5、升级到 Check Point NGX 的全面指南

最新推荐文章于 2025-08-11 13:26:42 发布

原创最新推荐文章于 2025-08-11 13:26:42 发布 · 877 阅读

17 ·

CC 4.0 BY-SA版权

文章标签：

#Check Point NGX # 升级指南 # SmartCenter Server

升级到 Check Point NGX 的全面指南

1. 引言

在现有的基础设施中，你可能已经拥有一个 Check Point 安全管理环境。而 Check Point NGX 版本带来了许多诱人的新特性，吸引你投入资源进行升级。不过，升级前需要确保拥有必要的工具，并进行适当的测试。同时，无论选择哪种升级方案，制定妥善的回滚程序都至关重要。

2. 备份

升级的首要步骤是进行系统备份，这就像是为最坏的情况购买了一份保险。在升级失败时，能够及时恢复系统功能。
- SmartCenter Server ：它是 Check Point 环境中最重要的部分，其数据库包含了维护安全配置所需的一切信息（如密钥、对象、服务、规则等），从头重建这些信息既不可取，在某些情况下也不可能。
- 网关：必要时相对容易重建，但这也是一个不理想的选择。
- 备份操作 ：
- 若使用企业软件，确保有有效的当前备份。
- 使用 NGX CD 上的导出功能导出 SmartCenter Server 配置，但此导出不包含操作系统配置参数。
- 在诺基亚或 SecurePlatform 设备上，使用内置系统工具进行备份。
- 理想情况下，在升级过程前立即进行备份，并记录系统参数，如主机名、IP 地址、ARP 和路由配置。

3. 升级顺序

只有 NG 版本可以升级到 NGX。如果环境中有非 NG 系统，必须先将其升级。NGX SmartCenter Servers 无法管理 4.x 网关，NGX 介质也不会执行此类升级。升级顺序为：先升级 SmartCenter Server，再升级网关；在独立环境中，两个组件同时升级。升级软件前，应完成以下操作：
- 升级许可证 ：升级到 NGX 需要升级 NG 许可证，可以在 Check Point 用户中心或使用 license_upgrade 实用程序进行升级。
- 用户中心升级 ：每个许可证的升级是手动过程。
- license_upgrade 实用程序 ：需将特定操作系统版本的实用程序从 CD 复制到 SmartCenter Server。运行该工具会显示以下内容：

Running License_upgrade
- To upgrade to NGX R60, YOU MUST FIRST upgrade licenses for all NG products.
- NGX R60 with licenses from previous versions WILL NOT FUNCTION.
- The license upgrade process gathers all the licenses from this machine, sends them in SSL encrypted format to the User Center, gets the upgraded licenses and installs them on the machine.
- The license upgrade process on the SmartCenter Server also handles gateway licenses in the license repository.
- After the software upgrade, open SmartUpdate and attach the new NGX licenses to the gateways.
- For more details, see the License Upgrade chapter of the Upgrade Guide (located on the CD and at the Check Point Download site).
Current Machine Status: None of the 7 licenses on the machine are upgraded.
Please choose one of the following:
[L] View the licenses installed on your machine.
[S] Simulate the license upgrade.
[U] Perform license upgrade now.
[O] Perform license upgrade for an offline machine.
[C] Check if currently installed licenses have been upgraded.
[Q] Quit

- **注意事项**：必须有当前的软件订阅才能获得更新的许可证。NG 和 NGX 之间某些许可证功能发生了变化，有些不再支持。使用模拟选项查看这些变化是否适用于你的环境，在继续升级前解决所有许可证问题。

验证现有配置 ：运行 pre_upgrade_veriﬁer 工具检查与 NGX 不兼容的配置问题。
- 工具使用 ：将特定操作系统版本的实用程序从 CD 复制到 SmartCenter Server。该实用程序是基于菜单的文本工具，结果可显示在屏幕上，也可使用 -f 选项输出到文本文件，添加 -w 选项可输出为 Web 格式。运行命令无选项时显示如下：

C:\Temp\NGX>pre_upgrade_verifier
This is Check Point Pre-Upgrade Verifier Major Version 5, Feature Pack 9, Service Pack 1 - Build 033.
Usage: pre_upgrade_verifier -p SmartCenterPath -c CurrentVersion -t TargetVersion [-f FileName] [-w]
Or: pre_upgrade_verifier -p SmartCenterPath -c CurrentVersion -i [-f FileName] [-w]
-p Path of the installed SmartCenter Server (FWDIR).
-c Currently installed version.
-t Target version.
-i Check originality of Inspect files only.
-f Output in file.
-w Web format file.

- **当前安装版本**：4.1、NG、NG_FP1、NG_FP2、NG_FP3、VSX_201、NG_AI、VSX_NG_AI、VSX_NGAI_R2、NG_AI_R55、GX_NG_25、NG_AI_R55W、NG_AI_R57。
- **目标版本**：NG_FP1、NG_FP2、NG_FP3、VSX_201、NG_AI、VSX_NG_AI、VSX_NGAI_R2、NG_AI_R55、GX_NG_25、NG_AI_R55W、NG_AI_R57、NGX_R60。
- **报告内容**：列出安装前后的推荐操作，分为警告和错误两类。警告是关于在实际升级前后需要纠正的信息；错误是在继续升级前必须纠正的项目，未纠正错误进行升级将导致失败。

制定清晰策略 ：确保系统满足 NGX 的硬件和软件要求，例如根据 Check Point 知识库，Windows 2003 SP1 不受支持，这与 NGX 入门指南中列出的最低软件要求不同。

4. SmartCenter 升级方法

有两种升级 SmartCenter Server 的方法：直接升级到生产服务器（风险最高）；迁移到新服务器（可更换平台或升级现有硬件）。以下分别介绍不同操作系统的升级过程。

4.1 Windows 系统

直接升级生产服务器 ：
1. 将 NGX 媒体套件的 CD2 插入驱动器。若驱动器启用自动运行，安装窗口将自动打开；否则运行 CD 根目录下的 Setup.exe。
2. 在主屏幕点击“Next”打开许可协议，选中“我接受许可协议的条款”单选按钮，点击“Next”打开升级选项屏幕。
3. 选择“升级”单选按钮，点击“Next”。出现询问是否升级许可证的窗口，若选中“在本次安装过程中升级许可证”，将执行前面讨论的 license_upgrade 功能；取消选中该框，点击“Next”，会收到强烈建议进入升级许可证窗口，再次点击“Next”。
4. 打开升级实用程序屏幕，推荐使用最新的升级实用程序，提供三个选项：下载最新实用程序、使用已下载最新文件的本地磁盘、使用当前 CD 上的实用程序。目前 CD 上的实用程序是最新的，即使选择下载最新的，升级也会使用 CD 上的文件。选择“使用 CD 上的升级实用程序”单选按钮，点击“Next”。
5. 打开预升级验证屏幕，询问是否跳过此测试，取消选中“跳过预升级验证”，点击“Next”。
6. 打开预升级验证结果屏幕，显示存在推荐操作，可点击“查看预升级验证结果”以 HTML 格式查看。若没有错误，选择“无论如何继续”单选按钮，点击“Next”。
7. 询问是否除了升级现有软件外还添加新产品，根据需求选择，点击“Next”。
8. 显示将升级的产品，点击“Next”，安装开始，出现询问将执行 cpstop 的窗口，点击“Yes”继续。
9. 安装过程中会询问是否自动复制日志文件，选择首选选项，点击“Next”。若 SmartConsole 客户端安装在 SmartCenter Server 上，会询问安装哪些客户端以及是否需要桌面快捷方式。
10. 安装向导过程完成后，点击“Finish”返回感谢窗口，再次点击“Finish”。然后被要求重启以激活更改，点击“Yes”，被要求从驱动器中取出 CD，点击“OK”弹出 CD 并重启系统，升级完成。
迁移升级 ：
1. 计划使用与原始 SmartCenter Server 相同的 IP 和主机名，若计划更改 IP 地址，有额外步骤。开始过程与生产升级部分描述相同，直到出现选项屏幕。
2. 选择“导出”单选按钮，点击“Next”打开升级实用程序屏幕，选择“使用 CD 上的升级实用程序”单选按钮，点击“Next”。
3. 打开预升级验证屏幕，选中执行预升级验证，点击“Next”。
4. 打开预升级验证结果屏幕，显示存在推荐操作，可点击查看。若没有错误，选择“无论如何继续”单选按钮，点击“Next”。
5. 询问保存配置文件的位置，可更改目录或文件名，点击“Next”继续并创建导出，点击“OK”，再点击“Finish”完成导出部分。
6. 将配置导出文件传输到新的 SmartCenter Server，插入适当的 CD，按前面步骤接受许可协议，打开选项窗口，选择“Check Point Enterprise/Pro”单选按钮，点击“Next”。
7. 打开提供安装选项的窗口，选择“使用导入的配置进行安装”单选按钮，点击“Next”。
8. 输入导出配置文件的位置和名称，点击“Next”。再次提供下载最新升级实用程序的选项，选择“使用 CD 上的升级实用程序”单选按钮，点击“Next”。
9. 打开升级许可证选项窗口，取消选中在安装过程中升级的选项，点击“Next”。
10. 列出选择安装的产品，点击“Next”，使用此升级方法会自动传输生产 SmartCenter Server 的许可证。
11. 安装开始，询问指定安装目录，根据需要修改，点击“Next”。
12. InstallShield 向导窗口显示安装完成，点击“OK”。出现消息提示正在导入数据库，接着是许可证屏幕，显示现有许可证，可选择添加新许可证，点击“Next”。
13. 显示现有管理员，可编辑列表，点击“Next”。显示现有 GUI 客户端，可选择添加新客户端，点击“Next”。
14. 显示指纹后，点击“Finish”，感谢安装 Check Point 软件，再次点击“Finish”。被要求重启以激活更改，点击“Yes”，被要求从驱动器中取出 CD，点击“OK”弹出 CD 并重启系统。
15. 断开旧的 SmartCenter Server 与生产网络的连接，连接升级后的 SmartCenter 完成升级迁移。
  - 提示：升级后可能急于连接到新的 SmartCenter Server，但管理需要 NGX SmartConsole 客户端。在升级服务器之前，在客户端安装 NGX SmartConsole 工具，同一台计算机上可以安装多个版本的 SmartConsole 软件。

4.2 SecurePlatform 系统

升级生产 SecurePlatform FP2、FP3、R54 或 R55 SmartCenter Server ：
1. 将 NGX 媒体套件的 CD1 插入系统的 CD 驱动器。
2. 若升级 FP2 或 FP3，进入专家模式，运行以下命令升级补丁命令：

# mount /mnt/cdrom
# patch add /mnt/cdrom/SecurePlatform/patch/CPpatch_command_*.tgz.

3. 命令执行后，升级过程继续进行 R54 和 R55 的升级过程。以用户身份登录系统，无需进入专家模式，输入以下命令：

[smartctr-svr]# patch add cd
Choose a patch to install:
1) SecurePlatform NGX R60 Upgrade Package (CPspupgrade_R60.tgz)
2) Exit
Your choice:
1
Calculating the MD5 checksum of the package.
The MD5 checksum is: 6a0b5bc83987830d571f8a2e0549e9f5
Is that right (Y/N)? Y
Extracting /mnt/cdrom/SecurePlatform/patch/CPspupgrade_R60.tgz package ..
Start Upgrading ..
Verifying ..
Extracting files ..
Extracting files completed successfully.
Upgrade program will now upgrade your system. This process may take several minutes

4. 出现欢迎屏幕后，输入“N”继续并打开许可协议，输入“Y”同意许可协议，打开企业选项屏幕。
5. 企业套件选项如下：

1.( ) Export SmartCenter configuration.
2.( ) Perform pre-upgrade verification only.
3.(*) Upgrade.

选择“3”突出显示“升级”选项，输入“N”继续。打开 license_upgrade 实用程序屏幕，选择“Q”退出许可证升级过程，系统自动执行预升级验证测试。
6. 预升级验证结果屏幕显示验证过程已完成，可输入“V”查看结果，查看完成后输入“N”继续。
7. 询问是否创建快照图像，若升级异常终止，系统将自动恢复到该快照，输入“y”创建快照。

Do you want to create a backup image for automatic revert (y/n)?: y
Creating the Snapshot Image. This can take up to 10 minutes...
Done

8. 升级操作系统，准备升级 Check Point 产品，检测到现有服务器/网关产品，出现以下升级选项：

Please specify one of the following upgrade options:
1.( ) Upgrade installed products and install new products.
2.(*) Upgrade installed products.

选择“2”，输入“N”继续，打开验证屏幕。
9. 验证屏幕显示选择安装的产品为“Primary SmartCenter”，输入“N”继续，过程完成后显示以下信息：

Upgrade of Check Point products has been successfully completed.
Please wait while the upgrade process completes.
Installation finished successfully
Please remove Check Point CD from the CDROM drive.
Upgrade files completed successfully.
-------------------------------------------------------------------
In order to complete the upgrade process please reboot your system!
-------------------------------------------------------------------
Patch installed successfully.
[smartctr-svr]#

10. 升级完成，取出 CD，输入“reboot”重启服务器完成升级。
- **警告**：若不取出 CD 并重启，系统将从 CD 启动并开始新的 SecurePlatform 安装，在 90 秒内意外按下任何键将开始全新安装。

4.3 Solaris 系统

升级 Solaris SmartCenter 与前面列出的过程类似。运行 CD 上的 UnixInstallScript，高级升级选项提供了使用导出和导入功能迁移到新服务器的能力。在执行任何升级之前，验证已将正确的软件包和补丁应用到服务器。

5. 防火墙网关升级

升级网关在网络可用性方面带来了不同的挑战。SmartCenter 升级会导致一段时间的管理连接不可用，而网关升级可能导致服务不可用的网络中断。在由两个或多个网关控制连接的集群环境中，有一些方法可以最小化升级到 NGX 时的中断。
- 升级方法 ：
- 可以使用与 SmartCenter Server 相同的本地升级过程。
- 也可以使用 SmartUpdate 客户端从 SmartCenter Server 执行网关升级。

6. 最小化停机时间

升级的主要动机是将最新版本和功能引入环境，但主要关注点是在升级过程中最小化中断。制定升级计划是限制停机时间的最有影响力的因素，在定义策略时，应考虑资源可用性和服务级别要求。
- SmartCenter Server 升级 ：将 SmartCenter Server 迁移到新硬件是最小化管理中断的最佳方法。在新服务器上完成升级后，在网络上交换两台服务器，记得清除旧 SmartCenter Server 的 ARP 条目。预先安装 NGX SmartConsole 客户端软件可以快速发现管理问题。
- 网关升级 ：
- 在单网关环境中，迁移到新服务器是最小化中断的最佳方法，但如果预算有限，此选择可能不可行。
- 在集群环境中，一次升级一个模块。从集群中移除一个网关，升级软件，将升级后的网关与另一个模块交换，然后升级。记得清除上游和下游路由器及交换机的 ARP 条目。
- 无论哪种情况，都会对已建立的连接造成中断，NG 和 NGX 网关之间无法进行状态同步。
- 未来升级 ：从 NGX 及以后的升级将实现零停机升级场景，不会中断任何连接。

7. 回滚

所有项目计划都必须考虑最坏的情况。在升级过程中失败时，应能够恢复到以前的配置。回滚选项与所选的升级路径直接相关。从迁移到新硬件的恢复比直接升级到生产服务器的恢复简单。第一步是确定回滚更改的程度。
- 有备用硬件的情况 ：如果有备用硬件允许将功能迁移到新服务器，重新连接原始服务器，并根据需要清除 ARP 条目。
- 不同操作系统的回滚操作 ：
- Windows ：移除 Check Point R55、R55W 和 VPN - 1 Edge 兼容程序，然后移除 Check Point VPN - 1 Pro NGX R60，重启系统。
- IPSO ：禁用然后删除 VPN - 1 Pro NGX R60 软件包，重新启用以前的软件包和以前的 IPSO 版本，重启系统。
- SecurePlatform ：恢复到升级前拍摄的快照图像。
- Solaris ：移除 CPfw1 - R60 软件包，重启系统。
- 最坏情况 ：涉及从备份恢复系统或重建系统，这就是为什么在开始升级之前，始终要有完整的系统备份、配置文档和项目计划。如果在升级前执行验证步骤，不太可能需要经历这个痛苦的过程。

8. 总结

升级到 Check Point NGX 有不同的原因，但无论动机如何，都应使用正式的变更控制指南制定升级项目计划。检查组件，为组织确定最佳策略，在实施前收集必要的资源并审查计划。考虑升级运行 Check Point 安全基础设施的组件的选项。
- 备份：SmartCenter Server 是 Check Point 基础设施中最重要的组件，确保有当前的备份，了解恢复过程，并在升级前编制完整的配置文档。
- 升级顺序 ：提前使用 license_upgrade 实用程序升级当前的 NG 许可证，验证配置与 NGX 的兼容性，确保系统满足软件和硬件要求。
- 最小化停机时间 ：升级期间将 SmartCenter 迁移到新系统便于恢复，审查服务级别协议及时解决问题，升级硬件时记得清除 ARP 条目。
- 回滚：了解各种恢复到以前配置的方法，为最坏的情况做好准备。

9. 常见问题解答

Q：何时应将 NG 环境升级到 NGX？
- A ：这个问题没有简单的答案。在升级之前，应使用 NGX 全面测试生产需求，以确保功能正常。在没有适当测试的情况下升级到主要版本的初始版本可能会产生问题，运行前沿版本存在风险。
Q：NGX 中哪些许可证不再有效？
- A ：VPN - 1 Small Office 和 VPN - 1 Net 许可证在 NGX 中不可用，这些产品在 NG 中仍然受支持。如果使用这些产品，需要将其转换才能升级到 NGX。
Q：我的 SmartCenter 没有互联网访问权限，还能使用 license_upgrade 实用程序吗？
- A ：可以，该实用程序包括执行离线升级的选项。需要在 SmartCenter Server 上运行该实用程序生成许可证包文件，将此文件和 license_upgrade 实用程序传输到具有 HTTPS 互联网访问权限的机器上，从在线机器运行 license_upgrade 实用程序生成包含升级后许可证的文件，将此文件传输回 SmartCenter Server，并使用 license_upgrade 实用程序导入该文件。
Q：导出实用程序会复制我的网络配置吗？
- A ：不会，该实用程序仅导出 Check Point 配置。
Q：为什么在升级前要运行许可证升级和预验证工具，而这些工具是升级过程的一部分？
- A ：在实际升级之前可能需要解决一些问题。如果缺少所需的许可证，升级后的模块将无法正常工作。验证错误将导致升级失败，不得不回滚更改。
Q：如果使用导入选项升级到新的 Windows SmartCenter Server，它需要连接到网络吗？
- A ：接口需要有连接，但不需要连接到生产网络。可以使用集线器在接口上提供有效连接以完成升级。升级完成后，断开以前的服务器，将升级后的服务器连接到生产网络。
Q：NGX 媒体提供的文档有更新吗？
- A ：有，一些文档已更新，当前文档可以从 www.checkpoint.com/support/technical/documents/docs_r60.html 下载。需要有具有适当权限的用户中心账户才能访问这些文档。

升级到 Check Point NGX 的全面指南

10. 关键要点总结表格

11. 升级流程 mermaid 流程图

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px

    A([开始升级]):::startend --> B(备份系统):::process
    B --> C{是否为 NG 版本}:::decision
    C -->|是| D(升级许可证):::process
    C -->|否| E(先升级到 NG 版本):::process
    E --> D
    D --> F(运行 pre_upgrade_verifier 验证配置):::process
    F --> G{配置是否有错误}:::decision
    G -->|是| H(纠正错误):::process
    G -->|否| I(选择升级方式):::process
    H --> I
    I --> J{升级 SmartCenter Server}:::decision
    J -->|Windows 系统| K(按 Windows 升级步骤操作):::process
    J -->|SecurePlatform 系统| L(按 SecurePlatform 升级步骤操作):::process
    J -->|Solaris 系统| M(按 Solaris 升级步骤操作):::process
    K --> N(升级防火墙网关):::process
    L --> N
    M --> N
    N --> O(最小化停机时间操作):::process
    O --> P{升级是否成功}:::decision
    P -->|是| Q([升级完成]):::startend
    P -->|否| R(执行回滚操作):::process
    R --> B

12. 升级注意事项补充

许可证管理 ：在升级许可证时，务必仔细检查每个许可证的功能变化。使用模拟选项可以提前了解哪些功能在 NGX 中不再支持，避免升级后出现功能缺失的问题。同时，确保软件订阅处于有效状态，否则无法获得更新的许可证。
配置验证 ：pre_upgrade_verifier 工具的报告是升级成功的关键。对于报告中的错误，要认真对待并及时纠正。可以将报告输出到文件或 Web 格式，方便详细查看和分析。
升级过程中的交互 ：在升级过程中，会出现多个询问窗口，如是否升级许可证、是否跳过预升级验证等。要根据实际情况仔细选择，避免因误操作导致升级失败。
硬件和软件兼容性 ：在升级前，再次确认系统的硬件和软件是否满足 NGX 的要求。特别是操作系统版本，如 Windows 2003 SP1 不受支持，要提前做好准备。

13. 升级后的检查

升级完成后，需要进行一系列的检查，确保系统正常运行：
1. 管理连接检查 ：使用 NGX SmartConsole 客户端连接到 SmartCenter Server，检查是否能够正常管理系统。
2. 网络连接检查 ：测试网络连接是否正常，确保防火墙网关能够正常工作，各项服务是否可用。
3. 许可证检查 ：在 SmartUpdate 中检查新的 NGX 许可证是否已正确附加到网关。
4. 配置检查 ：查看系统的安全配置是否正确，规则是否生效。

14. 未来升级展望

未来从 NGX 及后续版本的升级将实现零停机升级，这将大大减少升级对业务的影响。但在当前阶段，我们仍需通过合理的规划和操作来最小化停机时间。随着技术的不断发展，相信 Check Point 的升级过程会越来越便捷和高效。

15. 总结回顾

升级到 Check Point NGX 是一个复杂但值得的过程。通过全面的备份、合理的升级顺序、正确的升级方法以及有效的回滚策略，可以确保升级顺利进行。同时，最小化停机时间和做好升级后的检查工作，能够保障系统的稳定运行。在面对未来的升级时，我们可以期待更加完善的升级机制。希望本文提供的指南能够帮助你成功完成 Check Point NGX 的升级。