【安全篇 / FortiGuard】(7.4) ❀ 01. FortiGuard服务到期后会怎么样？❀ FortiGate 防火墙

　　【简介】很多企业为了网络的安全，都会购买FortiGuard服务，但是FortiGuard服务都是有期限的，由于各种原因，企业在超过服务期限后没有继续购买FortiGuard服务，那么会出现什么情况？防火墙还能继续工作吗？安全还能得到保证吗？

---

  FortiGuard服务

　　首先我们看看什么是FortiGuard服务。

　　① 新的网络威胁每时每刻都在出现。无论是勒索软件、网络钓鱼活动,还是系统漏洞，企业都必须时刻准备好防御新的威胁。对威胁形势的广泛了解,以及在多个层面快速做出反应的能力，是提供有效安全的基础。FortiGuard实验室由数百名研究专家组成,平均拥有超过16年的威胁研究和应对经验。通过夜以继日的威胁研究及特征库更新，为Fortinet Security Fabric解决方案提供全面的安全更新，从而对客户提供最先进的保护，增强客户的网络安全防御。FortiGuard订阅服务可为Fortinet产品线提供多种安全服务的更新。 

　　② 由于安全防护重点方向不同，我们可以选择购买不同的FortiGuard服务。最常见购买的的是ATP(高级威胁防护)和UTP(统一威胁防护)。当然，还有我们常说的保修服务FortiCare。

　　Fortinet的FortiCare服务包括技术支持、硬件保修和系统软件升级服务。从FortiOS 5.6版本开始，FortiCare服务还包含了一些FortiGuard订阅服务。当需要任何技术服务时，用户可以根据自己需求来选择Email或电话支持服务，技术服务邮箱：support_cn@fortinet.com；技术服务电话：400-600-5255。

　　用户购买产品后，需要到https://support.fortinet.com进行产品注册以得到标准的服务支持。同样，购买的订阅服务也需要在support上进行注册激活。产品及服务注册指南请参阅http://support.fortinet.com.cn网站中“注册指南“部分。

  查看FortiGuard服务状态

　　除了在support.fortinet.com网站中查看FortiGuard服务状态外，我们还可以防火墙上查看FortiGuard服务状态。

　　① 登录防火墙，在【仪表板】-【状态】菜单下，会显示【许可】小部件，鼠标移动到服务上，会显示服务的状态及有效期。这里只能快速查看部分服务状态。

　　② 选择菜单【系统管理】-【可见功能】，可以看到安全功能开关选项，由于FortiGuard服务内容比较多，所以我们可以只开启购买了的FortiGuard服务。当然也可以全部开启，这样菜单里的内容就会比较多。

　　③ 选择菜单【系统管理】-【FortiGuard】，可以看到FortiGuard服务的具体信息，包括服务内容、状态、版本等。

　　④ 在CLI命令窗口输入get system status，也可以查看FortiGuard服务数据库的版本及更新日期。

　　⑤ 要想使FortiGuard服务发挥作用，就需要在策略里安全配置文件下启用FortiGuard服务。基于代理的检查模式，可以启用的FortiGuard服务更多。往往很多企业购买了FortiGuard服务，但是并没有在策略上启用，白白浪费了。

  FortiGuard服务过期

　　如果任何或所有FortiGuard许可证过期，FortiGate仍将作为防火墙发挥作用。需要有效的FortiGuard许可证才能接收数据库和签名更新，并执行实时或近实时安全查找，以检测和快速调整新发现的攻击的安全态势。

　　① 应用程序控制签名、设备和操作系统识别、FortiGate虚拟补丁签名、内联CASB应用程序定义、互联网服务数据库定义和PSIRT包定义包含在所有FortiCare支持合同中包含的基本服务中，它们将继续工作，但数据库没有更新，也没有添加新签名。

　　例如，如果在将互联网服务应用于源地址或目标地址的防火墙策略中使用应用程序控制，则该策略将继续使用FortiGate的现有应用程序控制签名和ISDB定义检查匹配的流量。

　　② IPS扫描继续工作，但IPS数据库没有更新，也没有添加新的签名。

　　例如，如果在防火墙策略中使用启用了阻止恶意URL的IPS传感器，那么该策略将继续使用FortiGate现有的IPS签名和恶意URL数据库检查匹配的流量。

　　有效的IPS许可证对于阻止复杂的零日攻击至关重要，因为FortiGuard IPS提供近实时的智能，具有数千条入侵防御规则，以检测和阻止已知的零日攻击。

　　配置了僵尸网络C&C的IPS传感器和DNS过滤器配置文件继续工作，但僵尸网络IP和僵尸网络域数据库没有更新，也没有添加新的签名。

　　虽然僵尸网络IP和域名列在入侵防御类别中，但它们实际上是固件和通用合同的一部分。

　　③ 反病毒扫描继续工作，但反病毒数据库没有更新，也没有添加新的签名。

　　爆发预防停止工作，因为它使用对FortiGuard全球威胁情报数据库的实时查找。

　　④ 基于类别的Web和DNS过滤停止工作，因为URL和域被实时发送到FortiGuard以确定类别。

　　默认情况下，所有网络和DNS流量都会丢弃。如果在发生评级错误时启用允许网站或DNS请求，则所有Web和DNS流量都会在没有过滤的情况下通过。

　　【注意】在Web过滤开启而服务到期后，无法上网就是这个原因。解决办法是：

　　编辑Web过滤配置文件，启用【当发生评级错误时允许的网站】，当然也可以关闭【基于FortiGuard分类的过滤器】。

　　如果在过滤器配置文件中应用静态URL或域过滤，这些过滤器将继续工作。

　　仅允许特定URL和域并阻止所有其他URL和域的配置继续工作，但这不是阻止网站或执行类别过滤的可扩展解决方案。

　　⑤ 垃圾邮件过滤停止工作，因为它实时查询FortiGuard垃圾邮件过滤服务器，以检查垃圾邮件发送者的IP地址和电子邮件（本地配置的除外）、网络钓鱼URL、垃圾邮件URL、垃圾邮件电子邮件校验和和垃圾邮件提交。反垃圾邮件签名不会更新。

　　基于本地垃圾邮件过滤的配置文件选项继续有效。

　　⑥ 付费安全评级检查停止工作。CIS安全控制映射也被禁用。 

　　攻击表面安全评级授权的安全评级和CIS合规性组件需要在安全结构中的所有设备上运行付费安全评级检查。它们允许将评级分数提交给FortiGuard并从FortiGuard接收，以进行网络排名。如果没有安全评级授权，只能运行内置的安全评级规则。与PSIRT相关的漏洞规则取决于固件许可证支持。

　　⑦ OT安全服务签名继续工作，但数据库攻击定义没有更新，也没有添加新签名。

　　OT安全服务包括OT应用程序和协议的应用程序控制和IPS签名。

　　例如，如果在防火墙策略中使用启用了OT安全服务签名的IPS传感器，则该策略将继续使用FortiGate现有的OT威胁定义IPS签名检查匹配的流量。

　　【总结】当FortiGuard服务到期后，拥有本地数据库和签名的服务将继续运行，但是无法更新数据库和签名，无法阻挡最新的攻击。所有必须与FortiGuard服务器联系的服务将停止运行，但不影响FortiGate的正常工作。只有Web过滤会阻止上网，需要对安全配置文件进行修改。

　　建议服务到期前一个月续订服务，以保证网络安全的连贯性。

---