Migracja z Check Point z R77.30 do R80.10

Witam kolegów, zapraszam na lekcję dotyczącą migracji baz danych Check Point R77.30 do R80.10.

Podczas korzystania z produktów firmy Check Point prędzej czy później pojawia się zadanie migracji istniejących reguł i baz obiektów z następujących powodów:

1. Kupując nowe urządzenie należy przeprowadzić migrację bazy danych ze starego urządzenia na nowe (do aktualnej wersji systemu operacyjnego GAIA lub wyższej).
2. Musisz zaktualizować swoje urządzenie z jednej wersji systemu operacyjnego GAIA do wyższej wersji na komputerze lokalnym.

Aby rozwiązać pierwszy problem, wystarczy użyć narzędzia o nazwie Management Server Migration Tool lub po prostu Migration Tool. Aby rozwiązać problem nr 2, można zastosować rozwiązanie CPUSE lub Migration Tool.
Następnie rozważymy obie metody bardziej szczegółowo.

Zaktualizuj do nowego urządzenia

Migracja bazy danych polega na zainstalowaniu najnowszej wersji Managementu na nowym komputerze, a następnie migracji bazy danych z istniejącego serwera zarządzania bezpieczeństwem na nowy za pomocą narzędzia Migration Tool. Metoda ta minimalizuje ryzyko aktualizacji istniejącej konfiguracji.

Aby przeprowadzić migrację bazy danych za pomocą narzędzia Migration Tool, należy spełnić wymagania wymagania:

1. Wolne miejsce na dysku musi być 5 razy większe niż rozmiar archiwum wyeksportowanej bazy danych.
2. Ustawienia sieciowe na serwerze docelowym muszą odpowiadać ustawieniom na serwerze źródłowym.
3. Tworzenie kopii zapasowej. Bazę danych należy wyeksportować na zdalny serwer.
   System operacyjny GAIA zawiera już Narzędzie Migration Tool, można go wykorzystać podczas importu bazy danych lub migracji do wersji systemu operacyjnego identycznej z pierwotną. W celu migracji bazy danych do wyższej wersji systemu operacyjnego należy pobrać narzędzie Migration Tool odpowiedniej wersji z sekcji „Narzędzia” na stronie pomocy technicznej Check Point R80.10:
4. Kopia zapasowa i migracja serwera SmartEvent / SmartReporter. Narzędzia „kopia zapasowa” i „migracja eksportu” nie uwzględniają danych z bazy danych SmartEvent / bazy danych SmartReporter.
   Do tworzenia kopii zapasowych i migracji należy użyć narzędzi „eva_db_backup” lub „evs_backup”.
   Uwaga: artykuł z bazy wiedzy CheckPoint sk110173.

Przyjrzyjmy się, jakie funkcje zawiera to narzędzie:

Przed przystąpieniem bezpośrednio do migracji danych należy najpierw rozpakować pobrane narzędzie migracji do folderu „/opt/CPsuite-R77/fw1/bin/upgrade_tools/ ”, eksport bazy danych należy wykonać za pomocą poleceń z katalogu, w którym rozpakowałeś narzędzie.

Przed uruchomieniem polecenia eksportu lub importu zamknij wszystkich klientów SmartConsole lub uruchom polecenie cpstop na serwerze Security Management Server.

Że utwórz plik eksportu zarządzanie bazami danych na serwerze źródłowym:

1. Wejdź w tryb eksperta.
2. Uruchom weryfikator przed aktualizacją: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10. Jeśli występują błędy, popraw je przed kontynuowaniem.
3. Uruchom: ./migrate eksport nazwapliku.tgz. Komenda eksportuje zawartość bazy danych Security Management Server do pliku TGZ.
4. Postępuj zgodnie z instrukcją. Baza danych zostanie wyeksportowana do pliku nazwanego w poleceniu. Upewnij się, że definiujesz go jako TGZ.
5. Jeśli na serwerze źródłowym zainstalowano SmartEvent, wyeksportuj bazę danych zdarzeń.

Następnie importujemy wyeksportowaną bazę danych serwera bezpieczeństwa. Zanim zaczniesz: Zainstaluj serwer zarządzania bezpieczeństwem R80. Przypominam, że ustawienia sieciowe nowego Management Server R80.10 muszą odpowiadać ustawieniom starego serwera.

Że zaimportuj konfigurację serwer zarządzający:

1. Wejdź w tryb eksperta.
2. Prześlij (poprzez FTP, SCP lub podobny) wyeksportowany plik konfiguracyjny na serwer zdalny, pobrany ze źródła na nowy serwer.
3. Odłącz serwer źródłowy od sieci.
4. Przenieś plik konfiguracyjny ze zdalnego serwera na nowy serwer.
5. Oblicz MD5 dla przesłanego pliku i porównaj z MD5 obliczonym na oryginalnym serwerze: # md5sum nazwapliku.tgz
6. Importuj bazę danych: ./migrate import nazwapliku.tgz
7. Sprawdzanie aktualizacji.

Po zakończeniu punktu 7 podsumowujemy, że migracja bazy danych przebiegła pomyślnie za pomocą narzędzia Migration Tool, w przypadku niepowodzenia zawsze można włączyć serwer źródłowy, dzięki czemu praca nie będzie w żaden sposób zakłócona.

Warto zaznaczyć, że migracja z serwera samodzielnego nie jest obsługiwana.

Aktualizacja lokalna

CPUSE (silnik usługi aktualizacji Check Point) Umożliwia automatyczne aktualizacje produktów Check Point dla systemu operacyjnego Gaia. Pakiety aktualizacji oprogramowania są podzielone na kategorie, a mianowicie wydania główne, wydania dodatkowe i poprawki Hotfix. Gaia automatycznie wyszukuje i wyświetla dostępne pakiety aktualizacji oprogramowania oraz obrazy powiązane z wersją systemu operacyjnego Gaia, do której możesz dokonać aktualizacji. Korzystając z CPUSE, możesz przeprowadzić czystą instalację nowej wersji systemu operacyjnego GAIA lub przeprowadzić aktualizację systemu z migracją bazy danych.

Aby dokonać aktualizacji do wyższej wersji lub przeprowadzić czystą instalację przy użyciu CPUSE, na komputerze musi być wystarczająca ilość wolnego (nieprzydzielonego) miejsca - co najmniej wielkości partycji root.

Aktualizacja do nowej wersji odbywa się na nowej partycji dysku twardego, a „stara” partycja jest konwertowana do Gaia Snapshot (miejsce nowej partycji jest pobierane z nieprzydzielonego miejsca na dysku twardym). Ponadto przed aktualizacją systemu dobrze byłoby zrobić migawkę i przesłać ją na zdalny serwer.

Proces aktualizacji:

1. Zweryfikuj pakiet aktualizacji (jeśli jeszcze tego nie zrobiłeś) - sprawdź, czy ten pakiet można zainstalować bez konfliktów: kliknij pakiet prawym przyciskiem myszy - kliknij "Weryfikator".

   Wynik powinien być mniej więcej taki:

   • Instalacja jest dozwolona
   • Aktualizacja jest dozwolona
2. Zainstaluj pakiet: Kliknij pakiet prawym przyciskiem myszy i kliknij „Uaktualnij”:
   CPUSE wyświetla następujące ostrzeżenie w Gaia Portal: Po tej aktualizacji nastąpi automatyczne ponowne uruchomienie (istniejące ustawienia systemu operacyjnego i baza danych Check Point zostaną zachowane).
3. Po aktualizacji do wersji R80.10 zobaczysz odpowiedni postęp migracji danych:
   • Uaktualnianie produktów
   • Importowanie bazy danych
   • Konfigurowanie produktów
   • Tworzenie danych SIC
   • Zatrzymywanie procesów
   • Uruchamianie procesów
   • Zainstalowano, autotest przeszedł pomyślnie
4. System automatycznie uruchomi się ponownie
5. Instalowanie polityki w SmartConsole

Jak widać, wszystko jest bardzo proste, jeśli pojawi się problem, możesz przywrócić stare ustawienia, korzystając z wykonanego zrzutu ekranu.

Praktyka

Prezentowana lekcja wideo zawiera część teoretyczną i praktyczną. Pierwsza połowa filmu powiela opisaną część teoretyczną, a przykład praktyczny pokazuje migrację danych obiema metodami.

wniosek

Podczas tej lekcji przyjrzeliśmy się rozwiązaniom firmy Check Point do aktualizacji i migracji baz danych obiektów i reguł. W przypadku nowego urządzenia nie ma innego rozwiązania niż skorzystanie z Narzędzia Migracyjnego. Jeśli chcesz zaktualizować system operacyjny GAIA i masz chęć i możliwość ponownego wdrożenia maszyny, nasza firma radzi, bazując na dotychczasowym doświadczeniu, przeprowadzić migrację bazy danych za pomocą narzędzia Migration Tool. Ta metoda minimalizuje ryzyko aktualizacji do istniejącej konfiguracji w porównaniu do CPUSE. Ponadto podczas aktualizacji za pomocą CPUSE na dysku zapisywanych jest wiele niepotrzebnych starych plików, a do ich usunięcia wymagane jest dodatkowe narzędzie, co pociąga za sobą dodatkowe kroki i nowe ryzyko.

Jeśli nie chcesz przegapić przyszłych lekcji, zapisz się do naszej grupy VK, youtube и Telegram. Jeśli z jakiegoś powodu nie udało Ci się znaleźć wymaganego dokumentu lub rozwiązać problemu z Check Point, możesz bezpiecznie się z nami skontaktować nas.

Źródło: www.habr.com