fortinet.fortios.fortios_firewall_profile_protocol_options 模块 – 在 Fortinet 的 FortiOS 和 FortiGate 中配置协议选项。
注意
此模块是 fortinet.fortios 集合 (版本 2.3.8) 的一部分。
如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install fortinet.fortios。您需要其他要求才能使用此模块,有关详细信息,请参阅 要求。
要在剧本中使用它,请指定:fortinet.fortios.fortios_firewall_profile_protocol_options。
fortinet.fortios 2.0.0 中的新增功能
概要
此模块能够通过允许用户设置和修改防火墙功能和 profile_protocol_options 类别来配置 FortiGate 或 FortiOS (FOS) 设备。示例包括所有参数,在使用前需要将值调整为数据源。已在 FOS v6.0.0 上测试。
要求
执行此模块的主机需要以下要求。
ansible>=2.15
参数
参数 |
注释 |
|---|---|
基于令牌的身份验证。从 FortiGate 的 GUI 生成。 |
|
启用/禁用任务的日志记录。 选项
|
|
配置协议选项。 |
|
配置 CIFS 协议选项。 |
|
用于解密 CIFS 流量的域。源用户.domain-controller.name 凭据存储.domain-controller.服务器名称。 |
|
可以应用于会话的一个或多个选项。 选项
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
启用/禁用扫描 BZip2 压缩文件。 选项
|
|
CIFS 服务器凭据类型。 选项
|
|
服务器密钥表。 |
|
包含服务器凭据的 Base64 编码密钥表文件。 |
|
启用/禁用此协议扫描的活动状态。 选项
|
|
最大动态 TCP 窗口大小。 |
|
最小动态 TCP 窗口大小。 |
|
设置 TCP 静态窗口大小。 |
|
为此协议使用的 TCP 窗口类型。 选项
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
可选注释。 |
|
配置 DNS 协议选项。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
启用/禁用此协议扫描的活动状态。 选项
|
|
配置 FTP 协议选项。 |
|
为客户端安慰而每次传输发送的字节数 (字节)。 |
|
为客户端安慰而连续传输数据之间的间隔 (秒)。 |
|
启用/禁用显式 FTPS 的 FTP 重定向。 选项
|
|
启用/禁用对协议的所有端口的检查。 选项
|
|
可以应用于会话的一个或多个选项。 选项
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
启用/禁用扫描 BZip2 压缩文件。 选项
|
|
由外部设备执行 SSL 解密和加密。 选项
|
|
启用/禁用此协议扫描的活动状态。 选项
|
|
将以兆字节为单位扫描的最大基于流的未压缩数据大小。基于流的解压缩仅在某些情况下使用 (unlimited = 0)。 |
|
最大动态 TCP 窗口大小。 |
|
最小动态 TCP 窗口大小。 |
|
设置 TCP 静态窗口大小。 |
|
为此协议使用的 TCP 窗口类型。 选项
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
配置 HTTP 协议选项。 |
|
启用/禁用基于 IP 的 URL 等级。 选项
|
|
为被阻止的 HTTP 页面返回的代码编号(仅非 FortiGuard)(100 - 599)。 |
|
为客户端安慰而每次传输发送的字节数 (字节)。 |
|
为客户端安慰而连续传输数据之间的间隔 (秒)。 |
|
配置 HTTP 域名代理。 选项
|
|
启用/禁用 HTML 内容上的 Fortinet bar。 选项
|
|
Fortinet Bar 使用端口 (1 - 65535)。 |
|
启用/禁用 h2c HTTP 连接升级。 选项
|
|
启用/禁用 HTTP 策略检查。 选项
|
|
启用/禁用对协议的所有端口的检查。 选项
|
|
可以应用于会话的一个或多个选项。 选项
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
用于将 HTTP POST 中的禁用词和 DLP 转换为 UTF-8 的字符集 ID 代码(最多 5 个字符集)。 选项
|
|
在 TCP 三次握手建立后代理流量(而不是之前)。 选项
|
|
启用/禁用阻止部分下载。 选项
|
|
重试 HTTP 连接的次数 (0 - 100)。 |
|
启用/禁用扫描 BZip2 压缩文件。 选项
|
|
由外部设备执行 SSL 解密和加密。 选项
|
|
启用/禁用此协议扫描的活动状态。 选项
|
|
将以兆字节为单位扫描的最大基于流的未压缩数据大小。基于流的解压缩仅在某些情况下使用 (unlimited = 0)。 |
|
启用/禁用绕过流内容缓冲。 选项
|
|
启用/禁用剥离 HTTP X-Forwarded-For 头。 选项
|
|
绕过扫描,或阻止尝试切换协议的连接。 选项
|
|
最大动态 TCP 窗口大小。 |
|
最小动态 TCP 窗口大小。 |
|
设置 TCP 静态窗口大小。 |
|
为此协议使用的 TCP 窗口类型。 选项
|
|
配置如何处理非 HTTP 流量,当为 HTTP 流量配置的配置文件接受非 HTTP 会话时。如果应用程序使用 HTTP 目标端口发送非 HTTP 流量,则可能发生这种情况。 选项
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
配置 FortiGate 设备对未知内容编码采取的操作。 选项
|
|
如何处理不符合 HTTP 0.9、1.0 或 1.1 的 HTTP 会话。 选项
|
|
启用/禁用验证 DNS 以进行策略匹配。 选项
|
|
配置 IMAP 协议选项。 |
|
启用/禁用对协议的所有端口的检查。 选项
|
|
可以应用于会话的一个或多个选项。 选项
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
在 TCP 三次握手建立后代理流量(而不是之前)。 选项
|
|
启用/禁用扫描 BZip2 压缩文件。 选项
|
|
由外部设备执行 SSL 解密和加密。 选项
|
|
启用/禁用此协议扫描的活动状态。 选项
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
配置邮件签名。 |
|
要添加到外发电子邮件的电子邮件签名(如果签名包含空格,请用引号括起来)。 |
|
启用/禁用在 SMTP 电子邮件消息通过 FortiGate 时添加电子邮件签名。 选项
|
|
配置 MAPI 协议选项。 |
|
可以应用于会话的一个或多个选项。 选项
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
启用/禁用扫描 BZip2 压缩文件。 选项
|
|
启用/禁用此协议扫描的活动状态。 选项
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
名称。 |
|
配置 NNTP 协议选项。 |
|
启用/禁用对协议的所有端口的检查。 选项
|
|
可以应用于会话的一个或多个选项。 选项
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
在 TCP 三次握手建立后代理流量(而不是之前)。 选项
|
|
启用/禁用扫描 BZip2 压缩文件。 选项
|
|
启用/禁用此协议扫描的活动状态。 选项
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
启用/禁用针对防病毒超大文件阻止的日志记录。 选项
|
|
配置 POP3 协议选项。 |
|
启用/禁用对协议的所有端口的检查。 选项
|
|
可以应用于会话的一个或多个选项。 选项
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
在 TCP 三次握手建立后代理流量(而不是之前)。 选项
|
|
启用/禁用扫描 BZip2 压缩文件。 选项
|
|
由外部设备执行 SSL 解密和加密。 选项
|
|
启用/禁用此协议扫描的活动状态。 选项
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
要使用的替换消息组的名称。源系统.replacemsg-group.name。 |
|
启用/禁用检查通过 HTTP 的 RPC。 选项
|
|
配置 SMTP 协议选项。 |
|
启用/禁用对协议的所有端口的检查。 选项
|
|
可以应用于会话的一个或多个选项。 选项
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
要扫描内容的端口 (1 - 65535)。 |
|
在 TCP 三次握手建立后代理流量(而不是之前)。 选项
|
|
启用/禁用扫描 BZip2 压缩文件。 选项
|
|
服务器不可用时启用/禁用 SMTP 服务器繁忙。 选项
|
|
由外部设备执行 SSL 解密和加密。 选项
|
|
启用/禁用此协议扫描的活动状态。 选项
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
配置 SFTP 和 SCP 协议选项。 |
|
为客户端安慰而每次传输发送的字节数 (字节)。 |
|
为客户端安慰而连续传输数据之间的间隔 (秒)。 |
|
可以应用于会话的一个或多个选项。 选项
|
|
可以扫描的最大内存文件大小 (MB)。 |
|
启用/禁用扫描 BZip2 压缩文件。 选项
|
|
由外部设备执行 SSL 解密和加密。 选项
|
|
将以兆字节为单位扫描的最大基于流的未压缩数据大小。基于流的解压缩仅在某些情况下使用 (unlimited = 0)。 |
|
最大动态 TCP 窗口大小。 |
|
最小动态 TCP 窗口大小。 |
|
设置 TCP 静态窗口大小。 |
|
为此协议使用的 TCP 窗口类型。 选项
|
|
可以解压缩和扫描的最大嵌套压缩级别 (2 - 100)。 |
|
可以扫描的最大内存未压缩文件大小 (MB)。 |
|
启用/禁用 HTTP/HTTPS 切换协议的日志记录。 选项
|
|
要操作的成员属性路径。 如果有多个属性,则用斜杠字符分隔。 标有 member_path 的参数对于执行成员操作是合法的。 |
|
在指定的属性路径下添加或删除成员。 指定 member_state 时,将忽略 state 选项。 选项
|
|
指示是创建还是删除对象。 选项
|
|
虚拟域,在之前定义的那些域中。vdom 是 FortiGate 的虚拟实例,可以将其配置和用作不同的单元。 默认值: |
备注
注意
旧版 fortiosapi 已弃用,httpapi 是运行 playbook 的首选方式。
该模块支持 check_mode。
示例
- name: Configure protocol options.
fortinet.fortios.fortios_firewall_profile_protocol_options:
vdom: "{{ vdom }}"
state: "present"
access_token: "<your_own_value>"
firewall_profile_protocol_options:
cifs:
domain_controller: "<your_own_value> (source user.domain-controller.name credential-store.domain-controller.server-name)"
options: "oversize"
oversize_limit: "10"
ports: "<your_own_value>"
scan_bzip2: "enable"
server_credential_type: "none"
server_keytab:
-
keytab: "<your_own_value>"
principal: "<your_own_value>"
status: "enable"
tcp_window_maximum: "8388608"
tcp_window_minimum: "131072"
tcp_window_size: "262144"
tcp_window_type: "auto-tuning"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
comment: "Optional comments."
dns:
ports: "<your_own_value>"
status: "enable"
ftp:
comfort_amount: "1"
comfort_interval: "10"
explicit_ftp_tls: "enable"
inspect_all: "enable"
options: "clientcomfort"
oversize_limit: "10"
ports: "<your_own_value>"
scan_bzip2: "enable"
ssl_offloaded: "no"
status: "enable"
stream_based_uncompressed_limit: "0"
tcp_window_maximum: "8388608"
tcp_window_minimum: "131072"
tcp_window_size: "262144"
tcp_window_type: "auto-tuning"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
http:
address_ip_rating: "enable"
block_page_status_code: "403"
comfort_amount: "1"
comfort_interval: "10"
domain_fronting: "allow"
fortinet_bar: "enable"
fortinet_bar_port: "32767"
h2c: "enable"
http_policy: "disable"
inspect_all: "enable"
options: "clientcomfort"
oversize_limit: "10"
ports: "<your_own_value>"
post_lang: "jisx0201"
proxy_after_tcp_handshake: "enable"
range_block: "disable"
retry_count: "0"
scan_bzip2: "enable"
ssl_offloaded: "no"
status: "enable"
stream_based_uncompressed_limit: "0"
streaming_content_bypass: "enable"
strip_x_forwarded_for: "disable"
switching_protocols: "bypass"
tcp_window_maximum: "8388608"
tcp_window_minimum: "131072"
tcp_window_size: "262144"
tcp_window_type: "auto-tuning"
tunnel_non_http: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
unknown_content_encoding: "block"
unknown_http_version: "reject"
verify_dns_for_policy_matching: "enable"
imap:
inspect_all: "enable"
options: "fragmail"
oversize_limit: "10"
ports: "<your_own_value>"
proxy_after_tcp_handshake: "enable"
scan_bzip2: "enable"
ssl_offloaded: "no"
status: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
mail_signature:
signature: "<your_own_value>"
status: "disable"
mapi:
options: "fragmail"
oversize_limit: "10"
ports: "<your_own_value>"
scan_bzip2: "enable"
status: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
name: "default_name_99"
nntp:
inspect_all: "enable"
options: "oversize"
oversize_limit: "10"
ports: "<your_own_value>"
proxy_after_tcp_handshake: "enable"
scan_bzip2: "enable"
status: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
oversize_log: "disable"
pop3:
inspect_all: "enable"
options: "fragmail"
oversize_limit: "10"
ports: "<your_own_value>"
proxy_after_tcp_handshake: "enable"
scan_bzip2: "enable"
ssl_offloaded: "no"
status: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
replacemsg_group: "<your_own_value> (source system.replacemsg-group.name)"
rpc_over_http: "enable"
smtp:
inspect_all: "enable"
options: "fragmail"
oversize_limit: "10"
ports: "<your_own_value>"
proxy_after_tcp_handshake: "enable"
scan_bzip2: "enable"
server_busy: "enable"
ssl_offloaded: "no"
status: "enable"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
ssh:
comfort_amount: "1"
comfort_interval: "10"
options: "oversize"
oversize_limit: "10"
scan_bzip2: "enable"
ssl_offloaded: "no"
stream_based_uncompressed_limit: "0"
tcp_window_maximum: "8388608"
tcp_window_minimum: "131072"
tcp_window_size: "262144"
tcp_window_type: "auto-tuning"
uncompressed_nest_limit: "12"
uncompressed_oversize_limit: "10"
switching_protocols_log: "disable"
返回值
常用返回值已在 此处 记录,以下是此模块特有的字段
键 |
描述 |
|---|---|
FortiGate 镜像的版本号 返回:始终 示例: |
|
上次用于将内容置备到 FortiGate 的方法 返回:始终 示例: |
|
FortiGate 在上次应用的操作中给出的最后结果 返回:始终 示例: |
|
上次调用 FortiGate 时使用的主密钥 (id) 返回:成功 示例: |
|
用于完成请求的表的名称 返回:始终 示例: |
|
用于完成请求的表的路径 返回:始终 示例: |
|
内部修订号 返回:始终 示例: |
|
设备的序列号 返回:始终 示例: |
|
操作结果的指示 返回:始终 示例: |
|
使用的虚拟域 返回:始终 示例: |
|
FortiGate 的版本 返回:始终 示例: |