Migrácia z Check Point z R77.30 na R80.10

Ahoj kolegovia, vitajte v lekcii o migrácii databáz Check Point R77.30 na R80.10.

Pri používaní produktov Check Point skôr či neskôr vyvstane úloha migrovať existujúce pravidlá a databázy objektov z nasledujúcich dôvodov:

1. Pri kúpe nového zariadenia je potrebné migrovať databázu zo starého zariadenia do nového zariadenia (na aktuálnu verziu GAIA OS alebo vyššiu).
2. Musíte aktualizovať svoje zariadenie z jednej verzie operačného systému GAIA na vyššiu verziu na lokálnom počítači.

Na vyriešenie prvého problému je vhodné použiť iba nástroj s názvom Management Server Migration Tool alebo jednoducho Migration Tool. Na vyriešenie problému č. 2 je možné použiť riešenie CPUSE alebo Migration Tool.
Ďalej zvážime obe metódy podrobnejšie.

Aktualizujte na nové zariadenie

Migrácia databázy zahŕňa inštaláciu najnovšej verzie Managementu na nový počítač a následnú migráciu databázy z existujúceho servera na správu zabezpečenia na nový pomocou nástroja Migration Tool. Táto metóda minimalizuje riziko aktualizácie existujúcej konfigurácie.

Ak chcete migrovať databázu pomocou nástroja na migráciu, musíte sa stretnúť požiadavky:

1. Voľné miesto na disku musí byť 5-krát väčšie ako veľkosť archívu exportovanej databázy.
2. Nastavenia siete na cieľovom serveri sa musia zhodovať s nastaveniami na zdrojovom serveri.
3. Vytvorenie zálohy. Databázu je potrebné exportovať na vzdialený server.
   Operačný systém GAIA už nástroj Migration Tool obsahuje, možno ho použiť pri importe databázy alebo pri migrácii na verziu operačného systému identickú s pôvodnou. Ak chcete migrovať databázu na vyššiu verziu operačného systému, musíte si stiahnuť nástroj Migration Tool príslušnej verzie zo sekcie „Nástroje“ na stránke podpory Check Point R80.10:
4. Zálohovanie a migrácia SmartEvent / SmartReporter Server. Pomôcky „zálohovanie“ a „export migrácie“ nezahŕňajú údaje z databázy SmartEvent / databázy SmartReporter.
   Na zálohovanie a migráciu musíte použiť pomocné programy 'eva_db_backup' alebo 'evs_backup'.
   Poznámka: Článok databázy znalostí CheckPoint sk110173.

Pozrime sa, aké funkcie tento nástroj obsahuje:

Skôr než pristúpite priamo k migrácii údajov, musíte stiahnutý nástroj na migráciu najprv rozbaliť do priečinka „/opt/CPsuite-R77/fw1/bin/upgrade_tools/ ”, exportovanie databázy by sa malo vykonať pomocou príkazov z adresára, kde ste rozbalili nástroj.

Pred spustením príkazu na export alebo import zatvorte všetkých klientov SmartConsole alebo spustite cpstop na serveri správy zabezpečenia.

Že vytvoriť exportný súbor spravovanie databáz na zdrojovom serveri:

1. Vstúpte do expertného režimu.
2. Spustite overovač pred aktualizáciou: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10. Ak sa vyskytnú chyby, pred pokračovaním ich opravte.
3. Spustite: ./migrate export filename.tgz. Príkaz exportuje obsah databázy Security Management Server do súboru TGZ.
4. Nasleduj inštrukcie. Databáza sa exportuje do súboru, ktorý ste pomenovali v príkaze. Uistite sa, že ste ho definovali ako TGZ.
5. Ak je SmartEvent nainštalovaný na zdrojovom serveri, exportujte databázu udalostí.

Ďalej importujeme databázu bezpečnostného servera, ktorú sme exportovali. Skôr ako začnete: Nainštalujte R80 Security Management Server. Dovoľte mi pripomenúť, že sieťové nastavenia nového Management Server R80.10 sa musia zhodovať s nastaveniami starého servera.

Že importovať konfiguráciu server pre správu:

1. Vstúpte do expertného režimu.
2. Preneste (pomocou FTP, SCP alebo podobne) exportovaný konfiguračný súbor na vzdialený server, zhromaždený zo zdroja na nový server.
3. Odpojte zdrojový server od siete.
4. Preneste konfiguračný súbor zo vzdialeného servera na nový server.
5. Vypočítajte MD5 pre prenesený súbor a porovnajte ho s MD5, ktorý bol vypočítaný na pôvodnom serveri: # md5sum filename.tgz
6. Importovať databázu: ./migrate importovať názov súboru.tgz
7. Prebieha kontrola aktualizácie.

Po dokončení bodu 7 zhrnieme, že migrácia databázy pomocou nástroja Migration Tool prebehla úspešne, v prípade zlyhania je možné kedykoľvek zapnúť zdrojový server, v dôsledku čoho nebude práca nijako ovplyvnená.

Je potrebné poznamenať, že migrácia zo samostatného servera nie je podporovaná.

Miestna aktualizácia

CPUSE (servisný modul aktualizácie kontrolného bodu) Umožňuje automatické aktualizácie produktov Check Point pre operačný systém Gaia. Balíky aktualizácií softvéru sú rozdelené do kategórií, konkrétne hlavné vydania, menšie vydania a rýchle opravy. Gaia automaticky vyhľadá a zobrazí dostupné balíčky softvérových aktualizácií a obrázky, ktoré súvisia s verziou operačného systému Gaia, na ktorú môžete inovovať. Pomocou CPUSE môžete vykonať čistú inštaláciu novej verzie OS GAIA alebo vykonať aktualizáciu systému s migráciou databázy.

Ak chcete prejsť na vyššiu verziu alebo vykonať čistú inštaláciu pomocou CPUSE, počítač musí mať dostatok voľného (neprideleného) miesta – aspoň veľkosť koreňového oddielu.

Aktualizácia na novú verziu sa vykoná na novom oddiele pevného disku a „starý“ oddiel sa skonvertuje na Gaia Snapshot (priestor na novom oddiele sa odoberie z neprideleného miesta na pevnom disku). Pred aktualizáciou systému by tiež bolo správne urobiť snímku a nahrať ju na vzdialený server.

Proces aktualizácie:

1. Skontrolujte aktualizačný balík (ak ste tak ešte neurobili) – skontrolujte, či je možné tento balík nainštalovať bez konfliktov: kliknite pravým tlačidlom myši na balík – kliknite na „Overovateľ“.

   Výsledkom by malo byť niečo takéto:

   • Inštalácia je povolená
   • Upgrade je povolený
2. Nainštalujte balík: Kliknite pravým tlačidlom myši na balík a kliknite na „Aktualizovať“:
   CPUSE zobrazuje na portáli Gaia nasledujúce varovanie: Po tejto aktualizácii dôjde k automatickému reštartu (existujúce nastavenia operačného systému a databáza kontrolných bodov sú zachované).
3. Po inovácii na R80.10 uvidíte zodpovedajúci priebeh migrácie údajov:
   • Aktualizácia produktov
   • Importovanie databázy
   • Konfigurácia produktov
   • Vytváranie údajov SIC
   • Zastavenie procesov
   • Spúšťanie procesov
   • Nainštalované, samotest prešiel
4. Systém sa automaticky reštartuje
5. Inštalácia politiky v SmartConsole

Ako vidíte, všetko je veľmi jednoduché; ak sa vyskytne problém, môžete sa vrátiť k starým nastaveniam pomocou snímky, ktorú ste urobili.

Prax

Prezentovaná video lekcia obsahuje teoretickú a praktickú časť. Prvá polovica videa kopíruje opísanú teoretickú časť a praktický príklad ukazuje migráciu dát pomocou oboch metód.

Záver

V tejto lekcii sme sa pozreli na riešenia Check Point na aktualizáciu a migráciu databáz objektov a pravidiel. V prípade nového zariadenia neexistujú iné riešenia ako použitie nástroja na migráciu. Ak chcete aktualizovať OS GAIA a máte chuť a schopnosť stroj znovu nasadiť, naša spoločnosť na základe existujúcich skúseností odporúča migrovať databázu pomocou nástroja Migration Tool. Táto metóda minimalizuje riziko aktualizácie na existujúcu konfiguráciu v porovnaní s CPUSE. Pri aktualizácii cez CPUSE sa tiež na disk ukladá veľa nepotrebných starých súborov a na ich odstránenie je potrebný ďalší nástroj, ktorý so sebou prináša ďalšie kroky a nové riziká.

Ak nechcete zmeškať budúce lekcie, prihláste sa na odber našej skupiny VK, youtube и telegram. Ak sa vám z akéhokoľvek dôvodu nepodarilo nájsť požadovaný dokument alebo vyriešiť váš problém s Check Point, môžete nás bezpečne kontaktovať nám.

Zdroj: hab.com