FortiOS 7.0.3 Desteklenen Upgrade Bilgileri hakkında daha detaylı bir bilgi almak için yapmanız gerekenler:
- https://support.fortinet.com websitesine gidin.
- Download menüsünden Firmware Images‘i seçin.
- Select Product yani seçilmiş ürünün FortiGate olduğunu kontrol edin.
- Upgrade Path sekmesine tıklayın ve aşağıdakileri seçin:
- Current Product (Mevcut Ürün)
- Current FortiOS Version (Mevcut FortiOS sürümü)
- Upgrade To FortiOS Version (FortiOS sürümüne yükselt)
- Go sekmesine tıklayın.
Fortinet Security Fabric Upgrade
FortiOS 7.0.3 Upgrade ile diğer Fortinet ürünleri arasındaki birlikte çalışabilirliği arttırmaktadır. Bu ürünler;
FortiAnalyzer | 7.0.2 |
FortiManager | 7.0.2 |
FortiClient* Microsoft Windows | 7.0.0 ile 0029 veya üst sürüm |
FortiClient* Mac OS X | 7.0.0 ile 0022 veya üst sürüm |
FortiClient* Linux | 7.0.0 ile 0018 veya üst sürüm |
FortiClient* iOS | 6.4.6 ile 0507 veya üst sürüm |
FortiClient* Android | 6.4.6 ile 0539 veya üst sürüm |
FortiClient* EMS | 7.0.0 ile 0042 veya üst sürüm |
FortiAPFortiAP-SFortiAP-UFortiAP-W2 | FortiAP için Güçlü kriptografik şifreleme gereksinimlerini inceleyin. |
FortiSwitch OS (FortiLink support) | 6.4.6 ile 0470 veya üst sürüm |
FortiSandbox | 2.3.3 ve üstü ile 4.0.0 tavsiye edilir |
* FortiClient’i yalnızca IPsec VPN veya SSL VPN için kullanıyorsanız, FortiClient sürüm 6.0 ve üstü desteklenir.
Security Fabric’inizi yükseltmeden önce diğer cihazları yöneten cihazları yükseltmelisiniz. Aşağıdaki verilen listedeki sırayla her cihazın firmware’ini upgrade edin. Böylece manuel işlemlere gerek duymadan network bağlantısını korur.
- FortiAnalyzer
- FortiManager
- FortiGate devices
- Managed FortiSwitch devices
- Managed FortiAP devices
- FortiClient EMS
- FortiClient
- FortiSandbox
- FortiMail
- FortiWeb
- FortiADC
- FortiDDOS
- FortiWLC
- FortiNAC
- FortiVoice
- FortiDeceptor
- FortiAI
- FortiTester
NOT: Security Fabric etkinleştirildiği zaman, mutlaka tüm FortiGate cihazları 7.0.3’e upgrade edilmelidir. FortiOS 7.0.3’te Security Fabric etkinleştirildikten sonra tüm FortiGate cihazları FortiOS 7.0.3′ ü çalıştırmalıdır.
Cihazınızı Önceki Firmware Sürümüne Düşürme
Bir önceki firmware sürümğnbe tekrardan dönmek veya düşürmek, tüm modellerin üzerinde konfigürasyonda kayıplara neden olacaktır. Eğer bu işlemi yaparsanız yalnızca aşağıda belirtilen ayarlar korunur;
- Operation modu
- İnterface IP/Management IP
- Static route table
- DNS ayarları
- Admin user hesabı
- Session helpers
- System Access Profiles
Firmware İmajı Denetim Toplamları
Tüm Fortinet yazılımları ve firmware sürümleri için MD5 denetim toplamları, https://support.fortinet.com adresindeki Müşteri Hizmetleri ve Destek portalında bulunmaktadır . Oturum açtıktan sonra Download> Firmware Image Checksums öğesine tıklayın daha sonra, uzantıyla birlikte image dosyasının adını yazın ve Get Checksum Code öğesini seçin.
IPsec interface MTU değeri
IPsec interfaceleri, 6.4 sürümünden yükseltildikten sonra farklı MTU değeri hesaplayabilir.
Bu değişiklik muhtemelen, upgrade (yükseltme) işleminden sonra bir OSPF neighborunun kurulmamasına yol açabilir. Geçici çözüm mtu-ignore
‘nun OSPF interface’inin konfigürasyonunda etkinleştirilecek şekilde ayarlanmasıdır. Bunun için:
config router ospf
config ospf-interface
edit "ipsce-vpnx"
set mtu-ignore enable
next
end
end
HA Rol İfadesi Değişiklikleri
İlk olarak master terimi ikinci olarak ise slave terimi değiştirilmiştir. Bu değişiklikler, HA ile ilgili tüm CLI komutları ve çıktısı için geçerlidir. Diğerlerinden tek farkı, hiçbir şekilde değişmeyen VRRP ile ilgili herhangi bir çıktıdır.
FortiAP için güçlü kriptografik şifre gereksinimleri
FortiOS 7.0.0 ile 3DES ve SHA1’i güçlü kriptografik şifreler listesinden çıkarttı. Bu yüzden
Şifre ihtiyacını karşılayabilmek adına, ismi E veya F harfleriyle biten mevcut FortiAP modelleri aşağıda belirtilen firmware sürümlerine yükseltilmelidir:
- FortiAP (F modelleri): sürüm 6.4.3 ve üstü
- FortiAP-S ve FortiAP-W2 (E modelleri): sürüm 6.2.4, 6.4.1 ve üstü
- FortiAP-U (EV ve F modelleri): sürüm 6.0.3 ve üstü
- FortiAP-C (FAP-C24JE), sürüm 5.4.3’ün gelecekteki sürümünde güçlü şifreleri destekleyecektir.
FortiOS 7.0.1 çalıştıran FortiGate’lerin upgrade edilemeyen FortiAP modellerini veya isimleri B, C, CR veya D harfleriyle biten eski FortiAP modellerini yönetmesi gerektğinde, yöneticiler uyumluluk modu aracılığıyla bu FortiAP’lerin bağlantılarına zayıf parola şifrelemeyle izin verebilir:
config wireless-controller global
set tunnel-mode compatible
end
VoIP profili ayarları, güvenlik duvarı ilkesi inceleme modunu nasıl belirler?
FortiOS 7.0.3 Upgrade esnasında, seçilen bir VoIP profili bulunan tüm firewall policyleri, proxy tabanlı denetleme moduna dönüştürülür. VoIP profili seçilmemiş tüm firewall policyleri ise upgrade işleminden sonra aynı güvenlik duvarı ilkeleri, yükseltmeden sonra aynı denetleme modunda kalacaktır.
IPsec üzerinden L2TP konfigürasyonu, 6.4.x veya 7.0.0’dan 7.0.1’e upgrade edildikten sonra manuel olarak güncellenmesi yapılmalıdır.
Upgrade işleminden sonra IPsec üzerinden L2TP’nin çalışması için:
vpn l2tp
içindede konfigüre edilen IP aralığı için static route eklemelisiniz. Örneğin, önceki sürümün root VDOM’sindeki L2TP ayarı için:
config vpn l2tp
set eip 210.0.0.254
set sip 210.0.0.1
set status enable
set usrgrp "L2tpusergroup"
end
Upgrade işleminden sonra bir static route ekleyin:
config router static
edit 1
set dst 210.0.0.0 255.255.255.0
set device "l2tp.root"
next
end
- Firewall policy kaynak arayüzü tünel adını
l2t.VDOM
olarak değiştirin.
Policy ve Route Konfigürasyonlarını basit hale getirmek için NAT46 ve NAT64’e arayüz ekleyin
Bu güncelleme ile firewall vip
/ vip6
ve firewall policy
ayarlara NAT tünel arayüzü ve seçeneklerini ekleyerek NAT46 ve NAT64 policylerinin daha basit hale gelmesini sağlamaktadır. policy46
ve policy64
ayarları policy
, vip46
ve vip64
haline getirildi içine vip
ve vip6
. Firewall Policy seçeneklerinin çoğu artık NAT46 ve NAT64 seçeneklerinin etkinleştirildiği policylerde kullanılabilmektedir.
FortiOS 7.0.3 Upgrade
FortiOS 6.4.x veya 7.0.0 sürümünden 7.0.1’e yükseltirken eski konfigürasyonlar için kullanılan vip46
, vip64
, policy46
, policy64
, nat64
, ve gui-nat46-64
sürümden kaldırılır. Aynı şekilde içlerindeki tüm objeler de kaldırılacaktır.
Kaldırılan CLI komutları:
- config firewall vip46
- config firewall vip64
- config firewall policy46
- config firewall policy64
- config system nat64
set gui-nat46-64 {enable | disable}
(underconfig system settings
)
Aşağıdaki GUI sayfaları kaldırıldı:
- Policy & Objects > NAT46 Policy
- Policy & Objects > NAT64 Policy
- NAT46 ve NAT64 VIP kategori seçenekleri Policy & Objects > Virtual IPs üzerindeki ilişkili sayfalar
Yeni Policyler Oluşturma
FortiOS 6.4.x veya 7.0.0’ı 7.0.1’e upgrade işlemi bittikten sonra, manuel olarak vip46
ve vip64
için yeni policyler oluşturmalısınız.
- Bir
vip46
kaynak oluşturunconfig firewall vip
venat46
seçeneği etkinleştirin . - Bir
vip64
kaynak oluşturunconfig firewall vip6
venat64
seçeneği etkinleştirin . ippool
veippool6
öğesini oluşturun veya değiştirin venat64nat46
etkinleştirin .- Bir policy oluşturun ve
nat46
seçeneğini etkinleştirin. Policy içindevip46
veippool6
uygulayın. - Bir policy oluşturun ve
nat64
seçeneğini etkinleştirin. Policy içindevip64
veippool
uygulayın. - İstemci ve serverdaki yönlendirmenin yeni
vip
/vip6
veippool
/ippool6
ile eşleştiğinden emin olun.
Örnek konfigürasyonlar
vip46 object:
eski konfigürasyon
config firewall vip46
edit "test-vip46-1"
set extip 10.1.100.155
set mappedip 2000:172:16:200::55
next
end
yeni konfigürasyon
config firewall vip
edit "test-vip46-1"
set extip 10.1.100.150
set nat44 disable
set nat46 enable
set extintf "port24"
set ipv6-mappedip 2000:172:16:200::55
next
end
ippool6 object:
eski konfigürasyon
config firewall ippool6
edit "test-ippool6-1"
set startip 2000:172:16:201::155
set endip 2000:172:16:201::155
next
end
yeni konfigürasyon
config firewall ippool6
edit "test-ippool6-1"
set startip 2000:172:16:201::155
set endip 2000:172:16:201::155
set nat46 enable
next
end
NAT46 policy
eski konfigürasyon
config firewall policy46
edit 1
set srcintf "port24"
set dstintf "port17"
set srcaddr "all"
set dstaddr "test-vip46-1"
set action accept
set schedule "always"
set service "ALL"
set logtraffic enable
set ippool enable
set poolname "test-ippool6-1"
next
end
yeni konfigürasyon
config firewall policy
edit 2
set srcintf "port24"
set dstintf "port17"
set action accept
set nat46 enable
set srcaddr "all"
set dstaddr "test-vip46-1"
set srcaddr6 "all"
set dstaddr6 "all"
set schedule "always"
set service "ALL"
set logtraffic all
set ippool enable
set poolname6 "test-ippool6-1"
next
end
vip64 object
eski konfigürasyon
config firewall vip64
edit "test-vip64-1"
set extip 2000:10:1:100::155
set mappedip 172.16.200.155
next
end
yeni konfigürasyon
config firewall vip6
edit "test-vip64-1"
set extip 2000:10:1:100::155
set nat66 disable
set nat64 enable
set ipv4-mappedip 172.16.200.155
next
end
ippool object:
eski konfigürasyon
config firewall ippool
edit "test-ippool4-1"
set startip 172.16.201.155
set endip 172.16.201.155
next
end
yeni konfigürasyon
config firewall ippool
edit "test-ippool4-1"
set startip 172.16.201.155
set endip 172.16.201.155
set nat64 enable
next
end
NAT64 policy:
eski konfigürasyon
config firewall policy64
edit 1
set srcintf "wan2"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "test-vip64-1"
set action accept
set schedule "always"
set service "ALL"
set ippool enable
set poolname "test-ippool4-1"
next
end
yeni konfigürasyon
config firewall policy
edit 1
set srcintf "port24"
set dstintf "port17"
set action accept
set nat64 enable
set srcaddr "all"
set dstaddr "all"
set srcaddr6 "all"
set dstaddr6 "test-vip64-1"
set schedule "always"
set service "ALL"
set logtraffic all
set ippool enable
set poolname "test-ippool4-1"
next
end