弊社がよくとりあつかう3つの製品がありますが、採番のクセがあり、混乱しましたのでまとめました。
メーカごとに公開されている情報が異なっているため、統一性がないかもしれませんが、
そこはご了承ください。
なお当情報は2024年12月現在のものとなります。
目次
PaloAlto
PANCastの内容を抜きだしています。
バージョンの採番について
PAN-OSのバージョンは以下のように記述されます。
<メジャーバージョン>.<マイナーバージョン>.<メンテナンスリリースバージョン>
参考情報:
https://live.paloaltonetworks.com/t5/pancast-episodes/pancast-episode-28-a-few-things-to-know-about-pan-os-versioning/ta-p/560654
各バージョンの変更内容
各バージョン変更時には以下のような変更点があります。
メジャーバージョン…機能、動作、アーキテクチャに大きな変更があります。
マイナーバージョン…機能またはアーキテクチャの小さな変更があります。
メンテナンスバージョン…修正が行われています。メンテナンスバージョンの数字はバージョンの成熟度を示し、メンテナンスリリースは累積的に反映されています。
推奨(優先)バージョンの考え方
PaloAltoよりバージョン一覧及び推奨バージョンが公開されています。
(ポータルへのログインが必要です。)
https://live.paloaltonetworks.com/t5/Customer-Resources/Support-PAN-OS-Software-Release-Guidance/ta-p/258304
P(Preferred Release)が推奨バージョンとなります。
推奨バージョン以外にバージョンアップする選択肢が無いわけではありません。
推奨バージョンで発生している不具合が、一つ先のバージョン(マイナーやメンテナンス)
で解消される場合には、そちらへのバージョンアップを試してみる方法もあるほか、
推奨バージョンを利用しているときに脆弱性が発見された場合には、
バージョンをあげる対応が必要になることもあります。
追加情報
修正バージョンについて
バージョンの採番としてメンテンナンスバージョンまでを紹介されていますが、
最近では末尾に[ -h number ] が付加される、ホットフィックスバージョンがメンテナンスバージョンに
対する修正バージョンとしてリリースをされています。
例) PAN-OS 11.2.4-h1
メンテナンスバージョンよりも修正点は少ないものの、
緊急度が高いものを対象に修正を行っているバージョンとなります。
ホットフィックスバージョンもh4などバージョンを重ねることがあります。
ホットフィックスバージョンも含めて、推奨バージョンとして案内をされています。
バージョンリリース時の試験実施について
全てのバージョンのリリースはQA対応を行われたうえでリリースされており、
PAN-OSの一般的な使用例のほとんどが検証されています。
そのため、全てのリリースは実稼働の準備ができているとみなされて、リリースされています。
https://live.paloaltonetworks.com/t5/general-topics/firmware-hotfix-releases/td-p/566909
適用できるバージョンについて
ハードウェアにより、利用できないバージョンがあります。
そのため筐体のリプレイス時に、現行のバージョンにリプレイスできないケースがあります。
バージョンアップパスについて
以前ではバージョンアップ時には、
各マイナーバージョンとそのメンテナンスバージョンを経由する必要があり、手間がかかっていましたが、
PAN-OS10.1以降では、最大3つのソフトウェアバージョンをスキップできるようになりました。
バージョンアップ時に必ず行うべきこと
下記参考情報を確認してください。
https://live.paloaltonetworks.com/t5/pancast-episodes/pancast-episode-1-four-things-you-must-do-when-upgrading-your/ta-p/515952
FortiGate
バージョンの採番について
<メジャーバージョン>.<マイナーバージョン>.<パッチバージョン> build <ビルド番号> <Maturity Level>
各バージョンの変更内容
各バージョン変更時には以下のような変更点があります。
メジャーバージョン…ファームウェアの世代変更が含まれています。新機能追加や動作変更などが含まれます。
マイナーバージョン…常に大きな変更があります。
パッチバージョン…安定性や脆弱性の修正が含まれている可能性があります。通常はGAリリースですが、特殊な事情により提供されるSpecial buildというものもあるようです。
Maturity Level…当該リリースに新機能が含まれているか、そうでないかが示されます。含まれている場合には、Featureタグが付与され、含まれていない場合にはMatureタグが付与されます。(FortiOS 7.2で導入された)
推奨バージョンの考え方
下記の記事に記述されています。
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-Release-for-FortiOS/ta-p/227178
通常の推奨リリースは「Mature」リリースになります。
PaloAltoと同様に、不具合回避や脆弱性修正を目的に
Mature以外へのバージョンアップが必要になることがあります。
追加情報
バージョンリリース時の試験実施について
GAリリース及びSpecial buildのいずれもQAテストを受けています。
公開される各バージョンは通常利用されると認識しても問題ないようです。
「メジャーバージョン」が、マイナーバージョンを指すことがあります。
自動ファームウェアアップグレードについての記述において、以下のような記載がありました。
「When enabled, FortiGates use the FortiGuard upgrade path to check FortiGuard for firmware updates within the same major release. 」
このsame major releaseという記載だと、
v7.2からv7.4へもバージョンアップされてしまうように受け取ってしまいます。
FortiNet社内ではマイナーバージョンまでをメジャーバージョンと表現することがあるようで
ここで混乱がうまれることがあります。
フォーティネットジャパン合同会社が公開している「FortiGate OSバージョンアップ手順」でも
上記のような表現をされています。
ベンダ、ユーザ企業、メーカ間で認識の齟齬がうまれる可能性があります。
認識が違っている可能性があることを抑えたうえで、慎重にコミュニケーションをとるようにしましょう。
参考情報:
https://community.fortinet.com/t5/Support-Forum/What-is-exactly-quot-major-quot-version/m-p/358673
適用できるバージョンについて
ハードウェアにより、利用できないバージョンがあります。
そのため筐体のリプレイス時に、現行のバージョンにリプレイスできないケースがあります。
バージョンアップを検討する場合には、自社ハードウェアがどのバージョンに対応できるのかを確認するようにしてください
アップグレードパスについて
アップグレードパスに従ってバージョンアップを行う必要があります。
アップグレードパスについては、アップグレードパスツールを使用するか、
FortiGateのGUI上のアップグレードの選択ページから取得をします。
詳しい情報は参考情報をご参照ください。
参考情報:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-FortiGate-FortiOS-Upgrade-Path/ta-p/349392
BIG-IP
バージョンの採番について
3もしくは4つの番号で採番されます。
<メジャーリリース>.<マイナーリリース>.<メンテナンスリリース>.<ポイントリリース> (LTS)
(BIG-IP Nextの場合には、上記の採番の前方に製品名が含まれます。)
参考情報:
https://my.f5.com/manage/s/article/K8986
各バージョンの変更内容
メジャーリリース…動作の大幅な変更、機能追加、パフォーマンスの大幅な向上、新しいハードウェア製品のサポート、またアーキテクチャの大幅な変更が含まれます。
マイナーリリース…追加機能、パフォーマンスの向上、新しいハードウェアサポートが含まれ、ソフトウェアの不具合などに対処されます。
メンテナンスリリース…当該リリース以前全てのポイントリリースが含まれており、不具合や新しいハードウェアサポート、脆弱性対応を行っています。値が0の場合にはメンテナンスバージョンが存在しないことを示します。
ポイントリリース…既存の機能の強化と改良、脆弱性対応などに対処しています。既存のデフォルトの動作には変更はありません。
参考情報:
https://my.f5.com/manage/s/article/K8986
推奨バージョンの考え方
例外はあるかもしれませんが、
各LTSリリースバージョンの最新のメンテナンスリリースが最適な選択となります。
LTSリリースはマイナーバージョンが1のバージョンで識別することができます。
参考情報:
https://my.f5.com/manage/s/article/K70841910
https://my.f5.com/manage/s/article/K54845583
https://my.f5.com/manage/s/article/K9502
追加情報
バージョンリリース時の試験実施について
ソフトウェアリリース時にはQA試験を行った後に、
可能な限り最も安定したコードをリリースするようにしています。
ホットフィックスについて
一部の契約を結んでいる場合に、エンジニアリングホットフィックスが提供されることがあります。
ポイントリリースよりもさらにミニマムな修正が反映されたものとなります。
ただし、ホットフィックスは最善なコードをリリースするようにされてはいますが、
通常のソフトウェアリリースと同様のQA試験は行われていないようです。
アップグレードパスについて
バージョンによってアップグレードパスが異なります。
詳細は参考情報を確認してください。
参考情報:
https://my.f5.com/manage/s/article/K13845
適用できるバージョンについて
ハードウェアにより、利用できないバージョンがあります。
そのため筐体のリプレイス時に、現行のバージョンにリプレイスできないケースがあります。
バージョンアップを検討する場合には、
自社ハードウェアがどのバージョンに対応できるのかを確認するようにしてください
まとめ
製品によってバージョンの扱いが異なることがわかりました。
これは個人的な見解ですが、PaloAltoとBIG-IPは脆弱性や不具合のみが修正されたバージョンを出して
くれますが、FortiGateはパッチバージョンであっても攻めた仕様変更が含まれていることがあります。
そのため、パッチバージョンであってもFortiGateのバージョンアップは事前に情報を収集しておけなければいけないというイメージがあります。
ユーザ企業においてはこの情報収集を常に続けるのは難しいため、
バージョンアップ作業がサービスに含まれる弊社SOC対応は道理にかなっていると思いました。
特にバージョンアップ時にはバージョンアップ前後でのデフォルト動作変更などがバージョンアップ後の
トラブルに響くことがあり、バージョンアップをする立場としては
できるだけデフォルト動作変更を何度も行わない製品こそ安定感のあるものと思います。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。
