BolеAntaŭ du jaroj, ni skribis, ke ĉiu administranto de Check Point pli aŭ malpli frue alfrontas la problemon de ĝisdatigo al nova versio. En tio ĉi ĝisdatigo de versio R77.30 ĝis R80.10 estis priskribita. Cetere, en januaro 2020, R77.30 fariĝis atestita versio de FSTEC. Tamen, multe ŝanĝiĝis ĉe Check Point en 2 jaroj. En la artikolo "” priskribas ĉiujn novigojn, el kiuj estas multaj. Ĉi tiu artikolo priskribos la ĝisdatigan proceduron kiel eble plej detale.
Kiel vi scias, ekzistas 2 ebloj por efektivigi Check Point: Sendependa kaj Distribuita, tio estas sen dediĉita administra servilo kaj kun dediĉita. La Distribuita opcio estas tre rekomendinda pro pluraj kialoj:
-
la ŝarĝo sur la enirejresursoj estas minimumigita;
-
Vi ne devas plani prizorgan fenestron por labori sur la administra servilo;
-
taŭga funkciado de SmartEvent, ĉar ĝi verŝajne ne funkcios en la Sendependa versio;
-
Estas tre rekomendite konstrui aron da enirejoj en la Distribuita agordo.
Konsiderante ĉiujn avantaĝojn de la Distribuita agordo, ni konsideros ĝisdatigi la administradan servilon kaj sekurecan enirejon aparte.
Ĝisdatigo pri Sekureca Administra Servilo (SMS).
Estas 2 manieroj ĝisdatigi SMS:
-
per CPUSE (per Gaia Portal)
-
uzante Migrajn Ilojn (pura instalo necesas - freŝa instalo)
Ĝisdatigi per CPUSE ne estas rekomendita de Check Point-kolegoj ĉar ĝi ne ĝisdatigos vian dosiersistemon version kaj kernon. Tamen, ĉi tiu metodo ne postulas migradon de politikoj kaj estas multe pli rapida kaj simpla ol la dua metodo.
Pura instalo kaj migrado de politikoj uzante Migrajn Ilojn estas la rekomendinda metodo. Krom la nova dosiersistemo kaj OS-kerno, ofte okazas, ke la SMS-datumbazo ŝtopiĝas, kaj pura instalado ĉi-rilate estas bonega solvo por aldoni rapidecon al la servilo.
1) La unua paŝo en iu ajn ĝisdatigo estas krei sekurkopiojn kaj momentfotojn. Se vi havas fizikan administradan servilon, tiam sekurkopio estu farita de la interfaco de Gaia Portal. Iru al la langeto Prizorgado > Sistemo Rezervo > Rezervo. Poste, vi specifu la lokon por konservi la sekurkopion. Ĉi tio povas esti SCP, FTP, TFTP-servilo, aŭ loke sur la aparato, sed tiam vi devos alŝuti ĉi tiun sekurkopion al servilo aŭ komputilo poste.
Figuro 1. Krei sekurkopion en Gaia Portal
2) Poste vi devus preni momenton en la langeto Prizorgado → Administrado de momentfotoj → Nova. La diferenco inter sekurkopioj kaj momentfotoj estas, ke momentfotoj stokas pli da informoj, inkluzive de ĉiuj instalitaj korektoj. Tamen, estas pli bone fari ambaŭ.
Se via administra servilo estas instalita kiel virtuala maŝino, tiam oni rekomendas sekurkopii la virtualan maŝinon per la enkonstruitaj iloj de hiperviziero. Ĝi estas simple pli rapida kaj pli fidinda.
Figuro 2. Krei momentfoton en Gaia Portal
3) Konservu la aparatan agordon de Gaia Portal. Vi povas ekrankopi ĉiujn agordajn langetojn kiuj estas en Gaia Portal, aŭ enigi la komandon de Clish konservi agordon. Poste, prenu la dosieron al via komputilo uzante WinSCP aŭ alian klienton.
Figuro 3. Konservado de la agordo al tekstdosiero)
Примечание: se WinSCP ne permesas vin konekti, ŝanĝu la uzantan ŝelon al /bin/bash aŭ en la retinterfaco en la langeto Uzantoj, aŭ enirante la komandon chsh –s /bin/bash.
Ĝisdatigo kun CPUSE
4) La unuaj 3 paŝoj estas devigaj por iu ajn ĝisdatiga opcio. Se vi decidas preni pli simplan ĝisdatigvojon, tiam en la retinterfaco iru al la langeto Ĝisdatigoj (CPUSE) > Statuso kaj Agoj > Ĉefaj Versioj > Kontrolpunkto R80.40 Gaia Fresh Install and Upgrade. Dekstre alklaku ĉi tiun ĝisdatigon kaj elektu Kontrolilo. La kontrola procezo komenciĝos dum kelkaj minutoj, post kio vi vidos mesaĝon, ke la aparato povas esti ĝisdatigita. Se vi vidas erarojn, ili devas esti korektitaj.
Figuro 4. Ĝisdatigo per CPUSE
5) Ĝisdatigo al la plej nova versio de CDT (Centra Deploja Ilo) - ilo, kiu funkcias sur la administra servilo kaj permesas instali ĝisdatigojn, servajn pakojn, administri sekurkopiojn, momentfotojn, skriptojn kaj multe pli. Malmoderna CDT-versio povas kaŭzi problemojn kun la ĝisdatigo. Vi povas elŝuti CDT ĉe .
6) Post meti la elŝutitan arkivon en SMS en ajna dosierujo per WinSCP, konektu per SSH al SMS kaj eniru spertulan reĝimon. Mi memorigu vin, ke la uzanto WinSCP devas havi ŝelon / bin / bash!
7) Enigu la komandojn:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —forto CPcdt-00-00.i386.rpm
Figuro 5. Instalado de la Centra Deploja Ilo (CDT)
8) La sekva paŝo estas instali la bildon R80.40. Dekstre alklaku ĝisdatigon Elŝuti, tiam Instali. Memoru, ke la ĝisdatigo daŭros 20-30 minutojn kaj la administra servilo estos neatingebla dum iom da tempo. Tial, estas senco konsenti pri servofenestro.
9) Ĉiuj permesiloj kaj sekurecaj politikoj estas konservitaj, do poste vi devus elŝuti novan .
10) Konektu al SMS nova SmartConsole kaj starigu sekurecpolitikojn. Butono Instali Politikon en la supra maldekstra angulo.
11) Via SMS estas ĝisdatigita, tiam vi devus instali la plej novan varmfikson. En la langeto Ĝisdatigoj (CPUSE) > Statuso kaj Agoj > Varmigaj korektoj alklaku la dekstran musbutonon Kontrolilotiam Instalu Ĝisdatigon. La aparato rekomencos sin post instalo de la ĝisdatigo.
Figuro 6. Instalado de la plej nova hotfix per CPUSE
Ĝisdatigo per Migradaj Iloj
4) Unue, vi ankaŭ devus ĝisdatigi al la plej nova versio de CDT - punktoj 5, 6, 7 el sekcio "Ĝisdatigu per CPUSE."
5) Instalu la pakaĵon de Migraj Iloj necesaj por migri politikojn de la administrada servilo. Laŭ ĉi tio vi povas trovi Migrajn Ilojn por versioj: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Vi devus elŝuti Migrajn Ilojn de la versio al kiu vi volas ĝisdatigi, kaj ne tiu, kiun vi nun havas! En nia kazo ĝi estas R80.40.
6) Poste en la retinterfaco de SMS iru al la langeto Ĝisdatigoj (CPUSE) > Statuso kaj Agoj > Importo-Pako > Foliumi > Elektu la elŝutitan dosieron > Importi.
Figuro 7. Importi Migrajn Ilojn
7) De sperta reĝimo en SMS, kontrolu, ke la pako de Migraj Iloj estas instalita per la komando (la eligo de la komando devas kongrui kun la nombro en la nomo de la arkivo de Migraj Iloj):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figuro 8. Kontrolante la instaladon de Migraj Iloj
8) Iru al la dosierujo $FWDIR/scripts sur la administra servilo:
cd $FWDIR/skriptoj
9) Rulu la antaŭ-ĝisdatigan kontrolilon per la komando (se estas eraroj, korektu ilin antaŭ pliaj paŝoj):
./migrate_server kontroli -v R80.40
Примечание: se vi vidas eraron "Malsukcesis reakiri pakaĵon de Ĝisdatigaj Iloj", sed vi kontrolis, ke la arkivo estis sukcese importita (vidu punkton 4), uzu la komandon:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figuro 9. Rulado de la kontrola skripto
10) Eksportu sekurecajn politikojn uzante la komandon:
./migrate_server eksporto -v R80.40 / / .tgz
Figuro 10. Eksportante sekurecan politikon
Примечание: se vi vidas eraron "Malsukcesis reakiri pakaĵon de Ĝisdatigaj Iloj", sed vi kontrolis, ke la arkivo estis sukcese importita (paŝo 7), uzu la komandon:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Kalkulu la MD5-haŝsumon kaj konservu la eligon de la komando:
md5sum / / .tgz
Figuro 11. Kalkulado de MD5 hash sumo
12) Uzante WinSCP, movu ĉi tiun dosieron al via komputilo.
13) Enigu la komandon df -h kaj ŝparu al vi la procenton de dosierujoj laŭ la okupata spaco.
Figuro 12. Procento de dosierujoj per SMS
14.1) Se vi havas veran SMS
14.1.1) Uzanta ekfunkciigebla USB-memordisko kun bildo estas kreita .
14.1.2) Mi rekomendas prepari almenaŭ 2 starteblajn poŝmemorojn, ĉar okazas, ke la poŝmemoro ne ĉiam estas legebla.
14.1.3) Kiel administranto en via komputilo, rulu ISOmorphic.exe. En la paŝo 1, elektu la elŝutitan bildon de Gaia R80.40, en la paŝo 4 la flash drive. Ŝanĝu punktojn 2 kaj 3 neniu bezono!
Figuro 13. Krei starteblan USB-memordiskon
14.1.4) Elektu eron "Instali aŭtomate sen konfirmo" kaj estas grave specifi la modelon de via administra servilo. En la kazo de SMS, vi devus elekti linion 3 aŭ 4.
Figuro 14. Elekto de aparato-modelo por krei ekŝargeblan USB-memorilon
14.1.5) Poste, vi malŝaltas la suprenlinion, enigu la poŝmemorilon en la USB-havenon, konektu la konzolan kablon per la COM-haveno al la aparato kaj ebligas SMS. La instala procezo okazas aŭtomate. Defaŭlta IP-adreso - 192.168.1.1/24, kaj salutinformoj administranto / administranto.
14.1.6) La sekva paŝo estas konekti al la retinterfaco en Gaia Portal (defaŭlta adreso ), kie vi trapasas la inicialigon de aparato. Dum pravalorigo vi esence premas Poste, ĉar preskaŭ ĉiuj agordoj povas esti ŝanĝitaj estonte. Tamen vi povas tuj ŝanĝi la IP-adreson, DNS-agordojn kaj gastigan nomon.
14.2) Se vi havas virtualan SMS
14.2.1) Neniam vi forigu la malnovan SMS; kreu novan virtualan maŝinon kun la samaj rimedoj (CPU, RAM, HDD) kaj la sama IP-adreso. Cetere, vi povas aldoni RAM kaj HDD, ĉar la versio R80.40 estas iom pli postulema. Por eviti IP-adreskonfliktojn, malŝaltu la malnovan SMS kaj komencu instali novan.
14.2.2) Dum instalado de Gaia, agordu la nunan IP-adreson kaj elektu dosierujon / radiko taŭga kvanto da spaco. La procento de dosierujoj, kiujn vi havas, devus esti proksimume pluvivi, uzu eligon df -h.
15) En la momento de elekto de la tipo de instalado "Instala Tipo" elektu la unuan opcion, ĉar plej verŝajne vi ne havas MDS (Multi-Domain Server). Se MDS, tiam vi administris multajn domajnojn de malsamaj SMS-unuoj samtempe. En ĉi tiu kazo, vi devus elekti la duan opcion.
Figuro 15. Elekto de instalaĵo de Gaia
16) La plej grava punkto, kiu ne povas esti korektita sen reinstalado, estas la elekto de ento. Devus elekti Sekureca Administrado kaj alklaku Tuj poste. Ĉio alia estas defaŭlte.
Figuro 16. Elektante tipon de ento dum instalado de Gaia
17) Post kiam la aparato rekomencas, konektu al la retinterfaco uzante aŭ malsama IP-adreso se vi ŝanĝis ĝin.
18) Transdonu la agordojn de la ekrankopioj al ĉiuj langetoj de Gaia Portal, en kiuj io estis agordita, aŭ rulu la komandon de clish ŝarĝi agordon .txt. Ĉi tiu agorda dosiero unue devas esti alŝutita al SMS.
Примечание: Pro la fakto, ke la OS estas nova, WinSCP ne permesos vin konekti kiel administranto, ŝanĝi la uzantan ŝelon al /bin/bash aŭ en la retinterfaco en la langeto Uzantoj, aŭ enirante la komandon. chsh –s /bin/bash aŭ krei novan uzanton.
19) Alŝutu la dosieron kun eksportitaj politikoj de la malnova administra servilo al iu ajn dosierujo. Poste iru al la konzolo en sperta reĝimo kaj kontrolu, ke la MD5 hash-kvanto kongruas kun la antaŭa. Alie, la eksportado devus esti farita denove:
md5sum / / .tgz
20) Ripetu paŝon 6 kaj instalu Ĝisdatigi Ilojn sur la nova SMS en Gaia Portal en la langeto Ĝisdatigoj (CPUSE) > Statuso kaj Agoj.
21) Enigu la komandon en sperta reĝimo:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figuro 17. Importi sekurecan politikon al nova SMS
22) Ebligu servojn per la komando cpstart.
23) Elŝutu novan kaj konekti al la administra servilo. Iru al Menuo > Administri Licencojn kaj Pakojn (SmartUpdate) kaj kontrolu, ke vi ankoraŭ havas vian permesilon.
Figuro 18. Kontrolante instalitajn permesilojn
24) Agordu la sekurecan politikon sur la enirejo aŭ areto - Instali Politikon.
Ĝisdatigo pri Sekureca Enirejo (SG).
La Sekureca Enirejo povas esti ĝisdatigita per CPUSE, same kiel la administradservilo, aŭ instalita denove - freŝa instalo. Laŭ mia sperto, en 99% de kazoj, ĉiuj reinstalas Security Gateway pro tio, ke ĝi prenas preskaŭ la saman tempon kiel ĝisdatigo per CPUSE, sed vi ricevas puran, ĝisdatigitan OS sen cimoj.
Analogie kun SMS, vi unue devas krei sekurkopion kaj momentfoton, kaj ankaŭ konservi la agordojn de Gaia Portal. Vidu al punktoj 1, 2 kaj 3 en sekcio "Ĝisdatigo pri Servilo pri Administrado de Sekureco".
Ĝisdatigo kun CPUSE
Ĝisdatigi la Sekurecan Enirejon per CPUSE estas ĝuste la sama kiel ĝisdatigi la Sekurecan Administran Servilon, do bonvolu raporti al la komenco de la artikolo.
Grava punkto: SG-ĝisdatigo postulas rekomencas! Sekve, ĝisdatigu dum la bontena fenestro. Se vi havas areton, ĝisdatigu la pasivan nodon unue, poste ŝanĝu rolojn kaj ĝisdatigu la alian nodon. En la kazo de areto, prizorgaj fenestroj povas esti evititaj.
Instalante novan OS-version sur Security Gateway
1.1) Se vi havas veran SG
1.1.1) Uzanta ekfunkciigebla USB-memordisko kun bildo estas kreita . La bildo estas la sama kiel ĉe SMS, sed la proceduro por krei ekfunkciigeblan poŝmemorilon aspektas iom malsama.
1.1.2) Mi rekomendas prepari almenaŭ 2 starteblajn poŝmemorojn, ĉar okazas, ke la poŝmemoro ne ĉiam estas legebla.
1.1.3) Kiel administranto en via komputilo, rulu ISOmorphic.exe. En la paŝo 1, elektu la elŝutitan bildon de Gaia R80.40, en la paŝo 4 la flash drive. Ŝanĝu punktojn 2 kaj 3 neniu bezono!
Figuro 19. Krei starteblan USB-memordiskon
1.1.4) Elektu eron "Instali aŭtomate sen konfirmo", kaj gravas indiki la modelon de via Sekureca Enirejo - linioj 2 aŭ 3. Se ĉi tio estas fizika sablokesto (SandBlast Appliance), tiam elektu linion 5.
Figuro 20. Elekto de aparato-modelo por krei ekŝargeblan USB-memorilon
1.1.5) Poste, vi malŝaltas la suprenlinion, enigu la poŝmemoron en la USB-havenon, konektu la konzolan kablon per la COM-haveno al la aparato kaj ŝaltas la enirejon. La instala procezo okazas aŭtomate. Defaŭlta IP-adreso - 192.168.1.1/24, kaj salutinformoj administranto / administranto. Vi devus unue ĝisdatigi pasiva nodo, tiam instalu politikon sur ĝi, ŝanĝu rolojn kaj poste ĝisdatigu alian nodon. Vi plej verŝajne bezonos servofenestron.
1.1.6) La sekva paŝo estas konekti al la retinterfaco en Gaia Portal, kie vi trapasas la unuan inicialigon de la aparato. Dum pravalorigo vi esence premas Poste, ĉar preskaŭ ĉiuj agordoj povas esti ŝanĝitaj estonte. Tamen vi povas tuj ŝanĝi la IP-adreson, DNS-agordojn kaj gastigan nomon.
1.2) Se vi havas virtualan SG
1.2.1) Kreu novan virtualan maŝinon kun la samaj rimedoj (CPU, RAM, HDD) aŭ pli, ĉar la versio R80.40 estas iom pli postulema. Por eviti konflikton de IP-adresoj, malŝaltu la malnovan enirejon kaj komencu instali novan kun la sama IP-adreso. La malnova SG povas esti sekure forigita, ĉar estas nenio valora sur ĝi, ĉar ĉiuj plej gravaj aferoj - la sekureca politiko - troviĝas sur la administra servilo.
1.2.2) Dum OS-instalado, agordu la nunan IP-adreson kaj elektu dosierujon / radiko taŭga kvanto da spaco.
3) Konektu al la enirejo per la HTTPS-haveno kaj komencu la komencan procezon. Al la momento de elekti la tipon de instalado "Instala Tipo" elektu la unuan opcion - Sekureca Enirejo kaj/aŭ Sekureca Administrado.
Figuro 21. Elekto de instalaĵo de Gaia
4) La plej grava punkto estas la elekto de ento (Produktoj). Devus elekti Sekureca Enirejo kaj, se vi havas areton, marku la skatolon "Unuo estas parto de areto, tajpu: ClusterXL". Se vi havas VRRP-grupon, tiam elektu ĉi tiun tipon, sed ĝi estas neverŝajna.
Figuro 22. Elektante tipon de ento dum instalado de Gaia
5) En la sekva paŝo, agordu la unufojan pasvorton de SIC por establi fidon kun la administrada servilo. Uzante ĉi tiun pasvorton, atestilo estas generita, kaj la administra servilo komunikados kun la enirejo per ĉifrita komunika kanalo. Markmarko "Konektiĝu al via Administrado kiel Servo" devus esti agordita se la administra servilo situas en la nubo. Ni ĵus skribis pri tio kaj kiom oportuna kaj simpla estas la servilo pri nuba administrado.
Figuro 23. Kreado de SIC
6) Komencu la komencan procezon sur la sekva langeto. Tuj kiam la aparato rekomencas, konektu al la retinterfaco kaj transiru la agordojn de la ekrankopioj al ĉiuj langetoj de Gaia Portal, en kiuj io estis agordita, aŭ rulu la komandon de clish. ŝarĝi agordon .txt. Ĉi tiu agorda dosiero unue devas esti alŝutita al la sekureca enirejo.
Примечание: Pro la fakto, ke la OS estas nova, WinSCP ne permesos vin konekti kiel administranto, ŝanĝi la uzantan ŝelon al /bin/bash aŭ en la retinterfaco en la langeto Uzantoj, aŭ enirante la komandon. chsh –s /bin/bash aŭ kreu novan uzanton per ĉi tiu ŝelo.
7) Malfermu kaj eniru la objekton de Sekureca Enirejo, kiun vi ĵus reinstalis. Malfermu la langeton Ĝeneralaj Propraĵoj > Komunikado > Restarigi SIC kaj enigu la pasvorton specifitan en la paŝo 5.
Figuro 24: Establi fidon kun la nova sekureca enirejo
8) La Gaia versio de la objekto devus ŝanĝi, se ĝi ne ŝanĝiĝas, tiam ŝanĝu ĝin permane. Poste instalu la politikon sur la enirejo.
9) En Gaia Portal, iru al la langeto Ĝisdatigoj (CPUSE) > Statuso kaj Agoj > Varmigaj korektoj kaj instalu la plej novan varmfikson. La aparato eniros restartigi dum instalado!
10) En kazo de areto, ŝanĝu la rolojn de la nodoj kaj faru la samajn paŝojn por alia nodo.
konkludo
Mi provis fari la plej klaran kaj ampleksan gvidilon por ĝisdatigi de versio R80.20/R80.30 al la nuna R80.40, ĉar multe ŝanĝiĝis. Versio jam aperis en demo-reĝimo, sed la ĝisdatiga procedo restas pli-malpli identa. Gvidite de la oficialulo de Check Point, vi povas mem eltrovi ĉiujn detalojn.
Por ajnaj demandoj vi povas kontakti nin. Ni volonte helpos kun la plej kompleksaj ĝisdatigoj kaj kazoj kiel parto de nia teknika subteno . Ankaŭ ĉe nia eblas mendi revizion de Check Point-agordoj aŭ lasi ĝin senpaga por teknika kazo.
. Restu agordita (, , , , ).
fonto: www.habr.com