摘要
FortiOS 8.0首次将FortiAI-Assist智能助手深度嵌入FortiGate操作系统,为网络安全管理员提供生成式AI驱动的运维辅助能力。本文基于FortiOS 8.0官方文档,对FortiAI的技术架构、部署方式、业务流程、授权模式进行系统性深度分析,帮助技术团队全面理解这一新功能。
核心发现:FortiOS 8.0的FortiAI并非一个独立的Web应用交互助手,而是与FortiGate深度集成的RAG(检索增强生成)系统,支持文档问答、故障诊断和CLI命令生成与执行。系统同时支持FortiAI和OpenAI两种AI提供商,并采用基于订阅的Token计费模式。
一、产品定位与功能概述
1.1 FortiAI-Assist在FortiOS 8.0中的定位
根据FortiOS 8.0官方文档:
FortiAI-Assist is now embedded in FortiOS, and FortiOS includes the FortiAI assistant and CLI Code Lab tool to provide RAG-enhanced documentation support, automated diagnostic analysis, and CLI script execution.
FortiAI-Assist是Fortinet在FortiOS 8.0中推出的AI辅助工具,其核心定位包括三个方面:
| 功能维度 | 具体描述 |
|---|---|
| RAG增强文档支持 | 基于FortiOS技术文档的检索增强生成,回答管理员的产品操作问题 |
| 自动化诊断分析 | 直接读取FortiGate日志或分析管理员提供的debug输出进行故障排查 |
| CLI脚本执行 | 通过自然语言生成FortiGate CLI命令,并在CLI Code Lab中编辑和执行 |
1.2 与其他Fortinet产品的FortiAI对比
需要特别注意的是:FortiOS 8.0的FortiAI与FortiWeb、FortiADC、FortiManager中的FortiAI存在功能差异。
| 产品 | FortiAI形态 | 主要功能 |
|---|---|---|
| FortiOS 8.0 | 内嵌AI助手 + CLI Code Lab | 文档问答、故障诊断、CLI生成执行 |
| FortiWeb | 独立AI助手面板 | 日志分析、配置指导、IP信誉查询 |
| FortiADC | 独立AI助手面板 | 配置指导、日志分析、Text-to-Script |
| FortiManager | 独立AI助手面板 | 配置辅助、VPN脚本生成、IoT设备管理 |
二、设备部署指南(Step by Step)
2.1 硬件与授权要求
根据官方文档,FortiAI-Assist对硬件和订阅有明确要求:
支持的FortiGate型号
| FortiGate类型 | 内存要求 | 订阅要求 |
|---|---|---|
| FortiGate硬件设备 | 超过2GB RAM | FortiCare Premium支持 |
| FortiGate-VM S-series | 超过2GB RAM | FortiCare Premium 或 Enterprise/UTP/ATP Bundle任一 |
重要限制:内存等于或小于2GB的FortiGate型号不支持FortiAI-Assist功能。
网络要求
- FortiGate设备必须能够访问互联网
- 用于与FortiAI云服务或OpenAI API建立通信
2.2 部署步骤
步骤1:确认授权状态
在启用FortiAI之前,需确认FortiGate设备已注册并绑定有效的FortiCare Premium授权:
# 通过CLI检查授权状态 diagnose sys license list
步骤2:选择AI提供商并启用
FortiOS 8.0支持两种AI提供商,管理员可根据需求选择:
方式A:使用FortiAI(Fortinet原生AI)
- 在FortiOS GUI顶部横幅,点击 FortiAI 图标
- 在弹出的 AI Model Selection 对话框中,选择 FortiAI
- 点击 OK 确认
FortiAI提供商包含以下特性:
- 每月每设备提供 2,000,000个起始Token
- 额外Token可按需购买
- 购买的Token在同FortiCare账户下所有设备间共享
方式B:使用OpenAI(第三方AI)
- 在GUI中点击 FortiAI 图标
- 选择 OpenAI 并填写配置信息:API Key、模型名称(如 gpt-5.2)、Project ID、Organization ID
或者通过CLI配置:
config system admin edit "admin" set vdom "root" set accprofile "super_admin" set gui-llm-provider openai set openai-api-key <your-api-key> set openai-api-key-part2 <key-part2> set openai-model "gpt-5.2" set openai-project-id "<project-ID>" set openai-org-id "<organization-ID>" next end
注意:使用OpenAI时,Token直接从OpenAI账户扣费,FortiOS不提供用量追踪。
步骤3:配置管理员访问权限
FortiAI-Assist的访问权限通过管理员配置文件(Admin Profiles)控制:
GUI配置方式:
- 进入 System > Admin Profiles
- 双击要编辑的管理员配置文件(如 prof_admin)
- 启用/禁用 Allow using AI Assistant
- 点击 OK 保存
CLI配置方式:
config system accprofile edit "admin-withAI" set comments "Admin with AI Assistant access" set secfabgrp read-write # ... 其他权限设置 ... set gui-ai-assistant enable next end
权限说明:
- 即使管理员配置文件禁用了AI Assistant,FortiAI图标在GUI横幅中仍然可见,但管理员无法提交查询或接收回答
- `super_admin`配置文件无法编辑此设置(始终允许)
- FortiAI调用FortiOS REST API时使用登录管理员的相同权限
步骤4:(可选)启用数据掩码
敏感数据掩码是保护隐私的重要功能:
- 在FortiAI聊天窗口中,点击数据掩码图标
- 启用后,以下敏感信息将在发送至AI提供商前被替换为占位符:IP地址、MAC地址、邮箱地址、电话号码、URL
启用状态:聊天窗口显示✓图标;禁用状态:显示×图标
步骤5:访问CLI Code Lab
CLI Code Lab是FortiAI的配套工具,用于生成、编辑和执行CLI命令:
访问方式:
- 方式一:从GUI横幅访问 - 点击 CLI Console > CLI Code Lab
- 方式二:从FortiAI返回的命令访问 - 当FortiAI返回CLI命令时,点击 Edit 按钮打开CLI Code Lab
CLI Code Lab界面包含:左侧窗格(可编辑的CLI命令输入区)、右侧窗格(命令执行输出区)、Execute按钮(执行命令,需二次确认)、Commit changes按钮(保存配置更改)
三、业务流程深度解析
3.1 用户交互流程
FortiAI-Assist的用户交互遵循问答→分析→执行的三阶段模式:
- 阶段一 - 问答交互:用户输入自然语言查询或指令
- 阶段二 - 系统分析:LLM+RAG处理,本地数据分析
- 阶段三 - 配置/诊断执行:CLI Code Lab执行命令
3.2 系统处理流程
3.2.1 文档问答流程(Documentation-Based Q&A)
当用户提出产品操作类问题时,系统采用RAG架构:
- 用户查询
- 查询向量化(embedding模型处理)
- 文档检索(匹配相关文档片段)
- 上下文组装
- LLM生成回答
- 返回带来源的回答
根据官方文档:"When FortiAI uses FortiAI as the AI provider, the following FortiOS documents are used to provide answers: FortiOS Administration Guide, FortiOS CLI Reference. FortiAI also checks its answers against the FortiGate to ensure the results are suitable for the specific model."
RAG知识库包括:FortiOS Administration Guide(管理指南)、FortiOS CLI Reference(CLI参考)
模型验证机制:生成的回答会与目标FortiGate设备进行交叉验证,确保生成的配置命令适用于该特定型号。
3.2.2 故障诊断流程(Diagnostic Analysis)
对于故障排查场景,系统支持混合分析模式:
- 用户描述问题 → FortiAI返回诊断CLI命令
- 用户粘贴debug输出/log日志 → FortiAI分析并定位根因
典型故障诊断示例:
用户输入:"troubleshoot issue ipsec vpn tunnel to-headoffice is down"
系统返回:
Your debug is definitive: IKEv2 AUTH fails - authentication failed - PSK auth failed: probable pre-shared key mismatch - initiator receives AUTHENTICATION_FAILED
3.2.3 CLI命令生成与执行流程
- 用户输入自然语言需求,例: "configure this fgt to block social media"
- LLM生成CLI命令
- 用户补充环境信息,例: "lan interface port2, update existing policy 1"
- LLM根据上下文调整命令
- 用户点击 Edit 打开 CLI Code Lab
- 在CLI Code Lab中编辑并点击 Execute
- 系统二次确认后执行命令
- 执行结果在右侧窗格显示
- 用户点击 Commit changes 保存配置
3.3 会话管理机制
Token消耗与上下文
根据官方文档:"Because the FortiAI assistant uses session history to inform its responses, queries that are a part of a long session will use more tokens than new conversations."
上下文管理规则:
- 同一会话中的历史消息会作为上下文发送给LLM
- 消息历史达到限制后会被压缩(可能丢失部分信息)
- 压缩后的历史会降低回答准确性
- 不同会话之间LLM不会记忆之前的内容
建议:在处理不相关任务时,新建会话以获得更准确的回答。
聊天历史管理
| 功能 | 说明 |
|---|---|
| Chat History | 查看历史会话列表,点击可恢复查看 |
| Export Chat | 导出当前对话为JSON |
| Export Thread | 导出完整线程(含时间戳、消息ID等) |
四、大模型架构深度分析
4.1 双AI提供商架构
FortiOS 8.0的FortiAI采用双提供商架构,为管理员提供灵活性选择:
4.1.1 FortiAI提供商(Fortinet原生)
| 特性 | 说明 |
|---|---|
| Token来源 | Fortinet云端服务 |
| 起始配额 | 每设备每月2,000,000 Token |
| 额外购买 | 可购买,跨账户设备共享 |
| RAG知识库 | 内置FortiOS文档 |
| 模型验证 | 与目标设备交叉验证 |
4.1.2 OpenAI提供商(第三方)
| 特性 | 说明 |
|---|---|
| API配置 | 需自行配置API Key |
| 模型选择 | 可选GPT-5.2等模型 |
| 计费方式 | 直接由OpenAI账户扣费 |
| 费用控制 | 无FortiOS内用量追踪 |
CLI配置选项:
config system admin edit <admin-name> set gui-llm-provider {fortiai | openai} set openai-api-key <password> set openai-api-key-part2 <password> set openai-model <string> set openai-project-id <string> set openai-org-id <string> next end
4.2 RAG架构解析
4.2.1 RAG组件构成
FortiAI-Assist的RAG系统包含以下核心组件:
| 组件 | 功能描述 |
|---|---|
| 文档库 | FortiOS Administration Guide + CLI Reference |
| 向量数据库 | 存储文档片段的向量嵌入 |
| 检索器 | 根据用户查询匹配相关文档片段 |
| 生成器(LLM) | 基于检索结果生成回答 |
| 验证层 | 与目标设备交叉验证命令适用性 |
4.2.2 检索增强机制
文档来源:官方文档明确说明:"When FortiAI uses FortiAI as the AI provider, the following FortiOS documents are used to provide answers: FortiOS Administration Guide, FortiOS CLI Reference."
RAG工作流:
- 索引阶段:对官方文档进行分块、向量化处理
- 检索阶段:用户查询向量化后,与向量库匹配Top-K相关片段
- 组装阶段:将用户查询+检索片段+系统提示组装为完整prompt
- 生成阶段:LLM基于组装后的上下文生成回答
- 验证阶段:检查生成的命令是否适用于目标FortiGate型号
4.2.3 本地数据分析能力
区别于纯文档问答,FortiAI还支持本地数据分析:
| 分析类型 | 输入来源 | 处理方式 |
|---|---|---|
| 日志分析 | FortiGate本地日志 | 直接读取并分析 |
| Debug输出 | 管理员粘贴 | 解析并定位根因 |
| 配置验证 | 目标设备状态 | 交叉验证命令适用性 |
4.3 部署模式分析
4.3.1 云端处理模式
特点:
- LLM推理在Fortinet云端完成
- 需要互联网连接
- 支持RAG文档检索
4.3.2 直连第三方模式
特点:
- LLM推理在OpenAI服务器完成
- 无FortiOS文档知识库加持
- 需要自行管理OpenAI账户和费用
五、授权与计费模式
5.1 授权要求
根据官方文档,FortiAI-Assist的授权要求如下:
FortiGate硬件设备
| 要求项 | 规格 |
|---|---|
| 内存要求 | 超过2GB RAM |
| 订阅要求 | FortiCare Premium支持 |
| 起始Token | 每设备每月2,000,000个 |
| 额外Token | 可购买,账户内设备共享 |
FortiGate-VM S-series
| 要求项 | 规格 |
|---|---|
| 内存要求 | 超过2GB RAM |
| 订阅要求 | FortiCare Premium 或 Enterprise Bundle 或 UTP Bundle 或 ATP Protection Bundle |
不支持的场景
| 类型 | 说明 |
|---|---|
| FortiGate型号(≤2GB RAM) | 不支持FortiAI功能 |
| 无订阅设备 | 无法使用FortiAI |
| 试用License | 可能无法使用(取决于具体条款) |
5.2 Token计费机制
Token消耗规则
| 消耗来源 | 说明 |
|---|---|
| 用户输入(Prompt) | 按字符数/词数计 |
| LLM输出(Response) | 按生成的文本量计 |
| 会话历史 | 上下文越长消耗越多 |
官方说明:"When you use the FortiAI assistant, the text in both the prompt (input) and the response (output) is processed as tokens." "Because the FortiAI assistant uses session history to inform its responses, queries that are a part of a long session will use more tokens than new conversations."
Token最佳实践
官方文档建议的Token节省策略:
| 策略 | 说明 | 示例 |
|---|---|---|
| 简洁具体 | 避免冗长描述 | ❌ "Can you please help me create a firewall address for 10.0.0.1..." ✅ "Create firewall addresses for 10.0.0.1 and awesome-domain.com" |
| 使用筛选条件 | 缩小查询范围 | 指定具体接口名称、时间范围 |
| 使用FortiOS术语 | 精准匹配功能 | 使用"quarantine device"而非"block this device" |
| 复用会话上下文 | 减少重复说明 | 在同一线程中追问,而非开新会话 |
Token耗尽处理
当月度Token配额用尽时:
- FortiAI访问临时暂停
- 需等待下个计费周期重置
- 额外购买的Token不受此限制
5.3 不同AI提供商的计费对比
| 计费维度 | FortiAI(Fortinet) | OpenAI |
|---|---|---|
| 起始配额 | 2,000,000 Token/月/设备 | 无(按量付费) |
| 额外购买 | 支持,跨设备共享 | 自购API Key |
| 用量追踪 | FortiOS内可见 | 需在OpenAI平台查看 |
| 溢出处理 | 暂停访问 | 继续计费/拒绝请求 |
六、安全与隐私保护
6.1 数据掩码机制
FortiAI支持在将数据发送至AI提供商前进行敏感信息掩码:
被掩码的数据类型
| 数据类型 | 掩码示例 |
|---|---|
| IP地址 | 192.168.1.100 → [IP_1] |
| MAC地址 | AA:BB:CC:DD:EE:FF → [MAC_1] |
| 邮箱地址 | user@example.com → [EMAIL_1] |
| 电话号码 | 123-456-7890 → [PHONE_1] |
| URL | https://example.com → [URL_1] |
掩码控制
- 在FortiAI聊天窗口中点击图标切换
- ✓ 图标 = 掩码启用
- × 图标 = 掩码禁用
- 建议在包含敏感信息的场景下始终启用
6.2 权限控制
管理员权限隔离
"FortiAI calls the FortiOS REST APIs with the same permissions as the logged in administrator."
这意味着:
- AI助手无法超越管理员配置文件的权限
- 即使生成高权限命令,执行时仍受权限限制
- 不同管理员根据其配置文件看到不同范围的响应
管理员配置文件配置
| 配置项 | 默认值 | 说明 |
|---|---|---|
| `gui-ai-assistant` | disable | AI助手使用权限 |
| super_admin | 始终允许 | 无法修改此配置文件 |
七、实际应用场景示例
7.1 场景一:IPsec VPN隧道故障排查
拓扑背景:两台FortiGate之间配置了IPsec站点到站点VPN,隧道状态为down
排查步骤:
- 在FortiAI聊天窗口输入:"troubleshoot issue ipsec vpn tunnel to-headoffice is down"
- FortiAI返回诊断命令,用于收集IKE调试日志
- 管理员在SSH会话中执行命令,收集日志输出
- 将日志输出粘贴回FortiAI聊天窗口
- FortiAI分析日志并返回诊断结果
7.2 场景二:使用OpenAI配置防火墙策略
需求:通过Web过滤器阻止社交媒体访问
操作步骤:
- 启用OpenAI作为AI提供商
- 输入自然语言需求:"configure this fgt to block social media by webfilter"
- FortiAI返回CLI命令,可补充信息优化:"lan interface port2. wan interface port1. update existing policy 1 instead of creating a new one"
- 点击 Edit 在CLI Code Lab中打开命令
- 编辑命令后点击 Execute 执行
- 系统确认后执行,输出结果在右侧窗格显示
- 点击 Commit changes 保存配置
八、技术规格汇总
8.1 系统要求
| 参数 | 规格 |
|---|---|
| FortiOS版本 | 8.0.0 及以上 |
| 硬件要求 | 超过2GB RAM的FortiGate型号 |
| 网络要求 | 互联网访问 |
| 授权要求 | FortiCare Premium(或等效Bundle) |
8.2 CLI命令汇总
启用AI助手权限
config system accprofile edit <profile-name> set gui-ai-assistant {enable | disable} next end
配置OpenAI提供商
config system admin edit <admin-name> set gui-llm-provider {fortiai | openai} set openai-api-key <password> set openai-api-key-part2 <password> set openai-model <string> set openai-project-id <string> set openai-org-id <string> next end
8.3 Token配额(FortiAI提供商)
| FortiGate类型 | 起始Token/月 | 可扩展性 |
|---|---|---|
| 硬件设备 | 2,000,000 | 可购买,跨设备共享 |
| VM S-series | 同上 | 同上 |
九、总结与建议
9.1 核心价值
FortiOS 8.0的FortiAI-Assist为FortiGate管理员带来了以下核心价值:
| 价值维度 | 具体体现 |
|---|---|
| 降本增效 | 自然语言交互降低CLI学习门槛 |
| 快速诊断 | 自动分析debug输出,加速故障定位 |
| 配置自动化 | CLI Code Lab实现命令生成-编辑-执行一体化 |
| 安全可控 | 权限隔离+数据掩码保障操作安全 |
9.2 选型建议
| 场景 | 推荐AI提供商 | 理由 |
|---|---|---|
| 需要RAG文档支持 | FortiAI | 内置FortiOS知识库 |
| 高频使用,熟悉FortiOS | FortiAI | Token共享节省成本 |
| 已有OpenAI账户 | OpenAI | 复用现有资源 |
| 需要GPT高级模型 | OpenAI | 可选GPT-5.2等模型 |
9.3 注意事项
- Token管理:高频使用场景建议启用数据掩码和精简会话
- 权限控制:非管理员账户建议禁用AI Assistant
- 网络安全:确保FortiGate至AI服务的HTTPS通信安全
- 合规要求:使用OpenAI时需注意数据跨境合规
参考来源
- Fortinet. "FortiAI assistant and CLI Code Lab" - FortiOS 8.0.0 New Features. https://docs.fortinet.com/document/fortigate/8.0.0/new-features/018007/fortiai-assistant-and-cli-code-lab
- Fortinet. "FortiAI Assistant for FortiADC 8.0.2" - FortiADC New Features. https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/6b854031-36c8-11f0-a9d0-d2b0d2e22f7d/fortiadc-v8.0.2-new-features.pdf
- Fortinet. "Protecting GenAI access using application control" - FortiGate Administration Guide. https://docs.fortinet.com/document/fortigate/latest/administration-guide/679448/protecting-genai-access-using-application-control
- Fortinet. "FortiOS 8.0 New Features Overview" - FortiGate / FortiOS. https://docs.fortinet.com/document/fortigate/8.0.0/new-features
- Fortinet. "Using FortiAI" - FortiADC Administration Guide. https://docs.fortinet.com/document/fortiadc/latest/administration-guide/330090/using-fortiai
战略重要性
FortiOS 8.0的FortiAI代表了网络安全运维领域的重要创新,将生成式AI能力深度集成到防火墙操作系统中,大幅降低了网络管理员的技术门槛,提升了运维效率。
决策选择
对于使用FortiGate的企业,建议评估FortiAI-Assist的实际应用场景,优先在故障排查和配置自动化领域试点,根据使用效果决定是否扩大部署范围。
预测验证
未来FortiAI可能会进一步增强与FortiAnalyzer、FortiSIEM的联动能力,实现从智能运维到智能安全运营中心的演进,同时可能引入更多AI模型选择和本地化部署选项。
💬 评论 (0)