多年來,自動配置備份(ACB)作爲pfSense®軟件包提供,需要付費使用,但從pfSense2.4.4開始,它已經作爲pfSense軟件的核心組件使用,不再需要額外安裝任何軟件包。
更改防火牆上的配置後,AutoConfigBackup會使用在AutoConfigBackup設置中輸入的密碼自動對內容進行加密,然後將備份通過HTTPS上傳到Netgate服務器。這樣就可以在沒有用戶干預的情況下對防火牆進行即時、安全的異地備份。
Netgate服務器給每個設備保留100個加密配置。以下的說明都是在pfSense2.44p3中文版下進行。
一、配置
導航到“ 系統服務”>“系統備份”菜單項,然後選擇 “設置”選項卡。
選中啓用自動配置備份
指定加密密碼,然後在“確認”框中重複輸入密碼
輸入提示,該提示將以純文本格式存儲在加密的備份文件旁邊。要注意避免在此字段中使用敏感信息。
點擊保存
現在,只要對防火牆進行了任何的修改或從“ 現在備份”選項卡觸發時,防火牆都會自動創建現有配置的備份。
二、加密密碼
在將配置文件傳輸到Netgate服務器之前,防火牆使用AES-256-CBC算法和防火牆管理員創建的密碼對備份進行加密。此密碼永遠不會離開防火牆,也永遠不會共享。
從可用遠程備份列表還原備份時,將下載配置文件內容,然後使用配置的加密密碼解密。
注意:一定要手動記錄下加密密碼!如果密碼丟失,則無法恢復備份內容。密碼是私有的,只在本地防火牆存儲。如果沒有密碼,Netgate和其他任何人都將無法協助讀取加密的備份。
三、設備密鑰
要標識特定的防火牆,需要唯一標識符來保存或恢復備份配置。所以,ACB在防火牆上使用SSH公鑰的SHA256哈希來標識。
設備密鑰位於“ 系統服務”>“系統備份”菜單項上的“ 恢復和現在備份”選項卡下。
注意:一定要手動記錄下設備密鑰!如果防火牆的設備密鑰丟失,則很有可能可以將其恢復。設置頁面允許輸入提示,提示與加密的備份條目一起存儲在數據存儲中。如果提示不同,則Netgate支持團隊可以使用它來恢復設備密鑰,不過不要期望太大!
四、恢復配置
要還原配置,請在“系統服務”>“系統備份”>“恢復”選項卡上列表的配置文件上,單擊右側的"恢復此備份"按鈕 。它將從服務器下載指定的配置,使用配置的加密密碼解密並恢復。
默認情況下,防火牆不會重新啓動。根據還原的配置項目,可能不需要重新啓動。例如,還原配置後,防火牆和NAT規則會自動重新加載。如果還原的配置更改了NAT和防火牆規則以外的其他內容,會出現提示,提示你重新啓動。
五、從另一個防火牆或以前的安裝還原備份
如果SSH密鑰由於重新安裝pfSense軟件而發生更改,則只要知道先前安裝的設備密鑰和加密密碼,ACB就可以從先前安裝的備份來還原 。
導航到“設置”標籤
設置加密密碼來匹配以前的安裝
導航到“恢復”選項卡
將舊設備密鑰粘貼到“設備密鑰”字段中
點擊提交按鈕
這會允許ACB顯示備用設備密鑰的備份列表 。單擊“重置” 按鈕恢復該防火牆的本機ID。
六、手動備份
如果希望強制備份防火牆配置,可以在系統備份頁面的“現在備份”選項卡,單擊底部的備份按鈕,完成備份操作。
建議你在進行一系列重大更改之前先執行此操作,因爲它將提供具體說明原因的備份,這樣可以輕鬆地在需要進行更改之前還原到該配置。由於每個配置更改都會觸發備份,因此在進行一系列更改時,如果需要還原,可能很難知道從哪裏開始。
在升級到新的pfSense版本之前,手動備份也是不錯的選擇,併爲備份命名,這樣就很容易找到你需要恢復的備份。
七、測試備份功能
進行更改來強制進行配置備份,例如編輯和保存防火牆或NAT規則,然後單擊應用更改。然後訪問“系統服務>系統備份>恢復”標籤。該選項卡就會列出了可用的備份以及進行更改的頁面說明。
八、舊版AutoConfigBackup軟件包
舊版的軟件包僅與2.4.4之前發行的pfSense版本兼容。
注意:現在所有pfSense金牌訂閱都已過期,對舊的備份服務器的訪問已被刪除,必須升級來使用新的ACB服務器。
升級到2.4.4或更高版本時,如果檢測到舊版AutoConfigBackup軟件包,則會將軟件的設置遷移到新的集成服務中,同時舊的軟件包及設置會被刪除。
九、常見問題解答
我怎麼知道我的備份成功了?
“恢復”選項卡上顯示的備份列表是從我們的服務器中列出的,如果此處列出了備份,則表示已成功創建了該備份。
我怎麼知道備份是否失敗?
如果備份失敗,則會記錄一條報警提示,並且該提示會在Web界面的頂部滾動。如果啓用了電子郵件警報,還會發送一條消息給指定的Email地址。