Rollback der VDB-Version für Secure Firewall Management Center und Secure Firewall Device Manager

Download-Optionen

  • PDF     (861.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (696.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (522.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:10. August 2023
Dokument-ID:220719

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird das Rollback der Vulnerability Database (VDB) für das Secure Firewall Management Center (FMC) und den Secure Firewall Device Manager (FDM) beschrieben.

    Voraussetzungen

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Secure Firewall Management Center 7.3 und VDB 361+
    • Cisco Secure Firewall Management Center 7.2.1 und VDB 343+
    • Cisco Secure Firewall Device Manager Version 7.0.6 und VDB 395+

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Startkonfigurationen

    Erstkonfiguration für FMC

    Über die FMC-GUI können Sie die aktuelle VDB-Version bestätigen, indem Sie zum Hauptmenü wechseln.Menü >FMC dashboard > Info.

    FMC dashboard

    FMC dashboard

    Über die FMC-CLI können Sie die aktuelle VDB-Version bestätigen, die mit dem folgenden Befehl, show version, ausgeführt wird:

    > show version
    -------------------[ firepower ]--------------------
    Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
    UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
    Rules update version : 2023-07-12-002-vrt
    LSP version : lsp-rel-20230712-1621
    VDB version : 361
    ----------------------------------------------------

    Erstkonfiguration für FDM

    Über die FDM-GUI können Sie die aktuelle VDB-Version bestätigen, indem Sie das Monitoring Dashboard wie folgt aufrufen:

    FDM Dashboard

    Über die FDM-CLI können Sie die aktuelle VDB-Version mit dem nächsten Befehl "cat /etc/sf/.versiondb/vdb.conf" bestätigen:

    root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158

    VDB-Rollback-Prozess für FMC v7.3+

    Dies sind die Schritte zum Rollback der VDB-Version für ein FMC v7.3+. Im nächsten Beispiel erfolgt ein Rollback von VDB 361 auf VDB 359.
    1. Falls die VDB-Datei, zu der ein Rollback durchgeführt werden soll, nicht mehr im FMC gespeichert ist, müssen Sie sie in das FMC hochladen. Navigieren Sie dazu zu System (gear) > Updates > ProduktaktualisierungenVerfügbare Updates > Updates hochladen, wählen Sie die VDB-Datei auf Ihrem lokalen Computer aus, und klicken Sie auf Hochladen

    2. Wenn die VDB-Datei in das FMC hochgeladen wurde, zeigt die ältere VDB-Version (in diesem Beispiel Version 359) das Rollback-Symbol anstelle des Install-Symbols an.

    3. Um ein Rollback von VDB 361 auf VDB 359 durchzuführen, klicken Sie auf die Schaltfläche "Rollback". 

    FMC product updates

    4. Aktivieren Sie dann das Kontrollkästchen FMC und klicken Sie auf Installieren.

    Product Updates Install

    5. Eine Warnmeldung wird angezeigt, die Sie über eine mögliche Unterbrechung des Datenverkehrs informiert, falls Sie nach dem Rollback der VDB Änderungen an den verwalteten Geräten vornehmen. 

    warning

    VDB-Rollback-Prozess für FMC v7.2.x und frühere Versionen

    Dies sind die Schritte zum Rollback der VDB-Version für ein FMC v7.2.x und frühere Versionen.

    1. SSH an die FMC-CLI.

    2. Wechseln Sie in den Expertenmodus und root, und setzen Sie die Rollback-Variable wie folgt auf '1':

    >expert
    $sudo su
    #export ROLLBACK_VDB=1

    3. Überprüfen Sie, ob sich das VDB-Paket, auf das Sie einen Rollback durchführen möchten, im nächsten FMC-Verzeichnis /var/sf/updates befindet, falls sich die VDB-Datei nicht in diesem Pfad befindet, und laden Sie dann die erforderliche VDB-Datei in das FMC hoch.

    4. Fahren Sie dann mit der VDB-Rollback-Installation fort, indem Sie den folgenden Befehl eingeben:

    install_update.pl --detach /var/sf/updates/

    Beispiel:

    root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.

    4. Überwachen Sie die vdb-Installationsprotokolle am nächsten Verzeichnisspeicherort /var/log/sf/<VDB-Paketdatei> und überprüfen Sie den VDB-Installationsfortschritt aus der Datei status.log.

    root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

    5. Führen Sie nach Abschluss der VDB-Installation eine Richtlinienbereitstellung auf den verwalteten Geräten aus (um die Richtlinienbereitstellung auszuführen, muss die Konfiguration mindestens geändert werden).

    6. Führen Sie in der FMC-CLI den Befehl show version aus, um die aktuelle VDB-Version zu bestätigen.

    > show version
----------------[ FMC ]-----------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID                      : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version      : 2022-09-14-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 394
----------------------------------------------------

    VDB-Rollback-Prozess für FMC HA

    1. Anhalten der FMC-HA-Synchronisierung und anschließendes Rollback der VDB auf jedem FMC

    2. Sobald der VDB-Rollback-Prozess für jedes FMC abgeschlossen ist, nehmen Sie den FMC HA wieder auf.


    - Auf der HA-Seite wird möglicherweise immer noch "vdb not in sync" (vdb nicht synchronisiert) mit der VDB-Versionskonflikt angezeigt. Diese Meldung kann ignoriert werden.

    3. Wenn dies nach dem Ausführen des Rollback-VDB-Prozesses für das FMC nicht funktioniert und das neueste VDB-Update automatisch neu installiert wird, suchen Sie die neuesten VDB-Dateien und löschen Sie sie aus den folgenden Verzeichnissen für beide FMCs:

    /var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)


    4. Wiederholen Sie dann die oben genannten Schritte 1 und 2, um ein Rollback der VDB für das FMC HA durchzuführen.

    VDB Rollback-Prozess für FDM

    Fahren Sie zum Rollback der VDB-Version für einen FDM mit dem Öffnen eines Cisco TAC-Tickets fort, und fordern Sie Unterstützung an, indem Sie den TAC-Techniker auf dieses Cisco Dokument verweisen.

    Überprüfung

    Von FTD CLI 

    Auf FTD können Sie zum Überprüfen des Verlaufs von VDB-Installationen beispielsweise die folgenden Verzeichnisinhalte überprüfen:

    root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
    total 72912
    drwxr-xr-x 5 root root 130 Sep 1 08:49 .
    drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
    drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
    -rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
    drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
    -rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
    drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
    -rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz

    Von der FMC-GUI

    Nach Abschluss der Rollback-Aufgabe kann die VDB-Version über das Menü "Main" (Hauptmenü) bestätigt werden.FMC dashboard > Info.

    VDB version

    FMC VDB version

    Nach dem Rollback der VDB ist eine Richtlinienbereitstellung erforderlich, um die neue VDB-Konfiguration auf die von FMC verwalteten Firewalls zu übertragen.

    security updates

    Einschränkungen

    • Die Rollback-Schaltfläche für VDB ist für FMC-Versionen vor 7.3 nicht verfügbar.
    • Wenn eine VDB-Version, die älter als 357 ist, in das FMC hochgeladen wird, ist ein Rollback der VDB auf eine ältere Version als 357 nicht zulässig. Anschließend ist die Rollback-Schaltfläche abgeblendet.

    VDB version

    • Wenn die VDB-Version niedriger ist als die VDB-Basisversion des FMC, wird die erfolgreich abgeschlossene Rollback-Aufgabe angezeigt. Die angezeigte VDB-Version zeigt jedoch weiterhin dieselbe wie vor dem Rollback-Versuch an.

    Deployments

    FMC dashboard

    Über die FMC-CLI können Sie bestätigen, dass dies der Fall ist, da die Version des Rollback-Ziels niedriger ist als die FMC-Basisversion. Dies kann über die FMC-CLI in der Datei status.log bestätigt werden.

    > expert
    sudo su
    cd /var/log/sf/vdb-4.5.0-<vdb number>/
    cat status.log

    root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
    state:running
    ui:The install has begun.
    ui:[ 0%] Running script pre/000_start.sh...
    ui:[ 4%] Running script pre/010_check_versions.sh...
    ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
    ui:[ 4%] The install completed successfully.
    ui:The install has completed.
    state:finished

    ----------------------------------------------------

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    10-Aug-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Benjamin Cabrera Romero
      Cisco Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.