Fortigate 手记

Fortigate 日常操作手记。

版本和环境提示

如无特殊说明，本文中全部操作均基于Fortigate 50E、FortiOS v6.2.16 build1392 (GA)。

自定义NTP服务器

config system ntp
    # 开启同步
    set ntpsync enable
    # 自定义服务器
    set type custom
    # 同步时长为5分钟
    set syncinterval 5
    config ntpserver
        edit 1
            set server "ntp.tencent.com"
        next
    end
    # 配置设备为本地NTP服务器
    set server-mode enable
    # 侦听端口
    set interface "fortilink"
end

升级特征库时出错

1. 允许降级刷写特征库：

   diagnose autoupdate downgrade enable

2. 开启所有应用程序的调试日志：

   diagnose debug application update -1

3. 全局启用调试：

   diagnose debug enable

手动（离线）更新特征库

特征库对应关系

特征库的文件名的命名规则：特征库系统版本特征库版本.pkg，更新包里面可能还有.md5文件，这是校验用的文件。

特征库文件名	用途	更新类别
apdb_OS6.2.0_27.00775.APDB.pkg	应用控制特征	ips
ffdb_fos62_00007.03668.pkg	Internet 服务数据库定义 （ISDB）	other-objects
IRISUpdate-OS6.2.0_4.866-fgt.pkg	僵尸网络IP	ips
isdb_OS6.2.0_27.00775.ISDB.pkg	工业安全数据库	ips
nids_OS6.2.0_27.00775.NIDS.pkg	IPS库	ips
vsigupdate-OS6.2.0_92.03804.ETDB.High.pkg	病毒库	av
vsigupdate-OS6.2.0_92.03804.MMDB.pkg	移动端恶意软件	av

手动更新

在本地起一个TFTP服务器，下载地址。安装好后打开TFTPD，在“Current Directory”设置特征库所在的路径，在“Serverinterface”设置直连Fortigate的网卡，点击“Show Dir”可以查看当前TFTP目录下的文件，以此确认设置是否正确。

随后CLI方式登录到Frotigate，执行更新命令即可。更新命令的一般格式是execute restore+更新类别+TFTP下特征库的名称+TFTP服务器地址，示例如下：

execute restore av tftp vsigupdate-OS6.2.0_92.01673.ETDB.High.pkg 192.168.253.123
execute restore av tftp vsigupdate-OS6.2.0_92.01673.MMDB.pkg 192.168.253.123
execute restore other-objects tftp ffdb_fos62_00007.03572.pkg 192.168.253.123
execute restore ips tftp apdb_OS6.2.0_26.00734.APDB.pkg 192.168.253.123
execute restore ips tftp IRISUpdate-OS6.2.0_4.853-fgt.pkg 192.168.253.123
execute restore ips tftp isdb_OS6.2.0_26.00732.ISDB.pkg 192.168.253.123
execute restore ips tftp nids_OS6.2.0_26.00734.NIDS.pkg 192.168.253.123

最后可以通过diagnose autoupdate versions命令查看各组件的版本、更新方式和授权等信息，以此确定更新是否成功。也可以使用get system status命令确认特征库版本信息。

手动登录Forticloud账号

这个问题有的时候也被描述为“Fortigate报错FortiCloud activation failed”，显示无法登录到Fortigate。下述方案其实主要是解决上述问题的。

1. 首先需要确认Fortigate本身能够连接互联网（或者说能够连接Fortigate服务器，条件是路由通且DNS可用），可以通过如下命令测试：

   execute ping service.fortiguard.net

   正常返回：

   Lxnchan-Fortigate # execute ping service.fortiguard.net
   PING guard.fortinet.net (208.184.237.61): 56 data bytes
   64 bytes from 208.184.237.61: icmp_seq=0 ttl=52 time=171.3 ms
   64 bytes from 208.184.237.61: icmp_seq=1 ttl=52 time=181.1 ms
   64 bytes from 208.184.237.61: icmp_seq=2 ttl=52 time=181.2 ms
   64 bytes from 208.184.237.61: icmp_seq=3 ttl=52 time=176.6 ms
   64 bytes from 208.184.237.61: icmp_seq=4 ttl=52 time=170.4 ms
   
   --- guard.fortinet.net ping statistics ---
   5 packets transmitted, 5 packets received, 0% packet loss
   round-trip min/avg/max = 170.4/176.1/181.2 ms

2. 登录账号

   config system fortiguard
       set service-account-id <FortiCloud_Account_ID>
   end

3. 开启Fortiguard Log设置（可选）

   config log fortiguard setting
       set status enable
       set upload-option realtime
   end