pfSense使用自动配置备份服务

多年来,自动配置备份(ACB)作为pfSense®软件包提供,需要付费使用,但从pfSense2.4.4开始,它已经作为pfSense软件的核心组件使用,不再需要额外安装任何软件包。

更改防火墙上的配置后,AutoConfigBackup会使用在AutoConfigBackup设置中输入的密码自动对内容进行加密,然后将备份通过HTTPS上传到Netgate服务器。这样就可以在没有用户干预的情况下对防火墙进行即时、安全的异地备份。

Netgate服务器给每个设备保留100个加密配置。以下的说明都是在pfSense2.44p3中文版下进行。

一、配置

导航到“ 系统服务”>“系统备份”菜单项,然后选择 “设置”选项卡。

  • 选中启用自动配置备份
  • 指定加密密码,然后在“确认”框中重复输入密码
  • 输入提示,该提示将以纯文本格式存储在加密的备份文件旁边。要注意避免在此字段中使用敏感信息。
  • 点击保存

现在,只要对防火墙进行了任何的修改或从“ 现在备份”选项卡触发时,防火墙都会自动创建现有配置的备份。

二、加密密码

在将配置文件传输到Netgate服务器之前,防火墙使用AES-256-CBC算法和防火墙管理员创建的密码对备份进行加密。此密码永远不会离开防火墙,也永远不会共享。

从可用远程备份列表还原备份时,将下载配置文件内容,然后使用配置的加密密码解密。

注意:一定要手动记录下加密密码!如果密码丢失,则无法恢复备份内容。密码是私有的,只在本地防火墙存储。如果没有密码,Netgate和其他任何人都将无法协助读取加密的备份。

三、设备密钥

要标识特定的防火墙,需要唯一标识符来保存或恢复备份配置。所以,ACB在防火墙上使用SSH公钥的SHA256哈希来标识。

设备密钥位于“ 系统服务”>“系统备份”菜单项上的“ 恢复和现在备份”选项卡下。

注意:一定要手动记录下设备密钥!如果防火墙的设备密钥丢失,则很有可能可以将其恢复。设置页面允许输入提示,提示与加密的备份条目一起存储在数据存储中。如果提示不同,则Netgate支持团队可以使用它来恢复设备密钥,不过不要期望太大!

四、恢复配置

要还原配置,请在“系统服务”>“系统备份”>“恢复”选项卡上列表的配置文件上,单击右侧的”恢复此备份”按钮 。它将从服务器下载指定的配置,使用配置的加密密码解密并恢复。

默认情况下,防火墙不会重新启动。根据还原的配置项目,可能不需要重新启动。例如,还原配置后,防火墙和NAT规则会自动重新加载。如果还原的配置更改了NAT和防火墙规则以外的其他内容,会出现提示,提示你重新启动。

五、从另一个防火墙或以前的安装还原备份

如果SSH密钥由于重新安装pfSense软件而发生更改,则只要知道先前安装的设备密钥加密密码,ACB就可以从先前安装的备份来还原 。

  • 导航到“设置”标签
  • 设置加密密码来匹配以前的安装
  • 导航到“恢复”选项卡
  • 将旧设备密钥粘贴到“设备密钥”字段中
  • 点击提交按钮

这会允许ACB显示备用设备密钥的备份列表 。单击“重置” 按钮恢复该防火墙的本机ID。

六、手动备份

如果希望强制备份防火墙配置,可以在系统备份页面的“现在备份”选项卡,单击底部的备份按钮,完成备份操作。

建议你在进行一系列重大更改之前先执行此操作,因为它将提供具体说明原因的备份,这样可以轻松地在需要进行更改之前还原到该配置。由于每个配置更改都会触发备份,因此在进行一系列更改时,如果需要还原,可能很难知道从哪里开始。

在升级到新的pfSense版本之前,手动备份也是不错的选择,并为备份命名,这样就很容易找到你需要恢复的备份。

七、测试备份功能

进行更改来强制进行配置备份,例如编辑和保存防火墙或NAT规则,然后单击应用更改。然后访问“系统服务>系统备份>恢复”标签。该选项卡就会列出了可用的备份以及进行更改的页面说明。

八、旧版AutoConfigBackup软件包

旧版的软件包仅与2.4.4之前发行的pfSense版本兼容。

注意:现在所有pfSense金牌订阅都已过期,对旧的备份服务器的访问已被删除,必须升级来使用新的ACB服务器。

升级到2.4.4或更高版本时,如果检测到旧版AutoConfigBackup软件包,则会将软件的设置迁移到新的集成服务中,同时旧的软件包及设置会被删除。

九、常见问题解答

我怎么知道我的备份成功了?

“恢复”选项卡上显示的备份列表是从我们的服务器中列出的,如果此处列出了备份,则表示已成功创建了该备份。

我怎么知道备份是否失败?

如果备份失败,则会记录一条报警提示,并且该提示会在Web界面的顶部滚动。如果启用了电子邮件警报,还会发送一条消息给指定的Email地址。