结合两份Fortinet MIB文件(FORTINET-CORE-MIB 、FORTINET-FORTIGATE-MIB ),下面按模块梳理可获取的监控、状态、统计、告警、配置类信息,同时区分通用基础信息与FortiGate专属信息。
一、整体说明
两份MIB基于SNMP标准,覆盖飞塔全系列通用基础信息 + FortiGate防火墙专项指标,包含设备硬件、系统、虚拟域、接口、安全策略、VPN、应用代理、日志、告警陷阱(Trap)等全维度监控数据,可用于运维监控、故障排查、性能分析、资产盘点。
二、FORTINET-CORE-MIB(飞塔通用核心MIB)
该MIB是Fortinet全产品线(FortiGate、FortiSwitch、FortiAP等)共用基础库,提供通用对象、数据类型、全局状态、基础Trap告警。
1. 基础通用信息
- 设备资产信息
fnSysSerial:设备序列号(唯一资产标识)。
- 管理配置
fnMgmtLanguage:设备管理界面语言;- 管理员账号表
fnAdminTable:管理员用户名、允许登录的IP/网段、地址掩码,可审计管理员接入范围。
- 自定义数据类型(全局通用枚举)
- 布尔状态:启用/禁用;
- 语言类型:中英日韩、西班牙语等;
- 会话协议:IP、ICMP、TCP、UDP、ESP、OSPF、GRE等主流协议编号。
2. 系统&硬件告警 Trap(核心告警能力)
设备异常时主动上送SNMP陷阱,覆盖硬件、资源、链路类故障:
| Trap名称 | 监控内容 |
|---|---|
| fnTrapCpuThreshold | CPU使用率超阈值 |
| fnTrapMemThreshold | 内存使用率超阈值(附带告警详情) |
| fnTrapLogDiskThreshold | 日志磁盘空间不足 |
| fnTrapTempHigh | 设备温度过高 |
| fnTrapVoltageOutOfRange | 电源电压异常 |
| fnTrapPowerSupply | 电源故障/电源恢复 |
| fnTrapFanFailure | 风扇故障 |
| fnTrapIfEnter/ExitBypassMode | 接口进入/退出旁路模式 |
| fnTrapAmcIfBypassMode | AMC扩展卡接口旁路 |
| fnTrapIpChange | 接口IP地址变更 |
| fnTrapSecurityLevelChange | BIOS安全级别变更 |
| fnTrapTest | 测试陷阱(调试用) |
3. 产品线OID规划
预定义飞塔全系列产品分支OID:FortiGate、FortiAnalyzer、FortiManager、FortiSwitch、FortiAP、FortiDNS等,用于区分不同设备类型。
三、FORTINET-FORTIGATE-MIB(FortiGate防火墙专属MIB)
针对FortiGate防火墙深度定制,是运维核心,分为系统、虚拟域、接口、安全、VPN、应用、硬件、管理员、统计、告警十大类。
(一)系统全局信息
1. 系统基础状态
- 固件版本
fgSysVersion、病毒库/IPS特征库版本; - 设备运行时长、上次重启原因;
- 系统整体CPU、内存使用率,数据面CPU/内存使用率;
- 物理内存、硬盘总容量/已用空间;
- 空闲内存、可回收内存占比,BIOS安全级别。
2. 会话与性能统计
- 整机活跃会话数、IPv4/IPv6会话数;
- 不同周期(1/10/30/60分钟)会话新建速率;
- NPU(网络处理器)会话统计、硬件加速会话指标。
3. 硬件传感器&部件
- 硬件传感器:温度、电压、各类传感器数值及告警状态;
- 机箱传感器:机箱硬件监控指标;
- 处理器信息:CPU/NPU型号、单CPU使用率、收/发/丢包统计;
- 处理器模块:模块内存、会话数、IPSec SA数量;
- 磁盘信息:磁盘列表、分区、文件系统挂载、磁盘故障状态;
- USB设备:USB口插拔状态、设备厂商/型号/序列号;
- DPDK引擎:各转发引擎负载、队列使用率。
4. 链路质量探测
- 链路监控(Link Monitor):状态、延迟、抖动、丢包、收发包数、带宽;
- 虚拟广域网链路(V-WAN)健康检测:链路状态、MOS语音质量、编解码、上下行带宽。
(二)虚拟域(VDOM)模块
FortiGate多虚拟域核心监控,大型组网必备:
- 全局配置:VDOM是否启用、当前VDOM数量、最大支持数量;
- 单VDOM信息:名称、运行模式(NAT/透明)、HA角色(主/备/独立);
- 按VDOM统计:CPU/内存使用率、活跃会话数、会话新建速率、校验和;
- 透明模式VDOM:管理IP、子网掩码。
(三)接口相关信息
1. 通用接口扩展
- 接口所属VDOM、预估/实测上下行带宽;
- VLAN接口:VLAN ID、接口名称、关联物理口。
2. 高可用&冗余协议
- VRRP:虚拟路由ID、状态(主/备)、虚拟IP;
- VLAN心跳:对端设备序列号、链路状态。
3. 带宽管控(流量整形/限速)
- 接口带宽分配、保证带宽、最大带宽、当前占用;
- 队列统计:转发包/字节、丢包数;
- 整形策略、配置文件、策略名称等配置信息。
4. 接口告警
fgIntfTrap:接口IP地址冲突告警。
(四)管理员与登录审计
- 全局管理配置:管理员空闲超时、LCD屏保护状态;
- 管理员账号:所属VDOM、基础账号信息(继承核心MIB);
- 在线管理员审计 :
- 登录用户名、登录方式、本地/远程地址;
- 所属VDOM、管理员权限、登录起始时间;
可实现登录行为监控、非法登录审计。
(五)防火墙安全模块
1. 防火墙策略
- 策略表统计:匹配包/字节数、最后使用时间(支持32位/64位计数器);
- 超大规模策略(Hyperscale-Policy)流量统计。
2. 用户认证
- 本地/远程用户列表、账号状态、认证方式(本地/RADIUS/LDAP);
- 已认证用户统计:IPv4/IPv6在线用户数、用户名、IP、认证类型;
3. IP地址池(IP Pool)
- 地址池名称、地址段、TCP/UDP会话数、空闲/在用IP数量;
- PBA(端口块)统计、客户端失败数、NPU用户数;
- IP Pool使用率告警(上限/恢复陷阱)。
4. GTP协议(移动网络隧道)
GTP隧道、路径、承载、IMSI、APN等统计,适用于运营商/移动专线场景。
5. 动态地址(EMS标签)
动态地址条目、关联标签、地址数量。
(六)安全防护(AV/IPS/网页过滤)
1. 防病毒(AV)
- 全协议病毒检测/拦截统计:HTTP、SMTP、POP3、FTP、SMB等;
- 超大文件、邮件病毒、文件威胁计数。
2. 入侵防御(IPS/IDS)
- 入侵检测/阻断总数;
- 按威胁级别统计:严重/高/中/低/信息级攻击;
- 特征库告警、异常攻击统计;
- IPS攻击陷阱:攻击源IP、特征ID、攻击描述。
3. 网页过滤&FortiGuard
- HTTP/HTTPS拦截、ActiveX、Cookie、小程序拦截统计;
- FortiGuard云查询:检测、放行、阻断、日志、覆盖次数。
(七)代理&应用层监控
覆盖各类应用代理、缓存、P2P、VoIP等应用层流量:
- 邮件/网页/IM/SIP/FTP代理:当前连接数、最大连接数、处理请求数、垃圾邮件统计;
- 显式代理:在线用户、会话数、文件查杀(病毒/违规词/压缩包异常);
- 网页缓存、WAN优化缓存:缓存命中/未命中、磁盘使用、故障计数;
- DNS代理:DNS请求、响应、缓存命中率、超时、错误码统计;
- P2P、VoIP、即时通讯:连接阻断、通话统计、文件传输拦截。
(八)VPN模块(IPsec/SSL VPN)
1. IPsec VPN
- 整体隧道在线数量;
- 拨号VPN:对端网关、网段、隧道生命周期、收发流量;
- 站点到站点VPN:一/二阶段名称、两端IP、协议、隧道状态(UP/DOWN)、流量、存活时间;
2. SSL VPN
- SSL功能启用状态;
- 在线用户数、最大用户数;
- Web会话、SSL隧道在线数量、上限值。
(九)SNMP Trap 告警(FortiGate专属)
除核心MIB通用告警外,新增大量业务告警:
- HA主备切换、心跳故障;
- FortiAnalyzer日志服务器断连/切换;
- DHCP、BFD协议告警;
- 服务器负载均衡后端故障;
- IP Pool资源耗尽;
- 数字IO状态变更;
- 单CPU高负载告警等。
(十)设备型号&标识
内置全系列FortiGate硬件型号OID(物理机、虚拟机FFVM、云版本),可通过SNMP自动识别设备型号。
四、总结:两大MIB整体能力清单
1. 可采集信息总览
| 分类 | 可获取内容 |
|---|---|
| 资产信息 | 设备序列号、型号、固件/特征库版本、产品线类型 |
| 硬件状态 | CPU/内存/硬盘/风扇/电源/温度/电压、USB/扩展卡、传感器告警 |
| 系统性能 | 整机/数据面负载、会话数、会话速率、NPU硬件加速指标 |
| 虚拟化(VDOM) | 虚拟域配置、资源占用、HA状态、透明/NAT模式 |
| 接口&链路 | 接口带宽、VLAN、VRRP、链路质量、V-WAN、接口故障/IP冲突 |
| 管理员审计 | 账号列表、在线用户、登录IP/时间/权限、接入网段 |
| 安全策略 | 防火墙策略流量、用户认证、IP地址池、GTP隧道 |
| 安全防护 | 防病毒、IPS入侵、网页过滤、云安全统计与告警 |
| 应用代理 | 邮件、网页、SIP、FTP、缓存、DNS代理等应用层统计 |
| VPN | IPsec/SSL VPN隧道状态、用户、流量、生命周期 |
| 故障告警 | 近百类SNMP Trap:硬件故障、资源过载、协议异常、配置变更、安全攻击 |
2. 典型使用场景
- 运维监控:Zabbix、Prometheus、NMS等平台接入,实时监控负载、硬件、链路;
- 故障告警:配置SNMP Trap,接收断电、高温、CPU高、攻击、隧道中断等告警;
- 资产自动化:批量获取设备型号、序列号、固件版本,做资产盘点;
- 安全审计:统计攻击、病毒、非法登录、策略使用情况;
- 容量规划:分析会话数、带宽、IP Pool使用率,预判资源瓶颈。