当 FortiGate 的一个或多个 FortiGuard 许可证过期时,以下功能可能会受到影响。
| License 类型 | 到期影响 |
|---|
| 固件和基本订阅(Firmware & General Updates) | - 应用控制特征、Inline-CASB 应用程序定义、设备和操作系统标识定义、虚拟补丁签名、ISDB 库、PSIRT 检查定义将继续工作,但特征库不再更新。
- 示例:如果在防火墙策略中使用了应用控制配置文件,并在目的地址中应用了 ISDB 条目,该策略仍会使用现有的应用控制特征库和 ISDB 库版本进行流量检测,正常流量不会中断。
- 设备无法手动升级/降级(包括 GUI 和 CLI)。
- 设备将自动计划升级到当前小版本的最新补丁。升级可手动延后 1 周,但无法取消(参考:系统管理 → 固件与配置管理 → 固件版本管理 → 固件自动升级 的“强制升级”部分)。
|
| 入侵防御系统(Intrusion Prevention) | - IPS 签名、恶意 URL 定义将继续工作,但 IPS 签名不再更新。
- 示例:如果在防火墙策略中使用了启用 IPS 配置文件,该策略仍会使用现有 IPS 特征库和恶意 URL 定义进行检测,正常流量不会中断。
- 最新有效的 IPS 签名对于阻止复杂攻击和 0-day 攻击至关重要。
|
| 僵尸网络 IP/域名(Botnet IPs/Domains) | - 配置了 Botnet C & C 的 IPS/DNS 过滤配置文件将继续工作,但 Botnet IP 与域名数据库不再更新,正常流量不会中断。
|
| 反病毒(AntiVirus) | - 反病毒扫描将继续工作,但反病毒数据库不再更新,正常流量不会中断。
|
| Web/DNS 过滤(Web/DNS Filter) | - 基于 FortiGuard 实时分类查询的 Web/DNS Filter 将停止工作,因为 URL/域名需要实时发送到 FortiGuard 进行分类查询。
- 如果防火墙策略中引用了 Web/DNS Filter 配置文件(开启了“基于 FortiGuard 分类的过滤器”),默认配置下,所有 Web 与 DNS 流量将被丢弃;如果 Web/DNS Filter 配置文件的“无法访问 FortiGuard 时的行为”选项配置为“允许所有网站”,则所有 Web/DNS 流量将直接通过,不进行过滤。
- 在 Web/DNS Filter 配置文件中配置的静态 URL 过滤规则仍可以正常工作。
|
| 邮件过滤(Email Filtering) | - 邮件过滤功能将停止工作,因为 FortiGate 需要实时查询 FortiGuard 垃圾邮件过滤服务器以检查发件 IP、邮件地址、钓鱼 URL、垃圾 URL、邮件校验值以及垃圾邮件提交信息(本地配置的除外)。
- 反垃圾邮件签名将不再更新。
- 基于“本地垃圾邮件过滤”的配置选项(如“黑白名单”)仍可使用。
|
| 爆发防御(Outbreak Prevention) | - 爆发防御将停止工作,因为该功能依赖于对 FortiGuard 全球威胁情报数据库的实时查询。
- 示例:如果在防火墙策略中使用了反病毒配置文件,AV 配置文件中开启了“使用 FortiGuard 爆发防御数据库”,该功能将不会生效,正常流量不会中断。
|
