BolΠ΅Duela bi urte, idatzi genuen Check Pointeko administratzaile guztiek lehenago edo beranduago bertsio berri batera eguneratzeko arazoa izango dutela. Honetan Π±ΡΠ»ΠΎ ΠΎΠΏΠΈΡΠ°Π½ΠΎ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ Ρ Π²Π΅ΡΡΠΈΠΈ R77.30 Π΄ΠΎ R80.10. Π ΡΠ»ΠΎΠ²Ρ, Π² ΡΠ½Π²Π°ΡΠ΅ 2020-Π³ΠΎ R77.30 ΡΡΠ°Π»Π° ΡΠ΅ΡΡΠΈΡΠΈΡΠΈΡΠΎΠ²Π°Π½Π½ΠΎΠΉ Π²Π΅ΡΡΠΈΠ΅ΠΉ Π€Π‘Π’ΠΠ. ΠΠ΄Π½Π°ΠΊΠΎ Π·Π° 2 Π³ΠΎΠ΄Π° Π² Check Point ΠΌΠ½ΠΎΠ³ΠΎΠ΅ ΠΈΠ·ΠΌΠ΅Π½ΠΈΠ»ΠΎΡΡ. Π ΡΡΠ°ΡΡΠ΅ ββ berrikuntza guztiak deskribatzen ditu, eta horietako asko daude. Artikulu honek eguneratze prozedura ahalik eta xehetasun gehienetan deskribatuko du.
Dakizuenez, Check Point ezartzeko 2 aukera daude: Standalone eta Banatua, hau da, kudeaketa zerbitzari dedikaturik gabe eta dedikatu batekin. Banatutako aukera oso gomendagarria da hainbat arrazoirengatik:
-
atebideko baliabideen karga gutxitu egiten da;
-
ΠΌΠΎΠΆΠ½ΠΎ Π½Π΅ ΠΏΠ»Π°Π½ΠΈΡΠΎΠ²Π°ΡΡ ΠΎΠΊΠ½ΠΎ Π΄Π»Ρ ΠΎΠ±ΡΠ»ΡΠΆΠΈΠ²Π°Π½ΠΈΡ, ΡΡΠΎΠ±Ρ ΠΏΡΠΎΠ²Π΅ΡΡΠΈ ΡΠ°Π±ΠΎΡΡ Ρ ΡΠ΅ΡΠ²Π΅ΡΠΎΠΌ ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΡ;
-
SmartEvent-en funtzionamendu egokia, nekez funtzionatuko duelako Standalone bertsioan;
-
ΠΊΠ»Π°ΡΡΠ΅Ρ ΠΈΠ· ΡΠ»ΡΠ·ΠΎΠ² ΠΊΡΠ°ΠΉΠ½Π΅ ΡΠ΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡΠ΅ΡΡΡ ΡΡΡΠΎΠΈΡΡ Π² Distributed ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΠ΅ΠΉ.
Banatutako konfigurazioaren abantaila guztiak kontuan hartuta, kudeaketa zerbitzaria eta segurtasun atebidea bereizita berritzea aztertuko dugu.
ΠΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ Security Management Server (SMS)
SMSak eguneratzeko 2 modu daude:
-
CPUSE bidez (Gaia Portal bidez)
-
Migrazio tresnak erabiliz (instalazio garbia behar da - instalazio berria)
ΠΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ Ρ ΠΏΠΎΠΌΠΎΡΡΡ CPUSE Π½Π΅ ΡΠ΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡΠ΅ΡΡΡ ΠΊΠΎΠ»Π»Π΅Π³Π°ΠΌΠΈ ΠΈΠ· Check Point, ΡΠ°ΠΊ ΠΊΠ°ΠΊ Ρ Π²Π°Ρ Π½Π΅ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡΡ Π²Π΅ΡΡΠΈΡ ΡΠ°ΠΉΠ»ΠΎΠ²ΠΎΠΉ ΡΠΈΡΡΠ΅ΠΌΡ ΠΈ ΡΠ΄ΡΠΎ. ΠΠ΄Π½Π°ΠΊΠΎ Π΄Π°Π½Π½ΡΠΉ ΡΠΏΠΎΡΠΎΠ± Π½Π΅ ΡΡΠ΅Π±ΡΠ΅Ρ ΠΌΠΈΠ³ΡΠ°ΡΠΈΠΈ ΠΏΠΎΠ»ΠΈΡΠΈΠΊ ΠΈ ΡΠ²Π»ΡΠ΅ΡΡΡ Π½Π°ΠΌΠ½ΠΎΠ³ΠΎ Π±ΠΎΠ»Π΅Π΅ Π±ΡΡΡΡΡΠΌ ΠΈ ΠΏΡΠΎΡΡΡΠΌ, Π½Π΅ΠΆΠ΅Π»ΠΈ Π²ΡΠΎΡΠΎΠΉ ΡΠΏΠΎΡΠΎΠ±.
Migrazio Tresnak erabiliz politikak instalatu eta migratzea gomendatzen da metodoa. Fitxategi sistema eta OS kernel berriaz gain, askotan gertatzen da SMS datu-basea trabatu egiten dela, eta horri dagokionez instalazio garbi bat zerbitzariari abiadura gehitzeko irtenbide bikaina da.
1) Eguneratzeen lehen urratsa babeskopiak eta argazkiak sortzea da. Kudeaketa fisikoko zerbitzari bat baduzu, Gaia Portaleko web-interfazetik babeskopia egin behar da. Joan fitxara Mantentzea > Sistemaren babeskopia > Babeskopia. ΠΠ°Π»Π΅Π΅ Π²Ρ ΡΠΊΠ°Π·ΡΠ²Π°Π΅ΡΠ΅ ΠΌΠ΅ΡΡΠΎ ΡΠΎΡ ΡΠ°Π½Π΅Π½ΠΈΡ Π±ΡΠΊΠ°ΠΏΠ°. ΠΡΠΎ ΠΌΠΎΠΆΠ΅Ρ Π±ΡΡΡ SCP, FTP, TFTP ΡΠ΅ΡΠ²Π΅Ρ ΠΈΠ»ΠΈ ΠΆΠ΅ Π»ΠΎΠΊΠ°Π»ΡΠ½ΠΎ Π½Π° ΡΡΡΡΠΎΠΉΡΡΠ²Π΅, ΠΎΠ΄Π½Π°ΠΊΠΎ ΡΠΎΠ³Π΄Π° ΠΏΡΠΈΠ΄Π΅ΡΡΡ ΠΏΠΎΠ·ΠΆΠ΅ ΡΡΠΎ Π±ΡΠΊΠ°ΠΏ ΡΠΊΠΈΠ½ΡΡΡ Π½Π° ΡΠ΅ΡΠ²Π΅Ρ ΠΈΠ»ΠΈ ΠΊΠΎΠΌΠΏΡΡΡΠ΅Ρ.
1. Irudia Gaia Portalean babeskopia bat sortzea
2) Ondoren, fitxan argazki bat atera beharko zenuke Mantentzea β Argazkien kudeaketa β Berria. Babeskopia eta argazkien arteko aldea da argazkien informazio gehiago gordetzen dutela, instalatutako konponketa guztiak barne. Hala ere, hobe da biak egitea.
Zure kudeaketa zerbitzaria makina birtual gisa instalatuta badago, makina birtualaren babeskopia bat egitea gomendatzen da integratutako hipervisor tresnak erabiliz. Besterik gabe, azkarragoa eta fidagarriagoa da.
2. Irudia Gaia Portalean argazki bat sortzea
3) Π‘ΠΎΡ ΡΠ°Π½ΠΈΡΡ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΡ ΡΡΡΡΠΎΠΉΡΡΠ²Π° ΠΈΠ· Gaia Portal. ΠΠΎΠΆΠ½ΠΎ Π·Π°ΡΠΊΡΠΈΠ½ΡΠ½ΠΎΡΠΈΡΡ Π²ΡΠ΅ Π²ΠΊΠ»Π°Π΄ΠΊΠΈ Π½Π°ΡΡΡΠΎΠ΅ΠΊ, ΠΊΠΎΡΠΎΡΡΠ΅ Π΅ΡΡΡ Π² Gaia Portal, Π»ΠΈΠ±ΠΎ ΠΆΠ΅ ΠΈΠ· Clish Π²Π²Π΅ΡΡΠΈ ΠΊΠΎΠΌΠ°Π½Π΄Ρ save configuration <filename>. Ondoren, eraman fitxategia zure ordenagailura WinSCP edo beste bezero bat erabiliz.
3. Irudia. Konfigurazioa testu-fitxategi batean gordetzea)
Kontuan izan: Π΅ΡΠ»ΠΈ WinSCP Π½Π΅ Π΄Π°Π΅Ρ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠΈΡΡΡΡ, ΡΠΌΠ΅Π½ΠΈΡΠ΅ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ shell Π½Π° /bin/bash Π»ΠΈΠ±ΠΎ Π² Π²Π΅Π±-ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ΅ Π²ΠΎ Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ Users, Π»ΠΈΠ±ΠΎ Π²Π²Π΅Π΄Ρ ΠΊΠΎΠΌΠ°Π½Π΄Ρ chsh βs /bin/bash.
CPUSErekin eguneratzen
4) Lehen 3 urratsak derrigorrezkoak dira edozein eguneratze aukerarako. Eguneratze bide errazagoa hartzea erabakitzen baduzu, web interfazean joan fitxara Berrikuntzak (CPUSE) > Egoera eta ekintzak > Bertsio nagusiak > Check Point R80.40 Gaia Fresh Install and Update. Egin klik eskuineko botoiarekin eguneraketa honetan eta hautatu Egiaztatzailea. Egiaztapen-prozesua minutu batzuetan hasiko da, eta ondoren gailua eguneratu daitekeen mezu bat ikusiko duzu. Akatsak ikusten badituzu, zuzendu egin behar dira.
4. Irudia CPUSE bidez eguneratzea
5) Eguneratu CDT (Central Deployment Tool) azken bertsiora - kudeaketa zerbitzarian exekutatzen den erabilgarritasuna eta eguneraketak, zerbitzu-paketeak, babeskopiak, argazkiak, script-ak eta askoz gehiago instalatzeko aukera ematen dizu. CDT bertsio zaharkitu batek arazoak sor ditzake eguneratzean. CDT helbidean deskargatu dezakezu .
6) ΠΠΎΠΌΠ΅ΡΡΠΈΠ² ΡΠΊΠ°ΡΠ°Π½Π½ΡΠΉ Π°ΡΡ ΠΈΠ² Π½Π° SMS Π² Π»ΡΠ±ΡΡ Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡ ΡΠ΅ΡΠ΅Π· WinSCP, ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠΈΡΠ΅ΡΡ ΠΏΠΎ SSH ΠΊ SMS ΠΈ Π·Π°ΠΉΠ΄ΠΈΡΠ΅ Π² ΡΠΊΡΠΏΠ΅ΡΡΠ½ΡΠΉ ΡΠ΅ΠΆΠΈΠΌ. ΠΠ°ΠΏΠΎΠΌΠ½Ρ, ΡΡΠΎ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ WinSCP Π΄ΠΎΠ»ΠΆΠ΅Π½ ΠΈΠΌΠ΅ΡΡ shell / bin / bash!
7) Sartu komandoak:
cd /somepathtoCDT/
tar -zxvf <NameofCDTPackage>.tgz
rpm -Uhv βforce CPcdt-00-00.i386.rpm
Π ΠΈΡΡΠ½ΠΎΠΊ 5. Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° Central Deployment Tool (CDT)
8) Hurrengo urratsa R80.40 irudia instalatzea da. Egin klik eskuineko botoiarekin eguneratzean Download, gero Instalatu. ΠΠΌΠ΅ΠΉΡΠ΅ Π² Π²ΠΈΠ΄Ρ, ΡΡΠΎ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ Π·Π°Π½ΠΈΠΌΠ°Π΅Ρ ΠΌΠΈΠ½ΡΡ 20-30, ΠΈ ΡΠ΅ΡΠ²Π΅Ρ ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΡ Π±ΡΠ΄Π΅Ρ Π½Π΅Π΄ΠΎΡΡΡΠΏΠ΅Π½ ΠΊΠ°ΠΊΠΎΠ΅-ΡΠΎ Π²ΡΠ΅ΠΌΡ. Π‘Π»Π΅Π΄ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΠΎ, ΠΈΠΌΠ΅Π΅Ρ ΡΠΌΡΡΠ» ΡΠΎΠ³Π»Π°ΡΠΎΠ²Π°ΡΡ ΠΎΠΊΠ½ΠΎ Π΄Π»Ρ ΠΎΠ±ΡΠ»ΡΠΆΠΈΠ²Π°Π½ΠΈΡ.
9) Lizentzia eta segurtasun politika guztiak gordetzen dira, beraz, hurrengo bat deskargatu beharko zenuke .
10) Konektatu SMS SmartConsole berrira eta ezarri segurtasun-politikak. Botoia Instalatu politika goiko ezkerreko izkinan.
11) Zure SMSa eguneratu da, orduan azken konponketa instalatu beharko zenuke. Fitxan Berritzeak (CPUSE) > Egoera eta ekintzak > Konponketak egin klik saguaren eskuineko botoian egiaztatzailearen, gero Instalatu eguneratzea. Eguneraketa instalatu ondoren gailua berrabiaraziko da.
6. Irudia. Azken konponketa CPUSE bidez instalatzea
Migrazio tresnekin eguneratzen
4) Lehenik eta behin, CDTren azken bertsiora ere eguneratu beharko zenuke - ataleko 5, 6, 7 puntuak βΠΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ Ρ ΠΏΠΎΠΌΠΎΡΡΡ CPUSEβ.
5) Π£ΡΡΠ°Π½ΠΎΠ²ΠΈΡΠ΅ ΠΏΠ°ΠΊΠ΅Ρ Migration Tools Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΡΠΉ Π΄Π»Ρ ΠΌΠΈΠ³ΡΠ°ΡΠΈΠΈ ΠΏΠΎΠ»ΠΈΡΠΈΠΊ Ρ ΡΠ΅ΡΠ²Π΅ΡΠ° ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΡ. ΠΠΎ Π΄Π°Π½Π½ΠΎΠΉ bertsioetarako Migrazio Tresnak aurki ditzakezu: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Bertsioaren Migrazio Tresnak deskargatu behar dituzu eguneratu nahi duzuna, eta ez orain daukazun hori! Gure kasuan R80.40 da.
6) Ondoren, SMS web interfazean joan fitxara Berritzeak (CPUSE) > Egoera eta ekintzak > Inportatu paketea > Arakatu > Hautatu deskargatutako fitxategia > Inportatu.
7. irudia. Migrazio-tresnak inportatzea
7) SMS-en adituen modutik, egiaztatu Migration Tools paketea instalatuta dagoela komandoa erabiliz (komandoaren irteera Migration Tools artxiboaren izenean dagoen zenbakiarekin bat etorri behar da):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
8. irudia. Migrazio tresnen instalazioa egiaztatzea
8) Joan kudeaketa zerbitzariko $FWDIR/scripts karpetara:
cd $FWDIR/scripts
9) Exekutatu bertsio berritze aurreko egiaztatzailea komandoa erabiliz (akatsak badaude, zuzendu urrats gehiago egin aurretik):
./migrate_server egiaztatu -v R80.40
Kontuan izan: erroreren bat ikusten baduzu "Ezin izan da Berritze Tresnen paketea berreskuratu", baina artxiboa behar bezala inportatu dela egiaztatu duzu (ikus 4. puntua), erabili komandoa:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
9. Irudia. Egiaztapen-scripta exekutatzen
10) Esportatu segurtasun-politikak komandoa erabiliz:
./migrate_server export -v R80.40 / / .tgz
Π ΠΈΡΡΠ½ΠΎΠΊ 10. ΠΠΊΡΠΏΠΎΡΡ ΠΏΠΎΠ»ΠΈΡΠΈΠΊΠΈ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ
Kontuan izan: erroreren bat ikusten baduzu "Ezin izan da Berritze Tresnen paketea berreskuratu", baina artxiboa behar bezala inportatu dela egiaztatu duzu (7. urratsa), erabili komandoa:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Kalkulatu MD5 hash batura eta gorde komandoaren irteera:
md5sum /<Full Path>/<Name of Exported File>.tgz
Π ΠΈΡΡΠ½ΠΎΠΊ 11. ΠΡΡΡΠΈΡΡΠ²Π°Π½ΠΈΠ΅ MD5 Ρ
ΡΡ-ΡΡΠΌΠΌΡ
12) Π‘ ΠΏΠΎΠΌΠΎΡΡΡ WinSCP ΠΏΠ΅ΡΠ΅ΠΌΠ΅ΡΡΠΈΡΠ΅ Π΄Π°Π½Π½ΡΠΉ ΡΠ°ΠΉΠ» ΠΊ ΡΠ΅Π±Π΅ Π½Π° ΠΊΠΎΠΌΠΏΡΡΡΠ΅Ρ.
13) ΠΠ²Π΅Π΄ΠΈΡΠ΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρ df -h eta gorde zeure burua okupatutako espazioaren arabera direktorioen ehunekoa.
12. Irudia. Direktorioen ehunekoa SMS bakoitzeko
14.1) Π ΡΠ»ΡΡΠ°Π΅, Π΅ΡΠ»ΠΈ Ρ Π²Π°Ρ ΡΠ΅Π°Π»ΡΠ½ΡΠΉ SMS
14.1.1) Erabiliz irudi batekin USB flash drive abiagarri bat sortzen da .
14.1.2) Gutxienez abiarazteko 2 flash drive prestatzea gomendatzen dut, gertatzen baita flash drive ez dela beti irakurgarria.
14.1.3) Zure ordenagailuko administratzaile gisa, exekutatu ISOmorphic.exe. 1. urratsean, hautatu Gaia R80.40-ren deskargatutako irudia, 4. urratsean flash drive. Aldatu 2 eta 3 puntuak beharrik ez!
13. Irudia. USB flash drive abiagarri bat sortzea
14.1.4) Hautatu elementu bat "Instalatu automatikoki baieztatu gabe" eta garrantzitsua da zure kudeaketa zerbitzariaren eredua zehaztea. SMSen kasuan, 3. edo 4. lerroa hautatu behar duzu.
14. Irudia. Gailu-eredu bat hautatzea abiarazteko USB flash drive bat sortzeko
14.1.5) Ondoren, gorako linea itzali, flash drive USB atakan sartu, kontsola kablea COM atakaren bidez konektatu gailura eta SMS gaitu. Instalazio prozesua automatikoki gertatzen da. IP helbide lehenetsia - 192.168.1.1/24, Π° Π΄Π°Π½Π½ΡΠ΅ Π΄Π»Ρ Π²Ρ ΠΎΠ΄Π° administratzailea / administratzailea.
14.1.6) Π‘Π»Π΅Π΄ΡΡΡΠΈΠΌ ΡΠ°Π³ΠΎΠΌ ΡΠ»Π΅Π΄ΡΠ΅Ρ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΊ Π²Π΅Π± ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΡ Π½Π° Gaia Portal (Π°Π΄ΡΠ΅Ρ ΠΏΠΎ ΡΠΌΠΎΠ»ΡΠ°Π½ΠΈΡ ), non gailuaren hasieratik igarotzen zaren. Hasierako garaian, funtsean, sakatzen duzu Hurrengoa, ΠΈΠ±ΠΎ ΠΏΠΎΡΡΠΈ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΠΌΠ΅Π½ΡΡΡ Π² Π±ΡΠ΄ΡΡΠ΅ΠΌ. ΠΠ΄Π½Π°ΠΊΠΎ Π²Ρ ΠΌΠΎΠΆΠ΅ΡΠ΅ ΠΈΠ·ΠΌΠ΅Π½ΠΈΡΡ ΡΡΠ°Π·Ρ IP-Π°Π΄ΡΠ΅Ρ, Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ DNS ΠΈ hostname.
14.2) SMS birtuala baduzu
14.2.1) Ez duzu inolaz ere SMS zaharra ezabatu behar; sortu makina birtual berri bat baliabide berdinekin (CPU, RAM, HDD) eta IP helbide berarekin. Bide batez, RAM eta HDD gehi ditzakezu, R80.40 bertsioa apur bat zorrotzagoa baita. IP helbideen gatazkak saihesteko, itzali SMS zaharra eta hasi berri bat instalatzen.
14.2.2) Gaia instalatzean, konfiguratu uneko IP helbidea eta hautatu direktorio bat / Ezaugarria espazio kopuru egokia. Zure direktorioen ehunekoa gutxi gorabehera izan beharko litzateke biziraun, erabili irteera df -h.
15) Instalazio mota aukeratzeko momentuan "Instalazio mota" aukeratu lehen aukera, ziurrenik ez duzulako MDS (Multi-Domain Server). MDS bada, SMS entitate ezberdinetako domeinu asko kudeatu dituzu aldi berean. Kasu honetan, bigarren elementua hautatu beharko zenuke.
15. Irudia Gaia instalazio mota hautatzea
16) Berriz instalatu gabe zuzendu ezin den puntu garrantzitsuena entitatea aukeratzea da. Aukeratu beharko luke Segurtasunaren kudeaketa eta egin klik Hurrengoa. Beste guztia lehenespenez da.
Π ΠΈΡΡΠ½ΠΎΠΊ 16. ΠΡΠ±ΠΎΡ ΡΠΈΠΏΠ° ΡΡΡΠ½ΠΎΡΡΠΈ ΠΏΡΠΈ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ΅ Gaia
17) Gailua berrabiarazi ondoren, konektatu web interfazera erabiliz edo beste IP helbide bat aldatu baduzu.
18) Transferitu ezarpenak pantaila-argazkietatik zerbait konfiguratuta dagoen Gaia Portaleko fitxa guztietara, edo exekutatu komandoa Clish-etik kargatu konfigurazioa .txt. Lehenik eta behin konfigurazio-fitxategi hau SMSra igo behar da.
Kontuan izan: OS berria denez, WinSCP-k ez dizu administratzaile gisa konektatzen, erabiltzaileen shell-a /bin/bash-era aldatzen ez Erabiltzaileak fitxan, ez komandoa sartuta. chsh βs /bin/bash edo sortu erabiltzaile berri bat.
19) Kargatu kudeaketa zerbitzari zaharretik esportatutako politikak dituen fitxategia edozein direktoriotara. Ondoren, joan kontsolara aditu moduan eta egiaztatu MD5 hash kopurua aurrekoarekin bat datorrela. Bestela, esportazioa berriro egin beharko litzateke:
md5sum / / .tgz
20) Errepikatu 6. urratsa eta instalatu Berritze Tresnak Gaia Portaleko SMS berrian fitxan Berrikuntzak (CPUSE) > Egoera eta ekintzak.
21) Sartu komandoa aditu moduan:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
17. Irudia. Segurtasun-politika SMS berri batera inportatzea
22) ΠΠΊΠ»ΡΡΠΈΡΠ΅ ΡΠ΅ΡΠ²ΠΈΡΡ ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ cpstart.
23) Deskargatu berri bat eta konektatu kudeaketa zerbitzariarekin. Joan Menu > Manage Licenses and Packages (SmartUpdate) eta egiaztatu oraindik lizentzia duzula.
18. Irudia. Instalatutako lizentziak egiaztatzea
24) Ezarri segurtasun-politika atebidean edo klusterrean - Instalatu politika.
Security Gateway (SG) Eguneraketa
Segurtasun Gateway CPUSE bidez egunera daiteke, kudeaketa zerbitzariaren antzera, edo berriro instalatu - instalazio berria. Nire esperientziaren arabera, kasuen % 99an, denek berriro instalatzen dute Security Gateway CPUSE bidez eguneratzeak ia denbora berdina behar duelako, baina akatsik gabeko OS garbi eta eguneratua lortzen duzu.
SMSekin analogia eginez, lehenik eta behin babeskopia eta argazkia sortu behar dituzu, eta Gaia Portaleko ezarpenak ere gorde behar dituzu. Ikus ataleko 1, 2 eta 3 puntuak "Segurtasuna kudeatzeko zerbitzariaren eguneratzea".
CPUSErekin eguneratzen
Segurtasun-atebidea CPUSE bidez eguneratzea Segurtasun-kudeaketako zerbitzaria eguneratzea bezain berdina da, beraz, mesedez, ikusi artikuluaren hasiera.
Puntu garrantzitsua: SG eguneratzea beharrezkoa da berrabiarazi! Beraz, eguneratu mantentze-leihoan zehar. Kluster bat baduzu, berritu lehenik nodo pasiboa, ondoren aldatu rolak eta berritu beste nodoa. Kluster baten kasuan, mantentze-leihoak saihestu daitezke.
Security Gateway-n OS bertsio berri bat instalatzen
1.1) Benetako SG bat baduzu
1.1.1) Erabiliz irudi batekin USB flash drive abiagarri bat sortzen da . Irudia SMSetan bezalakoa da, baina abiarazteko flash drive bat sortzeko prozedura apur bat desberdina da.
1.1.2) Gutxienez abiarazteko 2 flash drive prestatzea gomendatzen dut, gertatzen baita flash drive ez dela beti irakurgarria.
1.1.3) Zure ordenagailuko administratzaile gisa, exekutatu ISOmorphic.exe. 1. urratsean, hautatu Gaia R80.40-ren deskargatutako irudia, 4. urratsean flash drive. Aldatu 2 eta 3 puntuak beharrik ez!
19. Irudia. USB flash drive abiagarri bat sortzea
1.1.4) Hautatu elementu bat "Instalatu automatikoki baieztapenik gabe", ΠΈ Π²Π°ΠΆΠ½ΠΎ ΡΠΊΠ°Π·Π°ΡΡ ΠΌΠΎΠ΄Π΅Π»Ρ Π²Π°ΡΠ΅Π³ΠΎ Security Gateway β ΡΡΡΠΎΠΊΠΈ 2 ΠΈΠ»ΠΈ 3. ΠΡΠ»ΠΈ ΡΡΠΎ ΡΠΈΠ·ΠΈΡΠ΅ΡΠΊΠ°Ρ ΠΏΠ΅ΡΠΎΡΠ½ΠΈΡΠ° (SandBlast Appliance), ΡΠΎ Π²ΡΠ±ΠΈΡΠ°Π΅ΠΌ ΡΡΡΠΎΠΊΡ 5.
20. Irudia. Gailu-eredu bat hautatzea abiarazteko USB flash drive bat sortzeko
1.1.5) Ondoren, gorako linea itzali, flash drive USB atakan sartu, kontsolaren kablea COM atakaren bidez konektatu gailura eta atea piztu. Instalazio-prozesua automatikoki gertatzen da. IP helbide lehenetsia - 192.168.1.1/24, Π° Π΄Π°Π½Π½ΡΠ΅ Π΄Π»Ρ Π²Ρ ΠΎΠ΄Π° administratzailea / administratzailea. Lehenik eta behin eguneratu beharko zenuke nodo pasiboa, Π·Π°ΡΠ΅ΠΌ ΡΡΡΠ°Π½ΠΎΠ²ΠΈΡΡ Π½Π° Π½Π΅Π΅ ΠΏΠΎΠ»ΠΈΡΠΈΠΊΡ, ΠΏΠ΅ΡΠ΅ΠΊΠ»ΡΡΠΈΡΡ ΡΠΎΠ»ΠΈ ΠΈ ΠΏΠΎΡΠΎΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ Π΄ΡΡΠ³ΡΡ Π½ΠΎΠ΄Ρ. Π‘ΠΊΠΎΡΠ΅Π΅ Π²ΡΠ΅Π³ΠΎ, ΠΏΠΎΠ½Π°Π΄ΠΎΠ±ΠΈΡΡΡ ΠΎΠΊΠ½ΠΎ Π΄Π»Ρ ΠΎΠ±ΡΠ»ΡΠΆΠΈΠ²Π°Π½ΠΈΡ.
1.1.6) Hurrengo urratsa Gaia Portaleko web interfazera konektatzea da, non gailuaren lehen hasierako prozesua igarotzen duzun. Hasierako garaian, funtsean, sakatzen duzu Hurrengoa, ΠΈΠ±ΠΎ ΠΏΠΎΡΡΠΈ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΠΌΠ΅Π½ΡΡΡ Π² Π±ΡΠ΄ΡΡΠ΅ΠΌ. ΠΠ΄Π½Π°ΠΊΠΎ Π²Ρ ΠΌΠΎΠΆΠ΅ΡΠ΅ ΠΈΠ·ΠΌΠ΅Π½ΠΈΡΡ ΡΡΠ°Π·Ρ IP-Π°Π΄ΡΠ΅Ρ, Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ DNS ΠΈ hostname.
1.2) SG birtual bat baduzu
1.2.1) Sortu makina birtual berri bat baliabide berdinekin (CPU, RAM, HDD) edo gehiagorekin, R80.40 bertsioa pixka bat zorrotzagoa baita. IP helbideen gatazka saihesteko, itzali atebide zaharra eta hasi IP helbide berarekin berri bat instalatzen. SG zaharra segurtasunez ezabatu daiteke, ez baitago ezer baliotsurik, gauza garrantzitsu guztiak -segurtasun-politika- kudeaketa zerbitzarian kokatzen direlako.
1.2.2) OS instalatzean, konfiguratu uneko IP helbidea eta hautatu direktorio bat / Ezaugarria Π°Π΄Π΅ΠΊΠ²Π°ΡΠ½ΠΎΠ΅ ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²ΠΎ ΠΌΠ΅ΡΡΠ°.
3) Konektatu atebidera HTTPS atakaren bidez eta hasi hasierako prozesua. Instalazio mota aukeratzeko unean "Instalazio mota" hautatu lehenengo aukera - Security Gateway eta/edo Security Management.
21. Irudia Gaia instalazio mota hautatzea
4) Puntu garrantzitsuena entitatea (Produktuak) aukeratzea da. Aukeratu beharko luke Segurtasun Pasabidea eta, kluster bat baduzu, markatu laukia "Unitatea kluster baten zati bat da, idatzi: ClusterXL". VRRP kluster bat baduzu, aukeratu mota hau, baina zaila da.
Π ΠΈΡΡΠ½ΠΎΠΊ 22. ΠΡΠ±ΠΎΡ ΡΠΈΠΏΠ° ΡΡΡΠ½ΠΎΡΡΠΈ ΠΏΡΠΈ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ΅ Gaia
5) Hurrengo urratsean, ezarri SIC behin-behineko pasahitza kudeaketa zerbitzariarekin konfiantza ezartzeko. Pasahitz hori erabiliz, ziurtagiri bat sortzen da, eta kudeaketa zerbitzaria atebidearekin komunikatuko da enkriptatutako komunikazio kanal baten bidez. Kontrol-marka βConnect to your Management as a Serviceβ ezarri behar da kudeaketa zerbitzaria hodeian badago. Duela gutxi idatzi dugu honi buruz eta zein erosoa eta erraza den hodeia kudeatzeko zerbitzaria.
Π ΠΈΡΡΠ½ΠΎΠΊ 23. Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ SIC
6) ΠΠ°ΡΠ½ΠΈΡΠ΅ ΠΏΡΠΎΡΠ΅ΡΡ ΠΈΠ½ΠΈΡΠΈΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π½Π° ΡΠ»Π΅Π΄ΡΡΡΠ΅ΠΉ Π²ΠΊΠ»Π°Π΄ΠΊΠ΅. ΠΠ°ΠΊ ΡΠΎΠ»ΡΠΊΠΎ ΡΡΡΡΠΎΠΉΡΡΠ²ΠΎ ΠΏΠ΅ΡΠ΅Π·Π°Π³ΡΡΠ·ΠΈΡΡΡ, ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠΈΡΠ΅ΡΡ ΠΊ Π²Π΅Π± ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΡ ΠΈ ΠΏΠ΅ΡΠ΅Π½Π΅ΡΠΈΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ ΠΈΠ· ΡΠΊΡΠΈΠ½ΡΠΎΡΠΎΠ² Π²ΠΎ Π²ΡΠ΅ Π²ΠΊΠ»Π°Π΄ΠΊΠΈ Gaia Portal, Π² ΠΊΠΎΡΠΎΡΡΡ ΡΡΠΎ-ΡΠΎ Π±ΡΠ»ΠΎ Π½Π°ΡΡΡΠΎΠ΅Π½ΠΎ ΠΈΠ»ΠΈ ΠΆΠ΅ ΠΈΠ· clish Π²ΡΠΏΠΎΠ»Π½ΠΈΡΠ΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρ kargatu konfigurazioa .txt. Lehenik eta behin, konfigurazio-fitxategi hau segurtasun-atebidera igo behar da.
Kontuan izan: OS berria denez, WinSCP-k ez dizu administratzaile gisa konektatzen, erabiltzaileen shell-a /bin/bash-era aldatzen ez Erabiltzaileak fitxan, ez komandoa sartuta. chsh βs /bin/bash edo sortu erabiltzaile berri bat shell honekin.
7) Ireki eta sartu berriro instalatu berri duzun Security Gateway objektura. Ireki fitxa Propietate orokorrak > Komunikazioa > Berrezarri SIC ΠΈ Π²Π²Π΅Π΄ΠΈΡΠ΅ ΠΏΠ°ΡΠΎΠ»Ρ, Π·Π°Π΄Π°Π½Π½ΡΠΉ Π² ΠΏΡΠ½ΠΊΡΠ΅ 5.
24. Irudia: Segurtasun atebide berriarekin konfiantza ezartzea
8) ΠΠ΅ΡΡΠΈΡ Gaia Ρ ΠΎΠ±ΡΠ΅ΠΊΡΠ° Π΄ΠΎΠ»ΠΆΠ½Π° ΡΠΌΠ΅Π½ΠΈΡΡΡΡ, Π΅ΡΠ»ΠΈ Π½Π΅ ΠΈΠ·ΠΌΠ΅Π½ΠΈΡΡΡ, ΡΠΎ ΠΏΠΎΠΌΠ΅Π½ΡΠΉΡΠ΅ Π΅Π΅ ΡΡΠΊΠ°ΠΌΠΈ. ΠΠ°ΡΠ΅ΠΌ ΡΡΡΠ°Π½ΠΎΠ²ΠΈΡΠ΅ ΠΏΠΎΠ»ΠΈΡΠΈΠΊΡ Π½Π° ΡΠ»ΡΠ·.
9) Gaia Portalean, joan fitxara Berritzeak (CPUSE) > Egoera eta ekintzak > Konponketak ΠΈ ΡΡΡΠ°Π½ΠΎΠ²ΠΈΡΠ΅ ΠΏΠΎΡΠ»Π΅Π΄Π½ΠΈΠΉ Ρ ΠΎΡΡΠΈΠΊΡ. Π£ΡΡΡΠΎΠΉΡΡΠ²ΠΎ ΡΠΉΠ΄Π΅Ρ Π² berrezarri instalazioan zehar!
10) Kluster baten kasuan, aldatu nodoen rolak eta egin urrats berdinak beste nodo baterako.
Ondorioa
Π― ΠΏΠΎΡΡΠ°ΡΠ°Π»ΡΡ ΡΠ΄Π΅Π»Π°ΡΡ ΠΌΠ°ΠΊΡΠΈΠΌΠ°Π»ΡΠ½ΠΎ ΠΏΠΎΠ½ΡΡΠ½ΡΠΉ ΠΈ Π²ΡΠ΅ΠΎΠ±ΡΠ΅ΠΌΠ»ΡΡΠΈΠΉ Π³Π°ΠΉΠ΄ ΠΏΠΎ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΡ Ρ Π²Π΅ΡΡΠΈΠΈ R80.20/R80.30 Π΄ΠΎ Π°ΠΊΡΡΠ°Π»ΡΠ½ΠΎΠΉ Π½Π° Π΄Π°Π½Π½ΡΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ R80.40, ΡΠ°ΠΊ ΠΊΠ°ΠΊ ΠΌΠ½ΠΎΠ³ΠΎΠ΅ ΠΈΠ·ΠΌΠ΅Π½ΠΈΠ»ΠΎΡΡ. ΠΠ΅ΡΡΠΈΡ dagoeneko demo moduan agertu da, baina eguneratzeko prozedura berdin-berdina izaten jarraitzen du. Funtzionarioak gidatuta Check Point-etik, xehetasun guztiak zuk zeuk jakin ditzakezu.
Edozein zalantza argitzeko gurekin harremanetan jar zaitezke. Pozik egongo gara eguneratze eta kasu konplexuenetan lagunduko gure laguntza teknikoaren zati gisa . Gurean ere Check Point-en ezarpenen auditoria eskatzea edo libre uztea posible da kasu tekniko baterako.
. Egon adi (, , , , ).
Iturria: www.habr.com