Version VDB de restauration pour Secure Firewall Management Center et Secure Firewall Device Manager

Options de téléchargement

  • PDF     (860.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (696.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (522.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:10 août 2023
ID du document:220719

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le processus de restauration de la base de données de vulnérabilité (VDB) pour le Centre de gestion du pare-feu sécurisé (FMC) et pour le Gestionnaire de périphériques de pare-feu sécurisé (FDM).

    Conditions préalables

    Exigences

    Aucune exigence spécifique n'est associée à ce document.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco Secure Firewall Management Center version 7.3 et VDB 361+
    • Cisco Secure Firewall Management Center version 7.2.1 et VDB 343+
    • Cisco Secure Firewall Device Manager version 7.0.6 et VDB 395+

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Paramètres de configuration initiaux

    Configuration initiale pour FMC

    À partir de l'interface utilisateur graphique du FMC, vous pouvez confirmer la version de VDB en cours d'exécution en accédant à la page MainMenu >FMC dashboard > À propos.

    FMC dashboard

    FMC dashboard

    À partir de l'interface de ligne de commande FMC, vous pouvez confirmer la version réelle de la VDB exécutée avec la commande suivante, show version :

    > show version
    -------------------[ firepower ]--------------------
    Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
    UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
    Rules update version : 2023-07-12-002-vrt
    LSP version : lsp-rel-20230712-1621
    VDB version : 361
    ----------------------------------------------------

    Configuration initiale pour FDM

    Dans l'interface utilisateur graphique de FDM, vous pouvez confirmer la version de VDB en cours d'exécution en accédant au tableau de bord Surveillance, comme suit :

    FDM Dashboard

    À partir de l'interface de ligne de commande de FDM, vous pouvez confirmer la version réelle de VDB exécutée avec la commande suivante ? cat /etc/sf/.versiondb/vdb.conf?:

    root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158

    Processus de restauration VDB pour FMC v7.3+

    Voici les étapes à suivre pour restaurer la version VDB pour un FMC v7.3+, dans l'exemple suivant, nous faisons une restauration de VDB 361 à VDB 359.
    1. Si le fichier VDB vers lequel effectuer la restauration n'est plus stocké sur le FMC, vous devez alors le télécharger sur le FMC. Pour cela, accédez à System(gear) > Mises à jour > Mises à jour du produitAvailable Updates> Upload Updates, sélectionnez le fichier VDB sur votre ordinateur local et cliquez sur Upload

    2. Une fois le fichier VDB téléchargé sur le FMC, l'ancienne version de VDB (version 359 dans cet exemple) affiche l'icône Rollback au lieu de l'icône Install.

    3. Pour procéder à la restauration de VDB 361 à VDB 359, cliquez sur le bouton de restauration. 

    FMC product updates

    4. Ensuite, cochez la case FMC et cliquez sur Install.

    Product Updates Install

    5. Une invite d'avertissement s'affiche pour vous informer d'une interruption potentielle du trafic si vous déployez des modifications sur les périphériques gérés après la restauration de la VDB. 

    warning

    Processus de restauration VDB pour FMC v7.2.x et versions antérieures

    Voici les étapes à suivre pour restaurer la version VDB pour un FMC v7.2.x et versions antérieures.

    1. Établissez une connexion SSH avec l’ILC FMC.

    2. Passez en mode expert et en mode racine, puis définissez la variable d'annulation sur « 1 », comme suit :

    >expert
    $sudo su
    #export ROLLBACK_VDB=1

    3. Vérifiez que le package VDB vers lequel vous souhaitez revenir en arrière se trouve dans le répertoire FMC suivant /var/sf/updates, si le fichier VDB ne se trouve pas dans ce chemin, puis téléchargez le fichier VDB requis vers FMC.

    4. Ensuite, poursuivez l'installation de la restauration VDB en entrant la commande suivante :

    install_update.pl --detach /var/sf/updates/

    Exemple :

    root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.

    4. Surveillez les journaux d'installation de VDB à l'emplacement suivant du répertoire /var/log/sf/<Fichier de package VDB> et vérifiez la progression de l'installation de VDB à partir du fichier status.log.

    root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

    5. Une fois l'installation de la VDB terminée, exécutez un déploiement de stratégie sur les périphériques gérés (afin d'exécuter le déploiement de stratégie, une modification minimale doit être apportée à la configuration).

    6. À partir de l'interface de ligne de commande FMC, exécutez la commande show version pour confirmer que la version VDB actuelle est en cours d'exécution.

    > show version
----------------[ FMC ]-----------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID                      : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version      : 2022-09-14-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 394
----------------------------------------------------

    Processus de restauration VDB pour FMC HA

    1. Mettez la synchronisation haute disponibilité FMC en pause, puis restaurez la VDB sur chaque FMC.

    2. Une fois que le processus de restauration VDB est effectué pour chaque FMC, reprenez le FMC HA.


    - La page HA peut toujours afficher "vdb not in sync" avec la version de VDB non concordante, ce message peut être ignoré.

    3. Si, après l'exécution du processus de restauration VDB pour le FMC, cela ne fonctionne pas et que la dernière mise à jour VDB est automatiquement réinstallée, localisez les derniers fichiers VDB et supprimez-les des répertoires ci-dessous pour les deux FMC :

    /var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)


    4. Répétez ensuite les étapes 1 et 2 ci-dessus pour restaurer la VDB du FMC HA.

    Processus de restauration VDB pour FDM

    Pour restaurer la version VDB d'un FDM, ouvrez un dossier Cisco TAC et demandez de l'aide en désignant l'ingénieur TAC à ce document Cisco.

    Vérifier

    À partir de FTD CLI 

    Sur FTD, pour vérifier l'historique des installations de VDB, vous pouvez vérifier le contenu du répertoire suivant :

    root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
    total 72912
    drwxr-xr-x 5 root root 130 Sep 1 08:49 .
    drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
    drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
    -rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
    drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
    -rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
    drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
    -rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz

    À partir de FMC GUI

    Une fois la tâche de restauration terminée, la version VDB peut être confirmée dans le menu principal >FMC dashboard > À propos de.

    VDB version

    FMC VDB version

    Enfin, après la restauration de la VDB, un déploiement de stratégie est nécessaire pour transmettre la nouvelle configuration de la VDB aux pare-feu gérés par FMC.

    security updates

    Limites

    • Le bouton de restauration VDB n'est pas disponible pour les versions FMC antérieures à 7.3.
    • Vous n'êtes pas autorisé à restaurer la VDB vers une version antérieure à 357, si une version de la VDB antérieure à 357 est téléchargée vers le FMC, le bouton de restauration est grisé.

    VDB version

    • Si la version de VDB est inférieure à la version de base de VDB du FMC, la tâche de restauration réussie qui est terminée s'affiche, mais la version de VDB affichée reste identique à la version précédente de la tentative de restauration.

    Deployments

    FMC dashboard

    À partir de l'interface de ligne de commande FMC, vous pouvez confirmer que cela s'est produit car la version cible de restauration est inférieure à la version FMC de base. Cela peut être confirmé sur l’interface de ligne de commande FMC dans le fichier status.log.

    > expert
    sudo su
    cd /var/log/sf/vdb-4.5.0-<vdb number>/
    cat status.log

    root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
    state:running
    ui:The install has begun.
    ui:[ 0%] Running script pre/000_start.sh...
    ui:[ 4%] Running script pre/010_check_versions.sh...
    ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
    ui:[ 4%] The install completed successfully.
    ui:The install has completed.
    state:finished

    ----------------------------------------------------

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    10-Aug-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Benjamin Cabrera Romero
      Ingénieur-conseil technique Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits