fortinet.fortios.fortios_system_global 模块 – 在 Fortinet 的 FortiOS 和 FortiGate 中配置全局属性。
注意
此模块是 fortinet.fortios 集合 (版本 2.3.8) 的一部分。
如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install fortinet.fortios。您需要其他要求才能使用此模块,请参阅 要求 获取详细信息。
要在剧本中使用它,请指定:fortinet.fortios.fortios_system_global。
fortinet.fortios 2.0.0 中的新增功能
概要
此模块能够通过允许用户设置和修改系统功能和全局类别来配置 FortiGate 或 FortiOS (FOS) 设备。示例包括所有参数,在使用前需要将值调整为数据源。已在 FOS v6.0.0 上测试。
要求
执行此模块的主机需要以下要求。
ansible>=2.15
参数
参数 |
注释 |
|---|---|
基于令牌的身份验证。从 FortiGate 的 GUI 生成。 |
|
启用/禁用任务的日志记录。 选项
|
|
要操作的成员属性路径。 如果有多个属性,则用斜杠字符分隔。 标有 member_path 的参数对于执行成员操作是合法的。 |
|
在指定的属性路径下添加或删除成员。 当指定 member_state 时,将忽略 state 选项。 选项
|
|
配置全局属性。 |
|
启用/禁用并发管理员登录。对于防火墙经过身份验证的用户,请使用 policy-auth-concurrent。 选项
|
|
控制台登录超时,覆盖管理员超时值 (15-300 秒)。 |
|
覆盖访问配置文件。来源 system.accprofile.name。 |
|
启用/禁用通过 SSO 进行 FortiCloud 管理员登录。 选项
|
|
用于 HTTP 和 HTTPS 的管理主机。设置后,将用于代替客户端的 Host 标头进行任何重定向。 |
|
HTTPS Strict-Transport-Security 标头 max-age(以秒为单位)。值为 0 将重置浏览器中的任何 HSTS 记录。当 admin-https-redirect 被禁用时,header max-age 将为 0。 |
|
启用/禁用管理员登录方法。如果启用了 PKI,则启用此选项以强制管理员提供有效的证书才能登录。禁用此选项允许管理员使用证书或密码登录。 选项
|
|
启用/禁用将 HTTP 管理访问重定向到 HTTPS。 选项
|
|
选择在 GUI HTTPS 协商中不能使用的 一个或多个 密码技术。仅适用于 TLS 1.2 及以下版本。 选项
|
|
选择要启用的一种或多种 TLS 1.3 密码套件。不影响 TLS 1.2 及以下版本的密码。必须启用至少一个。要禁用所有密码套件,请从 admin-https-ssl-versions 中移除 TLS1.3。 选项
|
|
允许用于 Web 管理的 TLS 版本。 选项
|
|
管理员帐户在达到 admin-lockout-threshold 的重复登录失败尝试次数后被锁定的时间(以秒为单位)。 |
|
在管理员帐户因 admin-lockout-duration 而被锁定之前,登录失败的尝试次数。 |
|
可以同时登录的管理员最大人数 (1-100)。 |
|
启用/禁用维护管理员登录。启用后,硬重启后可以使用维护者帐户从控制台登录。密码为“bcpb”,后跟 FortiGate 设备序列号。您有有限的时间完成此登录。 选项
|
|
HTTP 的管理访问端口 (1-65535)。 |
|
远程身份验证器正在运行时,启用/禁用本地管理员身份验证限制。 选项
|
|
启用/禁用SCP支持,用于系统配置备份、恢复和固件文件上传。 选项
|
|
FortiGate用于HTTPS管理连接的服务器证书。来源证书.local.name。 |
|
HTTPS的管理访问端口。(1 - 65535)。 |
|
建立SSH连接到FortiGate单元和身份验证之间允许的最大时间(秒)(10 - 3600秒(1小时))。 |
|
启用/禁用SSH管理员访问的密码认证。 选项
|
|
SSH的管理访问端口。(1 - 65535)。 |
|
启用/禁用SSH v1兼容性。 选项
|
|
启用/禁用TELNET服务。 选项
|
|
TELNET的管理访问端口。(1 - 65535)。 |
|
空闲管理员会话超时之前的分钟数(1 - 480分钟(8小时))。较短的空闲超时更安全。 |
|
您的FortiGate单元的别名。 |
|
禁用此选项可防止在未进行策略检查的情况下转发本地入口和出口接口相同的流量。 选项
|
|
检查数据包重放和TCP序列检查的级别。 选项
|
|
可以添加到ARP表中的动态学习MAC地址的最大数量 (131072 - 2147483647)。 |
|
启用/禁用非对称路由。 选项
|
|
FortiGate用于HTTPS防火墙身份验证连接的服务器证书。来源证书.local.name。 |
|
用户身份验证HTTP端口。(1 - 65535)。 |
|
用户身份验证HTTPS端口。(1 - 65535)。 |
|
用户IKE SAML身份验证端口 (0 - 65535)。 |
|
启用此选项可防止用户身份验证会话在空闲时超时。 选项
|
|
启用/禁用身份验证会话的自动和定期备份。会话在启动时恢复。 选项
|
|
配置自动身份验证会话备份间隔(分钟)。 选项
|
|
达到允许的用户身份验证会话数时要采取的操作。 选项
|
|
启用/禁用专用Fortinet扩展设备的自动授权。 选项
|
|
启用/禁用在非正常关机后自动检查日志分区。 选项
|
|
AV扫描的亲和性设置(十六进制值,最多256位,格式为xxxxxxxxxxxxxxx)。 |
|
设置FortiGate内存不足或代理连接限制已达到时要采取的操作。 选项
|
|
启用此选项后,如果协议的代理在其会话表中空间不足,则该协议将进入故障转移模式并执行av-failopen指定的动作。 选项
|
|
启用/禁用批处理模式,允许您输入一系列CLI命令,这些命令将在加载后作为一组执行。 选项
|
|
BFD守护进程的亲和性设置(十六进制值,最多256位,格式为xxxxxxxxxxxxxxx)。 |
|
被阻止会话的持续时间(秒)(1 - 300秒(5分钟))。 |
|
桥接转发数据库 (FDB) 条目的最大数量。 |
|
可以在证书链中遍历的证书的最大数量。 |
|
恢复到上次保存的配置的超时时间。(10 - 4294967295 秒)。 |
|
CLI更改的配置文件保存模式。 选项
|
|
对协议报头执行的检查级别。严格检查更彻底,但可能会影响性能。在大多数情况下,宽松检查是可以的。 选项
|
|
配置ICMP错误消息验证。您可以应用严格的RST范围检查或禁用它。 选项
|
|
启用/禁用CLI审计日志。 选项
|
|
启用/禁用所有云通信。 选项
|
|
启用/禁用要求管理员拥有客户端证书才能使用HTTPS登录GUI。 选项
|
|
cmdbsvr的亲和性设置(十六进制值,最多256位,格式为xxxxxxxxxxxxxxx)。 |
|
启用/禁用全局PCI DSS合规性检查。 选项
|
|
运行计划的PCI DSS合规性检查的时间。 |
|
报告CPU使用率的阈值(总CPU的百分比)。 |
|
启用/禁用证书中的CA属性。某些CA服务器会拒绝具有CA属性的CSR。 选项
|
|
启用/禁用FortiGate单元的每日重启。使用restart-time选项设置重启时间。 选项
|
|
默认服务源端口范围。 |
|
启用TCP NPU会话延迟以保证3路握手的数据包顺序。 选项
|
|
在执行主动扫描之前被动扫描设备的秒数。(20 - 3600秒,(20秒到1小时))。 |
|
设备必须空闲的时间(秒),才能自动注销设备用户。(30 - 31536000秒(30秒到1年))。 |
|
在HTTPS/SSH协议的Diffie-Hellman交换中使用的位数。 选项
|
|
DHCP租约备份间隔(秒)(10 - 3600)。 |
|
DNS代理工作进程数。对于具有多个逻辑CPU的FortiGate,您可以将DNS进程数设置为从1到逻辑CPU数量的任何值。 |
|
启用/禁用夏令时。 选项
|
|
启用/禁用早期TCP NPU会话。 选项
|
|
启用/禁用编辑新的VDOM提示。 选项
|
|
启用/禁用对不符合要求的终端访问FortiGuard网络。 选项
|
|
终端控制门户端口 (1 - 65535)。 |
|
为受管LAN扩展FortiExtender单元配置保留的网络子网。当FortiExtender守护程序运行时可用。 |
|
服务器丢失的失效时间。 |
|
最大磁盘缓冲区大小,用于临时存储要发送到FortiAnalyzer的日志。用于FortiAnalyzer不可用的情况。 |
|
启用/禁用将IPS、应用控制和防病毒数据发送到FortiGuard。这些数据用于改进FortiGuard服务,不会与外部方共享,并受Fortinet隐私政策的保护。 选项
|
|
FortiGuard统计信息收集周期(分钟)。(1 - 1440分钟(1分钟到24小时))。 |
|
用于前向纠错的本地UDP端口 (49152 - 65535)。 |
|
要从FortiGuard检索的警报类型。 选项
|
|
启用/禁用forticarrier-bypass。 选项
|
|
启用/禁用将配置上传到FortiConverter。 选项
|
|
启用/禁用FortiConverter集成服务。 选项
|
|
启用/禁用FortiExtender。 选项
|
|
FortiExtender数据端口 (1024 - 49150)。 |
|
启用/禁用FortiExtender CAPWAP锁定。 选项
|
|
启用/禁用在授权后自动配置最新的FortiExtender固件。 选项
|
|
启用/禁用FortiExtender VLAN模式。 选项
|
|
启用/禁用与FortiGSLB云服务的集成。 选项
|
|
启用/禁用与FortiIPAM云服务的集成。 选项
|
|
FortiService端口 (1 - 65535)。由FortiClient端点合规性使用。旧版本的FortiClient使用不同的端口。 |
|
启用/禁用FortiToken云服务。 选项
|
|
启用/禁用FortiToken Cloud的FTM推送服务。 选项
|
|
清理FortiToken Cloud中远程用户的间隔 (0 - 336小时(14天))。 |
|
启用/禁用GUI设置向导上的出厂默认主机名警告。 选项
|
|
启用/禁用允许在GUI上将具有不兼容固件的FGT视为安全结构中的兼容设备。可能会导致意外错误。 选项
|
|
启用/禁用允许基于应用程序检测的SD-WAN。 选项
|
|
启用/禁用GUI上的自动修补程序升级设置提示。 选项
|
|
CDN服务器的域名。 |
|
启用/禁用从CDN加载GUI静态文件。 选项
|
|
启用/禁用“系统>证书”GUI页面,允许您从GUI添加和配置证书。 选项
|
|
启用/禁用GUI中的自定义语言。 选项
|
|
GUI中使用的默认日期格式。 选项
|
|
FortiGate GUI用于显示日期和时间条目的来源。 选项
|
|
添加此FortiGate位置的纬度,以将其定位在威胁地图上。 |
|
添加此FortiGate位置的经度,以将其定位在威胁地图上。 |
|
启用/禁用在GUI登录页面上显示FortiGate的主机名。 选项
|
|
启用/禁用GUI上的固件升级警告。 选项
|
|
启用/禁用GUI上的FortiCare注册设置警告。 选项
|
|
启用/禁用在GUI上显示FortiGate云沙箱。 选项
|
|
启用/禁用从FortiGuard检索静态GUI资源。禁用它将提高隔离环境中GUI的加载时间。 选项
|
|
启用/禁用在GUI上显示FortiSandbox云。 选项
|
|
启用/禁用GUI上的IPv6设置。 选项
|
|
为Web管理显示每页的行数。 |
|
启用/禁用GUI上的本地出站流量。 选项
|
|
启用/禁用GUI上的替换消息组。 选项
|
|
启用/禁用FortiGate上的REST API结果缓存。 选项
|
|
管理GUI的配色方案。 选项
|
|
启用/禁用GUI上的无线开放安全选项。 选项
|
|
启用/禁用GUI上的工作流管理功能。 选项
|
|
HA守护进程的亲和性设置(十六进制值,最多256位,格式为xxxxxxxxxxxxxxx)。 |
|
启用/禁用遵守“禁止分片”(DF)标志。 选项
|
|
FortiGate 设备的主机名。大多数型号会截断超过 24 个字符的名称。某些型号支持最多 35 个字符的主机名。 |
|
将要处理的并发 HTTP 请求的最大数量。此数字可能会影响 GUI 和 REST API 的性能 (0 - 128)。 |
|
IGMP 成员资格的最大数量 (96 - 64000)。 |
|
启用/禁用允许在防火墙地址中使用接口子网设置。 选项
|
|
配置要从 FortiGuard 下载并使用的互联网服务数据库大小。 选项
|
|
配置要下载的按需互联网服务 ID。 |
|
互联网服务 ID。请参见 <a href=’#notes’>注释</a>。来源 firewall.internet-service.id。 |
|
死网关检测间隔。 |
|
启用/禁用 IPv4 地址冲突检测的日志记录。 选项
|
|
用于重新组装 IPv4/IPv6 碎片的最大内存 (MB)。 |
|
任何未重新组装的碎片的超时值(秒)。 |
|
FortiGate 设备发起的流量使用的 IP 源端口范围。 |
|
IPS 的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx;允许的 CPU 必须小于 IPS 引擎守护程序的总数)。 |
|
启用/禁用 IPsec VPN 流量的 ASIC 卸载(硬件加速)。硬件加速可以卸载 IPsec VPN 会话并加速加密和解密。 选项
|
|
ESP 跳跃提前速率(相当于 1G - 10G pps)。 |
|
启用/禁用 IPsec VPN 的 HMAC 处理卸载(硬件加速)。 选项
|
|
启用/禁用 IPsec VPN 流量的 QAT 卸载(英特尔 QuickAssist)。QuickAssist 可以加速 IPsec 加密和解密。 选项
|
|
启用/禁用 IPsec VPN 流量的循环分发到多个 CPU。 选项
|
|
启用/禁用 IPsec VPN 流量的软件解密异步化(使用多个 CPU 进行解密)。 选项
|
|
启用/禁用对 IPv6 重复地址检测 (DAD) 的接受。 |
|
启用/禁用通过 Anycast 进行 IPv6 地址探测。 选项
|
|
启用/禁用 IPv6 本地入站流量的静默丢弃。 选项
|
|
启用/禁用 IPv6 本地入站流量的静默丢弃。 选项
|
|
启用/禁用通过组播进行 IPv6 地址探测。 选项
|
|
禁用此选项可防止具有相同本地入口和出口接口的 IPv6 流量在没有策略检查的情况下被转发。 选项
|
|
任何未重新组装的 IPv6 碎片的超时值(秒)。 |
|
配置 CPU IRQ 时间会计模式。 选项
|
|
GUI 显示语言。 选项
|
|
与远程 LDAP 服务器连接的全局超时(毫秒)(1 - 300000)。 |
|
启用/禁用链路层发现协议 (LLDP) 接收。 选项
|
|
启用/禁用链路层发现协议 (LLDP) 传输。 选项
|
|
启用/禁用记录单个 CPU 内核达到 CPU 使用率阈值的事件。 选项
|
|
启用/禁用 SSL 连接事件的日志记录。 选项
|
|
是否将 UUID 添加到流量日志。您可以禁用 UUID、将防火墙策略 UUID 添加到流量日志,或将所有 UUID 添加到流量日志。 选项
|
|
启用/禁用将地址 UUID 插入到流量日志。 选项
|
|
启用/禁用将策略 UUID 插入到流量日志。 选项
|
|
启用/禁用登录时间记录。 选项
|
|
启用/禁用长 VDOM 名称支持。 选项
|
|
此 FortiGate 的管理 IP 地址。用于从安全结构中的另一个 FortiGate 登录此 FortiGate。 |
|
管理连接的覆盖端口(覆盖管理员端口)。 |
|
启用/禁用对管理端口使用 admin-sport 设置。如果禁用,FortiGate 将允许用户指定 management-port。 选项
|
|
管理虚拟域名称。来源 system.vdom.name。 |
|
最大 DLP 状态内存 (0 - 4294967295)。 |
|
IP 路由缓存条目的最大数量 (0 - 2147483647)。 |
|
启用/禁用不修改组播 TTL。 选项
|
|
内存使用量被认为是极端值(新会话将被丢弃)的阈值(总 RAM 的百分比)。 |
|
内存使用量迫使 FortiGate 退出节约模式的阈值(总 RAM 的百分比)。 |
|
内存使用量迫使 FortiGate 进入节约模式的阈值(总 RAM 的百分比)。 |
|
日志记录的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx)。 |
|
允许运行的日志记录 (miglogd) 进程的数量。数量越多,性能可能越低;数量越少,日志处理速度可能越慢。 |
|
强制所有登录方法都需要额外的身份验证因子。 选项
|
|
启用/禁用组播转发。 选项
|
|
NDP 表条目的最大数量(设置为 65,536 或更高;如果设置为 0,则内核将保存 65,536 个条目)。 |
|
启用/禁用发送 ARP/ICMP6 探测数据包以更新已卸载会话的邻居。 选项
|
|
启用/禁用每个用户的阻止/允许列表过滤器。 选项
|
|
启用/禁用每个用户的黑/白名单过滤器。 选项
|
|
启用/禁用路径 MTU 发现。 选项
|
|
来自同一用户的并发防火墙使用登录的数量 (1 - 100)。 |
|
启用/禁用在管理员成功登录后显示管理员访问免责声明消息。 选项
|
|
启用/禁用在登录页面上显示管理员访问免责声明消息,然后管理员登录。 选项
|
|
启用/禁用使用 AES 128 位密钥或密码进行私有数据加密。 选项
|
|
启用/禁用经过身份验证的用户生命周期控制。这是对代理用户可以经过身份验证的总时间的限制,之后将进行重新身份验证。 选项
|
|
经过身份验证的用户生命周期超时(分钟)(5 - 65535 分钟)。 |
|
经过身份验证的用户身份验证超时(分钟)(1 - 300 分钟)。 |
|
启用/禁用使用管理 VDOM 发送请求。 选项
|
|
启用/禁用使用内容处理器 (CP8 或 CP9) 硬件加速来加密和解密 IPsec 和 SSL 流量。 选项
|
|
启用/禁用电子邮件代理硬件加速。 选项
|
|
控制用户是否必须在会话关闭、流量处于空闲状态或从用户进行身份验证的点重新进行身份验证。 选项
|
|
启用/禁用使用内容处理器来加速 KXP 流量。 选项
|
|
控制用户是否必须在会话关闭、流量处于空闲状态或从用户首次创建的点重新进行身份验证。 选项
|
|
如果 proxy-keep-alive-mode 设置为重新身份验证,则用户必须重新身份验证的时间限制 (1 - 86400 秒,默认值为 30 秒)。 |
|
启用/禁用使用 FortiGate 设备的代理处理资源(例如阻止列表、允许列表和外部资源)上的最大内存使用量。 选项
|
|
代理工作进程数量。 |
|
此 FortiGate 的 Purdue 等级。 选项
|
|
在发送 ACK 之前的未确认数据包的最大数量 (2 - 5)。 |
|
QUIC 拥塞控制算法。 选项
|
|
最大传输数据报大小 (1200 - 1500)。 |
|
启用/禁用路径 MTU 发现。 选项
|
|
TLS 握手的时间生存期 (TTL)(秒)(1 - 60)。 |
|
启用/禁用每个连接 ID 的 UDP 负载大小整形。 选项
|
|
RADIUS 服务端口号。 |
|
启用/禁用在恢复配置后重新启动系统。 选项
|
|
GUI 中的统计信息刷新间隔(秒)。 |
|
FortiGate 等待来自远程 RADIUS、LDAP 或 TACACS+ 身份验证服务器的响应的秒数。(1-300 秒)。 |
|
如果 FortiGate 接收 TCP 数据包但无法在其会话表中找到相应的会话,则执行的操作。仅限 NAT/路由模式。 选项
|
|
每日重启时间 (hh:mm)。 |
|
启用/禁用在管理员注销 CLI 或 GUI 时备份最新的配置修订版。 选项
|
|
启用/禁用在固件升级后备份最新的镜像修订版。 选项
|
|
扫描单元的数量。范围和默认值取决于 CPU 的数量。仅适用于具有多个 CPU 的 FortiGate 设备。 |
|
SCIM http 端口 (0 - 65535)。 |
|
SCIM 端口 (0 - 65535)。 |
|
FortiGate 用于 SCIM 连接的服务器证书。来源 certificate.local.name。 |
|
启用/禁用将安全评级结果提交到 FortiGuard。 选项
|
|
启用/禁用安全评级的计划运行。 选项
|
|
启用/禁用发送路径最大传输单元 (PMTU) - ICMP 目的地不可达数据包,并支持网络上的 PMTUD 协议以减少数据包的碎片。 选项
|
|
允许运行的 sflowd 子进程的最大数量。 |
|
启用/禁用更改源 NAT 路由的能力。 选项
|
|
启用/禁用在使用数据丢失防护时检测这些特殊格式的文件。 选项
|
|
启用/禁用速度测试服务器。 选项
|
|
速度测试服务器控制器端口号。 |
|
速度测试服务器端口号。 |
|
将端口(s) 分割到多个 10Gbps 端口。 |
|
配置端口的分割端口模式。 |
|
分割端口接口。 |
|
分割端口接口的配置模式。 选项
|
|
在一个月内运行 ssd trim 的日期。 |
|
运行 SSD Trim 的频率。SSD Trim 通过查找和隔离错误来防止 SSD 驱动器数据丢失。 选项
|
|
一天中运行 SSD Trim 的小时数 (0 - 23)。 |
|
一天中运行 SSD Trim 的分钟数 (0 - 59,60 表示随机)。 |
|
运行 SSD Trim 的星期几。 选项
|
|
启用/禁用用于 SSH 访问的 CBC 密码。 选项
|
|
选择一个或多个 SSH 密码。 选项
|
|
启用/禁用用于 SSH 访问的 HMAC-MD5。 选项
|
|
配置 SSH 主机密钥。 |
|
选择一个或多个 SSH 主机密钥算法。 选项
|
|
启用/禁用 SSH 守护进程中的 SSH 主机密钥覆盖。 选项
|
|
ssh-hostkey 密码。 |
|
选择一个或多个 SSH 密钥交换算法。 选项
|
|
启用/禁用用于 SSH 访问的 SHA1 密钥交换。 选项
|
|
选择一个或多个 SSH MAC 算法。 选项
|
|
启用/禁用用于 SSH 访问的 HMAC-SHA1 和 UMAC-64-ETM。 选项
|
|
SSL/TLS 连接支持的最低协议版本。 选项
|
|
启用/禁用 SSL/TLS 连接中的静态密钥密码(例如 AES128-SHA、AES256-SHA、AES128-SHA256、AES256-SHA256)。 选项
|
|
sslvpn-cipher-hardware-acceleration 选项
|
|
启用/禁用 SSL-VPN 连接中 EMS 序列号的验证。 选项
|
|
sslvpn-kxp-hardware-acceleration 选项
|
|
SSL-VPN 进程的最大数量。此值的上限是 CPU 数量,并取决于型号。值为零表示 SSLVPN 守护程序决定工作进程的数量。 |
|
sslvpn-plugin-version-check 选项
|
|
启用/禁用 SSL-VPN 网页模式。 选项
|
|
启用此选项可在重新验证时根据原始策略检查会话。这可以防止在启用 Web 过滤和身份验证时丢弃重定向的会话。如果启用此选项,则当路由或策略更改导致会话不再与最初允许该会话的策略匹配时,FortiGate 设备会删除该会话。 选项
|
|
启用此选项可使用强加密,并仅允许 HTTPS/SSH/TLS/SSL 功能使用强密码和摘要。 选项
|
|
启用/禁用交换机控制器功能。交换机控制器允许您从 FortiGate 本身管理 FortiSwitch。 选项
|
|
配置受管交换机的保留网络子网。启用交换机控制器后可用。 |
|
性能统计日志更新的时间间隔(分钟)。(1-15 分钟)。 |
|
syslog 的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx)。 |
|
一个对等方发送 FIN 数据包但另一个对等方未响应后,FortiGate 设备应等待关闭会话的秒数 (1-86400 秒(1 天))。 |
|
一个对等方发送打开会话数据包但另一个对等方未响应后,FortiGate 设备应等待关闭会话的秒数 (1-86400 秒(1 天))。 |
|
启用 SACK、时间戳和 MSS TCP 选项。 选项
|
|
TCP CLOSE 状态的持续时间(秒)(5-300 秒)。 |
|
TCP TIME-WAIT 状态的持续时间(秒)(1-300 秒)。 |
|
启用/禁用 TFTP。 选项
|
|
时区数据库名称。输入 ? 以查看时区列表。来源 system.timezone.name。 |
|
启用/禁用跳过策略检查并允许多播通过。 选项
|
|
选择流量整形中流量优先级的服务类型 (ToS) 或区分服务代码点 (DSCP)。 选项
|
|
流量优先级的默认系统范围级别。 选项
|
|
基于电子邮件的两因素身份验证会话超时 (30-300 秒(5 分钟))。 |
|
FortiAuthenticator 令牌身份验证会话超时 (10-3600 秒(1 小时))。 |
|
FortiToken 身份验证会话超时 (60-600 秒(10 分钟))。 |
|
FortiToken Mobile 会话超时 (1-168 小时(7 天))。 |
|
基于短信的两因素身份验证会话超时 (30-300 秒)。 |
|
UDP 连接会话超时。此命令可用于管理 CPU 和内存资源 (1-86400 秒(1 天))。 |
|
URL 过滤器的 CPU 亲和性。 |
|
URL 过滤守护程序数量。 |
|
用户设备存储中允许的最大设备数量。 |
|
用户设备存储中允许的最大统一内存。 |
|
用户设备存储中允许的最大用户数量。 |
|
每个管理员/用户保存的上一个密码的最大数量 (3-15)。 |
|
用于 https 用户身份验证的证书。来源 certificate.local.name。 |
|
vdom-admin 选项
|
|
启用/禁用对多个虚拟域 (VDOM) 的支持。 选项
|
|
控制 FortiGate 为虚拟 IP (VIP) 地址范围发送的 ARP 数量。 选项
|
|
要创建的虚拟服务器进程的最大数量。最大值是 CPU 内核的数量。单核 CPU 上不可用。 |
|
启用/禁用虚拟服务器硬件加速。 选项
|
|
启用/禁用虚拟交换机 VLAN。 选项
|
|
启用/禁用 SSL-VPN 连接中 EMS 序列号的验证。 选项
|
|
wad 的亲和性设置(十六进制值,最多 256 位,格式为 xxxxxxxxxxxxxxxx)。 |
|
并发 WAD-缓存服务对象缓存进程的数量。 |
|
并发 WAD-缓存服务字节缓存进程的数量。 |
|
wad 守护程序检测到系统内存使用情况发生更改的最小百分比,然后才能调整任何活动连接的 TCP 窗口大小。 |
|
WAD 工作进程每日重启结束时间 (hh:mm)。 |
|
WAD 工作进程重启模式。 选项
|
|
WAD 工作进程每日重启时间 (hh:mm)。 |
|
启用/禁用根据源亲和性将流量调度到 WAD 工作进程。 选项
|
|
显式代理 WAN 优化守护程序 (WAD) 进程的数量。默认情况下,WAN 优化、显式代理和 Web 缓存由 FortiGate 设备中的所有 CPU 内核处理。 |
|
验证 WiFi 证书的 CA 证书。来源 certificate.ca.name。 |
|
用于 WiFi 身份验证的证书。来源 certificate.local.name。 |
|
启用/禁用与 WiMAX 4G USB 设备的兼容性。 选项
|
|
启用/禁用无线控制器功能,以使用 FortiGate 设备管理 FortiAP。 选项
|
|
在无线控制器模式下使用的控制通道端口 (无线模式为 ac)。数据通道端口是控制通道端口号加一 (1024-49150)。 |
|
虚拟域,在之前定义的虚拟域中。vdom 是 FortiGate 的虚拟实例,可以将其配置和用作不同的设备。 默认值: |
备注
注意
旧版 fortiosapi 已弃用,httpapi 是运行 playbook 的首选方法。
示例
- name: Configure global attributes.
fortinet.fortios.fortios_system_global:
vdom: "{{ vdom }}"
system_global:
admin_concurrent: "enable"
admin_console_timeout: "0"
admin_forticloud_sso_default_profile: "<your_own_value> (source system.accprofile.name)"
admin_forticloud_sso_login: "enable"
admin_host: "myhostname"
admin_hsts_max_age: "63072000"
admin_https_pki_required: "enable"
admin_https_redirect: "enable"
admin_https_ssl_banned_ciphers: "RSA"
admin_https_ssl_ciphersuites: "TLS-AES-128-GCM-SHA256"
admin_https_ssl_versions: "tlsv1-1"
admin_lockout_duration: "60"
admin_lockout_threshold: "3"
admin_login_max: "100"
admin_maintainer: "enable"
admin_port: "80"
admin_restrict_local: "all"
admin_scp: "enable"
admin_server_cert: "<your_own_value> (source certificate.local.name)"
admin_sport: "443"
admin_ssh_grace_time: "120"
admin_ssh_password: "enable"
admin_ssh_port: "22"
admin_ssh_v1: "enable"
admin_telnet: "enable"
admin_telnet_port: "23"
admintimeout: "5"
alias: "<your_own_value>"
allow_traffic_redirect: "enable"
anti_replay: "disable"
arp_max_entry: "131072"
asymroute: "enable"
auth_cert: "<your_own_value> (source certificate.local.name)"
auth_http_port: "1000"
auth_https_port: "1003"
auth_ike_saml_port: "1001"
auth_keepalive: "enable"
auth_session_auto_backup: "enable"
auth_session_auto_backup_interval: "1min"
auth_session_limit: "block-new"
auto_auth_extension_device: "enable"
autorun_log_fsck: "enable"
av_affinity: "<your_own_value>"
av_failopen: "pass"
av_failopen_session: "enable"
batch_cmdb: "enable"
bfd_affinity: "<your_own_value>"
block_session_timer: "30"
br_fdb_max_entry: "8192"
cert_chain_max: "8"
cfg_revert_timeout: "600"
cfg_save: "automatic"
check_protocol_header: "loose"
check_reset_range: "strict"
cli_audit_log: "enable"
cloud_communication: "enable"
clt_cert_req: "enable"
cmdbsvr_affinity: "<your_own_value>"
compliance_check: "enable"
compliance_check_time: "<your_own_value>"
cpu_use_threshold: "90"
csr_ca_attribute: "enable"
daily_restart: "enable"
default_service_source_port: "<your_own_value>"
delay_tcp_npu_session: "enable"
device_identification_active_scan_delay: "1800"
device_idle_timeout: "300"
dh_params: "1024"
dhcp_lease_backup_interval: "60"
dnsproxy_worker_count: "1"
dst: "enable"
early_tcp_npu_session: "enable"
edit_vdom_prompt: "enable"
endpoint_control_fds_access: "enable"
endpoint_control_portal_port: "32767"
extender_controller_reserved_network: "<your_own_value>"
failtime: "5"
faz_disk_buffer_size: "0"
fds_statistics: "enable"
fds_statistics_period: "60"
fec_port: "50000"
fgd_alert_subscription: "advisory"
forticarrier_bypass: "enable"
forticonverter_config_upload: "once"
forticonverter_integration: "enable"
fortiextender: "disable"
fortiextender_data_port: "25246"
fortiextender_discovery_lockdown: "disable"
fortiextender_provision_on_authorization: "enable"
fortiextender_vlan_mode: "enable"
fortigslb_integration: "disable"
fortiipam_integration: "enable"
fortiservice_port: "8013"
fortitoken_cloud: "enable"
fortitoken_cloud_push_status: "enable"
fortitoken_cloud_sync_interval: "24"
gui_allow_default_hostname: "enable"
gui_allow_incompatible_fabric_fgt: "enable"
gui_app_detection_sdwan: "enable"
gui_auto_upgrade_setup_warning: "enable"
gui_cdn_domain_override: "<your_own_value>"
gui_cdn_usage: "enable"
gui_certificates: "enable"
gui_custom_language: "enable"
gui_date_format: "yyyy/MM/dd"
gui_date_time_source: "system"
gui_device_latitude: "<your_own_value>"
gui_device_longitude: "<your_own_value>"
gui_display_hostname: "enable"
gui_firmware_upgrade_warning: "enable"
gui_forticare_registration_setup_warning: "enable"
gui_fortigate_cloud_sandbox: "enable"
gui_fortiguard_resource_fetch: "enable"
gui_fortisandbox_cloud: "enable"
gui_ipv6: "enable"
gui_lines_per_page: "500"
gui_local_out: "enable"
gui_replacement_message_groups: "enable"
gui_rest_api_cache: "enable"
gui_theme: "jade"
gui_wireless_opensecurity: "enable"
gui_workflow_management: "enable"
ha_affinity: "<your_own_value>"
honor_df: "enable"
hostname: "myhostname"
httpd_max_worker_count: "0"
igmp_state_limit: "3200"
interface_subnet_usage: "disable"
internet_service_database: "mini"
internet_service_download_list:
-
id: "133 (source firewall.internet-service.id)"
interval: "5"
ip_conflict_detection: "enable"
ip_fragment_mem_thresholds: "32"
ip_fragment_timeout: "30"
ip_src_port_range: "<your_own_value>"
ips_affinity: "<your_own_value>"
ipsec_asic_offload: "enable"
ipsec_ha_seqjump_rate: "10"
ipsec_hmac_offload: "enable"
ipsec_qat_offload: "enable"
ipsec_round_robin: "enable"
ipsec_soft_dec_async: "enable"
ipv6_accept_dad: "1"
ipv6_allow_anycast_probe: "enable"
ipv6_allow_local_in_silent_drop: "enable"
ipv6_allow_local_in_slient_drop: "enable"
ipv6_allow_multicast_probe: "enable"
ipv6_allow_traffic_redirect: "enable"
ipv6_fragment_timeout: "60"
irq_time_accounting: "auto"
language: "english"
ldapconntimeout: "500"
lldp_reception: "enable"
lldp_transmission: "enable"
log_single_cpu_high: "enable"
log_ssl_connection: "enable"
log_uuid: "disable"
log_uuid_address: "enable"
log_uuid_policy: "enable"
login_timestamp: "enable"
long_vdom_name: "enable"
management_ip: "<your_own_value>"
management_port: "443"
management_port_use_admin_sport: "enable"
management_vdom: "<your_own_value> (source system.vdom.name)"
max_dlpstat_memory: "169"
max_route_cache_size: "0"
mc_ttl_notchange: "enable"
memory_use_threshold_extreme: "95"
memory_use_threshold_green: "82"
memory_use_threshold_red: "88"
miglog_affinity: "<your_own_value>"
miglogd_children: "0"
multi_factor_authentication: "optional"
multicast_forward: "enable"
ndp_max_entry: "0"
npu_neighbor_update: "enable"
per_user_bal: "enable"
per_user_bwl: "enable"
pmtu_discovery: "enable"
policy_auth_concurrent: "0"
post_login_banner: "disable"
pre_login_banner: "enable"
private_data_encryption: "disable"
proxy_auth_lifetime: "enable"
proxy_auth_lifetime_timeout: "480"
proxy_auth_timeout: "10"
proxy_cert_use_mgmt_vdom: "enable"
proxy_cipher_hardware_acceleration: "disable"
proxy_hardware_acceleration: "disable"
proxy_keep_alive_mode: "session"
proxy_kxp_hardware_acceleration: "disable"
proxy_re_authentication_mode: "session"
proxy_re_authentication_time: "30"
proxy_resource_mode: "enable"
proxy_worker_count: "0"
purdue_level: "1"
quic_ack_thresold: "3"
quic_congestion_control_algo: "cubic"
quic_max_datagram_size: "1500"
quic_pmtud: "enable"
quic_tls_handshake_timeout: "5"
quic_udp_payload_size_shaping_per_cid: "enable"
radius_port: "1812"
reboot_upon_config_restore: "enable"
refresh: "0"
remoteauthtimeout: "5"
reset_sessionless_tcp: "enable"
restart_time: "<your_own_value>"
revision_backup_on_logout: "enable"
revision_image_auto_backup: "enable"
scanunit_count: "0"
scim_http_port: "44558"
scim_https_port: "44559"
scim_server_cert: "<your_own_value> (source certificate.local.name)"
security_rating_result_submission: "enable"
security_rating_run_on_schedule: "enable"
send_pmtu_icmp: "enable"
sflowd_max_children_num: "6"
snat_route_change: "enable"
special_file_23_support: "disable"
speedtest_server: "enable"
speedtestd_ctrl_port: "5200"
speedtestd_server_port: "5201"
split_port: "<your_own_value>"
split_port_mode:
-
interface: "<your_own_value>"
split_mode: "disable"
ssd_trim_date: "1"
ssd_trim_freq: "never"
ssd_trim_hour: "1"
ssd_trim_min: "60"
ssd_trim_weekday: "sunday"
ssh_cbc_cipher: "enable"
ssh_enc_algo: "[email protected]"
ssh_hmac_md5: "enable"
ssh_hostkey: "myhostname"
ssh_hostkey_algo: "ssh-rsa"
ssh_hostkey_override: "disable"
ssh_hostkey_password: "myhostname"
ssh_kex_algo: "diffie-hellman-group1-sha1"
ssh_kex_sha1: "enable"
ssh_mac_algo: "hmac-md5"
ssh_mac_weak: "enable"
ssl_min_proto_version: "SSLv3"
ssl_static_key_ciphers: "enable"
sslvpn_cipher_hardware_acceleration: "enable"
sslvpn_ems_sn_check: "enable"
sslvpn_kxp_hardware_acceleration: "enable"
sslvpn_max_worker_count: "0"
sslvpn_plugin_version_check: "enable"
sslvpn_web_mode: "enable"
strict_dirty_session_check: "enable"
strong_crypto: "enable"
switch_controller: "disable"
switch_controller_reserved_network: "<your_own_value>"
sys_perf_log_interval: "5"
syslog_affinity: "<your_own_value>"
tcp_halfclose_timer: "120"
tcp_halfopen_timer: "10"
tcp_option: "enable"
tcp_rst_timer: "5"
tcp_timewait_timer: "1"
tftp: "enable"
timezone: "<your_own_value> (source system.timezone.name)"
tp_mc_skip_policy: "enable"
traffic_priority: "tos"
traffic_priority_level: "low"
two_factor_email_expiry: "60"
two_factor_fac_expiry: "60"
two_factor_ftk_expiry: "60"
two_factor_ftm_expiry: "72"
two_factor_sms_expiry: "60"
udp_idle_timer: "180"
url_filter_affinity: "<your_own_value>"
url_filter_count: "1"
user_device_store_max_devices: "20920"
user_device_store_max_unified_mem: "104604672"
user_device_store_max_users: "20920"
user_history_password_threshold: "3"
user_server_cert: "<your_own_value> (source certificate.local.name)"
vdom_admin: "enable"
vdom_mode: "no-vdom"
vip_arp_range: "unlimited"
virtual_server_count: "20"
virtual_server_hardware_acceleration: "disable"
virtual_switch_vlan: "enable"
vpn_ems_sn_check: "enable"
wad_affinity: "<your_own_value>"
wad_csvc_cs_count: "1"
wad_csvc_db_count: "0"
wad_memory_change_granularity: "10"
wad_restart_end_time: "<your_own_value>"
wad_restart_mode: "none"
wad_restart_start_time: "<your_own_value>"
wad_source_affinity: "disable"
wad_worker_count: "0"
wifi_ca_certificate: "<your_own_value> (source certificate.ca.name)"
wifi_certificate: "<your_own_value> (source certificate.local.name)"
wimax_4g_usb: "enable"
wireless_controller: "enable"
wireless_controller_port: "5246"
返回值
常见的返回值已在 此处 记录,以下是此模块特有的字段
键 |
描述 |
|---|---|
FortiGate 镜像的版本号 返回值: 始终 示例: |
|
上次用于将内容置备到 FortiGate 的方法 返回值: 始终 示例: |
|
FortiGate 在上次应用的操作中给出的最后结果 返回值: 始终 示例: |
|
上次调用 FortiGate 时使用的主密钥 (id) 返回值: 成功 示例: |
|
用于完成请求的表的名称 返回值: 始终 示例: |
|
用于完成请求的表的路径 返回值: 始终 示例: |
|
内部修订号 返回值: 始终 示例: |
|
设备的序列号 返回值: 始终 示例: |
|
操作结果的指示 返回值: 始终 示例: |
|
使用的虚拟域 返回值: 始终 示例: |
|
FortiGate 的版本 返回值: 始终 示例: |