نسخة VDB السابقة لمركز إدارة جدار الحماية الآمن ومدير جهاز جدار الحماية الآمن

المقدمة

يصف هذا المستند عملية التراجع عن قاعدة بيانات الثغرات (VDB) لمركز إدارة جدار الحماية الآمن (FMC) ولمدير أجهزة جدار الحماية الآمن (FDM).

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco Secure Firewall Management Center، الإصدار 7.3 و VDB 361+
• Cisco Secure Firewall Management Center، الإصدار 7.2.1 و VDB 343+
• مدير جهاز جدار الحماية الآمن من Cisco، الإصدار 7.0.6 و VDB 395+

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

عمليات التهيئة الأولية

التكوين الأولي ل FMC

من واجهة المستخدم الرسومية FMC، يمكنك تأكيد إصدار VDB الفعلي الذي يتم تشغيله بالانتقال إلى الرئيسيالقائمة > > حول.

من ال FMC CLI، أنت يستطيع أكدت الفعلي VDB صيغة يركض مع أمر تالي، عرض صيغة:

> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
Rules update version : 2023-07-12-002-vrt
LSP version : lsp-rel-20230712-1621
VDB version : 361
----------------------------------------------------

التكوين الأولي ل FDM

من واجهة المستخدم الرسومية (GUI) ل FDM، يمكنك تأكيد إصدار VDB الفعلي الذي يتم تشغيله من خلال الانتقال إلى لوحة معلومات المراقبة، كما يلي:

من ال FDM CLI، أنت يستطيع أكدت ال VDB صيغة حقيقي يركض مع أمر تالي cat /etc/sf/.versiondb/vdb.conf':

root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158

عملية التراجع عن VDB ل FMC الإصدار 7.3+

هذه هي الخطوات التي يجب إتباعها لاستعادة إصدار VDB الخاص بالإصدار 7.3+ من FMC، في المثال التالي الذي نقوم فيه بالعودة من الإصدار 361 من VDB إلى الإصدار 359 من VDB.
1. في حالة عدم تخزين ملف VDB الذي سيتم التراجع إليه على FMC، بعد ذلك، ستحتاج إلى تحميله إلى FMC، لهذا، انتقل إلى النظام() > تحديثات > تحديثات المنتج > التحديثات المتوفرة> تحميل التحديثات، حدد ملف VDB من الكمبيوتر المحلي وانقر فوق تحميل. 

2. بمجرد تحميل ملف VDB إلى FMC، بعد ذلك، سيعرض إصدار VDB الأقدم (الإصدار 359 في هذا المثال) أيقونة العودة إلى الوضع السابق بدلا من أيقونة التثبيت.

3. للمتابعة إلى التراجع من VDB 361 إلى VDB 359، انقر فوق زر الاستعادة. 

4. بعد ذلك، حدد خانة إختيار FMC وانقر فوق تثبيت.

5. يتم عرض موجه تحذير لإعلامك بمشكلة انقطاع حركة المرور المحتملة في حالة نشر التغييرات على الأجهزة المدارة بعد إسترجاع VDB. 

عملية التراجع عن VDB للإصدار 7.2.x من FMC والإصدارات الأقدم

هذه هي الخطوات التي يجب اتباعها لاستعادة إصدار VDB الخاص بالإصدار 7.2.x من FMC والإصدارات الأقدم.

1. SSH إلى واجهة سطر الأوامر (CLI) الخاصة بوحدة التحكم FMC.

2. انتقل إلى وضع الخبير، والمصدر، وقم بتعيين متغير التراجع على '1'، كما يلي:

>expert
$sudo su
#export ROLLBACK_VDB=1

3. تحقق من أن حزمة VDB التي تنوي التراجع إليها، موجودة في دليل FMC التالي /var/sf/update، في حالة عدم وجود ملف VDB في هذا المسار، ثم قم بتحميل ملف VDB المطلوب إلى FMC.

4. بعد ذلك، استمر في تثبيت إعادة توجيه VDB من خلال إدخال الأمر التالي:

install_update.pl --detach /var/sf/updates/
    
    

مثال:

root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.

4. راقب سجلات تثبيت VDB في المجلد التالي موقع /var/log/sf/<VDB حزمة مبرد>وفحص تقدم تثبيت VDB من ملف status.log.

root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

5. بمجرد اكتمال تثبيت VDB، بعد ذلك، قم بتنفيذ نشر النهج على الأجهزة المدارة (لتنفيذ نشر النهج، يلزم إجراء الحد الأدنى من التغيير في التكوين).

6. من واجهة سطر الأوامر (CLI) الخاصة بوحدة التحكم FMC، قم بتشغيل الأمر show version لتأكيد تشغيل إصدار VDB الفعلي.

> show version
----------------[ FMC ]-----------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID                      : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version      : 2022-09-14-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 394
----------------------------------------------------

عملية التراجع عن قاعدة بيانات المحول (VDB) ل FMC HA

1. قم بإيقاف مزامنة FMC HA مؤقتا ثم قم بالرجوع إلى قاعدة بيانات الأجهزة الافتراضية (VDB) على كل وحدة تحكم في الإدارة الموحدة (FMC).

2. بمجرد إتمام عملية التراجع عن قاعدة بيانات المحول (VDB) لكل وحدة تحكم في الإدارة الأساسية (FMC)، استأنف FMC HA.

- قد لا تزال صفحة HA تعرض VDB غير متزامن" مع عدم تطابق إصدار VDB، ويمكن تجاهل هذه الرسالة.

3. في حالة عدم عمل هذا بعد تنفيذ عملية VDB الخاصة بالرجوع إلى الحالة السابقة ل FMC، وإعادة تثبيت آخر تحديث VDB تلقائيا، ثم تحديد أحدث ملفات VDB وحذفها من الأدلة التالية لكل من FMCs:

/var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file) 

4. بعد ذلك، كرر الخطوات 1 و 2 أعلاه لاستعادة VDB الخاص ب FMC HA.

عملية التراجع عن VDB ل FDM

للرجوع إلى إصدار VDB الخاص ب FDM، انتقل إلى فتح حالة Cisco TAC وطلب المساعدة من خلال توجيه مهندس TAC إلى مستند Cisco هذا.

التحقق من الصحة

من واجهة سطر أوامر FTD 

في FTD، للتحقق من محفوظات تثبيتات VDB، هناك طريقة واحدة للتحقق من محتويات الدليل التالية:

root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
total 72912
drwxr-xr-x 5 root root 130 Sep 1 08:49 .
drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
-rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
-rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
-rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz

من واجهة المستخدم الرسومية الخاصة بمركز إدارة Firepower (FMC)

ما إن يتم التراجع مهمة، ال VDB صيغة يستطيع كنت أكدت تحت القائمة الرئيسية > > حول.

وأخيرا، بعد إسترداد قاعدة بيانات المحول (VDB)، يلزم نشر السياسة للدفع بتكوين قاعدة بيانات المحول (VDB) الجديد إلى جدران الحماية المدارة من قبل وحدة التحكم FMC.

القيود

• لا يتوفر زر التراجع الخاص ب VDB لإصدارات FMC قبل 7.3.

• غير مسموح لك برد VDB إلى إصدار أقدم من 357، إذا تم تحميل إصدار VDB أقدم من 357 إلى FMC، حينئذ، يتم مسح زر الاستعادة.

• إذا كان إصدار VDB أقل من إصدار VDB الأساسي لوحدة التحكم في الإدارة الأساسية (FMC)، يتم عرض مهمة الاستعادة الناجحة التي تم إكمالها، ومع ذلك، يستمر عرض إصدار VDB الذي يتم عرضه في إظهار نفس الطريقة التي كان يتم بها عرض محاولة التراجع السابقة.

من واجهة سطر الأوامر (CLI) الخاصة بوحدة التحكم في الإدارة الأساسية (FMC)، يمكنك تأكيد حدوث ذلك لأن إصدار هدف التراجع أقل من إصدار FMC الأساسي. يمكن تأكيد ذلك على واجهة سطر الأوامر (CLI) الخاصة بوحدة التحكم FMC في ملف status.log.

> expert
sudo su
cd /var/log/sf/vdb-4.5.0-<vdb number>/
cat status.log

root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
ui:[ 4%] The install completed successfully.
ui:The install has completed.
state:finished

----------------------------------------------------

معلومات ذات صلة

• الدعم الفني والتنزيلات من Cisco