一、針對(duì)硬件防火墻我們?cè)搨浞菽男?shù)據(jù)：
　　硬件防火墻就是一個(gè)劃分了安全級(jí)別和安全區(qū)域并結(jié)合強(qiáng)大的過(guò)濾策略，訪問(wèn)控制列表，路由策略等功能于一身的路由交換設(shè)備，他在本質(zhì)上和路由交換設(shè)備沒(méi)有太大區(qū)別。所以在備份數(shù)據(jù)時(shí)也可以參考路由交換設(shè)備。

　　一般來(lái)說(shuō)我們需要備份的主要有以下兩部分
　　（1）硬件防火墻的網(wǎng)絡(luò)操作系統(tǒng)：
　　每臺(tái)硬件防火墻的核心都有一個(gè)網(wǎng)絡(luò)操作系統(tǒng)，Cisco公司稱之為IOS，而華為公司將其命名為VRP。這個(gè)網(wǎng)絡(luò)操作系統(tǒng)負(fù)責(zé)引導(dǎo)防火墻和提供接口命令。大部分情況黑客都不會(huì)針對(duì)這個(gè)核心系統(tǒng)進(jìn)行攻擊，因?yàn)橐坏┻@個(gè)設(shè)備受損則防火墻無(wú)法正常運(yùn)轉(zhuǎn)，黑客也失去了和企業(yè)網(wǎng)絡(luò)連接的機(jī)會(huì)。因此在現(xiàn)實(shí)中硬件防火墻的網(wǎng)絡(luò)操作系統(tǒng)往往由于人為或者其他問(wèn)題而丟失或損壞，這時(shí)就必須用原廠系統(tǒng)重新刷新才能恢復(fù)正常。

　　（2）硬件防火墻的基本配置：
　　有過(guò)路由交換設(shè)備配置經(jīng)驗(yàn)的讀者都知道，對(duì)于一臺(tái)路由器或交換機(jī)來(lái)說(shuō)所有功能都由里面的配置命令所決定的。可以說(shuō)防火墻千臺(tái)千面是因?yàn)榕渲妹畹牟煌鴽Q定的。黑客入侵或者網(wǎng)絡(luò)治理員的人為失誤都可能造成配置的錯(cuò)誤或丟失，所以網(wǎng)絡(luò)治理員備份硬件防火墻配置的另外一方面就是將配置信息和配置文件進(jìn)行備份，保存到一個(gè)安全的地方。

　　二、備份手段簡(jiǎn)述
　　直接把IOS或VRP以及配置文件保存在防火墻存儲(chǔ)卡或存儲(chǔ)介質(zhì)中是沒(méi)有任何問(wèn)題的，不過(guò)這樣備份當(dāng)設(shè)備損壞或遭受攻擊后很可能備份信息也同時(shí)丟失，所以目前最行之有效的方法就是將這些需要保存的配置信息傳輸?shù)搅硗庖慌_(tái)服務(wù)器上，即使防火墻出問(wèn)題，網(wǎng)絡(luò)治理員也可以迅速將配置從另外一臺(tái)服務(wù)器上恢復(fù)還原。

　　我們可以通過(guò)TFTP，異步貓傳輸，F(xiàn)TP，SSH等多種方法實(shí)現(xiàn)備份操作，不過(guò)目前用的最多的使用最廣的還是TFTP法，本文也主要針對(duì)此方法進(jìn)行介紹。為了方便各位IT168的讀者理解，我們將通過(guò)兩個(gè)不同廠商的設(shè)備進(jìn)行介紹，希望各位可以舉一反三。

　　三、PIX防火墻的備份
　　PIX防火墻可以說(shuō)是Cisco公司的主力防火墻，他的應(yīng)用歷史悠久，很多大型企業(yè)都使用PIX來(lái)保護(hù)自己的網(wǎng)絡(luò)。下面我們就來(lái)介紹如何保存PIX防火墻的IOS文件以及config配置文件。

　　（1）備份PIX防火墻IOS
　　首先要建立一臺(tái)TFTP服務(wù)器，要保證在PIX設(shè)備上可以順利訪問(wèn)此服務(wù)器。關(guān)于建立TFTP服務(wù)器的方法可以參考網(wǎng)上的文章，由于篇幅關(guān)系這里就不具體說(shuō)明了，總之就是通過(guò)TFTP SERVER建立。

　　第一步：建立好TFTP服務(wù)器并確保網(wǎng)絡(luò)連通正常的情況下，登錄到PIX設(shè)備中。

　　第二步：通過(guò)命令“tftp-server XXX”指定tftp服務(wù)器的地址，例如tftp-server 172.16.1.10。

　　第三步：ping TFTP服務(wù)器的ip地址確保連通順利，例如ping 172.16.1.10。

　　第四步：指定遠(yuǎn)程TFTP服務(wù)器上的路徑，例如tftp-server 172.16.1.10/pixfirewall/ios。

　　第五步：執(zhí)行write net命令將防火墻上的IOS寫(xiě)入到剛剛設(shè)置的遠(yuǎn)程TFTP路徑上。等待一段時(shí)間后會(huì)顯示TFTP write OK的字樣。

　　小提示：
　　我們也可以直接執(zhí)行write net 172.16.1.10/pixfirewall/ios命令將IOS數(shù)據(jù)寫(xiě)到TFTP服務(wù)器上。

　　這樣我們就完成了將IOS系統(tǒng)保存到遠(yuǎn)程TFTP服務(wù)器上的操作，那么以后防火墻的IOS出問(wèn)題后該如何恢復(fù)呢？我們繼續(xù)來(lái)了解下恢復(fù)的步驟。

　　（2）恢復(fù)PIX防火墻的IOS
　　恢復(fù)IOS系統(tǒng)時(shí)的步驟和備份略有不同，不過(guò)操作同樣是通過(guò)TFTP服務(wù)器完成。

　　第一步：登錄PIX并確保與TFTP服務(wù)器連接正常，可以PING通。

　　第二步：通過(guò)server 172.16.1.10命令指定TFTP服務(wù)器IP地址。

　　第三步：使用file np60.bin命令來(lái)指定要恢復(fù)的IOS文件名。

　　第四步：最后直接執(zhí)行tftp命令即可，PIX會(huì)自動(dòng)從指定的TFTP服務(wù)器下載np60.bin文件，所有操作完成后會(huì)顯示出接收到的數(shù)據(jù)大小（圖1）。

圖1

　　還原IOS系統(tǒng)后我們只需要重新啟動(dòng)PIX防火墻即可，這樣PIX就完好如初又可以為我們的網(wǎng)絡(luò)好好服務(wù)了。

　　（3）恢復(fù)和備份PIX防火墻的配置文件：
　　實(shí)際上恢復(fù)和備份PIX防火墻配置文件的方法和IOS一樣，通過(guò)TFTP服務(wù)器完成。具體步驟也差不多，這里只介紹幾個(gè)不同的需要非凡注重的地方。

　　在備份和還原時(shí)要注重保存和恢復(fù)的文件和IOS不同，配置文件都是諸如config的文件，而不是以IOS命名的。另外在容量上配置文件的容量也比IOS系統(tǒng)文件小。

　　四、華為Secpath 1000F硬件防火墻的備份
　　華為Secpath 1000F防火墻是華為主推的安全設(shè)備，在功能上比100F要強(qiáng)，支持的連接數(shù)和流量更大。由于華為設(shè)備普遍比Cisco設(shè)備便宜，所以更得到國(guó)內(nèi)中小企業(yè)的青睞。筆者公司就使用的這款防火墻。

　　（1）備份和還原Secpath 1000F硬件防火墻的VRP
　　和CISCO公司不同的是華為產(chǎn)品中用VRP命名設(shè)備的操作系統(tǒng)。日常備份和還原VRP同樣可以通過(guò)TFTP，F(xiàn)TP等手段完成。為了和PIX防火墻有所區(qū)別，筆者介紹如何通過(guò)FTP服務(wù)器備份和還原Secpath 1000F硬件防火墻的VRP。

　　第一步：進(jìn)入Secpath 1000F硬件防火墻的治理界面，然后通過(guò)local-user ftp1 service-type ftp passWord simple ftp2命令建立一個(gè)只能夠執(zhí)行FTP服務(wù)的帳戶，帳戶名是ftp1，密碼是ftp2。

　　第二步：執(zhí)行ftp-server enable命令開(kāi)啟防火墻的FTP服務(wù)，這時(shí)我們的防火墻就一定成為了一個(gè)FTP服務(wù)器。

　　第三步：和PIX將自身的配置上傳到TFTP服務(wù)器不同的是，Secpath 1000F硬件防火墻采取的備份方法是讓一臺(tái)服務(wù)器到防火墻下載VRP文件。開(kāi)啟了FTP服務(wù)的Secpath 1000F硬件防火墻就成為了一臺(tái)FTP服務(wù)器，我們使用用戶名ftp1，密碼ftp2可以登錄其上。

　　第四步：在網(wǎng)絡(luò)中任何一臺(tái)計(jì)算機(jī)訪問(wèn)防火墻建立的FTP服務(wù)器，然后通過(guò)get system來(lái)將1000F的VRP下載到該計(jì)算機(jī)硬盤(pán)完成VRP的備份工作，或者通過(guò)put system命令把本地的VRP文件上傳到1000F防火墻中完成恢復(fù)工作（圖2）。

圖2

　　第五步：完成所有操作后重新啟動(dòng)1000F防火墻即可。

　　理論上講通過(guò)FTP來(lái)備份和還原防火墻數(shù)據(jù)更加安全，究竟TFTP服務(wù)是沒(méi)有加密且面向無(wú)連接的。所以建議各位讀者在進(jìn)行備份還原操作時(shí)都采用FTP甚至是SSH方式。

　　（2）備份和還原Secpath 1000F硬件防火墻的配置文件
　　關(guān)于備份和還原Secpath 1000F硬件防火墻配置文件的方法和上面介紹的差不多，不過(guò)命令變成了get config和put config，這點(diǎn)在操作上多多仔細(xì)即可，究竟防火墻的配置文件命令都很多，一旦覆蓋錯(cuò)誤或丟失重新設(shè)置是非常麻煩的，光訪問(wèn)控制列表ACL的添加就能讓網(wǎng)絡(luò)治理員頭疼一天。

　　五、總結(jié)
　　硬件防火墻是企業(yè)安全的屏障，他的資源備份也是非常要害的。只要各位讀者按照本文介紹的方法將自己企業(yè)的防火墻中的操作系統(tǒng)文件以及配置文件合理有效的妥善保存，就可以保證在問(wèn)題出現(xiàn)后以最快的速度解決故障，將損失降低到最小。另外本文主要介紹了Cisco和華為公司防火墻產(chǎn)品的備份和還原辦法，其他廠商的產(chǎn)品在操作上大同小異，我們只需要按照說(shuō)明書(shū)上的命令配置即可。