有备无患 硬件防火墙备份配置功略

　　网络的安全不光体现在服务器和客户机的防范上，对于具备一定规模的企业，当网络发展到一定程度都会为了提高安全性而选择防火墙产品。硬件防火墙要比软件防火墙在响应时间，防护效果等方面有更突出的表现，当然价格也是不匪的。不过即使这样我们也不能保证硬件防火墙产品的万无一失，所以及时准确的保存硬件防火墙中的配置信息和网络操作系统IOS是非常重要的。今天我们就来谈谈有备无患的话题，看看如何将硬件防火墙的配置备份下来，在出问题的第一时间恢复原样。

　　一、针对硬件防火墙我们该备份哪些数据：
　　硬件防火墙就是一个划分了安全级别和安全区域并结合强大的过滤策略，访问控制列表，路由策略等功能于一身的路由交换设备，他在本质上和路由交换设备没有太大区别。所以在备份数据时也可以参考路由交换设备。

　　一般来说我们需要备份的主要有以下两部分
　　（1）硬件防火墙的网络操作系统：
　　每台硬件防火墙的核心都有一个网络操作系统，Cisco公司称之为IOS，而华为公司将其命名为VRP。这个网络操作系统负责引导防火墙和提供接口命令。大部分情况黑客都不会针对这个核心系统进行攻击，因为一旦这个设备受损则防火墙无法正常运转，黑客也失去了和企业网络连接的机会。因此在现实中硬件防火墙的网络操作系统往往由于人为或者其他问题而丢失或损坏，这时就必须用原厂系统重新刷新才能恢复正常。

　　（2）硬件防火墙的基本配置：
　　有过路由交换设备配置经验的读者都知道，对于一台路由器或交换机来说所有功能都由里面的配置命令所决定的。可以说防火墙千台千面是因为配置命令的不同而决定的。黑客入侵或者网络管理员的人为失误都可能造成配置的错误或丢失，所以网络管理员备份硬件防火墙配置的另外一方面就是将配置信息和配置文件进行备份，保存到一个安全的地方。

　　二、备份手段简述
　　直接把IOS或VRP以及配置文件保存在防火墙存储卡或存储介质中是没有任何问题的，不过这样备份当设备损坏或遭受攻击后很可能备份信息也同时丢失，所以目前最行之有效的方法就是将这些需要保存的配置信息传输到另外一台服务器上，即使防火墙出问题，网络管理员也可以迅速将配置从另外一台服务器上恢复还原。

　　我们可以通过TFTP，异步猫传输，FTP，SSH等多种方法实现备份操作，不过目前用的最多的使用最广的还是TFTP法，本文也主要针对此方法进行介绍。为了方便各位IT168的读者理解，我们将通过两个不同厂商的设备进行介绍，希望各位可以举一反三。

　　三、PIX防火墙的备份
　　PIX防火墙可以说是Cisco公司的主力防火墙，他的应用历史悠久，很多大型企业都使用PIX来保护自己的网络。下面我们就来介绍如何保存PIX防火墙的IOS文件以及config配置文件。

　　（1）备份PIX防火墙IOS
　　首先要建立一台TFTP服务器，要保证在PIX设备上可以顺利访问此服务器。关于建立TFTP服务器的方法可以参考网上的文章，由于篇幅关系这里就不详细说明了，总之就是通过TFTP SERVER建立。

　　第一步：建立好TFTP服务器并确保网络连通正常的情况下，登录到PIX设备中。

　　第二步：通过命令“tftp-server XXX”指定tftp服务器的地址，例如tftp-server 172.16.1.10。

　　第三步：ping TFTP服务器的IP地址确保连通顺利，例如ping 172.16.1.10。

　　第四步：指定远程TFTP服务器上的路径，例如tftp-server 172.16.1.10/pixfirewall/ios。

　　第五步：执行write net命令将防火墙上的IOS写入到刚刚设置的远程TFTP路径上。等待一段时间后会显示TFTP write OK的字样。

　　小提示：
　　我们也可以直接执行write net 172.16.1.10/pixfirewall/ios命令将IOS数据写到TFTP服务器上。

　　这样我们就完成了将IOS系统保存到远程TFTP服务器上的操作，那么以后防火墙的IOS出问题后该如何恢复呢？我们继续来了解下恢复的步骤。

　　（2）恢复PIX防火墙的IOS
　　恢复IOS系统时的步骤和备份略有不同，不过操作同样是通过TFTP服务器完成。

　　第一步：登录PIX并确保与TFTP服务器连接正常，可以PING通。

　　第二步：通过server 172.16.1.10命令指定TFTP服务器IP地址。

　　第三步：使用file np60.bin命令来指定要恢复的IOS文件名。

　　第四步：最后直接执行tftp命令即可，PIX会自动从指定的TFTP服务器下载np60.bin文件，所有操作完成后会显示出接收到的数据大小（图1）。

图1

　　还原IOS系统后我们只需要重新启动PIX防火墙即可，这样PIX就完好如初又可以为我们的网络好好服务了。

　　（3）恢复和备份PIX防火墙的配置文件：
　　实际上恢复和备份PIX防火墙配置文件的方法和IOS一样，通过TFTP服务器完成。具体步骤也差不多，这里只介绍几个不同的需要特别注意的地方。

　　在备份和还原时要注意保存和恢复的文件和IOS不同，配置文件都是诸如config的文件，而不是以IOS命名的。另外在容量上配置文件的容量也比IOS系统文件小。
　四、华为Secpath 1000F硬件防火墙的备份
　　华为Secpath 1000F防火墙是华为主推的安全设备，在功能上比100F要强，支持的连接数和流量更大。由于华为设备普遍比Cisco设备便宜，所以更得到国内中小企业的青睐。笔者公司就使用的这款防火墙。

　　（1）备份和还原Secpath 1000F硬件防火墙的VRP
　　和CISCO公司不同的是华为产品中用VRP命名设备的操作系统。日常备份和还原VRP同样可以通过TFTP，FTP等手段完成。为了和PIX防火墙有所区别，笔者介绍如何通过FTP服务器备份和还原Secpath 1000F硬件防火墙的VRP。

　　第一步：进入Secpath 1000F硬件防火墙的管理界面，然后通过local-user ftp1 service-type ftp password simple ftp2命令建立一个只能够执行FTP服务的帐户，帐户名是ftp1，密码是ftp2。

　　第二步：执行ftp-server enable命令开启防火墙的FTP服务，这时我们的防火墙就一定成为了一个FTP服务器。

　　第三步：和PIX将自身的配置上传到TFTP服务器不同的是，Secpath 1000F硬件防火墙采取的备份方法是让一台服务器到防火墙下载VRP文件。开启了FTP服务的Secpath 1000F硬件防火墙就成为了一台FTP服务器，我们使用用户名ftp1，密码ftp2可以登录其上。

　　第四步：在网络中任何一台计算机访问防火墙建立的FTP服务器，然后通过get system来将1000F的VRP下载到该计算机硬盘完成VRP的备份工作，或者通过put system命令把本地的VRP文件上传到1000F防火墙中完成恢复工作（图2）。

图2

　　第五步：完成所有操作后重新启动1000F防火墙即可。

　　理论上讲通过FTP来备份和还原防火墙数据更加安全，毕竟TFTP服务是没有加密且面向无连接的。所以建议各位读者在进行备份还原操作时都采用FTP甚至是SSH方式。

　　（2）备份和还原Secpath 1000F硬件防火墙的配置文件
　　关于备份和还原Secpath 1000F硬件防火墙配置文件的方法和上面介绍的差不多，不过命令变成了get config和put config，这点在操作上多多仔细即可，毕竟防火墙的配置文件命令都很多，一旦覆盖错误或丢失重新设置是非常麻烦的，光访问控制列表ACL的添加就能让网络管理员头疼一天。

　　五、总结
　　硬件防火墙是企业安全的屏障，他的资源备份也是非常关键的。只要各位读者按照本文介绍的方法将自己企业的防火墙中的操作系统文件以及配置文件合理有效的妥善保存，就可以保证在问题出现后以最快的速度解决故障，将损失降低到最小。另外本文主要介绍了Cisco和华为公司防火墙产品的备份和还原办法，其他厂商的产品在操作上大同小异，我们只需要按照说明书上的命令配置即可。