BolеKaksi vuotta sitten kirjoitimme, että jokainen Check Pointin ylläpitäjä kohtaa ennemmin tai myöhemmin ongelman päivittää uuteen versioon. Tässä kuvattiin päivitys versiosta R77.30 versioon R80.10. Muuten, tammikuussa 2020 R77.30:sta tuli FSTEC:n sertifioitu versio. Paljon on kuitenkin muuttunut Check Pointissa kahdessa vuodessa. Artikkelissa "” kuvaa kaikki innovaatiot, joita on monia. Tässä artikkelissa kuvataan päivitysmenettely mahdollisimman yksityiskohtaisesti.
Kuten tiedät, Check Pointin toteuttamiseen on kaksi vaihtoehtoa: Itsenäinen ja Hajautettu, eli ilman erillistä hallintapalvelinta ja erillisellä palvelimella. Jaettu vaihtoehto on erittäin suositeltavaa useista syistä:
-
yhdyskäytävän resurssien kuormitus on minimoitu;
-
Sinun ei tarvitse ajoittaa ylläpitoikkunaa toimiaksesi hallintapalvelimessa.
-
SmartEventin riittävä toiminta, koska se ei todennäköisesti toimi itsenäisessä versiossa;
-
On erittäin suositeltavaa rakentaa yhdyskäytäväklusteri hajautettuun kokoonpanoon.
Koska kaikki hajautetun kokoonpanon edut otetaan huomioon, harkitsemme hallintapalvelimen ja suojausyhdyskäytävän päivittämistä erikseen.
Security Management Server (SMS) -päivitys
Tekstiviestien päivittämiseen on kaksi tapaa:
-
CPUSE:n kautta (Gaia-portaalin kautta)
-
käyttämällä siirtotyökaluja (vaatii puhdas asennuksen - uusi asennus)
Check Pointin kollegat eivät suosittele päivittämistä CPUSE:lla, koska se ei päivitä tiedostojärjestelmän versiota ja ydintä. Tämä menetelmä ei kuitenkaan vaadi politiikkojen siirtämistä ja on paljon nopeampi ja yksinkertaisempi kuin toinen menetelmä.
Suositeltu menetelmä on puhdas asennus ja käytäntöjen siirto Migration Toolsin avulla. Uuden tiedostojärjestelmän ja käyttöjärjestelmäytimen lisäksi usein sattuu niin, että SMS-tietokanta tukkeutuu, ja puhdas asennus on tässä suhteessa erinomainen ratkaisu palvelimen nopeuden lisäämiseen.
1) Ensimmäinen vaihe päivityksessä on varmuuskopioiden ja tilannekuvien luominen. Jos sinulla on fyysinen hallintapalvelin, varmuuskopio tulee tehdä Gaia Portal -verkkoliittymästä. Siirry välilehdelle Ylläpito > Järjestelmän varmuuskopiointi > Varmuuskopiointi. Seuraavaksi määrität varmuuskopion tallennuspaikan. Tämä voi olla SCP-, FTP-, TFTP-palvelin tai paikallisesti laitteessa, mutta silloin sinun on ladattava tämä varmuuskopio palvelimelle tai tietokoneelle myöhemmin.
Kuva 1. Varmuuskopion luominen Gaia-portaalissa
2) Seuraavaksi sinun tulee ottaa tilannekuva välilehdestä Ylläpito → Snapshot Management → Uusi. Varmuuskopioiden ja tilannevedosten välinen ero on se, että tilannevedokset tallentavat enemmän tietoa, mukaan lukien kaikki asennetut hotfix-korjaukset. On kuitenkin parempi tehdä molemmat.
Jos hallintapalvelimesi on asennettu virtuaalikoneena, on suositeltavaa varmuuskopioida virtuaalikone sisäänrakennetuilla hypervisor-työkaluilla. Se on yksinkertaisesti nopeampi ja luotettavampi.
Kuva 2. Tilannekuvan luominen Gaia-portaalissa
3) Tallenna laitteen asetukset Gaia-portaalista. Voit ottaa kuvakaappauksen kaikista Gaia Portalin asetusvälilehdistä tai kirjoittaa komennon Clishistä tallenna kokoonpano. Vie seuraavaksi tiedosto tietokoneellesi WinSCP:n tai muun asiakkaan avulla.
Kuva 3. Määrityksen tallentaminen tekstitiedostoon)
Huomata: jos WinSCP ei salli yhteyden muodostamista, vaihda käyttäjän komentotulkki muotoon /bin/bash joko verkkoliittymässä Käyttäjät-välilehdellä tai antamalla komento chsh –s /bin/bash.
Päivitys CPUSE:lla
4) Ensimmäiset 3 vaihetta ovat pakollisia kaikille päivitysvaihtoehdoille. Jos päätät valita yksinkertaisemman päivityspolun, siirry verkkokäyttöliittymässä välilehteen Päivitykset (CPUSE) > Tila ja toiminnot > Tärkeimmät versiot > Check Point R80.40 Gaia Fresh -asennus ja päivitys. Napsauta tätä päivitystä hiiren kakkospainikkeella ja valitse Varmentaja. Vahvistusprosessi alkaa muutaman minuutin ajan, jonka jälkeen näet viestin, että laite voidaan päivittää. Jos näet virheitä, ne on korjattava.
Kuva 4. Päivitys CPUSE:n kautta
5) Päivitä CDT (Central Deployment Tool) -apuohjelma uusimpaan versioon, joka toimii hallintapalvelimella ja jonka avulla voit asentaa päivityksiä, Service Pack -paketteja, hallita varmuuskopioita, tilannekuvia, komentosarjoja ja paljon muuta. Vanhentunut CDT-versio voi aiheuttaa ongelmia päivityksen kanssa. Voit ladata CDT:n osoitteesta .
6) Kun olet asettanut ladatun arkiston SMS:ään mihin tahansa hakemistoon WinSCP:n kautta, yhdistä SSH:n kautta SMS-viestiin ja siirry asiantuntijatilaan. Haluan muistuttaa, että WinSCP-käyttäjällä on oltava komentotulkki / bin / bash!
7) Syötä komennot:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv -voima CPcdt-00-00.i386.rpm
Kuva 5. Central Deployment Toolin (CDT) asentaminen
8) Seuraava vaihe on R80.40-kuvan asentaminen. Napsauta päivitystä hiiren kakkospainikkeella Lataa, sitten Asenna. Muista, että päivitys kestää 20–30 minuuttia ja hallintapalvelin on poissa käytöstä jonkin aikaa. Siksi on järkevää sopia palveluikkunasta.
9) Kaikki lisenssit ja suojauskäytännöt on tallennettu, joten seuraavaksi sinun tulee ladata uusi .
10) Yhdistä SMS uuteen SmartConsoleen ja aseta suojauskäytännöt. Painike Asenna käytäntö vasemmassa yläkulmassa.
11) Tekstiviestisi on päivitetty, sinun tulee asentaa uusin hotfix-korjaus. Välilehdellä Päivitykset (CPUSE) > Tila ja toiminnot > Hotfixes klikkaa hiiren oikeaa painiketta todentajan, sitten Asenna päivitys. Laite käynnistyy uudelleen päivityksen asentamisen jälkeen.
Kuva 6. Uusimman hotfix-korjauksen asentaminen CPUSE:n kautta
Päivitys Migration Toolsilla
4) Ensin sinun tulee myös päivittää CDT:n uusimpaan versioon - kohdat 5, 6, 7 osiosta "Päivitä CPUSE:lla."
5) Asenna Migration Tools -paketti, joka tarvitaan käytäntöjen siirtämiseen hallintapalvelimesta. tämän perusteella Löydät Migration Tools -työkalut versioille: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Sinun tulee ladata Migration Tools version johon haluat päivittää, eikä se, joka sinulla on nyt! Meidän tapauksessamme se on R80.40.
6) Siirry seuraavaksi SMS-verkkokäyttöliittymässä välilehdelle Päivitykset (CPUSE) > Tila ja toiminnot > Tuo paketti > Selaa > Valitse ladattu tiedosto > Tuo.
Kuva 7. Siirtotyökalujen tuominen
7) Tarkista tekstiviestien asiantuntijatilassa, että Migration Tools -paketti on asennettu komennolla (komennon tulosteen on vastattava Migration Tools -arkiston nimessä olevaa numeroa):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Kuva 8. Siirtotyökalujen asennuksen tarkistaminen
8) Siirry hallintapalvelimen $FWDIR/scripts-kansioon:
cd $FWDIR/skriptit
9) Suorita päivitystä edeltävä vahvistus komennolla (jos virheitä on, korjaa ne ennen muita vaiheita):
./migrate_server verify -v R80.40
Huomata: jos näet virheen "Päivitystyökalujen paketin nouto epäonnistui", mutta olet tarkistanut, että arkiston tuonti onnistui (katso kohta 4), käytä komentoa:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Kuva 9. Varmistuskomentosarjan suorittaminen
10) Vie suojauskäytännöt komennolla:
./migrate_server export -v R80.40 / / .tgz
Kuva 10. Suojauskäytännön vienti
Huomata: jos näet virheen "Päivitystyökalujen paketin nouto epäonnistui", mutta olet tarkistanut, että arkiston tuonti onnistui (vaihe 7), käytä komentoa:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Laske MD5-hajasumma ja tallenna komennon tulos:
md5sum / / .tgz
Kuva 11. MD5-hajasumman laskeminen
12) Siirrä tämä tiedosto tietokoneellesi WinSCP:n avulla.
13) Kirjoita komento df-h ja säästät hakemistojen prosenttiosuuden käytetyn tilan perusteella.
Kuva 12. Hakemistojen prosenttiosuus tekstiviestiä kohden
14.1) Jos sinulla on oikea tekstiviesti
14.1.1) Käyttämällä käynnistettävä USB-muistitikku, jossa on kuva, luodaan .
14.1.2) Suosittelen vähintään 2 käynnistettävän flash-aseman valmistamista, koska tapahtuu niin, että flash-asema ei aina ole luettavissa.
14.1.3) Suorita tietokoneesi järjestelmänvalvojana ISOmorphic.exe. Valitse vaiheessa 1 ladattu kuva Gaia R80.40:stä ja vaiheessa 4 flash-asema. Muuta kohtia 2 ja 3 älä!
Kuva 13. Käynnistettävän USB-muistitikun luominen
14.1.4) Valitse kohde "Asenna automaattisesti ilman vahvistusta" ja on tärkeää määrittää hallintapalvelimesi malli. Tekstiviestien tapauksessa sinun tulee valita rivi 3 tai 4.
Kuva 14. Laitemallin valitseminen käynnistettävän USB-muistitikun luomista varten
14.1.5) Seuraavaksi sammutat ylälinjan, asetat flash-aseman USB-porttiin, liität konsolikaapelin COM-portin kautta laitteeseen ja otat tekstiviestin käyttöön. Asennusprosessi tapahtuu automaattisesti. IP-oletusosoite - 192.168.1.1/24ja kirjautumistiedot admin/admin.
14.1.6) Seuraava vaihe on muodostaa yhteys Gaia-portaalin verkkokäyttöliittymään (oletusosoite ), jossa suoritat laitteen alustuksen. Alustuksen aikana painat periaatteessa Seuraavaksi koska melkein kaikkia asetuksia voidaan muuttaa tulevaisuudessa. Voit kuitenkin muuttaa heti IP-osoitetta, DNS-asetuksia ja isäntänimeä.
14.2) Jos sinulla on virtuaalinen tekstiviesti
14.2.1) Älä missään tapauksessa poista vanhaa tekstiviestiä, vaan luo uusi virtuaalikone samoilla resursseilla (CPU, RAM, HDD) ja samalla IP-osoitteella. Muuten, voit lisätä RAM-muistia ja kiintolevyä, koska R80.40-versio on hieman vaativampi. Vältä IP-osoiteristiriidat sammuttamalla vanha tekstiviesti ja aloittamalla uuden asentaminen.
14.2.2) Määritä nykyinen IP-osoite ja valitse hakemisto Gaian asennuksen aikana / Root riittävästi tilaa. Hakemistosi prosenttiosuuden pitäisi olla noin selviytyä, käytä lähtöä df-h.
15) Asennustyypin valinnan hetkellä "Asennustyyppi" Valitse ensimmäinen vaihtoehto, koska sinulla ei todennäköisesti ole MDS-palvelinta (Multi-Domain Server). Jos MDS, hallitsit useita verkkotunnuksia eri SMS-yksiköistä samanaikaisesti. Tässä tapauksessa sinun tulee valita toinen kohde.
Kuva 15. Gaia-asennustyypin valinta
16) Tärkein kohta, jota ei voida korjata ilman uudelleenasennusta, on kokonaisuuden valinta. Pitäisi valita Turvallisuuden hallinta ja napsauta Seuraava. Kaikki muu on oletuksena.
Kuva 16. Entiteettityypin valinta Gaiaa asennettaessa
17) Kun laite käynnistyy uudelleen, muodosta yhteys verkkokäyttöliittymään käyttämällä tai eri IP-osoite, jos vaihdoit sen.
18) Siirrä asetukset kuvakaappauksista kaikille Gaia Portal -välilehdille, joissa jotain on määritetty, tai suorita komento clishistä lataa kokoonpano .txt. Tämä asetustiedosto on ensin ladattava SMS:ään.
Huomata: Koska käyttöjärjestelmä on uusi, WinSCP ei salli sinun muodostaa yhteyttä järjestelmänvalvojana, muuttaa käyttäjän shelliksi /bin/bash joko verkkoliittymässä Käyttäjät-välilehdellä tai antamalla komento chsh –s /bin/bash tai luo uusi käyttäjä.
19) Lataa vanhasta hallintapalvelimesta viedyt käytännöt sisältävä tiedosto mihin tahansa hakemistoon. Siirry sitten konsoliin asiantuntijatilassa ja tarkista, että MD5:n hash-määrä vastaa edellistä. Muussa tapauksessa vienti tulee tehdä uudelleen:
md5sum / / .tgz
20) Toista vaihe 6 ja asenna päivitystyökalut uuteen SMS-viestiin Gaia-portaalissa välilehdellä. Päivitykset (CPUSE) > Tila ja toimet.
21) Anna komento asiantuntijatilassa:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Kuva 17. Suojauskäytännön tuominen uuteen tekstiviestiin
22) Ota palvelut käyttöön komennolla cpstart.
23) Lataa uusi ja muodosta yhteys hallintapalvelimeen. Mene Valikko > Hallinnoi lisenssejä ja paketteja (SmartUpdate) ja tarkista, että sinulla on edelleen ajokortti.
Kuva 18. Asennettujen lisenssien tarkistaminen
24) Aseta yhdyskäytävän tai klusterin suojauskäytäntö - Asenna käytäntö.
Security Gateway (SG) -päivitys
Security Gateway voidaan päivittää CPUSE:n kautta, kuten hallintapalvelin, tai asentaa uudelleen - uusi asennus. Kokemukseni mukaan 99% tapauksista kaikki asentavat Security Gatewayn uudelleen, koska se kestää melkein saman ajan kuin päivittäminen CPUSE:n kautta, mutta saat puhtaan, päivitetyn käyttöjärjestelmän ilman virheitä.
Vastaavasti tekstiviestien kanssa, sinun on ensin luotava varmuuskopio ja tilannekuva sekä tallennettava asetukset Gaia-portaalista. Katso osion kohdat 1, 2 ja 3 "Security Management Server Update".
Päivitys CPUSE:lla
Security Gatewayn päivittäminen CPUSE:n kautta on täsmälleen sama kuin Security Management Serverin päivittäminen, joten katso artikkelin alkua.
Tärkeä kohta: SG-päivitys vaatii reboot! Päivitä siksi huoltoikkunan aikana. Jos sinulla on klusteri, päivitä ensin passiivinen solmu, vaihda sitten rooleja ja päivitä toinen solmu. Klusterin tapauksessa ylläpitoikkunat voidaan välttää.
Uuden käyttöjärjestelmän version asentaminen Security Gatewaylle
1.1) Jos sinulla on todellinen SG
1.1.1) Käyttämällä käynnistettävä USB-muistitikku, jossa on kuva, luodaan . Kuva on sama kuin tekstiviestissä, mutta käynnistettävän flash-aseman luontimenettely näyttää hieman erilaiselta.
1.1.2) Suosittelen vähintään 2 käynnistettävän flash-aseman valmistamista, koska tapahtuu niin, että flash-asema ei aina ole luettavissa.
1.1.3) Suorita tietokoneesi järjestelmänvalvojana ISOmorphic.exe. Valitse vaiheessa 1 ladattu kuva Gaia R80.40:stä ja vaiheessa 4 flash-asema. Muuta kohtia 2 ja 3 älä!
Kuva 19. Käynnistettävän USB-muistitikun luominen
1.1.4) Valitse kohde "Asenna automaattisesti ilman vahvistusta", ja on tärkeää ilmoittaa Security Gatewayn malli - rivit 2 tai 3. Jos tämä on fyysinen hiekkalaatikko (SandBlast Appliance), valitse rivi 5.
Kuva 20. Laitemallin valitseminen käynnistettävän USB-muistitikun luomista varten
1.1.5) Seuraavaksi sammutat ylälinjan, asetat flash-aseman USB-porttiin, kytket konsolikaapelin COM-portin kautta laitteeseen ja kytket yhdyskäytävän päälle. Asennusprosessi tapahtuu automaattisesti. IP-oletusosoite - 192.168.1.1/24ja kirjautumistiedot admin/admin. Kannattaa päivittää ensin passiivinen solmu, asenna siihen käytäntö, vaihda rooleja ja päivitä sitten toinen solmu. Tarvitset todennäköisesti huoltoikkunan.
1.1.6) Seuraava vaihe on muodostaa yhteys Gaia-portaalin verkkokäyttöliittymään, jossa käyt läpi laitteen ensimmäisen alustuksen. Alustuksen aikana painat periaatteessa Seuraavaksi koska melkein kaikkia asetuksia voidaan muuttaa tulevaisuudessa. Voit kuitenkin muuttaa heti IP-osoitetta, DNS-asetuksia ja isäntänimeä.
1.2) Jos sinulla on virtuaalinen SG
1.2.1) Luo uusi virtuaalikone samoilla resursseilla (CPU, RAM, HDD) tai enemmän, koska R80.40-versio on hieman vaativampi. Vältä IP-osoitteiden ristiriidat sammuttamalla vanha yhdyskäytävä ja aloittamalla uuden samalla IP-osoitteella olevan yhdyskäytävän asentaminen. Vanha SG voidaan turvallisesti poistaa, koska siinä ei ole mitään arvokasta, koska kaikki tärkeimmät asiat - suojauskäytäntö - sijaitsevat hallintapalvelimella.
1.2.2) Määritä käyttöjärjestelmän asennuksen aikana nykyinen IP-osoite ja valitse hakemisto / Root riittävästi tilaa.
3) Yhdistä yhdyskäytävään HTTPS-portin kautta ja aloita alustusprosessi. Asennustyypin valinnan yhteydessä "Asennustyyppi" valitse ensimmäinen vaihtoehto - Security Gateway ja/tai Security Management.
Kuva 21. Gaia-asennustyypin valinta
4) Tärkein kohta on kokonaisuuden (Tuotteet) valinta. Pitäisi valita Turvayhdyskäytävä ja jos sinulla on klusteri, valitse valintaruutu "Yksikkö on osa klusteria, tyyppi: ClusterXL". Jos sinulla on VRRP-klusteri, valitse tämä tyyppi, mutta se on epätodennäköistä.
Kuva 22. Entiteettityypin valinta Gaiaa asennettaessa
5) Aseta seuraavassa vaiheessa kertakäyttöinen SIC-salasana luodaksesi luottamuksen hallintapalvelimeen. Tätä salasanaa käyttämällä luodaan varmenne, ja hallintapalvelin kommunikoi yhdyskäytävän kanssa salatun viestintäkanavan kautta. Valintamerkki "Yhdistä hallintaasi palveluna" tulee asettaa, jos hallintapalvelin sijaitsee pilvessä. Kirjoitimme tästä äskettäin ja kuinka kätevä ja yksinkertainen pilvihallintapalvelin on.
Kuva 23. SIC:n luominen
6) Aloita alustusprosessi seuraavasta välilehdestä. Heti kun laite käynnistyy uudelleen, muodosta yhteys verkkokäyttöliittymään ja siirrä asetukset kuvakaappauksista kaikille Gaia Portal -välilehdille, joissa jotain on määritetty, tai suorita komento clishistä. lataa kokoonpano .txt. Tämä asetustiedosto on ensin ladattava suojausyhdyskäytävään.
Huomata: Koska käyttöjärjestelmä on uusi, WinSCP ei salli sinun muodostaa yhteyttä järjestelmänvalvojana, muuttaa käyttäjän shelliksi /bin/bash joko verkkoliittymässä Käyttäjät-välilehdellä tai antamalla komento chsh –s /bin/bash tai luo uusi käyttäjä tällä kuorella.
7) Avaa ja siirry juuri asentamaasi Security Gateway -objektiin. Avaa välilehti Yleiset ominaisuudet > Viestintä > Nollaa SIC ja anna vaiheessa 5 määritetty salasana.
Kuva 24: Luottamuksen luominen uuden suojausyhdyskäytävän avulla
8) Objektin Gaia-version pitäisi muuttua, jos se ei muutu, vaihda se manuaalisesti. Asenna sitten käytäntö yhdyskäytävään.
9) Siirry Gaia-portaalissa välilehdelle Päivitykset (CPUSE) > Tila ja toiminnot > Hotfixes ja asenna uusin hotfix-korjaus. Laite menee sisään asettaa uudelleen asennuksen aikana!
10) Jos kyseessä on klusteri, muuta solmujen rooleja ja tee samat vaiheet toiselle solmulle.
Johtopäätös
Yritin tehdä mahdollisimman selkeän ja kattavan oppaan päivittääksesi versiosta R80.20/R80.30 nykyiseen R80.40:een, koska paljon on muuttunut. Versio on jo ilmestynyt esittelytilassa, mutta päivitysprosessi pysyy suurin piirtein identtisena. Virkamiehen ohjaama Check Pointista voit selvittää kaikki yksityiskohdat itse.
Jos sinulla on kysyttävää, voit ottaa meihin yhteyttä. Autamme mielellämme monimutkaisimmissa päivityksissä ja tapauksissa osana teknistä tukeamme . Myös meillä on mahdollista tilata Check Pointin asetusten auditointi tai jättää se ilmaiseksi tekniseen tapaukseen.
. Pysy kanavalla (, , , , ).
Lähde: will.com