Ko'pеIkki yil oldin biz har bir Check Point ma'muri ertami-kechmi yangi versiyaga yangilash masalasiga duch kelishini yozgan edik. Bunda
Ma'lumki, Check Point-ni amalga oshirishning ikkita varianti mavjud: mustaqil va taqsimlangan, ya'ni maxsus boshqaruv serverisiz va ajratilgan. Taqsimlangan opsiyasi bir necha sabablarga ko'ra tavsiya etiladi:
-
shlyuz resurslariga yuk minimallashtiriladi;
-
Boshqaruv serverida ishlash uchun texnik xizmat ko'rsatish oynasini rejalashtirishingiz shart emas;
-
SmartEventning adekvat ishlashi, chunki uning mustaqil versiyada ishlashi dargumon;
-
Tarqalgan konfiguratsiyada shlyuzlar klasterini yaratish tavsiya etiladi.
Taqsimlangan konfiguratsiyaning barcha afzalliklarini hisobga olgan holda, biz boshqaruv serveri va xavfsizlik shlyuzini alohida yangilashni ko'rib chiqamiz.
Xavfsizlikni boshqarish serveri (SMS) yangilanishi
SMSni yangilashning ikki yo'li mavjud:
-
CPUSE orqali (Gaia Portal orqali)
-
Migratsiya vositalaridan foydalanish (toza o'rnatish kerak - yangi o'rnatish)
Check Point hamkasblari CPUSE yordamida yangilashni tavsiya etmaydi, chunki u fayl tizimi versiyasi va yadroni yangilamaydi. Biroq, bu usul siyosatlarni ko'chirishni talab qilmaydi va ikkinchi usulga qaraganda ancha tez va sodda.
Tavsiya etilgan usul Migratsiya vositalaridan foydalangan holda toza oʻrnatish va siyosatlarni koʻchirishdir. Yangi fayl tizimi va OS yadrosidan tashqari, SMS ma'lumotlar bazasi ko'pincha tiqilib qoladi va bu borada toza o'rnatish serverga tezlikni oshirish uchun ajoyib echimdir.
1) Har qanday yangilanishdagi birinchi qadam zaxira nusxalari va suratlarni yaratishdir. Agar sizda jismoniy boshqaruv serveri bo'lsa, Gaia Portal veb-interfeysidan zaxira nusxasini yaratish kerak. Yorliqga o'ting Xizmat > Tizimning zaxira nusxasi > Zaxira. Keyinchalik, siz zaxira nusxasini saqlash uchun joyni belgilaysiz. Bu SCP, FTP, TFTP serveri yoki qurilmadagi mahalliy bo'lishi mumkin, ammo keyin bu zaxira nusxasini server yoki kompyuterga keyinroq yuklashingiz kerak bo'ladi.
Shakl 1. Gaia portalida zaxira nusxasini yaratish
2) Keyin yorliqda suratga olishingiz kerak Xizmat → Snapshot boshqaruvi → Yangi. Zaxira va oniy tasvirlar o'rtasidagi farq shundaki, oniy tasvirlar qo'shimcha ma'lumotlarni, shu jumladan barcha o'rnatilgan tuzatishlarni saqlaydi. Biroq, ikkalasini ham qilish yaxshiroqdir.
Agar sizning boshqaruv serveringiz virtual mashina sifatida o'rnatilgan bo'lsa, u holda o'rnatilgan gipervisor vositalaridan foydalangan holda virtual mashinaning zaxira nusxasini yaratish tavsiya etiladi. Bu shunchaki tezroq va ishonchliroq.
Shakl 2. Gaia portalida oniy tasvirni yaratish
3) Gaia portalidan qurilma konfiguratsiyasini saqlang. Siz Gaia Portalidagi barcha sozlamalar yorliqlarini skrinshot qilishingiz yoki Clish-dan buyruqni kiritishingiz mumkin konfiguratsiyani saqlash. Keyin faylni WinSCP yoki boshqa mijoz yordamida kompyuteringizga olib boring.
Shakl 3. Konfiguratsiyani matnli faylga saqlash)
nota: agar WinSCP ulanishga ruxsat bermasa, Foydalanuvchilar ko'rinishidagi veb-interfeysda yoki buyruqni kiritish orqali foydalanuvchi qobig'ini /bin/bash ga o'zgartiring. chsh –s /bin/bash.
CPUSE bilan yangilanmoqda
4) Birinchi 3 qadam har qanday yangilash opsiyasi uchun majburiydir. Agar siz oddiyroq yangilanish yo'lini tanlashga qaror qilsangiz, veb-interfeysda yorliqga o'ting Yangilanishlar (CPUSE) > Holat va amallar > Asosiy versiyalar > Tekshirish nuqtasi R80.40 Gaia yangi o‘rnatish va yangilash. Ushbu yangilanishni o'ng tugmasini bosing va tanlang Tekshiruvchi. Tekshirish jarayoni bir necha daqiqadan so'ng boshlanadi, shundan so'ng siz qurilmani yangilash mumkinligi haqida xabarni ko'rasiz. Agar xatolarni ko'rsangiz, ularni tuzatish kerak.
Shakl 4. CPUSE orqali yangilash
5) CDT (Central Deployment Tool) ning eng so'nggi versiyasiga yangilang - boshqaruv serverida ishlaydigan va yangilanishlarni, xizmat paketlarini o'rnatish, zaxira nusxalarini, oniy tasvirlarni, skriptlarni va boshqa ko'p narsalarni boshqarish imkonini beruvchi yordamchi dastur. Eskirgan CDT versiyasi yangilanish bilan bog'liq muammolarga olib kelishi mumkin. CDT ni yuklab olishingiz mumkin
6) Yuklab olingan arxivni SMS-ga WinSCP orqali istalgan katalogga joylashtirgandan so'ng, SSH orqali SMS-ga ulaning va ekspert rejimiga kiring. Eslatib o'taman, WinSCP foydalanuvchisi qobiqga ega bo'lishi kerak / bin / bash!
7) Buyruqlarni kiriting:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Shakl 5. Markaziy joylashtirish vositasini (CDT) o'rnatish
8) Keyingi qadam R80.40 tasvirini o'rnatishdir. Yangilanishni o'ng tugmasini bosing Yuklab olish, keyin O'rnating. Yodda tutingki, yangilanish 20-30 daqiqa davom etadi va boshqaruv serveri bir muncha vaqt ishlamaydi. Shuning uchun, xizmat ko'rsatish oynasi haqida kelishib olish mantiqan.
9) Barcha litsenziyalar va xavfsizlik siyosatlari saqlanadi, shuning uchun keyin siz yangisini yuklab olishingiz kerak
10) SMS yangi SmartConsole-ga ulaning va xavfsizlik siyosatini o'rnating. Tugma O'rnatish siyosati yuqori chap burchakda.
11) Sizning SMS-xabaringiz yangilandi, keyin siz eng so'nggi tuzatishni o'rnatishingiz kerak. Yorliqda Yangilanishlar (CPUSE) > Holat va amallar > Tuzatishlar sichqonchaning o'ng tugmachasini bosing Tasdiqlovchi, keyin Yangilashni o'rnating. Yangilanish o'rnatilgandan so'ng qurilma o'zini o'zi qayta ishga tushiradi.
Rasm 6. CPUSE orqali so'nggi tuzatishni o'rnatish
Migratsiya vositalari bilan yangilanmoqda
4) Birinchidan, siz CDT ning so'nggi versiyasiga ham yangilashingiz kerak - bo'limning 5, 6, 7-bandlari "CPUSE yordamida yangilang."
5) Boshqaruv serveridan siyosatlarni koʻchirish uchun zarur boʻlgan Migratsiya vositalari paketini oʻrnating. Shunga ko'ra
6) Keyingi SMS veb-interfeysi yorlig'iga o'ting Yangilanishlar (CPUSE) > Holat va amallar > Paketni import qilish > Ko‘rib chiqish > Yuklangan faylni tanlash > Import.
Shakl 7. Migratsiya vositalarini import qilish
7) SMS-da ekspert rejimida Migratsiya vositalari to'plami buyruq yordamida o'rnatilganligini tekshiring (buyruqning chiqishi Migratsiya vositalari arxivi nomidagi raqamga mos kelishi kerak):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Shakl 8. Migratsiya vositalarining o'rnatilishini tekshirish
8) Boshqaruv serveridagi $FWDIR/skriptlar jildiga o'ting:
CD $FWDIR/skriptlar
9) Buyruq yordamida yangilashdan oldingi tekshirgichni ishga tushiring (agar xatolar bo'lsa, keyingi bosqichlardan oldin ularni tuzating):
./migrate_server verify -v R80.40
nota: xatolikni ko'rsangiz “Yangilash vositalari to‘plamini olib bo‘lmadi”, lekin siz arxiv muvaffaqiyatli import qilinganligini tekshirdingiz (4-bandga qarang), buyruqdan foydalaning:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Shakl 9. Tekshirish skriptini ishga tushirish
10) Buyruq yordamida xavfsizlik siyosatlarini eksport qiling:
./migrate_server eksport -v R80.40 / / .tgz
10-rasm. Xavfsizlik siyosatini eksport qilish
nota: xatolikni ko'rsangiz “Yangilash vositalari to‘plamini olib bo‘lmadi”, lekin siz arxiv muvaffaqiyatli import qilinganligini tekshirdingiz (7-qadam), buyruqdan foydalaning:
./migrate_server eksport -skip_upgrade_tools_check -v R80.40 / / .tgz
11) MD5 xesh summasini hisoblang va buyruqning natijasini saqlang:
md5sum / / .tgz
11-rasm. MD5 xesh summasini hisoblash
12) WinSCP-dan foydalanib, ushbu faylni kompyuteringizga o'tkazing.
13) Buyruqni kiriting df-h va egallagan maydonga qarab kataloglar foizini o'zingizga saqlang.
Shakl 12. Bir SMS uchun kataloglar ulushi
14.1) Agar sizda haqiqiy SMS bo'lsa
14.1.1) Foydalanish
14.1.2) Men kamida ikkita yuklanadigan flesh-diskni tayyorlashni tavsiya qilaman, chunki flesh-disk har doim ham o'qilishi mumkin emas.
14.1.3) Kompyuteringizda administrator sifatida ishga tushiring ISOmorphic.exe. 1-bosqichda Gaia R80.40-ning yuklab olingan tasvirini, 4-bosqichda flesh-diskni tanlang. 2 va 3 bandlarni o'zgartiring kerak emas!
Rasm 13. Yuklanadigan USB flesh-diskini yaratish
14.1.4) Elementni tanlang "Tasdiqlamasdan avtomatik o'rnatish" va boshqaruv serveringiz modelini belgilash muhimdir. SMS bo'lsa, siz 3 yoki 4 qatorni tanlashingiz kerak.
Shakl 14. Yuklanadigan USB flesh-diskini yaratish uchun qurilma modelini tanlash
14.1.5) Keyin yuqori chiziqni o'chirasiz, flesh-diskni USB portiga kiritasiz, konsol kabelini MAQOMOTI porti orqali qurilmaga ulang va SMS-ni yoqing. O'rnatish jarayoni avtomatik ravishda amalga oshiriladi. Standart IP manzil - 192.168.1.1/24, va kirish ma'lumotlari admin/admin.
14.1.6) Keyingi qadam Gaia portalidagi veb-interfeysga ulanish (standart manzil)
14.2) Agar sizda virtual SMS bo'lsa
14.2.1) Hech qanday holatda eski SMS-xabarlarni o'chiring, bir xil resurslarga (CPU, RAM, HDD) va bir xil IP-manzilga ega yangi virtual mashina yaratmang. Aytgancha, siz RAM va HDD qo'shishingiz mumkin, chunki R80.40 versiyasi biroz talabchan. IP-manzil ziddiyatlarini oldini olish uchun eski SMS-ni o'chiring va yangisini o'rnatishni boshlang.
14.2.2) Gaia-ni o'rnatish vaqtida joriy IP-manzilni sozlang va katalogni tanlang / root etarli joy miqdori. Sizda mavjud bo'lgan kataloglar foizi taxminan bo'lishi kerak omon qolish, chiqishdan foydalaning df-h.
15) O'rnatish turini tanlashda "O'rnatish turi" birinchi variantni tanlang, chunki sizda MDS (Multi-Domain Server) yo'q. Agar MDS bo'lsa, siz bir vaqtning o'zida turli SMS ob'ektlaridan ko'plab domenlarni boshqargansiz. Bunday holda siz ikkinchi variantni tanlashingiz kerak.
Shakl 15. Gaia o'rnatish turini tanlash
16) Qayta o'rnatmasdan tuzatib bo'lmaydigan eng muhim nuqta - bu ob'ektni tanlash. Tanlash kerak Xavfsizlikni boshqarish tugmasini bosing va Keyingi. Qolgan hamma narsa sukut bo'yicha.
Shakl 16. Gaia-ni o'rnatishda ob'ekt turini tanlash
17) Qurilma qayta ishga tushirilgandan so'ng, yordamida veb-interfeysga ulaning
18) Skrinshotlardan sozlamalarni biror narsa sozlangan barcha Gaia Portal yorliqlariga o'tkazing yoki clish buyrug'ini ishga tushiring. yuk konfiguratsiyasi .Xabar. Ushbu konfiguratsiya fayli avval SMS orqali yuklanishi kerak.
nota: OS yangi bo'lganligi sababli, WinSCP sizga administrator sifatida ulanishga, foydalanuvchi qobig'ini "Foydalanuvchilar" yorlig'idagi veb-interfeysda yoki buyruqni kiritish orqali /bin/bash ga o'zgartirishga ruxsat bermaydi. chsh –s /bin/bash yoki yangi foydalanuvchi yarating.
19) Eski boshqaruv serveridan eksport qilingan siyosatlar bilan faylni istalgan katalogga yuklang. Keyin ekspert rejimida konsolga o'ting va MD5 xesh miqdori avvalgisiga mos kelishini tekshiring. Aks holda, eksport yana amalga oshirilishi kerak:
Men md5man / / .tgz
20) 6-bosqichni takrorlang va yorliqdagi Gaia portalidagi yangi SMS-ga Upgrade Tools-ni o'rnating. Yangilanishlar (CPUSE) > Holat va harakatlar.
21) Ekspert rejimida buyruqni kiriting:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Shakl 17. Yangi SMSga xavfsizlik siyosatini import qilish
22) Buyruq bilan xizmatlarni yoqing cpstart.
23) Yangisini yuklab oling
Shakl 18. O'rnatilgan litsenziyalarni tekshirish
24) shlyuz yoki klasterda xavfsizlik siyosatini o'rnating - O'rnatish siyosati.
Xavfsizlik shlyuzi (SG) yangilanishi
Xavfsizlik shlyuzi boshqaruv serveri kabi CPUSE orqali yangilanishi yoki qayta o'rnatilishi mumkin - yangi o'rnatish. Mening tajribamga ko'ra, 99% hollarda hamma Security Gateway-ni qayta o'rnatadi, chunki bu CPUSE orqali yangilanish bilan deyarli bir xil vaqtni oladi, lekin siz xatosiz toza, yangilangan OTga ega bo'lasiz.
SMS-ga o'xshab, siz avval zaxira nusxasini va suratni yaratishingiz, shuningdek Gaia Portal sozlamalarini saqlashingiz kerak. Bo'limning 1, 2 va 3-bandlariga qarang "Xavfsizlik boshqaruvi serverini yangilash".
CPUSE bilan yangilanmoqda
CPUSE orqali xavfsizlik shlyuzini yangilash Xavfsizlikni boshqarish serverini yangilash bilan bir xil, shuning uchun maqolaning boshiga qarang.
Muhim nuqta: SG yangilanishi talab qilinadi reboot! Shuning uchun, parvarishlash oynasida yangilang. Agar sizda klaster bo'lsa, avval passiv tugunni yangilang, keyin rollarni almashtiring va boshqa tugunni yangilang. Klaster bo'lsa, parvarishlash oynalaridan qochish mumkin.
Security Gateway-da yangi OS versiyasi o'rnatilmoqda
1.1) Agar sizda haqiqiy SG bo'lsa
1.1.1) Foydalanish
1.1.2) Men kamida ikkita yuklanadigan flesh-diskni tayyorlashni tavsiya qilaman, chunki flesh-disk har doim ham o'qilishi mumkin emas.
1.1.3) Kompyuteringizda administrator sifatida ishga tushiring ISOmorphic.exe. 1-bosqichda Gaia R80.40-ning yuklab olingan tasvirini, 4-bosqichda flesh-diskni tanlang. 2 va 3 bandlarni o'zgartiring kerak emas!
Rasm 19. Yuklanadigan USB flesh-diskini yaratish
1.1.4) Elementni tanlang "Tasdiqlamasdan avtomatik o'rnatish", va Xavfsizlik shlyuzingiz modelini ko'rsatish muhim - 2 yoki 3-qatorlar. Agar bu jismoniy sandbox (SandBlast Appliance) bo'lsa, 5-qatorni tanlang.
Shakl 20. Yuklanadigan USB flesh-diskini yaratish uchun qurilma modelini tanlash
1.1.5) Keyin yuqori chiziqni o'chirasiz, flesh-diskni USB portiga kiritasiz, konsol kabelini MAQOMOTI porti orqali qurilmaga ulang va shlyuzni yoqing. O'rnatish jarayoni avtomatik ravishda amalga oshiriladi. Standart IP manzil - 192.168.1.1/24, va kirish ma'lumotlari admin/admin. Avval yangilashingiz kerak passiv tugun, keyin unga siyosat o'rnating, rollarni almashtiring va keyin boshqa tugunni yangilang. Sizga xizmat ko'rsatish oynasi kerak bo'ladi.
1.1.6) Keyingi qadam Gaia portalidagi veb-interfeysga ulanish bo'lib, u erda siz qurilmani birinchi ishga tushirishdan o'tasiz. Boshlash paytida siz asosan bosing Keyingi, chunki kelajakda deyarli barcha sozlamalar o'zgartirilishi mumkin. Biroq, siz darhol IP manzilini, DNS sozlamalarini va xost nomini o'zgartirishingiz mumkin.
1.2) Agar sizda virtual SG bo'lsa
1.2.1) Xuddi shu resurslarga (CPU, RAM, HDD) yoki undan ko'p yangi virtual mashina yarating, chunki R80.40 versiyasi biroz talabchanroq. IP-manzillar to'qnashuvining oldini olish uchun eski shlyuzni o'chiring va bir xil IP-manzilga ega yangisini o'rnatishni boshlang. Eski SG xavfsiz tarzda o'chirilishi mumkin, chunki unda hech qanday qimmatli narsa yo'q, chunki barcha muhim narsalar - xavfsizlik siyosati - boshqaruv serverida joylashgan.
1.2.2) OTni o'rnatish vaqtida joriy IP manzilni sozlang va katalogni tanlang / root etarli joy miqdori.
3) HTTPS porti orqali shlyuzga ulaning va ishga tushirish jarayonini boshlang. O'rnatish turini tanlash vaqtida "O'rnatish turi" birinchi variantni tanlang - Xavfsizlik shlyuzi va/yoki Xavfsizlik boshqaruvi.
Shakl 21. Gaia o'rnatish turini tanlash
4) Eng muhim nuqta - ob'ektni tanlash (Mahsulotlar). Tanlash kerak Xavfsizlik shlyuzi va agar sizda klaster bo'lsa, katakchani belgilang “Birlik klasterning bir qismi, turi: ClusterXL”. Agar sizda VRRP klasteringiz bo'lsa, unda ushbu turni tanlang, ammo bu dargumon.
Shakl 22. Gaia-ni o'rnatishda ob'ekt turini tanlash
5) Keyingi bosqichda boshqaruv serveri bilan ishonchni o'rnatish uchun SIC bir martalik parolni o'rnating. Ushbu parol yordamida sertifikat yaratiladi va boshqaruv serveri shifrlangan aloqa kanali orqali shlyuz bilan bog'lanadi. Tekshirish belgisi “Menejmentingizga xizmat sifatida ulaning” boshqaruv serveri bulutda joylashgan bo'lsa, o'rnatilishi kerak. Biz bu haqda yaqinda yozgan edik
23-rasm. SICni yaratish
6) Keyingi yorliqda ishga tushirish jarayonini boshlang. Qurilma qayta ishga tushishi bilan veb-interfeysga ulaning va sozlamalarni skrinshotlardan biror narsa sozlangan barcha Gaia Portal yorliqlariga o'tkazing yoki clish buyrug'ini ishga tushiring. yuk konfiguratsiyasi .Xabar. Ushbu konfiguratsiya fayli avval xavfsizlik shlyuziga yuklanishi kerak.
nota: OS yangi bo'lganligi sababli, WinSCP sizga administrator sifatida ulanishga, foydalanuvchi qobig'ini "Foydalanuvchilar" yorlig'idagi veb-interfeysda yoki buyruqni kiritish orqali /bin/bash ga o'zgartirishga ruxsat bermaydi. chsh –s /bin/bash yoki ushbu qobiq bilan yangi foydalanuvchi yarating.
7) Ochiq
24-rasm: Yangi xavfsizlik shlyuzi bilan ishonchni o'rnatish
8) Ob'ektning Gaia versiyasi o'zgarishi kerak, agar u o'zgarmasa, uni qo'lda o'zgartiring. Keyin siyosatni shlyuzga o'rnating.
9) Gaia portalida yorliqga o'ting Yangilanishlar (CPUSE) > Holat va amallar > Tuzatishlar va oxirgi tuzatishni o'rnating. Qurilma ichkariga kiradi qayta ishga tushirish o'rnatish paytida!
10) Klaster bo'lsa, tugunlarning rollarini o'zgartiring va boshqa tugun uchun xuddi shunday amallarni bajaring.
xulosa
Men R80.20/R80.30 versiyasidan hozirgi R80.40 versiyasiga yangilash uchun eng aniq va keng qamrovli qo'llanmani yaratishga harakat qildim, chunki ko'p narsa o'zgargan. Versiya
Har qanday savol uchun biz bilan bog'lanishingiz mumkin. Biz texnik yordamimizning bir qismi sifatida eng murakkab yangilanishlar va holatlar bo'yicha yordam berishdan mamnun bo'lamiz
Manba: www.habr.com