Check Point ファイアウォールの管理サーバの移行
Check Point のファイアウォールでは、ゲートウェイと管理サーバの2つに役割が分かれています。このうち、ポリシー設定を管理する管理サーバは重要な存在といえます。
この管理サーバを新機器に移行したい場合、当然ポリシー設定情報を新機器に移行する必要があります。
便利なことに、Check Point の管理サーバには、ポリシー設定情報(管理サーバのデータベース)をエクスポートし、別の機器にインポートするための移行ツールが用意されていて、これを使用することで別の機器でポリシー設定をそのまま再現することができます。
この移行用のツールですが、いくつかのツールが存在し、機器バージョンによって使用するツールが変わるため、少しわかりにくいことになっています。
そこで以下ではこの移行ツールについて説明します。
【Upgrade Tools】3 つの移行ツール
各移行ツールは Upgrade Tools
と呼ばれるツール群に含まれ、3 つのツールが存在します。
- upgrade_export、upgrade_import
- migrate
- migrate_server
upgrade_export、upgrade_import
- 対応バージョン:R80.10 以前
- 格納先パス:
$FWDIR/bin/upgrade_tools/
- 実行時の Check Point サービス停止有無:
- エクスポート: 無し
- インポート:
有り
upgrade_export、upgrade_import は R80.10 以前のバージョンに含まれる、初期の移行ツールです。同バージョン間でのデータ移行が可能です。
migrate
- 対応バージョン:R70 以降
- 格納先パス:
$FWDIR/bin/upgrade_tools/
- 実行時の Check Point サービス停止有無:
- エクスポート: 無し
- インポート:
有り
migrate は R70 から追加されたツールで、機能としては upgrade_export と upgrade_import を一つに合わせたようなものになります。同バージョンへの移行の他、移行先バージョンの migrate ツールを使用することで(※)、より新しいバージョンへの移行が可能となりました。
(※)移行先バージョンの migrate ツールは手動で対象管理サーバに格納する必要があります
migrate_server
- 対応バージョン:R80.20 以降
- 格納先パス:
$FWDIR/scripts/
- 実行時の Check Point サービス停止有無:
- エクスポート:
有り
- インポート:
有り
- エクスポート:
migrate_server は R80.20 から追加された、現時点で最新の移行ツールです。migrate_server では、同バージョンへの移行はできませんが、より新しいバージョンへの移行を容易に行うことができます。より新しいバージョン用のデータをエクスポートするためには、移行先バージョンに対応したパッケージのインストールが必要ですが、管理サーバがインターネット接続している場合、最新版のパッケージが自動でインストールされるため、手動でのパッケージ追加が不要になります。
また、これは実際に使ってみての感覚ですが、migrate_server によるエクスポート/インポートの処理時間は、migrate によるエクスポート/インポートよりも大分長くなる印象があります。migrate で済むなら migrate を使用したほうが作業効率は良さそうです。
移行ツールの使い分け
上記 3 つの移行ツールは、それぞれ異なる特徴を持っているため、状況に応じて使い分けをすることで効果的に使用することができます。
- 移行先機器のバージョンは既存機器と同じか、異なるか
- 既存機器のサービス停止が許容されるか、されないか
なお、各ツールの詳しい使い方は公式マニュアルを確認してください。
migrate と migrate_server についてはこちらの記事で解説しています。
参考資料
[PDF] The Upgrade Guide NG with Application Intelligence (R55)
[PDF] The Upgrade Guide NGX (R60)
[PDF] The Upgrade Guide Version NGX R65