有備無患 硬件防火墻備份配置功略

下一頁 1 2 

　　 
　　網絡的安全不光體現在服務器和客戶機的防范上，對于具備一定規模的企業，當網絡發展到一定程度都會為了提高安全性而選擇防火墻產品。硬件防火墻要比軟件防火墻在響應時間，防護效果等方面有更突出的表現，當然價格也是不匪的。

不過即使這樣我們也不能保證硬件防火墻產品的萬無一失，所以及時準確的保存硬件防火墻中的配置信息和網絡操作系統IOS是非常重要的。今天我們就來談談有備無患的話題，看看如何將硬件防火墻的配置備份下來，在出問題的第一時間恢復原樣。

　　一、針對硬件防火墻我們該備份哪些數據：
　　硬件防火墻就是一個劃分了安全級別和安全區域并結合強大的過濾策略，訪問控制列表，路由策略等功能于一身的路由交換設備，他在本質上和路由交換設備沒有太大區別。所以在備份數據時也可以參考路由交換設備。

　　一般來說我們需要備份的主要有以下兩部分
　?。?）硬件防火墻的網絡操作系統：
　　每臺硬件防火墻的核心都有一個網絡操作系統，Cisco公司稱之為IOS，而華為公司將其命名為VRP。這個網絡操作系統負責引導防火墻和提供接口命令。大部分情況黑客都不會針對這個核心系統進行攻擊，因為一旦這個設備受損則防火墻無法正常運轉，黑客也失去了和企業網絡連接的機會。因此在現實中硬件防火墻的網絡操作系統往往由于人為或者其他問題而丟失或損壞，這時就必須用原廠系統重新刷新才能恢復正常。

　　（2）硬件防火墻的基本配置：
　　有過路由交換設備配置經驗的讀者都知道，對于一臺路由器或交換機來說所有功能都由里面的配置命令所決定的?？梢哉f防火墻千臺千面是因為配置命令的不同而決定的。黑客入侵或者網絡管理員的人為失誤都可能造成配置的錯誤或丟失，所以網絡管理員備份硬件防火墻配置的另外一方面就是將配置信息和配置文件進行備份，保存到一個安全的地方。

　　二、備份手段簡述
　　直接把IOS或VRP以及配置文件保存在防火墻存儲卡或存儲介質中是沒有任何問題的，不過這樣備份當設備損壞或遭受攻擊后很可能備份信息也同時丟失，所以目前最行之有效的方法就是將這些需要保存的配置信息傳輸到另外一臺服務器上，即使防火墻出問題，網絡管理員也可以迅速將配置從另外一臺服務器上恢復還原。

　　我們可以通過TFTP，異步貓傳輸，FTP，SSH等多種方法實現備份操作，不過目前用的最多的使用最廣的還是TFTP法，本文也主要針對此方法進行介紹。為了方便各位IT168的讀者理解，我們將通過兩個不同廠商的設備進行介紹，希望各位可以舉一反三。

　　三、PIX防火墻的備份
　　PIX防火墻可以說是Cisco公司的主力防火墻，他的應用歷史悠久，很多大型企業都使用PIX來保護自己的網絡。下面我們就來介紹如何保存PIX防火墻的IOS文件以及config配置文件。

　　（1）備份PIX防火墻IOS
　　首先要建立一臺TFTP服務器，要保證在PIX設備上可以順利訪問此服務器。關于建立TFTP服務器的方法可以參考網上的文章，由于篇幅關系這里就不詳細說明了，總之就是通過TFTP SERVER建立。

　　第一步：建立好TFTP服務器并確保網絡連通正常的情況下，登錄到PIX設備中。

　　第二步：通過命令“tftp-server XXX”指定tftp服務器的地址，例如tftp-server 172.16.1.10。

　　第三步：ping TFTP服務器的IP地址確保連通順利，例如ping 172.16.1.10。

　　第四步：指定遠程TFTP服務器上的路徑，例如tftp-server 172.16.1.10/pixfirewall/ios。

　　第五步：執行write net命令將防火墻上的IOS寫入到剛剛設置的遠程TFTP路徑上。等待一段時間后會顯示TFTP write OK的字樣。

　　小提示：
　　我們也可以直接執行write net 172.16.1.10/pixfirewall/ios命令將IOS數據寫到TFTP服務器上。

　　這樣我們就完成了將IOS系統保存到遠程TFTP服務器上的操作，那么以后防火墻的IOS出問題后該如何恢復呢？我們繼續來了解下恢復的步驟。

　　（2）恢復PIX防火墻的IOS
　　恢復IOS系統時的步驟和備份略有不同，不過操作同樣是通過TFTP服務器完成。

　　第一步：登錄PIX并確保與TFTP服務器連接正常，可以PING通。

　　第二步：通過server 172.16.1.10命令指定TFTP服務器IP地址。

　　第三步：使用file np60.bin命令來指定要恢復的IOS文件名。

　　第四步：最后直接執行tftp命令即可，PIX會自動從指定的TFTP服務器下載np60.bin文件，所有操作完成后會顯示出接收到的數據大?。▓D1）。

圖1

　　還原IOS系統后我們只需要重新啟動PIX防火墻即可，這樣PIX就完好如初又可以為我們的網絡好好服務了。

　　（3）恢復和備份PIX防火墻的配置文件：
　　實際上恢復和備份PIX防火墻配置文件的方法和IOS一樣，通過TFTP服務器完成。具體步驟也差不多，這里只介紹幾個不同的需要特別注意的地方。

　　在備份和還原時要注意保存和恢復的文件和IOS不同，配置文件都是諸如config的文件，而不是以IOS命名的。另外在容量上配置文件的容量也比IOS系統文件小。

原文轉自：http://www.kjueaiud.com