Rollback VDB-versie voor Secure Firewall Management Center en Secure Firewall Device Manager

Downloadopties

  • PDF     (860.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (695.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (521.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 augustus 2023
Document-id:220719

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt het proces beschreven voor het terugdraaien van de VDB (Vulnerability Database) voor het Secure Firewall Management Center (FMC) en voor de FDM (Secure Firewall Device Manager).

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Secure Firewall Management Center versie 7.3 en VDB 361+
    • Cisco Secure Firewall Management Center versie 7.2.1 en VDB 343+
    • Cisco Secure Firewall Device Manager versie 7.0.6 en VDB 395+

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Initiële configuraties

    Eerste configuratie voor FMC

    Vanuit de FMC GUI kunt u bevestigen dat de werkelijke VDB-versie wordt uitgevoerd door naar de hoofdpagina te gaanMenu >FMC dashboard > Over.

    FMC dashboard

    FMC dashboard

    Vanuit de FMC CLI kunt u bevestigen dat de werkelijke VDB-versie wordt uitgevoerd met de volgende opdracht, versie weergeven:

    > show version
    -------------------[ firepower ]--------------------
    Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
    UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
    Rules update version : 2023-07-12-002-vrt
    LSP version : lsp-rel-20230712-1621
    VDB version : 361
    ----------------------------------------------------

    Eerste configuratie voor FDM

    Vanuit de FDM GUI kunt u de werkelijke VDB-versie bevestigen door naar het dashboard voor bewaking te gaan:

    FDM Dashboard

    Vanuit de FDM CLI kunt u bevestigen dat de werkelijke VDB-versie wordt uitgevoerd met de volgende opdracht 'cat /etc/sf/.versiondb/vdb.conf':

    root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158

    VDB Rollback Process voor FMC v7.3+

    Dit zijn de stappen die moeten worden gevolgd om de VDB-versie voor een FMC v7.3+ terug te draaien, in het volgende voorbeeld rollen we terug van VDB 361 naar VDB 359.
    1. Als het terug te draaien VDB-bestand niet meer in de FMC is opgeslagen, moet u het bestand uploaden naar de FMC en hiervoor navigeren naar Systeem (gear) > Updates > Productupdates > Beschikbare updates> Updates uploaden, selecteer het VDB-bestand op uw lokale computer en klik op Uploaden. 

    2. Zodra het VDB-bestand naar de FMC is geüpload, wordt in de oudere VDB-versie (versie 359 in dit voorbeeld) het pictogram Terugdraaien weergegeven in plaats van het pictogram Installeren.

    3. Klik op de knop Terugdraaien om verder te gaan met terugdraaien van VDB 361 naar VDB 359. 

    FMC product updates

    4. Vink vervolgens het selectievakje FMC aan en klik op Installeren.

    Product Updates Install

    5. Er wordt een waarschuwingsprompt weergegeven om u te informeren over mogelijke verkeersonderbrekingen in het geval dat u wijzigingen implementeert in de beheerde apparaten na de VDB-terugdraaiing. 

    warning

    VDB Rollback Process voor FMC v7.2.x en eerder

    Dit zijn de stappen die u moet volgen om de VDB-versie voor een FMC v7.2.x en eerder terug te draaien.

    1. SSH naar de FMC CLI.

    2. Switch naar expertmodus en root, en stel de terugdraaivariabele als volgt in op '1':

    >expert
    $sudo su
    #export ROLLBACK_VDB=1

    3. Controleer of het VDB-pakket waarnaar u wilt terugdraaien zich in de volgende FMC-directory /var/sf/updates bevindt, en upload het VDB-bestand dat u nodig hebt naar de FMC als het VDB-bestand zich niet op dit pad bevindt.

    4. Ga vervolgens verder met de VDB rollback-installatie door de volgende opdracht in te voeren:

    install_update.pl --detach /var/sf/updates/

    Voorbeeld:

    root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.

    4. Controleer de vdb-installatielogboeken op de volgende directorylocatie / var/log/sf/<VDB Package file> en controleer de voortgang van de VDB-installatie in het bestand status.log.

    root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

    5. Voer na voltooiing van de VDB-installatie een beleidsimplementatie uit op de beheerde apparaten (om de beleidsimplementatie uit te voeren, moet er een minimale wijziging in de configuratie worden aangebracht).

    6. Voer vanuit de FMC CLI de opdracht versie weergeven uit om te bevestigen dat de werkelijke VDB-versie actief is.

    > show version
----------------[ FMC ]-----------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID                      : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version      : 2022-09-14-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 394
----------------------------------------------------

    VDB Rollback Process voor FMC HA

    1. Pauzeer de FMC HA-synchronisatie en draai vervolgens de VDB op elke FMC terug.

    2. Zodra het VDB-terugrolproces voor elk FMC is voltooid, hervat u de FMC HA.


    - De HA-pagina kan nog steeds "vdb niet gesynchroniseerd" weergeven met de VDB-versie mismatch, dit bericht kan worden genegeerd.

    3. Als na het uitvoeren van het terugdraai-VDB-proces voor de FMC dit niet werkt en de laatste VDB-update automatisch opnieuw wordt geïnstalleerd, zoekt u de nieuwste VDB-bestanden op en verwijdert u deze uit onderstaande mappen voor beide FMC's:

    /var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)


    4. Herhaal de bovenstaande stappen 1 en 2 om de VDB voor de FMC HA terug te draaien.

    VDB Rollback Process voor FDM

    Als u de VDB-versie voor een FDM wilt terugdraaien, gaat u verder met het openen van een Cisco TAC-case en het aanvragen van hulp door de TAC-engineer naar dit Cisco-document te verwijzen.

    Verifiëren

    Van FTD CLI 

    Op FTD, om de geschiedenis van VDB-installaties te controleren, is een manier om de volgende directory-inhoud te controleren:

    root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
    total 72912
    drwxr-xr-x 5 root root 130 Sep 1 08:49 .
    drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
    drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
    -rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
    drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
    -rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
    drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
    -rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz

    Van FMC GUI

    Nadat de terugdraaitaak is voltooid, kan de VDB-versie worden bevestigd in het hoofdmenu >FMC dashboard > Over.

    VDB version

    FMC VDB version

    Ten slotte is, nadat de VDB is teruggedraaid, een beleidsimplementatie vereist om de nieuwe VDB-configuratie naar de door de FMC beheerde firewalls te duwen.

    security updates

    Beperkingen

    • De VDB-terugdraaiknop is niet beschikbaar voor FMC-versies vóór 7.3.
    • U mag de VDB niet terugdraaien naar een versie ouder dan 357, als een VDB-versie ouder dan 357 naar de FMC wordt geüpload, wordt de terugdraaiknop grijs weergegeven.

    VDB version

    • Als de VDB-versie lager is dan de basis-VDB-versie van de FMC, wordt de voltooide rollback-taak weergegeven, maar de weergegeven VDB-versie blijft dezelfde als de vorige rollback-poging.

    Deployments

    FMC dashboard

    Vanuit de FMC-CLI kunt u bevestigen dat dit is gebeurd omdat de doelversie voor terugdraaien lager is dan de FMC-basisversie. Dit kan worden bevestigd op de FMC CLI in het bestand status.log.

    > expert
    sudo su
    cd /var/log/sf/vdb-4.5.0-<vdb number>/
    cat status.log

    root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
    state:running
    ui:The install has begun.
    ui:[ 0%] Running script pre/000_start.sh...
    ui:[ 4%] Running script pre/010_check_versions.sh...
    ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
    ui:[ 4%] The install completed successfully.
    ui:The install has completed.
    state:finished

    ----------------------------------------------------

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    10-Aug-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Benjamin Cabrera Romero
      Technisch consultant van Cisco

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten