Migration von Check Point von R77.30 auf R80.10

Migration von Check Point von R77.30 auf R80.10

Hallo Kollegen, willkommen zu unserem Unterricht über die Migration von Check Point-Datenbanken von R77.30 auf R80.10.

Bei der Verwendung von Produkten von Check Point stellt sich irgendwann die Aufgabe, bestehende Regeln und Objektdatenbanken aus folgenden Gründen zu migrieren:

  1. Beim Kauf eines neuen Geräts müssen die Datenbanken vom alten Gerät auf das neue Gerät (auf die aktuelle GAIA OS-Version oder höher) migriert werden.
  2. Es ist notwendig, ein Gerät von einer GAIA OS-Version auf eine höhere Version auf dem lokalen Rechner zu aktualisieren.

Um die erste Aufgabe zu lösen, eignet sich nur das Werkzeug mit dem Namen Management Server Migration Tool oder einfach Migration Tool. Für die Aufgabe Nr. 2 kann das CPUSE-Tool oder das Migration Tool verwendet werden.
Nun werfen wir einen genaueren Blick auf beide Methoden.

Aktualisierung auf ein neues Gerät

Datenbankmigration beinhaltet die Installation der neuesten Version des Managements auf der neuen Maschine und anschließend die Migration der Datenbank von einem bestehenden Sicherheitsmanagement-Server auf den neuen mithilfe des Migration Tools. Diese Methode minimiert das Risiko eines Updates für die bestehende Konfiguration.

Um eine Datenbank mit dem Migration Tool zu migrieren, müssen folgende Anforderungen erfüllt sein: mit den Anforderungen:

  1. Der verfügbare Speicherplatz auf der Festplatte muss mehr als das Fünffache der Größe des exportierten Datenbankarchivs betragen.
  2. Die Netzwerkeinstellungen auf dem Zielserver müssen mit denen des Quellservers übereinstimmen.
  3. Backup erstellen. Der Export der Datenbank sollte auf einen Remote-Server durchgeführt werden.
    Im Betriebssystem GAIA ist bereits das Migration Tool installiert, das für den Import der Datenbank oder für die Migration auf eine identische Version des Betriebssystems verwendet werden kann. Um die Datenbank auf eine höhere Version des Betriebssystems zu migrieren, muss das entsprechende Migration Tool aus dem Abschnitt „Tools“ auf der Support-Website von Check Point R80.10 heruntergeladen werden:
  4. Backup und Migration des SmartEvent / SmartReporter Servers. Die Dienstprogramme ‚backup‘ und ‚migrate export‘ beinhalten keine Daten der SmartEvent-Datenbank / SmartReporter-Datenbank.
    Für Backup und Migration sollten die Dienstprogramme ‚eva_db_backup‘ oder ‚evs_backup‘ verwendet werden.
    Hinweis: Artikel sk110173 in der CheckPoint-Wissensdatenbank.

Schauen wir uns an, welche Funktionen dieses Tool bietet:

Migration von Check Point von R77.30 auf R80.10

Bevor Sie mit der Datenmigration beginnen, entpacken Sie zunächst das heruntergeladene Migration Tool in den Ordner “/opt/CPsuite-R77/fw1/bin/upgrade_tools/”. Exportieren Sie die Datenbank mit den Befehlen aus dem Verzeichnis, in das Sie das Tool entpackt haben.

Schließen Sie alle SmartConsole-Clients oder führen Sie cpstop auf dem Sicherheitsmanagementserver aus, bevor Sie den Export- oder Importbefehl ausführen.

Um eine Exportdatei erstellen der Management-Datenbank auf dem Quellserver:

  1. Wechseln Sie in den Expertenmodus.
  2. Führen Sie das Vorabprüfungswerkzeug aus: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10. Beheben Sie eventuelle Fehler, bevor Sie fortfahren.
  3. Starten Sie: ./migrate export filename.tgz. Dieser Befehl exportiert den Inhalt der Datenbank des Security Management Server in eine TGZ-Datei.
  4. Folgen Sie den Anweisungen. Die Datenbank wird in die Datei exportiert, die Sie im Befehl angegeben haben. Stellen Sie sicher, dass Sie sie als TGZ definiert haben.
  5. Wenn SmartEvent auf dem Quellserver installiert ist, exportieren Sie die Ereignisdatenbank.

Nun importieren wir die Datenbanken des Sicherheitsservers, die wir exportiert haben. Bevor Sie beginnen: Installieren Sie den R80 Security Management Server. Ich erinnere Sie daran, dass die Netzwerkeinstellungen des neuen Management Servers R80.10 mit den Einstellungen des alten Servers übereinstimmen müssen.

Um Konfiguration importieren Management-Server:

  1. Wechseln Sie in den Expertenmodus.
  2. Übertragen Sie (per FTP, SCP oder ähnlich) die exportierte Konfigurationsdatei auf den neuen Server, der aus der Quelle erstellt wurde.
  3. Trennen Sie den ursprünglichen Server vom Netzwerk.
  4. Übertragen Sie die Konfigurationsdatei vom entfernten Server auf den neuen Server.
  5. Berechnen Sie die MD5-Prüfziffer für die übertragenen Datei und vergleichen Sie sie mit der MD5, die auf dem ursprünglichen Server berechnet wurde: # md5sum filename.tgz
  6. Datenbank importieren: ./migrate import filename.tgz
  7. Upgrade überprüfen.

Nach Abschluss von Punkt 7 fassen wir zusammen, dass die Migration der Datenbank mit dem Migration Tool erfolgreich war. Sollte es zu Problemen kommen, kann der ursprüngliche Server jederzeit wieder aktiviert werden, wodurch der Betrieb nicht beeinträchtigt wird.

Es ist zu beachten, dass die Migration von einem Standalone-Server nicht unterstützt wird.

Lokales Update

CPUSE (Check Point Upgrade Service Engine) ermöglicht die automatische Aktualisierung von Check Point-Produkten für das Betriebssystem Gaia. Die Software-Update-Pakete sind in Kategorien unterteilt, konkret in Major Releases, Minor Releases und Hotfixes. Gaia findet automatisch verfügbare Software-Update-Pakete und Images, die mit der Version des Betriebssystems Gaia in Zusammenhang stehen, auf die aktualisiert werden kann. Mit CPUSE können sowohl eine saubere Installation der neuen GAIA OS-Version als auch ein Upgrade des Systems mit Migration der Datenbank durchgeführt werden.

Um auf eine höhere Version zu aktualisieren oder eine saubere Installation mit CPUSE durchzuführen, muss auf dem Gerät ausreichend freier (nicht zugewiesener) Speicherplatz vorhanden sein – mindestens im Umfang der Root-Partition.

Der Übergang zu einer neuen Version erfolgt auf einer neuen Partition der Festplatte, während die "alte" Partition in einen Gaia Snapshot umgewandelt wird (der neue Partitionstext wird aus dem nicht zugewiesenen Speicherplatz auf der Festplatte entnommen). Außerdem ist es ratsam, vor dem System-Upgrade einen Snapshot zu erstellen und diesen auf einen entfernten Server zu laden.

Der Aktualisierungsprozess:

  1. Überprüfen Sie das Update-Paket (falls Sie das noch nicht getan haben) – stellen Sie sicher, dass dieses Paket ohne Konflikte installiert werden kann: Klicken Sie mit der rechten Maustaste auf das Paket und wählen Sie 'Verifizieren'.

    Das Ergebnis sollte etwa so aussehen:

    • Installation ist erlaubt
    • Upgrade ist erlaubt
  2. Installieren Sie das Paket: Klicken Sie mit der rechten Maustaste auf das Paket und wählen Sie 'Upgrade':
    CPUSE zeigt die folgende Warnung im Gaia-Portal: Nach diesem Upgrade erfolgt ein automatischer Neustart (Die bestehenden OS-Einstellungen und die Check Point-Datenbank werden beibehalten).
  3. Sie werden nach dem Upgrade auf R80.10 den entsprechenden Fortschritt der Datenmigration sehen:
    • Produkte werden aktualisiert
    • Datenbank wird importiert
    • Produkte werden konfiguriert
    • SIC-Daten werden erstellt
    • Prozesse werden gestoppt
    • Prozesse werden gestartet
    • Installiert, Selbsttest bestanden
  4. Das System wird automatisch neu gestartet
  5. Installation der Richtlinie in der SmartConsole

Wie Sie sehen, verläuft alles recht einfach. Bei Problemen können Sie mit dem erstellten Snapshot auf die alten Einstellungen zurückkehren.

Praxis

In diesem Video-Tutorial finden Sie sowohl theoretische als auch praktische Teile. Die erste Hälfte des Videos wiederholt den beschriebenen theoretischen Teil, während im praktischen Beispiel die Datenmigration mit beiden Methoden gezeigt wird.

Video abspielen

Fazit

In dieser Lektion haben wir die Lösungen von Check Point zur Aktualisierung und Migration von Datenbanken für Objekte und Regeln betrachtet. Bei einem neuen Gerät gibt es keine anderen Lösungen als die Verwendung des Migrationstools. Wenn Sie eine Aktualisierung des GAIA OS durchführen möchten und die Möglichkeit haben, die Maschine neu bereitzustellen, empfehlen wir auf Grundlage unserer Erfahrung, die Datenbank mit dem Migrationstool zu migrieren. Diese Methode minimiert das Risiko der Aktualisierung für die bestehende Konfiguration im Vergleich zu CPUSE. Außerdem werden beim Update über CPUSE viele unnötige alte Dateien auf der Festplatte beibehalten, und zur Löschung dieser Dateien ist ein zusätzliches Werkzeug erforderlich, was weitere Maßnahmen und neue Risiken mit sich bringt.

Wenn Sie zukünftige Lektionen nicht verpassen möchten, treten Sie bitte unserer Gruppe bei. VK, YouTube und Telegram. Sollten Sie aus irgendeinem Grund das benötigte Dokument nicht finden oder Ihr Problem mit Check Point nicht lösen können, zögern Sie nicht, sich an uns.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster