BolеMiaka miwili iliyopita, tuliandika kuhusu jinsi kila msimamizi wa Check Point mapema au baadaye anakabiliwa na suala la kuboresha hadi toleo jipya. Katika hili Sasisho kutoka kwa toleo la R77.30 hadi R80.10 lilielezewa. Kwa bahati mbaya, mnamo Januari 2020, R77.30 ikawa toleo lililoidhinishwa na Huduma ya Shirikisho ya Udhibiti wa Kiufundi na Uuzaji wa Nje (FSTEC). Walakini, mengi yamebadilika katika Check Point katika miaka miwili iliyopita. Katika makala "" inaelezea vipengele vyote vipya, ambavyo kuna vingi. Makala hii itaelezea utaratibu wa sasisho kwa undani iwezekanavyo.
Kama unavyojua, kuna chaguo mbili za uwekaji wa Pointi ya Angalia: Iliyojitegemea na Inasambazwa, ikimaanisha na au bila seva maalum ya usimamizi. Chaguo la Kusambazwa linapendekezwa sana kwa sababu kadhaa:
mzigo kwenye rasilimali za lango hupunguzwa;
Sio lazima kupanga dirisha la matengenezo ili kufanya kazi kwenye seva ya usimamizi;
uendeshaji wa kutosha wa SmartEvent, kwani haiwezekani kufanya kazi katika toleo la Standalone;
Inapendekezwa sana kujenga nguzo ya lango katika usanidi uliosambazwa.
Kwa kuzingatia manufaa yote ya usanidi wa Usambazaji, tutazingatia kuboresha seva ya usimamizi na lango la usalama kando.
Kusasisha Seva ya Usimamizi wa Usalama (SMS)
Kuna njia 2 za kusasisha SMS:
kutumia CPUSE (kupitia Gaia Portal)
kutumia Zana za Uhamiaji (inahitaji usakinishaji safi - usakinishaji mpya)
Wenzetu katika Check Point hawapendekezi kusasisha kwa kutumia CPUSE, kwani haitasasisha mfumo wa faili au kernel. Hata hivyo, njia hii haihitaji uhamiaji wa sera na ni haraka na rahisi zaidi kuliko njia ya pili.
Usakinishaji safi na uhamishaji wa sera kwa kutumia Zana za Uhamiaji ndiyo njia inayopendekezwa. Kando na mfumo mpya wa faili na OS kernel, hifadhidata ya SMS mara nyingi huwa imefungwa, na usakinishaji safi ni njia bora ya kuboresha utendaji wa seva.
1) Hatua ya kwanza katika sasisho lolote ni kuunda nakala rudufu na snapshots. Ikiwa una seva ya usimamizi halisi, unapaswa kuunda nakala rudufu kutoka kwa kiolesura cha wavuti cha Gaia Portal. Nenda kwa Matengenezo > Hifadhi Nakala ya Mfumo > Hifadhi NakalaIfuatayo, unataja eneo la chelezo. Hii inaweza kuwa seva ya SCP, FTP, TFTP, au ndani ya kifaa. Hata hivyo, katika kesi hii, utahitaji kuhamisha nakala rudufu kwa seva au kompyuta baadaye.
Kielelezo 1. Kuunda nakala rudufu katika Tovuti ya Gaia
2) Kisha, unapaswa kuchukua picha kwenye kichupo Matengenezo → Usimamizi wa Picha → Mpya. Tofauti kati ya chelezo na vijipicha ni kwamba muhtasari huhifadhi habari zaidi, ikijumuisha hotfixes zote zilizosakinishwa. Walakini, ni bora kufanya zote mbili.
Ikiwa seva yako ya usimamizi imesakinishwa kama mashine pepe, tunapendekeza kuhifadhi nakala za mashine pepe kwa kutumia zana zilizojengewa ndani za hypervisor. Hii ni haraka na ya kuaminika zaidi.
Kielelezo 2. Kuunda picha katika Gaia Portal
3) Hifadhi usanidi wa kifaa kutoka kwa Gaia Portal. Unaweza kuchukua picha ya skrini ya vichupo vyote vya mipangilio kwenye Tovuti ya Gaia, au uweke amri kutoka kwa Clish hifadhi usanidiIfuatayo, unahitaji kuhamisha faili kwa Kompyuta yako kwa kutumia WinSCP au mteja mwingine.
Kielelezo 3. Kuhifadhi usanidi kwenye faili ya maandishi)
Kumbuka: Ikiwa WinSCP haikuruhusu kuunganishwa, badilisha ganda la mtumiaji kuwa /bin/bash ama kwenye kiolesura cha wavuti kwenye kichupo cha Watumiaji, au kwa kuingiza amri. chsh –s /bin/bash.
Inasasisha na CPUSE
4) Hatua tatu za kwanza ni za lazima kwa chaguo lolote la sasisho. Ukiamua kuchukua njia rahisi ya kusasisha, nenda kwenye kichupo cha Sasisha kwenye kiolesura cha wavuti. Uboreshaji (CPUSE) > Hali na Vitendo > Matoleo Makuu > Angalia Pointi R80.40 Gaia Sakinisha na Uboreshaji upya. Bonyeza kulia kwenye sasisho hili na uchague Kithibitishaji. Mchakato wa uthibitishaji utaanza na kudumu kwa dakika chache. Baada ya muda huu, utaona ujumbe unaoonyesha kuwa kifaa chako kinaweza kusasishwa. Ukiona makosa yoyote, yanahitaji kusahihishwa.
Kielelezo 4. Kusasisha kupitia CPUSE
5) Sasisha hadi toleo la hivi punde zaidi la CDT (Zana ya Usambazaji ya Kati), shirika linaloendesha kwenye seva ya usimamizi ambayo inakuruhusu kusakinisha masasisho, vifurushi vya huduma, kudhibiti nakala rudufu, vijipicha, hati, na mengi zaidi. Toleo la kizamani la CDT linaweza kusababisha matatizo ya kusasisha. Unaweza kupakua CDT kutoka .
6) Baada ya kuweka kumbukumbu iliyopakuliwa kwenye SMS kwenye saraka yoyote kwa kutumia WinSCP, unganisha kwa SMS kupitia SSH na uingize hali ya mtaalam. Kumbuka, mtumiaji wa WinSCP lazima awe na ganda. / bin / bash!
7) Ingiza amri:
cd /somepathtoCDT/
lami -zxvf .tgz
rpm -Uhv —lazimisha CPcdt-00-00.i386.rpm
Mchoro 5. Kuweka Zana ya Kati ya Usambazaji (CDT)
8) Hatua inayofuata ni kufunga picha ya R80.40. Bofya kulia kwenye sasisho Pakua, basi Kufunga. Tafadhali kumbuka kuwa sasisho huchukua dakika 20-30, na seva ya usimamizi haitapatikana kwa muda. Kwa hiyo, ni wazo nzuri kupanga dirisha la matengenezo.
9) Leseni zote na sera za usalama zimehifadhiwa, kwa hivyo unapaswa kupakua mpya .
10) Unganisha kwenye SMS mpya ya SmartConsole na uweke sera za usalama. Kitufe Sakinisha Sera kwenye kona ya juu kushoto.
11) SMS yako imesasishwa, sasa unahitaji kusakinisha hotfix ya hivi punde. Katika kichupo Uboreshaji (CPUSE) > Hali na Vitendo > Marekebisho ya joto bofya kulia Mtazamajibasi Sakinisha SasishoKifaa kitaanza upya kiotomatiki baada ya kusakinisha sasisho.
Kielelezo 6. Kusakinisha hotfix ya hivi punde kupitia CPUSE
Inasasisha kwa kutumia Zana za Uhamiaji
4) Kwanza kabisa, unapaswa pia kusasisha kwa toleo la hivi karibuni la CDT - alama 5, 6, 7 kutoka kwa sehemu hiyo. "Sasisha kwa kutumia CPUSE".
5) Sakinisha kifurushi cha Zana za Uhamiaji kinachohitajika ili kuhamisha sera kutoka kwa seva ya usimamizi. Kulingana na hili Unaweza kupata Zana za Uhamiaji kwa matoleo: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Unapaswa kupakua Zana za Uhamiaji kwa toleo ambayo unataka kuboresha, sio uliyo nayo sasa! Kwa upande wetu, ni R80.40.
6) Ifuatayo, kwenye kiolesura cha wavuti cha SMS, nenda kwenye kichupo Uboreshaji (CPUSE) > Hali na Vitendo > Ingiza Kifurushi > Vinjari > Chagua faili iliyopakuliwa > Leta.
Kielelezo 7. Kuagiza Zana za Uhamiaji
7) Kutoka kwa hali ya mtaalam kwenye SMS, angalia kuwa kifurushi cha Zana za Uhamiaji kimewekwa kwa kutumia amri (toleo la amri linapaswa kufanana na nambari iliyo kwenye jina la kumbukumbu la Zana za Uhamiaji):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Kielelezo 8. Kuangalia usakinishaji wa Zana za Uhamiaji
8) Nenda kwenye folda ya $FWDIR/scripts kwenye seva ya usimamizi:
cd $FWDIR/scripts
9) Endesha kithibitishaji cha kusasisha mapema (angalia hati) na amri (ikiwa kuna makosa, yarekebishe kabla ya kuendelea):
./migrate_server thibitisha -v R80.40
Kumbuka: ukiona hitilafu "Imeshindwa kupata kifurushi cha Zana za Kuboresha", lakini umethibitisha kuwa kumbukumbu iliingizwa kwa mafanikio (angalia nukta 4), tumia amri:
./migrate_server thibitisha -v R80.40 -ruka_upgrade_tools_check
Kielelezo 9. Kuendesha hati ya uthibitishaji
10) Hamisha sera za usalama kwa kutumia amri:
./migrate_server export -v R80.40 / / .tgz
Kielelezo 10. Sera ya usalama ya kuuza nje
Kumbuka: ukiona hitilafu "Imeshindwa kupata kifurushi cha Zana za Kuboresha", lakini umethibitisha kuwa kumbukumbu iliingizwa kwa mafanikio (pointi 7), tumia amri:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Kuhesabu jumla ya hashi ya MD5 na uhifadhi pato la amri:
md5sum / / .tgz
Mchoro 11. Kukokotoa jumla ya heshi MD5
12) Kwa kutumia WinSCP, sogeza faili hii kwenye kompyuta yako.
13) Ingiza amri df -h na ujiokoe asilimia ya saraka kulingana na nafasi wanayochukua.
Kielelezo 12. Asilimia ya saraka kwa kila SMS
14.1) Ikiwa una SMS halisi
14.1.1) Kwa msaada wa gari la bootable la USB flash na picha huundwa .
14.1.2) Ninapendekeza kuandaa angalau anatoa 2 za bootable, kwani hutokea kwamba gari la flash halijasomwa kila wakati.
14.1.3) Tekeleza amri ifuatayo kwenye kompyuta yako kama msimamizi: ISOmorphic.exe. Katika hatua ya 1, chagua picha iliyopakuliwa ya Gaia R80.40, na katika hatua ya 4, gari la USB. Badilisha hatua 2 na 3. Hakuna haja!
Kielelezo 13. Kuunda gari la bootable la USB flash
14.1.4) Chagua kipengee "Sakinisha kiotomatiki bila uthibitisho" Ni muhimu kutaja mfano wa seva yako ya usimamizi. Kwa SMS, chagua mstari wa 3 au 4.
Kielelezo 14. Kuchagua mtindo wa kifaa ili kuunda gari la bootable la USB flash
14.1.5) Kisha, zima mstari wa juu, ingiza gari la flash kwenye bandari ya USB, unganisha kwenye kifaa kupitia kebo ya kiweko kupitia bandari ya COM, na uwashe SMS. Mchakato wa ufungaji unaendelea moja kwa moja. Anwani ya IP ya chaguo-msingi ni 192.168.1.1/24, na data ya kuingia msimamizi / msimamizi.
14.1.6) Hatua inayofuata ni kuunganisha kwenye kiolesura cha wavuti kwenye Tovuti ya Gaia (anwani chaguomsingi ), ambapo unaanzisha kifaa. Wakati wa uanzishaji, kimsingi bonyeza Next, Kwa sababu karibu mipangilio yote inaweza kubadilishwa katika siku zijazo. Hata hivyo, unaweza kubadilisha anwani ya IP, mipangilio ya DNS, na jina la mwenyeji mara moja.
14.2) Iwapo utakuwa na SMS pepe
14.2.1) Usifute SMS ya zamani kwa hali yoyote. Unda mashine mpya pepe yenye rasilimali sawa (CPU, RAM, HDD) na anwani sawa ya IP. Unaweza pia kuongeza RAM na HDD, kwani R80.40 inahitajika zaidi kidogo. Ili kuepuka migogoro ya anwani ya IP, zima SMS ya zamani na uanze kusakinisha mpya.
14.2.2) Wakati wa usakinishaji wa Gaia, sanidi anwani ya IP ya sasa na uitenge kwa saraka. / mizizi kiasi cha kutosha cha nafasi. Asilimia ya saraka uliyo nayo inapaswa kuwa takriban kuokoa, tumia pato df -h.
15) Wakati wa kuchagua aina ya ufungaji Aina ya Ufungaji Chagua chaguo la kwanza, kwa vile kuna uwezekano mkubwa kwamba huna MDS (Seva ya Kikoa Kingi). Ukifanya hivyo, inamaanisha kuwa ulikuwa unadhibiti vikoa vingi kutoka kwa huluki tofauti za SMS kwa wakati mmoja. Katika kesi hii, unapaswa kuchagua chaguo la pili.
Kielelezo 15. Kuchagua aina ya ufungaji wa Gaia
16) Jambo muhimu zaidi ambalo haliwezi kusahihishwa bila kusakinishwa tena ni chaguo la huluki. Unapaswa kuchagua Usimamizi wa Usalama na vyombo vya habari Ijayo. Zaidi ya hayo kila kitu ni kwa default.
Kielelezo 16. Kuchagua aina ya chombo wakati wa kufunga Gaia
17) Mara tu kifaa kimewashwa tena, unganisha kwenye kiolesura cha wavuti kupitia au anwani nyingine ya IP ikiwa uliibadilisha.
18) Hamisha mipangilio kutoka kwa viwambo hadi vichupo vyote vya Gaia Portal ambamo kitu kilisanidiwa, au endesha amri kutoka kwa clish. usanidi wa mzigo .txtFaili hii ya usanidi lazima kwanza ipakwe kwa SMS.
Kumbuka: Kwa kuwa OS ni mpya, WinSCP haitakuruhusu kuunganishwa kama msimamizi. Badilisha ganda la mtumiaji kuwa /bin/bash ama kwenye kiolesura cha wavuti kwenye kichupo cha Watumiaji, au kwa kuingiza amri. chsh –s /bin/bash au unda mtumiaji mpya.
19) Nakili faili na sera zilizosafirishwa kutoka kwa seva ya usimamizi ya zamani hadi saraka yoyote. Kisha, fungua kiweko katika hali ya utaalam na uthibitishe kuwa jumla ya heshi MD5 inalingana na ile ya awali. Vinginevyo, utahitaji kusafirisha tena:
md5 / / .tgz
20) Rudia hatua ya 6 na usakinishe Zana za Kuboresha kwenye SMS mpya kwenye kichupo cha Tovuti ya Gaia. Uboreshaji (CPUSE) > Hali na Vitendo.
21) Ingiza amri katika hali ya mtaalam:
./migrate_server import -v R80.40 -ruka_upgrade_tools_check / / .tgz
Kielelezo 17. Kuingiza sera ya usalama kwa SMS mpya
22) Wezesha huduma kwa amri cpanza.
23) Pakua mpya na kuunganisha kwa seva ya usimamizi. Nenda kwa Menyu > Dhibiti Leseni na Vifurushi (SmartUpdate) na hakikisha kuwa bado unayo leseni yako.
Kielelezo 18. Kuangalia leseni zilizowekwa
24) Weka sera ya usalama kwenye lango au nguzo - Sakinisha Sera.
Sasisho la Lango la Usalama (SG).
Lango la Usalama linaweza kusasishwa kupitia CPUSE, kama vile Seva ya Usimamizi, au kusakinishwa tena - usakinishaji mpyaKatika uzoefu wangu, 99% ya wakati, kila mtu husakinisha tena Lango la Usalama kwa sababu inachukua muda mrefu kama kusasisha kupitia CPUSE, lakini unapata OS safi, iliyosasishwa, isiyo na hitilafu.
Sawa na SMS, kwanza unahitaji kuunda nakala rudufu na muhtasari, na pia kuhifadhi mipangilio kutoka kwa Gaia Portal. Rejelea hatua ya 1, 2, na 3 katika sehemu hiyo "Kusasisha Seva ya Usimamizi wa Usalama".
Inasasisha na CPUSE
Kusasisha Lango la Usalama kupitia CPUSE ni sawa kabisa na kusasisha Seva ya Usimamizi wa Usalama, kwa hivyo tafadhali rejelea mwanzo wa kifungu.
Jambo muhimu: Sasisho la SG linahitaji huwasha upya! Kwa hiyo, fanya uboreshaji wakati wa dirisha la matengenezo. Ikiwa una kikundi, sasisha nodi ya passiv kwanza, kisha ubadilishe majukumu na uboresha nodi nyingine. Kwa nguzo, dirisha la matengenezo linaweza kuepukwa.
Inasakinisha toleo jipya la Mfumo wa Uendeshaji kwenye Lango la Usalama
1.1) Iwapo utakuwa na SG halisi
1.1.1) Kwa msaada wa gari la bootable la USB flash na picha huundwa Picha ni sawa na ile iliyo kwenye SMS, lakini utaratibu wa kuunda gari la bootable la USB ni tofauti kidogo.
1.1.2) Ninapendekeza kuandaa angalau anatoa 2 za bootable, kwani hutokea kwamba gari la flash halijasomwa kila wakati.
1.1.3) Tekeleza amri ifuatayo kwenye kompyuta yako kama msimamizi: ISOmorphic.exe. Katika hatua ya 1, chagua picha iliyopakuliwa ya Gaia R80.40, na katika hatua ya 4, gari la USB. Badilisha hatua 2 na 3. Hakuna haja!
Kielelezo 19. Kuunda gari la bootable la USB flash
1.1.4) Chagua kipengee "Sakinisha kiotomatiki bila uthibitisho", na ni muhimu kubainisha muundo wa Lango lako la Usalama - mstari wa 2 au 3. Ikiwa hii ni sanduku halisi la mchanga (SandBlast Appliance), basi chagua mstari wa 5.
Kielelezo 20. Kuchagua mtindo wa kifaa ili kuunda gari la bootable la USB flash
1.1.5) Ifuatayo, zima mstari wa juu, ingiza gari la flash kwenye bandari ya USB, unganisha kwenye kifaa kupitia kebo ya koni kupitia bandari ya COM, na uwashe lango. Mchakato wa ufungaji hutokea moja kwa moja. Anwani ya IP ya chaguo-msingi ni 192.168.1.1/24, na data ya kuingia msimamizi / msimamizi. Unapaswa kusasisha kwanza. nodi passiv, kisha usakinishe sera juu yake, ubadilishe majukumu, na kisha usasishe nodi nyingine. Dirisha la matengenezo litahitajika.
1.1.6) Hatua inayofuata ni kuunganisha kwenye kiolesura cha wavuti kwenye Lango la Gaia, ambapo utafanya uanzishaji wa awali wa kifaa. Wakati wa uanzishaji, utabonyeza sana Next, Kwa sababu karibu mipangilio yote inaweza kubadilishwa katika siku zijazo. Hata hivyo, unaweza kubadilisha anwani ya IP, mipangilio ya DNS, na jina la mwenyeji mara moja.
1.2) Ikiwa una SG ya mtandaoni
1.2.1) Unda mashine mpya pepe yenye rasilimali sawa (CPU, RAM, HDD) au zaidi, kwani R80.40 inahitajika zaidi kidogo. Ili kuepuka migogoro ya anwani ya IP, funga lango la zamani na uanze kusakinisha jipya kwa kutumia anwani sawa ya IP. Unaweza kufuta lango la zamani kwa usalama, kwani halina chochote cha thamani, kwani jambo muhimu zaidi - sera ya usalama - iko kwenye seva ya usimamizi.
1.2.2) Wakati wa usakinishaji wa OS, sanidi anwani ya IP ya sasa na uipe kwa saraka / mizizi kiasi cha kutosha cha nafasi.
3) Unganisha kwenye lango kupitia HTTPS na uanze mchakato wa uanzishaji. Unapochagua aina ya ufungaji, Aina ya Ufungaji Chagua chaguo la kwanza - Lango la Usalama na/au Usimamizi wa Usalama.
Kielelezo 21. Kuchagua aina ya ufungaji ya Gaia
4) Jambo muhimu zaidi ni uchaguzi wa chombo (Bidhaa). Unapaswa kuchagua Lango la Usalama na ikiwa una nguzo, angalia kisanduku "Kitengo ni sehemu ya nguzo, aina: ClusterXL"Ikiwa una kikundi cha VRRP, kisha chagua aina hii, lakini hii haiwezekani.
Kielelezo 22. Kuchagua aina ya chombo wakati wa kufunga Gaia
5) Katika hatua inayofuata, weka nenosiri la SIC la wakati mmoja ili kuanzisha uaminifu na seva ya usimamizi. Nenosiri hili litazalisha cheti, na seva ya usimamizi itawasiliana na lango kupitia njia iliyosimbwa kwa njia fiche. Angalia kisanduku. "Unganisha na Usimamizi wako kama Huduma" inapaswa kusakinishwa ikiwa seva ya usimamizi iko kwenye wingu. Hivi majuzi tuliandika juu ya hii. na jinsi usimamizi wa seva ya wingu unavyofaa na rahisi.
Kielelezo 23. Kuunda SIC
6) Anzisha mchakato wa uanzishaji kwenye kichupo kinachofuata. Mara baada ya kifaa kuwasha upya, unganisha kwenye kiolesura cha wavuti na uhamishe mipangilio kutoka kwa viwambo hadi vichupo vyote vya Gaia Portal ambapo kitu kilisanidiwa, au endesha amri kutoka kwa clish. usanidi wa mzigo .txtFaili hii ya usanidi lazima kwanza ipakwe kwenye lango la usalama.
Kumbuka: Kwa kuwa OS ni mpya, WinSCP haitakuruhusu kuunganishwa kama msimamizi. Badilisha ganda la mtumiaji kuwa /bin/bash ama kwenye kiolesura cha wavuti kwenye kichupo cha Watumiaji, au kwa kuingiza amri. chsh –s /bin/bash au unda mtumiaji mpya na ganda kama hilo.
7) Fungua na uende kwa kitu cha lango la usalama ambacho umesakinisha tena. Fungua kichupo Sifa za Jumla > Mawasiliano > Weka Upya SIC na ingiza nenosiri lililotajwa katika hatua ya 5.
Kielelezo 24. Kuanzisha uaminifu na lango jipya la usalama
8) Toleo la Gaia la kitu linapaswa kubadilika. Ikiwa haifanyi hivyo, ibadilishe mwenyewe. Kisha sakinisha sera kwenye lango.
9) Katika Gaia Portal, nenda kwenye kichupo Uboreshaji (CPUSE) > Hali na Vitendo > Marekebisho ya joto na usakinishe hotfix ya hivi punde. Kifaa kitaingia washa upya wakati wa ufungaji!
10) Katika kesi ya nguzo, badilisha majukumu ya nodi na ufanye hatua sawa kwa nodi nyingine.
Hitimisho
Nilijaribu kufanya mwongozo wazi zaidi na wa kina wa kusasisha kutoka toleo la R80.20/R80.30 hadi R80.40 ya sasa, kwani mengi yamebadilika. Toleo tayari imeonekana katika hali ya onyesho, lakini utaratibu wa kusasisha unabaki kuwa sawa au kidogo. Kuongozwa na afisa kutoka kwa Check Point, unaweza kujua ugumu wote mwenyewe.
Ikiwa una maswali yoyote, tafadhali jisikie huru kuwasiliana nasi. Tutafurahi kusaidia hata masasisho changamano na kesi kupitia usaidizi wetu wa kiufundi. . Pia kwenye yetu Inawezekana kuagiza ukaguzi wa mipangilio ya Check Point au uiache bila malipo kwenye kesi ya kiufundi.
. Kaa chonjo (, , , , ).
Chanzo: mapenzi.com
