컨피그레이션 가져오기/내보내기 정보
device manager을 사용하거나 CDO를 통해 위협 방어 디바이스를 로컬로 관리하는 경우, 위협 방어 API를 사용하여 디바이스의 구성을 내보낼 수 있습니다. 이 메서드는 Secure Firewall Management Center에서 관리하는 디바이스에서 효과가 없습니다.
구성을 내보내면 zip 파일이 생성됩니다. 그러면 zip 파일을 워크스테이션에 다운로드할 수 있습니다. 이 구성 자체는 JSON 형식 텍스트 파일에서 특성-값 쌍을 사용하여 정의된 개체로 표시됩니다. 동일한 디바이스 또는 다른 디바이스로 파일을 다시 가져오기 전에 파일을 수정할 수 있습니다.
따라서 내보내기 파일을 사용하여 네트워크의 다른 디바이스에 구축 가능한 템플릿을 생성할 수 있습니다.
개체를 가져올 때, 구성 파일이 아닌 import 명령으로 개체를 직접 정의하는 옵션을 사용할 수도 있습니다. 그러나 적은 수의 변경 사항을 가져오는 경우에만 개체를 직접 정의해야 합니다.
다음 주제에서는 구성 가져오기/내보내기에 대해 자세히 설명합니다.
내보내기 파일에 포함된 내용
내보내기를 수행할 때 내보내기 파일에 포함할 구성을 지정합니다. 전체 내보내기의 경우, 내보내기 zip 파일에 모든 항목이 포함됩니다. 내보내기 위해 선택한 항목에 따라 내보내기 zip 파일에는 다음 항목이 포함될 수 있습니다.
-
구성된 각 개체를 정의하는 특성-값 쌍. 구성 가능한 모든 항목은 device manager에서 "개체"라고 부르는 항목이 아니라 개체로서 모델링됩니다.
-
원격 액세스 VPN을 구성한 경우, AnyConnect 패키지 및 기타 참조된 모든 파일(예: 클라이언트 프로필 XML 파일, DAP XML 파일, Hostscan 패키지)
-
맞춤형 파일 정책을 구성한 경우, 모든 참조된 정리 목록 또는 맞춤형 탐지 목록
가져오기/내보내기 및 백업/복원 비교
구성 가져오기/내보내기는 백업/복원과 동일하지 않습니다.
-
백업/복원은 재해 복구를 위한 작업입니다. 디바이스가 동일한 모델이며 백업이 수행된 디바이스와 동일한 소프트웨어 버전을 실행 중인 경우에만 디바이스에 백업을 복원할 수 있습니다. 이는 주로 동일한 디바이스에 대해 "마지막으로 양호했던" 구성을 복구하거나, 구성을 대체 디바이스에 복원하기 위한 것입니다.
-
가져오기/내보내기는 구성의 전체 또는 일부를 유지하기 위한 것입니다. 디바이스를 이미지로 다시 설치한 후에 내보내기 파일을 사용하여 구성을 디바이스에 복원할 수 있습니다. 또는 내보내기 파일을 템플릿으로 사용하여 다른 디바이스로 가져오기 전에 콘텐츠를 수정할 수 있습니다. 가져오기/내보내기를 사용하면 새 디바이스를 특정 베이스라인 구성으로 빠르게 가져올 수 있으므로 이를 네트워크에 더 빠르게 구축할 수 있습니다. 제한 이내에서 파일을 다른 디바이스 모델(예: Firepower 2120~2130)로 가져올 수도 있습니다. 가져오기 파일에 모든 디바이스 모델에서 지원되는 개체만 포함되는 경우, 가져오기에 대한 제한 사항이 거의 없어야 합니다. 한 가지 제한 사항은 디바이스에서 내보내기 파일에 사용된 버전과 동일한 API 버전을 사용해야 한다는 것입니다.
가져오기/내보내기 전략
다음은 가져오기/내보내기를 사용할 수 있는 몇 가지 방법입니다.
-
새 디바이스의 템플릿을 생성합니다. 필요한 베이스라인에 맞게 모델 디바이스를 구성한 다음, 전체 구성을 내보냅니다. 그 후에는 해당 구성을 새 디바이스로 가져온 다음, device manager 또는위협 방어 API를 사용하여 필요한 수정 작업을 수행할 수 있습니다. 또한 가져오기 전에 템플릿을 수정하여 수정 작업을 수행할 수 있는데 예를 들어, 각 인터페이스의 IP 주소를 수정할 수 있습니다. 전체 내보내기에는 ManagementIP 개체(type=managementip)가 포함됩니다. 이때 대상 디바이스에서 관리 주소 및 게이트웨이를 이미 구성한 경우 새 디바이스에 대한 템플릿을 생성할 때 내보내기 파일에서 이 개체를 제거해야 하며, 그렇지 않으면 관리 주소 지정 정보를 덮어쓰게 됩니다.
-
한 디바이스의 구성 변경 사항을 유사한 디바이스에 구축합니다. 예를 들어, 디바이스 A의 구성을 수정할 때 몇 가지 새로운 네트워크 개체 및 액세스 제어 규칙을 생성합니다. 그런 다음 보류 중인 변경 사항을 내보내고 이러한 변경 사항을 디바이스 B로 가져올 수 있습니다. 두 디바이스에서 구성을 구축하면 디바이스에서 동일한 새 규칙을 실행하게 됩니다.
-
시스템을 이미지로 다시 설치한 후에 구성을 다시 적용합니다. 디바이스를 이미지로 다시 설치하면 구성이 지워집니다. 전체 구성을 처음 내보내는 경우에는 이미지로 다시 설치하기를 완료한 후에 이를 가져올 수 있습니다.
-
대상 구성을 적용합니다. 내보내기 파일을 수정하거나 수동으로 생성할 수도 있으므로 다른 디바이스로 가져오려는 개체를 제외하고 모든 개체를 제거할 수 있습니다. 예를 들어 네트워크 개체 집합을 포함하는 구성 파일을 생성하고 이 파일을 사용하여 동일한 네트워크 개체 그룹을 모든 위협 방어 디바이스에 가져올 수 있습니다.