BolΠ΅Miaka miwili iliyopita, tuliandika kwamba kila msimamizi wa Check Point mapema au baadaye anakabiliwa na suala la kusasisha toleo jipya. Katika hili sasisho kutoka kwa toleo la R77.30 hadi R80.10 lilielezewa. Kwa njia, mnamo Januari 2020, R77.30 ikawa toleo la kuthibitishwa la FSTEC. Walakini, mengi yamebadilika katika Check Point katika miaka 2. Katika makala "β inaelezea ubunifu wote, ambao kuna wengi. Nakala hii itaelezea utaratibu wa sasisho kwa undani iwezekanavyo.
Kama unavyojua, kuna chaguzi 2 za kutekeleza Check Point: Iliyojitegemea na Inasambazwa, ambayo ni, bila seva ya usimamizi iliyojitolea na iliyojitolea. Chaguo la Kusambazwa linapendekezwa sana kwa sababu kadhaa:
-
mzigo kwenye rasilimali za lango hupunguzwa;
-
Sio lazima kupanga dirisha la matengenezo kufanya kazi kwenye seva ya usimamizi;
-
uendeshaji wa kutosha wa SmartEvent, kwani haiwezekani kufanya kazi katika toleo la Standalone;
-
Inapendekezwa sana kujenga nguzo ya lango katika usanidi uliosambazwa.
Kwa kuzingatia manufaa yote ya usanidi wa Usambazaji, tutazingatia kuboresha seva ya usimamizi na lango la usalama kando.
Sasisho la Seva ya Usimamizi wa Usalama (SMS).
Kuna njia 2 za kusasisha SMS:
-
kupitia CPUSE (kupitia Gaia Portal)
-
kwa kutumia Zana za Uhamiaji (usakinishaji safi unahitajika - usakinishaji mpya)
Kusasisha kwa kutumia CPUSE hakupendekezwi na wenzako wa Check Point kwa kuwa hakutasasisha toleo lako la mfumo wa faili na kernel. Hata hivyo, njia hii haihitaji uhamiaji wa sera na ni ya haraka na rahisi zaidi kuliko njia ya pili.
Usakinishaji safi na uhamishaji wa sera kwa kutumia Zana za Uhamiaji ndiyo njia inayopendekezwa. Mbali na mfumo mpya wa faili na kernel ya OS, mara nyingi hutokea kwamba hifadhidata ya SMS imefungwa, na usakinishaji safi katika suala hili ni suluhisho bora la kuongeza kasi kwenye seva.
1) Hatua ya kwanza katika sasisho lolote ni kuunda chelezo na snapshots. Ikiwa una seva ya usimamizi halisi, basi nakala inapaswa kufanywa kutoka kwa kiolesura cha wavuti cha Gaia Portal. Nenda kwenye kichupo Matengenezo > Hifadhi Nakala ya Mfumo > Hifadhi Nakala. Ifuatayo, unataja eneo ili kuhifadhi nakala rudufu. Hii inaweza kuwa seva ya SCP, FTP, TFTP, au ndani ya kifaa, lakini itabidi upakie nakala hii kwenye seva au kompyuta baadaye.
Kielelezo 1. Kuunda nakala rudufu katika Tovuti ya Gaia
2) Ifuatayo unapaswa kuchukua picha kwenye kichupo Matengenezo β Usimamizi wa Picha β Mpya. Tofauti kati ya chelezo na vijipicha ni kwamba muhtasari huhifadhi habari zaidi, ikijumuisha hotfixes zote zilizosakinishwa. Walakini, ni bora kufanya zote mbili.
Ikiwa seva yako ya usimamizi imesakinishwa kama mashine pepe, basi inashauriwa kufanya nakala rudufu ya mashine pepe kwa kutumia zana za hypervisor zilizojengwa ndani. Ni haraka na ya kuaminika zaidi.
Kielelezo 2. Kuunda picha katika Gaia Portal
3) Hifadhi usanidi wa kifaa kutoka kwa Gaia Portal. Unaweza kupiga skrini vichupo vyote vya mipangilio vilivyo kwenye Tovuti ya Gaia, au uweke amri kutoka kwa Clish hifadhi usanidi . Ifuatayo, peleka faili kwa Kompyuta yako kwa kutumia WinSCP au mteja mwingine.
Kielelezo 3. Kuhifadhi usanidi kwenye faili ya maandishi)
Kumbuka: ikiwa WinSCP haikuruhusu kuunganishwa, badilisha ganda la mtumiaji kuwa /bin/bash ama kwenye kiolesura cha wavuti kwenye kichupo cha Watumiaji, au kwa kuingiza amri. chsh -s /bin/bash .
Inasasisha na CPUSE
4) Hatua 3 za kwanza ni za lazima kwa chaguo lolote la sasisho. Ikiwa unaamua kuchukua njia rahisi ya sasisho, basi kwenye kiolesura cha wavuti nenda kwenye kichupo Uboreshaji (CPUSE) > Hali na Vitendo > Matoleo Makuu > Angalia Pointi R80.40 Gaia Sakinisha na Uboreshaji upya. Bofya kulia kwenye sasisho hili na uchague Kithibitishaji. Mchakato wa uthibitishaji utaanza kwa dakika chache, baada ya hapo utaona ujumbe ambao kifaa kinaweza kusasishwa. Ukiona makosa, yanahitaji kusahihishwa.
Kielelezo 4. Sasisha kupitia CPUSE
5) Sasisha toleo la hivi karibuni la CDT (Zana ya Usambazaji wa Kati) - shirika linaloendesha kwenye seva ya usimamizi na inakuwezesha kusakinisha sasisho, pakiti za huduma, kusimamia nakala, snapshots, scripts na mengi zaidi. Toleo la CDT lililopitwa na wakati linaweza kusababisha matatizo na sasisho. Unaweza kupakua CDT kwenye .
6) Baada ya kuweka kumbukumbu iliyopakuliwa kwenye SMS katika saraka yoyote kupitia WinSCP, unganisha kupitia SSH kwa SMS na uingie mode ya mtaalam. Acha nikukumbushe kwamba mtumiaji wa WinSCP lazima awe na ganda / bin / bash!
7) Ingiza amri:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv βlazimisha CPcdt-00-00.i386.rpm
Mchoro 5. Kuweka Zana ya Kati ya Usambazaji (CDT)
8) Hatua inayofuata ni kufunga picha ya R80.40. Bonyeza kulia kwenye sasisho Pakua, basi Kufunga. Kumbuka kwamba sasisho litachukua dakika 20-30 na seva ya usimamizi haitapatikana kwa muda. Kwa hiyo, ni mantiki kukubaliana kwenye dirisha la huduma.
9) Leseni zote na sera za usalama zimehifadhiwa, kwa hivyo unapaswa kupakua mpya .
10) Unganisha kwa SMS SmartConsole mpya na uweke sera za usalama. Kitufe Sakinisha Sera kwenye kona ya juu kushoto.
11) SMS yako imesasishwa, basi unapaswa kusakinisha hotfix ya hivi punde. Katika kichupo Uboreshaji (CPUSE) > Hali na Vitendo > Marekebisho ya joto bonyeza kitufe cha kulia cha panya Mtazamajibasi Sakinisha Sasisho. Kifaa kitajiwasha upya baada ya kusakinisha sasisho.
Kielelezo 6. Kusakinisha hotfix ya hivi punde kupitia CPUSE
Inasasisha kwa Zana za Uhamiaji
4) Kwanza, unapaswa kusasisha hadi toleo la hivi karibuni la CDT - alama 5, 6, 7 kutoka kwa sehemu. "Sasisha kwa kutumia CPUSE."
5) Sakinisha kifurushi cha Zana za Uhamiaji kinachohitajika ili kuhamisha sera kutoka kwa seva ya usimamizi. Kulingana na hili unaweza kupata Zana za Uhamiaji kwa matoleo: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Unapaswa kupakua Zana za Uhamiaji za toleo ambayo unataka kusasisha, na sio ile uliyonayo sasa! Kwa upande wetu ni R80.40.
6) Ifuatayo katika kiolesura cha wavuti cha SMS nenda kwenye kichupo Uboreshaji (CPUSE) > Hali na Vitendo > Ingiza Kifurushi > Vinjari > Chagua faili iliyopakuliwa > Leta.
Kielelezo 7. Kuagiza Zana za Uhamiaji
7) Kutoka kwa hali ya mtaalam kwenye SMS, angalia kuwa kifurushi cha Zana za Uhamiaji kimewekwa kwa kutumia amri (matokeo ya amri lazima yalingane na nambari iliyo kwa jina la kumbukumbu ya Zana za Uhamiaji):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Kielelezo 8. Kuthibitisha usakinishaji wa Zana za Uhamiaji
8) Nenda kwenye folda ya $FWDIR/scripts kwenye seva ya usimamizi:
cd $FWDIR/scripts
9) Endesha kithibitishaji cha kusasisha mapema kwa kutumia amri (ikiwa kuna makosa, yasahihishe kabla ya hatua zaidi):
./migrate_server thibitisha -v R80.40
Kumbuka: ukiona hitilafu "Imeshindwa kupata kifurushi cha Zana za Kuboresha", lakini umeangalia kuwa kumbukumbu iliingizwa kwa mafanikio (tazama nukta 4), tumia amri:
./migrate_server thibitisha -v R80.40 -ruka_upgrade_tools_check
Kielelezo 9. Kuendesha hati ya uthibitishaji
10) Hamisha sera za usalama kwa kutumia amri:
./migrate_server export -v R80.40 //.tgz
Kielelezo 10. Kusafirisha nje sera ya usalama
Kumbuka: ukiona hitilafu "Imeshindwa kupata kifurushi cha Zana za Kuboresha", lakini umeangalia kuwa kumbukumbu iliingizwa kwa mafanikio (hatua ya 7), tumia amri:
./migrate_server export -skip_upgrade_tools_check -v R80.40 //.tgz
11) Kuhesabu jumla ya hashi ya MD5 na uhifadhi matokeo ya amri:
md5sum //.tgz
Kielelezo 11. Kuhesabu jumla ya heshi MD5
12) Kwa kutumia WinSCP, sogeza faili hii kwenye kompyuta yako.
13) Ingiza amri df -h na ujiokoe asilimia ya saraka kulingana na nafasi iliyochukuliwa.
Kielelezo 12. Asilimia ya saraka kwa kila SMS
14.1) Ikiwa una SMS halisi
14.1.1) Kwa kutumia gari la bootable la USB flash na picha huundwa .
14.1.2) Ninapendekeza kuandaa angalau anatoa 2 za bootable, kwani hutokea kwamba gari la flash haliwezi kusoma kila wakati.
14.1.3) Kama msimamizi kwenye kompyuta yako, endesha ISOmorphic.exe. Katika hatua ya 1, chagua picha iliyopakuliwa ya Gaia R80.40, katika hatua ya 4 gari la flash. Badilisha pointi 2 na 3 Hakuna haja!
Kielelezo 13. Kuunda gari la bootable la USB flash
14.1.4) Chagua kipengee "Sakinisha kiotomatiki bila uthibitisho" na ni muhimu kutaja mfano wa seva yako ya usimamizi. Kwa upande wa SMS, unapaswa kuchagua mstari wa 3 au 4.
Kielelezo 14. Kuchagua mtindo wa kifaa ili kuunda gari la bootable la USB flash
14.1.5) Kisha, unazima mstari wa juu, ingiza gari la flash kwenye bandari ya USB, kuunganisha cable ya console kupitia bandari ya COM kwenye kifaa na uwezesha SMS. Mchakato wa ufungaji hutokea moja kwa moja. Anwani ya IP chaguomsingi - 192.168.1.1/24, na habari ya kuingia msimamizi / msimamizi.
14.1.6) Hatua inayofuata ni kuunganisha kwenye kiolesura cha wavuti kwenye Gaia Portal (anwani chaguomsingi ), ambapo unapitia uanzishaji wa kifaa. Wakati wa uanzishaji kimsingi bonyeza Next, kwa sababu karibu mipangilio yote inaweza kubadilishwa katika siku zijazo. Hata hivyo, unaweza kubadilisha mara moja anwani ya IP, mipangilio ya DNS na jina la mwenyeji.
14.2) Ikiwa una SMS pepe
14.2.1) Usifute SMS ya zamani kwa hali yoyote; unda mashine mpya pepe yenye nyenzo sawa (CPU, RAM, HDD) na anwani sawa ya IP. Kwa njia, unaweza kuongeza RAM na HDD, kwani toleo la R80.40 ni la mahitaji zaidi. Ili kuepuka migogoro ya anwani ya IP, zima SMS ya zamani na uanze kusakinisha mpya.
14.2.2) Wakati wa ufungaji wa Gaia, sanidi anwani ya sasa ya IP na uchague saraka / mizizi kiasi cha kutosha cha nafasi. Asilimia ya saraka uliyo nayo inapaswa kuwa takriban kuishi, tumia pato df -h.
15) Wakati wa kuchagua aina ya ufungaji "Aina ya Ufungaji" chagua chaguo la kwanza, kwani uwezekano mkubwa huna MDS (Seva ya Multi-Domain). Ikiwa MDS, basi ulisimamia vikoa vingi kutoka kwa huluki tofauti za SMS kwa wakati mmoja. Katika kesi hii, unapaswa kuchagua chaguo la pili.
Kielelezo 15. Kuchagua aina ya ufungaji ya Gaia
16) Jambo muhimu zaidi ambalo haliwezi kusahihishwa bila kusakinisha tena ni chaguo la huluki. Inapaswa kuchagua Usimamizi wa Usalama na bonyeza Ijayo. Kila kitu kingine ni kwa default.
Kielelezo 16. Kuchagua aina ya chombo wakati wa kufunga Gaia
17) Mara tu kifaa kikiwashwa tena, unganisha kwenye kiolesura cha wavuti ukitumia au anwani tofauti ya IP ikiwa uliibadilisha.
18) Hamisha mipangilio kutoka kwa viwambo hadi vichupo vyote vya Gaia Portal ambamo kitu kilisanidiwa, au endesha amri kutoka kwa clish. usanidi wa kupakia .txt. Faili hii ya usanidi lazima kwanza ipakwe kwa SMS.
Kumbuka: Kwa sababu ya ukweli kwamba OS ni mpya, WinSCP haitakuruhusu kuunganishwa kama msimamizi, kubadilisha ganda la mtumiaji kuwa /bin/bash ama kwenye kiolesura cha wavuti kwenye kichupo cha Watumiaji, au kwa kuingiza amri. chsh -s /bin/bash au unda mtumiaji mpya.
19) Pakia faili na sera zilizosafirishwa kutoka kwa seva ya zamani ya usimamizi hadi saraka yoyote. Kisha nenda kwenye koni katika hali ya mtaalam na uangalie kuwa kiasi cha hashi cha MD5 kinalingana na uliopita. Vinginevyo, usafirishaji unapaswa kufanywa tena:
md5 //.tgz
20) Rudia hatua ya 6 na usakinishe Zana za Kuboresha kwenye SMS mpya katika Tovuti ya Gaia kwenye kichupo. Uboreshaji (CPUSE) > Hali na Vitendo.
21) Ingiza amri katika hali ya mtaalam:
./migrate_server import -v R80.40 -ruka_upgrade_tools_check //.tgz
Kielelezo 17. Kuingiza sera ya usalama kwa SMS mpya
22) Wezesha huduma kwa amri cpanza.
23) Pakua mpya na kuunganisha kwa seva ya usimamizi. Enda kwa Menyu > Dhibiti Leseni na Vifurushi (SmartUpdate) na hakikisha kuwa bado unayo leseni yako.
Kielelezo 18. Kuangalia leseni zilizowekwa
24) Weka sera ya usalama kwenye lango au nguzo - Sakinisha Sera.
Sasisho la Lango la Usalama (SG).
Lango la Usalama linaweza kusasishwa kupitia CPUSE, kama seva ya usimamizi, au kusakinishwa tena - usakinishaji mpya. Kutokana na uzoefu wangu, katika 99% ya visa, kila mtu husakinisha tena Lango la Usalama kutokana na ukweli kwamba inachukua karibu wakati sawa na kusasisha kupitia CPUSE, lakini unapata OS safi, iliyosasishwa bila hitilafu.
Kwa mlinganisho na SMS, kwanza unahitaji kuunda nakala rudufu na muhtasari, na pia uhifadhi mipangilio kutoka kwa Gaia Portal. Rejelea pointi 1, 2 na 3 katika sehemu "Sasisho la Seva ya Usimamizi wa Usalama".
Inasasisha na CPUSE
Kusasisha Lango la Usalama kupitia CPUSE ni sawa kabisa na kusasisha Seva ya Usimamizi wa Usalama, kwa hivyo tafadhali rejelea mwanzo wa kifungu.
Jambo muhimu: Sasisho la SG linahitaji reboots! Kwa hiyo, sasisha wakati wa dirisha la matengenezo. Ikiwa una kikundi, sasisha nodi ya passiv kwanza, kisha ubadilishe majukumu na uboresha nodi nyingine. Katika kesi ya nguzo, madirisha ya matengenezo yanaweza kuepukwa.
Inasakinisha toleo jipya la Mfumo wa Uendeshaji kwenye Lango la Usalama
1.1) Iwapo utakuwa na SG halisi
1.1.1) Kwa kutumia gari la bootable la USB flash na picha huundwa . Picha ni sawa na kwenye SMS, lakini utaratibu wa kuunda gari la bootable flash inaonekana tofauti kidogo.
1.1.2) Ninapendekeza kuandaa angalau anatoa 2 za bootable, kwani hutokea kwamba gari la flash haliwezi kusoma kila wakati.
1.1.3) Kama msimamizi kwenye kompyuta yako, endesha ISOmorphic.exe. Katika hatua ya 1, chagua picha iliyopakuliwa ya Gaia R80.40, katika hatua ya 4 gari la flash. Badilisha pointi 2 na 3 Hakuna haja!
Kielelezo 19. Kuunda gari la bootable la USB flash
1.1.4) Chagua kipengee "Sakinisha kiotomatiki bila uthibitisho", na ni muhimu kuonyesha mfano wa Lango lako la Usalama - mstari wa 2 au 3. Ikiwa hii ni sanduku halisi la mchanga (SandBlast Appliance), kisha chagua mstari wa 5.
Kielelezo 20. Kuchagua mtindo wa kifaa ili kuunda gari la bootable la USB flash
1.1.5) Kisha, unazima mstari wa juu, ingiza gari la flash kwenye bandari ya USB, unganisha cable ya console kupitia bandari ya COM kwenye kifaa na ugeuke lango. Mchakato wa ufungaji hutokea moja kwa moja. Anwani ya IP chaguomsingi - 192.168.1.1/24, na habari ya kuingia msimamizi / msimamizi. Unapaswa kusasisha kwanza nodi passiv, kisha usakinishe sera juu yake, ubadilishe majukumu na kisha usasishe nodi nyingine. Uwezekano mkubwa zaidi, utahitaji dirisha la matengenezo.
1.1.6) Hatua inayofuata ni kuunganisha kwenye kiolesura cha wavuti kwenye Tovuti ya Gaia, ambapo unapitia uanzishaji wa kwanza wa kifaa. Wakati wa uanzishaji kimsingi bonyeza Next, kwa sababu karibu mipangilio yote inaweza kubadilishwa katika siku zijazo. Hata hivyo, unaweza kubadilisha mara moja anwani ya IP, mipangilio ya DNS na jina la mwenyeji.
1.2) Iwapo utakuwa na SG ya kawaida
1.2.1) Unda mashine mpya ya mtandaoni yenye rasilimali sawa (CPU, RAM, HDD) au zaidi, kwa kuwa toleo la R80.40 ni la mahitaji zaidi. Ili kuepuka mgongano wa anwani za IP, zima lango la zamani na uanze kusakinisha mpya na anwani sawa ya IP. SG ya zamani inaweza kufutwa kwa usalama, kwa kuwa hakuna kitu cha thamani juu yake, kwa sababu mambo yote muhimu - sera ya usalama - iko kwenye seva ya usimamizi.
1.2.2) Wakati wa ufungaji wa OS, sanidi anwani ya sasa ya IP na uchague saraka / mizizi kiasi cha kutosha cha nafasi.
3) Unganisha kwenye lango kupitia lango la HTTPS na uanze mchakato wa uanzishaji. Wakati wa kuchagua aina ya ufungaji "Aina ya Ufungaji" chagua chaguo la kwanza - Lango la Usalama na/au Usimamizi wa Usalama.
Kielelezo 21. Kuchagua aina ya ufungaji ya Gaia
4) Jambo muhimu zaidi ni uchaguzi wa chombo (Bidhaa). Inapaswa kuchagua Lango la Usalama na, ikiwa una nguzo, angalia kisanduku "Kitengo ni sehemu ya nguzo, aina: ClusterXL". Ikiwa una kikundi cha VRRP, kisha chagua aina hii, lakini haiwezekani.
Kielelezo 22. Kuchagua aina ya chombo wakati wa kufunga Gaia
5) Katika hatua inayofuata, weka nenosiri la mara moja la SIC ili kuthibitisha uaminifu na seva ya usimamizi. Kwa kutumia nenosiri hili, cheti kinatolewa, na seva ya usimamizi itawasiliana na lango la njia iliyosimbwa kwa njia fiche. Alama ya kuangalia "Unganisha na Usimamizi wako kama Huduma" inapaswa kuwekwa ikiwa seva ya usimamizi iko kwenye wingu. Hivi majuzi tuliandika juu ya hii na jinsi seva ya usimamizi wa wingu inavyofaa na rahisi.
Kielelezo 23. Uumbaji wa SIC
6) Anzisha mchakato wa uanzishaji kwenye kichupo kinachofuata. Mara tu kifaa kinapowashwa upya, unganisha kwenye kiolesura cha wavuti na uhamishe mipangilio kutoka kwa picha za skrini hadi kwenye vichupo vyote vya Gaia Portal ambamo kitu kilisanidiwa, au endesha amri kutoka kwa clish. usanidi wa kupakia .txt. Faili hii ya usanidi lazima kwanza ipakwe kwenye lango la usalama.
Kumbuka: Kwa sababu ya ukweli kwamba OS ni mpya, WinSCP haitakuruhusu kuunganishwa kama msimamizi, kubadilisha ganda la mtumiaji kuwa /bin/bash ama kwenye kiolesura cha wavuti kwenye kichupo cha Watumiaji, au kwa kuingiza amri. chsh -s /bin/bash au unda mtumiaji mpya na ganda hili.
7) Fungua na uende kwenye kitu cha Lango la Usalama ambacho umesakinisha tena. Fungua kichupo Sifa za Jumla > Mawasiliano > Weka Upya SIC na ingiza nenosiri lililotajwa katika hatua ya 5.
Kielelezo 24: Kuanzisha uaminifu na lango jipya la usalama
8) Toleo la Gaia la kitu linapaswa kubadilika, ikiwa halibadilika, kisha ubadilishe kwa manually. Kisha sakinisha sera kwenye lango.
9) Katika Gaia Portal, nenda kwenye kichupo Uboreshaji (CPUSE) > Hali na Vitendo > Marekebisho ya joto na usakinishe hotfix ya hivi punde. Kifaa kitaingia washa upya wakati wa ufungaji!
10) Katika kesi ya nguzo, badilisha majukumu ya nodi na ufanye hatua sawa kwa nodi nyingine.
Hitimisho
Nilijaribu kufanya mwongozo wazi zaidi na wa kina wa kuboresha kutoka kwa toleo la R80.20/R80.30 hadi R80.40 ya sasa, kwani mengi yamebadilika. Toleo tayari imeonekana katika hali ya onyesho, lakini utaratibu wa kusasisha unabaki kuwa sawa au kidogo. Kuongozwa na afisa kutoka kwa Check Point, unaweza kujua maelezo yote mwenyewe.
Kwa maswali yoyote unaweza kuwasiliana nasi. Tutafurahi kusaidia masasisho na kesi ngumu zaidi kama sehemu ya usaidizi wetu wa kiufundi . Pia kwenye yetu inawezekana kuagiza ukaguzi wa mipangilio ya Check Point au uiache bila malipo kwa kesi ya kiufundi.
. Kaa chonjo (, , , , ).
Chanzo: mapenzi.com