Die Antwort: Das für Ihren Fall am besten passende.
So einfach könnte man unsere Antwort zusammenfassen. Es gibt keine Version, welche wir immer empfehlen können. Ausserdem unterliegt die FortiOS Software einer ständigen Weiterentwicklung. Daher haben wir einige Faktoren zusammengefasst, welche wir bei der Auswahl der passenden FortiOS Version beachten. Unabhängig davon, ob es sich um ein einfaches Upgrade oder eine Neuinstallation handelt, müssen dieselben Entscheidungen getroffen werden.
Hinweis am Rande: Fortinet führt seit neustem eine Liste mit dem empfohlenen Release für jede Hardware Platform. Diese Liste ist in diesem KB Artikel zu finden.
Kriterium 1: Welche Version möchte ich einsetzen?
Dies ist eine sehr individuell zu beantwortende Frage. Hier haben nämlich viele Faktoren einen Einfluss. Oft sind folgende Punkte sehr ausschlaggebend um diese Frage zu beantworten:
- Möchte ich eine neue Version oder eine bereits etablierte Version einsetzen?
- Ältere Versionen haben meistens viele aufgetretene Bugs gepatcht und laufen daher sehr stabil.
- Neue Versionen haben meistens mehr Verbesserungen und Features implementiert, diese können aber manchmal auch neue Einschränkungen mit sich bringen.
- Hat eine neue Version eventuell neue Features welche bisher nicht verfügbar waren?
- Welche Version habe ich bereits auf anderen Systemen im Einsatz?
- Mit welcher Version kann ich souverän umgehen und meine täglichen Aufgaben mit dem geringsten Aufwand erledigen?
Kriterium 2: Welche FortiGate Hardware ist im Einsatz? Handelt es sich bei der Wunsch-Version um einen NPI Build?
Welche FortiGate Hardware ist im Einsatz: Bei ganz neuen Serien besteht die Möglichkeit, dass nicht alle FortiOS Versionen verfügbar sind oder gewisse Versionen noch als NPI Builds angeboten werden. NPI Builds sind “New Product Integration” Releases und werden explizit für die neue Hardware programmiert. Diese werden auch “special build” release genannt. Diese Releases beinhalten meisten neue Treiber oder andere Komponenten für die neue Hardware, welche noch nicht im Main Branch integriert wurden. Diese Builds sind dann erfahrungsgemäss nicht gleich stabil und werden auch nicht für jede FortiOS Version programmiert. Die NPI Builds erkennt man an der Build Nummer, welche von der Standard Build Nummer des jeweiligen Releases abweicht.
Kriterium 3: Handelt es sich um eine neue Softwareversion?
Die ersten vier Releases eines neuen FortiOS sind jeweils “New Feature Releases”. In diesen Releases werden neue Features implementiert, entsprechend sind diese weniger ausgiebig getestet wie bei älteren Versionen oder die Konfiguration ändert sich beim Upgrade. Beispiel für New Feature Releases: Versionen 7.0.0, 7.0.1, 7.0.2 und 7.0.3. Diese empfehlen wir aus diesem Grund nur bedingt für produktive Umgebungen.
Je nach Stand der Entwicklung ist auch bei weiteren Versionen noch Vorsicht geboten. Aber um dies für Ihren Fall genauer zu prüfen, gehen wir zu Kriterium 4 weiter.
Beginnend mit FortiOS 7.2 werden alle erscheinenden Releases in Feature- und Mature Release eingestuft. Ein Release, welcher neue Features beinhaltet, bringt auch eine grössere Chance von neuen Fehlern mit sich. Daher sind diese Releases eher weniger für die Nutzung auf produktiven Systemen geeignet. Mature Releases hingegen beinhalten mehr Bugfixes und eher weniger neue Features und sind daher auch als stabiler zu betrachten. Die Einstufung ob ein Release ein Feature- oder ein Mature Release ist wird von Fortinet vorgenommen.
Wenn Sie eine FortiOS-Firmware herunterladen, ist der “Maturity level” im Dateinamen der Firmware direkt nach der FortiOS-Version angegeben. Zum Beispiel:
FGT_3500F-v7.2.1.F-build1254-FORTINET.out
Kriterium 4: Sind die Release Notes derselben Meinung wie ich?
Wenn ein gewünschter Release gefunden wurde, unbedingt die Release Notes prüfen und aufmerksam durchlesen. Vielleicht ist ein zwingend nötiges Feature von einem Bug betroffen und daher auch diese Version nicht empfehlenswert. Hier sind auch Informationen über Änderungen enthalten, welche das Verhalten der Firewall beinflussen können (Abschnitte: Changes in CLI, Changes in GUI behavior, Changes in default behavior or Changes in table size).
Die Release Notes sind hier zu finden.
Kriterium 5: Wie sind die Support Laufzeiten der Wunsch-Version?
Ältere Software Versionen werden nach gewisser Zeit nicht mehr gepatched oder supported . Die genauen Daten wie das “End of Engineering” Datum (keine Weiterentwicklung mehr) oder das “End of Support” Datum (kein Support mehr) sind in den Product Lifecycle Informationen von Fortinet zu finden. In diesem KB Artikel wird beschrieben, wie die Product Lifecycle Informationen abgefragt werden können.
Kriterium 6: Der Upgrade Pfad muss beachtet werden
Falls es sich um ein Update handelt, muss der Upgrade Pfad von der alten auf die neue Version ein direktes Update unterstützen. Ansonsten sind ein oder mehrere Zwischenschritte einzulegen. Der korrekte Upgrade Pfad kann auf dieser Seite abgefragt werden.
