Exportieren und Importieren eines Web App Firewall Profils
Sie können die gesamte Konfiguration eines Web App Firewall Profils (einschließlich aller gebundenen Objekte, wie HTML-Fehlerobjekt, XML-Fehlerobjekt, WSDL- oder XML-Schema, Signaturen usw.) über mehrere Appliances replizieren. Sie können ein Zielprofil auswählen und die Konfiguration exportieren, um sie im lokalen Dateisystem Ihres Computers zu speichern, oder Sie können die archivierte Konfiguration übertragen, um sie auf einem Server zu speichern. Ebenso können Sie das lokale Dateisystem Ihres Computers durchsuchen oder das Archiv vom Server importieren, um ein zuvor exportiertes Profil auszuwählen und es in Ihre NetScaler Appliance zu importieren.
Die Option, die gesamte Profilkonfiguration zu exportieren und dann in eine andere Appliance zu importieren, kann in verschiedenen Anwendungsfällen nützlich sein. Sie können beispielsweise ein Web App Firewall Profil in einer Testbetteinrichtung konfigurieren, um zu testen und zu überprüfen, ob es wie erwartet funktioniert. Sobald Sie zufrieden sind, können Sie das Profil exportieren und die Profilkonfiguration in Ihre NetScaler-Produktions-Appliances importieren. Diese Funktion ist auch nützlich, um Ihre Konfiguration zu sichern. Sie können das Profil exportieren, bevor Sie Änderungen vornehmen, sodass Sie die Konfiguration bei Bedarf problemlos auf einen bekannten Zustand zurücksetzen können.
Hinweis
Web App Firewall Profile, die aus einem Build exportiert und archiviert werden, können nicht auf einem System wiederhergestellt werden, auf dem ein anderer Build ausgeführt wird, da Änderungen in neueren Versionen zu Kompatibilitätsproblemen führen können. Wenn Sie versuchen, ein archiviertes Profil in einem anderen Build als dem, aus dem es exportiert wurde, wiederherzustellen, wird eine Fehlermeldung in ns.log protokolliert.
Die Export- und Importprofilfunktion ist sowohl in der GUI (GUI) als auch in der Befehlszeilenschnittstelle (CLI) verfügbar. Die GUI wird empfohlen, da sie einfach zu bedienende Aktionsoptionen bietet. Mit einem Klick auf eine Schaltfläche können Sie die gesamte Konfiguration eines Profils exportierenoder importieren .
Exportieren Web App Firewall Profilen mit der CLI
Wenn Sie ein Profil mit CLI exportieren, müssen Sie die Konfiguration archivieren und dann exportieren . Um ein Profil zu importieren, müssen Sie das Archiv in die NetScaler Appliance importieren und dann den Restore-Befehl ausführen, um die Konfiguration zu extrahieren. Der folgende Satz von CLI-Befehlen kann zum Exportieren, Importieren und Verwalten der Profilkonfigurationen verwendet werden.
CLI-Befehle zum Exportieren von Archiven:
archive appfw profile <name> <archivename> [-comment <string>]
export appfw archive <name> <target>
CLI-Befehle zum Importieren von Archiven:
import appfw archive <src> <name> [-comment <string>]
restore appfw profile <archivename>
CLI-Befehle zur Verwaltung von Archiven:
show appfw archive
rm appfw archive <name>
Das Exportieren eines Profils von einer Appliance und das Importieren in eine andere Appliance erfordert fünf Schritte in CLI. Die ersten drei Schritte werden auf der Quell-Appliance ausgeführt, auf der die Profilkonfiguration ursprünglich erstellt wurde, und die nächsten 2 Schritte werden auf der Ziel-Appliance ausgeführt, auf der die Profilkonfiguration repliziert werden soll.
Profil aus der NetScaler-Quell-Appliance exportieren:
Schritt 1: Erstellen Sie ein Archiv des konfigurierten Profils.
Schritt 2: Exportieren Sie das Archiv in das NetScaler-Dateisystem.
Schritt 3: Verwenden Sie ein Dateiübertragungsprogramm wie scp, um die exportierte Archivdatei von NetScaler Appliance A auf die NetScaler-Ziel-Appliance zu übertragen.
Profil in die NetScaler-Ziel-Appliance importieren:
Schritt 4: Führen Sie den Importbefehl aus, um die archivierte Datei zu importieren. Sie können das Archiv aus dem lokalen Dateisystem Ihres NetScalers importieren, oder Sie können das HTTP- oder HTTPS-Protokoll verwenden, um das Archiv mithilfe der URL von einem Server zu importieren.
Schritt 5: Führen Sie den Befehl restore aus, um die Profilkonfiguration aus dem importierten Archiv wiederherzustellen
So exportieren Sie ein Web App Firewall Profil mit der Befehlszeilenschnittstelle:
Archivieren Sie zunächst die Konfiguration des Profils und exportieren Sie das Archiv dann an einen Zielort. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
archive appfw profile <profileName> <archiveName>
Wobei:
-
<profileName>
ist der Name des zu archivierenden Profils. -
<archiveName>
ist der Name der zu erstellenden Archivdatei.
Die Ausführung des obigen Befehls erstellt 2 Instanzen der Archivdatei. Eine im Ordner /var/tmp und eine weitere im Ordner /var/archive/appfw.
export appfw archive <archiveName> <target>
Wobei:
-
<archiveName>
ist der Name des zu exportierenden Archivs. (Derselbe Name wie im vorherigen Befehl. -
<target>
ist ein Dateipfad, der mit local: als Präfix beginnt, gefolgt von<archiveName>
.
Durch die Ausführung des Exportbefehls wird die exportierte Archivdatei im Dateisystem Ihrer NetScaler Appliance im Ordner /var/tmp gespeichert.
Beispiele:
> archive appfw profile test_pr archived_test_pr
> export appfw archive archived_test_pr local:dutA_test_pr
Nachdem die beiden obigen Befehle ausgeführt wurden, enthält der Ordner /var/tmp die archived_test_pr-Datei und die exportierte Kopie, Duta_Test_PR, die identisch groß sind. Von der CLI aus können Sie in die Shell wechseln, um zu dem Ordner zu navigieren und zu überprüfen, ob diese Dateien vorhanden sind.
Nach dem Exportieren der Archivdatei können Sie scp oder ein anderes solches Dateiübertragungsprogramm verwenden, um eine Kopie der Archivdatei von der NetScaler-Appliance, auf der sie erstellt wurden, auf Ihre NetScaler-Ziel-Appliance zu übertragen.
Importieren von Web App Firewall Profilen mit der CLI
Nachdem Sie die archivierte Datei erfolgreich von der Quell-Appliance auf die Ziel-Appliance übertragen haben, können Sie das Archiv des Profils importieren und dann den Wiederherstellungsbefehl ausführen, um die Konfiguration des Profils auf der Ziel-Appliance zu replizieren.
Melden Sie sich bei der Ziel-Appliance an. Gehen Sie in die Shell und fügen Sie die CD in den Ordner /var/tmp ein, um zu überprüfen, ob die Größe der SCP-Datei auf dieser Appliance der Größe der ursprünglichen archivierten Datei auf der Quell-Appliance entspricht. Beenden Sie die Shell, um zur Befehlszeile zurückzukehren.
So importieren Sie ein Profil mit der CLI:
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
import appfw archive <src> <name> [-comment <string>]
wobei
-
<src>
ist der Speicherort der Archivdatei, nachdem sie von der Quell-Appliance übertragen wurde, auf der sie erstellt wurde. Sie können ein lokales Dateisystem und einen Dateinamen verwenden. Wenn Sie das Archiv auf einem Server abgelegt haben, können Sie eine URL verwenden, um die archivierte Datei zu importieren. Wenn der Pfad oder Dateiname Leerzeichen enthält, schließen Sie die URL in gerade doppelte Anführungszeichen ein. -
<name>
ist der Name der zu importierenden Archivdatei. -
<string>
ist eine optionale Beschreibung des Zwecks des Archivs.
restore appfw profile <archiveName>
Beispiele:
A. Import aus lokaler Datei gefolgt von Wiederherstellung:
> import appfw archive local:dutA_test_pr dut2_test_pr
> restore appfw profile dut2_test_pr
B. Import von URL gefolgt von Wiederherstellung:
import appfw archive http://10.217.30.16/FFC/Profile_ImportExport/dutA_test_pr.tgz my_archive
restore appfw profile my_archive
In diesem Beispiel wird das test_pr-Profil zusammen mit allen gebundenen Objekten (wie Signaturen, HTML-Fehlerseite, Relaxationsregeln usw.) auf der NetScaler-Ziel-Appliance wiederhergestellt.
Sie können die folgenden CLI-Befehle verwenden, um auf Handbuchseiten für weitere Informationen zuzugreifen.
- Hauptarchiv Appfw-Profil
- man exportiert das AppFW-Archiv
- man importiert das AppFW-Archiv
- man stellt das Appfw-Profil wieder her
- man zeige das AppFW-Archiv
- man rm appfw Archiv
Exportieren und Importieren von Web App Firewall Profilen mit der GUI
Die GUI ist einfacher zu bedienen als die CLI. Das Tool führt sowohl Archivierungs- als auch Exportvorgänge aus, wenn Sie auf Exportierenklicken. Ebenso werden sowohl Import als auch Wiederherstellung ausgeführt, wenn Sie auf Importierenklicken. Die GUI kann auf das lokale Dateisystem des Computers zugreifen, von dem aus Sie auf das Tool zugreifen. Sie können eine Kopie des Archivs exportieren und auf Ihrem lokalen Computer speichern. Sie können diese Kopie dann direkt in die Ziel-Appliance importieren, ohne die Archivdatei manuell von einer Appliance auf die andere (n) übertragen zu müssen.
So exportieren Sie ein Web App Firewall Profil mit der GUI:
- Navigieren Sie zu Konfiguration > Sicherheit > Web App Firewall > Profile.
- Wählen Sie im Detailbereich ein zu exportierendes Profil aus. Klicken Sie auf Aktionen und wählen Sie Exportieren aus, um eine Kopie im lokalen Dateisystem Ihres Computers herunterzuladen und zu speichern.
So importieren Sie ein Web App Firewall Profil mit der GUI:
- Navigieren Sie zu Konfiguration > Sicherheit > Web App Firewall > Profile.
- Klicken Sie im Detailbereich auf Aktionen und wählen Sie Importierenaus. Im Bereich Web App Firewall Profil importieren stehen Ihnen das Auswahlfeld Aus importieren 2 Optionen zur Verfügung:
URL: Sie können ein Archiv importieren, indem Sie eine URLangeben. Wenn diese Option ausgewählt ist, müssen Sie im URL-Eingabefeld einen absoluten Pfad für die archivierte Datei angeben.
Datei: Sie können wählen, ob Sie ein Archiv aus der lokalen Dateiimportieren möchten. Wenn diese Option ausgewählt ist, wird ein Auswahlfeld für lokale Dateien angezeigt. Sie können die lokalen Dateien Ihres Computers durchsuchen, um die Zielarchivdatei auszuwählen.
Klicken Sie auf Erstellen, um das angegebene Archiv zu importieren. Bei erfolgreichem Abschluss des Importvorgangs wird die Profilkonfiguration auf der Ziel-Appliance erstellt.
Highlights
- Sie können die gesamte Konfiguration (einschließlich aller Importobjekte sowie der konfigurierten Relaxationsregeln für das Profil) auf mehreren Appliances replizieren, ohne die Konfigurationsschritte wiederholen zu müssen, indem Sie die Funktion zum Exportieren und Importieren von Profilen verwenden.
- Die importierten Objekte wie Signaturen, WSDL, Schema, Fehlerseite usw. sind in der archivierten TAR-Datei enthalten und auf der Ziel-Appliance repliziert.
- Benutzerdefinierte Feldtypen sind in der archivierten TAR-Datei enthalten und werden auf der Ziel-Appliance repliziert.
- Die Richtlinienbindungen des archivierten Profils werden bei der Wiederherstellung der Konfiguration nicht repliziert. Sie müssen die Richtlinie konfigurieren und an das Profil binden, nachdem Sie das Profil in die Appliance importiert haben.
- Der Name der Archivdatei kann bis zu 31 Zeichen lang sein. Wie bei Profilnamen muss ein Archivname mit einem alphanumerischen Zeichen oder Unterstrich beginnen und nur alphanumerische Zeichen und Unterstrich (_), Zahl (#), Punkt (.), Leerzeichen (), Doppelpunkt (:), At (@), Gleichheit (=) oder Bindestrich (-) enthalten.
- Kommentare, die dem Archiv zugeordnet sind, müssen aussagekräftig genug sein, um den Zweck der archivierten Konfiguration zu vermitteln. Die maximal zulässige Länge für einen Kommentar beträgt 255 Zeichen.
- Der
clear config –force basic
Befehl entfernt die archivierten Profile nicht. - Die Import- und Exportprofilfunktion wird in Hochverfügbarkeitsbereitstellungen (HA) unterstützt.
Tipps zum Debuggen
- Überwachen Sie die Datei /var/log/ns.log während der Befehlsausführung, um festzustellen, ob FEHLERMELDUNGEN vorliegen.
- Zusätzliche Protokolle (_restore.log, remove.log, import.log) werden im Ordner /var/tmp/generiert. Sie können helfen, Probleme während der entsprechenden Operationen zu debuggen. Wenn diese Protokolle eine Größe von 1 MB erreichen, werden die Protokollnachrichten gelöscht, um die Protokolldatei auf ein Viertel der ursprünglichen Größe zu verkleinern.
- Wenn der Importbefehl fehlschlägt, wenn Sie die URL-Option anstelle des lokalen Dateisystems verwenden, überprüfen Sie, ob die DNS-Nameserver- und Routeneinstellungen korrekt konfiguriert sind.
- Wenn Sie das HTTPS-Protokoll zum Importieren des Archivs verwenden, schlägt der Befehl möglicherweise fehl, wenn der HTTPS-Server Clientzertifikatauthentifizierung erfordert.