Machine Translated by Google

NO REIMPRIMIR
© FORTINET

Administrador de FortiManager

Guía de estudio
FortiManager 7.4
Machine Translated by Google

NO REIMPRIMIR ©
FORTINET

Instituto de Formación Fortinet ­ Biblioteca

https://formación.fortinet.com
Documentación del producto Fortinet

https://docs.fortinet.com

Base de conocimientos de Fortinet

https://kb.fortinet.com

Comunidad de usuarios de Fortinet Fuse

https://fusecommunity.fortinet.com/home

Foros de Fortinet

https://foro.fortinet.com

Soporte de productos Fortinet

https://support.fortinet.com

Laboratorios FortiGuard

https://www.fortiguard.com

Información del programa de formación de Fortinet

https://www.fortinet.com/nse­training

Fortinet | Vue Pearson

https://home.pearsonvue.com/fortinet

Servicio de asistencia técnica de Fortinet Training Institute (preguntas, comentarios y opiniones sobre capacitación)

https://helpdesk.training.fortinet.com/support/home

18/12/2023
Machine Translated by Google

NO REIMPRIMIR
© FORTINET

TABLA DE CONTENIDO

01 Introducción y configuración inicial 4

02 Administración y Gestión 40
03 Registro del dispositivo 81
04 Configuración e instalación a nivel de dispositivo 123
05 Políticas y Objetos 166
06 Base de datos global ADOM y gestión central 218
07 Diagnóstico y solución de problemas 237
08 Configuración adicional 288
Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre las características clave de FortiManager y cómo FortiManager encaja en su
infraestructura de red existente.

Guía de estudio del administrador de FortiManager 7.4 4

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 5

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la comprensión de las características y conceptos clave de FortiManager, podrá utilizar
FortiManager de manera más efectiva en su red.

Guía de estudio del administrador de FortiManager 7.4 6

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

En grandes empresas y proveedores de servicios de seguridad gestionados (MSSP), el tamaño de la red introduce
desafíos que las redes más pequeñas no tienen. Algunos de estos desafíos incluyen el aprovisionamiento masivo, la programación de la implementación
de cambios de configuración y el mantenimiento, seguimiento y auditoría de muchos cambios.

FortiManager proporciona administración centralizada impulsada por la automatización de sus dispositivos Fortinet desde una única consola. La
administración centralizada a través de FortiManager puede ayudarlo a administrar más fácilmente muchos tipos de implementación con
muchos dispositivos y reducir el costo de operación.

¿Qué puede hacer FortiManager?

• Proporcione políticas de firewall en toda su red

• Actuar como un repositorio central para el control de revisión de configuración y auditorías de seguridad.
• Implementar y administrar VPN IPsec en malla y en estrella complejas
• Actuar como un servidor privado de la Red de Distribución FortiGuard (FDN) para sus dispositivos administrados • Automatizar
el aprovisionamiento de dispositivos y realizar un seguimiento de los cambios de políticas

Guía de estudio del administrador de FortiManager 7.4 7

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

FortiManager puede ayudarle a organizar y administrar mejor su red. Las características clave de FortiManager incluyen:

• Administración centralizada: en lugar de iniciar sesión en cientos de dispositivos FortiGate individualmente, puede usar
FortiManager para gestionarlos todos desde una única consola.
• ADOM: FortiManager puede agrupar dispositivos en ADOM geográficos o funcionales, ideal si tiene una gran
equipo de administradores de seguridad de red.
• Control de revisión de configuración: Su FortiManager mantiene un historial de todos los cambios de configuración. Puede programar
FortiManager para implementar una nueva configuración o revertir los dispositivos administrados a una configuración anterior.

• Aprovisionamiento local del servicio FortiGuard: para reducir los retrasos en la red y minimizar el uso del ancho de banda de Internet,
sus dispositivos administrados pueden usar FortiManager como un servidor FortiGuard privado.
• Gestión de firmware: FortiManager puede programar actualizaciones de firmware para dispositivos administrados. • Scripting:
FortiManager admite scripts basados en CLI y Tcl para simplificar las implementaciones de configuración.
• Paneles de administración (VPN, FortiAP, FortiSwitch, Fabric View): los paneles de administración de FortiManager simplifican la
implementación y administración de VPN, FortiAP, FortiSwitch y Fabric View.
• Registro e informes: los dispositivos administrados pueden almacenar registros en FortiManager. A partir de esos datos de registro, puede
genere informes basados en SQL, porque FortiManager tiene muchas de las mismas funciones de registro e informes que FortiAnalyzer.

• MEA: le permiten habilitar aplicaciones con licencia publicadas y firmadas por Fortinet. Las aplicaciones se instalan y ejecutan en FortiManager
como contenedores acoplables. Consulte la guía del administrador de FortiManager para obtener más detalles.

Guía de estudio del administrador de FortiManager 7.4 8

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Los administradores de FortiManager pueden usar dominios administrativos (ADOM) para agrupar dispositivos de forma lógica y luego
especificar qué administradores pueden administrarlos. Por ejemplo, puede crear un ADOM para cada sucursal y luego restringir a los
administradores para que administren dispositivos solo en sus sucursales asignadas.

Los ADOM se pueden utilizar en dos modos de dispositivo: normal o avanzado. Cuando el modo avanzado está habilitado, puede asignar
diferentes dominios virtuales FortiGate (VDOM) a diferentes ADOM.

Las cuentas de administrador pueden estar vinculadas a uno o más ADOM y solo pueden administrar aquellos dispositivos o VDOM que
pertenecen a los ADOM a los que están asignados.

Las cuentas de administrador con el perfil Super_User, como la cuenta de administrador, pueden administrar todos los ADOM y los dispositivos
que contienen.

Guía de estudio del administrador de FortiManager 7.4 9

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Puede agregar y luego administrar la mayoría de las funciones de FortiAnalyzer desde FortiManager. Esta es la
solución recomendada para entornos con un gran volumen de registros.

Después de agregar un dispositivo FortiAnalyzer, los siguientes paneles se habilitan automáticamente en FortiManager:

• FortiView y LogView: brindan visibilidad de los registros de FortiAnalyzer

• Incidentes y eventos: le permite administrar incidentes, eventos, controladores y trabajar con el FortiAnalyzer.
Herramienta de búsqueda de amenazas y alertas de brotes, cuando estén disponibles
• Informes: le permite administrar los informes de FortiAnalyzer

FortiManager puede administrar múltiples dispositivos FortiAnalyzer, pero cada FortiAnalyzer debe estar en su propio ADOM.
Puede agregar el mismo dispositivo FortiAnalyzer a más de un ADOM. Cuando hace esto, las funciones de FortiAnalyzer y
la visibilidad en ADOM se limitan a los dispositivos de registro incluidos en ese ADOM.

Tenga en cuenta que no puede habilitar el modo ADOM avanzado cuando FortiManager administra FortiAnalyzer.
El modo ADOM avanzado se analiza más adelante en este curso.

Guía de estudio del administrador de FortiManager 7.4 10

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

FortiManager puede actuar como un dispositivo de registro e informes para su red cuando habilita manualmente las funciones de
FortiAnalyzer. Tenga en cuenta que FortiManager requiere recursos adicionales (CPU, memoria, espacio en disco) para procesar y almacenar
registros e informes.

Además, las restricciones de la tasa de registro reducen considerablemente las tasas de registro admitidas en comparación con las capacidades de
FortiAnalyzer. Por ejemplo, la tasa de registro más alta que admite FortiManager es 150 registros/segundo. Sin embargo,
La velocidad de registro más baja admitida por FortiAnalyzer es de 500 registros/segundo y puede alcanzar 150.000 registros/segundo en
modelos de gama alta.

Otra restricción es que la licencia de las funciones de FortiAnalyzer no es acumulable. Por estos motivos, esta solución solo es factible para
entornos que tienen un volumen bajo de registros. Por ejemplo, podría utilizarse con fines de prueba. Para grandes volúmenes de registros,
debe utilizar un FortiAnalyzer dedicado.

Cuando habilita las funciones de FortiAnalyzer, todas las configuraciones de registro y almacenamiento se configuran en FortiManager. Esto
significa que debe especificar cuánto espacio en disco usar y durante cuánto tiempo almacenar los registros para cada ADOM.
Puede monitorear la utilización del disco para cada ADOM y ajustar la configuración de almacenamiento para los registros, según sea necesario.

Si las funciones de FortiAnalyzer están habilitadas, no puede agregar FortiAnalyzer a FortiManager. Tampoco podrá configurar la alta disponibilidad
(HA) de FortiManager.

Guía de estudio del administrador de FortiManager 7.4 11

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Dentro de FortiManager hay varias capas de administración que se representan como paneles en la GUI.

Los paneles predeterminados incluyen:

• Administrador de dispositivos: para agregar y autorizar dispositivos, crear cambios en la configuración del dispositivo e instalarlo.
y paquetes de políticas.
• Políticas y objetos: para centralizar la gestión de políticas de firewall, objetos y perfiles de seguridad entre
otros
• Administrador de VPN: para ver y configurar los ajustes de VPN IPsec y SSL­VPN que puede instalar en uno o más
dispositivos

• AP Manager: para administrar los puntos de acceso FortiAP que están controlados por dispositivos FortiGate
• FortiSwitch Manager: para administrar dispositivos FortiSwitch controlados por dispositivos FortiGate
• Extender Manager: para gestionar FortiExtenders conectados
• Vista de Fabric: para ver las clasificaciones de Security Fabric de las configuraciones para los grupos de FortiGate Security Fabric, así como
como crear conectores de tela
• FortiGuard: para proporcionar servicios FortiGuard para su sistema FortiManager y sus dispositivos administrados y
Agentes FortiClient
• Configuración del sistema: para administrar las opciones del sistema para su dispositivo FortiManager

Se pueden agregar otros paneles según los requisitos de su red, por ejemplo, cuando agrega funciones de FortiAnalyzer.

Guía de estudio del administrador de FortiManager 7.4 12

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 13

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende las características y conceptos clave de FortiManager.

Ahora aprenderá cómo configurar inicialmente FortiManager.

Guía de estudio del administrador de FortiManager 7.4 14

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la configuración inicial de FortiManager, podrá agregar FortiManager a su red y

realizar tareas administrativas básicas.

Guía de estudio del administrador de FortiManager 7.4 15

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

A menudo, su primera consideración es dónde debe colocar FortiManager en su red.

Normalmente, deberías implementar FortiManager detrás de un firewall, como FortiGate. En el firewall perimetral, permita solo los
puertos relevantes en la política de firewall para FortiManager. Si los administradores o dispositivos FortiGate remotos realizarán conexiones
entrantes a FortiManager desde fuera de su red local, como desde Internet, cree una IP virtual.

Para protegerse contra la pérdida de acceso si su red no funciona, conecte su computadora de administración directamente a FortiManager
o mediante un conmutador.

Guía de estudio del administrador de FortiManager 7.4 dieciséis

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Puede operar FortiManager como un servidor local del Servicio de distribución FortiGuard (FDS) para dispositivos administrados
sin conectividad a Internet.

Los escenarios más complejos pueden requerir el uso de varios dispositivos FortiManager. Esta diapositiva ilustra dos
posibles topologías que se pueden utilizar en tales escenarios.

En ambos ejemplos, solo un FortiManager está conectado a Internet y es el que descarga las actualizaciones de FortiGuard.
Hay dos modos de distribuir esas actualizaciones al resto de dispositivos:

• Modo cascada: El dispositivo FortiManager principal se conecta a los demás dispositivos y estos descargan las actualizaciones
directamente desde él. Los dispositivos FortiGate pueden luego descargar las actualizaciones desde su dispositivo
FortiManager asociado.
• Modo Air Gap: Dado que no existe conexión entre el dispositivo FortiManager principal y el resto de los dispositivos, los
paquetes descargados deben exportarse y luego importarse a los otros dispositivos FortiManager. Los dispositivos
FortiGate pueden luego descargar las actualizaciones desde su FortiManager asociado.

Guía de estudio del administrador de FortiManager 7.4 17

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Saber qué puertos utiliza FortiManager puede ayudarle a analizar, diagnosticar y resolver problemas comunes de la red. Esto es
especialmente cierto si su dispositivo FortiManager está implementado detrás de un firewall.

FortiManager utiliza muchos puertos TCP y UDP para realizar tareas. La tabla que se muestra en esta diapositiva incluye algunos
de los puertos utilizados por FortiManager para administrar dispositivos FortiGate. Visite https://docs.fortinet.com para obtener
la lista completa de puertos.

De forma predeterminada, los puertos de administración estándar son:

• HTTP: puerto 80 (TCP)

• HTTPS: puerto 443 (TCP)
• SSH: puerto 22 (TCP)

Guía de estudio del administrador de FortiManager 7.4 18

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Su FortiManager administra todos sus dispositivos de seguridad de red Fortinet, por lo que es vital que este dispositivo y sus datos estén adecuadamente
protegidos.

Aquí hay algunas recomendaciones de seguridad:

• Implemente su FortiManager en una red privada protegida y confiable. Nunca debe implementarse directamente
En Internet.

• Utilice siempre métodos de conexión seguros para la administración: HTTPS para administración basada en web o SSH para
la CLI. Se desaconsejan los métodos inseguros como HTTP.
• Utilice hosts confiables para permitir inicios de sesión solo desde ubicaciones específicas.
•
Si necesita abrir el acceso externo al dispositivo para que los dispositivos remotos puedan conectarse, abra solo los puertos requeridos. Si
necesita abrir un acceso de inicio de sesión directo desde el exterior, asegúrese de configurar cuentas de usuario dedicadas para este fin. •
Asegúrese de utilizar contraseñas
seguras y sólidas y una política de contraseñas para hacer cumplir su uso. • Puede habilitar y configurar las siguientes políticas de
contraseña:
• Longitud mínima: especifique el número mínimo de caracteres que debe tener una contraseña, de 8 a
32. El valor predeterminado es 8.

• Debe contener: especifique los tipos de caracteres que debe contener una contraseña. • La contraseña de
administrador caduca después: especifique el número de días durante los cuales una contraseña es válida. Cuando el
El tiempo expira, se le solicita al administrador que ingrese una nueva contraseña.
• Verifique los registros de eventos con frecuencia
• Configure syslog externo y servidor de correo electrónico para notificaciones rápidas.

Guía de estudio del administrador de FortiManager 7.4 19

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Es importante conocer la configuración predeterminada de fábrica, como el nombre de usuario y la contraseña predeterminados, la IP
dirección del puerto1, máscara de red y protocolos de acceso de administración admitidos predeterminados, para que pueda conectarse y
configurar inicialmente FortiManager para su red.

Los diferentes modelos de FortiManager tienen diferentes números de puertos, pero el puerto 1 es el puerto de administración y siempre
tendrá la dirección IP 192.168.1.99 configurada de forma predeterminada.

Si está implementando un FortiManager en la nube, la dirección IP de administración y su asignación dependen del proveedor de la nube que
utilice.

Para iniciar sesión en la GUI de FortiManager por primera vez, abra un navegador e ingrese la URL https:// <la dirección IP predeterminada
de fábrica>. Después de que aparezca la pantalla de inicio de sesión, utilice las credenciales de administrador predeterminadas de fábrica
para iniciar sesión. Las credenciales predeterminadas son el nombre de usuario admin y una contraseña en blanco.

Después de iniciar sesión por primera vez, se muestra el asistente de configuración de FortiManager.

Guía de estudio del administrador de FortiManager 7.4 20

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Cuando inicia sesión en FortiManager por primera vez, se muestra el asistente de configuración de FortiManager para ayudarlo a configurar
FortiManager realizando las siguientes acciones:

• Regístrese en FortiCare y habilite el inicio de sesión único de FortiCare

• Especificar un nombre de host
• Cambia tu contraseña
• Actualizar el firmware

El asistente de configuración de FortiManager requiere que complete el paso Registrar y SSO con FortiCare antes de poder acceder al
dispositivo FortiManager o VM. Este paso requiere acceso a Internet, a menos que FortiManager esté operando en una red cerrada, en
cuyo caso debe solicitar archivos de derechos de cuenta al Servicio y soporte al cliente de Fortinet para dispositivos y luego
cargar los archivos usando este asistente, o más tarde desde el
Panel FortiGuard.

Cuando completa una acción, aparece una marca de verificación verde junto a ella en el asistente. Una vez que se configuran todas
las acciones, el asistente ya no se muestra después de iniciar sesión en FortiManager.

Guía de estudio del administrador de FortiManager 7.4 21

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

La configuración inicial de FortiManager es muy similar a FortiGate. Para configurar FortiManager para su
red, debe configurar la dirección IP y la máscara de red, seleccionar los protocolos de acceso administrativo admitidos y especificar una
puerta de enlace predeterminada. Puede hacer todo esto desde la página de Red.

El puerto 1, la interfaz de administración, tiene una dirección IP y una máscara de red predeterminadas: 192.168.1.99/24. Si su
subred de administración usa una subred diferente o usa IPv6, cambie esta configuración en consecuencia. La dirección IP debe ser una
dirección IP estática única. Además, ingrese la dirección IP del enrutador del siguiente salto en Gateway y especifique sus servidores DNS.
De forma predeterminada, los servidores DNS de FortiGuard están configurados en la configuración de DNS para ayudar a garantizar la
conectividad para las descargas y consultas de FortiGuard. Sin embargo, puede especificar un servidor DNS local.

El acceso al servicio le permite habilitar la respuesta de FortiManager a las solicitudes de los dispositivos administrados para los servicios
FortiGuard en cada interfaz. Esto incluye actualizaciones de FortiGate y filtrado web. De forma predeterminada, todos los servicios
para dispositivos administrados están habilitados en el puerto 1 y deshabilitados en otros puertos.

Guía de estudio del administrador de FortiManager 7.4 22

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Los ADOM no están habilitados de forma predeterminada y solo los puede habilitar (o deshabilitar) un administrador que tenga el perfil
Super_User.

Después de cambiar el modo ADOM, el sistema cierra la sesión para poder reinicializarse con la nueva configuración.
Cuando inicia sesión con los ADOM habilitados, debe seleccionar el ADOM que desea administrar de su lista de ADOM configurados.
Puede cambiar fácilmente entre ADOM haciendo clic en la lista ADOM en la parte superior derecha de la GUI.

La cantidad máxima de ADOM varía según el modelo físico de FortiManager o la licencia de VM.

Guía de estudio del administrador de FortiManager 7.4 23

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Con los ADOM habilitados, los administradores con el perfil Super_User tienen acceso a la página ADOM, donde aparecen todos los ADOM
predeterminados y personalizados creados por el administrador.

Si los ADOM predeterminados no se ajustan a sus requisitos, puede crear los suyos propios.

El tipo de ADOM que cree debe coincidir con el tipo de dispositivo que agregará más adelante. Por ejemplo, si desea crear un ADOM
para dispositivos FortiGate, debe seleccionar FortiGate como tipo de ADOM. La excepción a esta regla es el tipo Fabric, que le permite
agregar dispositivos FortiGate y otros tipos de dispositivos. Además, debe seleccionar la versión de firmware para cada nuevo ADOM.
Esto se debe a que las diferentes versiones de firmware tienen características diferentes y, por lo tanto, pueden usar una sintaxis CLI
diferente. Su configuración de ADOM debe coincidir con el firmware del dispositivo.

El modo de operación predeterminado de ADOM es Normal. En el campo Administración central, puede seleccionar VPN para
administrar centralmente las VPN IPsec para todos los dispositivos administrados en ese ADOM. De forma predeterminada, se selecciona
la administración central de FortiAP y FortiSwitch.

Guía de estudio del administrador de FortiManager 7.4 24

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 25

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende cómo configurar inicialmente FortiManager.

Ahora, examinará algunos de los casos de uso de FortiManager, basados en diferentes organizaciones.

Guía de estudio del administrador de FortiManager 7.4 26

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.

Al comprender los casos de uso de FortiManager, podrá ver las diferentes formas en que FortiManager se usa comúnmente
en otras organizaciones y, si corresponde, emplear algunas de estas estrategias.

Guía de estudio del administrador de FortiManager 7.4 27

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Un caso de uso común de FortiManager involucra a grandes clientes minoristas o empresas distribuidas, porque tienden a
tener muchos dispositivos de equipos locales del cliente (CPE) más pequeños en sus sucursales, además de sitios remotos
y varios sitios principales. Estos clientes se benefician del aprovisionamiento y monitoreo centralizados de firewall.

En implementaciones empresariales a gran escala, los administradores suelen preferir una configuración inicial
básica que el técnico instalador carga a través de una memoria USB, o copia y pega en la consola. Esta
configuración básica permite que FortiGate se comunique con FortiManager, donde el administrador puede agregarlo al
grupo de dispositivos apropiado o ADOM, y luego envía la configuración completa a ese FortiGate.

Guía de estudio del administrador de FortiManager 7.4 28

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Otro caso de uso común involucra a los MSSP.

Los operadores suelen tener muchos cortafuegos potentes y requieren un control estricto de la configuración, lo que se puede lograr
restringiendo la configuración desde FortiManager. Los MSSP pueden subdividir sus firewalls en firewalls virtuales que proporcionan a los
clientes, o pueden administrar dispositivos en las instalaciones del cliente. En ambos casos, deben mantener revisiones de configuración
para el cliente y, opcionalmente, proporcionar un portal donde los clientes puedan ver o editar algunas de sus configuraciones.

Otro caso de uso importante para los MSSP es poder determinar (o informar) qué firewall u objetos de configuración están en uso o no.
Las políticas de firewall cambian con el tiempo y los objetos asociados se sustituyen por otros objetos nuevos. Sin embargo, los
administradores suelen querer conservar los objetos antiguos temporalmente, en caso de que necesiten revertir los cambios. Con el
tiempo, los objetos no utilizados saturan la configuración de FortiGate, lo que dificulta su comprensión y resolución de
problemas. Por lo tanto, es útil realizar limpiezas periódicas de estos objetos de configuración huérfanos.

FortiManager permite a los MSSP evitar la sobrecarga de las licencias perpetuas utilizando el programa Fortinet VM On­Demand con
escalado automático. Cuando se activa un evento de escala automática, la plataforma de nube pública lanzará un nuevo FortiGate­VM y
aparecerá automáticamente en FortiManager como un dispositivo autorizado en el Administrador de dispositivos. Cuando ocurre
un evento de ampliación, el dispositivo se eliminará automáticamente de FortiManager.

Guía de estudio del administrador de FortiManager 7.4 29

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Como se muestra en esta diapositiva, diferentes organizaciones pueden usar los ADOM y los paquetes de políticas de FortiManager de manera diferente.

En una organización minorista, puede tener un único ADOM con muchos dispositivos FortiGate o varios ADOM con un FortiGate cada uno. En el caso
de los MSSP, los dispositivos FortiGate de cada cliente se colocan en su ADOM dedicado.

Cubriremos estos temas en detalle para que pueda tener las habilidades prácticas necesarias para administrar dispositivos para diversas
organizaciones.

Guía de estudio del administrador de FortiManager 7.4 30

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

La API JSON de FortiManager le permite realizar operaciones de configuración y monitoreo en un

dispositivo o VM FortiManager. La API JSON se basa en JSON­RPC, un protocolo de llamada a procedimiento
remoto codificado en JSON. La API le permite realizar muchas de las mismas tareas que la GUI de
FortiManager utilizando FortiPortal u otras aplicaciones de terceros. Permite a MSSP y a las grandes empresas
crear portales web personalizados y de marca para la administración de FortiManager, sin iniciar sesión directamente
en FortiManager. Este método es muy útil en un entorno MSSP, donde muchos clientes MSSP necesitan su
propio portal para acceder a FortiManager.

El cliente debe enviar solicitudes HTTP POST estándar a la URL fija https://
<FortiManagerIP>/jsonrpc. FortiManager debe configurarse para aceptar solicitudes HTTPS y tener un usuario
administrativo con permiso rpc configurado para lectura y escritura. Esta es la cuenta que utiliza para la autenticación
inicial de sus solicitudes.

Guía de estudio del administrador de FortiManager 7.4 31

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Dentro del cuerpo de la solicitud JSON, se admiten los siguientes métodos: obtener, agregar, actualizar, eliminar, configurar, mover,
clonar y ejecutar.

Cuando un cliente realiza una solicitud HTTP, FortiManager responde devolviendo los datos solicitados en formato JSON. Este
proceso es similar a lo que sucede cuando un navegador web solicita una página web de un servidor y luego el servidor responde con
la página web en formato HTML.

La FNDN proporciona herramientas de acceso, código de muestra, documentación y acceso a la comunidad de

desarrolladores de Fortinet cuando se suscribe. También puede obtener más detalles en la biblioteca de documentos de Fortinet.

Guía de estudio del administrador de FortiManager 7.4 32

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Como se muestra en esta tabla, la API devuelve un código de estado HTTP para indicar el estado de la solicitud.

Guía de estudio del administrador de FortiManager 7.4 33

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra un ejemplo de una solicitud de inicio de sesión enviada y la respuesta recibida. Después
de autenticarse exitosamente, recibirá un ID de sesión en la respuesta que puede usar como token de autenticación
para solicitudes API posteriores. Observe que el método utilizado en el cuerpo es exec.

Aunque no se muestra en la diapositiva, recuerde que todas las solicitudes se envían como un mensaje HTTP POST
estándar a https://<FortiManagerIP>/jsonrpc.

Guía de estudio del administrador de FortiManager 7.4 34

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

El ejemplo de API en esta diapositiva muestra una solicitud para los destinos de instalación del paquete de políticas denominado
Packg1, en el ADOM denominado ADOM1. Observe que este ejemplo utilizó un método get en el cuerpo JSON. El ID de la
sesión se incluyó para autenticar la solicitud.

La respuesta muestra que el dispositivo denominado FG­BR01 es el destino de ese paquete de políticas.

Guía de estudio del administrador de FortiManager 7.4 35

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra un ejemplo de una solicitud de cierre de sesión enviada y la respuesta recibida.

Se recomienda cerrar sesión siempre después de terminar de trabajar. Si no cierra sesión, la sesión permanecerá activa durante el tiempo
de espera configurado.

Guía de estudio del administrador de FortiManager 7.4 36

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 37

Machine Translated by Google
Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

¡Felicidades! Has completado esta lección. Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio del administrador de FortiManager 7.4 38

Machine Translated by Google Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los objetivos cubiertos en esta lección.

Al dominar los objetivos cubiertos en esta lección, aprendió los conceptos básicos de FortiManager y cómo usarlo en su red.

Guía de estudio del administrador de FortiManager 7.4 39

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá cómo configurar y administrar FortiManager. También aprenderá a utilizar funciones que
son fundamentales para el uso diario, como bloqueos ADOM, controles de acceso administrativo y copia de
seguridad y restauración de configuración.

Guía de estudio del administrador de FortiManager 7.4 40

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 41

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.

Al demostrar competencia en ADOM, podrá organizar dispositivos FortiGate de manera efectiva dentro de FortiManager.

Guía de estudio del administrador de FortiManager 7.4 42

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Cuando crea o configura ADOM, puede elegir entre dos modos de operación: normal o de respaldo.

De forma predeterminada, los ADOM se ejecutan en modo de funcionamiento normal, lo que mantiene disponibles todos los paneles de administración.
Un ADOM en modo de funcionamiento normal es de lectura­escritura, lo que permite realizar cambios de configuración en los dispositivos administrados.
almacenados en la base de datos ADOM y luego instalar esos cambios en los dispositivos administrados. También puede realizar
cambios de configuración en cada dispositivo administrado a través de la CLI o GUI de FortiGate.

Puede configurar ADOM en modo de operación de respaldo si todos los cambios de configuración deben realizarse directamente en los
dispositivos administrados y desea utilizar FortiManager solo para fines de seguimiento y control de revisiones.

Cuando está en modo de operación de respaldo, un ADOM es de solo lectura y algunas opciones de administración no están
disponibles mientras que otras están restringidas. Por ejemplo, en el panel Administrador de dispositivos, puede agregar y eliminar
dispositivos, pero la configuración a nivel de dispositivo no está disponible para la configuración e instalación.

En el modo de operación de respaldo, puede importar direcciones de firewall y objetos de servicio en FortiManager, y FortiManager
almacena los objetos en la base de datos de Device Manager. Puede ver los objetos en el panel Política y objetos, pero no se almacenan
en la base de datos central. Esto le permite mantener un repositorio de objetos utilizados por todos los dispositivos en el ADOM de
respaldo que está separado de la base de datos central.

Para realizar cambios de configuración de FortiManager a dispositivos administrados mientras está en modo de copia de seguridad, debe
usar la función de secuencia de comandos. Además, si realiza cambios directamente en el dispositivo administrado, esos cambios deben
cumplir condiciones específicas para que el dispositivo envíe la revisión de configuración a FortiManager. Por ejemplo, si realiza un cambio
de configuración y luego cierra sesión o reinicia el dispositivo, se envía una revisión de configuración.

Guía de estudio del administrador de FortiManager 7.4 43

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Un ADOM puede funcionar en dos modos de dispositivo: Normal, que es el modo predeterminado, y Avanzado.

En el modo Normal, no puede asignar diferentes dominios virtuales de FortiGate (VDOM) a diferentes ADOM de FortiManager.

En el modo avanzado, puede asignar diferentes VDOM desde el mismo dispositivo FortiGate a diferentes ADOM.
El sistema aplica esta configuración globalmente a todos los ADOM. Esto da como resultado escenarios de administración más complejos
y se recomienda solo para usuarios avanzados.

Guía de estudio del administrador de FortiManager 7.4 44

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 45

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende los ADOM.

Ahora examinará las cuentas de administrador en FortiManager.

Guía de estudio del administrador de FortiManager 7.4 46

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en el uso de controles de acceso administrativo, podrá salvaguardar mejor la administración y gestión
de FortiManager y los dispositivos administrados.

Guía de estudio del administrador de FortiManager 7.4 47

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Puede configurar perfiles de administrador en uno de dos tipos: administrador del sistema y administrador restringido. Sólo los
administradores con permisos completos del sistema pueden modificar los perfiles de administrador.

Para el tipo Administrador del sistema, puede modificar uno de los perfiles predefinidos o crear un nuevo perfil personalizado.
Dependiendo de la naturaleza del trabajo del administrador, el nivel de acceso o la antigüedad, puede permitirle ver y configurar
tanto o tan poco como sea necesario.

Los perfiles con el tipo Administrador restringido le permiten delegar a los administradores la gestión del perfil de filtrado web,
los sensores IPS y el sensor de aplicaciones asociados con su ADOM. Cuando un administrador restringido inicia sesión
en FortiManager, ingresa al modo de administrador restringido.

Guía de estudio del administrador de FortiManager 7.4 48

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Dependiendo de su implementación, es posible que desee dividir las tareas administrativas de FortiManager entre varios empleados
creando cuentas de administrador adicionales.

Puede controlar y restringir el acceso del administrador utilizando varios métodos, pero los siguientes son los más utilizados:

• ADOM: los administradores tienen acceso sólo a aquellos ADOM a los que están asignados.
• Perfiles administrativos: El nivel de acceso está determinado por el perfil administrativo seleccionado. Cuando los administradores están
restringidos a ADOM específicos, puede asignar diferentes perfiles para cada ADOM, o el
Mismo perfil para todos los ADOM.
• Hosts confiables: esta opción restringe a los administradores a iniciar sesión solo desde direcciones IP o subredes específicas. Los hosts
confiables que defina se aplican tanto a la GUI como a la CLI cuando se accede a través de SSH. Esta función está disponible para
direcciones IPv4 e IPv6.

Guía de estudio del administrador de FortiManager 7.4 49

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

En lugar de crear administradores locales, donde FortiManager valida los inicios de sesión, puede configurar servidores
externos para validar los inicios de sesión de su administrador. Puede utilizar RADIUS, LDAP, TACACS+ e infraestructura de
clave pública (PKI) como medio para verificar las credenciales del administrador.

Además, puede configurar la autenticación de dos factores utilizando FortiAuthenticator o la nube FortiToken. Referirse a
Consulte la Guía de administración de FortiManager para obtener más detalles.

Guía de estudio del administrador de FortiManager 7.4 50

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Para realizar un seguimiento de las sesiones de usuarios administradores, incluido quién ha iniciado sesión actualmente y a través de qué host de confianza, haga clic en
Configuración del sistema > Administradores. Solo el administrador predeterminado o los administradores con el
perfil Super_User pueden ver la lista completa de administradores.

Para realizar un seguimiento de los cambios de instalación realizados por el usuario de FortiManager, haga clic en Registrar e informar > Eventos del sistema
en el dispositivo FortiGate administrado.

Guía de estudio del administrador de FortiManager 7.4 51

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 52

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende las cuentas de administrador.

Ahora examinará los administradores concurrentes en FortiManager.

Guía de estudio del administrador de FortiManager 7.4 53

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en el uso de ADOM, dispositivo o bloqueo de paquetes de políticas, podrá salvaguardar mejor la
administración y gestión de FortiManager y los dispositivos administrados.

Guía de estudio del administrador de FortiManager 7.4 54

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

De forma predeterminada, varios administradores pueden acceder al mismo ADOM simultáneamente porque el modo de espacio de trabajo está
configurado como deshabilitado.

Por lo general, esto es aceptable, especialmente si configuró perfiles de administrador con permisos que no
se superponen. Sin embargo, la probabilidad de que dos administradores cambien la misma configuración en una red con
muchos dispositivos sigue siendo posible y debe evitarse. La solución para tal escenario es habilitar el modo de espacio de trabajo.

Guía de estudio del administrador de FortiManager 7.4 55

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Puede utilizar la CLI o la GUI para habilitar el modo de espacio de trabajo y evitar el acceso simultáneo a ADOM. Esto permite a los
administradores bloquear ADOM completos, así como dispositivos, paquetes de políticas y objetos específicos.

Tienes las siguientes tres opciones:

• Espacio de trabajo (TODOS los ADOM): todos los ADOM se pueden bloquear.
• Espacio de trabajo (por ADOM): solo se pueden bloquear los ADOM configurados para el modo de espacio de trabajo.
• Flujo de trabajo (TODOS los ADOM): además de bloquear los ADOM, este modo se utiliza para garantizar que todos los cambios sean revisados y
aprobados por administradores autorizados antes de su aplicación.

Opcionalmente, puede habilitar el bloqueo por política, que le permite bloquear políticas individuales.

Guía de estudio del administrador de FortiManager 7.4 56

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Habilitar el modo de espacio de trabajo le permite bloquear diferentes elementos en FortiManager, evitando efectivamente el acceso simultáneo
de lectura/escritura a cualquier elemento bloqueado. Solo el administrador que inició el bloqueo tiene acceso de lectura/escritura a ese
elemento, mientras que todos los demás administradores tienen acceso de solo lectura.

Puede bloquear ADOM completos, así como dispositivos, paquetes de políticas, objetos y políticas individuales específicos.

Después de realizar todos los cambios de configuración necesarios, puede desbloquear el elemento manualmente. Otra forma de liberar los
bloqueos es cerrar sesión en FortiManager.

Cuando bloquea un ADOM, se eliminan todos los bloqueos existentes en los dispositivos y paquetes de políticas que creó dentro de ese
ADOM. Además, si otro administrador bloqueó dispositivos o paquetes de políticas, no podrá bloquear el ADOM que contiene esos dispositivos
o paquetes de políticas.

Guía de estudio del administrador de FortiManager 7.4 57

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

El ejemplo de la diapositiva muestra un ejemplo del proceso de trabajar con ADOM bloqueados cuando el modo de espacio de trabajo está
habilitado.

1. Antes de realizar cambios, el administrador A bloquea ADOM. Aparece un icono de candado cerrado con un fondo verde.
El administrador A ahora tiene acceso de lectura/escritura y puede realizar cambios en los dispositivos administrados en ese ADOM.
2. Durante este tiempo, el administrador B ve un icono de candado cerrado con un fondo rojo en el ADOM. El administrador B tiene
acceso de solo lectura a ese ADOM y no puede realizar cambios.
3. Cuando el Administrador A termina de realizar cambios, los guarda y luego desbloquea ADOM. El ícono cambia a un ícono de candado
abierto. El administrador B ve que ADOM ya está disponible para su uso.
4. Ahora, el administrador B bloquea el ADOM y nuevamente el ícono de candado cambia en consecuencia. El administrador B ahora ha leído
acceso de escritura y puede realizar cambios de forma segura sin riesgo de conflictos.

Guía de estudio del administrador de FortiManager 7.4 58

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Para habilitar el permiso exclusivo de lectura/escritura y realizar cambios en un ADOM, debe bloquear el ADOM.

Puede bloquear ADOM en la esquina superior derecha de la GUI. Después de bloquear el ADOM, puede hacer de forma segura
cambios en la configuración del dispositivo administrado, en ese ADOM, sin preocuparse por conflictos. Si realiza cambios en la configuración
del dispositivo administrado o en los paquetes de políticas, los cambios deben guardarse antes de intentar
instalarlos. Otros administradores no pueden realizar cambios en ADOM porque tienen permisos de solo lectura.

Hay tres íconos de estado de bloqueo:

• Icono de candado abierto: el ADOM está actualmente

desbloqueado. • Icono de candado cerrado con fondo verde: El ADOM está bloqueado por usted. Puedes hacer cambios en eso.
ADÓM.
• Icono de candado cerrado con fondo rojo: El ADOM está bloqueado por otro administrador. Has leído/solo
acceder y debe esperar a que ADOM se desbloquee antes de poder realizar cambios.

Guía de estudio del administrador de FortiManager 7.4 59

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 60

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende cómo puede utilizar el modo de espacio de trabajo para manejar sesiones de administrador
simultáneas.

Ahora examinará las mejores prácticas y la solución de problemas de ADOM.

Guía de estudio del administrador de FortiManager 7.4 61

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en las mejores prácticas y resolución de problemas de ADOM, podrá organizar y administrar su
dispositivo FortiGate de manera más efectiva dentro de FortiManager.

Guía de estudio del administrador de FortiManager 7.4 62

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

En FortiManager, cada ADOM está asociado con una versión de firmware específica, según la versión de firmware de los dispositivos que se
encuentran en ese ADOM. La versión del firmware determina el esquema de base de datos apropiado.

¿Qué sucede si crea un ADOM usando la versión 7.2, agrega dispositivos FortiGate que ejecutan FortiOS 7.2, pero luego necesita
actualizar los dispositivos FortiGate a FortiOS 7.4?

Dependiendo de su versión, un ADOM puede administrar simultáneamente dispositivos FortiGate que ejecutan firmware diferente
versiones; por ejemplo, FortiOS 7.2 y 7.4. Por lo tanto, los dispositivos que ejecutan esas versiones de firmware pueden compartir una base
de datos FortiManager común.

Aunque pueden existir múltiples versiones de FortiOS en el mismo ADOM, algunas de las características del firmware más nuevo
La versión puede estar restringida si está utilizando una versión anterior de ADOM. Esto se debe a que la sintaxis del comando CLI para la
versión de firmware más reciente podría haber cambiado debido a nuevas funciones y, por lo tanto, está configurada
diferentemente. Es muy importante asegurarse de agregar FortiGate a un ADOM que esté basado en la misma versión de firmware FortiOS.
No debe agregar una versión superior de FortiGate a una versión inferior de ADOM. Además, tenga en cuenta que actualizar la versión del
firmware de FortiManager no actualizará automáticamente la versión de los ADOM existentes.

Debe utilizar esta función solo para facilitar la actualización a un nuevo firmware y evitar tener ADOM con firmware mixto. En el caso de
tener varias versiones de firmware, se recomienda utilizar ADOM separados.

Guía de estudio del administrador de FortiManager 7.4 63

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Antes de diseñar su estructura ADOM, verifique la cantidad máxima de ADOM y la cantidad máxima de dispositivos administrados que
admite su modelo FortiManager. Puede encontrar esta información en el widget Información de licencia o utilizando el comando
obtener estado del sistema .

Se debe utilizar un esquema que simplifique la gestión. Por ejemplo, puedes organizar tus dispositivos por:

• Versión de firmware: Puede agrupar todos los dispositivos con la misma versión de firmware en el mismo ADOM. Para
Por ejemplo, si los dispositivos FortiGate ejecutan la versión de firmware 7.4, puede agrupar estos dispositivos en una versión
7.4 ADÓM. Este es el método recomendado para agrupar dispositivos.
• Administradores asignados: puede agrupar dispositivos en ADOM separados y asignarlos a áreas específicas.
administradores.
• Regiones geográficas: puede agrupar todos los dispositivos de una región geográfica específica en un ADOM. • Clientes:
Puede crear un ADOM dedicado para cada cliente.
• Necesidades organizativas: puede agrupar dispositivos según su departamento o función. Por ejemplo, puedes
Cree ADOM dedicados para redes de producción, desarrollo y prueba.

Cuando organiza dispositivos FortiGate administrados, se recomienda encarecidamente que los agrupe según su versión de firmware
FortiOS. Esto se debe a que la sintaxis de comando válida varía según la versión del firmware, lo que afecta la compatibilidad de los
scripts y otras características. Por ejemplo, si tiene dispositivos FortiGate que ejecutan el firmware FortiOS 7.2 y FortiOS 7.4 en la
misma región, debe crear un ADOM para cada versión de firmware.

Guía de estudio del administrador de FortiManager 7.4 64

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Puede actualizar la versión de ADOM antes o después de actualizar todos los dispositivos en ese ADOM. Sin
embargo, se recomienda actualizar primero los dispositivos y luego actualizar ADOM.

Nota: Si hay muchas revisiones de ADOM, FortiManager requiere más recursos del sistema y la actualización de
ADOM puede tardar más en completarse. Aprenderá sobre las revisiones de ADOM más adelante en este curso.

Guía de estudio del administrador de FortiManager 7.4 sesenta y cinco

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Puede actualizar ADOM en Configuración del sistema > ADOM. Puede actualizar un ADOM a una versión
superior a la vez. Por ejemplo, puede actualizar un ADOM que ejecuta la versión 7.0 a la versión 7.2 primero y luego
repetir el proceso para actualizarlo a la versión 7.4.

El proceso de actualización solo actualiza la base de datos de ADOM seleccionada. Si ADOM utiliza objetos
Global ADOM, primero debe actualizar Global Database ADOM a la misma versión; de lo contrario, perderá parte de la
configuración. Aprenderá más sobre ADOM global más adelante en el curso.

Guía de estudio del administrador de FortiManager 7.4 66

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Si necesita actualizar solo unos pocos dispositivos FortiGate en un ADOM, primero debe actualizar los dispositivos en el ADOM original y
luego moverlos a un nuevo ADOM que utilice una versión de firmware coincidente.

Tenga en cuenta que si mueve un dispositivo de un ADOM a otro, las políticas y los objetos no se importan a la nueva base de datos de
ADOM. Debe ejecutar el asistente de configuración de importación para importar políticas y objetos a la base de datos ADOM.

En algunos escenarios, mover dispositivos de un ADOM a otro no es una práctica recomendada. Por ejemplo,
Si ha configurado VPN IPsec complejas con VPN Manager, deberá reconfigurar los ajustes de VPN después de mover las VPN IPsec de
un ADOM a otro.

Guía de estudio del administrador de FortiManager 7.4 67

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Puede mover dispositivos entre ADOM después de registrarlos en la página de ADOM. Puede mover dispositivos entre ADOM editando el
ADOM de destino al que desea agregar el dispositivo y luego seleccionando el dispositivo para agregarle.

Guía de estudio del administrador de FortiManager 7.4 68

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Antes de una actualización de ADOM, debe instalar cualquier configuración pendiente del dispositivo o cambios en el paquete de políticas en el
dispositivos administrados y sincronizar todos los dispositivos y paquetes de políticas.

Una vez que haya actualizado los dispositivos y ADOM, debe examinar la vista previa de la instalación. La vista previa de instalación le
muestra los cambios que se produjeron durante el proceso de actualización. Deberá verificar que todos los cambios que se instalarán se
produjeron durante el proceso de actualización y realizar correcciones si es necesario.

Cuando mueve dispositivos de un ADOM a otro ADOM, los paquetes y objetos de políticas compartidos no se mueven al nuevo ADOM. Deberá
importar paquetes de políticas desde dispositivos administrados.

Guía de estudio del administrador de FortiManager 7.4 69

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 70

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende las mejores prácticas y la solución de problemas de ADOM.

Ahora, examinará la copia de seguridad y la restauración en FortiManager.

Guía de estudio del administrador de FortiManager 7.4 71

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en copia de seguridad y restauración, podrá asegurarse de que, si hay una falla grave de
hardware, podrá restaurar rápidamente FortiManager a un estado de funcionamiento sin afectar la red. Después de todo, este
es su sistema central de administración de red y probablemente invertirá una cantidad considerable de tiempo y recursos en
la creación y el mantenimiento de sus políticas de firewall. Entonces, aprenderá cómo mantener los datos seguros.

Guía de estudio del administrador de FortiManager 7.4 72

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

En cualquier momento, puede hacer una copia de seguridad de la configuración de FortiManager en el widget de Información del sistema en la GUI.
De forma predeterminada, el cifrado está habilitado cuando utiliza la GUI para realizar copias de seguridad. Si utiliza cifrado, debe establecer una
contraseña que se utilice para cifrar el archivo de copia de seguridad. El archivo de copia de seguridad no se puede restaurar a menos que
proporcione la misma contraseña. Tenga en cuenta que el soporte técnico de Fortinet suele solicitar la copia de seguridad de FortiManager en formato
no cifrado.

La copia de seguridad contiene todo excepto los registros, el caché de FortiGuard y las imágenes de firmware guardadas en FortiManager.

También puede programar copias de seguridad a intervalos regulares utilizando la GUI y la CLI.

Después de realizar copias de seguridad, puede ver el historial de copias de seguridad para ver todas las copias de seguridad realizadas en FortiManager.

Si se realizan cambios en FortiManager que terminan afectando negativamente a su red, puede restaurar el
configuración de cualquiera de las copias de seguridad que realizó.

Guía de estudio del administrador de FortiManager 7.4 73

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Puede restaurar la configuración de FortiManager utilizando la GUI o CLI. Cuando realiza una restauración, FortiManager
se reinicia y los cambios entran en vigor.

Las dos opciones en la ventana Restaurar sistema son:

• Sobrescribir la configuración actual de IP, enrutamiento y HA: de forma predeterminada, esta opción está habilitada. Si FortiManager
tiene una configuración existente, restaurar una copia de seguridad sobrescribe todo, incluida la dirección IP actual, el enrutamiento
y la configuración de HA. Si desactiva esta opción, FortiManager aún restaurará las configuraciones relacionadas con la
información del dispositivo y la información de la base de datos global, pero conservará la configuración de red y HA actual.
• Restaurar en modo sin conexión: de forma predeterminada, esta opción está habilitada y atenuada; no puede deshabilitarla. Mientras
restaura una copia de seguridad, FortiManager desactiva temporalmente el canal de comunicación entre FortiManager y todos los
dispositivos administrados. Esta es una medida de seguridad en caso de que algún dispositivo esté siendo administrado por
otro dispositivo FortiManager.

Guía de estudio del administrador de FortiManager 7.4 74

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Puede hacer una copia de seguridad de la configuración en un modelo de FortiManager y restaurar esta configuración en un
modelo de FortiManager diferente. Esto puede ser útil para:

• Propósitos de resolución de problemas, restaurando la configuración a un modelo diferente de FortiManager.

• Actualizar FortiManager a un modelo más grande, porque preservará sus dispositivos ya configurados y
Base de datos del administrador de tareas. La configuración del sistema no se conserva.

Los pasos necesarios para migrar la configuración son simples. Debe hacer una copia de seguridad de la configuración en el primer
modelo de FortiManager y luego ejecutar el comando exec migrar todas las configuraciones en el segundo FortiManager.

Si el FortiManager original tiene bases de datos de FortiGuard (antivirus, antispam, filtro web, etc.), no se incluirán en el archivo de
configuración. Después de migrar, exporte los paquetes del FortiManager original e impórtelos al otro FortiManager.

FortiManager admite los protocolos FTP, SCP y SFTP para migrar una configuración de un modelo de FortiManager a otro
modelo de FortiManager.

Guía de estudio del administrador de FortiManager 7.4 75

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

De forma predeterminada, el modo fuera de línea está deshabilitado, lo que permite a FortiManager administrar los dispositivos.

Cuando realiza una restauración de configuración, FortiManager se reinicia en modo fuera de línea, lo que efectivamente desactiva el
protocolo FGFM. Puede habilitar o deshabilitar manualmente el modo sin conexión en Configuración del sistema > Avanzado >
Configuraciones varias.

¿Cuándo debería habilitar el modo fuera de línea? Puede habilitar el modo fuera de línea manualmente para solucionar problemas.
El modo sin conexión le permite cambiar la configuración del dispositivo FortiManager sin afectar los dispositivos administrados. También
puede restaurar una copia de seguridad en un segundo FortiManager con fines de prueba. De esa manera, el segundo FortiManager
no puede conectarse automáticamente a sus dispositivos FortiGate y comenzar a administrarlos.

Guía de estudio del administrador de FortiManager 7.4 76

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Si necesita restablecer los valores de fábrica de FortiManager, conéctese utilizando el puerto de la consola.

El comando ejecutar restablecer todas las configuraciones devuelve FortiManager a su configuración predeterminada de fábrica y reinicia FortiManager.

El comando ejecutar formato de disco borra todas las configuraciones e imágenes del dispositivo, las bases de datos de FortiGuard y los datos de registro en
el disco duro de FortiManager.

Para borrar completamente todas las bases de datos de configuración, restablezca todas las configuraciones y luego formatee el disco.

Incluso si formatea sus discos, esto sólo destruye las tablas del sistema de archivos. Los archivos permanecen y los atacantes podrían utilizar herramientas
forenses para recuperar los datos. No sobrescribir sus bases de datos de configuración pone en peligro la seguridad de toda su red. Por lo tanto, si va a
reemplazar o vender su FortiManager, o reemplazar el disco duro, debe utilizar un proceso de formateo de disco seguro (borrado profundo) para sobrescribir
el disco duro con datos aleatorios.
Por lo general, la función de borrado profundo tarda más en completarse y no es necesaria en la mayoría de los casos.

Guía de estudio del administrador de FortiManager 7.4 77

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 78

Machine Translated by Google
Administración y gestión

NO REIMPRIMIR
© FORTINET

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio del administrador de FortiManager 7.4 79

Machine Translated by Google Administración y gestión

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Al dominar los objetivos cubiertos en esta lección, aprendió cómo configurar y administrar FortiManager.
También aprendió a utilizar funciones que son fundamentales para el uso diario, como bloqueos ADOM, controles de acceso
administrativo y copia de seguridad y restauración de configuración.

Guía de estudio del administrador de FortiManager 7.4 80

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre las funciones principales del administrador de dispositivos y cómo registrar el dispositivo FortiGate en
FortiManager.

Guía de estudio del administrador de FortiManager 7.4 81

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 82

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en el aprovisionamiento de configuraciones comunes, podrá utilizar FortiManager para configurar
configuraciones comunes para muchos dispositivos FortiGate.

Guía de estudio del administrador de FortiManager 7.4 83

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Las plantillas de aprovisionamiento le permiten crear perfiles que contienen configuraciones a nivel de dispositivo. Estas plantillas
facilitar la configuración de ajustes idénticos a nivel de dispositivo en muchos dispositivos. Puede editar y volver a aplicar las plantillas según sea necesario.
Tenga en cuenta que, de forma predeterminada, sólo algunas de las plantillas son visibles. Puede elegir qué plantillas son visibles seleccionándolas
en Visibilidad de funciones.

FortiManager incluye muchas plantillas para escenarios comunes, como plantillas de sistema, túnel IPsec, SD­WAN y muchos más.

El nombre de cada plantilla indica su finalidad. Por ejemplo, puede usar plantillas de sistema para crear y administrar configuraciones comunes a nivel
de sistema para los dispositivos administrados y plantillas SD­WAN para configurar SD­WAN para uno o más dispositivos. Consulte la Guía de
administración de FortiManager para obtener más detalles.

Tenga en cuenta que las plantillas de aprovisionamiento se basan en versiones de ADOM específicas. Debido a esto, es posible que algunas
configuraciones no estén disponibles.

Guía de estudio del administrador de FortiManager 7.4 84

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

La página Plantillas del sistema contiene una plantilla genérica denominada predeterminada, que es un subconjunto de las configuraciones
del dispositivo modelo y contiene varios widgets como DNS, correo electrónico de alerta, configuración de administrador y varios otros.

Puede crear una nueva plantilla del sistema y configurar los ajustes en los widgets incluidos, o puede importar la configuración desde un
dispositivo administrado específico para heredar la configuración a nivel del sistema de ese dispositivo administrado.

Puede utilizar el botón Asignar a dispositivo/grupo para asociar dispositivos con una plantilla.

La aplicación de estas plantillas a varios dispositivos dentro del mismo ADOM facilita configuraciones idénticas a nivel de dispositivo en
todos esos dispositivos.

Guía de estudio del administrador de FortiManager 7.4 85

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Puede exportar e importar plantillas de sistema de un ADOM a otro ADOM mediante la CLI. Para evitar resultados inesperados,
ambos ADOM deben ejecutar la misma versión de firmware.

El primer paso es exportar la plantilla del sistema desde el ADOM original con el comando ejecutar fmprofile export­profile , y luego
puede importar ese perfil al otro ADOM con el comando ejecutar fmprofile import­profile .

En esta diapositiva se muestra un ejemplo de estos pasos.

Guía de estudio del administrador de FortiManager 7.4 86

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 87

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende cómo configurar plantillas de aprovisionamiento para aplicar configuraciones comunes a varios dispositivos.

Ahora aprenderá sobre los métodos de registro de dispositivos.

Guía de estudio del administrador de FortiManager 7.4 88

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en el registro de dispositivos, podrá agregar dispositivos a FortiManager para su gestión y administración.

Guía de estudio del administrador de FortiManager 7.4 89

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

En Dispositivos y grupos puede encontrar varios asistentes de instalación y dispositivos que le ayudarán a realizar tareas
administrativas y de mantenimiento. El uso de estas herramientas puede ayudarle a acortar la cantidad de tiempo que lleva realizar
muchas tareas comunes.

Hay cuatro asistentes principales:

• Agregar dispositivo: agrega dispositivos a la administración central e importa sus configuraciones.

• Asistente de instalación: instala cambios en la configuración y/o políticas del dispositivo en los dispositivos administrados. Le permite
obtener una vista previa de los cambios y, si el administrador no está de acuerdo con los cambios, cancelarlos y modificarlos.
• Importar configuración: importa mapeo de interfaz, base de datos de políticas y objetos asociados con el
dispositivos administrados en un paquete de políticas en el panel Política y objetos. Puede ejecutarlo mientras utiliza el asistente
Agregar dispositivo y en cualquier momento desde la lista de dispositivos administrados.
• Reinstalar política: instala rápidamente el paquete de políticas ya asignado al dispositivo. También le muestra una vista previa de los
cambios que se instalarán en el dispositivo administrado.
• Instalación rápida (Device DB): envía la configuración del dispositivo desde la capa de dispositivo FortiManager a un dispositivo FortiGate.
Esta operación no tiene una vista previa de la instalación y no puede cancelarla.

Puede acceder a estos asistentes desde la barra superior de la GUI o haciendo clic derecho en su dispositivo en Managed FortiGate.

Guía de estudio del administrador de FortiManager 7.4 90

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Hay dos formas de registrar un dispositivo usando FortiManager.

El primer método implica el asistente Agregar dispositivo de FortiManager. Si el dispositivo es compatible y todos los detalles del dispositivo
son correctos, FortiManager registra el dispositivo.

El segundo método implica una solicitud de registro desde un dispositivo compatible. Cuando el administrador de FortiManager recibe
esa solicitud, la acepta (aunque puede rechazarse).

Guía de estudio del administrador de FortiManager 7.4 91

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Usando el asistente Agregar dispositivo, puede agregar un dispositivo FortiGate con una configuración existente (que incluye sus políticas
de firewall) o agregar un nuevo dispositivo FortiGate que aún no esté en línea. FortiGate generalmente cuenta con una configuración de
llamada a casa , que es la configuración mínima necesaria para llegar a FortiManager (el servidor de administración central). Estas
configuraciones generalmente las instala un técnico y la configuración real del firewall la realiza el administrador en el centro de
operaciones de red/seguridad donde reside FortiManager.

Este asistente también le permite agregar clústeres y dispositivos FortiGate HA desde un archivo CSV.

Cuando importa un dispositivo que tiene una configuración existente, puede optar por importar las políticas de firewall del dispositivo a
un nuevo paquete de políticas (al que puede cambiar el nombre). Los objetos comparten la base de datos de objetos común para ADOM.
FortiManager guarda los objetos en la base de datos ADOM, que puede compartir o usar entre diferentes dispositivos FortiGate
administrados en el mismo ADOM. FortiManager también busca objetos duplicados o en conflicto.

Guía de estudio del administrador de FortiManager 7.4 92

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Con el asistente Agregar dispositivo, el administrador de FortiManager inicia proactivamente y, en última instancia, realiza
el registro del dispositivo. Este método requiere que los administradores conozcan detalles específicos sobre el dispositivo que están
registrando.

Puede iniciar el asistente desde el panel Dispositivos y grupos haciendo clic en Agregar dispositivo en la barra superior. Si ha habilitado
ADOM y desea agregar el dispositivo a un ADOM específico, seleccione ese ADOM de la lista de ADOM antes de iniciar el asistente
Agregar dispositivo.

Guía de estudio del administrador de FortiManager 7.4 93

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Para utilizar el asistente Agregar dispositivo y el modo de descubrimiento con el protocolo OAuth, debe escribir la dirección IP de
el puerto de administración de FortiGate y asegúrese de que la opción Usar inicio de sesión de dispositivo heredado esté desactivada. Después de hacer
clic en Siguiente para continuar, se producen las siguientes acciones:

1. FortiManager se conecta al dispositivo FortiGate en línea.

2. Se abre una ventana que le permite iniciar sesión en FortiGate como parte del proceso de autorización. Tenga en cuenta que debe permitir
ventanas emergentes para que la página FortiManager pueda continuar.
3. Cuando FortiManager se conecta a FortiGate, recupera la dirección IP de administración de FortiOS y
puerto de gestión.

Dependiendo de la topología de su red, es posible que FortiManager pueda acceder a la IP de administración de FortiGate, pero la computadora de
administración que usted utiliza no. Para garantizar que este método funcione, debe especificar una dirección IP de administración y un
puerto en FortiOS al que se pueda acceder desde la computadora de administración que utiliza para conectarse a FortiManager.

Guía de estudio del administrador de FortiManager 7.4 94

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Como alternativa al uso del método OAUTH, puede utilizar el inicio de sesión heredado para el asistente Agregar dispositivo con modo de
descubrimiento. Si está agregando un FortiGate que ejecuta FortiOS 6.4.x o anterior, debe usar el inicio de sesión heredado.

El método de inicio de sesión heredado es útil para ciertas topologías donde la computadora de administración utilizada para conectarse a
FortiManager no puede conectarse al dispositivo FortiGate.

Utilice las opciones Usar inicio de sesión de dispositivo heredado para agregar un dispositivo existente. Aquí debe ingresar las
credenciales de inicio de sesión para el dispositivo FortiGate: dirección IP, nombre de usuario y contraseña.

Para descubrir completamente el dispositivo y agregar la configuración completa, las credenciales de inicio de sesión que ingrese deben
tener acceso completo de lectura y escritura en FortiGate. Esto también permite a FortiManager instalar la configuración requerida en
el FortiGate administrado.

Guía de estudio del administrador de FortiManager 7.4 95

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

En este paso, FortiManager determina si se puede acceder al dispositivo FortiGate y descubre información básica sobre el
dispositivo, incluida la dirección IP, el nombre de host, el nombre de usuario del administrador, el modelo del dispositivo, la versión
del firmware (compilación), el número de serie y el modo de alta disponibilidad.

Los administradores pueden aplicar una plantilla de aprovisionamiento existente a nuevos dispositivos a medida que se agregan a
FortiManager. Las plantillas ahorran tiempo al eliminar la necesidad de repetir los ajustes de configuración comunes varias veces.

Guía de estudio del administrador de FortiManager 7.4 96

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

En el siguiente paso, FortiManager verifica la adición del dispositivo FortiGate y crea el archivo de configuración inicial en el historial de revisiones.
Esta es la configuración completa que contiene todos los objetos usados y huérfanos junto con las políticas de firewall en FortiGate. También
verifica el contrato de soporte, lo cual es útil en caso de que FortiManager se utilice como servidor FortiGuard local para el FortiGate administrado.

Hay dos opciones para importar políticas y objetos:

• Al hacer clic en Importar ahora se agregan las políticas a un nuevo paquete de políticas y objetos en el ADOM compartido común.
base de datos. Estos objetos pueden ser utilizados por múltiples dispositivos FortiGate en el mismo ADOM.
• Al hacer clic en Importar más tarde, se agrega solo la configuración a nivel de dispositivo a la base de datos del dispositivo. La política y los
objetos del firewall no se importan a Política y objetos. Puede importarlos más adelante utilizando el asistente de
configuración de importación.

En el ejemplo que se muestra en esta diapositiva, la opción Importar ahora está seleccionada.

Guía de estudio del administrador de FortiManager 7.4 97

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Si selecciona la opción para importar ahora, el asistente busca todas las políticas para importar a la base de datos de FortiManager. En este paso,
las políticas se importan a un nuevo paquete de políticas en Políticas y objetos.

En este punto, puede elegir si importar todas las políticas o las políticas seleccionadas, y si importar solo los objetos a los que se hace referencia o
todos los objetos. De forma predeterminada, los objetos dependientes de la política Importar todo e Importar solo
Las opciones se seleccionan al agregar un dispositivo.

FortiManager prueba FortiGate y crea asignaciones de interfaz en la base de datos ADOM. Opcionalmente, puede aplicar un nombre normalizado a
cada interfaz. En el ejemplo de esta diapositiva, el dispositivo FortiGate tiene las interfaces puerto1 y puerto3 renombradas a WAN y LAN,
respectivamente. Dado que se selecciona la opción de asignación por dispositivo, esta configuración se aplica solo a este dispositivo. Otros dispositivos
pueden tener otras interfaces asignadas a los mismos nombres normalizados. Este mapeo es local para FortiManager en el nivel ADOM y puede crear

políticas en FortiManager que se refieren a las interfaces LAN y WAN que se refieren a diferentes interfaces en otros dispositivos. Tenga en cuenta
que los nombres de las interfaces ADOM distinguen entre mayúsculas y minúsculas.

El uso de la opción de mapeo por plataforma haría que todos los dispositivos del mismo modelo tuvieran el mismo mapeo.
Por ejemplo, todos los FGT­100F pueden hacer referencia a su puerto 1 como WAN.

Las asignaciones de interfaces correctas son útiles en implementaciones grandes, donde los administradores pueden usar nombres comunes para las
interfaces ADOM.

De forma predeterminada, la configuración Agregar asignaciones para todas las interfaces de dispositivos no utilizadas está habilitada. Cuando
está habilitada, esta configuración crea una asignación automática para todas las interfaces. Como tal, el administrador de FortiManager no necesita
crear asignaciones manuales para ellos.

Guía de estudio del administrador de FortiManager 7.4 98

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

A continuación, el asistente busca en el dispositivo FortiGate objetos para importar y, si existe algún conflicto, aparece aquí. Puede ver
detalles adicionales, así como descargar un archivo html que enumera todos los conflictos encontrados en una tabla.

Si selecciona FortiGate en la columna Usar valor de, la base de datos de FortiManager se actualiza con ese valor. Si selecciona
FortiManager, la próxima vez que instale la configuración de FortiManager en FortiGate, realizará esos cambios en el firewall de FortiGate.
De forma predeterminada, se selecciona FortiGate.

Guía de estudio del administrador de FortiManager 7.4 99

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Una vez anotados y resueltos los conflictos de objetos, el asistente busca los objetos para importar. FortiManager agrega nuevos objetos
y actualiza los objetos FortiManager existentes según sea necesario. FortiManager no importa
entradas duplicadas en la base de datos ADOM.

La página final del asistente muestra un resumen de las políticas de firewall y los objetos importados a FortiManager.

Opcionalmente, puede descargar el informe de importación, que está disponible únicamente en esta página. Como práctica recomendada,
se recomienda descargar el informe.

Guía de estudio del administrador de FortiManager 7.4 100

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

El informe de importación proporciona información importante, como qué dispositivo se importa a qué ADOM, así como el nombre del
paquete de políticas creado junto con los objetos importados. Estos objetos y políticas se crean en el panel Políticas y objetos para
ese ADOM.

FortiManager no importa entradas ya existentes o duplicadas en la base de datos ADOM. Si se detecta un conflicto, FortiManager
actualiza el objeto asociado con el dispositivo seleccionado en el paso Conflicto de objetos del asistente. En el informe de importación, el
objeto se denomina actualizar objeto anterior.

El ejemplo de esta diapositiva muestra entradas en un informe de importación para un objeto duplicado, dos objetos nuevos y un objeto
actualizado.

Guía de estudio del administrador de FortiManager 7.4 101

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

En el ejemplo de esta diapositiva, debido a que cambió el nombre del puerto 3 a LAN y del puerto 1 a WAN en la asignación de interfaz
paso del asistente, la política muestra los nombres de las interfaces personalizadas. Sin embargo, en FortiGate la política muestra el
puerto1 y el puerto3.

Esto se denomina asignación dinámica y las políticas de firewall creadas en paquetes de políticas hacen referencia a estas asignaciones.
Cuando se instalan los paquetes de políticas, la asignación de interfaz se traduce a las interfaces locales en el dispositivo administrado.

El mapeo dinámico es útil al instalar el mismo paquete de políticas en múltiples dispositivos FortiGate administrados.
donde la asignación de interfaz se traduce a las interfaces locales en el dispositivo administrado.

Guía de estudio del administrador de FortiManager 7.4 102

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

La segunda opción en el asistente Agregar dispositivo es Agregar modelo de dispositivo, que le permite agregar un dispositivo que aún no
está en línea. Esta opción está destinada a nuevas implementaciones de FortiGate, donde no se debe conservar ninguna configuración
preexistente. La configuración que crea con esta opción en FortiManager está asociada con el modelo de dispositivo y sobrescribe la
configuración de FortiGate después de su registro.

Puede vincularse al dispositivo real utilizando uno de los dos métodos siguientes:

• Número de serie: el número de serie del dispositivo que desea agregar. • Clave
precompartida: una clave precompartida única para cada dispositivo que desee agregar. Útil cuando el dispositivo exacto
No se conoce el modelo.

Con ambas opciones puedes seleccionar varios parámetros que se aplicarán al dispositivo administrado una vez registrado.

Guía de estudio del administrador de FortiManager 7.4 103

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Puede utilizar la GUI y la CLI para enviar una solicitud de registro desde FortiGate. Independientemente de la opción de modelo de
dispositivo que utilice, debe configurar el tipo de administración central como fortimanager y apuntar a la dirección IP de FortiManager
usando la secuencia de comandos que se muestra en esta diapositiva como paso 1.

Después del primer paso, si se usó una clave previamente compartida en el dispositivo modelo, FortiGate se muestra como un dispositivo
no registrado en el ADOM raíz . Si se utilizó el número de serie, FortiGate se muestra como un dispositivo no registrado en el ADOM
donde se preparó.

El segundo y último paso consiste en ejecutar el comando ejecutar central­mgmt Register­Device en FortiGate. Este comando requiere el
número de serie de FortiManager y una clave previamente compartida. La clave previamente compartida debe coincidir con el valor utilizado
cuando se agregó el modelo del dispositivo. Sin embargo, si el modelo de dispositivo usó el número de serie, puede escribir cualquier
texto como clave precompartida, ya que la autenticación del dispositivo usa el número de serie.

Si todos los parámetros son correctos, el dispositivo FortiGate se registra en el ADOM donde configuró el modelo del dispositivo.

Guía de estudio del administrador de FortiManager 7.4 104

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Puede crear planos de dispositivos para simplificar la configuración de ciertas configuraciones de dispositivos, incluidos grupos de
dispositivos, configuración de plantillas de ejecución previa, paquetes de políticas, plantillas de aprovisionamiento, etc. Una vez que se
ha creado un plano de dispositivo, se puede seleccionar al agregar un dispositivo modelo o al importar varios dispositivos modelo desde
un archivo CSV.

Los dispositivos a los que se les asigna un plano se configuran automáticamente con las configuraciones especificadas por ese plano
cuando se agregan a FortiManager.

Guía de estudio del administrador de FortiManager 7.4 105

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Para iniciar una solicitud de registro desde FortiGate, debe configurar los ajustes de administración central con la dirección IP de FortiManager.

Después de esto, se abre una ventana indicando que la solicitud de gestión ha sido enviada a FortiManager. Haga clic en Aceptar para abrir
la ventana Estado de FortiManager, donde puede autorizar el dispositivo FortiGate si tiene las credenciales adecuadas.

El ejemplo de esta diapositiva muestra la configuración en la GUI, pero también puede utilizar la CLI.

Guía de estudio del administrador de FortiManager 7.4 106

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Después de realizar la solicitud desde el dispositivo compatible, aparece en Administrador de dispositivos > Dispositivos y grupos >
Dispositivos no autorizados en el ADOM raíz de FortiManager.

El administrador de FortiManager debe revisar los detalles del dispositivo no autorizado y, si está satisfecho,
autorizar el dispositivo. Finalmente, autorizar un dispositivo no crea paquetes de políticas automáticamente. Por ese motivo, debe ejecutar
el asistente de importación de configuración para importar la política de firewall del dispositivo a un nuevo paquete de políticas.

Si los ADOM están habilitados, el dispositivo aparece en el ADOM raíz de forma predeterminada y puede autorizar a FortiGate a
unirse a un ADOM diferente, previamente creado.

Opcionalmente, puede habilitar la autorización automática de dispositivos no autorizados desde la CLI de FortiManager.

Guía de estudio del administrador de FortiManager 7.4 107

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Si necesita agregar varios dispositivos FortiGate al mismo tiempo, puede habilitar Mostrar botón Agregar múltiples
en Configuración del sistema. Una vez habilitada, la opción estará disponible en el botón Más en Administrar dispositivos. Puede
hacer clic en Agregar e ingresar la dirección IP, el nombre de usuario y la contraseña de cada dispositivo FortiGate que desee agregar.

Al igual que en el caso de agregar un dispositivo no autorizado, los paquetes de políticas no se crean automáticamente. Debe ejecutar el
asistente de importación de configuración para importar las políticas de firewall de los dispositivos a un nuevo paquete de políticas.

Guía de estudio del administrador de FortiManager 7.4 108

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Después de registrar los dispositivos FortiGate, aparecen en el Administrador de dispositivos en el ADOM al que fueron agregados.

Guía de estudio del administrador de FortiManager 7.4 109

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Algunos modelos de FortiManager pueden funcionar con Shelf Manager para administrar el chasis de la serie FortiGate 5000.
Para hacerlo, primero debe habilitar la Administración del chasis en Configuración del sistema > Avanzado > Configuraciones varias.
Después de habilitarlo, puede agregar el chasis en el chasis ADOM predeterminado.

El tablero del chasis proporciona información relacionada con el número de ranura, información de ranura, estado actual del blade y varios
otros parámetros. En el tablero, puede ver o configurar información relacionada con las aspas, los módulos de entrada de energía (PEM),
la bandeja del ventilador, el administrador de estantes y el panel de alarma de estantes (SAP).

Guía de estudio del administrador de FortiManager 7.4 110

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Los dispositivos físicos o máquinas virtuales (VM) de FortiManager admiten una cantidad limitada de dispositivos administrados. Ese
número depende del modelo y la licencia de FortiManager.

Un clúster de alta disponibilidad (HA) de FortiGate cuenta como un único dispositivo administrado en FortiManager. Esto se debe a que la
mayor parte de la configuración se relaciona con las políticas y los objetos del firewall, y los dispositivos en el clúster ejecutan la misma
configuración.

Cuando se utilizan VDOM, cada uno cuenta como un dispositivo administrado. Esto se debe a que cada VDOM es lógicamente un
firewall independiente y tiene su propia configuración.

En el ejemplo de la diapositiva, hay un clúster FortiGate con dos miembros de dispositivo y otro FortiGate con tres VDOM. Esto produce un
total de cuatro dispositivos administrados por FortiManager. Tenga en cuenta que en este ejemplo, FortiManager no administra el
FortiGate físico.

Guía de estudio del administrador de FortiManager 7.4 111

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Un clúster FortiGate HA se administra como un único dispositivo desde FortiManager y tiene una identificación única. Puede utilizar el
comando diagnostic dvm device list en la CLI para ver los miembros de dispositivos del clúster.

FortiManager informa el estado de sincronización de FortiGate HA que recibe del clúster, lo que le permite identificar posibles
problemas de red. Debe actualizar la sesión de la GUI para ver la información de estado más actualizada.

FortiManager tiene acceso de solo lectura a la configuración de FortiGate HA. Sin embargo, puede promover a un miembro del
clúster secundario para que se convierta en el principal desde FortiManager.

Los cambios de configuración de FortiGate relacionados con los parámetros HA no modifican la suma de verificación del
sistema para FortiManager (obtener system mgmt­csum) y no causan un estado desincronizado.

No se recomienda que los dispositivos FortiGate en un clúster HA utilicen la interfaz ha­mgmt o los VDOM de administración
independientes para establecer la conexión FGFM, ya que están diseñados específicamente para administrar el clúster directamente.

Guía de estudio del administrador de FortiManager 7.4 112

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 113

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende cómo puede registrar dispositivos en FortiManager.

Ahora examinará los problemas comunes de detección de dispositivos y cómo resolverlos.

Guía de estudio del administrador de FortiManager 7.4 114

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la resolución de problemas de detección de dispositivos, podrá diagnosticar y resolver problemas
relacionados con la detección de dispositivos.

Guía de estudio del administrador de FortiManager 7.4 115

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

El protocolo de gestión FGFM se ejecuta tanto en FortiGate (fgfmd) como en FortiManager (fgfmsd). FortiManager y FortiGate crean un túnel
seguro utilizando el puerto TCP 541. Al estar basada en TCP, la conexión funciona con NAT basada en puerto, lo que permite que tanto
FortiGate como FortiManager estén detrás de un dispositivo NAT. En el lado de FortiGate, debe habilitar la configuración FMG­Access para
cada interfaz frente a FortiManager.

Una vez que haya configurado el túnel de administración, puede establecerse en cualquier dirección: mediante FortiManager o mediante el
dispositivo FortiGate administrado. FortiManager utiliza direccionamiento a nivel de enlace desde 169.254.0.0/16
subred para el túnel. La dirección IP 169.254.0.1 está reservada para FortiManager y los dispositivos administrados se asignan a otras
direcciones IP en el rango 169.254.0.0/16 .

Se envía un mensaje de mantenimiento de actividad desde el dispositivo FortiGate. El mensaje de mantenimiento de actividad incluye la suma de comprobación de
la configuración de FortiGate, que calcula el estado de sincronización.

Se requieren credenciales de inicio de sesión de FortiGate al descubrir el dispositivo por primera vez o al reclamar el túnel.
Las credenciales de inicio de sesión son para configurar el número de serie. Una vez ingresadas las credenciales de inicio de sesión, el
número de serie se convierte en la base de autenticación.

Guía de estudio del administrador de FortiManager 7.4 116

Machine Translated by Google
Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Hay dos pasos a seguir cuando FortiGate se registra en FortiManager:

1. Descubrimiento: en este paso, FortiManager envía un comando CLI para obtener el estado del sistema para obtener el
Información mínima para FortiGate.
2. Agregar: Durante este paso, FortiManager obtiene los detalles completos de configuración de FortiGate y
La configuración de FortiGate se almacena en la base de datos del dispositivo.

El túnel FGFM seguro puede iniciarse mediante cualquier dispositivo, FortiGate o FortiManager, según el método de registro utilizado.

Si FortiGate inicia el túnel, el dispositivo se agrega a la lista de dispositivos no autorizados de FortiManager en la raíz ADOM. Hasta el
momento no ha sido descubierto. El proceso completo de descubrimiento y adición comienza una vez que se autoriza el dispositivo.

Guía de estudio del administrador de FortiManager 7.4 117

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Cuando FortiManager descubre y agrega FortiGate, envía varios comandos a FortiGate para obtener su información completa. Esta
diapositiva muestra solo algunos de esos comandos.

Para ver la lista completa de comandos, puede ejecutar el comando diagnostic debug cli 8 en FortiGate, mientras lo agrega a FortiManager.

Guía de estudio del administrador de FortiManager 7.4 118

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Consulte esta lista de verificación básica si FortiManager tiene problemas para descubrir dispositivos FortiGate:

• Verifique que tenga suficientes privilegios de administrador en FortiManager para agregar un dispositivo FortiGate. • Verifique
que el modo fuera de línea esté desactivado. Recuerde que el modo fuera de línea se habilita después de una restauración de la configuración.
• Verifique que parámetros como credenciales, dirección IP, números de serie y claves precompartidas sean correctos en el
Asistente para agregar dispositivo.

• Verifique que el acceso FGFM esté habilitado en la interfaz FortiGate frente a FortiManager.

Además, puede verificar si los puertos requeridos están abiertos en todos los dispositivos intermediarios y ejecutar el comando de diagnóstico
del paquete sniffer para examinar el tráfico enviado y recibido.

Guía de estudio del administrador de FortiManager 7.4 119

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 120

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio del administrador de FortiManager 7.4 121

Machine Translated by Google Registro de dispositivo

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Al dominar los objetivos cubiertos en esta lección, aprendió sobre las funciones principales del administrador de dispositivos y cómo
registrar dispositivos FortiGate en FortiManager.

Guía de estudio del administrador de FortiManager 7.4 122

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá cómo configurar cambios a nivel de dispositivo, comprender el estado de un FortiGate administrado
en FortiManager e instalar cambios en dispositivos FortiGate administrados. También aprenderá a utilizar el historial de revisiones
para solucionar problemas y conocerá las capacidades de los scripts y los grupos de dispositivos.

Guía de estudio del administrador de FortiManager 7.4 123

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 124

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia para comprender el estado de configuración de FortiGate y el comportamiento de sincronización, podrá
diagnosticar y tomar medidas en función del estado de FortiGate.

Guía de estudio del administrador de FortiManager 7.4 125

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Puede configurar los ajustes a nivel de dispositivo seleccionando el dispositivo deseado en Dispositivos y grupos > FortiGate administrado. Las
configuraciones disponibles se pueden administrar seleccionándolas en la barra de herramientas cerca de la parte superior, que incluye
pestañas para configurar la red, VPN y el sistema, entre otros. La mayoría de las configuraciones que encontrará aquí tienen una correlación
uno a uno con las opciones que vería si iniciara sesión localmente usando la GUI o CLI de FortiGate.

Como ejemplo, esta diapositiva muestra cómo puede crear una nueva ruta estática en el dispositivo llamado ISFW. Tenga en cuenta que los
cambios realizados aquí no se aplican al dispositivo automáticamente y deben instalarse para que surtan efecto. Aprenderá sobre este proceso
más adelante en esta lección.

No todas las opciones disponibles se muestran de forma predeterminada en la barra de herramientas. Para incluir más opciones u ocultar las
que no necesita, puede hacer clic en Visibilidad de funciones para seleccionarlas como se muestra en la diapositiva. Tenga en cuenta
que las opciones disponibles varían según las funciones compatibles del dispositivo y la versión del firmware.

Guía de estudio del administrador de FortiManager 7.4 126

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Este diagrama muestra los diferentes estados que puede tener un FortiGate administrado. FortiManager mantiene las configuraciones
de FortiGate en el historial de revisiones. El historial de revisiones más reciente se compara con la configuración de FortiGate para
proporcionar los estados de configuración. El historial de revisiones más reciente también se compara con la base de datos a nivel
de dispositivo de FortiGate, lo que indica si la configuración de FortiGate ha cambiado en FortiManager.

Conocer el estado de configuración general de un dispositivo administrado ayuda al administrador a identificar problemas y tomar las
acciones adecuadas desde FortiManager:

• Sincronizado/Actualización automática: la última entrada de configuración del historial de revisión (ya sea una instalación, recuperación,
o actualización automática) está alineado con la configuración en FortiGate.
• Modificado: Las configuraciones se modifican en FortiManager y no se sincronizan entre FortiManager y
el dispositivo administrado.
• Fuera de sincronización: la entrada de configuración del historial de revisiones más reciente no coincide con la configuración en el
FortiGate debido a cambios de configuración realizados localmente en FortiGate o una falla de instalación parcial anterior. Se
recomienda realizar una recuperación desde FortiManager.
• Conflicto: si los cambios se realizan localmente en FortiGate pero no se recuperan, y los cambios también se
hecho desde FortiManager, el estado pasa a estado de conflicto. Dependiendo de los cambios de configuración, usted
Puede recuperar la configuración o instalar los cambios desde FortiManager. El estado de conflicto también puede indicar una instalación
fallida.
• Desconocido: FortiManager no puede determinar el estado de sincronización porque no se puede acceder a FortiGate o debido a un error
de instalación parcial. Se recomienda realizar una recuperación desde FortiManager.

Guía de estudio del administrador de FortiManager 7.4 127

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

En el panel Administrador de dispositivos, haga clic en un FortiGate administrado para seleccionarlo y ver su panel. Puede ver el campo
Estado de configuración en el widget Configuración e instalación.
El estado de configuración compara la configuración del dispositivo en ejecución con la versión actual en el historial de revisiones.
Hay algunos estados de sincronización posibles:
• Sincronizado: la entrada de configuración del historial de revisiones actual (ya sea una instalación o una recuperación) se
sincroniza con la configuración en ejecución en FortiGate.
• Fuera de sincronización: la entrada de configuración del historial de revisión actual no coincide con la configuración en ejecución en
FortiGate. Puede deberse a una instalación fallida o a cambios directos realizados en FortiGate que no se actualizaron
automáticamente.
• Desconocido: el sistema FortiManager no puede detectar qué revisión (en el historial de revisiones) se está ejecutando actualmente en el
dispositivo debido a un problema de conexión. El estado Desconocido también puede indicar que agregó un
dispositivo modelo, que no genera una revisión.
• Conflicto: cuando la instalación falla o se modifica la configuración tanto en FortiManager como en el dispositivo administrado,
y no se sincroniza automáticamente con FortiManager.

Guía de estudio del administrador de FortiManager 7.4 128

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

El estado de configuración indica el estado de la configuración del dispositivo en FortiManager. Hay tres estados de configuración:

• Modificado: si el dispositivo se configura desde el Administrador de dispositivos, la base de datos del dispositivo cambia y el estado de
configuración del dispositivo se etiqueta como Modificado, porque no coincide con la configuración en ejecución o el historial de revisión
más reciente para ese dispositivo. Si se instalan cambios, el dispositivo vuelve al estado sincronizado.
• Actualización automática: los cambios de configuración se realizan directamente en FortiGate y la base de datos del dispositivo se
actualiza automáticamente.
• Modificado (actualización automática reciente): las configuraciones se modifican en FortiManager y las configuraciones
modificados en el dispositivo administrado se sincronizan automáticamente con FortiManager.

Guía de estudio del administrador de FortiManager 7.4 129

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Puede ver los cambios realizados en la base de datos del dispositivo en FortiManager haciendo clic en Instalar vista previa en
el widget de Configuración e Instalación. La vista previa incluye los comandos exactos que se instalarán en ese FortiGate cuando se
realice la próxima instalación.

Esta diapositiva muestra una nueva ruta estática que se enviará a FortiGate en la próxima instalación. Debido a que se
realizó un cambio de configuración, pero aún no se ha instalado en el dispositivo, el estado de configuración se etiqueta como Modificado.

Guía de estudio del administrador de FortiManager 7.4 130

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

El comando diagnostic dvm device list proporciona la lista de todos los dispositivos administrados por
FortiManager, así como cualquier dispositivo no registrado. Todos los VDOM registrados también se enumeran aquí. Esta salida
proporciona información, como el número de serie, la IP de conexión, el firmware, el modo HA y el estado de la configuración a nivel de
dispositivo y los paquetes de políticas.

El ejemplo de esta diapositiva muestra que la configuración de FortiGate está sincronizada con el último historial de revisiones en
ejecución. Sin embargo, se han realizado cambios en FortiManager en la configuración a nivel de dispositivo. Es por eso que la salida de
CLI muestra db:modified y cond se muestra como pendiente. Después de instalar los cambios en FortiGate, el resultado muestra db:
no modificado y cond: OK.

Finalmente, este comando también muestra si el túnel FGFM entre FortiGate y FortiManager está activo o inactivo.

Guía de estudio del administrador de FortiManager 7.4 131

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Puede utilizar el comando diagnostic fgfm session­list para verificar el tiempo de actividad del túnel FGFM entre los dispositivos
FortiManager y FortiGate, mostrar las direcciones IP de conexión de todos los dispositivos administrados y mostrar las direcciones de
enlace local asignadas por FortiManager a los dispositivos FortiGate para el tráfico de administración.

Si necesita restablecer la conexión entre el dispositivo seleccionado y FortiManager, puede usar la opción Actualizar dispositivo. Esta
operación actualiza el estado del dispositivo y recupera información básica sobre el dispositivo administrado, como el número de serie,
la versión del firmware, los contratos de soporte y la información de los miembros del clúster FortiGate HA.

Puede actualizar la conexión seleccionando el dispositivo en el Administrador de dispositivos y luego seleccionando Actualizar dispositivo
en la lista desplegable Más.

Guía de estudio del administrador de FortiManager 7.4 132

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 133

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende la configuración a nivel de dispositivo y el estado de los dispositivos administrados en FortiManager.

Ahora aprenderá cómo instalar cambios de configuración desde FortiManager.

Guía de estudio del administrador de FortiManager 7.4 134

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la instalación de cambios de configuración, realizará cambios con éxito en los dispositivos
administrados a través de FortiManager.

Guía de estudio del administrador de FortiManager 7.4 135

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra un ejemplo de cuándo se actualiza el estado de configuración de un FortiGate administrado después de
realizar un cambio en FortiManager, así como el proceso que tiene lugar cuando ejecuta el Asistente de instalación para instalar
esos cambios.

FortiManager mantiene las configuraciones de FortiGate en el historial de revisiones. El historial de revisiones más reciente se
compara con la configuración de FortiGate para proporcionar el estado de la configuración y se actualiza si es necesario.

Cuando se instala una nueva configuración, FortiManager compara la última revisión de configuración con los cambios
realizados en FortiManager. Si son diferentes, FortiManager crea una nueva revisión e instala los cambios en el dispositivo
administrado.

Guía de estudio del administrador de FortiManager 7.4 136

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Los cambios de configuración realizados desde el Administrador de dispositivos no tienen efecto inmediato; deben instalarse.
Hasta que se instalen, el estado de configuración del dispositivo permanece como Modificado. El proceso de instalación implica el asistente de instalación de
FortiManager.

Durante la instalación, se le pedirá que elija entre dos tipos de instalación diferentes.

Si elige Instalar configuración del dispositivo (solo), el asistente instala solo los cambios de configuración a nivel de dispositivo realizados desde
FortiManager. Si ha realizado cambios en la configuración y las políticas a nivel de dispositivo en el
paquetes de políticas, puede elegir Instalar paquete de políticas y configuración del dispositivo, que instala los cambios del paquete de políticas y cualquier
configuración específica del dispositivo. Aprenderá sobre los paquetes de políticas más adelante en este curso.

Para iniciar el asistente de instalación, haga clic en Asistente de instalación en la barra de herramientas, o haga clic en Instalar y elija Asistente de instalación
como se muestra en esta diapositiva.

En el ejemplo de la diapositiva, está seleccionado Instalar configuración del dispositivo (solo). Una vez que se complete la instalación, FortiManager y FortiGate
volverán a estar sincronizados y el estado de configuración cambiará de Modificado a Sincronizado.

Guía de estudio del administrador de FortiManager 7.4 137

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Después de elegir el tipo de instalación, debe seleccionar el dispositivo en el que desea instalar los cambios.
Si ha realizado cambios a nivel de dispositivo en varios dispositivos en el Administrador de dispositivos, puede seleccionar varios
dispositivos en los que instalar esos cambios.

El siguiente paso es la validación. El asistente de instalación verifica la configuración del dispositivo y la compara con el historial de
revisiones en ejecución más reciente. En este punto, puede hacer clic en Instalar vista previa para ver los cambios de configuración que se
instalarán en el FortiGate administrado. Puede descargar la vista previa haciendo clic en Descargar. El archivo se guarda en
formato .txt.

Como práctica recomendada, siempre debe obtener una vista previa y verificar los cambios que se enviarán a FortiGate. En caso de
conflicto, puede cancelar la instalación. Luego, puede revisar y corregir la configuración conflictiva en el Administrador de
dispositivos y reiniciar el Asistente de instalación.

En el ejemplo que se muestra en esta diapositiva, se agregó una nueva ruta estática.

Guía de estudio del administrador de FortiManager 7.4 138

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

El último paso realizado con el Asistente de instalación es la instalación. Una vez completada la instalación, puede ver el registro de
instalación para ver la lista de dispositivos en los que se instalaron los cambios de configuración.

El registro también muestra cualquier error o advertencia que haya ocurrido durante el proceso de instalación. Haga clic en
Ver registro de instalación para ver los cambios de configuración instalados en el FortiGate administrado. Si la instalación falla, el registro
de instalación proporciona una indicación de la etapa en la que ocurrió el error.

Opcionalmente, puede descargar el registro de instalación para sus registros o utilizarlo como referencia para futuras instalaciones.

En el ejemplo que se muestra en esta diapositiva, la instalación fue exitosa y FortiManager creó un nuevo historial de revisión para la
instalación.

Guía de estudio del administrador de FortiManager 7.4 139

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

La opción Instalación rápida (DB de dispositivo) le permite realizar una instalación rápida de la configuración a nivel de dispositivo sin
iniciar el Asistente de instalación.

Cuando utiliza esta opción, no puede obtener una vista previa de los cambios antes de instalarlos. Los administradores deben estar seguros
de los cambios realizados antes de utilizar esta opción porque la instalación no se puede cancelar una vez iniciado el proceso.

Si no están seguros acerca de los cambios, se recomienda a los administradores que utilicen el Asistente de instalación para poder
obtener una vista previa de los cambios antes de confirmarlos.

Guía de estudio del administrador de FortiManager 7.4 140

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 141

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende los pasos necesarios para instalar cambios de configuración a nivel de dispositivo.

Ahora, aprenderá sobre el repositorio del historial de revisiones para los dispositivos FortiGate administrados en FortiManager.

Guía de estudio del administrador de FortiManager 7.4 142

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en el uso del historial de revisión de configuración, podrá diagnosticar y solucionar problemas comunes
relacionados con los cambios de configuración de FortiGate.

Guía de estudio del administrador de FortiManager 7.4 143

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Una nueva revisión de configuración se crea mediante muchas operaciones diferentes, como agregar un dispositivo, instalar
cambios, recuperar una configuración o la aparición de una actualización automática.

FortiManager mantiene un repositorio de las revisiones de configuración asociadas con sus dispositivos administrados. Esta colección
es el historial de revisiones de configuración y permite al administrador de FortiManager examinar los cambios de
configuración entre revisiones, ver el historial de instalación y ver qué administrador o proceso creó la nueva revisión de
configuración. Esto es muy útil para solucionar problemas.

Guía de estudio del administrador de FortiManager 7.4 144

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Para examinar el historial de revisiones, seleccione el dispositivo y, en el widget Configuración e instalación, podrá ver, descargar o
comparar las diferencias entre revisiones.

Guía de estudio del administrador de FortiManager 7.4 145

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Varios datos importantes están disponibles cuando examina el Historial de revisiones de configuración. Las columnas Instalación y
Creado por proporcionan detalles sobre la acción, el proceso y el administrador que creó la revisión.

Puede seleccionar cualquiera de las revisiones para ver o descargar la revisión de configuración correspondiente. Este
incluye la configuración completa del dispositivo administrado, no solo la configuración a nivel de dispositivo.

También puede comparar las diferencias entre versiones haciendo clic en Revisión Diff. Puede comparar el historial de revisiones con
una versión anterior, seleccionar una versión específica o compararla con la configuración predeterminada de fábrica. Puede
optar por mostrar la configuración completa con diferencias o solo las diferencias como en el ejemplo de esta diapositiva.

La opción Ver registro de instalación está disponible solo en entradas con el valor Instalado. Esto es útil porque muestra qué comandos se
enviaron y aceptaron en el dispositivo, así como los comandos que no se aceptaron si se produjo algún error.

Para todas las opciones mencionadas anteriormente, puede optar por descargar la información a un archivo. Puede utilizar este archivo,
por ejemplo, para crear scripts de configuración más adelante.

Guía de estudio del administrador de FortiManager 7.4 146

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Si no está satisfecho con la configuración en ejecución, existen varias formas de resolver los problemas de configuración. Puede:

• Recuperar la configuración del dispositivo administrado.

• Modificar la configuración directamente en el dispositivo administrado.
• Modifique la configuración en FortiManager y luego instálela en el dispositivo administrado.
• Volver a una configuración de trabajo anterior.
• Importar archivos de revisión previamente exportados desde una computadora local.

Después de cada operación de recuperación, actualización automática o reversión, debe utilizar la herramienta Importar configuración para asegurarse
de que la información de la política también esté sincronizada.

Guía de estudio del administrador de FortiManager 7.4 147

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Usando la ventana Historial de revisiones de configuración, puede crear una nueva revisión basada en la configuración actual de un
dispositivo administrado. Cuando hace clic en Recuperar configuración, FortiManager procede a obtener la configuración del dispositivo
seleccionado y luego crea una nueva revisión.

Esta opción se puede utilizar para resincronizar el dispositivo FortiGate con la base de datos del dispositivo FortiManager. Sin embargo,
Después de recuperar la configuración, debe utilizar el asistente Importar configuración para asegurarse de que la información de
la política también esté sincronizada.

La columna Comentarios genera automáticamente un comentario si se realiza una operación de recuperación.

Guía de estudio del administrador de FortiManager 7.4 148

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

De forma predeterminada, todos los cambios realizados directamente en un dispositivo FortiGate administrado se actualizan
automáticamente en FortiManager y se reflejan en el Historial de revisiones y el Estado de configuración de ese dispositivo.

Puede utilizar los comandos que se muestran en esta diapositiva para desactivar el comportamiento de actualización automática predeterminado.
Esto permite al administrador de FortiManager aceptar o rechazar la actualización.

Si se produce una actualización automática, FortiManager ya no puede asegurarse de que el paquete de políticas seleccionado sea el mismo que la
política de firewall en ejecución. Para lograr una sincronización completa, debe ejecutar la herramienta Importar configuración en
FortiManager para sincronizar el paquete de políticas.

Guía de estudio del administrador de FortiManager 7.4 149

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

La marca de verificación verde en el historial de revisiones indica qué configuración del historial de revisiones corresponde a la
configuración de la base de datos del administrador de dispositivos. Suele ser la entrada superior, que está sincronizada con la
configuración de FortiGate.

Una operación de reversión cambia la configuración de la base de datos del dispositivo a un estado de configuración anterior.
Debe instalar estos cambios revertidos en FortiGate, que luego crea una nueva entrada de revisión. Esta nueva revisión es una
copia de la revertida y está sincronizada con la configuración de FortiGate.

Puede volver a cualquier revisión anterior haciendo clic derecho en esa entrada y luego haciendo clic en Revertir. La entrada
seleccionada actualiza automáticamente la columna Instalación a Reversión de revisión. FortiManager también actualiza la
columna Comentarios con el número de la revisión de la que se revierte e indica que se generará una nueva ID de revisión en una
instalación.

Realizar una operación de reversión seguida de una instalación solo revierte los cambios a nivel de dispositivo y no revierte los paquetes
de políticas. Para lograr una sincronización completa, debe ejecutar la herramienta Importar configuración en
FortiManager para sincronizar el paquete de políticas.

Guía de estudio del administrador de FortiManager 7.4 150

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 151

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende el propósito del historial de revisiones y cómo se puede utilizar.

Ahora aprenderá sobre scripts y grupos de dispositivos.

Guía de estudio del administrador de FortiManager 7.4 152

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en el uso de scripts, podrá realizar cambios de configuración masivos en muchos dispositivos FortiGate
administrados. Al utilizar grupos de dispositivos, podrá administrar y gestionar sus dispositivos FortiGate de manera más efectiva y
eficiente.

Guía de estudio del administrador de FortiManager 7.4 153

Machine Translated by Google
Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Puede utilizar scripts para realizar cambios de configuración en un dispositivo administrado. Los scripts son útiles para cambios de
configuración masivos y para mantener la coherencia en múltiples dispositivos. FortiManager admite dos tipos de scripts:

• CLI: incluye solo comandos CLI de FortiOS tal como los escribiría en la línea de comando en un
Dispositivo FortiGate.
• Tcl: un lenguaje de scripting dinámico que permite el uso de variables globales y estructuras de decisión. Debes estar familiarizado con el
lenguaje Tcl y las expresiones regulares para utilizarlo. Para obtener más información sobre los scripts Tcl, visite: http://www.tcl.tk

De forma predeterminada, los scripts CLI están habilitados. Sin embargo, para utilizar scripts Tcl, deben habilitarse con el comando que se
muestra en esta diapositiva.

Tenga en cuenta que los scripts Tcl no se ejecutan a través del túnel FGFM como lo hacen los scripts CLI. Los scripts Tcl usan SSH para
hacer un túnel a través de FGFM y requieren autenticación SSH para hacerlo. Si FortiManager no utiliza las credenciales administrativas
correctas en el administrador de dispositivos, el script Tcl falla.

Los scripts CLI utilizan el túnel FGFM, y el túnel FGFM se autentica utilizando los números de serie de FortiManager y FortiGate.

Aunque no está disponible para la creación de secuencias de comandos independientes, puede utilizar secuencias de comandos Jinja al crear
plantillas CLI. Jinja usa una sintaxis similar a Python y le permite usar variables FortiManager en una plantilla CLI que puede aplicar a uno o
más dispositivos.

En esta lección, aprenderá únicamente sobre los scripts CLI.

Guía de estudio del administrador de FortiManager 7.4 154

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Al crear scripts CLI, siga las siguientes mejores prácticas:

• Utilice comandos CLI completos de FortiOS. Se puede utilizar una sintaxis parcial; sin embargo, puede provocar que el script falle.
• Una línea que comienza con el signo numérico (#) se considera un comentario y no se ejecutará. • En FortiGate
CLI, asegúrese de que la salida de la consola esté configurada en estándar. De lo contrario, los scripts y otros resultados de mayor
longitud que una pantalla no se ejecutarán ni se mostrarán correctamente.

Guía de estudio del administrador de FortiManager 7.4 155

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Los scripts se pueden ejecutar en tres ubicaciones diferentes:

• Base de datos del dispositivo: de forma predeterminada, se ejecuta un script en la base de datos del dispositivo. Se recomienda ejecutar los
cambios en la base de datos del dispositivo porque esto le permite verificar qué cambios de configuración se envían al dispositivo administrado.
Una vez que se ejecutan los scripts en la base de datos del dispositivo, puede instalar los cambios en un dispositivo administrado mediante el
asistente de instalación.
• Paquete de políticas o base de datos ADOM: si un script contiene cambios relacionados con objetos de nivel ADOM y
políticas, puede cambiar la selección predeterminada para ejecutar el script en el paquete de políticas o la base de datos ADOM
en su lugar, y luego instale los cambios usando el asistente de instalación.
• FortiGate remoto directamente (a través de CLI): se puede ejecutar un script directamente en el dispositivo y no es necesario instalar los cambios
mediante el asistente de instalación. Como los cambios se instalan directamente en el dispositivo administrado, no se proporciona ninguna
opción para verificar los cambios de configuración a través de FortiManager antes de ejecutarlos.
a ellos.

También puede aplicar opciones en Filtros de dispositivos avanzados, que le permiten restringir la ejecución de scripts en dispositivos
administrados, solo si el dispositivo coincide con los criterios establecidos. Por ejemplo, puede limitar la secuencia de comandos para que se
ejecute solo en un subconjunto de dispositivos administrados o en dispositivos con una plataforma específica.

Guía de estudio del administrador de FortiManager 7.4 156

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Una vez que haya configurado un script, puede ejecutarlo manualmente seleccionando Ejecutar script. También puedes programarlo para que se ejecute a
una hora específica; por ejemplo, fuera del horario comercial. Esto es útil cuando no desea interferir con la red de producción en horario comercial.

Para programarlo, haga clic derecho en el script y luego haga clic en Programar script. Las programaciones no se pueden utilizar en secuencias de comandos
que deben ejecutarse en el paquete de políticas o la base de datos ADOM.

El menú contextual también ofrece otras opciones, como editar, clonar, eliminar y exportar el script. El script exportado se puede guardar en su
computadora local en formato .txt. Los scripts también se pueden importar como archivos de texto desde su computadora local.

El historial de ejecución del script está disponible en el widget Estado de configuración y instalación de cada dispositivo administrado, así como en
Configuración del sistema > Monitor de tareas.

Guía de estudio del administrador de FortiManager 7.4 157

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

También puede utilizar scripts para obtener información del dispositivo FortiGate. Este tipo de script generalmente consta de una
sola línea que utiliza un comando show u get y debe configurarse para ejecutarse en FortiGate remoto directamente (a través de CLI).
La ejecución de un script de este tipo en la base de datos del dispositivo o en la base de datos ADOM no proporciona ninguna
información útil o simplemente genera un error.

FortiManager admite el mapeo dinámico de interfaces y objetos para que puedan usarse con múltiples
paquetes de políticas. Puede configurar estas asignaciones dinámicas desde la GUI de FortiManager en el panel Política y objeto.
Pero, ¿qué sucede si necesita configurar un mapeo dinámico para cientos de dispositivos FortiGate para un objeto de dirección o
una interfaz?

Para esos casos, puede usar scripts que requieran una sintaxis CLI especial que sea aplicable a FortiManager internamente y
se use para crear mapeos dinámicos. Es un guión de dos partes:

• La parte superior es la sintaxis normal de la CLI de FortiOS que define el objeto.

• La parte inferior es una sintaxis especial de FortiManager CLI para crear un mapeo dinámico para el objeto o interfaz
definido en la parte superior.

Guía de estudio del administrador de FortiManager 7.4 158

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

La tabla de la diapositiva incluye errores comunes y causas comunes por las que fallan los scripts. Puede utilizarlos para diagnosticar y
solucionar problemas de fallas de secuencias de comandos.

Los errores comunes y las causas por las que fallan los scripts son:

• Error de análisis de comando: No fue posible analizar esta línea de su script en un comando CLI de FortiGate válido. Esto suele
deberse a palabras clave mal escritas o a un formato de comando incorrecto.
• acción desconocida: generalmente, este mensaje indica que la línea anterior del script no se ejecutó.
provocando que los siguientes comandos CLI no se ejecuten correctamente.
• Dispositivo <nombre> falló­1: Esto generalmente significa que hay un problema con el final del script. El
<nombre> es el nombre del FortiGate en el que se ejecuta el script. Si un script no tiene una declaración final o esa línea tiene un
error, es posible que vea este mensaje de error. También puede ver este mensaje si la unidad FortiGate no está sincronizada
con FortiManager.

Para resolver estos problemas de secuencias de comandos, utilice el historial de secuencias de comandos para examinar qué comandos CLI se ejecutan y
qué comandos no se pueden ejecutar.

Guía de estudio del administrador de FortiManager 7.4 159

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Al solucionar problemas de scripts, puede consultar el historial de ejecución del script para ver detalles sobre el script. Esto está
disponible en el widget Configuración y estado de instalación de cada dispositivo administrado, así como en Configuración del
sistema > Monitor de tareas.

Además, puede examinar detalles sobre la ejecución del script utilizando registros de eventos.

Guía de estudio del administrador de FortiManager 7.4 160

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Puede utilizar el comando ejecutar fmscript <opción> en FortiManager para varias operaciones relacionadas con los scripts. La tabla
de esta diapositiva muestra algunas de las opciones disponibles.

El ejemplo de comando que se muestra ejecuta el script con ID 244 en los dispositivos que son miembros del grupo con ID 245 en el
ADOM denominado My_ADOM. Tenga en cuenta que el destino del script y el lugar donde desea ejecutarlo deben coincidir. Por
ejemplo, no puede ejecutar un script configurado para ejecutarse en la base de datos del dispositivo en un ADOM.

Guía de estudio del administrador de FortiManager 7.4 161

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Puede crear grupos de dispositivos en un ADOM para simplificar las tareas de administración. Por ejemplo, puede proporcionar un destino que
represente varios dispositivos para scripts, actualizaciones de firmware y cambios de configuración.

Puede crear un nuevo grupo de dispositivos haciendo clic en Grupo de dispositivos > Crear nuevo grupo y seleccionando los dispositivos
que se agregarán a este grupo.

Tenga en cuenta que para eliminar un grupo de dispositivos, primero debe eliminar todos los dispositivos del grupo. De manera similar, para
eliminar un ADOM, primero debe eliminar todos los grupos de dispositivos del ADOM.

Guía de estudio del administrador de FortiManager 7.4 162

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 163

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio del administrador de FortiManager 7.4 164

Machine Translated by Google Configuración e instalación a nivel de dispositivo

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Al dominar los objetivos cubiertos en esta lección, aprendió cómo configurar cambios a nivel de dispositivo,
comprender el estado de un FortiGate administrado en FortiManager e instalar cambios en los dispositivos FortiGate
administrados. También aprendió a utilizar el historial de revisiones para solucionar problemas y sobre las capacidades de
los scripts y los grupos de dispositivos.

Guía de estudio del administrador de FortiManager 7.4 165

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá cómo administrar políticas y objetos en FortiManager para FortiGate. También aprenderá
cómo configurar políticas y objetos en FortiManager y luego instalarlos en FortiGate.

Guía de estudio del administrador de FortiManager 7.4 166

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 167

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la comprensión, configuración y uso de políticas y objetos, podrá crear accesos y políticas
personalizados según las necesidades de su organización.

Guía de estudio del administrador de FortiManager 7.4 168

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Los paquetes de políticas simplifican la administración centralizada de políticas de firewall al proporcionar un contenedor útil para
su conjunto de reglas de firewall. Los paquetes de políticas contienen políticas de firewall que, a su vez, se vinculan a los objetos que
usted define en el panel Objetos de firewall. Los objetos comparten la base de datos de objetos común para cada ADOM. Puede
compartir objetos entre varios paquetes de políticas en ADOM.

Puede administrar un paquete de políticas común para muchos dispositivos en un ADOM o tener un paquete de políticas
separado para cada dispositivo. Los paquetes de políticas le permiten mantener múltiples versiones del conjunto de reglas. Por ejemplo,
puede clonar un paquete de políticas antes de realizar cambios, lo que le permite conservar el conjunto de reglas anterior.

Una advertencia: si bien los paquetes de políticas permiten múltiples versiones de un conjunto de reglas de políticas de firewall, los
objetos a los que se hace referencia en esos paquetes no tienen múltiples versiones: solo usan un valor actual.

Por ejemplo, supongamos que clona un paquete de políticas, agrega una nueva regla y luego cambia el valor de un objeto compartido. Si
regresa a una versión anterior del paquete de políticas, saldrá de la regla que agregó, pero no de la modificación del objeto compartido.
La única forma de volver a una versión anterior del paquete de políticas, incluida la reversión de la regla que agregó y la modificación del
objeto compartido, es usar revisiones de ADOM, que toman una instantánea de la base de datos de Políticas y objetos para ese
ADOM. .

Guía de estudio del administrador de FortiManager 7.4 169

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

En un único ADOM, los administradores pueden crear varios paquetes de políticas. FortiManager le permite personalizar
los paquetes de políticas para cada dispositivo o VDOM en un ADOM específico, o aplicar un único paquete de
políticas para múltiples dispositivos en un ADOM. Al definir el alcance de un paquete de políticas, un administrador puede
modificar o editar las políticas de ese paquete, sin cambiar otros paquetes de políticas.

Guía de estudio del administrador de FortiManager 7.4 170

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Todos los objetos en un ADOM son administrados por una única base de datos que es exclusiva de ese ADOM. Los objetos dentro
de la base de datos incluyen objetos de firewall, perfiles de seguridad, usuarios y dispositivos, entre otros.

Los objetos se comparten en ADOM y se pueden utilizar en varios paquetes de políticas. Esto simplifica el trabajo del administrador.
Por ejemplo, puede crear un perfil de seguridad una vez y adjuntarlo a múltiples paquetes de políticas para instalarlo en múltiples
dispositivos FortiGate.

Para crear o editar objetos existentes, vaya a Política y objetos > Objetos de firewall y seleccione el tipo de objeto en el menú superior
de la pantalla. En esta diapositiva, la pestaña Direcciones está seleccionada.

Guía de estudio del administrador de FortiManager 7.4 171

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

La ventana Visibilidad de funciones le permite mostrar funciones específicas en la GUI. Las opciones disponibles dependen de la versión de
ADOM y varían de un ADOM a otro.

De forma predeterminada, cuando abre Visibilidad de funciones, las casillas de verificación para las opciones más comunes están seleccionadas.
Puede mostrar u ocultar una función en Visibilidad de funciones seleccionando o desactivando la casilla de verificación junto a la función.
Puede mostrar todas las opciones en una categoría seleccionando la casilla de verificación al lado del nombre de la categoría o mostrar todas las
categorías seleccionando Verificar todo en la parte inferior de la ventana Visibilidad de funciones.

También puede habilitar tipos de políticas de firewall adicionales, como NAT64, IPv6 y políticas de interfaz en Visibilidad de funciones.

Guía de estudio del administrador de FortiManager 7.4 172

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Un paquete de políticas tiene un destino de instalación en uno o más dispositivos o VDOM. Los paquetes de políticas pueden compartir
el mismo destino de instalación; sin embargo, solo un paquete de políticas puede estar activo en un dispositivo o VDOM. El paquete
de políticas activas aparece en el panel Administrador de dispositivos.

Puede agregar, editar o eliminar un destino de instalación en el panel Destinos de instalación.

Después de agregar un destino de instalación, aparece en la lista de Destinos de instalación. Cuando instalas una nueva
paquete de políticas asignado en un destino, el asistente de instalación muestra un mensaje de advertencia que contiene el nombre
del paquete de políticas asignado previamente.

Después de instalar el nuevo paquete de políticas, aparece como el paquete de políticas activo para estos dispositivos o VDOM en el
panel Administrador de dispositivos, en la columna Estado del paquete de políticas.

Guía de estudio del administrador de FortiManager 7.4 173

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

¿Qué sucede si necesita compartir un paquete de políticas entre muchos dispositivos, excepto solo unas pocas políticas para dispositivos
FortiGate específicos?

Puede realizar objetivos de instalación granulares por regla en la política real haciendo clic en la columna Instalar en.
Esto le permite apuntar a dispositivos para agregarlos, eliminarlos o establecerlos en los valores predeterminados.

Por lo tanto, al utilizar un destino de instalación, puede compartir un paquete de políticas entre varios dispositivos y definir reglas por
dispositivo en la política. Los paquetes de políticas compartidas son útiles en entornos donde muchos dispositivos necesitan compartir
políticas comunes (excepto algunas políticas que puede orientar por dispositivo) y eliminan la necesidad de múltiples paquetes de
políticas.

Guía de estudio del administrador de FortiManager 7.4 174

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Todos los objetos de un ADOM son administrados por una única base de datos exclusiva de ADOM. Muchos objetos ahora incluyen
la opción de habilitar el mapeo dinámico. Puede utilizar objetos dinámicos para asignar un único objeto lógico a una definición
única por dispositivo. Puede asignar dinámicamente características comunes como direcciones, interfaces, IP virtuales y grupos
de IP. Un ejemplo común es una dirección de firewall. Es posible que tenga un nombre común para un objeto de dirección, pero
que tenga un valor diferente según el dispositivo en el que esté instalado.

En el ejemplo que se muestra en esta diapositiva, el objeto de dirección dinámica Interna se refiere a la dirección de red interna de los
firewalls administrados. El objeto tiene un valor predeterminado de 10.0.0.0/8. Las reglas de mapeo se definen por dispositivo. Para
Remote­FortiGate, el objeto de dirección Internal se refiere a 10.0.2.0/24, mientras que para Local­FortiGate el mismo objeto
se refiere a 10.0.1.0/24. Los dispositivos en ADOM que no tienen mapeo dinámico para Interno tienen un valor predeterminado
de 10.0.0.0/8.

Para agregar dispositivos para la asignación dinámica, seleccione la flecha Asignación por dispositivo y luego, en la sección
Asignación por dispositivo, haga clic en Crear nuevo. En la ventana emergente que se abre, seleccione el dispositivo y configure
el rango/subred de IP.

Guía de estudio del administrador de FortiManager 7.4 175

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Las interfaces normalizadas predeterminadas se crean cuando se crean los ADOM. Las interfaces normalizadas predeterminadas contienen
Varias reglas de mapeo por plataforma para todos los modelos FortiGate.

En el ejemplo que se muestra en esta diapositiva, la interfaz internal1 se asigna a internal1 para las plataformas resaltadas.
Las reglas de mapeo predeterminadas por plataforma le permiten instalar políticas en dispositivos FortiGate sin crear primero reglas de
mapeo personalizadas.

Puede asignar nombres de interfaz normalizados a diferentes nombres de interfaz física en diferentes modelos de FortiGate.
En el ejemplo que se muestra en esta diapositiva, la interfaz normalizada denominada Inside está asignada al puerto3 para Local­
FortiGate y al puerto6 para Remote­FortiGate.

También puede seleccionar interfaces normalizadas cuando crea pares de cables virtuales.

Guía de estudio del administrador de FortiManager 7.4 176

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

En este ejemplo, Inside está asignado al puerto 3 en Local­FortiGate. Por lo tanto, después de instalar una política de firewall
en el FortiGate administrado, la interfaz interna aparecerá como puerto3.

El exterior, sin embargo, permanece intacto, porque está instalado en el dispositivo como una zona y las interfaces de
puerto1 y puerto2 son parte de ella.

Guía de estudio del administrador de FortiManager 7.4 177

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

En FortiManager, es posible eliminar un objeto usado. FortiManager mostrará un mensaje de advertencia indicando
que el objeto es utilizado actualmente por otras políticas u objetos de firewall. Para ver las referencias de este objeto, haga clic en Dónde se
utiliza. Sin embargo, si elimina un objeto usado, FortiManager lo reemplazará con un objeto none. Entonces uno
object es igual a nulo, lo que significa que cualquier tráfico que cumpla con esa política de firewall será bloqueado, a menos que exista una
política más amplia que aún cumpla con el requisito de tráfico, o una política definida para permitir todo el tráfico (capturar todo).

Debe verificar todas las referencias a objetos antes de eliminarlos, para evitar comportamientos no deseados de la política de firewall.

Guía de estudio del administrador de FortiManager 7.4 178

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Buscar objetos no utilizados es una herramienta GUI integrada disponible para los administradores para ayudarle a localizar todos los
objetos del firewall no utilizados en la base de datos de objetos ADOM de FortiManager. Buscar objetos no utilizados busca todo
tipo de objetos de firewall y muestra los resultados en una ventana emergente. Puede eliminar objetos no utilizados directamente en
la ventana emergente Objetos no utilizados. Esto elimina el objeto seleccionado de la base de datos de objetos ADOM de FortiManager.

De manera similar a Buscar objetos no utilizados, la herramienta Buscar objetos duplicados busca en la base de datos de objetos del
firewall de FortiManager y muestra todos los objetos que tienen valores duplicados asignados. En el ejemplo que se muestra en esta
diapositiva, la herramienta encontró que los objetos de servicio personalizados FTP, FTP_GET y FTP_PUT tienen el mismo valor.
Una vez encontrados los objetos duplicados, puede fusionarlos, si es necesario.

Guía de estudio del administrador de FortiManager 7.4 179

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Policy Check proporciona recomendaciones solo sobre las mejoras que se pueden realizar; no realiza ningún cambio. Utiliza un algoritmo para evaluar
objetos de política en función de:
• Objetos de política de interfaz de origen y destino
• Objetos de política de dirección de origen y destino
• Objetos de política de servicio y programación

La verificación de políticas verifica:

• Duplicación, donde dos objetos tienen definiciones idénticas
• Sombreado, donde un objeto sombrea completamente a otro objeto del mismo tipo.
• Superposición, donde un objeto se superpone parcialmente a otro objeto del mismo tipo.
• Huérfano, donde un objeto ha sido definido, pero no ha sido utilizado en ningún lugar

Para realizar una verificación de políticas, seleccione un paquete de políticas y luego, en la lista desplegable Paquete de políticas, haga clic en
Verificación de políticas. En el cuadro de diálogo Verificación de políticas, puede seleccionar una de las siguientes opciones:
• Realizar verificación de políticas: realiza una verificación de políticas para verificar la coherencia y proporciona cualquier conflicto que pueda surgir.
Evite que sus dispositivos pasen tráfico.
• Ver el resultado de la última verificación de política: esto le permite ver los resultados de la verificación de coherencia más reciente.

En el ejemplo que se muestra en esta diapositiva, la política con ID 1 utiliza un objeto none en su campo de origen y debe corregirse para permitir el
tráfico.

Es importante señalar que la verificación de políticas solo proporciona recomendaciones sobre qué mejoras se pueden realizar; en realidad, no
realiza ningún cambio.

Guía de estudio del administrador de FortiManager 7.4 180

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Los metacampos permiten a los administradores agregar atributos adicionales a varios tipos de objetos y cuentas de administrador. Puede
hacer que los metacampos sean obligatorios u opcionales. Cuando se requieren metacampos, los administradores deben proporcionar información
adicional cuando crean un objeto asociado. Por ejemplo, si crea un metacampo obligatorio para un objeto de dispositivo, los administradores
deben definir un valor para el metacampo para todos los dispositivos.

Cuando crea un nuevo metacampo, debe elegir un valor para los siguientes campos:

Objeto: le permite seleccionar el tipo de objeto al que se aplica este metacampo, como dominio administrativo, grupo de direcciones de firewall,
política de firewall, NAT central, administrador, etc.
Nombre: la etiqueta utilizada para este campo
Longitud: el número máximo de caracteres permitidos para el campo.
Importancia: determina si el campo es obligatorio o no.
Estado: determina la disponibilidad de metacampos para seleccionar en los objetos. Esta opción solo está disponible para objetos que no son de
firewall.

Los metacampos no se pueden utilizar como variables en scripts o plantillas de aprovisionamiento. En su lugar, puede utilizar variables de metadatos
de nivel ADOM para ese fin.

El ejemplo de esta diapositiva muestra la creación de un nuevo metacampo para las políticas de firewall. El nuevo campo tiene la etiqueta "Especificar
entrante o saliente" y está marcado según sea necesario.

Guía de estudio del administrador de FortiManager 7.4 181

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Las variables de metadatos de nivel ADOM se pueden utilizar como variables en scripts, plantillas, objetos de dirección de firewall,
grupos de IP e IP virtuales (VIP).

Al escribir $ en el campo de un objeto donde se admiten variables de metadatos se muestran los metadatos disponibles.
variables para la selección. Los campos que admiten variables de metadatos se identifican con un icono de lupa.

Puede configurar variables de metadatos de nivel ADOM en Política y objetos > Avanzado > Variables de metadatos.

De forma predeterminada, las variables de metadatos solo están disponibles en los ADOM en los que se crearon. Sin embargo, puedes
exportarlos y luego importarlos a otro ADOM.

Las variables de metadatos también se pueden crear en la base de datos global ADOM. Al crear variables de metadatos a nivel de ADOM
en la base de datos global, puede configurar el mapeo por ADOM para asignar valores específicos a todos los dispositivos dentro
de un ADOM.

El ejemplo de esta diapositiva muestra la creación de una nueva variable de metadatos que hace referencia a la subred de cada rama y
cómo se utiliza la nueva variable en un objeto de dirección de firewall.

Guía de estudio del administrador de FortiManager 7.4 182

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

El ejemplo de esta diapositiva muestra una variable de metadatos a la que se hace referencia en una política de firewall y cómo
El valor de la variable se ajusta según el dispositivo en el que está instalada la política de firewall. En este ejemplo,
Branch_Subnet se traduce a 10.0.1.0/24 para Local­FortiGate. Es decir, el tercer octeto pasa a ser 1.

Guía de estudio del administrador de FortiManager 7.4 183

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 184

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende la gestión de políticas y objetos.

Ahora aprenderá sobre los asistentes de importación e instalación.

Guía de estudio del administrador de FortiManager 7.4 185

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la comprensión de las opciones para configurar y administrar políticas de firewall en el panel
Políticas y objetos, examinará el asistente de configuración de importación y el asistente de instalación, que puede usar para
administrar dispositivos en FortiManager.

Guía de estudio del administrador de FortiManager 7.4 186

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

La captura de pantalla en la parte superior de esta diapositiva muestra el resultado de la lista de dispositivos dvm de diagnóstico, en la
que el paquete de políticas se modifica mientras el estado de configuración está sincronizado. Esto indica que solo se modifica el paquete
de políticas, no la configuración a nivel de dispositivo.

La misma información también está disponible en la GUI, como se muestra en la captura de pantalla de esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 187

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Después de cada operación de recuperación, actualización automática e instalación, FortiManager almacena la configuración de FortiGate en el historial
de revisiones.

La ilustración de esta diapositiva muestra el estado del paquete de políticas: • Importado:

indica que un paquete de políticas se importó correctamente para un dispositivo administrado.
• Sincronizado: Indica que las políticas y los objetos están sincronizados entre FortiManager y el
dispositivo gestionado.
• Nunca instalado: el paquete de políticas nunca se creó, por lo tanto, nunca se importó para un dispositivo administrado.
• Modificado: la configuración del paquete de políticas se cambió en FortiManager y los cambios aún no se han enviado a
el dispositivo administrado.
• Fuera de sincronización: el paquete de políticas más reciente no coincide con la configuración de políticas y objetos en el historial de revisión más
reciente debido a cambios de configuración realizados localmente en FortiGate o una falla de instalación parcial anterior. Debe realizar
una recuperación y luego importar políticas desde FortiManager.
• Conflicto: si realiza cambios en la configuración de políticas localmente en FortiGate y no importa los cambios al paquete de políticas, y también
realizó los cambios en FortiManager, el estado entra en estado de conflicto.
Dependiendo de los cambios de configuración, puede importar un paquete de políticas o instalar los cambios desde FortiManager.

• Desconocido: FortiManager no puede determinar el estado del paquete de políticas.

Puede resolver la mayoría de los problemas de estado de las políticas importando un paquete de políticas o instalando un paquete de políticas.

Guía de estudio del administrador de FortiManager 7.4 188

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Es común que FortiGate ya tenga una configuración en ejecución. El asistente de configuración de importación lo guía a través de
la importación de políticas y objetos a FortiManager. Cuando importa un dispositivo, crea un nuevo paquete de políticas que no
interfiere con otros paquetes. Sin embargo, los objetos que importe se agregarán o actualizarán los objetos existentes. Es
posible que desee crear una nueva revisión de ADOM antes de realizar una importación.

Si agrega un dispositivo no registrado a FortiManager, debe ejecutar el asistente de configuración de importación después de
promocionar el dispositivo.

Las siguientes diapositivas exploran las etapas por las que le guía el asistente.

Guía de estudio del administrador de FortiManager 7.4 189

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

De forma predeterminada, existen asignaciones de interfaz para las interfaces configuradas en el firewall. Esto permite hacer referencia a las
interfaces del dispositivo en los paquetes de políticas. Puede cambiar el nombre de la asignación de la interfaz ADOM en el asistente.

El asistente realiza una búsqueda de políticas para encontrar todas las políticas en preparación para importarlas a la base de datos de
FortiManager. Puede optar por importar todas las políticas de firewall o seleccionar políticas específicas para importar. Si elige importar solo
políticas específicas al paquete de políticas y luego instalar cambios de políticas, las políticas que no se importaron se eliminarán localmente en
FortiGate. Esto se debe a que FortiManager no tiene esas políticas en el paquete de políticas.

Además, puede elegir si importar todos los objetos configurados o solo los objetos a los que hacen referencia las políticas de firewall actuales.
Independientemente de si elige importar solo los objetos dependientes de la política o todos los objetos, el sistema eliminará los objetos huérfanos
(no utilizados) que no están vinculados a las políticas localmente en FortiGate en la próxima instalación. Pero si elige importar todos
los objetos, entonces el sistema importa todos los objetos usados y no utilizados en la base de datos de objetos ADOM de FortiManager y puede
usarlos más tarde haciendo referencia a las políticas en FortiManager e instalándolas en los dispositivos administrados.

De forma predeterminada, Importar todo e Importar solo objetos dependientes de políticas se seleccionan cuando ejecuta el asistente
Importar políticas. Como advertencia, si administra muchos dispositivos en un ADOM y selecciona Importar todos los objetos para todos los
dispositivos, la base de datos de objetos se llenará demasiado de objetos no utilizados, lo que puede resultar abrumador para
un administrador.

Guía de estudio del administrador de FortiManager 7.4 190

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Una vez completada la importación, el asistente proporciona el resumen de importación de políticas y el informe de importación
de descarga. Puede descargar el informe de importación, que solo está disponible en la página Importar dispositivo. Puede ver
el informe utilizando cualquier editor de texto.

Como práctica recomendada, debe descargar el informe.

El informe de importación proporciona información sobre FortiGate, el nombre de ADOM en FortiManager y el nombre del
paquete de políticas. El informe también proporciona información adicional, como los objetos que se han agregado como objetos
nuevos. Los objetos existentes que tienen los mismos valores localmente en FortiGate y FortiManager se denominan DUPLICADOS.
Si se cambia el valor de un objeto existente, FortiManager lo actualiza en su base de datos y muestra la actualización del objeto
anterior en el informe de importación.

Guía de estudio del administrador de FortiManager 7.4 191

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Después de realizar cambios de configuración en el paquete de políticas, el estado del paquete de políticas se marca como
Modificado en el panel Administrador de dispositivos. Hay varias formas de iniciar el Asistente de instalación en el panel Administrador
de dispositivos, así como en el panel Política y objetos. Si está utilizando ADOM, asegúrese de seleccionar primero el ADOM en la lista
desplegable de ADOM.

Ahora, explorará el proceso de instalación de cambios en la configuración de políticas utilizando el Asistente de instalación. Durante
este proceso, los elementos de configuración del dispositivo y la política se instalan en el dispositivo administrado. Después de la
La instalación está completa, FortiManager y FortiGate están sincronizados y el estado del paquete de políticas cambia de Modificado
a Instalado (Sincronizado).

Guía de estudio del administrador de FortiManager 7.4 192

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Cuando selecciona Instalar paquete de políticas y configuración del dispositivo, el asistente de instalación instala el paquete de políticas
y cualquier cambio pendiente a nivel de dispositivo.

Se muestra el paquete de políticas que seleccione y tiene la opción de crear una nueva revisión de ADOM para esta instalación. Tenga
en cuenta que una revisión de ADOM es una instantánea de todo ADOM y no de los cambios específicos de este paquete de políticas.

También puede habilitar Programar instalación, que le permite especificar la fecha y hora para instalar los últimos cambios en el paquete de
políticas.

El siguiente paso es la selección del dispositivo. En este paso, el asistente muestra los dispositivos seleccionados en el destino de
instalación para el paquete de políticas específico.

Guía de estudio del administrador de FortiManager 7.4 193

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

El siguiente paso del asistente es la validación. En este paso, el asistente comprueba que el paquete de políticas seleccionado
sea adecuado para los destinos de instalación seleccionados, como por ejemplo si la referencia de asignación de interfaz en el
paquete de políticas está configurada en los destinos de instalación. Si la validación falla, la instalación se detendrá.

Antes de realizar la instalación, como práctica recomendada, siempre obtenga una vista previa y verifique los cambios que
se enviarán a FortiGate. Si esta es la primera instalación, es posible que vea muchos cambios, porque es posible que se haya
cambiado el nombre de los objetos durante el proceso de importación y que se hayan eliminado los objetos no utilizados de la
configuración del dispositivo. Si no desea continuar con la instalación, puede cancelarla en este paso del asistente.

El último paso es Instalar, que es la instalación real. El asistente enumera los dispositivos en los que se instalaron los cambios
de configuración. Cualquier error o advertencia que ocurra durante la instalación también aparece aquí. Si la instalación
falla, el historial de instalación indica la etapa en la que falló la instalación. También puede consultar el historial de instalación para
ver si la instalación se realizó correctamente.

Guía de estudio del administrador de FortiManager 7.4 194

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

FortiManager también proporciona una opción de Política de reinstalación. Una reinstalación es lo mismo que una instalación, excepto que
no hay indicaciones y brinda la posibilidad de obtener una vista previa de los cambios que se instalarán en el dispositivo administrado. La
Política de reinstalación creará un nuevo historial de revisiones y lo aplicará a todos los destinos de instalación seleccionados.

La opción Reinstalar política funciona solo después de la primera instalación de la política. La opción está atenuada o no está
disponible si el estado del paquete de políticas en el panel del Administrador de dispositivos se muestra como Nunca instalado para
el dispositivo administrado.

Guía de estudio del administrador de FortiManager 7.4 195

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 196

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende los asistentes de importación e instalación de FortiManager.

Ahora aprenderá sobre la revisión de ADOM y las versiones de la base de datos.

Guía de estudio del administrador de FortiManager 7.4 197

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la comprensión de las revisiones de ADOM y las versiones de la base de datos, comprenderá
su efecto en las configuraciones de políticas y objetos.

Guía de estudio del administrador de FortiManager 7.4 198

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Las revisiones de ADOM le permiten guardar localmente en FortiManager instantáneas de los paquetes de políticas, objetos y
configuraciones de la consola VPN contenidos en un ADOM.

Cuando crea varias revisiones de ADOM, puede ver las diferencias entre ellas o volver a una específica.
revisión. Como advertencia, si elige revertir a una revisión de ADOM específica, revertirá todos los paquetes y objetos de políticas
basados en esa revisión.

FortiManager puede eliminar revisiones de ADOM automáticamente según parámetros específicos, como se muestra en esta
diapositiva. Opcionalmente, puede bloquear revisiones individuales para evitar que se eliminen automáticamente.

Advertencia: tenga en cuenta que las revisiones de ADOM pueden aumentar significativamente el tamaño de la copia de seguridad de la configuración.

Guía de estudio del administrador de FortiManager 7.4 199

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Cada ADOM está asociado con una versión específica de FortiOS, según la versión de firmware de los dispositivos que
se administran en ese ADOM. La versión seleccionada determina la sintaxis CLI que se utiliza para configurar los
dispositivos. Seleccione esta versión cuando cree un nuevo ADOM.

Se recomienda actualizar todos los dispositivos FortiGate en un ADOM a la última versión del firmware FortiOS.
antes de actualizar la versión de ADOM.

Guía de estudio del administrador de FortiManager 7.4 200

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Cuando mueves un dispositivo de un ADOM a otro, las políticas y los objetos (usados y no utilizados) no se mueven al nuevo ADOM.

Si necesita mover un dispositivo de un ADOM a otro, ejecute el asistente de configuración de importación para importar el paquete de políticas
al nuevo ADOM.

¿Qué sucede si necesita utilizar objetos no utilizados de un ADOM anterior en el nuevo ADOM? Puedes copiar objetos de
un ADOM a otro usando la CLI de FortiManager.

Cuando se actualizan los dispositivos FortiGate, es mejor mantenerlos en el mismo ADOM y utilizar la actualización de ADOM.
Mover dispositivos FortiGate a un nuevo ADOM introduce trabajo adicional y ciertas complicaciones.
Además, los paneles del administrador, como el administrador de VPN, no se mueven y el administrador de FortiManager debe reconfigurar
toda la configuración de VPN en el dispositivo administrado.

Guía de estudio del administrador de FortiManager 7.4 201

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 202

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende la revisión de ADOM y las versiones de la base de datos.

Ahora aprenderá sobre el bloqueo de políticas y el modo de flujo de trabajo.

Guía de estudio del administrador de FortiManager 7.4 203

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia para comprender el propósito y el uso del bloqueo de políticas y el modo de flujo de trabajo en
FortiManager, podrá comprender cómo afectan su red.

Guía de estudio del administrador de FortiManager 7.4 204

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

El bloqueo de políticas está disponible en los modos normal y por ADOM del espacio de trabajo. El bloqueo de políticas permite a
los administradores trabajar y bloquear un único paquete de políticas en lugar de bloquear todo el ADOM. Para utilizar el bloqueo
de políticas, debe configurar el modo de espacio de trabajo en normal. Puede bloquear todo el ADOM o un paquete de
políticas específico. El bloqueo de políticas es una extensión del bloqueo de ADOM, que permite que varios administradores
trabajen en paquetes de políticas separados en el mismo ADOM al mismo tiempo.

Guía de estudio del administrador de FortiManager 7.4 205

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

En los modos normal y per­adom del espacio de trabajo, también puede bloquear dispositivos específicos para realizar cambios en ellos.
Otros administradores no podrán realizar cambios en esos dispositivos hasta que los desbloquee, cierre sesión en FortiManager o se
desconecte por la fuerza cuando otro administrador bloquee el ADOM en el que se encuentra el dispositivo.

Al bloquear un ADOM, se eliminan automáticamente los bloqueos de los dispositivos y paquetes de políticas que haya bloqueado dentro de
ese ADOM.

Tenga en cuenta que no puede bloquear dispositivos individuales si los ADOM están en modo avanzado.

Guía de estudio del administrador de FortiManager 7.4 206

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

En el modo de espacio de trabajo, los administradores pueden bloquear políticas individuales, excepto las políticas utilizadas por los bloques de
políticas. No puede bloquear una política individual cuando la política se utiliza en un bloque de políticas. Si desea modificar una política, debe hacerlo
No es necesario bloquear todo el paquete de políticas. Una vez que bloquea una política, aparece un icono de candado al lado de la política.
Otros administradores ahora no pueden modificar su política ni bloquear el paquete de políticas donde se encuentra la política bloqueada y no
pueden bloquear ADOM.

El bloqueo de la política se libera automáticamente cuando se agota el tiempo de espera del administrador o si el administrador cierra una
sesión correctamente sin desbloquear el paquete de políticas o la política.

Guía de estudio del administrador de FortiManager 7.4 207

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

En lugar de espacios de trabajo, puede utilizar el modo de flujo de trabajo. Al igual que con los otros modos de espacio de trabajo, habilitar el flujo de trabajo
finaliza todas las sesiones de gestión. Debe notificar a otros administradores que guarden su trabajo para evitar cualquier pérdida de datos. Puede habilitar
el modo de flujo de trabajo en la CLI o GUI.

Puede utilizar el modo de flujo de trabajo para controlar la creación, configuración e instalación de varias configuraciones.
Sin embargo, esta característica se utiliza principalmente para controlar cambios en las políticas y objetos del firewall.

Se requiere aprobación antes de poder instalar cambios en un dispositivo. Todas las modificaciones realizadas en una sesión en modo flujo de trabajo
deben descartarse o enviarse para su aprobación al final de la sesión. Las sesiones rechazadas se pueden reparar y volver a enviar para su
aprobación como sesiones nuevas. Todas las sesiones deben aprobarse en el mismo orden en que fueron creadas para evitar conflictos.

En el modo de flujo de trabajo, los paneles relacionados con la configuración de FortiGate son de solo lectura al principio. Para crear una nueva sesión en
modo de flujo de trabajo, primero debe bloquear ADOM, de forma similar a los espacios de trabajo.

Guía de estudio del administrador de FortiManager 7.4 208

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

El gráfico de esta diapositiva muestra cómo utilizar el modo de flujo de trabajo.

Cuando el administrador A bloquea el ADOM, aparece un icono de candado verde. El administrador A tiene acceso de lectura/escritura y
crea una nueva sesión en el panel Política y objetos en ADOM. El administrador A realiza cambios de configuración en los dispositivos
administrados y envía la solicitud de aprobación al administrador B. Este envío de aprobación desbloquea automáticamente el ADOM.

El administrador B debe tener permiso de lectura/escritura para la aprobación del flujo de trabajo. Luego, el administrador B bloquea el
ADOM y tiene acceso de lectura y escritura. El administrador B abre la lista de sesiones y tiene la opción de aprobar, rechazar, descartar
o ver las diferencias en los cambios enviados por el administrador A.

Guía de estudio del administrador de FortiManager 7.4 209

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Un administrador debe ser parte de un grupo de aprobación y tener derechos sobre el ADOM en el que se creó la sesión para poder aprobar una
sesión. Ser parte del perfil Super_Admin no es suficiente para aprobar una sesión.

En el panel Aprobación del flujo de trabajo, configure la matriz de aprobación del flujo de trabajo utilizando los siguientes valores:
• ADOM: seleccione el ADOM al que desea aplicar el modo de flujo de trabajo.
• Grupo de aprobación #1: Agregue los administradores que aprobarán los cambios en el ADOM.
• Enviar notificación por correo electrónico a: envía notificaciones por correo electrónico a los administradores cuando otro administrador
realiza cambios y los envía para su aprobación.
• Servidor de correo: seleccione el servidor de correo electrónico que FortiManager utilizará para enviar sus notificaciones en el servidor de correo.
cristal.

Guía de estudio del administrador de FortiManager 7.4 210

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

El administrador debe bloquear ADOM antes de que se le permita crear una nueva sesión. Una vez bloqueado ADOM, el
administrador tiene la opción de crear una nueva sesión y comenzar a realizar cambios en el paquete de políticas.
Tenga en cuenta que el administrador no puede realizar ningún cambio en los paquetes de políticas hasta que cree un nuevo
sesión.

Guía de estudio del administrador de FortiManager 7.4 211

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Después de editar las políticas u objetos del firewall, haga clic en Guardar para guardar su sesión y luego envíe los cambios.
Alternativamente, puede hacer clic en Enviar, que guarda y envía los cambios automáticamente. Puede ver una diferencia de sesión
antes de enviar la sesión para su aprobación.

Después de enviar sus cambios para su aprobación o haberlos descartado, ADOM vuelve automáticamente al estado desbloqueado.

Guía de estudio del administrador de FortiManager 7.4 212

Machine Translated by Google Políticas y objetos

NO REIMPRIMIR
© FORTINET

Una vez enviada la solicitud de flujo de trabajo, los administradores con los permisos adecuados pueden aprobar o rechazar la
solicitud pendiente.

El administrador de aprobación debe bloquear el ADOM durante el proceso de decisión. Una vez bloqueado el ADOM, pueden
abrir la lista de sesiones. La lista de sesiones muestra el administrador que envió la solicitud y otros
información, como la fecha de envío, el total de solicitudes y los comentarios del administrador que realiza el envío.

El administrador aprobador tiene varias opciones disponibles:

• Aprobar: La sesión está esperando ser revisada y aprobada. Si se aprueba la sesión, no se realizarán más acciones.
se requiere.
• Rechazar: si la sesión es rechazada, el sistema envía una notificación al administrador que envió la sesión. El administrador
aprobador tiene la opción de reparar los cambios. Una sesión rechazada debe arreglarse antes de que se pueda aprobar la
siguiente sesión.
• Reparación: Cuando una sesión es rechazada, se puede reparar para corregir los problemas que tiene.
• Descartar: El administrador de aprobación no está de acuerdo con los cambios y los descarta. Ninguna otra acción
se requiere.
• Revertir: se puede revertir una sesión previamente aprobada, lo que deshace cualquier sesión posterior existente. Esto crea
una nueva sesión en la parte superior de la lista de sesiones que se envía automáticamente para su aprobación.
• Ver diferencias: el administrador de aprobación puede ver las diferencias entre el paquete de políticas original y los cambios
realizados por el administrador que lo envió.

En el ejemplo que se muestra en esta diapositiva, el estudiante usuario administrador envió la solicitud de aprobación.

Guía de estudio del administrador de FortiManager 7.4 213

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Cuando se interrumpe una sesión de FortiManager, como cuando la computadora de administración falla, o cuando cierra un navegador
con una sesión GUI abierta, esa sesión permanece abierta durante el tiempo de espera configurado por el sistema, o hasta que un
administrador la elimine manualmente. Cuando se interrumpe una sesión asociada con un ADOM bloqueado, el acceso de lectura y
escritura a ese ADOM no es posible para otros administradores hasta que se elimine la sesión interrumpida.

Puede eliminar sesiones de administrador en la GUI o CLI como se muestra en esta diapositiva. Después de eliminar la sesión,
ADOM se desbloqueará inmediatamente.

Guía de estudio del administrador de FortiManager 7.4 214

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 215

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio del administrador de FortiManager 7.4 216

Machine Translated by Google
Políticas y objetos

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Al dominar los objetivos cubiertos en esta lección, aprendió cómo administrar políticas y objetos en FortiManager para FortiGate.
También aprendió a configurar políticas y objetos en FortiManager y luego instalarlos en FortiGate.

Guía de estudio del administrador de FortiManager 7.4 217

Machine Translated by Google
Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre el dominio administrativo global (ADOM) y la administración central.

Guía de estudio del administrador de FortiManager 7.4 218

Machine Translated by Google Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 219

Machine Translated by Google Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Ahora aprenderá sobre la base de datos global ADOM y sus conjuntos de características.

Guía de estudio del administrador de FortiManager 7.4 220

Machine Translated by Google Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

Las políticas y objetos globales permiten a los administradores implementar políticas de firewall en algunos o todos los ADOM. Debe
asignar explícitamente paquetes de políticas globales a ADOM específicos en los que los administradores quieran instalar políticas
similares.

La ilustración de esta diapositiva muestra que diferentes ADOM pueden utilizar políticas globales independientes. Cuando crea un
paquete de políticas globales, puede elegir los ADOM a los que desea aplicar políticas específicas. Además, incluso puede elegir
paquetes de políticas específicos en ADOM individuales a los que desea aplicar las políticas globales.

Puede crear paquetes de políticas globales según el tipo de entorno de red que esté administrando y aplicar políticas de encabezado o
pie de página para cumplir con los requisitos de seguridad.

Guía de estudio del administrador de FortiManager 7.4 221

Machine Translated by Google Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

Puede utilizar políticas de encabezado y pie de página para ajustar políticas en ADOM individuales. Un ejemplo de dónde se
utilizarían políticas de encabezado y pie de página es en un entorno de operador, en el que el operador permitiría que el tráfico del
cliente pase a través de su red pero no permitiría que el cliente tuviera acceso a los activos de la red del operador.

La ilustración de esta diapositiva muestra cómo se asignan las políticas y los objetos globales a los paquetes de políticas de ADOM.

Guía de estudio del administrador de FortiManager 7.4 222

Machine Translated by Google Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

Ingrese a la base de datos global ADOM para acceder a la base de datos de políticas globales.

Las políticas de encabezado son las políticas ubicadas en la parte superior del paquete de políticas en el ADOM individual.

Las políticas de pie de página son las políticas ubicadas en la parte inferior del paquete de políticas en el ADOM individual.

Guía de estudio del administrador de FortiManager 7.4 223

Machine Translated by Google
Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

En el ejemplo que se muestra en esta diapositiva, una política de encabezado impide que el tráfico Telnet pase a través de los firewalls
administrados.

El siguiente paso es asignar esta política a un paquete de políticas en un ADOM individual.

Guía de estudio del administrador de FortiManager 7.4 224

Machine Translated by Google Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los pasos para asignar un paquete de políticas globales a un paquete de políticas ADOM.

En este ejemplo, el paquete de políticas globales predeterminado se agrega al paquete de políticas ISFW en ADOM2. Después de la
instalación, el estado cambia a Actualizado.

Tenga en cuenta que hay varias opciones disponibles al asignar un paquete de políticas global, que incluyen:

• Asignar sólo objetos usados •

Asignar todos los objetos
• Instalar políticas automáticamente en dispositivos ADOM

Guía de estudio del administrador de FortiManager 7.4 225

Machine Translated by Google Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

Después de asignar los objetos ADOM de la base de datos global, aparecen en el panel Política y objetos para ese ADOM. Todos los
objetos globales comienzan con "g" y se editan o eliminan únicamente en la base de datos global ADOM.

Una palabra de precaución. Nunca cree objetos de dirección o perfiles de seguridad que comiencen con la letra "g" en un ADOM
base de datos o directamente en los dispositivos administrados porque esto puede crear conflictos con la base de datos global ADOM
objetos y causar problemas de fallas de configuración.

En el ejemplo que se muestra en esta diapositiva, la política de encabezado se agrega al dispositivo ISFW. Puede asignar solo un paquete
de políticas globales a un paquete de políticas ADOM individual. La asignación de un paquete de políticas globales adicional al mismo paquete
de políticas ADOM individual elimina las políticas asignadas previamente. Además, no puede editar y
mueva las políticas de encabezado y pie de página entre las reglas en un paquete de políticas ADOM individual.

Debe instalar paquetes de políticas en los dispositivos administrados para que funcionen las nuevas reglas. Se instala una política de
encabezado en la parte superior de la lista de reglas de firewall en el dispositivo de destino.

Guía de estudio del administrador de FortiManager 7.4 226

Machine Translated by Google
Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 227

Machine Translated by Google
Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora entiendes el ADOM global.

Ahora, conocerá otros paneles de administrador y las funciones de Security Fabric disponibles en FortiManager.

Guía de estudio del administrador de FortiManager 7.4 228

Machine Translated by Google Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la comprensión de Security Fabric y sus conjuntos de funciones, podrá utilizar Security Fabric
de forma eficaz en su red.

Guía de estudio del administrador de FortiManager 7.4 229

Machine Translated by Google
Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

FortiManager le permite administrar sus dispositivos Fortinet de forma centralizada utilizando varios paneles.

Administrador de VPN: en el panel Administrador de VPN, puede configurar los ajustes de VPN IPsec que puede instalar en varios
dispositivos. Las configuraciones se almacenan como objetos en la base de datos de objetos. Puede enviar la configuración de VPN IPsec a
uno o más dispositivos instalando un paquete de políticas. Habilitar VPN Manager para un ADOM anula las configuraciones de VPN existentes
para los dispositivos administrados en ese ADOM. La VPN de modo mixto le permite configurar VPN simultáneamente a través del
Administrador de VPN y en el dispositivo FortiGate en el Administrador de dispositivos.

Administrador AP: el panel Administrador AP le permite administrar dispositivos FortiAP controlados por dispositivos FortiGate administrados
por FortiManager. El administrador puede utilizar plantillas de Wi­Fi para gestionar y gestionar fácilmente
Distribuya perfiles AP, SSID y perfiles del sistema inalámbrico de detección de intrusiones (WIDS). El administrador también puede
monitorear todos los clientes inalámbricos y verificar el estado de AP.

FortiSwtich Manager: el panel FortiSwitch Manager le permite administrar de forma centralizada las plantillas y VLAN de FortiSwitch, y
monitorear los dispositivos FortiSwitch que están conectados a dispositivos FortiGate. Puede configurar múltiples plantillas para
plataformas FortiSwitch específicas que se pueden asignar a múltiples dispositivos.

Extender Manager: el panel Extender Manager le permite administrar los dispositivos FortiExtender conectados.
Puede utilizar Extender Manager para crear plantillas personalizadas, perfiles SIM y planes de datos para hasta dos módems.

Guía de estudio del administrador de FortiManager 7.4 230

Machine Translated by Google Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

El panel Fabric View le permite mostrar la clasificación de seguridad informada por los dispositivos FortiGate administrados.
Cuando FortiManager administra unidades FortiGate que forman parte de un Security Fabric, la opción para ver las
topologías físicas y lógicas del fabric está disponible.

Desde este panel también puede agregar varios tipos de conectores que permiten a FortiManager interactuar y utilizar
objetos creados en otros productos y plataformas, tanto en la red local como en la nube. Consulte la Guía del administrador
de FortiManager para obtener la lista completa de conectores disponibles.

FortiManager admite la capacidad de orquestar la implementación de grupos de escalado automático (ASG) de FortiGate en
Amazon Web Services (AWS). Esto permite a los administradores usar FortiManager como un panel único para implementar
todos los recursos necesarios para implementar FortiGate ASG en la nube pública.

Guía de estudio del administrador de FortiManager 7.4 231

Machine Translated by Google Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

La función Clasificación de seguridad incluye comprobaciones que pueden ayudarle a realizar mejoras en la red de su organización,
como hacer cumplir la seguridad de las contraseñas, aplicar umbrales de intentos de inicio de sesión recomendados, fomentar la
autenticación de dos factores, etc. Puede ver las calificaciones de Security Fabric para todos los dispositivos FortiGate administrados
por FortiManager.

La página de Clasificación de seguridad incluye los mismos tres cuadros de mando disponibles en FortiGate:

• Postura de seguridad
• Cobertura de tela
• Optimización

Estos cuadros de mando proporcionan un resumen ejecutivo de las tres áreas más importantes de seguridad en Security Fabric.

Los cuadros de mando muestran una calificación general con letras y un desglose del desempeño en subcategorías. Al hacer clic en un
cuadro de mando, se accede a un informe detallado de resultados detallados y recomendaciones de cumplimiento. La puntuación
representa la puntuación neta de todos los elementos aprobados y reprobados en esa área. El informe incluye los controles de
seguridad que se probaron, vinculados a políticas específicas de cumplimiento de FSBP o PCI. Puede hacer clic en FSBP
y botones PCI para hacer referencia al estándar correspondiente.

Guía de estudio del administrador de FortiManager 7.4 232

Machine Translated by Google
Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

FortiManager reconoce grupos de dispositivos de Security Fabric y le permite mostrar su topología de tejido. Puede hacer clic en Vista de estructura >
Topología física o Vista de estructura > Topología lógica para ver la topología completa. Esta vista incluye accesos directos a cualquier
recomendación de seguridad existente que lo redireccione al panel Clasificación de seguridad.

También puede hacer clic con el botón derecho en cualquier dispositivo de la estructura y luego seleccionar Topología de la estructura para ver
su ubicación en relación con otros miembros de la estructura. Esto se ilustra en la diapositiva del dispositivo ISFW.

Guía de estudio del administrador de FortiManager 7.4 233

Machine Translated by Google
Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 234

Machine Translated by Google
Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio del administrador de FortiManager 7.4 235

Machine Translated by Google
Base de datos global ADOM y gestión central

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Al dominar los objetivos cubiertos en esta lección, aprendió sobre la base de datos global ADOM y Security Fabric.

Guía de estudio del administrador de FortiManager 7.4 236

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá cómo diagnosticar y solucionar problemas relacionados con FortiManager y los dispositivos administrados.

Guía de estudio del administrador de FortiManager 7.4 237

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 238

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la comprensión de varios escenarios de implementación de FortiManager, mensajes de

mantenimiento de actividad y cómo reemplazar un dispositivo FortiGate administrado, podrá implementar dispositivos FortiGate en
varios escenarios y administrar dispositivos FortiGate.

Guía de estudio del administrador de FortiManager 7.4 239

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

En el escenario que se muestra en esta diapositiva, FortiManager opera detrás de un dispositivo NAT. Por defecto, sólo
FortiManager puede descubrir un nuevo dispositivo. Si se derriba el túnel FGFM, solo FortiManager intenta restablecer el túnel
FGFM. Esto se debe a que, de forma predeterminada, la dirección IP NATed de FortiManager no está configurada en la
administración central de FortiGate.

¿Cómo puede FortiGate anunciarse al FortiManager con NAT o intentar restablecer el túnel FGFM si se derriba?

Puede configurar la dirección IP NATed de FortiManager en FortiGate en la configuración de administración central. Esto
permite que FortiGate se anuncie a FortiManager e intente restablecer el túnel FGFM, si se derriba. La configuración de la dirección
IP NATed de FortiManager en FortiGate permite que tanto FortiManager como FortiGate restablezcan el túnel FGFM.
Además, si configura la dirección IP NATed de FortiManager en la configuración del administrador del sistema FortiManager, FortiManager
establece esta dirección en FortiGate durante el proceso de descubrimiento.

Además, si su FortiManager tiene un FQDN asociado, también puede configurarlo para que los dispositivos FortiGate puedan usarlo
para anunciarse y volver a conectarse a FortiManager si es necesario.

Guía de estudio del administrador de FortiManager 7.4 240

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

En este escenario, FortiGate opera detrás de un dispositivo NAT. FortiManager puede descubrir FortiGate a través de la dirección IP
NATed de FortiGate. FortiGate también puede anunciarse a FortiManager. ¿Qué pasa si se interrumpe el túnel FGFM? Si se derriba
el túnel FGFM, solo FortiGate intenta restablecer la conexión.
FortiManager trata el FortiGate NATed como un dispositivo inalcanzable y no intenta restablecer el
Túnel FGFM. Sin embargo, puede forzar un intento de conexión única desde FortiManager haciendo clic en el icono Actualizar
dispositivo en Managed FortiGate para el dispositivo administrado en el Administrador de dispositivos.

Guía de estudio del administrador de FortiManager 7.4 241

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

¿Qué pasa si ambos dispositivos (FortiManager y FortiGate) están detrás de un dispositivo NAT? Luego, FortiManager descubre el
dispositivo FortiGate a través de la dirección IP NATed de FortiGate. Al igual que en el escenario de FortiManager con
NAT, la dirección IP de FortiManager en este escenario no está configurada en la configuración de administración central de
FortiGate. FortiManager no intenta restablecer el túnel FortiGate a FortiManager (FGFM) a la dirección IP NATed de FortiGate, si
el túnel FGFM se interrumpe. Si la dirección IP NATed de FortiManager está configurada en FortiGate bajo la configuración de
administración central, FortiGate intenta restablecer el túnel FGFM, si está derribado.

Guía de estudio del administrador de FortiManager 7.4 242

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Los mensajes Keepalive se envían desde FortiGate a intervalos configurados. Si no hay respuestas a los mensajes de
mantenimiento de actividad durante el tiempo de espera del calcetín, el túnel se derriba y ambos extremos intentan restablecerlo.

Puede configurar el tiempo de espera y el intervalo configurando los siguientes parámetros:

• fgfm­sock­timeout: el tiempo máximo de inactividad del socket de comunicación FortiManager o FortiGate, en

segundos
• fgfm_keepalive_itvl: el intervalo en el que FortiGate envía una señal de mantenimiento de actividad a un FortiManager
Dispositivo para mantener activo el protocolo de comunicación FortiManager o FortiGate.

Guía de estudio del administrador de FortiManager 7.4 243

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Sólo los dispositivos FortiGate envían mensajes de mantenimiento de actividad a FortiManager, independientemente de qué dispositivo
estableció el túnel FGFM. FortiGate incluye una suma de verificación de configuración en keepalives para confirmar la sincronización
como parte del mensaje de keepalive. La versión IPS también se incluye en los mensajes.

Guía de estudio del administrador de FortiManager 7.4 244

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Cuando se realiza una instalación desde FortiManager a FortiGate, FortiManager siempre intenta garantizar la conectividad con
el dispositivo FortiGate administrado. Si la conexión falla, FortiManager intenta recuperar el túnel FGFM desarmantando el
comando que provocó la caída del túnel.

Para cada instalación, FortiManager envía los siguientes comandos al dispositivo FortiGate administrado:
• Establecer comandos, necesarios para aplicar los cambios de configuración.
• Comandos Unset, para recuperar los cambios de configuración.

Al aplicar cambios, FortiGate: • Aplica los

comandos establecidos, usando solo memoria, nada escrito en un archivo de configuración.
• Prueba la conexión FGFM a FortiManager

Si la conexión no se restablece, FortiGate aplica el comando unset después de 15 minutos (no es configurable y no se basa en los
valores de tiempo de espera del calcetín). Si la conexión permanece inactiva y Rollback­allow­reboot está habilitado en FortiManager,
FortiGate se reinicia para recuperar la configuración anterior de su archivo de configuración.

Guía de estudio del administrador de FortiManager 7.4 245

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

FortiManager guarda las revisiones de configuración de un dispositivo administrado. Pero, ¿qué sucede si necesita reemplazar el
dispositivo administrado independiente debido a una falla de hardware o a una autorización de devolución de mercancía (RMA)?

Puede reemplazar el dispositivo independiente defectuoso cambiando manualmente el número de serie del dispositivo defectuoso
al número de serie del dispositivo de reemplazo en FortiManager. Luego, vuelve a implementar la configuración. El
El número de serie se verifica antes de cada conexión de administración, porque las licencias están adjuntas al número de
serie de FortiGate. Al reemplazar un miembro del clúster FortiGate, FortiManager aprende el nuevo número de serie
número a través del túnel FGFM.

Guía de estudio del administrador de FortiManager 7.4 246

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Tenga en cuenta que el FortiGate de reemplazo no debe comunicarse con FortiManager antes de ejecutar el comando de
reemplazo de dispositivo sn <devname> <serial_number> . Si es así, tendrá que eliminar la entrada del dispositivo no registrado
antes de volver a ejecutar el comando.

Para reemplazar el dispositivo defectuoso con el nuevo dispositivo, siga los siguientes pasos:
1. Anote el nombre del dispositivo del FortiGate original.
Si el dispositivo de reemplazo ya aparece como no registrado, deberá eliminarlo de la lista.
lista de dispositivos no registrados en la raíz ADOM.
2. Agregue el número de serie del FortiGate de reemplazo.
Después de ejecutar el comando de reemplazo, FortiManager actualiza el número de serie en su base de datos.
3. Verifique que el nuevo número de serie del dispositivo esté asociado con el dispositivo defectuoso en FortiManager.
Puede hacer esto usando la CLI o el widget de Información del sistema de FortiGate.
4. Envíe una solicitud desde el dispositivo de reemplazo para registrarlo en FortiManager.

Si la conectividad falla después de actualizar el número de serie, es posible que deba reclamar el túnel de administración. El nombre del
dispositivo es opcional. Si ejecuta el comando sin el nombre del dispositivo, FortiManager intenta recuperar túneles de todos los
dispositivos administrados.

Opcionalmente, puede cambiar la contraseña del dispositivo que utilizó cuando agregó el dispositivo ejecutando el comando ejecutar
dispositivo reemplazar pw <nombre_dispositivo> <contraseña> .

Guía de estudio del administrador de FortiManager 7.4 247

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 248

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende los escenarios de implementación.

Ahora aprenderá a utilizar algunos comandos de diagnóstico para solucionar problemas con la conectividad y el rendimiento
de FortiManager.

Guía de estudio del administrador de FortiManager 7.4 249

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en el uso de técnicas de diagnóstico y resolución de problemas, podrá administrar y mantener la
integridad de los dispositivos FortiGate en su red.

Guía de estudio del administrador de FortiManager 7.4 250

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra algunos comandos CLI que puede usar para solucionar problemas de conectividad y recursos de
FortiManager.

Estos comandos son similares a los comandos de FortiGate que puede utilizar para diagnosticar y solucionar problemas comunes. Por
ejemplo, para ver los procesos en ejecución principales, puede ejecutar ejecutar superior. Puedes usar el
Ejecute el comando iotop para identificar los procesos del sistema con un alto uso de E/S (normalmente la actividad del disco). Tú
Puede ver las entradas del registro de fallos. Si FortiManager descarta paquetes o no los recibe, puede ejecutar una captura de paquetes
(sniffer) para ayudar a diagnosticar el motivo. También puede probar la accesibilidad del dispositivo y confirmar el estado del túnel FGFM.

Guía de estudio del administrador de FortiManager 7.4 251

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

El comando get system performance proporciona información resumida sobre el uso de recursos del sistema. El resultado incluye
los siguientes tipos de recursos:

• CPU: proporciona una descripción general de la información de uso de la CPU en el sistema. Muestra que tipo de procesos son
usando qué porcentaje de la CPU
• Memoria: proporciona la memoria total disponible para la unidad y cuánta memoria está actualmente en uso
• Disco duro: proporciona información sobre el uso del disco duro, incluido el espacio total disponible en el disco y cuánto está disponible.
en uso
• Flash Disk: proporciona información sobre el uso del disco flash.

Siempre marque la fila Usado para verificar el uso de recursos. Si el uso de recursos es alto, puede experimentar problemas para
administrar dispositivos desde FortiManager. Por ejemplo, agregar dispositivos o instalar cambios puede llevar mucho tiempo.

Guía de estudio del administrador de FortiManager 7.4 252

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

El comando ejecutar superior muestra estadísticas del sistema en tiempo real que son muy útiles para monitorear el sistema.
Las estadísticas se muestran en filas, de la siguiente manera:

Fila 1: hora actual, tiempo de actividad, sesiones de usuarios, carga promedio del sistema (último minuto, 5 minutos y 15 minutos)
Fila 2: número total de procesos en ejecución, procesos en ejecución activa, procesos en suspensión, detenidos, en estado zombie

Fila 3: uso de CPU para procesos de usuario, procesos del sistema, procesos prioritarios, CPU inactiva, procesos en espera
E/S, irq de hardware, irq de software y tiempo de robo
Fila 4 y Fila 5: uso de memoria física y virtual, respectivamente
Fila 6: detalles de cada proceso, incluido el ID del proceso, el usuario, la prioridad, el valor agradable, la memoria virtual utilizada, el porcentaje de
memoria (RAM) utilizada, el porcentaje de CPU utilizada, el tiempo total de actividad, el estado del proceso y el nombre del proceso

Cuando esté solucionando problemas con un uso elevado de CPU o memoria, verifique los recursos generales del sistema.
Luego verifique los procesos individuales para detectar un uso elevado de CPU o memoria.

Este es un comando interactivo y puede cambiar el formato utilizado en su salida. Por ejemplo, puedes
cambiar el orden de clasificación o cambiar el número de tareas mostradas. Este comando incluye una página de ayuda a la que puede acceder
presionando ho Shift + ?.

Guía de estudio del administrador de FortiManager 7.4 253

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Puede utilizar el comando ejecutar iotop para identificar los procesos específicos que pueden estar provocando lecturas/escrituras de E/S
elevadas en el disco.

De forma predeterminada, los procesos se ordenan según el porcentaje más alto en la columna IO> , pero puede cambiar qué columna se
usa para ordenarlos. Presione < para mover la columna de clasificación a la columna a la izquierda de la actual y presione > para mover
la columna de clasificación a la derecha de la actual. La columna de clasificación actual se indica con el signo > .

Guía de estudio del administrador de FortiManager 7.4 254

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

El comando diagnostic system print df muestra la información del sistema de archivos en FortiManager. Muestra los sistemas de
archivos actualmente montados, así como sus tamaños, uso, espacio disponible, uso en porcentaje y punto de montaje.

Este comando puede resultar útil para solucionar problemas relacionados con la utilización del espacio en disco.

Algunos de los sistemas de archivos comunes utilizados por fortiManager incluyen:

• /dev/shm se utiliza como memoria compartida. • /

tmp es un sistema de archivos de almacenamiento de
archivos temporales. • /data es el puntero a la partición del disco flash.
• /var se utiliza para el almacenamiento de la base de datos
FortiManager. • /drive0 se utiliza como archivos de FortiAnalyzer y base de datos de Postgres.
• /Storage se utiliza para el almacenamiento de registros e informes de FortiAnalyzer.

Guía de estudio del administrador de FortiManager 7.4 255

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

En FortiManager, los procesos bloquean y desbloquean la base de datos. Sin embargo, no deben permanecer atrapados en el estado
bloqueado. No debería haber bloqueos en un sistema inactivo.

¿Qué pasa si FortiManager tarda demasiado en completar una tarea? Puede utilizar la lista de procesos de diagnóstico de dvm
comando para identificar cualquier proceso o tarea que esté atascado. Una tarea bloqueada puede impedir que se procesen otras tareas
posteriores. Si una tarea tarda demasiado en procesarse, se enumera aquí.

Puede cancelar o eliminar la tarea pendiente (atascada) desde el Monitor de tareas en el panel Configuración del sistema.
A veces, Task Monitor no cancela ni elimina las tareas atascadas o pendientes de la GUI. En ese escenario, puede ejecutar los siguientes
comandos CLI para cancelar o eliminar:

• diagnosticar la reparación de la tarea dvm mantiene los datos existentes siempre que sea posible mientras repara la base de datos de la tarea.
• diagnosticar el restablecimiento de la tarea dvm elimina por completo los registros de la base de datos de tareas de FortiManager. Todo
Se borran las tareas existentes y el historial de tareas.

Tenga en cuenta que estos comandos CLI reinician FortiManager después de arreglar la base de datos de tareas.

Guía de estudio del administrador de FortiManager 7.4 256

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Puede utilizar los comandos de depuración que se muestran en esta diapositiva para solucionar problemas entre FortiManager y FortiGate. Estos
problemas podrían estar relacionados con acciones como agregar, eliminar, actualizar, actualizar automáticamente e instalar.

La ejecución de un comando de depuración muestra el resultado de todas las demás depuraciones habilitadas, si no están deshabilitadas o reiniciadas.
Como práctica recomendada general, y antes de ejecutar cualquier comando de depuración, siempre debe verificar si hay otras depuraciones
habilitadas. Restablezca siempre la configuración del nivel de depuración antes de habilitar cualquier depuración nueva.

Guía de estudio del administrador de FortiManager 7.4 257

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

El ejemplo de esta diapositiva muestra un resultado parcial del comando diagnostic debug application depmanager 255 . Este comando
le permite obtener el estado en tiempo real del dispositivo FortiGate que se está agregando.

Tenga en cuenta que el resultado de este comando es detallado e incluye el resultado de todos los dispositivos administrados.

Guía de estudio del administrador de FortiManager 7.4 258

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Un cierre inesperado de FortiManager puede dañar el sistema de archivos y las bases de datos internas.
Esto se aplica tanto al hardware como a las máquinas virtuales.

Si FortiManager se queda sin energía, un mensaje en la conexión de la consola le aconseja reparar el sistema de archivos.
La información sobre este y otros eventos inesperados también se encuentra en el widget de la Consola de mensajes de alerta y en los Registros de
eventos.

Recuerde, siempre haga una copia de seguridad de FortiManager antes de reparar el sistema de archivos.

También se recomienda encarecidamente que conecte FortiManager a una fuente de alimentación ininterrumpida (UPS) para evitar un apagado
inesperado.

Guía de estudio del administrador de FortiManager 7.4 259

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Para garantizar la integridad de la base de datos en FortiManager, debe seguir estas mejores prácticas:

• Siempre cierre FortiManager correctamente. El uso de un apagado completo puede dañar las bases de datos internas.
•
Si varios administradores están realizando operaciones en FortiManager, habilite el bloqueo ADOM para evitar conflictos de configuración.

• Siga siempre la ruta de actualización correcta. Si no lo hace, puede causar inconsistencias en la base de datos.
• Asegúrese de que todos los administradores estén desconectados y realice comprobaciones de integridad de la base de datos antes de realizar una
actualización de firmware.

Si no puede resolver un problema de integridad de los datos, puede realizar un restablecimiento de fábrica en FortiManager y luego restaurar la configuración
utilizando una buena copia de seguridad.

Guía de estudio del administrador de FortiManager 7.4 260

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Si experimenta un comportamiento inusual en FortiManager, verifique si hay problemas con la integridad de las bases de datos.

Los comandos de integridad de la base de datos modifican cualquier error de base de datos que se encuentre. Se recomienda realizar una copia de
seguridad antes de ejecutar los comandos de integridad de la base de datos. Además, se recomienda tener todos los
los administradores cierran sesión y todos los ADOM se desbloquean, si el modo de espacio de trabajo está habilitado antes de ejecutar los comandos de
verificación de integridad.

Tener una copia de seguridad es útil cuando no desea conservar los cambios realizados por los comandos de integridad y necesita restaurar la
configuración de FortiManager.

Como práctica recomendada, configure una copia de seguridad programada de FortiManager. FortiManager ejecuta automáticamente comandos de
integridad de la base de datos antes de programar una copia de seguridad y crea registros. Si hay algún problema con la integridad de la base
de datos, debe volver a ejecutar los comandos para solucionar el problema, ya que las copias de seguridad programadas no realizan las
correcciones necesarias.

Guía de estudio del administrador de FortiManager 7.4 261

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Esta diapositiva enumera varios comandos que puede utilizar para verificar y mantener la integridad de la base de datos.

Después de ejecutar un comando de integridad de la base de datos que realiza correcciones en la base de datos, debe volver a ejecutar el
comando para verificar la implementación adecuada de esas correcciones.

Guía de estudio del administrador de FortiManager 7.4 262

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

En el ejemplo de esta diapositiva, FortiManager no encuentra ningún error de integridad en las bases de datos del administrador de
dispositivos o en la base de datos My_ADOM ADOM.

En caso de encontrar algún error, el sistema muestra un mensaje recomendándole realizar una copia de seguridad antes de aplicar
cualquier cambio a la base de datos.

Guía de estudio del administrador de FortiManager 7.4 263

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 264

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende cómo diagnosticar y solucionar varios problemas con FortiManager.

Ahora aprenderá a solucionar problemas de dispositivos y bases de datos ADOM.

Guía de estudio del administrador de FortiManager 7.4 265

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.

Al demostrar competencia para comprender cómo utilizar los comandos CLI relacionados con bases de datos a nivel de
dispositivo y ADOM, aprenderá a solucionar problemas a nivel de dispositivo y ADOM.

Guía de estudio del administrador de FortiManager 7.4 266

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Puede verificar qué plantillas se aplican a qué dispositivo FortiGate desde Plantillas de aprovisionamiento
o desde el widget de configuración e instalación del dispositivo individual.

En el ejemplo de esta diapositiva, la plantilla del sistema predeterminada se aplica a Local­FortiGate y Remote­FortiGate para la
configuración de DNS.

Guía de estudio del administrador de FortiManager 7.4 267

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Puede usar este comando para ver la configuración CLI de las plantillas y qué comandos CLI se enviarán a los dispositivos
FortiGate administrados.

En el ejemplo de esta diapositiva, la plantilla del sistema predeterminada, indicada por el ID 3547, está configurada con entradas DNS
primarias y secundarias. Recuerde que la plantilla del sistema predeterminada se aplica a Local­FortiGate y Remote­FortiGate, como
se muestra en la diapositiva anterior.

Para encontrar los parámetros disponibles para este comando, presione ? por ayuda.

Guía de estudio del administrador de FortiManager 7.4 268

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Puede utilizar el comando ejecutar fmpolicy print­device­database para exportar toda la configuración del dispositivo a un archivo,
que luego puede cargar en un servidor FTP, SFTP o SCP.

Opcionalmente, puede mostrar el resultado directamente en una sesión CLI, pero la información es extremadamente detallada y
tendrá que aumentar considerablemente el tamaño del búfer de su sesión de terminal para que se ajuste.

La misma información está disponible al hacer clic en el botón Ver configuración completa en el widget Configuración e
instalación.

Guía de estudio del administrador de FortiManager 7.4 269

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Puede utilizar el comando ejecutar fmpolicy print­device­object para mostrar la configuración de objetos en dispositivos administrados.

Esta diapositiva muestra un ejemplo de la configuración de DNS para el dispositivo Local­FortiGate en comparación con la
configuración en la plantilla del sistema aplicada a ese dispositivo. En este caso, las entradas del DNS secundario no coinciden. Por
esta razón, cuando instala la configuración a nivel de dispositivo en Local­FortiGate, la instalación omite la entrada DNS
principal e instala solo la entrada DNS secundaria.

Para encontrar los parámetros disponibles para el comando fmpolicy print­device­object , presione ? por ayuda.

Guía de estudio del administrador de FortiManager 7.4 270

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

También puede ver las políticas y los objetos en el nivel ADOM, usando los comandos que se muestran en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 271

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra un ejemplo de cómo puede usar la CLI para comparar la configuración en la base de datos del dispositivo con la
configuración en la base de datos ADOM.

En el lado izquierdo, a nivel de dispositivo, la política de firewall denominada For_Local­FortiGate incluye FTP en la lista de servicios
permitidos.

En el lado derecho, la base de datos ADOM no incluye FTP en la lista de servicios permitidos en esta política. Esta discrepancia indica que
es necesario instalar la versión más reciente de la política en Local­FortiGate.

Alternativamente, para el ejemplo de esta diapositiva, puede obtener la misma información en la GUI haciendo clic derecho en el dispositivo
Local­FortiGate y luego seleccionando la opción Policy Package Diff. Las diferencias entre ambas versiones de la política se pueden
examinar en la ventana Diferencia del paquete de políticas, como se muestra en la imagen.

Guía de estudio del administrador de FortiManager 7.4 272

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 273

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende cómo diagnosticar y solucionar problemas del dispositivo y de la base de datos ADOM en
FortiManager.

Ahora aprenderá cómo solucionar problemas de importación e instalación.

Guía de estudio del administrador de FortiManager 7.4 274

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.

Al demostrar competencia para comprender los problemas de importación e instalación, podrá solucionarlos si ocurren en su red.

Guía de estudio del administrador de FortiManager 7.4 275

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

En este ejemplo, la configuración se recupera y guarda correctamente en el historial de revisiones; sin embargo, el problema ocurre al actualizar
la base de datos del dispositivo. Por lo general, problemas como este son causados por información inconsistente o corrupta.
Configuraciones de FortiGate.

Puede solucionar errores de recarga para ver en qué etapa la configuración no se carga en la base de datos a nivel de dispositivo.

Cuando ejecuta el comando de falla de recarga, FortiManager se conecta a FortiGate y descarga su archivo de configuración. Luego,
FortiManager realiza una operación de recarga en la base de datos del dispositivo.

Hay dos resultados posibles:

•
Si no hay errores en la configuración de FortiGate, la recarga es exitosa y la base de datos a nivel de dispositivo
se actualiza con la configuración de FortiGate. Sin embargo, tenga en cuenta que no se crea una nueva entrada en el historial de revisiones.
•
Si hay errores en la configuración de FortiGate, el resultado del comando de recarga indica el punto de la configuración en el que la base
de datos a nivel de dispositivo no se actualizó.

También puede consultar los registros de eventos para ver si contienen detalles sobre la causa del error.

Guía de estudio del administrador de FortiManager 7.4 276

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Cuando agrega un dispositivo FortiGate usando el asistente Agregar dispositivo, o importa políticas usando el asistente Importar
configuración, asegúrese siempre de que las políticas y los objetos se importen correctamente.

En el ejemplo de esta diapositiva, la base de datos FortiManager ADOM tiene un objeto de dirección de firewall llamado Test_PC que está
asociado con la interfaz any. Sin embargo, Remote­FortiGate también tiene un objeto de dirección de firewall llamado Test_PC, pero
que está asociado con el puerto de interfaz 6. Se hace referencia a este objeto de dirección de firewall en una política de firewall en Remote­
FortiGate.

Cuando se agregó o importó un paquete de políticas a Remote­FortiGate, la operación no pudo importar el objeto de dirección del firewall
Test_PC, así como la política de firewall asociada. La salida parcial del informe de importación que se muestra en la imagen proporciona
el motivo de la importación fallida.

FortiManager puede crear una asignación dinámica para un objeto de dirección si el nombre del objeto de dirección es el mismo pero contiene
un valor diferente localmente. Sin embargo, existe una restricción: la interfaz asociada no puede ser diferente. Esto se debe a que, en
el nivel ADOM, este objeto de dirección podría ser utilizado por otros paquetes de políticas, que podrían no tener las mismas interfaces.

Examinar los registros de eventos en FortiManager también puede proporcionar detalles sobre los objetos que causaron el problema del
error de importación.

Guía de estudio del administrador de FortiManager 7.4 277

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Después de realizar cambios de configuración de FortiManager al paquete de políticas importado parcial e intentar instalarlo usando
el asistente de instalación de Políticas y Objetos, FortiManager elimina los objetos y políticas fallidos. Esto se debe a que el
paquete de políticas no reconoce políticas y objetos faltantes o fallidos.

Hay dos formas de solucionar el problema:

• Puede eliminar el enlace de la interfaz para que sea igual al objeto ADOM de FortiManager.
•
Si es necesario mantener el enlace de la interfaz para FortiGate que tiene problemas con una importación de política
parcial, puede cambiar el nombre del objeto de dirección a un nombre único que no sea parte de la base de datos ADOM.

Para usar cualquiera de estos métodos, puede ejecutar un script desde FortiManager usando la opción FortiGate remoto directamente
(a través de CLI), o puede iniciar sesión localmente en FortiGate para realizar el cambio de configuración.

Tenga en cuenta que FortiManager le permite elegir el objeto de FortiManager o FortiGate si ambos tienen el mismo nombre de objeto
sin mapeo por dispositivo.

Guía de estudio del administrador de FortiManager 7.4 278

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Cuando realiza una instalación de paquete de políticas, la operación de copia es la primera operación que realiza FortiManager,
antes de realizar la instalación real. Es la operación en la que FortiManager intenta copiar el objeto o política de nivel ADOM a la
base de datos del dispositivo. Es lo contrario a la operación de importación.

Los problemas de falla de copia generalmente se deben a dependencias de objetos faltantes o incorrectas, o al uso de
parámetros no válidos al copiar desde la base de datos ADOM a la base de datos del dispositivo. Las dependencias de objetos
incorrectas o faltantes pueden deberse a corrupción o inconsistencias en la base de datos de FortiManager.
Los parámetros no válidos suelen deberse a un error humano.

La sección Ver informe de progreso le ayuda a identificar el problema que falla.

Cuando ocurre un error de copia, la base de datos del dispositivo se restaura a su estado original, antes del intento de copia.

Guía de estudio del administrador de FortiManager 7.4 279

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Siempre marque Ver registro de instalación para ver qué comandos CLI no fueron ejecutados o aceptados por FortiGate.

Las siguientes se encuentran entre las razones más comunes de fallas en la instalación:

• Una versión de ADOM y FortiGate no coincide, lo que creó un objeto usando una sintaxis CLI incorrecta
• Una actualización de ADOM, que modifica los objetos existentes de forma incorrecta debido a la corrupción de la base de datos.
• No seguir el orden correcto de operación en FortiManager, por ejemplo, impulsar una política SD­WAN
sin habilitar SD­WAN en FortiManager

Guía de estudio del administrador de FortiManager 7.4 280

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

El ejemplo de la diapositiva muestra el registro de instalación de la instalación fallida.

En este caso, no se agregó (falló) una nueva política de firewall llamada sd­wan debido a que una interfaz virtual­wan­link no
estaba disponible en FortiGate.

En este escenario, el administrador no siguió los pasos correctos para habilitar la interfaz SD­WAN antes de impulsar la política SD­
WAN y FortiGate rechazó la adición de la política de firewall SD­WAN.

Guía de estudio del administrador de FortiManager 7.4 281

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

El informe de verificación muestra las diferencias entre la configuración que se esperaba instalar y la que se instaló en el dispositivo
FortiGate.

Debido a que el enlace virtual­wan no está disponible, no se creó una política de firewall en el dispositivo FortiGate.

Guía de estudio del administrador de FortiManager 7.4 282

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Para solucionar problemas de fallas de instalación, comience verificando que la versión de FortiGate sea la misma o sea compatible
con la versión ADOM.

Si la versión FortiGate no es compatible con la versión ADOM, o si FortiManager no es compatible con algunas
Funciones de FortiGate CLI, entonces:

1. Mueva el dispositivo FortiGate al ADOM compatible o use un script para resolver el problema.
2. Realice la instalación nuevamente en el nuevo ADOM.

Si la versión FortiGate es compatible con la versión ADOM, entonces:

1. Recupere la configuración de FortiGate para que FortiManager actualice la base de datos del dispositivo con la configuración correcta.
sintaxis.
2. Realice un pequeño cambio a nivel de dispositivo e instálelo para asegurarse de que no haya un problema con la base de datos del dispositivo.
•
Si la instalación no tiene éxito, verifique y corrija la configuración a nivel del dispositivo.
•
Si la instalación se realiza correctamente, verifique y, si es necesario, vuelva a crear el objeto o la política.
3. Realice la instalación nuevamente.

Guía de estudio del administrador de FortiManager 7.4 283

Machine Translated by Google
Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Si ninguno de los pasos anteriores solucionó los problemas de falla de instalación, puede:

1. Cree un nuevo ADOM con una versión que coincida con la del firmware en FortiGate.
2. Mueva el dispositivo FortiGate al nuevo ADOM.
3. Recupere la configuración de FortiGate e importe los paquetes de políticas.
4. Vuelva a crear el objeto o política desde la GUI de FortiManager (si es compatible) o utilizando un script.
5. Realice la instalación nuevamente.

Guía de estudio del administrador de FortiManager 7.4 284

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 285

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio del administrador de FortiManager 7.4 286

Machine Translated by Google Diagnóstico y solución de problemas

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Al dominar los objetivos cubiertos en esta lección, aprendió cómo diagnosticar y solucionar problemas relacionados con
FortiManager y los dispositivos administrados.

Guía de estudio del administrador de FortiManager 7.4 287

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá cómo configurar un clúster de alta disponibilidad (HA) de FortiManager y cómo utilizar
FortiManager como servidor FortiGuard local para sus dispositivos.

Guía de estudio del administrador de FortiManager 7.4 288

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 289

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.

Al demostrar competencia en los fundamentos del clúster FortiManager HA, podrá explicar cómo esta solución
FortiManager mejora la confiabilidad en su red.

Guía de estudio del administrador de FortiManager 7.4 290

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Un clúster FortiManager HA consta de hasta cinco dispositivos FortiManager del mismo modelo y firmware de FortiManager. Uno de los dispositivos
del clúster funciona como dispositivo principal y los demás dispositivos (hasta cuatro)
funcionan como dispositivos secundarios.

Los paquetes de latidos de HA utilizan el puerto TCP 5199. FortiManager HA admite redundancia geográfica, por lo que la unidad primaria y
las unidades secundarias pueden estar en diferentes ubicaciones conectadas a diferentes redes siempre que sea posible la comunicación
entre ellas (por ejemplo, en Internet, en una WAN, o en una red privada).

Al realizar una actualización de firmware en el clúster, siempre programe una ventana de mantenimiento porque la actualización del
firmware en el FortiManager principal también actualiza el firmware en todos los dispositivos secundarios y reinicia todos los dispositivos en el clúster.
Es posible que los administradores no puedan conectarse a la GUI hasta que se complete el proceso de sincronización de actualización.
Durante la actualización, las conexiones SSH o telnet a la CLI también pueden ser lentas. Aún puede usar la consola para conectarse a la CLI del
dispositivo principal.

Guía de estudio del administrador de FortiManager 7.4 291

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Todos los cambios en la base de datos de FortiManager se guardan en el FortiManager principal. Estos cambios son entonces
sincronizado con los dispositivos secundarios FortiManager. La configuración y las bases de datos de dispositivos y políticas del
dispositivo principal también se sincronizan con los dispositivos secundarios.

Hay algunas opciones de configuración, bases de datos de FortiGuard y registros que no están sincronizados entre los dispositivos
primario y secundario. Las bases de datos y los paquetes de FortiGuard se descargan por separado y cada dispositivo puede
proporcionar servicios FortiGuard a los dispositivos administrados.

El clúster funciona como un clúster activo­pasivo; sin embargo, puede configurar los miembros del clúster para que actúen como
servidores FortiGuard locales activos e independientes.

Guía de estudio del administrador de FortiManager 7.4 292

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Hay dos modos de conmutación por error de HA:

1. manuales
2. VRRP (automático)

En el modo manual, cuando la unidad principal falla, debe configurar manualmente una de las unidades secundarias para
que se convierta en la unidad principal. La nueva unidad primaria mantendrá su dirección IP. La dirección IP de
FortiManager registrada en FortiGate se cambiará automáticamente cuando se seleccione la nueva unidad principal.

No es necesario reiniciar los dispositivos que promociona de secundario a principal.

Puede seleccionar VRRP para configurar la conmutación por error automática. Cuando la interfaz monitoreada
para el FortiManager principal es inaccesible o está inactiva, se produce una conmutación por error
automática de HA y el FortiManager secundario con la prioridad más alta se convierte automáticamente en el principal. Este modo
requiere la configuración de una IP virtual (VIP) para el clúster, una interfaz VRRP, prioridades para cada miembro y un
IP monitoreada.

Guía de estudio del administrador de FortiManager 7.4 293

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Los dispositivos FortiGate administrados son actualizados por el FortiManager principal con los números de serie
de todos los miembros del clúster. De manera similar, si elimina un miembro secundario de la configuración HA, el
FortiManager principal elimina el número de serie secundario de la configuración de administración central de FortiGate y
actualiza los dispositivos FortiGate administrados inmediatamente.

Guía de estudio del administrador de FortiManager 7.4 294

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 295

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende cómo implementar, configurar y solucionar problemas de un clúster HA.

Ahora conocerá los servicios de FortiGuard.

Guía de estudio del administrador de FortiManager 7.4 296

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder alcanzar los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en el uso de los servicios de FortiGuard en FortiManager, podrá utilizar su FortiManager de
manera efectiva como un FDS local.

Guía de estudio del administrador de FortiManager 7.4 297

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

Un dispositivo FortiManager que actúa como FortiGuard local, sincroniza las actualizaciones y paquetes de FortiGuard con la red
de distribución pública de FortiGuard (FDN) y luego proporciona las actualizaciones a los dispositivos compatibles en su red. El
FortiGuard local reduce la carga de la conexión a Internet y proporciona una conexión más rápida, lo que minimiza el tiempo necesario para
aplicar actualizaciones, como firmas IPS, a muchos dispositivos.

Guía de estudio del administrador de FortiManager 7.4 298

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

FortiManager puede funcionar como un caché FortiGuard local a menos que esté configurado para operaciones de red cerrada. Se
conecta continuamente a los servidores públicos de FortiGuard para obtener información de licencia de dispositivo administrado y
verificar si hay actualizaciones de firmware disponibles.

En un clúster FortiManager, la información de FortiGuard no está sincronizada y cada miembro del clúster descarga
individualmente y puede proporcionar estos servicios de forma independiente.

FortiManager admite solicitudes de dispositivos registrados (administrados) y no registrados (no administrados).

El uso de los servicios de FortiGuard en FortiManager puede consumir muchos recursos y es posible que deba considerar el uso de
un FortiManager dedicado para esta tarea.

Guía de estudio del administrador de FortiManager 7.4 299

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Los servicios FortiGuard representan los servicios de actualización de antivirus, IPS, filtrado web y antispam que Fortinet brinda a sus
clientes.

Históricamente, los servicios antivirus e IPS se denominaban servidores de distribución FortiGuard (FDS), y los servicios de filtrado web
y de correo electrónico como servicio FortiGuard.

Actualmente, el término FortiGuard cubre todos los servicios; sin embargo, secciones específicas de configuración de GUI o CLI de FortiManager
continúan haciendo referencia a ellas utilizando la terminología que se muestra en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 300

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

Para habilitar el servicio FortiGuard integrado, debe habilitar la configuración de acceso al servicio en la
interfaz FortiManager y los servicios FortiGuard.

Debe configurar los ajustes de acceso al servicio en FortiManager por interfaz. Esto es útil cuando diferentes dispositivos
FortiGate se comunican con FortiManager en diferentes interfaces. Los dispositivos FortiGate utilizan los
servicios FortiGuard para consultar y obtener actualizaciones de FortiManager. El servicio de actualizaciones de
FortiGate es para antivirus, IPS y validación de licencias. El servicio de filtrado web es para filtro web y antispam.

Guía de estudio del administrador de FortiManager 7.4 301

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

El segundo paso de configuración es habilitar los servicios en FortiManager. De forma predeterminada, la comunicación con la FDN pública
está habilitada, lo que permite a FortiManager conectarse continuamente a los servidores FDN para obtener información administrada.
información del dispositivo y paquetes de sincronización. Sin embargo, debe habilitar servicios, como antivirus e IPS, filtro web y filtro de
correo electrónico para que FortiManager pueda descargar actualizaciones para estos servicios desde los servidores públicos.

Puede seleccionar Servidores ubicados solo en EE. UU. para limitar la comunicación a los servidores FortiGuard ubicados en EE. UU.
Seleccione Servidores globales para comunicarse con servidores en cualquier lugar.

Cuando utilice FortiManager en una red cerrada, desactive la comunicación con FortiGuard. Cuando la comunicación está
deshabilitada, debe cargar manualmente las bases de datos de antivirus, IPS, paquetes de licencias, filtros web y filtros de correo
electrónico porque ya no se recuperan automáticamente de los servidores públicos de FortiGuard.

Durante la configuración por primera vez, FortiManager todavía recibe actualizaciones del FDN público y debe deshabilitar el acceso al
servicio en el nivel de la interfaz. Esto se debe a que FortiManager todavía está descargando actualizaciones y es posible que no pueda
proporcionar calificaciones o actualizaciones precisas para FortiGate. Puede habilitar el acceso al servicio después de que
FortiManager haya descargado los paquetes y las bases de datos.

Guía de estudio del administrador de FortiManager 7.4 302

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Los servicios antivirus e IPS están habilitados juntos y utilizan el puerto TCP 443 para obtener las actualizaciones de los
servidores públicos de FortiGuard. Puede habilitar actualizaciones para los productos compatibles habilitando la versión
de firmware para la que desea descargar las actualizaciones.

De forma predeterminada, FortiManager primero intenta conectarse al servidor FDS público fds1.fortinet.com a través del
puerto TCP 443 para descargar la lista de servidores FDS secundarios desde los que descargará paquetes AV/IPS.

Guía de estudio del administrador de FortiManager 7.4 303

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

Mantener actualizado el FDS integrado es importante para proporcionar paquetes de actualización de FDS actualizados. Al habilitar Programar
actualizaciones periódicas, se garantiza que tendrá una versión relativamente reciente de la firma y el paquete.
actualizaciones.

Un sistema FortiManager que actúa como FDS sincroniza sus copias locales de los paquetes de actualización de FortiGuard con el FDN cuando:

• FortiManager está programado para sondear o actualizar sus copias locales de los paquetes de actualización.
• Las actualizaciones push están habilitadas (recibe una notificación de actualización de la FDN)

Si la red se interrumpe cuando FortiManager está descargando un archivo grande, FortiManager descarga todos los archivos nuevamente cuando se
reanuda la red. Puede configurar actualizaciones programadas cada hora, diariamente o semanalmente.

De forma predeterminada, FortiManager programa actualizaciones cada diez minutos porque las actualizaciones de antivirus ocurren con frecuencia.

Guía de estudio del administrador de FortiManager 7.4 304

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

¿Qué pasa si hay actualizaciones importantes de IPS disponibles en el FortiGuard público? ¿Cómo puede asegurarse de que
FortiManager siempre reciba nuevas actualizaciones?

Si habilita Permitir actualización push, la FDN puede enviar notificaciones de actualización al FDS integrado de FortiManager, tan pronto como
FortiGuard publique nuevas actualizaciones de firmas. Luego, FortiManager descarga las actualizaciones inmediatamente.

Por lo general, cuando habilita las actualizaciones automáticas, FortiManager envía su dirección IP a la FDN. FDN utiliza esta dirección IP
como destino para los mensajes push.

¿Qué pasa si FortiManager está detrás de un dispositivo NAT?

Si FortiManager está detrás de un dispositivo NAT, enviar su dirección IP para actualizaciones automáticas hace que las actualizaciones
automáticas fallen porque se trata de una dirección IP no enrutable desde el FDN. Debes configurar lo siguiente:
• En FortiManager, configure la dirección IP del dispositivo NAT y el puerto utilizado para las actualizaciones push. Por defecto, el
El puerto para actualizaciones push es UDP 9443, pero puede configurar un número de puerto diferente.
• En el dispositivo NAT, configure la IP virtual y el puerto que reenvía a FortiManager. Es posible que FortiManager no
recibir actualizaciones automáticas si la dirección IP externa del dispositivo NAT cambia.

Es posible que el FDS integrado no reciba actualizaciones automáticas si la dirección IP externa de cualquier dispositivo NAT intermediario es
dinámica (como una dirección IP de PPPoE o DHCP). Cuando la dirección IP externa del dispositivo NAT cambia, la configuración de la
dirección IP push de FortiManager queda obsoleta.

Guía de estudio del administrador de FortiManager 7.4 305

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

El estado de recepción muestra el paquete recibido, la última versión, el tamaño, la versión que se implementará y el historial de
actualizaciones de los paquetes de firmas antivirus e IPS recibidos de FortiGuard.

El Historial de actualizaciones muestra las horas de actualización, los eventos que ocurrieron, el estado de las actualizaciones y las
versiones descargadas.

También puede cambiar la versión que desea implementar.

Guía de estudio del administrador de FortiManager 7.4 306

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Hay cinco estados principales para los dispositivos FortiGate configurados para recibir actualizaciones de FortiManager:

• Actualizado: el dispositivo FortiGate ha recibido el paquete más reciente.

• Nunca actualizado: el dispositivo nunca solicitó ni recibió el paquete.
• Pendiente: el dispositivo FortiGate tiene una versión anterior del paquete debido a una razón aceptable (como que la hora de
actualización programada está pendiente).
• Problema: El dispositivo FortiGate no realizó la consulta programada o no recibió correctamente la última
paquete.
• Desconocido: el estado del dispositivo FortiGate no se conoce actualmente.

También puede enviar actualizaciones pendientes a los dispositivos, ya sea individualmente o todos al mismo tiempo.

Guía de estudio del administrador de FortiManager 7.4 307

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Debe habilitar los servicios de filtro web y filtro de correo electrónico individualmente. De forma predeterminada, FortiManager primero
intenta conectarse al servidor público FortiGuard a través del puerto TCP 443 para descargar la lista de FortiGuard secundarios.
servidores desde los que luego descarga paquetes web y antispam. De forma predeterminada, FortiManager está programado para
buscar actualizaciones cada diez minutos.

Guía de estudio del administrador de FortiManager 7.4 308

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Cuando habilita los servicios web y antispam por primera vez, es posible que la descarga y la combinación de las bases de datos
tarden varias horas. Durante este tiempo, notará tiempos de espera de E/S más altos y un aumento en el uso de la CPU relacionado
con los procesos web y de correo electrónico en FortiManager.

Guía de estudio del administrador de FortiManager 7.4 309

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

Las bases de datos web y antispam recibidas de FortiGuard se enumeran en Estado de recepción. También se muestran la fecha y hora
en que se reciben las actualizaciones del servidor, la versión de la actualización, el tamaño de la actualización y el historial de actualizaciones.
Puede hacer clic en Historial de actualizaciones para ver más información sobre los paquetes individuales descargados.

El estado de la consulta muestra la cantidad de consultas realizadas desde todos los dispositivos administrados al dispositivo FortiManager
que actúa como un FDS local.

Guía de estudio del administrador de FortiManager 7.4 310

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

La configuración de anulación del servidor permite a FortiManager recurrir a otros servidores FDN si FortiManager no puede
comunicarse con uno de los servidores configurados en la lista de direcciones de servidores de anulación. De forma predeterminada,
el Modo de anulación del servidor está configurado en Libre, que es el modo recomendado.

Puede cambiar el Modo de anulación del servidor a Estricto, lo que evita que se produzca el retroceso. Esta configuración permite que
FortiManager se comunique solo con los servidores configurados en la lista de direcciones de servidores de anulación.

Guía de estudio del administrador de FortiManager 7.4 311

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Puede configurar las direcciones de servidor de anulación para antivirus, IPS, filtro web y filtro de correo electrónico para
FortiGate, FortiMail y FortiClient.

Un ejemplo de una buena situación en la que configurar una dirección de servidor de anulación es si tiene un FortiManager
ascendente dedicado que utiliza para descargar actualizaciones de antivirus e IPS. En este caso, puede configurar su
FortiManager descendente para obtener las actualizaciones del FortiManager ascendente dedicado configurando la dirección
IP y el puerto utilizados por el FortiManager ascendente.

Guía de estudio del administrador de FortiManager 7.4 312

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

FortiManager intenta obtener actualizaciones de los servidores configurados en la sección Usar anulación de dirección de servidor
para FortiGate/FortiMail. Dependiendo de la configuración del Modo de anulación del servidor, puede restringir FortiManager
para que reciba actualizaciones de la lista de servidores de anulación configurada, o permitir el respaldo a otros servidores FDS públicos
si FortiManager no puede comunicarse y recibir actualizaciones de la lista de servidores configurados.

En el ejemplo que se muestra en esta diapositiva, se configura una dirección de servidor de anulación. La imagen ilustra cómo,
cuando el Modo de anulación del servidor está configurado en Estricto, FortiManager obtiene actualizaciones solo del servidor en la lista.
No hay respaldo a otros servidores públicos, incluso si este servidor configurado no está disponible.

Sin embargo, si configura el Modo de anulación del servidor en Suelto, FortiManager primero intenta obtener actualizaciones
de la lista de servidores configurados y; Si ese servidor deja de estar disponible, FortiManager recurre a otros servidores FDS públicos
para obtener actualizaciones.

Guía de estudio del administrador de FortiManager 7.4 313

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

FortiManager incluye una página de descripción general de licencias que le permite ver información de licencias para todos los
dispositivos FortiGate administrados. Puede verificar rápidamente si la licencia de FortiGate ha caducado o no.

Guía de estudio del administrador de FortiManager 7.4 314

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

FortiManager puede descargar imágenes desde FDN, o puede cargar imágenes de firmware desde su
computadora de administración que luego puede usar para cambiar el firmware del dispositivo usando su dispositivo FortiManager.

Puede ver el firmware disponible según el tipo de producto compatible y filtrar por todos los dispositivos o solo por los
dispositivos administrados.

Guía de estudio del administrador de FortiManager 7.4 315

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Puede actualizar el firmware de FortiGate de las siguientes maneras:

• Para cada dispositivo, usando el widget de Información del sistema

• Para múltiples dispositivos, en la pestaña Firmware en ADOM. Puede actualizar la versión de firmware de todos los
dispositivos FortiGate, dispositivos FortiGate seleccionados o dispositivos FortiGate en un grupo.

FortiManager le permite actualizar el firmware ahora o programar la actualización para más adelante utilizando la opción
Plantillas de firmware.

Guía de estudio del administrador de FortiManager 7.4 316

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

También puede configurar dispositivos FortiGate no administrados para usar FortiManager como un FDS local. Para esto, debe configurar
la lista de servidores en la configuración de administración central de FortiGate, que incluye:

• La dirección IP de FortiManager utilizada como FDS local para dispositivos FortiGate

• El tipo de servidor, que puede ser uno o ambos de los siguientes:

• actualización : se utiliza para antivirus, actualizaciones de IPS y verificación de licencia de FortiGate

• clasificación : se utiliza para filtro web o clasificación antispam

De forma predeterminada, la opción include­default­servers está habilitada, lo que permite que un dispositivo FortiGate se
comunique con los servidores públicos de FortiGuard si un servidor privado (configurado en la lista de servidores) no está disponible.
Puede habilitar o deshabilitar la inclusión de servidores públicos FortiGuard en la lista de servidores de anulación.

Guía de estudio del administrador de FortiManager 7.4 317

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

De forma predeterminada, cuando FortiGate es administrado por FortiManager, utiliza servidores públicos FortiGuard. Esto se debe a
que no todas las organizaciones utilizan FortiManager para FDS locales.

Puede configurar FortiGate para usar FortiManager como un FDS local usando uno de los siguientes procedimientos:

• Configure los ajustes de FortiGuard en una plantilla de sistema que puede asignar e instalar en dispositivos administrados.
La decisión de anular el servidor FDS predeterminado y usar FortiManager es una configuración a nivel de dispositivo. Recuerde
habilitar la configuración de acceso al servicio en la interfaz de FortiManager.
• Configurar e instalar un script que incluya la configuración de la gestión central con el uso de inclusión de
los servidores predeterminados como se muestra en esta diapositiva.

Guía de estudio del administrador de FortiManager 7.4 318

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

El primer paso que debe realizar al solucionar problemas de FortiGuard es verificar la configuración en FortiManager.
Debes confirmar que:

• Puede resolver los servidores FDN públicos por nombre de dominio. Por ejemplo, compruebe si puede hacer ping a fds1.fortinet.com.

• La comunicación a la red y los servicios públicos está habilitada en FortiManager.

• Los servicios están habilitados en FortiManager

Guía de estudio del administrador de FortiManager 7.4 319

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Después de verificar la configuración, verifique si FortiManager se está comunicando con FortiGuard ascendente
servidor(es).

Si FortiManager no puede conectarse a los servidores FDN públicos, solo los servidores FDN principales aparecen en la lista de servidores.
Esto puede deberse a que no se puede acceder a FortiManager o a que los servicios de FortiManager están deshabilitados.

Después de que FortiManager se conecta a los servidores FDN públicos, descarga la lista de servidores FDN secundarios desde donde
descarga las actualizaciones y los paquetes.

Guía de estudio del administrador de FortiManager 7.4 320

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

También puedes consultar el estado de la conexión al FDN público. Si FortiManager no puede conectarse al FDN público o el servicio está
deshabilitado, UpullStat para el estado actual está vacío y no hay información sobre la fecha, hora, tamaño de descarga y paquete.

Después de que FortiManager pueda comunicarse con la FDN pública, FortiManager muestra el tamaño de descarga, el paquete y la
dirección IP del servidor FDN con el que FortiManager se comunica para descargar las actualizaciones.

UpullStat tiene cuatro estados principales:

• Conectado: la conexión de FortiManager a FDN inicialmente tiene éxito, pero se ha establecido una conexión de sincronización.
aún no ha ocurrido.
• Sincronización: el FDS integrado está habilitado y FortiManager está descargando y sincronizando paquetes disponibles
en la FDN.
• Sincronizado: el FDS integrado está habilitado y los paquetes FDN se descargan correctamente.
• Fuera de sincronización: la conexión FDN inicial se realiza correctamente, pero el FDS integrado está deshabilitado.

Guía de estudio del administrador de FortiManager 7.4 321

Machine Translated by Google Configuración adicional

NO REIMPRIMIR
© FORTINET

Los dispositivos FortiGate deben tener contratos de servicio válidos y activos para recibir actualizaciones de FortiManager.

Puede consultar la información del contrato de todos los dispositivos FortiGate en la CLI de FortiManager. Una licencia de
FortiGate vencida o de prueba se muestra como 99, lo que significa que FortiGate no puede recibir las actualizaciones de FortiManager.

Guía de estudio del administrador de FortiManager 7.4 322

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

En la CLI de FortiGate, puede verificar la última versión de actualización, cuándo se actualizó por última vez y la información del
contrato de FortiGate.

También puede ejecutar una depuración en tiempo real junto con el comando de actualización, que intenta descargar las últimas
definiciones y paquetes desde el servidor FDS (o el servidor FDS local configurado en la administración central).
configuración).

Guía de estudio del administrador de FortiManager 7.4 323

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

Guía de estudio del administrador de FortiManager 7.4 324

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio del administrador de FortiManager 7.4 325

Machine Translated by Google
Configuración adicional

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Al dominar los objetivos cubiertos en esta lección, aprendió sobre los fundamentos de los clústeres de FortiManager
HA y cómo usar FortiManager como un servidor FortiGuard local para sus dispositivos.

Guía de estudio del administrador de FortiManager 7.4 326

Machine Translated by Google

NO REIMPRIMIR
© FORTINET

Ninguna parte de esta publicación puede reproducirse de ninguna forma ni por ningún medio ni utilizarse para
realizar ningún derivado, como traducción, transformación o adaptación, sin el permiso de Fortinet Inc., según lo
estipulado por la Ley de Derechos de Autor de los Estados Unidos de 1976.
Copyright© 2023 Fortinet, Inc. Todos los derechos reservados. Fortinet®, FortiGate®, FortiCare® y FortiGuard®, y algunas otras marcas son marcas comerciales registradas de Fortinet, Inc., en los
EE. UU. y otras jurisdicciones, y otros nombres de Fortinet aquí mencionados también pueden ser marcas comerciales registradas y/o de derecho consuetudinario de Fortinet. Todos los demás nombres
de productos o empresas pueden ser marcas comerciales de sus respectivos propietarios. El rendimiento y otras métricas contenidas en este documento se obtuvieron en pruebas de laboratorio
internas en condiciones ideales, y el rendimiento real y otros resultados pueden variar. Las variables de la red, los diferentes entornos de la red y otras condiciones pueden afectar los resultados del
rendimiento. Nada en este documento representa ningún compromiso vinculante por parte de Fortinet, y Fortinet renuncia a todas las garantías, ya sean expresas o implícitas, excepto en la medida en
que Fortinet celebre un contrato escrito vinculante, firmado por el Asesor General de Fortinet, con un comprador que garantiza expresamente que el producto identificado funcionará de acuerdo a ciertas
métricas de desempeño expresamente identificadas y, en tal caso, solo las métricas de desempeño específicas identificadas expresamente en dicho contrato escrito vinculante serán vinculantes
para Fortinet. Para mayor claridad, dicha garantía se limitará al rendimiento en las mismas condiciones ideales que en las pruebas de laboratorio internas de Fortinet. En ningún caso Fortinet
asume ningún compromiso relacionado con entregables, características o desarrollo futuros, y las circunstancias pueden cambiar de manera que cualquier declaración prospectiva contenida en este documento no sea precisa.
Fortinet renuncia por completo a cualquier convenio, representación y garantía en virtud del presente, ya sean expresos o implícitos. Fortinet se reserva el derecho de cambiar, modificar, transferir o
revisar esta publicación sin previo aviso, y será aplicable la versión más actual de la publicación.