در معماری امنیت شبکههای سازمانی مدرن، فایروالهای نسل جدید (NGFW) تنها به عنوان یک ابزار فیلترگذاری ساده عمل نمیکنند، بلکه به عنوان پلتفرمهای یکپارچهای شناخته میشوند که لایههای متعددی از حفاظت از جمله پیشگیری از نفوذ (IPS)، آنتیویروس پیشرفته، فیلترگذاری وب، کنترل برنامهها و دفاع در برابر تهدیدات پیشرفته (APT) را ارائه میدهند. فایروالهای FortiGate نمونهای برجسته از این نسل هستند که بخش عمدهای از قابلیتهای امنیتی پیشرفته آنها، نه بر اساس سختافزار، بلکه بر پایه سرویسهای اشتراکی مبتنی بر لایسنس (License-based Subscription Services) فعال میشود. این سرویسها که عموماً تحت عنوان سرویسهای FortiGuard شناخته میشوند، مغز متفکر و سیستم ایمنی پویای دستگاه محسوب میشوند و امکان بهروزرسانی مستمر پایگاه داده تهدیدات (Threat Intelligence Database)، موتورهای بازرسی، و signatureها را فراهم میکنند.
اهمیت حیاتی این لایسنسها زمانی آشکار میشود که با خطاهایی مواجه شویم که فعالبودن آنها را زیر سؤال میبرند. دو خطای رایج و کلیدی “License Expired” و “Contract Mismatch” تنها پیامهای خطای ساده نیستند، بلکه هشدارهای جدی درباره تضعیف زیرساخت امنیتی سازمان هستند. وقوع این خطاها به معنای از دستدادن دسترسی به آخرین بهروزرسانیهای امنیتی است. در چنین شرایطی، فایروال در شناسایی و مسدودسازی بدافزارهای جدید، اکسپلویتهای روز صفر (Zero-day)، وبسایتهای مخرب و حملات شبکه ناتوان میماند. در واقع، دستگاه به یک فایروال ایستای با قابلیتهای محدود تبدیل میشود که تنها میتواند بر اساس پالیسیهای از پیش تعریف شده و دانش گذشته عمل کند، در حالی که چشمانداز تهدیدات سایبری به سرعت در حال تحول است.
عواقب عملی این اختلال میتواند گسترده باشد: افزایش ریسک نقض دادهها (Data Breach)، کاهش بهرهوری کارکنان به دلیل دسترسی به منابع مخرب، عدم انطباق با استانداردهای امنیتی نظیر PCI-DSS، ISO 27001 و حتی آسیبپذیری در برابر باجافزارها. از منظر فنی، برخی ویژگیهای پیشرفته مانند امکان VPN SSL برای دسترسی از راه دور، سرویسهای رایانش ابری و حتی گاهی قابلیتهای مدیریتی نیز ممکن است غیرفعال شوند.
بنابراین، درک عمیق ریشههای این خطاها، تسلط بر روشهای تشخیص و رفع سریع آنها، و استقرار چارچوبهای مدیریتی برای پیشگیری، نه یک مهارت جانبی، بلکه یک ضرورت عملیاتی برای مدیران امنیت شبکه و کارشناسان فناوری اطلاعات به شمار میآید. این مقاله با هدف ارائه یک راهنمای عملی و گامبهگام تدوین شده است تا متخصصان بتوانند با حداکثر کارایی و حداقل زمان Downtime، این چالشهای رایج را پشت سر بگذارند و یکپارچگی و کارایی دیواره آتش سازمان خود را حفظ نمایند. رویکرد ما در این مقاله، ترکیبی از عیبیابی سیستماتیک، ارائه دستورالعملهای اجرایی در CLI و GUI، و در نهایت، تعریف بهترین روشها برای مدیریت چرخه حیات لایسنس (License Lifecycle Management) خواهد بود.
شناخت خطاها و دلایل بروز: تحلیل عمیق “License Expired” و “Contract Mismatch”
برای رفع مؤثر خطاهای لایسنس در FortiGate، ابتدا باید درک دقیقی از ماهیت، تفاوتها و ریشههای هر یک از این خطاها داشته باشیم. این دو خطا، هرچند در ظاهر ممکن است مشابه به نظر برسند، اما دلایل متفاوتی دارند و نیازمند رویکردهای عیبیابی متمایزی هستند.
خطای “License Expired” (اتمام اعتبار لایسنس)
این خطا یک وضعیت شفاف و مستقیم را نشان میدهد: دوره اعتبار (Validity Period) یکی از سرویسهای اشتراکی FortiGate به پایان رسیده است. دستگاه دیگر مجوز قانونی برای دریافت بهروزرسانیها یا استفاده از آن سرویس خاص را ندارد.
سرویسهای مستعد این خطا:
سرویسهای امنیتی FortiGuard: آنتیویروس (AV)، سیستم پیشگیری از نفوذ (IPS)، فیلتر وب (Web Filter)، فیلتر برنامه (Application Control)، فیلتر DNS، و Sandboxing.
سرویسهای مدیریتی و تحلیلی: FortiAnalyzer Cloud، FortiManager Cloud، SD-WAN Underlay Assurance.
سرویسهای دسترسی: VPN SSL (برای تعداد کاربران همزمان)، Wireless Management.
پشتیبانی فنی: قرارداد پشتیبانی سختافزاری (Hardware Contract).
دلایل اصلی بروز:
عدم تمدید به موقع (رایجترین دلیل): فرآیندهای اداری یا مالی سازمان باعث تأخیر در تمدید سالانه یا چندساله اشتراک میشود.
مشکل در ارتباط شبکه (Connectivity Issue): دستگاه FortiGate نمیتواند برای “اعتبارسنجی دورهای لایسنس” به سرورهای لایسنس Fortinet متصل شود. حتی اگر لایسنس معتبر باشد، قطعی طولانیمدت ارتباط میتواند باعث نمایش این هشدار شود. این ارتباط معمولاً از پورت 443 یا 8883 برقرار میشود.
تنظیمات نادرست زمان سیستم (System Time): اگر ساعت داخلی دستگاه (NTP Sync) به درستی تنظیم نشده باشد و تاریخ اشتباهی را نشان دهد (مثلاً تاریخی در آینده یا گذشته دور)، ممکن است دستگاه به اشتباه تشخیص دهد که لایسنس منقضی شده است.
مشکل در سرورهای FortiGuard: موارد نادری از اختلال موقت در سرویسدهی سرورهای لایسنس Fortinet رخ میدهد.
لایسنس آزمایشی (Trial License): پس از اتمام دوره آزمایشی (معمولاً ۱۵ تا ۳۰ روز) بدون ثبت لایسنس اصلی، این خطا ظاهر میشود.
نحوه شناسایی:
در GUI به مسیر System > FortiGuard بروید. در بخش Service Status، سرویسهای منقضی شده با علامت قرمز یا عبارت “Expired” مشخص میشوند. در CLI نیز از دستور diagnose debug rating یا get system fortiguard status میتوان استفاده کرد.
خطای “Contract Mismatch” (عدم تطابق قرارداد)
این خطا پیچیدهتر است و به عدم همخوانی بین اطلاعات ثبت شده در دستگاه و اطلاعات موجود در پایگاه داده مرکزی Fortinet اشاره دارد. در این حالت، ممکن است لایسنس از نظر اعتبار زمانی مشکلی نداشته باشد، اما سیستم نمیتواند آن را به درستی به دستگاه فعلی مرتبط و اعمال کند.
دلایل اصلی بروز:
جایگزینی سختافزار (Hardware Replacement): رایجترین دلیل است. وقتی یک دستگاه فرسوده یا معیوب با دستگاه جدیدی جایگزین میشود، لایسنسهای قدیمی به طور خودکار به سریال نامبر (Serial Number) جدید منتقل نمیشوند. اگر مدیر شبکه تنها فایل پیکربندی (Configuration Backup) دستگاه قدیم را روی دستگاه جدید بازگردانی کند، تنظیمات به لایسنسهایی اشاره میکنند که هنوز بر روی سریال نامبر قدیمی ثبت شدهاند.
عدم ثبت اولیه صحیح (Invalid Registration): در مرحله اولیه راهاندازی، اگر دستگاه با کد ثبت (Registration Code) نادرست یا ناقص ثبت شده باشد، ارتباط بین قرارداد و دستگاه به طور کامل برقرار نمیشود.
انتقال دستی لایسنس بدون تکمیل فرآیند: فرآیند انتقال لایسنس از طریق پورتال FortiCare نیاز به تایید نهایی (Authorization) دارد. اگر این فرآیند نیمهکاره رها شود، وضعیت “معلق” ایجاد میکند.
تغییر در اطلاعات قرارداد در پورتال Fortinet: گاهی اوقات تغییرات در طرف Fortinet (مانند ادغام قراردادها یا تغییرات در حساب مشتری) میتواند باعث ناسازگاری موقت شود.
خطای درونساختاری پایگاه داده: در موارد نادر، همگامسازی ناموفق بین کش (Cache) داخلی دستگاه و سرورهای مرکزی میتواند این خطا را ایجاد کند.
ماهیت خطا:
خطای Contract Mismatch اغلب با پیامهای مبهمی همراه است مانند:
- “Invalid contract”
- “This device is not covered by any contract”
- “License validation failed”
در GUI ممکن است سرویسها به صورت “Greyed out” (غیرفعال) نمایش داده شوند.
نکته کلیدی تشخیص
برای تشخیص دقیق، باید سریال نامبر دستگاه (موجود در System > Dashboard) را با سریال نامبر مرتبط با قرارداد در پورتال حمایت Fortinet (support.fortinet.com) مقایسه کنید. عدم تطابق در اینجا، ریشه مشکل است.
جمعبندی بخش شناخت:
“License Expired” مشکل زمانی دارد: “لایسنس موجود است، اما تاریخ آن گذشته است.”
“Contract Mismatch” مشکل هویتی دارد: “سیستم نمیتواند تشخیص دهد که این لایسنسها متعلق به این دستگاه خاص هستند.”
این درک تفکیکشده، سنگ بنای انتخاب مسیر صحیح عیبیابی در بخش بعدی خواهد بود.
راهکارهای عیب یابی سیستماتیک: رویکرد لایهبندی شده برای تشخیص ریشهای خطا
پیش از هر اقدام اصلاحی، انجام یک فرآیند عیبیابی ساختاریافته و گامبهگام، نه تنها زمان بازیابی (Recovery Time) را به حداقل میرساند، بلکه از اقدامات اشتباه که ممکن است وضعیت را پیچیدهتر کنند، جلوگیری میکند. این بخش، یک چارچوب نظاممند برای تشخیص دقیق منشأ خطا ارائه میدهد.
مرحله ۱: جمعآوری اطلاعات پایه و بررسی اولیه
ابتدا باید یک تصویر دقیق از وضعیت فعلی سیستم به دست آورید.
بررسی وضعیت کلی لایسنس در GUI:
به System > FortiGuard بروید.
به بخش Service Status دقت کنید. رنگها و آیکونها گویا هستند:
سبز (Active): لایسنس معتبر و فعال.
قرمز (Expired): لایسنس منقضی شده.
خاکستری یا زرد (Invalid/Unknown/Mismatch): معمولاً نشانه Contract Mismatch یا مشکل ارتباطی.
تاریخ انقضای هر سرویس را یادداشت کنید. اگر همه سرویسها در یک تاریخ منقضی شدهاند، احتمالاً مشکل از تمدید قرارداد اصلی است. اگر تنها یک سرویس خاص منقضی شده، ممکن است اشتراک آن به صورت جداگانه مدیریت شود.
جمعآوری اطلاعات حیاتی دستگاه (CLI):
دستور get system status را اجرا کنید. سریال نامبر (Serial Number)، مدل دستگاه و نسخه فریمور (Firmware Version) را ثبت نمایید. این اطلاعات برای مراجعه به پورتال Fortinet ضروری است.
دستور get system fortiguard را اجرا کنید. آدرسهای سرور FortiGuard، پورتهای ارتباطی و وضعیت اتصال را بررسی نمایید.
مرحله ۲: بررسی سلامت ارتباط شبکه (Connectivity Diagnostic)
بسیاری از خطاهای لایسنس ریشه در عدم دسترسی دستگاه به اینترنت یا سرورهای اختصاصی Fortinet دارند.
بررسی دسترسی به اینترنت از دید FortiGate:
از CLI با دستور execute ping 8.8.8.8 یا execute ping updates.fortinet.com اتصال پایه اینترنت را تست کنید.
از دستور execute traceroute updates.fortinet.com برای تشخیص وجود مسیریابی (Routing) یا فایروال خارجی مسدودکننده استفاده کنید.
بررسی دسترسی اختصاصی به سرورهای لایسنس و بهروزرسانی Fortinet:
دسترسی به دامنههای حیاتی Fortinet باید برقرار باشد:
licensing.fortinet.com
update.fortinet.com
fortiguard.fortinet.com
دستور execute telnet licensing.fortinet.com 443 را برای اطمینان از باز بودن پورت ۴۴۳ به سمت سرورهای لایسنس اجرا کنید (در صورت موفقیت، پیام Connected to licensing.fortinet.com نمایش داده میشود).
تنظیمات پروکسی: اگر دستگاه از طریق یک پروکسی خروجی به اینترنت متصل میشود، تنظیمات پروکسی در System > Network > Explicit Proxy باید به دقت بررسی شود. دستور diagnose test application proxy 4 میتواند در عیبیابی پروکسی کمک کند.
بررسی تنظیمات DNS:
عدم تبدیل صحیح نام دامنههای Fortinet به آدرس IP، یک دلیل شایع است. سرورهای DNS تعریف شده در System > Network > DNS را بررسی و با استفاده از دستور execute nslookup licensing.fortinet.com از کارکرد آنها اطمینان حاصل کنید.
مرحله ۳: اعتبارسنجی زمان سیستم (System Time Validation)
همگام نبودن ساعت دستگاه با زمان واقعی جهانی (UTC) میتواند به طور کاذب باعث خطای انقضا شود.
بررسی زمان جاری سیستم: در CLI با دستور get system time زمان و تاریخ فعلی دستگاه را ببینید.
بررسی تنظیمات NTP: به System > Settings بروید یا از CLI دستور config system ntp و سپس show را بزنید. اطمینان حاصل کنید که سرورهای NTP معتبر (مانند pool.ntp.org یا سرورهای داخلی) تنظیم شده و حالت (Mode) روی custom یا default است.
همگامسازی دستی و تست: از CLI با دستور execute time update دستگاه را مجبور به همگامسازی فوری با سرور NTP کنید. سپس مجدداً زمان را بررسی کنید.
مرحله ۴: تطبیق اطلاعات با پورتال مرکزی Fortinet (Cross-Reference)
این مرحله، کلید تشخیص قطعی Contract Mismatch است.
ورود به پورتال: به آدرس support.fortinet.com وارد شوید.
پیدا کردن دستگاه: در بخش Assets یا Registered Devices، سریال نامبر دستگاه مشکلدار را جستجو کنید.
مقایسه انتقادی:
آیا دستگاه در پورتال شما ثبت شده است؟
آیا سریال نامبر نمایش داده شده در پورتال، عیناً با سریال نامبر روی دستگاه (و در GUI) مطابقت دارد؟
آیا قراردادهای فعال (Contracts) و لایسنسهای تخصیص داده شده به این سریال نامبر، با سرویسهایی که در دستگاه انتظار دارید، همخوانی دارند؟
آیا تاریخ انقضای قراردادها در پورتال، با آنچه در دستگاه میبینید، یکسان است؟
نتیجهگیری مرحله عیبیابی:
پس از تکمیل این چهار مرحله، شما به یکی از این نتایج روشن خواهید رسید:
نتیجه A (مشکل ارتباطی/زمان): دستگاه به اینترنت یا سرورهای Fortinet دسترسی ندارد، یا زمان آن نادرست است.
نتیجه B (License Expired تایید شد): ارتباط سالم است، اما تاریخ انقضای قرارداد در پورتال و دستگاه گذشته است.
نتیجه C (Contract Mismatch تایید شد): سریال نامبر دستگاه در پورتال متفاوت است، یا قراردادی به این سریال تخصیص داده نشده است.
نتیجه D (مشکل موقت سرور): همه چیز درست به نظر میرسد، که ممکن است نشاندهنده مشکل موقت در سمت Fortinet باشد (میتوانید با پشتیبانی تماس بگیرید یا چند ساعت صبر کنید).
مراحل عملی رفع خطا: دستورالعملهای اجرایی دقیق برای هر سناریو
پس از تکمیل فرآیند عیبیابی سیستماتیک و تشخیص قطعی نوع خطا، نوبت به اجرای راهکارهای عملی میرسد. در این بخش، مراحل دقیق رفع هر یک از خطاها را به تفکیک، هم در رابط گرافیکی (GUI) و هم در خط فرمان (CLI) ارائه میدهیم.
بخش ۱: رفع خطای “License Expired“
سناریو ۱: لایسنس واقعاً منقضی شده و نیاز به تمدید دارد.
گام ۱: تمدید قرارداد از طریق پورتال FortiCare
به پورتال https://support.fortinet.com وارد شوید.
به بخش Assets یا Contracts بروید.
قرارداد مربوط به سریال نامبر دستگاه خود را پیدا کرده و عملیات Renew (تمدید) را انجام دهید. پس از پرداخت، وضعیت قرارداد به “Active” تغییر میکند.
گام ۲: دریافت و فعالسازی لایسنس جدید
روش A: دانلود و آپلود فایل لایسنس (توصیهشده)
در همان پورتال، روی دستگاه مورد نظر کلیک کرده و گزینه “Download License File” را انتخاب کنید. فایلی با پسوند .lic دانلود خواهد شد.
در GUI دستگاه FortiGate، به System > FortiGuard بروید.
روی دکمه “Upload License File” کلیک کنید.
فایل دانلود شده را انتخاب و آپلود نمایید. دستگاه به طور خودکار لایسنسها را اعمال و با سرورها همگامسازی میکند.
روش B: ثبت دستی با کد فعالسازی (Registration Code)
در پورتال، پس از تمدید، گزینه “Show Registration Code” را انتخاب کنید. یک کد الفبایی-عددی طولانی نمایش داده میشود.
در CLI دستگاه FortiGate، دستور زیر را وارد کنید:
execute license register <کد_ثبت_دریافتی>
دستگاه مجدداً راهاندازی (Reboot) خواهد شد. پس از بالا آمدن، وضعیت لایسنس باید به روز شود.
گام ۳: اعمال و همگامسازی نهایی
در CLI، برای اطمینان از اعمال لایسنس و بهروزرسانی پایگاه داده، دستورات زیر را به ترتیب اجرا کنید:
execute update-now
(این دستور، بهروزرسانی آنتیویروس و IPS را اعمال میکند)
exec fortiguard-service-check
(وضعیت سرویسها را بررسی میکند)
سناریو ۲: لایسنس معتبر است، اما به دلیل مشکل ارتباطی یا زمانی، خطای انقضا نمایش داده میشود.
گام ۱: رفع موانع ارتباطی
مطابق بخش عیبیابی، دسترسی به licensing.fortinet.com:443 را تأیید کنید.
اگر از پروکسی استفاده میکنید، در System > Network > Explicit Proxy، آدرسهای سرورهای Fortinet را در بخش “Proxy Exempt List” اضافه کنید تا از پروکسی عبور نکنند.
گام ۲: تصحیح زمان سیستم
در CLI، تنظیمات NTP را بررسی و در صورت نیاز تصحیح کنید:
config system ntp
set type custom
set server-mode disable
config ntpserver
edit 1
set server “pool.ntp.org”
next
end
end
همگامسازی فوری:
execute time update
گام ۳: مجبور کردن دستگاه به اعتبارسنجی مجدد لایسنس
گاهی دستگاه نیاز دارد تا به طور دستی وضعیت لایسنس خود را از سرورها بازبینی کند.
در CLI، ابتدا ارتباط لایسنس را قطع و سپس مجدداً وصل کنید:
exec license disconnect
exec license reconnect
یا از دستور جامعتر برای بهروزرسانی وضعیت FortiGuard استفاده کنید:
exec update-now
بخش ۲: رفع خطای “Contract Mismatch“
این خطا نیازمند هماهنگسازی اطلاعات بین دستگاه و پایگاه داده مرکزی Fortinet است.
سناریو اصلی: دستگاه جایگزین شده یا اطلاعات ثبت نادرست است.
گام ۱: انتقال قرارداد به سریال نامبر جدید در پورتال (در صورت جایگزینی سختافزار)
در پورتال FortiCare، به بخش Assets بروید.
دستگاه قدیمی (با سریال نامبر قبلی) را پیدا کنید.
گزینهای مانند “Replace/Transfer License” یا “Decommission” را انتخاب کنید.
سریال نامبر دستگاه جدید را وارد کرده و فرآیند انتقال را تأیید کنید. این فرآیند ممکن است چند دقیقه تا چند ساعت زمان ببرد تا در سرورها پردازش شود.
گام ۲: پاکسازی اطلاعات ثبت قدیمی از روی دستگاه FortiGate (Re-register)
توجه: این عملیات تنظیمات پیکربندی شما (مانند Policyها، شبکه و …) را حذف نمیکند، بلکه تنها اطلاعات لایسنس و ثبت دستگاه را بازنشانی میکند.
روش ترجیحی از طریق CLI (کاملاً امن):
exec factoryreset2
این دستور از شما میپرسد: This operation will clear all license and registration information. Continue? (y/n)
حرف y را وارد کنید.
سپس میپرسد: Enter new registration code or press <Enter> to skip:
در این مرحله فقط کلید Enter را بزنید (کدی وارد نکنید). این کار دستگاه را به حالت “ثبتنشده” بازمیگرداند.
روش جایگزین از طریق GUI:
به System > Settings بروید.
در بخش Administration Settings، روی دکمه “Restore Factory Defaults” کلیک کنید.
در پنجره بازشده، تنها تیک گزینه “License and Registration Information” را بزنید و مطمئن شوید تیک سایر گزینهها (مانند Configuration) خورده است.
تأیید کنید.
ثبت مجدد دستگاه با اطلاعات صحیح
پس از factoryreset2، در CLI دستور زیر را وارد کنید:
execute license register <REGISTRATION_CODE_NEW>
<REGISTRATION_CODE_NEW>: کد ثبت جدیدی که از پورتال FortiCare برای دستگاه فعلی (سریال نامبر جدید) دریافت کردهاید. این کد با کد دستگاه قدیمی متفاوت است.
دستگاه مجدداً راهاندازی خواهد شد.
گام ۴: همگامسازی نهایی و تأیید
پس از بالا آمدن دستگاه، وارد GUI شوید.
به System > FortiGuard بروید.
روی دکمه “Refresh” یا “Update” کلیک کنید. این کار دستگاه را وادار میکند تا قراردادهای تخصیص داده شده به سریال نامبر جدید را از سرورها دریافت کند.
در CLI، وضعیت نهایی را با دستور زیر بررسی کنید:
get system fortiguard status
تمامی سرویسها باید با وضعیت “valid” نمایش داده شوند.
راهکار فوری برای مواقع اضطراری (Workaround)
اگر نیاز فوری به بهروزرسانی سرویسهای امنیتی دارید اما رفع کامل خطا زمانبر است، میتوانید از لایسنس آزمایشی (Trial License) بهره ببرید:
در GUI، به System > FortiGuard بروید.
روی لینک “Request Trial License” کلیک کنید (در صورت وجود).
یا در CLI: exec license trial
این کار معمولاً ۱۵ تا ۳۰ روز دسترسی کامل به سرویسها را میدهد تا فرصت کافی برای رفع مشکل اصلی را داشته باشید.
هشدار مهم: هرگز سعی نکنید با دستکاری فایلهای پیکربندی یا تغییر دستی تاریخ سیستم، خطا را دور بزنید. این اقدامات امنیت دستگاه را به شدت تضعیف کرده و میتوانند منجر به نقض قرارداد پشتیبانی (Support Contract) شوند.
اقدامات پیشگیرانه: استقرار چارچوب مدیریت چرخه حیات لایسنس (License Lifecycle Management)
رفع خطاهای لایسنس اگرچه حیاتی است، اما یک استراتژی فعال و پیشگیرانه بسیار کارآمدتر و کمهزینهتر از واکنش به بحرانهای عملیاتی است. با اجرای فرآیندهای نظاممند زیر، میتوانید از بروز اختلال در سرویسهای امنیتی و وقوع خطاهای غیرمنتظره جلوگیری کنید.
۱. استقرار سیستم هشدار و نظارت متمرکز (Proactive Monitoring & Alerting)
اتکا به حافظه یا چککردن دستی منسوخ است. سیستم را به گونهای پیکربندی کنید که خودش به شما هشدار دهد.
فعالسازی هشدارهای داخلی FortiGate (Built-in Alerts):
در System > Config > Advanced، اطمینان حاصل کنید که گزینه “License Expiry Warning” فعال است.
در Log & Report > Alert Conditions، یک شرط هشدار جدید (Alert Condition) برای “License Expiry” ایجاد کنید. میتوانید آستانههایی مانند ۹۰، ۶۰ و ۳۰ روز مانده به انقضا تعریف کنید.
این هشدارها را از طریق ایمیل، SNMP Trap (به سیستم مانیتورینگ مرکزی مانند Zabbix یا PRTG) یا SMS Gateway دریافت کنید. پیکربندی آن در Log & Report > Alert Email و Log & Report > Alert Console انجام میشود.
استفاده از FortiManager (برای محیطهای چنددستگاهی):
FortiManager یک داشبورد متمرکز از وضعیت لایسنس تمامی FortiGateهای تحت مدیریت ارائه میدهد.
میتوانید سیاستهای هشدار (Alert Policy) یکپارچه برای تمام سایتها تعریف کرده و گزارشهای دورهای انقضا (Expiry Reports) را به صورت خودکار ایجاد کنید.
FortiManager حتی میتواند بهروزرسانیهای فریمور را با اعتبار لایسنس هماهنگ کند و از ارتقاء به نسخهای که نیازمند لایسنس جدید است، جلوگیری کند.
یکپارچهسازی با پلتفرمهای ITSM/SIEM:
لاگهای سیستم (System Logs) FortiGate را به یک سامانه SIEM (مانند FortiSIEM، ArcSight، QRadar) یا تیکتینگ (مانند ServiceNow) ارسال کنید.
یک rule در SIEM ایجاد کنید تا لاگهای مربوط به logdesc=”License warning” یا logdesc=”License expired” را شناسایی و به طور خودکار یک تیکت با اولویت بالا برای تیم فناوری اطلاعات ایجاد کند.
۲. مدیریت مستندات و تقویم داراییها (Asset & Contract Documentation)
اطلاعات نباید در ذهن افراد یا ایمیلهای پراکنده باشد.
ایجاد رجیستری مرکزی داراییهای امنیتی:
یک سند یا صفحه گسترده (Spreadsheet) با ستونهای کلیدی ایجاد کنید: سریال نامبر، مدل، محل استقرار، مسئول، تاریخ خرید، تاریخ انقضای قرارداد پشتیبانی سختافزاری (Hardware Contract)، تاریخ انقضای سرویسهای نرمافزاری (AV, IPS, etc.)، شماره قرارداد (Contract ID)، و لینک مستقیم به صفحه دستگاه در پورتال FortiCare.
این سند باید پس از هر تمدید یا تغییر، بلافاصله بهروزرسانی شود.
تنظیم یادآوری در تقویم تجاری (Business Calendar):
فرآیند تمدید، یک فرآیند تجاری-مالی-فنی است. تاریخهای انقضا را نه تنها در تقویم فنی، بلکه در تقویم مدیر مالی و تیم خرید نیز وارد کنید تا فرآیند خرید و تمدید مالی با فاصله کافی از تاریخ انقضا آغاز شود.
۳. استانداردسازی رویههای عملیاتی (Standard Operating Procedures – SOPs)
برای موقعیتهای رایج، دستورالعمل مکتوب داشته باشید تا از اشتباهات انسانی جلوگیری شود.
SOP برای جایگزینی سختافزار (Hardware Replacement Procedure):
گام ۱: پیش از خاموش کردن دستگاه قدیم، از پورتال FortiCare، انتقال (Transfer) تمام لایسنسها به سریال نامبر دستگاه جدید را شروع و تأیید نهایی کنید.
گام ۲: پیکربندی را Backup بگیرید.
گام ۳: دستگاه جدید را از جعبه خارج کرده، ابتدا بدون بارگذاری کانفیگ قدیم، فقط با IP پایه، به اینترنت متصل و از طریق SOP ثبت مجدد (exec factoryreset2 و execute license register) آن را با سریال نامبر جدید ثبت کنید.
گام ۴: پس از فعال شدن سرویسها، پیکربندی قدیمی را بارگذاری کنید. این ترتیب، از وقوع Contract Mismatch جلوگیری میکند.
SOP برای بهروزرسانی فریمور (Firmware Upgrade Check):
قبل از هر ارتقاء فریمور، در مستندات Fortinet بررسی کنید که آیا نسخه جدید نیازمند لایسنس جدید یا متفاوتی است (مانند حرکت از UTM Bundle به Enterprise Protection Bundle). ارتقاء بدون توجه به این موضوع میتواند باعث از کار افتادن سرویسها شود.
۴. پیکربندی مقاومسازی ارتباط و پشتیبانگیری (Resilience & Backup Configuration)
تنظیمات اتصال مقاوم (Resilient Connectivity):
در System > Network > DNS، حداقل دو سرور DNS معتبر (مثلاً یکی داخلی و یکی عمومی مانند 8.8.8.8) تعریف کنید.
در System > FortiGuard، گزینه “Override Server” را خالی بگذارید مگر اینکه دستورالعمل خاصی داشته باشید. اجازه دهید دستگاه به طور خودکار بهترین سرور FortiGuard را انتخاب کند.
اطمینان حاصل کنید پالیسیهای فایروال، دسترسی دستگاه به دامنههای ضروری Fortinet (در پورتهای ۸۸۸۳، ۴۴۳، ۵۳) را همیشه و بدون محدودیت امکانپذیر میکنند.
پشتیبانگیری دورهای و صحیح از لایسنس:
پشتیبانگیری معمولی (Configuration Backup) تنها تنظیمات را ذخیره میکند. لایسنس به صورت جداگانه Backup نمیشود.
بهترین روش پشتیبان از لایسنس، دانلود فایل .lic از پورتال FortiCare پس از هر تغییر و ذخیره آن در مکانی امن همراه با سایر پشتیبانهای کانفیگ است.
میتوانید از CLI با دستور show full-configuration | grep license نیز اطلاعات لایسنس ثبتشده را استخراج و ذخیره کنید.
۵. آموزش و آگاهیبخشی تیم (Team Training & Awareness)
کارگاههای دورهای: تیم فنی شبکه و امنیت را با مفاهیم لایسنسدهی Fortinet، تفاوت بین انواع بستهها (Bundleها) و مراحل عیبیابی استاندارد آشنا کنید.
مستندسازی داخلی: راهنمای سریع “رفع خطای لایسنس در ۱۰ دقیقه” را بر اساس این مقاله تهیه و در دسترس تیم قرار دهید.
تعیین نقش و مسئولیت: شخص یا تیم خاصی را به عنوان “مدیر دارایی و لایسنس امنیتی” مسئول کنید تا نقطه کانونی برای پیگیری انقضاها، ارتباط با فروشنده و اجرای SOPها باشد.
اجرای این اقدامات پیشگیرانه، نه تنها ریسک وقوع خطا را به حداقل میرساند، بلکه بلوغ عملیاتی (Operational Maturity) تیم فناوری اطلاعات را افزایش داده و اطمینان خاطر میدهد که سرمایهگذاری در راهحلهای امنیتی Fortinet، همواره با حداکثر کارایی و حفاظت فعال در حال بهرهبرداری است.
از رفع بحران تا حکمرانی مستمر امنیت
خطاهای “License Expired” و “Contract Mismatch” در فایروالهای FortiGate، صرفاً مشکلات فنی گذرا نیستند، بلکه شاخصهای حیاتی (Key Indicators) از سلامت چرخه مدیریت امنیت و داراییهای دیجیتال سازمان به شمار میروند. مواجهه موفق با این چالشها، نیازمند عبور از یک نگرش واکنشی (Reactive) و استقرار یک رویکرد پیشگیرانه و نظاممند (Proactive & Systemic) است.
از تشخیص تا حکمرانی
این مقاله نشان داد که مسیر حل این خطاها، یک فرآیند خطی ساده نیست، بلکه یک چرخه بهبود مستمر است:
تشخیص هوشمند (Smart Diagnosis): تمایز دقیق بین “انقضای واقعی” و “عدم تطابق هویتی” با استفاده از ابزارهای عیبیابی لایهبندی شده (ارتباط شبکه، زمان سیستم، تطبیق پورتال) اولین و حیاتیترین قدم است. همانطور که مشاهده کردیم، درمان نادرست یک Contract Mismatch با تلاش برای Upload License تنها مشکل را عمیقتر میکند.
اقدام اصلاحی دقیق (Surgical Remediation): اجرای دستورالعملهای گامبهگام و تفکیکشده برای هر سناریو—اعم از تمدید و آپلود فایل لایسنس، یا بازنشانی ثبت و انتقال دارایی در پورتال—امکان بازیابی سریع سرویس (Rapid Service Restoration) با کمترین میزان اختلال (Downtime) را فراهم میآورد. دستوراتی مانند exec factoryreset2 و execute license register در این مسیر، ابزارهای قدرتمند و در عین حال حساسی هستند که باید با دانش کافی به کار گرفته شوند.
تحول به سمت پیشگیری (Transformation to Prevention): نقطه اوج بلوغ فنی، جایی است که دیگر منتظر وقوع خطا نمیمانیم. با استقرار چارچوب مدیریت چرخه حیات لایسنس (License Lifecycle Management Framework)—شامل نظارت متمرکز با هشدارهای خودکار در FortiManager یا SIEM، مستندسازی داراییها، استانداردسازی رویههای عملیاتی (SOP) برای جایگزینی سختافزار، و آموزش مستمر تیم—ریشه بسیاری از مشکلات پیش از تبدیل شدن به بحران، خشکانده میشود.
لایسنس، ستون فقرات امنیت پویا است
نباید فراموش کرد که لایسنسهای فعال FortiGuard، تنها یک مجوز نرمافزاری نیستند؛ آنها مجرای حیاتی تزریق هوش تهدید (Threat Intelligence) و قابلیتهای دفاعی پیشرفته به زیرساخت شبکه هستند. یک فایروال با لایسنس منقضی شده، مانند یک سیستم ایمنی بدن است که واکسنهای ضروری را دریافت نکرده و تنها میتواند مهاجمان آشنا را شناسایی کند. در جهانی که تهدیدات سایبری هر روز نو میشوند، این یک موقعیت مخاطرهآمیز است.
توصیهای برای مسیر پیش رو
همین امروز اقدام کنید:
وضعیت موجود را ممیزی کنید: به پورتال FortiCare مراجعه کرده و تاریخ انقضای تمام داراییهای خود را در یک صفحهگسترده ثبت نمایید.
هشدارها را فعال کنید: سادهترین قدم پیشگیرانه—فعالسازی هشدار ایمیلی انقضای لایسنس در یکی از دستگاههای خود—را حداکثر در ۱۵ دقیقه انجام دهید.
یک SOP اولیه بنویسید: یک صفحه راهنمای سریع مبتنی بر این مقاله برای تیم خود تهیه و در محل قابل دسترس قرار دهید.
مدیریت اثربخش لایسنس FortiGate، دیگر یک وظیفه فنی (Technical Task) صرف نیست، بلکه یک فرآیند استراتژیک امنیتی (Security Governance Process) است که پایداری، انطباق و تابآوری سایبری سازمان را تضمین میکند. با پیادهسازی آموزههای این راهنمای جامع، شما نه تنها قادر خواهید بود خطاها را به سرعت رفع کنید، بلکه زیرساختی ایجاد میکنید که از بروز بسیاری از آنها جلوگیری میکند و در نهایت، حفاظت مستمر و بیوقفه را برای داراییهای دیجیتال سازمان خود به ارمغان میآورد.


