Kubernetes-Anschluss: FortiGate unterstützt jetzt Multus CNI für Kubernetes

FortiOS 7.6.4
Neue Funktionen oder Erweiterungen

Cloud

• Kubernetes-Konnektor: FortiGate unterstützt jetzt Multus CNI für Kubernetes und stellt sicher, dass alle IP-Adressen, einschließlich der zur Laufzeit dynamisch konfigurierten, korrekt abgerufen und zu dynamischen Firewall-Adressobjekten hinzugefügt werden.

LAN Edge

• Sturmkontrolle: Der FortiSwitch-Controller unterstützt jetzt die Konfiguration einer Sturmkontroll-Burst-Größenstufe für eine präzisere Kontrolle über die maximale Anzahl von Paketen oder Bytes.
• IP Source Guard-Protokollierung: Neue CLI-Befehle ermöglichen das Aktivieren und Konfigurieren der IP Source Guard-Ereignisprotokollierung auf dem Switch-Controller.
• Kombinierte Authentifizierung: FortiSwitch ermöglicht jetzt sowohl die FortiSwitch Network Access Control (NAC) als auch die 802.1X-Authentifizierung am selben Port.
• Layer-3-Switch-Konfiguration: Der FortiSwitch-Controller unterstützt jetzt eine allgemeine Layer-3-Switch-Konfiguration, einschließlich SVI, RVI, VRF, DHCP-Server und statische IPv4-Routen.
• Erhöhte Länge des Switch-Namens: Die maximale Länge für verwaltete FortiSwitch-Namen wurde zur besseren Organisation von 16 auf 35 Zeichen erhöht.

Protokoll & Bericht

• Protokollsuche nach Zone: Die neuen Felder srczone und dstzone ermöglichen die Suche nach Zonennamen, was die Skalierbarkeit und Effizienz verbessert.

Netzwerk

• Auto Speed Negotiation: 10G Base-T-Schnittstellen auf dem FGT100xF können jetzt automatisch sowohl 1G- als auch 10G-Geschwindigkeiten verarbeiten.
• NIC-Schnittstellendiagnose: Neue Diagnosen bieten einen besseren Einblick in die NIC-Schnittstellen durch die Anzeige von FEC-Status, RX/TX-Bits pro Sekunde, Paketen pro Sekunde und RX-Drop-Statistiken auf Host-Ebene.

Richtlinien und Objekte

• FQDN-Adressgruppen: Es wurde Unterstützung für FQDN-Adressgruppen (Fully Qualified Domain Name) innerhalb der Internet Service Database (ISDB) hinzugefügt.
• Richtlinien-Filterung: Richtlinienlisten unterstützen jetzt die Filterung nach Schlüsselmetriken wie Bytes, Pakete, Trefferzahl und letzter Benutzer.
• Telemetrie-Subtyp: Ein neuer Telemetrie-Subtyp für dynamische Firewall-Adressen und eine neue Telemetrie-Kategorie für Firewall-Adressgruppen wurden für eine besser strukturierte und skalierbare Verwaltung von Telemetrie-Agenten hinzugefügt.

SD-WAN

• Eindeutige Underlay-Pfade: Eine neue Funktion stellt sicher, dass alle SD-WAN-Verknüpfungen eindeutige Underlay-Pfade verwenden, um die gemeinsame Nutzung von Underlay-Pfaden zwischen Speichen zu verhindern.
• Pro-Tunnel Egress Shaping: Spokes können jetzt Egress-Shaping-Werte pro Tunnel definieren, die während der IKEv2-Verhandlung automatisch an Hubs oder andere Spokes übermittelt werden und so für konsistente QoS sorgen.
• Hybrider SD-WAN-Modus: Ein neuer Hybridmodus kombiniert SLA- und Prioritätsmodi, so dass SD-WAN die beste Verbindung auf der Grundlage von SLA-Werten und Verbindungsqualität auswählen kann.

Sicherheitsprofile

• DLP mit MPIP-Labels: MPIP-Labels können jetzt direkt mit DLP-Profilen verwendet werden, und Remote-Labels können automatisch über ein Microsoft Purview-Konto synchronisiert werden.
• FortiData-Integration: FortiGate kann jetzt Dateifingerabdrücke zur Analyse und Kennzeichnung an FortiData weiterleiten, wobei die Ergebnisse für die Verarbeitung von DLP-Richtlinien verwendet werden.
• GenAI-Anwendungskontrolle: Der Anwendungskontrolle wurde ein neuer AIAP-Datenbanktyp für generative AI-Regeln hinzugefügt, zusammen mit neuen Protokollierungsfeldern und einer neuen Kategorie "Generative AI".
• FortiSandbox Inline-Scanning: FortiSandbox Inline-Scanning wird jetzt im Flow-Modus unterstützt, was die Erkennung von Bedrohungen verbessert, ohne dass der Proxy-Modus erforderlich ist.

System

• HTTP-Authentifizierungs-Daemon: Ein neuer http_authd-Daemon zentralisiert administrative Authentifizierungsprozesse für eine verbesserte Effizienz.
• Aufforderungen zum Firmware-Upgrade: Benutzer können jetzt bestimmte Aufforderungen zum Firmware-Upgrade ablehnen, und die Upgrade-Protokolle sind detaillierter mit unterschiedlichen IDs für automatische und manuelle Upgrades.
• Automatisches Patching: FortiGate-Appliances, für die keine gültige Lizenz mehr besteht oder deren Support ausläuft, werden jetzt automatisch auf den neuesten Patch innerhalb ihrer Nebenversion aktualisiert, um die Sicherheit zu erhöhen.
• VWP A/P-Ausfallsicherung: Ein neuer CLI-Befehl, set bounce-intf-upon-failover enable, verbessert das manuelle Failover-Verhalten in VWP A/P FortiGate-Implementierungen mit Wildcard-VLANs.

Benutzer & Authentifizierung

• SAML-Authentifizierung: SCIM wird jetzt für die SAML-Authentifizierung in einer Proxy-Richtlinie unterstützt.
• FortiToken Mobile: Eine neue GUI-basierte Seite für die FTM-Push-Konfiguration ermöglicht es Benutzern, eine Schnittstelle auszuwählen, anstatt eine IP-Adresse manuell einzugeben, was für dynamische WAN-IP-Umgebungen nützlich ist.

WiFi-Controller

• Zero-Touch-Bereitstellung (ZTP): Mesh Leaf FAPs unterstützen jetzt ZTP und erkennen das FortiGate automatisch über den Standard-Mesh-Link, um die manuelle Konfiguration zu reduzieren.
• Umgehung des Captive Network Assistant (CNA): Eine konfigurierbare Option ermöglicht die Umgehung des Standard-CNA-Verhaltens auf WiFi-Clients, um die Authentifizierungszuverlässigkeit mit Captive Portals zu verbessern.
• Zero-Wait DFS: Die Zero-Wait DFS-Funktionalität, die bisher auf FAP-U-Plattformen beschränkt war, wurde auf QCA-basierte FAP F-, G- und K-Modelle erweitert.

ZTNA

• Gemeinsame Nutzung von Tags: Verwendete Tags aus ZTNA-Richtlinien können jetzt mit FortiClient EMS gemeinsam genutzt werden.
• Fehlercodes und Meldungen: Es wurden neue ZTNA-Fehlercodes (024 und 025) hinzugefügt, und die bestehenden Ersatzmeldungen für die Fehlercodes 064 und 065 wurden
  verbessert.