БолеЕкі жыл бұрын біз әрбір Check Point әкімшісі ерте ме, кеш пе жаңа нұсқаға жаңарту мәселесімен бетпе-бет келетінін жазғанбыз. Бұнда R77.30 нұсқасынан R80.10 нұсқасына дейін жаңарту сипатталды. Айтпақшы, 2020 жылдың қаңтарында R77.30 FSTEC сертификатталған нұсқасы болды. Дегенмен, Check Point-те 2 жыл ішінде көп нәрсе өзгерді. мақалада «” барлық инновацияларды сипаттайды, олардың ішінде көп. Бұл мақала жаңарту процедурасын мүмкіндігінше егжей-тегжейлі сипаттайды.
Өздеріңіз білетіндей, Check Point-ті іске асырудың 2 нұсқасы бар: Дербес және Бөлінген, яғни арнайы басқару сервері жоқ және бөлінген. Бөлінген опция бірнеше себептерге байланысты өте ұсынылады:
-
шлюз ресурстарына жүктеме барынша азайтылады;
-
Басқару серверінде жұмыс істеу үшін техникалық қызмет көрсету терезесін жоспарлаудың қажеті жоқ;
-
SmartEvent барабар жұмысы, өйткені оның дербес нұсқасында жұмыс істеуі екіталай;
-
Бөлінген конфигурацияда шлюздер кластерін құру ұсынылады.
Бөлінген конфигурацияның барлық артықшылықтарын ескере отырып, басқару сервері мен қауіпсіздік шлюзін жаңартуды бөлек қарастырамыз.
Қауіпсіздікті басқару сервері (SMS) жаңартуы
SMS жаңартудың 2 жолы бар:
-
CPUSE арқылы (Gaia порталы арқылы)
-
Тасымалдау құралдарын пайдалану (таза орнату қажет - жаңа орнату)
CPUSE арқылы жаңартуды Check Point әріптестері ұсынбайды, себебі ол файлдық жүйенің нұсқасын және ядроны жаңартпайды. Дегенмен, бұл әдіс саясаттарды тасымалдауды қажет етпейді және екінші әдіске қарағанда әлдеқайда жылдам және қарапайым.
Таза орнату және тасымалдау құралдары арқылы саясаттарды тасымалдау ұсынылатын әдіс болып табылады. Жаңа файлдық жүйе мен ОЖ ядросынан басқа, SMS дерекқоры жиі бітеліп қалады және осыған байланысты таза орнату серверге жылдамдықты қосудың тамаша шешімі болып табылады.
1) Кез келген жаңартудың бірінші қадамы сақтық көшірмелер мен суреттерді жасау болып табылады. Егер сізде физикалық басқару сервері болса, Gaia Portal веб-интерфейсінен сақтық көшірме жасау керек. Қойындыға өтіңіз Техникалық қызмет көрсету > Жүйенің сақтық көшірмесін жасау > Сақтық көшірме жасау. Содан кейін сақтық көшірме сақталатын орынды көрсетесіз. Бұл SCP, FTP, TFTP сервері немесе құрылғыдағы жергілікті болуы мүмкін, бірақ бұл сақтық көшірмені кейінірек серверге немесе компьютерге жүктеп салуға тура келеді.
Сурет 1. Gaia порталында сақтық көшірме жасау
2) Одан кейін қойындыда суретке түсіру керек Техникалық қызмет көрсету → Суретті басқару → Жаңа. Сақтық көшірмелер мен суреттің арасындағы айырмашылық мынада: суреттер барлық орнатылған түзетулерді қоса, қосымша ақпаратты сақтайды. Дегенмен, екеуін де жасаған дұрыс.
Егер сіздің басқару серверіңіз виртуалды машина ретінде орнатылған болса, онда кірістірілген гипервизор құралдарын пайдаланып виртуалды машинаның сақтық көшірмесін жасау ұсынылады. Бұл жай ғана жылдамырақ және сенімдірек.
Сурет 2. Gaia порталында суретті жасау
3) Gaia порталынан құрылғы конфигурациясын сақтаңыз. Сіз Gaia порталындағы барлық параметрлер қойындысының скриншотын жасай аласыз немесе Clish пәрменін енгізе аласыз конфигурацияны сақтау. Содан кейін WinSCP немесе басқа клиент арқылы файлды компьютерге алыңыз.
Сурет 3. Конфигурацияны мәтіндік файлға сақтау)
ескерту: егер WinSCP қосылуға мүмкіндік бермесе, пайдаланушы қабығын Пайдаланушылар қойындысындағы веб-интерфейсте немесе пәрменді енгізу арқылы /bin/bash етіп өзгертіңіз. chsh –s /bin/bash.
CPUSE көмегімен жаңарту
4) Алғашқы 3 қадам кез келген жаңарту опциясы үшін міндетті болып табылады. Егер сіз қарапайым жаңарту жолын таңдауды шешсеңіз, веб-интерфейстегі қойындыға өтіңіз Жаңартулар (CPUSE) > Күй және әрекеттер > Негізгі нұсқалар > Check Point R80.40 Gaia Fresh орнату және жаңарту. Осы жаңартуды тінтуірдің оң жақ түймешігімен басып, таңдаңыз Тексерушісі. Тексеру процесі бірнеше минутқа басталады, содан кейін құрылғыны жаңартуға болатын хабарды көресіз. Қателерді көрсеңіз, оларды түзету керек.
Сурет 4. CPUSE арқылы жаңарту
5) CDT (Central Deployment Tool) соңғы нұсқасына жаңарту - басқару серверінде жұмыс істейтін және жаңартуларды, қызмет пакеттерін орнатуға, сақтық көшірмелерді, суреттерді, сценарийлерді және т.б. басқаруға мүмкіндік беретін утилита. Ескірген CDT нұсқасы жаңартуда ақаулық тудыруы мүмкін. CDT сайтынан жүктеп алуға болады .
6) Жүктелген мұрағатты SMS-ке WinSCP арқылы кез келген каталогқа орналастырғаннан кейін SSH арқылы SMS-ке қосылып, сараптамалық режимге өтіңіз. Естеріңізге сала кетейін, WinSCP пайдаланушысында қабық болуы керек / bin / bash!
7) Пәрмендерді енгізіңіз:
CD /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —күш CPcdt-00-00.i386.rpm
Сурет 5. Орталық орналастыру құралын (CDT) орнату
8) Келесі қадам R80.40 кескінін орнату болып табылады. Жаңартуды тінтуірдің оң жақ түймешігімен басыңыз Жүктеу, содан кейін Орнату. Жаңарту 20-30 минутқа созылатынын және басқару сервері біраз уақыт қолжетімсіз болатынын есте сақтаңыз. Сондықтан қызмет көрсету терезесін келісу мағынасы бар.
9) Барлық лицензиялар мен қауіпсіздік саясаттары сақталады, сондықтан келесіде жаңасын жүктеп алу керек .
10) SMS жаңа SmartConsole қызметіне қосылып, қауіпсіздік саясаттарын орнатыңыз. Түйме Орнату саясаты жоғарғы сол жақ бұрышта.
11) Сіздің SMS жаңартылды, содан кейін соңғы түзетуді орнатуыңыз керек. Қойындыда Жаңартулар (CPUSE) > Күй және әрекеттер > Түзетулер тінтуірдің оң жақ түймешігін басыңыз Тексеруші, содан кейін Жаңартуды орнатыңыз. Жаңартуды орнатқаннан кейін құрылғы өзін қайта жүктейді.
Сурет 6. CPUSE арқылы соңғы түзетуді орнату
Тасымалдау құралдарымен жаңарту
4) Біріншіден, сіз сондай-ақ CDT соңғы нұсқасына жаңартуыңыз керек - бөлімнің 5, 6, 7 тармақтары «CPUSE арқылы жаңарту.»
5) Басқару серверінен саясаттарды тасымалдау үшін қажетті тасымалдау құралдары бумасын орнатыңыз. Осыған сәйкес R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40 нұсқалары үшін тасымалдау құралдарын таба аласыз. Нұсқаның тасымалдау құралдарын жүктеп алуыңыз керек жаңартқыңыз келетіні, және сізде қазір емес! Біздің жағдайда ол 80.40 рубльді құрайды.
6) Келесі SMS веб-интерфейсіндегі қойындыға өтіңіз Жаңартулар (CPUSE) > Күй және әрекеттер > Буманы импорттау > Шолу > Жүктелген файлды таңдау > Импорттау.
Сурет 7. Тасымалдау құралдарын импорттау
7) SMS-тегі сарапшы режимінде Тасымалдау құралдары пакетінің пәрмен арқылы орнатылғанын тексеріңіз (пәрменнің шығысы Тасымалдау құралдары мұрағатының атауындағы нөмірге сәйкес келуі керек):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Сурет 8. Тасымалдау құралдарының орнатылуын тексеру
8) Басқару серверіндегі $FWDIR/scripts қалтасына өтіңіз:
cd $FWDIR/скрипттер
9) Пәрменді пайдаланып, алдын ала жаңарту тексерушісін іске қосыңыз (қателер болса, келесі қадамдарға дейін оларды түзетіңіз):
./migrate_server verify -v R80.40
ескерту: қатені көрсеңіз «Жаңарту құралдарының бумасын алу мүмкін болмады», бірақ мұрағаттың сәтті импортталғанын тексердіңіз (4-тармақты қараңыз), пәрменді пайдаланыңыз:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Сурет 9. Тексеру сценарийін іске қосу
10) Қауіпсіздік саясаттарын келесі пәрмен арқылы экспорттаңыз:
./migrate_server экспорты -v R80.40 / / .tgz
Сурет 10. Қауіпсіздік саясатын экспорттау
ескерту: қатені көрсеңіз «Жаңарту құралдарының бумасын алу мүмкін болмады», бірақ мұрағаттың сәтті импортталғанын тексердіңіз (7-қадам), пәрменді пайдаланыңыз:
./migrate_server экспорты -skip_upgrade_tools_check -v R80.40 / / .tgz
11) MD5 хэш сомасын есептеңіз және пәрменнің нәтижесін сақтаңыз:
md5sum / / .tgz
Сурет 11. MD5 хэш сомасын есептеу
12) WinSCP көмегімен бұл файлды компьютерге жылжытыңыз.
13) Пәрменді енгізіңіз df -h және бос орынға негізделген каталогтардың пайызын сақтаңыз.
Сурет 12. СМС бойынша анықтамалықтардың пайызы
14.1) Егер сізде нақты SMS болса
14.1.1) Қолдану кескіні бар жүктелетін USB флэш-дискісі жасалады .
14.1.2) Мен кем дегенде 2 жүктелетін флэш-дискіні дайындауды ұсынамын, себебі флэш-диск әрқашан оқылмайды.
14.1.3) Компьютерде әкімші ретінде іске қосыңыз ISOmorphic.exe. 1-қадамда жүктелген Gaia R80.40 кескінін, 4-қадамда флэш-дискіні таңдаңыз. 2 және 3 тармақтарды өзгертіңіз керек емес!
Сурет 13. Жүктелетін USB флэш-дискісін жасау
14.1.4) Элементті таңдаңыз «Растаусыз автоматты түрде орнату» және басқару серверіңіздің үлгісін көрсету маңызды. SMS болған жағдайда 3 немесе 4 жолды таңдау керек.
Сурет 14. Жүктелетін USB флэш-дискісін жасау үшін құрылғы үлгісін таңдау
14.1.5) Содан кейін сіз жоғары сызықты өшіресіз, флэш-дискіні USB портына салыңыз, консоль кабелін COM порты арқылы құрылғыға қосыңыз және SMS-ті қосыңыз. Орнату процесі автоматты түрде жүреді. Әдепкі IP мекенжайы - 192.168.1.1/24, және кіру ақпараты админ / админ.
14.1.6) Келесі қадам Gaia порталындағы веб-интерфейске қосылу (әдепкі мекенжай) ), құрылғыны инициализациялау арқылы өтетін жер. Баптандыру кезінде сіз негізінен басыңыз Келесі, өйткені болашақта барлық дерлік параметрлерді өзгертуге болады. Дегенмен, IP мекенжайын, DNS параметрлерін және хост атауын бірден өзгертуге болады.
14.2) Егер сізде виртуалды SMS болса
14.2.1) Ешбір жағдайда ескі SMS-ті жоймаңыз, ресурстары бірдей (CPU, RAM, HDD) және IP мекенжайы бірдей жаңа виртуалды машина жасаңыз. Айтпақшы, сіз RAM және HDD қосуға болады, өйткені R80.40 нұсқасы біршама талап етеді. IP мекенжайы қайшылықтарын болдырмау үшін ескі SMS-ті өшіріп, жаңасын орнатуды бастаңыз.
14.2.2) Gaia орнату кезінде ағымдағы IP мекенжайын конфигурациялаңыз және каталогты таңдаңыз / түбірі жеткілікті кеңістік мөлшері. Сізде бар каталогтардың пайызы шамамен болуы керек аман қалу, шығысты пайдаланыңыз df -h.
15) Орнату түрін таңдау сәтінде «Орнату түрі» бірінші опцияны таңдаңыз, себебі сізде MDS (көп домендік сервер) жоқ. Егер MDS болса, сіз әртүрлі SMS нысандарының көптеген домендерін бір уақытта басқардыңыз. Бұл жағдайда сіз екінші опцияны таңдауыңыз керек.
Сурет 15. Gaia орнату түрін таңдау
16) Қайта орнатусыз түзетілмейтін ең маңызды сәт - нысанды таңдау. Таңдау керек Қауіпсіздікті басқару және баспасөз Келесі. Қалғанының бәрі әдепкі бойынша.
Сурет 16. Gaia орнату кезінде нысан түрін таңдау
17) Құрылғы қайта жүктелгеннен кейін веб-интерфейсті пайдаланып қосылыңыз немесе өзгертсеңіз, басқа IP мекенжайы.
18) Параметрлерді скриншоттардан бірдеңе конфигурацияланған барлық Gaia Portal қойындыларына тасымалдаңыз немесе clish пәрменін іске қосыңыз жүктеме конфигурациясы .жазу. Бұл конфигурация файлы алдымен SMS-ке жүктелуі керек.
ескерту: ОЖ жаңа болғандықтан, WinSCP сізге әкімші ретінде қосылуға, пайдаланушы қабығын Пайдаланушылар қойындысындағы веб-интерфейсте немесе пәрменді енгізу арқылы /bin/bash етіп өзгертуге мүмкіндік бермейді. chsh –s /bin/bash немесе жаңа пайдаланушы жасаңыз.
19) Экспортталған саясаттары бар файлды ескі басқару серверінен кез келген каталогқа жүктеңіз. Содан кейін сарапшы режимінде консольге өтіп, MD5 хэш сомасының алдыңғысына сәйкес келетінін тексеріңіз. Әйтпесе, экспорт қайта жасалуы керек:
md5sum / / .tgz
20) 6-қадамды қайталаңыз және қойындыдағы Gaia порталындағы жаңа SMS-ке Жаңарту құралдарын орнатыңыз Жаңартулар (CPUSE) > Күй және әрекеттер.
21) Эксперттік режимде пәрменді енгізіңіз:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Сурет 17. Қауіпсіздік саясатын жаңа SMS-ке импорттау
22) Пәрмен арқылы қызметтерді қосыңыз cpstart.
23) Жаңасын жүктеп алыңыз және басқару серверіне қосылыңыз. Бару Мәзір > Лицензиялар мен бумаларды басқару (SmartUpdate) және лицензияңыздың әлі де бар екенін тексеріңіз.
Сурет 18. Орнатылған лицензияларды тексеру
24) Шлюзде немесе кластерде қауіпсіздік саясатын орнату - Орнату саясаты.
Қауіпсіздік шлюзі (SG) жаңартуы
Қауіпсіздік шлюзін басқару сервері сияқты CPUSE арқылы жаңартуға немесе қайта орнатуға болады - жаңа орнату. Менің тәжірибем бойынша, 99% жағдайда бәрі CPUSE арқылы жаңартумен бірдей уақытты қажет ететіндіктен Security Gateway жүйесін қайта орнатады, бірақ сіз қатесіз таза, жаңартылған ОЖ аласыз.
SMS-ке ұқсас, алдымен сақтық көшірме жасау және суретті жасау, сонымен қатар Gaia порталынан параметрлерді сақтау қажет. Бөлімнің 1, 2 және 3 тармақтарын қараңыз «Қауіпсіздікті басқару серверін жаңарту».
CPUSE көмегімен жаңарту
Қауіпсіздік шлюзін CPUSE арқылы жаңарту қауіпсіздікті басқару серверін жаңартумен бірдей, сондықтан мақаланың басын қараңыз.
Маңызды нүкте: SG жаңартуы қажет қайта жүктеледі! Сондықтан техникалық қызмет көрсету терезесінде жаңартыңыз. Егер сізде кластер болса, алдымен пассивті түйінді жаңартыңыз, содан кейін рөлдерді ауыстырыңыз және басқа түйінді жаңартыңыз. Кластер жағдайында техникалық қызмет көрсету терезелерінен аулақ болуға болады.
Security Gateway жүйесінде жаңа ОЖ нұсқасы орнатылуда
1.1) Егер сізде нақты SG бар болса
1.1.1) Қолдану кескіні бар жүктелетін USB флэш-дискісі жасалады . Сурет SMS-тегідей, бірақ жүктелетін флэш-дискіні жасау процедурасы сәл басқаша көрінеді.
1.1.2) Мен кем дегенде 2 жүктелетін флэш-дискіні дайындауды ұсынамын, себебі флэш-диск әрқашан оқылмайды.
1.1.3) Компьютерде әкімші ретінде іске қосыңыз ISOmorphic.exe. 1-қадамда жүктелген Gaia R80.40 кескінін, 4-қадамда флэш-дискіні таңдаңыз. 2 және 3 тармақтарды өзгертіңіз керек емес!
Сурет 19. Жүктелетін USB флэш-дискісін жасау
1.1.4) Элементті таңдаңыз «Растаусыз автоматты түрде орнату», және Қауіпсіздік шлюзінің үлгісін көрсету маңызды – 2 немесе 3 жолдар. Егер бұл физикалық құм жәшіг (SandBlast Appliance) болса, 5-жолды таңдаңыз.
Сурет 20. Жүктелетін USB флэш-дискісін жасау үшін құрылғы үлгісін таңдау
1.1.5) Содан кейін сіз жоғары сызықты өшіресіз, флэш-дискіні USB портына салыңыз, консоль кабелін COM порты арқылы құрылғыға қосыңыз және шлюзді қосыңыз. Орнату процесі автоматты түрде жүреді. Әдепкі IP мекенжайы - 192.168.1.1/24, және кіру ақпараты админ / админ. Алдымен жаңарту керек пассивті түйін, содан кейін оған саясатты орнатыңыз, рөлдерді ауыстырыңыз, содан кейін басқа түйінді жаңартыңыз. Сізге қызмет көрсету терезесі қажет болуы мүмкін.
1.1.6) Келесі қадам - құрылғыны бірінші инициализациялау арқылы өтетін Gaia порталындағы веб-интерфейске қосылу. Баптандыру кезінде сіз негізінен басыңыз Келесі, өйткені болашақта барлық дерлік параметрлерді өзгертуге болады. Дегенмен, IP мекенжайын, DNS параметрлерін және хост атауын бірден өзгертуге болады.
1.2) Егер сізде виртуалды SG болса
1.2.1) Бірдей ресурстармен (CPU, RAM, HDD) немесе одан да көп жаңа виртуалды машина жасаңыз, өйткені R80.40 нұсқасы біршама талап етеді. IP мекенжайларының қақтығыстарын болдырмау үшін ескі шлюзді өшіріп, бірдей IP мекенжайы бар жаңасын орнатуды бастаңыз. Ескі SG қауіпсіз жойылуы мүмкін, өйткені онда құнды ештеңе жоқ, өйткені барлық маңызды нәрселер - қауіпсіздік саясаты - басқару серверінде орналасқан.
1.2.2) ОЖ орнату кезінде ағымдағы IP мекенжайын конфигурациялаңыз және каталогты таңдаңыз / түбірі жеткілікті кеңістік мөлшері.
3) HTTPS порты арқылы шлюзге қосылып, баптандыру процесін бастаңыз. Орнату түрін таңдау кезінде «Орнату түрі» бірінші опцияны таңдаңыз - Қауіпсіздік шлюзі және/немесе Қауіпсіздікті басқару.
Сурет 21. Gaia орнату түрін таңдау
4) Ең маңызды сәт – нысанды (Өнімдерді) таңдау. Таңдау керек Қауіпсіздік шлюзі және кластеріңіз болса, құсбелгіні қойыңыз «Бірлік кластердің бөлігі, түрі: ClusterXL». Егер сізде VRRP кластері болса, онда бұл түрді таңдаңыз, бірақ бұл екіталай.
Сурет 22. Gaia орнату кезінде нысан түрін таңдау
5) Келесі қадамда басқару серверімен сенімді орнату үшін SIC бір реттік құпия сөзін орнатыңыз. Осы құпия сөзді пайдалану арқылы сертификат жасалады және басқару сервері шлюзмен шифрланған байланыс арнасы арқылы байланысады. Тексеру белгісі «Менеджментіңізге қызмет ретінде қосылыңыз» басқару сервері бұлтта орналасқан болса, орнатылуы керек. Бұл туралы жақында жазғанбыз және бұлтты басқару сервері қаншалықты ыңғайлы және қарапайым.
23-сурет. СИК құру
6) Келесі қойындыда баптандыру процесін бастаңыз. Құрылғы қайта жүктелген бойда веб-интерфейске қосылыңыз және параметрлерді скриншоттардан бірдеңе конфигурацияланған барлық Gaia Portal қойындыларына тасымалдаңыз немесе clish пәрменін іске қосыңыз. жүктеме конфигурациясы .жазу. Бұл конфигурация файлы алдымен қауіпсіздік шлюзіне жүктелуі керек.
ескерту: ОЖ жаңа болғандықтан, WinSCP сізге әкімші ретінде қосылуға, пайдаланушы қабығын Пайдаланушылар қойындысындағы веб-интерфейсте немесе пәрменді енгізу арқылы /bin/bash етіп өзгертуге мүмкіндік бермейді. chsh –s /bin/bash немесе осы қабықпен жаңа пайдаланушы жасаңыз.
7) Ашық және жаңа ғана қайта орнатқан Security Gateway нысанына өтіңіз. Қойындыны ашыңыз Жалпы сипаттар > Байланыс > SIC қалпына келтіру және 5-қадамда көрсетілген құпия сөзді енгізіңіз.
24-сурет: Жаңа қауіпсіздік шлюзімен сенімді орнату
8) Нысанның Gaia нұсқасы өзгеруі керек, егер ол өзгермесе, оны қолмен өзгертіңіз. Содан кейін шлюзге саясатты орнатыңыз.
9) Gaia порталында қойындыға өтіңіз Жаңартулар (CPUSE) > Күй және әрекеттер > Түзетулер және соңғы түзетуді орнатыңыз. Құрылғы ішке кіреді қайта жүктеу орнату кезінде!
10) Кластер болған жағдайда түйіндердің рөлдерін өзгертіп, басқа түйін үшін бірдей қадамдарды орындаңыз.
қорытынды
Мен R80.20/R80.30 нұсқасынан қазіргі R80.40 нұсқасына жаңарту үшін ең түсінікті және жан-жақты нұсқауды жасауға тырыстым, өйткені көп нәрсе өзгерді. Нұсқа демонстрациялық режимде пайда болды, бірақ жаңарту процедурасы азды-көпті бірдей болып қалады. Шенеуніктің басшылығымен Check Point арқылы сіз барлық мәліметтерді өзіңіз анықтай аласыз.
Кез келген сұрақтар бойынша бізбен байланыса аласыз. Біз техникалық қолдауымыздың бөлігі ретінде ең күрделі жаңартулар мен істерге көмектесуге қуаныштымыз . Сондай-ақ біздің Check Point параметрлерін тексеруге тапсырыс беруге немесе оны тегін қалдыруға болады техникалық жағдай үшін.
. Бізбен бірге қалыңыз (, , , , ).
Ақпарат көзі: www.habr.com