本帖最后由 Hacking 于 2022-9-20 16:31 编辑
### ####
马上要国庆了,巡检安全加固要搞起来了。安全加固是配置软件系统的过程,针对服务器操作系统、数据库及应用中间件等软件系统,通过打补丁、强化帐号安全、加固服务、修改安全配置、优化访问控制策 略、增加安全机制等方法,堵塞漏洞及“后门”,合理进行安全性加强,提高其健壮性和安全性,增加攻击者入侵的难度,提升系统安全防范水平。
准备升级环境 1)准备一台安装Windows操作系统的PC,通过内网连接VPN设备LAN口或者DMZ口的IP; 2)请在物理局域网内对设备升级,勿通过互联网环境或连接VPN升级设备; 3)升级客户端所在电脑磁盘目录剩余空间大于1G,否则会出现电脑磁盘空间不足导致升级时解析升级包失败; 4)下载下来的升级客户端工具是压缩包,需要解压后再打开运行,不能直接从压缩包里面运行升级客户端;
备份设备配置 升级前请备份设备配置 登录SSL设备管理控制台-【系统维护】-【配置备份/恢复】进行配置备份 1)备份全局配置 全局配置包含设备上的所有配置,比如IPSEC VPN、SSL VPN、网络配置、防火墙等所有模块的配置 2)备份SSL配置 SSL配置仅包含SSL VPN功能相关配置,不包含网络配置、IPSEC VPN、防火墙等模块配置 实施流程 单台设备实施流程 首先使用升级客户端Sangfor Updater 6.1加载相应的补丁包的Check包检测补丁包的是否与其他补丁或定制冲突,Check包加载完成显示升级成功后,再加载补丁包;补丁包加载完成提示升级成功后,查看设备版本信息有对应的补丁包字段即完成实施。 (1)控制台打开允许升级客户端维护,开启路径【系统设置】-【系统配置】-【运维配置】中启用升级维护;或者在【防火墙设置】--【过滤规则设置】-【本机规则】中开启允许外网使用升级客户端进行维护功能。 (2)将下载好的补丁包解压,得到三个文件,CHECK_CP_WP_WAF_SP(20201127).cssu为补丁检测包,用于检测设备是否满足实施补丁包的条件;CP_WP_WAF_SP(20201127).cssu为补丁包,用于对设备实施补丁;MD5.txt为记录上述两个文件的MD5信息,实施补丁前需验证补丁包MD5是否一致。 (3)打开升级客户端,输入SSL设备IP地址和控制台超级管理员admin/Admin的密码,然后连接设备。 (4)选择从本地加载补丁包的Check补丁包,点击 下一步 按钮。 (5)再次确认升级,点击 确认升级 。 (6)确认升级后,通过F10的技术支持工具可以看到详细进展。等待一段时间,会提示,OK, the patch can be applyed in this sslvpn equipment代表检测通过,请忽略升级失败的提示,可以实施补丁包;若是其他提示则代表不满足升级条件。 (7)点击断开连接,再次重新连接上设备后,选择补丁包,点击 下一步 加载升级 (8)再次确认升级,点击 开始升级 。 (9)确认升级后,通过F10看到进度,等待一段时间,提示组合包已经升级完毕,请核对上面的打包结果信息,则说明补丁包已经实施完成,如下图所示,若是其他提示,则补丁包未实施成功,请忽略补丁提示会重启所有服务,补丁包只会重启控制台服务,不影响业务。 (10)查看设备的版本信息有对应的补丁包名称,参考补丁包介绍中的升级成功条件。
集群环境实施流程 集群环境下实施Check包无需拆分集群,只需在分发器上加载实施即可。 实施补丁包CP_WP_WAF_SP,只用实施分发器,真实服务器会自动同步, 实施步骤参考“单台设备实施流程”。 注:集群主备和集群负载均衡实施方式均按照集群环境下实施。 分布式集群环境实施流程 分布式集群环境下实施Check包和补丁包无需拆分分布式集群,需要在主节点分发器上、从节点的分发器上实施补丁包,先打主节点,再打从节点。实施步骤参考“单台设备实施流程”。
双机环境实施流程 先拔掉SSL备机所有普通接口的网线(eth0、eth1、eth2等),然后拔掉备机双机线(Console线),此时备机已经退出双机部署,将电脑直连SSL设备的eth0或者eth1口,电脑配置SSL设备接口相同网段的IP,登录SSL控制台在【双机维护】界面禁用双机,如下图操作,然后使用升级客户端连接设备进行升级操作,具体步骤同“单台设备升级流程”。 注意:禁用双机会重启设备,请合理安排时间。 SSL备机实施完成后,可将SSL主机所有网线拔掉,将SSL备机接入网络测试一下业务是否正常,若测试没有问题,再实施主机,具体步骤同“单台设备升级流程”。 两台设备都实施完成后 (1)一台设备接好所有网口的网线和双机线作为主机,启用双机服务,如下图操作 注意:启用双机会重启设备,请合理安排时间。 (2)备机启用双机服务,如上图操作即可,然后备机关机,最后接好所有网口的网线和双机线,备机开机,备机alarm灯有规律的闪烁则双机状态正常。 补丁包注意事项 1、补丁包输出信息会重启设备,忽略该提示,补丁包不会重启设备,只重启控制台服务,不影响业务。 2、实施Check包有以下提示说明Check通过,可以正常实施补丁包。
补丁包回退 建议按照appversion中从下往上依次回滚,回滚步骤具体如下:
SSLCP_SP包回滚步骤: 1、进入设备后台 2、cd /hislog/cti-support/SSLCP_SP 3、./cti-support.sh -roll 等待15s,回滚操作完成 回滚过程需要重启服务:不重启服务,对业务无影响
SSLWP_SP包回滚步骤: 1、进入设备后台 2、cd /hislog/cti-support/SSLWP_SP 3、./cti-support.sh -roll 等待15s,回滚操作完成 回滚过程需要重启服务:conhttpd、boa,对业务无影响,影响控制台登录和访问
SSLWAF_SP包回滚步骤: 1、进入设备后台 2、cd /hislog/cti-support/SSLWAF_SP 3、./cti-support.sh -roll 等待15s,回滚操作完成 回滚过程需要重启服务:sangfor_waf,对业务无影响,影响控制台登录和访问
注意事项: 是否需要拆集群:否,先回滚分发器,再回滚真实服务器 是否需要拆双机:需要拆双机,每台设备都需要回归 是否需要拆分布式:否,先回滚主节点,再回滚从节点 重启设备:否 是否更新客户端:否 |