ثبت FortiCare در FortiGateهای جدید اجباری شد

مروری بر این خبر

1. اصل ماجرا چیست؟
2. چه نسخه‌ها و مدل‌هایی درگیر هستند؟
3. ادمین دقیقاً با چه محدودیتی روبه‌رو می‌شود؟
4. Fortinet چه بهبودهایی اضافه کرده است؟
5. قبل از Registration چه چیزهایی را می‌توان کانفیگ کرد؟
6. سناریوی Air-gap و شبکه بدون اینترنت
7. نکات مهم برای تیم‌های شبکه قبل از خرید یا نصب
8. جدول خلاصه اثر این تغییر
9. جمع‌بندی و منابع رسمی

1. اصل ماجرا چیست؟

در FortiGateهای جدید، هنگام اولین Login به GUI ممکن است صفحه‌ای با مضمون Register with FortiCare نمایش داده شود. متن رسمی Fortinet می‌گوید این مرحله برای فعال شدن سرویس‌های Threat Protection و دریافت Firmware و Package Update لازم است.

تغییر مهم اینجاست که روی برخی نسخه‌ها و مدل‌ها، این پیام فقط یک یادآوری نیست؛ دستگاه تا قبل از ثبت در FortiCare اجازه کانفیگ کامل را نمی‌دهد. بنابراین اگر دستگاه تازه خریداری‌شده در سایت مشتری یا دیتاسنتر روشن شود و دسترسی به اینترنت یا فرایند Registration آماده نباشد، تیم پیاده‌سازی ممکن است همان ابتدای کار با محدودیت GUI/CLI مواجه شود.

2. چه نسخه‌ها و مدل‌هایی درگیر هستند؟

در Technical Tip رسمی Fortinet، Scope اصلی این تغییر FortiOS v7.2.11 یا v7.4.8 و نسخه‌های بعدی روی مدل‌های FortiGate G Series اعلام شده است. در همان مطلب، Fortinet توضیح می‌دهد که در FortiOS 7.4.8 فقط برخی مدل‌ها مثل FortiGate-20XG و 90XG این Prompt را داشتند و هنوز امکان کانفیگ CLI قبل از Registration وجود داشت؛ اما در 7.4.9 و نسخه‌های بعدی، بیشتر مدل‌های G Series وارد بررسی FortiCare Registration شدند و بخشی از کانفیگ CLI محدود شد.

3. ادمین دقیقاً با چه محدودیتی روبه‌رو می‌شود؟

طبق توضیح Fortinet، اگر دستگاه رجیستر نشده باشد، هنگام ورود به CLI پیام هشدار نمایش داده می‌شود که دستگاه در FortiCare ثبت نشده و تغییر کانفیگ مجاز نیست. با این حال، برای اینکه ادمین بتواند اتصال اینترنت یا مسیر Registration را آماده کند، برخی بخش‌های ضروری کانفیگ همچنان قابل تنظیم هستند.

این موضوع برای تیم‌های نصب خیلی مهم است؛ چون اگر FortiGate در محیطی بدون اینترنت، پشت Proxy، در شبکه بسته یا با Route/DNS آماده‌نشده روشن شود، Registration کامل انجام نمی‌شود و در نتیجه ادامه کانفیگ ممکن است متوقف یا محدود شود.

4. Fortinet چه بهبودهایی اضافه کرده است؟

Fortinet بعد از اعمال این Enforcement، در نسخه‌های جدیدتر چند بهبود مهم اضافه کرده است تا نصب اولیه کاملاً قفل نشود. طبق Technical Tip رسمی، از FortiOS 7.4.10 و 7.6.5 منطق Registration Check بهینه شده است.

• امکان تنظیم IP Address از GUI قبل از Registration
• Setup Period هفت‌روزه بعد از اولین روشن شدن دستگاه
• گزینه Manual License Upload برای سناریوهای Air-gap

در مستندات New Features مربوط به FortiOS 7.4.10 نیز آمده که بعضی مدل‌های جدید FortiGate، قبل از Enforcement نهایی Registration، هفت روز فرصت برای کانفیگ اولیه از GUI و CLI دارند. بعد از پایان این بازه، برای ادامه دسترسی به GUI و CLI باید دستگاه در FortiCare ثبت شود.

5. قبل از Registration چه چیزهایی را می‌توان کانفیگ کرد؟

هدف Fortinet این بوده که ادمین بتواند حداقل اتصال لازم برای Registration را آماده کند. طبق Technical Tip، پیش از Registration هنوز امکان کانفیگ محدود بعضی بخش‌ها وجود دارد؛ از جمله بخش‌هایی مثل Interface، Static Route، DHCP، SD-WAN، Zone، Virtual Wire Pair و مواردی که برای ساخت مسیر اتصال لازم هستند.

همچنین Fortinet اعلام کرده در Enhancementهای بعدی، از نسخه‌های 7.4.12، 7.6.7 و بالاتر، امکان ویرایش چند بخش اضافه هم قبل از Registration فراهم می‌شود؛ مثل:

config system admin
config system central-management
config system dns
config system interface
config system pppoe-interface
config system settings

6. سناریوی Air-gap و شبکه بدون اینترنت

اگر FortiGate در محیطی نصب می‌شود که اینترنت مستقیم ندارد، Registration آنلاین ساده نیست. Fortinet برای این سناریو مسیر Manual Licensing یا Upload فایل License/Entitlement را معرفی کرده است. در مستندات Licensing in air-gap environments توضیح داده شده که برای محیط‌های Air-gap می‌توان فایل Entitlement را از FortiCloud دریافت و داخل FortiOS Upload کرد.

این موضوع برای سازمان‌های حساس، شبکه‌های بسته، دیتاسنترهای ایزوله، صنایع، بانک‌ها و محیط‌های دولتی بسیار مهم است. اگر فرایند Air-gap از قبل آماده نشده باشد، ادمین ممکن است در زمان نصب با دستگاهی روبه‌رو شود که قبل از Registration اجازه ادامه کانفیگ کامل نمی‌دهد.

• قبل از نصب، مدل و Serial دستگاه در حساب FortiCloud/FortiCare بررسی شود.
• فایل Entitlement یا License برای سناریوی آفلاین از قبل آماده شود.
• نسخه FortiOS و پشتیبانی آن از Manual Licensing بررسی شود.
• در سایت عملیاتی، مسیر Upload فایل و دسترسی Admin آماده باشد.

7. نکات مهم برای تیم‌های شبکه قبل از خرید یا نصب

این خبر برای ادمین‌ها مهم است چون روی زمان‌بندی نصب، تحویل پروژه و حتی فرایند خرید اثر می‌گذارد. اگر دستگاه جدید بدون برنامه Registration وارد پروژه شود، مرحله نصب ممکن است از همان Login اول متوقف شود.

• قبل از Upgrade یا نصب، بررسی کنید مدل دستگاه شما G Series است یا نه.
• نسخه FortiOS دستگاه را قبل از تحویل پروژه چک کنید.
• اگر دستگاه باید آفلاین کار کند، فایل Entitlement را از قبل آماده کنید.
• برای Rollout شعب، Setup Period هفت‌روزه را در زمان‌بندی در نظر بگیرید.
• اگر قرار است دستگاه از طریق FortiManager یا Central Management مدیریت شود، محدودیت‌های قبل از Registration را بررسی کنید.
• به تیم فروش و انبار بگویید دستگاه‌های جدید قبل از نصب باید از نظر Registration و FortiCare وضعیت شفاف داشته باشند.

8. جدول خلاصه اثر این تغییر

9. جمع‌بندی

این تغییر را باید جدی گرفت؛ چون برای ادمین‌ها، موضوع فقط ثبت یک محصول در پرتال نیست. FortiCare Registration در مدل‌ها و نسخه‌های جدید می‌تواند روی دسترسی به GUI، امکان ادامه کانفیگ، نصب در محیط‌های آفلاین و زمان‌بندی پروژه اثر مستقیم بگذارد.

پیشنهاد عملیاتی این است که قبل از نصب هر FortiGate جدید، مخصوصاً G Series، سه چیز مشخص شود: نسخه FortiOS، وضعیت Registration/FortiCare، و مسیر اتصال دستگاه به FortiCare یا روش Air-gap. اگر این سه مورد از قبل آماده باشد، تغییر جدید دردسر جدی ایجاد نمی‌کند؛ اما اگر در لحظه نصب متوجه آن شوید، ممکن است پروژه از همان قدم اول متوقف شود.

منابع رسمی

• Fortinet Community - Technical Tip: Enforcing FortiCare registration starting from v7.2.11, v7.4.8, v7.6.5, v8.0.0
• Fortinet Docs - Enforce FortiCare registration after new GUI login 7.4.8
• Fortinet Docs - Seven-day setup period for GUI and CLI configuration 7.4.10
• Fortinet Docs - Licensing in air-gap environments
• Fortinet Docs - FortiOS 7.4.10 Release Notes: New features or enhancements