Migration von Check Point von R77.30 auf R80.10

Hallo Kollegen, willkommen zur Lektion zur Migration von Check Point R77.30- auf R80.10-Datenbanken.

Beim Einsatz von Check Point-Produkten stellt sich aus folgenden Gründen früher oder später die Aufgabe, bestehende Regel- und Objektdatenbanken zu migrieren:

1. Beim Kauf eines neuen Geräts müssen Sie die Datenbank vom alten Gerät auf das neue Gerät migrieren (auf die aktuelle Version von GAIA OS oder höher).
2. Sie müssen Ihr Gerät von einer Version von GAIA OS auf eine höhere Version auf Ihrem lokalen Computer aktualisieren.

Um das erste Problem zu lösen, ist nur die Verwendung eines Tools namens Management Server Migration Tool oder einfach Migration Tool geeignet. Um Problem Nr. 2 zu lösen, kann die CPUSE- oder Migration Tool-Lösung verwendet werden.
Als nächstes werden wir beide Methoden genauer betrachten.

Update auf ein neues Gerät

Datenbankmigration Dazu gehört die Installation der neuesten Version von Management auf einem neuen Computer und die anschließende Migration der Datenbank vom vorhandenen Sicherheitsverwaltungsserver auf den neuen mithilfe des Migrationstools. Diese Methode minimiert das Risiko der Aktualisierung einer vorhandenen Konfiguration.

Um eine Datenbank mit dem Migrationstool zu migrieren, müssen Sie Folgendes erfüllen Anforderungen:

1. Der freie Speicherplatz muss fünfmal größer sein als die Archivgröße der exportierten Datenbank.
2. Die Netzwerkeinstellungen auf dem Zielserver müssen mit denen auf dem Quellserver übereinstimmen.
3. Erstellen eines Backups. Die Datenbank muss auf einen Remote-Server exportiert werden.
   Das GAIA-Betriebssystem enthält bereits das Migrationstool; es kann beim Importieren einer Datenbank oder für die Migration auf eine mit der ursprünglichen Version identische Version des Betriebssystems verwendet werden. Um die Datenbank auf eine höhere Version des Betriebssystems zu migrieren, müssen Sie das Migrationstool der entsprechenden Version aus dem Abschnitt „Tools“ auf der Support-Website von Check Point R80.10 herunterladen:
4. Sicherung und Migration des SmartEvent / SmartReporter Servers. Die Dienstprogramme „Backup“ und „Migrate Export“ umfassen keine Daten aus der SmartEvent-Datenbank/SmartReporter-Datenbank.
   Für die Sicherung und Migration müssen Sie die Dienstprogramme „eva_db_backup“ oder „evs_backup“ verwenden.
   Hinweis: CheckPoint Knowledge Base-Artikel sk110173.

Schauen wir uns an, welche Funktionen dieses Tool enthält:

Bevor Sie direkt mit der Datenmigration fortfahren, müssen Sie zunächst das heruntergeladene Migrationstool in den Ordner „/opt/CPsuite-R77/fw1/bin/upgrade_tools/“ entpacken. “, sollte der Export der Datenbank mit Befehlen aus dem Verzeichnis erfolgen, in dem Sie das Tool entpackt haben.

Bevor Sie den Befehl zum Exportieren oder Importieren ausführen, schließen Sie alle SmartConsole-Clients oder führen Sie cpstop auf dem Security Management Server aus.

Dass Exportdatei erstellen Verwaltungsdatenbanken auf dem Quellserver:

1. Gehen Sie in den Expertenmodus.
2. Führen Sie den Prüfer vor dem Upgrade aus: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10. Wenn Fehler vorhanden sind, korrigieren Sie diese, bevor Sie fortfahren.
3. Führen Sie Folgendes aus: ./migrate export filename.tgz. Der Befehl exportiert den Inhalt der Security Management Server-Datenbank in eine TGZ-Datei.
4. Folge den Anweisungen. Die Datenbank wird in die Datei exportiert, die Sie im Befehl angegeben haben. Stellen Sie sicher, dass Sie es als TGZ definieren.
5. Wenn SmartEvent auf dem Quellserver installiert ist, exportieren Sie die Ereignisdatenbank.

Als nächstes importieren wir die Sicherheitsserverdatenbank, die wir exportiert haben. Bevor Sie beginnen: Installieren Sie den R80 Security Management Server. Ich möchte Sie daran erinnern, dass die Netzwerkeinstellungen des neuen Management Servers R80.10 mit den Einstellungen des alten Servers übereinstimmen müssen.

Dass Konfiguration importieren Verwaltungsserver:

1. Gehen Sie in den Expertenmodus.
2. Übertragen Sie (über FTP, SCP oder ähnliches) die exportierte Konfigurationsdatei auf den Remote-Server und sammeln Sie sie von der Quelle auf den neuen Server.
3. Trennen Sie den Quellserver vom Netzwerk.
4. Übertragen Sie die Konfigurationsdatei vom Remote-Server auf den neuen Server.
5. Berechnen Sie den MD5 für die übertragene Datei und vergleichen Sie ihn mit dem MD5, der auf dem ursprünglichen Server berechnet wurde: # md5sum Dateiname.tgz
6. Datenbank importieren: ./migrate Importdateiname.tgz
7. Suche nach Updates.

Nach Abschluss von Punkt 7 fassen wir zusammen, dass die Datenbankmigration mit dem Migrationstool erfolgreich war; im Fehlerfall können Sie jederzeit den Quellserver einschalten, wodurch die Arbeit in keiner Weise beeinträchtigt wird.

Beachten Sie, dass die Migration von einem eigenständigen Server nicht unterstützt wird.

Lokales Update

CPUSE (Check Point Upgrade Service Engine) Ermöglicht automatische Updates von Check Point-Produkten für Gaia OS. Software-Update-Pakete sind in Kategorien unterteilt: Hauptversionen, Nebenversionen und Hotfixes. Gaia findet und zeigt automatisch verfügbare Software-Update-Pakete und Images an, die sich auf die Version des Gaia-Betriebssystems beziehen, auf die Sie aktualisieren können. Mit CPUSE können Sie eine Neuinstallation einer neuen Version von GAIA OS durchführen oder ein Systemupdate mit Datenbankmigration durchführen.

Um ein Upgrade auf eine höhere Version durchzuführen oder eine Neuinstallation mit CPUSE durchzuführen, muss der Computer über genügend freien (nicht zugewiesenen) Speicherplatz verfügen – mindestens die Größe der Root-Partition.

Das Upgrade auf die neue Version wird auf einer neuen Festplattenpartition durchgeführt und die „alte“ Partition wird in Gaia Snapshot konvertiert (der neue Partitionsspeicherplatz wird vom nicht zugewiesenen Speicherplatz auf der Festplatte übernommen). Außerdem wäre es richtig, vor der Aktualisierung des Systems einen Snapshot zu erstellen und ihn auf einen Remote-Server hochzuladen.

Update-Prozess:

1. Überprüfen Sie das Update-Paket (falls Sie dies noch nicht getan haben) – prüfen Sie, ob dieses Paket ohne Konflikte installiert werden kann: Klicken Sie mit der rechten Maustaste auf das Paket – klicken Sie auf „Verifizierer“.

   Das Ergebnis sollte etwa so aussehen:

   • Der Einbau ist erlaubt
   • Upgrade ist erlaubt
2. Installieren Sie das Paket: Klicken Sie mit der rechten Maustaste auf das Paket und klicken Sie auf „Upgrade“:
   CPUSE zeigt im Gaia-Portal die folgende Warnung an: Nach diesem Upgrade erfolgt ein automatischer Neustart (vorhandene Betriebssystemeinstellungen und die Check Point-Datenbank bleiben erhalten).
3. Nach dem Upgrade auf R80.10 sehen Sie den entsprechenden Fortschritt der Datenmigration:
   • Upgrade von Produkten
   • Datenbank importieren
   • Produkte konfigurieren
   • SIC-Daten erstellen
   • Prozesse stoppen
   • Prozesse starten
   • Installiert, Selbsttest bestanden
4. Das System wird automatisch neu gestartet
5. Installieren einer Richtlinie in SmartConsole

Wie Sie sehen, ist alles sehr einfach: Wenn ein Problem auftritt, können Sie mithilfe des von Ihnen erstellten Snapshots zu den alten Einstellungen zurückkehren.

Praxis

Die vorgestellte Videolektion enthält einen theoretischen und praktischen Teil. Die erste Hälfte des Videos wiederholt den beschriebenen theoretischen Teil und das praktische Beispiel zeigt die Datenmigration mit beiden Methoden.

Abschluss

In dieser Lektion haben wir uns Check Point-Lösungen für die Aufgabe der Aktualisierung und Migration von Objekt- und Regeldatenbanken angesehen. Im Falle eines neuen Geräts gibt es keine andere Lösung als die Verwendung des Migrationstools. Wenn Sie GAIA OS aktualisieren möchten und den Wunsch und die Möglichkeit haben, die Maschine erneut bereitzustellen, empfiehlt unser Unternehmen aufgrund der vorhandenen Erfahrungen, die Datenbank mithilfe des Migrationstools zu migrieren. Diese Methode minimiert im Vergleich zu CPUSE das Risiko eines Upgrades auf eine vorhandene Konfiguration. Außerdem werden beim Update über CPUSE viele unnötige alte Dateien auf der Festplatte gespeichert, und um diese zu entfernen, ist ein zusätzliches Tool erforderlich, was zusätzliche Schritte und neue Risiken mit sich bringt.

Wenn Sie zukünftige Lektionen nicht verpassen möchten, dann abonnieren Sie unsere Gruppe VK, Youtube и Telegram. Wenn Sie aus irgendeinem Grund das erforderliche Dokument nicht finden oder Ihr Problem mit Check Point nicht lösen konnten, können Sie sich getrost an uns wenden uns.

Source: habr.com