規劃備份和還原

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

Forefront TMG 包含備份及還原功能,這些功能可讓您將設定先匯出到 .xml 檔案,然後再將該設定匯回 Forefront TMG。

在 Forefront TMG 中,備份稱為匯出,還原則稱為匯入。此匯出/匯入功能十分有彈性,可匯出 Forefront TMG 中的許多層級。例如,您可以匯出 (後續再進行匯入) 整個防火牆原則、單一規則,或單一網路物件。此外,您也能備份整個設定,以供日後還原之用。

本主題提供下列相關資訊:

為嚴重損壞作準備

不論是為了修復嚴重損壞或在需要時回復先前的設定,備份設定皆極為重要。建議您在下列狀況後備份整個設定:

  • 完成 Forefront TMG 電腦的初始設定

  • 任何重大修改,包括變更快取大小或位置、修改防火牆原則、設定系統規則、建立網路定義或網路規則,以及委派系統管理權限或移除管理權限委派。

發生嚴重損壞時,遵循此指南可協助您從目前備份檔案還原設定。

關於備份和還原 Forefront TMG 設定

備份或還原設定之前,請注意下列事項:

  • 您必須是 Forefront TMG 企業系統管理員或企業稽核員,才能備份與還原企業層級的設定。

  • 若要備份和還原企業層級機密資訊,您必須是 Forefront TMG 企業系統管理員。

  • 您必須是 Forefront TMG 陣列系統管理員,才能匯出陣列層級機密資訊。

  • 若要獲得最佳的安全性,建議您將備份檔案儲存至 NTFS 檔案系統磁碟分割。只有 Forefront TMG 電腦的系統管理員才應具有目錄的讀取權限。

  • 匯出整個設定時,也會匯出憑證設定。匯入設定的 Forefront TMG 電腦上之憑證設定,必須符合匯出檔案中的憑證設定。如果匯入至使用不同憑證的 Forefront TMG 電腦,則 Microsoft Firewall 服務將無法啟動。

  • 匯出機密詳細資料 (例如,使用者密碼) 時,會加密在備份檔案中的安全資訊。系統將會要求您指定匯入設定時開啟檔案與解密資訊所需的密碼。建議您指定強式密碼,以確保能夠適當地保護加密的資訊。如果密碼能有效防禦未經授權的存取,即視為強式密碼。強式密碼不可包含全部或部分的使用者帳戶名稱。它至少應該包含下列四種字元中的三種:大寫字元、小寫字元、十進位數字及鍵盤上能找到的符號 (例如 !、@ 及 #)。

以下將說明:

備份設定

Forefront TMG 提供的匯出精靈可帶領您逐步完成將 Forefront TMG 設定匯出到 .xml 檔案的程序。

匯出設定時,會匯出所有的一般設定資訊。備份檔案包含所有的原則資訊與其他所有的組織特定資訊。它也包括存取規則、發行規則、規則元素、警示設定、快取設定,以及其他 Forefront TMG 內容,例如,快取磁碟機與安全通訊端層 (SSL) 憑證金鑰。

note附註:
備份和還原程序可備份及還原 SSL 憑證金鑰,而憑證金鑰會指示 Forefront TMG 使用哪一個憑證。這個程序與單純備份及還原憑證本身並不相同。建議您保留 SSL 憑證的備份,手動建立備份並保存在安全的位置。

建立備份檔案時,除了匯出所有的一般設定資訊之外,您也可以匯出使用者權限設定值與機密資訊,例如使用者密碼。匯出檔案中所包含的機密資訊,會使用匯出程序中指定的密碼進行加密。機密資訊包括使用者認證密碼 (例如,用來登入執行 Microsoft SQL Server 電腦的密碼)、遠端驗證撥入使用者服務 (RADIUS) 共用的機密,以及預先共用的網際網路通訊協定安全性 (IPsec) 金鑰。當機密詳細資料與檔案一起匯出時,您必須具備匯出程序中所指定的密碼,才能開啟及解密安全資訊。請注意,匯出備份檔案中的一般設定資訊並未加密。備份檔案中匯出的 Forefront TMG 設定資料應視為可能造成資訊洩漏的敏感性資料。

還原設定

將備份設定檔案匯入 Forefront TMG 即可還原設定。匯入程序期間,會將儲存在備份 .xml 檔案中的設定複製到 Forefront TMG 伺服器。

還原程序會重新建構大部分的設定資訊。匯入 .xml 設定檔案時,您可以選擇覆寫現有設定,或將設定詳細資料匯入至現有的設定。還原設定時,應該一律選擇覆寫現有設定,這個選項會以匯入檔案中的設定取代現有設定。

關於備份 SSL 憑證

SSL 憑證是儲存在電腦的本機憑證存放區。您可以使用隨「憑證服務」安裝的 Certutil.exe 命令列程式,以備份和還原 SSL 憑證等「憑證授權單位」元件。如需 Certutil.exe 的相關資訊,請參閱建立、檢視和管理憑證的工具 (http://go.microsoft.com/fwlink/?LinkId=152904) (可能為英文) 和 Certutil (http://go.microsoft.com/fwlink/?LinkId=152902) (可能為英文)。

您也可以使用管理憑證的 MMC 嵌入式管理單元來備份 SSL 憑證。如需相關資訊,請參閱如何備份伺服器憑證 (http://go.microsoft.com/fwlink/?LinkId=152903) (可能為英文)。

相關主題

顯示: