离线手工更新特征库
离线手工更新特征库
需求
防火墙无法联网或授权过期的情况下,技术支持 中心可以临时提供入侵(IPS)、应用(APP)和病毒(AV)的离线特征库进行手工升级。建议尽快购买授权,实现在线自动升级,确保库文件及时更新,提升安全性。
重要
Web Filter 分类过滤/DNS Filter 分类过滤/基于 FortiGuard 的 DLP/视频分类过滤等基于 FortiGuard 分类的服务,需购买相关授权并连接 FortiGuard 实时查询(设备需要能够连接 Internet)。
配置要点
- 获取离线特征库。
- 手工更新。
- 确认升级成功。
配置步骤
Web 方式离线升级
获取离线特征库,访问并登录 https://support.fortinet.com/support/#/downloads/service 网站离线获取特征库文件。有服务的设备才有权限下载特征库。IPS 和 AV 的引擎是不能从这里下载的,如果需要最新的引擎,需要从技术支持处获取。
- vsigupdate-OS7.0.0_90.05756.ETDB.High.pkg:AV 特征库
- nids_OS7.0.0_22.00386.NIDS.pkg:IPS 特征库
- apdb_OS7.0.0_22.00384.APDB.pkg:应用控制特征库
- ffdb_fos70_00007.02656.pkg:ISDB 特征库
下载对应的特征库定义后,进入系统管理 → FortiGuard,点击右侧的动作 → 升级数据库按钮,分别升级 ISDB、应用控制、病毒特征库、IPS 特征库。
点击相应特征库后面的升级数据库,点击“上传”选择本地的离线特征库文件,确定即可。
分别导入到防火墙里升级完后,不需要重启防火墙,升级完毕之后页面会提示升级成功。不会更新特征库和引擎都不会影响到业务的正常运行。
CLI 方式 TFTP/FTP 升级
也可以通过 TFTP/FTP 的方式进行升级,我们这里以 TFTP 升级 IPS 数据库为例。
配置 TFTP 服务器,这里以 3CDaemon 为例,配置 TFTP 服务器的路径为特征库所在路径。
在 FortiGate 的 CLI 下执行更新 IPS 特征库命令。
FortiGate # exe restore ? av av config Restore config. image image ips ips ipsuserdefsig ipsuserdefsig other-objects other-objects script script secondary-image secondary-image FortiGate # execute restore ips tftp nids_OS7.0.0_22.00386.NIDS.pkg 192.168.100.166 This operation will overwrite the current IPS package! Do you want to continue? (y/n)y Please wait... Connect to tftp server 192.168.100.166 ... ## Get IPS database from tftp server OK.提示更新成功后,使用 diagnose autoupdate versions 查看“Attack Definitions”的信息,显示上次更新为 Manual 模式,版本号与特征库文件一致。
# diagnose autoupdate versions ... Attack Definitions --------- Version: 22.00386 Contract Expiry Date: Sun Mar 26 2023 Last Updated using manual update on Wed Sep 7 17:56:43 2022 Last Update Attempt: Tue Aug 30 19:01:35 2022 ...