Secure Firewall Management Center和Secure Firewall Device Manager的回滚VDB版本

下载选项

PDF (956.2 KB)
在各种设备上使用 Adobe Reader 查看
ePub (692.6 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (517.8 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2023 年 8 月 10 日

文档 ID:220719

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍为安全防火墙管理中心(FMC)和安全防火墙设备管理器(FDM)回滚漏洞数据库(VDB)的过程。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科安全防火墙管理中心版本7.3和VDB 361+
思科安全防火墙管理中心版本7.2.1和VDB 343+
Cisco安全防火墙设备管理器7.0.6版和VDB 395+

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

初始配置

FMC的初始配置

在FMC GUI中，您可以转到Main菜单> >关于。

FMC dashboard

从FMC CLI中，您可以使用下一个命令show version确认运行的VDB实际版本：

> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
Rules update version : 2023-07-12-002-vrt
LSP version : lsp-rel-20230712-1621
VDB version : 361
----------------------------------------------------

FDM的初始配置

在FDM GUI中，您可以转到Monitoring控制面板确认运行的实际VDB版本，如下所示：

FDM Dashboard

从FDM CLI中，您可以使用下一命令“cat /etc/sf/.versiondb/vdb.conf”确认正在运行的实际VDB版本：

root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158

FMC v7.3+的VDB回滚流程

以下是回滚FMC v7.3+的VDB版本的步骤，在下一个示例中，我们将从VDB 361回滚到VDB 359。
1. 如果要回滚到的VDB文件不再存储在FMC中，则您需要将其上载到FMC，为此，请导航至 System() > 更新 > 产品更新 > Available Updates> Upload Updates，从本地计算机选择VDB文件，然后点击Upload。

2. 将VDB文件上传到FMC后，旧版VDB（本示例中为359版）将显示回滚图标而不是安装图标。

3. 要继续从VDB 361回滚到VDB 359，请单击回滚按钮。

FMC product updates

4. 然后选中FMC复选框并单击Install。

Product Updates Install

5. 在VDB回滚后，如果向受管设备部署更改，则会显示警告提示，通知您潜在的流量中断。

warning

FMC v7.2.x及更低版本的VDB回滚流程

以下是回滚FMC v7.2.x及更低版本的VDB版本的步骤。

1. 通过SSH连接到FMC CLI。

2. 切换到expert模式和root，并将回滚变量设置为“1”，如下所示：

>expert
$sudo su
#export ROLLBACK_VDB=1

3. 验证要回滚到的VDB包是否位于下一个FMC目录/var/sf/updates中（如果VDB文件不在此路径中），然后将所需的VDB文件上载到FMC。

4. 然后，通过输入下一命令继续执行VDB回滚安装：

install_update.pl --detach /var/sf/updates/

示例：

root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.

4. 在下一个目录位置监控vdb安装日志/var/log/sf/<VDB Package file>，并从status.log文件检查VDB安装进度。

root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

5. 一旦VDB安装完成，则执行策略部署到受管设备（要执行策略部署，需要在配置中进行最低限度的更改）。

6. 从FMC CLI，运行show version命令以确认运行的VDB实际版本。

> show version
----------------[ FMC ]-----------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID                      : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version      : 2022-09-14-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 394
----------------------------------------------------

FMC HA的VDB回滚流程

1. 暂停FMC HA同步，然后在每个FMC上回滚VDB。

2. 为每个FMC完成VDB回滚流程后，请恢复FMC HA。

- HA页面可能仍然显示“vdb not in sync”，并且VDB版本不匹配，因此可以忽略此消息。

3. 如果在为FMC执行回滚VDB进程后，此操作不起作用，并且自动重新安装最新的VDB更新，然后找到最新的VDB文件，并从两个FMC的以下目录中删除这些文件：

/var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)

4. 然后，重复上述步骤1和2以回滚FMC HA的VDB。

FDM的VDB回滚流程

要回滚FDM的VDB版本，请继续打开思科TAC案例，并通过将TAC工程师指向此思科文档来请求帮助。

验证

从FTD CLI

在FTD上，要检查VDB安装历史记录，一种方法是检查以下目录内容：

root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
total 72912
drwxr-xr-x 5 root root 130 Sep 1 08:49 .
drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
-rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
-rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
-rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz

从FMC GUI

完成回滚任务后，可以在主菜单>下确认VDB版本 FMC dashboard >关于。

VDB version

FMC VDB version

最后，在VDB回滚后，需要策略部署以将新的VDB配置推送到FMC管理的防火墙。

security updates

限制

VDB回滚按钮对于7.3之前的FMC版本不可用。

如果将VDB版本早于357的版本上传到FMC，则不允许将VDB回滚到早于357的版本，然后，回滚按钮将灰显。

VDB version

如果VDB版本低于FMC的基本VDB版本，则显示已完成的成功回滚任务，但是，显示的VDB版本继续显示与之前的回滚尝试相同。

Deployments

FMC dashboard

从FMC CLI中，您可以确认发生了这种情况，因为回滚目标版本低于基本FMC版本。这可以在status.log文件的FMC CLI上确认。

> expert
sudo su
cd /var/log/sf/vdb-4.5.0-<vdb number>/
cat status.log

root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
ui:[ 4%] The install completed successfully.
ui:The install has completed.
state:finished

----------------------------------------------------