FortiGate ファームウェア自動更新機能の概要と設定ガイド

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate について、ファームウェア自動更新機能の概要と設定方法を説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

• FortiGate-60F
  • バージョン 7.4.3

ファームウェア自動更新機能とは

ファームウェア自動更新機能は、バージョン 7.2.1 及びバージョン 7.4.0 から新たに追加された機能です。

ファームウェア自動更新機能が有効になっている場合、FortiGate は以下のように動作します。

• FortiGate は現在のメジャーバージョン内で新しいバージョンが無いかを毎日 FortiGuard で確認します
• 新しいバージョンが見つかると、FortiGate は設定された期間内でバージョンアップをスケジュールします
• スケジュールされた時間になると FortiGate は自動でバージョンアップを実行します

例えばバージョン 7.4.3 の場合、メジャーバージョンは 7.4 のため自動更新によるバージョンアップ先候補は 7.4.4 以降の 7.4.x に該当するバージョンとなります。

ファームウェア自動更新機能のデフォルト値

ファームウェア自動更新機能のデフォルト値は、機能追加されたバージョンでは「無効」でした。

その後、バージョン 7.2.6 及びバージョン 7.4.1 からは、FortiGate 100 シリーズ未満のエントリーモデルでのみデフォルト値が「有効」に変更されました。

しかし、一般的にネットワーク機器のファームウェアが自動でバージョンアップされるような状況は管理上好ましくないため、ファームウェア自動更新機能を明示的に無効化するといったことが必要になってきます。

マイナーバージョンアップだとしても、バージョンアップによって動作仕様が変わったり使用していた機能がサポートされなくなったりすることがざらにあります。

また、FortiGate 100 シリーズ未満のモデルにてファームウェアをバージョン 7.2.6 以上またはバージョン 7.4.1 以上にバージョンアップした場合、バージョンアップ後にファームウェア自動更新機能が自動で有効化されるため注意してください。

ファームウェア自動更新機能の設定方法

GUI で設定する場合

ファームウェア自動更新機能の設定は、GUI 左側のメニューの「システム > ファームウェア&登録」の画面から行います。この画面の「Automatic patch upgrades disabled」(機能無効時) または「Automatic patch upgrades enabled」(機能有効時) をクリックします。

以下の画面が表示されます。この画面でファームウェア自動更新機能の設定ができます。

• 機能の有効無効を設定できます。上の「Enable ～」を選択すると有効、下の「Disable ～」を選択すると無効にできます
• 機能を有効にする場合、自動アップグレードのスケジュールを設定します

アップグレードスケジュールの設定

スケジュールは「遅延」と「Specify days」を選択できます。

まず「遅延」を選択する場合は以下の設定を行います。

• アップグレードスケジュールで「遅延」をクリックします
• Delay by number of days は新しいバージョンが見つかってからバージョンアップを実施するまでの遅延日数を意味します
  • デフォルトでは 3 [日] 後にバージョンアップがスケジュールされます
  • 1-14 の範囲で設定できます
• install during specified time はバージョンアップを実施する時間帯を意味します
  • 時間帯の開始時間を指定します。時間帯は開始時間から「開始時間+3時間」の範囲となります
  • デフォルトでは 1:00 – 4:00 です

次に「Specify days」を選択する場合は以下の設定を行います。この場合は遅延日数ではなくバージョンアップ実施曜日を設定します。

• アップグレードスケジュールで「Specify days」をクリックします
• Delay available for upgrades はバージョンアップを実施する曜日を意味します
  • 少なくとも一つ以上の曜日を指定する必要があります
  • [select all days] をクリックするとすべての曜日が選択されます
• install during specified time はバージョンアップを実施する時間帯を意味します
  • 時間帯の開始時間を指定します。時間帯は開始時間から「開始時間+3時間」の範囲となります
  • デフォルトでは 1:00 – 4:00 です

設定は以上です。

バージョンアップ実施時間帯の終了時刻を任意に設定したい場合は CLI で設定する必要があります。

CLI で設定する場合

ファームウェア自動更新機能の設定はconfig system fortiguardで行います。

設定項目は以下の通りです。

上の設定項目の内「遅延日数」と「実行曜日」はどちらか片方のみ設定できます。両方設定した場合「遅延日数」が優先されます。また「実行曜日」を設定したい場合は「遅延日数」を無効化するためにset auto-firmware-upgrade-delay 0と設定する必要があります。

以下の通り設定する場合のコンフィグ例を示します。

• 自動更新の有効化：有効
• 遅延日数：3 日
• 実行時間帯の開始時刻：AM1:00
• 実行時間帯の終了時刻：AM6:00

config system fortiguard
    set auto-firmware-upgrade enable
    set auto-firmware-upgrade-delay 3
    set auto-firmware-upgrade-start-hour 1
    set auto-firmware-upgrade-end-hour 6
end

バージョンアップスケジュールの確認

diagnose test application forticldd 13コマンドで新しいファームウェアの確認スケジュールやバージョンアップ実行スケジュールを確認できます。

新しいファームウェアが見つかっていない状態では以下のように新しいファームウェアがあるか次にチェックする日時が表示されます。

FortiGate-60F # diagnose test application forticldd 13
Scheduled push image upgrade: no
Scheduled Config Restore: no
Scheduled Script Restore: no
Automatic image upgrade: Enabled.
        Next upgrade check scheduled at (local time) Sun Apr  7 01:35:25 2024

上の6行目から次は Sun Apr 7 01:35:25 2024 に確認することが分かります。

新しいファームウェアが見つかりバージョンアップがスケジュールされた状態では以下のように実行スケジュールが表示されます。

FortiGate-60F # diagnose test application forticldd 13
Scheduled push image upgrade: no
Scheduled Config Restore: no
Scheduled Script Restore: no
Automatic image upgrade: Enabled.
        Next upgrade check scheduled at (local time) Mon Apr  8 23:25:00 2024
        New image 7.4.3b2573(07004000FIMG0024204003) installation is scheduled to
                start at Wed Apr 10 22:07:31 2024
                end by Thu Apr 11 01:00:00 2024

以上です。

参考資料

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

• 基礎知識
  • FortiGate の設計構築を初めて行う人へ基礎知識を共有します
  • FortiGate メーカー公式マニュアル利用ガイド
  • FortiGate コンフィグの仕組みと CLI 設定変更ガイド
  • 初期設定
    • FortiGate 初期設定を CLI で実施するためのマニュアル
    • FortiGate デフォルトで存在する不要な設定の削除マニュアル
  • 基本操作
    • FortiGate のコンフィグ初期化及びローカルログ削除マニュアル
    • FortiGate コンフィグのバックアップ及びリストア実施マニュアル
    • FortiGate CLI でのコンフィグバックアップ・リストア実行ガイド
    • FortiGate コンフィグのリビジョン管理と設定リストア実行ガイド
    • FortiGate Ping を打ち続けたりソースアドレスを指定したりする方法
  • バージョンアップ
    • 【詳解】FortiGate OS バージョンアップマニュアル
    • FortiGate CLI でのバージョンアップ実施ガイド
    • FortiGate バージョン変更後に Fatal error: Loading FOS fails! となり起動できない場合の対処方法
    • FortiGate HA 構成でのバージョンアップ実施ガイド【動作仕様と断時間】 ※note記事
• HA (冗長構成) 設定
  • FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
  • FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
  • FortiGate HA 構成時のコンフィグ同期の仕様について解説します
  • FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
  • FortiGate HA 構成時の仮想 MAC アドレスについて解説します
  • FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
  • FortiGate HA 構成時のバックアップ及びリストア実施ガイド
  • FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
  • FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
• VDOM (バーチャルドメイン) 設定
  • FortiGate マルチ VDOM 基本設定ガイド [初心者向けに詳しく説明]
• トランスペアレントモード設定
  • FortiGate トランスペアレントモード基本設定ガイド【L2動作モード】
  • FortiGate トランスペアレントモードで HA 構成時の管理用 IP アドレス設定について解説
  • FortiGate トランスペアレント HA での切り替わり時の GARP 送信の仕様について解説
• システム系設定
  • 管理者アカウント設定
    • FortiGate 管理者アカウントの設定変更及び新規作成ガイド
  • 時刻・NTP 設定
    • FortiGate タイムゾーン、NTP同期、NTPサーバ設定ガイド
  • ロギング・Syslog 送信設定
    • FortiGate メモリロギングと Syslog サーバへのログ送信設定ガイド
    • FortiGate 暗黙の拒否ポリシーのログ及びセッション開始時のログの保存方法
  • SNMP 設定
    • FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]
  • DHCP サーバ機能設定
    • FortiGate DHCP サーバ機能設定ガイド
    • FortiGate での DHCP リレー設定ガイド
  • Proxy サーバ機能設定
    • FortiGate を Proxy サーバとして使用するための設定ガイド
  • アラートメール送信
    • FortiGate 設定変更発生時のアラートメール送信設定ガイド
• ネットワーク系設定
  • インターフェース設定
    • FortiGate インターフェース基本設定ガイド
    • FortiGate タグVLAN (VLANインターフェース) 設定ガイド
    • FortiGate VLANスイッチを使用したタグVLAN通信設定ガイド
    • FortiGate リンクアグリゲーションによるリンク冗長化設定ガイド
    • FortiGate で PPPoE 接続するための設定ガイド
  • ルーティング設定
    • FortiGate スタティックルート設定ガイド
    • FortiGate リンクモニタによる経路監視と自動経路切替の設定ガイド
    • FortiGate ポリシールート設定ガイド [送信元や宛先でルートを変更]
    • BGP
      • FortiGate BGP 基本設定ガイド AS,Neighbor,Network
      • FortiGate BGPルートのLocal-Preference,MED,AS-Path設定方法
      • FortiGate BGP でデフォルトルートを広報するための設定方法
      • FortiGate BGP ルートフィルタ設定ガイド【Distribute list in,out】
  • DNS 設定
    • FortiGate DNS ルックアップ用 DNS サーバと DNS サーバ機能の設定ガイド
  • NAT 及び NAPT 設定
    • FortiGate 送信元アドレス変換 (送信元 NAT,NAPT) 設定ガイド
    • FortiGate 宛先NAT,NAPT,ポートフォワーディング設定ガイド
    • FortiGate でのヘアピン NAT 設定ガイド
    • FortiGate セントラル NAT による送信元 NAT・宛先 NAT 設定ガイド
• ファイアウォール系設定
  • アドレス設定
    • FortiGate アドレスオブジェクト設定ガイド
  • サービス設定
    • FortiGate サービスオブジェクト設定ガイド
  • ファイアウォールポリシー設定
    • FortiGate ファイアウォールポリシー設定ガイド
    • FortiGate MAC アドレスフィルタリング設定ガイド
    • FortiGate ローカルインポリシーで管理アクセスを制限する方法
  • ゾーンを使用したポリシー設定
    • FortiGate ゾーンを使用したファイアウォールポリシー設定ガイド
• VPN 系設定
  • SSL-VPN 設定
    • FortiGate SSL-VPN 設定ガイド(AD 認証編)-テレワーク環境構築にも
    • FortiGate SSL-VPN 設定ガイド (Azure AD 認証編)
    • FortiGate クライアント証明書認証による SSL-VPN 設定ガイド
    • FortiGate SSL-VPN Email によるワンタイムパスワード設定ガイド
  • IPsec VPN 設定
    • FortiGate 拠点間 IPsec VPN 接続設定ガイド
• Tips
  • FortiGate CLI の状態確認コマンドと情報取得コマンド一覧
  • FortiGate 設計構築時に役立つ Tips

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

DSD TECH SH-RJ45P USB コンソール変換ケーブル PL2303GTチップ搭載

Amazon で詳しくみる

エレコム CAT6中継コネクタ LD-RJ45JJ6Y2

Amazon で詳しくみる

バッファロー BUFFALO 有線LANアダプター LUA4-U3-AGTE-NBK ブラック Giga USB3.0対応 簡易パッケージ

Amazon で詳しくみる

【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済

Amazon で詳しくみる

note メンバーシップへの参加もお待ちしています！

note（ノート）

陰の構築者たちのメンバーシップ｜シェイド@陰の構築者 ネットワーク設計構築をする人に役立つメンバーシップです。 独自ブログ（https://shadowgarden.org/）にてネットワークエンジニア向け情報を発信しており、その活動を応援...

【アフィリエイト】おすすめ WordPress テーマ【SWELL】

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ？」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。

レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。