Exportación e importación de un perfil de Web App Firewall

Puede replicar toda la configuración de un perfil de Web App Firewall (incluidos todos los objetos enlazados, como el objeto de error HTML, el objeto de error XML, el esquema WSDL o XML, las firmas, etc.) en varios dispositivos. Puede seleccionar un perfil de destino y exportar la configuración para guardarlo en el sistema de archivos local del equipo, o puede transferir la configuración archivada para almacenarla en un servidor. Del mismo modo, puede examinar el sistema de archivos local del equipo o importar el archivo desde el servidor para seleccionar un perfil exportado anteriormente e importarlo en el dispositivo NetScaler.

La opción de exportar toda la configuración del perfil e importarla a otro dispositivo puede ser útil en varios casos de uso. Por ejemplo, puede que quiera configurar un perfil de Web App Firewall en una configuración de banco de pruebas para probar y validar que funciona como se esperaba. Una vez que esté satisfecho, puede exportar el perfil e importar la configuración del perfil a los dispositivos NetScaler de producción. Esta funcionalidad también es útil para realizar copias de seguridad de la configuración. Puede exportar el perfil antes de realizar cambios, de modo que pueda deshacer fácilmente la configuración a un estado conocido si es necesario.

Nota

Los perfiles de Web App Firewall que se exportan y archivan desde una compilación no se pueden restaurar en un sistema que ejecute una compilación diferente, ya que los cambios introducidos en las versiones más recientes pueden provocar problemas de compatibilidad. Si intenta restaurar un perfil archivado en una compilación diferente a la desde la que se exportó, se registra un mensaje de error en ns.log.

La funcionalidad de perfil de exportación e importación está disponible tanto en la GUI (GUI) como en la interfaz de línea de comandos (CLI). Se recomienda la interfaz gráfica de usuario, ya que ofrece opciones de acción fáciles de usar. Con un clic de un botón, puede exportar o importar toda la configuración de un perfil.

Exportación de perfiles de Web App Firewall con la CLI

Si utiliza CLI para exportar un perfil, debe archivar la configuración y, a continuación, exportarla. Para importar un perfil, debe importar el archivo en el dispositivo NetScaler y, a continuación, ejecutar el comando restore para extraer la configuración. El siguiente conjunto de comandos CLI se puede utilizar para exportar, importar y administrar las configuraciones de perfil.

Comandos CLI para exportar archivos:

  • archive appfw profile <name> <archivename> [-comment <string>]
  • export appfw archive <name> <target>

Comandos CLI para importar archivos:

  • import appfw archive <src> <name> [-comment <string>]
  • restore appfw profile <archivename>

Comandos CLI para administrar archivos:

  • show appfw archive
  • rm appfw archive <name>

La exportación de un perfil desde un dispositivo e importarlo a otro requiere cinco pasos en la CLI. Los tres primeros pasos se realizan en el dispositivo de origen en el que se crea originalmente la configuración del perfil y los dos siguientes se realizan en el dispositivo de destino en el que se va a replicar la configuración del perfil.

Exportar perfil desde el dispositivo NetScaler de origen:

Paso 1: Cree un archivo del perfil configurado.

Paso 2: Exporte el archivo al sistema de archivos NetScaler.

Paso 3: Utilice una utilidad de transferencia de archivos como scp para transferir el archivo de archivo exportado desde el dispositivo NetScaler A al dispositivo NetScaler de destino.

Importar perfil al dispositivo NetScaler de destino:

Paso 4: Ejecute el comando de importación para importar el archivo archivado. Puede importar el archivo desde el sistema de archivos local de NetScaler, o puede utilizar el protocolo HTTP o HTTPS para importar el archivo desde un servidor mediante la URL.

Paso 5: Ejecute el comando restore para restaurar la configuración del perfil desde el archivo importado

Para exportar un perfil de Web App Firewall mediante la interfaz de línea de comandos:

Primero, archive la configuración del perfil y, a continuación, exporte el archivo a una ubicación de destino. En el símbolo del sistema, escriba los siguientes comandos:

archive appfw profile <profileName> <archiveName>

donde:

  • <profileName> es el nombre del perfil que se va a archivar.
  • <archiveName> es el nombre del archivo de archivo que se va a crear.

La ejecución del comando anterior crea 2 instancias del archivo de archivo. Uno en la carpeta /var/tmp y otro en la carpeta /var/archive/appfw.

export appfw archive <archiveName> <target>

donde:

  • <archiveName> es el nombre del archivo que se va a exportar. (El mismo nombre que en el comando anterior.
  • <target> es una ruta de archivo que comienza con local: como prefijo, seguido de <archiveName>.

La ejecución del comando export guarda el archivo de archivo exportado en el sistema de archivos del dispositivo NetScaler en la carpeta /var/tmp.

Ejemplos:

> archive appfw profile test_pr archived_test_pr

> export appfw archive archived_test_pr local:dutA_test_pr

Después de ejecutar los dos comandos anteriores, la carpeta /var/tmp contiene el archivo archived_test_pr y la copia exportada, DUTA_Test_PR, que tienen el mismo tamaño. Desde la CLI, puede caer en el shell para navegar a la carpeta para verificar que estos archivos están allí.

Después de exportar el archivo de archivo, puede utilizar scp o alguna otra utilidad de transferencia de archivos para transferir una copia del archivo de archivo desde el dispositivo NetScaler en el que se crearon al dispositivo NetScaler de destino.

Importación de perfiles de Web App Firewall con la CLI

Después de haber almacenado correctamente el archivo archivado desde el dispositivo de origen al dispositivo de destino, estará listo para importar el archivo del perfil y, a continuación, ejecutar el comando restore para replicar la configuración del perfil en el dispositivo de destino.

Inicie sesión en el dispositivo de destino. Colóquelos en el shell y en el cd a la carpeta /var/tmp para comprobar que el tamaño del archivo scp’d de este dispositivo coincide con el tamaño del archivo archivado original del dispositivo de origen. Salga del shell para volver a la línea de comandos.

Para importar un perfil mediante la CLI:

En el símbolo del sistema, escriba los siguientes comandos:

import appfw archive <src> <name> [-comment <string>]

donde

  • <src> es la ubicación del archivo de archivo después de que se haya transferido desde el dispositivo de origen en el que se creó. Puede utilizar un sistema de archivos local y un nombre de archivo. Si ha colocado el archivo en un servidor, puede utilizar una URL para importar el archivo archivado. Si la ruta de acceso o el nombre del archivo contiene espacios, escriba la dirección URL entre comillas dobles rectas.
  • <name> es el nombre del archivo de archivo que se va a importar.
  • <string> es una descripción opcional del propósito del archivo.

restore appfw profile <archiveName>

Ejemplos:

A. Importar desde el archivo local seguido de restauración:

> import appfw archive local:dutA_test_pr dut2_test_pr

> restore appfw profile dut2_test_pr

B. Importar desde URL seguido de restauración:

import appfw archive http://10.217.30.16/FFC/Profile_ImportExport/dutA_test_pr.tgz my_archive restore appfw profile my_archive

En este ejemplo se restaura el perfil test_pr junto con todos los objetos enlazados (como firmas, página de error html, reglas de relajación, etc.) en el dispositivo NetScaler de destino.

Puede utilizar los siguientes comandos de CLI para acceder a las páginas de comando man para obtener más detalles.

  • man archive appfw profile
  • man export appfw archive
  • man import appfw archive
  • man restore appfw perfil
  • man show appfw archive
  • man rm appfw archive

Exportación e importación de perfiles de Web App Firewall con la GUI

La GUI es más fácil de usar que la CLI. La utilidad realiza operaciones de archivado y exportación al hacer clic en Exportar. Del mismo modo, ejecuta tanto la importación como la restauración al hacer clic en Importar. La GUI puede acceder al sistema de archivos local del equipo desde el que accede a la utilidad. Puede exportar una copia del archivo y guardarlo en su equipo local. A continuación, puede importar esta copia directamente en el dispositivo de destino sin tener que transferir manualmente el archivo de archivo de un dispositivo a otro.

Para exportar un perfil de Web App Firewall mediante la GUI:

  1. Vaya a Configuración **> **Seguridad > Web App Firewall > Perfiles.
  2. En el panel de detalles, seleccione el perfil que quiere exportar. Haga clic en Acciones y seleccione Exportar para descargar y guardar una copia en el sistema de archivos local del equipo.

Para importar un perfil de Web App Firewall mediante la GUI:

  1. Vaya a Configuración > Seguridad > Web App Firewall > Perfiles.
  2. En el panel de detalles, haga clic en Acciones y seleccione Importar. En el panel Importar perfil de Web App Firewall, el cuadro de selección Importar desde* ofrece 2 opciones:

URL: puede elegir importar un archivo especificando una URL. Cuando esta opción está seleccionada, debe proporcionar una ruta absoluta para el archivo archivado en el cuadro de entrada de URL.

Archivo: Puede elegir importar un archivo desde el archivo local. Cuando se selecciona esta opción, se muestra un campo de selección Archivo local. Puede examinar los archivos locales del equipo para seleccionar el archivo de archivo de destino.

Haga clic en Crear para importar el archivo especificado. La finalización correcta de la operación de importación crea la configuración del perfil en el dispositivo de destino.

Resumen

  • Puede replicar toda la configuración (incluidos todos los objetos de importación, así como las reglas de relajación configuradas para el perfil) en varios dispositivos, sin necesidad de repetir los pasos de configuración, mediante la funcionalidad de exportación e importación de perfiles.
  • Los objetos importados, como firmas, WSDL, esquema, página de error, etc., se incluyen en el archivo tar archivado y se replican en el dispositivo de destino.
  • Los tipos de campo personalizados se incluyen en el archivo tar archivado y se replican en el dispositivo de destino.
  • Los enlaces de directivas del perfil archivado no se replican cuando se restaura la configuración. Debe configurar la directiva y vincularla al perfil después de importar el perfil al dispositivo.
  • El nombre del archivo de archivo puede tener hasta 31 caracteres de longitud. Al igual que con los nombres de perfil, un nombre de archivo debe comenzar con un carácter alfanumérico o de subrayado y contener solo caracteres alfanuméricos y de subrayado (_), número (#), punto (.), espacio (), dos puntos (:), en (@), igual a (=) o guión (-).
  • Los comentarios asociados con el archivo deben ser lo suficientemente descriptivos como para transmitir el propósito de la configuración archivada. La longitud máxima permitida para un comentario es de 255 caracteres.
  • El comando “clear config —force basic” no elimina los perfiles archivados.
  • La funcionalidad de perfil de importación y exportación se admite en implementaciones de alta disponibilidad (HA).

Sugerencias de depuración

  • Supervise el /var/log/ns.log durante las ejecuciones de comandos para ver si hay algún mensaje de ERROR.
  • Se generan registros adicionales (_restore.log, remove.log, import.log) en la carpeta /var/tmp/. Pueden ayudar a depurar problemas durante las operaciones correspondientes. Cuando estos registros alcanzan un tamaño de un MB, los mensajes de registro se purgan para reducir el archivo de registro a una cuarta parte del tamaño original.
  • Si se produce un error en el comando de importación cuando se utiliza la opción URL en lugar del sistema de archivos local, compruebe que la configuración del servidor de nombres DNS y de la ruta estén correctamente configurados.
  • Si utiliza el protocolo HTTPS para importar el archivo, el comando puede fallar si el servidor HTTPS requiere autenticación de certificado de cliente.