BolеPred dvema letoma smo pisali, da se vsak skrbnik Check Pointa prej ali slej sooči s težavo posodobitve na novo različico. V tem opisana je bila nadgradnja z različice R77.30 na R80.10. Mimogrede, januarja 2020 je R77.30 postal certificirana različica FSTEC. Vendar se je v Check Pointu v 2 letih marsikaj spremenilo. V članku "” opisuje vse novosti, ki jih ni malo. Ta članek bo čim bolj podrobno opisal postopek posodobitve.
Kot veste, obstajata dve možnosti za implementacijo Check Pointa: samostojna in porazdeljena, to je brez namenskega strežnika za upravljanje in z namenskim. Možnost Distributed je zelo priporočljiva iz več razlogov:
-
obremenitev virov prehoda je zmanjšana;
-
Za delo na strežniku za upravljanje vam ni treba načrtovati obdobja vzdrževanja;
-
ustrezno delovanje SmartEventa, saj je malo verjetno, da bo deloval v samostojni različici;
-
Zelo priporočljivo je zgraditi gručo prehodov v porazdeljeni konfiguraciji.
Glede na vse prednosti porazdeljene konfiguracije bomo ločeno razmislili o nadgradnji strežnika za upravljanje in varnostnega prehoda.
Posodobitev strežnika za upravljanje varnosti (SMS).
SMS lahko posodobite na dva načina:
-
prek CPUSE (prek portala Gaia)
-
z uporabo orodij za selitev (potrebna je čista namestitev - sveža namestitev)
Kolegi iz Check Pointa ne priporočajo posodabljanja z uporabo CPUSE, saj s tem ne posodobite različice datotečnega sistema in jedra. Vendar pa ta metoda ne zahteva selitve pravilnikov in je veliko hitrejša in preprostejša od druge metode.
Priporočena metoda je čista namestitev in selitev pravilnikov z uporabo orodij za selitev. Poleg novega datotečnega sistema in jedra OS se pogosto zgodi, da pride do zamašitve baze podatkov SMS in čista namestitev je v tem pogledu odlična rešitev za povečanje hitrosti strežnika.
1) Prvi korak pri vsaki posodobitvi je ustvarjanje varnostnih kopij in posnetkov. Če imate fizični strežnik za upravljanje, morate narediti varnostno kopijo iz spletnega vmesnika portala Gaia. Pojdite na zavihek Vzdrževanje > Varnostno kopiranje sistema > Varnostno kopiranje. Nato določite lokacijo za shranjevanje varnostne kopije. To je lahko strežnik SCP, FTP, TFTP ali lokalno v napravi, vendar boste morali to varnostno kopijo pozneje naložiti v strežnik ali računalnik.
Slika 1. Ustvarjanje varnostne kopije na portalu Gaia
2) Nato naredite posnetek v zavihku Vzdrževanje → Upravljanje posnetkov → Novo. Razlika med varnostnimi kopijami in posnetki je v tem, da posnetki shranijo več informacij, vključno z vsemi nameščenimi hitrimi popravki. Vendar je bolje narediti oboje.
Če je vaš strežnik za upravljanje nameščen kot virtualni stroj, je priporočljivo narediti varnostno kopijo virtualnega stroja z uporabo vgrajenih orodij za hipervizor. Preprosto je hitrejši in zanesljivejši.
Slika 2. Ustvarjanje posnetka v portalu Gaia
3) Shranite konfiguracijo naprave s portala Gaia. Posnamete lahko zaslonske posnetke vseh zavihkov z nastavitvami, ki so na portalu Gaia, ali pa vnesete ukaz iz Clisha shrani konfiguracijo. Nato prenesite datoteko v svoj računalnik z uporabo WinSCP ali drugega odjemalca.
Slika 3. Shranjevanje konfiguracije v besedilno datoteko)
Obvestilo: če vam WinSCP ne dovoli povezave, spremenite uporabniško lupino v /bin/bash v spletnem vmesniku na zavihku Uporabniki ali tako, da vnesete ukaz chsh –s /bin/bash.
Posodabljanje s CPUSE
4) Prvi 3 koraki so obvezni za vsako možnost posodobitve. Če se odločite za enostavnejšo pot posodobitve, potem v spletnem vmesniku pojdite na zavihek Nadgradnje (CPUSE) > Stanje in dejanja > Glavne različice > Nova namestitev in nadgradnja Check Point R80.40 Gaia. Z desno miškino tipko kliknite to posodobitev in izberite Verifikator. Postopek preverjanja se bo začel nekaj minut, nato pa boste videli sporočilo, da je napravo mogoče posodobiti. Če vidite napake, jih je treba popraviti.
Slika 4. Posodobitev prek CPUSE
5) Posodobite na najnovejšo različico CDT (Central Deployment Tool) – pripomočka, ki deluje na upravljalnem strežniku in vam omogoča namestitev posodobitev, servisnih paketov, upravljanje varnostnih kopij, posnetkov, skriptov in še veliko več. Zastarela različica CDT lahko povzroči težave s posodobitvijo. CDT lahko prenesete na .
6) Po postavitvi prenesenega arhiva na SMS v katerem koli imeniku prek WinSCP, se prek SSH povežite s SMS in vstopite v strokovni način. Naj vas spomnim, da mora imeti uporabnik WinSCP lupino / bin / bash!
7) Vnesite ukaze:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Slika 5. Namestitev osrednjega orodja za uvajanje (CDT)
8) Naslednji korak je namestitev slike R80.40. Desni klik na posodobitev Prenesi, potem Namesti. Upoštevajte, da bo posodobitev trajala 20–30 minut, strežnik za upravljanje pa bo nekaj časa nedosegljiv. Zato se je smiselno dogovoriti za servisno okno.
9) Vse licence in varnostne politike so shranjene, zato bi morali prenesti novo .
10) Povežite se z novo konzolo SMS SmartConsole in nastavite varnostne politike. Gumb Namestitev pravilnika v zgornjem levem kotu.
11) Vaš SMS je bil posodobljen, potem bi morali namestiti najnovejši hitri popravek. V zavihku Nadgradnje (CPUSE) > Stanje in dejanja > Hitri popravki kliknite na desni gumb miške Verifier, potem Namestite posodobitev. Naprava se bo po namestitvi posodobitve znova zagnala.
Slika 6. Namestitev najnovejšega hitrega popravka prek CPUSE
Posodabljanje z orodji za selitev
4) Najprej morate tudi posodobiti na najnovejšo različico CDT - točke 5, 6, 7 iz razdelka "Posodobi z uporabo CPUSE."
5) Namestite paket orodij za selitev, potreben za selitev pravilnikov s strežnika za upravljanje. Glede na to najdete orodja za selitev za različice: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Prenesite orodja za selitev te različice na katerega želite posodobiti, in ne tega, ki ga imate zdaj! V našem primeru je to 80.40 Ran.
6) Nato v spletnem vmesniku SMS pojdite na zavihek Nadgradnje (CPUSE) > Stanje in dejanja > Uvozi paket > Prebrskaj > Izberite preneseno datoteko > Uvozi.
Slika 7. Uvažanje orodij za selitev
7) V strokovnem načinu na SMS preverite, ali je paket orodij za selitev nameščen z ukazom (izhod ukaza se mora ujemati s številko v imenu arhiva orodij za selitev):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Slika 8. Preverjanje namestitve orodij za selitev
8) Pojdite v mapo $FWDIR/scripts na strežniku za upravljanje:
cd $FWDIR/skripte
9) Zaženite preverjanje pred nadgradnjo z ukazom (če so napake, jih popravite pred nadaljnjimi koraki):
./migrate_server verify -v R80.40
Obvestilo: če vidite napako »Paketa orodij za nadgradnjo ni bilo mogoče pridobiti«, vendar ste preverili, da je bil arhiv uspešno uvožen (glej točko 4), uporabite ukaz:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Slika 9. Izvajanje skripta za preverjanje
10) Izvozite varnostne politike z ukazom:
./migrate_server export -v R80.40 / / .tgz
Slika 10. Izvoz varnostne politike
Obvestilo: če vidite napako »Paketa orodij za nadgradnjo ni bilo mogoče pridobiti«, vendar ste preverili, ali je bil arhiv uspešno uvožen (7. korak), uporabite ukaz:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Izračunajte zgoščeno vsoto MD5 in shranite izhod ukaza:
md5sum / / .tgz
Slika 11. Izračun zgoščene vsote MD5
12) Z WinSCP premaknite to datoteko v svoj računalnik.
13) Vnesite ukaz df -h in si prihranite odstotek imenikov glede na zaseden prostor.
Slika 12. Odstotek imenikov na SMS
14.1) V primeru, da imate pravi SMS
14.1.1) Uporaba ustvarjen je zagonski bliskovni pogon USB s sliko .
14.1.2) Priporočam, da pripravite vsaj 2 zagonska bliskovna pogona, saj se zgodi, da bliskovni pogon ni vedno berljiv.
14.1.3) Kot skrbnik v računalniku zaženite ISOmorphic.exe. V 1. koraku izberite preneseno sliko Gaia R80.40, v 4. koraku pa bliskovni pogon. Spremenite točki 2 in 3 ni potrebe!
Slika 13. Ustvarjanje zagonskega bliskovnega pogona USB
14.1.4) Izberite element »Namesti samodejno brez potrditve« in pomembno je, da določite model vašega strežnika za upravljanje. V primeru SMS-a morate izbrati vrstico 3 ali 4.
Slika 14. Izbira modela naprave za ustvarjanje zagonskega bliskovnega pogona USB
14.1.5) Nato izklopite povezavo navzgor, vstavite bliskovni pogon v vrata USB, priključite kabel konzole prek vrat COM na napravo in omogočite SMS. Postopek namestitve poteka samodejno. Privzeti naslov IP - 192.168.1.1/24in podatke za prijavo admin / skrbnik.
14.1.6) Naslednji korak je povezava s spletnim vmesnikom na portalu Gaia (privzeti naslov ), kjer greste skozi inicializacijo naprave. Med inicializacijo v bistvu pritisnete Naprej, ker je skoraj vse nastavitve mogoče spremeniti v prihodnosti. Lahko pa takoj spremenite naslov IP, nastavitve DNS in ime gostitelja.
14.2) V primeru, da imate virtualni SMS
14.2.1) Pod nobenim pogojem ne smete izbrisati starega SMS-a; ustvarite nov virtualni stroj z enakimi viri (CPU, RAM, HDD) in istim naslovom IP. Mimogrede, lahko dodate RAM in HDD, saj je različica R80.40 malo bolj zahtevna. Da bi se izognili konfliktom naslovov IP, izklopite stari SMS in začnite nameščati novega.
14.2.2) Med namestitvijo Gaie konfigurirajte trenutni naslov IP in izberite imenik / Korenina dovolj prostora. Odstotek imenikov, ki jih imate, bi moral biti približno preživeti, uporabite izhod df -h.
15) V trenutku izbire vrste namestitve "Vrsta namestitve" izberite prvo možnost, saj najverjetneje nimate MDS (Multi-Domain Server). Če je MDS, potem ste hkrati upravljali veliko domen iz različnih entitet SMS. V tem primeru bi morali izbrati drugo možnost.
Slika 15. Izbira vrste namestitve Gaia
16) Najpomembnejša točka, ki je ni mogoče popraviti brez ponovne namestitve, je izbira entitete. Moral bi izbrati Varnostno upravljanje in pritisnite Naslednji. Vse ostalo je privzeto.
Slika 16. Izbira vrste entitete pri namestitvi Gaie
17) Ko se naprava znova zažene, se povežite s spletnim vmesnikom z uporabo ali drug naslov IP, če ste ga spremenili.
18) Prenesite nastavitve s posnetkov zaslona na vse zavihke portala Gaia, v katerih je bilo nekaj konfigurirano, ali zaženite ukaz iz clish konfiguracijo obremenitve .txt. To konfiguracijsko datoteko je treba najprej naložiti v SMS.
Obvestilo: Zaradi dejstva, da je OS nov, vam WinSCP ne bo dovolil, da se povežete kot skrbnik, spremenite uporabniško lupino v /bin/bash bodisi v spletnem vmesniku na zavihku Uporabniki bodisi z vnosom ukaza chsh –s /bin/bash ali ustvarite novega uporabnika.
19) Prenesite datoteko z izvoženimi pravilniki iz starega strežnika za upravljanje v kateri koli imenik. Nato pojdite na konzolo v strokovnem načinu in preverite, ali se znesek zgoščene vrednosti MD5 ujema s prejšnjim. V nasprotnem primeru je treba izvoz izvesti znova:
md5sum / / .tgz
20) Ponovite 6. korak in namestite orodja za nadgradnjo na nov SMS na portalu Gaia v zavihku Nadgradnje (CPUSE) > Stanje in dejanja.
21) V strokovnem načinu vnesite ukaz:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Slika 17. Uvoz varnostne politike v nov SMS
22) Omogoči storitve z ukazom cpstart.
23) Prenesite novo in se povežite s strežnikom za upravljanje. Pojdi do Meni > Upravljanje licenc in paketov (SmartUpdate) in preverite, ali imate še dovoljenje.
Slika 18. Preverjanje nameščenih licenc
24) Nastavite varnostno politiko na prehodu ali gruči - Namestitev pravilnika.
Posodobitev varnostnega prehoda (SG).
Varnostni prehod je mogoče posodobiti prek CPUSE, tako kot strežnik za upravljanje, ali znova namestiti - sveža namestitev. Po mojih izkušnjah v 99% primerov vsi ponovno namestijo varnostni prehod zaradi dejstva, da traja skoraj enako časa kot posodobitev prek CPUSE, vendar dobite čist, posodobljen OS brez napak.
Po analogiji s SMS morate najprej ustvariti varnostno kopijo in posnetek ter shraniti nastavitve s portala Gaia. Glejte točke 1, 2 in 3 v razdelku "Posodobitev strežnika za upravljanje varnosti".
Posodabljanje s CPUSE
Posodobitev varnostnega prehoda prek CPUSE je popolnoma enaka posodobitvi strežnika za upravljanje varnosti, zato glejte začetek članka.
Pomembna točka: potrebna je posodobitev SG vnovični zagon! Zato posodobite med vzdrževalnim obdobjem. Če imate gručo, najprej nadgradite pasivno vozlišče, nato zamenjajte vlogi in nadgradite drugo vozlišče. V primeru grozda se je mogoče izogniti vzdrževalnim oknom.
Namestitev nove različice OS na varnostni prehod
1.1) V primeru, da imate pravi SG
1.1.1) Uporaba ustvarjen je zagonski bliskovni pogon USB s sliko . Slika je enaka kot na SMS-u, vendar je postopek ustvarjanja zagonskega bliskovnega pogona nekoliko drugačen.
1.1.2) Priporočam, da pripravite vsaj 2 zagonska bliskovna pogona, saj se zgodi, da bliskovni pogon ni vedno berljiv.
1.1.3) Kot skrbnik v računalniku zaženite ISOmorphic.exe. V 1. koraku izberite preneseno sliko Gaia R80.40, v 4. koraku pa bliskovni pogon. Spremenite točki 2 in 3 ni potrebe!
Slika 19. Ustvarjanje zagonskega bliskovnega pogona USB
1.1.4) Izberite element "Namesti samodejno brez potrditve", in pomembno je, da navedete model vašega varnostnega prehoda - vrstici 2 ali 3. Če je to fizični peskovnik (SandBlast Appliance), izberite vrstico 5.
Slika 20. Izbira modela naprave za ustvarjanje zagonskega bliskovnega pogona USB
1.1.5) Nato izklopite povezavo navzgor, vstavite bliskovni pogon v vrata USB, priključite kabel konzole prek vrat COM na napravo in vklopite prehod. Postopek namestitve poteka samodejno. Privzeti naslov IP - 192.168.1.1/24in podatke za prijavo admin / skrbnik. Najprej bi morali posodobiti pasivno vozlišče, nato nanj namestite pravilnik, zamenjajte vloge in nato posodobite drugo vozlišče. Najverjetneje boste potrebovali servisno okno.
1.1.6) Naslednji korak je povezava s spletnim vmesnikom na portalu Gaia, kjer opravite prvo inicializacijo naprave. Med inicializacijo v bistvu pritisnete Naprej, ker je skoraj vse nastavitve mogoče spremeniti v prihodnosti. Lahko pa takoj spremenite naslov IP, nastavitve DNS in ime gostitelja.
1.2) V primeru, da imate virtualni SG
1.2.1) Ustvarite nov navidezni stroj z enakimi viri (CPE, RAM, HDD) ali več, saj je različica R80.40 malo bolj zahtevna. Da bi se izognili konfliktu naslovov IP, izklopite stari prehod in začnite nameščati novega z istim naslovom IP. Stari SG lahko mirno brišete, saj na njem ni nič vrednega, saj se vse najpomembnejše - varnostna politika - nahaja na upravljalnem strežniku.
1.2.2) Med namestitvijo OS konfigurirajte trenutni naslov IP in izberite imenik / Korenina dovolj prostora.
3) Povežite se s prehodom prek vrat HTTPS in začnite postopek inicializacije. V času izbire vrste namestitve "Vrsta namestitve" izberite prvo možnost - Varnostni prehod in/ali Upravljanje varnosti.
Slika 21. Izbira vrste namestitve Gaia
4) Najpomembnejša točka je izbira entitete (Produkti). Moral bi izbrati Varnostni prehod in če imate gručo, potrdite polje "Enota je del gruče, tip: ClusterXL". Če imate gručo VRRP, izberite to vrsto, vendar je malo verjetno.
Slika 22. Izbira vrste entitete pri namestitvi Gaie
5) V naslednjem koraku nastavite enkratno geslo SIC za vzpostavitev zaupanja s strežnikom za upravljanje. Z uporabo tega gesla se ustvari potrdilo in strežnik za upravljanje bo komuniciral s prehodom prek šifriranega komunikacijskega kanala. Kljukica »Povežite se s svojim upravljanjem kot storitvijo« je treba nastaviti, če je strežnik za upravljanje v oblaku. O tem smo pisali pred kratkim in kako priročen in preprost je strežnik za upravljanje v oblaku.
Slika 23. Ustvarjanje SIC
6) Zaženite postopek inicializacije na naslednjem zavihku. Takoj ko se naprava znova zažene, se povežite s spletnim vmesnikom in prenesite nastavitve s posnetkov zaslona na vse zavihke portala Gaia, v katerih je bilo nekaj konfigurirano, ali pa zaženite ukaz iz clish konfiguracijo obremenitve .txt. To konfiguracijsko datoteko je treba najprej naložiti na varnostni prehod.
Obvestilo: Zaradi dejstva, da je OS nov, vam WinSCP ne bo dovolil, da se povežete kot skrbnik, spremenite uporabniško lupino v /bin/bash bodisi v spletnem vmesniku na zavihku Uporabniki bodisi z vnosom ukaza chsh –s /bin/bash ali ustvarite novega uporabnika s to lupino.
7) Odprto in pojdite v objekt varnostnega prehoda, ki ste ga pravkar znova namestili. Odprite zavihek Splošne lastnosti > Komunikacija > Ponastavi SIC in vnesite geslo, določeno v 5. koraku.
Slika 24: Vzpostavljanje zaupanja z novim varnostnim prehodom
8) Različica Gaia predmeta se mora spremeniti, če se ne spremeni, jo spremenite ročno. Nato namestite pravilnik na prehod.
9) Na portalu Gaia pojdite na zavihek Nadgradnje (CPUSE) > Stanje in dejanja > Hitri popravki in namestite najnovejši hitri popravek. Naprava bo šla v znova zaženite med namestitvijo!
10) V primeru gruče spremenite vloge vozlišč in naredite enake korake za drugo vozlišče.
Zaključek
Poskušal sem narediti najbolj jasen in celovit vodnik za nadgradnjo z različice R80.20/R80.30 na trenutno R80.40, saj se je veliko spremenilo. Različica se je že pojavil v demo načinu, vendar ostaja postopek posodobitve bolj ali manj enak. Vodi ga uradnik od Check Pointa, lahko sami ugotovite vse podrobnosti.
Za vsa vprašanja nas lahko kontaktirate. Z veseljem vam bomo pomagali pri najzahtevnejših posodobitvah in primerih v okviru naše tehnične podpore . Tudi na našem je mogoče naročiti revizijo nastavitev Check Point ali jo pustiti brezplačno za tehnični primer.
. Ostani na vezi (, , , , ).
Vir: www.habr.com