fortinet.fortios.fortios_system_global 模块 – 配置 Fortinet 的 FortiOS 和 FortiGate 中的全局属性。
注意
此模块是 fortinet.fortios 集合 (版本 2.3.8) 的一部分。
如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用: ansible-galaxy collection install fortinet.fortios。您需要其他要求才能使用此模块,请参阅 要求 了解详情。
要在 playbook 中使用它,请指定: fortinet.fortios.fortios_system_global。
fortinet.fortios 2.0.0 中的新增功能
概要
此模块能够通过允许用户设置和修改系统功能和全局类别来配置 FortiGate 或 FortiOS (FOS) 设备。示例包括所有参数,在使用前需要将值调整到数据源。已在 FOS v6.0.0 上测试。
要求
执行此模块的主机需要以下要求。
ansible>=2.15
参数
参数 |
注释 |
|---|---|
基于令牌的身份验证。从 FortiGate 的 GUI 生成。 |
|
启用/禁用任务日志记录。 选项
|
|
要操作的成员属性路径。 如果有多个属性,则用斜杠字符分隔。 标有 member_path 的参数对于执行成员操作是合法的。 |
|
在指定的属性路径下添加或删除成员。 当指定 member_state 时,将忽略 state 选项。 选项
|
|
配置全局属性。 |
|
启用/禁用并发管理员登录。对于防火墙认证用户,请使用 policy-auth-concurrent。 选项
|
|
控制台登录超时时间,覆盖管理员超时值 (15-300 秒)。 |
|
覆盖访问配置文件。来源 system.accprofile.name。 |
|
启用/禁用通过 SSO 进行 FortiCloud 管理员登录。 选项
|
|
HTTP 和 HTTPS 的管理主机。设置后,将用于代替客户端的 Host 头进行任何重定向。 |
|
HTTPS Strict-Transport-Security 头部的 max-age(以秒为单位)。值为 0 将重置浏览器中的任何 HSTS 记录。当 admin-https-redirect 被禁用时,header max-age 将为 0。 |
|
启用/禁用管理员登录方法。启用后,如果启用了 PKI,则强制管理员提供有效的证书才能登录。禁用后,允许管理员使用证书或密码登录。 选项
|
|
启用/禁用将 HTTP 管理访问重定向到 HTTPS。 选项
|
|
选择在 GUI HTTPS 协商中不能使用的 一个或多个密码技术。仅适用于 TLS 1.2 及以下版本。 选项
|
|
选择要启用的一种或多种 TLS 1.3 密码套件。不影响 TLS 1.2 及以下版本的密码。必须启用至少一个。要禁用所有密码套件,请从 admin-https-ssl-versions 中删除 TLS1.3。 选项
|
|
允许用于 Web 管理的 TLS 版本。 选项
|
|
管理员帐户在达到 admin-lockout-threshold(重复登录失败次数)后被锁定的时间(以秒为单位)。 |
|
管理员帐户在被锁定 admin-lockout-duration 之前,登录失败的尝试次数。 |
|
同时可以登录的管理员最大数量 (1-100)。 |
|
启用/禁用维护管理员登录。启用后,硬重启后可以使用维护帐户从控制台登录。密码为“bcpb”,后跟 FortiGate 设备序列号。您有有限的时间来完成此登录。 选项
|
|
HTTP 的管理访问端口 (1-65535)。 |
|
远程身份验证器正在运行时,启用/禁用本地管理员身份验证限制。 选项
|
|
启用/禁用对系统配置备份、恢复和固件文件上传的 SCP 支持。 选项
|
|
FortiGate 用于 HTTPS 管理连接的服务器证书。来源 certificate.local.name。 |
|
HTTPS 管理访问端口。(1 - 65535)。 |
|
在与 FortiGate 设备建立 SSH 连接和进行身份验证之间允许的最大时间(10 - 3600 秒(1 小时))。 |
|
启用/禁用 SSH 管理员访问的密码身份验证。 选项
|
|
SSH 管理访问端口。(1 - 65535)。 |
|
启用/禁用 SSH v1 兼容性。 选项
|
|
启用/禁用 TELNET 服务。 选项
|
|
TELNET 管理访问端口。(1 - 65535)。 |
|
空闲管理员会话超时前的分钟数 (1 - 480 分钟(8 小时))。较短的空闲超时时间更安全。 |
|
FortiGate 设备的别名。 |
|
禁用此选项可防止在没有策略检查的情况下转发本地入口和出口接口相同的流量。 选项
|
|
检查数据包重放和 TCP 序列检查的级别。 选项
|
|
可以添加到 ARP 表中的动态学习的 MAC 地址的最大数量 (131072 - 2147483647)。 |
|
启用/禁用非对称路由。 选项
|
|
FortiGate 用于 HTTPS 防火墙身份验证连接的服务器证书。源证书 local.name。 |
|
用户身份验证 HTTP 端口。(1 - 65535)。 |
|
用户身份验证 HTTPS 端口。(1 - 65535)。 |
|
用户 IKE SAML 身份验证端口 (0 - 65535)。 |
|
启用此选项可防止用户身份验证会话在空闲时超时。 选项
|
|
启用/禁用身份验证会话的自动定期备份。会话将在启动时恢复。 选项
|
|
配置自动身份验证会话备份间隔(分钟)。 选项
|
|
达到允许的用户身份验证会话数量时要采取的操作。 选项
|
|
启用/禁用专用 Fortinet 扩展设备的自动授权。 选项
|
|
启用/禁用在非正常关机后自动检查日志分区。 选项
|
|
AV 扫描的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx)。 |
|
设置如果 FortiGate 内存不足或代理连接限制已达到时要采取的操作。 选项
|
|
启用此选项后,如果协议的代理在其会话表中空间不足,则该协议将进入故障转移模式并执行 av-failopen 指定的操作。 选项
|
|
启用/禁用批处理模式,允许您输入一系列 CLI 命令,这些命令将在加载后作为一组执行。 选项
|
|
BFD 守护进程的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx)。 |
|
被阻止会话的持续时间(秒)(1 - 300 秒(5 分钟))。 |
|
桥接转发数据库 (FDB) 条目的最大数量。 |
|
可以在证书链中遍历的证书的最大数量。 |
|
恢复到上次保存的配置的超时时间。(10 - 4294967295 秒)。 |
|
CLI 更改的配置文件保存模式。 选项
|
|
对协议头执行的检查级别。严格检查更彻底,但可能会影响性能。在大多数情况下,宽松检查是可以的。 选项
|
|
配置 ICMP 错误消息验证。您可以应用严格的 RST 范围检查或禁用它。 选项
|
|
启用/禁用 CLI 审计日志。 选项
|
|
启用/禁用所有云通信。 选项
|
|
启用/禁用要求管理员拥有客户端证书才能使用 HTTPS 登录 GUI。 选项
|
|
cmdbsvr 的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx)。 |
|
启用/禁用全局 PCI DSS 合规性检查。 选项
|
|
运行计划的 PCI DSS 合规性检查的时间。 |
|
报告 CPU 使用率的阈值(总 CPU 的百分比)。 |
|
启用/禁用证书中的 CA 属性。某些 CA 服务器会拒绝具有 CA 属性的 CSR。 选项
|
|
启用/禁用 FortiGate 设备的每日重启。使用 restart-time 选项设置重启时间。 选项
|
|
默认服务源端口范围。 |
|
启用 TCP NPU 会话延迟以保证 3 路握手的数据包顺序。 选项
|
|
在执行主动扫描之前被动扫描设备的秒数。(20 - 3600 秒(20 秒到 1 小时)。) |
|
设备必须空闲的时间(秒),才能自动注销设备用户。(30 - 31536000 秒(30 秒到 1 年)。) |
|
在 HTTPS/SSH 协议的 Diffie-Hellman 交换中使用的位数。 选项
|
|
DHCP 租约备份间隔(秒)(10 - 3600)。 |
|
DNS 代理工作进程数。对于具有多个逻辑 CPU 的 FortiGate,您可以将 DNS 进程数量设置为 1 到逻辑 CPU 数量。 |
|
启用/禁用夏令时。 选项
|
|
启用/禁用早期 TCP NPU 会话。 选项
|
|
启用/禁用编辑新的 VDOM 提示。 选项
|
|
启用/禁用对不符合要求的端点的 FortiGuard 网络的访问。 选项
|
|
端点控制门户端口 (1 - 65535)。 |
|
为受管 LAN 扩展 FortiExtender 设备配置保留的网络子网。FortiExtender 守护进程运行时可用。 |
|
服务器丢失的故障时间。 |
|
最大磁盘缓冲区大小,用于临时存储目标为 FortiAnalyzer 的日志。在 FortiAnalyzer 不可用时使用。 |
|
启用/禁用将 IPS、应用程序控制和防病毒数据发送到 FortiGuard。此数据用于改进 FortiGuard 服务,不会与外部方共享,并受 Fortinet 的隐私政策保护。 选项
|
|
FortiGuard 统计数据收集周期(分钟)。(1 - 1440 分钟(1 分钟到 24 小时)。) |
|
前向纠错 (FEC) 的本地 UDP 端口 (49152 - 65535)。 |
|
要从 FortiGuard 获取的警报类型。 选项
|
|
启用/禁用 forticarrier-bypass。 选项
|
|
启用/禁用将配置上传到 FortiConverter。 选项
|
|
启用/禁用 FortiConverter 集成服务。 选项
|
|
启用/禁用 FortiExtender。 选项
|
|
FortiExtender 数据端口 (1024 - 49150)。 |
|
启用/禁用 FortiExtender CAPWAP 锁定。 选项
|
|
启用/禁用在授权时自动配置最新 FortiExtender 固件。 选项
|
|
启用/禁用 FortiExtender VLAN 模式。 选项
|
|
启用/禁用与 FortiGSLB 云服务的集成。 选项
|
|
启用/禁用与 FortiIPAM 云服务的集成。 选项
|
|
FortiService 端口 (1 - 65535)。由 FortiClient 端点合规性使用。旧版本的 FortiClient 使用不同的端口。 |
|
启用/禁用 FortiToken Cloud 服务。 选项
|
|
启用/禁用 FortiToken Cloud 的 FTM 推送服务。 选项
|
|
清理 FortiToken Cloud 中远程用户的间隔 (0 - 336 小时(14 天))。 |
|
启用/禁用 GUI 设置向导上的出厂默认主机名警告。 选项
|
|
启用/禁用允许在 GUI 上的安全结构中将具有不兼容固件的 FGT 视为兼容。可能会导致意外错误。 选项
|
|
启用/禁用允许基于应用程序检测的 SD-WAN。 选项
|
|
启用/禁用 GUI 上的自动补丁升级设置提示。 选项
|
|
CDN 服务器的域名。 |
|
启用/禁用从 CDN 加载 GUI 静态文件。 选项
|
|
启用/禁用“系统”>“证书”GUI 页面,允许您从 GUI 添加和配置证书。 选项
|
|
启用/禁用 GUI 中的自定义语言。 选项
|
|
GUI 中使用的默认日期格式。 选项
|
|
FortiGate GUI 用于显示日期和时间条目的来源。 选项
|
|
添加此 FortiGate 位置的纬度,以便将其定位在威胁地图上。 |
|
添加此 FortiGate 位置的经度,以便将其定位在威胁地图上。 |
|
启用/禁用在 GUI 登录页面上显示 FortiGate 的主机名。 选项
|
|
启用/禁用 GUI 上的固件升级警告。 选项
|
|
启用/禁用 GUI 上的 FortiCare 注册设置警告。 选项
|
|
启用/禁用在 GUI 上显示 FortiGate 云沙箱。 选项
|
|
启用/禁用从 FortiGuard 获取静态 GUI 资源。禁用它将改善隔离环境的 GUI 加载时间。 选项
|
|
启用/禁用在 GUI 上显示 FortiSandbox 云。 选项
|
|
启用/禁用 GUI 上的 IPv6 设置。 选项
|
|
每页显示的 Web 管理行数。 |
|
启用/禁用 GUI 上的本地出站流量。 选项
|
|
启用/禁用 GUI 上的替换消息组。 选项
|
|
启用/禁用 FortiGate 上的 REST API 结果缓存。 选项
|
|
管理 GUI 的配色方案。 选项
|
|
在 GUI 上启用/禁用无线开放安全选项。 选项
|
|
在 GUI 上启用/禁用工作流管理功能。 选项
|
|
HA 守护进程的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx)。 |
|
启用/禁用遵守“禁止分片”(DF)标志。 选项
|
|
FortiGate 设备的主机名。大多数型号会截断超过 24 个字符的名称。某些型号支持最多 35 个字符的主机名。 |
|
将要处理的同时 HTTP 请求的最大数量。此数字可能会影响 GUI 和 REST API 的性能 (0 - 128)。 |
|
IGMP 成员资格的最大数量 (96 - 64000)。 |
|
启用/禁用允许在防火墙地址中使用接口子网设置。 选项
|
|
配置要从 FortiGuard 下载并使用的互联网服务数据库大小。 选项
|
|
配置要下载的按需互联网服务 ID。 |
|
互联网服务 ID。请参见 注释。来源 firewall.internet-service.id。 |
|
死网关检测间隔。 |
|
启用/禁用 IPv4 地址冲突检测的日志记录。 选项
|
|
用于重新组装 IPv4/IPv6 分段的最大内存 (MB)。 |
|
任何未重新组装的分段的超时值(秒)。 |
|
FortiGate 设备发起的流量使用的 IP 源端口范围。 |
|
IPS 的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx;允许的 CPU 必须少于 IPS 引擎守护进程的总数)。 |
|
启用/禁用 IPsec VPN 流量的 ASIC 卸载(硬件加速)。硬件加速可以卸载 IPsec VPN 会话并加速加密和解密。 选项
|
|
ESP 跳跃提前速率 (1G - 10G pps 等效)。 |
|
启用/禁用 IPsec VPN 的 HMAC 处理卸载(硬件加速)。 选项
|
|
启用/禁用 IPsec VPN 流量的 QAT 卸载(英特尔 QuickAssist)。QuickAssist 可以加速 IPsec 加密和解密。 选项
|
|
启用/禁用将 IPsec VPN 流量循环分配到多个 CPU。 选项
|
|
启用/禁用 IPsec VPN 流量的软件解密异步化(使用多个 CPU 进行解密)。 选项
|
|
启用/禁用接受 IPv6 重复地址检测 (DAD)。 |
|
启用/禁用通过 Anycast 探测 IPv6 地址。 选项
|
|
启用/禁用静默丢弃 IPv6 本地入站流量。 选项
|
|
启用/禁用静默丢弃 IPv6 本地入站流量。 选项
|
|
启用/禁用通过组播探测 IPv6 地址。 选项
|
|
禁用此项可防止具有相同本地入口和出口接口的 IPv6 流量在未进行策略检查的情况下被转发。 选项
|
|
任何未重新组装的 IPv6 分段的超时值(秒)。 |
|
配置 CPU 中断时间会计模式。 选项
|
|
GUI 显示语言。 选项
|
|
与远程 LDAP 服务器连接的全局超时时间(毫秒)(1 - 300000)。 |
|
启用/禁用链路层发现协议 (LLDP) 接收。 选项
|
|
启用/禁用链路层发现协议 (LLDP) 传输。 选项
|
|
启用/禁用记录单个 CPU 内核达到 CPU 使用阈值事件。 选项
|
|
启用/禁用 SSL 连接事件的日志记录。 选项
|
|
是否将 UUID 添加到流量日志。您可以禁用 UUID,将防火墙策略 UUID 添加到流量日志,或将所有 UUID 添加到流量日志。 选项
|
|
启用/禁用将地址 UUID 插入流量日志。 选项
|
|
启用/禁用将策略 UUID 插入流量日志。 选项
|
|
启用/禁用登录时间记录。 选项
|
|
启用/禁用长 VDOM 名称支持。 选项
|
|
此 FortiGate 的管理 IP 地址。用于从安全结构中的另一个 FortiGate 登录此 FortiGate。 |
|
管理连接的覆盖端口(覆盖管理员端口)。 |
|
启用/禁用使用 admin-sport 设置作为管理端口。如果禁用,FortiGate 将允许用户指定 management-port。 选项
|
|
管理虚拟域名称。来源 system.vdom.name。 |
|
最大 DLP 状态内存 (0 - 4294967295)。 |
|
IP 路由缓存条目的最大数量 (0 - 2147483647)。 |
|
启用/禁用不修改组播 TTL。 选项
|
|
内存使用率被认为极高时的阈值(将丢弃新会话)(总 RAM 的百分比)。 |
|
内存使用率强制 FortiGate 退出节约模式时的阈值(总 RAM 的百分比)。 |
|
内存使用率强制 FortiGate 进入节约模式时的阈值(总 RAM 的百分比)。 |
|
日志记录的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx)。 |
|
允许运行的日志记录 (miglogd) 进程数。数量越高,性能可能越低;数量越低,日志处理速度可能越慢。 |
|
强制所有登录方法都需要额外的身份验证因素。 选项
|
|
启用/禁用组播转发。 选项
|
|
NDP 表条目的最大数量(设置为 65,536 或更高;如果设置为 0,内核将保留 65,536 个条目)。 |
|
启用/禁用发送 ARP/ICMP6 探测数据包以更新已卸载会话的邻居。 选项
|
|
启用/禁用每个用户的阻止/允许列表过滤器。 选项
|
|
启用/禁用每个用户的黑/白名单过滤器。 选项
|
|
启用/禁用路径 MTU 发现。 选项
|
|
同一用户同时进行的防火墙使用登录次数 (1 - 100)。 |
|
启用/禁用在管理员成功登录后显示管理员访问免责声明消息。 选项
|
|
启用/禁用在登录页面上显示管理员访问免责声明消息,在管理员登录之前。 选项
|
|
启用/禁用使用 AES 128 位密钥或密码进行私有数据加密。 选项
|
|
启用/禁用已认证用户的生命周期控制。这是对代理用户可以认证的总时间的限制,之后将进行重新认证。 选项
|
|
已认证用户的生命周期超时时间(分钟)(5 - 65535 分钟)。 |
|
已认证用户的身份验证超时时间(分钟)(1 - 300 分钟)。 |
|
启用/禁用使用管理 VDOM 发送请求。 选项
|
|
启用/禁用使用内容处理器 (CP8 或 CP9) 硬件加速来加密和解密 IPsec 和 SSL 流量。 选项
|
|
启用/禁用电子邮件代理硬件加速。 选项
|
|
控制用户是否必须在会话关闭、流量空闲或从用户进行身份验证的时间点重新进行身份验证。 选项
|
|
启用/禁用使用内容处理器来加速 KXP 流量。 选项
|
|
控制用户是否必须在会话关闭、流量空闲或从用户首次创建的时间点重新进行身份验证。 选项
|
|
如果 proxy-keep-alive-mode 设置为重新身份验证,则用户必须重新身份验证的时间限制 (1 - 86400 秒,默认值为 30 秒)。 |
|
启用/禁用使用 FortiGate 设备代理处理资源(例如阻止列表、允许列表和外部资源)时的最大内存使用量。 选项
|
|
代理工作进程数量。 |
|
此 FortiGate 的 Purdue 等级。 选项
|
|
在发送 ACK 之前未确认数据包的最大数量 (2 - 5)。 |
|
QUIC 拥塞控制算法。 选项
|
|
最大传输数据报大小 (1200 - 1500)。 |
|
启用/禁用路径 MTU 发现。 选项
|
|
TLS 握手的时间生存期 (TTL)(秒)(1 - 60)。 |
|
启用/禁用每个连接 ID 的 UDP 有效负载大小整形。 选项
|
|
RADIUS 服务端口号。 |
|
启用/禁用在恢复配置后重新启动系统。 选项
|
|
GUI 中的统计信息刷新间隔(秒)。 |
|
FortiGate 等待来自远程 RADIUS、LDAP 或 TACACS+ 身份验证服务器的响应的秒数 (1-300 秒)。 |
|
如果 FortiGate 接收 TCP 数据包但无法在其会话表中找到相应的会话,则执行的操作。仅限 NAT/路由模式。 选项
|
|
每日重启时间 (hh:mm)。 |
|
启用/禁用在管理员注销 CLI 或 GUI 时备份最新的配置修订版。 选项
|
|
启用/禁用在固件升级后备份最新的镜像修订版。 选项
|
|
扫描单元数量。范围和默认值取决于 CPU 数量。仅在具有多个 CPU 的 FortiGate 设备上可用。 |
|
SCIM HTTP 端口 (0 - 65535)。 |
|
SCIM 端口 (0 - 65535)。 |
|
FortiGate 用于 SCIM 连接的服务器证书。来源 certificate.local.name。 |
|
启用/禁用将安全评级结果提交到FortiGuard。 选项
|
|
启用/禁用安全评级的定时运行。 选项
|
|
启用/禁用发送路径最大传输单元 (PMTU) - ICMP 目的地不可达数据包,并支持网络上的 PMTUD 协议以减少数据包碎片。 选项
|
|
允许运行的 sflowd 子进程的最大数量。 |
|
启用/禁用更改源 NAT 路由的功能。 选项
|
|
启用/禁用在使用数据丢失防护时检测这些特殊格式的文件。 选项
|
|
启用/禁用测速服务器。 选项
|
|
测速服务器控制器端口号。 |
|
测速服务器端口号。 |
|
将端口(多个)分割到多个10Gbps端口。 |
|
配置端口的端口分割模式。 |
|
端口分割接口。 |
|
端口分割接口的配置模式。 选项
|
|
在一个月内运行 SSD TRIM 的日期。 |
|
运行 SSD TRIM 的频率。SSD TRIM 通过查找和隔离错误来防止 SSD 驱动器数据丢失。 选项
|
|
一天中运行 SSD TRIM 的小时数 (0 - 23)。 |
|
一天中运行 SSD TRIM 的分钟数 (0 - 59,60 表示随机)。 |
|
运行 SSD TRIM 的星期几。 选项
|
|
启用/禁用 SSH 访问的 CBC 密码。 选项
|
|
选择一个或多个 SSH 密码。 选项
|
|
启用/禁用 SSH 访问的 HMAC-MD5。 选项
|
|
配置 SSH 主机密钥。 |
|
选择一个或多个 SSH 主机密钥算法。 选项
|
|
启用/禁用 SSH 守护进程中的 SSH 主机密钥覆盖。 选项
|
|
ssh-hostkey 的密码。 |
|
选择一个或多个 SSH 密钥交换算法。 选项
|
|
启用/禁用 SSH 访问的 SHA1 密钥交换。 选项
|
|
选择一个或多个 SSH MAC 算法。 选项
|
|
启用/禁用 SSH 访问的 HMAC-SHA1 和 UMAC-64-ETM。 选项
|
|
SSL/TLS 连接支持的最小协议版本。 选项
|
|
启用/禁用 SSL/TLS 连接中的静态密钥密码(例如 AES128-SHA、AES256-SHA、AES128-SHA256、AES256-SHA256)。 选项
|
|
sslvpn-cipher-hardware-acceleration 选项
|
|
启用/禁用在 SSL-VPN 连接中验证 EMS 序列号。 选项
|
|
sslvpn-kxp-hardware-acceleration 选项
|
|
SSL-VPN 进程的最大数量。此值的上线是 CPU 数量,并取决于型号。值为零表示 SSLVPN 守护进程决定工作进程的数量。 |
|
sslvpn-plugin-version-check 选项
|
|
启用/禁用 SSL-VPN 网页模式。 选项
|
|
启用此选项可在重新验证时根据原始策略检查会话。这可以防止在启用 Web 过滤和身份验证时丢弃重定向的会话。如果启用此选项,则当路由或策略更改导致会话不再与最初允许该会话的策略匹配时,FortiGate 设备会删除该会话。 选项
|
|
启用此选项可使用强加密,并且仅允许 HTTPS/SSH/TLS/SSL 功能使用强密码和摘要。 选项
|
|
启用/禁用交换机控制器功能。交换机控制器允许您从 FortiGate 本身管理 FortiSwitch。 选项
|
|
为受管交换机配置保留网络子网。启用交换机控制器后可用。 |
|
性能统计日志更新之间的时间间隔(1-15 分钟)。 |
|
syslog 的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx)。 |
|
FortiGate 设备在一方已发送 FIN 数据包但另一方未响应后应等待关闭会话的秒数 (1-86400 秒(1 天))。 |
|
FortiGate 设备在一方已发送打开会话数据包但另一方未响应后应等待关闭会话的秒数 (1-86400 秒(1 天))。 |
|
启用 SACK、时间戳和 MSS TCP 选项。 选项
|
|
TCP CLOSE 状态的长度(秒)(5-300 秒)。 |
|
TCP TIME-WAIT 状态的长度(秒)(1-300 秒)。 |
|
启用/禁用 TFTP。 选项
|
|
时区数据库名称。输入 ? 以查看时区列表。来源 system.timezone.name。 |
|
启用/禁用跳过策略检查并允许组播通过。 选项
|
|
选择流量整形中流量优先级的服务类型 (ToS) 或区分服务代码点 (DSCP)。 选项
|
|
流量优先级的默认系统范围级别。 选项
|
|
基于电子邮件的双因素身份验证会话超时 (30-300 秒(5 分钟))。 |
|
FortiAuthenticator 令牌身份验证会话超时 (10-3600 秒(1 小时))。 |
|
FortiToken 身份验证会话超时 (60-600 秒(10 分钟))。 |
|
FortiToken Mobile 会话超时 (1-168 小时(7 天))。 |
|
基于短信的双因素身份验证会话超时 (30-300 秒)。 |
|
UDP 连接会话超时。此命令可用于管理 CPU 和内存资源 (1-86400 秒(1 天))。 |
|
URL 过滤 CPU 亲和性。 |
|
URL 过滤守护进程数量。 |
|
用户设备存储中允许的最大设备数。 |
|
用户设备存储中允许的最大统一内存。 |
|
用户设备存储中允许的最大用户数。 |
|
每个管理员/用户保存的先前密码的最大数量 (3-15)。 |
|
用于 https 用户身份验证的证书。来源 certificate.local.name。 |
|
vdom-admin 选项
|
|
启用/禁用对多个虚拟域 (VDOM) 的支持。 选项
|
|
控制 FortiGate 为虚拟 IP (VIP) 地址范围发送的 ARP 数量。 选项
|
|
要创建的虚拟服务器进程的最大数量。最大值为 CPU 核心数。单核 CPU 上不可用。 |
|
启用/禁用虚拟服务器硬件加速。 选项
|
|
启用/禁用虚拟交换机 VLAN。 选项
|
|
启用/禁用在 SSL-VPN 连接中验证 EMS 序列号。 选项
|
|
wad 的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx)。 |
|
并发 WAD-缓存服务对象缓存进程的数量。 |
|
并发 WAD-缓存服务字节缓存进程的数量。 |
|
wad 守护进程检测到系统内存使用情况变化的最小百分比,然后才能调整任何活动连接的 TCP 窗口大小。 |
|
WAD 工作进程每日重启结束时间 (hh:mm)。 |
|
WAD 工作进程重启模式。 选项
|
|
WAD 工作进程每日重启时间 (hh:mm)。 |
|
启用/禁用根据源亲和性将流量调度到 WAD 工作进程。 选项
|
|
显式代理 WAN 优化守护程序 (WAD) 进程的数量。默认情况下,WAN 优化、显式代理和 Web 缓存由 FortiGate 设备中的所有 CPU 核心处理。 |
|
验证 WiFi 证书的 CA 证书。来源 certificate.ca.name。 |
|
用于 WiFi 身份验证的证书。来源 certificate.local.name。 |
|
启用/禁用与 WiMAX 4G USB 设备的兼容性。 选项
|
|
启用/禁用无线控制器功能,以使用 FortiGate 设备管理 FortiAP。 选项
|
|
无线控制器模式下控制通道使用的端口(无线模式为 ac)。数据通道端口号为控制通道端口号加一 (1024 - 49150)。 |
|
虚拟域,属于之前定义的虚拟域。vdom 是 FortiGate 的虚拟实例,可以将其配置并用作不同的单元。 默认值: |
备注
注意
旧版 fortiosapi 已弃用,httpapi 是运行剧本的首选方式。
示例
- name: Configure global attributes.
fortinet.fortios.fortios_system_global:
vdom: "{{ vdom }}"
system_global:
admin_concurrent: "enable"
admin_console_timeout: "0"
admin_forticloud_sso_default_profile: "<your_own_value> (source system.accprofile.name)"
admin_forticloud_sso_login: "enable"
admin_host: "myhostname"
admin_hsts_max_age: "63072000"
admin_https_pki_required: "enable"
admin_https_redirect: "enable"
admin_https_ssl_banned_ciphers: "RSA"
admin_https_ssl_ciphersuites: "TLS-AES-128-GCM-SHA256"
admin_https_ssl_versions: "tlsv1-1"
admin_lockout_duration: "60"
admin_lockout_threshold: "3"
admin_login_max: "100"
admin_maintainer: "enable"
admin_port: "80"
admin_restrict_local: "all"
admin_scp: "enable"
admin_server_cert: "<your_own_value> (source certificate.local.name)"
admin_sport: "443"
admin_ssh_grace_time: "120"
admin_ssh_password: "enable"
admin_ssh_port: "22"
admin_ssh_v1: "enable"
admin_telnet: "enable"
admin_telnet_port: "23"
admintimeout: "5"
alias: "<your_own_value>"
allow_traffic_redirect: "enable"
anti_replay: "disable"
arp_max_entry: "131072"
asymroute: "enable"
auth_cert: "<your_own_value> (source certificate.local.name)"
auth_http_port: "1000"
auth_https_port: "1003"
auth_ike_saml_port: "1001"
auth_keepalive: "enable"
auth_session_auto_backup: "enable"
auth_session_auto_backup_interval: "1min"
auth_session_limit: "block-new"
auto_auth_extension_device: "enable"
autorun_log_fsck: "enable"
av_affinity: "<your_own_value>"
av_failopen: "pass"
av_failopen_session: "enable"
batch_cmdb: "enable"
bfd_affinity: "<your_own_value>"
block_session_timer: "30"
br_fdb_max_entry: "8192"
cert_chain_max: "8"
cfg_revert_timeout: "600"
cfg_save: "automatic"
check_protocol_header: "loose"
check_reset_range: "strict"
cli_audit_log: "enable"
cloud_communication: "enable"
clt_cert_req: "enable"
cmdbsvr_affinity: "<your_own_value>"
compliance_check: "enable"
compliance_check_time: "<your_own_value>"
cpu_use_threshold: "90"
csr_ca_attribute: "enable"
daily_restart: "enable"
default_service_source_port: "<your_own_value>"
delay_tcp_npu_session: "enable"
device_identification_active_scan_delay: "1800"
device_idle_timeout: "300"
dh_params: "1024"
dhcp_lease_backup_interval: "60"
dnsproxy_worker_count: "1"
dst: "enable"
early_tcp_npu_session: "enable"
edit_vdom_prompt: "enable"
endpoint_control_fds_access: "enable"
endpoint_control_portal_port: "32767"
extender_controller_reserved_network: "<your_own_value>"
failtime: "5"
faz_disk_buffer_size: "0"
fds_statistics: "enable"
fds_statistics_period: "60"
fec_port: "50000"
fgd_alert_subscription: "advisory"
forticarrier_bypass: "enable"
forticonverter_config_upload: "once"
forticonverter_integration: "enable"
fortiextender: "disable"
fortiextender_data_port: "25246"
fortiextender_discovery_lockdown: "disable"
fortiextender_provision_on_authorization: "enable"
fortiextender_vlan_mode: "enable"
fortigslb_integration: "disable"
fortiipam_integration: "enable"
fortiservice_port: "8013"
fortitoken_cloud: "enable"
fortitoken_cloud_push_status: "enable"
fortitoken_cloud_sync_interval: "24"
gui_allow_default_hostname: "enable"
gui_allow_incompatible_fabric_fgt: "enable"
gui_app_detection_sdwan: "enable"
gui_auto_upgrade_setup_warning: "enable"
gui_cdn_domain_override: "<your_own_value>"
gui_cdn_usage: "enable"
gui_certificates: "enable"
gui_custom_language: "enable"
gui_date_format: "yyyy/MM/dd"
gui_date_time_source: "system"
gui_device_latitude: "<your_own_value>"
gui_device_longitude: "<your_own_value>"
gui_display_hostname: "enable"
gui_firmware_upgrade_warning: "enable"
gui_forticare_registration_setup_warning: "enable"
gui_fortigate_cloud_sandbox: "enable"
gui_fortiguard_resource_fetch: "enable"
gui_fortisandbox_cloud: "enable"
gui_ipv6: "enable"
gui_lines_per_page: "500"
gui_local_out: "enable"
gui_replacement_message_groups: "enable"
gui_rest_api_cache: "enable"
gui_theme: "jade"
gui_wireless_opensecurity: "enable"
gui_workflow_management: "enable"
ha_affinity: "<your_own_value>"
honor_df: "enable"
hostname: "myhostname"
httpd_max_worker_count: "0"
igmp_state_limit: "3200"
interface_subnet_usage: "disable"
internet_service_database: "mini"
internet_service_download_list:
-
id: "133 (source firewall.internet-service.id)"
interval: "5"
ip_conflict_detection: "enable"
ip_fragment_mem_thresholds: "32"
ip_fragment_timeout: "30"
ip_src_port_range: "<your_own_value>"
ips_affinity: "<your_own_value>"
ipsec_asic_offload: "enable"
ipsec_ha_seqjump_rate: "10"
ipsec_hmac_offload: "enable"
ipsec_qat_offload: "enable"
ipsec_round_robin: "enable"
ipsec_soft_dec_async: "enable"
ipv6_accept_dad: "1"
ipv6_allow_anycast_probe: "enable"
ipv6_allow_local_in_silent_drop: "enable"
ipv6_allow_local_in_slient_drop: "enable"
ipv6_allow_multicast_probe: "enable"
ipv6_allow_traffic_redirect: "enable"
ipv6_fragment_timeout: "60"
irq_time_accounting: "auto"
language: "english"
ldapconntimeout: "500"
lldp_reception: "enable"
lldp_transmission: "enable"
log_single_cpu_high: "enable"
log_ssl_connection: "enable"
log_uuid: "disable"
log_uuid_address: "enable"
log_uuid_policy: "enable"
login_timestamp: "enable"
long_vdom_name: "enable"
management_ip: "<your_own_value>"
management_port: "443"
management_port_use_admin_sport: "enable"
management_vdom: "<your_own_value> (source system.vdom.name)"
max_dlpstat_memory: "169"
max_route_cache_size: "0"
mc_ttl_notchange: "enable"
memory_use_threshold_extreme: "95"
memory_use_threshold_green: "82"
memory_use_threshold_red: "88"
miglog_affinity: "<your_own_value>"
miglogd_children: "0"
multi_factor_authentication: "optional"
multicast_forward: "enable"
ndp_max_entry: "0"
npu_neighbor_update: "enable"
per_user_bal: "enable"
per_user_bwl: "enable"
pmtu_discovery: "enable"
policy_auth_concurrent: "0"
post_login_banner: "disable"
pre_login_banner: "enable"
private_data_encryption: "disable"
proxy_auth_lifetime: "enable"
proxy_auth_lifetime_timeout: "480"
proxy_auth_timeout: "10"
proxy_cert_use_mgmt_vdom: "enable"
proxy_cipher_hardware_acceleration: "disable"
proxy_hardware_acceleration: "disable"
proxy_keep_alive_mode: "session"
proxy_kxp_hardware_acceleration: "disable"
proxy_re_authentication_mode: "session"
proxy_re_authentication_time: "30"
proxy_resource_mode: "enable"
proxy_worker_count: "0"
purdue_level: "1"
quic_ack_thresold: "3"
quic_congestion_control_algo: "cubic"
quic_max_datagram_size: "1500"
quic_pmtud: "enable"
quic_tls_handshake_timeout: "5"
quic_udp_payload_size_shaping_per_cid: "enable"
radius_port: "1812"
reboot_upon_config_restore: "enable"
refresh: "0"
remoteauthtimeout: "5"
reset_sessionless_tcp: "enable"
restart_time: "<your_own_value>"
revision_backup_on_logout: "enable"
revision_image_auto_backup: "enable"
scanunit_count: "0"
scim_http_port: "44558"
scim_https_port: "44559"
scim_server_cert: "<your_own_value> (source certificate.local.name)"
security_rating_result_submission: "enable"
security_rating_run_on_schedule: "enable"
send_pmtu_icmp: "enable"
sflowd_max_children_num: "6"
snat_route_change: "enable"
special_file_23_support: "disable"
speedtest_server: "enable"
speedtestd_ctrl_port: "5200"
speedtestd_server_port: "5201"
split_port: "<your_own_value>"
split_port_mode:
-
interface: "<your_own_value>"
split_mode: "disable"
ssd_trim_date: "1"
ssd_trim_freq: "never"
ssd_trim_hour: "1"
ssd_trim_min: "60"
ssd_trim_weekday: "sunday"
ssh_cbc_cipher: "enable"
ssh_enc_algo: "[email protected]"
ssh_hmac_md5: "enable"
ssh_hostkey: "myhostname"
ssh_hostkey_algo: "ssh-rsa"
ssh_hostkey_override: "disable"
ssh_hostkey_password: "myhostname"
ssh_kex_algo: "diffie-hellman-group1-sha1"
ssh_kex_sha1: "enable"
ssh_mac_algo: "hmac-md5"
ssh_mac_weak: "enable"
ssl_min_proto_version: "SSLv3"
ssl_static_key_ciphers: "enable"
sslvpn_cipher_hardware_acceleration: "enable"
sslvpn_ems_sn_check: "enable"
sslvpn_kxp_hardware_acceleration: "enable"
sslvpn_max_worker_count: "0"
sslvpn_plugin_version_check: "enable"
sslvpn_web_mode: "enable"
strict_dirty_session_check: "enable"
strong_crypto: "enable"
switch_controller: "disable"
switch_controller_reserved_network: "<your_own_value>"
sys_perf_log_interval: "5"
syslog_affinity: "<your_own_value>"
tcp_halfclose_timer: "120"
tcp_halfopen_timer: "10"
tcp_option: "enable"
tcp_rst_timer: "5"
tcp_timewait_timer: "1"
tftp: "enable"
timezone: "<your_own_value> (source system.timezone.name)"
tp_mc_skip_policy: "enable"
traffic_priority: "tos"
traffic_priority_level: "low"
two_factor_email_expiry: "60"
two_factor_fac_expiry: "60"
two_factor_ftk_expiry: "60"
two_factor_ftm_expiry: "72"
two_factor_sms_expiry: "60"
udp_idle_timer: "180"
url_filter_affinity: "<your_own_value>"
url_filter_count: "1"
user_device_store_max_devices: "20920"
user_device_store_max_unified_mem: "104604672"
user_device_store_max_users: "20920"
user_history_password_threshold: "3"
user_server_cert: "<your_own_value> (source certificate.local.name)"
vdom_admin: "enable"
vdom_mode: "no-vdom"
vip_arp_range: "unlimited"
virtual_server_count: "20"
virtual_server_hardware_acceleration: "disable"
virtual_switch_vlan: "enable"
vpn_ems_sn_check: "enable"
wad_affinity: "<your_own_value>"
wad_csvc_cs_count: "1"
wad_csvc_db_count: "0"
wad_memory_change_granularity: "10"
wad_restart_end_time: "<your_own_value>"
wad_restart_mode: "none"
wad_restart_start_time: "<your_own_value>"
wad_source_affinity: "disable"
wad_worker_count: "0"
wifi_ca_certificate: "<your_own_value> (source certificate.ca.name)"
wifi_certificate: "<your_own_value> (source certificate.local.name)"
wimax_4g_usb: "enable"
wireless_controller: "enable"
wireless_controller_port: "5246"
返回值
常见的返回值已在 此处 记录,以下是此模块特有的字段。
键 |
描述 |
|---|---|
FortiGate 镜像的版本号。 返回值:始终返回 示例: |
|
上次用于将内容置备到 FortiGate 的方法。 返回值:始终返回 示例: |
|
FortiGate 在上次应用的操作中给出的最后结果。 返回值:始终返回 示例: |
|
上次调用 FortiGate 时使用的主密钥 (ID)。 返回值:成功 示例: |
|
用于完成请求的表名称。 返回值:始终返回 示例: |
|
用于完成请求的表路径。 返回值:始终返回 示例: |
|
内部版本号。 返回值:始终返回 示例: |
|
设备的序列号。 返回值:始终返回 示例: |
|
操作结果指示。 返回值:始终返回 示例: |
|
使用的虚拟域。 返回值:始终返回 示例: |
|
FortiGate 的版本。 返回值:始终返回 示例: |