跳至主要內容

G 系列修改安全级别

2026/4/21固件版本管理7.X.XG 系列大约 2 分钟

G 系列修改安全级别

功能简介

本文说明如何在 FortiGate G 系列机型上调整 BIOS 安全级别(Security Level)。

在多数 FortiGate 机型上,可以通过开机 BIOS 菜单中的 [U] Set security level 修改安全级别;但在部分 G 系列机型上,该选项不再提供,需改用设备硬件上的 Signed Firmware 物理开关进行切换。

适用范围

  • FortiGate/FortiWiFi 50G/51G 系列。
  • FortiGate/FortiWiFi 70G/71G 系列。
  • FortiGate 90G/91G Gen2 及以上(Part Number Pxxxxx-11-01 及以上)。
  • FortiGate 120G/121G Gen2 及以上(Part Number Pxxxxx-2x-01 及以上)。
  • FortiGate/FortiWiFi 200G/201G 系列。
  • FortiGate 700G/701G 系列。

提示

对于 30G/31G、90G Gen1、120G Gen1 等仍支持 BIOS 菜单修改的机型,可参考系统管理 → 固件与配置管理 → 固件版本管理 → 软件签名增强中的 BIOS 修改方法。

安全级别说明

  • High(默认):阻止未签名固件。
  • Low:允许未签名固件安装,但会告警。

相关信息

从 FortiOS 7.0.167.2.117.4.67.6.1 开始,安全级别名称统一为 Low/High(早期文档中的 0/1/2 对应为 Low/Low/High)。

开关位置

  • 50G/70G/90G Gen2:开关位于设备后面板(状态 LED 的对侧)。
  • 120G Gen2/200G/700G:开关位于设备前面板。

原文图片示意

50G 系列(后面板盖板与开关)

FortiGate 50G Signed Firmware 后面板盖板位置FortiGate 50G Signed Firmware 开关位置

70G 系列(前面板 LED)

FortiGate 70G Signed Firmware LED 指示灯

200G/700G 系列(前面板开关与 LED)

FortiGate 200G Signed Firmware 开关与 LED 位置FortiGate 700G Signed Firmware 开关与 LED 位置

90G Gen2/90G Gen1/120G Gen2 代际差异示意

FortiGate 90G Gen2 前面板 Signed Firmware LEDFortiGate 90G Gen2 后面板 Signed Firmware 开关FortiGate 120G Gen2 前面板 Signed Firmware 开关与 LED

操作步骤

  1. 断电并确认设备处于安全可操作状态,拆下 Signed Firmware 金属挡板固定螺丝。

  2. 将物理开关拨到目标档位:

    • H/High:高安全级别(默认)。
    • L/Low:低安全级别。

  3. 重新上电并重启设备。

  4. 登录 CLI,使用以下命令确认当前安全级别:

    # get system status | grep -i "security level"
Current Security Level: Low

注意事项

  • 修改物理开关后,BIOS 安全级别会在下次重启后生效。
  • get system status 可用于对比当前 BIOS 安全级别与开关设置是否一致。
  • 当安全级别从 High 调整为 Low 时,会产生系统事件日志:22906 - LOG_ID_SECURITY_LEVEL_CHANGE
  • 90G/120G 存在多硬件代际差异,需先通过 Part Number 确认是否具备 Signed Firmware 硬件开关。
最近更新: