11.CheckPoint 防火墙管理中心高可用性操作手册

C h e c k P o i n t防火墙管理中心

高可用性操作手册

广州中软信息技术有限公司

目录

1. 管理中心高可用性概述 (3)

2. 管理中心高可用性解决方案 (4)

2.1. 备份管理中心服务器 (4)

2.2. 管理中心高可用性部署 (5)

2.3. 管理中心备份信息 (6)

2.4. 管理中心同步模式 (6)

2.5. 管理中心同步状态 (7)

2.6. 改变管理中心状态 (8)

2.7. 高可用性注意事项 (8)

3. 管理中心高可用性配置 (10)

3.1. 安装与同步备份管理中心 (10)

3.2. 改变管理中心状态 (12)

3.3. 管理中心同步方式 (13)

1.管理中心高可用性概述

CheckPoint管理中心SmartCenter由几个独立的数据库组成，分别存储了用户定义的网络对象、用户对象以及安全策略等信息。系统管理员修改了这些数据库中的信息后，管理中心服务器会把修改后的信息发布到SVN产品的各个相关组件进行执行，因此，做好管理中心数据的备份是很重要的。备份了管理中心的数据后，在管理中心服务器失效时可以保证这些重要的数据不会丢失。另外，如果管理中心服务器由于维护的目的需要停机，备份管理中心服务器就可以代替活动的管理中心服务器进行各种处理。例如，执行模块就可以从备份管理中心服务器获得安全策略和传递CRL以及传达其它信息等。

2.管理中心高可用性解决方案

2.1. 备份管理中心服务器

实现管理中心的高可用性，那么活动的管理中心服务器就总有一个或多个的备份管理中心服务器处于备份状态，准备随时从活动的管理中心服务器接替管理中心的任务。备份的管理中心服务器必须和活动的管理中心服务器具有相同的操作系统(例如：Windows NT、Window 2000)，操作系统的版本可以不相同。备份管理中心服务器的存在可以起到两方面的作用：

备份活动管理中心――企业防火墙的各种不同数据库和信息，例如网络对象数据库、用户对象数据库、安全策略数据库以及ICA文件等都会存储到备份的管理中心服务器，并且备份管理中心服务器可以同主管理中心服务器进行同步，以便保证保存信息的一直。如果主管理中心服务器失效，备份管理中心服务器需要升级为主管理中心服务器并承担起修改策略和安装策略的工作。

完成执行模块控制――执行模块的一些操作是通过活动的管理中心服务器完成的，例如下载安全策略，或者从管理中心服务器传达CRL等，这些工作是备份服务器不能完成的。

2.2. 管理中心高可用性部署

在管理中心高可用性的部署过程中，第一个安装的管理中心服务器作为主管理中心服务器。这也是管理员平时进行安全策略管理修改时使用的管理中心服务器。当另外再安装一个管理中心服务器时，他们必须被安装成为一个备份的管理中心服务器。一旦备份管理中心服务器安装完成并且和主管理中心服务器进行同步后，备份管理中心服务器和主管理中心服务器就不再有区别，活动的管理中心服务器就是主管理中心服务器，否则就是备份管理中心服务器，这些管理中心服务器都可以担当活动的管理中心服务器。

管理中心高可用性需要一个活动的管理中心和至少一个的备份管理中心。备份管理中心服务器新建立时的各个数据库都不包含任何信息，在备份管理中心服务器与活动的管理中心服务器同步后，备份管理中心的各个数据库会被活动管理中心服务器数据库的信息所填充。安装完成备份管理中心服务器后，还需要下列的步骤完成数据的同步：

✧首先把备份管理中心服务器作为一个网络对象建立在活动的管理中心服务

器的网络对象中。

✧初始化备份管理中心服务器和活动管理中心服务器的安全通信（SIC）。

✧手工同步备份管理中心服务器和活动的管理中心服务器。

可能在管理中心服务器上还安装有防火墙的执行模块，安装这些执行模块的目的是保护管理中心服务器。虽然管理中心服务器可以相互的进行信息的备份，但是安装在管理中心服务器上的执行模块是没有实现高可用性的。

所有的管理操作，例如：编辑安装安全策略、修改用户和网络对象等都需要通过活动的管理中心服务器进行。如果活动的管理中心服务器失效时，如果要进行上述的任何操作都需要有系统管理员把一个备份的管理中心服务器提升为活动的管理中心服务器。备份管理中心服务器提升到活动的管理中心服务器需要通过手工完成。

2.3. 管理中心备份信息

为了使管理中心高可用性的功能能够正常的发挥作用，下面的一些信息必须被备份管理中心服务器同步和备份：

✧对象配置和ICA数据，例如：

⏹网络对象数据库、用户对象数据库

⏹证书信息，例如证书认证的数据和证书的CRL信息等。

✧应用中的安全策略。应用中的安全策略也是最后安装成功的安全策略。防火

墙的执行点需要能够从主管理中心服务器或者备份管理中心服务器获得最

新的安全策略。

2.4. 管理中心同步模式

备份管理中心服务器和活动管理中心服务器的同步可以通过两种同步方式实现：

✧手工同步――系统管理员可以初始化手工同步操作，手工同步操作可以选择

同步的内容，例如：仅同步数据库或者同步数据库及安全策略等。这种同步

方式的速度比后面介绍的同步方式要快，当系统管理员编辑修改了网络对象

或者安全策略，而没有把这些修改的策略安装时应该首先选择这种速度较快

的同步方式。

✧自动同步――系统管理员可以设置备份管理中心服务器在规定的时间自动

与活动的管理中心服务器进行同步操作。这是管理中心高可用性必须的操

作，这样的同步可以保证备份管理中心的信息与活动管理中心的信息一致。

一般设置当安全策略被安装时进行自动的同步，这样所有的安全策略和数据

库信息都会得到同步。另外，也可以设置在下列情况下进行同步操作：

⏹系统管理员保存了安全策略

⏹在制定的调度时间

即使在同步模式中选择了自动同步的方式，系统管理员也可以随时进行手工同步操作。

2.5. 管理中心同步状态

管理中心的同步状态表示了选择的管理中心服务器与对应的管理中心服务器的关系。无论在任何时候系统管理员都可以连接到活动的管理中心服务器和备份管理中心服务器，通过管理中心高可用性窗口和SmartView Status客户端应用程序查看管理中心服务器的同步状态。

管理中心服务器可能的同步状态有：

✧Never been synchronized――仅当刚刚完成了备份管理中心服务器的安装

时才会出现，在对备份管理中心服务器进行过第一次的手工同步后，这样状

态不会再出现。

✧Synchronized――选择的管理中心服务器的以及正确的完成了同步操作，并

且拥有相同的数据库信息和应用中的安全策略。

✧Lagging――选择的管理中心服务器没有正确的完成同步操作，例如，系统

管理员在上次同步操作后修改了用户对象和安全策略并进行了安装，在没有

再次同步前，备份的管理中心服务器就会显示Lagging状态。