BolеHai năm trước, chúng tôi đã viết rằng mọi quản trị viên Check Point sớm hay muộn đều phải đối mặt với vấn đề cập nhật lên phiên bản mới. Trong này bản nâng cấp từ phiên bản R77.30 lên R80.10 đã được mô tả. Nhân tiện, vào tháng 2020 năm 77.30, R2 đã trở thành phiên bản được chứng nhận của FSTEC. Tuy nhiên, có rất nhiều điều đã thay đổi tại Check Point sau XNUMX năm. Trong bài viết “” mô tả tất cả những đổi mới, trong đó có rất nhiều. Bài viết này sẽ mô tả quy trình cập nhật càng chi tiết càng tốt.
Như bạn đã biết, có 2 tùy chọn để triển khai Check Point: Standalone và Distributed, tức là không có máy chủ quản lý chuyên dụng và có máy chủ chuyên dụng. Tùy chọn Phân phối được khuyến khích sử dụng vì nhiều lý do:
-
tải tài nguyên trên cổng được giảm thiểu;
-
Bạn không cần phải lên lịch thời gian bảo trì để hoạt động trên máy chủ quản lý;
-
SmartEvent hoạt động đầy đủ vì nó khó có thể hoạt động ở phiên bản Độc lập;
-
Chúng tôi khuyên bạn nên xây dựng một cụm cổng trong cấu hình Phân tán.
Với tất cả các lợi ích của cấu hình Phân tán, chúng tôi sẽ xem xét nâng cấp riêng máy chủ quản lý và cổng bảo mật.
Cập nhật máy chủ quản lý bảo mật (SMS)
Có 2 cách để cập nhật SMS:
-
thông qua CPUSE (thông qua Cổng thông tin Gaia)
-
sử dụng Công cụ di chuyển (yêu cầu cài đặt sạch - tươi cài đặt)
Các đồng nghiệp của Check Point không khuyến nghị cập nhật bằng CPUSE vì nó sẽ không cập nhật phiên bản hệ thống tệp và kernel của bạn. Tuy nhiên, phương pháp này không yêu cầu di chuyển chính sách và nhanh hơn, đơn giản hơn nhiều so với phương pháp thứ hai.
Cài đặt sạch và di chuyển các chính sách bằng Công cụ di chuyển là phương pháp được khuyến nghị. Ngoài hệ thống tệp mới và nhân hệ điều hành, cơ sở dữ liệu SMS thường bị tắc và cài đặt sạch trong vấn đề này là một giải pháp tuyệt vời để tăng tốc độ cho máy chủ.
1) Bước đầu tiên trong bất kỳ bản cập nhật nào là tạo bản sao lưu và ảnh chụp nhanh. Nếu bạn có máy chủ quản lý vật lý thì nên tạo bản sao lưu từ giao diện web Gaia Portal. Chuyển đến tab Bảo trì > Sao lưu hệ thống > Sao lưu. Tiếp theo, bạn chỉ định vị trí lưu bản sao lưu. Đây có thể là máy chủ SCP, FTP, TFTP hoặc cục bộ trên thiết bị, nhưng sau đó bạn sẽ phải tải bản sao lưu này lên máy chủ hoặc máy tính.
Hình 1. Tạo bản sao lưu trong Gaia Portal
2) Tiếp theo bạn nên chụp ảnh nhanh trong tab Bảo trì → Quản lý ảnh chụp nhanh → Mới. Sự khác biệt giữa bản sao lưu và ảnh chụp nhanh là ảnh chụp nhanh lưu trữ nhiều thông tin hơn, bao gồm tất cả các hotfix đã cài đặt. Tuy nhiên, tốt hơn là làm cả hai.
Nếu máy chủ quản lý của bạn được cài đặt dưới dạng máy ảo thì bạn nên tạo bản sao lưu của máy ảo bằng các công cụ ảo hóa được tích hợp sẵn. Nó chỉ đơn giản là nhanh hơn và đáng tin cậy hơn.
Hình 2. Tạo ảnh chụp nhanh trong Cổng thông tin Gaia
3) Lưu cấu hình thiết bị từ Cổng thông tin Gaia. Bạn có thể chụp màn hình tất cả các tab cài đặt trong Cổng thông tin Gaia hoặc nhập lệnh từ Clish lưu cấu hình. Tiếp theo, đưa tệp vào PC của bạn bằng WinSCP hoặc ứng dụng khách khác.
Hình 3. Lưu cấu hình vào tệp văn bản)
Ghi: nếu WinSCP không cho phép bạn kết nối, hãy thay đổi shell người dùng thành /bin/bash trong giao diện web trong tab Người dùng hoặc bằng cách nhập lệnh chsh –s /bin/bash.
Cập nhật bằng CPUSE
4) 3 bước đầu tiên là bắt buộc đối với mọi tùy chọn cập nhật. Nếu bạn quyết định sử dụng đường dẫn cập nhật đơn giản hơn, thì trong giao diện web, hãy chuyển đến tab Nâng cấp (CPUSE) > Trạng thái và hành động > Phiên bản chính > Kiểm tra điểm cài đặt và nâng cấp mới Gaia R80.40. Nhấp chuột phải vào bản cập nhật này và chọn Người xác minh. Quá trình xác minh sẽ bắt đầu trong vài phút, sau đó bạn sẽ thấy thông báo rằng thiết bị có thể được cập nhật. Nếu bạn thấy sai sót, chúng cần được sửa chữa.
Hình 4. Cập nhật qua CPUSE
5) Cập nhật lên phiên bản mới nhất của CDT (Công cụ triển khai trung tâm) - một tiện ích chạy trên máy chủ quản lý và cho phép bạn cài đặt các bản cập nhật, gói dịch vụ, quản lý bản sao lưu, ảnh chụp nhanh, tập lệnh và nhiều hơn thế nữa. Phiên bản CDT lỗi thời có thể gây ra sự cố khi cập nhật. Bạn có thể tải CDT tại .
6) Sau khi đặt kho lưu trữ đã tải xuống trên SMS vào bất kỳ thư mục nào qua WinSCP, hãy kết nối qua SSH với SMS và vào chế độ chuyên gia. Hãy để tôi nhắc bạn rằng người dùng WinSCP phải có shell / bin / bash!
7) Nhập lệnh:
cd /somepathtoCDT/
tar -zxvf .tgz
vòng/phút -Uhv—buộc CPcdt-00-00.i386.rpm
Hình 5. Cài đặt Công cụ triển khai trung tâm (CDT)
8) Bước tiếp theo là cài đặt hình ảnh R80.40. Nhấp chuột phải vào cập nhật Tải xuống sau đó Cài đặt. Hãy nhớ rằng quá trình cập nhật sẽ mất 20-30 phút và máy chủ quản lý sẽ không khả dụng trong một thời gian. Vì vậy, việc đồng ý về một cửa sổ dịch vụ là điều hợp lý.
9) Tất cả các giấy phép và chính sách bảo mật đều được lưu, vì vậy tiếp theo bạn nên tải xuống một giấy phép mới .
10) Kết nối với SMS SmartConsole mới và đặt chính sách bảo mật. Cái nút Chính sách cài đặt ở góc trên bên trái.
11) SMS của bạn đã được cập nhật, sau đó bạn nên cài đặt hotfix mới nhất. Trong tab Nâng cấp (CPUSE) > Trạng thái và hành động > Hotfix bấm vào nút chuột phải Trình xác minh, sau đó Cài đặt bản cập nhật. Thiết bị sẽ tự khởi động lại sau khi cài đặt bản cập nhật.
Hình 6. Cài đặt hotfix mới nhất qua CPUSE
Cập nhật bằng công cụ di chuyển
4) Trước tiên, bạn cũng nên cập nhật lên phiên bản CDT mới nhất - điểm 5, 6, 7 từ phần “Cập nhật bằng CPUSE.”
5) Cài đặt gói Công cụ di chuyển cần thiết để di chuyển các chính sách từ máy chủ quản lý. Theo cái này bạn có thể tìm thấy Công cụ di chuyển cho các phiên bản: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Bạn nên tải Migration Tools của phiên bản mà bạn muốn cập nhật, chứ không phải cái bạn có bây giờ! Trong trường hợp của chúng tôi là R80.40.
6) Tiếp theo trong giao diện web SMS chuyển đến tab Nâng cấp (CPUSE) > Trạng thái và hành động > Nhập gói > Duyệt > Chọn tệp đã tải xuống > Nhập.
Hình 7. Nhập công cụ di chuyển
7) Từ chế độ chuyên gia trên SMS, hãy kiểm tra xem gói Công cụ di chuyển đã được cài đặt bằng lệnh chưa (đầu ra của lệnh phải khớp với số trong tên của kho lưu trữ Công cụ di chuyển):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Hình 8. Xác minh cài đặt Công cụ di chuyển
8) Chuyển đến thư mục $FWDIR/scripts trên máy chủ quản lý:
cd $FWDIR/tập lệnh
9) Chạy trình xác minh trước khi nâng cấp bằng lệnh (nếu có lỗi, hãy sửa chúng trước các bước tiếp theo):
./migrate_server xác minh -v R80.40
Ghi: nếu bạn thấy có lỗi “Không thể truy xuất gói Công cụ nâng cấp”, nhưng bạn đã kiểm tra xem kho lưu trữ đã được nhập thành công chưa (xem điểm 4), hãy sử dụng lệnh:
./migrate_server xác minh -v R80.40 -skip_upgrade_tools_check
Hình 9. Chạy tập lệnh xác minh
10) Xuất chính sách bảo mật bằng lệnh:
./migrate_server xuất -v R80.40 / / .tgz
Hình 10. Xuất chính sách bảo mật
Ghi: nếu bạn thấy có lỗi “Không thể truy xuất gói Công cụ nâng cấp”, nhưng bạn đã kiểm tra xem kho lưu trữ đã được nhập thành công chưa (bước 7), hãy sử dụng lệnh:
./migrate_server xuất -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Tính tổng băm MD5 và lưu kết quả đầu ra của lệnh:
md5sum / / .tgz
Hình 11. Tính tổng băm MD5
12) Sử dụng WinSCP, di chuyển tệp này vào máy tính của bạn.
13) Nhập lệnh df-h và tiết kiệm cho mình tỷ lệ phần trăm thư mục dựa trên dung lượng bị chiếm dụng.
Hình 12. Tỷ lệ thư mục trên mỗi SMS
14.1) Trong trường hợp bạn có SMS thật
14.1.1) Sử dụng một ổ flash USB có khả năng khởi động có hình ảnh được tạo .
14.1.2) Tôi khuyên bạn nên chuẩn bị ít nhất 2 ổ flash có khả năng khởi động, vì không phải lúc nào ổ flash cũng có thể đọc được.
14.1.3) Với tư cách là quản trị viên trên máy tính của bạn, hãy chạy ISOmorphic.exe. Ở bước 1, chọn hình ảnh đã tải xuống của Gaia R80.40, ở bước 4 là ổ flash. Thay đổi điểm 2 và 3 đừng!
Hình 13. Tạo ổ flash USB có khả năng khởi động
14.1.4) Chọn một mục “Cài đặt tự động mà không cần xác nhận” và điều quan trọng là phải chỉ định mô hình máy chủ quản lý của bạn. Trong trường hợp nhắn tin SMS, bạn nên chọn dòng 3 hoặc 4.
Hình 14. Chọn model thiết bị để tạo ổ flash USB có khả năng khởi động
14.1.5) Tiếp theo, bạn tắt tuyến trên, cắm ổ flash vào cổng USB, kết nối cáp console qua cổng COM với thiết bị và kích hoạt SMS. Quá trình cài đặt diễn ra tự động. Địa chỉ IP mặc định - 192.168.1.1/24và thông tin đăng nhập quản trị viên / quản trị viên.
14.1.6) Bước tiếp theo là kết nối với giao diện web trên Gaia Portal (địa chỉ mặc định ), nơi bạn thực hiện quá trình khởi tạo thiết bị. Trong quá trình khởi tạo về cơ bản bạn nhấn Tiếp theo, bởi vì hầu hết tất cả các cài đặt đều có thể được thay đổi trong tương lai. Tuy nhiên, bạn có thể thay đổi ngay địa chỉ IP, cài đặt DNS và tên máy chủ.
14.2) Trong trường hợp bạn có SMS ảo
14.2.1) Trong mọi trường hợp, bạn không nên xóa SMS cũ; tạo một máy ảo mới có cùng tài nguyên (CPU, RAM, HDD) và cùng địa chỉ IP. Nhân tiện, bạn có thể thêm RAM và HDD, vì phiên bản R80.40 đòi hỏi khắt khe hơn một chút. Để tránh xung đột địa chỉ IP, hãy tắt SMS cũ và bắt đầu cài đặt tin nhắn mới.
14.2.2) Trong quá trình cài đặt Gaia, hãy định cấu hình địa chỉ IP hiện tại và chọn thư mục /nguồn gốc đủ không gian. Tỷ lệ thư mục bạn có phải xấp xỉ tồn tại, sử dụng đầu ra df-h.
15) Tại thời điểm chọn kiểu lắp đặt "Loại cài đặt" hãy chọn tùy chọn đầu tiên, vì rất có thể bạn không có MDS (Máy chủ đa miền). Nếu MDS thì bạn đã quản lý nhiều miền từ các thực thể SMS khác nhau cùng một lúc. Trong trường hợp này, bạn nên chọn mục thứ hai.
Hình 15. Chọn kiểu cài đặt Gaia
16) Điểm quan trọng nhất không thể sửa được nếu không cài đặt lại là việc lựa chọn thực thể. Nên chọn Quản lý an ninh và nhấn Tiếp theo. Mọi thứ khác đều theo mặc định.
Hình 16. Chọn loại thực thể khi cài đặt Gaia
17) Sau khi thiết bị khởi động lại, hãy kết nối với giao diện web bằng cách sử dụng hoặc một địa chỉ IP khác nếu bạn thay đổi nó.
18) Chuyển cài đặt từ ảnh chụp màn hình sang tất cả các tab Cổng thông tin Gaia trong đó có nội dung nào đó đã được định cấu hình hoặc chạy lệnh từ clish tải cấu hình .txt. Tệp cấu hình này trước tiên phải được tải lên SMS.
Ghi: Do hệ điều hành này còn mới nên WinSCP sẽ không cho phép bạn kết nối với tư cách quản trị viên, thay đổi shell người dùng thành /bin/bash trong giao diện web trong tab Người dùng hoặc bằng cách nhập lệnh chsh –s /bin/bash hoặc tạo người dùng mới.
19) Tải tệp có chính sách đã xuất từ máy chủ quản lý cũ lên bất kỳ thư mục nào. Sau đó, đi tới bảng điều khiển ở chế độ chuyên gia và kiểm tra xem số lượng băm MD5 có khớp với số trước đó không. Nếu không, việc xuất sẽ được thực hiện lại:
md5sum / / .tgz
20) Lặp lại bước 6 và cài đặt Công cụ nâng cấp trên SMS mới trong Cổng Gaia trong tab Nâng cấp (CPUSE) > Trạng thái và hành động.
21) Nhập lệnh ở chế độ chuyên gia:
./migrate_server nhập -v R80.40 -skip_upgrade_tools_check / / .tgz
Hình 17. Nhập chính sách bảo mật vào SMS mới
22) Kích hoạt dịch vụ bằng lệnh cpstart.
23) Tải xuống một cái mới và kết nối với máy chủ quản lý. Đi đến Menu > Quản lý giấy phép và gói (SmartUpdate) và kiểm tra xem bạn vẫn còn giấy phép của mình hay không.
Hình 18. Kiểm tra giấy phép đã cài đặt
24) Đặt chính sách bảo mật trên cổng hoặc cụm - Chính sách cài đặt.
Cập nhật cổng bảo mật (SG)
Cổng bảo mật có thể được cập nhật thông qua CPUSE, giống như máy chủ quản lý hoặc được cài đặt lại - tươi cài đặt. Theo kinh nghiệm của tôi, trong 99% trường hợp, mọi người đều cài đặt lại Security Gateway do thực tế là việc này mất gần như thời gian cập nhật qua CPUSE, nhưng bạn sẽ có được một hệ điều hành cập nhật, sạch sẽ và không có lỗi.
Bằng cách tương tự với SMS, trước tiên bạn cần tạo bản sao lưu và ảnh chụp nhanh, đồng thời lưu cài đặt từ Cổng thông tin Gaia. Tham khảo điểm 1, 2 và 3 trong phần "Cập nhật máy chủ quản lý bảo mật".
Cập nhật bằng CPUSE
Việc cập nhật Security Gateway qua CPUSE hoàn toàn giống với việc cập nhật Security Management Server nên các bạn tham khảo thêm phần đầu bài viết nhé.
Điểm quan trọng: yêu cầu cập nhật SG khởi động lại! Vì vậy, hãy cập nhật trong thời gian bảo trì. Nếu bạn có một cụm, trước tiên hãy nâng cấp nút thụ động, sau đó chuyển đổi vai trò và nâng cấp nút còn lại. Trong trường hợp của một cụm, có thể tránh được các cửa sổ bảo trì.
Cài đặt phiên bản hệ điều hành mới trên Security Gateway
1.1) Trường hợp bạn có SG thật
1.1.1) Sử dụng một ổ flash USB có khả năng khởi động có hình ảnh được tạo . Hình ảnh giống như trên SMS, nhưng quy trình tạo ổ đĩa flash có khả năng khởi động trông hơi khác một chút.
1.1.2) Tôi khuyên bạn nên chuẩn bị ít nhất 2 ổ flash có khả năng khởi động, vì không phải lúc nào ổ flash cũng có thể đọc được.
1.1.3) Với tư cách là quản trị viên trên máy tính của bạn, hãy chạy ISOmorphic.exe. Ở bước 1, chọn hình ảnh đã tải xuống của Gaia R80.40, ở bước 4 là ổ flash. Thay đổi điểm 2 và 3 đừng!
Hình 19. Tạo ổ flash USB có khả năng khởi động
1.1.4) Chọn một mục “Cài đặt tự động mà không cần xác nhận”, và điều quan trọng là phải chỉ ra kiểu Cổng bảo mật của bạn - dòng 2 hoặc 3. Nếu đây là hộp cát vật lý (Công cụ SandBlast), thì hãy chọn dòng 5.
Hình 20. Chọn model thiết bị để tạo ổ flash USB có khả năng khởi động
1.1.5) Tiếp theo, bạn tắt tuyến trên, cắm ổ flash vào cổng USB, kết nối cáp console qua cổng COM với thiết bị và bật cổng. Quá trình cài đặt diễn ra tự động. Địa chỉ IP mặc định - 192.168.1.1/24và thông tin đăng nhập quản trị viên / quản trị viên. Bạn nên cập nhật trước nút thụ động, sau đó cài đặt chính sách trên đó, chuyển đổi vai trò rồi cập nhật nút khác. Rất có thể bạn sẽ cần một cửa sổ bảo trì.
1.1.6) Bước tiếp theo là kết nối với giao diện web trên Gaia Portal, nơi bạn thực hiện quá trình khởi tạo thiết bị lần đầu tiên. Trong quá trình khởi tạo về cơ bản bạn nhấn Tiếp theo, bởi vì hầu hết tất cả các cài đặt đều có thể được thay đổi trong tương lai. Tuy nhiên, bạn có thể thay đổi ngay địa chỉ IP, cài đặt DNS và tên máy chủ.
1.2) Trường hợp bạn có SG ảo
1.2.1) Tạo một máy ảo mới có cùng tài nguyên (CPU, RAM, HDD) trở lên, vì phiên bản R80.40 đòi hỏi khắt khe hơn một chút. Để tránh xung đột địa chỉ IP, hãy tắt cổng cũ và bắt đầu cài đặt cổng mới có cùng địa chỉ IP. SG cũ có thể được xóa một cách an toàn vì không có gì có giá trị trên đó, bởi vì tất cả những thứ quan trọng nhất - chính sách bảo mật - đều nằm trên máy chủ quản lý.
1.2.2) Trong quá trình cài đặt hệ điều hành, hãy định cấu hình địa chỉ IP hiện tại và chọn thư mục /nguồn gốc đủ không gian.
3) Kết nối với cổng thông qua cổng HTTPS và bắt đầu quá trình khởi tạo. Khi chọn kiểu cài đặt "Loại cài đặt" chọn tùy chọn đầu tiên - Cổng bảo mật và/hoặc Quản lý bảo mật.
Hình 21. Chọn kiểu cài đặt Gaia
4) Điểm quan trọng nhất là việc lựa chọn thực thể (Sản phẩm). Nên chọn Cổng an ninh và nếu bạn có một cụm, hãy chọn hộp “Đơn vị là một phần của cụm, loại: ClusterXL”. Nếu bạn có cụm VRRP thì hãy chọn loại này nhưng khó có thể xảy ra.
Hình 22. Chọn loại thực thể khi cài đặt Gaia
5) Ở bước tiếp theo, đặt mật khẩu một lần SIC để thiết lập sự tin cậy với máy chủ quản lý. Bằng cách sử dụng mật khẩu này, chứng chỉ sẽ được tạo và máy chủ quản lý sẽ liên lạc với cổng qua kênh liên lạc được mã hóa. Đánh dấu “Kết nối với Quản lý của bạn dưới dạng Dịch vụ” nên được đặt nếu máy chủ quản lý được đặt trên đám mây. Chúng tôi vừa mới viết về điều này và máy chủ quản lý đám mây thuận tiện và đơn giản như thế nào.
Hình 23. Tạo SIC
6) Bắt đầu quá trình khởi tạo trên tab tiếp theo. Ngay sau khi thiết bị khởi động lại, hãy kết nối với giao diện web và chuyển cài đặt từ ảnh chụp màn hình sang tất cả các tab Cổng thông tin Gaia trong đó có nội dung nào đó đã được định cấu hình hoặc chạy lệnh từ clish tải cấu hình .txt. Tệp cấu hình này trước tiên phải được tải lên cổng bảo mật.
Ghi: Do hệ điều hành này còn mới nên WinSCP sẽ không cho phép bạn kết nối với tư cách quản trị viên, thay đổi shell người dùng thành /bin/bash trong giao diện web trong tab Người dùng hoặc bằng cách nhập lệnh chsh –s /bin/bash hoặc tạo người dùng mới với shell này.
7) Mở và đi vào đối tượng Cổng bảo mật mà bạn vừa cài đặt lại. Mở tab Thuộc tính chung > Giao tiếp > Đặt lại SIC và nhập mật khẩu được chỉ định ở bước 5.
Hình 24: Thiết lập niềm tin với cổng bảo mật mới
8) Phiên bản Gaia của đối tượng sẽ thay đổi, nếu không thay đổi thì hãy thay đổi thủ công. Sau đó cài đặt chính sách trên cổng.
9) Trong Cổng thông tin Gaia, chuyển đến tab Nâng cấp (CPUSE) > Trạng thái và hành động > Hotfix và cài đặt hotfix mới nhất. Thiết bị sẽ đi vào khởi động lại trong quá trình cài đặt!
10) Trong trường hợp là một cụm, hãy thay đổi vai trò của các nút và thực hiện các bước tương tự cho nút khác.
Kết luận
Tôi đã cố gắng đưa ra hướng dẫn rõ ràng và toàn diện nhất để nâng cấp từ phiên bản R80.20/R80.30 lên R80.40 hiện tại vì có nhiều thay đổi. Phiên bản đã xuất hiện ở chế độ demo, nhưng quy trình cập nhật ít nhiều vẫn giống hệt nhau. Được hướng dẫn bởi quan chức từ Check Point, bạn có thể tự mình tìm ra tất cả các chi tiết.
Đối với bất kỳ câu hỏi bạn có thể liên hệ với chúng tôi. Chúng tôi sẽ sẵn lòng trợ giúp về các trường hợp và cập nhật phức tạp nhất như một phần hỗ trợ kỹ thuật của chúng tôi . Ngoài ra trên của chúng tôi có thể yêu cầu kiểm tra cài đặt Điểm kiểm tra hoặc để nó miễn phí cho một trường hợp kỹ thuật.
. Giữ nguyên (, , , , ).
Nguồn: www.habr.com