Fortinet FortiGate Anleitung

Verwenden Sie diese Anleitung, um Cybora in FortiGate ueber External Connectors einzubinden. FortiGate importiert den Feed als dynamisches externes Objekt und haelt ihn ueber Ihre Feed-URL synchron.

Was FortiGate mit einem Cybora-Feed machen kann

• IP-Address-Feeds koennen als Source- oder Destination-Objekte in Firewall Policies, Proxy Policies, Local-in Policies und ZTNA Rules verwendet werden. Sie koennen ausserdem als externe IP Block List in DNS Filter Profiles genutzt werden.
• Domain-Feeds werden zu Remote Categories in DNS Filter Profiles und koennen dort blockiert oder ueberwacht werden.
• Wenn Sie mit URL-basierten Indikatoren arbeiten, verwenden Sie den entsprechenden URL- oder FortiGuard-Category-Feed, den Ihre FortiOS-Version unterstuetzt. In der Praxis bedeutet das: IP-Feeds werden meist ueber Firewall-Policy-Objekte durchgesetzt, waehrend Domain-Feeds ueblicherweise ueber DNS Filtering greifen.

Bevor Sie beginnen

• Verwenden Sie eine FortiGate- oder FortiOS-Version, die Security Fabric > External Connectors unterstuetzt.
• Stellen Sie sicher, dass FortiGate Ihre Cybora-Feed-URL ueber HTTP oder HTTPS erreichen kann.
• Verwenden Sie den passenden Cybora-Feed-Typ fuer Ihren Plan und Ihren Anwendungsfall.
• Die Feed-Datei muss Plain Text sein, mit einem Eintrag pro Zeile.
• Wenn Sie Multi-VDOM verwenden, entscheiden Sie vorab, ob der Connector in der Global VDOM oder in einer bestimmten VDOM angelegt werden soll.

External Connector erstellen

1. Gehen Sie zu Security Fabric > External Connectors und klicken Sie auf Create New.
2. Waehlen Sie den Feed-Typ, der zu Ihrem Cybora-Feed passt. Verwenden Sie IP Address fuer IP-Indikatoren und Domain Name fuer Domain-Indikatoren.
3. Geben Sie einen klaren Connector-Namen ein.
4. Setzen Sie Update method auf External Feed.
5. Fuegen Sie Ihre Cybora-Feed-URL in URL of external resource ein.
6. Lassen Sie HTTP basic authentication deaktiviert, sofern Ihr Feed dies nicht ausdruecklich benoetigt.
7. Setzen Sie Refresh Rate exakt passend zu Ihrem Cybora-Plan. Innerhalb des erlaubten Intervalls ist nur eine Abfrage zulaessig. Wenn FortiGate den Feed haeufiger abfragt, als Ihr Plan erlaubt, kann der Feed blockiert werden.
8. Speichern Sie den Connector und bestaetigen Sie, dass er aktiviert ist.

Feed in FortiGate anwenden

1. Fuer IP-Address-Feeds verwenden Sie das importierte Objekt als Source oder Destination in der relevanten Firewall Policy.
2. Fuer Domain-Feeds verwenden Sie den importierten Feed als Remote Category in dem DNS Filter Profile, das Ihrer Policy zugewiesen ist.
3. Wenn passender Traffic blockiert werden soll, stellen Sie sicher, dass die verwendete Policy oder das Security Profile den importierten Feed entsprechend blockiert oder verweigert.
4. Aktivieren Sie Logging auf der verwendeten Policy oder dem Profil, damit Sie Treffer validieren und Probleme leichter beheben koennen.

Validierung

1. Oeffnen Sie den External Connector und pruefen Sie Last Update sowie den Verbindungsstatus.
2. Verwenden Sie View Entries, um zu bestaetigen, dass FortiGate die erwarteten Indikatoren importiert hat.
3. Pruefen Sie, ob der Connector in der vorgesehenen Policy oder dem DNS Filter Profile referenziert wird.
4. Testen Sie mit bekanntem passendem Traffic und pruefen Sie die entsprechenden Policy-, DNS-Filter- oder Security-Logs.

Wenn FortiGate die Verbindung zum externen Server voruebergehend verliert, kann die bereits importierte Liste weiterhin wirken, sie wird jedoch nicht aktualisiert, bis die Verbindung wiederhergestellt ist.

Weiterfuehrende Links

• Configuring a threat feed
• External feeds
• IP address threat feed
• Domain name threat feed
• External feed connectors per VDOM