有备无患 硬件防火墙备份配置功略

网络的安全不光体现在服务器和客户机的防范上，对于具备一定规模的企业，当网络发展到一定程度都会为了提高安全性而选择防火墙产品。硬件防火墙要比软件防火墙在响应时间，防护效果等方面有更突出的表现，当然价格也是不匪的。不过即使这样我们也不能保证硬件防火墙产品的万无一失，所以及时准确的保存硬件防火墙中的配置信息和网络操作系统IOS是非常重要的。今天我们就来谈谈有备无患的话题，看看如何将硬件防火墙的配置备份下来，在出问题的第一时间恢复原样。

　　一、针对硬件防火墙我们该备份哪些数据：
　　硬件防火墙就是一个划分了安全级别和安全区域并结合强大的过滤策略，访问控制列表，路由策略等功能于一身的路由交换设备，他在本质上和路由交换设备没有太大区别。所以在备份数据时也可以参考路由交换设备。 中国网管论坛bbs.bitsCN.com

　　一般来说我们需要备份的主要有以下两部分
　　（1）硬件防火墙的网络操作系统：
　　每台硬件防火墙的核心都有一个网络操作系统，Cisco公司称之为IOS，而华为公司将其命名为VRP。这个网络操作系统负责引导防火墙和提供接口命令。大部分情况黑客都不会针对这个核心系统进行攻击，因为一旦这个设备受损则防火墙无法正常运转，黑客也失去了和企业网络连接的机会。因此在现实中硬件防火墙的网络操作系统往往由于人为或者其他问题而丢失或损坏，这时就必须用原厂系统重新刷新才能恢复正常。

　　（2）硬件防火墙的基本配置：
　　有过路由交换设备配置经验的读者都知道，对于一台路由器或交换机来说所有功能都由里面的配置命令所决定的。可以说防火墙千台千面是因为配置命令的不同而决定的。黑客入侵或者网络管理员的人为失误都可能造成配置的错误或丢失，所以网络管理员备份硬件防火墙配置的另外一方面就是将配置信息和配置文件进行备份，保存到一个安全的地方。

网管联盟bitsCN_com

　　二、备份手段简述
　　直接把IOS或VRP以及配置文件保存在防火墙存储卡或存储介质中是没有任何问题的，不过这样备份当设备损坏或遭受攻击后很可能备份信息也同时丢失，所以目前最行之有效的方法就是将这些需要保存的配置信息传输到另外一台服务器上，即使防火墙出问题，网络管理员也可以迅速将配置从另外一台服务器上恢复还原。

网管bitscn_com

　　我们可以通过TFTP，异步猫传输，FTP，SSH等多种方法实现备份操作，不过目前用的最多的使用最广的还是TFTP法，本文也主要针对此方法进行介绍。为了方便各位IT168的读者理解，我们将通过两个不同厂商的设备进行介绍，希望各位可以举一反三。

中国网管联盟bitsCN.com

　　三、PIX防火墙的备份
　　PIX防火墙可以说是Cisco公司的主力防火墙，他的应用历史悠久，很多大型企业都使用PIX来保护自己的网络。下面我们就来介绍如何保存PIX防火墙的IOS文件以及config配置文件。 中国网管联盟bitsCN.com

　　（1）备份PIX防火墙IOS
　　首先要建立一台TFTP服务器，要保证在PIX设备上可以顺利访问此服务器。关于建立TFTP服务器的方法可以参考网上的文章，由于篇幅关系这里就不详细说明了，总之就是通过TFTP SERVER建立。 网管网www_bitscn_com

　　第一步：建立好TFTP服务器并确保网络连通正常的情况下，登录到PIX设备中。 中国网管联盟bitsCN.com

　　第二步：通过命令“tftp-server XXX”指定tftp服务器的地址，例如tftp-server 172.16.1.10。 网管下载dl.bitscn.com

　　第三步：ping TFTP服务器的IP地址确保连通顺利，例如ping 172.16.1.10。 网管论坛bbs_bitsCN_com

　　第四步：指定远程TFTP服务器上的路径，例如tftp-server 172.16.1.10/pixfirewall/ios。

　　第五步：执行write net命令将防火墙上的IOS写入到刚刚设置的远程TFTP路径上。等待一段时间后会显示TFTP write OK的字样。

中国网管论坛bbs.bitsCN.com

　　小提示：
　　我们也可以直接执行write net 172.16.1.10/pixfirewall/ios命令将IOS数据写到TFTP服务器上。 中国网管联盟bitsCN.com

　　这样我们就完成了将IOS系统保存到远程TFTP服务器上的操作，那么以后防火墙的IOS出问题后该如何恢复呢？我们继续来了解下恢复的步骤。 网管u家u.bitscn@com

　　（2）恢复PIX防火墙的IOS
　　恢复IOS系统时的步骤和备份略有不同，不过操作同样是通过TFTP服务器完成。 网管联盟bitsCN@com

　　第一步：登录PIX并确保与TFTP服务器连接正常，可以PING通。 网管u家u.bitsCN.com

　　第二步：通过server 172.16.1.10命令指定TFTP服务器IP地址。 中国网管联盟bitsCN.com

　　第三步：使用file np60.bin命令来指定要恢复的IOS文件名。

网管联盟bitsCN_com

　　第四步：最后直接执行tftp命令即可，PIX会自动从指定的TFTP服务器下载np60.bin文件，所有操作完成后会显示出接收到的数据大小（图1）。 网管网www_bitscn_com

网管网www_bitscn_com 图1 网管u家u.bitscn@com

网管网www.bitscn.com

　　还原IOS系统后我们只需要重新启动PIX防火墙即可，这样PIX就完好如初又可以为我们的网络好好服务了。 网管网www_bitscn_com

　　（3）恢复和备份PIX防火墙的配置文件：
　　实际上恢复和备份PIX防火墙配置文件的方法和IOS一样，通过TFTP服务器完成。具体步骤也差不多，这里只介绍几个不同的需要特别注意的地方。

　　在备份和还原时要注意保存和恢复的文件和IOS不同，配置文件都是诸如config的文件，而不是以IOS命名的。另外在容量上配置文件的容量也比IOS系统文件小。 中国网管联盟bitsCN.com