Mettre à jour le firmware d'un pare-feu Fortigate

Procédure simple et rapide pour mettre à jour le firmware d'un pare-feu Fortigate avec ou sans HA.

Cette opération nécessite :

• Un PC sur le même réseau que l'équipement à mettre à jour (ou qui peut joindre l'équipement via le réseau)
• Un câble console (facultatif mais recommandé pour pouvoir prendre la main sur l'équipement en CLI en cas de problème)
• Un adaptateur Serie ⇒ USB (si pas de port série sur le poste)
• Un compte client Fortinet sous contrat permettant de télécharger les images firmware

Cette étape consiste à déterminer quels sauts de version à effectuer (mises à jour successives) pour que la mise à jour se déroule correctement jusqu'à la version cible du firmware.

Commencer par se connecter à l'équipement en WebUI :

Sur la page d'accueil, vérifier la version du firmware qui est installée :

Pour savoir quels sauts de versions sont recommandés, utiliserl'outil de mise à jour de Fortinet (gratuit).

Celui-ci requiert au minimum de renseigner le modèle de l'équipement concerné, sa version firmware actuelle, et la version visée après upgrade :

Le site va alors donner la liste des versions du firmware à installer l'une à la suite de l'autre, avec leur numéro de build.

Pour se procurer les images de FortiOS, il faut se connecter avec un compte client sous contrat sur le site Fortinet.

Par précaution, il est fortement recommandé de faire d'abord un backup de la configuration de l'équipement.

Aller dans le menu en haut à droite admin > Configuration > Backup :

Sélectionner un mode de sauvegarde (par défaut la conf est téléchargée sur le poste de l'administrateur), et cliquer sur OK :

Une fois les sauts de versions nécessaires déterminés et la conf sauvegardée, on peut procéder à l'upgrade.

Si la HA est activé sur le pare-feu, les équipements du cluster se mettront à jour et redémarreront l'un après l'autre afin de limiter l'impact.

Aller dans System > Firmware et cliquez sur Browse :

Il faut alors sélectionner l'image du firmware à installer. Puis on valide :

Confirmer le lancement de la mise à jour avec “Continue”. La configuration du boitier sera à nouveau sauvegardée et la mise à jour va se lancer.

Une fois l'upgrade faite l'équipement va redémarrer, attendre que la WebUI fonctionne à nouveau :

Enfin, on vérifie que la nouvelle version du firmware a bien été installée.

Dans le cas où la configuration aurait été effacée ou corrompue pendant la mise à jour, ou si l'on souhaite revenir en arrière, il est possible de rétablir l'ancienne configuration.

Attention, en fonction de la version cible du firmware, il est possible que certains ajustements soient à faire dans le fichier de configuration avant de l'importer dans le boitier. Même lorsque l'on veut importer une configuration d'un matériel à un autre (bien adapter la conf au modèle cible avant).

Pour cela, il suffit d'aller dans le menu en haut à droite admin > Configuration > Restore :

Faire Browse, sélectionner le fichier de configuration, et lancer la restauration.