Migráció a Check Pointról R77.30-ról R80.10-re

Kedves kollégák, üdvözöljük a Check Point R77.30 adatbázisok R80.10-re való áttelepítéséről szóló leckén.

A Check Point termékek használatakor előbb-utóbb a következő okok miatt merül fel a meglévő szabályok és objektumadatbázisok áttelepítése:

1. Új eszköz vásárlásakor át kell állítania az adatbázist a régi eszközről az új eszközre (a GAIA OS vagy újabb verziójára).
2. Frissítenie kell eszközét a GAIA OS egyik verziójáról egy magasabb verzióra a helyi gépen.

Az első probléma megoldására csak a Management Server Migration Tool vagy egyszerűen a Migration Tool nevű eszköz használható. A 2. probléma megoldásához a CPUSE vagy a Migration Tool megoldás használható.
Ezután mindkét módszert részletesebben megvizsgáljuk.

Frissítés új eszközre

Adatbázis-migráció magában foglalja a Management legújabb verziójának telepítését egy új gépre, majd az adatbázis áttelepítését a meglévő biztonsági felügyeleti kiszolgálóról az újra a Migrációs eszköz segítségével. Ez a módszer minimálisra csökkenti a meglévő konfiguráció frissítésének kockázatát.

Ahhoz, hogy egy adatbázist a Migrációs eszközzel migráljon, meg kell felelnie követelményeknek:

1. A szabad lemezterületnek ötször nagyobbnak kell lennie, mint az exportált adatbázis archív mérete.
2. A célkiszolgálón lévő hálózati beállításoknak meg kell egyeznie a forráskiszolgálón lévőkkel.
3. Biztonsági másolat készítése. Az adatbázist távoli szerverre kell exportálni.
   A GAIA operációs rendszer már tartalmazza az Áttelepítési eszközt, amely adatbázis importálásakor vagy az operációs rendszer eredetivel megegyező verziójára való áttéréskor használható. Az adatbázis áttelepítéséhez az operációs rendszer magasabb verziójára, le kell töltenie a megfelelő verziójú Migrációs eszközt a Check Point R80.10 támogatási webhely „Eszközök” részéből:
4. A SmartEvent / SmartReporter Server biztonsági mentése és áttelepítése. A „biztonsági mentés” és az „exportálás migrálása” segédprogramok nem tartalmaznak adatokat a SmartEvent adatbázisból / SmartReporter adatbázisból.
   A biztonsági mentéshez és az áttelepítéshez az „eva_db_backup” vagy az „evs_backup” segédprogramokat kell használnia.
   Megjegyzés: A CheckPoint Tudásbázis sk110173 cikke.

Nézzük meg, milyen funkciókat tartalmaz ez az eszköz:

Mielőtt közvetlenül folytatná az adatmigrációt, először ki kell csomagolnia a letöltött Migrációs eszközt a „/opt/CPsuite-R77/fw1/bin/upgrade_tools/” mappába. ”, az adatbázis exportálását annak a könyvtárnak a parancsaival kell végrehajtani, ahol az eszközt kicsomagolta.

Az exportálás vagy importálás parancsának futtatása előtt zárja be az összes SmartConsole-ügyfelet, vagy futtassa a cpstop programot a Security Management Server kiszolgálón.

Hogy export fájl létrehozása kezelési adatbázisok a forráskiszolgálón:

1. Lépjen be a szakértői módba.
2. Futtassa a frissítés előtti ellenőrzőt: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10. Ha hibák vannak, a folytatás előtt javítsa ki azokat.
3. Futtassa: ./migrate export filename.tgz. A parancs a Security Management Server adatbázis tartalmát egy TGZ fájlba exportálja.
4. Kövesse az utasításokat. Az adatbázis a parancsban megnevezett fájlba exportálódik. Győződjön meg róla, hogy TGZ-ként határozza meg.
5. Ha a SmartEvent telepítve van a forráskiszolgálón, exportálja az eseményadatbázist.

Ezután importáljuk az exportált biztonsági szerver adatbázist. Mielőtt elkezdené: Telepítse az R80 Security Management Servert. Hadd emlékeztessem Önt arra, hogy az új Management Server R80.10 hálózati beállításainak meg kell egyeznie a régi szerver beállításaival.

Hogy konfiguráció importálása felügyeleti szerver:

1. Lépjen be a szakértői módba.
2. Vigye át (FTP-n, SCP-n vagy hasonlón keresztül) az exportált konfigurációs fájlt a távoli szerverre, a forrásból összegyűjtve az új szerverre.
3. Válassza le a forráskiszolgálót a hálózatról.
4. Vigye át a konfigurációs fájlt a távoli szerverről az új kiszolgálóra.
5. Számítsa ki az MD5-öt az átvitt fájlhoz, és hasonlítsa össze az eredeti kiszolgálón számított MD5-tel: # md5sum fájlnév.tgz
6. Adatbázis importálása: ./migrate importfájlnév.tgz
7. Frissítés keresése.

A 7. pont teljesítése után összegezzük, hogy az adatbázis migráció sikeres volt a Migration Tool segítségével, sikertelenség esetén mindig bekapcsolhatja a forrásszervert, aminek eredményeként a munkavégzést semmilyen módon nem érinti.

Érdemes megjegyezni, hogy az önálló szerverről történő migráció nem támogatott.

Helyi frissítés

CPUSE (Check Point Upgrade Service Engine) Lehetővé teszi a Check Point termékek automatikus frissítését a Gaia OS rendszerhez. A szoftverfrissítési csomagok kategóriákra vannak osztva, nevezetesen főbb kiadásokra, kisebb kiadásokra és gyorsjavításokra. A Gaia automatikusan megkeresi és megjeleníti az elérhető szoftverfrissítési csomagokat és képeket, amelyek a Gaia operációs rendszer azon verziójához kapcsolódnak, amelyre frissíthet. A CPUSE használatával végrehajthatja a GAIA OS új verziójának tiszta telepítését, vagy elvégezheti a rendszerfrissítést adatbázis-áttelepítéssel.

A magasabb verzióra való frissítéshez vagy a tiszta telepítéshez a CPUSE használatával, a gépen elegendő szabad (le nem osztott) területtel kell rendelkeznie – legalább a gyökérpartíció méretével.

Az új verzióra való frissítés egy új merevlemez-partíción történik, a „régi” partíció pedig Gaia Snapshot-ba kerül (az új partícióterületet a merevlemez fel nem osztott területéről veszik). Ezenkívül a rendszer frissítése előtt célszerű egy pillanatfelvételt készíteni, és feltölteni egy távoli szerverre.

Frissítési folyamat:

1. Ellenőrizze a frissítőcsomagot (ha még nem tette meg) - ellenőrizze, hogy a csomag ütközések nélkül telepíthető-e: kattintson a jobb gombbal a csomagra - kattintson az "Ellenőrző" gombra.

   Az eredmény valami ilyesmi legyen:

   • A telepítés megengedett
   • A frissítés megengedett
2. Telepítse a csomagot: Kattintson jobb gombbal a csomagra, majd kattintson a „Frissítés” gombra:
   A CPUSE a következő figyelmeztetést jeleníti meg a Gaia Portalban: A frissítés után automatikus újraindítás történik (a meglévő operációs rendszer beállításai és a Check Point adatbázis megmarad).
3. Az R80.10-re frissítés után látni fogja a megfelelő adatmigráció folyamatát:
   • Termékek frissítése
   • Adatbázis importálása
   • Termékek konfigurálása
   • SIC adatok létrehozása
   • A folyamatok leállítása
   • A folyamatok indítása
   • Telepítve, az önteszt sikeres
4. A rendszer automatikusan újraindul
5. Házirend telepítése a SmartConsole-ban

Amint látja, minden nagyon egyszerű; ha probléma lép fel, a készített pillanatfelvétel segítségével visszaállíthatja a régi beállításokat.

Gyakorlat

A bemutatott videóóra elméleti és gyakorlati részt is tartalmaz. A videó első fele megduplázza a leírt elméleti részt, a gyakorlati példa pedig az adatmigrációt mutatja be mindkét módszerrel.

Következtetés

Ebben a leckében megvizsgáltuk az objektum- és szabályadatbázisok frissítésére és áttelepítésére szolgáló Check Point megoldásokat. Új eszköz esetén nincs más megoldás, mint a Migration Tool használata. Ha frissíteni szeretné a GAIA OS-t, és megvan a vágya és lehetősége a gép újratelepítésére, cégünk azt tanácsolja a meglévő tapasztalatok alapján, hogy migrálja az adatbázist a Migration Tool segítségével. Ez a módszer minimálisra csökkenti a meglévő konfigurációra való frissítés kockázatát a CPUSE-hoz képest. Ezenkívül a CPUSE-n keresztüli frissítéskor sok felesleges régi fájl kerül a lemezre, amelyek eltávolításához további eszközre van szükség, amely további lépésekkel és új kockázatokkal jár.

Ha nem szeretnél lemaradni a jövőbeni leckékről, iratkozz fel csoportunkra VK, Youtube и Telegram. Ha bármilyen okból nem találta meg a szükséges dokumentumot, vagy nem tudta megoldani a problémát a Check Pointtal, nyugodtan felveheti a kapcsolatot nekünk.

Forrás: will.com