BolеTwee jaar gelede het ons geskryf dat elke Check Point-administrateur vroeër of later die kwessie van opdatering na 'n nuwe weergawe in die gesig staar. In hierdie 'n opgradering van weergawe R77.30 na R80.10 is beskryf. Terloops, in Januarie 2020 het R77.30 'n gesertifiseerde weergawe van FSTEC geword. Baie het egter in 2 jaar by Check Point verander. In die artikel "” beskryf al die innovasies, waarvan daar baie is. Hierdie artikel sal die opdateringsprosedure in soveel detail as moontlik beskryf.
Soos u weet, is daar 2 opsies vir die implementering van Check Point: Standalone en Distributed, dit wil sê sonder 'n toegewyde bestuursbediener en met 'n toegewyde een. Die Verspreide opsie word sterk aanbeveel om verskeie redes:
-
die las op die poorthulpbronne word tot die minimum beperk;
-
Jy hoef nie 'n onderhoudsvenster te skeduleer om op die bestuursbediener te werk nie;
-
voldoende werking van SmartEvent, aangesien dit onwaarskynlik is om in die Selfstandige weergawe te werk;
-
Dit word sterk aanbeveel om 'n groep poorte in die verspreide opset te bou.
Gegewe al die voordele van die verspreide opstelling, sal ons dit oorweeg om die bestuursbediener en sekuriteitspoort afsonderlik op te gradeer.
Sekuriteitsbestuurbediener (SMS)-opdatering
Daar is 2 maniere om SMS op te dateer:
-
via CPUSE (via Gaia Portal)
-
gebruik van migrasienutsgoed (skoon installasie vereis - vars installasie)
Opdatering met CPUSE word nie deur Check Point-kollegas aanbeveel nie, aangesien dit nie jou lêerstelselweergawe en kern sal opdateer nie. Hierdie metode vereis egter nie migrasie van beleide nie en is baie vinniger en eenvoudiger as die tweede metode.
'n Skoon installering en migrasie van beleide met behulp van Migration Tools is die aanbevole metode. Benewens die nuwe lêerstelsel en OS-kern, gebeur dit dikwels dat die SMS-databasis verstop raak, en 'n skoon installasie in hierdie verband is 'n uitstekende oplossing om spoed by die bediener te voeg.
1) Die eerste stap in enige opdatering is om rugsteun en kiekies te skep. As jy 'n fisiese bestuurbediener het, moet 'n rugsteun van die Gaia Portal-webkoppelvlak gemaak word. Gaan na die oortjie Onderhoud > Stelselrugsteun > Rugsteun. Vervolgens spesifiseer jy die ligging om die rugsteun te stoor. Dit kan 'n SCP-, FTP-, TFTP-bediener of plaaslik op die toestel wees, maar dan sal jy hierdie rugsteun later na 'n bediener of rekenaar moet oplaai.
Figuur 1. Skep 'n rugsteun in Gaia Portal
2) Volgende moet jy 'n momentopname in die oortjie neem Onderhoud → Snapshot Management → Nuut. Die verskil tussen rugsteun en kiekies is dat kiekies meer inligting stoor, insluitend alle geïnstalleerde hotfixes. Dit is egter beter om albei te doen.
As u bestuursbediener as 'n virtuele masjien geïnstalleer is, word dit aanbeveel om 'n rugsteun van die virtuele masjien te maak met behulp van die ingeboude hiperviseerdernutsgoed. Dit is eenvoudig vinniger en meer betroubaar.
Figuur 2. Skep 'n momentopname in Gaia Portal
3) Stoor die toestelkonfigurasie vanaf Gaia Portal. Jy kan al die instellingsoortjies wat in Gaia Portal is, skermafdruk, of die opdrag vanaf Clish invoer stoor konfigurasie. Neem dan die lêer na jou rekenaar met WinSCP of 'n ander kliënt.
Figuur 3. Stoor die konfigurasie in 'n tekslêer)
Let daarop: as WinSCP jou nie toelaat om te koppel nie, verander die gebruikersdop na /bin/bash óf in die webkoppelvlak in die Gebruikers-oortjie, óf deur die opdrag in te voer chsh –s /bin/bash.
Opdatering met CPUSE
4) Die eerste 3 stappe is verpligtend vir enige opdateringsopsie. As jy besluit om 'n eenvoudiger opdateringspad te neem, gaan dan in die webkoppelvlak na die oortjie Opgraderings (CPUSE) > Status en aksies > Groot weergawes > Check Point R80.40 Gaia Fresh Installeer en Gradeer op. Regskliek op hierdie opdatering en kies Verifieerder. Die verifikasieproses sal vir 'n paar minute begin, waarna jy 'n boodskap sal sien dat die toestel opgedateer kan word. As jy foute sien, moet dit reggestel word.
Figuur 4. Werk via CPUSE
5) Dateer op na die nuutste weergawe van CDT (Central Deployment Tool) - 'n nutsding wat op die bestuurbediener loop en jou toelaat om opdaterings, dienspakkette te installeer, rugsteun, kiekies, skrifte en nog baie meer te bestuur. 'n Verouderde CDT-weergawe kan probleme met die opdatering veroorsaak. Jy kan CDT aflaai by .
6) Nadat u die afgelaaide argief op SMS in enige gids via WinSCP geplaas het, koppel via SSH na SMS en gaan in deskundige modus. Laat ek jou daaraan herinner dat die WinSCP-gebruiker 'n dop moet hê / bin / bash!
7) Voer die opdragte in:
cd /somepathtoCDT/
teer -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Figuur 5. Installering van die Sentrale Ontplooiingsnutsding (CDT)
8) Die volgende stap is om die R80.40-prent te installeer. Regskliek op update aflaai, dan Installeer. Hou in gedagte dat die opdatering 20-30 minute sal neem en die bestuurbediener sal vir 'n geruime tyd onbeskikbaar wees. Daarom maak dit sin om oor 'n diensvenster saam te stem.
9) Alle lisensies en sekuriteitsbeleide word gestoor, so volgende moet jy 'n nuwe een aflaai .
10) Koppel aan SMS nuwe SmartConsole en stel sekuriteitsbeleide. Knoppie Installeer beleid in die boonste linkerhoek.
11) Jou SMS is opgedateer, dan moet jy die nuutste hotfix installeer. In die blad Opgraderings (CPUSE) > Status en aksies > Hotfixes klik op die regter muisknoppie Verifierdan Installeer opdatering. Die toestel sal self herlaai nadat die opdatering geïnstalleer is.
Figuur 6. Installering van die nuutste hotfix via CPUSE
Opdatering met migrasienutsgoed
4) Eerstens moet jy ook bywerk na die nuutste weergawe van CDT - punte 5, 6, 7 van afdeling "Dateer op met CPUSE."
5) Installeer die Migration Tools-pakket wat nodig is om beleide vanaf die bestuurbediener te migreer. Hiervolgens jy kan Migration Tools vir weergawes vind: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Jy moet Migration Tools van die weergawe aflaai waarna jy wil opdateer, en nie die een wat jy nou het nie! In ons geval is dit R80.40.
6) Volgende in die SMS-webkoppelvlak gaan na die blad Opgraderings (CPUSE) > Status en aksies > Voer pakket in > Blaai > Kies die afgelaaide lêer > Voer in.
Figuur 7. Invoer van migrasienutsgoed
7) Vanuit deskundige modus op SMS, maak seker dat die Migration Tools-pakket geïnstalleer is deur die opdrag te gebruik (die uitvoer van die opdrag moet ooreenstem met die nommer in die naam van die Migration Tools-argief):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 Bounommer 1
Figuur 8. Verifieer die installering van Migrasie-nutsgoed
8) Gaan na die $FWDIR/scripts-lêergids op die bestuursbediener:
cd $FWDIR/skrifte
9) Begin die pre-upgrade verifier met behulp van die opdrag (as daar foute is, korrigeer dit voor verdere stappe):
./migrate_server verifieer -v R80.40
Let daarop: as jy 'n fout sien "Kon nie Upgrade Tools-pakket ophaal nie", maar jy het gekontroleer dat die argief suksesvol ingevoer is (sien punt 4), gebruik die opdrag:
./migrate_server verifieer -v R80.40 -skip_upgrade_tools_check
Figuur 9. Die uitvoering van die verifikasieskrif
10) Voer sekuriteitsbeleide uit met die opdrag:
./migrate_server uitvoer -v R80.40 / / .tgz
Figuur 10. Uitvoer van 'n sekuriteitsbeleid
Let daarop: as jy 'n fout sien "Kon nie Upgrade Tools-pakket ophaal nie", maar jy het gekontroleer dat die argief suksesvol ingevoer is (stap 7), gebruik die opdrag:
./migrate_server uitvoer -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Bereken die MD5-hash-som en stoor die uitvoer van die opdrag:
md5sum / / .tgz
Figuur 11. Berekening van MD5 hash-som
12) Gebruik WinSCP en skuif hierdie lêer na jou rekenaar.
13) Voer die opdrag in df -h en spaar jouself die persentasie gidse gebaseer op die spasie wat beset is.
Figuur 12. Persentasie gidse per SMS
14.1) As jy 'n regte SMS het
14.1.1) Gebruik 'n selflaaibare USB-flash drive met 'n prent word geskep .
14.1.2) Ek beveel aan om ten minste 2 selflaaibare flash drives voor te berei, aangesien dit gebeur dat die flash drive nie altyd leesbaar is nie.
14.1.3) As 'n administrateur op jou rekenaar, hardloop ISOmorphic.exe. In stap 1, kies die afgelaaide prent van Gaia R80.40, in stap 4 die flash drive. Verander punte 2 en 3 Nie nodig nie!
Figuur 13. Skep 'n selflaaibare USB-flash drive
14.1.4) Kies 'n item "Installeer outomaties sonder bevestiging" en dit is belangrik om die model van jou bestuursbediener te spesifiseer. In die geval van SMS, moet jy reël 3 of 4 kies.
Figuur 14. Kies 'n toestelmodel om 'n selflaaibare USB-flash drive te skep
14.1.5) Vervolgens skakel jy die oplyn af, plaas die flash drive in die USB-poort, koppel die konsolekabel via die COM-poort aan die toestel en aktiveer SMS. Die installasieproses vind outomaties plaas. Verstek IP-adres - 192.168.1.1/24, en aanmeldinligting admin/admin.
14.1.6) Die volgende stap is om te koppel aan die webkoppelvlak op Gaia Portal (verstek adres ), waar jy deur toestelinisialisering gaan. Tydens inisialisering druk jy basies Volgende, omdat byna alle instellings in die toekoms verander kan word. U kan egter onmiddellik die IP-adres, DNS-instellings en gasheernaam verander.
14.2) As jy virtuele SMS het
14.2.1) Moet onder geen omstandighede die ou SMS uitvee nie; skep 'n nuwe virtuele masjien met dieselfde hulpbronne (CPU, RAM, HDD) en dieselfde IP-adres. Terloops, jy kan RAM en HDD byvoeg, aangesien die R80.40-weergawe 'n bietjie meer veeleisend is. Om IP-adreskonflik te vermy, skakel die ou SMS af en begin 'n nuwe een installeer.
14.2.2) Tydens die installering van Gaia, stel die huidige IP-adres op en kies 'n gids / wortel voldoende ruimte. Die persentasie gidse wat jy het, behoort ongeveer te wees oorleef, gebruik uitset df -h.
15) Op die oomblik van die keuse van die tipe installasie "Installasie tipe" kies die eerste opsie, aangesien jy heel waarskynlik nie MDS (Multi-Domain Server) het nie. As MDS, dan het jy baie domeine van verskillende SMS-entiteite op dieselfde tyd bestuur. In hierdie geval moet u die tweede opsie kies.
Figuur 15. Kies Gaia installasie tipe
16) Die belangrikste punt wat nie reggestel kan word sonder om weer te installeer nie, is die keuse van entiteit. Moet kies Sekuriteitsbestuur en klik Volgende. Al die ander is by verstek.
Figuur 16. Kies 'n entiteittipe wanneer Gaia geïnstalleer word
17) Sodra die toestel herselflaai, koppel aan die webkoppelvlak deur of 'n ander IP-adres as jy dit verander het.
18) Dra die instellings van die skermkiekies oor na alle Gaia Portal-oortjies waarin iets gekonfigureer is, of voer die opdrag vanaf clish laai konfigurasie .txt. Hierdie konfigurasielêer moet eers na SMS opgelaai word.
Let daarop: As gevolg van die feit dat die bedryfstelsel nuut is, sal WinSCP jou nie toelaat om as 'n administrateur te koppel nie, die gebruikersdop na /bin/bash te verander, hetsy in die webkoppelvlak in die Gebruikers-oortjie, of deur die opdrag in te voer chsh –s /bin/bash of skep 'n nuwe gebruiker.
19) Laai die lêer met uitgevoerde beleide op vanaf die ou bestuursbediener na enige gids. Gaan dan na die konsole in deskundige modus en maak seker dat die MD5-hash-bedrag ooreenstem met die vorige een. Andersins moet die uitvoer weer gedoen word:
md5sum / / .tgz
20) Herhaal stap 6 en installeer Upgrade Tools op die nuwe SMS in Gaia Portal in die oortjie Opgraderings (CPUSE) > Status en aksies.
21) Voer die opdrag in kundige modus in:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figuur 17. Die invoer van 'n sekuriteitsbeleid na 'n nuwe SMS
22) Aktiveer dienste met die opdrag cpstart.
23) Laai 'n nuwe een af en koppel aan die bestuursbediener. Gaan na Kieslys > Bestuur lisensies en pakkette (SmartUpdate) en kyk of jy nog jou lisensie het.
Figuur 18. Kontroleer geïnstalleerde lisensies
24) Stel die sekuriteitsbeleid op die poort of groepering - Installeer beleid.
Sekuriteit Gateway (SG) Opdatering
Die Security Gateway kan opgedateer word via CPUSE, net soos die bestuursbediener, of weer geïnstalleer word - vars installasie. Uit my ervaring, in 99% van die gevalle, installeer almal Security Gateway weer as gevolg van die feit dat dit amper dieselfde tyd neem as om via CPUSE op te dateer, maar jy kry 'n skoon, opgedateerde bedryfstelsel sonder foute.
In analogie met SMS, moet jy eers 'n rugsteun en momentopname skep, en ook die instellings van Gaia Portal stoor. Verwys na punte 1, 2 en 3 in afdeling "Sekuriteitsbestuurbedieneropdatering".
Opdatering met CPUSE
Die opdatering van die sekuriteitspoort via CPUSE is presies dieselfde as om die sekuriteitsbestuurbediener op te dateer, so verwys asseblief na die begin van die artikel.
Belangrike punt: SG-opdatering vereis reboot! Dateer dus op tydens die onderhoudsvenster. As jy 'n groep het, gradeer eers die passiewe nodus op, verander dan rolle en gradeer die ander nodus op. In die geval van 'n kluster kan onderhoudsvensters vermy word.
Installeer 'n nuwe bedryfstelselweergawe op Security Gateway
1.1) As jy 'n regte SG het
1.1.1) Gebruik 'n selflaaibare USB-flash drive met 'n prent word geskep . Die beeld is dieselfde as op SMS, maar die prosedure vir die skep van 'n selflaaibare flash drive lyk 'n bietjie anders.
1.1.2) Ek beveel aan om ten minste 2 selflaaibare flash drives voor te berei, aangesien dit gebeur dat die flash drive nie altyd leesbaar is nie.
1.1.3) As 'n administrateur op jou rekenaar, hardloop ISOmorphic.exe. In stap 1, kies die afgelaaide prent van Gaia R80.40, in stap 4 die flash drive. Verander punte 2 en 3 Nie nodig nie!
Figuur 19. Skep 'n selflaaibare USB-flash drive
1.1.4) Kies 'n item "Installeer outomaties sonder bevestiging", en dit is belangrik om die model van jou Security Gateway aan te dui - reëls 2 of 3. As dit 'n fisiese sandbox (SandBlast Appliance) is, kies dan reël 5.
Figuur 20. Kies 'n toestelmodel om 'n selflaaibare USB-flash drive te skep
1.1.5) Vervolgens skakel jy die oplyn af, plaas die flash drive in die USB-poort, koppel die konsolekabel via die COM-poort aan die toestel en skakel die poort aan. Die installasieproses vind outomaties plaas. Verstek IP-adres - 192.168.1.1/24, en aanmeldinligting admin/admin. Jy moet eers opdateer passiewe nodus, installeer dan 'n beleid daarop, verander rolle en werk dan 'n ander nodus op. Jy sal heel waarskynlik 'n diensvenster nodig hê.
1.1.6) Die volgende stap is om aan die webkoppelvlak op Gaia Portal te koppel, waar jy deur die eerste inisialisering van die toestel gaan. Tydens inisialisering druk jy basies Volgende, omdat byna alle instellings in die toekoms verander kan word. U kan egter onmiddellik die IP-adres, DNS-instellings en gasheernaam verander.
1.2) As jy 'n virtuele SG het
1.2.1) Skep 'n nuwe virtuele masjien met dieselfde hulpbronne (CPU, RAM, HDD) of meer, aangesien die R80.40-weergawe 'n bietjie meer veeleisend is. Om 'n konflik van IP-adresse te vermy, skakel die ou poort af en begin 'n nuwe een met dieselfde IP-adres installeer. Die ou SG kan veilig uitgevee word, aangesien daar niks waardevols daarop is nie, want al die belangrikste dinge - die sekuriteitsbeleid - is op die bestuursbediener geleë.
1.2.2) Tydens OS-installasie, konfigureer die huidige IP-adres en kies 'n gids / wortel voldoende ruimte.
3) Koppel aan die poort via die HTTPS-poort en begin die inisialiseringsproses. Ten tyde van die keuse van die installasie tipe "Installasie tipe" kies die eerste opsie - Sekuriteitspoort en/of Sekuriteitsbestuur.
Figuur 21. Kies Gaia-installasietipe
4) Die belangrikste punt is die keuse van entiteit (Produkte). Moet kies Sekuriteitspoort en, as jy 'n cluster het, merk die blokkie "Eenheid is deel van 'n groepering, tipe: ClusterXL". As jy 'n VRRP-kluster het, kies dan hierdie tipe, maar dit is onwaarskynlik.
Figuur 22. Kies 'n entiteittipe wanneer Gaia geïnstalleer word
5) Stel in die volgende stap die SIC eenmalige wagwoord in om vertroue met die bestuursbediener te vestig. Deur hierdie wagwoord te gebruik, word 'n sertifikaat gegenereer, en die bestuursbediener sal met die poort oor 'n geënkripteerde kommunikasiekanaal kommunikeer. Vinkje "Koppel aan jou bestuur as 'n diens" moet gestel word as die bestuursbediener in die wolk geleë is. Ons het onlangs hieroor geskryf en hoe gerieflik en eenvoudig die wolkbestuurbediener is.
Figuur 23. Skep van SIC
6) Begin die inisialiseringsproses op die volgende oortjie. Sodra die toestel herselflaai, koppel aan die webkoppelvlak en dra die instellings van die skermkiekies oor na alle Gaia Portal-oortjies waarin iets gekonfigureer is, of voer die opdrag vanaf clish laai konfigurasie .txt. Hierdie konfigurasielêer moet eers na die sekuriteitspoort opgelaai word.
Let daarop: As gevolg van die feit dat die bedryfstelsel nuut is, sal WinSCP jou nie toelaat om as 'n administrateur te koppel nie, die gebruikersdop na /bin/bash te verander, hetsy in die webkoppelvlak in die Gebruikers-oortjie, of deur die opdrag in te voer chsh –s /bin/bash of skep 'n nuwe gebruiker met hierdie dop.
7) Maak oop en gaan na die Security Gateway-voorwerp wat jy sopas weer geïnstalleer het. Maak die oortjie oop Algemene eienskappe > Kommunikasie > Stel SIC terug en voer die wagwoord in wat in stap 5 gespesifiseer is.
Figuur 24: Vestiging van vertroue met die nuwe sekuriteitspoort
8) Die Gaia-weergawe van die voorwerp moet verander, as dit nie verander nie, verander dit dan met die hand. Installeer dan die beleid op die poort.
9) Gaan na die oortjie in Gaia Portal Opgraderings (CPUSE) > Status en aksies > Hotfixes en installeer die nuutste hotfix. Die toestel sal ingaan herlaai tydens installasie!
10) In die geval van 'n groep, verander die rolle van die nodusse en doen dieselfde stappe vir 'n ander nodus.
Gevolgtrekking
Ek het probeer om die mees duidelike en omvattendste gids te maak vir die opgradering van weergawe R80.20/R80.30 na die huidige R80.40, aangesien baie verander het. Weergawe het reeds in demo-modus verskyn, maar die opdateringsprosedure bly min of meer identies. Gelei deur die amptenaar van Check Point, kan jy al die besonderhede self uitvind.
Vir enige vrae kan jy ons kontak. Ons sal graag help met die mees komplekse opdaterings en gevalle as deel van ons tegniese ondersteuning . Ook op ons dit is moontlik om 'n oudit van Check Point-instellings te bestel of dit gratis te laat vir 'n tegniese geval.
. Bly ingeskakel (, , , , ).
Bron: will.com