跟其他系统一样,Forefront也具有备份与还原机制。通过对配置文件进行备份,这在服务器出现故障的时候,可以使用还原功能在最短时间内让服务器再次运作起来。不过在Forefront产品中,备份与还原功能简化了许多,只需要将配置文件导出为XML文件即可。虽然操作比较简化,但是其中还是蕴藏了比较多的内涵。
一、选择合适的层面导出配置文件
在Forefront中,备份与还原功能非常的灵活,管理员可以在多个层面导出配置文件。如管理员可以根据需要,对整个防火墙策略进行备份或者还原。还可以备份单个规则或者单个网络对象等等。这种灵活的机制对于我们后续的维护非常有帮助。
如现在因为某种需要,改变了某个过滤规则。此时没有必要对全部策略进行备份,而只需要对需要更改的策略进行备份即可。这可以节省时间。万一更改的后的策略有问题或者没有达到预想的效果,就可以简单的将这个规则恢复即可。这么操作,即方便又安全。
二、对备份的XML文件要进行加密处理
备份文件导出后,就相当于是一个普通文件,不再受到Forefront的保护。为此管理员往往需要采取额外的措施来保护这个备份文件的安全。万一这个备份文件落到攻击者的手中,那么Forefront产品就会失去应有的作用。对于XML备份文件的安全,笔者有如下几个想法。
首先,要对这个加密文件设置比较强的密码。也就是说,导出Forefront产品中的重要机密信息,如管理员的用户名与密码的时候,需要对备份文件XML进行高强度的密码保护。默认情况下,Forefront也提供了这种安全机制。如在系统备份的时候,Forefront会让用户提供一个密码。在导入的时候,只有凭借这个密码才能够打开文件并进行解密。换句话说,密码错误的话,就无法采取恢复操作。为了Forefront的安全,笔者建议采用强密码, 以确保加密信息的安全。那么什么叫做强密码呢?注意并不是说密码越长就叫做强密码。这里指的强密码是说明密码中应该包含各种各样的字符,如大写字符、小写字符、数字、标点符号、特殊符号等等。顺便强调一次,在Forefront中密码的大小写是敏感的。
其次,备份文件的存储位置也有讲究。一般来说,NTFS文件系统的安全性要比FAT32高。这主要是因为NTFS本身就提供了一种加密机制。这种加密机制只允许备份的用户才能够解密加密的文件。除非其他人拥有这个用户的证书。所以为了最大程度的提高XML备份文件的安全,最好将这个备份文件保存到NTSF文件系统磁盘分区,并对其启用NTFS文件系统的加密机制。如果所采用的文件系统不是NTFS,那笔者强烈建议通过Convert命令将文件系统从FAT32转换为NTFS。具体操作如下图所示:
另外,为了进一步提高安全性,最好配置只有Forefront系统管理员才对这文件所在的目录具有访问的权限。这个针对文件夹的权限控制也是NTFS文件系统的一个特色之一。
三、备份与还原操作的一些权限限制
备份与还原作业对于Forefront的安全非常重要。为此对于这个作业进行权限的限制就非常关键了。上面讲的备份文件的安全往往是操作系统层面的事情。而这个导出导入作业的限制,就需要依靠Forefront系统来完成。默认情况下,Forefront系统就对这些作业进行了权限的限制。管理员需要了解这些限制,并且在必要的时候对其进行适当的调整。
企业级配置根据其内容机密程度的不同,可以分为两类:机密级信息与普通信息。对于普通信息来说,必须要由Forefront企业管理员或者企业审核员才能够进行备份和还原企业级的配置。但是如果对于企业级别的机密信息,如管理员帐户与密码,企业审核员权限还无法操作,必须是企业管理员才可以。
另外,如果企业规模比较大,则可能采用的时阵列的配置。此时对于这个作业的权限就有更高的要求。单个服务器的管理员还不能够进行这个备份与还原的作业。只有阵列管理员才可以道出阵列级别的机密信息。
这些权限的限制对于Forefront备份与还原作业的安全非常有帮助。笔者建议管理员不要为了贪图一时的方便,降低这个安全级别。特别是将这个作业的权限赋予给其他人员的时候,要充分评估由此带来的安全风险,并采取积极有效的措施来避免这种风险。
四、最好将普通信息与机密信息分开备份
在执行备份作业时,用户可以选择在导出常规配置信息的同时,也导出用户权限设置、管理员帐户与密码等机密信息。不过笔者并不建议这么做。因为机密信息与常规配置信息的安全要求是不同的。在机密信息中,含有管理员用户的帐号与密码、远程身份验证拨号用户服务共享机密和预共享协议安全密钥等机密信息。对于这些信息往往需要采用额外的安全机制,如采用高强度的密码或者放入到NTFS文件系统保存。
而对于普通的配置信息,这安全等级没有这么高。有时候为了操作的方便,往往只给其设定一个简单的密码、甚至不设置密码,而只将其利用NTFS文件系统进行加密处理即可。
为此就需要将常规信息与机密信息分开来备份,以实现安全与效率之间的均衡。
五、备份文件与证书文件的匹配性
最后需要特别强调一点,就是备份文件与证书文件的匹配性。因为在还原配置文件的时候,如果将备份文件导入到具有不同证书的Forefront服务器上的话,这微软的防火墙服务将无法启动。所以在导出Forefront整个配置文件的时候,还需要同时将管理员证书也导出(在NTFS文件系统管理的时候也有这方面的要求)。因为重新部署服务器之后,即使采用的是相同的管理员用户名,其用户的证书也是不同的。也就是说,相同的用户名具有相同的证书的几率几乎为0。
鉴于这种情况,故在执行备份作业之后,也同时需要导出证书文件。在恢复时,服务器上的证书设置必须与到处文件中的证书设置相符合。否则的话,会导致某些服务(如防火墙)无法正常启动。这一点非常重要,切记切记!
121
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
