办公室网络突然断了,IT同事请假不在,你被叫去处理问题。翻了半天发现防火墙规则被人误改,想恢复却找不到之前的设置。这时候才意识到,平时没备份配置文件有多被动。
为什么要导出防火墙配置文件
很多单位用的防火墙设备,比如华为USG、H3C SecPath或者深信服AF系列,系统一旦出问题,重装后所有策略都得重新配。一个中等规模公司的访问控制规则少说也有几十条,涉及财务、人事、生产系统的权限,手动一条条录入不仅慢,还容易出错。提前导出一份配置文件,等于给网络上了保险。
常见设备的导出方式
以华为USG6000系列为例,登录Web管理界面,在“系统”菜单下找到“配置管理”,点击“导出配置”。可以选择导出全量配置或仅导出当前生效的部分。勾选后系统会生成一个加密的.cfg文件,建议保存时加上日期,比如usg-config-20240415.cfg。
如果是命令行操作习惯的用户,可以用SSH登录设备,输入以下命令:
system-view
save configuration file backup.cfg然后通过TFTP或FTP把文件拉到本地。这种方式适合批量管理多个分支网点的场景,脚本一跑,全部设备的配置自动归档。
导出内容包含哪些信息
导出的文件不只是防火墙规则,还包括接口IP、NAT转换策略、VPN隧道参数、管理员账户权限等。但要注意,密码字段通常是加密存储的,恢复时不会直接还原管理员口令,需要额外记录。
有些企业会在配置文件里写入内部IP规划和服务器用途注释,这类敏感信息一旦泄露可能被用于内网渗透。所以导出后的文件别随便存U盘,更不要传到公共网盘。建议用加密压缩包保存,并设置强密码。
自动化备份的小技巧
可以写个简单的Python脚本,利用paramiko库定时登录防火墙设备执行导出命令。配合cron任务每天凌晨跑一次,自动按日期命名存到NAS上。某次实际运维中,就是因为这个机制,帮我们快速恢复了被勒索病毒篡改的边界策略。
导出频率不用太频繁,一般变更前导出一次就够了。但如果公司处在攻防演练期间,建议每天导出,毕竟安全团队随时可能调整拦截规则。