1. FortiOS 7.4许可服务带来的关键变化
飞塔防火墙的固件管理策略在7.4版本迎来了重大调整。过去那种"一台设备在保,全家固件无忧"的黄金时代已经结束,新的许可机制给系统维护带来了更精细化的控制。我最近在客户现场就遇到了一个典型案例:某企业试图将FortiGate 100F从7.4.2降级到7.2.6时,系统突然弹出"固件更新license过期"的提示,这让习惯了自由升降级的网管们措手不及。
这个变化的核心在于新增的固件和通用更新(FMWR)许可服务。现在系统会实时检查两个关键要素:一是设备是否注册,二是FMWR服务是否在有效期内。通过命令行可以快速验证状态:
diagnose test update info contract | grep FMWR实测发现,当FMWR服务过期时,设备会进入"有限更新模式"——只能获取安全补丁更新(如7.4.2→7.4.3),但禁止跨大版本升级(如7.4→7.6)和任何形式的降级操作。这种设计既保证了基础安全需求,又推动了正版服务的合规使用。
2. 固件升降级操作的全新边界
2.1 大版本升级的许可墙
在7.4版本之前,管理员只需要一个有效的FortiCare账号就能下载所有版本的固件。但现在尝试执行大版本升级时,系统会进行双重验证:
- 首先检查设备注册状态
- 然后验证FMWR服务有效期
这个机制在GUI和CLI界面都有明显提示。在仪表板>状态页面,许可小部件会显示更新服务的到期倒计时。我建议所有管理员都在日历中设置服务到期提醒,因为过期后虽然不影响现有功能,但会失去两个关键能力:
- 无法获取新特性版本(如7.4→7.6)
- 失去技术支持的优先响应权
2.2 降级操作的硬性限制
降级场景的变化最让人意外。过去我们可以自由地通过上传固件文件实现版本回退,现在系统会严格检查目标版本与当前许可的关系:
- 跨大版本降级(如7.4→7.2):必须有效FMWR许可
- 同版本降级(如7.4.2→7.4.1):同样需要有效许可
- 安全补丁升级(如7.4.1→7.4.2):无需许可
这个限制在实际运维中影响很大。有次客户升级到7.4.1后遇到SD-WAN功能异常,按照以往经验本应立即降级,但因其FMWR服务过期,最终只能等待7.4.2补丁发布解决问题。
3. 许可状态下的操作权限地图
3.1 服务期内的完整权限
当FMWR服务有效时,管理员拥有完整的版本管理权限:
| 操作类型 | 示例 | 是否允许 |
|---|---|---|
| 大版本升级 | 7.4 → 7.6 | ✓ |
| 小版本升级 | 7.4.1 → 7.4.2 | ✓ |
| 跨大版本降级 | 7.4 → 7.2 | ✓ |
| 同版本降级 | 7.4.2 → 7.4.1 | ✓ |
| 安全补丁更新 | 7.4.1 → 7.4.2 | ✓ |
3.2 服务过期后的受限模式
FMWR过期后,操作权限会发生显著变化:
- 仅允许安全补丁更新:系统会自动筛选出可用的安全更新包
- 禁止版本回退:所有降级操作都会被拒绝
- 大版本升级锁定:无法获取带有新特性的主版本
这时在系统管理>固件与注册界面,过期服务会显示红色警告标志。有趣的是,系统仍然会定期检查更新,但只会推送符合权限的补丁包。
4. 长期维护策略的实战建议
基于新规则,我总结出几个关键维护策略。首先建议建立设备许可台账,用这个命令批量检查多台设备状态:
execute ssh list | grep name= | while read line; do dev=$(echo $line | cut -d'"' -f2); echo -n "$dev: "; execute ssh $dev diagnose test update info contract | grep FMWR; done对于预算有限的环境,可以采用阶梯式续费策略:核心设备保持最新FMWR服务,边缘设备依赖安全补丁更新。但要注意,这种方案下边缘设备将无法享受新功能更新。
升级操作前务必做好三重确认:
- 验证目标版本与业务系统的兼容性
- 检查FMWR服务剩余天数
- 备份完整配置(包括非默认设置)
有次升级前我漏掉了第三方VPN配置备份,结果跨版本升级后不得不花两小时重新配置站点间隧道。现在我的检查清单里特别加入了这些容易遗漏的项。
)
