移行によるR80.20 以降からのSecurity Management Server またはログサーバのアップグレード

移行閉じた あるCheckPointコンピュータからCheckPoint構成データベースをエクスポートし、別のCheckPointコンピュータにインポートします。およびアップグレードのシナリオでは、ソースのCheck Point サーバと別のターゲットのCheck Point サーバで手順を実行します。

注:

重要 - 管理サーバまたはログサーバをアップグレードする前に:

ステップ

手順

1

現在の設定をバックアップします(バックアップと復元を参照)。

2

アップグレードのオプションと前提条件を参照してください。

3

最新の公開データベースリビジョンのみがアップグレードされます。

保留中の変更がある場合は、セッションをPublish にすることをお勧めします。

4

ソースSecurity Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。 に接続されているすべてのGUI クライアント(SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。 アプリケーション) を閉じる必要があります。

5

CPUSE閉じた Gaiaオペレーティングシステム用の Check Point アップグレードサービスエンジン。CPUSEを使用すると、GaiaOSおよびGaiaOS自体のCheckPoint製品を自動的に更新できます。詳細については、sk92449 を参照してください。 の最新バージョンをsk92449 からインストールします。

Note - CPUSE が必要なUpgrade Tools パッケージをサポートできることを確認します。

6

アップグレードを開始する前に、すべてのソースサーバでPre-Upgrade Verifier を実行し、検出されたすべての問題を修正します。

7

Management High Availability で、他のサーバでアップグレードを開始する前に、プライマリSecurity Management Server がアップグレードされ、実行されていることを確認します。

手順:

  1. 重要 - アップグレードツール を参照して、サーバが最新バージョンのアップグレードツールを自動的にダウンロードしてインストールできるかどうかを確認します。

    ステップ

    手順

    1

    sk135172からR81.10アップグレードツールをダウンロードします。

    Note - これはCPUSE オフラインパッケージです。

    2

    R81.10 Upgrade Tools with CPUSEをインストールします。

    Gaiaへのソフトウェアパッケージのインストール へのソフトウェアパッケージのインストールを参照し、Local - Offline インストールに適用可能なアクションプランに従います。

    3

    パッケージがインストールされていることを確認します。

    エキスパート モードで次のコマンドを実行します。

    cpprod_util CPPROD_GetValue CPupgrade-tools-R81.10 BuildNumber 1

    出力には、ダウンロードされたTGZ パッケージの名前に表示されているのと同じビルド番号が表示されている必要があります。

    ダウンロードしたパッケージの名前: ngm_upgrade_wrapper_993000222_1.tgz

    [Expert@HostName:0]# cpprod_util CPPROD_GetValue CPupgrade-tools-R81.10 BuildNumber 1

    993000222

    [Expert@HostName:0]#

    Note - コマンド"migrate_server"。これらのアップグレード・ツールからは、常にインターネット経由でCheck Point Cloud に接続しようとします。

    これは、これらのアップグレードツールの最新バージョンが常にインストールされていることを確認するためです。

    Check Point Cloud への接続に失敗すると、次のメッセージが表示されます。

    Timeout. Failed to retrieve Upgrade Tools package. To download the package manually, refer to sk135172.

  2. ステップ

    手順

    1

    セキュリティ管理サーバのコマンド ラインに接続します。

    2

    エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

    3

    $FWDIR/scripts/ ディレクトリに移動します。

    cd $FWDIR/scripts

    4

    Pre-Upgrade Verifier を実行します。

    • このSecurity Management Server is がインターネットに接続されている場合は、次を実行します。

      ./migrate_server verify -v R81.10

    • このSecurity Management Server がインターネットに接続されているnot の場合は、以下を実行します。

      ./migrate_server verify -v R81.10 -skip_upgrade_tools_check

    詳細については、R81.10 CLI Reference Guide - Chapter Security Management Server Commands - Section migrate_server を参照してください。

    5

    Pre-Upgrade Verifier 出力を読み取ります。

    エラーを修正する必要がある場合:

    1. レポートの指示に従います。

    2. Pre-Upgrade Verifier を再度実行します。

    6

    管理データベースをエクスポートします。

    • このSecurity Management Server is がインターネットに接続されている場合は、次を実行します。

      ./migrate_server export -v R81.10 [-l | -x] /<Full Path>/<Name of Exported File>

    • このSecurity Management Server がインターネットに接続されているnot の場合は、以下を実行します。

      ./migrate_server export -v R81.10 -skip_upgrade_tools_check [-l | -x] /<Full Path>/<Name of Exported File>

    詳細については、R81.10 CLI Reference Guide - Chapter Security Management Server Commands - Section migrate_server を参照してください。

    7

    エクスポートしたデータベースファイルのMD5 を計算します。

    md5sum /<Full Path>/<Name of Database File>.tgz

    8

    エクスポートされたデータベースをソースSecurity Management Server から外部ストレージに転送します。

    /<Full Path>/<Name of Database File>.tgz

    - ファイルは必ずバイナリモードで転送してください。。

  3. ステップ

    手順

    1

    要件については、R81.10 Release Notes を参照してください。

    2

    次のいずれかの方法でクリーンインストール閉じた コンピュータにCheck Pointオペレーティングシステムを最初からインストールすること。を実行します(not はSmartConsole で初期設定を実行します)。

    重要 - 次のオプションを使用できます。

    • ソースおよびターゲットのSecurity Management Server のIP アドレスは、同じ にすることができます。

      将来、R81.10 Security Management Server で別のIP アドレスを設定する必要がある場合は、変更できます。

      該当する手順については、sk40993およびsk65451を参照してください。

      新しいIP アドレスのライセンスを発行する必要があることに注意してください。

    • ソースおよびターゲットのSecurity Management Server のIP アドレスは、異なる にすることができます。

      新しいIP アドレスに移行する サーバを含む特別なJSON 設定ファイルmdss.json を作成する必要があります。

      新しいIP アドレスのライセンスを発行する必要があることに注意してください。

      新しいライセンスは、データベースをインポートした後でのみインストールする必要があります。

  4. 重要 - アップグレードツール を参照して、サーバが最新バージョンのアップグレードツールを自動的にダウンロードしてインストールできるかどうかを確認します。

    ステップ

    手順

    1

    sk135172からR81.10アップグレードツールをダウンロードします。

    Note - これはCPUSE オフラインパッケージです。

    2

    R81.10 Upgrade Tools with CPUSEをインストールします。

    Gaiaへのソフトウェアパッケージのインストール へのソフトウェアパッケージのインストールを参照し、Local - Offline インストールに適用可能なアクションプランに従います。

    3

    パッケージがインストールされていることを確認します。

    エキスパート モードで次のコマンドを実行します。

    cpprod_util CPPROD_GetValue CPupgrade-tools-R81.10 BuildNumber 1

    出力には、ダウンロードされたTGZ パッケージの名前に表示されているのと同じビルド番号が表示されている必要があります。

    ダウンロードしたパッケージの名前: ngm_upgrade_wrapper_993000222_1.tgz

    [Expert@HostName:0]# cpprod_util CPPROD_GetValue CPupgrade-tools-R81.10 BuildNumber 1

    993000222

    [Expert@HostName:0]#

    Note - コマンド"migrate_server"。これらのアップグレード・ツールからは、常にインターネット経由でCheck Point Cloud に接続しようとします。

    これは、これらのアップグレードツールの最新バージョンが常にインストールされていることを確認するためです。

    Check Point Cloud への接続に失敗すると、次のメッセージが表示されます。

    Timeout. Failed to retrieve Upgrade Tools package. To download the package manually, refer to sk135172.

  5. ソースSecurity Management Server とは異なるIP アドレスを持つターゲットR81.10 Security Management Server をインストールした場合、 ソースSecurity Management Server から管理データベース をインポートする前に、特別なJSON 設定ファイルを作成する必要があります。新しいIP アドレスのライセンスを発行する必要があることに注意してください。

    重要:

    • 同じSecurity Management 環境内のどのサーバも元のIP アドレスを変更しなかった場合は、not で特別なJSON 設定ファイルを作成する必要があります。

    • 1 つのサーバのみが新しいIP アドレスに移行する場合でも、他のすべてのサーバ(すべてのログサーバとSmartEvent サーバを含む)はインポートプロセスのためにこの設定ファイルを取得する必要があります。

      同じSecurity Management 環境内のすべてのサーバ(ログサーバとSmartEvent サーバを含む)で同じJSON 設定ファイルを使用する必要があります。

    必要なJSON 設定ファイルを作成するには:

    ステップ

    手順

    1

    ターゲットR81.10Security Management Server のコマンドラインに接続します。

    2

    エキスパートモードにログインします。

    3

    新しいIP アドレスに移行する サーバを含む/var/log/mdss.json ファイルを作成します。

    単一のSecurity Management Server を新しいIP アドレスに移行するための形式:

    [{"name":"<Name of Security Management Server Object in SmartConsole>","newIpAddress4":"<New IPv4 Address of R81.10 Security Management Server>"}]

     

    R80.30 Security Management 環境には、Security Management Server とLog Server閉じた Check Pointソフトウェアを実行してログを保存および処理する専用Check Pointサーバ。 の2 つのサーバがあります。Security Management Server は新しいIP アドレスに移行します。ログサーバは元のIP アドレスのままになります。

    1. 送信元R80.30 Security Management Server の現在のIPv4 アドレスは次のとおりです。

      192.168.10.21

    2. SmartConsole のソースR80.30 Security Management Server オブジェクトの名前は次のとおりです。

      MySecMgmtServer

    3. ターゲットR81.10 Security Management Server の新しいIPv4 アドレスは次のとおりです。

      172.30.40.51

    4. Security Management Server およびログ・サーバで使用する必要があるJSON 構成ファイルに必要な構文。

      [{"name":"MySecMgmtServer","newIpAddress4":"172.30.40.51"}]

      Important - この環境のすべてのサーバが同じ設定ファイルを取得する必要があります。

    重要 - 上記のセクション"必須のJSON 設定ファイル"の指示に従っていることを確認します。

    ステップ

    手順

    1

    セキュリティ管理サーバのコマンド ラインに接続します。

    2

    エキスパートモードにログインします。

    3

    有効なライセンスがインストールされていることを確認します。

    cplic print

    まだインストールされていない場合は、ここで有効なライセンスをインストールします。

    4

    エクスポートされたデータベースを外部ストレージからR81.10 Security Management Server の一部のディレクトリに転送します。

    Note - 必ずバイナリモードでファイルを転送してください。

    5

    転送したファイルが壊れていないことを確認してください。

    転送されたファイルのMD5 を計算し、元のSecurity Management Server で計算したMD5 と比較します。

    md5sum /<Full Path>/<Name of Database File>.tgz

    6

    $FWDIR/scripts/ ディレクトリに移動します。

    cd $FWDIR/scripts/

    7

    管理データベースをインポートします。

    • このSecurity Management Serveris がインターネットに接続されている場合は、次を実行します。

      ./migrate_server import -v R81.10 [-l | -x] /<Full Path>/<Name of Exported File>.tgz

    • このSecurity Management Server がインターネットに接続されているnot の場合は、以下を実行します。

      ./migrate_server import -v R81.10 -skip_upgrade_tools_check [-l | -x] /<Full Path>/<Name of Exported File>.tgz

    重要 - "migrate_server import" コマンドはCheck Point サービスを自動的に再起動します("cpstop" " "cpstart" コマンドを実行します)。

    詳細については、R81.10 CLI Reference Guide - Chapter Security Management Server Commands - Section migrate_server を参照してください。

  6. SmartConsoleのインストールのインストールを参照してください。

  7. 重要 -この手順は、ターゲットR81.10 Security Management Server のIP アドレスがソースSecurity Management Server と異なる場合にのみ適用されます。

    ステップ

    手順

    1

    新しいIP アドレスのライセンスをCheck Point User Center アカウントで発行します。

    2

    新しいライセンスをR81.10 Security Management Serverにインストールします。

    これは、"cplic put" コマンドまたはGaia Portal閉じた Check Point Gaiaオペレーティングシステム用のWebインタフェース。 を使用してCLI で行うことができます。

    3

    Security Management Server が新しいライセンスを検出するまで数分待ちます。

    または、Check Point サービスを再起動します。

    cpstop

    cpstart

  8. この手順は、管理サーバーのアップグレード手順の一部です。専用のログ・サーバまたはSmartEventサーバをアップグレードする場合は、この手順をスキップします。

    重要 -このSecurity Management Server が専用のログ・サーバまたはSmartEvent サーバを管理する場合は、これらの専用サーバをSecurity Management Server と同じバージョンにアップグレードする必要があります。

    R80.20 以降からのSecurity Management Server またはログ・サーバのアップグレード の手順に従ってください。

  9. Important - Security Management Server が専用のログ・サーバまたはSmartEvent サーバを管理している場合は、SmartConsole の対応するオブジェクトのバージョンを更新する必要があります。

    ステップ

    手順

    1

    SmartConsole を使用して、専用のログ・サーバまたはSmartEvent サーバを管理するR81.10 Security Management Server に接続します。

    2

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    3

    専用ログ・サーバまたはSmartEventサーバのオブジェクトを開きます。

    4

    左側のツリーから、General Properties をクリックします。

    5

    Platformセクションの>フィールドで、Versionを選択します。

    6

    OKをクリックします。。

  10. ステップ

    手順

    1

    SmartConsoleでSecurity Management Serverにアクセスします。

    2

    左上隅から、Menu > Install databaseをクリックします。

    3

    すべてのオブジェクトを選択します。

    4

    Installをクリックします。。

    5

    OKをクリックします。。

  11. 重要 - この手順は、R81.10 Security Management Server でSmartEvent Correlation Unit Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。 が有効になっている場合にのみ適用されます。

    ステップ

    手順

    1

    SmartConsole をR81.10 Security Management Server に接続します。

    2

    SmartConsole の左側のナビゲーション・パネルで、Logs & Monitor をクリックします。

    3

    一番上で、+ をクリックして新しいタブを開きます。

    4

    左下隅のExternal Apps セクションで、SmartEvent Settings & Policy をクリックします。

    Legacy SmartEvent クライアントが開きます。

    5

    左上隅から、Menu > Actions > Install Event Policyをクリックします。

    6

    確認。

    7

    次のメッセージが表示されるまで待ちます。

    SmartEvent Policy Installer installation complete

    SmartEvent Policy Installer installation succeeded

    8

    Closeをクリックします。。

    9

    Legacy SmartEvent クライアントを閉じます。

  12. ステップ

    手順

    1

    サーバのコマンドラインに接続します。

    2

    エキスパートモードにログインします。

    3

    sk127653 で説明されているように、ログエクスポータの設定を復元します。

    4

    ログエクスポータを再設定します。

    cp_log_export reconf

    5

    ログエクスポータを再起動します。

    cp_log_export restart

    詳細については、R81.10 Logging and Monitoring Administration Guide > Log Exporterの章を参照してください。

  13. 重要 - この手順は、この管理サーバでSmartProvisioning閉じた 構成プロファイルを使用してCheck Point Security Gatewaysの大規模な展開を管理する管理サーバ上のCheck Point Software Blade(実際の名前は「プロビジョニング」)。類義語:大規模管理、SmartLSM、LSM。 Software Blade を有効にした場合にのみ適用されます。

    ステップ

    手順

    1

    アクセスコントロールポリシーをインストールします。

    1. Install Policyをクリックします。

    2. Policy フィールドで、該当するアクセスコントロールポリシーを選択します。

    3. 該当するSmartLSMセキュリティプロファイルオブジェクトを選択します。

    4. Installをクリックします。。

    5. アクセスコントロールポリシーは正常にインストールする必要があります。

    2

    脅威防御ポリシーをインストールします。

    1. Install Policyをクリックします。

    2. Policy フィールドで、該当する脅威防御ポリシーを選択します。

    3. 該当するSmartLSMセキュリティプロファイルオブジェクトを選択します。

    4. Installをクリックします。。

    5. Threat Prevention Policy は正常にインストールする必要があります。

    詳細については、R81.10 SmartProvisioning Administration Guideを参照してください。

  14. ステップ

    手順

    1

    SmartConsoleでSecurity Management Serverにアクセスします。

    2

    管理データベースと構成が正しくアップグレードされていることを確認します。

  15. 古いSecurity Management Server からケーブルを外します。

  16. 新しいSecurity Management Server にケーブルを接続します。