导出和导入 Web App Firewall 配置文件
您可以在多个设备上复制 Web App Firewall 配置文件的整个配置(包括所有绑定对象,如 HTML 错误对象、XML 错误对象、WSDL 或 XML 架构、签名等)。您可以选择目标配置文件并导出配置以将其保存在计算机的本地文件系统中,也可以传输存档配置以将其存储在服务器上。同样,您可以浏览计算机的本地文件系统或从服务器导入存档,以选择之前导出的配置文件并将其导入 NetScaler 设备。
导出整个配置文件配置然后将其导入到另一个设备的选项在各种使用情况下非常有用。例如,您可能希望在测试台设置中配置 Web App Firewall 配置文件,以测试和验证它是否按预期工作。满意后,您可以将配置文件导出并将配置文件配置导入到您的生产 NetScaler 设备中。此功能对于备份您的配置也很有用。您可以在进行更改之前导出配置文件,以便在必要时可以轻松地将配置回滚到已知状态。
注意
从一个版本导出和存档的 Web App Firewall 配置文件无法还原到运行其他版本的系统,因为在较新版本中引入的更改可能会导致兼容性问题。如果您尝试将存档的配置文件还原到不同于导出该配置文件的版本,则 ns.log 中会记录错误消息。
导出和导入配置文件功能在 GUI (GUI) 和命令行界面 (CLI) 中都可用。 建议使用 GUI,因为它提供了易于使用的 操 作选项。点击一个按钮,您可以导 出 或 导入 配置文件的整个配置。
使用 CLI 导出 Web App Firewall 配置文件
如果您使用 CLI 导 出配置文件,则必须 存档 配置,然后将其 导出 。要 导 入配置文件,必须将归档文件 导 入 NetScaler 设备,然后运行 还原 命令以提取配置。以下 CLI 命令集可用于导出、导入和管理配置文件配置。
CLI 命令用于导出档案:
archive appfw profile <name> <archivename> [-comment <string>]export appfw archive <name> <target>
用于导入档案的 CLI 命令:
import appfw archive <src> <name> [-comment <string>]restore appfw profile <archivename>
CLI 命令来管理档案:
show appfw archiverm appfw archive <name>
从一个设备导出配置文件并将其导入到另一个设备需要 CLI 中的五个步骤。在最初创建配置文件配置的源设备上执行前 3 个步骤,接下来的 2 个步骤将在要复制配置文件配置的目标设备上执行。
从源 NetScaler 设备导出配置文件:
步骤 1: 创建配置文件的存档。
步骤 2: 将存档导出到 NetScaler 文件系统。
步骤 3: 使用文件传输实用程序(如 scp)将导出的存档文件从 NetScaler 设备 A 传输到目标 NetScaler 设备。
将配置文件导入目标 NetScaler 设备:
步骤 4: 运行 import 命令以导入存档的文件。您可以从 NetScaler 的本地文件系统导入档案,也可以使用 HTTP 或 HTTPS 协议使用 URL 从服务器导入档案。
步骤 5: 运行还原命令以从导入的归档文件中恢复配置文件配置
使用命令行界面导出 Web App Firewall 配置文件:
首先, 存档 配置文件的配置,然后将档案 导出 到目标位置。在命令提示符下,键入以下命令:
archive appfw profile <profileName> <archiveName>
其中:
-
<profileName>是要存档的配置文件的名称。 -
<archiveName>是要创建的存档文件的名称。
执行上述命令会创建存档文件的 2 个实例。一个在 /var/tmp 文件夹中,另一个在 /var/archive/appfw 文件夹中。
export appfw archive <archiveName> <target>
其中:
-
<archiveName>是要导出的档案的名称。(与上一个命令中的名称相同。 -
<target>是一个以本地开头的文件路径:作为前缀,后跟<archiveName>。
执行导出命令将导出的存档文件保存在 NetScaler 设备的文件系统中的 /var/tmp 文件夹中。
示例:
> archive appfw profile test_pr archived_test_pr
> export appfw archive archived_test_pr local:dutA_test_pr
运行上述两个命令后,/var/tmp 文件夹包含 archived_test_pr 文件和导出的副本 duta_test_PR,它们的大小相同。从 CLI,您可以放入命令行管理程序以导航到文件夹以验证这些文件是否存在。
导出存档文件后,可以使用 scp 或其他一些此类文件传输实用程序将存档文件的副本从创建存档文件的 NetScaler 设备传输到目标 NetScaler 设备。
使用 CLI 导入 Web App Firewall 配置文件
成功将归档文件从源设备 Scp 发送到目标设备后,您就可以 导入 配置文件的存档,然后运行 还原 命令以在目标设备上复制配置文件的配置。
登录到目标设备。放入 shell 并放入 /var/tmp 文件夹中,以验证此设备上 scp 文件的大小是否与源设备上原始存档文件的大小相匹配。退出 shell 以返回到命令行。
要使用 CLI 导入配置文件,请执行以下操作:
在命令提示符下,键入以下命令:
import appfw archive <src> <name> [-comment <string>]
其中
-
<src>是存档文件从创建存档文件的源设备传输后的位置。您可以使用本地文件系统和文件名。如果已将存档放置在服务器上,则可以使用 URL 导入存档文件。如果路径或文件名包含空格,请将 URL 用直双引号括起来。 -
<name>是要导入的存档文件的名称。 -
<string>是存档用途的可选描述。
restore appfw profile <archiveName>
示例:
答:从本地文件导入,然后进行还原:
> import appfw archive local:dutA_test_pr dut2_test_pr
> restore appfw profile dut2_test_pr
B. 从 URL 导入,然后恢复:
import appfw archive http://10.217.30.16/FFC/Profile_ImportExport/dutA_test_pr.tgz my_archiverestore appfw profile my_archive
此示例将恢复 test_pr 配置文件以及目标 NetScaler 设备上的所有绑定对象(例如签名、html 错误页面、放宽规则等)。
您可以使用以下 CLI 命令访问手册页以了解更多详细信息。
- man archive appfw profile
- man export appfw archive
- man import appfw archive
- man restore appfw profile
- man show appfw archive
- man rm appfw archive
使用 GUI 导出和导入 Web App Firewall 配置文件
GUI 比 CLI 更容易使用。当您单击“导出”时,该实用程序执行存档和 导出操作。同样,当您单击导入时,它会同时运行 导入和还原。GUI 可以访问您访问该实用程序的计算机的本地文件系统。您可以导出存档的副本并将其保存在本地计算机上。然后,您可以直接在目标设备中导入此副本,而无需手动将存档文件从一个设备传输到另一个设备。
使用 GUI 导出 Web App Firewall 配置文件:
- 导航到 配置 > 安全 > Web App Firewall > 配 置文件 。
- 在详细信息窗格中,选择要导出的配置文件。单击“操作”,然后选择“导出”以下载并将副本保存到计算机的本地文件系统中。
要使用 GUI 导入 Web App Firewall 配置文件,请执行以下操作:
- 导航到 配置 > 安全 > Web App Firewall > 配 置文件 。
- 在详细信息窗格中,单击 操作 并选择 导入 。在“导入 Web App Firewall 配置文件”窗格中,从 * 导入选择框为您提供了两个选项:
URL: 您可以通过指定 URL 来选择导入档案。选择此选项后,必须在 URL 输入框中为存档文件提供绝对路径。
文件: 您可以选择从本地 文件 导入档案。选择此选项后,将显示“本地文件”选择字段。您可以浏览计算机的本地文件以选择目标存档文件。
单击 创建 以导入指定的档案。成功完成导入操作将在目标设备上创建配置文件配置。
重要内容
- 您可以使用导出和导入配置文件功能在多个设备上复制整个配置(包括所有导入对象以及配置文件的配置放宽规则),而无需重复配置步骤。
- 导入的对象(如特征、WSDL、架构、错误页等)包含在存档 tar 文件中,并在目标设备上复制。
- 自定义字段类型包括在存档 tar 文件中,并在目标设备上复制。
- 还原配置时,不会复制存档配置文件的策略绑定。在将配置文件导入设备后,必须配置策略并将其绑定到配置文件。
- 存档文件的名称最多可以是 31 个字符。与配置文件名一样,档案名称必须以字母数字字符或下划线开头,并且只包含字母数字和下划线 (_)、数字 (#)、句点 (.)、空格 ()、 冒号 (:)、在 (@)、等于 (=) 或连字符 (-)。
- 与存档关联的注释必须具有足够的描述性,以表达存档配置的目的。注释允许的最大长度为 255 个字符。
- 该
clear config –force basic命令不会删除存档的配置文件。 - 高可用性 (HA) 部署支持导入和导出配置文件功能。
调试过程提示
- 在命令执行期间监视 /var/log/ns.log 以查看是否有任何错误消息。
- 在 /var/tmp/ 文件夹中生成其他日志(_restore.log、删除 .log、导入 .log)。它们可以帮助在相应操作期间调试问题。当这些日志大小达到 1 MB 时,会清除日志消息以将日志文件缩小到原始大小的四分之一。
- 如果在使用 URL 选项而不是本地文件系统时导入命令失败,请验证 DNS 名称服务器和路由设置是否已准确配置。
- 如果使用 HTTPS 协议导入存档,则如果 HTTPS 服务器需要客户端证书身份验证,命令可能会失败。