🥇Check Point jaunināšanas procedūra no R80.20/R80.30 uz R80.40

BolеPirms diviem gadiem mēs rakstījām, ka katrs Check Point administrators agrāk vai vēlāk saskaras ar problēmu par atjaunināšanu uz jaunu versiju. Šajā raksts tika aprakstīts jauninājums no versijas R77.30 uz R80.10. Starp citu, 2020. gada janvārī R77.30 kļuva par sertificētu FSTEC versiju. Tomēr 2 gadu laikā Check Point ir daudz kas mainījies. Rakstā "Check Point Gaia R80.40. Kas jauns?” aprakstīti visi jauninājumi, kuru ir daudz. Šajā rakstā pēc iespējas detalizētāk tiks aprakstīta atjaunināšanas procedūra.

Kā zināms, Check Point ieviešanai ir 2 iespējas: savrups un izplatīts, tas ir, bez īpaša pārvaldības servera un ar īpašu. Izplatītā opcija ir ļoti ieteicama vairāku iemeslu dēļ.

tiek samazināta vārtejas resursu slodze;
Lai strādātu pārvaldības serverī, jums nav jāieplāno apkopes periods;
adekvāta SmartEvent darbība, jo maz ticams, ka tā darbosies savrupajā versijā;
Ir ļoti ieteicams izveidot vārteju kopu izplatītajā konfigurācijā.

Ņemot vērā visas izplatītās konfigurācijas priekšrocības, mēs apsvērsim pārvaldības servera un drošības vārtejas jaunināšanu atsevišķi.

Drošības pārvaldības servera (SMS) atjauninājums

Ir divi veidi, kā atjaunināt SMS:

izmantojot CPUSE (caur Gaia portālu)
izmantojot migrācijas rīkus (nepieciešama tīra instalēšana - svaigu instalēt)

Check Point kolēģi neiesaka veikt atjaunināšanu, izmantojot CPUSE, jo tā neatjauninās jūsu failu sistēmas versiju un kodolu. Tomēr šī metode neprasa politiku migrāciju un ir daudz ātrāka un vienkāršāka nekā otrā metode.

Ieteicamā metode ir tīra politiku instalēšana un migrēšana, izmantojot migrācijas rīkus. Papildus jaunajai failu sistēmai un OS kodolam bieži gadās, ka SMS datu bāze tiek aizsērējusi, un tīra instalēšana šajā ziņā ir lielisks risinājums, lai palielinātu servera ātrumu.

1) Pirmais solis jebkurā atjauninājumā ir izveidot dublējumus un momentuzņēmumus. Ja jums ir fiziskas pārvaldības serveris, tad no Gaia portāla tīmekļa saskarnes ir jāizveido dublējums. Dodieties uz cilni Uzturēšana > Sistēmas dublēšana > Dublēšana. Pēc tam norādiet dublējuma saglabāšanas vietu. Tas var būt SCP, FTP, TFTP serveris vai lokāli ierīcē, taču vēlāk šī dublējumkopija būs jāaugšupielādē serverī vai datorā.

1. attēls. Dublējuma izveide Gaia portālā

2) Pēc tam cilnē jāuzņem momentuzņēmums Apkope → Momentuzņēmumu pārvaldība → Jauns. Atšķirība starp dublējumiem un momentuzņēmumiem ir tāda, ka momentuzņēmumos tiek saglabāta vairāk informācijas, tostarp visi instalētie labojumfaili. Tomēr labāk ir darīt abus.

Ja jūsu pārvaldības serveris ir instalēts kā virtuālā mašīna, ieteicams izveidot virtuālās mašīnas dublējumu, izmantojot iebūvētos hipervizora rīkus. Tas vienkārši ir ātrāks un uzticamāks.

2. attēls. Momentuzņēmuma izveide Gaia portālā

3) Saglabājiet ierīces konfigurāciju no Gaia portāla. Varat ekrānuzņēmumu uzņemt visas iestatījumu cilnes, kas atrodas Gaia portālā, vai ievadīt komandu no Clish saglabāt konfigurāciju. Pēc tam pārņemiet failu uz datoru, izmantojot WinSCP vai citu klientu.

3. attēls. Konfigurācijas saglabāšana teksta failā)

Piezīme: ja WinSCP neļauj izveidot savienojumu, mainiet lietotāja apvalku uz /bin/bash vai nu tīmekļa saskarnē cilnē Lietotāji, vai ievadot komandu chsh –s /bin/bash.

Atjaunināšana, izmantojot CPUSE

4) Pirmās 3 darbības ir obligātas jebkurai atjaunināšanas opcijai. Ja nolemjat izvēlēties vienkāršāku atjaunināšanas ceļu, tīmekļa saskarnē dodieties uz cilni Jauninājumi (CPUSE) > Statuss un darbības > Galvenās versijas > Check Point R80.40 Gaia Fresh instalēšana un jaunināšana. Ar peles labo pogu noklikšķiniet uz šī atjauninājuma un atlasiet Verificētājs. Pārbaudes process sāksies dažas minūtes, pēc tam jūs redzēsiet ziņojumu, ka ierīci var atjaunināt. Ja redzat kļūdas, tās ir jālabo.

4. attēls. Atjaunināšana, izmantojot CPUSE

5) Atjaunināšana uz jaunāko CDT (Central Deployment Tool) versiju – utilīta, kas darbojas pārvaldības serverī un ļauj instalēt atjauninājumus, servisa pakotnes, pārvaldīt dublējumus, momentuzņēmumus, skriptus un daudz ko citu. Novecojusi CDT versija var radīt problēmas ar atjauninājumu. Jūs varat lejupielādēt CDT vietnē saite.

6) Pēc lejupielādētā arhīva ievietošanas SMS jebkurā direktorijā, izmantojot WinSCP, izveidojiet savienojumu ar SSH ar SMS un pārejiet uz eksperta režīmu. Atgādināšu, ka WinSCP lietotājam ir jābūt apvalkam / bin / bash!

7) Ievadiet komandas:

CD /somepathtoCDT/

darva -zxvf .tgz

rpm -Uhv -force CPcdt-00-00.i386.rpm

5. attēls. Centrālā izvietošanas rīka (CDT) instalēšana

8) Nākamais solis ir R80.40 attēla instalēšana. Ar peles labo pogu noklikšķiniet uz atjauninājuma Lejupielādēt, tad Instalēt. Ņemiet vērā, ka atjaunināšana prasīs 20–30 minūtes un pārvaldības serveris kādu laiku nebūs pieejams. Tāpēc ir jēga vienoties par servisa logu.

9) Visas licences un drošības politikas ir saglabātas, tāpēc pēc tam jums vajadzētu lejupielādēt jaunu SmartConsole R80.40.

10) Izveidojiet savienojumu ar SMS jauno SmartConsole un iestatiet drošības politikas. Poga Instalēšanas politika augšējā kreisajā stūrī.

11) Jūsu SMS ir atjaunināta, tad jāinstalē jaunākais labojumfails. Cilnē Jauninājumi (CPUSE) > Statuss un darbības > Labojumfaili noklikšķiniet uz peles labās pogas Verificētājstad Instalējiet atjauninājumu. Pēc atjauninājuma instalēšanas ierīce pati atsāksies.

6. attēls. Jaunākā labojumfaila instalēšana, izmantojot CPUSE

Atjaunināšana, izmantojot migrācijas rīkus

4) Pirmkārt, jums vajadzētu arī atjaunināt uz jaunāko CDT versiju — sadaļas 5., 6., 7. punkts "Atjaunināt, izmantojot CPUSE."

5) Instalējiet migrācijas rīku pakotni, kas nepieciešama politiku migrēšanai no pārvaldības servera. Saskaņā ar šo saite jūs varat atrast migrācijas rīkus versijām: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Jums vajadzētu lejupielādēt versijas migrācijas rīkus kuru vēlaties atjaunināt, nevis to, kas jums ir tagad! Mūsu gadījumā tas ir R80.40.

6) Tālāk SMS tīmekļa saskarnē dodieties uz cilni Jauninājumi (CPUSE) > Statuss un darbības > Importēt pakotni > Pārlūkot > Atlasiet lejupielādēto failu > Importēt.

7. attēls. Migrācijas rīku importēšana

7) SMS eksperta režīmā pārbaudiet, vai migrācijas rīku pakotne ir instalēta, izmantojot komandu (komandas izvadei ir jāsakrīt ar numuru Migrācijas rīku arhīva nosaukumā):

cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1

8. attēls. Migrācijas rīku instalēšanas pārbaude

8) Pārvaldības serverī atveriet mapi $FWDIR/scripts:

cd $FWDIR/skripti

9) Palaidiet pirmsjaunināšanas verificētāju, izmantojot komandu (ja ir kļūdas, izlabojiet tās pirms turpmākajām darbībām):

./migrate_server verify -v R80.40

Piezīme: ja redzat kļūdu “Neizdevās izgūt jaunināšanas rīku pakotni”, bet esat pārbaudījis, vai arhīvs ir veiksmīgi importēts (skatiet 4. punktu), izmantojiet komandu:

./migrate_server verify -v R80.40 -skip_upgrade_tools_check

9. attēls. Verifikācijas skripta palaišana

10) Eksportējiet drošības politikas, izmantojot komandu:

./migrate_server export -v R80.40 / / .tgz

10. attēls. Drošības politikas eksportēšana

Piezīme: ja redzat kļūdu “Neizdevās izgūt jaunināšanas rīku pakotni”, bet esat pārbaudījis, vai arhīvs ir veiksmīgi importēts (7. darbība), izmantojiet komandu:

./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz

11) Aprēķiniet MD5 hash summu un saglabājiet komandas izvadi:

md5sum / / .tgz

11. attēls. MD5 jaucējsummas aprēķināšana

12) Izmantojot WinSCP, pārvietojiet šo failu uz datoru.

13) Ievadiet komandu df-h un saglabājiet sev direktoriju procentuālo daudzumu, pamatojoties uz aizņemto vietu.

12. attēls. Katalogu procentuālā daļa vienā īsziņā

14.1) Ja jums ir īsta SMS

14.1.1) Izmantojot Izomorfs rīks tiek izveidots sāknējams USB zibatmiņas disks ar attēlu Gaia R80.40.

14.1.2) Iesaku sagatavot vismaz 2 bootable flash drives, jo gadās, ka zibatmiņas disks ne vienmēr ir lasāms.

14.1.3) Kā datora administrators palaidiet ISOmorphic.exe. 1. darbībā atlasiet lejupielādēto Gaia R80.40 attēlu, 4. darbībā atlasiet zibatmiņas disku. Mainiet 2. un 3. punktu nē!

13. attēls. Sāknējama USB zibatmiņas diska izveide

14.1.4) Atlasiet vienumu “Instalēt automātiski bez apstiprinājuma” un ir svarīgi norādīt sava pārvaldības servera modeli. SMS gadījumā jāizvēlas 3. vai 4. rinda.

14. attēls. Ierīces modeļa izvēle, lai izveidotu sāknējamu USB zibatmiņu

14.1.5) Pēc tam izslēdziet augšējo līniju, ievietojiet zibatmiņas disku USB portā, pievienojiet konsoles kabeli, izmantojot COM portu, ar ierīci un iespējojiet SMS. Instalēšanas process notiek automātiski. Noklusējuma IP adrese — 192.168.1.1/24un pieteikšanās informāciju admin/admin.

14.1.6.) Nākamais solis ir izveidot savienojumu ar tīmekļa saskarni Gaia portālā (noklusējuma adrese https://192.168.1.1), kur veicat ierīces inicializēšanu. Inicializācijas laikā jūs būtībā nospiediet Tālāk, jo gandrīz visus iestatījumus var mainīt nākotnē. Tomēr jūs varat nekavējoties mainīt IP adresi, DNS iestatījumus un resursdatora nosaukumu.

14.2) Ja jums ir virtuāla SMS

14.2.1) Nekādā gadījumā neizdzēsiet veco SMS; izveidojiet jaunu virtuālo mašīnu ar tiem pašiem resursiem (CPU, RAM, HDD) un to pašu IP adresi. Starp citu, jūs varat pievienot RAM un HDD, jo R80.40 versija ir nedaudz prasīgāka. Lai izvairītos no IP adrešu konfliktiem, izslēdziet veco SMS un sāciet instalēt jaunu.

14.2.2) Gaia instalēšanas laikā konfigurējiet pašreizējo IP adresi un atlasiet direktoriju / Root pietiekami daudz vietas. Jūsu katalogu procentuālajai daļai ir jābūt aptuveni izdzīvot, izmantojiet izvadi df-h.

15) Uzstādīšanas veida izvēles brīdī "Instalācijas veids" izvēlieties pirmo opciju, jo, visticamāk, jums nav MDS (vairāku domēnu servera). Ja PNT, jūs vienlaikus pārvaldījāt daudzus domēnus no dažādām SMS entītijām. Šajā gadījumā jums vajadzētu izvēlēties otro vienumu.

15. attēls. Gaia instalācijas veida izvēle

16) Vissvarīgākais punkts, ko nevar labot bez atkārtotas instalēšanas, ir entītijas izvēle. Vajadzētu izvēlēties Drošības vadība un nospiediet Nākamo. Viss pārējais ir pēc noklusējuma.

16. attēls. Entītijas veida izvēle, instalējot Gaia

17) Kad ierīce ir atsāknēta, izveidojiet savienojumu ar tīmekļa saskarni, izmantojot https://192.168.1.1 vai citu IP adresi, ja to mainījāt.

18) Pārsūtiet iestatījumus no ekrānuzņēmumiem uz visām Gaia portāla cilnēm, kurās kaut kas tika konfigurēts, vai palaidiet komandu no clish slodzes konfigurācija .txt. Šis konfigurācijas fails vispirms ir jāaugšupielādē SMS.

Piezīme: Sakarā ar to, ka OS ir jauna, WinSCP neļaus jums izveidot savienojumu kā administratoram, mainīt lietotāja apvalku uz /bin/bash ne tīmekļa saskarnē cilnē Lietotāji, ne ievadot komandu chsh –s /bin/bash vai izveidot jaunu lietotāju.

19) Augšupielādējiet failu ar eksportētām politikām no vecā pārvaldības servera uz jebkuru direktoriju. Pēc tam pārejiet uz konsoli eksperta režīmā un pārbaudiet, vai MD5 jaucējkods atbilst iepriekšējam. Pretējā gadījumā eksportēšana jāveic vēlreiz:

md5sum / / .tgz

20) Atkārtojiet 6. darbību un instalējiet jaunināšanas rīkus jaunajā īsziņā Gaia portāla cilnē. Jauninājumi (CPUSE) > Statuss un darbības.

21) Ievadiet komandu eksperta režīmā:

./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz

17. attēls. Drošības politikas importēšana uz jaunu SMS

22) Iespējojiet pakalpojumus ar komandu cpstart.

23) Lejupielādējiet jaunu SmartConsole R80.40 un izveidojiet savienojumu ar pārvaldības serveri. Iet uz Izvēlne > Pārvaldīt licences un pakotnes (SmartUpdate) un pārbaudiet, vai jums joprojām ir licence.

18. attēls. Instalēto licenču pārbaude

24) Iestatiet vārtejas vai klastera drošības politiku - Instalēšanas politika.

Drošības vārtejas (SG) atjauninājums

Drošības vārteju var atjaunināt, izmantojot CPUSE, tāpat kā pārvaldības serveri, vai instalēt vēlreiz - svaigu instalēt. Pēc manas pieredzes, 99% gadījumu visi pārinstalē Security Gateway, jo tas aizņem gandrīz tikpat daudz laika kā atjaunināšana, izmantojot CPUSE, bet jūs saņemat tīru, atjauninātu OS bez kļūdām.

Pēc analoģijas ar SMS vispirms ir jāizveido dublējums un momentuzņēmums, kā arī jāsaglabā iestatījumi no portāla Gaia. Skatiet sadaļas 1., 2. un 3. punktu "Drošības pārvaldības servera atjauninājums".

Atjaunināšana, izmantojot CPUSE

Drošības vārtejas atjaunināšana, izmantojot CPUSE, ir tieši tāda pati kā drošības pārvaldības servera atjaunināšana, tāpēc, lūdzu, skatiet raksta sākumu.

Svarīgs punkts: nepieciešams SG atjauninājums reboots! Tāpēc atjauniniet apkopes perioda laikā. Ja jums ir klasteris, vispirms jauniniet pasīvo mezglu, pēc tam mainiet lomas un jauniniet otru mezglu. Klastera gadījumā var izvairīties no apkopes logiem.

Jaunas OS versijas instalēšana vietnē Security Gateway

1.1) Ja jums ir īsts SG

1.1.1) Izmantojot Izomorfs rīks tiek izveidots sāknējams USB zibatmiņas disks ar attēlu Gaia R80.40. Attēls ir tāds pats kā SMS, taču sāknēšanas zibatmiņas diska izveides procedūra izskatās nedaudz atšķirīga.

1.1.2) Iesaku sagatavot vismaz 2 bootable flash drives, jo gadās, ka zibatmiņas disks ne vienmēr ir lasāms.

1.1.3) Kā datora administrators palaidiet ISOmorphic.exe. 1. darbībā atlasiet lejupielādēto Gaia R80.40 attēlu, 4. darbībā atlasiet zibatmiņas disku. Mainiet 2. un 3. punktu nē!

19. attēls. Sāknējama USB zibatmiņas diska izveide

1.1.4) Atlasiet vienumu "Instalēt automātiski bez apstiprinājuma", un ir svarīgi norādīt drošības vārtejas modeli - 2. vai 3. rindiņa. Ja šī ir fiziska smilšu kaste (SandBlast Appliance), tad izvēlieties 5. rindu.

20. attēls. Ierīces modeļa izvēle, lai izveidotu sāknējamu USB zibatmiņu

1.1.5) Pēc tam izslēdziet augšējo līniju, ievietojiet zibatmiņas disku USB portā, pievienojiet konsoles kabeli caur COM portu ierīcei un ieslēdziet vārteju. Instalēšanas process notiek automātiski. Noklusējuma IP adrese — 192.168.1.1/24un pieteikšanās informāciju admin/admin. Vispirms jums vajadzētu atjaunināt pasīvais mezgls, pēc tam instalējiet tajā politiku, mainiet lomas un pēc tam atjauniniet citu mezglu. Visticamāk, jums būs nepieciešams apkopes logs.

1.1.6) Nākamais solis ir izveidot savienojumu ar tīmekļa saskarni Gaia portālā, kur veicat pirmo ierīces inicializēšanu. Inicializācijas laikā jūs būtībā nospiediet Tālāk, jo gandrīz visus iestatījumus var mainīt nākotnē. Tomēr jūs varat nekavējoties mainīt IP adresi, DNS iestatījumus un resursdatora nosaukumu.

1.2) Ja jums ir virtuāls SG

1.2.1) Izveidojiet jaunu virtuālo mašīnu ar tādiem pašiem resursiem (CPU, RAM, HDD) vai vairāk, jo R80.40 versija ir nedaudz prasīgāka. Lai izvairītos no IP adrešu konflikta, izslēdziet veco vārteju un sāciet instalēt jaunu ar tādu pašu IP adresi. Veco SG var droši izdzēst, jo tajā nav nekā vērtīga, jo visas svarīgākās lietas - drošības politika - atrodas pārvaldības serverī.

1.2.2) OS instalēšanas laikā konfigurējiet pašreizējo IP adresi un atlasiet direktoriju / Root pietiekami daudz vietas.

3) Izveidojiet savienojumu ar vārteju, izmantojot HTTPS portu, un sāciet inicializācijas procesu. Uzstādīšanas veida izvēles brīdī "Instalācijas veids" atlasiet pirmo opciju - Security Gateway un/vai Security Management.

21. attēls. Gaia instalācijas veida izvēle

4) Vissvarīgākais ir entītijas (Produktu) izvēle. Vajadzētu izvēlēties Drošības vārteja un, ja jums ir kopa, atzīmējiet izvēles rūtiņu “Vienība ir klastera daļa, tips: ClusterXL”. Ja jums ir VRRP klasteris, izvēlieties šo veidu, taču tas ir maz ticams.

22. attēls. Entītijas veida izvēle, instalējot Gaia

5) Nākamajā darbībā iestatiet SIC vienreizējo paroli, lai izveidotu uzticību pārvaldības serverim. Izmantojot šo paroli, tiek ģenerēts sertifikāts, un pārvaldības serveris sazināsies ar vārteju, izmantojot šifrētu sakaru kanālu. Atzīme “Pieslēgties savai vadībai kā pakalpojumam” jāiestata, ja pārvaldības serveris atrodas mākonī. Mēs par to nesen rakstījām raksts un cik ērts un vienkāršs ir mākoņa pārvaldības serveris.

23. attēls. SIC izveide

6) Sāciet inicializācijas procesu nākamajā cilnē. Tiklīdz ierīce tiek atsāknēta, izveidojiet savienojumu ar tīmekļa saskarni un pārsūtiet iestatījumus no ekrānuzņēmumiem uz visām Gaia portāla cilnēm, kurās kaut kas tika konfigurēts, vai palaidiet komandu no clish. slodzes konfigurācija .txt. Šis konfigurācijas fails vispirms ir jāaugšupielādē drošības vārtejā.

7) Atvērt SmartConsole R80.40 un dodieties uz tikko atkārtoti instalēto drošības vārtejas objektu. Atveriet cilni Vispārīgi rekvizīti > Sakari > Atiestatīt SIC un ievadiet 5. darbībā norādīto paroli.

24. attēls. Uzticības izveide, izmantojot jauno drošības vārteju

8) Jāmaina objekta Gaia versija, ja nemainās, tad maini manuāli. Pēc tam instalējiet politiku vārtejā.

9) Portālā Gaia atveriet cilni Jauninājumi (CPUSE) > Statuss un darbības > Labojumfaili un instalējiet jaunāko labojumfailu. Ierīce tiks ieslēgta atsāknēšana uzstādīšanas laikā!

10) Klastera gadījumā mainiet mezglu lomas un veiciet tās pašas darbības citam mezglam.

Secinājums

Es mēģināju izveidot visskaidrāko un visaptverošāko rokasgrāmatu par jaunināšanu no versijas R80.20/R80.30 uz pašreizējo R80.40, jo daudz kas ir mainījies. Versija Gaia R81 jau ir parādījies demonstrācijas režīmā, taču atjaunināšanas procedūra paliek vairāk vai mazāk identiska. Ierēdņa vadībā vadīt no Check Point visas detaļas varat noskaidrot pats.

Jebkuru jautājumu gadījumā varat sazināties ar mums. Mēs ar prieku palīdzēsim ar vissarežģītākajiem atjauninājumiem un gadījumiem mūsu tehniskā atbalsta ietvaros CPS atbalsts. Arī uz mūsu Tiešsaistē ir iespējams pasūtīt Check Point iestatījumu auditu vai atstāt to bez maksas pieteikumu tehniskai lietai.

Liela materiālu izvēle vietnē Check Point no TS Solution. Sekojiet līdzi (Telegram, Facebook, VK, TS risinājumu emuārs, Yandex Zen).

Avots: www.habr.com

Check Point jaunināšanas procedūra no R80.20/R80.30 uz R80.40

Drošības pārvaldības servera (SMS) atjauninājums

Drošības vārtejas (SG) atjauninājums

Secinājums

Pievieno komentāru Atcelt atbildi