BolеDalawang taon na ang nakalilipas, isinulat namin na ang bawat administrator ng Check Point sa kalaunan ay nahaharap sa isyu ng pag-update sa isang bagong bersyon. Dito sa isang pag-upgrade mula sa bersyon R77.30 hanggang R80.10 ay inilarawan. Siyanga pala, noong Enero 2020, ang R77.30 ay naging isang sertipikadong bersyon ng FSTEC. Gayunpaman, marami ang nagbago sa Check Point sa loob ng 2 taon. Sa artikulong "” inilalarawan ang lahat ng mga inobasyon, kung saan marami. Ilalarawan ng artikulong ito ang pamamaraan ng pag-update nang detalyado hangga't maaari.
Tulad ng alam mo, mayroong 2 opsyon para sa pagpapatupad ng Check Point: Standalone at Distributed, iyon ay, nang walang dedikadong server ng pamamahala at may dedikadong server. Ang pagpipiliang Naipamahagi ay lubos na inirerekomenda para sa ilang kadahilanan:
-
ang pagkarga sa mga mapagkukunan ng gateway ay pinaliit;
-
Hindi mo kailangang mag-iskedyul ng window ng pagpapanatili upang gumana sa server ng pamamahala;
-
sapat na operasyon ng SmartEvent, dahil malamang na hindi ito gagana sa Standalone na bersyon;
-
Lubos na inirerekomendang bumuo ng isang kumpol ng mga gateway sa Distributed configuration.
Dahil sa lahat ng pakinabang ng Distributed configuration, isasaalang-alang namin ang pag-upgrade ng management server at security gateway nang hiwalay.
Update sa Security Management Server (SMS).
Mayroong 2 paraan upang i-update ang SMS:
-
sa pamamagitan ng CPUSE (sa pamamagitan ng Gaia Portal)
-
gamit ang Migration Tools (kailangan ng malinis na pag-install - sariwang pag-install)
Ang pag-update gamit ang CPUSE ay hindi inirerekomenda ng mga kasamahan sa Check Point dahil hindi nito ia-update ang bersyon at kernel ng iyong file system. Gayunpaman, ang pamamaraang ito ay hindi nangangailangan ng paglipat ng mga patakaran at mas mabilis at mas simple kaysa sa pangalawang paraan.
Ang malinis na pag-install at paglipat ng mga patakaran gamit ang Migration Tools ang inirerekomendang paraan. Bilang karagdagan sa bagong file system at OS kernel, madalas na nangyayari na ang database ng SMS ay barado, at ang isang malinis na pag-install sa bagay na ito ay isang mahusay na solusyon upang magdagdag ng bilis sa server.
1) Ang unang hakbang sa anumang pag-update ay lumikha ng mga backup at snapshot. Kung mayroon kang pisikal na server ng pamamahala, dapat gumawa ng backup mula sa web interface ng Gaia Portal. Pumunta sa tab Pagpapanatili > System Backup > Backup. Susunod, tinukoy mo ang lokasyon upang i-save ang backup. Ito ay maaaring isang SCP, FTP, TFTP server, o lokal sa device, ngunit pagkatapos ay kailangan mong i-upload ang backup na ito sa isang server o computer sa ibang pagkakataon.
Figure 1. Paglikha ng backup sa Gaia Portal
2) Susunod na dapat kang kumuha ng snapshot sa tab Pagpapanatili → Pamamahala ng Snapshot → Bago. Ang pagkakaiba sa pagitan ng mga backup at snapshot ay ang mga snapshot ay nag-iimbak ng higit pang impormasyon, kasama ang lahat ng naka-install na hotfix. Gayunpaman, mas mahusay na gawin ang pareho.
Kung ang iyong server ng pamamahala ay naka-install bilang isang virtual machine, pagkatapos ay inirerekomenda na gumawa ng isang backup ng virtual machine gamit ang mga built-in na hypervisor tool. Ito ay mas mabilis at mas maaasahan.
Figure 2. Paglikha ng snapshot sa Gaia Portal
3) I-save ang configuration ng device mula sa Gaia Portal. Maaari mong i-screenshot ang lahat ng mga tab ng mga setting na nasa Gaia Portal, o ilagay ang command mula sa Clish i-save ang configuration. Susunod, dalhin ang file sa iyong PC gamit ang WinSCP o ibang client.
Figure 3. Pag-save ng configuration sa isang text file)
Nota: kung hindi ka pinapayagan ng WinSCP na kumonekta, palitan ang user shell sa /bin/bash alinman sa web interface sa tab na Mga User, o sa pamamagitan ng paglalagay ng command chsh –s /bin/bash.
Nag-a-update gamit ang CPUSE
4) Ang unang 3 hakbang ay sapilitan para sa anumang opsyon sa pag-update. Kung magpasya kang kumuha ng isang mas simpleng landas sa pag-update, pagkatapos ay sa web interface pumunta sa tab Mga Upgrade (CPUSE) > Status at Mga Pagkilos > Mga Pangunahing Bersyon > Check Point R80.40 Gaia Fresh Install and Upgrade. Mag-right-click sa update na ito at piliin Verifier. Magsisimula ang proseso ng pag-verify sa loob ng ilang minuto, pagkatapos nito ay makakakita ka ng mensahe na maaaring ma-update ang device. Kung makakita ka ng mga error, kailangan itong itama.
Figure 4. Update sa pamamagitan ng CPUSE
5) I-update sa pinakabagong bersyon ng CDT (Central Deployment Tool) - isang utility na tumatakbo sa server ng pamamahala at nagbibigay-daan sa iyong mag-install ng mga update, service pack, pamahalaan ang mga backup, snapshot, script at marami pa. Ang isang luma na bersyon ng CDT ay maaaring magdulot ng mga problema sa pag-update. Maaari mong i-download ang CDT sa .
6) Pagkatapos ilagay ang na-download na archive sa SMS sa anumang direktoryo sa pamamagitan ng WinSCP, kumonekta sa pamamagitan ng SSH sa SMS at pumasok sa expert mode. Ipaalala ko sa iyo na ang gumagamit ng WinSCP ay dapat may shell / basahan / bash!
7) Ipasok ang mga utos:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Figure 5. Pag-install ng Central Deployment Tool (CDT)
8) Ang susunod na hakbang ay i-install ang R80.40 na imahe. Mag-right click sa update I-download, pagkatapos Install. Tandaan na ang pag-update ay tatagal ng 20-30 minuto at ang server ng pamamahala ay hindi magagamit sa loob ng ilang oras. Samakatuwid, makatuwirang sumang-ayon sa isang window ng serbisyo.
9) Ang lahat ng mga lisensya at mga patakaran sa seguridad ay naka-save, kaya sa susunod ay dapat kang mag-download ng bago .
10) Kumonekta sa SMS ng bagong SmartConsole at magtakda ng mga patakaran sa seguridad. Pindutan Patakaran sa Pag-install sa kaliwang sulok sa itaas.
11) Na-update ang iyong SMS, pagkatapos ay dapat mong i-install ang pinakabagong hotfix. Sa tab Mga Upgrade (CPUSE) > Status at Mga Pagkilos > Mga Hotfix i-click ang kanang pindutan ng mouse Verifierpagkatapos I-install ang update. Magre-reboot ang device mismo pagkatapos i-install ang update.
Figure 6. Pag-install ng pinakabagong hotfix sa pamamagitan ng CPUSE
Pag-update gamit ang Migration Tools
4) Una, dapat ka ring mag-update sa pinakabagong bersyon ng CDT - puntos 5, 6, 7 mula sa seksyon "Mag-update gamit ang CPUSE."
5) I-install ang package ng Migration Tools na kinakailangan upang mag-migrate ng mga patakaran mula sa server ng pamamahala. Ayon dito mahahanap mo ang Migration Tools para sa mga bersyon: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Dapat mong i-download ang Migration Tools ng bersyon kung saan mo gustong i-update, at hindi ang mayroon ka ngayon! Sa aming kaso ito ay R80.40.
6) Susunod sa SMS web interface pumunta sa tab Mga Upgrade (CPUSE) > Status at Mga Pagkilos > Import Package > Browse > Piliin ang na-download na file > Import.
Figure 7. Pag-import ng Migration Tools
7) Mula sa mode ng eksperto sa SMS, tingnan kung ang package ng Migration Tools ay naka-install gamit ang command (ang output ng command ay dapat tumugma sa numero sa pangalan ng Migration Tools archive):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figure 8. Pag-verify sa pag-install ng Migration Tools
8) Pumunta sa $FWDIR/scripts folder sa management server:
cd $FWDIR/scripts
9) Patakbuhin ang pre-upgrade verifier gamit ang command (kung may mga error, itama ang mga ito bago ang mga karagdagang hakbang):
./migrate_server verify -v R80.40
Nota: kung may nakita kang error “Nabigong makuha ang package ng Upgrade Tools”, ngunit nasuri mo na ang archive ay matagumpay na na-import (tingnan ang punto 4), gamitin ang command:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figure 9. Pagpapatakbo ng verification script
10) I-export ang mga patakaran sa seguridad gamit ang command:
./migrate_server export -v R80.40 / / .tgz
Figure 10. Pag-export ng patakaran sa seguridad
Nota: kung may nakita kang error “Nabigong makuha ang package ng Upgrade Tools”, ngunit nasuri mo na ang archive ay matagumpay na na-import (hakbang 7), gamitin ang command:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Kalkulahin ang MD5 hash sum at i-save ang output ng command:
md5sum / / .tgz
Figure 11. Pagkalkula ng MD5 hash sum
12) Gamit ang WinSCP, ilipat ang file na ito sa iyong computer.
13) Ipasok ang command df -h at i-save ang iyong sarili ang porsyento ng mga direktoryo batay sa espasyo na inookupahan.
Figure 12. Porsiyento ng mga direktoryo sa bawat SMS
14.1) Kung sakaling mayroon kang totoong SMS
14.1.1) Paggamit isang bootable USB flash drive na may isang imahe ay nilikha .
14.1.2) Inirerekumenda ko ang paghahanda ng hindi bababa sa 2 bootable flash drive, dahil nangyayari na ang flash drive ay hindi palaging nababasa.
14.1.3) Bilang isang administrator sa iyong computer, tumakbo ISOmorphic.exe. Sa hakbang 1, piliin ang na-download na imahe ng Gaia R80.40, sa hakbang 4 ang flash drive. Baguhin ang mga puntos 2 at 3 hindi kailangan!
Figure 13. Paglikha ng bootable USB flash drive
14.1.4) Pumili ng item "Awtomatikong mag-install nang walang kumpirmasyon" at mahalagang tukuyin ang modelo ng iyong server ng pamamahala. Sa kaso ng SMS, dapat mong piliin ang linya 3 o 4.
Figure 14. Pagpili ng modelo ng device para gumawa ng bootable USB flash drive
14.1.5) Susunod, i-off mo ang upline, ipasok ang flash drive sa USB port, ikonekta ang console cable sa pamamagitan ng COM port sa device at paganahin ang SMS. Ang proseso ng pag-install ay awtomatikong nangyayari. Default na IP Address - 192.168.1.1/24, at impormasyon sa pag-log in admin/admin.
14.1.6) Ang susunod na hakbang ay ang kumonekta sa web interface sa Gaia Portal (default na address ), kung saan ka dumaan sa pagsisimula ng device. Sa panahon ng pagsisimula ay karaniwang pinindot mo Susunod, dahil halos lahat ng mga setting ay maaaring baguhin sa hinaharap. Gayunpaman, maaari mong agad na baguhin ang IP address, mga setting ng DNS at hostname.
14.2) Kung sakaling mayroon kang virtual na SMS
14.2.1) Sa anumang pagkakataon dapat mong tanggalin ang lumang SMS; lumikha ng bagong virtual machine na may parehong mga mapagkukunan (CPU, RAM, HDD) at parehong IP address. Sa pamamagitan ng paraan, maaari kang magdagdag ng RAM at HDD, dahil ang bersyon ng R80.40 ay medyo mas hinihingi. Upang maiwasan ang mga salungatan sa IP address, i-off ang lumang SMS at simulan ang pag-install ng bago.
14.2.2) Sa panahon ng pag-install ng Gaia, i-configure ang kasalukuyang IP address at pumili ng direktoryo / ugat sapat na dami ng espasyo. Ang porsyento ng mga direktoryo na mayroon ka ay dapat na humigit-kumulang mabuhay, gamitin ang output df -h.
15) Sa sandali ng pagpili ng uri ng pag-install "Uri ng Pag-install" piliin ang unang opsyon, dahil malamang na wala kang MDS (Multi-Domain Server). Kung MDS, pinamahalaan mo ang maraming domain mula sa iba't ibang mga entity ng SMS nang sabay-sabay. Sa kasong ito, dapat mong piliin ang pangalawang item.
Figure 15. Pagpili ng uri ng pag-install ng Gaia
16) Ang pinakamahalagang punto na hindi maitatama nang walang muling pag-install ay ang pagpili ng entity. Dapat pumili Pamamahala ng seguridad at i-click Susunod. Ang lahat ng iba pa ay bilang default.
Figure 16. Pagpili ng uri ng entity kapag ini-install ang Gaia
17) Kapag nag-reboot ang device, kumonekta sa web interface gamit ang o ibang IP address kung binago mo ito.
18) Ilipat ang mga setting mula sa mga screenshot sa lahat ng mga tab ng Gaia Portal kung saan may na-configure, o patakbuhin ang command mula sa clish pagsasaayos ng pagkarga .txt. Ang config file na ito ay dapat munang i-upload sa SMS.
Nota: Dahil sa katotohanan na ang OS ay bago, hindi ka papayagan ng WinSCP na kumonekta bilang isang administrator, baguhin ang user shell sa /bin/bash alinman sa web interface sa tab na Mga User, o sa pamamagitan ng pagpasok ng command chsh –s /bin/bash o lumikha ng bagong user.
19) I-upload ang file na may mga na-export na patakaran mula sa lumang server ng pamamahala sa anumang direktoryo. Pagkatapos ay pumunta sa console sa expert mode at tingnan kung ang halaga ng hash ng MD5 ay tumutugma sa nauna. Kung hindi, ang pag-export ay dapat gawin muli:
md5sum / / .tgz
20) Ulitin ang hakbang 6 at i-install ang Upgrade Tools sa bagong SMS sa Gaia Portal sa tab Mga Upgrade (CPUSE) > Status at Mga Pagkilos.
21) Ipasok ang command sa expert mode:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figure 17. Pag-import ng patakaran sa seguridad sa isang bagong SMS
22) Paganahin ang mga serbisyo na may utos cpstart.
23) Mag-download ng bago at kumonekta sa server ng pamamahala. Pumunta sa Menu > Pamahalaan ang Mga Lisensya at Package (SmartUpdate) at suriin kung mayroon ka pa ring lisensya.
Figure 18. Sinusuri ang mga naka-install na lisensya
24) Itakda ang patakaran sa seguridad sa gateway o cluster - Patakaran sa Pag-install.
Update sa Security Gateway (SG).
Maaaring ma-update ang Security Gateway sa pamamagitan ng CPUSE, tulad ng server ng pamamahala, o mai-install muli - sariwang pag-install. Mula sa aking karanasan, sa 99% ng mga kaso, lahat ay muling nag-install ng Security Gateway dahil sa ang katunayan na ito ay tumatagal ng halos kaparehong oras ng pag-update sa pamamagitan ng CPUSE, ngunit nakakakuha ka ng malinis, na-update na OS na walang mga bug.
Sa pamamagitan ng pagkakatulad sa SMS, kailangan mo munang lumikha ng backup at snapshot, at i-save din ang mga setting mula sa Gaia Portal. Sumangguni sa mga punto 1, 2 at 3 sa seksyon "Update ng Server ng Pamamahala ng Seguridad".
Nag-a-update gamit ang CPUSE
Ang pag-update ng Security Gateway sa pamamagitan ng CPUSE ay eksaktong kapareho ng pag-update sa Security Management Server, kaya mangyaring sumangguni sa simula ng artikulo.
Mahalagang punto: Kinakailangan ang pag-update ng SG reboots! Samakatuwid, mag-update sa panahon ng window ng pagpapanatili. Kung mayroon kang cluster, i-upgrade muna ang passive node, pagkatapos ay lumipat ng mga tungkulin at i-upgrade ang iba pang node. Sa kaso ng isang kumpol, ang mga bintana ng pagpapanatili ay maaaring iwasan.
Pag-install ng bagong bersyon ng OS sa Security Gateway
1.1) Kung sakaling mayroon kang tunay na SG
1.1.1) Paggamit isang bootable USB flash drive na may isang imahe ay nilikha . Ang imahe ay kapareho ng sa SMS, ngunit ang pamamaraan para sa paglikha ng isang bootable flash drive ay mukhang medyo naiiba.
1.1.2) Inirerekumenda ko ang paghahanda ng hindi bababa sa 2 bootable flash drive, dahil nangyayari na ang flash drive ay hindi palaging nababasa.
1.1.3) Bilang isang administrator sa iyong computer, tumakbo ISOmorphic.exe. Sa hakbang 1, piliin ang na-download na imahe ng Gaia R80.40, sa hakbang 4 ang flash drive. Baguhin ang mga puntos 2 at 3 hindi kailangan!
Figure 19. Paglikha ng bootable USB flash drive
1.1.4) Pumili ng item "Awtomatikong mag-install nang walang kumpirmasyon", at mahalagang isaad ang modelo ng iyong Security Gateway - mga linya 2 o 3. Kung ito ay isang pisikal na sandbox (SandBlast Appliance), pagkatapos ay piliin ang linya 5.
Figure 20. Pagpili ng modelo ng device para gumawa ng bootable USB flash drive
1.1.5) Susunod, i-off mo ang upline, ipasok ang flash drive sa USB port, ikonekta ang console cable sa pamamagitan ng COM port sa device at i-on ang gateway. Ang proseso ng pag-install ay awtomatikong nangyayari. Default na IP Address - 192.168.1.1/24, at impormasyon sa pag-log in admin/admin. Dapat mag-update ka muna passive node, pagkatapos ay mag-install ng patakaran dito, lumipat ng mga tungkulin at pagkatapos ay mag-update ng isa pang node. Malamang na kailangan mo ng window ng pagpapanatili.
1.1.6) Ang susunod na hakbang ay ang kumonekta sa web interface sa Gaia Portal, kung saan dadaan ka sa unang pagsisimula ng device. Sa panahon ng pagsisimula ay karaniwang pinindot mo Susunod, dahil halos lahat ng mga setting ay maaaring baguhin sa hinaharap. Gayunpaman, maaari mong agad na baguhin ang IP address, mga setting ng DNS at hostname.
1.2) Kung sakaling mayroon kang virtual SG
1.2.1) Lumikha ng bagong virtual machine na may parehong mga mapagkukunan (CPU, RAM, HDD) o higit pa, dahil ang bersyon ng R80.40 ay medyo mas hinihingi. Upang maiwasan ang salungatan ng mga IP address, i-off ang lumang gateway at simulan ang pag-install ng bago na may parehong IP address. Ang lumang SG ay maaaring ligtas na matanggal, dahil walang mahalaga dito, dahil ang lahat ng pinakamahalagang bagay - ang patakaran sa seguridad - ay matatagpuan sa server ng pamamahala.
1.2.2) Sa panahon ng pag-install ng OS, i-configure ang kasalukuyang IP address at pumili ng direktoryo / ugat sapat na dami ng espasyo.
3) Kumonekta sa gateway sa pamamagitan ng HTTPS port at simulan ang proseso ng pagsisimula. Sa oras ng pagpili ng uri ng pag-install "Uri ng Pag-install" piliin ang unang opsyon - Security Gateway at/o Security Management.
Figure 21. Pagpili ng Gaia installation type
4) Ang pinakamahalagang punto ay ang pagpili ng entity (Mga Produkto). Dapat pumili Gateway ng Seguridad at, kung mayroon kang kumpol, lagyan ng check ang kahon "Ang unit ay bahagi ng isang cluster, uri: ClusterXL". Kung mayroon kang isang VRRP cluster, pagkatapos ay piliin ang ganitong uri, ngunit ito ay malamang na hindi.
Figure 22. Pagpili ng uri ng entity kapag ini-install ang Gaia
5) Sa susunod na hakbang, itakda ang isang beses na password ng SIC upang magtatag ng tiwala sa server ng pamamahala. Gamit ang password na ito, ang isang sertipiko ay nabuo, at ang server ng pamamahala ay makikipag-ugnayan sa gateway sa isang naka-encrypt na channel ng komunikasyon. check mark "Kumonekta sa iyong Pamamahala bilang isang Serbisyo" dapat itakda kung ang server ng pamamahala ay matatagpuan sa cloud. Kamakailan lang ay nagsulat kami tungkol dito at kung gaano maginhawa at simple ang cloud management server.
Larawan 23. Paglikha ng SIC
6) Simulan ang proseso ng pagsisimula sa susunod na tab. Sa sandaling mag-reboot ang device, kumonekta sa web interface at ilipat ang mga setting mula sa mga screenshot sa lahat ng tab ng Gaia Portal kung saan may na-configure, o patakbuhin ang command mula sa clish pagsasaayos ng pagkarga .txt. Dapat munang i-upload ang config file na ito sa gateway ng seguridad.
Nota: Dahil sa katotohanan na ang OS ay bago, hindi ka papayagan ng WinSCP na kumonekta bilang isang administrator, baguhin ang user shell sa /bin/bash alinman sa web interface sa tab na Mga User, o sa pamamagitan ng pagpasok ng command chsh –s /bin/bash o lumikha ng bagong user gamit ang shell na ito.
7) Buksan at pumunta sa object ng Security Gateway na kaka-install mo lang ulit. Buksan ang tab Mga Pangkalahatang Katangian > Komunikasyon > I-reset ang SIC at ilagay ang password na tinukoy sa hakbang 5.
Figure 24: Pagtatatag ng tiwala sa bagong gateway ng seguridad
8) Ang Gaia na bersyon ng bagay ay dapat magbago, kung hindi ito magbabago, pagkatapos ay baguhin ito nang manu-mano. Pagkatapos ay i-install ang patakaran sa gateway.
9) Sa Gaia Portal, pumunta sa tab Mga Upgrade (CPUSE) > Status at Mga Pagkilos > Mga Hotfix at i-install ang pinakabagong hotfix. Papasok ang device i-reboot sa panahon ng pag-install!
10) Sa kaso ng isang cluster, baguhin ang mga tungkulin ng mga node at gawin ang parehong mga hakbang para sa isa pang node.
Konklusyon
Sinubukan kong gawin ang pinakamalinaw at komprehensibong gabay para sa pag-upgrade mula sa bersyong R80.20/R80.30 hanggang sa kasalukuyang R80.40, dahil marami ang nagbago. Bersyon ay lumitaw na sa demo mode, ngunit ang pamamaraan ng pag-update ay nananatiling magkapareho. Ginagabayan ng opisyal mula sa Check Point, maaari mong malaman ang lahat ng mga detalye sa iyong sarili.
Para sa anumang mga katanungan maaari kang makipag-ugnayan sa amin. Ikalulugod naming tumulong sa mga pinakakumplikadong update at kaso bilang bahagi ng aming teknikal na suporta . Gayundin sa aming posibleng mag-order ng audit ng mga setting ng Check Point o iwanan ito nang libre para sa isang teknikal na kaso.
. Manatiling nakatutok (, , , , ).
Pinagmulan: www.habr.com