一、針對硬件防火墻我們該備份哪些數據：
　　硬件防火墻就是一個劃分了安全級別和安全區域并結合強大的過濾策略，訪問控制列表，路由策略等功能于一身的路由交換設備，他在本質上和路由交換設備沒有太大區別。所以在備份數據時也可以參考路由交換設備。

　　一般來說我們需要備份的主要有以下兩部分
　?。?）硬件防火墻的網絡操作系統：
　　每臺硬件防火墻的核心都有一個網絡操作系統，Cisco公司稱之為IOS，而華為公司將其命名為VRP。這個網絡操作系統負責引導防火墻和提供接口命令。大部分情況黑客都不會針對這個核心系統進行攻擊，因為一旦這個設備受損則防火墻無法正常運轉，黑客也失去了和企業網絡連接的機會。因此在現實中硬件防火墻的網絡操作系統往往由于人為或者其他問題而丟失或損壞，這時就必須用原廠系統重新刷新才能恢復正常。

　　（2）硬件防火墻的基本配置：
　　有過路由交換設備配置經驗的讀者都知道，對于一臺路由器或交換機來說所有功能都由里面的配置命令所決定的?？梢哉f防火墻千臺千面是因為配置命令的不同而決定的。黑客入侵或者網絡治理員的人為失誤都可能造成配置的錯誤或丟失，所以網絡治理員備份硬件防火墻配置的另外一方面就是將配置信息和配置文件進行備份，保存到一個安全的地方。

　　二、備份手段簡述
　　直接把IOS或VRP以及配置文件保存在防火墻存儲卡或存儲介質中是沒有任何問題的，不過這樣備份當設備損壞或遭受攻擊后很可能備份信息也同時丟失，所以目前最行之有效的方法就是將這些需要保存的配置信息傳輸到另外一臺服務器上，即使防火墻出問題，網絡治理員也可以迅速將配置從另外一臺服務器上恢復還原。

　　我們可以通過TFTP，異步貓傳輸，FTP，SSH等多種方法實現備份操作，不過目前用的最多的使用最廣的還是TFTP法，本文也主要針對此方法進行介紹。為了方便各位IT168的讀者理解，我們將通過兩個不同廠商的設備進行介紹，希望各位可以舉一反三。

　　三、PIX防火墻的備份
　　PIX防火墻可以說是Cisco公司的主力防火墻，他的應用歷史悠久，很多大型企業都使用PIX來保護自己的網絡。下面我們就來介紹如何保存PIX防火墻的IOS文件以及config配置文件。

　　（1）備份PIX防火墻IOS
　　首先要建立一臺TFTP服務器，要保證在PIX設備上可以順利訪問此服務器。關于建立TFTP服務器的方法可以參考網上的文章，由于篇幅關系這里就不具體說明了，總之就是通過TFTP SERVER建立。

　　第一步：建立好TFTP服務器并確保網絡連通正常的情況下，登錄到PIX設備中。

　　第二步：通過命令“tftp-server XXX”指定tftp服務器的地址，例如tftp-server 172.16.1.10。

　　第三步：ping TFTP服務器的ip地址確保連通順利，例如ping 172.16.1.10。

　　第四步：指定遠程TFTP服務器上的路徑，例如tftp-server 172.16.1.10/pixfirewall/ios。

　　第五步：執行write net命令將防火墻上的IOS寫入到剛剛設置的遠程TFTP路徑上。等待一段時間后會顯示TFTP write OK的字樣。

　　小提示：
　　我們也可以直接執行write net 172.16.1.10/pixfirewall/ios命令將IOS數據寫到TFTP服務器上。

　　這樣我們就完成了將IOS系統保存到遠程TFTP服務器上的操作，那么以后防火墻的IOS出問題后該如何恢復呢？我們繼續來了解下恢復的步驟。

　　（2）恢復PIX防火墻的IOS
　　恢復IOS系統時的步驟和備份略有不同，不過操作同樣是通過TFTP服務器完成。

　　第一步：登錄PIX并確保與TFTP服務器連接正常，可以PING通。

　　第二步：通過server 172.16.1.10命令指定TFTP服務器IP地址。

　　第三步：使用file np60.bin命令來指定要恢復的IOS文件名。

　　第四步：最后直接執行tftp命令即可，PIX會自動從指定的TFTP服務器下載np60.bin文件，所有操作完成后會顯示出接收到的數據大?。▓D1）。

圖1

　　還原IOS系統后我們只需要重新啟動PIX防火墻即可，這樣PIX就完好如初又可以為我們的網絡好好服務了。

　　（3）恢復和備份PIX防火墻的配置文件：
　　實際上恢復和備份PIX防火墻配置文件的方法和IOS一樣，通過TFTP服務器完成。具體步驟也差不多，這里只介紹幾個不同的需要非凡注重的地方。

　　在備份和還原時要注重保存和恢復的文件和IOS不同，配置文件都是諸如config的文件，而不是以IOS命名的。另外在容量上配置文件的容量也比IOS系統文件小。

　　四、華為Secpath 1000F硬件防火墻的備份
　　華為Secpath 1000F防火墻是華為主推的安全設備，在功能上比100F要強，支持的連接數和流量更大。由于華為設備普遍比Cisco設備便宜，所以更得到國內中小企業的青睞。筆者公司就使用的這款防火墻。

　?。?）備份和還原Secpath 1000F硬件防火墻的VRP
　　和CISCO公司不同的是華為產品中用VRP命名設備的操作系統。日常備份和還原VRP同樣可以通過TFTP，FTP等手段完成。為了和PIX防火墻有所區別，筆者介紹如何通過FTP服務器備份和還原Secpath 1000F硬件防火墻的VRP。

　　第一步：進入Secpath 1000F硬件防火墻的治理界面，然后通過local-user ftp1 service-type ftp passWord simple ftp2命令建立一個只能夠執行FTP服務的帳戶，帳戶名是ftp1，密碼是ftp2。

　　第二步：執行ftp-server enable命令開啟防火墻的FTP服務，這時我們的防火墻就一定成為了一個FTP服務器。

　　第三步：和PIX將自身的配置上傳到TFTP服務器不同的是，Secpath 1000F硬件防火墻采取的備份方法是讓一臺服務器到防火墻下載VRP文件。開啟了FTP服務的Secpath 1000F硬件防火墻就成為了一臺FTP服務器，我們使用用戶名ftp1，密碼ftp2可以登錄其上。

　　第四步：在網絡中任何一臺計算機訪問防火墻建立的FTP服務器，然后通過get system來將1000F的VRP下載到該計算機硬盤完成VRP的備份工作，或者通過put system命令把本地的VRP文件上傳到1000F防火墻中完成恢復工作（圖2）。

圖2

　　第五步：完成所有操作后重新啟動1000F防火墻即可。

　　理論上講通過FTP來備份和還原防火墻數據更加安全，究竟TFTP服務是沒有加密且面向無連接的。所以建議各位讀者在進行備份還原操作時都采用FTP甚至是SSH方式。

　　（2）備份和還原Secpath 1000F硬件防火墻的配置文件
　　關于備份和還原Secpath 1000F硬件防火墻配置文件的方法和上面介紹的差不多，不過命令變成了get config和put config，這點在操作上多多仔細即可，究竟防火墻的配置文件命令都很多，一旦覆蓋錯誤或丟失重新設置是非常麻煩的，光訪問控制列表ACL的添加就能讓網絡治理員頭疼一天。

　　五、總結
　　硬件防火墻是企業安全的屏障，他的資源備份也是非常要害的。只要各位讀者按照本文介紹的方法將自己企業的防火墻中的操作系統文件以及配置文件合理有效的妥善保存，就可以保證在問題出現后以最快的速度解決故障，將損失降低到最小。另外本文主要介紹了Cisco和華為公司防火墻產品的備份和還原辦法，其他廠商的產品在操作上大同小異，我們只需要按照說明書上的命令配置即可。