VPN-1/FireWall-1 アップグレード手順書 IPSO6.2 / R7x

VPN-1/FireWall-1 アップグレード手順書
IPSO6.2 / R7x
VRRP 構成
2011 年 8 月
株式会社アズジェント
テクニカルサポートセンター
文書番号: IPFW-00007-01
目次
はじめに................................................................................................................................. 2
1. 準備するもの ..................................................................................................................... 4
2. 構成図 .............................................................................................................................. 5
3. アップグレード作業 ............................................................................................................ 6
3-1. Security Management を R75 にアップグレードしライセンスを投入する ............. 7
3-2. gw02 を R75 にアップグレードしライセンスを投入する....................................... 13
3-3. gw02 にポリシーインストールを行う................................................................... 14
3-4. VRRP master を gw01 から gw02 に切り替える .............................................. 16
3-5. gw01 を R75 にアップグレードしライセンスを投入する....................................... 17
3-6. gw01 にポリシーインストールを行う................................................................... 18
3-7. VRRP master を gw02 から gw01 に切り替える .............................................. 20
本書で使用する製品名は各社の商標または登録商標です。
本文中では、®、©マークは省略しています。
Copyright © 2011 Asgent, Inc. All rights reserved.
本書は株式会社アズジェントが権利を有します。
本書に記載された事項は将来予告なしに変更することがあります。
本書の作成には細心の注意を払っておりますが、本書の内容に起因する直接的および間接的な
損害の一切につき、株式会社アズジェントは何ら責任を負わないものとします。
1 / 20
IPFW-00007-01
はじめに
対象読者
本文書は、Check Point IP アプライアンス、Check Point Software Blade のユーザを対象に書
かれています。したがって読者が次の事項についての基本的な理解と実務知識を持つものと仮定
します。
・
TCP/IP
・
システム管理
・
UNIX および Windows OS の基礎的なオペレーション
概要
この文書は、Check Point IP アプライアンスのルータ冗長化プロトコル VRRP と Check Point
R7x のステート同期機能を併用する構成で、IPSO と Check Point R7x のアップグレードを行う際
の手順の概要について説明するものです。手順の詳細については関連する各ドキュメントをご参
照ください。
対象バージョン
アップグレード前: IPSO 6.2 以降、Check Point R70 以降
アップグレード後: IPSO 6.2 以降、Check Point R70 以降
本文書のベース:
アップグレード前: IPSO 6.2 GA024、Check Point R70
アップグレード後: IPSO 6.2 GA055B01、Check Point R75
表記規則
AaBbCc123
画面表示を示します
AaBbCc123
ユーザの入力を示します
AaBbCc123
コメントを示します
注意事項
¾
本書に記載の手順の詳細については関連する各ドキュメントをご参照ください。
¾
本書に記載の手順は、リスクを最小限に抑えることを考慮しておりますが、通信断が発生しな
いことを保障するものではありません。
¾
本書に記載の手順は、本書指定の構成において有効なものであり、異なる環境下では必要と
2 / 20
IPFW-00007-01
なる手順が異なる場合があります。
¾
作業途中で、サポート対象外の構成となる段階があります。作業開始後は速やかに最後まで
作業を行ってください。
¾
HFA、Hotfix を適用する場合は、本書に記載のアップグレード作業の手順を全て完了してか
ら適用してください。またその場合は VRRP を構成する全ての Security Gateway に同じバ
ージョンの HFA、Hotfix を適用してください。
3 / 20
IPFW-00007-01
1. 準備するもの
● Software Blade 用ライセンス
※ 現在 NGX ライセンスを使用している場合には Software Blade ライセンスを用意する必要があ
ります。
Security Management 用ライセンス ×1
Security Gateway 用ライセンス ×2
● R75 のインストールイメージ
※ インストール CD 及びライセンスを入手するには弊社保守サポート Web でお手続きください。
http://www.asgent.co.jp/Maintenance/CPFW1/informations/ngx_versionup.html
※ IPSO 用の R75 インストールイメージは弊社保守サポート Web より入手できます。
http://www.asgent.co.jp/Maintenance/CPFW1/R75/index.html
● FTP サーバ
IPSO のインストール用(FTP インストールを行う場合のみ)
● 参考資料
・
Check Point IP Appliance インストール&アップグレードガイド
・
VRRP & Check Point IP Appliance ステート同期設定手順書
・
Check Point R7x Release Notes (英語)
・
Installation and Upgrade Guide (英語)
※これらのドキュメントは弊社保守サポート Web より入手できます。
4 / 20
IPFW-00007-01
2. 構成図
次の構成を例にアップグレード作業の手順を説明します。gw01、gw02 の両機は正常にステート同
期が行えており、Security Management からポリシーインストールが可能な状態を前提とします。
ホスト名
バージョン
インターフェース
IP アドレス
gw01
IPSO6.2 GA024 /
外部
192.168.0.101
R70(Security Gateway)
内部
10.10.144.101
ステート同期
172.16.0.1
IPSO6.2 GA024 /
外部
192.168.0.102
R70(Security Gateway)
内部
10.10.144.102
ステート同期
172.16.0.2
外部
192.168.0.100
内部
10.10.144.100
-
10.10.144.200
gw02
(仮想 IP アドレス)
mgmt
Windows 2003 Server SP2 /
R70(Security Management)
5 / 20
IPFW-00007-01
3. アップグレード作業
アップグレード作業の概要は下記の通りです。
※gw01 が VRRP master 機、gw02 が VRRP backup 機の前提とします。
1.
Security Management を R75 にアップグレードしライセンスを投入する
2.
gw02 を R75 にアップグレードしライセンスを投入する
3.
gw02 にポリシーインストールを行う
4.
VRRP master を gw01 から gw02 に切り替える
5.
gw01 を R75 にアップグレードしライセンスを投入する
6.
gw01 にポリシーインストールを行う
7.
VRRP master を gw02 から gw01 に切り替える
以下で、それぞれの手順について説明します。
6 / 20
IPFW-00007-01
3-1. Security Management を R75 にアップグレードしライセンスを投入する
① Security Management のバックアップを保存する
upgrade_export ツールを使用してバックアップを保存します。
※ 手順の詳細については、Installation and Upgrade Guide を参照してください。
② Security Management を R70 から R75 にアップグレードする
※ 手順の詳細については、Installation and Upgrade Guide を参照してください。
※ Security Management のバージョンが Security Gateway より上位の構成はサポー
トされています(R75 の Security Management が管理できる Security Gateway の
バージョンは R65 以上です)。
※ Security Management サーバの再起動時に、ファイアウォールログの欠落が発生し
ます。
※ 自動的にファイアウォールログが新しいバージョンのフォルダへコピーされる為、
Security Management に大量のファイアウォールログが保存されているとアップグレ
ードに時間がかかります。またディスク容量を圧迫する恐れもある為、ファイアウォール
ログは事前に他の場所に退避させることを推奨します。
1. インストール CD を実行してウィザードを開始し、画面の指示に従って進みます(CD が
自動実行されない場合は CD 内の setup.exe を実行します)。
7 / 20
IPFW-00007-01
2. 下記の選択画面で”Upgrade”を選択し、次に進みます。
3. 途中、support contract の投入についての画面が表示されますが、ここでは
”Continue without contract information (download later using
SmartUpdate)”にチェックを入れて次へ進みます。
8 / 20
IPFW-00007-01
※Check Point R71 より、IPS contract が導入されました。IPS contract は、ユー
ザーが IPS アップデートを行う為の有効な期限のライセンス(IPS Service Blade)を
所有しているかどうかを確認し、所有していない場合には、利用できる IPS プロテク
ションを制限する為のものです。IPS アップデートを利用する場合には IPS Contract
適用手順書を参照して IPS Contract を適用してください。
4. 画面の指示に従ってウィザードを完了し、サーバを再起動してください。
9 / 20
IPFW-00007-01
③ Security Management にライセンスを投入する
※これまで NGX ライセンスを使用していた場合には、Software Blade ライセンスを投入
して NGX ライセンスを削除する必要があります。
コマンドプロンプトより cpconfig コマンドを実行して ConfigrationTool を表示させ、
Software Blade ライセンスの投入と NGX ライセンスの削除を行います。
10 / 20
IPFW-00007-01
④ ポリシーインストールを行う
ルールやオブジェクトなどの設定が引き継がれていることを確認した上で、ポリシーインスト
ールを行います。
【アップグレード前(R70)】
【アップグレード後(R75)】
11 / 20
IPFW-00007-01
【ポリシーインストール完了】
12 / 20
IPFW-00007-01
3-2. gw02 を R75 にアップグレードしライセンスを投入する
※ 各手順の詳細については、Check Point IP Appliance インストール&アップグレードガイド
を参照してください。
① ga02 のネットワークケーブル(ステート同期用のケーブルを含む)を抜線してネットワーク
から切り離す
(Security Management、FTP サーバ、Voyager 操作端末との接続は残す)
② Voyager で gw02 にログインし、バックアップを保存する
③ コマンドラインもしくは Voyager から IPSO をアップグレードする
④ コマンドラインもしくは Voyager からファイアウォールをアップグレードする
⑤ Software Blade ライセンスを適用して NGX ライセンスを削除する
(※NGX ライセンスを使用していた場合)
13 / 20
IPFW-00007-01
3-3. gw02 にポリシーインストールを行う
※ 以下の手順では Gateway オブジェクト gw01 を Cluster オブジェクトから分離します。しかし、
制限版ライセンスを使用している場合、Gateway オブジェクトを Cluster オブジェクトから分
離するとサイト数の制限が原因でポリシーインストールを行えなくなる可能性があります。そ
の場合は、Cluster オブジェクトから分離した Gateway オブジェクト gw01 をいったん削除し、
gw01 のアップグレード後に再度オブジェクトを作成し SIC を張り直してください。なお、
SmartDashboard 上で gw01 のオブジェクトを削除しても gw01 の通信処理の動作に影響は
ありませんが、ログ送信など Security Management との通信は行えなくなります。
① SmartDashboard で Cluster オブジェクトから gw01 を分離する
オブジェクトのリストから gw01 を選択して右クリックし、”Detach from Cluster”を選択しま
す。
14 / 20
IPFW-00007-01
② Cluster オブジェクトにポリシーインストールを行う
1. Cluster オブジェクトのバージョンを”R75”に変更します。
2. Installation Targets から gw01 を除外して Cluster オブジェクトにのみポリシーインス
トールを行います。
15 / 20
IPFW-00007-01
3-4. VRRP master を gw01 から gw02 に切り替える
① 抜線していた gw02 のネットワークケーブルを結線する
(ステート同期用のケーブルは抜線したままにする)
② ga01 のネットワークケーブルを抜線してネットワークから切り離す
(Security Management、FTP サーバ、Voyager 操作端末との接続は残す)
※通信断が発生します。
③ gw02 が VRRP master となることを確認する
Voyager もしくはコマンドライン(clish –c ”show vrrp”)で gw01、gw02 の VRRP 状態を
確認します。
gw01
gw02
※ VRRP を構成しているインターフェースの
※ VRRP を構成している全てのインターフェー
内、リンクアップしているインターフェースの数
スの数が”In Master state”に表示されます。
が”In Backup state”に表示されます。
16 / 20
IPFW-00007-01
3-5. gw01 を R75 にアップグレードしライセンスを投入する
※ 各手順の詳細については、Check Point IP Appliance インストール&アップグレードガイド
を参照してください。
① Voyager で gw01 にログインし、バックアップを保存する
② コマンドラインもしくは Voyager から IPSO をアップグレードする
③ コマンドラインもしくは Voyager からファイアウォールをアップグレードする
④ Software Blade ライセンスを適用して NGX ライセンスを削除する
(※NGX ライセンスを使用していた場合)
17 / 20
IPFW-00007-01
3-6. gw01 にポリシーインストールを行う
① SmartDashboard で Cluster オブジェクトに gw01 を追加する
1. gw01 の Gateway オブジェクトのバージョンを R75 に変更します。
(gw01 のオブジェクトを削除している場合には、オブジェクトを再作成して SIC の張り直し
を行ってください。)
2. Gateway Cluster Properties で gw01 を Cluster メンバーに追加します。
18 / 20
IPFW-00007-01
② Cluster オブジェクトにポリシーインストールを行う
1. Cluster オブジェクトが対象となっていることを確認してポリシーインストールを行いま
す。
2. ポリシーインストールが成功したことを確認します。
19 / 20
IPFW-00007-01
3-7. VRRP master を gw02 から gw01 に切り替える
① gw01 と gw02 のステート同期用のケーブルを接続して同期の状況を確認する
※ ステート同期の動作確認方法は VRRP & Check Point IP Appliance ステート同期設定
手順書を参照してください。
※ Full Sync を行わせたい場合は同期インターフェースを接続した上で gw01 において
cpstop / cpstart を実行してください。
② gw01 のインターフェースをすべて接続し、gw01 が VRRP Master となることを確認する
Voyager もしくはコマンドライン(clish –c ”show vrrp”)で gw01、gw02 の VRRP 状態を
確認します。
gw01
gw02
※ VRRP を構成している全てのインターフェー
※ VRRP を構成している全てのインターフェー
スの数が”In Master state”に表示されます。
スの数が”In Backup state”に表示されます。
以上でアップグレード作業は完了です。
20 / 20
IPFW-00007-01