BolеFör två år sedan skrev vi att alla Check Point-administratörer förr eller senare står inför problemet med att uppdatera till en ny version. I denna en uppgradering från version R77.30 till R80.10 beskrevs. Förresten, i januari 2020 blev R77.30 en certifierad version av FSTEC. Mycket har dock förändrats på Check Point på 2 år. I artikeln "” beskriver alla innovationer, som det finns många av. Den här artikeln kommer att beskriva uppdateringsproceduren så detaljerat som möjligt.
Som ni vet finns det två alternativ för att implementera Check Point: Fristående och distribuerad, det vill säga utan en dedikerad hanteringsserver och med en dedikerad. Det distribuerade alternativet rekommenderas starkt av flera anledningar:
-
belastningen på gatewayresurserna minimeras;
-
Du behöver inte schemalägga ett underhållsfönster för att fungera på hanteringsservern;
-
adekvat drift av SmartEvent, eftersom det är osannolikt att det fungerar i den fristående versionen;
-
Det rekommenderas starkt att bygga ett kluster av gateways i den distribuerade konfigurationen.
Med tanke på alla fördelar med den distribuerade konfigurationen kommer vi att överväga att uppgradera hanteringsservern och säkerhetsgatewayen separat.
Uppdatering av Security Management Server (SMS).
Det finns två sätt att uppdatera SMS:
-
via CPUSE (via Gaia Portal)
-
med hjälp av migreringsverktyg (ren installation krävs - ny installation)
Uppdatering med CPUSE rekommenderas inte av Check Point-kollegor eftersom det inte kommer att uppdatera din filsystemsversion och kärna. Denna metod kräver dock inte migrering av policyer och är mycket snabbare och enklare än den andra metoden.
En ren installation och migrering av policyer med hjälp av migreringsverktyg är den rekommenderade metoden. Förutom det nya filsystemet och OS-kärnan händer det ofta att SMS-databasen blir igensatt, och en ren installation i detta avseende är en utmärkt lösning för att öka hastigheten på servern.
1) Det första steget i en uppdatering är att skapa säkerhetskopior och ögonblicksbilder. Om du har en fysisk hanteringsserver bör en säkerhetskopia göras från Gaia Portals webbgränssnitt. Gå till fliken Underhåll > Systemsäkerhetskopiering > Säkerhetskopiering. Därefter anger du platsen för att spara säkerhetskopian. Detta kan vara en SCP-, FTP-, TFTP-server eller lokalt på enheten, men då måste du ladda upp denna säkerhetskopia till en server eller dator senare.
Figur 1. Skapa en säkerhetskopia i Gaia Portal
2) Därefter ska du ta en ögonblicksbild på fliken Underhåll → Snapshot Management → Nytt. Skillnaden mellan säkerhetskopior och ögonblicksbilder är att ögonblicksbilder lagrar mer information, inklusive alla installerade snabbkorrigeringar. Det är dock bättre att göra båda.
Om din hanteringsserver är installerad som en virtuell maskin, rekommenderas det att du gör en säkerhetskopia av den virtuella maskinen med hjälp av de inbyggda hypervisorverktygen. Det är helt enkelt snabbare och mer pålitligt.
Figur 2. Skapa en ögonblicksbild i Gaia Portal
3) Spara enhetskonfigurationen från Gaia Portal. Du kan skärmdumpa alla inställningsflikar som finns i Gaia Portal, eller ange kommandot från Clish spara konfiguration. Ta sedan filen till din PC med WinSCP eller en annan klient.
Figur 3. Spara konfigurationen i en textfil)
Notera: om WinSCP inte tillåter dig att ansluta, ändra användarskalet till /bin/bash antingen i webbgränssnittet på fliken Användare eller genom att ange kommandot chsh –s /bin/bash.
Uppdaterar med CPUSE
4) De första 3 stegen är obligatoriska för alla uppdateringsalternativ. Om du bestämmer dig för att ta en enklare uppdateringsväg, gå till fliken i webbgränssnittet Uppgraderingar (CPUSE) > Status och åtgärder > Huvudversioner > Check Point R80.40 Gaia Fresh Installation and Upgrade. Högerklicka på den här uppdateringen och välj Bekräftare. Verifieringsprocessen startar i några minuter, varefter du ser ett meddelande om att enheten kan uppdateras. Om du ser fel måste de rättas till.
Figur 4. Uppdatering via CPUSE
5) Uppdatera till den senaste versionen av CDT (Central Deployment Tool) - ett verktyg som körs på hanteringsservern och låter dig installera uppdateringar, servicepack, hantera säkerhetskopior, ögonblicksbilder, skript och mycket mer. En inaktuell CDT-version kan orsaka problem med uppdateringen. Du kan ladda ner CDT på .
6) Efter att ha placerat det nedladdade arkivet på SMS i valfri katalog via WinSCP, anslut via SSH till SMS och gå in i expertläge. Låt mig påminna dig om att WinSCP-användaren måste ha ett skal / bin / bash!
7) Ange kommandon:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Figur 5. Installera Central Deployment Tool (CDT)
8) Nästa steg är att installera R80.40-bilden. Högerklicka på uppdatera Ladda ner, sedan Installera. Tänk på att uppdateringen tar 20-30 minuter och att hanteringsservern kommer att vara otillgänglig under en tid. Därför är det vettigt att komma överens om ett servicefönster.
9) Alla licenser och säkerhetspolicyer sparas, så härnäst bör du ladda ner en ny .
10) Anslut till SMS nya SmartConsole och ställ in säkerhetspolicyer. Knapp Installationspolicy i det övre vänstra hörnet.
11) Ditt SMS har uppdaterats, då bör du installera den senaste snabbkorrigeringen. I fliken Uppgraderingar (CPUSE) > Status och åtgärder > Snabbkorrigeringar klicka på höger musknapp Bekräftaredå Installera uppdatering. Enheten kommer att starta om sig själv efter installation av uppdateringen.
Figur 6. Installera den senaste snabbkorrigeringen via CPUSE
Uppdatering med migreringsverktyg
4) Först bör du också uppdatera till den senaste versionen av CDT - punkterna 5, 6, 7 från avsnitt "Uppdatera med CPUSE."
5) Installera paketet Migration Tools som krävs för att migrera policyer från hanteringsservern. Enligt det här du kan hitta migreringsverktyg för versioner: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Du bör ladda ner Migration Tools för versionen som du vill uppdatera till, och inte den du har nu! I vårt fall är det R80.40.
6) Gå sedan till fliken i SMS-webbgränssnittet Uppgraderingar (CPUSE) > Status och åtgärder > Importera paket > Bläddra > Välj den nedladdade filen > Importera.
Figur 7. Importera migreringsverktyg
7) Från expertläge på SMS, kontrollera att Migration Tools-paketet är installerat med kommandot (utdata från kommandot måste matcha numret i namnet på Migration Tools-arkivet):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figur 8. Verifiera installationen av migreringsverktyg
8) Gå till mappen $FWDIR/scripts på hanteringsservern:
cd $FWDIR/skript
9) Kör föruppgraderingsverifieraren med kommandot (om det finns fel, korrigera dem innan ytterligare steg):
./migrate_server verifiera -v R80.40
Notera: om du ser ett fel "Det gick inte att hämta Upgrade Tools-paketet", men du har kontrollerat att arkivet lyckades importeras (se punkt 4), använd kommandot:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figur 9. Köra verifieringsskriptet
10) Exportera säkerhetspolicyer med kommandot:
./migrate_server export -v R80.40 / / .tgz
Figur 10. Exportera en säkerhetspolicy
Notera: om du ser ett fel "Det gick inte att hämta Upgrade Tools-paketet", men du har kontrollerat att arkivet lyckades importeras (steg 7), använd kommandot:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Beräkna MD5-hashsumman och spara utdata från kommandot:
md5sum / / .tgz
Figur 11. Beräknar MD5-hashsumma
12) Använd WinSCP, flytta den här filen till din dator.
13) Ange kommandot df -h och spara dig själv procentandelen kataloger baserat på det upptagna utrymmet.
Figur 12. Andel kataloger per SMS
14.1) Om du har ett riktigt SMS
14.1.1) Använda ett startbart USB-minne med en bild skapas .
14.1.2) Jag rekommenderar att du förbereder minst 2 startbara flashenheter, eftersom det händer att flashenheten inte alltid är läsbar.
14.1.3) Kör som administratör på din dator ISOmorphic.exe. I steg 1 väljer du den nedladdade bilden av Gaia R80.40, i steg 4 flashenheten. Ändra punkterna 2 och 3 gör det inte!
Figur 13. Skapa en startbar USB-flashenhet
14.1.4) Välj ett objekt "Installera automatiskt utan bekräftelse" och det är viktigt att specificera modellen för din hanteringsserver. Vid SMS ska du välja rad 3 eller 4.
Figur 14. Välja en enhetsmodell för att skapa ett startbart USB-minne
14.1.5) Därefter stänger du av upline, sätter in flashminnet i USB-porten, ansluter konsolkabeln via COM-porten till enheten och aktiverar SMS. Installationsprocessen sker automatiskt. Standard IP-adress - 192.168.1.1/24och inloggningsinformation admin / admin.
14.1.6) Nästa steg är att ansluta till webbgränssnittet på Gaia Portal (standardadress ), där du går igenom enhetsinitiering. Under initialiseringen trycker du i princip Härnäst eftersom nästan alla inställningar kan ändras i framtiden. Du kan dock omedelbart ändra IP-adressen, DNS-inställningarna och värdnamnet.
14.2) Om du har virtuella SMS
14.2.1) Under inga omständigheter bör du radera det gamla SMS:et, skapa en ny virtuell maskin med samma resurser (CPU, RAM, HDD) och samma IP-adress. Förresten kan du lägga till RAM och hårddisk, eftersom R80.40-versionen är lite mer krävande. För att undvika IP-adresskonflikter, stäng av det gamla SMS:et och börja installera ett nytt.
14.2.2) Under installationen av Gaia, konfigurera den aktuella IP-adressen och välj en katalog /rot tillräckligt med utrymme. Andelen kataloger du har bör vara ungefär överleva, använd utdata df -h.
15) Vid tidpunkten för val av typ av installation "Installationstyp" välj det första alternativet, eftersom du troligen inte har MDS (Multi-Domain Server). Om MDS hanterade du många domäner från olika SMS-enheter samtidigt. I det här fallet bör du välja det andra alternativet.
Figur 15. Välja installationstyp för Gaia
16) Den viktigaste punkten som inte kan korrigeras utan ominstallation är valet av enhet. Borde välja Säkerhetshantering och klicka Nästa. Allt annat är som standard.
Figur 16. Välja en enhetstyp när du installerar Gaia
17) När enheten har startat om, anslut till webbgränssnittet med eller en annan IP-adress om du ändrade den.
18) Överför inställningarna från skärmbilderna till alla Gaia Portal-flikar där något konfigurerats, eller kör kommandot från clish ladda konfiguration .Text. Denna konfigurationsfil måste först laddas upp till SMS.
Notera: På grund av att operativsystemet är nytt kommer WinSCP inte att tillåta dig att ansluta som administratör, ändra användarskalet till /bin/bash antingen i webbgränssnittet på fliken Användare eller genom att ange kommandot chsh –s /bin/bash eller skapa en ny användare.
19) Ladda upp filen med exporterade policyer från den gamla hanteringsservern till valfri katalog. Gå sedan till konsolen i expertläge och kontrollera att MD5-hashmängden matchar den föregående. Annars bör exporten göras igen:
md5sum / / .tgz
20) Upprepa steg 6 och installera Uppgraderingsverktyg på det nya SMS:et i Gaia Portal på fliken Uppgraderingar (CPUSE) > Status och åtgärder.
21) Ange kommandot i expertläge:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figur 17. Importera en säkerhetspolicy till ett nytt SMS
22) Aktivera tjänster med kommandot cpstart.
23) Ladda ner en ny och anslut till hanteringsservern. Gå till Meny > Hantera licenser och paket (SmartUpdate) och kontrollera att du fortfarande har din licens.
Figur 18. Kontrollera installerade licenser
24) Ställ in säkerhetspolicyn på gatewayen eller klustret - Installationspolicy.
Uppdatering av säkerhetsgateway (SG).
Security Gateway kan uppdateras via CPUSE, precis som hanteringsservern, eller installeras igen - ny installation. Av min erfarenhet, i 99% av fallen, installerar alla om Security Gateway på grund av att det tar nästan samma tid som uppdatering via CPUSE, men du får ett rent, uppdaterat OS utan buggar.
I analogi med SMS måste du först skapa en säkerhetskopia och ögonblicksbild, och även spara inställningarna från Gaia Portal. Se punkterna 1, 2 och 3 i avsnittet "Security Management Server Update".
Uppdaterar med CPUSE
Att uppdatera Security Gateway via CPUSE är exakt samma sak som att uppdatera Security Management Server, så se början av artikeln.
Viktig punkt: SG-uppdatering kräver omstarter! Uppdatera därför under underhållsfönstret. Om du har ett kluster, uppgradera den passiva noden först, byt sedan roller och uppgradera den andra noden. Vid ett kluster kan underhållsfönster undvikas.
Installerar en ny OS-version på Security Gateway
1.1) Om du har en riktig SG
1.1.1) Använda ett startbart USB-minne med en bild skapas . Bilden är densamma som på SMS, men proceduren för att skapa en startbar flashenhet ser lite annorlunda ut.
1.1.2) Jag rekommenderar att du förbereder minst 2 startbara flashenheter, eftersom det händer att flashenheten inte alltid är läsbar.
1.1.3) Kör som administratör på din dator ISOmorphic.exe. I steg 1 väljer du den nedladdade bilden av Gaia R80.40, i steg 4 flashenheten. Ändra punkterna 2 och 3 gör det inte!
Figur 19. Skapa en startbar USB-flashenhet
1.1.4) Välj ett objekt "Installera automatiskt utan bekräftelse", och det är viktigt att ange modellen för din Security Gateway - rad 2 eller 3. Om detta är en fysisk sandlåda (SandBlast Appliance), välj sedan rad 5.
Figur 20. Välja en enhetsmodell för att skapa ett startbart USB-minne
1.1.5) Därefter stänger du av upline, sätter in flashenheten i USB-porten, ansluter konsolkabeln via COM-porten till enheten och sätter på gatewayen. Installationsprocessen sker automatiskt. Standard IP-adress - 192.168.1.1/24och inloggningsinformation admin / admin. Du bör uppdatera först passiv nod, installera sedan en policy på den, byt roller och uppdatera sedan en annan nod. Du kommer troligen att behöva ett servicefönster.
1.1.6) Nästa steg är att ansluta till webbgränssnittet på Gaia Portal, där du går igenom den första initieringen av enheten. Under initialiseringen trycker du i princip Härnäst eftersom nästan alla inställningar kan ändras i framtiden. Du kan dock omedelbart ändra IP-adressen, DNS-inställningarna och värdnamnet.
1.2) Om du har en virtuell SG
1.2.1) Skapa en ny virtuell maskin med samma resurser (CPU, RAM, HDD) eller mer, eftersom R80.40-versionen är lite mer krävande. För att undvika en konflikt mellan IP-adresser, stäng av den gamla gatewayen och börja installera en ny med samma IP-adress. Den gamla SG kan säkert raderas, eftersom det inte finns något värdefullt på den, eftersom alla de viktigaste sakerna - säkerhetspolicyn - finns på hanteringsservern.
1.2.2) Under OS-installation, konfigurera den aktuella IP-adressen och välj en katalog /rot tillräckligt med utrymme.
3) Anslut till gatewayen via HTTPS-porten och påbörja initieringsprocessen. Vid tidpunkten för val av installationstyp "Installationstyp" välj det första alternativet - Security Gateway och/eller Security Management.
Figur 21. Välja installationstyp för Gaia
4) Den viktigaste punkten är valet av enhet (Produkter). Borde välja Säkerhetsgateway och, om du har ett kluster, markera rutan "Enheten är en del av ett kluster, typ: ClusterXL". Om du har ett VRRP-kluster, välj den här typen, men det är osannolikt.
Figur 22. Välja en enhetstyp när du installerar Gaia
5) I nästa steg ställer du in SIC-engångslösenordet för att skapa förtroende med hanteringsservern. Med detta lösenord genereras ett certifikat och hanteringsservern kommer att kommunicera med gatewayen via en krypterad kommunikationskanal. Bock "Anslut till din Management as a Service" bör ställas in om hanteringsservern är placerad i molnet. Vi skrev nyligen om detta och hur bekväm och enkel molnhanteringsservern är.
Figur 23. Skapande av SIC
6) Starta initieringsprocessen på nästa flik. Så snart enheten startar om, anslut till webbgränssnittet och överför inställningarna från skärmbilderna till alla Gaia Portal-flikar där något konfigurerats, eller kör kommandot från clish ladda konfiguration .Text. Den här konfigurationsfilen måste först laddas upp till säkerhetsgatewayen.
Notera: På grund av att operativsystemet är nytt kommer WinSCP inte att tillåta dig att ansluta som administratör, ändra användarskalet till /bin/bash antingen i webbgränssnittet på fliken Användare eller genom att ange kommandot chsh –s /bin/bash eller skapa en ny användare med detta skal.
7) Öppen och gå in i Security Gateway-objektet du just installerade om. Öppna fliken Allmänna egenskaper > Kommunikation > Återställ SIC och ange lösenordet som anges i steg 5.
Figur 24: Skapa förtroende med den nya säkerhetsgatewayen
8) Gaia-versionen av objektet bör ändras, om den inte ändras, ändra den manuellt. Installera sedan policyn på gatewayen.
9) Gå till fliken i Gaia Portal Uppgraderingar (CPUSE) > Status och åtgärder > Snabbkorrigeringar och installera den senaste snabbkorrigeringen. Enheten kommer att gå in starta om under installationen!
10) Om det finns ett kluster, ändra rollerna för noderna och gör samma steg för en annan nod.
Slutsats
Jag försökte göra den mest tydliga och heltäckande guiden för att uppgradera från version R80.20/R80.30 till nuvarande R80.40, eftersom mycket har förändrats. Version har redan dykt upp i demoläge, men uppdateringsproceduren förblir mer eller mindre identisk. Guidad av tjänstemannen från Check Point kan du ta reda på alla detaljer själv.
För eventuella frågor kan du kontakta oss. Vi hjälper gärna till med de mest komplexa uppdateringarna och fallen som en del av vår tekniska support . Även på vår det är möjligt att beställa en granskning av Check Point-inställningar eller lämna den gratis för ett tekniskt fall.
. Håll utkik (, , , , ).
Källa: will.com