按需备份

您可以对 CDO 中的多台 Cisco Secure Firewall Threat Defense 设备执行按需备份。

注	威胁防御 高可用性对不支持按需备份。

有关详细信息，请参阅备份托管设备。

存储备份文件

您只能在本地存储备份。不支持将 威胁防御 设备备份到安全的远程位置。

有关详细信息，请参阅备份托管设备。

恢复托管设备

您必须使用 威胁防御 CLI 来恢复 威胁防御 设备。

有关详细信息，请参阅恢复 CDO 托管设备。

备份的内容是什么？

设备备份始终仅用于配置。

恢复的内容是什么？

恢复配置会覆盖所有备份配置，只有少数例外。在 CDO 上，恢复事件和威胁智能导向器 (TID) 数据会覆盖所有现有事件和 TID 数据，但入侵事件除外。

确保您了解并计划以下事项：

• 您无法恢复未备份的内容。

• 威胁防御 恢复过程会从 威胁防御 设备中删除 VPN 证书和所有 VPN 配置，包括在执行备份后添加的证书。恢复 威胁防御 设备后，必须重新添加/重新注册所有 VPN 证书，并重新部署设备。

型号要求：备份

您可以备份：

• 威胁防御 独立设备，本地实例，容器实例和 HA 对

• Threat Defense Virtual 适用于 VMware 设备，无论是独立或 HA 对

不 支持备份：

• 威胁防御 集群

• Threat Defense Virtual 除 VMware 的实施

如果需要更换不支持备份和恢复的设备，则必须手动重新创建设备特定的配置。

型号要求：恢复

版本要求

作为任何备份的第一步，请注意补丁级别。要恢复备份，旧设备和新设备必须运行相同的防火墙版本，包括补丁。

许可证要求

解决最佳实践和程序中所述的许可或孤立权利问题 。如果您发现许可冲突，请联系思科 TAC。

域要求

到：

• 恢复设备：无。在本地恢复设备。

在多域部署中，不能仅备份事件/ TID 数据。您还必须备份配置。

备份和恢复适用于灾难恢复//退货许可

备份和恢复主要用于退货许可 (RMA) 场景。在开始故障或发生故障的物理设备的恢复过程之前，请联系更换硬件。

你也可以使用Backup and Restore来在管理中心之间迁移配置和事件。这使得更换管理中心（由于不断增长的组织、从物理实施迁移到虚拟实施、硬件更新等技术或业务等方面的原因）变得更容易。

Backup and Restore 不是配置导入/导出

备份文件包含唯一识别设备的信息，并且不能共享。不要使用备份和恢复过程在设备或装置之间复制配置，或作为测试新配置时保存配置的一种方式。相反，请使用导入/导出功能。

例如， 威胁防御 设备备份包括设备的管理 IP 地址以及设备连接到其管理 CDO 所需的所有信息。请勿将 FTD 备份恢复到由其他 管理器管理的设备；恢复的设备将尝试连接到备份中指定的管理器。

恢复为单个和本地恢复

您可以单独和本地恢复 威胁防御设备。这意味着：

• 您无法批量恢复到高可用性（HA）设备。本指南中的还原程序介绍如何在高可用性环境中还原。

• 您无法使用 CDO 恢复设备。 对于 威胁防御 设备，必须使用 威胁防御 CLI，但 ISA 3000 零接触恢复除外，该恢复使用 SD 卡和重置按钮。

• 您不能使用 管理中心 用户账号登录并从其受管设备之一恢复。管理中心 和 威胁防御 设备维护自己的用户账号。

何时备份

我们建议在维护时段或其他使用率较低的时间进行备份。

当系统收集备份数据时，数据的关联性可能会暂时停顿（仅限FMC ），而且你可能无法改变与备份有关的配置。如果包含事件数据，则 eStreamer 等事件相关功能不可用。

您应在以下情况下进行备份：

• 常规计划的备份

  作为灾难恢复计划的一部分，我们建议您定期执行备份。

• 在升级或重新映像之前。

  如果升级失败是灾难性的，您可能必须重新映像并恢复。重新映像会将大多数设置恢复为出厂默认设置，包括系统密码。如果您有最近的备份，可以更快地恢复正常操作。

• 升级后。

  在升级后进行备份，以便获得新升级的部署的快照。我们建议您在升级其托管设备后 备份 FMC ，以便新的 FMC 备份文件“知道”其设备已升级。

维护备份文件安全

备份存储为未加密的存档（.tar）文件。

PKI 对象中的私钥--代表支持你的部署所需的公钥证书和成对的私钥--在被备份之前被解密在恢复备份时，将使用随机生成的密钥重新加密密钥。

威胁防御 高可用性部署中的Backup and Restore

在 威胁防御 HA 部署中，您必须：

• 从 FMC备份设备对，但从 威胁防御 CLI 单独和本地恢复。

  备份过程会为 威胁防御 HA 设备生成唯一的备份文件。请勿使用来自另一个 HA 的备份文件恢复一个 HA 对等体。备份文件包含唯一识别设备的信息，并且不能共享。

  威胁防御 HA 设备的角色记录在其备份文件名中。还原时，请确保选择适当的备份文件：主要与辅助。

• 在恢复之前， 请勿 暂停或中断 HA。

  保持 HA 配置可确保替换设备在恢复后可以轻松重新连接。请注意，您必须恢复 HA 同步才能执行此操作。

• 请勿 同时在两个对等体上运行 restore CLI 命令。

  假设您已成功备份，您可以替换高可用性对中的一个或两个对等体。您可以同时执行的任何物理更换任务：取消安装，重新安装等。但是，请勿在第二台设备上运行 restore 命令，直到第一台设备的恢复过程完成，包括重新启动。

备份前

在备份之前，您必须：

• 检查磁盘空间。

  在开始备份之前，请确保设备上有足够的磁盘空间。可用空间显示在“备份管理”页面上。

  如果没有足够的空间，备份可能会失败。尤其是在安排备份时，请确保定期删除备份文件或为远程存储位置分配更多磁盘空间。

还原前

在恢复之前，您必须：

• 恢复许可更改。

  请恢复自备份以来所做的任何许可更改。

  否则，恢复后您可能会遇到许可证冲突 或孤立的权利问题 。 但是， 请勿 从 Cisco 智能软件管理器（CSSM）注销。如果从 CSSM 注销，则必须在恢复后再次注销，然后重新注册。

  恢复完成后，重新配置许可。如果您发现许可冲突 或孤立的权利，请联系思科 TAC 。

• 断开故障设备。

  断开管理接口，对于设备，断开数据接口。

  恢复 威胁防御 设备会将替换设备的管理 IP 地址设置为旧设备的管理 IP 地址。为避免 IP 地址冲突，请先断开旧设备与管理网络的连接，然后再更换备份。

• 请勿 取消注册受管设备。

  无论您是恢复托管设备，都不要从 CDO 注销设备，即使您从网络上物理断开设备。

  如果取消注册，则必须重做一些设备配置，例如安全区域到接口的映射。恢复后，CDO 和设备应开始正常通信。

• 重新映像。

  在 RMA 场景中，替换设备将配置为出厂默认设置。但是，如果已配置替换设备，我们建议您重新映像。重新映像会将大多数设置恢复为出厂默认设置，包括系统密码。您只能重新映像到主要版本，因此您可能必须在重新映像后进行修补。

  如果不重新映像，请记住，CDO 入侵事件和文件列表会合并而不是覆盖。

还原后

在恢复之后，您必须：

• 重新配置未恢复的任何内容。

  这可能包括重新配置许可，远程存储和审核日志服务器证书设置。 您还必须重新添加/重新注册失败的 威胁防御 VPN 证书。

• 部署。

  恢复设备后，部署到该设备。您 必须 部署。如果设备未标记为过期，请从"设备管理"页面强制部署。