1.ライセンスに関して
1.1 ライセンスの登録
FortiGateで確認できるライセンス情報は大きく分けて、以下の2つがある。
・サポート契約(ハード・ソフト)
・FortiGuard(UTMライセンス)
① サポート契約(ハード・ソフト)で FortiGateのサポート契約の状況を確認できます。
※OSの VersionUP権利であったり故障したハード交換の権利です。
② FortiGuard(UTMライセンス)の UTM機能が利用できる状態かを確認できます。
またライセンスの登録作業はご購入される時点で、必要な登録を済ませた状態になります。
1.2 UTMライセンスの考え方
(1)UTMのライセンス
各UTM機能毎にライセンスが用意されています。
❶AntiVirusライセンス
アンチウィルス、Bonet用のパターンファイルを受信できるようになります。
これにより Policyにマッチしたトラフィックからウィルス検査、防御を実施できます。
❷IPS/AppCtrlライセンス
IPS、アプリケーションコントロール用のシグニチャを受信できるようになります。
これにより Policyにマッチしたトラフィックから IPSの防御を実施できます。
同様にアプリケーションを識別し、制御可能になります。
※アプリケーション制御ですが、FOSI(FortiGateのOS)のバージョン5.6から無償化されます。これは、OSをバージョンアップすれば、無償で利用できます。
❸WebFilterライセンス
WebFilter用のカテゴリ制御が可能になります。
※ライセンスを適用しない場合、URLフィルタ(手動登録)機能を利用できます。
❹AntiSpam ライセンス
AntiSpam用の DB制御が可能になります。
(2)ライセンスの購入形態
FortiGuardセキュリティサービスバンドルとして、ライセンスがまとめて提供されたものを購入する。
・APT(Advanced Threat Protection)は、AVとIPSまで
・UTP(Unified Threat Protection)は、 APTに加えて、Webフィルタやメールセキュリティ(アンチスパム)
・Enterprise Protectionは、色々入っているという感じでしょうか。
下の画像は以下より引用 https://www.fortinet.com/jp/fortiguard/labs/security-bundles
1.3 ライセンス情報の確認
システム > FortiGuardから確認をします。
ここで、ライセンスの状態に加えて、ライセンスの有効期限、各バージョン情報を確認できます。
CLIの場合以下でもバージョン情報を確認できる。
FGT # diagnose autoupdate versions
バージョンの更新日は分かりますか?
上記において、バージョンにマウスを近づけると、更新日がわかります。
1.3WebFilter、AV、SPAMなどのデータベースの更新周期
どれくらい?
WebFilter、AV、SPAMなどのデータベースの更新周期はどれくらいなのでしょうか?
残念ながら、公開されていないようです。
しかし、UpDate時間で判断すると、細かい頻度で更新されているように感じます。
http://www.fortiguard.com/learnmore#av に情報が公開されています。たとえばこれはAVの情報ですが、左下に以下の記載があります。
これを見ると、AVは1時間間隔で更新されているようです。
同様に、他は以下です。
・WebFilterは5分間隔
・AntiSPAMは10分間隔
・IPS、アプリケーションコントロールは数日に1回
2.バージョンアップ
FortiGateのファームウェア―をアップするには、以下の方法があります。
① GUIからの方法
② CLIから TFTP、USBメモリを介する方法
①の GUIから行う方法が利用頻度が多いと思います。
ファームのアップデート方法は、OSによって変わるが、以下は7.2.3の場合
システム > ファブリック管理 から 「ファブリックのアップグレード」。6台の場合は「ファームウェア」などの表記になっている可能性もある。ここで、ファームウェアを選択する。「すべてのアップグレード」のタブに切り替えるといいだろう。
※ファームアップは再起動が実行されることに注意してください。
※設定情報が引き継がれる場合が多く、OSによって設定項目が変わるので、直接アップデートするすると、差分がうまく反映されない可能性がある。アップグレードやダウンロードのパス(以下の画面)に従って実施するのがいい。本当であれば、アップデートしたら初期化するのがきれいだが、初期化できるかというと、実運用ではそう簡単にはいかない。
「スケジュールを選択」ですが、「即時」でいいでしょう。
アップグレードパスに従うので、少し時間がかかります。
Configがバックアップされ、Updateがスタートします。