check point vsx虚拟防火墙部署手册

©2013CheckPointSoftwareTechnologiesAllrights .Thisproductandrelated ationareprotectedbycopyrightanddistributedunderlicensingrestrictingtheiruse,copying,distribution,and pilation.NopartofthisproductorrelatedationmaybereproducedinanyformorbyanymeanswithoutpriorwrittenauthorizationofCheckPoint.Whileeveryprecautionhasbeentakeninthepreparationofthisbook,CheckPointassumesnoresponsibilityforerrorsoromissions.Thispublicationandfeaturesdescribedhereinaresubjecttochangewithoutnotice.RESTRICTEDRIGHTSUse,duplication,ordisclosurebytheernmentissubjecttorestrictionsassetforthinsubparagraph(c)(1)(ii)oftheRightsinTechnicalDataandComputerSoftwareclauseatDFARS252.227-7013andFAR52.227-19.RefertotheCopyrightpage(http://w /copyright.html)foralistofourRefertotheThirdPartycopyrightnotices(http://w foralistofrelevantcopyrightsandthird-partylicenses.目.介 CHECKPOINT 12407功能特 12407面板接口说 术语介 实验拓 .虚拟系统配置指 初始化虚拟系统配 虚拟系统初始 SmartCenter安 GAIAVSX虚拟系统配 创建虚拟Virtual 虚拟路由接口的配 配置网络对 配置服务对 策略配 配置网络地址转换 限制用户每秒新建连接 会话老化时间配 IPS浏 IPS配 定义执行IPS的定义IPS 配置 配置Geo 配置Network IPS安全更 FollowUp选 Advanced选 禁用 和 SmartView SmartViewTracker 使用 配置策略 SmartView 配置 Traffic SystemCounters 申请 安装安全更 管理 性能优 SMARTCENTER备份恢 SmartCenter备份和恢 GAIA系统管理常用命 完整配置示 WorkingwithVirtual 网络规划及拓扑 IP地址规 具体配 WorkingwithVirtualSwitchandVitual 网络规划及拓扑 IP地址规 具体配 .介CheckPoint12407功能特CheckPoint12407安全平台是一种下一代高端，专门用于满足大企业及服务CheckPoint12407安全平台只有2个机架单位高，CheckPoint的新型设备将快速网络处理技术与高性能多核能力结合在一起，提供最次的安全性，同时不会降低网络速度，124071GB铜以1GB以太网铜、1GB以太网光10GB以太网光纤连接。CheckPoint12407设备通过热插拔冗余电源，热插拔冗余硬盘驱动器（RAID）和带外管理高级LOM卡等特点提供业务连续性和可用性。这些特点组合一起，可保证当这些设备部署在客户网络中时实现较高程度的业务连续性和可用性。CheckPoint12407群集和虚拟路由器冗余协议（VRRP）等功能。CheckPoint12407CheckPoint认证的PMC接口卡互操作，为客户提供更有效的投资保护。此外，CheckPointSmart-1可帮助实现对多台CheckPoint12407的集中管理。Check性能3.5Gbps隧道数IPS12No1000Base-FSFP(AUX11USB212407面板接口说CHECKPOINT12407外观12Harddisk2System3LCD45Console6Management7LOM8Expansionline9USBSynchronizationExpansionlineExpansionlineCHECKPOINT12407后电源指示1Mainpower2PowersupplyCheckPointIP平台底层操作系统，是基于FreeBSD类NetworkNetworkVoyagerIPSOWeb界面的软件，主要用来配置接口IP地址、路由、VRRP等，也可以网络流量BootmanagerIPSOSecurePlatformProCheckPointUTM-1、Power-1和Smart-1等平台底层操作系统，同时集成了CheckPoint软件，包括Firewall、等软件刀片。支持ssh、web界面等管理方式，主要用来配置主机IP、静态路由、时区等，动态路由、SNMP专家模式，是SecurePlatform 防御系统，是针对网络、蠕 、以及网络和操系 SecurityGateway/FirewallModule是指CheckPoint安全网关，通常也称是模块或集中的管理服务器。用来集中管理设备，有Standalone(独立)Distributed(分布式)两种部署模式管理客户端组件(GUI)。包括SmartDashboard、SmartViewTracker、SmartViewMonitorSmartUpdate等，用来添加网络对象、网段、对象组等，以及定义服务、添加策略、配置NAT、安装策略等，管理的大部分工作都通过SmartConsoleSmartCenter才能进行防LocalLicenseSmartCenterStandaloneCentralLicense：用于SmartCenter的Distributed实验拓.虚拟系统配置指虚拟系统初始VSXGateway选择“InstallGaiaonthissystem”WEB方式初始化在命令行完成初始化GAIAWEB方式登陆，enablepcIPIP在IE的地址栏中输入打开登录网页，用户名为“admin，为securitygatewayorsecuritysecuritygateway（如果火墙是分布式部署输入sic秘钥：该秘钥为与smartcenter通信所 秘设备重启后，进入Web配置界面，将所有端口“enable” enableSmartCenter安SmartCenterIPS，AV，APP，Anti-bot等安全特征库重启后，通过Web输入进入配置向选择“SecurityGatewayorSecurity因为这里是安装SmartCenter选择“AnyIP GAIAVSX虚拟系统创建VSXR76SmartDashboardSmartCenter地址和帐号，登录（SMCIP:，Username:admin，Password:1qaz2wsx）VSXGateway对象，右键单击“CheckPoint”→“VSX”选择独立的接口：虚拟系统使用自己独立的内部和外部接口，此模板默认情况下创建一个的管理接口（DMI）。如果默认的模板是不恰当的，你可以自定义配置：自定义虚拟系统，虚拟路由器，虚拟交换机和接口配置。在VSXGateway和SmartCenter之间初始化安全内部通信的信任，如果没有信任，网关和管理服务器无法通信。输入SIC，建立对VSXGateway的管理在VXGaeayVLNruk量，使得从内部接入的接口可以识别各种VAN信息，从而将接入流量定向到内部不同的虚拟来做处！根据前的oo，这无需择VLNrun，所以做任何择！在“V网关管理”窗口中，可以定义保护V网关的安全策略，这个政策会自动安装在新的VXVX网关的流量，虚拟系统、其他虚拟设备、外部网络和内部网络定制的流量都不受这个策略影响。安全策略由这些服务的预定义的规则组成：UDPSNMPTCPSSHICMP-请求和回包（TCPHTTPS选择VSXGateway创建虚拟Virtual输入虚拟的名称，如“VS1”，选择继承之前“VSXGateway”定义的属性虚拟路由接口的配虚拟VS1创建VS1的流程和拓扑创建VS23个虚拟VS1，VS2，VS3创建完成本文档定义了3个VirtualSystem，及3个虚拟，每个虚拟的刀片启用和策略定义跟物理的实体墙一样，这里以VS1为例，其他不做重复描述！进行策略配置时，网关对象、主机、组等与策略相关的对象在定义是不能采用中文进行，只有在注释采用中文。配置网络对文了解CheckPoint管理构架后，下面就从管理的第一步开始，首配置主机对”属性上点击右键，选择“Node定义主机对象的名称，IPAddressOK，主机对象创建完成。General主机对象NAT配置（选配配置网段对定义策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置“Network，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和网段对象NAT配置（选配配置网络组对IPIP些对象添加到网络组，如下在“Group”属性上点击右键，选择“SimpleGroup”选SimpleGroupWith如下图从左面的“NotinGroup”对象中选择需要添加到“InGroup”对象中，配置OK配址范围对IP(IPrange)，地址范围对象配置步骤是，如下在“Network”属性上点击右键，选择去掉“Donotshowemptyfolders”选IPRangeRageRanges配置服务对配置TCP服务CheckPoint内置了预定义的近千种服务，包括TCP、UDP、RPC、ICMP等各种类型服务，通常在定 安全策略时，大多数服务已经识别并内置，因此无需额务，如下图所示，点击第二个模块，即Services，已经预定义多种类型服务，用户根“TCP，TCPTCPUDP协议或其他协议类型按照同样流配置UDP服务对如下图所示，点击第二个模块，即Services，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义UDP类型服务，“UDP，选择“NewUDPUDP服务端口服务对象，如果是一段端口，可以定义端口范围。RPC、ICMPTCP和UDP服务端口注意：在定义服务时，在选择port配置策略步Rulesrulebaserulebase在SmartDashboard上面,也有添加规则的快捷按钮，将鼠标停留在快捷按钮上会有提“Firewall”另外还有其他分别是配置不同模块功能的区域，如下图所示：ApplicationAnti-Spam&配置邮件过滤软件刀Mobile Anti-&URL配置防和过滤软件刀IPSec配置IPSec软件刀点击图中快捷按钮，在规则库中添加一条策略，然后点击下图中“，输入需要添加的地“SORCE“DETINATION““SERVICE“ACTION”Add 网络对象取反配配置策略举例，如果策略配置的需求是除了不允许主机CFileServer之外，允许其“Source“Destination，配置策略当策略比较多时，需要很快找到规则库中的位置，通常建议在策略定义时培养出良好的习惯，即为不同区域和不同应用的策略划分单独的策略组。如DMZ区域策略，Internal区域策略，策略等，这些策略命名后放在一起，配置如下；选中策略的序号，点击右键，选择“AddSectionTitleRuleAddSectionDisableSelect定义策略在大规模管理上百台设备时，通常建议为不同的建立单独的策略包(RuleBase)，首先是易于管理该的管理，修改策略时，只需打开该的策略包，即可修改和配置策略，不要担心改动其他策略。其次是便于策略的优化，单个策略包只给指定的，因此不会像所有策略放在一个策略包(RuleBase)时的管理。策略编译的速度会更加快，打开规则库时，在下发策略时策略可以自动下发到当前配置的策略库(Rulebase)的。默认的规则库名称叫做“Standard当点击下发策略时，可以选择该规则库下发到指定，如果SmartCenter集中管理多台时，我们十分建议您为不同的定义单独的策略包，这样管理方便也能优SmartCenter对策略的校验速度。具体配置如下；NewSaveCopyPolicyto PrintPrint点击“New”属性后，为新建的“PolicyPackage”定义名称，比如为内网定义的安全策略，该策略包保护、NAT和ApplicationControl策略，以及Qos策略等。点击“OK”，完成新建策略包。如果要打开“Standard”的策略包，则点击“Open”选择配置网络地址转换CheckPoint可以灵活的配置StaticNAT（基于一对一的静态NAT），ManualNAT(NAT)HideNAT(IPNAT)配置HideHideNAT配置通常是把需要保护的私有地址的网段隐藏在一个公网地址之后实现Internet的功能需求，内部私有地址可以隐藏在的公网之后Internet，也可以是隐藏在一个单独的地址之后Internet。通常是内部网段要通过到Internet，因此我给需要internet的网络对象配置NAT，Hide在后面到互联网；首先定义内部网段对TranslationHidebehindHidebehindIP该对象隐藏在一个IP之后出Installon该对象的NAT策略在哪个执根据NAT策略的匹配顺序，第一条策略是该网段的互访不需要做NAT转换，会优先匹配，第二条策略是该网段到任何地方会自动以的地址出去。内网网段的HideNAT做好之后，还需要定义策略允许内网的。配置StaticStaticNATNATDMZInternet，或者Internet的需求。TranslationTranslatetoIP配置该对象NATInstallon该对象的NAT策略在哪个执NAT后，再添加安全策略，如“log配置Manual配置手工(Manual)NATIP地址不够或者其他原因的前提下使用，比如只有一个公网地址，并且配置在的口，但企业内部多个服务器需要对Internet分HTTPFTP服务。因此我们分别将公网IP的HTTP80端口，FTP21端口分别映射给内网主机A命名为“FW-Ext-IP”,然后在“NATNAT策略。如上图所示，手工NAT配置就完成，然后在“Firewall”规则库中定义安全策略允许即可。配置IPPool如果需要实现多个网段给一个IPPool做NATNetworkObjectManualNATNATInternal_Net到任何地NAT_IP_Pool的地址出去。然后定义策略，允许Internal_Net到Internet的安全策略。如下图所示注意事项：在进行IPPoolNAT配置时检测进行arp限制用户每秒新建连接如下图所示，在IPS模块中定义网络防护，选择IPS→IPandICMP→NetworkQuota→ChangeAction为Prevent→Edit→Allowupto100connectionspersecondfromthesamesource.会话老化时间配SmartCenterTCP、UDPICMP协议类型的会话时间，修改全局属性，将对所有管理的生效，配置会话老化时间的具体步骤点击“SmartDashboard”导航条中“Policy”选项，然后选择“GlobalPropertiesTCPstartTCPsessionTCPend OtherIPprotocolssession火墙处理会话的效率，降低负载。 CheckPoint基础IPS软件刀片，IPS是一个防御系统，通过分析流量内容来检查它是否对你的网络存在风险。IPS全面保护网络、服务器和操作系统安全，使其免受网络、程序、以及代码和软件、蠕虫爆发等带来的。 IPS出现如下图IPSIPSEnforcingGeoNetwork定义不执行IPSDownloadFollowHTTPIPS定义执行IPS的IPS->EnforcingGatewaysIPSGateway进行编在Firewall选项卡，打开NetworkObjects->CheckPoint，双击要启用IPS的对象，选中IPS选项，即在该上启用了IPS。在IPS页面“AssignIPSProfile”为该网关分配一个IPS配置文件“Protectinternalhostsonly”只保护内网主机“PerformIPSinspectiononalltraffic”对所有流量执行IPS检 资源。选择“BypassIPSinspectionwhengatewayisunder“rack”→“log，“Advanced”处定义当CPU在什么范围时为高负荷。Failover“Prefer“PreferIPS打开IPS->Profiles页面，可以查看当前已定义的IPS配置(Default和 mended为系统New->CreatenewprofileIPS’ActivateprotectionsaccordingtoIPSPolicy’IPSPolicy’Activateprotectionsmanually’手动激活相关防护，选择此项后’IPSPolicy’页面所有选打开’IPSPolicy’ClientServerDonotactivateprotectionswithDonotactivateprotectionswithconfidence-DonotactivateprotectionswithperformanceDonotactivateProtocolDonotactivateprotectionsinthefollowing “Prevent打开“NetworkExceptionsIPS检测的资源(Profile需要先完成创建过程才能添加排除)New按钮SingleAllsupportedApplythisexceptiononallR70Applythisexception只在指定上应用此设例如：定义IT部门主机Fileserver时不执行所有防打开Troubleshooting页，点击Detect-Only按钮，则该IPSProfile只执行检测而不。ProtectionsProtectionsByTypeBy“Protection，响等信息，以及它在各IPSProfile的“Action”。如下图“Protections”在“Default_ProtectionProfile”下未激活，在“ mended_ProtectionsProfile”下是动Protections在相应IPSProfileChangeProtections在相应IPSProfile的‘PreventonallProfiles’:ProfileActionPrevent‘DetectonallProfiles’:ProfileAction设置为Detect‘DeactivateonallProfiles’:ProfileProtectionFollow‘MarkforFollowUP’:作标记，用于‘UnmarkforFollowUP’:如果已作标记，此选项才可用，用于取消标记‘EditFollowUpCommont’:编辑标记备注ViewSmartViewTracker，查看IPSActionaccordingtoIPSIPSPolicy定义OverrideIPSPolicy手动指定ActionIPSPolicyCaptureGeo打开“GeoProtections”页面，可以配置允许或去往或来自某个国家的流量。首先配置“Profile”和“ActionIPSProfile”激活“GeoProtection执行的动作,Allowor选项，Log或NetworkNetworkExceptionsIPSNew新建排除规则，IPSProfile。SingleAllsupportedApplythisexceptiononallR70Applythisexception只在指定上应用此设IPS安全更UpdateNow，现在更新IPSCheckPointSupportAccount进行更新，更新EditUserCenterOnupdatefailureOnSuccessfulupdateperforminstallOfflineUpdate，选择更新包，可以执行离线更新‘ApplyRevisonControl’:更新前保存配置并创建数据库备份FollowUp选打开“IPS”→“FollowUp”选项，可以查看已标记的“Protections“Marknewlydownloadedprotectionsforfollowup”的“Protections”自动作标记。Advanced选“HTTPinspectionEnableHTTPinspectiononnonstardardportsfortheIPSBlade”启用http检测打开SmartDashboard，登录SmartCenter，双击打开对象，取消IPS选项，确定 SmartDashboardSmartConsoleSmartDashboardNAT、添加和安装策略、以及配置其他软件刀片(、IPS等)等，同时检查策略配置，以及审核策略都需要通过该模块操作。SmartDashboard2.5节。DataBaseReversion在开始介绍使用SmartDashboard之前，先推荐一个有用的工具，该工具能从file中选择“DatabaseRevisionControl点击“eaeaaaepoc,Obc,ues以及areense和针对全局属性Gobalroeres）的配置。“abaeevononrolncudeseeryhnghataeocyAsde,andreDaaaeevononrol可以备份策略，对象和用户以及配置，是一种比较完整的备份方式。通过它，可以恢复防首先参考误操作之前正确的规则配置删除图中NODEStest,test2,Networks:Internal4条。DatabaseRevisionControl选项ApplythecurrentuserdatabaseontotherestoredTheentirecurrentdatabase(includingpolicies,objectsandkeys)exceptforthedatabaseofusers,withastoredversion.Thecurrentuserdatabaseisretained.说明:（所有之前创建的系统用户或者用户将会被保留Restoretheentiredatabasecancelsthecurrentdatabaseandcompleyrestoresanotherversionofthedatabase.Italsorevertstotheusersdefinedforthedatabaseversiontoberestored,Createbackupversion同时进行备总结：DatabaseRevisionContro是一种比较完整的备份方式。通过它，可以恢复出现故障之前的所有备份配置。Saveas方式只能备份和恢复策略。SmartViewSmartViewTracker是重要的日志分析工具，也是重要的网络和安全问题排查工具。防火墙记录日志并将它们转发到SmartCenter，SmartCenter收集来自的日志并保存，SmartViewTracker检索分析日志。→→“CheckPointSmartCosoleR75rakr”或登录“araard”→ndows”→“arewrcer”打开该工具，NetworkandEndpointQueriesfw.log文件的所有日志，新的日志条Records面板的底部注意:将日志信息记录在fw.log文件，因此随时间推移该文件会变得很大，建议SmartDashboard配置switchlog，当达到指定大小时，即以日期形式命名并存档，并生成新的fw.log文件，以免因fw.log文件过大影响日志性能。同时建议配SmartCenter自动删除过旧日志，保留磁盘空间，以免磁log充满。具体设置步骤参考下图LogswitchwhenfilesizeSchedulelogswitchRequiredFreeDisk介IP自动滚屏（注：自动查看出现的日志，常用滚动到最后一条日志(注：通常我们会用该功FilterSource、DestinationServiceService为ftp的日志，Service列选择EditFilter选择ftp，点击Add添加到右边，点击ok，点击“”向下箭头，SmartViewTracker将只serveiceftpService列选择ClearFilterFilter。IPS软件刀片相关日志，展开“Network&EndpointQueries→“Predefined→BladeAll配置策略如果在Rule的Track列设置None，则不会对该Rule记录log，SmartViewLog，并安装策略注意事项RuleTrackLog，SmartCenterServer将会保存大量日志，不仅会在短时SmartViewTrackerlogRulelogTroubleShooting时启用SmartViewSmartViewMonitor通过单一界面实现对的集中，包括硬件状态CheckPoint软件刀片性能、网络流量、Tunnel和Users可以通过“开始”→“程序”→“CheckPointSmartConsoleR75→“SmartViewMonitor”或登录“SmartDashboard“Windows“SmartViewMonitor”来打开“SmartViewMonitor为实现SmartViewMonitor对的，需要事先在对象上启用Monitoring，Gateway状态正在状右击对象，选择GatewayDetails，可以查看IP地址、CheckPoint软件版本、底层OS等信息。System查看当前已安装的当前使用的策略包名称及安装时间，点击more可以Traffic通过的网络流量，可查看TopServices、TopConnections等信息。例如查看防火墙的TopServices，点击TopService，选择想要查看的及流量方向SystemCounters系统计数器，主要CPU、内存和包通过接口速率等，以及CheckPoint软件 SmartUpdateCheckPointLicenseSmartConsole的重要组件。可以通过“开始”“程序”“CheckPointSmartConsoleR75→“SmartUpdate”或登录“SmartDashboard“Windows→“SmartUpdate”来打开NetworkObjectsLicenses&Contracts：管理申请CheckPoint后，CheckPoint会给分销商提供该用户的License电子文件，因此需要用户在CheckPoint自己的帐户，地址如下；roducts然后点击“Next”出现如下界面；选择“ThisisaccountisforanewCheckPointcustomer然后输入相关帐户的信息，点击“Next”创建完成Account，然后将下图中“Accountid”给CheckPoint分销商，请他们将产品转移到用户帐户中。完成产品转移后，下面需要用户登录到“Products“选项，在“AccountDetails”中选Account名称，然后出现如下图所示，然后选择图中需要申请License的产品，点击产品名称，出现下图所示；选择如下图所示，License申请选择“CentralLicenseLicense然后选择“Next，最后选择“GetLicense”即可License文件。注意，每台防火LicenseIPCentralLicense类型。申请LicenseLicense部分。安装安全更首先查看当前运行的软件版本，右击选择Getgatewaydata，显示软件信息，根据软件版本使用对应的补丁文件(更新网关前，需首先将SmartCenter更新到注意事项:虽然可以通过SmartUpdate安装OS和CheckPoint的安全补丁，但不建议这么做，因为存在网络中断因起安装问题，以及安装过程的不可性。建议先上传补丁文件到防 上传补丁文件，点击Packages->Add->FromFile(Demo模式下不支持Update，菜单为灰色，实际环境中不存在此问题，下同)SmartCenterPackagesRepositoryOSCheckPoint版本，以及检查所需磁盘空间等。Packages->Pre-installverifiler上传文件并安装更新。点击对象选择Distribute，SmartCenter把补丁文件上传至防火墙本地并安装，完成后提示重启LocalLicense：用于SmartCenter的Standalone部署模式，License绑定管理接IP地址CentralLicenseSmartCenterDistributed部署模式，LicenseIP墙使用的License。例如目前有一台分布式部署的SmartCenter服务器，两台互为HA。则需要三个license文件，类型为CentralLicense：一个用于SmartCenter服务器，license绑定SmartCenter服务器的IP地址；另外两个用于两台，license也绑定SmartCenter服务器的IPLicenseSmartUpdate安装首先把license文件上传到SmartCenterLicenseRepository。点击License&Contracts->AddLicense->Fromfilelicense文件NetworkObjectsLicenses&Contracts面板，右击对象，选择AttachLicenses，弹出框显示licenserepository中的license，选择用于的license确定即可。完成后右击该对象，选择Getlicenses可以查看当前已安装的license信息。若删除licenseDetachlicenselicenselicenseExportlicensetofile，licenses&contracts->viewrepositorySmartCenterlicenserepositorylicense状IPExpirationSK&1，policyglobalproertiesstatefulInspections建议更改为如下选项。TCPtimeout600秒，TCPendtimeout10TCP2，policyglobalproertiesSmartDashboardCustomizationconfigure，修改，去reject_X11连接Drop，可开启clampmss选项ClampMSS请同时在IPSO令后执行下面类似操作MSSclam是基于物理interface(eth-sXpYcZ)，以下是样本操作：eth-s3p3c0(/24),eth-s3p4c0(/24)ipsctl-winterface:eth-s3p3c0:family:inet:mss1280ipsctl-winterface:eth-s3p3c0:family:inet:flags:mss1ipsctl-winterface:eth-s3p4c0:family:inet:mss1280ipsctl-winterface:eth-s3p4c0:family:inet:flags:mss1通过抓包可看见MSS已经被钳断更改，修改回默认值都为0。可加入启动以防止重启3,VRRP对象启用statesync，对于某些非实时连接服务建议关闭同步，提升性能。如将TCPserviceshttpadvancedhttp的同步信息，httpsessionUDPDNS服务advanced选项中的同步勾去掉。CheckPointupgrade_exportupgrade_importSmartCenter的备份和SmartCenter的$FWDIR/bin/upgrade_tools/下。备份文件可以通过ftpftp服务器或网络共享空间，以便保管。[Expert@Smart-1]#./upgrade_export文件名.tgz#备份工具，备份文件存放在当 [Expert@Smart-1upgrade_import文件名.tgz#Lastlogin:ThuApr2110:10:252011Lastlogin:ThuApr2110:10:252011from?forlistofsysconfigforsystemandproducts[smc2 #进入expertEnterexpertYouareinexpertmode[Expert@smc2]#cd$FWDIR[Expert@smc2]#cdbin[Expert@smc2]#cdupgrade_tools/11Apr19Dec1613:33126523Dec1613:311Dec1613:33upgrade_export#备份工1Dec1613:33upgrade_import#1Apr191Apr2114:33.tgz1Dec1613:33126523Dec1613:311Dec1613:331Dec1613:33Lastlogin:Lastlogin:ThuApr2114:49:092011from?forlistofsysconfigforsystemandproducts[smc2]#EnterexpertYouareinexpertmode[Expert@smc2]#cd$FWDIR[Expert@smc2]#cdbin[Expert@smc2]#cdupgrade_tools/[Expert@smc2]#pwd .tgz#[Expert@smc2]#ls-ltotal86412Copyingrequiredfiles...Compressingfiles...TheoperationcompletedYouarerequiredtocloseallclientstoSecurityCenterorexecutecpstop'beforetheExportoperationbegins.Press'Enter'tocontinue.#按回车继续.tgz#执行备份工具，指定备份文件[Expert@smc2]#./upgrade_export[Expert@smc2]#[Expert@smc2]#ls-ltotal[Expert@smc2]#ls-ltotal111Apr19Apr2114:33Dec1613:33126523Dec1613:311Dec1613:331Dec1613:33[Expert@smc2]#./upgrade_importSMC_ .tgz#恢复备份Extractingthedatabase...TheimportoperationwillstopallCheckPointservicesDoyouwanttocontinue?(y/n)[n]?evstop: productSmartEventCorrelationUnit#CheckPointCheckPointSmartEventCorrelationUnitstopped theSmartReporter theSmart