FortiGate 强制注册

功能简介

在 FortiOS 7.2.11 / 7.4.8 / 7.6.5 及后续版本的适用硬件机型上，FortiGate 启用“强制注册”机制。

该机制要求设备先完成 FortiCare 注册，再开放完整配置与后续升级能力。

版本变化如下：

• FortiOS 7.2.11 / 7.4.8：首次引入强制注册机制（仅部分机型）。

  • FG-200G
  • FG-201G
  • FG-900G
  • FG-901G

• FortiOS 7.4.9：扩大纳入机型范围。

  • FortiGate：FG-50G/51G、FG-70G/71G、FG-90G/91G、FG-120G/121G、FG-200G/201G、FG-700G/701G、FG-900G/901G 及对应 SFP/POE/DSL/5G 变体。
  • FortiWiFi：FWF-50G/51G、FWF-70G/71G 及对应 DSL/5G/SFP/POE 变体。
  • FortiGate Rugged：FGR-50G-5G、FGR-70G、FGR-70G-5G-DUAL。

• FortiOS 7.4.10：新增网络连通向导、离线许可证上传入口，并支持最多 7 天延后注册。

• FortiOS 7.6.5：在 7.6 分支启用该机制，并增加 CLI 只读限制与相关向导能力。

未注册系统行为

设备未完成注册时，会出现以下限制：

• 首次登录 GUI 会进入 Register with FortiCare 页面，无法继续后续 GUI 配置。

• CLI 处于受限状态，仅允许网络相关部分配置。

  • config firewall
  • config ftp-proxy
  • config router
  • config system
  • config web-proxy

• 固件升级流程也受注册状态影响。

网络连通要求

强制注册机制下，设备需要先具备可用外网连通性，才能完成在线注册。

常见处理方式：

1. 先检查接口是否通过 DHCP 正常获取地址和网关。
2. 若 DHCP 不可用，通过 CLI 手工配置接口地址与默认路由。

示例：

config system interface
    edit <interface>
        set mode static
        set ip <address> <netmask>
    next
end

config router static
    edit 0
        set gateway <gateway-ip>
        set device <interface>
    next
end

config system interface
    edit <interface>
        set mode dhcp
        set defaultgw enable
    next
end

在 7.6.5 及以上版本的部分双 WAN 机型（70G/90G/120G 系列及变体）上，两个 WAN 口默认是 DHCP，且默认加入 SD-WAN，通常更容易先获得外网连通性。

可用 Workaround

7 天延期（7.4.10 开始）

• 点击注册窗口内的“Postpone registration”按钮可以延期 7 天：

  

• 延期到期后会重新进入强制注册状态：

  

离线许可证方式

提示

• 适用于无法直连互联网、但需要满足强制注册机制的场景。
• 离线许可证文件中的序列号必须与设备序列号一致，系统才会判定注册有效。
• 离线License的下载方法可参考系统管理 → FortiGuard 管理 → 离线导入设备 License 章节。

1. 设备登录后，在注册向导中选择离线 License 导入入口：

   

2. 进入上传页面后，导入离线 License 文件：

   

3. 导入成功且序列号匹配后，页面会提示离线 License 生效：

   

4. 也可使用 CLI 方式导入，CLI 导入前，需先保证 FortiGate 到 FTP/TFTP 服务器网络可达：

   execute restore manual-license {ftp|tftp} <licensefilename> <server> [args]
   
   execute restore manual-license tftp FG101FTKxxxxxxxxOff-NetworkLicenseFile.lic 192.168.1.10

BIOS 禁用强制注册

1. 使用 Console 线连接设备串口并重启设备。

2. 启动时看到以下提示，按任意键进入 BIOS 菜单：

   Boot up, boot device capacity: 28626MB.
   Press any key to display configuration menu...

3. 在 BIOS 主菜单输入 I，进入系统信息菜单：

   [C]:  Configure TFTP parameters.
   [R]:  Review TFTP parameters.
   [T]:  Initiate TFTP firmware transfer.
   [F]:  Format boot device.
   [B]:  Boot with backup firmware and set as default.
   [I]:  System configuration and information.
   [Q]:  Quit menu and continue to boot.
   [H]:  Display this list of options.

4. 在下一层菜单输入 C，进入 FortiCare 注册级别设置：

   Enter C,R,T,F,B,I,Q,or H:
   [S]:  Set serial port baudrate (will take effect on next boot).
   [R]:  Set restricted mode.
   [T]:  Set menu timeout.
   [U]:  Set security level.
   [C]:  Set FortiCare registration.
   [I]:  Display system information.
   [E]:  Reset system configuration.
   [M]:  Display SPD information.
   [Q]:  Quit menu and continue to boot.
   [H]:  Display this list of options.

5. 输入 1，将注册级别从 2（Enforce）改为 1（Not Enforce）：

   Enter S,R,T,U,C,I,E,M,Q,or H:
   [1]:  Not Enforce
   [2]:  Enforce
   Enter FortiCare registration setting [2]: 1

6. 连续输入 Q 退出 BIOS 菜单并继续启动系统。启动后 GUI 可临时跳过强制注册继续配置。