ファームウェアの自動更新機能とは
FortiGate ではファームウェアバージョン 7.2.1 及び 7.4.0 から、ファームウェアの自動更新機能が追加されていました。
この機能は導入当初はデフォルトでは無効で、有効にした場合は以下のような動作となります。
- 毎日アップデートが無いかをチェックする
- 新しいファームウェアが見つかると、設定された遅延日数の後に新ファームウェアのインストールがスケジュールされる
- スケジュールされたアップグレード時間になると、FortiGate は現バージョンと同一【メジャー.マイナー】バージョンの最新パッチへのアップグレードを試みる(パッチレベルのアップグレードのみ行う)
ファームウェアの自動更新の有効/無効を設定するコンフィグ項目は config system fortiguard の中の set auto-firmware-upgrade です。
config system fortiguard
set auto-firmware-upgrade <disable|enable>
endこの設定項目はデフォルト値の場合 show コマンドでは項目が表示されず、表示のためには show full-configuration を実行する必要があります。
エントリーモデルではファームウェア自動更新がデフォルトで有効に
ファームウェア自動更新機能は導入当初はデフォルトで無効でしたが、v7.2.6/v7.4.1 以降はエントリーモデル(100 シリーズ未満)ではデフォルトで有効に変更となりました。
※FortiGate-40~90 シリーズが該当
今後はファームウェア自動更新の明示的な無効化が必要
一般的に、ネットワーク機器のファームウェア更新は、事前検証を行った上で慎重に行われます。
従って、ファームウェアが自動で(勝手に)更新される状態にしておくことは好ましいことではありません。
そのため、今後 FortiGate 構築案件を対応する際は、ファームウェア自動更新機能を無効化することをルーティンにする必要があります。
※該当モデルの場合
v7.2.6/v7.4.1 以降にバージョンアップ時の注意点
v7.2.6/v7.4.1 よりも前のバージョンから、v7.2.6/v7.4.1 以降にバージョンアップする際には注意が必要です。
バージョンアップ前にファームウェア自動更新が無効の状態で v7.2.6/v7.4.1 以降にバージョンアップした場合、ファームウェア自動更新は有効(enable)に変わります。
このため、バージョンアップ後にファームウェア自動更新を無効化する必要があります。
バージョンアップ前後のコンフィグ比較時の注意点
v7.2.6/v7.4.1 以降では、ファームウェア自動更新機能はデフォルトで有効です。
よって、設定値が有効の場合 show コマンドでは該当の設定項目は表示されません。
- v7.2.6/v7.4.1 よりも前のバージョンでは、ファームウェア自動更新がデフォルトの無効の場合 show コマンドでは該当の設定項目が表示されない
- v7.2.6/v7.4.1 以降のバージョンでは、ファームウェア自動更新がデフォルトの有効の場合 show コマンドでは該当の設定項目が表示されない
つまり、v7.2.6/v7.4.1 よりも前から v7.2.6/v7.4.1 以降にバージョンアップした後、show コマンドで取得したコンフィグを比較した場合、該当の設定項目について差分は現れません。よって見逃される可能性があります。
正確な比較のためには show full-configuration で比較する必要があります。
参考資料
