安全防火牆管理中心和安全防火牆裝置管理器的回滾VDB版本

下載選項

PDF (975.9 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (686.0 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (510.1 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2023 年 8 月 10 日

文件 ID:220719

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹為Secure Firewall Management Center (FMC)和Secure Firewall Device Manager (FDM)回滾漏洞資料庫(VDB)的過程。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

Cisco安全防火牆管理中心版本7.3和VDB 361+
思科安全防火牆管理中心7.2.1版和VDB 343+
思科安全防火牆裝置管理器7.0.6版和VDB 395+

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

初始配置

FMC的初始配置

在FMC GUI中，您可以轉到Main功能表> > 關於。

FMC dashboard

從FMC CLI中，您可以使用下一個命令show version確認運行的VDB實際版本：

> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
Rules update version : 2023-07-12-002-vrt
LSP version : lsp-rel-20230712-1621
VDB version : 361
----------------------------------------------------

FDM的初始組態

在FDM GUI中，您可以轉到Monitoring控制台確認實際運行的VDB版本，如下所示：

FDM Dashboard

在FDM CLI中，您可以使用下一個命令「cat /etc/sf/.versiondb/vdb.conf」確認正在運行的實際VDB版本：

root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158

FMC v7.3+的VDB倒回程式

以下是回滾FMC v7.3+的VDB版本的步驟，在下一個示例中，我們將從VDB 361回滾到VDB 359。
1. 如果要回滾的VDB檔案不再儲存在FMC上，則您需要將其上載到FMC，為此，請導航到 系統() > 更新 > 產品更新 > Available Updates > Upload Updates，從本地電腦中選擇VDB檔案並按一下Upload。

2. 將VDB檔案上傳到FMC後，較舊的VDB版本（本示例中為359版）將顯示回滾圖示而不是安裝圖示。

3. 若要繼續從VDB 361倒回至VDB 359，請按一下倒回按鈕。

FMC product updates

4. 然後選中FMC覈取方塊並按一下Install。

Product Updates Install

5. 如果您在VDB回滾之後將更改部署到受管裝置，則會顯示警告提示以通知您可能的流量中斷。

warning

FMC v7.2.x及更低版本的VDB回滾流程

以下是回滾FMC v7.2.x及更低版本的VDB版本時應遵循的步驟。

1. 使用SSH連線到FMC CLI。

2. 切換至expert模式和root，並將回滾變數設定為「1」，如下所示：

>expert
$sudo su
#export ROLLBACK_VDB=1

3. 驗證要回滾的VDB包是否位於下一個FMC目錄/var/sf/updates，以防VDB檔案不在此路徑中，然後向FMC上傳所需的VDB檔案。

4. 然後，輸入下一個命令，繼續進行VDB回滾安裝：

install_update.pl --detach /var/sf/updates/

範例：

root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.

4. 監視下一個目錄位置的vdb安裝日誌/var/log/sf/<VDB包檔案>，並從status.log檔案檢查VDB安裝進度。

root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

5. 一旦VDB安裝完成，則執行策略部署到受管裝置（為了執行策略部署，需要在配置中進行最小程度的更改）。

6. 從FMC CLI運行show version命令，確認實際運行的VDB版本。

> show version
----------------[ FMC ]-----------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID                      : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version      : 2022-09-14-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 394
----------------------------------------------------

FMC HA的VDB復原程式

1. 暫停FMC HA同步，然後回滾每個FMC上的VDB。

2. 為每個FMC完成VDB回滾流程後，請恢復FMC HA。

- HA頁面可能仍顯示「vdb not in sync」，但VDB版本不匹配，因此可以忽略此消息。

3. 如果在為FMC執行回滾VDB進程後，此操作不起作用，並且會自動重新安裝最新的VDB更新，則找到最新的VDB檔案，並從兩個FMC的以下目錄中刪除它們：

/var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)

4. 然後，重複上述步驟1和2以回滾FMC HA的VDB。

FDM的VDB復原程式

若要回覆FDM的VDB版本，請繼續開啟思科TAC案例，並指派TAC工程師參閱此思科檔案以尋求協助。

驗證

從FTD CLI

在FTD上，若要檢查VDB安裝的歷史記錄，一種方法是檢查下列目錄內容：

root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
total 72912
drwxr-xr-x 5 root root 130 Sep 1 08:49 .
drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
-rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
-rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
-rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz

從FMC GUI

完成回滾任務後，可以在主選單>下確認VDB版本 FMC dashboard >關於。

VDB version

FMC VDB version

最後，在VDB回滾後，需要部署策略以將新的VDB配置推送到FMC管理的防火牆。

security updates

限制

VDB倒回按鈕不適用於7.3之前的FMC版本。

如果將VDB版本早於357上傳到FMC，則不允許將VDB回滾到早於357的版本，則回滾按鈕將呈灰色顯示。

VDB version

如果VDB版本低於FMC的基本VDB版本，則會顯示已完成的成功回滾任務，但是，所顯示的VDB版本仍會與之前的回滾嘗試相同。

Deployments

FMC dashboard

在FMC CLI中，您可以確認發生了這種情況，因為回滾目標版本低於基本FMC版本。這可以在status.log檔案的FMC CLI上確認。

> expert
sudo su
cd /var/log/sf/vdb-4.5.0-<vdb number>/
cat status.log

root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
ui:[ 4%] The install completed successfully.
ui:The install has completed.
state:finished

----------------------------------------------------