fortinet.fortimanager.fmgr_pkg_firewall_policy 模块 – 配置 IPv4 策略。

注意

此模块是 fortinet.fortimanager 集合 (版本 2.8.2) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用： ansible-galaxy collection install fortinet.fortimanager。

要在 playbook 中使用它，请指定： fortinet.fortimanager.fmgr_pkg_firewall_policy。

fortinet.fortimanager 1.0.0 中的新增功能

概要

• 此模块能够配置 FortiManager 设备。

• 示例包括所有需要在使用前调整为数据源的参数和值。

参数

参数	注释
access_token 字符串	无需使用用户名和密码即可访问 FortiManager 的令牌。
adom 字符串 / 必需	请求 URL 中的参数 (adom)。
bypass_validation 布尔值	仅当模块模式与 FortiManager API 结构不同时设置为 True，模块将继续执行而无需验证参数。 选项 false ← (默认) true
enable_log 布尔值	启用/禁用任务日志记录。 选项 false ← (默认) true
forticloud_access_token 字符串	使用 FortiCloud API 访问令牌对 Ansible 客户端进行身份验证。
pkg 字符串 / 必需	请求 URL 中的参数 (pkg)。
pkg_firewall_policy 字典	设置的顶级参数。
_policy_block 整数	分配的策略块。
action 字符串	策略操作 选项 "deny" "accept" "ipsec" "ssl-vpn" "redirect" "isolate"
anti_replay 别名：anti-replay 字符串	启用/禁用重放攻击检查。 选项 "disable" "enable"
app_category 别名：app-category 任意	(列表或字符串) 应用程序类别 ID 列表。
app_group 别名：app-group 任意	(列表或字符串) 应用程序组名称。
application 任意	(列表) 应用程序 ID 列表。
application_list 别名：application-list 字符串	现有应用程序列表的名称。
auth_cert 别名：auth-cert 字符串	用于策略身份验证的 HTTPS 服务器证书。
auth_path 别名：auth-path 字符串	启用/禁用基于身份验证的路由。 选项 "disable" "enable"
auth_redirect_addr 别名：auth-redirect-addr 字符串	用于防火墙身份验证的 HTTP 到 HTTPS 重定向地址。
auto_asic_offload 别名：auto-asic-offload 字符串	启用/禁用将安全配置文件处理卸载到 CP 处理器。 选项 "disable" "enable"
av_profile 别名：av-profile 字符串	现有防病毒配置文件的名称。
best_route 别名：best-route 字符串	启用/禁用最佳路由的使用。 选项 "disable" "enable"
block_notification 别名：block-notification 字符串	启用/禁用阻止通知。 选项 "disable" "enable"
captive_portal_exempt 别名：captive-portal-exempt 字符串	启用以使某些用户免于受限门户。 选项 "disable" "enable"
capture_packet 别名：capture-packet 字符串	启用/禁用捕获数据包。 选项 "disable" "enable"
casb_profile 别名：casb-profile 字符串	现有 CASB 配置文件的名称。
casi_profile 别名：casi-profile 字符串	CASI 配置文件。
cgn_eif 别名：cgn-eif 字符串	启用/禁用 CGN 端点独立过滤。 选项 "disable" "enable"
cgn_eim 别名：cgn-eim 字符串	启用/禁用 CGN 端点独立映射 选项 "disable" "enable"
cgn_log_server_grp 别名：cgn-log-server-grp 字符串	NP 日志服务器组名称
cgn_resource_quota 别名：cgn-resource-quota 整数	资源配额
cgn_session_quota 别名：cgn-session-quota 整数	会话配额
cgn_sw_eif_ctrl 别名：cgn-sw-eif-ctrl 字符串	启用/禁用软件端点独立过滤控制。 选项 "disable" "enable"
cifs_profile 别名：cifs-profile 字符串	现有 CIFS 配置文件的名称。
comments 任意	(字典或字符串) 注释。
custom_log_fields 别名：custom-log-fields 任意	(列表或字符串) 要附加到此策略的日志消息的自定义字段。
decrypted_traffic_mirror 别名：decrypted-traffic-mirror 字符串	解密的流量镜像。
delay_tcp_npu_session 别名：delay-tcp-npu-session 字符串	启用 TCP NPU 会话延迟以保证 3 路握手的数据包顺序。 选项 "disable" "enable"
delay_tcp_npu_sessoin 别名：delay-tcp-npu-sessoin 字符串	启用/禁用 TCP NPU 会话延迟以保证 3 路握手的包顺序。 选项 "disable" "enable"
devices 任意	(列表或字符串) 可以由策略匹配的设备或设备组的名称。
diameter_filter_profile 别名：diameter-filter-profile 字符串	现有 Diameter 过滤器配置文件的名称。
diffserv_copy 别名：diffserv-copy 字符串	启用以将数据包 DiffServ 值从会话的原始方向复制到其回复方向。 选项 "disable" "enable"
diffserv_forward 别名：diffserv-forward 字符串	启用以将数据包 DiffServ 值更改为指定的 diffservcode-forward 值。 选项 "disable" "enable"
diffserv_reverse 别名：diffserv-reverse 字符串	启用更改数据包反向传输。 选项 "disable" "enable"
diffservcode_forward 别名：diffservcode-forward 字符串	将数据包的DiffServ更改为此值。
diffservcode_rev 别名：diffservcode-rev 字符串	更改数据包反向传输。
免责声明 字符串	启用/禁用用户身份验证免责声明。 选项 "disable" "enable" “用户” “域” “策略”
dlp_profile 别名：dlp-profile 字符串	现有DLP配置文件的名称。
dlp_sensor 别名：dlp-sensor 字符串	现有DLP传感器的名称。
dnsfilter_profile 别名：dnsfilter-profile 字符串	现有DNS过滤器配置文件的名称。
dscp_match 别名：dscp-match 字符串	启用DSCP检查。 选项 "disable" "enable"
dscp_negate 别名：dscp-negate 字符串	启用否定DSCP匹配。 选项 "disable" "enable"
dscp_value 别名：dscp-value 字符串	DSCP值。
dsri 字符串	启用DSRI以忽略HTTP服务器响应。 选项 "disable" "enable"
dstaddr 任意	（列表或字符串）目标地址和地址组名称。
dstaddr6 任意	（列表或字符串）目标IPv6地址名称和地址组名称。
dstaddr6_negate 别名：dstaddr6-negate 字符串	启用时，dstaddr6指定目标地址不应是什么。 选项 "disable" "enable"
dstaddr_negate 别名：dstaddr-negate 字符串	启用时，dstaddr指定目标地址不应是什么。 选项 "disable" "enable"
dstintf 任意	（列表或字符串）出站
dynamic_shaping 别名：dynamic-shaping 字符串	启用/禁用动态RADIUS定义的流量整形。 选项 "disable" "enable"
eif_check 别名：eif-check 字符串	启用/禁用检查与端点无关的过滤针孔。 选项 "disable" "enable"
eif_learn 别名：eif-learn 字符串	启用/禁用学习端点无关过滤针孔。 选项 "disable" "enable"
email_collect 别名：email-collect 字符串	启用/禁用邮件收集。 选项 "disable" "enable"
emailfilter_profile 别名：emailfilter-profile 字符串	现有邮件过滤器配置文件的名称。
fec 字符串	在FEC设备上启用/禁用针对与该策略匹配的流量的纠错。 选项 "disable" "enable"
file_filter_profile 别名：file-filter-profile 字符串	现有文件过滤器配置文件的名称。
firewall_session_dirty 别名：firewall-session-dirty 字符串	如果此防火墙策略的配置发生更改，如何处理会话。 选项 “check-all” “check-new”
fixedport 字符串	启用此功能可防止源NAT更改会话的源端口。 选项 "disable" "enable"
fsso 字符串	启用/禁用Fortinet单点登录。 选项 "disable" "enable"
fsso_agent_for_ntlm 别名：fsso-agent-for-ntlm 字符串	用于NTLM身份验证的FSSO代理。
fsso_groups 别名：fsso-groups 任意	（列表或字符串）FSSO组的名称。
geoip_anycast 别名：geoip-anycast 字符串	启用/禁用使用地理位置IP数据库识别任何播送IP地址。 选项 "disable" "enable"
geoip_match 别名：geoip-match 字符串	根据其物理位置或注册位置匹配地理位置地址。 选项 “physical-location” “registered-location”
global_label 别名：global-label 字符串	在GUI处于全局视图模式时显示的策略标签。
groups 任意	（列表或字符串）可以使用此策略进行身份验证的用户组的名称。
gtp_profile 别名：gtp-profile 字符串	GTP配置文件。
http_policy_redirect 别名：http-policy-redirect 字符串	重定向HTTP 选项 "disable" "enable"
icap_profile 别名：icap-profile 字符串	现有ICAP配置文件的名称。
identity_based_route 别名：identity-based-route 字符串	基于身份的路由规则的名称。
inbound 字符串	基于策略的IPsec VPN 选项 "disable" "enable"
inspection_mode 别名：inspection-mode 字符串	策略检查模式 选项 “proxy” “flow”
internet_service 别名：internet-service 字符串	启用/禁用为此策略使用Internet服务。 选项 "disable" "enable"
internet_service6 别名：internet-service6 字符串	启用/禁用为此策略使用IPv6 Internet服务。 选项 "disable" "enable"
internet_service6_custom 别名：internet-service6-custom 任意	（列表）自定义IPv6 Internet服务名称。
internet_service6_custom_group 别名：internet-service6-custom-group 任意	（列表）自定义Internet Service6组名称。
internet_service6_group 别名：internet-service6-group 任意	（列表）Internet服务组名称。
internet_service6_name 别名：internet-service6-name 任意	（列表）IPv6 Internet服务名称。
internet_service6_negate 别名：internet-service6-negate 字符串	启用时，internet-service6指定服务不应是什么。 选项 "disable" "enable"
internet_service6_src 别名：internet-service6-src 字符串	启用/禁用为此策略在源中使用IPv6 Internet服务。 选项 "disable" "enable"
internet_service6_src_custom 别名：internet-service6-src-custom 任意	（列表）自定义IPv6 Internet服务源名称。
internet_service6_src_custom_group 别名：internet-service6-src-custom-group 任意	（列表）自定义Internet Service6源组名称。
internet_service6_src_group 别名：internet-service6-src-group 任意	（列表）Internet Service6源组名称。
internet_service6_src_name 别名：internet-service6-src-name 任意	（列表）IPv6 Internet服务源名称。
internet_service6_src_negate 别名：internet-service6-src-negate 字符串	启用时，internet-service6-src指定服务不应是什么。 选项 "disable" "enable"
internet_service_custom 别名：internet-service-custom 任意	（列表或字符串）自定义Internet服务名称。
internet_service_custom_group 别名：internet-service-custom-group 任意	（列表或字符串）自定义Internet服务组名称。
internet_service_group 别名：internet-service-group 任意	（列表或字符串）Internet服务组名称。
internet_service_id 别名：internet-service-id 任意	（列表或字符串）Internet服务ID。
internet_service_name 别名：internet-service-name 任意	（列表或字符串）Internet服务名称。
internet_service_negate 别名：internet-service-negate 字符串	启用时，internet-service指定服务不应是什么。 选项 "disable" "enable"
internet_service_src 别名：internet-service-src 字符串	启用/禁用为此策略在源中使用Internet服务。 选项 "disable" "enable"
internet_service_src_custom 别名：internet-service-src-custom 任意	（列表或字符串）自定义Internet服务源名称。
internet_service_src_custom_group 别名：internet-service-src-custom-group 任意	（列表或字符串）自定义Internet服务源组名称。
internet_service_src_group 别名：internet-service-src-group 任意	（列表或字符串）Internet服务源组名称。
internet_service_src_id 别名：internet-service-src-id 任意	（列表或字符串）Internet服务源ID。
internet_service_src_name 别名：internet-service-src-name 任意	（列表或字符串）Internet服务源名称。
internet_service_src_negate 别名：internet-service-src-negate 字符串	启用时，internet-service-src指定服务不应是什么。 选项 "disable" "enable"
ip_version_type 别名：ip-version-type 字符串	策略的IP版本。
ippool 字符串	启用此功能可使用IP池进行源NAT。 选项 "disable" "enable"
ips_sensor 别名：ips-sensor 字符串	现有IPS传感器的名称。
ips_voip_filter 别名：ips-voip-filter 字符串	现有VoIP的名称
label 字符串	在GUI处于节视图模式时显示的策略标签。
learning_mode 别名：learning-mode 字符串	启用此功能可允许所有内容，但会记录所有有意义的数据以收集安全信息。 选项 "disable" "enable"
log_http_transaction 别名：log-http-transaction 字符串	启用/禁用HTTP事务日志。 选项 "disable" "enable" “all” “utm”
logtraffic 字符串	启用或禁用日志记录。 选项 "disable" "enable" “all” “utm”
logtraffic_start 别名：logtraffic-start 字符串	记录会话开始和结束时的日志。 选项 "disable" "enable"
match_vip 别名：match-vip 字符串	启用匹配其目标地址已被 VIP 更改的数据包。 选项 "disable" "enable"
match_vip_only 别名：match-vip-only 字符串	启用/禁用仅匹配其目标地址已被 VIP 更改的数据包。 选项 "disable" "enable"
mms_profile 别名：mms-profile 字符串	现有 MMS 配置文件的名称。
name 字符串	策略名称。
nat 字符串	启用/禁用源 NAT。 选项 "disable" "enable"
nat46 字符串	启用/禁用 NAT46。 选项 "disable" "enable"
nat64 字符串	启用/禁用 NAT64。 选项 "disable" "enable"
natinbound 字符串	基于策略的IPsec VPN 选项 "disable" "enable"
natip 字符串	基于策略的IPsec VPN
natoutbound 字符串	基于策略的IPsec VPN 选项 "disable" "enable"
network_service_dynamic 别名：network-service-dynamic 任意	(列表) 动态网络服务名称。
network_service_src_dynamic 别名：network-service-src-dynamic 任意	(列表) 动态网络服务源名称。
np_accelation 别名：np-accelation 字符串	启用/禁用 UTM 网络处理器加速。 选项 "disable" "enable"
np_acceleration 别名：np-acceleration 字符串	启用/禁用 UTM 网络处理器加速。 选项 "disable" "enable"
ntlm 字符串	启用/禁用 NTLM 身份验证。 选项 "disable" "enable"
ntlm_enabled_browsers 别名：ntlm-enabled-browsers 任意	(列表) 受支持浏览器的 HTTP-User-Agent 值。
ntlm_guest 别名：ntlm-guest 字符串	启用/禁用 NTLM 来宾用户访问。 选项 "disable" "enable"
object_position 别名：object position 列表 / 元素=字符串	对象位置。
outbound 字符串	基于策略的IPsec VPN 选项 "disable" "enable"
passive_wan_health_measurement 别名：passive-wan-health-measurement 字符串	启用/禁用被动 WAN 健康测量。 选项 "disable" "enable"
pcp_inbound 别名：pcp-inbound 字符串	启用/禁用 PCP 入站 DNAT。 选项 "disable" "enable"
pcp_outbound 别名：pcp-outbound 字符串	启用/禁用 PCP 出站 SNAT。 选项 "disable" "enable"
pcp_poolname 别名：pcp-poolname 任意	(列表) PCP 池名称。
per_ip_shaper 别名：per-ip-shaper 字符串	每个 IP 流量整形器。
permit_any_host 别名：permit-any-host 字符串	接受来自任何主机的 UDP 数据包。 选项 "disable" "enable"
permit_stun_host 别名：permit-stun-host 字符串	接受来自任何 NAT 会话遍历实用程序的 UDP 数据包 选项 "disable" "enable"
pfcp_profile 别名：pfcp-profile 字符串	PFCP 配置文件。
policy_behaviour_type 别名：policy-behaviour-type 字符串	策略的行为。
policy_expiry 别名：policy-expiry 字符串	启用/禁用策略过期。 选项 "disable" "enable"
policy_expiry_date 别名：policy-expiry-date 字符串	策略过期日期
policy_expiry_date_utc 别名：policy-expiry-date-utc 字符串	策略过期日期和时间，以纪元格式表示。
policy_offload 别名：policy-offload 字符串	启用/禁用 CGNAT 的硬件会话设置。 选项 "disable" "enable"
policyid 整数 / 必需	策略 ID。
poolname 任意	(列表或字符串) IP 池名称。
poolname6 任意	(列表或字符串) IPv6 池名称。
port_preserve 别名：port-preserve 字符串	启用/禁用保留源 NAT 中未使用的原始源端口。 选项 "disable" "enable"
profile_group 别名：profile-group 字符串	配置文件组的名称。
profile_protocol_options 别名：profile-protocol-options 字符串	现有协议选项配置文件的名称。
profile_type 别名：profile-type 字符串	确定防火墙策略是否仅允许安全配置文件组或单个配置文件。 选项 "single" "group"
radius_ip_auth_bypass 别名：radius-ip-auth-bypass 字符串	启用 IP 身份验证绕过。 选项 "disable" "enable"
radius_mac_auth_bypass 别名：radius-mac-auth-bypass 字符串	启用 MAC 身份验证绕过。 选项 "disable" "enable"
redirect_url 别名：redirect-url 字符串	用户在查看并接受免责声明或进行身份验证后将被定向到的 URL。
replacemsg_override_group 别名：replacemsg-override-group 字符串	覆盖此策略的默认替换消息组。
reputation_direction 别名：reputation-direction 字符串	声誉生效的初始流量方向。 选项 "source" "destination"
reputation_direction6 别名：reputation-direction6 字符串	IPv6 声誉生效的初始流量方向。 选项 "source" "destination"
reputation_minimum 别名：reputation-minimum 整数	采取行动的最低声誉。
reputation_minimum6 别名：reputation-minimum6 整数	采取行动的 IPv6 最低声誉。
rsso 字符串	启用/禁用 RADIUS 单点登录 选项 "disable" "enable"
rtp_addr 别名：rtp-addr 任意	(列表或字符串) 如果这是 RTP NAT 策略，则为地址名称。
rtp_nat 别名：rtp-nat 字符串	启用实时协议 选项 "disable" "enable"
scan_botnet_connections 别名：scan-botnet-connections 字符串	阻止或监控与僵尸网络服务器的连接或禁用僵尸网络扫描。 选项 "disable" "block" "monitor"
schedule 字符串	调度名称。
schedule_timeout 别名：schedule-timeout 字符串	启用强制结束当前会话，当调度对象超时时。 选项 "disable" "enable"
sctp_filter_profile 别名：sctp-filter-profile 字符串	现有 SCTP 过滤器配置文件的名称。
send_deny_packet 别名：send-deny-packet 字符串	启用在会话被防火墙策略拒绝或阻止时发送回复。 选项 "disable" "enable"
service 任意	(列表或字符串) 服务和服务组名称。
service_negate 别名：service-negate 字符串	启用时，service 指定服务不能是什么。 选项 "disable" "enable"
session_ttl 别名：session-ttl 任意	(整数或字符串) 此策略接受的会话的会话 TTL（以秒为单位）。
sgt 任意	(列表) 安全组标签。
sgt_check 别名：sgt-check 字符串	启用/禁用安全组标签 选项 "disable" "enable"
spamfilter_profile 别名：spamfilter-profile 字符串	现有垃圾邮件过滤器配置文件的名称。
src_vendor_mac 别名：src-vendor-mac 任意	(列表或字符串) 供应商 MAC 源 ID。
srcaddr 任意	(列表或字符串) 源地址和地址组名称。
srcaddr6 任意	(列表或字符串) 源 IPv6 地址名称和地址组名称。
srcaddr6_negate 别名：srcaddr6-negate 字符串	启用时，srcaddr6 指定源地址不能是什么。 选项 "disable" "enable"
srcaddr_negate 别名：srcaddr-negate 字符串	启用时，srcaddr 指定源地址不能是什么。 选项 "disable" "enable"
srcintf 任意	(列表或字符串) 入站
ssh_filter_profile 别名：ssh-filter-profile 字符串	现有 SSH 过滤器配置文件的名称。
ssh_policy_redirect 别名：ssh-policy-redirect 字符串	将 SSH 流量重定向到匹配的透明代理策略。 选项 "disable" "enable"
ssl_mirror 别名：ssl-mirror 字符串	启用将解密的 SSL 流量复制到 FortiGate 接口。 选项 "disable" "enable"
ssl_mirror_intf 别名：ssl-mirror-intf 任意	(列表或字符串) SSL 镜像接口名称。
ssl_ssh_profile 别名：ssl-ssh-profile 字符串	现有 SSL SSH 配置文件的名称。
status 字符串	启用或禁用此策略。 选项 "disable" "enable"
tags 字符串	应用于此策略的对象标签的名称。
tcp_mss_receiver 别名：tcp-mss-receiver 整数	接收器 TCP 最大分段大小
tcp_mss_sender 别名：tcp-mss-sender 整数	发送器 TCP 最大分段大小
tcp_session_without_syn 别名：tcp-session-without-syn 字符串	启用/禁用创建没有 SYN 标志的 TCP 会话。 选项 “all” "data-only" "disable"
tcp_timeout_pid 别名：tcp-timeout-pid 字符串	TCP 超时配置文件 ID
**timeout_send_rst** 别名: timeout-send-rst 字符串	启用/禁用在TCP会话过期时发送RST数据包。 选项 "disable" "enable"
tos 字符串	ToS
**tos_mask** 别名: tos-mask 字符串	非零位用于比较，零位被忽略。
**tos_negate** 别名: tos-negate 字符串	启用反向ToS匹配。 选项 "disable" "enable"
**traffic_shaper** 别名: traffic-shaper 字符串	流量整形器。
**traffic_shaper_reverse** 别名: traffic-shaper-reverse 字符串	反向流量整形器。
**udp_timeout_pid** 别名: udp-timeout-pid 字符串	UDP超时配置文件ID。
**url_category** 别名: url-category 任意	(列表或字符串) URL类别ID列表。
users 任意	(列表或字符串) 可使用此策略进行身份验证的单个用户名称。
**utm_status** 别名: utm-status 字符串	启用以添加一个或多个安全配置文件。 选项 "disable" "enable"
uuid 字符串	通用唯一标识符。
**videofilter_profile** 别名: videofilter-profile 字符串	现有视频过滤配置文件的名称。
**virtual_patch_profile** 别名: virtual-patch-profile 字符串	现有虚拟补丁配置文件的名称。
**vlan_cos_fwd** 别名: vlan-cos-fwd 整数	VLAN转发方向用户优先级。
**vlan_cos_rev** 别名: vlan-cos-rev 整数	VLAN反向方向用户优先级。
**vlan_filter** 别名: vlan-filter 字符串	设置VLAN过滤器。
**voip_profile** 别名: voip-profile 字符串	现有VoIP配置文件的名称。
vpn_dst_node 列表 / 元素=字典	VPN目标节点。
host 字符串	主机。
seq 整数	序列号。
subnet 字符串	子网。
vpn_src_node 列表 / 元素=字典	VPN源节点。
host 字符串	主机。
seq 整数	序列号。
subnet 字符串	子网。
vpntunnel 字符串	基于策略的IPsec VPN
**waf_profile** 别名: waf-profile 字符串	现有Web应用程序防火墙配置文件的名称。
wanopt 字符串	启用/禁用WAN优化。 选项 "disable" "enable"
**wanopt_detection** 别名: wanopt-detection 字符串	WAN优化自动检测模式。 选项 "active" "passive" "off"
**wanopt_passive_opt** 别名: wanopt-passive-opt 字符串	WAN优化被动模式选项。 选项 "default" "transparent" "non-transparent"
**wanopt_peer** 别名: wanopt-peer 字符串	WAN优化对等体。
**wanopt_profile** 别名: wanopt-profile 字符串	WAN优化配置文件。
wccp 字符串	启用/禁用将匹配此策略的流量转发到已配置的WCCP服务器。 选项 "disable" "enable"
webcache 字符串	启用/禁用Web缓存。 选项 "disable" "enable"
**webcache_https** 别名: webcache-https 字符串	启用/禁用HTTPS的Web缓存。 选项 "disable" "ssl-server" "any" "enable"
**webfilter_profile** 别名: webfilter-profile 字符串	现有Web过滤器配置文件的名称。
**webproxy_forward_server** 别名: webproxy-forward-server 字符串	Web代理转发服务器名称。
**webproxy_profile** 别名: webproxy-profile 字符串	Web代理配置文件名称。
wsso 字符串	启用/禁用WiFi单点登录。 选项 "disable" "enable"
**ztna_device_ownership** 别名: ztna-device-ownership 字符串	启用/禁用零信任设备所有权。 选项 "disable" "enable"
**ztna_ems_tag** 别名: ztna-ems-tag 任意	(列表或字符串) 源ztna-ems-tag名称。
**ztna_ems_tag_secondary** 别名: ztna-ems-tag-secondary 任意	(列表) 源ztna-ems-tag-secondary名称。
**ztna_geo_tag** 别名: ztna-geo-tag 任意	(列表或字符串) 源ztna-geo-tag名称。
**ztna_policy_redirect** 别名: ztna-policy-redirect 字符串	将ZTNA流量重定向到匹配的访问代理proxy-policy。 选项 "disable" "enable"
**ztna_status** 别名: ztna-status 字符串	启用/禁用零信任访问。 选项 "disable" "enable"
**ztna_tags_match_logic** 别名: ztna-tags-match-logic 字符串	ZTNA标签匹配逻辑。 选项 "or" "and"
proposed_method 字符串	底层Json RPC请求的覆盖方法。 选项 "update" "set" "add"
rc_failed 列表 / 元素=整数	将覆盖失败条件的rc代码列表。
rc_succeeded 列表 / 元素=整数	将覆盖成功条件的rc代码列表。
state 字符串 / 必需	创建、更新或删除对象的指令。 选项 "present" "absent"
workspace_locking_adom 字符串	在工作区模式下锁定FortiManager的ADOM，值可以是global和其他包括root。
workspace_locking_timeout 整数	等待其他用户释放工作区锁的最大时间（秒）。 默认值: 300

注释

注意

• 从2.4.0版本开始，所有输入参数都使用下划线命名约定（snake_case）。请将诸如“var-name”之类的参数更改为“var_name”。旧的参数名称仍然可用，但您会收到弃用警告。您可以在ansible.cfg中设置deprecation_warnings=False来忽略此警告。

• 此FortiManager模块支持在工作区锁定模式下运行，顶级参数workspace_locking_adom和workspace_locking_timeout有助于完成此工作。

• 要创建或更新对象，请使用state present指令。

• 要删除对象，请使用state absent指令。

• 通常，当返回非零rc时，运行一个模块可能会失败。您还可以使用参数rc_failed和rc_succeeded覆盖失败或成功的条件。

示例

- name: Example playbook
  hosts: fortimanagers
  connection: httpapi
  vars:
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_httpapi_port: 443
  tasks:
    - name: Configure IPv4 policies.
      fortinet.fortimanager.fmgr_pkg_firewall_policy:
        bypass_validation: false
        adom: ansible
        pkg: ansible # package name
        state: present
        pkg_firewall_policy:
          action: accept # <value in [deny, accept, ipsec, ...]>
          comments: ansible-comment
          dstaddr: all
          dstintf: any
          # name: ansible-test-policy
          nat: disable
          policyid: 1
          schedule: always
          service: ALL
          srcaddr: all
          srcintf: any
          status: disable

- name: Gathering fortimanager facts
  hosts: fortimanagers
  gather_facts: false
  connection: httpapi
  vars:
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_httpapi_port: 443
  tasks:
    - name: Retrieve all the IPv4 policies
      fortinet.fortimanager.fmgr_fact:
        facts:
          selector: "pkg_firewall_policy"
          params:
            adom: "ansible"
            pkg: "ansible" # package name
            policy: "your_value"

返回值

公共返回值已记录此处，以下是此模块特有的字段：

键	描述
meta 字典	请求的结果。 返回: 始终
request_url 字符串	请求的完整URL。 返回: 始终 示例: "/sys/login/user"
response_code 整数	API请求的状态。 返回: 始终 示例: 0
response_data 列表 / 元素=字符串	API响应。 返回: 始终
response_message 字符串	API响应的描述性消息。 返回: 始终 示例: "OK."
system_information 字典	目标系统的信息。 返回: 始终
rc 整数	请求的状态。 返回: 始终 示例: 0
version_check_warning 列表 / 元素=字符串	如果剧本中使用的参数不受当前FortiManager版本支持，则会发出警告。 返回: 复杂类型

作者

• 杜欣伟 (@dux-fortinet)

• 李星 (@lix-fortinet)

• 薛杰 (@JieX19)

• 郑林 (@chillancezen)

• 沈芳 (@fshen01)

• 陆宏斌 (@fgtdev-hblu)

资源链接

• 问题追踪器
• 主页
• 代码库 (源代码)