بولеقبل عامين ، كتبنا أن كل مسؤول Check Point يواجه عاجلاً أم آجلاً مسألة الترقية إلى إصدار جديد. في هذا
كما تعلم ، هناك خياران لتنفيذ Check Point: مستقل وموزع ، أي بدون خادم إدارة مخصص وخادم مخصص. يوصى بشدة باستخدام الخيار الموزع لعدة أسباب:
-
يتم تقليل الحمل على موارد البوابة ؛
-
لا يمكنك جدولة نافذة الصيانة لتنفيذ العمل مع خادم الإدارة ؛
-
التشغيل المناسب لـ SmartEvent ، لأنه من غير المحتمل أن يعمل في الإصدار المستقل ؛
-
يوصى بشدة ببناء مجموعة من المداخل في تكوين موزع.
نظرًا لجميع مزايا التكوين الموزع ، سننظر في ترقية خادم الإدارة وبوابة الأمان بشكل منفصل.
تحديث خادم إدارة الأمان (SMS)
هناك طريقتان لتحديث الرسائل القصيرة:
-
عبر CPUSE (عبر بوابة Gaia)
-
باستخدام أدوات الترحيل (يتطلب تثبيتًا نظيفًا - تركيب جديد)
لا ينصح الزملاء من Check Point بالترقية باستخدام CPUSE ، حيث لن تقوم بترقية إصدار نظام الملفات والنواة. ومع ذلك ، لا تتطلب هذه الطريقة ترحيل السياسة وهي أسرع وأبسط بكثير من الطريقة الثانية.
التثبيت النظيف وترحيل السياسة باستخدام أدوات الترحيل هي الطريقة الموصى بها. بالإضافة إلى نظام الملفات الجديد و OS kernel ، غالبًا ما يحدث أن قاعدة بيانات SMS "مسدودة" ، والتثبيت النظيف في هذا الصدد هو وسيلة رائعة لإضافة السرعة إلى الخادم.
1) الخطوة الأولى في أي تحديث هي إنشاء نسخ احتياطية ولقطات. إذا كان لديك خادم إدارة فعلي ، فيجب إجراء النسخ الاحتياطي من واجهة ويب Gaia Portal. انتقل إلى علامة التبويب صيانة> نسخ احتياطي للنظام> نسخ احتياطي. بعد ذلك ، حدد موقع حفظ النسخة الاحتياطية. يمكن أن يكون هذا خادم SCP أو FTP أو خادم TFTP أو محليًا على الجهاز ، ولكن بعد ذلك سيتعين عليك تحميل هذه النسخة الاحتياطية إلى خادم أو كمبيوتر لاحقًا.
الشكل 1. إنشاء نسخة احتياطية في Gaia Portal
2) بعد ذلك ، يجب أن تأخذ لقطة في علامة التبويب الصيانة ← إدارة اللقطات ← جديد. يتمثل الاختلاف بين النسخ الاحتياطية واللقطات في أن اللقطات تخزن مزيدًا من المعلومات ، بما في ذلك كافة الإصلاحات العاجلة المثبتة. ومع ذلك ، فمن الأفضل أن تفعل كلا الأمرين.
إذا كان لديك خادم إدارة مثبتًا كجهاز افتراضي ، فمن المستحسن إجراء نسخ احتياطي للجهاز الظاهري باستخدام الأدوات المضمنة في برنامج Hypervisor. إنه ببساطة أسرع وأكثر موثوقية.
الشكل 2. إنشاء لقطة في بوابة Gaia
3) حفظ تكوين الجهاز من بوابة Gaia. يمكنك التقاط لقطة شاشة لجميع علامات تبويب الإعدادات الموجودة في Gaia Portal ، أو من Clish أدخل الأمر حفظ التكوين. يتبع ذلك الملف باستخدام WinSCP أو عميل آخر لالتقاطه على جهاز الكمبيوتر الخاص بك.
الشكل 3. حفظ التكوين في ملف نصي)
لاحظ: إذا كان WinSCP لا يسمح لك بالاتصال ، فغيّر مستخدم shell إلى / bin / bash إما في واجهة الويب في علامة التبويب المستخدمون أو عن طريق إدخال الأمر chsh -s / bin / bash.
التحديث باستخدام CPUSE
4) الخطوات الثلاث الأولى إلزامية لأي خيار ترقية. إذا قررت اتباع مسار تحديث أبسط ، فانتقل إلى علامة التبويب في واجهة الويب الترقيات (CPUSE)> الحالة والإجراءات> الإصدارات الرئيسية> Check Point R80.40 Gaia Fresh Install and Upgrade. انقر بزر الماوس الأيمن فوق هذا التحديث وحدد المدقق. ستبدأ عملية التحقق لبضع دقائق ، وبعد ذلك سترى رسالة تفيد بإمكانية تحديث الجهاز. إذا رأيت أخطاء ، يجب تصحيحها.
الشكل 4. التحديث عبر CPUSE
5) قم بالتحديث إلى أحدث إصدار من CDT (أداة النشر المركزية) - وهي أداة تعمل على خادم الإدارة وتسمح لك بتثبيت التحديثات وحزم الخدمة وإدارة النسخ الاحتياطية واللقطات والبرامج النصية وغير ذلك الكثير. يمكن أن يؤدي إصدار CDT القديم إلى حدوث مشكلات في الترقية. يمكنك تنزيل CDT من
6) بعد وضع أرشيف الرسائل القصيرة الذي تم تنزيله في أي دليل عبر WinSCP ، اتصل عبر SSH بـ SMS وانتقل إلى وضع الخبراء. اسمحوا لي أن أذكرك أن مستخدم WinSCP يجب أن يكون لديه صدفة / بن / باش!
7) أدخل الأوامر:
القرص المضغوط / somepathtoCDT /
القطران -zxvf .tgz
rpm -Uhv - فرض CPcdt-00-00.i386.rpm
الشكل 5 تثبيت أداة النشر المركزية (CDT)
8) الخطوة التالية هي تثبيت الصورة R80.40. انقر بزر الماوس الأيمن للتحديث تحميل، ثم تثبيت. ضع في اعتبارك أن التحديث يستغرق من 20 إلى 30 دقيقة وأن خادم الإدارة لن يكون متاحًا لبعض الوقت. لذلك ، من المنطقي الاتفاق على نافذة للصيانة.
9) يتم الاحتفاظ بجميع التراخيص وسياسات الأمان ، لذا يجب عليك بعد ذلك تنزيل واحدة جديدة
10) قم بالاتصال بالرسائل النصية الخاصة بوحدة التحكم الذكية الجديدة وتعيين سياسات الأمان. زر سياسة التثبيت في الزاوية اليسرى العليا.
11) تم تحديث رسالتك القصيرة ، وبعد ذلك يجب عليك تثبيت أحدث إصلاح عاجل. في علامة التبويب ترقيات (CPUSE)> الحالة والإجراءات> الإصلاحات العاجلة انقر على زر الفأرة الأيمن المدققثم تثبيت التحديث. سيبدأ الجهاز نفسه في إعادة التشغيل بعد تثبيت التحديث.
الشكل 6 تثبيت أحدث إصلاح عاجل عبر CPUSE
الترقية باستخدام أدوات الترحيل
4) أولاً ، يجب عليك أيضًا التحديث إلى أحدث إصدار من CDT - النقاط 5 و 6 و 7 من القسم "التحديث مع CPUSE".
5) قم بتثبيت حزمة أدوات الترحيل المطلوبة لترحيل السياسات من خادم الإدارة. على هذا النحو
6) بعد ذلك ، في واجهة الويب الخاصة بـ SMS ، انتقل إلى علامة التبويب الترقيات (CPUSE)> الحالة والإجراءات> استيراد حزمة> استعراض> حدد الملف الذي تم تنزيله> استيراد.
الشكل 7. استيراد أدوات الترحيل
7) من وضع الخبير في SMS ، تحقق من تثبيت حزمة أدوات الترحيل باستخدام الأمر (يجب أن يتطابق إخراج الأمر مع الرقم الموجود في اسم أرشيف أدوات الترحيل):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
الشكل 8. التحقق من تثبيت أدوات الترحيل
8) انتقل إلى المجلد $ FWDIR / scripts على خادم الإدارة:
القرص المضغوط $ FWDIR / البرامج النصية
9) قم بتشغيل أداة التحقق السابقة للترقية (برنامج التحقق) باستخدام الأمر (إذا كانت هناك أخطاء ، فقم بتصحيحها قبل خطوات أخرى):
./migrate_server تحقق من -v R80.40
لاحظ: إذا رأيت خطأ "فشل استرداد حزمة أدوات الترقية"، لكنك تحققت من أن الأرشيف قد تم استيراده بنجاح (انظر النقطة 4) ، استخدم الأمر:
./migrate_server التحقق من -v R80.40 -skip_upgrade_tools_check
الشكل 9. تشغيل نص التحقق
10) تصدير السياسات الأمنية بالأمر:
./migrate_server export -v R80.40 / / .tgz
الشكل 10. تصدير سياسة أمنية
لاحظ: إذا رأيت خطأ "فشل استرداد حزمة أدوات الترقية"، لكنك تحققت من أنه تم استيراد الأرشيف بنجاح (النقطة 7) ، استخدم الأمر:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) احسب مجموع تجزئة MD5 واحفظ لنفسك إخراج الأمر:
md5sum / / .tgz
الشكل 11. حساب مجموع تجزئة MD5
12) باستخدام WinSCP ، انقل هذا الملف إلى جهاز الكمبيوتر الخاص بك.
13) أدخل الأمر مدافع -h ووفر على نفسك النسبة المئوية للأدلة بناءً على المساحة المشغولة.
الشكل 12. النسبة المئوية للأدلة على SMS
14.1) في حال كان لديك رسالة نصية قصيرة حقيقية
14.1.1) مع
14.1.2) أوصي بإعداد ما لا يقل عن محركي أقراص فلاش قابلين للتمهيد ، حيث يحدث أن محرك أقراص فلاش لا يمكن قراءته دائمًا.
14.1.3) كمسؤول على الكمبيوتر ، قم بتشغيل isomorphic.exe. في الخطوة 1 ، حدد صورة Gaia R80.40 التي تم تنزيلها ، في الخطوة 4 ، محرك أقراص محمول. تتغير الفقرتان 2 و 3 لا حاجة!
الشكل 13. إنشاء محرك أقراص محمول قابل للتمهيد
14.1.4) اختر عنصرًا "التثبيت تلقائيًا بدون تأكيد" ومن المهم تحديد نموذج خادم الإدارة الخاص بك. في حالة الرسائل القصيرة ، حدد السطر الثالث أو الرابع.
الشكل 14. تحديد طراز جهاز لإنشاء محرك أقراص USB محمول قابل للتمهيد
14.1.5) بعد ذلك ، تقوم بإيقاف تشغيل الخطوط العلوية ، وإدخال محرك أقراص فلاش USB في منفذ USB ، والاتصال بكابل وحدة التحكم عبر منفذ COM بالجهاز وتشغيل الرسائل القصيرة. تحدث عملية التثبيت من تلقاء نفسها. عنوان IP الافتراضي - 192.168.1.1/24ومعلومات تسجيل الدخول المشرف / المشرف.
14.1.6) الخطوة التالية هي الاتصال بواجهة الويب على Gaia Portal (العنوان الافتراضي
14.2) في حال كان لديك رسالة نصية افتراضية
14.2.1) تحت أي ظرف من الظروف لا يجب حذف الرسائل القصيرة القديمة ، قم بإنشاء جهاز افتراضي جديد بنفس الموارد (وحدة المعالجة المركزية ، ذاكرة الوصول العشوائي ، محرك الأقراص الثابتة) بنفس عنوان IP. بالمناسبة ، يمكنك إضافة ذاكرة الوصول العشوائي (RAM) ومحرك الأقراص الثابتة (HDD) ، نظرًا لأن إصدار R80.40 أكثر تطلبًا. حتى لا يكون هناك تعارض في عنوان IP ، قم بإيقاف تشغيل الرسائل القصيرة القديمة وابدأ في تثبيت الجديدة.
14.2.2) أثناء تثبيت Gaia ، قم بتكوين عنوان IP الفعلي وتخصيصه ضمن الدليل / الجذر مساحة كافية. يجب أن تكون النسبة المئوية للأدلة التي لديك تقريبًا العيش، استخدم الإخراج مدافع -h.
15) وقت اختيار نوع التثبيت "نوع التثبيت" اختر الخيار الأول ، لأنه على الأرجح ليس لديك MDS (خادم متعدد المجالات). إذا كان برنامج MDS ، فأنت تدير العديد من المجالات من كيانات SMS مختلفة في نفس الوقت. في هذه الحالة ، يجب اختيار الخيار الثاني.
الشكل 15. اختيار نوع تثبيت Gaia
16) أهم نقطة لا يمكن إصلاحها دون إعادة التثبيت هي اختيار الكيان. يجب اختيار إدارة الأمن وانقر فوق التالي. كل شيء آخر هو الافتراضي.
الشكل 16. اختيار نوع الكيان عند تثبيت Gaia
17) بمجرد إعادة تشغيل الجهاز ، اتصل بواجهة الويب عبر
18) قم بنقل الإعدادات من لقطات الشاشة إلى جميع علامات تبويب Gaia Portal التي تم تكوين شيء ما فيها ، أو من clish قم بتشغيل الأمر تكوين الحمل .رسالة قصيرة. يجب إرسال ملف التكوين هذا أولاً إلى SMS.
لاحظ: نظرًا لحقيقة أن نظام التشغيل جديد ، فلن يسمح لك WinSCP بالاتصال تحت المسؤول ، أو تغيير مستخدم shell إلى / bin / bash إما في واجهة الويب في علامة التبويب المستخدمون ، أو عن طريق إدخال الأمر chsh -s / bin / bash أو إنشاء مستخدم جديد.
19) رمي في أي دليل ملف يحتوي على سياسات مُصدَّرة من خادم الإدارة القديم. ثم انتقل إلى وحدة التحكم في وضع الخبير وتحقق من أن مجموع تجزئة MD5 هو نفسه كما كان من قبل. خلاف ذلك ، يجب أن يتم التصدير مرة أخرى:
md5sum / / .tgz
20) كرر الخطوة 6 وقم بتثبيت أدوات الترقية على الرسائل القصيرة الجديدة في Gaia Portal في علامة التبويب ترقيات (CPUSE)> الحالة والإجراءات.
21) أدخل الأمر في وضع الخبير:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
الشكل 17. استيراد سياسة أمنية إلى SMS جديدة
22) تمكين الخدمات مع الأمر com.cpstart.
23) قم بتنزيل ملف جديد
الشكل 18. التحقق من التراخيص المثبتة
24) تعيين نهج الأمان على البوابة أو الكتلة - سياسة التثبيت.
تحديث بوابة الأمان (SG)
يمكن ترقية بوابة الأمان عبر CPUSE بنفس طريقة خادم الإدارة ، أو إعادة تثبيتها - تركيب جديد. من خلال ممارستي ، في 99٪ من الحالات ، أعاد الجميع تثبيت بوابة الأمان لأنها تستغرق تقريبًا نفس الوقت الذي يستغرقه التحديث من خلال CPUSE ، ولكنك تحصل على نظام تشغيل نظيف ومحدث بدون أخطاء.
بالقياس مع الرسائل القصيرة ، تحتاج أولاً إلى إنشاء نسخة احتياطية ولقطة ، وكذلك حفظ الإعدادات من بوابة Gaia. راجع النقاط 1 و 2 و 3 في القسم "تحديث خادم إدارة الأمان".
التحديث باستخدام CPUSE
تحديث بوابة الأمن من خلال CPUSE هو بالضبط نفس تحديث خادم إدارة الأمن ، لذا يرجى الرجوع إلى بداية المقال.
نقطة مهمة: يتطلب تحديث SG تمهيد! لذلك ، قم بإجراء التحديث في النافذة للصيانة. إذا كان لديك نظام مجموعة ، فقم بترقية العقدة الخاملة أولاً ، ثم بدّل الأدوار وقم بترقية العقدة الأخرى. في حالة الكتلة ، يمكن تجنب نوافذ الصيانة.
تثبيت إصدار نظام تشغيل جديد على Security Gateway
1.1) في حال كان لديك SG حقيقي
1.1.1) مع
1.1.2) أوصي بإعداد ما لا يقل عن محركي أقراص فلاش قابلين للتمهيد ، حيث يحدث أن محرك أقراص فلاش لا يمكن قراءته دائمًا.
1.1.3) كمسؤول على الكمبيوتر ، قم بتشغيل isomorphic.exe. في الخطوة 1 ، حدد صورة Gaia R80.40 التي تم تنزيلها ، في الخطوة 4 ، محرك أقراص محمول. تتغير الفقرتان 2 و 3 لا حاجة!
الشكل 19. إنشاء محرك أقراص محمول قابل للتمهيد
1.1.4) اختر عنصرًا "التثبيت تلقائيًا بدون تأكيد" ، ومن المهم تحديد طراز بوابة الأمان - السطر 2 أو 3. إذا كان هذا هو وضع الحماية المادي (SandBlast Appliance) ، فحدد السطر 5.
الشكل 20. تحديد طراز جهاز لإنشاء محرك أقراص USB محمول قابل للتمهيد
1.1.5) بعد ذلك ، تقوم بإيقاف تشغيل الخطوط العلوية ، وإدخال محرك أقراص فلاش USB في منفذ USB ، والاتصال بكابل وحدة التحكم عبر منفذ COM بالجهاز وتشغيل البوابة. تحدث عملية التثبيت من تلقاء نفسها. عنوان IP الافتراضي - 192.168.1.1/24ومعلومات تسجيل الدخول المشرف / المشرف. يجب التحديث أولا عقدة سلبية، ثم ثبّت سياسة عليها ، وبدّل الأدوار ، ثم حدّث عقدة أخرى. ستحتاج على الأرجح إلى نافذة صيانة.
1.1.6) الخطوة التالية هي الاتصال بواجهة الويب على بوابة Gaia ، حيث تنتقل من خلال التهيئة الأولى للجهاز. أثناء التهيئة ، تضغط بشكل أساسي على المقبل، لأنه يمكن تغيير جميع الإعدادات تقريبًا في المستقبل. ومع ذلك ، يمكنك تغيير عنوان IP وإعدادات DNS واسم المضيف مرة واحدة.
1.2) في حال كان لديك SG افتراضي
1.2.1) قم بإنشاء جهاز افتراضي جديد بنفس الموارد (وحدة المعالجة المركزية ، ذاكرة الوصول العشوائي ، محرك الأقراص الثابتة) أو أكثر حيث أن إصدار R80.40 يتطلب أكثر قليلاً. لتجنب تعارض عنوان IP ، قم بإيقاف تشغيل البوابة القديمة وابدأ في تثبيت واحدة جديدة بنفس عنوان IP. يمكن حذف SG القديم بأمان ، لأنه لا يوجد أي شيء له قيمة ، لأن أهم شيء - سياسة الأمان - موجود على خادم الإدارة.
1.2.2) أثناء تثبيت نظام التشغيل ، قم بتكوين عنوان IP الحالي وتخصيصه ضمن الدليل / الجذر مساحة كافية.
3) قم بالتوصيل عبر منفذ HTTPS بالبوابة وابدأ عملية التهيئة. وقت اختيار نوع التثبيت "نوع التثبيت" حدد الخيار الأول - بوابة الأمان و / أو إدارة الأمان.
الشكل 21. اختيار نوع تثبيت Gaia
4) أهم نقطة هي اختيار الكيان (المنتجات). يجب اختيار بوابة الأمان وإذا كان لديك مجموعة ، فحدد المربع "الوحدة جزء من مجموعة ، النوع: ClusterXL". إذا كان لديك مجموعة VRRP ، فاختر هذا النوع ، لكن هذا غير مرجح.
الشكل 22. اختيار نوع الكيان عند تثبيت Gaia
5) في الخطوة التالية ، قم بتعيين كلمة مرور SIC لمرة واحدة لتأسيس الثقة مع خادم الإدارة. باستخدام كلمة المرور هذه ، يتم إنشاء شهادة ، وسيقوم خادم الإدارة بالاتصال بالبوابة عبر قناة اتصال مشفرة. علامة الاختيار "الاتصال بإدارتك كخدمة" يجب تعيينه إذا كان خادم الإدارة في السحابة. لقد كتبنا عنها مؤخرًا.
الشكل 23. إنشاء SIC
6) ابدأ عملية التهيئة في علامة التبويب التالية. بمجرد إعادة تشغيل الجهاز ، اتصل بواجهة الويب وانقل الإعدادات من لقطات الشاشة إلى جميع علامات تبويب Gaia Portal التي تم تكوين شيء ما فيها ، أو من clish ، قم بتشغيل الأمر تكوين الحمل .رسالة قصيرة. يجب أولاً تحميل ملف التكوين هذا إلى بوابة الأمان.
لاحظ: نظرًا لحقيقة أن نظام التشغيل جديد ، فلن يسمح لك WinSCP بالاتصال تحت المسؤول ، أو تغيير مستخدم shell إلى / bin / bash إما في واجهة الويب في علامة التبويب المستخدمون ، أو عن طريق إدخال الأمر chsh -s / bin / bash أو أنشئ مستخدمًا جديدًا باستخدام هذه الصدفة.
7) مفتوح
الشكل 24 إنشاء ثقة مع بوابة أمان جديدة
8) يجب تغيير إصدار Gaia للكائن ، إذا لم يتغير ، فقم بتغييره يدويًا. ثم قم بتثبيت السياسة على البوابة.
9) في Gaia Portal ، انتقل إلى علامة التبويب ترقيات (CPUSE)> الحالة والإجراءات> الإصلاحات العاجلة وتثبيت أحدث إصلاح عاجل. سيذهب الجهاز إلى اعادة التشغيل أثناء التثبيت!
10) في حالة الكتلة ، قم بتغيير أدوار العقد وقم بنفس الخطوات للعقدة الأخرى.
اختتام
حاولت إعداد أكثر دليل مفهومة وشمولية للترقية من R80.20 / R80.30 إلى الإصدار R80.40 الحالي ، حيث تغير الكثير. إصدار
لجميع الأسئلة ، يمكنك الاتصال بنا. سنكون سعداء للمساعدة في أكثر التحديثات والحالات تعقيدًا كجزء من دعمنا الفني.
المصدر: www.habr.com