博尔е两年前,我们写道,每个 Check Point 管理员迟早都会面临更新到新版本的问题。 在这个 描述了从版本 R77.30 到 R80.10 的升级。 顺便说一句,2020年77.30月,R2成为FSTEC的认证版本。 然而,两年内 Check Point 发生了很多变化。 在文章中“”描述了所有的创新,其中有很多。 本文将尽可能详细地描述更新过程。
如您所知,实施 Check Point 有 2 种选择:独立式和分布式,即不使用专用管理服务器和使用专用管理服务器。 强烈建议使用分布式选项,原因如下:
-
网关资源的负载最小化;
-
您不必安排维护时段即可在管理服务器上工作;
-
SmartEvent 的充分操作,因为它不太可能在独立版本中工作;
-
强烈建议在分布式配置中构建网关集群。
考虑到分布式配置的所有优点,我们将考虑分别升级管理服务器和安全网关。
安全管理服务器 (SMS) 更新
更新短信有两种方式:
-
通过CPUSE(通过Gaia Portal)
-
使用迁移工具(需要全新安装 - 全新安装)
Check Point 同事不建议使用 CPUUSE 进行更新,因为它不会更新您的文件系统版本和内核。 但是,这种方法不需要迁移策略,并且比第二种方法更快、更简单。
建议使用迁移工具全新安装和迁移策略。 除了新的文件系统和操作系统内核之外,SMS 数据库经常会发生堵塞,在这方面进行全新安装是提高服务器速度的绝佳解决方案。
1) 任何更新的第一步都是创建备份和快照。 如果您有物理管理服务器,则应从 Gaia Portal Web 界面进行备份。 转到选项卡 维护 > 系统备份 > 备份。 接下来,指定保存备份的位置。 这可以是 SCP、FTP、TFTP 服务器,也可以是设备本地的,但稍后您必须将此备份上传到服务器或计算机。
图 1. 在 Gaia Portal 中创建备份
2)接下来您应该在选项卡中拍摄快照 维护→快照管理→新建。 备份和快照之间的区别在于快照存储更多信息,包括所有已安装的修补程序。 然而,最好两者都做。
如果您的管理服务器作为虚拟机安装,则建议使用内置虚拟机管理程序工具对虚拟机进行备份。 它只是更快、更可靠。
图 2. 在 Gaia Portal 中创建快照
3) 从 Gaia Portal 保存设备配置。 您可以对 Gaia Portal 中的所有设置选项卡进行屏幕截图,或者从 Clish 输入命令 保存配置。 接下来,使用 WinSCP 或其他客户端将该文件传输到您的 PC。
图 3. 将配置保存到文本文件)
注意: 如果 WinSCP 不允许您连接,请在 Web 界面的“用户”选项卡中将用户 shell 更改为 /bin/bash,或者输入命令 chsh –s /bin/bash.
使用CPUSE更新
4) 前 3 个步骤对于任何更新选项都是强制性的。 如果您决定采用更简单的更新路径,请在 Web 界面中转到选项卡 升级 (CPUSE) > 状态和操作 > 主要版本 > Check Point R80.40 Gaia 全新安装和升级。 右键单击此更新并选择 验证者。 验证过程将开始几分钟,之后您将看到一条消息,表明设备可以更新。 如果您发现错误,则需要更正它们。
图 4. 通过 CPUSE 更新
5) 更新到最新版本的 CDT(中央部署工具) - 一个在管理服务器上运行的实用程序,允许您安装更新、服务包、管理备份、快照、脚本等。 过时的 CDT 版本可能会导致更新出现问题。 您可以在以下位置下载 CDT: .
6) 通过 WinSCP 将下载的存档放在 SMS 上的任意目录中后,通过 SSH 连接到 SMS 并进入专家模式。 提醒一下,WinSCP用户必须有shell / bin / bash!
7)输入命令:
cd /CDT 的某个路径/
tar -zxvf .tgz
rpm -Uhv —强制 CPcdt-00-00.i386.rpm
图 5. 安装中央部署工具 (CDT)
8) 下一步是安装 R80.40 映像。 右键单击更新 下载, 然后 安装。 请记住,更新将需要 20-30 分钟,并且管理服务器将在一段时间内不可用。 因此,就服务窗口达成一致是有意义的。
9) 所有许可证和安全策略均已保存,因此接下来您应该下载一个新的 .
10) 连接到 SMS 新的 SmartConsole 并设置安全策略。 按钮 安装策略 在左上角。
11) 您的短信已更新,那么您应该安装最新的修补程序。 在选项卡中 升级 (CPUSE) > 状态和操作 > 修补程序 单击鼠标右键 验证然后 安装更新。 安装更新后设备将自行重新启动。
图 6. 通过 CPUUSE 安装最新的修补程序
使用迁移工具更新
4) 首先,您还应该更新到最新版本的 CDT - 第 5、6、7 节中的第 XNUMX、XNUMX、XNUMX 点 “使用 CPUSE 更新。”
5) 安装从管理服务器迁移策略所需的迁移工具包。 根据这个 您可以找到以下版本的迁移工具:R80.20、R80.20 M1、R80.20 M2、R80.30、R80.40。 您应该下载该版本的迁移工具 您要更新到的内容,而不是你现在拥有的那个! 在我们的例子中是 R80.40。
6) 接下来在 SMS Web 界面中转到选项卡 升级 (CPUSE) > 状态和操作 > 导入包 > 浏览 > 选择下载的文件 > 导入.
图 7. 导入迁移工具
7) 在 SMS 上的专家模式中,使用以下命令检查是否已安装迁移工具包(命令的输出必须与迁移工具存档名称中的数字匹配):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 内部版本号 1
图 8. 验证迁移工具的安装
8) 转到管理服务器上的 $FWDIR/scripts 文件夹:
cd $FWDIR/脚本
9) 使用以下命令运行升级前验证程序(如果有错误,请在执行下一步之前更正它们):
./migrate_server 验证 -v R80.40
注意: 如果您看到错误 “检索升级工具包失败”,但您已检查存档已成功导入(请参阅第 4 点),请使用以下命令:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
图 9. 运行验证脚本
10) 使用命令导出安全策略:
./migrate_server 导出 -v R80.40 / / .tgz
图 10. 导出安全策略
注意: 如果您看到错误 “检索升级工具包失败”,但您已检查存档已成功导入(步骤 7),请使用以下命令:
./migrate_server 导出-skip_upgrade_tools_check -v R80.40 / / .tgz
11)计算MD5哈希和并保存命令的输出:
md5总和 / / .tgz
图 11. 计算 MD5 哈希和
12) 使用 WinSCP 将此文件移动到您的计算机。
13)输入命令 df -h 并根据占用的空间保存目录的百分比。
图 12. 每条 SMS 的目录百分比
14.1) 如果您有真实的短信
14.1.1) 使用 创建带有映像的可启动 USB 闪存驱动器 .
14.1.2) 我建议至少准备2个可启动闪存驱动器,因为闪存驱动器有时并不总是可读的。
14.1.3) 以计算机管理员身份运行 ISOmorphic.exe。 在步骤 1 中,选择下载的 Gaia R80.40 映像,在步骤 4 中选择闪存驱动器。 更改第 2 点和第 3 点 ненадо!
图 13. 创建可启动 USB 闪存驱动器
14.1.4) 选择一个项目 “自动安装,无需确认” 指定管理服务器的型号非常重要。 如果是 SMS,您应该选择第 3 行或第 4 行。
图 14. 选择设备型号来创建可启动 USB 闪存驱动器
14.1.5) 接下来,关闭上线,将闪存驱动器插入 USB 端口,通过 COM 端口将控制台电缆连接到设备并启用 SMS。 安装过程自动发生。 默认 IP 地址 - 192.168.1.1/24,以及登录信息 管理员/管理员.
14.1.6) 下一步是连接到 Gaia Portal 上的 Web 界面(默认地址 ),您可以在其中进行设备初始化。 在初始化过程中你基本上按 接下来, 因为几乎所有设置都可以在将来更改。 但是,您可以立即更改 IP 地址、DNS 设置和主机名。
14.2) 如果您有虚拟短信
14.2.1) 在任何情况下都不应删除旧的 SMS;创建具有相同资源(CPU、RAM、HDD)和相同 IP 地址的新虚拟机。 顺便说一句,您可以添加 RAM 和 HDD,因为 R80.40 版本的要求更高一些。 为避免 IP 地址冲突,请关闭旧 SMS 并开始安装新 SMS。
14.2.2)Gaia安装过程中,配置当前IP地址并选择目录 /根 足够的空间。 您拥有的目录的百分比应该约为 保存,使用输出 df -h.
15) 选择安装类型时 “安装类型” 选择第一个选项,因为您很可能没有 MDS(多域服务器)。 如果是 MDS,那么您可以同时管理来自不同 SMS 实体的多个域。 在这种情况下,您应该选择第二个选项。
图 15. 选择 Gaia 安装类型
16)最重要的一点,不重新安装就无法纠正的是实体的选择。 应该选择 安全管理 并按 下一步。 其他一切都是默认的。
图 16. 安装 Gaia 时选择实体类型
17) 设备重新启动后,使用以下命令连接到 Web 界面 或不同的 IP 地址(如果您已更改)。
18) 将屏幕截图中的设置传输到配置了某些内容的所有 Gaia Portal 选项卡,或从 clish 运行命令 负载配置。TXT。 必须首先将此配置文件上传到 SMS。
注意: 由于操作系统是新的,WinSCP 不允许您以管理员身份连接,请在“用户”选项卡的 Web 界面中或通过输入命令将用户 shell 更改为 /bin/bash chsh –s /bin/bash 或创建一个新用户。
19) 将包含导出策略的文件从旧管理服务器上传到任意目录。 然后进入专家模式控制台,检查MD5哈希值是否与之前的一致。 否则,应再次进行导出:
md5sum / / .tgz
20) 重复步骤 6,并在 Gaia Portal 选项卡中的新 SMS 上安装升级工具 升级 (CPUSE) > 状态和操作。
21)专家模式下输入命令:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
图 17. 将安全策略导入新 SMS
22) 使用命令启用服务 启动程序.
23) 下载一个新的 并连接到管理服务器。 去 菜单 > 管理许可证和软件包 (SmartUpdate) 并检查您是否仍然拥有许可证。
图 18. 检查已安装的许可证
24) 在网关或集群上设置安全策略 - 安装策略.
安全网关 (SG) 更新
安全网关可以通过 CPUUSE 进行更新,就像管理服务器一样,或者重新安装 - 全新安装。 根据我的经验,在 99% 的情况下,每个人都会重新安装 Security Gateway,因为它几乎与通过 CPUSE 更新所需的时间相同,但您会得到一个干净、更新的操作系统,没有错误。
与短信类似,您首先需要创建备份和快照,并保存 Gaia Portal 中的设置。 请参阅本节中的第 1、2 和 3 点 “安全管理服务器更新”.
使用CPUSE更新
通过CPUSE更新安全网关与更新安全管理服务器完全相同,因此请参阅文章开头。
要点:SG更新需要 重启! 因此,请在维护时段进行更新。 如果您有集群,请先升级被动节点,然后切换角色并升级另一个节点。 对于集群,可以避免维护窗口。
在安全网关上安装新的操作系统版本
1.1) 如果你有真正的SG
1.1.1) 使用 创建带有映像的可启动 USB 闪存驱动器 。 该图像与 SMS 上的图像相同,但创建可启动闪存驱动器的过程看起来有点不同。
1.1.2) 我建议至少准备2个可启动闪存驱动器,因为闪存驱动器有时并不总是可读的。
1.1.3) 以计算机管理员身份运行 ISOmorphic.exe。 在步骤 1 中,选择下载的 Gaia R80.40 映像,在步骤 4 中选择闪存驱动器。 更改第 2 点和第 3 点 ненадо!
图 19. 创建可启动 USB 闪存驱动器
1.1.4) 选择一个项目 “自动安装,无需确认”, 指出安全网关的型号非常重要 - 第 2 行或第 3 行。如果这是物理沙箱 (SandBlast Appliance),则选择第 5 行。
图 20. 选择设备型号来创建可启动 USB 闪存驱动器
1.1.5) 接下来,关闭上行线路,将闪存驱动器插入 USB 端口,通过 COM 端口将控制台电缆连接到设备,然后打开网关。 安装过程自动发生。 默认 IP 地址 - 192.168.1.1/24,以及登录信息 管理员/管理员。 你应该先更新 被动节点,然后在其上安装策略,切换角色,然后更新另一个节点。 您很可能需要一个服务窗口。
1.1.6) 下一步是连接到 Gaia Portal 上的 Web 界面,您将在其中完成设备的第一次初始化。 在初始化过程中你基本上按 接下来, 因为几乎所有设置都可以在将来更改。 但是,您可以立即更改 IP 地址、DNS 设置和主机名。
1.2) 如果您有虚拟 SG
1.2.1) 创建一个具有相同资源(CPU、RAM、HDD)或更多的新虚拟机,因为 R80.40 版本要求更高一些。 为避免 IP 地址冲突,请关闭旧网关并开始安装具有相同 IP 地址的新网关。 旧的 SG 可以安全地删除,因为它上面没有任何有价值的东西,因为所有最重要的东西 - 安全策略 - 都位于管理服务器上。
1.2.2) 安装操作系统时,配置当前IP地址并选择目录 /根 足够的空间。
3) 通过HTTPS端口连接到网关并开始初始化过程。 选择安装类型时 “安装类型” 选择第一个选项 - 安全网关和/或安全管理。
图 21. 选择 Gaia 安装类型
4)最重要的一点是实体(产品)的选择。 应该选择 安全网关 并且,如果您有集群,请选中该框 “单元是集群的一部分,类型:ClusterXL”。 如果你有VRRP集群,那么就选择这种类型,但可能性不大。
图 22. 安装 Gaia 时选择实体类型
5) 在下一步中,设置 SIC 一次性密码以与管理服务器建立信任。 使用此密码生成证书,管理服务器将通过加密的通信通道与网关进行通信。 复选标记 “连接到您的管理即服务” 如果管理服务器位于云端,则应设置。 我们最近刚刚写过这个 云管理服务器是多么的方便和简单。
图 23. SIC 的创建
6) 在下一个选项卡上开始初始化过程。 设备重新启动后,连接到 Web 界面并将屏幕截图中的设置传输到配置了某些内容的所有 Gaia Portal 选项卡,或从 clish 运行命令 负载配置。TXT。 该配置文件必须首先上传到安全网关。
注意: 由于操作系统是新的,WinSCP 不允许您以管理员身份连接,请在“用户”选项卡的 Web 界面中或通过输入命令将用户 shell 更改为 /bin/bash chsh –s /bin/bash 或使用此 shell 创建一个新用户。
7) 打开 并进入您刚刚重新安装的安全网关对象。 打开选项卡 常规属性 > 通信 > 重置 SIC 并输入步骤 5 中指定的密码。
图 24:与新安全网关建立信任
8)对象的Gaia版本应该改变,如果没有改变,则手动改变。 然后在网关上安装策略。
9) 在 Gaia Portal 中,转到选项卡 升级 (CPUSE) > 状态和操作 > 修补程序 并安装最新的修补程序。 该设备将进入 重置 在安装过程中!
10) 如果是集群,请更改节点的角色并对另一个节点执行相同的步骤。
结论
我试图制作最清晰、最全面的从版本 R80.20/R80.30 升级到当前 R80.40 的指南,因为发生了很多变化。 版本 已经以演示模式出现,但更新过程或多或少保持相同。 官方指导下 从 Check Point 中,您可以自己弄清楚所有细节。
如有任何疑问,您可以联系我们。 作为我们技术支持的一部分,我们很乐意帮助解决最复杂的更新和案例 。 也在我们的 可以命令对 Check Point 设置进行审核或将其保留 对于一个技术案例。
。 敬请关注 (, , , , ).
来源: habr.com