Check Point VPN-1 Power

- Zertifizierung und Praxiseinsatz
- Installation, Migration, Profilösungen
- Berücksichtigt auch NGX R65

Dieses Buch bietet Ihnen eine umfassende und praxisorientierte Darstellung der Check Point-Firewall. Neben den notwendigen Check Point-Grundlagen erlernen Sie anhand zahlreicher Beispiele und Szenarien, wie Sie Check-Point-Firewalls in einem professionellen und sicherheitskritischen Umfeld optimal einsetzen. Als Check Point-Administrator profitieren Sie von der praxisnahen und aktuellen Themenauswahl – von Hochverfügbarkeitslösungen über die Integration von LDAP, VPN, VoIP bis hin zum Troubleshooting. Das Buch unterstützt Sie ebenfalls mit Tipps und typischen Prüfungsfragen bei der Vorbereitung auf eine CCSA- oder CCSE-Prüfung. Zudem erhalten Sie einen Überblick über NGX R65.

Der Autor

Yasushi Kono ist Dozent für Check Point VPN-1 und RSA SecurID und seit zwölf Jahren als Systems Engineer und Consultant tätig. Zudem hat er als Autor an den offiziellen Schulungsunterlagen "Check Point Security Administration NGX II + III" und den Prüfungsfragen für die CCSA NGX- und CCSE NGX-Zertifizierungen mitgearbeitet.

Ein Upgrade von einem älteren System auf eine aktuellere Version stellt in der IT-Branche fast immer eine sehr große Herausforderung dar. Gerade in den letzten Versionen stellt Check Point komfortable Werkzeuge zur Verfügung, die Ihre Arbeit in dieser Hinsicht erheblich erleichtern.
7 Migration von NG nach NGX (S. 291-292)

7.1 Allgemeines zur Migration

Das Ziel dieses Kapitels ist es, einmal verschiedene Upgrade-Strategien zu durchleuchten. Wie es auch unterschiedliche Installationsmethoden unter unterschiedlichen Betriebssystemen gibt, so gibt es für diese Installationen auch oft mehr als eine Möglichkeit, auf eine aktuelle Check Point-Version ein Upgrade durchzuführen. Ganz wichtig ist es, die Reihenfolge bei der Migration strikt einzuhalten. Und das ist völlig unabhängig davon, welche Migrationsstrategie Sie wählen:

1. SmartCenter Server und GUI Client
2. Security Gateway(s)

Der Grund, weswegen Sie den SmartCenter Server immer zuerst migrieren müssen, hängt mit der Abwärtskompatibilität (Backward Compatibility) zusammen, die CheckPoint in seinen Management-Produkten integriert.

Kompatibilität von GUI Client und SmartCenter Der GUI Client (SmartConsole) muss stets dieselbe Version wie der SmartCenter haben. Bislang hat Check Point es noch nicht fertiggebracht, eine universelle Version des GUI Clients herauszubringen, die eine Abwärtskompatibilität zu älteren Smart- Centern beinhaltet.

Somit ist man stets in der Lage, mit einem neueren SmartCenter Server Security Gateways älterer Versionen zu administrieren. Dies hat den Vorteil, dass man nicht gezwungen ist, in einem Durchgang sämtliche CheckPoint Security Gateways auf einmal auf die neueste Version bringen zu müssen. Bei globalen Unternehmen wäre dies eine zusätzliche logistische Herausforderung.

7.2 Bevor Sie anfangen

Wir sollten ganz zu Anfang uns vergegenwärtigen, welche Schritte – und zwar völlig losgelöst von der eingesetzten Plattform und dem verwendeten Betriebssystem – bei einer Migration vonnöten sind:

Bevor Sie die Migration durchführen, sollten Sie eine Pre-Upgrade Verification durchführen. Sie können damit vorab analysieren, ob etwa Ihr System für NGX tauglich ist.

In einigen Fällen müssen Sie überprüfen, ob das Betriebssystem NGX unterstützt. Insbesondere bei IPSO ist es oft zwingend erforderlich, vor der Check Point-Installation die IPSO-Version anzupassen.

SmartCenter Upgrade: Wichtig ist es, diesen vor dem Security Gateway auf den neuesten Stand zu bringen. Testen Sie vorher den Upgrade-Prozess im Labor!

GUI Client Upgrade: Danach können Sie erst testen, ob Sie sich erfolgreich an den SmartCenter anmelden können. Wenn ja, dann sollten Sie testweise die zuletzt aktivierte Policy auf den Gateways noch einmal übertragen. Wenn der vorherige Schritt erfolgreich durchgeführt werden konnte, haben Sie die notwendigen Bedingungen erfüllt, um endlich ein NGX-Upgrade der Security Gateways durchführen zu können.

7.3 Die möglichen Migrationsmethoden

Es gibt grundsätzlich folgende Möglichkeiten, von NG auf NGX zu migrieren. Zum einen gibt es die Möglichkeit des sogenannten Inplace Upgrade. Diese Methode ist dann geeignet, wenn die Hardware, auf der der SmartCenter Server bzw. das Security Gateway installiert wurde, aktuell noch den Systemanforderungen genügt. Sollte diese Voraussetzung nicht gegeben sein, dann empfiehlt es sich, eine Migration mit Hilfe der Upgrade Tools durchzuführen, bei der die Originalkonfiguration als Datei exportiert und anschließend auf die neue Hardware reimportiert wird. Hier gilt: Egal, welche Strategie Sie wählen, am Ende sollen die Gateways von einer Migration eines SmartCenter Servers nichts bemerken! Das heißt, an der Firewall selbst muss durch eine SmartCenter-Migration nichts umkonfiguriert werden, damit sie mit ihrer SVN-Umgebung kommunizieren kann.