BolеKaks aastat tagasi kirjutasime, et iga Check Pointi administraator seisab varem või hiljem silmitsi uuele versioonile uuendamise probleemiga. Selles kirjeldati versiooni R77.30 versiooni R80.10 versiooniuuendust. Muide, 2020. aasta jaanuaris sai R77.30 FSTECi sertifitseeritud versiooniks. Check Pointis on aga 2 aastaga palju muutunud. Artiklis "” kirjeldab kõiki uuendusi, mida on palju. Selles artiklis kirjeldatakse värskendusprotseduuri võimalikult üksikasjalikult.
Nagu teate, on Check Pointi juurutamiseks kaks võimalust: eraldiseisev ja hajutatud, st ilma spetsiaalse haldusserverita ja spetsiaalse serveriga. Valik Distributed on väga soovitatav mitmel põhjusel.
-
lüüsi ressursside koormus on viidud miinimumini;
-
Haldusserveris töötamiseks ei pea te hooldusakent planeerima;
-
SmartEventi piisav toimimine, kuna tõenäoliselt ei tööta see eraldiseisvas versioonis;
-
Väga soovitatav on luua lüüside klaster hajutatud konfiguratsioonis.
Arvestades kõiki hajutatud konfiguratsiooni eeliseid, kaalume haldusserveri ja turvalüüsi eraldi uuendamist.
Turvahaldusserveri (SMS) värskendus
SMS-i värskendamiseks on kaks võimalust:
-
CPUSE kaudu (Gaia portaali kaudu)
-
kasutades migratsioonitööriistu (vajalik puhas installimine - värske install)
Check Pointi kolleegid ei soovita CPUSE-ga värskendamist, kuna see ei värskenda teie failisüsteemi versiooni ega tuuma. See meetod ei nõua aga poliitikate migreerimist ning on palju kiirem ja lihtsam kui teine meetod.
Soovitatav meetod on puhas installimine ja poliitikate migreerimine migratsioonitööriistade abil. Lisaks uuele failisüsteemile ja OS-i tuumale juhtub sageli ka SMS-i andmebaasi ummistumist ning puhas install on selles osas suurepärane lahendus serverile kiiruse lisamiseks.
1) Iga värskenduse esimene samm on varukoopiate ja hetktõmmiste loomine. Kui teil on füüsiline haldusserver, tuleks Gaia portaali veebiliidese kaudu teha varukoopia. Minge vahekaardile Hooldus > Süsteemi varundamine > Varundamine. Järgmisena määrate varukoopia salvestamise asukoha. See võib olla SCP-, FTP-, TFTP-server või lokaalselt seadmes, kuid siis peate selle varukoopia hiljem serverisse või arvutisse üles laadima.
Joonis 1. Varukoopia loomine Gaia portaalis
2) Järgmisena peaksite vahekaardil hetktõmmise tegema Hooldus → Snapshot Management → Uus. Varukoopiate ja hetktõmmiste erinevus seisneb selles, et hetktõmmised salvestavad rohkem teavet, sealhulgas kõik installitud kiirparandused. Siiski on parem teha mõlemat.
Kui teie haldusserver on installitud virtuaalmasinana, on soovitatav teha virtuaalmasinast varukoopia sisseehitatud hüperviisori tööriistade abil. See on lihtsalt kiirem ja usaldusväärsem.
Joonis 2. Pildi loomine Gaia portaalis
3) Salvestage seadme konfiguratsioon Gaia portaalist. Saate teha ekraanipildi kõigist Gaia portaalis olevatest seadete vahekaartidest või sisestada käsu Clishist salvesta konfiguratsioon. Järgmisena viige fail WinSCP või mõne muu kliendi abil arvutisse.
Joonis 3. Konfiguratsiooni salvestamine tekstifaili)
Märkus: kui WinSCP ei luba teil ühendust luua, muutke kasutaja shell väärtuseks /bin/bash kas veebiliideses vahekaardil Kasutajad või sisestades käsu chsh –s /bin/bash.
Värskendamine CPUSE-ga
4) Esimesed 3 sammu on iga värskendusvaliku puhul kohustuslikud. Kui otsustate valida lihtsama värskendustee, minge veebiliideses vahekaardile Täiendused (CPUSE) > Olek ja toimingud > Peamised versioonid > Check Point R80.40 Gaia värske installimine ja täiendamine. Paremklõpsake sellel värskendusel ja valige Tõendaja. Kinnitusprotsess algab mõne minuti pärast, pärast mida näete teadet, et seadet saab värskendada. Kui näete vigu, tuleb need parandada.
Joonis 4. Värskendus CPUSE kaudu
5) Värskendus CDT (Central Deployment Tool) uusimale versioonile – utiliit, mis töötab haldusserveris ja võimaldab installida värskendusi, hoolduspakette, hallata varukoopiaid, hetktõmmiseid, skripte ja palju muud. Aegunud CDT versioon võib värskendusega probleeme tekitada. CDT saate alla laadida aadressilt .
6) Pärast allalaaditud arhiivi paigutamist SMS-i mis tahes kataloogi WinSCP kaudu, ühendage SSH kaudu SMS-iga ja sisenege ekspertrežiimi. Tuletan meelde, et WinSCP kasutajal peab olema kest / bin / bash!
7) Sisestage käsud:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv -force CPcdt-00-00.i386.rpm
Joonis 5. Keskse juurutustööriista (CDT) installimine
8) Järgmine samm on R80.40 pildi installimine. Paremklõpsake värskendusel Laadi alla, siis Paigaldada. Pidage meeles, et värskendamine võtab 20–30 minutit ja haldusserver ei ole mõnda aega saadaval. Seetõttu on mõistlik teenindusaknas kokku leppida.
9) Kõik litsentsid ja turvapoliitikad on salvestatud, nii et järgmiseks peaksite alla laadima uue .
10) Ühendage SMS-iga uus SmartConsole ja määrake turvapoliitikad. Nupp Installipoliitika vasakus ülanurgas.
11) Teie SMS-i on värskendatud, järgmiseks peaksite installima uusima kiirparanduse. Vahekaardil Täiendused (CPUSE) > Olek ja toimingud > Kiirparandused klõpsake hiire paremat nuppu KontrollijaSiis Installige värskendus. Seade taaskäivitub pärast värskenduse installimist ise.
Joonis 6. Uusima kiirparanduse installimine CPUSE kaudu
Värskendamine migratsioonitööriistade abil
4) Esiteks peaksite värskendama ka CDT uusimale versioonile - jaotise punktid 5, 6, 7 "Värskenda CPUSE abil."
5) Installige haldusserverist poliitikate migreerimiseks vajalik pakett Migration Tools. Selle järgi leiate Migration Tools versioonide jaoks: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Peaksite alla laadima migratsioonitööriistade versiooni mida soovite värskendada, ja mitte see, mis teil praegu on! Meie puhul on see R80.40.
6) Järgmisena minge SMS-i veebiliideses vahekaardile Täiendused (CPUSE) > Olek ja toimingud > Impordi pakett > Sirvi > Valige allalaaditud fail > Impordi.
Joonis 7. Migratsioonitööriistade importimine
7) SMS-i ekspertrežiimis kontrollige, et pakett Migration Tools oleks installitud käsuga (käsu väljund peab ühtima migratsioonitööriistade arhiivi nimes oleva numbriga):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 Järgunumber 1
Joonis 8. Migratsioonitööriistade installimise kontrollimine
8) Minge haldusserveris kausta $FWDIR/scripts:
cd $FWDIR/skriptid
9) Käivitage versiooniuuenduse-eelne kontrollija, kasutades käsku (kui esineb vigu, parandage need enne edasisi toiminguid):
./migrate_server verify -v R80.40
Märkus: kui näete viga "Uuendustööriistade paketi toomine nurjus", kuid olete kontrollinud, et arhiivi importimine õnnestus (vt punkt 4), kasutage käsku:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Joonis 9. Kinnitusskripti käivitamine
10) Ekspordi turvapoliitikad käsuga:
./migrate_server export -v R80.40 / / .tgz
Joonis 10. Turvapoliitika eksportimine
Märkus: kui näete viga "Uuendustööriistade paketi toomine nurjus", kuid olete kontrollinud, et arhiivi importimine õnnestus (samm 7), kasutage käsku:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Arvutage MD5 räsisumma ja salvestage käsu väljund:
md5sum / / .tgz
Joonis 11. MD5 räsisumma arvutamine
12) Teisaldage see fail WinSCP abil oma arvutisse.
13) Sisestage käsk df-h ja salvestage endale kataloogide protsent, mis põhineb hõivatud ruumil.
Joonis 12. Kataloogide protsent SMS-i kohta
14.1) Kui teil on tõeline SMS
14.1.1) Kasutades luuakse pildiga käivitatav USB-mälupulk .
14.1.2) Soovitan ette valmistada vähemalt 2 buutivat mälupulka, kuna juhtub, et mälupulk pole alati loetav.
14.1.3) Käivitage arvuti administraatorina ISOmorphic.exe. 1. sammus valige allalaaditud Gaia R80.40 pilt, toimingus 4 välkmälu. Muuda punkte 2 ja 3 ära tee seda!
Joonis 13. Alglaaditava USB-mälupulga loomine
14.1.4) Valige üksus "Installi automaatselt ilma kinnituseta" ja oluline on määrata oma haldusserveri mudel. SMS-i puhul tuleks valida rida 3 või 4.
Joonis 14. Seadme mudeli valimine buutiva USB-mälupulga loomiseks
14.1.5) Järgmiseks lülitate ülemise liini välja, sisestate USB-porti välkmälu, ühendate konsooli kaabli COM-pordi kaudu seadmega ja lubate SMS-i. Installiprotsess toimub automaatselt. Vaike-IP-aadress – 192.168.1.1/24ja sisselogimisandmed admin/admin.
14.1.6) Järgmine samm on luua ühendus Gaia portaali veebiliidesega (vaikeaadress ), kus läbite seadme lähtestamise. Initsialiseerimise ajal vajutate põhimõtteliselt Järgmine, sest peaaegu kõiki seadeid saab tulevikus muuta. IP-aadressi, DNS-i sätteid ja hostinime saate aga kohe muuta.
14.2) Kui teil on virtuaalne SMS
14.2.1) Ärge mingil juhul kustutage vana SMS-i, looge uus virtuaalmasin samade ressurssidega (CPU, RAM, HDD) ja sama IP-aadressiga. Muide, saate lisada RAM-i ja HDD-d, kuna R80.40 versioon on veidi nõudlikum. IP-aadresside konfliktide vältimiseks lülitage vana SMS välja ja alustage uue installimist.
14.2.2) Gaia installimise ajal konfigureerige praegune IP-aadress ja valige kataloog / Root piisavalt ruumi. Teie kataloogide protsent peaks olema ligikaudu ellu jääma, kasutage väljundit df-h.
15) Paigalduse tüübi valiku hetkel "Installi tüüp" valige esimene valik, kuna tõenäoliselt pole teil MDS-i (multi-domeeniserver). MDS-i korral haldasite korraga palju domeene erinevatest SMS-üksustest. Sel juhul peaksite valima teise üksuse.
Joonis 15. Gaia paigaldustüübi valimine
16) Kõige olulisem punkt, mida ei saa ilma uuesti installimata parandada, on olemi valik. Peaks valima Turvalisuse juhtimine ja klõpsake Järgmine. Kõik muu on vaikimisi.
Joonis 16. Olemitüübi valimine Gaia installimisel
17) Kui seade taaskäivitub, looge ühendus veebiliidesega kasutades või teist IP-aadressi, kui olete seda muutnud.
18) Teisaldage ekraanipiltide sätted kõigile Gaia portaali vahekaartidele, kus midagi oli seadistatud, või käivitage käsk clishist laadimise konfiguratsioon .txt. See konfiguratsioonifail tuleb esmalt SMS-i üles laadida.
Märkus: Kuna OS on uus, ei luba WinSCP teil administraatorina ühendust luua, muuta kasutaja kestaks /bin/bash ei veebiliideses vahekaardil Kasutajad või käsu sisestamisega chsh –s /bin/bash või looge uus kasutaja.
19) Laadige fail koos eksporditud poliitikatega vanast haldusserverist üles mis tahes kataloogi. Seejärel minge ekspertrežiimis konsooli ja kontrollige, kas MD5 räsisumma vastab eelmisele. Vastasel juhul tuleks eksport uuesti teha:
md5sum / / .tgz
20) Korrake 6. sammu ja installige Gaia portaali vahekaardil olevale uuele SMS-ile Upgrade Tools. Täiendused (CPUSE) > Olek ja toimingud.
21) Sisestage käsk ekspertrežiimis:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Joonis 17. Turvapoliitika importimine uude SMS-i
22) Luba teenused käsuga cpstart.
23) Laadige alla uus ja ühendage haldusserveriga. Minema Menüü > Litsentside ja pakettide haldamine (SmartUpdate) ja kontrollige, kas teil on litsents alles.
Joonis 18. Installitud litsentside kontrollimine
24) Määrake lüüsi või klastri turbepoliitika - Installipoliitika.
Turvavärava (SG) värskendus
Turvalüüsi saab värskendada CPUSE kaudu, nagu haldusserverit, või uuesti installida - värske install. Minu kogemuse kohaselt installivad kõik 99% juhtudest Security Gateway uuesti, kuna see võtab peaaegu sama kaua kui CPUSE kaudu värskendamine, kuid saate puhta ja värskendatud OS-i ilma vigadeta.
Analoogiliselt SMS-iga peate esmalt looma varukoopia ja hetktõmmise ning salvestama ka seaded Gaia portaalist. Vaadake jaotise punkte 1, 2 ja 3 "Turvahaldusserveri värskendus".
Värskendamine CPUSE-ga
Turvavärava värskendamine CPUSE kaudu on täpselt sama, mis turvahaldusserveri värskendamine, seega vaadake artikli algust.
Oluline punkt: SG värskendus nõuab taaskäivitub! Seetõttu värskendage hooldusakna ajal. Kui teil on klaster, uuendage esmalt passiivset sõlme, seejärel vahetage rolle ja täiendage teist sõlme. Klastri puhul saab hooldusaknaid vältida.
Uue OS-i versiooni installimine turvaväravale
1.1) Kui teil on tõeline SG
1.1.1) Kasutades luuakse pildiga käivitatav USB-mälupulk . Pilt on sama, mis SMS-is, kuid käivitatava välkmäluseadme loomise protseduur näeb välja veidi erinev.
1.1.2) Soovitan ette valmistada vähemalt 2 buutivat mälupulka, kuna juhtub, et mälupulk pole alati loetav.
1.1.3) Käivitage arvuti administraatorina ISOmorphic.exe. 1. sammus valige allalaaditud Gaia R80.40 pilt, toimingus 4 välkmälu. Muuda punkte 2 ja 3 ära tee seda!
Joonis 19. Alglaaditava USB-mälupulga loomine
1.1.4) Valige üksus "Installi automaatselt ilma kinnituseta", ja oluline on märkida oma Security Gateway mudel – read 2 või 3. Kui tegemist on füüsilise liivakastiga (SandBlast Appliance), siis valige rida 5.
Joonis 20. Seadme mudeli valimine buutiva USB-mälupulga loomiseks
1.1.5) Järgmiseks lülitate upline'i välja, sisestate mälupulga USB-porti, ühendate konsooli kaabli COM-pordi kaudu seadmega ja lülitate lüüsi sisse. Installiprotsess toimub automaatselt. Vaike-IP-aadress – 192.168.1.1/24ja sisselogimisandmed admin/admin. Kõigepealt peaksite värskendama passiivne sõlm, installige sellele reegel, vahetage rolle ja värskendage seejärel teist sõlme. Tõenäoliselt vajate hooldusakent.
1.1.6) Järgmine samm on ühenduse loomine Gaia portaali veebiliidesega, kus läbite seadme esmase lähtestamise. Initsialiseerimise ajal vajutate põhimõtteliselt Järgmine, sest peaaegu kõiki seadeid saab tulevikus muuta. IP-aadressi, DNS-i sätteid ja hostinime saate aga kohe muuta.
1.2) Kui teil on virtuaalne SG
1.2.1) Looge uus virtuaalmasin samade ressurssidega (CPU, RAM, HDD) või rohkem, kuna R80.40 versioon on veidi nõudlikum. IP-aadresside konflikti vältimiseks lülitage vana lüüs välja ja alustage sama IP-aadressiga uue installimist. Vana SG saab ohutult kustutada, kuna sellel pole midagi väärtuslikku, sest kõik kõige olulisemad asjad - turvapoliitika - asuvad haldusserveris.
1.2.2) OS-i installimise ajal konfigureerige praegune IP-aadress ja valige kataloog / Root piisavalt ruumi.
3) Ühendage lüüsiga HTTPS-pordi kaudu ja alustage lähtestamisprotsessi. Paigaldustüübi valimise ajal "Installi tüüp" valige esimene valik – Turvavärav ja/või Turvahaldus.
Joonis 21. Gaia paigaldustüübi valimine
4) Kõige olulisem punkt on olemi (Tooted) valik. Peaks valima Turvavärav ja kui teil on klaster, märkige ruut "Üksus on klastri osa, tüüp: ClusterXL". Kui teil on VRRP-klaster, valige see tüüp, kuid see on ebatõenäoline.
Joonis 22. Olemitüübi valimine Gaia installimisel
5) Järgmises etapis määrake haldusserveriga usalduse loomiseks SIC-i ühekordne parool. Seda parooli kasutades genereeritakse sertifikaat ja haldusserver suhtleb lüüsiga krüpteeritud sidekanali kaudu. Linnuke "Ühendage oma haldusega teenusena" tuleks määrata, kui haldusserver asub pilves. Kirjutasime sellest just hiljuti ja kui mugav ja lihtne on pilvehaldusserver.
Joonis 23. SIC-i loomine
6) Alustage lähtestamisprotsessi järgmisel vahekaardil. Niipea kui seade taaskäivitub, looge ühendus veebiliidesega ja teisaldage ekraanipiltide sätted kõigile Gaia portaali vahekaartidele, kus midagi oli seadistatud, või käivitage käsk clishist laadimise konfiguratsioon .txt. See konfiguratsioonifail tuleb esmalt turvalüüsi üles laadida.
Märkus: Kuna OS on uus, ei luba WinSCP teil administraatorina ühendust luua, muuta kasutaja kestaks /bin/bash ei veebiliideses vahekaardil Kasutajad või käsu sisestamisega chsh –s /bin/bash või looge selle kestaga uus kasutaja.
7) Avatud ja minge äsja uuesti installitud Security Gateway objekti. Avage vahekaart Üldised atribuudid > Side > Lähtestage SIC ja sisestage sammus 5 määratud parool.
Joonis 24: Usalduse loomine uue turvalüüsiga
8) Objekti Gaia versioon peaks muutuma, kui see ei muutu, siis muutke seda käsitsi. Seejärel installige poliitika lüüsi.
9) Minge Gaia portaalis vahekaardile Täiendused (CPUSE) > Olek ja toimingud > Kiirparandused ja installige uusim kiirparandus. Seade läheb sisse taaskäivitage paigaldamise ajal!
10) Klastri puhul muutke sõlmede rolle ja tehke samad sammud mõne teise sõlme jaoks.
Järeldus
Püüdsin koostada kõige selgema ja põhjalikuma juhendi versioonilt R80.20/R80.30 praegusele R80.40 versioonile üleminekuks, kuna palju on muutunud. Versioon on juba demorežiimis ilmunud, kuid värskendusprotseduur jääb enam-vähem identseks. Juhendab ametnik Check Pointist saate kõik üksikasjad ise välja mõelda.
Kõigi küsimuste korral võite meiega ühendust võtta. Aitame hea meelega oma tehnilise toe osana kõige keerukamate uuenduste ja juhtumitega . Ka meie peal on võimalik tellida Check Pointi seadistuste audit või jätta see tasuta tehnilise juhtumi jaoks.
. Jääge lainel (, , , , ).
Allikas: www.habr.com