关于配置导入/导出
可以使用导入/导出功能在设备之间复制配置。导入/导出不是备份工具,但可简化将新设备添加到部署的过程。
既可导出单项配置,也可通过单次操作导出一组(相同类型或不同类型的)配置。当您稍后将软件包导入另一台设备时,您可选择要导入软件包中的哪些配置。
导出的数据包包含该配置的版本信息,从而确定是否可以将该配置导入到另一设备上。当设备兼容但数据包包含重复配置时,系统会提供解决方法选项。
注 |
导入和导出设备必须运行相同版本的 Firepower 系统。对于访问控制及其子策略(包括入侵策略),入侵规则更新版本也必须匹配。如果版本不匹配,导入将失败。您可以使用导入/导出功能更新入侵规则。相反,请下载并应用最新的规则更新版本。 |
支持导入/导出的配置
以下配置支持导入/导出:
-
访问控制策略及其调用的策略:预过滤器、网络分析、入侵、SSL、文件、威胁防御服务策略
-
入侵策略,与访问控制无关
-
NAT 策略(仅限 Cisco Secure Firewall Threat Defense)
-
FlexConfig 策略。但在导出该策略时,将会清除任何密钥变量的内容。在导入使用密钥的 FlexConfig 策略后,必须手动编辑所有密钥的值。
-
平台设置
-
运行状况策略
-
警报响应
-
应用检测器(用户定义的检测器以及那些由思科专业服务提供的检测器)
-
控制面板
-
自定义表
-
自定义工作流程
-
保存的搜索
-
自定义用户角色
-
报告模板
-
第三方产品和漏洞映射
-
用于用户控制的用户和组
配置导入/导出的特殊注意事项
当导出配置时,系统也会导出其他所需的配置。例如,导出访问控制策略也会导出该策略调用的任何子策略、该策略使用的对象和对象组、祖先策略等等。又例如,如果导出启用了外部身份验证的平台设置策略,则也会导出身份验证对象。但是,也有一些例外:
-
系统提供的数据库和源 - 系统不会导出 URL 过滤类别和信誉数据、思科情报源数据或地理位置数据库 (GeoDB)。确保部署中的所有设备可从思科获取最新信息。
-
全局安全情报列表 - 系统会导出与导出的配置关联的全局安全情报阻止和 不阻止 名单。导入过程将这些名单转换为用户创建的列表,然后将这些新列表用于导入的配置中。这可确保导入的列表不会与现有全局阻止和 不阻止 名单发生冲突。要在导入 管理中心 时使用全局列表,请将这些列表手动添加到导入的配置中。
-
入侵策略共享层 - 导出过程会中断入侵策略共享层。以前共享的层包含在数据包中,而导入的入侵策略不包含共享层。
-
入侵策略默认变量集 - 导出数据包包含一个默认变量集,此变量集包含自定义变量及带用户定义值的系统提供的变量。导入过程会使用导入的值更新导入 管理中心上的默认变量集。但是,导入过程不会删除不存在于导出数据包中的自定义变量。对于在导出数据包中未设置的值,导入过程也不会恢复导入 管理中心上的用户定义值。因此,如果导入 管理中心具有配置不同的默认变量,则导入的入侵策略的行为可能会与预期大不相同。
-
自定义用户对象 - 如果您在 管理中心中创建了自定义用户组或对象,并且此类自定义用户对象是访问控制策略中任何规则的一部分,那么请注意,导出文件 (.sfo) 不会包含用户对象信息,因此在导入此类策略时,对此类自定义用户对象的任何引用都将被删除,不会导入到目标 管理中心。为了避免由于缺少用户组而引起的检测问题,请手动将自定义的用户对象添加到新的 管理中心,并在导入后重新配置访问控制策略。
导入对象和对象组时:
-
通常,导入过程将对象和对象组作为新对象和对象组导入,您不能替换现有的对象和对象组。但是,如果采用导入的配置的网络和端口对象或对象组与现有对象或对象组匹配,则导入的配置将重用现有对象/对象组,而不是创建新的对象/对象组。系统通过比较每个网络和端口对象/对象组的名称(不包括任何自动生成的编号)和内容来确定匹配。
-
如果在导入 管理中心时导入对象的名称与现有对象匹配,系统会将自动生成的编号附加到导入的对象和对象组的名称,以使其唯一。
-
您必须将导入的配置中使用的任何安全区域和接口组映射到导入 管理中心管理的匹配类型区域和组。
-
如果导出使用包含私钥的 PKI 对象的配置,系统会在导出之前解密私钥。导入时,系统会使用随机生成的密钥加密密钥。