fortinet.fortios.fortios_firewall_profile_protocol_options 模块 – 在 Fortinet 的 FortiOS 和 FortiGate 中配置协议选项。
注意
此模块是 fortinet.fortios 集合(版本 2.3.8)的一部分。
如果您使用的是 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install fortinet.fortios。您需要进一步的要求才能使用此模块,请参阅 要求 了解详细信息。
要在 playbook 中使用它,请指定:fortinet.fortios.fortios_firewall_profile_protocol_options。
fortinet.fortios 2.0.0 中的新增功能
概要
此模块能够通过允许用户设置和修改防火墙功能和 profile_protocol_options 类别来配置 FortiGate 或 FortiOS (FOS) 设备。示例包括所有参数和值,需要在使用前调整为数据源。使用 FOS v6.0.0 测试。
要求
执行此模块的主机需要以下要求。
ansible>=2.15
参数
参数 |
注释 |
|---|---|
基于令牌的身份验证。从 Fortigate 的 GUI 生成。 |
|
启用/禁用任务日志记录。 选择
|
|
配置协议选项。 |
|
配置 CIFS 协议选项。 |
|
要为其解密 CIFS 流量的域。源 user.domain-controller.name credential-store.domain-controller.server-name。 |
|
可以应用于会话的一个或多个选项。 选择
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
启用/禁用扫描 BZip2 压缩文件。 选择
|
|
CIFS 服务器凭据类型。 选择
|
|
服务器 keytab。 |
|
包含服务器凭据的 Base64 编码 keytab 文件。 |
|
启用/禁用此协议扫描的活动状态。 选择
|
|
最大动态 TCP 窗口大小。 |
|
最小动态 TCP 窗口大小。 |
|
设置 TCP 静态窗口大小。 |
|
用于此协议的 TCP 窗口类型。 选择
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
可选注释。 |
|
配置 DNS 协议选项。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
启用/禁用此协议扫描的活动状态。 选择
|
|
配置 FTP 协议选项。 |
|
每次传输中为客户端舒适化发送的字节数(字节)。 |
|
用于客户端舒适化的连续数据传输之间的时间间隔(秒)。 |
|
启用/禁用显式 FTPS 的 FTP 重定向。 选择
|
|
启用/禁用对协议的所有端口的检查。 选择
|
|
可以应用于会话的一个或多个选项。 选择
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
启用/禁用扫描 BZip2 压缩文件。 选择
|
|
由外部设备执行的 SSL 解密和加密。 选择
|
|
启用/禁用此协议扫描的活动状态。 选择
|
|
将扫描的最大基于流的未压缩数据大小,以兆字节为单位。仅在某些条件下使用基于流的解压缩(无限 = 0)。 |
|
最大动态 TCP 窗口大小。 |
|
最小动态 TCP 窗口大小。 |
|
设置 TCP 静态窗口大小。 |
|
用于此协议的 TCP 窗口类型。 选择
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
配置 HTTP 协议选项。 |
|
启用/禁用基于 IP 的 URL 评级。 选择
|
|
为被阻止的 HTTP 页面返回的代码编号(仅限非 FortiGuard)(100 - 599)。 |
|
每次传输中为客户端舒适化发送的字节数(字节)。 |
|
用于客户端舒适化的连续数据传输之间的时间间隔(秒)。 |
|
配置 HTTP 域前置。 选择
|
|
启用/禁用 HTML 内容上的 Fortinet 条。 选择
|
|
Fortinet Bar 使用的端口 (1 - 65535)。 |
|
启用/禁用 h2c HTTP 连接升级。 选择
|
|
启用/禁用 HTTP 策略检查。 选择
|
|
启用/禁用对协议的所有端口的检查。 选择
|
|
可以应用于会话的一个或多个选项。 选择
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
用于将 HTTP post 上的禁用词和 DLP 转换为 UTF-8 的字符集 ID 代码(最多 5 个字符集)。 选择
|
|
在建立 TCP 3 次握手后(而不是之前)代理流量。 选择
|
|
启用/禁用阻止部分下载。 选择
|
|
重试 HTTP 连接的次数 (0 - 100)。 |
|
启用/禁用扫描 BZip2 压缩文件。 选择
|
|
由外部设备执行的 SSL 解密和加密。 选择
|
|
启用/禁用此协议扫描的活动状态。 选择
|
|
将扫描的最大基于流的未压缩数据大小,以兆字节为单位。仅在某些条件下使用基于流的解压缩(无限 = 0)。 |
|
启用/禁用绕过缓冲的流媒体内容。 选择
|
|
启用/禁用剥离 HTTP X-Forwarded-For 标头。 选择
|
|
绕过扫描,或阻止尝试切换协议的连接。 选择
|
|
最大动态 TCP 窗口大小。 |
|
最小动态 TCP 窗口大小。 |
|
设置 TCP 静态窗口大小。 |
|
用于此协议的 TCP 窗口类型。 选择
|
|
配置当配置为 HTTP 流量的配置文件接受非 HTTP 会话时,如何处理非 HTTP 流量。如果应用程序使用 HTTP 目标端口发送非 HTTP 流量,则可能会发生这种情况。 选择
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
配置 FortiGate 设备对未知内容编码采取的操作。 选择
|
|
如何处理不符合 HTTP 0.9、1.0 或 1.1 的 HTTP 会话。 选择
|
|
启用/禁用策略匹配的 DNS 验证。 选择
|
|
配置 IMAP 协议选项。 |
|
启用/禁用对协议的所有端口的检查。 选择
|
|
可以应用于会话的一个或多个选项。 选择
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
在建立 TCP 3 次握手后(而不是之前)代理流量。 选择
|
|
启用/禁用扫描 BZip2 压缩文件。 选择
|
|
由外部设备执行的 SSL 解密和加密。 选择
|
|
启用/禁用此协议扫描的活动状态。 选择
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
配置邮件签名。 |
|
要添加到传出电子邮件的电子邮件签名(如果签名包含空格,请用引号括起来)。 |
|
启用/禁用在 SMTP 电子邮件消息通过 FortiGate 时向其添加电子邮件签名。 选择
|
|
配置 MAPI 协议选项。 |
|
可以应用于会话的一个或多个选项。 选择
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
启用/禁用扫描 BZip2 压缩文件。 选择
|
|
启用/禁用此协议扫描的活动状态。 选择
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
名称。 |
|
配置 NNTP 协议选项。 |
|
启用/禁用对协议的所有端口的检查。 选择
|
|
可以应用于会话的一个或多个选项。 选择
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
在建立 TCP 3 次握手后(而不是之前)代理流量。 选择
|
|
启用/禁用扫描 BZip2 压缩文件。 选择
|
|
启用/禁用此协议扫描的活动状态。 选择
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
启用/禁用防病毒超大文件阻止的日志记录。 选择
|
|
配置 POP3 协议选项。 |
|
启用/禁用对协议的所有端口的检查。 选择
|
|
可以应用于会话的一个或多个选项。 选择
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
在建立 TCP 3 次握手后(而不是之前)代理流量。 选择
|
|
启用/禁用扫描 BZip2 压缩文件。 选择
|
|
由外部设备执行的 SSL 解密和加密。 选择
|
|
启用/禁用此协议扫描的活动状态。 选择
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
要使用的替换消息组的名称。源系统.replacemsg-group.name。 |
|
启用/禁用通过 HTTP 的 RPC 的检查。 选择
|
|
配置 SMTP 协议选项。 |
|
启用/禁用对协议的所有端口的检查。 选择
|
|
可以应用于会话的一个或多个选项。 选择
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
在建立 TCP 3 次握手后(而不是之前)代理流量。 选择
|
|
启用/禁用扫描 BZip2 压缩文件。 选择
|
|
在服务器不可用时启用/禁用 SMTP 服务器繁忙状态。 选择
|
|
由外部设备执行的 SSL 解密和加密。 选择
|
|
启用/禁用此协议扫描的活动状态。 选择
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
配置 SFTP 和 SCP 协议选项。 |
|
每次传输中为客户端舒适化发送的字节数(字节)。 |
|
用于客户端舒适化的连续数据传输之间的时间间隔(秒)。 |
|
可以应用于会话的一个或多个选项。 选择
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
启用/禁用扫描 BZip2 压缩文件。 选择
|
|
由外部设备执行的 SSL 解密和加密。 选择
|
|
将扫描的最大基于流的未压缩数据大小,以兆字节为单位。仅在某些条件下使用基于流的解压缩(无限 = 0)。 |
|
最大动态 TCP 窗口大小。 |
|
最小动态 TCP 窗口大小。 |
|
设置 TCP 静态窗口大小。 |
|
用于此协议的 TCP 窗口类型。 选择
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
启用/禁用 HTTP/HTTPS 切换协议的日志记录。 选择
|
|
要操作的成员属性路径。 如果存在多个属性,则用斜杠字符分隔。 标记为 member_path 的参数对于执行成员操作是合法的。 |
|
在指定的属性路径下添加或删除成员。 指定 member_state 时,将忽略 state 选项。 选择
|
|
指示是创建还是删除对象。 选择
|
|
虚拟域,在之前定义的域中。vdom 是 FortiGate 的虚拟实例,可以配置并用作不同的单元。 默认值: |
说明
注意
旧版 fortiosapi 已弃用,httpapi 是运行 playbook 的首选方式
该模块支持 check_mode。
示例
- name: Configure protocol options.
fortinet.fortios.fortios_firewall_profile_protocol_options:
vdom: "{{ vdom }}"
state: "present"
access_token: "<your_own_value>"
firewall_profile_protocol_options:
cifs:
domain_controller: "<your_own_value> (source user.domain-controller.name credential-store.domain-controller.server-name)"
options: "oversize"
oversize_limit: "10"
ports: "<your_own_value>"
scan_bzip2: "enable"
server_credential_type: "none"
server_keytab:
-
keytab: "<your_own_value>"
principal: "<your_own_value>"
status: "enable"
tcp_window_maximum: "8388608"
tcp_window_minimum: "131072"
tcp_window_size: "262144"
tcp_window_type: "auto-tuning"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
comment: "Optional comments."
dns:
ports: "<your_own_value>"
status: "enable"
ftp:
comfort_amount: "1"
comfort_interval: "10"
explicit_ftp_tls: "enable"
inspect_all: "enable"
options: "clientcomfort"
oversize_limit: "10"
ports: "<your_own_value>"
scan_bzip2: "enable"
ssl_offloaded: "no"
status: "enable"
stream_based_uncompressed_limit: "0"
tcp_window_maximum: "8388608"
tcp_window_minimum: "131072"
tcp_window_size: "262144"
tcp_window_type: "auto-tuning"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
http:
address_ip_rating: "enable"
block_page_status_code: "403"
comfort_amount: "1"
comfort_interval: "10"
domain_fronting: "allow"
fortinet_bar: "enable"
fortinet_bar_port: "32767"
h2c: "enable"
http_policy: "disable"
inspect_all: "enable"
options: "clientcomfort"
oversize_limit: "10"
ports: "<your_own_value>"
post_lang: "jisx0201"
proxy_after_tcp_handshake: "enable"
range_block: "disable"
retry_count: "0"
scan_bzip2: "enable"
ssl_offloaded: "no"
status: "enable"
stream_based_uncompressed_limit: "0"
streaming_content_bypass: "enable"
strip_x_forwarded_for: "disable"
switching_protocols: "bypass"
tcp_window_maximum: "8388608"
tcp_window_minimum: "131072"
tcp_window_size: "262144"
tcp_window_type: "auto-tuning"
tunnel_non_http: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
unknown_content_encoding: "block"
unknown_http_version: "reject"
verify_dns_for_policy_matching: "enable"
imap:
inspect_all: "enable"
options: "fragmail"
oversize_limit: "10"
ports: "<your_own_value>"
proxy_after_tcp_handshake: "enable"
scan_bzip2: "enable"
ssl_offloaded: "no"
status: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
mail_signature:
signature: "<your_own_value>"
status: "disable"
mapi:
options: "fragmail"
oversize_limit: "10"
ports: "<your_own_value>"
scan_bzip2: "enable"
status: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
name: "default_name_99"
nntp:
inspect_all: "enable"
options: "oversize"
oversize_limit: "10"
ports: "<your_own_value>"
proxy_after_tcp_handshake: "enable"
scan_bzip2: "enable"
status: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
oversize_log: "disable"
pop3:
inspect_all: "enable"
options: "fragmail"
oversize_limit: "10"
ports: "<your_own_value>"
proxy_after_tcp_handshake: "enable"
scan_bzip2: "enable"
ssl_offloaded: "no"
status: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
replacemsg_group: "<your_own_value> (source system.replacemsg-group.name)"
rpc_over_http: "enable"
smtp:
inspect_all: "enable"
options: "fragmail"
oversize_limit: "10"
ports: "<your_own_value>"
proxy_after_tcp_handshake: "enable"
scan_bzip2: "enable"
server_busy: "enable"
ssl_offloaded: "no"
status: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
ssh:
comfort_amount: "1"
comfort_interval: "10"
options: "oversize"
oversize_limit: "10"
scan_bzip2: "enable"
ssl_offloaded: "no"
stream_based_uncompressed_limit: "0"
tcp_window_maximum: "8388608"
tcp_window_minimum: "131072"
tcp_window_size: "262144"
tcp_window_type: "auto-tuning"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
switching_protocols_log: "disable"
返回值
常见返回值记录在此处这里,以下是此模块独有的字段
键 |
描述 |
|---|---|
FortiGate 映像的版本号 返回值: 始终 示例: |
|
上次用于将内容配置到 FortiGate 中的方法 返回值: 始终 示例: |
|
FortiGate 在上次应用的操作中给出的最新结果 返回值: 始终 示例: |
|
上次调用 FortiGate 时使用的主键 (id) 返回值: 成功 示例: |
|
用于满足请求的表的名称 返回值: 始终 示例: |
|
用于满足请求的表的路径 返回值: 始终 示例: |
|
内部修订号 返回值: 始终 示例: |
|
设备的序列号 返回值: 始终 示例: |
|
操作结果的指示 返回值: 始终 示例: |
|
使用的虚拟域 返回值: 始终 示例: |
|
FortiGate 的版本 返回值: 始终 示例: |