BolеRong taun kepungkur, kita nulis manawa saben administrator Check Point cepet-cepet ngadhepi masalah nganyari menyang versi anyar. Ning kene upgrade saka versi R77.30 kanggo R80.10 diterangake. Miturut cara, ing Januari 2020, R77.30 dadi versi certified saka FSTEC. Nanging, akeh sing wis owah ing Check Point sajrone 2 taun. Ing artikel "” nggambarake kabeh inovasi, sing akeh. Artikel iki bakal njlèntrèhaké prosedur nganyari kanthi rinci sabisa.
Kaya sing sampeyan ngerteni, ana 2 opsi kanggo ngleksanakake Check Point: Standalone lan Distributed, yaiku, tanpa server manajemen khusus lan khusus. Opsi Distribusi dianjurake banget amarga sawetara alasan:
-
beban ing sumber daya gateway wis nyilikake;
-
Sampeyan ora kudu gawe jadwal jendhela pangopènan kanggo bisa ing server Manajemen;
-
operasi SmartEvent nyukupi, awit iku dipercaya kanggo bisa ing versi Standalone;
-
Apike banget kanggo mbangun kluster gateway ing konfigurasi Distribusi.
Amarga kabeh keuntungan saka konfigurasi Distribusi, kita bakal nimbang upgrade server manajemen lan gateway keamanan kanthi kapisah.
Nganyari Server Manajemen Keamanan (SMS).
Ana 2 cara kanggo nganyari SMS:
-
liwat CPUSE (liwat Gaia Portal)
-
nggunakake Alat Migrasi (instal resik dibutuhake - nginstal seger)
Nganyari nggunakake CPUSE ora dianjurake dening kolega Check Point amarga ora bakal nganyari versi sistem file lan kernel. Nanging, cara iki ora mbutuhake migrasi kabijakan lan luwih cepet lan luwih gampang tinimbang cara liya.
Instal lan migrasi kabijakan sing resik nggunakake Alat Migrasi minangka cara sing disaranake. Saliyane sistem file anyar lan kernel OS, asring kedadeyan manawa database SMS diblokir, lan instalasi sing resik ing babagan iki minangka solusi sing apik kanggo nambah kacepetan menyang server.
1) Langkah pisanan ing nganyari apa wae yaiku nggawe serep lan jepretan. Yen sampeyan duwe server manajemen fisik, banjur serep kudu digawe saka antarmuka web Gaia Portal. Pindhah menyang tab Maintenance > System Backup > Backup. Sabanjure, sampeyan nemtokake lokasi kanggo nyimpen serep. Iki bisa dadi server SCP, FTP, TFTP, utawa lokal ing piranti, nanging sampeyan kudu ngunggah serep iki menyang server utawa komputer mengko.
Gambar 1. Nggawe serep ing Gaia Portal
2) Sabanjure sampeyan kudu njupuk gambar asli ing tab Pangopènan → Manajemen Snapshot → Anyar. Bentenipun serep lan jepretan iku jepretan nyimpen informasi liyane, kalebu kabeh hotfixes diinstal. Nanging, luwih becik nindakake loro-lorone.
Yen server manajemen sampeyan wis diinstal minangka mesin virtual, mula disaranake nggawe serep mesin virtual nggunakake alat hypervisor sing dibangun. Iku mung luwih cepet lan luwih dipercaya.
Gambar 2. Nggawe snapshot ing Gaia Portal
3) Simpen konfigurasi piranti saka Gaia Portal. Sampeyan bisa njupuk gambar kabeh tab setelan sing ana ing Gaia Portal, utawa ketik perintah saka Clish nyimpen konfigurasi. Sabanjure, njupuk file menyang PC nggunakake WinSCP utawa klien liyane.
Gambar 3. Nyimpen konfigurasi menyang file teks)
komentar: yen WinSCP ora ngidini sampeyan nyambungake, ganti cangkang pangguna menyang / bin / bash ing antarmuka web ing tab Pangguna, utawa kanthi ngetik printah chsh –s /bin/bash.
Nganyari nganggo CPUSE
4) 3 langkah pisanan wajib kanggo pilihan nganyari. Yen sampeyan arep njupuk path nganyari prasaja, banjur ing antarmuka web pindhah menyang tab Nganyarke (CPUSE)> Status lan Tindakan> Versi Utama> Priksa Point R80.40 Gaia Instal lan Nganyarke. Klik-tengen ing nganyari iki banjur pilih Verifier. Proses verifikasi bakal diwiwiti sawetara menit, sawise sampeyan bakal weruh pesen yen piranti bisa dianyari. Yen sampeyan ndeleng kesalahan, kudu didandani.
Gambar 4. Nganyari liwat CPUSE
5) Nganyari menyang versi paling anyar saka CDT (Central Deployment Tool) - utilitas sing mlaku ing server manajemen lan ngidini sampeyan nginstal nganyari, paket layanan, ngatur serep, snapshot, skrip lan liya-liyane. Versi CDT sing lawas bisa nyebabake masalah karo nganyari. Sampeyan bisa ngundhuh CDT ing .
6) Sawise nempatake arsip sing diunduh ing SMS ing direktori apa wae liwat WinSCP, sambungake liwat SSH menyang SMS lan ketik mode pakar. Ayo kula ngelingake yen pangguna WinSCP kudu duwe cangkang / bin / bash!
7) Ketik perintah:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —peksa CPcdt-00-00.i386.rpm
Gambar 5. Instalasi Central Deployment Tool (CDT)
8) Langkah sabanjure kanggo nginstal gambar R80.40. Klik-tengen ing nganyari Download, banjur Masang. Elinga yen nganyari bakal njupuk 20-30 menit lan server manajemen ora kasedhiya kanggo sawetara wektu. Mulane, iku ndadekake pangertèn kanggo setuju ing jendhela layanan.
9) Kabeh lisensi lan kabijakan keamanan disimpen, dadi sabanjure sampeyan kudu ngundhuh sing anyar .
10) Sambungake menyang SMS SmartConsole anyar lan atur kabijakan keamanan. Tombol Instal Kebijakan ing pojok kiwa ndhuwur.
11) SMS sampeyan wis dianyari, banjur sampeyan kudu nginstal hotfix paling anyar. Ing tab Nganyarke (CPUSE) > Status lan Tindakan > Hotfix klik ing tombol mouse tengen Verifierbanjur Instal Nganyari. Piranti bakal urip maneh dhewe sawise nginstal nganyari.
Gambar 6. Nginstal hotfix paling anyar liwat CPUSE
Nganyari nganggo Alat Migrasi
4) Pisanan, sampeyan uga kudu nganyari menyang versi CDT paling anyar - poin 5, 6, 7 saka bagean "Update nggunakake CPUSE."
5) Instal paket Alat Migrasi sing dibutuhake kanggo migrasi kabijakan saka server manajemen. Miturut iki sampeyan bisa nemokake Tools Migration kanggo versi: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Sampeyan kudu ndownload Alat Migrasi versi sing pengin dianyari, lan dudu sing sampeyan duweni saiki! Ing kasus kita iku R80.40.
6) Sabanjure ing antarmuka web SMS menyang tab Upgrade (CPUSE) > Status and Actions > Import Package > Browse > Pilih file sing diundhuh > Import.
Gambar 7. Ngimpor Alat Migrasi
7) Saka mode pakar ing SMS, priksa manawa paket Alat Migrasi wis diinstal nggunakake printah kasebut (output saka printah kudu cocog karo nomer ing jeneng arsip Alat Migrasi):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Gambar 8. Verifikasi instalasi Alat Migrasi
8) Pindhah menyang folder $FWDIR/scripts ing server manajemen:
cd $FWDIR/skrip
9) Jalanake verifikasi pra-upgrade nggunakake printah (yen ana kesalahan, koreksi sadurunge langkah luwih lanjut):
./migrate_server verifikasi -v R80.40
komentar: yen sampeyan ndeleng kesalahan "Gagal njupuk paket Upgrade Tools", nanging sampeyan wis mriksa manawa arsip kasebut kasil diimpor (pirsani titik 4), gunakake printah:
./migrate_server verifikasi -v R80.40 -skip_upgrade_tools_check
Gambar 9. Nglakokake script verifikasi
10) Ekspor kabijakan keamanan nggunakake printah:
./migrate_server ekspor -v R80.40 / / .tgz
Gambar 10. Ngekspor kabijakan keamanan
komentar: yen sampeyan ndeleng kesalahan "Gagal njupuk paket Upgrade Tools", nanging sampeyan wis mriksa manawa arsip kasebut kasil diimpor (langkah 7), gunakake perintah:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Etung jumlah hash MD5 lan simpen output perintah kasebut:
md5sum / / .tgz
Gambar 11. Ngetung jumlah hash MD5
12) Nggunakake WinSCP, pindhah file iki menyang komputer.
13) Ketik printah df -h lan nyimpen dhewe persentase direktori adhedhasar papan sing dikuwasani.
Gambar 12. Persentase direktori saben SMS
14.1) Yen sampeyan duwe SMS nyata
14.1.1) Nggunakake USB flash drive bootable karo gambar digawe .
14.1.2) Aku nyaranake nyiyapake paling 2 bootable flash drive, awit iku mengkono sing flash drive ora tansah diwaca.
14.1.3) Minangka administrator ing komputer, mbukak ISOmorphic.exe. Ing langkah 1, pilih gambar diundhuh saka Gaia R80.40, ing langkah 4 flash drive. Ganti poin 2 lan 3 ora butuh!
Gambar 13. Nggawe bootable USB flash drive
14.1.4) Pilih item "Instal kanthi otomatis tanpa konfirmasi" lan penting kanggo nemtokake model server manajemen sampeyan. Ing kasus SMS, sampeyan kudu milih baris 3 utawa 4.
Gambar 14. Milih model piranti kanggo nggawe USB flash drive bootable
14.1.5) Sabanjure, sampeyan mateni upline, lebokake flash drive menyang port USB, sambungake kabel console liwat port COM menyang piranti lan aktifake SMS. Proses instalasi kedadeyan kanthi otomatis. Alamat IP Default - 192.168.1.1/24, lan informasi login admin/admin.
14.1.6) Langkah sabanjure yaiku nyambungake menyang antarmuka web ing Gaia Portal (alamat standar ), ing ngendi sampeyan ngliwati inisialisasi piranti. Sajrone initialization sampeyan Sejatine pencet Sabanjure, amarga meh kabeh setelan bisa diganti ing mangsa ngarep. Nanging, sampeyan bisa langsung ngganti alamat IP, setelan DNS lan jeneng host.
14.2) Yen sampeyan duwe SMS virtual
14.2.1) Ing kahanan apa wae sampeyan kudu mbusak SMS lawas; nggawe mesin virtual anyar kanthi sumber daya sing padha (CPU, RAM, HDD) lan alamat IP sing padha. Miturut cara, sampeyan bisa nambah RAM lan HDD, wiwit versi R80.40 punika sethitik liyane nuntut. Kanggo ngindhari konflik alamat IP, mateni SMS lawas lan miwiti nginstal sing anyar.
14.2.2) Sajrone instalasi Gaia, atur alamat IP saiki lan pilih direktori / root jumlah papan sing cukup. Persentase direktori sing sampeyan duwe kudu kira-kira slamet, nggunakake output df -h.
15) Ing wayahe milih jinis instalasi "Jenis Instalasi" milih pilihan pisanan, wiwit paling kamungkinan sampeyan ora duwe MDS (Multi-Domain Server). Yen MDS, banjur sampeyan ngatur akeh domain saka entitas SMS beda ing wektu sing padha. Ing kasus iki, sampeyan kudu milih opsi kapindho.
Gambar 15. Milih jinis instalasi Gaia
16) Titik paling penting sing ora bisa didandani tanpa nginstal maneh yaiku pilihan entitas. Kudu milih Manajemen Keamanan lan klik Sabanjure. Kabeh liya minangka standar.
Gambar 16. Milih jinis entitas nalika nginstal Gaia
17) Sawise piranti reboots, nyambung menyang antarmuka web nggunakake utawa alamat IP sing beda yen sampeyan ngganti.
18) Transfer setelan saka gambar menyang kabeh tab Gaia Portal sing ana sing dikonfigurasi, utawa jalanake perintah saka clish konfigurasi mbukak .txt. Berkas konfigurasi iki kudu diunggah dhisik menyang SMS.
komentar: Amarga kasunyatan manawa OS anyar, WinSCP ora ngidini sampeyan nyambungake minangka administrator, ngganti cangkang pangguna dadi /bin/bash ing antarmuka web ing tab Pangguna, utawa kanthi ngetik perintah kasebut. chsh –s /bin/bash utawa nggawe pangguna anyar.
19) Unggah file kanthi kabijakan sing diekspor saka server manajemen lawas menyang direktori apa wae. Banjur pindhah menyang konsol ing mode pakar lan priksa manawa jumlah hash MD5 cocog karo sing sadurunge. Yen ora, ekspor kudu ditindakake maneh:
md5sum / / .tgz
20) Baleni langkah 6 lan instal Upgrade Tools ing SMS anyar ing Gaia Portal ing tab Nganyarke (CPUSE) > Status lan Tindakan.
21) Ketik printah ing mode pakar:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Gambar 17. Ngimpor kabijakan keamanan menyang SMS anyar
22) Aktifake layanan kanthi printah cpstart.
23) Ngundhuh sing anyar lan nyambung menyang server manajemen. Menyang Menu > Atur Lisensi lan Paket (SmartUpdate) lan priksa manawa sampeyan isih duwe lisensi.
Gambar 18. Priksa lisensi sing diinstal
24) Setel kabijakan keamanan ing gateway utawa cluster - Instal Kebijakan.
Keamanan Gateway (SG) Update
Gateway Keamanan bisa dianyari liwat CPUSE, kaya server manajemen, utawa diinstal maneh - nginstal seger. Saka pengalamanku, ing 99% kasus, kabeh wong nginstal maneh Keamanan Gateway amarga kasunyatane mbutuhake wektu sing meh padha karo nganyari liwat CPUSE, nanging sampeyan entuk OS sing resik lan dianyari tanpa kewan omo.
Kanthi analogi karo SMS, sampeyan kudu nggawe serep lan gambar asli, lan uga nyimpen setelan saka Gaia Portal. Waca poin 1, 2 lan 3 ing bagean "Update Server Manajemen Keamanan".
Nganyari nganggo CPUSE
Nganyari Gateway Keamanan liwat CPUSE persis padha karo nganyari Server Manajemen Keamanan, mula deleng wiwitan artikel.
Titik penting: nganyari SG mbutuhake urip maneh! Mulane, nganyari sak jendhela pangopènan. Yen sampeyan duwe kluster, upgrade simpul pasif dhisik, banjur ganti peran lan nganyarke simpul liyane. Ing kasus kluster, jendhela pangopènan bisa dihindari.
Nginstal versi OS anyar ing Security Gateway
1.1) Yen sampeyan duwe SG nyata
1.1.1) Nggunakake USB flash drive bootable karo gambar digawe . Gambar kasebut padha karo SMS, nanging prosedur kanggo nggawe flash drive bootable katon beda.
1.1.2) Aku nyaranake nyiyapake paling 2 bootable flash drive, awit iku mengkono sing flash drive ora tansah diwaca.
1.1.3) Minangka administrator ing komputer, mbukak ISOmorphic.exe. Ing langkah 1, pilih gambar diundhuh saka Gaia R80.40, ing langkah 4 flash drive. Ganti poin 2 lan 3 ora butuh!
Gambar 19. Nggawe bootable USB flash drive
1.1.4) Pilih item "Instal kanthi otomatis tanpa konfirmasi", lan penting kanggo nunjukake model Keamanan Gateway sampeyan - garis 2 utawa 3. Yen iki kothak wedhi fisik (SandBlast Appliance), banjur pilih baris 5.
Gambar 20. Milih model piranti kanggo nggawe USB flash drive bootable
1.1.5) Sabanjure, sampeyan mateni upline, lebokake flash drive menyang port USB, sambungake kabel console liwat port COM menyang piranti lan nguripake gateway. Proses instalasi kedadeyan kanthi otomatis. Alamat IP standar - 192.168.1.1/24, lan informasi login admin/admin. Sampeyan kudu nganyari dhisik simpul pasif, banjur instal kabijakan kasebut, ganti peran banjur nganyari simpul liyane. Sampeyan bakal mbutuhake jendhela pangopènan.
1.1.6) Langkah sabanjure yaiku nyambungake menyang antarmuka web ing Gaia Portal, ing ngendi sampeyan ngliwati initialization pisanan piranti. Sajrone initialization sampeyan Sejatine pencet Sabanjure, amarga meh kabeh setelan bisa diganti ing mangsa ngarep. Nanging, sampeyan bisa langsung ngganti alamat IP, setelan DNS lan jeneng host.
1.2) Yen sampeyan duwe SG virtual
1.2.1) Nggawe mesin virtual anyar karo sumber daya padha (CPU, RAM, HDD) utawa liyane, wiwit versi R80.40 punika sethitik liyane nuntut. Kanggo ngindhari konflik alamat IP, mateni gateway lawas lan miwiti nginstal anyar kanthi alamat IP sing padha. SG lawas bisa dibusak kanthi aman, amarga ora ana sing penting, amarga kabeh sing paling penting - kabijakan keamanan - dumunung ing server manajemen.
1.2.2) Sajrone instalasi OS, atur alamat IP saiki lan pilih direktori / root jumlah papan sing cukup.
3) Sambungake menyang gateway liwat port HTTPS lan miwiti proses initialization. Ing wektu milih jinis instalasi "Jenis Instalasi" pilih pilihan pisanan - Keamanan Gateway lan / utawa Manajemen Keamanan.
Gambar 21. Milih jinis instalasi Gaia
4) Titik sing paling penting yaiku pilihan entitas (Produk). Kudu milih Gerbang Keamanan lan, yen sampeyan duwe kluster, mriksa kothak "Unit minangka bagéan saka kluster, jinis: ClusterXL". Yen sampeyan duwe kluster VRRP, banjur pilih jinis iki, nanging ora mungkin.
Gambar 22. Milih jinis entitas nalika nginstal Gaia
5) Ing langkah sabanjure, nyetel sandi siji-wektu SIC kanggo netepake kapercayan karo server manajemen. Nggunakake sandhi iki, sertifikat digawe, lan server manajemen bakal komunikasi karo gateway liwat saluran komunikasi sing dienkripsi. Priksa tandha "Sambungake menyang Manajemen minangka Layanan" kudu disetel yen server manajemen dumunung ing méga. Kita bubar nulis babagan iki lan carane trep lan prasaja server manajemen maya.
Gambar 23. Nggawe SIC
6) Miwiti proses initialization ing tab sabanjuré. Sanalika piranti urip maneh, sambungake menyang antarmuka web lan transfer setelan saka gambar menyang kabeh tab Gaia Portal sing ana sing dikonfigurasi, utawa jalanake perintah saka clish konfigurasi mbukak .txt. File konfigurasi iki kudu diunggah dhisik menyang gateway keamanan.
komentar: Amarga kasunyatan manawa OS anyar, WinSCP ora ngidini sampeyan nyambungake minangka administrator, ngganti cangkang pangguna dadi /bin/bash ing antarmuka web ing tab Pangguna, utawa kanthi ngetik perintah kasebut. chsh –s /bin/bash utawa gawe panganggo anyar nganggo cangkang iki.
7) Bukak lan pindhah menyang obyek Keamanan Gateway sampeyan mung diinstal maneh. Bukak tab Properti Umum > Komunikasi > Reset SIC lan ketik sandhi sing ditemtokake ing langkah 5.
Gambar 24: Nggawe kapercayan karo gateway keamanan anyar
8) Versi Gaia obyek kudu diganti, yen ora diganti, banjur ngganti kanthi manual. Banjur nginstal kabijakan ing gateway.
9) Ing Gaia Portal, pindhah menyang tab Nganyarke (CPUSE) > Status lan Tindakan > Hotfix lan nginstal hotfix paling anyar. Piranti kasebut bakal mlebu urip maneh sak instalasi!
10) Ing kasus kluster, ganti peran simpul lan tindakake langkah sing padha kanggo simpul liyane.
kesimpulan
Aku nyoba kanggo nggawe guide paling cetha lan lengkap kanggo upgrade saka versi R80.20 / R80.30 kanggo R80.40 saiki, wiwit akeh wis diganti. Versi wis katon ing mode demo, nanging prosedur nganyari tetep luwih utawa kurang podho rupo. Dituntun dening pejabat saka Priksa Point, sampeyan bisa tokoh metu kabeh rincian dhewe.
Kanggo pitakonan sampeyan bisa hubungi kita. Kita bakal seneng mbantu nganyari lan kasus sing paling rumit minangka bagean saka dhukungan teknis . Uga ing kita iku bisa kanggo supaya audit setelan Check Point utawa ninggalake iku free kanggo kasus teknis.
. Tetep tresno (, , , , ).
Source: www.habr.com