在线自动升级

一、需求

防火墙需要每隔两个小时就升级更新病毒库、应用特征库、入侵防御特征库。同时能够离线升级更新特征库。

二、组网拓扑

三、配置要点

1、配置防火墙联通互联网

2、在线自动升级后有效的前提是已经购买过相关的授权许可，且已经注册服务，更新授权的操作方式请参见"日常维护>license许可服务注册"。

3、由于升级过程中，防火墙需要从外网下载升级包，会占用网络带宽，且会影响设备的数据转发，所以建议将自动升级时间设置在在上网低峰的时候。

说明：自动升级必须保证防火墙联网，且配置正确的DNS地址；可是使用FortiGuard服务器，也可以手动设定DNS服务器（尽量为国外的DNS地址）。

四、配置步骤

1、配置防火墙联通互联网

防火墙联通互联网，需要配置好接口地址，路由及DNS,详细步骤请参考"路由模式典型功能"--"单线上网"--"静态地址线路上网配置"。

2、定期及自动升级

进入"系统管理"--"FortiGuard"，勾选"计划的更新"，并设置每一个2小时更新。

计划的更新：勾选"计划的更新"选择每2小时更新一次，点击应用。

可设置按"小时周期"、"每天几点"、"每周周几的几点"三种方式来自动从服务器上升级，按需要自动升级。

3、确认自动升级成功

进入"系统管理"--"FortiGuard"确认所有的特征库均已升级成功，确认更新日期：

五、说明：

1、URL分类过滤、垃圾邮件库说明

URL分类过滤、垃圾邮件是存放在云端，其它库是下载在防火墙本地。

2、常见的FortiGate设备服务无法正常更新的情况？

FGT无法连接到互联网，包括FGT无法上网、DNS异常解析、运营商阻止了fortiguard更新的目的端口，FGT的某些源端口工作异常
修改了FGT的DNS为内部DNS，不是Fortiguard默认的DNS，这样可能引起DNS解析fortiguard的相关域名存在异常（服务器在美国）
服务没有在网站上注册，先到网站上确认设备服务状态
有HA的环境下，只有其中的一台防火墙有服务，而另外一台防火墙没有服务，这种情况下服务更新也会出现异常
FortiGate默认为2小时更新一次，有时候不是立即就生效的，需要等一等，或者手工更新一下，手工命令如下：# execute update-now
拥有多个VDOM，而可以上互联网的不是root VDOM（默认是管理VDOM是root），这样也会导致更新失败，修改管理VDOM为可以上网的VDOM，或者让ROOT VDOM可以上互联网

FortiGate的FortiGuard服务异常，排错思路和方法？

相关FortiGuard服务器无法更新的KB排查文档：

Troubleshooting Tip: Diagnosing FortiGuard problems of Antivirus, Intrusion Prevention, Web Filtering, Spam Filtering:

Verifying and troubleshooting AV & IPS updates status and versions:

Technical Note: FortiGuard Support licenses show as expired: