Hallo collega's, welkom bij de les over het migreren van Check Point R77.30 naar R80.10-databases.
Bij het gebruik van Check Point-producten ontstaat vroeg of laat de taak om bestaande regels en objectdatabases te migreren om de volgende redenen:
- Wanneer u een nieuw apparaat aanschaft, moet u de database van het oude apparaat naar het nieuwe apparaat migreren (naar de huidige versie van GAIA OS of hoger).
- U moet uw apparaat upgraden van de ene versie van GAIA OS naar een hogere versie op uw lokale computer.
Om het eerste probleem op te lossen, is alleen het gebruik van een tool genaamd Management Server Migration Tool of simpelweg Migration Tool geschikt. Om probleem nr. 2 op te lossen, kan de CPUSE- of Migration Tool-oplossing worden gebruikt.
Vervolgens zullen we beide methoden in meer detail bekijken.
Update naar een nieuw apparaat
Databasemigratie omvat het installeren van de nieuwste versie van Management op een nieuwe machine en vervolgens het migreren van de database van de bestaande beveiligingsbeheerserver naar de nieuwe met behulp van de Migration Tool. Deze methode minimaliseert het risico van het bijwerken van een bestaande configuratie.
Om een database te migreren met behulp van de Migratietool, moet u voldoen aan vereisten:
- De vrije schijfruimte moet vijf keer groter zijn dan de archiefgrootte van de geëxporteerde database.
- De netwerkinstellingen op de doelserver moeten overeenkomen met die op de bronserver.
- Een back-up maken. De database moet worden geëxporteerd naar een externe server.
Het GAIA-besturingssysteem bevat al de Migratietool; deze kan worden gebruikt bij het importeren van een database of voor het migreren naar een versie van het besturingssysteem die identiek is aan de oorspronkelijke versie. Om de database naar een hogere versie van het besturingssysteem te migreren, moet u de migratietool van de juiste versie downloaden uit het gedeelte 'Tools' op de ondersteuningssite van Check Point R80.10: - Back-up en migratie van SmartEvent / SmartReporter Server. De 'backup'- en 'migrate export'-hulpprogramma's bevatten geen gegevens uit de SmartEvent-database / SmartReporter-database.
Voor back-up en migratie moet u de hulpprogramma's 'eva_db_backup' of 'evs_backup' gebruiken.
Opmerking: CheckPoint Knowledge Base-artikel sk110173.
Laten we eens kijken naar welke functies deze tool bevat:
Voordat u direct doorgaat met de gegevensmigratie, moet u eerst de gedownloade migratietool uitpakken in de map “/opt/CPsuite-R77/fw1/bin/upgrade_tools/ ”, moet het exporteren van de database worden gedaan met behulp van opdrachten uit de map waarin u de tool hebt uitgepakt.
Voordat u de opdracht voor exporteren of importeren uitvoert, sluit u alle SmartConsole-clients of voert u cpstop uit op de Security Management Server.
Dat exportbestand maken beheerdatabases op de bronserver:
- Ga naar de expertmodus.
- Voer de pre-upgradeverifier uit: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10. Als er fouten zijn, corrigeer deze dan voordat u verdergaat.
- Uitvoeren: ./migrate export bestandsnaam.tgz. Met de opdracht exporteert u de inhoud van de Security Management Server-database naar een TGZ-bestand.
- Volg de instructies. De database wordt geëxporteerd naar het bestand dat u in de opdracht hebt genoemd. Zorg ervoor dat u het definieert als TGZ.
- Als SmartEvent op de bronserver is geïnstalleerd, exporteert u de gebeurtenisdatabase.
Vervolgens importeren we de beveiligingsserverdatabase die we hebben geëxporteerd. Voordat u begint: Installeer de R80 Security Management Server. Ik wil u eraan herinneren dat de netwerkinstellingen van de nieuwe Management Server R80.10 moeten overeenkomen met de instellingen van de oude server.
Dat configuratie importeren beheerserver:
- Ga naar de expertmodus.
- Breng (via FTP, SCP of iets dergelijks) het geëxporteerde configuratiebestand over naar de externe server, verzameld van de bron naar de nieuwe server.
- Ontkoppel de bronserver van het netwerk.
- Breng het configuratiebestand over van de externe server naar de nieuwe server.
- Bereken de MD5 voor het overgedragen bestand en vergelijk deze met de MD5 die op de oorspronkelijke server is berekend: # md5sum bestandsnaam.tgz
- Database importeren: ./migrate import bestandsnaam.tgz
- Controleren op updates.
Na afronding van punt 7 vatten we samen dat de databasemigratie met de Migratietool succesvol is verlopen; bij falen kunt u altijd de bronserver inschakelen, waardoor het werk op geen enkele wijze wordt beïnvloed.
Het is vermeldenswaard dat migratie vanaf een zelfstandige server niet wordt ondersteund.
Lokale update
CPUSE (Check Point Upgrade-service-engine) Maakt automatische updates van Check Point-producten voor Gaia OS mogelijk. Software-updatepakketten zijn onderverdeeld in categorieën, namelijk grote releases, kleine releases en hotfixes. Gaia vindt en geeft automatisch beschikbare software-updatepakketten en afbeeldingen weer die gerelateerd zijn aan de versie van het Gaia-besturingssysteem waarnaar u kunt upgraden. Met CPUSE kunt u een schone installatie van een nieuwe versie van GAIA OS uitvoeren, of een systeemupdate uitvoeren met databasemigratie.
Om te upgraden naar een hogere versie of een schone installatie uit te voeren met behulp van CPUSE, moet de machine voldoende vrije (niet-toegewezen) ruimte hebben - minimaal de grootte van de rootpartitie.
De upgrade naar de nieuwe versie wordt uitgevoerd op een nieuwe harde schijfpartitie en de "oude" partitie wordt geconverteerd naar Gaia Snapshot (de nieuwe partitieruimte wordt overgenomen van de niet-toegewezen ruimte op de harde schijf). Voordat u het systeem bijwerkt, zou het ook correct zijn om een momentopname te maken en deze naar een externe server te uploaden.
Update proces:
- Controleer het updatepakket (als u dat nog niet heeft gedaan) - controleer of dit pakket zonder conflicten kan worden geïnstalleerd: klik met de rechtermuisknop op het pakket - klik op "Verifier".
Het resultaat zou ongeveer zo moeten zijn:
- Installatie is toegestaan
- Upgraden is toegestaan
- Installeer het pakket: Klik met de rechtermuisknop op het pakket en klik op "Upgraden":
CPUSE toont de volgende waarschuwing in Gaia Portal: Na deze upgrade zal er automatisch opnieuw worden opgestart (bestaande OS-instellingen en de Check Point Database blijven behouden). - U zult de overeenkomstige voortgang van de gegevensmigratie zien na het upgraden naar R80.10:
- Producten upgraden
- Database importeren
- Producten configureren
- SIC-gegevens creëren
- Processen stoppen
- Processen starten
- Geïnstalleerd, zelftest geslaagd
- Het systeem wordt automatisch opnieuw opgestart
- Een beleid installeren in SmartConsole
Zoals u kunt zien, is alles heel eenvoudig; als er zich een probleem voordoet, kunt u teruggaan naar de oude instellingen met behulp van de momentopname die u hebt gemaakt.
Praktijk
De gepresenteerde videoles bevat een theoretisch en praktisch gedeelte. De eerste helft van de video is een kopie van het beschreven theoretische deel, en het praktische voorbeeld toont datamigratie met behulp van beide methoden.
Conclusie
In deze les hebben we gekeken naar Check Point-oplossingen voor het bijwerken en migreren van object- en regeldatabases. In het geval van een nieuw apparaat zijn er geen andere oplossingen dan het gebruik van de Migratietool. Als u GAIA OS wilt updaten en u heeft de wens en mogelijkheid om de machine opnieuw in te zetten, adviseert ons bedrijf, op basis van bestaande ervaringen, om de database te migreren met behulp van de Migratietool. Deze methode minimaliseert het risico van een upgrade naar een bestaande configuratie in vergelijking met CPUSE. Bovendien worden bij het updaten via CPUSE veel onnodige oude bestanden op schijf opgeslagen, en om deze te verwijderen is een extra tool nodig, wat extra stappen en nieuwe risico's met zich meebrengt.
Als je toekomstige lessen niet wilt missen, abonneer je dan op onze groep , и . Als u om welke reden dan ook het vereiste document niet kunt vinden of uw probleem niet kunt oplossen met Check Point, kunt u gerust contact opnemen .
Bron: www.habr.com