Sorun Giderme Önerisi: FortiGuard Antivirüs, Saldırı Engelleme, Web Filtreleme, Spam Filtreleme Ürünlerinin Sorunlarını Teşhis Etme

Ürünler
FortiGate

Açıklama
Bu belge Antivirüs, Saldırı Engelleme, Web  Filtreleme ve Spam Filtrelemenin güncelleme problemlerini gidermeye yardımcı olacaktır.
 

Çözüm
Bu akış diyagramı güncelleme sorunlarını giderme adımlarını gösteriyor.


Sorun giderme adımları
1.    Geçerli bir mevcut anlaşmanın FortiGate’e karşı kaydedildiğinden emin olun. Alımdan sonra kayıt kodu/anlaşma numarası  support.fortinet.com adresinden kaydedilebilir.
2.    Aktive olduktan sonra FortiGuard ağı anlaşma bilgisini tüm sunuculara bildirecektir. 24-48 saat sürebilir. Eğer anlaşma evvelki gün aktive edildiyse işlem yapmak için 24 saat bekleyin.
3.    Eğer sunucuların doğru anlaşma bilgisine sahip olduğunu biliyorsak ve FortiGate bunları almıyorsa uygulanacak ilk test:

   # exec ping <internet pingable IP>

<internet pingable IP> ping’e cevap verecek herhangi bir bilinen IP olabilir.

Eğer ping’de hata olursa, FortiGate internete çıkamaz. FortiGate’in internete bağlı olmaması haricinde en sık karşılaşılan problem, FortiGate’in lokal olarak tüm üretilen trafiği (güncelleme taleplerini ve pingleri düşünün) bir VPN tüneline göndermesidir. Aşağıdaki komutlar sorun gidermenize yardımcı olur:

   # diag debug enable
   # diag debug flow show console en
   # diag debug flow show function en
   # diag debug flow filter addr <internet pingable IP>
   # diag debug flow filter protocol 1
   # diag debug flow trace start 20
   # exec ping <internet pingable IP>

Çıktı, paketin kullandığı yolu ve VPN tünellerini gösterecektir. Eğer trafik VPN tünelinden geçiyorsa VPN tüneli için firewall kuralını düzenleyin ve kaynak ve hedef alt ağıyla eşleşmek için kaynak ve hedef adreslerini değiştirin.

Test bir kere tamamlandıktan sonra debug çıktıları şu komutlar kullanılarak devre dışı kalmalıdır:

   # diag debug flow trace stop
   # diag debug reset
   # diag debug disable
4.    Bu FortiGate’in internete IP ile çıktığını kanıtlar. Bir sonraki adım FortiGate eğer DNS adlarını çözebilirse onaylamaktır:# exec ping fortinet.com

Herhangi bir DNS adı kullanılabilir. Önemli olan cevapların alınması değil (bazı siteler pingleri bloke edebilir) fakat FortiGate’in DNS adını çözüp çözemediğidir. Eğer çözemiyorsa DNS ayarlarını System > Network > Options’dan kontrol etmek gerekir:

 

5.    [sadece AV/IPS güncellemeleri] AV ve IPS güncellemeleri için FortiGate port 443’ü kullanır (HTTPS gibi). Sistem zamanı doğru olmalıdır ki SSL katmanı da doğru çalışsın. Sistem zamanının doğru olarak ayarlandığını System > Status > "System Information" Widget > System Time’a giderek girin.  [Change]’i seçerek sistem zamanını düzenleyin veya NTP sunucusuna senkronize edin.


6.    [sadece Web Filtresi/Spam Filtresi] Web Filtresi ve Spam Filtresi port 53 ve 8888’den birini kullanır.  Eğer FortiGate bunlardan birini kullanarak FortiGuard sunucularına erişemiyorsa başka birtane denemeye değecektir. Portlar System > Maintenance > FortiGuard > Web Filtering ve Email Filtering Options > Port Selection’dan değiştirilebilir.


 
7.    Kaynak portu FortiGate’in FortiGuard sunucularına erişirken kullanacağı porttur. Sorun bazı ISP’lerin FortiGate tarafından kullanılan alt portları engellemesidir. Bu, aşağıdaki komutlar çalıştırılarak değiştirilebilir:

   # config system global
   # set ip-src-port-range 1050-25000
   # end

Tamamlandıktan sonra aşağıdaki komut hizmeti başlatmaya yetecektir:

   # diag test app url 99
8.    FortiGate varsayılan olarak güncellemeleri almak için "service.fortiguard.net"e bağlanacaktır. Bu ayar geçersizleştirilebilinir ve sunucu IP’si el ile girilebilir, fakat tavsiye edilmemektedir.  Aşağıdaki komutlar uygulanarak geçersizleştirmeler devre dışı bırakılabilir:

   # config system fortiguard
   # set srv-ovrd disable
   # end

9.    Eğer sorun halen çözülmediyse aşağıdaki komut kullanılabilir:

   # diag debug enable
   # diag debug application update 255
   # exec update-now

Paket düzeyindeki trafiği görmek için sniffer komutu da kullanılabilir:
AV/IPS için:

   # diag sniff packet any ’port 443’

Web filtresi/Spam filtresi için:

   # diag sniff packet any ’port 53 or port 8888’

"Verifying and troubleshooting AV & IPS updates status and versions" yazısı bu komutlara daha derinlemesine giriyor.

Eğer sorun halen çözülmediyse sorunu gidermeye yardım için Fortinet desteği ile bir etiket açın. Lütfen gerçekleştirilen debug komutlarının çıktılarını de ekleyin.