BolеKét éve írtunk arról, hogy minden Check Point rendszergazda előbb-utóbb szembesül azzal, hogy új verzióra kell frissítenie. Ebben
Mint tudják, 2 lehetőség van a Check Point megvalósítására: önálló és elosztott, azaz dedikált felügyeleti szerver nélkül és dedikált szerverrel. Az Elosztott opció több okból is erősen ajánlott:
-
az átjáró erőforrásainak terhelése minimálisra csökken;
-
Nem kell karbantartási időszakot ütemeznie a felügyeleti kiszolgálón való működéshez;
-
a SmartEvent megfelelő működése, mivel nem valószínű, hogy önálló verzióban működik;
-
Erősen ajánlott egy átjárófürt felépítése az elosztott konfigurációban.
Tekintettel az elosztott konfiguráció minden előnyére, megfontoljuk a felügyeleti kiszolgáló és a biztonsági átjáró külön frissítését.
A Security Management Server (SMS) frissítése
Az SMS frissítésének két módja van:
-
a CPUSE-n keresztül (a Gaia portálon keresztül)
-
Migration Tools használatával (tiszta telepítés szükséges - friss telepítés)
A CPUSE használatával történő frissítést a Check Point munkatársai nem javasolják, mivel az nem frissíti a fájlrendszer verzióját és a kernelt. Ez a módszer azonban nem igényli a szabályzatok migrációját, és sokkal gyorsabb és egyszerűbb, mint a második módszer.
Az ajánlott módszer a tiszta telepítés és a házirendek áttelepítése a Migration Tools segítségével. Az új fájlrendszer és az operációs rendszer kernel mellett gyakran előfordul, hogy az SMS-adatbázis eltömődik, és a tiszta telepítés ebből a szempontból kiváló megoldás a szerver gyorsítására.
1) Minden frissítés első lépése biztonsági másolatok és pillanatképek létrehozása. Ha rendelkezik fizikai felügyeleti szerverrel, akkor a Gaia Portal webes felületéről kell biztonsági másolatot készíteni. Menjen a lapra Karbantartás > Rendszer biztonsági mentése > Biztonsági mentés. Ezután adja meg a mentés helyét. Ez lehet SCP-, FTP-, TFTP-szerver vagy helyileg az eszközön, de később ezt a biztonsági másolatot fel kell töltenie egy szerverre vagy számítógépre.
1. ábra: Biztonsági másolat készítése a Gaia Portalban
2) Ezután készítsen egy pillanatképet a lapon Karbantartás → Pillanatképkezelés → Új. A biztonsági mentések és a pillanatképek közötti különbség az, hogy a pillanatképek több információt tárolnak, beleértve az összes telepített gyorsjavítást. Jobb azonban mindkettőt megtenni.
Ha a felügyeleti kiszolgáló virtuális gépként van telepítve, akkor ajánlott biztonsági másolatot készíteni a virtuális gépről a beépített hypervisor eszközök segítségével. Egyszerűen gyorsabb és megbízhatóbb.
2. ábra Pillanatkép készítése a Gaia Portalban
3) Mentse el az eszköz konfigurációját a Gaia portálról. Képernyőképet készíthet a Gaia Portal összes beállítási lapjáról, vagy beírhatja a parancsot a Clish alkalmazásból konfiguráció mentése. Ezután vigye a fájlt a számítógépére a WinSCP vagy egy másik kliens segítségével.
3. ábra Konfiguráció mentése szöveges fájlba)
Megjegyzés: ha a WinSCP nem teszi lehetővé a csatlakozást, módosítsa a felhasználói shell-t /bin/bash-re akár a webes felületen a Felhasználók lapon, akár a parancs beírásával chsh –s /bin/bash.
Frissítés CPUSE-val
4) Az első 3 lépés kötelező minden frissítési lehetőség esetén. Ha úgy dönt, hogy egy egyszerűbb frissítési utat választ, akkor a webes felületen lépjen a fülre Frissítések (CPUSE) > Állapot és műveletek > Főbb verziók > Check Point R80.40 Gaia Friss telepítés és frissítés. Kattintson a jobb gombbal erre a frissítésre, és válassza ki Ellenőrző. Az ellenőrzési folyamat néhány percig elindul, majd megjelenik egy üzenet, hogy az eszköz frissíthető. Ha hibákat lát, azokat ki kell javítani.
4. ábra Frissítés CPUSE-n keresztül
5) Frissítsen a CDT (Central Deployment Tool) legújabb verziójára – egy segédprogram, amely a felügyeleti kiszolgálón fut, és lehetővé teszi frissítések, szervizcsomagok telepítését, biztonsági mentések, pillanatképek, szkriptek és még sok más kezelését. Az elavult CDT-verzió problémákat okozhat a frissítéssel. A CDT letölthető a címről
6) Miután a letöltött archívumot elhelyezte az SMS-ben bármely könyvtárban WinSCP-n keresztül, csatlakozzon SSH-n keresztül az SMS-hez, és lépjen be szakértői módba. Hadd emlékeztesselek arra, hogy a WinSCP felhasználónak rendelkeznie kell egy parancsértelmezővel / bin / bash!
7) Írja be a parancsokat:
cd /somepathtoCDT/
tar -zxvf .tgz
ford./perc -Uhv – erő CPcdt-00-00.i386.rpm
5. ábra: A központi telepítési eszköz (CDT) telepítése
8) A következő lépés az R80.40 lemezkép telepítése. Kattintson jobb gombbal a frissítésre Letöltés, majd Telepítése. Ne feledje, hogy a frissítés 20-30 percet vesz igénybe, és a felügyeleti szerver egy ideig nem lesz elérhető. Ezért van értelme megállapodni egy szolgáltatási ablakban.
9) Minden licenc és biztonsági szabályzat mentésre kerül, ezért legközelebb töltsön le egy újat
10) Csatlakozzon az új SmartConsole SMS-hez, és állítsa be a biztonsági házirendeket. Gomb Telepítse a házirendet a bal felső sarokban.
11) Az SMS frissítése megtörtént, akkor telepítenie kell a legújabb gyorsjavítást. A lapon Frissítések (CPUSE) > Állapot és műveletek > Gyorsjavítások kattintson a jobb egérgombbal hitelesítő, akkor Telepítse a frissítést. A frissítés telepítése után az eszköz újraindul.
6. ábra: A legújabb gyorsjavítás telepítése CPUSE-n keresztül
Frissítés a Migration Tools segítségével
4) Először is frissítenie kell a CDT legújabb verziójára – a szakasz 5., 6., 7. pontja "Frissítés a CPUSE használatával."
5) Telepítse a Migration Tools csomagot, amely a házirendek felügyeleti kiszolgálóról történő áttelepítéséhez szükséges. Ennek megfelelően
6) Következő lépésként az SMS webes felületén lépjen a fülre Frissítések (CPUSE) > Állapot és műveletek > Csomag importálása > Tallózás > Válassza ki a letöltött fájlt > Importálás.
7. ábra Migrációs eszközök importálása
7) SMS szakértői módban ellenőrizze, hogy a Migration Tools csomag telepítve van-e a paranccsal (a parancs kimenetének meg kell egyeznie a Migration Tools archívum nevében szereplő számmal):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
8. ábra: A Migration Tools telepítésének ellenőrzése
8) Lépjen a $FWDIR/scripts mappába a felügyeleti kiszolgálón:
cd $FWDIR/scripts
9) Futtassa a frissítés előtti ellenőrzőt a paranccsal (ha hibák vannak, javítsa ki azokat a további lépések előtt):
./migrate_server verify -v R80.40
Megjegyzés: ha hibát lát „Nem sikerült lekérni a Frissítőeszközök csomagot”, de ellenőrizte, hogy az archívum importálása sikeresen megtörtént (lásd a 4. pontot), használja a következő parancsot:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
9. ábra: Az ellenőrző szkript futtatása
10) Exportálja a biztonsági házirendeket a következő paranccsal:
./migrate_server export -v R80.40 / / .tgz
10. ábra Biztonsági szabályzat exportálása
Megjegyzés: ha hibát lát „Nem sikerült lekérni a Frissítőeszközök csomagot”, de ellenőrizte, hogy az archívum importálása sikeresen megtörtént (7. lépés), használja a következő parancsot:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Számítsa ki az MD5 hash összegét, és mentse el a parancs kimenetét:
md5sum / / .tgz
11. ábra: MD5 hash összeg kiszámítása
12) WinSCP segítségével vigye át ezt a fájlt a számítógépére.
13) Írja be a parancsot df-h és mentse meg magának a könyvtárak százalékos arányát az elfoglalt hely alapján.
12. ábra A telefonkönyvek százalékos aránya SMS-enként
14.1) Ha valódi SMS-e van
14.1.1) Használata
14.1.2) Javasoljuk, hogy készítsen elő legalább 2 indítható pendrive-ot, mert előfordul, hogy a pendrive nem mindig olvasható.
14.1.3) Rendszergazdaként futtassa a számítógépen ISOmorphic.exe. Az 1. lépésben válassza ki a Gaia R80.40 letöltött képét, a 4. lépésben pedig a flash meghajtót. Módosítsa a 2. és 3. pontot ne!
13. ábra Indító USB flash meghajtó létrehozása
14.1.4) Válasszon ki egy elemet "Automatikus telepítés megerősítés nélkül" és fontos megadni a felügyeleti szerver modelljét. SMS esetén a 3. vagy 4. sort kell választani.
14. ábra: Eszközmodell kiválasztása rendszerindító USB flash meghajtó létrehozásához
14.1.5) Ezután kapcsolja ki a felső vonalat, helyezze be a flash meghajtót az USB portba, csatlakoztassa a konzol kábelét a COM porton keresztül az eszközhöz, és engedélyezze az SMS-t. A telepítési folyamat automatikusan megtörténik. Alapértelmezett IP-cím - 192.168.1.1/24, és a bejelentkezési adatok admin / admin.
14.1.6) A következő lépés a Gaia portál webes felületéhez való csatlakozás (alapértelmezett cím
14.2) Ha van virtuális SMS-e
14.2.1) Semmi esetre se törölje a régi SMS-t, hozzon létre egy új virtuális gépet ugyanazokkal az erőforrásokkal (CPU, RAM, HDD) és ugyanazzal az IP-címmel. Egyébként RAM-ot és HDD-t is adhatunk hozzá, hiszen az R80.40-es verzió kicsit igényesebb. Az IP-cím ütközések elkerülése érdekében kapcsolja ki a régi SMS-t, és kezdje el az új telepítését.
14.2.2) A Gaia telepítése során konfigurálja az aktuális IP-címet, és válasszon ki egy könyvtárat / Root megfelelő mennyiségű hely. A címtárak százalékos aránya hozzávetőlegesen kell, hogy legyen túlélni, használja a kimenetet df-h.
15) A telepítés típusának kiválasztása pillanatában "Telepítés típusa" válassza az első lehetőséget, mivel valószínűleg nincs MDS-je (Multi-Domain Server). Ha MDS, akkor egyszerre több tartományt kezelt különböző SMS-entitásokból. Ebben az esetben válassza ki a második elemet.
15. ábra Gaia telepítési típusának kiválasztása
16) A legfontosabb pont, amely nem javítható újratelepítés nélkül, az az entitás kiválasztása. Választani kellene Biztonsági menedzsment és kattintson a gombra Következő. Minden más alapértelmezés szerint.
16. ábra Entitástípus kiválasztása a Gaia telepítésekor
17) Miután az eszköz újraindul, csatlakozzon a webes felülethez a használatával
18) Vigye át a beállításokat a képernyőképekből a Gaia Portal összes olyan lapjára, amelyen valami be van állítva, vagy futtassa a parancsot a clish-ből terhelési konfiguráció .txt. Ezt a konfigurációs fájlt először fel kell tölteni az SMS-be.
Megjegyzés: Mivel az operációs rendszer új, a WinSCP nem engedi meg, hogy rendszergazdaként csatlakozzon, a felhasználói shell-t /bin/bash-re módosítsa sem a webes felületen a Felhasználók lapon, sem a parancs beírásával. chsh –s /bin/bash vagy hozzon létre egy új felhasználót.
19) Töltse fel a fájlt az exportált házirendekkel a régi felügyeleti kiszolgálóról bármely könyvtárba. Ezután lépjen a konzolra szakértői módban, és ellenőrizze, hogy az MD5 hash mennyisége megegyezik-e az előzővel. Ellenkező esetben az exportálást meg kell ismételni:
md5sum / / .tgz
20) Ismételje meg a 6. lépést, és telepítse a Frissítő eszközöket az új SMS-re a Gaia Portal lapon. Frissítések (CPUSE) > Állapot és műveletek.
21) Adja meg a parancsot szakértői módban:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
17. ábra Biztonsági szabályzat importálása új SMS-be
22) Engedélyezze a szolgáltatásokat a paranccsal cpstart.
23) Töltsön le egy újat
18. ábra Telepített licencek ellenőrzése
24) Állítsa be a biztonsági házirendet az átjárón vagy a fürtön - Telepítse a házirendet.
Biztonsági átjáró (SG) frissítése
A Security Gateway frissíthető a CPUSE-n keresztül, akárcsak a felügyeleti szerver, vagy újra telepíthető - friss telepítés. Tapasztalataim szerint az esetek 99%-ában mindenki újratelepíti a Security Gateway-t amiatt, hogy szinte ugyanannyi időt vesz igénybe, mint a CPUSE-n keresztüli frissítés, de tiszta, frissített operációs rendszert kapsz, hibák nélkül.
Az SMS-hez hasonlóan először biztonsági másolatot és pillanatképet kell készítenie, valamint el kell mentenie a beállításokat a Gaia Portalról. Lásd a szakasz 1., 2. és 3. pontját "Security Management Server frissítés".
Frissítés CPUSE-val
A Security Gateway CPUSE-n keresztüli frissítése pontosan ugyanaz, mint a Security Management Server frissítése, ezért kérjük, olvassa el a cikk elejét.
Fontos pont: SG frissítés szükséges újraindítás! Ezért frissítse a karbantartási időszak alatt. Ha van fürtje, először frissítse a passzív csomópontot, majd váltson szerepet, és frissítse a másik csomópontot. Klaszter esetén a karbantartási ablakok elkerülhetők.
Új operációs rendszer verzió telepítése a Security Gateway-en
1.1) Abban az esetben, ha valódi SG-je van
1.1.1) Használata
1.1.2) Javasoljuk, hogy készítsen elő legalább 2 indítható pendrive-ot, mert előfordul, hogy a pendrive nem mindig olvasható.
1.1.3) Rendszergazdaként futtassa a számítógépen ISOmorphic.exe. Az 1. lépésben válassza ki a Gaia R80.40 letöltött képét, a 4. lépésben pedig a flash meghajtót. Módosítsa a 2. és 3. pontot ne!
19. ábra Indító USB flash meghajtó létrehozása
1.1.4) Válasszon ki egy elemet "Automatikus telepítés megerősítés nélkül", és fontos feltüntetni a biztonsági átjáró modelljét - 2. vagy 3. sor. Ha ez egy fizikai homokozó (SandBlast Appliance), akkor válassza az 5. sort.
20. ábra: Eszközmodell kiválasztása rendszerindító USB flash meghajtó létrehozásához
1.1.5) Ezután kapcsolja ki a felső vonalat, helyezze be a flash meghajtót az USB portba, csatlakoztassa a konzol kábelét a COM porton keresztül az eszközhöz, és bekapcsolja az átjárót. A telepítési folyamat automatikusan megtörténik. Alapértelmezett IP-cím - 192.168.1.1/24, és a bejelentkezési adatok admin / admin. Először frissítenie kell passzív csomópont, majd telepítsen rá egy házirendet, váltson szerepet, majd frissítsen egy másik csomópontot. Valószínűleg szüksége lesz egy karbantartási ablakra.
1.1.6) A következő lépés a Gaia portál webes felületéhez való csatlakozás, ahol végig kell menni az eszköz első inicializálásán. Az inicializálás során alapvetően meg kell nyomni Ezután mert szinte minden beállítás módosítható a jövőben. Az IP-címet, a DNS-beállításokat és a gazdagépnevet azonban azonnal megváltoztathatja.
1.2) Ha van virtuális SG-je
1.2.1) Hozzon létre egy új virtuális gépet ugyanazokkal az erőforrásokkal (CPU, RAM, HDD) vagy több, mivel az R80.40-es verzió egy kicsit igényesebb. Az IP-címek ütközésének elkerülése érdekében kapcsolja ki a régi átjárót, és kezdjen el egy újat telepíteni ugyanazzal az IP-címmel. A régi SG nyugodtan törölhető, mivel nincs rajta semmi értékes, mert minden fontos dolog - a biztonsági szabályzat - a felügyeleti szerveren található.
1.2.2) Az operációs rendszer telepítése során konfigurálja az aktuális IP-címet, és válasszon ki egy könyvtárat / Root megfelelő mennyiségű hely.
3) Csatlakozzon az átjáróhoz a HTTPS-porton keresztül, és kezdje meg az inicializálási folyamatot. A telepítés típusának kiválasztásakor "Telepítés típusa" válassza az első lehetőséget – Biztonsági átjáró és/vagy Biztonságkezelés.
21. ábra Gaia telepítési típusának kiválasztása
4) A legfontosabb szempont az entitás (Termékek) kiválasztása. Választani kellene Biztonsági átjáró és ha van fürtje, jelölje be a négyzetet „Az egység egy fürt része, típusa: ClusterXL”. Ha van VRRP-fürtje, válassza ezt a típust, de ez nem valószínű.
22. ábra Entitástípus kiválasztása a Gaia telepítésekor
5) A következő lépésben állítsa be az egyszeri SIC jelszót a felügyeleti kiszolgálóval való bizalom kialakításához. Ezzel a jelszóval egy tanúsítvány jön létre, és a felügyeleti kiszolgáló egy titkosított kommunikációs csatornán keresztül kommunikál az átjáróval. Pipa „Kapcsolódás a menedzsmenthez szolgáltatásként” be kell állítani, ha a felügyeleti szerver a felhőben található. Nemrég írtunk erről
23. ábra SIC létrehozása
6) Indítsa el az inicializálási folyamatot a következő lapon. Amint az eszköz újraindul, csatlakozzon a webes felülethez, és vigye át a beállításokat a képernyőképekről a Gaia Portal összes olyan lapjára, ahol valami be van állítva, vagy futtassa a parancsot a clish-ből. terhelési konfiguráció .txt. Ezt a konfigurációs fájlt először fel kell tölteni a biztonsági átjáróra.
Megjegyzés: Mivel az operációs rendszer új, a WinSCP nem engedi meg, hogy rendszergazdaként csatlakozzon, a felhasználói shell-t /bin/bash-re módosítsa sem a webes felületen a Felhasználók lapon, sem a parancs beírásával. chsh –s /bin/bash vagy hozzon létre egy új felhasználót ezzel a shellvel.
7) Nyissa meg
24. ábra: A bizalom megteremtése az új biztonsági átjáróval
8) Az objektum Gaia verziójának meg kell változnia, ha nem változik, akkor módosítsa manuálisan. Ezután telepítse a házirendet az átjáróra.
9) A Gaia portálon lépjen a lapra Frissítések (CPUSE) > Állapot és műveletek > Gyorsjavítások és telepítse a legújabb gyorsjavítást. A készülék bemegy indítsa újra telepítés során!
10) Klaszter esetén változtassa meg a csomópontok szerepét, és végezze el ugyanezeket a lépéseket egy másik csomópontnál.
Következtetés
Igyekeztem a legvilágosabb és legátfogóbb útmutatót készíteni az R80.20/R80.30 verzióról a jelenlegi R80.40-re való frissítéshez, mivel sok minden megváltozott. Változat
Bármilyen kérdés esetén forduljon hozzánk. Szívesen segítünk a legbonyolultabb frissítésekben és ügyekben technikai támogatásunk részeként
Forrás: will.com