创建的 FortiOSAPI 对象显示它（渲染 HTML）。

有什么方法可以保存 FortiOSAPI obj. （连接到设备，就像一个游标到数据库）不同app.route()装饰器之间没有将此对象声明为全局？或者这是最好的方法，这就是我应该使用它的原因？

我认为将其序列化并添加到 URL 或会话不是一个好方法。我也希望我已经正确解释了我的问题。感谢您的任何回复或提示:)

今天想测试 Ansible 来管理 Fortigate，所以搭建了一个模拟环境。
当我回显时ansible fg -m ping，我收到一个错误消息，像这样

我确实在 Fortigate 中启用了 scp

我已经scp_if_ssh=True在ansible.cfg[ssh_connection]的部分

用 运行命令-vvvv，我明白了

对此问题的任何帮助将不胜感激。

我是 Ansible 的新手，正在尝试使用fortinet.fortios模块自动化 Fortigate 配置。

我遇到了一个fortios_firewall_addrgrp不支持将防火墙地址附加到组的问题。

我在我的变量中有这个设置：

我正在运行这个任务来生成一个地址组。

它遍历每个主机并生成一个地址组，但它会导致 2 个组仅包含列表中的最后一个主机名。

理想情况下，该模块应该支持将主机名附加到现有组，但它不支持，因此我正在尝试解决它以使以下情况发生：

上面的示例可以工作，但我无法提前知道变量中的组和主机名。

我可以将输入变量生成或过滤到主机和组的字典中，并将其提供给成员。尽管如此，我还是不明白如何动态地循环它。

我们有一些安装了 Windows Server 2012 R2 操作系统的服务器。我们的许多员工将同时使用该服务器（RDP 会话）。

我们希望仅允许部分员工从服务器访问 Internet。由于 Fortinet Fortigate 80F 具有启用/限制用户访问 Internet 的功能，要求他们在请求 Web 资源时进行身份验证，如下所示

我们还有一些计划任务和其他在系统启动时执行的云备份相关任务。这些任务在管理员帐户中执行，该帐户自动登录以执行这些任务，而不是手动管理。

我们知道，当其他用户尝试访问互联网时，他们必须使用用户名和密码进行身份验证。但我们希望免除该管理员用户帐户的身份验证以使用互联网。

关于如何在 Fortigate FG80F 中实现这一点的任何想法？

此外，我们很好奇 Fortigate 将如何管理每个用户，当他们同时使用像 Windows Server OS（通过 RDP）这样的单个系统时。

Fortinet 设备能否真正识别出哪个用户正在发出 Web 资源请求（互联网访问），因为请求来自同一台 PC，该 PC 有多个用户登录并同时工作？（在使用 AD 的环境和不使用 AD 的环境中）。