BolеDuha ka tuig ang milabay, among gisulat nga ang matag tagdumala sa Check Point sa madugay o sa madali mag-atubang sa isyu sa pag-update sa bag-ong bersyon. Niini usa ka upgrade gikan sa bersyon R77.30 ngadto sa R80.10 gihulagway. Pinaagi sa dalan, sa Enero 2020, ang R77.30 nahimong usa ka sertipikado nga bersyon sa FSTEC. Bisan pa, daghan ang nausab sa Check Point sa 2 ka tuig. Sa artikulo nga "” naghulagway sa tanan nga mga inobasyon, diin adunay daghan. Kini nga artikulo maghulagway sa pamaagi sa pag-update sa daghang detalye kutob sa mahimo.
Sama sa imong nahibal-an, adunay 2 nga mga kapilian alang sa pagpatuman sa Check Point: Standalone ug Distributed, nga mao, kung wala ang usa ka dedikado nga server sa pagdumala ug adunay usa nga gipahinungod. Girekomendar kaayo ang opsyon sa Distributed tungod sa daghang rason:
-
ang load sa mga kapanguhaan sa ganghaan gipakunhod;
-
Dili nimo kinahanglan nga mag-iskedyul sa usa ka bintana sa pagmentinar aron magtrabaho sa server sa pagdumala;
-
igong operasyon sa SmartEvent, tungod kay kini dili tingali sa pagtrabaho sa Standalone nga bersyon;
-
Girekomendar pag-ayo ang paghimo og pundok sa mga ganghaan sa Distributed configuration.
Tungod sa tanan nga mga benepisyo sa Distributed configuration, among ikonsiderar ang pag-upgrade sa management server ug security gateway nga gilain.
Pag-update sa Security Management Server (SMS).
Adunay 2 ka paagi sa pag-update sa SMS:
-
pinaagi sa CPUSE (pinaagi sa Gaia Portal)
-
gamit ang Migration Tools (kinahanglang limpyo nga pag-install - bag-ong instalar)
Ang pag-update gamit ang CPUSE wala girekomenda sa mga kauban sa Check Point tungod kay dili kini mag-update sa bersyon ug kernel sa imong file system. Bisan pa, kini nga pamaagi wala magkinahanglan paglalin sa mga palisiya ug labi ka paspas ug mas simple kaysa sa ikaduha nga pamaagi.
Ang limpyo nga pag-install ug paglalin sa mga palisiya gamit ang Migration Tools mao ang girekomenda nga pamaagi. Gawas pa sa bag-ong sistema sa file ug OS kernel, kanunay nga mahitabo nga ang database sa SMS nabara, ug ang usa ka limpyo nga pag-instalar niining bahina usa ka maayo kaayo nga solusyon aron madugangan ang katulin sa server.
1) Ang una nga lakang sa bisan unsang pag-update mao ang paghimo og mga backup ug mga snapshot. Kung ikaw adunay usa ka pisikal nga server sa pagdumala, nan ang usa ka backup kinahanglan nga himuon gikan sa Gaia Portal web interface. Adto sa tab Maintenance > System Backup > Backup. Sunod, imong ipiho ang lokasyon aron i-save ang backup. Mahimo kini nga usa ka SCP, FTP, TFTP server, o lokal sa aparato, apan kinahanglan nimo nga i-upload kini nga backup sa usa ka server o kompyuter sa ulahi.
Figure 1. Paghimo og backup sa Gaia Portal
2) Sunod kinahanglan nimo nga magkuha usa ka snapshot sa tab Pagmentinar → Pagdumala sa Snapshot → Bag-o. Ang kalainan tali sa mga pag-backup ug mga snapshot mao nga ang mga snapshot nagtipig daghang kasayuran, lakip ang tanan nga na-install nga mga hotfix. Bisan pa, mas maayo nga buhaton ang duha.
Kung ang imong server sa pagdumala gi-install ingon usa ka virtual nga makina, girekomenda nga maghimo usa ka backup sa virtual nga makina gamit ang built-in nga mga himan sa hypervisor. Kini yano nga mas paspas ug mas kasaligan.
Figure 2. Paghimo og snapshot sa Gaia Portal
3) I-save ang configuration sa device gikan sa Gaia Portal. Mahimo nimong i-screenshot ang tanan nga mga tab sa setting nga naa sa Gaia Portal, o isulod ang mando gikan sa Clish i-save ang configuration . Sunod, dad-a ang file sa imong PC gamit ang WinSCP o laing kliyente.
Figure 3. Pag-save sa configuration sa usa ka text file)
Примечание: kung ang WinSCP dili motugot kanimo sa pagkonektar, usba ang user shell sa /bin/bash bisan sa web interface sa Users tab, o pinaagi sa pagsulod sa command chsh –s /bin/bash .
Pag-update gamit ang CPUSE
4) Ang una nga 3 nga mga lakang gikinahanglan alang sa bisan unsang kapilian sa pag-update. Kung magdesisyon ka nga magkuha usa ka yano nga agianan sa pag-update, unya sa web interface adto sa tab Mga Pag-upgrade (CPUSE) > Status ug Mga Aksyon > Panguna nga Bersyon > Check Point R80.40 Gaia nga Bag-ong Pag-install ug Pag-upgrade. Pag-right-click sa kini nga update ug pilia Tigpamatuod. Ang proseso sa pag-verify magsugod sa pipila ka minuto, pagkahuman makakita ka usa ka mensahe nga mahimo’g ma-update ang aparato. Kung makakita ka og mga sayup, kini kinahanglan nga tul-iron.
Figure 4. Pag-update pinaagi sa CPUSE
5) Pag-update sa pinakabag-o nga bersyon sa CDT (Central Deployment Tool) - usa ka utility nga nagdagan sa server sa pagdumala ug nagtugot kanimo sa pag-install sa mga update, service pack, pagdumala sa mga backup, snapshot, script ug daghan pa. Ang usa ka out-of-date nga bersyon sa CDT mahimong hinungdan sa mga problema sa pag-update. Mahimo nimo i-download ang CDT sa .
6) Human ibutang ang na-download nga archive sa SMS sa bisan unsang direktoryo pinaagi sa WinSCP, kumonekta pinaagi sa SSH ngadto sa SMS ug mosulod sa expert mode. Pahinumdoman ko ikaw nga ang tiggamit sa WinSCP kinahanglan adunay usa ka kabhang / basahan / bash!
7) Pagsulod sa mga sugo:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Figure 5. Pag-instalar sa Central Deployment Tool (CDT)
8) Ang sunod nga lakang mao ang pag-instalar sa R80.40 nga imahe. Pag-right click sa update I-download, unya Pag-instalar. Hinumdumi nga ang pag-update molungtad sa 20-30 minuto ug ang server sa pagdumala dili magamit sa pila ka oras. Busa, makatarunganon nga magkauyon sa usa ka bintana sa serbisyo.
9) Ang tanan nga mga lisensya ug mga palisiya sa seguridad gitipigan, mao nga sunod kinahanglan nimo nga i-download ang usa ka bag-o .
10) Sumpaysumpaya sa SMS bag-ong SmartConsole ug itakda ang mga palisiya sa seguridad. Butang I-install ang Polisiya sa ibabaw nga wala nga suok.
11) Ang imong SMS na-update, nan kinahanglan nimo nga i-install ang pinakabag-o nga hotfix. Sa tab Mga Pag-upgrade (CPUSE) > Status ug Mga Aksyon > Mga Hotfix i-klik ang tuo nga buton sa mouse Verifierunya Pag-install sa Update. Ang aparato mag-reboot sa kaugalingon pagkahuman sa pag-install sa update.
Figure 6. Pag-instalar sa pinakabag-o nga hotfix pinaagi sa CPUSE
Pag-update gamit ang Migration Tools
4) Una, kinahanglan ka usab nga mag-update sa pinakabag-o nga bersyon sa CDT - puntos 5, 6, 7 gikan sa seksyon "Pag-update gamit ang CPUSE."
5) I-install ang Migration Tools package nga gikinahanglan aron mabalhin ang mga polisiya gikan sa management server. Sumala niini imong makit-an ang Migration Tools alang sa mga bersyon: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Kinahanglan nimo nga i-download ang Migration Tools sa bersyon nga gusto nimo i-update, ug dili ang naa nimo karon! Sa among kaso kini R80.40.
6) Sunod sa SMS web interface adto sa tab Mga Pag-upgrade (CPUSE) > Kahimtang ug Mga Aksyon > Import Package > Pag-browse > Pilia ang na-download nga file > Import.
Figure 7. Pag-import sa Migration Tools
7) Gikan sa mode nga eksperto sa SMS, susiha nga ang pakete sa Migration Tools na-install gamit ang command (ang output sa command kinahanglang motakdo sa numero sa ngalan sa Migration Tools archive):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figure 8. Pagpamatuod sa pag-instalar sa Migration Tools
8) Adto sa $FWDIR/scripts folder sa management server:
cd $FWDIR/mga script
9) Pagdalagan ang pre-upgrade verifier gamit ang command (kung adunay mga sayup, itul-id kini sa dili pa ang dugang nga mga lakang):
./migrate_server verify -v R80.40
Примечание: kung makakita ka og sayop "Napakyas sa pagkuha sa Upgrade Tools package", apan imong gisusi nga ang archive malampuson nga na-import (tan-awa ang punto 4), gamita ang sugo:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figure 9. Pagpadagan sa verification script
10) I-export ang mga palisiya sa seguridad gamit ang command:
./migrate_server export -v R80.40 //.tgz
Figure 10. Pag-eksport sa usa ka polisiya sa seguridad
Примечание: kung makakita ka og sayop "Napakyas sa pagkuha sa Upgrade Tools package", apan imong gisusi nga ang archive malampuson nga na-import (lakang 7), gamita ang sugo:
./migrate_server export -skip_upgrade_tools_check -v R80.40 //.tgz
11) Kalkulahin ang MD5 hash sum ug i-save ang output sa command:
md5sum //.tgz
Figure 11. Pagkalkula sa MD5 hash sum
12) Gamit ang WinSCP, ibalhin kini nga file sa imong computer.
13) Pagsulod sa sugo df -h ug luwasa ang imong kaugalingon sa porsyento sa mga direktoryo base sa luna nga giokupar.
Figure 12. Porsiyento sa mga direktoryo kada SMS
14.1) Kung naa kay tinuod nga SMS
14.1.1) Paggamit usa ka bootable USB flash drive nga adunay usa ka imahen gihimo .
14.1.2) Girekomenda ko ang pag-andam labing menos 2 nga bootable flash drive, tungod kay mahitabo nga ang flash drive dili kanunay mabasa.
14.1.3) Isip administrador sa imong kompyuter, pagdagan ISOmorphic.exe. Sa lakang 1, pilia ang na-download nga imahe sa Gaia R80.40, sa lakang 4 ang flash drive. Usba ang mga punto 2 ug 3 Dili kinahanglan!
Figure 13. Paghimo og bootable USB flash drive
14.1.4) Pagpili og butang "Awtomatikong i-install nga wala’y kumpirmasyon" ug importante nga ipiho ang modelo sa imong management server. Sa kaso sa SMS, kinahanglan nimong pilion ang linya 3 o 4.
Figure 14. Pagpili og modelo sa device aron makahimo og bootable USB flash drive
14.1.5) Sunod, imong gipalong ang upline, isulod ang flash drive sa USB port, ikonektar ang console cable pinaagi sa COM port ngadto sa device ug i-enable ang SMS. Ang proseso sa pag-instalar awtomatikong mahitabo. Default nga IP Address - 192.168.1.1/24, ug impormasyon sa pag-login admin/admin.
14.1.6) Ang sunod nga lakang mao ang pagkonektar sa web interface sa Gaia Portal (default nga adres ), diin moagi ka sa pag-initialize sa device. Atol sa pagsugod sa batakan ikaw mopadayon Dayon, tungod kay hapit tanan nga mga setting mahimo’g usbon sa umaabot. Bisan pa, mahimo nimong usbon dayon ang IP address, setting sa DNS ug hostname.
14.2) Kung ikaw adunay virtual nga SMS
14.2.1) Sa bisan unsa nga kahimtang kinahanglan nimo nga papason ang daan nga SMS; paghimo usa ka bag-ong virtual machine nga adunay parehas nga mga kapanguhaan (CPU, RAM, HDD) ug parehas nga IP address. Pinaagi sa dalan, mahimo nimong idugang ang RAM ug HDD, tungod kay ang R80.40 nga bersyon usa ka gamay nga gipangayo. Aron malikayan ang mga panagsumpaki sa IP address, i-off ang daan nga SMS ug magsugod sa pag-instalar og bag-o.
14.2.2) Atol sa pag-instalar sa Gaia, i-configure ang kasamtangan nga IP address ug pagpili og direktoryo / gamut igong gidaghanon sa luna. Ang porsyento sa mga direktoryo nga anaa kanimo kinahanglan nga gibana-bana mabuhi, gamita ang output df -h.
15) Sa higayon sa pagpili sa matang sa instalar "Tipe sa Pag-install" pilia ang una nga kapilian, tungod kay lagmit wala kay MDS (Multi-Domain Server). Kung MDS, nadumala nimo ang daghang mga domain gikan sa lainlaing mga entidad sa SMS sa parehas nga oras. Sa kini nga kaso, kinahanglan nimo nga pilion ang ikaduha nga kapilian.
Figure 15. Pagpili sa tipo sa pag-instalar sa Gaia
16) Ang labing importante nga punto nga dili matul-id nga walay pag-instalar mao ang pagpili sa entidad. Dapat pilion Pagdumala sa Seguridad ug magpadayon Sunod. Ang tanan nga uban pa kay pinaagi sa default.
Figure 16. Pagpili sa usa ka tipo sa entidad sa pag-instalar sa Gaia
17) Sa higayon nga ang device reboots, Sumpaysumpaya sa web interface gamit o lain nga IP address kon imo kining giusab.
18) Ibalhin ang mga setting gikan sa mga screenshot sa tanan nga mga tab sa Gaia Portal diin adunay usa ka butang nga gi-configure, o ipadagan ang mando gikan sa clish load configuration .txt. Kini nga config file kinahanglan una nga i-upload sa SMS.
Примечание: Tungod sa kamatuoran nga ang OS bag-o, ang WinSCP dili motugot kanimo sa pagkonektar isip administrador, pag-ilis sa user shell ngadto sa /bin/bash bisan sa web interface sa Users tab, o pinaagi sa pagsulod sa command chsh –s /bin/bash o paghimo og bag-ong user.
19) Pag-upload sa file nga adunay mga gi-eksport nga mga palisiya gikan sa daan nga server sa pagdumala sa bisan unsang direktoryo. Dayon adto sa console sa expert mode ug susiha nga ang MD5 hash nga kantidad motakdo sa nauna. Kung dili, ang pag-eksport kinahanglan nga buhaton pag-usab:
md5sum //.tgz
20) Balika ang lakang 6 ug i-install ang Upgrade Tools sa bag-ong SMS sa Gaia Portal sa tab Mga Pag-upgrade (CPUSE) > Status ug Mga Aksyon.
21) Pagsulod sa command sa expert mode:
./migrate_server import -v R80.40 -skip_upgrade_tools_check //.tgz
Figure 17. Pag-import og polisiya sa seguridad ngadto sa bag-ong SMS
22) I-enable ang mga serbisyo gamit ang command cpstart.
23) Pag-download ug bag-o ug magkonektar sa server sa pagdumala. Adto sa Menu > Manage Licenses and Packages (SmartUpdate) ug susiha nga naa pa ang imong lisensya.
Figure 18. Pagsusi sa mga na-install nga lisensya
24) Ibutang ang polisiya sa seguridad sa gateway o cluster - I-install ang Polisiya.
Pag-update sa Security Gateway (SG).
Ang Security Gateway mahimong ma-update pinaagi sa CPUSE, sama sa management server, o ma-install pag-usab - bag-ong instalar. Gikan sa akong kasinatian, sa 99% sa mga kaso, ang tanan nag-instalar pag-usab sa Security Gateway tungod sa kamatuoran nga kini nagkinahanglan og halos sama nga panahon sa pag-update pinaagi sa CPUSE, apan makakuha ka og limpyo, updated nga OS nga walay mga bug.
Pinaagi sa analohiya sa SMS, kinahanglan una nimo nga maghimo usa ka backup ug snapshot, ug i-save usab ang mga setting gikan sa Gaia Portal. Tan-awa ang mga punto 1, 2 ug 3 sa seksyon "Pag-update sa Server sa Pagdumala sa Seguridad".
Pag-update gamit ang CPUSE
Ang pag-update sa Security Gateway pinaagi sa CPUSE parehas ra sa pag-update sa Security Management Server, busa palihog tan-awa ang sinugdanan sa artikulo.
Importante nga punto: SG update nagkinahanglan pag-reboot! Busa, update sa panahon sa maintenance bintana. Kung naa kay cluster, i-upgrade una ang passive node, dayon ibalhin ang mga tahas ug i-upgrade ang laing node. Sa kaso sa usa ka cluster, ang mga bintana sa pagmentinar mahimong malikayan.
Pag-instalar og bag-ong bersyon sa OS sa Security Gateway
1.1) Kung naa kay tinuod nga SG
1.1.1) Paggamit usa ka bootable USB flash drive nga adunay usa ka imahen gihimo . Ang imahe parehas sa SMS, apan ang pamaagi sa paghimo sa usa ka bootable flash drive medyo lahi.
1.1.2) Girekomenda ko ang pag-andam labing menos 2 nga bootable flash drive, tungod kay mahitabo nga ang flash drive dili kanunay mabasa.
1.1.3) Isip administrador sa imong kompyuter, pagdagan ISOmorphic.exe. Sa lakang 1, pilia ang na-download nga imahe sa Gaia R80.40, sa lakang 4 ang flash drive. Usba ang mga punto 2 ug 3 Dili kinahanglan!
Figure 19. Paghimo og bootable USB flash drive
1.1.4) Pagpili og butang "Awtomatikong i-install nga wala’y kumpirmasyon", ug importante nga ipakita ang modelo sa imong Security Gateway - mga linya 2 o 3. Kung kini usa ka pisikal nga sandbox (SandBlast Appliance), unya pilia ang linya 5.
Figure 20. Pagpili og modelo sa device aron makahimo og bootable USB flash drive
1.1.5) Sunod, imong gipalong ang upline, isulod ang flash drive sa USB port, ikonektar ang console cable pinaagi sa COM port ngadto sa device ug i-on ang gateway. Ang proseso sa pag-instalar awtomatikong mahitabo. Default nga IP Address - 192.168.1.1/24, ug impormasyon sa pag-login admin/admin. Mag update ka nga muna passive node, unya i-install ang usa ka palisiya niini, ibalhin ang mga tahas ug dayon i-update ang lain nga node. Lagmit kinahanglan nimo ang usa ka bintana sa pagmentinar.
1.1.6) Ang sunod nga lakang mao ang pagkonektar sa web interface sa Gaia Portal, diin moagi ka sa unang pagsugod sa device. Atol sa pagsugod sa batakan ikaw mopadayon Dayon, tungod kay hapit tanan nga mga setting mahimo’g usbon sa umaabot. Bisan pa, mahimo nimong usbon dayon ang IP address, setting sa DNS ug hostname.
1.2) Kung naa kay virtual SG
1.2.1) Paghimo usa ka bag-ong virtual machine nga adunay parehas nga mga kahinguhaan (CPU, RAM, HDD) o daghan pa, tungod kay ang R80.40 nga bersyon labi ka gipangayo. Aron malikayan ang panagsumpaki sa mga IP address, i-off ang daan nga gateway ug sugdi ang pag-instalar og bag-o nga adunay parehas nga IP address. Ang daan nga SG mahimong luwas nga mapapas, tungod kay wala’y bililhon niini, tungod kay ang tanan nga labing hinungdanon nga mga butang - ang palisiya sa seguridad - nahimutang sa server sa pagdumala.
1.2.2) Atol sa pag-instalar sa OS, i-configure ang kasamtangan nga IP address ug pagpili og direktoryo / gamut igong gidaghanon sa luna.
3) Sumpaysumpaya ang ganghaan pinaagi sa HTTPS port ug sugdi ang proseso sa pagsugod. Sa panahon sa pagpili sa matang sa pag-instalar "Tipe sa Pag-install" pilia ang unang kapilian - Security Gateway ug/o Security Management.
Figure 21. Pagpili sa tipo sa pag-instalar sa Gaia
4) Ang labing importante nga punto mao ang pagpili sa entidad (Mga Produkto). Dapat pilion Gateway sa Seguridad ug, kung naa kay cluster, susiha ang kahon "Ang yunit usa ka bahin sa usa ka cluster, tipo: ClusterXL". Kung ikaw adunay usa ka VRRP cluster, unya pilia kini nga matang, apan kini dili mahimo.
Figure 22. Pagpili sa usa ka tipo sa entidad sa pag-instalar sa Gaia
5) Sa sunod nga lakang, i-set ang SIC one-time nga password aron maestablisar ang pagsalig sa management server. Gamit kini nga password, usa ka sertipiko ang nahimo, ug ang server sa pagdumala makigsulti sa ganghaan sa usa ka naka-encrypt nga channel sa komunikasyon. marka sa tsek "Koneksyon sa imong Pagdumala isip usa ka Serbisyo" kinahanglan itakda kung ang server sa pagdumala nahimutang sa panganod. Bag-o lang mi nagsulat bahin niini ug unsa ka sayon ug yano ang cloud management server.
Hulagway 23. Pagmugna sa SIC
6) Sugdi ang proseso sa pagsugod sa sunod nga tab. Sa diha nga ang device mag-reboot, sumpay sa web interface ug ibalhin ang mga setting gikan sa mga screenshot ngadto sa tanan nga mga tab sa Gaia Portal diin adunay usa ka butang nga gi-configure, o ipadagan ang command gikan sa clish load configuration .txt. Kini nga config file kinahanglan una nga i-upload sa gateway sa seguridad.
Примечание: Tungod sa kamatuoran nga ang OS bag-o, ang WinSCP dili motugot kanimo sa pagkonektar isip administrador, pag-ilis sa user shell ngadto sa /bin/bash bisan sa web interface sa Users tab, o pinaagi sa pagsulod sa command chsh –s /bin/bash o paghimo usa ka bag-ong tiggamit gamit kini nga kabhang.
7) Bukas ug adto sa Security Gateway nga butang nga bag-o lang nimo gi-install. Ablihi ang tab Kinatibuk-ang Properties > Komunikasyon > I-reset ang SIC ug isulod ang password nga gitakda sa lakang 5.
Figure 24: Pagtukod og pagsalig sa bag-ong ganghaan sa seguridad
8) Ang Gaia nga bersyon sa butang kinahanglan nga usbon, kung kini dili mausab, unya usba kini sa kamut. Dayon i-install ang polisiya sa gateway.
9) Sa Gaia Portal, adto sa tab Mga Pag-upgrade (CPUSE) > Status ug Mga Aksyon > Mga Hotfix ug i-install ang pinakabag-o nga hotfix. Ang aparato mosulod reboot sa panahon sa pag-instalar!
10) Sa kaso sa usa ka cluster, usba ang mga tahas sa mga node ug buhata ang parehas nga mga lakang alang sa lain nga node.
konklusyon
Gisulayan nako ang paghimo sa labing tin-aw ug komprehensibo nga giya alang sa pag-upgrade gikan sa bersyon R80.20 / R80.30 hangtod sa karon nga R80.40, tungod kay daghan ang nausab. Bersyon nagpakita na sa demo mode, apan ang pamaagi sa pag-update nagpabilin nga mas daghan o dili kaayo managsama. Gigiyahan sa opisyal gikan sa Check Point, mahimo nimong mahibal-an ang tanan nga mga detalye sa imong kaugalingon.
Alang sa bisan unsang pangutana mahimo nimong kontakon kami. Malipay kami nga motabang sa labing komplikado nga mga update ug mga kaso isip bahin sa among teknikal nga suporta . Sa ato usab posible nga mag-order og audit sa mga setting sa Check Point o ibilin kini nga libre alang sa usa ka teknikal nga kaso.
. Pagbantay (, , , , ).
Source: www.habr.com