本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate においてファームウェア (FortiOS) のバージョンアップを実施する方法について記載します。
前提
FortiGate のバージョンアップを行う方法としては以下の2つがありますが、それぞれ実施条件があります。
- FortiGuard (クラウドサーバ) からファームウェアをダウンロードする方法
- 条件:メーカー基本保守(FortiCare)が有効であること。また FortiGate がインターネット接続できること。
- ファームウェアファイルをローカル端末からアップロードする方法
- 条件:ファームウェアファイルを所持していること (「.out」形式、またはまれに「.gz」形式)
- ファームウェアファイルは機器ベンダーから提供されるため、入手のためには機器ベンダーと保守契約する必要があります
注意点
- ファームウェアバージョンアップは GUI から行いますが、バージョンによって若干 GUI 画面や手順が異なります。本記事ではバージョン 7.0.X の場合と、バージョン7.2.X の場合と、バージョン7.4.X の場合で分けて手順を説明します。
- 運用中の HA 構成の FortiGate をサービス断時間を考慮しつつバージョンアップする場合は、HA 構成特有のバージョンアップ時の動作仕様やプライマリ機の切り替わりの発生などを考慮する必要があります。ここでは HA 構成時のバージョンアップについては考慮せず、シングル構成の FortiGate を前提として説明を行っています。
- バージョン 7.4.2 以降、ファームウェアライセンス(基本ライセンスに含まれる)が有効でない場合にバージョンアップができなくなりました。よってライセンス未認証の機器やライセンス切れ機器の場合はファームウェアファイルがあってもバージョンアップできない可能性があるため注意してください。
- ファームウェア自動更新機能がバージョン 7.2.6 及びバージョン 7.4.1 からは、FortiGate 100 シリーズ未満のエントリーモデルでのみデフォルト値が「有効」に変更されています。バージョンアップ前に「無効」の設定になっていてもバージョンアップ後に「有効」に自動で変わるため注意してください。詳しくは以下の記事参照してください。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.0.14
- バージョン 7.2.2
- バージョン 7.4.1
【要注意】新バージョンでの既存機能の廃止について
最近、以下のような新バージョンでの既存機能廃止が度々起こっています。
- RAM 2GB 以下のモデル(FortiGate/FortiWiFi 40F、60E、60F、80E、90E )でのプロキシ機能の廃止
- RAM 2GB 以下のモデル(FortiGate/FortiWiFi 40F、60F、61F)でのSSL VPN機能の廃止
このようにバージョンアップによって既存機能が使用できなくなったり、動作仕様が変わってできていた通信ができなくなるといったことは良くあります。運用中の FortiGate をバージョンアップする場合は事前調査・検証を行うことを推奨します。
アップグレードパスとは
FortiGate をバージョンアップする場合、「アップグレードパス」を考慮する必要があります。アップグレードパスとは、目的のバージョンにバージョンアップするに当たり経由すべき途中バージョンを示したメーカー推奨の道筋です。
アップグレードパスに従わずにバージョンアップを行った場合、設定されているコンフィグが破損する恐れがありますので、運用中の FortiGate をバージョンアップする場合は必ずアップグレードパスに従ってください。
アップグレードパスの確認方法
アップグレードパスは、以下 URL からアクセスできるアップグレードパスツールを利用して確認できます。
以下の画面が表示されるため、各項目を指定します。
- ① Choose a product では「FortiGate / FortiOS」を選択
- ② Current Product ではバージョンアップ対象機器の型番を選択
- ③ Current FortiOS Version ではバージョンアップ前のバージョンを選択
- ④ Upgrade to FortiOS Version ではバージョンアップ先のバージョンを選択
- ①~④の指定ができたら⑤「GO」をクリック
「GO」をクリック後、以下のようにアップグレードパスが表示されます。以下画像の例では中間バージョンは表示されていないため直接目的のバージョンにバージョンアップできることが分かります。
以下画像の例では中間バージョンが複数表示されているため、表示されているバージョンをすべて辿る形で段階的に複数回バージョンアップを行う必要があります。
ダウンロード方式での「アップグレードパスに従う」について
アップグレードパスに従い手動で段階的にバージョンアップする場合、中間バージョンの数だけ繰り返しバージョンアップ操作が必要となります。すなわち中間バージョンの数だけシステムの再起動も必要になります。
一方、FortiGuard からファームウェアをダウンロードする方法では「アップグレードパスに従う」というオプションを選択することができます。「アップグレードパスに従う」を選択してバージョンアップを行った場合、一度のバージョンアップ操作のみでアップグレードパスに従い中間のバージョンのインストールを挟みつつ目的のバージョンまでバージョンアップでき、さらにシステム再起動は一度で済みます。
このため、FortiGate がインターネット接続できる環境であれば FortiGuard からファームウェアをダウンロードして「アップグレードパスに従う」方法でバージョンアップを行うことをお勧めします。
バージョンアップ実施手順
ここでは単純にバージョンアップを行うための操作手順のみを説明しています。アップグレードパスについては考慮していないため注意してください。特定のアップグレードパスに対してどのような方法でバージョンアップしたら良いかについては各自で状況に合わせて判断してください。
バージョン 7.0.X における手順
FortiGate の GUI にログインし、左側のメニューから「システム > ファームウェア」をクリックします。
以下の画面が表示されます。バージョンアップの実施方法によって①「すべてのアップグレード」または②「ファイルアップロード」をクリックします。
ファームウェアをダウンロードする場合
以下は STEP2 から続く手順となります。
ファームウェアをダウンロードする方法でバージョンアップする場合は、ファームウェア画面で①「すべてのアップグレード」をクリックします。すると以下のような画面が表示されます。選択可能なバージョンアップ先バージョンが表示されるため、目的のバージョンの欄をクリックします。例では 7.4.3 にすることとして 7.4.3 の欄をクリックします。
すると以下の画面になります。アップグレードパスに従って段階的にバージョンアップするか直接目的のバージョンにバージョンアップするかを選択できますが、①「アップグレードパスに従う」を選択します。画面上の表示からアップグレードパスを確認できます。その後、②「設定の確認とバックアップ」をクリックします。
以下のような警告画面が表示された場合は「Confirm Switch to Feature Maturity」をクリックします。
The Mature level of the currently installed firmware version is different than the Feature level of the firmware version selected. Use extra caution, as the Feature release may contain changes which impact production environments.
現在インストールされているファームウェア バージョンの成熟度レベルは、選択したファームウェア バージョンの機能レベルと異なります。 機能リリースには実稼働環境に影響を与える変更が含まれている可能性があるため、特に注意してください。
以下の確認画面が表示されたら「続ける」をクリックします。
以降、以下のように画面遷移します。
上の画面が表示後、コンフィグのバックアップが行われます。バックアップファイルの保存画面が表示されるため任意のフォルダに保存してください。
再起動が完了するとログイン画面が表示されるためログインします。
ログイン後、現在のファームウェアバージョンを確認し正常にバージョンアップできていることを確認します。
以上でバージョンアップは完了です。
ファームウェアをアップロードする場合
以下は STEP2 から続く手順となります。
ファームウェアをアップロードする方法でバージョンアップする場合は、ファームウェア画面で②「ファイルアップロード」をクリックします。すると以下のような画面が表示されます。「ブラウズ」をクリックします。
ファイル選択画面が表示されるため、バージョンアップで使用するファームウェアを選択します。
選択できたら「設定の確認とバックアップ」をクリックします。
以下のような警告画面が表示された場合は「Confirm Switch to Feature Maturity」をクリックします。
The Mature level of the currently installed firmware version is different than the Feature level of the firmware version selected. Use extra caution, as the Feature release may contain changes which impact production environments.
現在インストールされているファームウェア バージョンの成熟度レベルは、選択したファームウェア バージョンの機能レベルと異なります。 機能リリースには実稼働環境に影響を与える変更が含まれている可能性があるため、特に注意してください。
下の確認画面が表示されたら「続ける」をクリックします。
以降、以下のように画面遷移します。
上の画面が表示後、コンフィグのバックアップが行われます。バックアップファイルの保存画面が表示されるため任意のフォルダに保存してください。
その後はファームウェアファイルのアップロード、検証とインストール、再起動が行われます。
再起動が完了するとログイン画面が表示されるためログインします。
ログイン後、現在のファームウェアバージョンを確認し正常にバージョンアップできていることを確認します。
以上でバージョンアップは完了です。
バージョン 7.2.X における手順
FortiGate の GUI にログインし、左側のメニューから「システム > ファブリック管理」をクリックします。
以下の画面が表示されます。下側の欄で対象機器の行をクリックして選択状態にし、「アップグレード」をクリックします。
以下の画面が表示されます。バージョンアップの実施方法によって①「すべてのアップグレード」または②「ファイルアップロード」をクリックします。
ファームウェアをダウンロードする場合
以下は STEP3 から続く手順となります。
ファームウェアをダウンロードする方法でバージョンアップする場合は、アップグレード画面で①「すべてのアップグレード」をクリックします。すると以下のような画面が表示されます。選択可能なバージョンアップ先バージョンが表示されるため、目的のバージョンの欄をクリックします。例では 7.4.3 にすることとして 7.4.3 の欄をクリックします。
すると以下の画面になります。アップグレードパスに従って段階的にバージョンアップするか直接目的のバージョンにバージョンアップするかを選択できますが、①「アップグレードパスに従う」を選択します。画面上の表示からアップグレードパスを確認できます。その後、②「設定の確認とバックアップ」をクリックします。
以下の確認画面が表示されたら「続ける」をクリックします。
以降、以下のように画面遷移します。
上の画面が表示後、コンフィグのバックアップが行われます。バックアップファイルの保存画面が表示されるため任意のフォルダに保存してください。
再起動が完了するとログイン画面が表示されるためログインします。
ログイン後、現在のファームウェアバージョンを確認し正常にバージョンアップできていることを確認します。
以上でバージョンアップは完了です。
ファームウェアをアップロードする場合
以下は STEP3 から続く手順となります。
ファームウェアをアップロードする方法でバージョンアップする場合は、アップグレード画面で②「ファイルアップロード」をクリックします。すると以下のような画面が表示されます。「ブラウズ」をクリックします。
ファイル選択画面が表示されるため、バージョンアップで使用するファームウェアを選択します。
選択できたら「設定の確認とバックアップ」をクリックします。
下の確認画面が表示されたら「続ける」をクリックします。
以降、以下のように画面遷移します。
上の画面が表示後、コンフィグのバックアップが行われます。バックアップファイルの保存画面が表示されるため任意のフォルダに保存してください。
その後はファームウェアファイルのアップロード、検証とインストール、再起動が行われます。
再起動が完了するとログイン画面が表示されるためログインします。
ログイン後、現在のファームウェアバージョンを確認し正常にバージョンアップできていることを確認します。
以上でバージョンアップは完了です。
バージョン 7.4.X における手順
FortiGate の GUI にログインし、左側のメニューから「システム > ファームウェア&登録」をクリックします。
以下の画面が表示されます。下側の欄で対象機器の行をクリックして選択状態にし、「アップグレード」をクリックします。
以下の画面が表示されます。バージョンアップの実施方法によって①「すべてのアップグレード」または②「ファイルアップロード」をクリックします。
ファームウェアをダウンロードする場合
以下は STEP3 から続く手順となります。
ファームウェアをダウンロードする方法でバージョンアップする場合は、アップグレード画面で①「すべてのアップグレード」をクリックします。すると以下のような画面が表示されます。選択可能なバージョンアップ先バージョンが表示されるため、目的のバージョンの欄をクリックします。例では 7.4.3 にすることとして 7.4.3 の欄をクリックします。
すると以下の画面になります。アップグレードパスに従って段階的にバージョンアップするか直接目的のバージョンにバージョンアップするかを選択できますが、①「アップグレードパスに従う」を選択します。画面上の表示からアップグレードパスを確認できます。その後、②「設定の確認とバックアップ」をクリックします。
上の画面例では、アップグレードパスとしては直接目的のバージョンにバージョンアップ可能なため、アップグレードパスに従って段階的にバージョンアップするか直接目的のバージョンにバージョンアップするかの選択はできなくなっています。
以下の確認画面が表示されたら「続ける」をクリックします。
以降、以下のように画面遷移します。
上の画面が表示後、コンフィグのバックアップが行われます。バックアップファイルの保存画面が表示されるため任意のフォルダに保存してください。
再起動が完了するとログイン画面が表示されるためログインします。
ログイン後、現在のファームウェアバージョンを確認し正常にバージョンアップできていることを確認します。
以上でバージョンアップは完了です。
ファームウェアをアップロードする場合
以下は STEP3 から続く手順となります。
ファームウェアをアップロードする方法でバージョンアップする場合は、アップグレード画面で②「ファイルアップロード」をクリックします。すると以下のような画面が表示されます。「ブラウズ」をクリックします。
ファイル選択画面が表示されるため、バージョンアップで使用するファームウェアを選択します。
選択できたら「設定の確認とバックアップ」をクリックします。
下の確認画面が表示されたら「続ける」をクリックします。
以降、以下のように画面遷移します。
上の画面が表示後、コンフィグのバックアップが行われます。バックアップファイルの保存画面が表示されるため任意のフォルダに保存してください。
その後はファームウェアファイルのアップロード、検証とインストール、再起動が行われます。
再起動が完了するとログイン画面が表示されるためログインします。
ログイン後、現在のファームウェアバージョンを確認し正常にバージョンアップできていることを確認します。
以上でバージョンアップは完了です。
CLI でのバージョンアップ実施方法
CLI でバージョンアップすることもできます。詳しくは以下の記事を確認してください。
バージョンダウンについて
FortiGate にてバージョンダウンを行う場合、その方法はバージョンアップする方法と全く同じとなります。またバージョンダウンの場合はダウングレードパスのようなものはなく、直接目的のバージョンにバージョンダウンします。ただし、バージョンダウンする場合は設定されているコンフィグが失われるなどの問題が発生する可能性があります。このため、運用中機器のバージョンダウンをする場合(そんなことまず無いと思いますが)は事前検証などを実施することをお勧めします。
またバージョンアップ作業にて結果切り戻しとなった場合は、バージョンダウン後のコンフィグ確認(事前コンフィグとの比較)、及び場合によっては事前のバックアップからのリストアを行うことも考慮してください。
【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです
- 基礎知識
- HA (冗長構成) 設定
- FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
- FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
- FortiGate HA 構成時のコンフィグ同期の仕様について解説します
- FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
- FortiGate HA 構成時の仮想 MAC アドレスについて解説します
- FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
- FortiGate HA 構成時のバックアップ及びリストア実施ガイド
- FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
- FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
- VDOM (バーチャルドメイン) 設定
- トランスペアレントモード設定
- システム系設定
- 管理者アカウント設定
- 時刻・NTP 設定
- ロギング・Syslog 送信設定
- SNMP 設定
- DHCP サーバ機能設定
- Proxy サーバ機能設定
- アラートメール送信
- ネットワーク系設定
- インターフェース設定
- ルーティング設定
- DNS 設定
- NAT 及び NAPT 設定
- ファイアウォール系設定
- アドレス設定
- サービス設定
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
- VPN 系設定
- Tips
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
【アフィリエイト】おすすめ WordPress テーマ【SWELL】
当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。
また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。
技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。
レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。
コメント