离线手工更新特征库

需求

防火墙无法联网或授权过期的情况下，技术支持 中心可以临时提供入侵（IPS）、应用（APP）和病毒（AV）的离线特征库进行手工升级。建议尽快购买授权，实现在线自动升级，确保库文件及时更新，提升安全性。

重要

Web Filter分类过滤/DNS Filter分类过滤/基于FortiGuard的DLP/视频分类过滤等基于FortiGuard分类的服务，需购买相关授权并连接FortiGuard实时查询（设备需要能够连接Internet）。

配置要点

1. 获取离线特征库。
2. 手工更新。
3. 确认升级成功。

配置步骤

Web方式离线升级

1. 获取离线特征库，访问并登录https://support.fortinet.com/support/#/downloads/service 网站离线获取特征库文件。有服务的设备才有权限下载特征库。IPS和AV的引擎是不能从这里下载的，如果需要最新的引擎，需要从技术支持处获取。

   
   • vsigupdate-OS7.0.0_90.05756.ETDB.High.pkg：AV特征库
   • nids_OS7.0.0_22.00386.NIDS.pkg：IPS特征库
   • apdb_OS7.0.0_22.00384.APDB.pkg：应用控制特征库
   • ffdb_fos70_00007.02656.pkg：ISDB特征库

2. 下载对应的特征库定义后，进入系统管理→FortiGuard，点击右侧的动作→升级数据库按钮，分别升级ISDB、应用控制、病毒特征库、IPS特征库。

   

3. 点击相应特征库后面的升级数据库，点击“上传”选择本地的离线特征库文件，确定即可。

   

4. 分别导入到防火墙里升级完后，不需要重启防火墙，升级完毕之后页面会提示升级成功。不会更新特征库和引擎都不会影响到业务的正常运行。

   

CLI方式TFTP/FTP升级

1. 也可以通过TFTP/FTP的方式进行升级，我们这里以TFTP升级IPS数据库为例。

2. 配置TFTP服务器，这里以3CDaemon为例，配置TFTP服务器的路径为特征库所在路径。

   

3. 在FortiGate的CLI下执行更新IPS特征库命令。

   FortiGate # exe restore ?
   av                 av
   config             Restore config.
   image              image
   ips                ips
   ipsuserdefsig      ipsuserdefsig
   other-objects      other-objects
   script             script
   secondary-image    secondary-image
   
   FortiGate #  execute restore ips tftp nids_OS7.0.0_22.00386.NIDS.pkg 192.168.100.166 
   This operation will overwrite the current IPS package!
   Do you want to continue? (y/n)y
   Please wait...
   Connect to tftp server 192.168.100.166 ...
   ##
   Get IPS database from tftp server OK.

4. 提示更新成功后，使用diagnose autoupdate versions查看“Attack Definitions”的信息，显示上次更新为Manual模式，版本号与特征库文件一致。

   # diagnose autoupdate versions
   ...
   Attack Definitions
   ---------
   Version: 22.00386
   Contract Expiry Date: Sun Mar 26 2023
   Last Updated using manual update on Wed Sep  7 17:56:43 2022
   Last Update Attempt: Tue Aug 30 19:01:35 2022
   ...