写在前面:
通过上一篇文章各位小伙伴应该对CVE-2021-229**系列漏洞有了充分的了解,还没了解的小伙伴点击一下传送门即可一键直达。经过小咩的心里按摩(设备加固),大部分的客户基本上已经第一时间已经上了安全准入策略对漏洞的利用途径进行封堵,实现整体可控,剩下的就是协调变更窗口对F5系统版本进行升级。
传送门:
作为一个F5er,这段时间一直冲在一线,时刻聆听甲方爸爸们的教诲,总结了一下其中反馈最多的几个问题:
F5设备目前是低版本,建议小版本升级还是大版本升级?设备最高可以升到哪个版本?
F5设备型号比较老了,还能不能往上升高版本?
版本升级配置会不会丢失?
有的F5设备都已经过了服务期了还能不能升级?
等等……
针对以上客户反馈的问题,于是输出了这篇文章,既然是通用升级指南肯定是具有普适性,任何型号的F5型号,任何系统版本,在这篇文章里你都可以找到属于你的最佳升级路线,基本上读完这篇文章以上这些问题就就迎刃而解了。话不多说,老规矩,上干货。
Service Check Date:
不管是F5系统版本升级还是F5 AWAF的特征库更新都离不开一个很重要的时间节点:Service Check Date,咱们先看看官方的解释说明:
The service check date is located in the BIG-IP license and is the same as the date the license was last activated or the date the service contract for the device expires, whichever date is earlier. For example, if you have an active service contract that ends on December 31, and you license a device on June 30, the service check date is set to June 30.
Note: The service check date in the BIG-IP license is updated each time the license is reactivated, if there is an active service contract for this BIG-IP system.
其实翻译的通俗一点讲就是,service check date这个时间是和你F5 授权(license)激活是有直接关系的(其实就是跟着你激活license时间走的),这里先剧透一下,开头不直接讲版本升级方式、步骤,而是专门开一个小章节讲这个service check date是因为这个时间很重要,因为这个时间直接决定了你的设备能不能升级?能升级到哪个版本?升级前要不要重新激活license?设备过保了还能不能升级?等等问题。
#查看F5设备Service check date日期方式Verify the service check date of your licenseLog in to the command line.To change directories to the config directory, enter the following command:cd configTo parse the bigip.license file for the Service check date, enter the following command:grep "Service check date" bigip.licenseThe output appears similar to the following example:Service check date : 20151008Note: The date format is year-month-day, so this example output is October 8, 2015.Alternatively, you can use the following tmsh command:tmsh show sys license | grep "Service Check Date"The output appears similar to the following example:Service Check Date 2015/10/08
F5 Hardware/Software compatibility matrix
根据实际环境F5硬件平台不同,可以安装的系统版本也不尽相同,如果只是针对此次CVE漏洞修复来说,建议各个客户进行小版本更新,这样对业务影响最小,风险最低。也有部分用户苦于现网F5设备系统版本较低有些功能需求现版本F5满足不了,想趁着这次CVE漏洞的将版本升级一步到位。比如有些客户想实现HTTP Strict Transport Security (HSTS)、HSL日志从管理口输出等特性可能需要升级v12版本及以上,又或者想实现全代理模式下的http/2支持,可能需要升级到v14版本,需求场景不一样,升级的目标版本需求也就各有不同。
说了那么多,那各个硬件平台F5设备到底支持升级到哪些版本呢,请看下图:
比如iSeries平台的F5可以升级到目前最新系统版本,而像老平台的1600、3900等设备最高只能升级到v12版本。
以上截图只输出部份硬件平台支持版本信息
upgrade paths and an upgrade planning reference
通过以上部分我们大概能够知道手头上的F5设备能升级到哪个可用版本,那么灵魂拷问来了,那我怎么从现有版本升级到目标版本呢?中间要不要进行滚动升级呢?
请参考下图:
以上截图显示各版本系统升级路径
通过上图我们可以看到各个版本对应的升级路径,其中11.5.x为一个重要门槛,如果你现网设备运行的是11.5.x以后的版本,那么恭喜你,你可以直接升级v12/v13版本,但是如果你运行11.5.x之前的版本,并且想升级v12/v13版本的话,那么你必须使用11.5.x作为中间过度版本,即滚动升级。
升级之前用不用重新激活License ?
最开头我们单独开一小节重点说了一下 servcie check date,说了这个时间是跟着你license激活时间相关的,当我们设备跨大版本升级的时候这个时间就很重要了,因为你装不同版本的系统都会有个License Check Date时间。
如果你的servcie check date时间早于License Check Date时间,那么你升级之前需要重新激活license(其实重新激活License动作就是为了刷新servcie check date时间),如果你升级前没有重新激活license操作,那么当你重启切换分区待系统启动完成后的时候,F5 GUI页面会提示配置加载不成功,要你重新激活license,所以为了为了不必要的麻烦,这种场景下就在系统升级前提前re-activate licnese;
如果你的servcie check date时间晚于License Check Date时间,那么恭喜你,你可以直接升级,而不用re-activate licnese动作。
以下是各个系统版本的License Check Date时间
以上截图显示各版本系统License Check Date时间
总结
通过以上介绍,小伙伴们大概知道了自己现有的F5设备能升级哪些版本、具体升级路径。如果你从头到尾认真看下来,最开始提出的那几个问题应该也就迎刃而解了。最近有些客户问我,过保设备怎么处理,这里针对过保设备多说一句,墙裂不建议升级,毕竟升级存在风险,设备本身没有服务的前提下设备升级故障是没有Supprt/RMA服务的,建议设备加固处理。
参考链接:
https://support.f5.com/csp/article/K9476
https://support.f5.com/csp/article/K13845
https://support.f5.com/csp/article/K7727
- EOF -
1、别慌!一文给你说透如何快速应对CVE-2021-229**系列漏洞
觉得本文对你有帮助,请分享给更多人
