fortinet.fortios.fortios_firewall_policy 模块 – 在 Fortinet 的 FortiOS 和 FortiGate 中配置 IPv4/IPv6 策略。
注意
此模块是 fortinet.fortios 集合 (版本 2.3.8) 的一部分。
如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install fortinet.fortios。您需要满足其他要求才能使用此模块,有关详细信息,请参阅要求。
要在 Playbook 中使用它,请指定:fortinet.fortios.fortios_firewall_policy。
fortinet.fortios 2.0.0 中的新增功能
概要
此模块能够通过允许用户设置和修改防火墙功能和策略类别来配置 FortiGate 或 FortiOS (FOS) 设备。示例包括所有参数,在使用之前需要将值调整为数据源。已使用 FOS v6.0.0 测试。
要求
执行此模块的主机需要满足以下要求。
ansible>=2.15
参数
参数 |
注释 |
|---|---|
基于令牌的身份验证。从 FortiGate 的 GUI 生成。 |
|
用于在列表中移动对象的动作指示器 选项
|
|
目标标识符的 mkey |
|
目标标识符的 mkey |
|
启用/禁用任务日志记录。 选项
|
|
配置 IPv4/IPv6 策略。 |
|
策略操作(accept/deny/ipsec)。 选项
|
|
启用/禁用反重放检查。 选项
|
|
应用程序类别 ID 列表。 |
|
类别 ID。请参阅 Notes。 |
|
应用程序组名称。 |
|
应用程序组名称。源 application.group.name。 |
|
应用程序 ID 列表。 |
|
应用程序 ID。请参阅 Notes。 |
|
现有应用程序列表的名称。源 application.list.name。 |
|
用于策略身份验证的 HTTPS 服务器证书。源 vpn.certificate.local.name。 |
|
启用/禁用基于身份验证的路由。 选项
|
|
用于防火墙身份验证的 HTTP 到 HTTPS 重定向地址。 |
|
启用/禁用策略流量 ASIC 卸载。 选项
|
|
现有防病毒配置文件的名称。源 antivirus.profile.name。 |
|
启用/禁用阻止通知。 选项
|
|
启用以豁免某些用户使用强制门户。 选项
|
|
启用/禁用捕获数据包。 选项
|
|
现有 CASB 配置文件的名称。源 casb.profile.name。 |
|
现有 CIFS 配置文件的名称。源 cifs.profile.name。 |
|
注释。 |
|
要附加到此策略的日志消息的自定义字段。 |
|
自定义日志字段。源 log.custom-field.id。 |
|
解密流量镜像。源 firewall.decrypted-traffic-mirror.name。 |
|
启用 TCP NPU 会话延迟以保证三次握手的数据包顺序。 选项
|
|
可以由策略匹配的设备或设备组的名称。 |
|
设备或组名称。源 user.device.alias user.device-group.name user.device-category.name。 |
|
现有 Diameter 过滤器配置文件的名称。源 diameter-filter.profile.name。 |
|
启用以将数据包的 DiffServ 值从会话的原始方向复制到其回复方向。 选项
|
|
启用以将数据包的 DiffServ 值更改为指定的 diffservcode-forward 值。 选项
|
|
启用以将数据包的相反(回复)DiffServ 值更改为指定的 diffservcode-rev 值。 选项
|
|
将数据包的 DiffServ 更改为此值。 |
|
将数据包的反向(回复)DiffServ 更改为此值。 |
|
启用/禁用用户身份验证免责声明。 选项
|
|
现有 DLP 配置文件的名称。源 dlp.profile.name。 |
|
现有 DLP 传感器的名称。源 dlp.sensor.name。 |
|
现有 DNS 过滤器配置文件的名称。源 dnsfilter.profile.name。 |
|
启用 DSCP 检查。 选项
|
|
启用反向 DSCP 匹配。 选项
|
|
DSCP 值。 |
|
启用 DSRI 以忽略 HTTP 服务器响应。 选项
|
|
目标 IPv4 地址和地址组名称。 |
|
地址名称。来源 firewall.address.name firewall.addrgrp.name firewall.vip.name firewall.vipgrp.name system.external-resource.name。 |
|
目标 IPv6 地址名称和地址组名称。 |
|
地址名称。来源 firewall.address6.name firewall.addrgrp6.name firewall.vip6.name firewall.vipgrp6.name system.external-resource.name。 |
|
启用后,dstaddr6 指定目标地址不能是什么。 选项
|
|
启用后,dstaddr 指定目标地址不能是什么。 选项
|
|
传出(出口)接口。 |
|
接口名称。来源 system.interface.name system.zone.name system.sdwan.zone.name。 |
|
启用/禁用动态 RADIUS 定义的流量整形。 选项
|
|
启用/禁用电子邮件收集。 选项
|
|
现有电子邮件过滤器配置文件的名称。来源 emailfilter.profile.name。 |
|
在 FEC 设备上,为此策略匹配的流量启用/禁用前向纠错。 选项
|
|
现有文件过滤器配置文件的名称。来源 file-filter.profile.name。 |
|
如果此防火墙策略的配置发生更改,如何处理会话。 选项
|
|
启用后可防止源 NAT 更改会话的源端口。 选项
|
|
启用/禁用 Fortinet 单点登录。 选项
|
|
用于 NTLM 身份验证的 FSSO 代理。来源 user.fsso.name。 |
|
FSSO 组的名称。 |
|
FSSO 组的名称。来源 user.adgrp.name。 |
|
使用地理 IP 数据库启用/禁用对任播 IP 地址的识别。 选项
|
|
根据地理位置的物理位置或注册位置匹配地理位置地址。 选项
|
|
当 GUI 处于全局视图模式时显示的策略标签。 |
|
可以使用此策略进行身份验证的用户组的名称。 |
|
组名称。来源 user.group.name。 |
|
GTP 配置文件。来源 firewall.gtp.name。 |
|
将 HTTP(S) 流量重定向到匹配的透明 Web 代理策略。 选项
|
|
现有 ICAP 配置文件的名称。来源 icap.profile.name。 |
|
基于身份的路由规则的名称。来源 firewall.identity-based-route.name。 |
|
基于策略的 IPsec VPN:只有来自远程网络的流量才能发起 VPN。 选项
|
|
策略检测模式(流/代理)。默认为流模式。 选项
|
|
启用/禁用此策略的 Internet 服务的使用。如果启用,则不使用目标地址和服务。 选项
|
|
启用/禁用此策略的 IPv6 Internet 服务的使用。如果启用,则不使用目标地址和服务。 选项
|
|
自定义 IPv6 Internet 服务名称。 |
|
自定义 Internet 服务名称。来源 firewall.internet-service-custom.name。 |
|
自定义 Internet Service6 组名称。 |
|
自定义 Internet Service6 组名称。来源 firewall.internet-service-custom-group.name。 |
|
Internet 服务组名称。 |
|
Internet 服务组名称。来源 firewall.internet-service-group.name。 |
|
IPv6 Internet 服务名称。 |
|
IPv6 Internet 服务名称。来源 firewall.internet-service-name.name。 |
|
启用后,internet-service6 指定服务不能是什么。 选项
|
|
启用/禁用此策略源中 IPv6 Internet 服务的使用。如果启用,则不使用源地址。 选项
|
|
自定义 IPv6 Internet 服务源名称。 |
|
自定义 Internet 服务名称。来源 firewall.internet-service-custom.name。 |
|
自定义 Internet Service6 源组名称。 |
|
自定义 Internet Service6 组名称。来源 firewall.internet-service-custom-group.name。 |
|
Internet Service6 源组名称。 |
|
Internet 服务组名称。来源 firewall.internet-service-group.name。 |
|
IPv6 Internet 服务源名称。 |
|
Internet 服务名称。来源 firewall.internet-service-name.name。 |
|
启用后,internet-service6-src 指定服务不能是什么。 选项
|
|
自定义 Internet 服务名称。 |
|
自定义 Internet 服务名称。来源 firewall.internet-service-custom.name。 |
|
自定义 Internet 服务组名称。 |
|
自定义 Internet 服务组名称。来源 firewall.internet-service-custom-group.name。 |
|
Internet 服务组名称。 |
|
Internet 服务组名称。来源 firewall.internet-service-group.name。 |
|
Internet 服务 ID。 |
|
Internet 服务 ID。请参阅 <a href=’#notes’>注释</a>。来源 firewall.internet-service.id。 |
|
Internet 服务名称。 |
|
Internet 服务名称。来源 firewall.internet-service-name.name。 |
|
启用后,internet-service 指定服务不能是什么。 选项
|
|
启用/禁用此策略源中 Internet 服务的使用。如果启用,则不使用源地址。 选项
|
|
自定义 Internet 服务源名称。 |
|
自定义 Internet 服务名称。来源 firewall.internet-service-custom.name。 |
|
自定义 Internet 服务源组名称。 |
|
自定义 Internet 服务组名称。来源 firewall.internet-service-custom-group.name。 |
|
Internet 服务源组名称。 |
|
Internet 服务组名称。来源 firewall.internet-service-group.name。 |
|
Internet 服务源 ID。 |
|
Internet 服务 ID。请参阅 <a href=’#notes’>注释</a>。来源 firewall.internet-service.id。 |
|
Internet 服务源名称。 |
|
Internet 服务名称。来源 firewall.internet-service-name.name。 |
|
启用后,internet-service-src 指定服务不能是什么。 选项
|
|
启用以使用 IP 池进行源 NAT。 选项
|
|
现有 IPS 传感器的名称。来源 ips.sensor.name。 |
|
现有 VoIP (ips) 配置文件的名称。来源 voip.profile.name。 |
|
当 GUI 处于节视图模式时显示的策略标签。 |
|
启用以允许所有内容,但记录所有有意义的数据以进行安全信息收集。将生成学习报告。 选项
|
|
启用/禁用 HTTP 事务日志。 选项
|
|
启用或禁用日志记录。记录所有会话或安全配置文件会话。 选项
|
|
在会话开始时记录日志。 选项
|
|
启用以匹配已通过 VIP 更改其目标地址的数据包。 选项
|
|
启用/禁用仅匹配那些已通过 VIP 更改其目标地址的数据包。 选项
|
|
现有 MMS 配置文件的名称。来源 firewall.mms-profile.name。 |
|
策略名称。 |
|
启用/禁用源 NAT。 选项
|
|
启用/禁用 NAT46。 选项
|
|
启用/禁用 NAT64。 选项
|
|
基于策略的 IPsec VPN:将目标 NAT 应用于入站流量。 选项
|
|
基于策略的 IPsec VPN:传出流量的源 NAT IP 地址。 |
|
基于策略的 IPsec VPN:将源 NAT 应用于出站流量。 选项
|
|
动态网络服务名称。 |
|
动态网络服务名称。来源 firewall.network-service-dynamic.name。 |
|
动态网络服务源名称。 |
|
动态网络服务名称。来源 firewall.network-service-dynamic.name。 |
|
启用/禁用 UTM 网络处理器加速。 选项
|
|
启用/禁用 NTLM 身份验证。 选项
|
|
受支持浏览器的 HTTP-User-Agent 值。 |
|
用户代理字符串。 |
|
启用/禁用 NTLM 来宾用户访问。 选项
|
|
基于策略的 IPsec VPN:只有来自内部网络的流量才能发起 VPN。 选项
|
|
启用/禁用被动 WAN 健康状况测量。启用后,auto-asic-offload 将被禁用。 选项
|
|
启用/禁用 PCP 入站 DNAT。 选项
|
|
启用/禁用 PCP 出站 SNAT。 选项
|
|
PCP 池名称。 |
|
PCP 池名称。来源 system.pcp-server.pools.name。 |
|
每 IP 流量整形器。来源 firewall.shaper.per-ip-shaper.name。 |
|
接受来自任何主机的 UDP 数据包。 选项
|
|
接受来自任何 NAT 会话穿越实用程序 (STUN) 主机的 UDP 数据包。 选项
|
|
PFCP 配置文件。来源 firewall.pfcp.name。 |
|
启用/禁用策略到期。 选项
|
|
策略到期日期 (YYYY-MM-DD HH:MM:SS)。 |
|
策略到期日期和时间,以 epoch 格式。 |
|
策略 ID (0 - 4294967294)。请参阅 <a href=’#notes’>注释</a>。 |
|
IP 池名称。 |
|
IP 池名称。来源 firewall.ippool.name。 |
|
IPv6 池名称。 |
|
IPv6 池名称。来源 firewall.ippool6.name。 |
|
启用/禁用从源 NAT 保留原始源端口(如果尚未使用)。 选项
|
|
配置文件组的名称。来源 firewall.profile-group.name。 |
|
现有协议选项配置文件的名称。来源 firewall.profile-protocol-options.name。 |
|
确定防火墙策略是否仅允许安全配置文件组或单个配置文件。 选项
|
|
启用 IP 身份验证绕过。绕过的 IP 地址必须从 RADIUS 服务器接收。 选项
|
|
启用 MAC 身份验证绕过。绕过的 MAC 地址必须从 RADIUS 服务器接收。 选项
|
|
在看到并接受免责声明或进行身份验证后,用户将被定向到的 URL。 |
|
为此策略覆盖默认替换消息组。来源 system.replacemsg-group.name。 |
|
信誉生效的初始流量方向。 选项
|
|
IPv6 信誉生效的初始流量方向。 选项
|
|
采取行动的最低信誉。来源 firewall.internet-service-reputation.id。 |
|
采取行动的 IPv6 最低信誉。来源 firewall.internet-service-reputation.id。 |
|
启用/禁用 RADIUS 单点登录 (RSSO)。 选项
|
|
如果这是一个 RTP NAT 策略,则为地址名称。 |
|
地址名称。来源 firewall.internet-service-custom-group.name firewall.addrgrp.name。 |
|
启用实时协议 (RTP) NAT。 选项
|
|
阻止或监视与僵尸网络服务器的连接,或禁用僵尸网络扫描。 选项
|
|
计划名称。来源 firewall.schedule.onetime.name firewall.schedule.recurring.name firewall.schedule.group.name。 |
|
启用后,强制当前会话在计划对象超时时结束。禁用后,允许会话因不活动而结束。 选项
|
|
现有 SCTP 过滤器配置文件的名称。来源 sctp-filter.profile.name。 |
|
启用后,当会话被防火墙策略拒绝或阻止时发送回复。 选项
|
|
服务和服务组名称。 |
|
服务和服务组名称。来源 firewall.service.custom.name firewall.service.group.name。 |
|
启用后,服务指定该服务不能是什么。 选项
|
|
此策略接受的会话的生存时间(秒)。0 表示使用系统默认值。 |
|
安全组标签。 |
|
安全组标签 (1 - 65535)。请参阅 <a href=’#notes’>说明</a>。 |
|
启用/禁用安全组标签 (SGT) 检查。 选项
|
|
现有垃圾邮件过滤器配置文件的名称。来源:spamfilter.profile.name。 |
|
供应商 MAC 源 ID。 |
|
供应商 MAC ID。请参阅 <a href=’#notes’>说明</a>。来源:firewall.vendor-mac.id。 |
|
源 IPv4 地址和地址组名称。 |
|
地址名称。来源:firewall.address.name firewall.addrgrp.name system.external-resource.name。 |
|
源 IPv6 地址名称和地址组名称。 |
|
地址名称。来源:firewall.address6.name system.external-resource.name firewall.addrgrp6.name。 |
|
启用后,srcaddr6 指定源地址不能是什么。 选项
|
|
启用后,srcaddr 指定源地址不能是什么。 选项
|
|
传入(入口)接口。 |
|
接口名称。来源 system.interface.name system.zone.name system.sdwan.zone.name。 |
|
现有 SSH 过滤器配置文件的名称。来源:ssh-filter.profile.name。 |
|
将 SSH 流量重定向到匹配的透明代理策略。 选项
|
|
启用后,将解密的 SSL 流量复制到 FortiGate 接口(称为 SSL 镜像)。 选项
|
|
SSL 镜像接口名称。 |
|
镜像接口名称。来源:system.interface.name system.zone.name。 |
|
现有 SSL SSH 配置文件的名称。来源:firewall.ssl-ssh-profile.name。 |
|
启用或禁用此策略。 选项
|
|
接收方 TCP 最大分段大小 (MSS)。 |
|
发送方 TCP 最大分段大小 (MSS)。 |
|
启用/禁用在没有 SYN 标志的情况下创建 TCP 会话。 选项
|
|
启用/禁用在 TCP 会话过期时发送 RST 数据包。 选项
|
|
用于比较的 ToS(服务类型)值。 |
|
非零位位置用于比较,而零位位置将被忽略。 |
|
启用取反的 TOS 匹配。 选项
|
|
流量整形器。来源:firewall.shaper.traffic-shaper.name。 |
|
反向流量整形器。来源:firewall.shaper.traffic-shaper.name。 |
|
URL 类别 ID 列表。 |
|
URL 类别 ID。请参阅 <a href=’#notes’>说明</a>。 |
|
可以通过此策略进行身份验证的单个用户的名称。 |
|
可以通过此策略进行身份验证的单个用户的名称。来源:user.local.name user.certificate.name。 |
|
启用后,将一个或多个安全配置文件(AV、IPS 等)添加到防火墙策略。 选项
|
|
通用唯一标识符(UUID;自动分配,但可以手动重置)。 |
|
现有 VideoFilter 配置文件的名称。来源:videofilter.profile.name。 |
|
现有虚拟补丁配置文件的名称。来源:virtual-patch.profile.name。 |
|
VLAN 前向用户优先级:255 直通,0 最低,7 最高。 |
|
VLAN 反向用户优先级:255 直通,0 最低,7 最高。 |
|
允许的 VLAN 范围 |
|
现有 VoIP (voipd) 配置文件的名称。来源:voip.profile.name。 |
|
基于策略的 IPsec VPN:IPsec VPN 第 1 阶段的名称。来源:vpn.ipsec.phase1.name vpn.ipsec.manualkey.name。 |
|
现有 Web 应用程序防火墙配置文件的名称。来源:waf.profile.name。 |
|
启用/禁用 WAN 优化。 选项
|
|
WAN 优化自动检测模式。 选项
|
|
WAN 优化被动模式选项。此选项决定将使用哪个 IP 地址连接服务器。 选项
|
|
WAN 优化对等体。来源:wanopt.peer.peer-host-id。 |
|
WAN 优化配置文件。来源:wanopt.profile.name。 |
|
启用/禁用将匹配此策略的流量转发到配置的 WCCP 服务器。 选项
|
|
启用/禁用 Web 缓存。 选项
|
|
启用/禁用 HTTPS 的 Web 缓存。 选项
|
|
现有 Web 过滤器配置文件的名称。来源:webfilter.profile.name。 |
|
Web 代理转发服务器名称。来源:web-proxy.forward-server.name web-proxy.forward-server-group.name。 |
|
Web 代理配置文件名称。来源:web-proxy.profile.name。 |
|
启用/禁用 WiFi 单点登录 (WSSO)。 选项
|
|
启用/禁用零信任设备所有权。 选项
|
|
源 ztna-ems-tag 名称。 |
|
地址名称。来源:firewall.address.name firewall.addrgrp.name。 |
|
源 ztna-ems-tag-secondary 名称。 |
|
地址名称。来源:firewall.address.name firewall.addrgrp.name。 |
|
源 ztna-geo-tag 名称。 |
|
地址名称。来源:firewall.address.name firewall.addrgrp.name。 |
|
将 ZTNA 流量重定向到匹配的 Access-Proxy 代理策略。 选项
|
|
启用/禁用零信任访问。 选项
|
|
ZTNA 标签匹配逻辑。 选项
|
|
要操作的成员属性路径。 如果存在多个属性,则使用斜杠字符分隔。 标有 member_path 的参数对于执行成员操作是合法的。 |
|
在指定的属性路径下添加或删除成员。 当指定 member_state 时,将忽略 state 选项。 选项
|
|
自身标识符的 mkey |
|
指示是创建还是删除对象。 选项
|
|
虚拟域,在之前定义的域中。vdom 是 FortiGate 的虚拟实例,可以配置并用作不同的单元。 默认值: |
说明
注意
我们强烈建议使用您自己的值作为 policyid,而不是 0。虽然“0”是一个特殊的占位符,允许后端为对象分配最新的可用数字,但它确实存在局限性。请在问答中查找更多详细信息。
旧的 fortiosapi 已被弃用,httpapi 是运行 playbook 的首选方式
通过在另一个对象之后(之前)移动自身来调整对象顺序。
当 action 是移动对象时,必须指定 [after, before] 中的一个。
该模块支持 check_mode。
示例
- name: Configure IPv4/IPv6 policies.
fortinet.fortios.fortios_firewall_policy:
vdom: "{{ vdom }}"
state: "present"
access_token: "<your_own_value>"
firewall_policy:
action: "accept"
anti_replay: "enable"
app_category:
-
id: "6"
app_group:
-
name: "default_name_8 (source application.group.name)"
application:
-
id: "10"
application_list: "<your_own_value> (source application.list.name)"
auth_cert: "<your_own_value> (source vpn.certificate.local.name)"
auth_path: "enable"
auth_redirect_addr: "<your_own_value>"
auto_asic_offload: "enable"
av_profile: "<your_own_value> (source antivirus.profile.name)"
block_notification: "enable"
captive_portal_exempt: "enable"
capture_packet: "enable"
casb_profile: "<your_own_value> (source casb.profile.name)"
cifs_profile: "<your_own_value> (source cifs.profile.name)"
comments: "<your_own_value>"
custom_log_fields:
-
field_id: "<your_own_value> (source log.custom-field.id)"
decrypted_traffic_mirror: "<your_own_value> (source firewall.decrypted-traffic-mirror.name)"
delay_tcp_npu_session: "enable"
devices:
-
name: "default_name_28 (source user.device.alias user.device-group.name user.device-category.name)"
diameter_filter_profile: "<your_own_value> (source diameter-filter.profile.name)"
diffserv_copy: "enable"
diffserv_forward: "enable"
diffserv_reverse: "enable"
diffservcode_forward: "<your_own_value>"
diffservcode_rev: "<your_own_value>"
disclaimer: "enable"
dlp_profile: "<your_own_value> (source dlp.profile.name)"
dlp_sensor: "<your_own_value> (source dlp.sensor.name)"
dnsfilter_profile: "<your_own_value> (source dnsfilter.profile.name)"
dscp_match: "enable"
dscp_negate: "enable"
dscp_value: "<your_own_value>"
dsri: "enable"
dstaddr:
-
name: "default_name_44 (source firewall.address.name firewall.addrgrp.name firewall.vip.name firewall.vipgrp.name system.external-resource
.name)"
dstaddr_negate: "enable"
dstaddr6:
-
name: "default_name_47 (source firewall.address6.name firewall.addrgrp6.name firewall.vip6.name firewall.vipgrp6.name system
.external-resource.name)"
dstaddr6_negate: "enable"
dstintf:
-
name: "default_name_50 (source system.interface.name system.zone.name system.sdwan.zone.name)"
dynamic_shaping: "enable"
email_collect: "enable"
emailfilter_profile: "<your_own_value> (source emailfilter.profile.name)"
fec: "enable"
file_filter_profile: "<your_own_value> (source file-filter.profile.name)"
firewall_session_dirty: "check-all"
fixedport: "enable"
fsso: "enable"
fsso_agent_for_ntlm: "<your_own_value> (source user.fsso.name)"
fsso_groups:
-
name: "default_name_61 (source user.adgrp.name)"
geoip_anycast: "enable"
geoip_match: "physical-location"
global_label: "<your_own_value>"
groups:
-
name: "default_name_66 (source user.group.name)"
gtp_profile: "<your_own_value> (source firewall.gtp.name)"
http_policy_redirect: "enable"
icap_profile: "<your_own_value> (source icap.profile.name)"
identity_based_route: "<your_own_value> (source firewall.identity-based-route.name)"
inbound: "enable"
inspection_mode: "proxy"
internet_service: "enable"
internet_service_custom:
-
name: "default_name_75 (source firewall.internet-service-custom.name)"
internet_service_custom_group:
-
name: "default_name_77 (source firewall.internet-service-custom-group.name)"
internet_service_group:
-
name: "default_name_79 (source firewall.internet-service-group.name)"
internet_service_id:
-
id: "81 (source firewall.internet-service.id)"
internet_service_name:
-
name: "default_name_83 (source firewall.internet-service-name.name)"
internet_service_negate: "enable"
internet_service_src: "enable"
internet_service_src_custom:
-
name: "default_name_87 (source firewall.internet-service-custom.name)"
internet_service_src_custom_group:
-
name: "default_name_89 (source firewall.internet-service-custom-group.name)"
internet_service_src_group:
-
name: "default_name_91 (source firewall.internet-service-group.name)"
internet_service_src_id:
-
id: "93 (source firewall.internet-service.id)"
internet_service_src_name:
-
name: "default_name_95 (source firewall.internet-service-name.name)"
internet_service_src_negate: "enable"
internet_service6: "enable"
internet_service6_custom:
-
name: "default_name_99 (source firewall.internet-service-custom.name)"
internet_service6_custom_group:
-
name: "default_name_101 (source firewall.internet-service-custom-group.name)"
internet_service6_group:
-
name: "default_name_103 (source firewall.internet-service-group.name)"
internet_service6_name:
-
name: "default_name_105 (source firewall.internet-service-name.name)"
internet_service6_negate: "enable"
internet_service6_src: "enable"
internet_service6_src_custom:
-
name: "default_name_109 (source firewall.internet-service-custom.name)"
internet_service6_src_custom_group:
-
name: "default_name_111 (source firewall.internet-service-custom-group.name)"
internet_service6_src_group:
-
name: "default_name_113 (source firewall.internet-service-group.name)"
internet_service6_src_name:
-
name: "default_name_115 (source firewall.internet-service-name.name)"
internet_service6_src_negate: "enable"
ippool: "enable"
ips_sensor: "<your_own_value> (source ips.sensor.name)"
ips_voip_filter: "<your_own_value> (source voip.profile.name)"
label: "<your_own_value>"
learning_mode: "enable"
log_http_transaction: "enable"
logtraffic: "all"
logtraffic_start: "enable"
match_vip: "enable"
match_vip_only: "enable"
mms_profile: "<your_own_value> (source firewall.mms-profile.name)"
name: "default_name_128"
nat: "enable"
nat46: "enable"
nat64: "enable"
natinbound: "enable"
natip: "<your_own_value>"
natoutbound: "enable"
network_service_dynamic:
-
name: "default_name_136 (source firewall.network-service-dynamic.name)"
network_service_src_dynamic:
-
name: "default_name_138 (source firewall.network-service-dynamic.name)"
np_acceleration: "enable"
ntlm: "enable"
ntlm_enabled_browsers:
-
user_agent_string: "<your_own_value>"
ntlm_guest: "enable"
outbound: "enable"
passive_wan_health_measurement: "enable"
pcp_inbound: "enable"
pcp_outbound: "enable"
pcp_poolname:
-
name: "default_name_149 (source system.pcp-server.pools.name)"
per_ip_shaper: "<your_own_value> (source firewall.shaper.per-ip-shaper.name)"
permit_any_host: "enable"
permit_stun_host: "enable"
pfcp_profile: "<your_own_value> (source firewall.pfcp.name)"
policy_expiry: "enable"
policy_expiry_date: "<your_own_value>"
policy_expiry_date_utc: "<your_own_value>"
policyid: "<you_own_value>"
poolname:
-
name: "default_name_159 (source firewall.ippool.name)"
poolname6:
-
name: "default_name_161 (source firewall.ippool6.name)"
port_preserve: "enable"
profile_group: "<your_own_value> (source firewall.profile-group.name)"
profile_protocol_options: "<your_own_value> (source firewall.profile-protocol-options.name)"
profile_type: "single"
radius_ip_auth_bypass: "enable"
radius_mac_auth_bypass: "enable"
redirect_url: "<your_own_value>"
replacemsg_override_group: "<your_own_value> (source system.replacemsg-group.name)"
reputation_direction: "source"
reputation_direction6: "source"
reputation_minimum: "0"
reputation_minimum6: "0"
rsso: "enable"
rtp_addr:
-
name: "default_name_176 (source firewall.internet-service-custom-group.name firewall.addrgrp.name)"
rtp_nat: "disable"
scan_botnet_connections: "disable"
schedule: "<your_own_value> (source firewall.schedule.onetime.name firewall.schedule.recurring.name firewall.schedule.group.name)"
schedule_timeout: "enable"
sctp_filter_profile: "<your_own_value> (source sctp-filter.profile.name)"
send_deny_packet: "disable"
service:
-
name: "default_name_184 (source firewall.service.custom.name firewall.service.group.name)"
service_negate: "enable"
session_ttl: "<your_own_value>"
sgt:
-
id: "188"
sgt_check: "enable"
spamfilter_profile: "<your_own_value> (source spamfilter.profile.name)"
src_vendor_mac:
-
id: "192 (source firewall.vendor-mac.id)"
srcaddr:
-
name: "default_name_194 (source firewall.address.name firewall.addrgrp.name system.external-resource.name)"
srcaddr_negate: "enable"
srcaddr6:
-
name: "default_name_197 (source firewall.address6.name system.external-resource.name firewall.addrgrp6.name)"
srcaddr6_negate: "enable"
srcintf:
-
name: "default_name_200 (source system.interface.name system.zone.name system.sdwan.zone.name)"
ssh_filter_profile: "<your_own_value> (source ssh-filter.profile.name)"
ssh_policy_redirect: "enable"
ssl_mirror: "enable"
ssl_mirror_intf:
-
name: "default_name_205 (source system.interface.name system.zone.name)"
ssl_ssh_profile: "<your_own_value> (source firewall.ssl-ssh-profile.name)"
status: "enable"
tcp_mss_receiver: "0"
tcp_mss_sender: "0"
tcp_session_without_syn: "all"
timeout_send_rst: "enable"
tos: "<your_own_value>"
tos_mask: "<your_own_value>"
tos_negate: "enable"
traffic_shaper: "<your_own_value> (source firewall.shaper.traffic-shaper.name)"
traffic_shaper_reverse: "<your_own_value> (source firewall.shaper.traffic-shaper.name)"
url_category:
-
id: "218"
users:
-
name: "default_name_220 (source user.local.name user.certificate.name)"
utm_status: "enable"
uuid: "<your_own_value>"
videofilter_profile: "<your_own_value> (source videofilter.profile.name)"
virtual_patch_profile: "<your_own_value> (source virtual-patch.profile.name)"
vlan_cos_fwd: "255"
vlan_cos_rev: "255"
vlan_filter: "<your_own_value>"
voip_profile: "<your_own_value> (source voip.profile.name)"
vpntunnel: "<your_own_value> (source vpn.ipsec.phase1.name vpn.ipsec.manualkey.name)"
waf_profile: "<your_own_value> (source waf.profile.name)"
wanopt: "enable"
wanopt_detection: "active"
wanopt_passive_opt: "default"
wanopt_peer: "<your_own_value> (source wanopt.peer.peer-host-id)"
wanopt_profile: "<your_own_value> (source wanopt.profile.name)"
wccp: "enable"
webcache: "enable"
webcache_https: "disable"
webfilter_profile: "<your_own_value> (source webfilter.profile.name)"
webproxy_forward_server: "<your_own_value> (source web-proxy.forward-server.name web-proxy.forward-server-group.name)"
webproxy_profile: "<your_own_value> (source web-proxy.profile.name)"
wsso: "enable"
ztna_device_ownership: "enable"
ztna_ems_tag:
-
name: "default_name_245 (source firewall.address.name firewall.addrgrp.name)"
ztna_ems_tag_secondary:
-
name: "default_name_247 (source firewall.address.name firewall.addrgrp.name)"
ztna_geo_tag:
-
name: "default_name_249 (source firewall.address.name firewall.addrgrp.name)"
ztna_policy_redirect: "enable"
ztna_status: "enable"
ztna_tags_match_logic: "or"
返回值
常见的返回值记录在此处,以下是此模块独有的字段
键 |
描述 |
|---|---|
FortiGate 镜像的构建编号 返回值: 始终 示例: |
|
最后一次将内容配置到 FortiGate 中使用的方法 返回值: 始终 示例: |
|
FortiGate 上次操作应用的最后结果 返回值: 始终 示例: |
|
上次调用 FortiGate 时使用的主键 (id) 返回值: 成功 示例: |
|
用于满足请求的表的名称 返回值: 始终 示例: |
|
用于满足请求的表的路径 返回值: 始终 示例: |
|
内部修订号 返回值: 始终 示例: |
|
设备的序列号 返回值: 始终 示例: |
|
操作结果的指示 返回值: 始终 示例: |
|
使用的虚拟域 返回值: 始终 示例: |
|
FortiGate 的版本 返回值: 始终 示例: |