無懼風險:防火牆韌體升級的成功秘訣
前言
在某些情況下,網管團隊可能會需要更新所謂的「每週」錯誤修復韌體版本,甚至降級設備。此外,您可能會遇到無法到達現場的情況下執行韌體升級的情況。
這兩種特定場景可能導致設備在韌體升級過程中,重新啟動時出現問題。原因是有時應用設定檔時,某些行會被設備誤解為嚴重錯誤或警告。在最壞的情況下,可能導致當前設定檔完全遺失並重新載入系統預設配置!
遵循以下指南將有助於大大減少這些事件發生的機會。
備註 : 本篇文章截圖畫面使用 ATP200、V5.37(ABFW.1) 版本
如何避免這樣的災害發生呢?
應用配置時,通常會提示您不同的返回選擇 - 換句話說:設備詢問“如果我發現您要應用的配置已損壞,我該怎麼辦?”:
預設情況下,設備會選擇「立即停止套用設定檔,並返回上一次的設定」。通常,這可以正常運作,但在某種情況下,設備可能將某些行為辨識為可疑,以確保自身正常運作而返回到系統預設配置!
因此,通常在執行此類型操作時,我們建議選擇第三個返回選項「忽略錯誤並完成套用設定檔」 - 這將套用設定檔的有效部分,並為設定檔的所有錯誤產生錯誤日誌。這可以讓防火牆應用您的大部分配置,您可以參考防火牆的事件日誌來了解要修復的內容。
然而,在韌體升級時,我們沒有機會選擇返回選項來直接在重新啟動時套用啟動機制。因此我們額外提供一個小腳本完成返回的工作 - 這邊我們把它稱為「setenv-script」的指令腳本。
此命名的緣由是寫入防火牆的 CLI 指令:
第 6 行中的指令是該腳本的核心,它設定當設備啟動時,「錯誤停止」參數關閉,從而阻止 USG 全面崩潰或恢復到系統預設設定檔。
在哪裡可以找到該腳本以及如何使用?
如果系統提示您升級或降級您的設備,請在執行韌體應用程式之前準備以下步驟:
- 下載 setenv-script: https://www.dropbox.com/s/wwn3wdqqxmbq4bc/setenv.zip?dl=0 ,如果載點失效,請查看本篇文章的附件。
- 上傳腳本(請先解壓縮,再上傳 script 檔案
- 選擇此腳本,點選套用
- 備份防火牆設定檔
- 開始更新防火牆韌體,相關教學可以參考以下文章 :
注意:值得一提的是,雖然我們對於此方法具有高度信心,但仍然可能會出現意外事件,導致您的設備在韌體升級時失敗 - 然而,這將是非常意外的,需要像我們聯絡進行更進一步調查。因此我們始終建議在執行韌體升級時,相關人員盡可能在現場。