fortinet.fortimanager.fmgr_system_npu_fpanomaly 模块 – NP6Lite 异常保护

注意

此模块是 fortinet.fortimanager 集合(版本 2.8.2)的一部分。

如果您使用的是 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install fortinet.fortimanager

要在 playbook 中使用它,请指定:fortinet.fortimanager.fmgr_system_npu_fpanomaly

fortinet.fortimanager 2.1.0 中的新增功能

概要

  • 此模块能够配置 FortiManager 设备。

  • 示例包括在使用前需要根据数据源调整的所有参数和值。

参数

参数

注释

access_token

字符串

无需使用用户名和密码即可访问 FortiManager 的令牌。

adom

字符串 / 必需

请求 URL 中的参数 (adom)。

bypass_validation

布尔值

仅当模块架构与 FortiManager API 结构不同时才设置为 True,模块将继续执行而不验证参数。

选择

  • false ←(默认)

  • true

enable_log

布尔值

启用/禁用任务日志记录。

选择

  • false ←(默认)

  • true

forticloud_access_token

字符串

使用 forticloud API 访问令牌验证 Ansible 客户端。

proposed_method

字符串

底层 Json RPC 请求的覆盖方法。

选择

  • "update"

  • "set"

  • "add"

rc_failed

列表 / 元素=整数

将覆盖失败条件的 rc 代码列表。

rc_succeeded

列表 / 元素=整数

将覆盖成功条件的 rc 代码列表。

system_npu_fpanomaly

字典

设置的顶级参数。

capwap_minlen_err

别名: capwap-minlen-err

字符串

Capwap minlen 错误。

选择

  • "drop"

  • "trap-to-host"

esp_minlen_err

别名: esp-minlen-err

字符串

无效的 IPv4 ESP 短数据包异常。

选择

  • "drop"

  • "trap-to-host"

gre_csum_err

别名: gre-csum-err

字符串

Gre csum 错误。

选择

  • "drop"

  • "trap-to-host"

gtpu_plen_err

别名: gtpu-plen-err

字符串

Gtpu plen 错误。

选择

  • "drop"

  • "trap-to-host"

icmp_csum_err

别名: icmp-csum-err

字符串

无效的 IPv4 ICMP 数据包校验和异常。

选择

  • "drop"

  • "trap-to-host"

icmp_frag

别名: icmp-frag

字符串

可能是第 4 层 ICMP 异常一部分的第 3 层分片数据包。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

icmp_land

别名: icmp-land

字符串

ICMP land 异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

icmp_minlen_err

别名: icmp-minlen-err

字符串

无效的 IPv4 ICMP 短数据包异常。

选择

  • "drop"

  • "trap-to-host"

ipv4_csum_err

别名: ipv4-csum-err

字符串

无效的 IPv4 数据包校验和异常。

选择

  • "drop"

  • "trap-to-host"

ipv4_ihl_err

别名: ipv4-ihl-err

字符串

无效的 IPv4 标头长度异常。

选择

  • "drop"

  • "trap-to-host"

ipv4_land

别名: ipv4-land

字符串

Land 异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv4_len_err

别名: ipv4-len-err

字符串

无效的 IPv4 数据包长度异常。

选择

  • "drop"

  • "trap-to-host"

ipv4_opt_err

别名: ipv4-opt-err

字符串

无效的 IPv4 选项解析异常。

选择

  • "drop"

  • "trap-to-host"

ipv4_optlsrr

别名: ipv4-optlsrr

字符串

宽松源记录路由选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv4_optrr

别名: ipv4-optrr

字符串

记录路由选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv4_optsecurity

别名: ipv4-optsecurity

字符串

安全选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv4_optssrr

别名: ipv4-optssrr

字符串

严格源记录路由选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv4_optstream

别名: ipv4-optstream

字符串

流选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv4_opttimestamp

别名: ipv4-opttimestamp

字符串

时间戳选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv4_proto_err

别名: ipv4-proto-err

字符串

无效的第 4 层协议异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv4_ttlzero_err

别名: ipv4-ttlzero-err

字符串

无效的 IPv4 TTL 字段零异常。

选择

  • "drop"

  • "trap-to-host"

ipv4_unknopt

别名: ipv4-unknopt

字符串

未知选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv4_ver_err

别名: ipv4-ver-err

字符串

无效 IPv4 头部版本异常。

选择

  • "drop"

  • "trap-to-host"

ipv6_daddr_err

别名: ipv6-daddr-err

字符串

目标地址为未指定或环回地址的异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_exthdr_len_err

别名: ipv6-exthdr-len-err

字符串

无效 IPv6 数据包链扩展头部总长度异常。

选择

  • "drop"

  • "trap-to-host"

ipv6_exthdr_order_err

别名: ipv6-exthdr-order-err

字符串

无效 IPv6 数据包扩展头部排序异常。

选择

  • "drop"

  • "trap-to-host"

ipv6_ihl_err

别名: ipv6-ihl-err

字符串

无效 IPv6 数据包长度异常。

选择

  • "drop"

  • "trap-to-host"

ipv6_land

别名: ipv6-land

字符串

Land 异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_optendpid

别名: ipv6-optendpid

字符串

端点识别异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_opthomeaddr

别名: ipv6-opthomeaddr

字符串

家乡地址选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_optinvld

别名: ipv6-optinvld

字符串

无效选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_optjumbo

别名: ipv6-optjumbo

字符串

巨型选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_optnsap

别名: ipv6-optnsap

字符串

网络服务访问点地址选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_optralert

别名: ipv6-optralert

字符串

路由器警报选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_opttunnel

别名: ipv6-opttunnel

字符串

隧道封装限制选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_plen_zero

别名: ipv6-plen-zero

字符串

无效 IPv6 数据包负载长度为零的异常。

选择

  • "drop"

  • "trap-to-host"

ipv6_proto_err

别名: ipv6-proto-err

字符串

第 4 层无效协议异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_saddr_err

别名: ipv6-saddr-err

字符串

源地址为多播地址的异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_unknopt

别名: ipv6-unknopt

字符串

未知选项异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

ipv6_ver_err

别名: ipv6-ver-err

字符串

无效 IPv6 数据包版本异常。

选择

  • "drop"

  • "trap-to-host"

nvgre_minlen_err

别名: nvgre-minlen-err

字符串

Nvgre 最小长度错误。

选择

  • "drop"

  • "trap-to-host"

sctp_clen_err

别名: sctp-clen-err

字符串

Sctp clen 错误。

选择

  • "drop"

  • "trap-to-host"

sctp_crc_err

别名: sctp-crc-err

字符串

Sctp crc 错误。

选择

  • "drop"

  • "trap-to-host"

sctp_csum_err

别名: sctp-csum-err

字符串

无效 IPv4 SCTP 校验和异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

sctp_l4len_err

别名: sctp-l4len-err

字符串

Sctp l4len 错误。

选择

  • "drop"

  • "trap-to-host"

tcp_csum_err

别名: tcp-csum-err

字符串

无效 IPv4 TCP 数据包校验和异常。

选择

  • "drop"

  • "trap-to-host"

tcp_fin_noack

别名: tcp-fin-noack

字符串

设置了 FIN 标志但未设置 ACK 的 TCP SYN 洪泛异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

tcp_fin_only

别名: tcp-fin-only

字符串

仅设置了 FIN 标志的 TCP SYN 洪泛异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

tcp_hlen_err

别名: tcp-hlen-err

字符串

无效 IPv4 TCP 头部长度异常。

选择

  • "drop"

  • "trap-to-host"

tcp_hlenvsl4len_err

别名: tcp-hlenvsl4len-err

字符串

Tcp hlenvsl4len 错误。

选择

  • "drop"

  • "trap-to-host"

tcp_land

别名: tcp-land

字符串

TCP land 异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

tcp_no_flag

别名: tcp-no-flag

字符串

未设置标志的 TCP SYN 洪泛异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

tcp_plen_err

别名: tcp-plen-err

字符串

无效 IPv4 TCP 数据包长度异常。

选择

  • "drop"

  • "trap-to-host"

tcp_syn_data

别名: tcp-syn-data

字符串

带有数据的 TCP SYN 洪泛数据包异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

tcp_syn_fin

别名: tcp-syn-fin

字符串

TCP SYN 洪泛 SYN/FIN 标志设置异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

tcp_winnuke

别名: tcp-winnuke

字符串

TCP WinNuke 异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

udp_csum_err

别名: udp-csum-err

字符串

无效 IPv4 UDP 数据包校验和异常。

选择

  • "drop"

  • "trap-to-host"

udp_hlen_err

别名: udp-hlen-err

字符串

无效 IPv4 UDP 数据包头部长度异常。

选择

  • "drop"

  • "trap-to-host"

udp_land

别名: udp-land

字符串

UDP land 异常。

选择

  • "allow"

  • "drop"

  • "trap-to-host"

udp_len_err

别名: udp-len-err

字符串

无效 IPv4 UDP 数据包长度异常。

选择

  • "drop"

  • "trap-to-host"

udp_plen_err

别名: udp-plen-err

字符串

无效 IPv4 UDP 数据包最小长度异常。

选择

  • "drop"

  • "trap-to-host"

udplite_cover_err

别名: udplite-cover-err

字符串

无效 IPv4 UDP-Lite 数据包覆盖异常。

选择

  • "drop"

  • "trap-to-host"

udplite_csum_err

别名: udplite-csum-err

字符串

无效 IPv4 UDP-Lite 数据包校验和异常。

选择

  • "drop"

  • "trap-to-host"

uesp_minlen_err

别名: uesp-minlen-err

字符串

Uesp 最小长度错误。

选择

  • "drop"

  • "trap-to-host"

unknproto_minlen_err

别名: unknproto-minlen-err

字符串

无效 IPv4 L4 未知协议短数据包异常。

选择

  • "drop"

  • "trap-to-host"

vxlan_minlen_err

别名: vxlan-minlen-err

字符串

Vxlan 最小长度错误。

选择

  • "drop"

  • "trap-to-host"

workspace_locking_adom

字符串

在工作区模式下运行的 FortiManager 要锁定的 ADOM,该值可以是 global 和其他包括 root 的值。

workspace_locking_timeout

整数

等待其他用户释放工作区锁定的最长时间(以秒为单位)。

默认值: 300

备注

注意

  • 从 2.4.0 版本开始,所有输入参数都使用下划线命名约定(snake_case)。请将诸如 “var-name” 之类的参数更改为 “var_name”。旧的参数名称仍然可用,但您会收到弃用警告。您可以通过在 ansible.cfg 中设置 deprecation_warnings=False 来忽略此警告。

  • 此 FortiManager 模块支持在工作区锁定模式下运行,顶层参数 workspace_locking_adom 和 workspace_locking_timeout 有助于完成工作。

  • 通常,当返回非零 rc 时,运行一个模块可能会失败。您还可以使用参数 rc_failed 和 rc_succeeded 覆盖失败或成功的条件

示例

- name: Example playbook (generated based on argument schema)
  hosts: fortimanagers
  connection: httpapi
  vars:
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_httpapi_port: 443
  tasks:
    - name: NP6Lite anomaly protection
      fortinet.fortimanager.fmgr_system_npu_fpanomaly:
        # bypass_validation: false
        workspace_locking_adom: <value in [global, custom adom including root]>
        workspace_locking_timeout: 300
        # rc_succeeded: [0, -2, -3, ...]
        # rc_failed: [-2, -3, ...]
        adom: <your own value>
        system_npu_fpanomaly:
          esp_minlen_err: <value in [drop, trap-to-host]>
          icmp_csum_err: <value in [drop, trap-to-host]>
          icmp_minlen_err: <value in [drop, trap-to-host]>
          ipv4_csum_err: <value in [drop, trap-to-host]>
          ipv4_ihl_err: <value in [drop, trap-to-host]>
          ipv4_len_err: <value in [drop, trap-to-host]>
          ipv4_opt_err: <value in [drop, trap-to-host]>
          ipv4_ttlzero_err: <value in [drop, trap-to-host]>
          ipv4_ver_err: <value in [drop, trap-to-host]>
          ipv6_exthdr_len_err: <value in [drop, trap-to-host]>
          ipv6_exthdr_order_err: <value in [drop, trap-to-host]>
          ipv6_ihl_err: <value in [drop, trap-to-host]>
          ipv6_plen_zero: <value in [drop, trap-to-host]>
          ipv6_ver_err: <value in [drop, trap-to-host]>
          tcp_csum_err: <value in [drop, trap-to-host]>
          tcp_hlen_err: <value in [drop, trap-to-host]>
          tcp_plen_err: <value in [drop, trap-to-host]>
          udp_csum_err: <value in [drop, trap-to-host]>
          udp_hlen_err: <value in [drop, trap-to-host]>
          udp_len_err: <value in [drop, trap-to-host]>
          udp_plen_err: <value in [drop, trap-to-host]>
          udplite_cover_err: <value in [drop, trap-to-host]>
          udplite_csum_err: <value in [drop, trap-to-host]>
          unknproto_minlen_err: <value in [drop, trap-to-host]>
          tcp_fin_only: <value in [allow, drop, trap-to-host]>
          ipv4_optsecurity: <value in [allow, drop, trap-to-host]>
          ipv6_optralert: <value in [allow, drop, trap-to-host]>
          tcp_syn_fin: <value in [allow, drop, trap-to-host]>
          ipv4_proto_err: <value in [allow, drop, trap-to-host]>
          ipv6_saddr_err: <value in [allow, drop, trap-to-host]>
          icmp_frag: <value in [allow, drop, trap-to-host]>
          ipv4_optssrr: <value in [allow, drop, trap-to-host]>
          ipv6_opthomeaddr: <value in [allow, drop, trap-to-host]>
          udp_land: <value in [allow, drop, trap-to-host]>
          ipv6_optinvld: <value in [allow, drop, trap-to-host]>
          tcp_fin_noack: <value in [allow, drop, trap-to-host]>
          ipv6_proto_err: <value in [allow, drop, trap-to-host]>
          tcp_land: <value in [allow, drop, trap-to-host]>
          ipv4_unknopt: <value in [allow, drop, trap-to-host]>
          ipv4_optstream: <value in [allow, drop, trap-to-host]>
          ipv6_optjumbo: <value in [allow, drop, trap-to-host]>
          icmp_land: <value in [allow, drop, trap-to-host]>
          tcp_winnuke: <value in [allow, drop, trap-to-host]>
          ipv6_daddr_err: <value in [allow, drop, trap-to-host]>
          ipv4_land: <value in [allow, drop, trap-to-host]>
          ipv6_opttunnel: <value in [allow, drop, trap-to-host]>
          tcp_no_flag: <value in [allow, drop, trap-to-host]>
          ipv6_land: <value in [allow, drop, trap-to-host]>
          ipv4_optlsrr: <value in [allow, drop, trap-to-host]>
          ipv4_opttimestamp: <value in [allow, drop, trap-to-host]>
          ipv4_optrr: <value in [allow, drop, trap-to-host]>
          ipv6_optnsap: <value in [allow, drop, trap-to-host]>
          ipv6_unknopt: <value in [allow, drop, trap-to-host]>
          tcp_syn_data: <value in [allow, drop, trap-to-host]>
          ipv6_optendpid: <value in [allow, drop, trap-to-host]>
          gtpu_plen_err: <value in [drop, trap-to-host]>
          vxlan_minlen_err: <value in [drop, trap-to-host]>
          capwap_minlen_err: <value in [drop, trap-to-host]>
          gre_csum_err: <value in [drop, trap-to-host]>
          nvgre_minlen_err: <value in [drop, trap-to-host]>
          sctp_l4len_err: <value in [drop, trap-to-host]>
          tcp_hlenvsl4len_err: <value in [drop, trap-to-host]>
          sctp_crc_err: <value in [drop, trap-to-host]>
          sctp_clen_err: <value in [drop, trap-to-host]>
          uesp_minlen_err: <value in [drop, trap-to-host]>
          sctp_csum_err: <value in [allow, drop, trap-to-host]>

返回值

常见的返回值记录在此处,以下是此模块独有的字段

描述

meta

字典

请求的结果。

返回: 总是

request_url

字符串

请求的完整 URL。

返回: 总是

示例: "/sys/login/user"

response_code

整数

API 请求的状态。

返回: 总是

示例: 0

response_data

列表 / 元素=字符串

API 响应。

返回: 总是

response_message

字符串

API 响应的描述性消息。

返回: 总是

示例: "OK."

system_information

字典

目标系统的信息。

返回: 总是

rc

整数

请求的状态。

返回: 总是

示例: 0

version_check_warning

列表 / 元素=字符串

如果 playbook 中使用的参数不受当前 FortiManager 版本支持,则发出警告。

返回: 复杂

作者

  • Xinwei Du (@dux-fortinet)

  • Xing Li (@lix-fortinet)

  • Jie Xue (@JieX19)

  • Link Zheng (@chillancezen)

  • Frank Shen (@fshen01)

  • Hongbin Lu (@fgtdev-hblu)