【简介】飞塔防火墙的固件升级一直是所有厂家中最好的。只要有注册官方帐号,有注册设备,并且只要有一台设备在服务期内,即可下载所有型号的所有版本的固件。即使其它设备服务期已过,也可以通过固件文件手动升级,避免防火墙受到漏洞攻击。但是从7.4版本开始,规则有一些改变。
FortiOS 7.4版本固件降级
由于飞塔防火墙固件文件比较容易获取,因此很多管理员乐于升级最新版本固件。
① 得益于飞塔防火墙的固件升级规则,我们可以很容易的获取固件文件,并手动升级到最新版本。即使飞塔防火墙的服务已经到期。
② 但是,通常的最新大版本的初始小版本,都会存在一些Bug,例如目前最新的7.4.2版本,选择菜单【网络】-【SD-WAN】,点击【SD-WAN规则】,提示一直在转圈,无法显示已经配置的SD-WAN规则内容,也无法新建SD-WAN规则。
③ 选择菜单【仪表板】-【状态】,点击【系统信息】小部件,弹出菜单中选择【Update firmware ......】,进入固件升级界面。
④ 选择要升级固件的防火墙,点击【升级】。
⑤ 选择【文件上传】,固件镜像文件选择7.2.6版本的固件,我们将防火墙进行固件降级。点击【确认和备份配置】。
⑥ 跨大版本的升级或降级有可能会丢失部分配置,显示安全提示,点击【继续】。
⑦ 上传固件也正常,一切都仿佛和以前一样。
⑧ 但是一条错误提示信息打破了我们的幻想,提示:镜像文件降级失败,固件更新license过期,升级固件失败。
⑨ 再次尝试小版本的降级,从7.4.2降到7.4.1。
⑩ 结果还是一样,降级失败。
⑪ FortiOS 7.4版本固件降级的原因,是设备的【固件和通用更新】服务已经过期。
⑫ 更换【固件和通用更新服务】仍然在服务期的设备,所有的降级操作都能正常执行。
FortiOS 7.4版本固件升级新规则
官方重新发布了FortiOS 7.4版本的固件升级规则。
① 为你的FortiGate保持有效的支持合同允许你访问最新的固件升级,包括主要和次要版本,例如从FortiOS 6.0升级到7.0或从FortioS 7.0升级到7.2。然而,即使没有有效的支持合同,FortiGate也能确保你的安全不受损害。你仍然能够升级到更高的补丁版本,例如从FortiOS 7.4.0升级到7.4.1,确保你收到关键的安全更新。
② 你可以在系统管理>FortiGuard页面中确认【固件和通用更新】(FMWR)合同的到期日期。也可以使用命令 diagnose test update info contract | grep FMWR 查看。
③ 或者将鼠标悬停在仪表板>状态中的许可小部件中的更新贴片上。
④ 当支持合同到期时,仍然可以通过系统管理>Firmware&Registration升级固件,例如从7.4.2升级到7.4.3、7.4.4、7.4.5,由于是补丁版本,因此文件被接受,升级可以继续进行。但是升级到7.6.0将会失败。
【总结】从FortiOS 7.4开始,降级或升级到大版本,例如7.6,需要有效的【固件和通用更新】服务,如果【固件和通用更新】服务过期,只能升级补丁版本,例如从7.4.2升级到7.4.3。