BolеFyrir tveimur árum skrifuðum við að sérhver Check Point stjórnandi standi fyrr eða síðar frammi fyrir því að uppfæra í nýja útgáfu. Í þessu uppfærslu frá útgáfu R77.30 í R80.10 var lýst. Við the vegur, í janúar 2020 varð R77.30 vottuð útgáfa af FSTEC. Hins vegar hefur margt breyst hjá Check Point á 2 árum. Í greininni „“ lýsir öllum nýjungum, sem þær eru margar. Þessi grein mun lýsa uppfærsluferlinu eins ítarlega og mögulegt er.
Eins og þú veist, þá eru tveir möguleikar til að innleiða Check Point: Standalone og Distributed, það er án sérstaks stjórnunarþjóns og með sérstökum. Mjög mælt er með valkostinum Dreift af nokkrum ástæðum:
-
álag á gáttarauðlindir er lágmarkað;
-
Þú þarft ekki að skipuleggja viðhaldsglugga til að vinna á stjórnunarþjóninum;
-
fullnægjandi virkni SmartEvent, þar sem ólíklegt er að það virki í sjálfstæðri útgáfu;
-
Það er mjög mælt með því að byggja upp þyrping af gáttum í dreifðri uppsetningu.
Miðað við alla kosti dreifðrar stillingar munum við íhuga að uppfæra stjórnunarþjóninn og öryggisgáttina sérstaklega.
Öryggisstjórnunarþjónn (SMS) uppfærsla
Það eru tvær leiðir til að uppfæra SMS:
-
í gegnum CPUSE (í gegnum Gaia Portal)
-
nota Migration Tools (hrein uppsetning krafist - ný uppsetning)
Ekki er mælt með því að uppfæra með CPUSE af samstarfsmönnum Check Point þar sem það mun ekki uppfæra skráarkerfisútgáfu þína og kjarna. Þessi aðferð krefst hins vegar ekki flutnings stefnu og er miklu hraðari og einfaldari en önnur aðferðin.
Hrein uppsetning og flutningur á reglum með því að nota Migration Tools er ráðlögð aðferð. Auk nýja skráarkerfisins og stýrikerfiskjarna kemur það oft fyrir að SMS gagnagrunnurinn stíflast og hrein uppsetning í þessu sambandi er frábær lausn til að auka hraða á netþjóninn.
1) Fyrsta skrefið í hvaða uppfærslu sem er er að búa til afrit og skyndimyndir. Ef þú ert með líkamlegan stjórnunarþjón, þá ætti að taka öryggisafrit frá Gaia Portal vefviðmótinu. Farðu í flipann Viðhald > Afritun kerfis > Afritun. Næst tilgreinir þú staðsetningu til að vista öryggisafritið. Þetta getur verið SCP, FTP, TFTP þjónn, eða staðbundið á tækinu, en þá verður þú að hlaða þessu öryggisafriti inn á netþjón eða tölvu síðar.
Mynd 1. Að búa til öryggisafrit í Gaia Portal
2) Næst ættirðu að taka skyndimynd í flipanum Viðhald → Skyndimyndastjórnun → Nýtt. Munurinn á afritum og skyndimyndum er að skyndimyndir geyma meiri upplýsingar, þar á meðal allar uppsettar bráðaleiðréttingar. Hins vegar er betra að gera bæði.
Ef stjórnunarþjónninn þinn er settur upp sem sýndarvél, þá er mælt með því að taka öryggisafrit af sýndarvélinni með því að nota innbyggða hypervisor verkfærin. Það er einfaldlega fljótlegra og áreiðanlegra.
Mynd 2. Að búa til skyndimynd í Gaia Portal
3) Vistaðu stillingar tækisins frá Gaia Portal. Þú getur skjámyndað alla stillingaflipana sem eru í Gaia Portal, eða slegið inn skipunina frá Clish vista stillingar. Næst skaltu fara með skrána á tölvuna þína með WinSCP eða öðrum biðlara.
Mynd 3. Að vista stillingarnar í textaskrá)
Athugið: ef WinSCP leyfir þér ekki að tengjast skaltu breyta notendaskelinni í /bin/bash annað hvort í vefviðmótinu á flipanum Notendur eða með því að slá inn skipunina chsh –s /bin/bash.
Uppfærsla með CPUSE
4) Fyrstu 3 skrefin eru nauðsynleg fyrir hvaða uppfærslumöguleika sem er. Ef þú ákveður að taka einfaldari uppfærsluleið skaltu fara í flipann í vefviðmótinu Uppfærslur (CPUSE) > Staða og aðgerðir > Helstu útgáfur > Check Point R80.40 Gaia Fresh uppsetning og uppfærsla. Hægrismelltu á þessa uppfærslu og veldu Sannprófari. Staðfestingarferlið mun hefjast í nokkrar mínútur, eftir það muntu sjá skilaboð um að hægt sé að uppfæra tækið. Ef þú sérð villur þarf að leiðrétta þær.
Mynd 4. Uppfærsla í gegnum CPUSE
5) Uppfærðu í nýjustu útgáfuna af CDT (Central Deployment Tool) - tól sem keyrir á stjórnunarþjóninum og gerir þér kleift að setja upp uppfærslur, þjónustupakka, stjórna afritum, skyndimyndum, forskriftum og margt fleira. Gamaldags CDT útgáfa getur valdið vandræðum með uppfærsluna. Þú getur hlaðið niður CDT á .
6) Eftir að niðurhalað skjalasafn hefur verið sett á SMS í hvaða möppu sem er í gegnum WinSCP, tengdu í gegnum SSH við SMS og farðu í sérfræðingaham. Leyfðu mér að minna þig á að WinSCP notandinn verður að hafa skel / bin / bash!
7) Sláðu inn skipanirnar:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Mynd 5. Uppsetning Central Deployment Tool (CDT)
8) Næsta skref er að setja upp R80.40 myndina. Hægri smelltu á uppfærslu Sækja, þá Setja. Hafðu í huga að uppfærslan mun taka 20-30 mínútur og stjórnunarþjónninn verður ekki tiltækur í einhvern tíma. Þess vegna er skynsamlegt að koma sér saman um þjónustuglugga.
9) Öll leyfi og öryggisreglur eru vistaðar, svo næst ættirðu að hlaða niður nýju .
10) Tengstu við SMS nýja SmartConsole og stilltu öryggisstefnur. Takki Settu upp stefnu efst í vinstra horninu.
11) SMS-skilaboðin þín hafa verið uppfærð, þá ættir þú að setja upp nýjustu flýtileiðréttinguna. Í flipanum Uppfærslur (CPUSE) > Staða og aðgerðir > Hraðleiðréttingar smelltu á hægri músarhnapp Verifier, þá Setja upp uppfærslu. Tækið mun endurræsa sig eftir uppsetningu uppfærslunnar.
Mynd 6. Uppsetning á nýjustu flýtileiðréttingunni í gegnum CPUSE
Uppfærsla með Migration Tools
4) Í fyrsta lagi ættir þú einnig að uppfæra í nýjustu útgáfuna af CDT - lið 5, 6, 7 frá kafla "Uppfærðu með CPUSE."
5) Settu upp Migration Tools pakkann sem þarf til að flytja stefnur frá stjórnunarþjóninum. Samkvæmt þessu þú getur fundið Migration Tools fyrir útgáfur: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Þú ættir að hlaða niður Migration Tools af útgáfunni sem þú vilt uppfæra í, og ekki sá sem þú hefur núna! Í okkar tilviki er það R80.40.
6) Næst í SMS vefviðmótinu farðu í flipann Uppfærslur (CPUSE) > Staða og aðgerðir > Flytja inn pakka > Vafra > Veldu niðurhalaða skrá > Flytja inn.
Mynd 7. Flytja inn flutningsverkfæri
7) Í sérfræðiham á SMS, athugaðu hvort Migration Tools pakkinn sé settur upp með skipuninni (úttak skipunarinnar verður að passa við númerið í nafni Migration Tools skjalasafnsins):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Mynd 8. Staðfesting á uppsetningu flutningsverkfæra
8) Farðu í $FWDIR/scripts möppuna á stjórnunarþjóninum:
cd $FWDIR/forskriftir
9) Keyrðu foruppfærslustaðfestinguna með því að nota skipunina (ef það eru villur skaltu leiðrétta þær áður en þú tekur frekari skref):
./migrate_server verify -v R80.40
Athugið: ef þú sérð villu „Tókst ekki að sækja uppfærsluverkfærapakkann“, en þú hefur athugað að skjalasafnið hafi verið flutt inn (sjá lið 4), notaðu skipunina:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Mynd 9. Að keyra staðfestingarforskriftina
10) Flyttu út öryggisstefnur með skipuninni:
./migrate_server export -v R80.40 / / .tgz
Mynd 10. Útflutningur öryggisstefnu
Athugið: ef þú sérð villu „Tókst ekki að sækja uppfærsluverkfærapakkann“, en þú hefur athugað að skjalasafnið hafi verið flutt inn (skref 7), notaðu skipunina:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Reiknaðu MD5 kjötkássa summan og vistaðu úttak skipunarinnar:
md5sum / / .tgz
Mynd 11. Útreikningur á MD5 kjötkássasummu
12) Notaðu WinSCP og færðu þessa skrá yfir á tölvuna þína.
13) Sláðu inn skipunina df -h og sparaðu þér hlutfall af möppum miðað við plássið sem er upptekið.
Mynd 12. Hlutfall símaskráa á SMS
14.1) Ef þú ert með alvöru SMS
14.1.1) Notkun ræsanlegt USB glampi drif með mynd er búið til .
14.1.2) Ég mæli með að útbúa að minnsta kosti 2 ræsanleg flassdrif, þar sem það gerist að flassdrifið er ekki alltaf læsilegt.
14.1.3) Sem stjórnandi á tölvunni þinni skaltu keyra ISOmorphic.exe. Í skrefi 1, veldu niðurhalaða mynd af Gaia R80.40, í skrefi 4 flash-drifið. Breyta lið 2 og 3 engin þörf!
Mynd 13. Búa til ræsanlegt USB glampi drif
14.1.4) Veldu hlut „Setja upp sjálfkrafa án staðfestingar“ og það er mikilvægt að tilgreina líkan stjórnunarþjónsins þíns. Ef um SMS er að ræða, ættir þú að velja línu 3 eða 4.
Mynd 14. Val á gerð tækja til að búa til ræsanlegt USB-drif
14.1.5) Næst slekkurðu á upplínunni, setur flassdrifið í USB tengið, tengir stjórnborðssnúruna um COM tengið við tækið og virkjar SMS. Uppsetningarferlið gerist sjálfkrafa. Sjálfgefin IP tölu - 192.168.1.1/24, og innskráningarupplýsingar stjórnandi / stjórnandi.
14.1.6) Næsta skref er að tengjast vefviðmótinu á Gaia Portal (sjálfgefið heimilisfang ), þar sem þú ferð í gegnum frumstillingu tækisins. Við frumstillingu ýtirðu í grundvallaratriðum á Næst, vegna þess að næstum öllum stillingum er hægt að breyta í framtíðinni. Hins vegar geturðu strax breytt IP tölu, DNS stillingum og hýsingarheiti.
14.2) Ef þú ert með sýndar SMS
14.2.1) Þú ættir ekki undir neinum kringumstæðum að eyða gamla SMS; búðu til nýja sýndarvél með sömu auðlindum (CPU, vinnsluminni, HDD) og sömu IP tölu. Við the vegur, þú getur bætt við vinnsluminni og HDD, þar sem R80.40 útgáfan er aðeins meira krefjandi. Til að forðast árekstra í IP-tölu skaltu slökkva á gamla SMS og byrja að setja upp nýtt.
14.2.2) Við uppsetningu á Gaia skaltu stilla núverandi IP tölu og velja möppu / Rót nægilegt pláss. Hlutfall af möppum sem þú hefur ætti að vera um það bil lifa af, notaðu úttak df -h.
15) Þegar þú velur tegund uppsetningar "Uppsetningargerð" veldu fyrsta valkostinn, þar sem þú ert líklega ekki með MDS (Multi-Domain Server). Ef MDS, þá stjórnaðir þú mörgum lénum frá mismunandi SMS-einingum á sama tíma. Í þessu tilfelli ættir þú að velja seinni valkostinn.
Mynd 15. Val á Gaia uppsetningargerð
16) Mikilvægasta atriðið sem ekki er hægt að leiðrétta án þess að setja upp aftur er val á einingu. Ætti að velja Öryggisstjórnun og smelltu Next. Allt annað er sjálfgefið.
Mynd 16. Að velja einingjategund þegar Gaia er sett upp
17) Þegar tækið er endurræst skaltu tengjast vefviðmótinu með því að nota eða annað IP-tölu ef þú breyttir því.
18) Flyttu stillingarnar af skjámyndunum yfir á alla Gaia Portal flipa þar sem eitthvað var stillt á, eða keyrðu skipunina frá clish hlaða stillingu .txt. Þessari stillingarskrá verður fyrst að hlaða upp á SMS.
Athugið: Vegna þess að stýrikerfið er nýtt mun WinSCP ekki leyfa þér að tengjast sem stjórnandi, breyta notendaskelinni í /bin/bash annaðhvort í vefviðmótinu á flipanum Notendur eða með því að slá inn skipunina chsh –s /bin/bash eða búa til nýjan notanda.
19) Hladdu upp skránni með útfluttum reglum frá gamla stjórnunarþjóninum í hvaða möppu sem er. Farðu síðan í stjórnborðið í sérfræðingaham og athugaðu hvort MD5 kjötkássamagnið passi við það fyrra. Annars ætti útflutningurinn að fara fram aftur:
md5sum / / .tgz
20) Endurtaktu skref 6 og settu upp Uppfærsluverkfæri á nýja SMS-ið í Gaia Portal í flipanum Uppfærslur (CPUSE) > Staða og aðgerðir.
21) Sláðu inn skipunina í sérfræðingaham:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Mynd 17. Innflutningur öryggisstefnu í nýtt SMS
22) Virkjaðu þjónustu með skipuninni cpstart.
23) Sæktu nýjan og tengdu við stjórnunarþjóninn. Fara til Valmynd > Stjórna leyfi og pakka (SmartUpdate) og athugaðu hvort þú sért enn með leyfið þitt.
Mynd 18. Athugun á uppsettum leyfum
24) Stilltu öryggisstefnuna á gáttinni eða þyrpingunni - Settu upp stefnu.
Uppfærsla öryggisgáttar (SG).
Hægt er að uppfæra öryggisgáttina í gegnum CPUSE, rétt eins og stjórnunarþjóninn, eða setja upp aftur - ný uppsetning. Mín reynsla er sú að í 99% tilfella setja allir Security Gateway upp aftur vegna þess að það tekur næstum sama tíma og uppfærsla í gegnum CPUSE, en þú færð hreint, uppfært stýrikerfi án galla.
Á hliðstæðan hátt við SMS þarftu fyrst að búa til öryggisafrit og skyndimynd og einnig vista stillingarnar frá Gaia Portal. Vísað til liðar 1, 2 og 3 í kafla „Uppfærsla öryggisstjórnunarþjóns“.
Uppfærsla með CPUSE
Uppfærsla á öryggisgáttinni í gegnum CPUSE er nákvæmlega það sama og að uppfæra öryggisstjórnunarþjóninn, svo vinsamlegast skoðaðu upphaf greinarinnar.
Mikilvægt atriði: SG uppfærslu krefst endurræsir! Þess vegna skaltu uppfæra meðan á viðhaldsglugganum stendur. Ef þú ert með klasa, uppfærðu fyrst óvirka hnútinn, skiptu síðan um hlutverk og uppfærðu hinn hnútinn. Ef um klasa er að ræða er hægt að forðast viðhaldsglugga.
Að setja upp nýja stýrikerfisútgáfu á öryggisgáttinni
1.1) Ef þú ert með alvöru SG
1.1.1) Notkun ræsanlegt USB glampi drif með mynd er búið til . Myndin er sú sama og á SMS, en aðferðin við að búa til ræsanlegt glampi drif lítur aðeins öðruvísi út.
1.1.2) Ég mæli með að útbúa að minnsta kosti 2 ræsanleg flassdrif, þar sem það gerist að flassdrifið er ekki alltaf læsilegt.
1.1.3) Sem stjórnandi á tölvunni þinni skaltu keyra ISOmorphic.exe. Í skrefi 1, veldu niðurhalaða mynd af Gaia R80.40, í skrefi 4 flash-drifið. Breyta lið 2 og 3 engin þörf!
Mynd 19. Búa til ræsanlegt USB glampi drif
1.1.4) Veldu hlut "Setja upp sjálfkrafa án staðfestingar", og það er mikilvægt að tilgreina líkan öryggisgáttarinnar - línur 2 eða 3. Ef þetta er líkamlegur sandkassi (SandBlast Appliance), veldu þá línu 5.
Mynd 20. Val á gerð tækja til að búa til ræsanlegt USB-drif
1.1.5) Næst slekkurðu á upplínunni, setur flassdrifið í USB tengið, tengir stjórnborðssnúruna um COM tengið við tækið og kveikir á gáttinni. Uppsetningarferlið gerist sjálfkrafa. Sjálfgefin IP tölu - 192.168.1.1/24, og innskráningarupplýsingar stjórnandi / stjórnandi. Þú ættir að uppfæra fyrst óvirkur hnútur, settu síðan upp stefnu á það, skiptu um hlutverk og uppfærðu svo annan hnút. Þú munt líklega þurfa viðhaldsglugga.
1.1.6) Næsta skref er að tengjast vefviðmótinu á Gaia Portal, þar sem þú ferð í gegnum fyrstu frumstillingu tækisins. Við frumstillingu ýtirðu í grundvallaratriðum á Næst, vegna þess að næstum öllum stillingum er hægt að breyta í framtíðinni. Hins vegar geturðu strax breytt IP tölu, DNS stillingum og hýsingarheiti.
1.2) Ef þú ert með sýndar SG
1.2.1) Búðu til nýja sýndarvél með sömu auðlindum (CPU, vinnsluminni, HDD) eða meira, þar sem R80.40 útgáfan er aðeins meira krefjandi. Til að koma í veg fyrir átök milli IP tölur skaltu slökkva á gömlu gáttinni og byrja að setja upp nýja með sömu IP tölu. Það er óhætt að eyða gamla SG, þar sem ekkert verðmætt er á því, vegna þess að allt það mikilvægasta - öryggisstefnan - er staðsett á stjórnunarþjóninum.
1.2.2) Við uppsetningu stýrikerfisins skaltu stilla núverandi IP tölu og velja möppu / Rót nægilegt pláss.
3) Tengstu við gáttina í gegnum HTTPS tengið og byrjaðu frumstillingarferlið. Þegar þú velur uppsetningargerð "Uppsetningargerð" veldu fyrsta valkostinn - Öryggisgátt og/eða Öryggisstjórnun.
Mynd 21. Val á Gaia uppsetningargerð
4) Mikilvægasta atriðið er val á einingu (vörur). Ætti að velja Öryggisgátt og ef þú ert með klasa skaltu haka í reitinn „Eining er hluti af klasa, gerð: ClusterXL“. Ef þú ert með VRRP þyrping, veldu þá þessa tegund, en það er ólíklegt.
Mynd 22. Að velja einingjategund þegar Gaia er sett upp
5) Í næsta skrefi skaltu stilla SIC einu sinni lykilorðið til að koma á trausti við stjórnunarþjóninn. Með því að nota þetta lykilorð er vottorð myndað og stjórnunarþjónninn mun hafa samskipti við gáttina í gegnum dulkóðaða samskiptarás. Gátmerki „Tengdu við stjórnun þína sem þjónustu“ ætti að stilla ef stjórnunarþjónninn er staðsettur í skýinu. Við skrifuðum nýlega um þetta og hversu þægilegur og einfaldur skýjastjórnunarþjónninn er.
Mynd 23. Stofnun SIC
6) Byrjaðu frumstillingarferlið á næsta flipa. Um leið og tækið er endurræst skaltu tengjast vefviðmótinu og flytja stillingarnar af skjámyndunum yfir á alla Gaia Portal flipa þar sem eitthvað var stillt á, eða keyra skipunina frá clish hlaða stillingu .txt. Þessari stillingarskrá verður fyrst að hlaða upp á öryggisgáttina.
Athugið: Vegna þess að stýrikerfið er nýtt mun WinSCP ekki leyfa þér að tengjast sem stjórnandi, breyta notendaskelinni í /bin/bash annaðhvort í vefviðmótinu á flipanum Notendur eða með því að slá inn skipunina chsh –s /bin/bash eða búðu til nýjan notanda með þessari skel.
7) Opið og farðu inn í Security Gateway hlutinn sem þú varst að setja upp aftur. Opnaðu flipann Almennir eiginleikar > Samskipti > Endurstilla SIC og sláðu inn lykilorðið sem tilgreint er í skrefi 5.
Mynd 24: Að skapa traust með nýju öryggisgáttinni
8) Gaia útgáfan af hlutnum ætti að breytast, ef hann breytist ekki, þá breyttu honum handvirkt. Settu síðan upp stefnuna á gáttinni.
9) Í Gaia Portal, farðu í flipann Uppfærslur (CPUSE) > Staða og aðgerðir > Hraðleiðréttingar og settu upp nýjustu flýtileiðréttinguna. Tækið mun fara inn endurræsa við uppsetningu!
10) Ef um klasa er að ræða, breyttu hlutverkum hnútanna og gerðu sömu skref fyrir annan hnút.
Ályktun
Ég reyndi að gera skýrustu og ítarlegasta leiðbeiningarnar um uppfærslu úr útgáfu R80.20/R80.30 í núverandi R80.40, þar sem margt hefur breyst. Útgáfa hefur þegar birst í kynningarham, en uppfærsluferlið er nokkurn veginn eins. Leiðsögn embættismanns frá Check Point geturðu fundið út allar upplýsingar sjálfur.
Fyrir allar spurningar geturðu haft samband við okkur. Við munum vera fús til að aðstoða við flóknustu uppfærslur og mál sem hluti af tækniaðstoð okkar . Einnig á okkar það er hægt að panta úttekt á Check Point stillingum eða láta hana vera ókeypis fyrir tæknimál.
. Fylgstu með (, , , , ).
Heimild: www.habr.com