FortiOSの見方・アップグレード・ダウングレード

FortiOS

FortiGateで動作しているOSのことをFortiOSと呼びます。
FortiOSのバージョンは3つの数字で表されます。
左から1番目の数字はメジャーバージョン、
左から2番目の数字はマイナーバージョン、
左から3番目の数字はパッチバージョンを表しています。
実際はこの後にBuild番号が続きますが、
ユーザやエンジニアは特段意識する必要のない番号となりますので説明は省略します。
このバージョンの表記方法はFortiOS5.0.0以降の表記方法です。
FortiOS5.0.0よりも前のFortiOSでは異なる表記方法となっています。

記事で使用しているFortiOSは主にFortiOS6.2.2になります。
なお、2020年2月末時点での最新のFortiOSはFortiOS6.2.3です。

メジャーバージョン

メジャーバージョンは1刻みで5→6というようにアップデートされていきます。
メジャバージョンが変更されると新機能が追加されていたり、
既存機能の仕様が一部変更されていたり、GUIの画面表示がガラリと変更されたりします。
なので、FortiOS5.6.0からFortiOS6.2.2へアップデートするように、
メジャーバージョンが異なるアップデートをする場合は、
再度検証されることをオススメします。

マイナーバージョン

マイナーバージョンは2刻みで0→2→4→6というようにアップデートされていきます。
メジャーバージョンと合わせて、5.6系や6.2系と呼ぶことが多いです。
マイナーバージョンが変更されると、
メジャーバージョン程ではありませんが、新機能が増えたり、
既存機能の仕様が一部変更されていたり、GUIの画面表示が一部変更されたりします。
なので、FortiOS6.0.0からFortiOS6.2.2へアップデートするように、
メジャーバージョンが一緒でも、マイナーバージョンが異なるアップデートをする場合は、
再度検証されることをオススメします。

パッチバージョン

パッチバージョンは1刻みで0→1→2というようにアップデートされていきます。
パッチバージョンの変更では機能やGUIの画面表示は大きく変更されません。
パッチバージョンの変更はバグ修正の目的が主です。
FortiOS6.2.1からFortiOS6.2.2へアップデートする際は、
主に使用している機能にバグがあり、そのバグが修正されることが目的になるかと思いますので、
バグの修正箇所のみを再度検証されることをオススメします。

OSのアップデート頻度

パッチバージョンは約3カ月に1回、
マイナーバージョンは約1年に1回、
メジャーバージョンは約3～4年に1回更新されます。
重大なバグや脆弱性が発覚した場合は、これよりも短い期間で更新される場合があります。
あくまで目安程度です。

EoES・EoS

FortiOSにはEoESとEoSが存在します。
EoESはEnd of Engineering Support for Softwareの略称です。
EoSはEnd of Supportの略称です。
FortiOSのEoESはリリースから3年後で、EoSはリリースから4年半後になります。
EoESは、技術的なサポート終了を表しています。
EoES開始からEoSまでの1年半の間は、重大なバグや脆弱性が発覚した場合のみサポートされます。
EoSはサポート全体の終了を表しており、
EoS以降はそのOSに対するFortinet社のサポートが受けれなくなります。

OS選定

FortiGateに限らずネットワーク機器全般に言えるのですが、
何かしらのバグが必ず存在しますので、
OSの選定には安定版を選定することが好ましいです。

FortiOSの安定版

FortiOSの場合、パッチバージョンが最新のものを採用するようにしましょう。
FortiOS6.2.2では、FortiOS6.2.1以前で発覚したバグが修正されています。
もちろん全てのバグが修正されているというわけではないです。
詳しくは各OSのリリースノートやメーカや販売代理店へご確認ください。

アップグレード頻度・タイミング

FortiGateを始めとするUTM機器の場合、
導入したらそれで終わりというわけにはいきません。
定期的なOSのアップグレードが必要となってきます。
FortiGateの場合は、

に当てはまった場合、OSのアップグレードを行った方がよいです。
最終的な判断はお客様になると思いますので、
上記のタイミングになったら即相談することをオススメします。

OSアップグレード方法

FortiOSのアップグレードはCLI、GUIの両方で行うことができます。
GUIはOSのイメージファイルだけあれば、アップグレードを行うことができます。
CLIの場合はFTPサーバも必要になってきますので、アップグレードはGUIで実施されるオススメします。
アップグレードには以下の手順で実施します。

アップグレードパス確認

FortiOSのアップグレードの前にアップグレードパスを確認しましょう。
例えば、FortiGate60EでFortiOS6.0.0からFortiOS6.2.2にアップグレードする場合は、
いきなりFortiOS6.2.2にアップデートすることは推奨されていません。

こちらのアップグレードパスツールで確認すると、

というアップグレードパスを辿る必要があります。
アップグレードすると既存機能の仕様が変更になる可能性があり、
アップグレード前後で多少なりともConfigが書き変わってしまう可能性があります。
この書き変わりを最小限に抑えてアップグレードする方法が、
アップグレードパスを遵守するということになります。
工場出荷状態の機器をアップグレードしたい場合や、
検証でアップグレードするような、既存Configを気にしなくてよい場合は、
必ずしもアップグレードパスを遵守する必要はありません。
お客様に導入されている商用環境の機器をアップグレードするような場合は、
アップグレードパスを遵守するようにしましょう。

OSイメージ入手

アップグレードパスで必要となるFortiOSのイメージファイルを入手しましょう。
OSはライセンス契約をしている場合はFortinet社のサイトからダウンロードできます。
もしくは、購入したベンダー・販売代理店経由で入手することができます。

アップグレード

今回はGUIでアップグレードする方法をご紹介します。

正しいアップグレードパスに従っていてもこの警告は表示されます。

現在のOSでのConfファイルがPCへダウンロードされます。
OSをダウングレードする場合に必要となってきますので、
しばらくの間は削除せず残しておくようにしましょう。
また、再起動がかかります。
再起動後は先ほど指定したOSで起動してきますので、
あとはアップグレードパスに従って同じ作業を繰り返していくだけです。

HAの場合

今まで記載してきた内容は機器がシングル構成の場合です。
機器冗長（HA）を行っている場合でも基本的な操作方法は上記と同じになりますが、
OSアップグレードの順番が下記にようになります。
まずSlave機からアップグレードが行われ、
終了後にMaster機がアップグレードされるという順番になります。

OSダウングレード方法

FortiOSをダウングレードすることも可能です。
ダウングレードの際はダウングレードパスというものは存在しません。
いきなり指定のOSにダウングレードして構いませんが、
そのOSのときに取得したConfファイルも合わせて準備しておいてください。

アップグレードの際に、多少なりともConfigが変更になると申しましたが、
ダウングレードの際にも起こりえます。
ダウングレード先のOSのときに取得したConfファイルを読み込ませることで、
完全にアップグレード前の状態に戻すことができますので、
完全なリストアを目指す場合はこちらの作業が必要となってきます。

OSをダウングレードする行為はメーカ非推奨となっていますが、
ダウングレードをしたから保守やサポートを受けれなくなるということはありません。
OSによってはこの警告の表記が異なる場合があります。

現在のOSでのConfファイルがPCへダウンロードされます。
また、再起動がかかります。

同時にFortiOSがダウングレードされていることも確認しましょう。
ここ以外にも、「ダッシュボード」や先ほどの「システム」→「ファームウェア」や、
CLIであれば「get system status」で確認することができます。

再起動がかかります。
再起動後は読み込ませたConfファイルで起動してきますので、
こちらでダウングレードは終了となります。