Check Point から R77.30 から R80.10 への移行

同僚の皆さん、Check Point R77.30 から R80.10 データベースへの移行に関するレッスンへようこそ。

Check Point 製品を使用する場合、次の理由により、遅かれ早かれ既存のルールとオブジェクト データベースを移行するタスクが発生します。

1. 新しいデバイスを購入する場合、古いデバイスから新しいデバイス (GAIA OS の現在のバージョン以降) にデータベースを移行する必要があります。
2. ローカル マシン上でデバイスを GAIA OS のあるバージョンから上位バージョンにアップグレードする必要があります。

最初の問題を解決するには、Management Server Migration Tool または単に Migration Tool と呼ばれるツールのみを使用するのが適切です。 問題 2 を解決するには、CPUSE または移行ツール ソリューションを使用できます。
次に、両方の方法について詳しく説明します。

新しいデバイスにアップデートする

データベース移行 これには、新しいマシンに最新バージョンの Management をインストールし、移行ツールを使用して既存のセキュリティ管理サーバーから新しいサーバーにデータベースを移行することが含まれます。 この方法により、既存の構成を更新するリスクが最小限に抑えられます。

移行ツールを使用してデータベースを移行するには、次の条件を満たす必要があります。 要件:

1. 空きディスク容量は、エクスポートされたデータベースのアーカイブ サイズの 5 倍である必要があります。
2. ターゲット サーバーのネットワーク設定は、ソース サーバーのネットワーク設定と一致する必要があります。
3. バックアップを作成しています。 データベースはリモート サーバーにエクスポートする必要があります。
   GAIA オペレーティング システムにはすでに移行ツールが含まれており、データベースをインポートするとき、または最初のオペレーティング システムと同じバージョンのオペレーティング システムに移行するときに使用できます。 データベースをオペレーティング システムの上位バージョンに移行するには、Check Point R80.10 サポート サイトの「ツール」セクションから適切なバージョンの移行ツールをダウンロードする必要があります。
4. SmartEvent / SmartReporter Server のバックアップと移行。 「バックアップ」および「エクスポートの移行」ユーティリティには、SmartEvent データベース/SmartReporter データベースのデータは含まれません。
   バックアップと移行には、「eva_db_backup」または「evs_backup」ユーティリティを使用する必要があります。
   注: CheckPoint ナレッジベースの記事 sk110173。

このツールにどのような機能が含まれているかを見てみましょう。

データ移行に直接進む前に、まずダウンロードした移行ツールをフォルダー「/opt/CPsuite-R77/fw1/bin/upgrade_tools/」に解凍する必要があります。 」の場合、データベースのエクスポートは、ツールを解凍したディレクトリからコマンドを使用して実行する必要があります。

エクスポートまたはインポートするコマンドを実行する前に、すべての SmartConsole クライアントを閉じるか、Security Management Server で cpstop を実行します。

その エクスポートファイルを作成する ソースサーバー上の管理データベース:

1. エキスパートモードに入ります。
2. アップグレード前ベリファイアを実行します: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10。 エラーがある場合は、続行する前に修正してください。
3. 実行: ./merge エクスポート ファイル名.tgz。 このコマンドは、Security Management Server データベースの内容を TGZ ファイルにエクスポートします。
4. 指示に従ってください。 データベースは、コマンドで指定したファイルにエクスポートされます。 必ず TGZ として定義してください。
5. SmartEvent がソース サーバーにインストールされている場合は、イベント データベースをエクスポートします。

次に、エクスポートしたセキュリティ サーバー データベースをインポートします。 始める前に: R80 Security Management Server をインストールします。 新しい管理サーバー R80.10 のネットワーク設定は古いサーバーの設定と一致する必要があることに注意してください。

その インポート設定 管理サーバー:

1. エキスパートモードに入ります。
2. エクスポートされた構成ファイルをリモート サーバーに転送し (FTP、SCP などを介して)、ソースから新しいサーバーに収集します。
3. ソースサーバーをネットワークから切断します。
4. 構成ファイルをリモート サーバーから新しいサーバーに転送します。
5. 転送されたファイルの MD5 を計算し、元のサーバーで計算された MD5 と比較します: # md5sum filename.tgz
6. データベースのインポート: ./merge import filename.tgz
7. アップデートをチェックしています。

ポイント 7 が完了すると、移行ツールを使用してデータベースの移行が成功したことがわかります。失敗した場合でも、いつでもソース サーバーをオンにできるため、作業には何の影響もありません。

スタンドアロン サーバーからの移行はサポートされていないことに注意してください。

ローカルアップデート

CPUSE(チェックポイントアップグレードサービスエンジン) Gaia OS 用の Check Point 製品の自動アップデートを有効にします。 ソフトウェア アップデート パッケージは、メジャー リリース、マイナー リリース、ホットフィックスのカテゴリに分類されます。 Gaia は、アップグレード可能な Gaia オペレーティング システムのバージョンに関連する、利用可能なソフトウェア アップデート パッケージとイメージを自動的に検索して表示します。 CPUSE を使用すると、新しいバージョンの GAIA OS のクリーン インストールを実行したり、データベース移行を伴うシステム アップデートを実行したりできます。

上位バージョンにアップグレードするか、CPUSE を使用してクリーン インストールを実行するには、マシンに十分な空き (未割り当て) スペース (少なくともルート パーティションのサイズ) が必要です。

新しいバージョンへのアップグレードは、新しいハード ドライブ パーティションで実行され、「古い」パーティションが Gaia Snapshot に変換されます (新しいパーティションのスペースは、ハード ドライブ上の未割り当てのスペースから取得されます)。 また、システムを更新する前に、スナップショットを作成してリモート サーバーにアップロードするのが正しいでしょう。

更新プロセス:

1. 更新パッケージを検証します (まだ検証していない場合) - このパッケージが競合せずにインストールできるかどうかを確認します。パッケージを右クリックし、[Verifier] をクリックします。

   結果は次のようになります。

   • インストールは許可されています
   • アップグレードは許可されています
2. パッケージをインストールします: パッケージを右クリックし、[アップグレード] をクリックします。
   CPUSE は、Gaia Portal に次の警告を表示します。このアップグレード後、自動再起動が行われます (既存の OS 設定とチェック ポイント データベースは保持されます)。
3. R80.10 にアップグレードすると、対応するデータ移行の進行状況が表示されます。
   • 製品のアップグレード
   • データベースのインポート
   • 製品の設定
   • SICデータの作成
   • プロセスの停止
   • プロセスの開始
   • インストール済み、セルフテストに合格しました
4. システムは自動的に再起動します
5. SmartConsole へのポリシーのインストール

ご覧のとおり、すべては非常に簡単です。問題が発生した場合は、作成したスナップショットを使用して古い設定にロールバックできます。

練習

提示されたビデオレッスンには理論的部分と実践的な部分が含まれています。 ビデオの前半では説明されている理論的な部分が重複しており、実際の例では両方の方法を使用したデータ移行を示しています。

まとめ

このレッスンでは、オブジェクトおよびルール データベースを更新および移行するための Check Point ソリューションを検討しました。 新しいデバイスの場合、移行ツールを使用する以外に解決策はありません。 GAIA OS を更新する必要があり、マシンを再デプロイする意欲と能力がある場合、当社は既存の経験に基づいて、移行ツールを使用してデータベースを移行することをお勧めします。 この方法では、CPUSE と比較して、既存の構成にアップグレードするリスクが最小限に抑えられます。 また、CPUSE 経由でアップデートする場合、不要な古いファイルがディスク上に多数保存され、それらを削除するには追加のツールが必要となり、追加の手順と新たなリスクが伴います。

今後のレッスンを見逃したくない場合は、グループに登録してください VK, Youtube и Telegram。 何らかの理由で必要な書類が見つからなかったり、Check Point で問題を解決できなかった場合は、安全に連絡できます。 私たち.

出所： habr.com