Palo Alto [II.3][Lab] Cấu hình Backup và Restore trên Palo Alto NGFW

QUY TRÌNH BACKUP VÀ RESTORE TRÊN PALO ALTO NGFW​

Mục lục:

I. Cách thức Backup và Restore ​

A. Phần Backup (Sao lưu)​

Có 2 cấp độ sao lưu:
Cách 1: Sao lưu thủ công tại chỗ (Save Snapshot)
Để tạo điểm khôi phục nhanh trước khi sửa đổi lớn.
Thao tác:

• Vào Device > Setup > Operations.
• Chọn Save named configuration snapshot.
• Đặt tên (ví dụ: Backup_Ngay_21_Thang_12).
• Nhấn OK.

Cách 2: Sao lưu ra ngoài máy tính (Export Snaphot -> An toàn nhất)
Để lưu trữ lâu dài, phòng hỏng phần cứng.
Thao tác:

• Vào Device > Setup > Operations.
• Chọn Export named configuration snapshot.
• Chọn file cấu hình bạn muốn tải (thường là running-config.xml).
• Nhấn OK để tải file .xml về máy tính.

Quan trọng: Nếu muốn backup toàn diện để thay máy chọn Export device state

B. Phần Restore (Khôi phục)​

Khi hệ thống gặp lỗi, bạn thực hiện khôi phục như sau:

Trường hợp 1: Khôi phục từ file có sẵn trên tường lửa
Thao tác:

• Vào Device > Setup > Operations.
• Chọn Load named configuration snapshot.
• Chọn tên file backup cũ trong danh sách.
• Nhấn OK.
• Sau đó nhấn Commit để áp dụng.

Trường hợp 2: Khôi phục từ file trên máy tính (Import)
Thao tác:

• Vào Device > Setup > Operations.
• Chọn Import named configuration snapshot.
• Chọn file .xml từ máy tính và tải lên.
• Sau khi tải lên xong, thực hiện tiếp bước Load như Trường hợp 1.
• Nhấn Commit để áp dụng.

II. Demo​

Vào được giao diện backup và restore:
Thanh điều hướng > Device > Thanh menu phụ > Operations

A. Demo Backup​

Kịch bản 1: Sao lưu bằng save snapsort
Sử dụng khi bản muốn tạo 1 điểm quay về trước khi cấu hình mới
hoặc
Khi bạn đang cấu hình chưa xong và chưa muốn commit, bạn có thể lưu lại tránh trường hợp máy khởi động lại sẽ mất hết các thay đổi chưa lưu.

Bây giờ mình sẽ thực hiện thay đổi hostname nhưng chưa commit:
Xác minh lại

Trên đây là 2 bản 1 bản running-config FW đang lấy để chạy còn bên phải là bản Candidate config (chưa commit)

Bây giờ tiến hành snapsort

Có 2 tùy chọn: ở trên là lưu snapsort vào hệ thống với tên tùy chọn còn ở dưới là dùng tên mặc định của hệ thống. Mình sẽ làm cách trên.
Đặt tên

Lưu ý chỉ đặt tên được tối đa 32 kí tự

Kịch bản thứ 2: Lưu toàn bộ cấu hình hiện tại và xuất ra file (export)

Cái đầu để xuất các bản snapshot đã lưu trong máy hoặc các file config

Các bạn có thể xuất running-config hay các bản snapsort đã lưu trước đó
Mình sẽ thực hiện demo Export device state
File sau khi tải

Trong đây lưu các file cấu hình, certificate,.... dưới dạng file .xml dùng trong trường hợp muốn đổi máy khác mà muốn nó chạy y hệt máy cũ.

B. Demo Restore​

Bây giờ thực hiện restart firewall và đăng nhập lại:

Kịch bản 1.1: Restore bằng snapshort đã lưu trong tường lửa
Xem lại candidate config (sửa đổi nhưng chưa commit) thấy đã bị mất

Bây giờ thực hiện restore bằng snapsort đã lưu.
Load named configuration snapsort > Chọn snapshot đã lưu

Các sửa đổi nhưng chưa commit trước đó đã được khôi phục

Bây giờ commit
Tên đã thay đổi


Kịch bản 2.1: Restore lại toàn bộ máy trở về bản ban đầu bằng file đã export
Nếu thành công tên FW sẽ trở về PA-Firewall-ABC

Các bạn import toàn bộ file nén .tgz

Load lại file .tgz


Commit


Firewall đã trở về trạng thái khi export

III. Tổng kết​

Qua bài viết này, chúng ta đã nắm vững quy trình bảo vệ dữ liệu trên Firewall Palo Alto với 4 điểm cốt lõi:

1. Save Snapshot: Lưu nhanh cấu hình vào firewall; phù hợp trước khi chỉnh sửa lớn.
2. Export Snapshot: Lưu file cấu hình .xml xuống máy – dùng để backup chuẩn.
3. Export Device State: Mạnh nhất, đầy đủ nhất – ghi lại trạng thái toàn hệ thống, phù hợp để di chuyển và khôi phục toàn diện.
4. Restore luôn cần chạy Commit để áp dụng.

Việc thiết lập thói quen sao lưu định kỳ (Export snapshot) và sao lưu nhanh (Save snapshot) trước khi thực hiện các thay đổi lớn là nguyên tắc sống còn của người quản trị hệ thống, đảm bảo khả năng phục hồi nhanh nhất khi có sự cố xảy ra.