Exportieren und Importieren eines Web App Firewall Profils

Sie können die gesamte Konfiguration eines Web App Firewall Profils (einschließlich aller gebundenen Objekte, wie HTML-Fehlerobjekt, XML-Fehlerobjekt, WSDL- oder XML-Schema, Signaturen usw.) über mehrere Appliances replizieren. Sie können ein Zielprofil auswählen und die Konfiguration exportieren, um sie im lokalen Dateisystem Ihres Computers zu speichern, oder Sie können die archivierte Konfiguration übertragen, um sie auf einem Server zu speichern. Ebenso können Sie das lokale Dateisystem Ihres Computers durchsuchen oder das Archiv vom Server importieren, um ein zuvor exportiertes Profil auszuwählen und in Ihre NetScaler Appliance zu importieren.

Die Option, die gesamte Profilkonfiguration zu exportieren und dann in eine andere Appliance zu importieren, kann in verschiedenen Anwendungsfällen nützlich sein. Sie können beispielsweise ein Web App Firewall Profil in einer Testbetteinrichtung konfigurieren, um zu testen und zu überprüfen, ob es wie erwartet funktioniert. Sobald Sie zufrieden sind, können Sie das Profil exportieren und die Profilkonfiguration in Ihre NetScaler Produktionen importieren. Diese Funktionalität ist auch nützlich, um Ihre Konfiguration zu sichern. Sie können das Profil exportieren, bevor Sie Änderungen vornehmen, sodass Sie die Konfiguration bei Bedarf problemlos in einen bekannten Zustand zurücksetzen können.

Hinweis:

Web App Firewall Profile, die aus einem Build exportiert und archiviert werden, können nicht auf einem System wiederhergestellt werden, auf dem ein anderer Build ausgeführt wird, da Änderungen in neueren Versionen zu Kompatibilitätsproblemen führen können. Wenn Sie versuchen, ein archiviertes Profil in einem anderen Build als dem, aus dem es exportiert wurde, wiederherzustellen, wird eine Fehlermeldung in ns.log protokolliert.

Die Export- und Importprofilfunktionalität ist sowohl in der GUI (GUI) als auch in der Befehlszeilenschnittstelle (CLI) verfügbar. Die GUI wird empfohlen, da sie einfach zu bedienende Aktionsoptionen bietet. Mit einem Klick auf eine Schaltfläche können Sie die gesamte Konfiguration eines Profils exportierenoder importieren .

Exportieren Web App Firewall Profilen mit der CLI

Wenn Sie ein Profil mit CLI exportieren, müssen Sie die Konfiguration archivieren und dann exportieren . Um ein Profil zu importieren, müssen Sie das Archiv in die NetScaler Appliance importieren und dann den Befehl restore ausführen, um die Konfiguration zu extrahieren. Die folgenden CLI-Befehle können zum Exportieren, Importieren und Verwalten der Profilkonfigurationen verwendet werden.

CLI-Befehle zum Exportieren von Archiven:

  • archive appfw profile <name> <archivename> [-comment <string>]
  • export appfw archive <name> <target>

CLI-Befehle zum Importieren von Archiven:

  • import appfw archive <src> <name> [-comment <string>]
  • restore appfw profile <archivename>

CLI-Befehle zum Verwalten von Archiven:

  • show appfw archive
  • rm appfw archive <name>

Das Exportieren eines Profils von einer Appliance und das Importieren in eine andere erfordert fünf Schritte in CLI. Die ersten drei Schritte werden auf der Quell-Appliance ausgeführt, auf der die Profilkonfiguration ursprünglich erstellt wurde, und die nächsten 2 Schritte werden auf der Ziel-Appliance ausgeführt, auf der die Profilkonfiguration repliziert werden soll.

Profil aus der Quell-NetScaler Appliance exportieren:

Schritt 1: Erstellen Sie ein Archiv des konfigurierten Profils.

Schritt 2: Exportieren Sie das Archiv in das NetScaler Dateisystem.

Schritt 3: Verwenden Sie ein Dateiübertragungsprogramm wie scp, um die exportierte Archivdatei von der NetScaler Appliance A auf die NetScaler-Ziel-Appliance zu übertragen.

Profil in die NetScaler Ziel-Appliance importieren:

Schritt 4: Führen Sie den Befehl import aus, um die archivierte Datei zu importieren. Sie können das Archiv aus dem lokalen Dateisystem Ihres NetScaler importieren oder das HTTP- oder HTTPS-Protokoll verwenden, um das Archiv von einem Server mit der URL zu importieren.

Schritt 5: Führen Sie den Befehl restore aus, um die Profilkonfiguration aus dem importierten Archiv wiederherzustellen

So exportieren Sie ein Web App Firewall Profil mit der Befehlszeilenschnittstelle:

Archivieren Sie zunächst die Konfiguration des Profils, und exportieren Sie das Archiv an einen Zielspeicherort. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

archive appfw profile <profileName> <archiveName>

Wobei:

  • <profileName> ist der Name des Profils, das archiviert werden soll.
  • <archiveName> ist der Name der zu erstellenden Archivdatei.

Ausführung des obigen Befehls erstellt 2 Instanzen der Archivdatei. Einer im Ordner /var/tmp und der andere im Ordner /var/archive/appfw.

export appfw archive <archiveName> <target>

Wobei:

  • <archiveName> ist der Name des zu exportierenden Archivs. (Der gleiche Name wie im vorherigen Befehl.
  • <target> ist ein Dateipfad, der mit local: als Präfix beginnt, gefolgt von<archiveName> .

Die Ausführung des Export-Befehls speichert die exportierte Archivdatei im Dateisystem Ihrer NetScaler Appliance im Ordner /var/tmp.

Beispiele:

> archive appfw profile test_pr archived_test_pr

> export appfw archive archived_test_pr local:dutA_test_pr

Nachdem die beiden oben genannten Befehle ausgeführt wurden, enthält der Ordner /var/tmp die Datei archived_test_pr und die exportierte Kopie, Duta_Test_PR, die in der Größe identisch sind. Über die Befehlszeilenschnittstelle können Sie in die Shell ablegen, um zu dem Ordner zu navigieren, um zu überprüfen, ob diese Dateien vorhanden sind.

Nach dem Exportieren der Archivdatei können Sie scp oder ein anderes solches Dateiübertragungsprogramm verwenden, um eine Kopie der Archivdatei von der NetScaler Appliance, auf der sie erstellt wurden, auf Ihre NetScaler-Ziel-Appliance zu übertragen.

Importieren von Web App Firewall Profilen mit der CLI

Nachdem Sie die archivierte Datei von der Quell-Appliance auf die Ziel-Appliance erfolgreich ausgeführt haben, können Sie das Archiv des Profils importieren und dann den Befehl restore ausführen, um die Konfiguration des Profils auf der Ziel-Appliance zu replizieren.

Melden Sie sich bei der Ziel-Appliance an. Gehen Sie in die Shell und cd in den Ordner /var/tmp, um zu überprüfen, ob die Größe der scp’d Datei auf dieser Appliance mit der Größe der ursprünglichen archivierten Datei auf der Quell-Appliance übereinstimmt. Beenden Sie die Shell, um zur Befehlszeile zurückzukehren.

So importieren Sie ein Profil mit der CLI:

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

import appfw archive <src> <name> [-comment <string>]

wobei

  • <src> ist der Speicherort der Archivdatei, nachdem sie von der Quell-Appliance übertragen wurde, auf der sie erstellt wurde. Sie können ein lokales Dateisystem und einen Dateinamen verwenden. Wenn Sie das Archiv auf einem Server abgelegt haben, können Sie eine URL zum Importieren der archivierten Datei verwenden. Wenn der Pfad oder Dateiname Leerzeichen enthält, schließen Sie die URL in doppelte Anführungszeichen ein.
  • <name> ist der Name der zu importierenden Archivdatei.
  • <string> ist eine optionale Beschreibung des Zwecks des Archivs.

restore appfw profile <archiveName>

Beispiele:

A: Import aus lokaler Datei gefolgt von Wiederherstellung:

> import appfw archive local:dutA_test_pr dut2_test_pr

> restore appfw profile dut2_test_pr

B. Importieren von URL gefolgt von Wiederherstellung:

import appfw archive http://10.217.30.16/FFC/Profile_ImportExport/dutA_test_pr.tgz my_archive restore appfw profile my_archive

In diesem Beispiel wird das test_pr-Profil zusammen mit allen gebundenen Objekten (wie Signaturen, HTML-Fehlerseite, Relaxationsregeln usw.) auf der NetScaler Ziel-Appliance wiederhergestellt.

Sie können die folgenden CLI-Befehle verwenden, um auf Manpages für weitere Details zuzugreifen.

  • manarchiv appfw Profil
  • man export appfw archiv
  • man import appfw archiv
  • man wiederherstellen appfw Profil
  • man show appfw archiv
  • man rm appfw Archiv

Exportieren und Importieren von Web App Firewall Profilen mit der GUI

Die GUI ist einfacher zu verwenden als die CLI. Das Dienstprogramm führt sowohl Archivierungs- als auch Exportvorgänge durch, wenn Sie auf Exportierenklicken. Ebenso wird sowohl Import als auch Wiederherstellung ausgeführt, wenn Sie auf Importierenklicken. Die GUI kann auf das lokale Dateisystem des Computers zugreifen, von dem aus Sie auf das Dienstprogramm zugreifen. Sie können eine Kopie des Archivs exportieren und auf Ihrem lokalen Computer speichern. Sie können diese Kopie dann direkt in die Ziel-Appliance importieren, ohne die Archivdatei manuell von einer Appliance auf die andere übertragen zu müssen.

So exportieren Sie ein Web App Firewall Profil mit der GUI:

  1. Navigieren Sie zu Konfiguration **> **Sicherheit > Web App Firewall > Profile .
  2. Wählen Sie im Detailbereich ein zu exportierendes Profil aus. Klicken Sie auf Aktionen und wählen Sie Exportieren aus, um eine Kopie im lokalen Dateisystem Ihres Computers herunterzuladen und zu speichern.

So importieren Sie ein Web App Firewall Profil mit der GUI:

  1. Navigieren Sie zu Konfiguration > Sicherheit > Web App Firewall > Profile .
  2. Klicken Sie im Detailbereich auf Aktionen, und wählen Sie Importieren aus. Im Bereich Web App Firewall Profil importieren stehen Ihnen das Auswahlfeld Aus importieren 2 Optionen zur Verfügung:

URL: Sie können ein Archiv importieren, indem Sie eine URL angeben. Wenn diese Option ausgewählt ist, müssen Sie im URL-Eingabefeld einen absoluten Pfad für die archivierte Datei angeben.

Datei: Sie können ein Archiv aus der lokalen Datei importieren. Wenn diese Option ausgewählt ist, wird ein Auswahlfeld Lokale Datei angezeigt. Sie können die lokalen Dateien Ihres Computers durchsuchen, um die Zielarchivdatei auszuwählen.

Klicken Sie auf Erstellen, um das angegebene Archiv zu importieren. Beim erfolgreichen Abschluss des Importvorgangs wird die Profilkonfiguration auf der Ziel-Appliance erstellt.

Highlights

  • Sie können die gesamte Konfiguration (einschließlich aller Importobjekte sowie konfigurierten Relaxationsregeln für das Profil) auf mehreren Appliances replizieren, ohne dass Sie Konfigurationsschritte wiederholen müssen, indem Sie die Export- und Importprofilfunktionalität verwenden.
  • Die importierten Objekte, wie Signaturen, WSDL, Schema, Fehlerseite usw., sind in der archivierten TAR-Datei enthalten und auf der Ziel-Appliance repliziert.
  • Angepasste Feldtypen sind in der archivierten TAR-Datei enthalten und auf der Ziel-Appliance repliziert.
  • Die Richtlinienbindungen des archivierten Profils werden nicht repliziert, wenn die Konfiguration wiederhergestellt wird. Sie müssen die Richtlinie konfigurieren und sie an das Profil binden, nachdem Sie das Profil in die Appliance importiert haben.
  • Der Name der Archivdatei kann bis zu 31 Zeichen lang sein. Wie bei Profilnamen muss ein Archivname mit einem alphanumerischen Zeichen oder Unterstrich beginnen und nur alphanumerische Zeichen und Unterstriche (_), Zahl (#), Punkt (.), Leerzeichen (), Doppelpunkt (:), at (@), Gleich (=) oder Bindestrich (-) enthalten.
  • Kommentare, die mit dem Archiv verknüpft sind, sollten beschreibend genug sein, um den Zweck der archivierten Konfiguration zu vermitteln. Die maximal zulässige Länge für einen Kommentar beträgt 255 Zeichen.
  • Der Befehl clear config —force basic entfernt die archivierten Profile nicht.
  • Die Import- und Exportprofilfunktionalität wird in Hochverfügbarkeitsbereitstellungen (HA) unterstützt.

Debugging-Tipps

  • Überwachen Sie die Datei /var/log/ns.log während der Befehlsausführung, um festzustellen, ob Fehlermeldungen vorhanden sind.
  • Zusätzliche Protokolle (_restore.log, remove.log, import.log) werden im Ordner /var/tmp/generiert. Sie können beim Debuggen von Problemen während der entsprechenden Operationen helfen. Wenn diese Protokolle eine MB Größe erreichen, werden die Protokollmeldungen gelöscht, um die Protokolldatei auf ein Viertel der ursprünglichen Größe zu verkleinern.
  • Wenn der Importbefehl fehlschlägt, wenn Sie die URL-Option anstelle des lokalen Dateisystems verwenden, stellen Sie sicher, dass DNS-Namensserver und Routeneinstellungen korrekt konfiguriert sind.
  • Wenn Sie das HTTPS-Protokoll zum Importieren des Archivs verwenden, schlägt der Befehl möglicherweise fehl, wenn der HTTPS-Server Clientzertifikatauthentifizierung erfordert.