FortiGate FortiOS 8.0
FortiOS 8.0 یکی
از مهمترین نسخههای سیستم عامل Fortinet برای تجهیزات FortiGate است؛ نسخهای که فقط یک Firmware Update ساده نیست، بلکه مسیر جدید Fortinet را در حوزه Secure Networking، کنترل هوشمند استفاده از AI، ارتقاء قابلیتهای SD-WAN، بهبود امنیت VPN،
پشتیبانی از Post-Quantum Cryptography و سادهتر شدن عملیات روزمره مدیران شبکه نشان میدهد.
طبق مستندات رسمی Fortinet، نسخه FortiOS 8.0.0 با Build 0167 منتشر
شده و مجموعه قابلیتهای جدید آن در بخشهایی مانند GUI، Network، SD-WAN، Policy
& Objects، ZTNA، Security Profiles، VPN، LAN Edge، System، Security Fabric و Log
& Report دسته بندی شده است.
در سالهای اخیر، نقش Firewall از یک ابزار ساده برای کنترل ترافیک عبور کرده و به مرکز اصلی کنترل
امنیت، شبکه، دسترسی کاربران، VPN، SD-WAN، Cloud
Integration، Application Control و حتی مدیریت استفاده از ابزارهای هوش مصنوعی تبدیل شده است FortiOS 8.0 دقیقاً در همین مسیر حرکت
میکند و تلاش دارد FortiGate را به یک نقطه کنترل متمرکز برای شبکههای
مدرن، Hybrid، Cloud-connected و AI-aware تبدیل کند.
Fortinet در
معرفی رسمی FortiOS 8.0 روی سه
محور اصلی تأکید کرده است : AI-driven Security، Next-generation SASE و Quantum-safe Protection. این یعنی FortiOS 8.0 فقط برای افزایش Performance یا اضافه کردن چند گزینه CLI منتشر نشده، بلکه برای آمادهسازی
سازمانها در برابر چالشهای جدیدی مثل Shadow AI، ترافیک رمزنگاری شده پیشرفته، شبکههای توزیع شده و الزامات
امنیتی آینده طراحی شده است.
یکی از مهمترین بخشهای FortiOS 8.0، اضافه شدن قابلیتهای مرتبط با
Generative AI و Agentic
AI است. در نسخههای قبلی، بسیاری از سازمانها فقط میتوانستند
دسترسی به سرویسهایی مثل ChatGPT، Gemini، Copilot یا سایر ابزارهای AI را
در سطح Application Control کنترل کنند؛ اما FortiOS 8.0 نگاه دقیقتری به استفاده از AI دارد.
در FortiOS 8.0، Application Control برای Generative AI توسعه پیدا کرده و یک Database Type جدید به نام AIAP برای قوانین مرتبط با GenAI اضافه شده است. همچنین فیلدهای
جدیدی مثل aiuser، model، dcgeo، usecase، prompt و cloudgenai در Logهای مربوط به
Application Control اضافه شدهاند. این موضوع برای
مدیران شبکه بسیار مهم است، چون فقط دیدن نام یک سرویس AI کافی نیست؛ سازمان نیاز دارد بداند چه کاربری، از چه مدلی، با چه Use Case و در چه
بستری استفاده کرده است.
FortiOS 8.0 همچنین
دو FortiView جدید با عنوان AI Applications و AI Use
Cases اضافه کرده است. این قابلیتها به مدیر شبکه کمک میکنند
مصرف ابزارهای AI در سازمان را از
حالت مبهم خارج کند و تصویر واضحتری از Shadow
AI، ابزارهای مجاز و ابزارهای پرریسک داشته
باشد.
پشتیبانی از MCP و A2A؛
FortiGate وارد دنیای
Agentic AI میشود
یکی از قابلیتهای بسیار جدید و قابل توجه FortiOS
8.0، پشتیبانی از شناسایی پروتکلهای Agentic AI مانند Model
Context Protocol یا MCP و Agent-to-Agent Protocol یا A2A است. این موضوع از نظر امنیتی اهمیت
زیادی دارد، چون نسل جدید ابزارهای AI فقط
یک Web Application ساده نیستند؛ بسیاری از
آنها از طریق Agent ها،
ابزارهای متصل، API ها و
پروتکلهای ارتباطی جدید با یکدیگر تعامل میکنند.
Fortinet اعلام
کرده که در FortiOS 8.0 میتوان
از Application Control برای شناسایی این
پروتکلها استفاده کرد. همچنین برای مشاهده جزئیات بیشتر، Extended
UTM Logging و Deep Inspection میتواند اطلاعاتی مثل AI Method، AI Arguments، AI Function، AI
Message و AI URI را ثبت کند. البته باید دقت کرد که بعضی از این قابلیتها نیازمند Deep Inspection هستند و در همه سناریوها
بدون تغییر طراحی Inspection قابل
استفاده نیستند.
این قابلیت برای سازمانهایی که به دنبال کنترل دقیقتر استفاده
از AI هستند بسیار مهم است؛ چون تهدید فقط
استفاده مستقیم کاربر از یک وبسایت AI نیست،
بلکه ممکن است یک ابزار داخلی، Extension، Agent یا Service از پشت صحنه با یک مدل AI یا Agent دیگر ارتباط برقرار کند.
FortiAI Assistant و CLI Code Lab؛ کمک هوشمند داخل FortiOS:
FortiOS 8.0 قابلیت FortiAI-Assist را به صورت Embedded داخل FortiOS
اضافه کرده است. این قابلیت شامل FortiAI
Assistant و CLI Code Lab است و برای پشتیبانی مستند محور، تحلیل خودکار
Diagnostic و حتی تولید و اجرای CLI
Script طراحی شده است.
FortiAI میتواند با تکیه بر FortiOS
Documentation به پرسشهای فنی پاسخ دهد، Logهای
FortiGate را تحلیل کند یا Debug
Outputهایی را که مدیر شبکه ارائه میدهد بررسی کند.
CLI Code Lab یکی
از جذابترین بخشهای این قابلیت است. مدیر شبکه میتواند با زبان طبیعی توضیح دهد
چه تنظیمی نیاز دارد و FortiAI دستورات CLI پیشنهادی
را تولید کند. سپس این دستورات در CLI Code Lab قابل ویرایش، اجرا و Commit هستند. این قابلیت میتواند برای سناریوهایی مثل ساخت Policy، تغییر Interface، تنظیم VPN یا آمادهسازی Configهای پیچیده مفید باشد؛ البته همچنان باید
خروجی AI توسط ادمین
بررسی شود و نباید بدون کنترل در محیط عملیاتی اجرا شود.
نکته مهم این است که FortiAI-Assist روی مدلهای دارای 2GB RAM یا
کمتر پشتیبانی نمیشود و برای FortiGate های سختافزاری با بیش از 2GB RAM به FortiCare Premium نیاز
دارد. Fortinet همچنین
اعلام کرده که در حالت FortiAI،
ماهانه 2,000,000 Starter Tokens برای
هر دستگاه ارائه میشود و امکان خرید Token اضافی وجود دارد.
یکی از تغییرات مهم FortiOS 8.0، پشتیبانی از TLS 1.3 Hybrid Post-Quantum
Cryptography یا PQC در SSL Deep Inspection در
حالت Proxy Mode است. این
قابلیت باعث میشود FortiGate بتواند با Web Serverها و Browserهایی که از
الگوریتمهای جدید Hybrid PQC استفاده میکنند، سازگار باشد و همچنان Deep
Inspection را انجام دهد.
Fortinet در
مستندات خود به الگوریتمهایی مانند X25519MLKEM768، SecP256r1MLKEM768 و SecP384r1MLKEM1024 برای Hybrid
PQC و همچنین MLKEM512، MLKEM768 و MLKEM1024 برای Pure
PQC اشاره کرده است. این قابلیت برای سازمانهایی که به
دنبال آمادگی در برابر تهدیدات آینده و الزامات امنیتی بلند مدت هستند اهمیت زیادی
دارد.
از نگاه عملیاتی، مدیران شبکه باید توجه کنند که SSL Deep Inspection در شبکههای سازمانی
همیشه نیازمند طراحی دقیق، Certificate Deployment، بررسی Compatibility با سرویسها و توجه به Privacy و Compliance است.
بنابراین اضافه شدن PQC یک
مزیت مهم است، اما فعالسازی آن باید با تست کامل انجام شود.
بهبودهای مهم در SD-WAN
FortiOS 8.0 در
حوزه SD-WAN نیز تغییرات
قابل توجهی دارد. یکی از بهبودهای کاربردی، اضافه شدن
FortiView SD-WAN Application Performance است.
این قابلیت از Passive WAN Health برای ثبت و نمایش Metricهای
عملکردی برنامهها استفاده میکند و گزارشهایی مانند Application
Response Time، Connection Stability، Retransmission، Packet Loss و TCP
Reset را ارائه میدهد. برای فعالسازی این دید، گزینه Log application health metrics در بخش Logging مربوط به
Firewall Policy اضافه شده است.
قابلیت دیگر، کنترل SD-WAN Interface Usage بر اساس Monthly Traffic Volume یا Quota است. در شبکههایی
که لینکهای WAN دارای محدودیت
حجم ماهانه هستند، FortiOS 8.0 میتواند
بر اساس Volume Quota، Billing Start Day و تنظیمات مرتبط، رفتار Member را تغییر دهد. برای مثال اگر مصرف
یک لینک از حد تعیین شده عبور کند، Cost، Weight یا Volume Ratio آن Member تغییر میکند تا ترافیک به لینکهای دیگر منتقل شود.
در سناریوهای ADVPN و Hub-and-Spoke نیز
قابلیتهای جدیدی مانند On-demand Duplication، ToS-based Duplication، استفاده از Tunnel ثانویه برای FEC Parity Packet و تشخیص Dead Spoke با تأثیر روی BGP MED اضافه
شدهاند. این موارد برای شبکههای شعب، بانکها، سازمانهای توزیعشده و محیطهایی
که کیفیت لینکها متغیر است بسیار ارزشمند هستند.
قابلیتهای جدید VPN در FortiOS 8.0
در FortiOS 8.0، VPN نیز
بهبودهای مهمی داشته است. یکی از موارد قابل توجه، اضافه شدن TLS 1.3
به عنوان گزینهای برای VPN
over TCP است. زمانی که Allow
VPN negotiation over TCP فعال باشد، میتوان TLS را انتخاب کرد و در این حالت ترافیک IKE و ESP روی TLS منتقل میشود.
همچنین FortiOS 8.0 یک Cloud SDN Orchestration VPN Wizard برای AWS اضافه کرده
است. اگر FortiGate دارای SDN Connector به AWS با Permission مناسب
باشد، Wizard میتواند تنظیمات VPN را روی
FortiGate ایجاد کند و تنظیمات لازم
Customer Gateway و VPN
Tunnel را به AWS Push کند. این قابلیت احتمال خطای انسانی را در راهاندازی VPN بین
FortiGate و AWS کاهش
میدهد.
از دیگر تغییرات مهم میتوان به امکان استفاده IPsec VPN over UDP از Port 443 برای IKE
Negotiation، بهبود Native
VPN Remote Access Wizard و نمایش بهتر Interface و Tunnel
Alias در برخی دستورات
Diagnose و Get اشاره
کرد.
بهبودهای HA و
مدیریت کلاستر
یکی از تغییرات بسیار کاربردی FortiOS 8.0، اضافه شدن پشتیبانی GUI برای
برخی عملیات HA است که قبلاً
بیشتر از طریق CLI انجام میشد.
در FortiOS 8.0، عملیاتهایی مانند Resync، Failover و Diagnostics از
داخل GUI قابل
انجام هستند. همچنین GUI وضعیت
سلامت HA و Config Diff را نمایش میدهد تا مدیر
شبکه بتواند اختلاف تنظیمات بین اعضای HA را
سریعتر تشخیص دهد.
در بخش HA،
قابلیتهای دیگری هم اضافه شدهاند؛ از جمله انتخاب Source
IP یا Source Interface برای FGSP heartbeat/sync traffic روی L3،
پشتیبانی از Sync مسیرهای IPv6 Multicast از Primary
به Secondary،
امکان استفاده از Software Switch Member Interface به عنوان HA Monitor Interface، و نمایش Role فعلی HA مثل Active یا Passive
در CLI Prompt. این تغییرات برای محیطهایی که HA آنها پیچیدهتر از یک Active-Passive ساده است بسیار مفید هستند.
قابلیتهای جدید Network و Routing
FortiOS 8.0 در
لایه Network و Routing نیز مجموعهای از تغییرات
کاربردی دارد. برای مثال، BGP Neighbor ها
میتوانند Name داشته باشند و
این Name در GUI و Logها نمایش داده شود؛ موضوعی که در محیطهای بزرگ، Multi-tenant یا شبکههایی با تعداد زیاد Peer خوانایی و عیبیابی را سادهتر میکند.
FortiOS 8.0 همچنین از Graceful BGP Shutdown بر اساس RFC 8326 پشتیبانی میکند. این قابلیت به
مدیر شبکه اجازه میدهد BGP Session را به شکل کنترل شده خاموش کند تا Peerها فرصت داشته باشند مسیرها را با اولویت پایینتر ببینند و ترافیک
بدون قطعی ناگهانی به مسیرهای دیگر منتقل شود.
در حوزه Performance،
پشتیبانی از BBR یا Bottleneck Bandwidth and RTT به عنوان
الگوریتم TCP Congestion Control اضافه شده است. طبق مستندات Fortinet، این الگوریتم در شرایط
Congestion میتواند نسبت به روش سنتی CUBIC باعث بهبود سرعت انتقال داده شود.
در حوزه امنیت DNS، FortiOS 8.0 قابلیتهای AI و ML برای تشخیص فعالیتهای مخرب در DNS
Traffic اضافه کرده است. این قابلیت با هدف شناسایی
مواردی مانند DNS Tunneling برای Data Exfiltration یا Command-and-Control طراحی شده و شامل Domain Whitelist برای کاهش False Positive نیز هست.
بهبودهای Security Profiles و Application Control
در FortiOS 8.0، Security Profiles فقط
به GenAI محدود نشدهاند. یک Classification Framework جدید برای Application Signatureها اضافه شده که به مدیران
اجازه میدهد Applicationها یا Categoryها را به عنوان Sanctioned، Unsanctioned یا Unclassified دستهبندی کنند. این دستهبندی
در Logها و مانیتورینگ کاربرد دارد و برای
سازمانهایی که نیاز به سیاست گذاری دقیق روی SaaS و Application Usage دارند
مفید است.
همچنین MPIP Label Integration در DLP سادهتر شده و MPIP Labelها میتوانند مستقیم در DLP Profile استفاده شوند، بدون اینکه
نیاز به Dictionary واسط
باشد. امکان Sync خودکار Remote MPIP Labels از Microsoft Purview از طریق Azure SDN Connector نیز اضافه شده است.
از دیگر قابلیتهای مهم این بخش میتوان به
FortiSandbox Inline Scanning در Flow
Mode، File Filter Warning
Action برای HTTP Downloadها، Local URL Filtering با Custom FortiGuard Categories، FortiGuard-free Rating برای Local و External Categories و گسترش CASB SaaS Application
Database اشاره کرد.
Security Fabric و Fabric Feed
FortiOS 8.0 مفهوم External Feeds یا Threat
Feeds را با قابلیت جدید Fabric
Feed توسعه داده است. در این مدل، FortiAnalyzer میتواند Fabric Feedها
را به Cloud AMQP Server Upload کند و این Feedها به
صورت خودکار با FortiGateهایی که
به همان FortiCare Account متصل
هستند Sync شوند. این
موضوع مدیریت Feed های
امنیتی را متمرکزتر و هماهنگتر میکند.
در Security Fabric همچنین پشتیبانی از Sandbox Submission Exemption بر اساس AIP/MPIP Label اضافه شده است. این
قابلیت به FortiGate کمک میکند
از ارسال فایلهای حساس به Sandbox جلوگیری کند و با سیاستهای Data Governance سازمان هماهنگتر باشد.
بهبودهای LAN Edge، FortiSwitch و FortiAP
FortiOS 8.0 برای
محیطهایی که FortiGate به عنوان Controller برای
FortiSwitch و FortiAP استفاده میشود نیز قابلیتهای جدیدی دارد. در بخش FortiSwitch، تعداد Switchهای قابل مدیریت در برخی مدلها افزایش
یافته است؛ برای مثال مدلهای FG-50G از 8
به 16، مدلهای FG-200G از
64 به 96 و مدلهای FG-2600F از
196 به 300 FortiSwitch افزایش
پیدا کردهاند.
در بخش Access Control،
پشتیبانی از 802.1X، MAB و Dynamic VLAN در Software Switch اضافه
شده است. این قابلیت به مدیران شبکه اجازه میدهد کنترل دسترسی و سیاستهای داخلی
را حتی در طراحیهایی که از Software Switch استفاده میکنند دقیقتر پیادهسازی کنند.
در حوزه WiFi، FortiOS 8.0 قابلیتهایی مانند FortiAP Management over IPv6،
بهبود CAPWAP Stability،
پشتیبانی Wi-Fi 7 MLO روی FortiAP K-Series، پشتیبانی FQDN در Layer 3
ACLها، Packet Capture از GUI و RADIUS Authentication Survivability برای
802.1X SSID ها را معرفی کرده است.
بهبودهای Logging و Audit
در FortiOS 8.0، Log & Report نیز
تغییرات کاربردی داشته است. یک Summary Panel جدید در Log Details اضافه شده که Timestamp، Policy Info و خلاصهای از Security Event را نمایش میدهد. این
قابلیت باعث میشود مدیر شبکه در زمان بررسی Incidentها سریعتر به Context برسد.
FortiOS 8.0 همچنین
از Custom Log Format برای Syslog Server پشتیبانی میکند. در نسخههای
قبلی، FortiGate Log ها
را در قالبهای مشخصی مثل CSV، CEF، RFC 5424 و JSON ارسال میکرد؛
اما حالا میتوان خروجی Syslog را با log custom-format و log-template بر اساس نیاز SIEM یا سیستم مانیتورینگ سفارشی کرد.
اضافه شدن SFTP برای Log Upload و
پشتیبانی از LZ4 Compression نیز
از نظر امنیت و کارایی اهمیت دارد، چون استفاده از FTP برای انتقال Log در
بسیاری از سازمانها قابل قبول نیست.
بهبودهای مهم System و مدیریت دستگاه
در بخش System، FortiOS 8.0 قابلیتهای زیادی برای
سادهتر شدن مدیریت دستگاه اضافه کرده است. یکی از مهمترین موارد، Administrator Access Hardening است. FortiOS 8.0 گزینهای با نام disallowed-login-methods به
تنظیمات Admin اضافه کرده
که به مدیر اجازه میدهد روشهای خاص ورود مثل Console، GUI، SSH یا Telnet را برای Login غیرفعال کند. این قابلیت برای
Hardening دسترسی مدیریتی بسیار مهم است.
قابلیت دیگر، پشتیبانی از SCP برای Upload و Export فایلهایی مانند Configuration، Firmware، License و Certificate است. این موضوع یک جایگزین
امنتر و قابل قبولتر نسبت به FTP و TFTP فراهم میکند.
FortiOS 8.0 همچنین
برای مدلهای دارای 2GB یا 4GB RAM بهینهسازیهای Memory انجام داده است. طبق مستندات Fortinet، این بهینهسازیها شامل شروع Router
Daemon فقط در صورت وجود Routing
Configuration، کاهش حافظه
Reserved برای NPها
و تنظیم nTurbo Max Frame Size روی 1500 است. مدلهای تحت تأثیر شامل خانوادههای FG-40F،FG-60F
،FG-50G ،FG-70F ،FG-80F و FG-70G هستند.
نکات مهم قبل از ارتقاء به FortiOS 8.0
FortiOS 8.0 یک Major Release است و ارتقاء به آن باید
با دقت انجام شود. قبل از Upgrade،
مدیران شبکه باید حتماً Release Notes، Supported Models، Upgrade
Path، Known Issues، Compatibility با FortiManager، FortiAnalyzer، FortiClient EMS، FortiSwitch و FortiAP
را بررسی کنند.
چند
تغییر Default Behavior نیز
در FortiOS 8.0 مهم هستند. برای مثال، DH Group های پیشفرض
IPsec VPN برای Phase1 و Phase2 در تنظیمات CLI از 14 و 5 به 20 و 21 تغییر کردهاند
و پس از Upgrade، VPN هایی که DH Groupهای پیشفرض قبلی را داشتهاند، به ترکیبی شامل 14، 20 و 21 تغییر داده
میشوند.
همچنین Default Auto-update Schedule
برای FortiGuard Packages از Automatic به Daily تغییر کرده است. Configuration Revisions فقط روی مدلهای
دارای Disk در دسترس
هستند و revision-backup-on-logout به صورت پیشفرض فعال شده است. علاوه بر این، allow-traffic-redirect و ipv6-allow-traffic-redirect به صورت پیشفرض از Enable به Disable تغییر کردهاند
و پس از Upgrade نیز Disable میشوند.
در NGFW Policy-based Mode، اگر IPS Engine در حال اجرا نباشد، FortiOS 8.0 به جای Bypass کردن ترافیک، آن را Drop میکند. این تغییر از نگاه امنیتی منطقی است، اما برای محیطهایی که به Availability حساس هستند باید قبل از Upgrade بررسی شود. همچنین Inline IPS به صورت پیشفرض غیرفعال شده
و در صورت نیاز باید صراحتاً فعال شود.
جمعبندی
FortiOS 8.0 را
میتوان یکی از نسخههای مهم Fortinet در مسیر تبدیل FortiGate به یک پلتفرم امنیتی هوشمند، AI-aware و آماده برای آینده دانست. قابلیتهایی مثل کنترل دقیقتر GenAI، شناسایی MCP و A2A، FortiAI Assistant، CLI
Code Lab، پشتیبانی از
Post-Quantum Cryptography، بهبود SD-WAN، ارتقاء VPN، قابلیتهای جدید HA، پیشرفتهای Logging
و Hardening مدیریتی، این نسخه را برای مدیران شبکه بسیار جذاب میکند.
با این حال،FortiOS 8.0 به دلیل Major Release بودن، باید با نگاه عملیاتی و محافظهکارانه بررسی شود. پیشنهاد میشود
قبل از ارتقاء در محیط عملیاتی، ابتدا روی Lab یا حداقل یک دستگاه غیرحیاتی تست شود، Backup کامل گرفته شود، Upgrade Path رسمی بررسی شود و تأثیر تغییرات Default
Behavior روی VPN، SD-WAN، IPS، Routing و Policyها ارزیابی گردد.
برای سازمانهایی که از
FortiGate در شبکههای حساس، شعب گسترده، محیطهای Air-Gap، ساختارهای Hybrid و سناریوهای SD-WAN استفاده میکنند، FortiOS 8.0 میتواند ارزش فنی بالایی داشته باشد؛ اما استفاده موفق از آن به
برنامهریزی دقیق، شناخت قابلیتهای جدید و اجرای صحیح فرآیند Upgrade وابسته است.