Cài đặt Hoàn nguyên cấu hình và Chế độ ghi thay đổi thủ công

Thảo luận trong 'Firewall Fortigate' bắt đầu bởi Binhnganhr, 18/4/23.

  1. Binhnganhr

    Binhnganhr New Member

    - Như một số các thương hiệu thiết bị Firewall phổ biến, thiết bị tường lửa FortiGate cũng có tính năng Hoàn nguyên cấu hình (Revert operation) khi thay đổi các cấu hình mới cho thiết bị. Chức năng này hữu ích khi bạn muốn hoàn nguyện các cài đặt dưới dạng một thao tác đợn thay vì cấu hình thử công lại từng cài đặt.

    - Quản trị viên có thể sử dụng chế độ lưu lại cấu hình đặt sang lưu thủ công, để việc triển khai kiểm soát thay đổi nghiêm ngặt bằng cách yêu cầu các thay đổi được chuyển giao thủ công cho flash.

    - Để cấu hình trên GUI của FortiGate, vào System > Setttings > Workflow Management > Configuration save mode chọn chế độ Manual.
    [​IMG]

    - Khi Configuration save mode được đặt là Automatic (mặc định), các thay đổi cấu hình được tự động lưu vào cả bộ nhớ và flash.

    - Khi Configuration save mode được đặt là Manual, các thay đổi cấu hình được lưu vào bộ nhớ, nhưng ghi vào flash. Các thay đổi có hiệu lực tức thời, nhưng phải được ghi thủ công vào flash. Các thay đổi chưa ghi lại được hoàn nguyên khi thiết bị reboot. Nếu Revert upon timeout được bật lên, hệ thống có thể không phản hồi trong khoảng thời gian ngắn sau khi hết thời gian áp dụng cấu hình khi đó nó quay trả các thay đổi về thời điển lưu trước đó. Trước khi hết thời gian chờ, một cảnh báo dạng pop-up cho bạn tùy chọn để hoàn nguyên cấu hình sau một phút, trả về cấu hình ngay lập tức, hay lưu các cấu hình đã thay đổi.

    - Trong chế độ Manual, một bảng cảnh báo được hiển thị trong khung chức năng GUI khi các thay đổi không được lưu lại. Click vào cảnh báo để lưu lại, xem, hoặc hoàn nguyên lại các thay đổi. Khi click vào Reboot and revert changes, hệ thống có thể không phản hồi một lúc khi nó hoàn nguyên lại các thay đổi về thời điểm lưu lại trước đó.
    [​IMG]
    - Click vào View Unsaved Changes để mở bảng chi tiết được đánh dấu các thay đổi vẫn chưa được ghi lại.
    [​IMG]

    - Cấu hình này cũng có thể thực hiện qua dòng lệnh CLI như sau:

    config system global
    set cfg-save {automatic | manual | revert}
    set cfg-revert-timeout <integer>
    end

    - Sử dụng lệnh sau để ghi cấu hình vào flash hoặc reboot lại cấu hình trước khi có thay đổi.

    # execute cfg {reload | save}

    KIỂM TRA:
    - Để kiểm tra tính năng hoàn nguyên cấu hình cho tường lửa FortiGate, ở đây mình sẽ thực hiện một thử nghiệm đơn giản đó là thay đổi địa chỉ IP của cổng MGMT.

    - Trên giao diện GUI, vào Network > chọn MGMT port. Thay đổi địa chỉ quản lý cổng này từ 192.168.100.114 sang IP: 172.100.1.40 để kiểm thử.
    [​IMG]
    [​IMG]

    - Bây giờ trên PC thực hiện ping tới địa chỉ vừa thay đổi đổi trên cổng của FortiGate, kết quả là kết nối đã không còn.
    [​IMG]
    [​IMG]

    - Sau 1 phút (tùy vào cài đặt Revert upon timeout), kết nối có thể được thiết lập lại để vào IP cổng MGMT.
    [​IMG]
    [​IMG]
     
    Binhnganhr, 18/4/23
    #1

trang này