Вопрос: Можно ли пользоваться устройством, если не продлять лицензию?
Ответ: Если у аппаратного устройства нет активных сервисных контрактов FortiGuard, то оно не будет иметь доступа в облако производителя для получения обновлений сигнатурных баз, доступа к облачным базам репутаций, а также не сможет использовать облачные сервисы типа песочницы и например облачное управление тоже не будет доступно. Сигнатурные базы после истечения сервисных контрактов перестанут обновляться, останутся на версиях на момент последних обновлений. Все остальные сервисы, которые не лицензируются и включены в базовый функционал FortiOS работать будут как и раньше.
Вопрос: Какой самый простой способ перенести конфигурацию с одного FortiGate на другой?
Ответ: Выкачать конфигурацию через CLI, при необходимости вручную поправить необходимые настройки (интерфейсы, маршруты и т.д.) и загрузить на новый FortiGate.
Вопрос: Можно ли использовать FortiGate в качестве Web Application Firewall для защиты веб-сайтов организации? Правила с режимом SSL certificate-inspection работают только для http. Как корректно инспектировать https трафик?
Ответ: Для защиты веб сайтов организации лучше использовать продукт FortiWeb, а если его нет то хотя бы режим IPS в FortiGate. Для защиты серверов используется SSL Inbound Inspection, где SSL соединение терминируется на FortiGate перед инспекцией. Подробнее о настройке: https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configuring-Inbound-SSL-Deep-Inspection/ta-p/191543
Вопрос: Как объединить два виртуальных FortiGate в HA-кластер? Есть ли отличия от физического кластера?
Ответ: По умолчанию для heartbeat-соединения в кластере FortiGate используется способ передачи broadcast. Для виртуальных машин требуется настройка виртуальной сети и разрешение спуфинга адресов, что связано с особенностью коммутации в гипервизорах. Более простым вариантом настройки HA будет использование unicast. Подробнее о настройке: https://docs.fortinet.com/document/fortigate-private-cloud/7.4.0/vmware-esxi-administration-guide/397100/high-availability
Вопрос: По логам почтового сервера вижу, что кто-то с небольшого пула одних и тех же IP-адресов пытается подобрать пароль к учётным записям. Как запретить подозрительным IP-адресам из внешней сети доступ к серверу?
Ответ: Использовать режим IPS rate-based signature (при превышении threshold > установленного предела) и заносить атакующего в карантин.
Вопрос: Есть ли способ сделать в кабинете поддержки Fortinet дополнительный аккаунт с доступом для просмотра и управления только для определённых физических устройств (в product list)?
Ответ: Да, можно, в свойствах дополнительного аккаунта можно ограничить доступ (Limit Access) для нужных SN.
Вопрос: Какой комплект поставки у модели FortiGate 1000F?
Ответ: Информация по содержимому коробки поставки любого устройства есть в документации под названием Quick Start Guide. Для поиска необходимой модели можно воспользоваться следующей ссылкой: https://docs.fortinet.com/product/fortigate/hardware
Вопрос: Возможно ли проапгрейдить существующую FortiGate-VM, докупив соответствующую лицензию? Придётся ли разворачивать новый виртуальный образ или достаточно просто загрузить новую лицензию?
Ответ: Образ виртуальной машины один и тот же (только есть разные образы под разные платформы виртуализации и облачных платформ), а её модель определяется загруженной в нее лицензией, модель определяет максимальные возможности в потреблении ресурсов гипервизора (vCPU), от этого зависит производительность. Если вы загрузите в существующую FG-VM новую лицензию, то у неё сменится серийный номер, что потребует сделать ряд настроек, где используется серийник. Например, в случае Security Fabric, которая использует серийные номера для идентификации устройств, это будет аналогично подключению к фабрике нового устройства, что повлечёт за собой соответствующие настройки. Апгрейдить виртуальную машину покупкой лицензии можно, но нельзя забывать про фактор смены серийного номера.
Вопрос: При попытке объединить в кластер HA active-active два устройства FortiGate 100F невозможно выбрать режим active-active на втором устройстве, доступен только active-passive. В чём может быть проблема?
Ответ: Перед введением в кластер второй узел обязательно необходимо сбросить до заводских конфигураций. В процессе создания кластера конфигурационная информация синхронизируется с primary узла кластера, затем при необходимости можно добавлять и изменять некластерные части конфигурации.
